Security NEWS
進化し続けるサイバー攻撃の脅威に対抗するための最新のセキュリティ情報から、初心者向けの基本知識まで幅広く取り上げています。これからセキュリティの道へ進む方にも、すでにセキュリティに携わっている方にも、楽しんでいただける内容となっています。
SQAT® Security Information
【長期休暇前の見直しを!】ネットワーク図が消えた瞬間─ランサムウェア時代のインシデント対応を左右する“準備”の質
Security NEWS TOPに戻る
バックナンバー TOPに戻る
長期休暇は攻撃者にとっての“ゴールデンタイム”─攻撃の隙を突かれ、組織のネットワーク図や構成情報が暗号化されてしまえば、インシデント初動対応やフォレンジック調査に大きな支障が生じます。本記事ではランサムウェア攻撃の実例を交えつつ、サイバー攻撃への対策の要点を解説します。
図面サーバが暗号化された実例が突きつけた現実
2021年1月、プエルトリコ財務省(Hacienda)の共有サーバがランサムウェア「Ryuk」によって暗号化されました。困難を極めたのは業務システムそのものではなく、インシデント対応の羅針盤となるIDSログとネットワーク図まで人質に取られたことでした。CompSec Direct社は、外部のDFIR(Digital Forensics & Incident Response)チームが構成を把握するまでに数時間を費やし、その間オンライン納税が全面停止した結果、1日あたり2000万ドルを超える税収が失われたと報告しています。さらに同様のリスクが民間企業にも差し迫っています。Microsoft Igniteで発表されたランサムウェアバックアップ戦略ガイド「Ransomware attack recovery plan」では、「ネットワーク図やCMDBは攻撃者が真っ先に狙う復旧用ドキュメントであり、失えば復元計画そのものが成立しなくなる」と警鐘を鳴らしています。
ネットワーク図はフォレンジック調査とCSIRTの羅針盤
マルウェア感染が判明した直後、CSIRT(Computer Security Incident Response Team)はネットワークをどこで遮断すべきか、どのホストでメモリダンプやパケットキャプチャを始めるべきかを瞬時に決めなければなりません。その判断を支える“地図”こそ最新のネットワーク図です。AWS Incident Response「Document and centralize architecture diagrams」でも、アーキテクチャ図を一元的に保管し常に更新しておくことが「迅速かつ正確な封じ込めの前提」と明示しています。
フォレンジック担当者にとっても図面は欠かせません。感染セグメントの境界を論理的に隔離し、ログ残存率の高い経路を優先してトラフィックを保存し、横展開を想定したホストに的を絞ってメモリを取得する—こうした分単位のオペレーションは、正確な構成情報があって初めて迷いなく実行できます。図面が欠落した状態では、調査は手探りになり、感染拡大のリスクが急激に高まります。
攻撃者が真っ先に狙う“復旧用ドキュメント”
近年のランサムウェアは単にシステムを暗号化するだけでなく、復旧の要となるバックアップやドキュメントを破壊・窃取する二重・三重恐喝が主流です。Microsoftは前述した「Ransomware attack recovery plan」の中で、図面を含む復旧ドキュメントを必ずイミュータブルまたはオフラインの領域へ隔離し、管理者権限を奪われても書き換えられないように設計することを強調しています。この”文書奪取型”の攻撃は、組織が身代金を支払わざるを得ない状態へ追い込む目的で計画的に行われます。したがって、図面の退避先をシステムとは別レイヤーに置く設計思想そのものが、ランサムウェア時代の事業継続計画(BCP)の根幹となります。
三層バックアップと3-2-1 ルール—図面を守るための冗長化設計
攻撃者がドキュメントを狙う前提を踏まえ、Microsoft Azureや多くのクラウド事業者は「三層バックアップ」を基準として推奨しています。第一層は多要素認証を必須化したオンラインバックアップで、日常的な迅速リストアを担います。第二層はクラウドのイミュータブルストレージで、週次コピーを保管し、管理者権限の奪取による改ざんを防ぎます。第三層は完全オフラインの隔離媒体で月次アーカイブを保持し、最悪のシナリオでも“最後の砦”として機能します。この三層構造の流れは下図の通りです。
三層バックアップは、しばしば「三つのコピー・二種類の媒体・一つはオフサイト」という 3-2-1ルールとも呼ばれ、ログやアプリケーションデータだけでなくネットワーク図のような復旧必須ドキュメントにもそのまま適用できます。重要なのは、図面を単なるPDFとして保存するのではなく、バージョン管理システムやIaC(Infrastructure as Code)ツールで変更履歴を残し、更新が発生するたびに自動でイミュータブル層へ複製する運用プロセスを組み込む点にあります。
長期休暇は“攻撃者のゴールデンタイム”
大型連休や年末年始は、内部管理者の不在や監視体制の手薄さを突く格好のタイミングです。実際、米CISAと FBIは2021年のレイバー・デー (Labor Day=労働者の日)を前に、「過去の大規模ランサムウェア攻撃は、週末や祝日の直前に集中する傾向がある」と共同アドバイザリ「Ransomware Awareness for Holidays and Weekends」を公開し、平時よりも高い警戒レベルを求めました。
国内でも2024年4月、独立行政法人情報処理推進機構(IPA)が「2024年度 ゴールデンウイークにおける情報セキュリティに関する注意喚起」を発表し、「長期休暇中は管理者が長期間不在になるため、インシデント発生時の対応が遅れ、休暇明けの業務継続に影響が及ぶ恐れがある」と警告しています。連休を狙った攻撃が成功しやすい背景には、VPNやリモートデスクトッププロトコル(RDP)のパッチ未適用、監視ログの見落としといった“人的スキマ”が重層的に生じる点があります。
「連休前点検」と「連休後フォロー」を年間行事に
休暇入りの二週間前を目安に、ネットワーク図とCMDB(構成管理データベース)の最新版をイミュータブル層へ複製し、外部ベンダーとも共有確認を行う—これだけで、もし連休中に図面サーバが暗号化されても代替コピーを即座に展開できます。さらに休暇明け初日に、ログの異常値とバックアップ整合性をチェックする“フォローアップ窓”を設ければ、潜伏期間の長いマルウェアを早期に検知できます。
平時にベンダー契約を結び、図面を安全に共有する
インシデント対応は社内リソースだけで完結しない局面が多くあります。経済産業省が公開した中小企業向け手引きでも、専門知識が不足する場合は外部ベンダーへ速やかに支援を依頼するよう明記されています。ところが緊急時に初めて見積もりを取得し、社内決裁を経て、機密保持契約(NDA)を交わすようでは手遅れになりかねません。またNIST SP 800-61 Rev.3でも、外部サービスプロバイダーとの契約には責任分界点・連絡フロー・緊急時の権限を事前に文書化し、図面や資産リストを暗号化して共有しておくべきだと指摘しています。
図面を平時から共有しておけば、ベンダーは現地到着と同時に封じ込めポイントやログ取得手順を提示できる―これが、初動を数十分で完了させるか、半日を失うかの分岐点となります。
図面更新運用「変更が起きた瞬間にバックアップを取る」
ネットワーク構成は日々変化します。クラウドのセキュリティグループを1行書き換えるだけでも、感染経路や封じ込め手順は一変します。したがって、図面更新の責任を特定の担当者に寄せるのではなく、CI/CDのパイプラインに組み込んで自動化するアプローチが有効です。例えば、IaCテンプレートを最新版にマージすると同時に、図面を自動生成し、イミュータブル層へコミットする―こうして「変更=バックアップ」のトリガーを組織文化として定着させることで、人為的な更新漏れを防止できます。
クラウド・オンプレミスを跨ぐハイブリッド環境への適用のポイント
ハイブリッド環境では、クラウド側のアーキテクチャ図とオンプレの物理配線図を統合的に管理する必要があります。AWS Systems Manager Application ManagerやAzure Arcなどのサービスを活用すると、マルチクラウド/オンプレ資産を単一のリポジトリへ収集できる。こうして得られたメタデータをエクスポートし、Visioやdraw.ioで図面化して保管すれば、プラットフォームを跨いだ封じ込め手順を迅速に策定できます。
90日で構築する“図面と契約”のロードマップ
まず、30日以内に既存図面の所在を棚卸しし、漏れや重複を洗い出します。次の30日で三層バックアップを設計し、イミュータブル層とオフライン層へのコピーサイクルを自動化します。最後の30日でMSSPやクラウドベンダーとの契約書に図面共有条項を追加し、緊急連絡網と責任分界点を明文化します。こうした段階的な取り組みを通じて、図面が失われても数分で代替コピーを展開できる体制が完成します。
まとめ:今日から始める“図面と契約”の棚卸し
ネットワーク図は初動対応の生命線であり、失えば封じ込めもフォレンジックも大幅に遅れます。図面そのものが攻撃者の標的になる現実を踏まえ、イミュータブルストレージと完全オフライン媒体を組み合わせた三重の防御を施すことが不可欠です。さらに、平時からMSSPやフォレンジックベンダーと契約し、暗号化した図面を安全に共有しておけば、いざという時に“地図を持った専門家”が数分で封じ込めを開始できます。図面が手元にあるか否かで、インシデント対応は「数時間」で済むか「数日」を要するかが決まります。ランサムウェアが猛威を振るう2025年、まずはバックアップ設計とベンダー契約を棚卸しし、次の長期休暇を迎える前に備えを万全にしましょう。
サイバーインシデント緊急対応
【参考情報】
- Microsoft Ignite,[Ransomware attack recovery plan](ランサムウェア対策のバックアップ計画)
https://learn.microsoft.com/en-us/security/ransomware/protect-against-ransomware-phase1 - AWS,Security Incident Response,[Document and centralize architecture diagrams](アーキテクチャ図の文書化と一元化)
https://docs.aws.amazon.com/security-ir/latest/userguide/document-and-centralize-architecture-diagrams.html - CISA,FBI,Cybersecurity Advisory,[Ransomware Awareness for Holidays and Weekends],Last RevisedFebruary 10,2022
https://www.cisa.gov/sites/default/files/publications/AA21-243A-Ransomware_Awareness_for_Holidays_and_Weekends.pdf - IPA「2024年度 ゴールデンウイークにおける情報セキュリティに関する注意喚起」
https://www.ipa.go.jp/security/anshin/heads-up/alert20240422.html - 経済産業省「中小企業のためのセキュリティインシデント対応の手引き」
https://www.meti.go.jp/policy/netsecurity/sme_incident.html - NIST SP 800-61 Rev. 3
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r3.pdf
Security NEWS TOPに戻る
バックナンバー TOPに戻る
ウェビナー開催のお知らせ
「企業サイトオーナー向け ユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-」
「EC加盟店・PSP必見!クレジットカード・セキュリティガイドライン6.0版対応ウェビナー」
最新情報はこちら
JCDSC「カードセキュリティ フォーラム 2025」講演レポート
概要
2025年6月27日(金)、日本カード情報セキュリティ協議会 (JCDSC)主催「カードセキュリティ フォーラム 2025」にて弊社社員が講演登壇を行いました。クレジットカードセキュリティをテーマに、クレジットカードセキュリティガイドライン【6.0版】、PCI DSSv4.0.1対応をテーマにしたセッションのほか、PCI SSCの認定セキュリティ評価機関であるQSA(Qualified Security Assessor)3社、株式会社ブロードバンドセキュリティ、国際マネジメントシステム認証機構(ICMS)、NRIセキュアテクノロジーズ株式会社によるパネルディスカッションも行われました。
弊社講演内容
「PCI DSS v4.0.1運用の課題とベストプラクティス対応状況」
QSA 3社により、PCI DSS v4.0.1の運用とベストプラクティス課題について、顧客企業が対応に苦心した事例を紹介・解説し、ポイントについてパネルディスカッションを行いました。パネラーとして、弊社QSAの宮坂が登壇しました。
パネリスト:
①国際マネジメントシステム認証機構(ICMS)
②株式会社ブロードバンドセキュリティ
③NRIセキュアテクノロジーズ株式会社
「PCI DSS v4.0.1対応と有事の備え」/伊藤 祐生雄(株式会社ブロードバンドセキュリティ)
PCI DSS v4.0.1対応で求められるログ監視の自動化は、早期検知・早期対応による被害最小化と、カード情報漏洩や外部からの不正アクセス・マルウェア感染といったリスクに対し、有事対応力を高める鍵となります。フォレンジック事業者(PCI Forensic Investigator)として最新インシデント事例を交えながら、インシデントに強い体制づくりを支える新MDRサービス「G-MDRTM」をご紹介しました。
「クレカ・セキュリティガイドライン【6.0版】改定ポイント/木下 祐希(株式会社ブロードバンドセキュリティ)
カード不正利用被害が深刻化する中、最新のクレジットカード・セキュリティガイドライン6.0版では、加盟店の脆弱性対策強化とPSPの支援責任が明確化されました。本講演では改定ポイントを整理し、実効性ある対策とPSPが果たすべき役割について解説しました。
そのほかの講演内容はこちら
※外部サイトにリンクします。
今後ともブロードバンドセキュリティ(BBSec)を引き続きどうぞよろしくお願い致します。
当サイト 「SQAT.jp」について
SQAT.jpは、株式会社ブロードバンドセキュリティ セキュリティサービス本部の管理・運営によるサイトです。
株式会社ブロードバンドセキュリティとは
株式会社ブロードバンドセキュリティ(BroadBand Security, Inc./BBSec)は、2000年の創業以来、様々なニーズに対応するセキュリティサービス事業を展開してまいりました。セキュリティ・コンサルティング、デジタル・フォレンジック、脆弱性診断、マネージドセキュリティサービスなど、対応分野を次々と拡大。ITセキュリティのエキスパートとして、豊富な知識と経験に裏打ちされた高品質のサービスをお届けしています。
セキュリティサービス本部とは
セキュリティサービス本部は脆弱性診断を主サービスとするエンジニアリング本部です。エンジニア、アナリスト、ホワイトハッカー等から編成された精鋭チームが、お客様システムに潜む脆弱性を検証し、改善案を提示するサービスを提供しています。お客様は金融機関・インターネット事業者などの民間企業から、官公庁をはじめとする公共機関まで幅広く、これまでに延べ10,300組織、64,280を超えるシステムの健全化に貢献しています。(2025年6月時点)
2025年7月19日(土)開催 「Hack Fes. 2025」講演レポート
Hack Fes. 2025 概要
2025年7月19日(土)、一般社団法人日本ハッカー協会主催「Hack Fes. 2025」が開催されました。本イベントは当社ブロードバンドセキュリティのほか、SCSKセキュリティ株式会社、株式会社CEL、株式会社ユービーセキュア、フューチャーセキュアウェイブ株式会社、アカマイ・テクノロジーズ合同会社が協賛しました。当日は当社上席執行役員である齊藤義人によるスポンサーセッションのほか、ジェパディ形式のオンラインCTF大会「CTF S.Q.A.T 2025」を実施しました。そして大会終了後は、ネットワーキングパーティにて、上位入賞者への表彰式も行いました。
弊社講演概要
スポンサーセッション:「”w/ AI”, “w/o AI” 2つの世界の光と闇」/齊藤 義人(株式会社ブロードバンドセキュリティ)
- 14:20 – 14:45(25min)
- 本講演では、「w/ AI」と「w/o AI」の2つの世界線を行き来しながら、組織が直面する新たなリスクの輪郭を描きます。インシデントが“起こらない”前提ではなく、“起きる”前提で考える時代──ペンテスターであり経営にも関わる立場から、完璧な防御ではなく「しなやかに耐え、素早く立ち直る力(サイバーレジリエンス)」へ。技術・体制・文化、それぞれの変革のヒントをお届けします。
そのほかの講演内容はこちら
※講演へのお申込みはすべて終了しています。
※外部サイトにリンクします。
CTF S.Q.A.T 2025
当社(ブロードバンドセキュリティ)が主催するジェパディ形式のオンラインCTF大会。
CTF初心者〜中級者を対象にした個人戦で、Web・ネットワーク・フォレンジック・OSINT・その他のジャンルから出題します。競技終了後にスコアを集計し、ネットワーキングパーティの席で優秀者を発表します。成績上位3名には賞品を授与いたします。
Webサイト
7月31日(木)まで公開中!
・トップページ
https://bbsec-ctf-hackfes2025.ctfd.io/
・参加登録ページ
https://bbsec-ctf-hackfes2025.ctfd.io/register
・スコアボード
https://bbsec-ctf-hackfes2025.ctfd.io/scoreboard
今後ともブロードバンドセキュリティ(BBSec)を引き続きどうぞよろしくお願い致します。
お問い合わせ
本イベントに関するお問い合わせはこちらからお願いします。
当サイト 「SQAT.jp」について
SQAT.jpは、株式会社ブロードバンドセキュリティ セキュリティサービス本部の管理・運営によるサイトです。
株式会社ブロードバンドセキュリティとは
株式会社ブロードバンドセキュリティ(BroadBand Security, Inc./BBSec)は、2000年の創業以来、様々なニーズに対応するセキュリティサービス事業を展開してまいりました。セキュリティ・コンサルティング、デジタル・フォレンジック、脆弱性診断、マネージドセキュリティサービスなど、対応分野を次々と拡大。ITセキュリティのエキスパートとして、豊富な知識と経験に裏打ちされた高品質のサービスをお届けしています。
セキュリティサービス本部とは
セキュリティサービス本部は脆弱性診断を主サービスとするエンジニアリング本部です。エンジニア、アナリスト、ホワイトハッカー等から編成された精鋭チームが、お客様システムに潜む脆弱性を検証し、改善案を提示するサービスを提供しています。お客様は金融機関・インターネット事業者などの民間企業から、官公庁をはじめとする公共機関まで幅広く、これまでに延べ10,300組織、64,280を超えるシステムの健全化に貢献しています。(2025年6月時点)
脆弱性診断は受けたけれど~脆弱性管理入門
Security NEWS TOPに戻る
バックナンバー TOPに戻る
~とある会社Aと脆弱性診断の結果を受け取った関係者とのやり取り~
脆弱性診断を受けたA社では入社3年目のセキュリティ担当・Bさんが結果に頭を抱えています。なぜなら、社内ネットワークに使っているスイッチにCVSSスコア9.8の脆弱性、リモートアクセスに使用しているVPNゲートウェイにCVSSスコア8.8、オンラインショップ用の受発注管理に利用しているデータベースにCVSSスコア7.5の脆弱性が見つかってしまったからです。リスクはどれも「高」レベルとして報告されたため、Bさんは上司に相談し、すべてに修正パッチを当てるようスイッチとVPNゲートウェイについてはインフラチームの担当者に、データベースについては開発部に連絡することにしました。
インフラチームのCさんとSlackでやり取りをしていたBさんはCさんからこんなことを伝えられます。
インフラチームCさん「修正パッチを適用するとなると、インフラチームは基本みんなリモートだから、誰かを土日のどこかで休日出勤させるか、急ぎだったら平日の夜間に勤務させて、パッチを当てることになるけど、どれぐらい急ぎなの?」
「あと、VPNとスイッチ、どっちを先に作業したほうがいいの?パッチの情報を調べてみたら、VPNのほうは一度途中のバージョンまで上げてから最新バージョンまで上げないといけないみたいで、作業時間がすごくかかりそうだから、別日で作業しないとだめかもしれないんだよね」
Bさんは答えに詰まってしまいました。リスクレベルは高だといわれているけれども、どれぐらい急ぐのかは誰も教えてくれないからです。
答えに詰まって「確認してから折り返し連絡します」と返したところ、「セキュリティ担当はいいなあ。土日とか夜間に作業しなくていいし、すぐに答えなくてもいいんだから」と嫌味までいわれてしまいました。
Bさんは脆弱性診断の結果が返ってきてから1週間後、開発部門のD部長にセキュリティ担当と開発部門の定例会議の際に報告事項としてパッチ適用の件を報告しました。するとD部長はこういいました。
開発部D部長「この件、1週間ほど報告に時間を要したようですが、脆弱性診断の結果以外に何か追加の情報はありますか?あと、この脆弱性診断の結果によるとリスクレベル高とありますが、社内の規定としてどの程度急ぐかといった判断はされましたか?」
開発部のほかの人にもこんなことをいわれてしまいます。
開発部担当者「パッチを適用する場合、ステージング環境で影響を調査したうえで必要であればコードや設定の修正などを行う必要がありますが、その時間や工数は考慮されていないですよね。通常の開発業務とどちらを優先すべきかといった判断はどうなっているんですか?」
Bさんはまたもや言葉に詰まってしまいます。セキュリティ担当は自分と上司の2人だけ、上司は別の業務との兼務でパッチの適用の優先順位付けまで考えている時間はありません。自分もEDRやファイアウォールの運用をしながら脆弱性診断の依頼や結果を受け取るだけで、とても他の部門の業務内容や環境のことまで把握しきる余裕がないのです。
ここまで、架空の会社A社と脆弱性診断の結果を受け取った関係者の反応を物語形式でお送りいたしました。現在、弊社の脆弱性診断サービスでは脆弱性単体のリスクの度合いの結果をご提供させていただくことはあっても、その脆弱性をどういった優先度で修正しなければならないかといった情報はご提供しておりません。なぜならば、パッチを適用するにあたって優先順位をつけるためにはお客様しか知りえない、以下の要素が必要になるためです。
パッチ適用の優先順位をつけるための3つの要素
- 脆弱性を持つアセットが置かれている環境
・インターネット上で公開された状態か、IPSやFWなどで制御されたネットワーク内か、もしくはローカル環境依存といった非常に限定的な環境かといった分類
・CVSSでいう環境スコア(CVSS-E)の攻撃区分(MAV)にあたる、実際の環境依存の要素 - アセットが攻撃を受けた場合に事業継続性に与える影響
- アセットが攻撃を受けた場合に社会や社内(運用保守・人材)に与える影響
冒頭のA社のケースでは以下のように整理できるでしょう。
アセットが置かれている環境
- VPN:インターネット上で公開された状態
- データベース:設定を間違っていなければIPSやFWなどで制御されたネットワーク配下だが、公開ネットワーク寄り
- スイッチ:設置環境によって制御されたネットワーク内かローカル環境になる。
アセットが公開されている場合、攻撃者からよりアクセスしやすいことからより緊急度が高いといえるので、VPN=データベース>スイッチの順になると考えられるでしょう。
アセットが攻撃を受けた場合に事業継続性に与える影響
アセットが攻撃を受けた場合に自社の事業継続にどの程度影響が出るかといった要素です。
仮にランサムウェア攻撃によって影響を受けた場合、それぞれのアセットの停止でどの程度の影響が出るかを想定してください。A社の場合事業継続性への影響度順でいうと、データベース>VPN>スイッチの順になると考えられます。
今回の場合はデータベースが事業に直結しており、顧客情報を含むデータを持っているため、継続性への影響度が高いという想定です。アセットの利用目的や環境によってはこの順番が入れ替わることもあります。
アセットが攻撃を受けた場合に社会や社内に対して与える影響
A社がランサムウェア攻撃を受けた場合はオンラインショッピングサイトのデータベース関連で以下の影響が見込まれます。
- 顧客情報の漏洩
- 運用およびシステムの復旧にかかる費用と工数
このほかにVPNやスイッチもフォレンジック調査の対象となって業務が行えなくなる可能性が高いと考えられます。VPNに関しては利用できない期間、社員の出社が必須になるなどワークスタイルへの影響も出る可能性もあります。こういったことから、社会および社内に対して与える影響でA社の例を考えると影響度は、データベース>VPN=スイッチと考えられるでしょう。
SSVCとは
こうした情報があったうえで利用ができようになる優先順位付けの方法があります。それが「SSVC(Stakeholder-Specific Vulnerability Categorization)」です。SSVCは脆弱性管理プロセスに関与する利害関係者のニーズに基づいて脆弱性に優先順位を付けるための方法論とされており、経営・マネジメント層、システム開発者、システム運用者といったステークホルダーと一緒に脆弱性に対処していくための方法論といえます。SSVCは脆弱性そのものの技術的評価ではなく、脆弱性にどのように対処するかという観点での評価を行うフレームワークになります。
SSVCの3つのモデル
- ソフトウェアやハードウェアの供給者、すなわちパッチを開発する人が用いる「Supplier Decision Model」
- ソフトウェアやハードウェアを利用する側、つまりパッチを適用する人が用いる「Deployer Decision Model」
- CSIRTやPSIRT、セキュリティ研究者やBug Bounty Programなど、脆弱性に対して何らかの調整やコミュニケーションのハブとなりうる人、コーディネーターが用いる「Coordinator Decision Model」
このうち、「Deployer Decision Model」と「Supplier Decision Model」ではプライオリティ(対応優先度)付けの結果を4つにわけています。
SSVCで得られるプライオリティ付けの結果
| Deployer Model | Supplier Model | |
|---|---|---|
| Immediate | すべてのリソースを投入し、通常業務を止めてでもパッチの適用を直ちに行うべきである | 全社的にすべてのリソースを投入して修正パッチを開発し、リリース |
| Out-of-cycle | 定期的なメンテナンスウィンドウより前に、やむを得ない場合は残業を伴う形で緩和策または解消策を適用 | 緩和策または解消策を他のプロジェクトからリソースを借りてでも開発し、完成次第セキュリティパッチとして修正パッチをリリース |
| Scheduled | 定期的なメンテナンスウィンドウで適用 | 通常のリソース内で定期的な修正パッチのリリースタイミングでパッチをリリース |
| Defer | 現時点で特に行うことはない | 現時点で特に行うことはない |
ここではDeployer Decision ModelをもとにA社がどのようにパッチを適用すべきか検討してみましょう。
まず、Bさんは上司に相談したうえで、前述した3つの要素、「脆弱性を持つアセットが置かれている環境」、「事業継続性への影響」、「社会や社内への影響度」を定義していく必要があります。また、この定義に当たっては実際の環境や利用用途、部門内のリソースなどをよく知っているインフラチームや開発部といった当事者、つまりステークホルダーの関与(少なくとも承認)が必要となってきます。このほかに優先順位付けの結果、”Immediate”や”Out-of-Cycle”が出た場合の対応プロセスも用意しておく必要があります。Bさん1人で何かできることはそれほど多くはなく、社内のステークホルダーへの聞き取りや経営層への説明、必要なプロセスの準備と合意形成など、上司や部門全体も含めて組織的に取り組まなければならないといえます。さらに、Bさんは脆弱性自体が持つ以下の要素を調べる必要があります。
脆弱性が持つ要素
自動化の可能性
攻撃者がツール化して脆弱性を悪用するかどうかを判定するものとなります。これは攻撃者がツール化した場合、攻撃者間でツールの売買が行われるなど汎用的に悪用される可能性があるため、把握が必要な要素となります。一部の脆弱性はCISA VulnrichmentやCVSS4.0のSupplement MetricsのAutomatableの値が参照できますが、情報の参照先がないものについてはPoCの有無やPoCの内容から自動化の可否を判断する必要があります。この点はSSVC利用の難点として挙げられることもあります。
悪用の状況
実際に攻撃されていることを示すActive、PoCのみを示すPoC、悪用されていないことを表すNoneの3つに分類されます。この情報は時間の経過とともに変化する可能性が最も高く、逐次状況を確認する必要があります。情報の参照先は、KEVカタログ、CISA VulnrichmentのExploitationの値、CVSS4.0のThreat MetricsやNVDのReferenceのPoCの有無といったものが利用できます。唯一難点があるとすれば、日本国内でシェアの高い国内メーカー機器の情報がKEVカタログやCISA Vulnrichmentなどにあまり反映されない点にあります。
まとめ ~CVSSとSSVCの活用~
これまではCVSSが高い値のものだけ対処していた、という組織も多いでしょう。CVSSは脆弱性の単体評価ができ、脆弱性が広く悪用された場合の深刻度を測るための評価システムです。ただし、その脆弱性が存在するアセットがどのように利用されているか、そのアセットが業務継続性や運用保守、ひいては社会全体に対してどのような影響を与えるかといった観点が欠けていることが長らく問題視されてきたのも事実です。
脆弱性管理は手間がかかる、登場人物が多い、意見がまとまらないといったこともあるでしょうし、「自動化の可能性とかわからないし、攻撃の状況をずっと見ているほどの時間の余裕はない!」といった様々なお声があるかと思います。しかし、今この瞬間どの企業がいつサイバー攻撃を受けるのか全く見当もつかない状況の中、少しでもリスクを回避したい、どこにリスクがあるのか手がかりをはっきりしておきたいという企業の皆さまもいらっしゃるかもしれません。本記事を通じて、こういった脆弱性管理手法があることを知っていただき、活用することでリスク回避ができるようになるための役立つ情報提供となれば幸いです。
参考情報:
- 独立行政法人情報処理推進機構(IPA)「共通脆弱性評価システムCVSS v3概説」
https://www.ipa.go.jp/security/vuln/scap/cvssv3.html - カーネギー・メロン大学「SSVC: Stakeholder-Specific Vulnerability Categorization」
https://certcc.github.io/SSVC/
Security NEWS TOPに戻る
バックナンバー TOPに戻る
サイバーインシデント緊急対応
ウェビナー開催のお知らせ
【好評アンコール配信】
「ランサムウェアの脅威を知る-脅威に備えるためのランサムウェア対策-」
【好評アンコール配信】
「ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~」
【好評アンコール配信】
「サイバー攻撃に備えるために定期的な脆弱性診断の実施を!
- ツール診断と手動診断の比較 –」
【好評アンコール配信】
「システム開発のセキュリティ強化の鍵とは?
-ソースコード診断で手戻りリスクとサイバー攻撃を未然に防ぐ-」
最新情報はこちら
Youtubeチャンネルのご案内
SQATチャンネル(@sqatchannel9896)では毎月、アナリストが語る「セキュリティトピック」解説動画やウェビナー動画を更新しています。 ぜひチャンネル登録をして、チェックしてみてください。
長期休暇明けのサイバーセキュリティ対策
企業が実施するべき7つの重要ステップ
Security NEWS TOPに戻る
バックナンバー TOPに戻る
長期休暇明けは、企業にとってサイバーセキュリティリスクが高まる時期です。休暇中に発生した脆弱性や新たな脅威に対応するため、適切な対策を講じることが重要です。本記事では、企業が実施するべきセキュリティ対策について、7つご紹介します。
修正プログラムの適用
休暇中に公開されたOSやソフトウェアの修正プログラムを確認し、適用することが最初のステップです。システム管理者の指示に従って修正プログラムを適用することで、既知の脆弱性を修正し、セキュリティを強化できます。
定義ファイルの更新
セキュリティソフトの定義ファイルを最新の状態に更新することも重要です。電子メールの送受信やウェブサイトの閲覧を行う前に定義ファイルを更新することで、最新のウイルスやマルウェアに対する防御力を強化できます。
サーバ等のログ確認
サーバ等の機器に対する不審なアクセスが発生していないか、各種ログを確認します。不審なログが記録されていた場合は、早急に詳細な調査等の対応を行うことが必要です。ログ確認により、潜在的なセキュリティインシデントを早期に発見し、対処することができます。
不審なメールへの警戒
長期休暇明けはメールがたまっているため、不審なメールの添付ファイルやURLには特に注意が必要です。不審なメールを受信した場合は、添付ファイルを開かず、本文中のURLにもアクセスしないようにしましょう。また、システム管理者に報告し、指示に従うことが重要です。
持ち出し機器のウイルスチェック
長期休暇中に持ち出していたパソコンや外部記憶媒体のウイルススキャンを行うことも忘れずに。このステップにより、持ち出した機器がウイルスに感染していないかを確認し、組織内でのウイルス拡散を防止します。
緊急連絡体制の確認
不測の事態に備えて、緊急連絡体制や対応手順を確認しておくことも重要です。連絡フローが現在の組織体制に沿っているか、各担当者の連絡先に変更がないかなどを確認しておきましょう。
データのバックアップ
最後に、重要データのバックアップを行い、ランサムウェア攻撃に備えることが大切です。バックアップデータは安全な場所に保管し、定期的に更新することで、データの消失や改ざんに対するリスクを軽減できます。
まとめ
これらの対策を適切に実施することで、長期休暇明けのサイバーセキュリティリスクを大幅に軽減します。企業は常に最新のセキュリティ脅威に対する警戒を怠らず、従業員の意識向上と技術的対策の両面からセキュリティ体制を強化していくことが重要です。サイバー攻撃の手法は日々進化しており、一度の対策で安心することはできません。定期的なセキュリティ評価と対策の見直しを行い、常に最新の脅威に対応できる体制を整えていくことが、企業の重要な責務となっています。
Security NEWS TOPに戻る
バックナンバー TOPに戻る
またサービスのデモンストレーション動画を公開中です。こちらも併せてご覧ください。
サイバーインシデント緊急対応
ウェビナー開催のお知らせ
「ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~」
【好評アンコール配信】「知っておきたいIPA『情報セキュリティ10大脅威 2024』~セキュリティ診断による予防的コントロール~」
「インシデント発生の事前準備・事後対応 -拡大するサイバー攻撃への対策方法とは- 」
「CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024」
最新情報はこちら
長期休暇中のセキュリティ対策
―休暇を狙って猛威をふるうランサムウェアやフィッシング攻撃:増加傾向と対策―
Security NEWS TOPに戻る
バックナンバー TOPに戻る
長期休暇(前・中・後)に企業や個人がサイバー攻撃の標的になりやすくなる理由は、多岐にわたります。本記事では、長期休暇に増加する主なサイバー攻撃のタイプを紹介し、地域別および産業別の影響について触れ、企業や個人がサイバー攻撃に備えるための対策方法について解説します。これにより、読者がより安心して長期休暇を過ごせるために役立つ情報提供となれば幸いです。
長期休暇中にサイバー攻撃が増えやすい理由
長期休暇、特に年末年始やゴールデンウィーク、お盆休み、シルバーウイークなど、大型連休中にはサイバー攻撃が増加する傾向にあります*1。これは以下の理由によるものです。
- 企業のセキュリティ体制が手薄になる
- 個人ユーザによるオンラインショッピング利用やSNS投稿が増える
- 攻撃者が休暇中のユーザの油断を狙う
主なサイバー攻撃タイプ
長期休暇中に増加する主なサイバー攻撃には以下のようなものがあります。
- フィッシング攻撃
個人を狙って特別セールやイベントを装った偽のメールやウェブサイトが増えます。 - ランサムウェア攻撃
企業のセキュリティ体制が弱まる時期を狙って、データを人質に取る攻撃が行われます。 - DDoS攻撃
オンラインサービスの需要が高まる時期に、サービスを妨害する攻撃が増加します。
参考:解説動画 アナリストが語る「今月のセキュリティトピック」2024年7月版
攻撃・インシデント関連(再生時間:13:23)
「国内大手出版グループに大規模サイバー攻撃」
Youtubeチャンネルのご案内
SQATチャンネル(@sqatchannel9896)では毎月、アナリストが語る「セキュリティトピック」解説動画やウェビナー動画を更新しています。 ぜひチャンネル登録をして、チェックしてみてください。
地域別の傾向
サイバー攻撃は世界中で発生しますが、特定の地域では休暇期間中に攻撃が顕著に増加することがあります。
北米やヨーロッパ:クリスマスシーズンに攻撃が増加
アジア:旧正月期間中に攻撃が増加
日本:ゴールデンウィーク、お盆休み、シルバーウィーク、年末年始
産業別の影響
長期休暇中のサイバー攻撃は、特定の産業により大きな影響を与えることがあります。
小売業:オンラインショッピングの増加に伴い、顧客データを狙った攻撃が増加
金融サービス:年末の取引増加期に狙われやすい
旅行・観光業:休暇予約情報を狙った攻撃が増加
長期休暇(前・中・後)の対策
長期休暇前
- 緊急連絡体制の確認をする
委託先企業を含めた緊急連絡体制や対応手順を確認します。 - 機器接続ルールを確認する
社内ネットワークへの機器接続ルールを確認し、遵守します。 - 使用しない機器の電源OFFにする
長期休暇中に使用しないサーバ等の機器は電源をオフにします。 - データのバックアップをとる
重要データのバックアップを行い、ランサムウェア攻撃に備えます。 - セキュリティソフトを更新する
セキュリティソフトの定義ファイルを最新の状態に更新します。
長期休暇中
- 持ち出した機器やデータの管理
自宅等に持ち出したパソコン等の機器やデータを厳重に管理します。 - SNS投稿の定期的に確認する
行楽等の外出前や外出先でのSNS投稿に注意し、不在を知られないようにします。 - 偽のセキュリティ警告の表示の確認
ウェブサイトの閲覧中に表示される偽の警告に注意し、操作しないようにします。 - 不審なメールやURLが届いていないかどうか確認する
メールやショートメッセージ(SMS)、SNSでの不審なファイルやURLに注意します。
長期休暇明け
- 修正プログラムを適用する
長期休暇中に公開された修正プログラムを適用します。 - 定義ファイルを最新の状態に更新する
セキュリティソフトの定義ファイルを最新の状態に更新します。 - ウイルスチェックを実施する
持ち出していた機器等のウイルスチェックを行います。 - 不審なメールが届いていないかどうか確認する
長期休暇明けはメールがたまっています。不審なメールには特に注意が必要です。
企業のリスク管理
企業が長期休暇中にリスク管理を徹底するためには以下のような対策が必要です。
- 緊急連絡体制の確認
委託先企業を含めた緊急連絡体制や対応手順を確認します。 - サーバやネットワーク機器の脆弱性対策
自組織のシステムに内在する脆弱性を可視化し、リスク状況を把握したうえで、セキュリティ対策を講じます。 - アカウント管理
アカウントのアクセス権限を確認し、不要なアカウントを削除します。 - 従業員への周知
パスワードの強化、管理の徹底を従業員に周知徹底します。
個人の注意点
個人が長期休暇中に注意すべき点は以下の通りです。
- SNS投稿
行楽等の外出前や外出先でのSNS投稿に注意し、不在を知られないようにします。 - 偽のセキュリティ警告
ウェブサイトの閲覧中に表示される偽の警告に注意し、操作しないようにします。 - パソコンの初期化
ウイルスに感染した疑いがある場合はパソコンの初期化を検討します。 - フィッシングサイト対策
フィッシングサイトで情報を入力してしまった場合は、パスワードの変更、カード会社への連絡等を行います。
長期休暇中のサイバー攻撃に備えるために
長期休暇中は、サイバー攻撃のリスクが高まるため、事前の対策が重要です。緊急連絡体制の確認や使用しない機器の電源オフ、データのバックアップなどを徹底することで、リスクを最小限に抑えることができます。休暇中も持ち出した機器やデータを厳重に管理し、SNS投稿に注意するなどの対策を講じることで、サイバー攻撃から自分を守ることができます。休暇明けには、修正プログラムの適用やウイルスチェックを行い、最新のセキュリティ状態を維持することが大切です。この企業も個人も、適切な対策を講じて安全な長期休暇を過ごしましょう。
関連リンク
独立行政法人情報処理推進機構(IPA)「長期休暇における情報セキュリティ対策」
またサービスのデモンストレーション動画を公開中です。こちらも併せてご覧ください。
サイバーインシデント緊急対応
ウェビナー開催のお知らせ
【好評アンコール配信】
「ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~」
【好評アンコール配信】
「サイバー攻撃に備えるために定期的な脆弱性診断の実施を!
- ツール診断と手動診断の比較 –」
【好評アンコール配信】
「システム開発のセキュリティ強化の鍵とは?
-ソースコード診断で手戻りリスクとサイバー攻撃を未然に防ぐ-」
最新情報はこちら
Security NEWS TOPに戻る
バックナンバー TOPに戻る
弊社エンジニアによって報告された脆弱性が公開されました(JVN#01073312)
弊社の診断エンジニアによって報告された、スマートフォンアプリ「ピッコマ」に外部サービスのAPIキーがハードコードされている問題がJVNに公開されました。
概要
JVN#01073312
スマートフォンアプリ「ピッコマ」には、外部サービスのAPIキーがハードコードされている問題が存在します。
共通脆弱性識別子(CVE)
■CVE-2024-38480
https://www.cve.org/CVERecord?id=CVE-2024-38480
報告者名
坂井 祥仁
詳細はこちら。
https://jvn.jp/jp/JVN01073312/index.html
https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-000067.html
※外部サイトにリンクします。
SQAT®Security Information TOPに戻る
TOP-更新情報に戻る
弊社エンジニアによって報告された脆弱性が公開されました(JVN#00414047)
弊社の診断エンジニアによって報告された、スマートフォンアプリ「Studyplus (スタディプラス)」に外部サービスの API キーがハードコードされている問題がJVNに公開されました。
概要
JVN#00414047
スタディプラス株式会社が提供する「Studyplus (スタディプラス)」には、外部サービスの API キーがハードコードされている問題 (CWE-798) が存在します。
共通脆弱性識別子(CVE)
■CVE-2020-5667
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5667
報告者名
佐藤 竜
詳細はこちら。
https://jvn.jp/jp/JVN00414047/index.html
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-000070.html
※外部サイトにリンクします。
SQAT®Security Information TOPに戻る
TOP-更新情報に戻る
弊社エンジニアによって報告された脆弱性が公開されました(JVN#42199826)
弊社の診断エンジニアによって報告された、desknet’s NEO におけるクロスサイトスクリプティングの脆弱性がJVNに公開されました。
概要
JVN#42199826
株式会社ネオジャパンが提供する desknet’s NEO には、格納型のクロスサイトスクリプティング (CWE-79) の脆弱性が存在します。
共通脆弱性識別子(CVE)
■CVE-2020-5638
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5638
報告者名
佐藤 竜
詳細はこちら。
https://jvn.jp/jp/JVN42199826/index.html
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-000079.html
※外部サイトにリンクします。
SQAT®Security Information TOPに戻る
TOP-更新情報に戻る