パブリッククラウド利用システムにおける
セキュリティ診断

Share

SQAT® Security Report 2019年9月号掲載

雲とネットワークのイメージ図

※本記事は、SQAT®Security Report 2019年 9月号の記事、
「パブリッククラウド利用システムにおけるセキュリティ診断」の一部抜粋になります。

増えるパブリッククラウド利用とセキュリティ事情

クラウドサービスは、自社でサーバを抱える必要がないことから、導入および運用コストが大幅に削減できるため、今や企業ネットワーク環境構築における選択肢の1つとなっており、オンプレミスからクラウドに移行する企業は増えている(下グラフ参照)。その際、スケジュール等の事情によりシステムを見直す余裕がなく、そのままの状態で移行せざるを得ないケースもあるのが実情だろう。しかしながら、開発や改修後のリリース前にシステムの脆弱性診断を実施すべきであるのは、クラウドへの移行時も例外ではない。

クラウドサービスの利用状況

出典:総務省「平成30年通信利用動向調査の結果」(令和元年5月31日公開)

自組織が業務用のパブリッククラウド(AWS、Microsoft Azure等)を利用している場合、ハードウェアまではクラウド事業者が管理しているが、OSおよびそれより上の層については利用企業側に責任があることを忘れてはならない。パブリッククラウド上のWebアプリケーションやECツール等で使用しているOS、ミドルウェア、アプリケーションといった各コンポーネントは、経年により脆弱性が発見される宿命だ。セキュリティ対策として、定期的にそれらを更新する必要がある。

オンプレミスと同様、パブリッククラウド上にシステムを構築している場合も、自組織のシステムが情報漏洩や改竄、DoS攻撃等の被害に遭う危険性があるかどうか、適宜把握しておく責任がある。このため、パブリッククラウド上のシステムにおいても、定期的に脆弱性診断を実施するのが望ましい。

パブリッククラウド向け脆弱性診断の必要性

パブリッククラウド向けでない一般的なリモート診断では、ファイアウォール越しで実施するため、ファイアウォールでアクセスを許可しているポートに対してしか診断できない。これに対し、パブリッククラウド向け診断では、直接アクセスできるセグメントに対して実施するため、管理用ポート等、ファイアウォールでアクセス制限されていることの多いポートに対しても診断可能だ。

インシデントのリスクは、外部に公開されたシステムにとどまらないことを忘れてはならない。例えば、AWSを社内インフラとして使用している企業があるとする。そういったシステムは (…続き)


本記事はここまでになります。

この記事の続きでは、テレワークの隙を狙った攻撃の脅威をご紹介し、それに対して企業がどのように脆弱性対策に取り組むべきかということについて解説しています。ぜひご一読ください。

※参考(続き)
contents
3.CISベンチマークを利用したセキュリティチェックの必要性
4.診断を受けるにあたっての注意点

下記より無料でダウンロードいただけます。

まずは無料で資料をダウンロード

年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。

 


セキュリティレポート資料ダウンロードページボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


 

SQAT® Security Serviceページへのバナー

 

BBSecコーポレートサイトへのバナー



 

Share

ニューノーマルに求められる脆弱性対策

Share

SQAT® Security Report 2021年春夏号掲載

テレワークをする女性(アイキャッチ画像)

※本記事は、2021年3月公開SQAT®Security Report 2021年 春夏号の記事、
「巻頭企画:ニューノーマルに求められる脆弱性対策」の一部抜粋になります。

株式会社ブロードバンドセキュリティ
高度情報セキュリティサービス本部 本部長 大沼 千秋

去る2020年は、新型コロナウィルス感染症(COVID-19)のまさに世界規模なパンデミックにより、我々の生活ばかりでなくビジネスをも大きく変革させた一年だった。中でもテレワーク、リモートワークといった遠隔による勤務形態の整備は、従来様々な理由から普及が伸び悩んでいたが、ここ一年ほどの間で加速度的に普及しつつある。また、ビジネスにおけるIT環境も、クラウドシフトが一気に進行している。

従来のオンプレミス型からクラウド型へのシステム構築・運用環境の移行は、様々な企業のIT戦略において、優先度の高い課題といえるだろう。そして、テレワーク、クラウドシフトが進んでいく中で、新たなセキュリティ上の問題が顕在化してきていることも事実だ。特に、急ピッチでこれらの環境を整備し、運用開始しているケースでは、以前よりもサイバーセキュリティ脅威および危険性は増大しているといっても過言ではない。本稿では、アフターコロナにおけるニューノーマルを見据えた企業における脆弱性対策に焦点を当て、どういったことを推進していくことが必要か解説していきたい。

テレワークとクラウドシフトに伴う脅威

企業のネットワークやOAシステムといったITインフラには、既に様々なセキュリティ対策が講じられているものと思われる。このセキュリティ対策の大原則は、インターネットとの境界を防御するという考え方に基づいており、ファイアウォールによるアクセス制御、攻撃検知のための侵入検知・防御システム(IDS・IPS)、DMZ(DeMilitarized Zone:非武装地帯)を用いた公開システムの区分、安全なWeb閲覧のためのWebプロキシ、マルウェア対策ツール、EDR(Endpointo Detection and Response)による監視、といった対策を組み合わせることによるセキュリティの確保を意味する。

ところが、昨今のテレワーク、クラウドシフト(左下・右下グラフ参照)で在宅による業務環境の提供が不可欠となったことにより、社内の環境は一定のセキュリティが確保されているので安全である、という前提が崩れてきている。本来であればインターネットから接続できない各種業務システムへのアクセス許可や、業務における各種情報を共有するためのクラウドストレージサービスの利用、営業活動における情報管理のためのCRM(Customer Relationship Management:顧客管理システム)の導入や、グループウェア等に代表されるSaaS型クラウドサービスの活用等といった具合に、業務システムが様々な領域へと進出し、多様化してきていることから(下イメージ)、セキュリティ対策としては一箇所だけを守っていれば安全である、という常識は既に覆っていると考えて間違いない。

例えば、テレワーク導入を急ピッチで進めている中で、 (…続き)


本記事はここまでになります。

この記事の続きでは、テレワークの隙を狙った攻撃の脅威をご紹介し、それに対して企業がどのように脆弱性対策に取り組むべきかということについて解説しています。ぜひご一読ください。

※参考(続き)
contents
2.ゼロトラストによるセキュリティの確保
3.セキュリティ状態の可視化と有効性評価
4.ニューノーマルに伴うセキュリティのあり方

下記より無料でダウンロードいただけます。

まずは無料で資料をダウンロード

年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。

 


 

セキュリティレポート資料ダウンロードページボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


 

SQAT® Security Serviceページへのバナー

 

BBSecコーポレートサイトへのバナー



 

Share

ホワイトハッカー列伝
~時代の先端を走り続ける人々~

Share

SQAT® Security Report 2021年春夏号掲載

人とパソコンでホワイトハッカーの作業イメージ画像

※本記事は、2021年3月公開SQAT®Security Report 2021年 春夏号の記事、
「ホワイトハッカー列伝 ~時代の先端を走り続ける人々~」の一部抜粋になります。

近年、「ホワイトハッカー」という言葉を耳にする機会が多くなった。
ここではその「ホワイトハッカー」が、どのような存在であり、サイバーセキュリティにどのような影響を与える存在であるのかを、彼らの活躍を交えながら見ていきたい。

ハッカーとは何か?

日本ハッカー協会では、ハッカーの定義について、

「主にコンピュータや電気回路一般について常人より深い技術知識を持ち、その知識を利用して技術的な課題をクリアする人々のこと」

と定義し、「サイバー攻撃者の視点でシステムの脆弱性を暴き、防御や対策を提案、実装できる人も、プログラミング大会やハッカソンなどで面白いものを作るのが好きな人も、ライフハックしている人も、みんなハッカーです。」という見解を述べている。

ハッカーというと、コンピュータ知識をつかって犯罪行為をする人間のことを指すことが多かったが、近年ではこうした人々を「クラッカー」と呼ぶことも増えてきた。一方で、そうした犯罪行為に手を染めるハッカーを「ブラックハッカー」、社会に貢献するハッカーを「ホワイトハッカー」と言って区別する風潮もある。

ここでは、そうしたホワイトハッカーとされる人々が、サイバーセキュリティに及ぼした影響と、彼らがもたらした恩恵について述べていきたいと思う。

歴史を変えたホワイトハッカーたち

社会に貢献し、歴史を変えたハッカーとして最も著名であるのは、スティーヴ・ウォズニアック氏であろう。Apple社の共同設立者の一人である彼は、(…続き)


本記事はここまでになります。

この記事の続きでは、ホワイトハッカーの存在がセキュリティにどのような影響を与えるのか、ハッカーの歴史・活躍を交えつつご紹介します。ぜひご一読ください。

※参考(続き)
contents
3.ハッカーの闇、そして光
4.「ホワイトハッカー」が活躍する時代
5.おわりに
本稿に登場したホワイトハッカーたち

下記より無料でダウンロードいただけます。

まずは無料で資料をダウンロード

年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。

 


 

セキュリティレポート資料ダウンロードページボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


 

SQAT® Security Serviceページへのバナー

 

BBSecコーポレートサイトへのバナー



 

Share

人という脆弱性
~ソーシャル・エンジニアリング攻撃~

Share

SQAT® Security Report 2020-2021年 秋冬号掲載

特殊詐欺のイメージ画像(電話・お金・メモ)

※本記事は、2020年10月公開SQAT®Security Report 2020-2021年 秋冬号の記事、「人という脆弱性~ソーシャル・エンジニアリング攻撃~」の一部抜粋になります。

ここ数年、ソーシャル・エンジニアリングを用いた攻撃による大規模な事件が多数発生している。

・2015年に発生した日本年金機構の大規模な情報漏洩事件*1
・2017年の大手航空会社が3億8000万円をだましとられた事件*2
・2018年の暗号通貨の不正送金事件*3
・2020年7月に起きた大手SNSの大規模アカウントハック事件*4

これらはすべてソーシャル・エンジニアリングを用いた攻撃に端を発しているといわれている。ソーシャル・エンジニアリングを用いた攻撃の高まりを受けて、IPA(独立行政法人 情報処理推進機構)が「ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策」*5 を発表したのが2009年であるが、10年以上が経過した今も、ソーシャル・エンジニアリングを用いた攻撃は、収まる気配がない。それは、ソーシャル・エンジニアリングが持つ、人間という脆弱性を狙う性質に原因がある。
ここでは、今一度、ソーシャル・エンジニアリングと人間とのかかわりを考えていきたいと思う。

攻撃者の目線

サイバー攻撃を行う場合、攻撃者はいくつかの手段を選択することができる。その選択肢の中で、システムの脆弱性を攻撃して目的の情報を盗みだすことよりも、人間を狙って攻撃する方が、少ないコストで多くの利益を得ることができると、彼らはときに考える。それが、人間という脆弱性を狙った攻撃、つまりソーシャル・エンジニアリングを用いた攻撃である。ここでは人間をシステム全体に対する脆弱性ととらえて、解説と対策を語っていきたい。

ソーシャル・エンジニアリングとは?

そもそも、ソーシャル・エンジニアリングとは何なのだろうか? ソーシャル・エンジニアリングフレームワークの第一人者と知られるクリストファー・ハドナジー(Christopher Hadnagy)氏は、著作『ソーシャル・エンジニアリング』(日経BP社)の中で、ソーシャル・エンジニアリングを「人を操って行動を起こさせる行為。ただし、その行動が当人の最大の利益に適合しているか否かを問わないこともある」と定義づけている。これには警察官、弁護士、医師といった人々が、標的当人の利益となるように誘導するといったケースも含まれているが、一般的にサイバー攻撃におけるソーシャル・エンジニアリングとは、不正アクセスするのに必要なシステム情報、アカウント、パスワード、ネットワーク・アドレス等を正規のユーザあるいはその家族、友人などから人間の心理的な隙や、行動のミスにつけ込んで手に入れる手法と位置付けられることが多くなっている。ソーシャル・エンジニアリング攻撃の定義は様々なものがあるが、その共通するところは、人を介して攻撃を行うという点である。

人が持つ心理的脆弱性

では、なぜ人が脆弱性となってしまうのか、この点について、原因の一つとなっていると考えられる、人に存在する心理的脆弱性を見ていきたい。ハドナジー氏は人には以下のような8つの心理的脆弱性が備わっていると主張している。

返礼
人からの親切に対し、お返しをせずにはいられない特性

プレゼントのお返しに、何かしてほしいことはないかと聞く。

義務感
社会的、法的、道徳的に、人がなすべきだと感じている行動をとってしまう特性

身体が不自由な人に、積極的に手を差し伸べなくてはならないと考えて寄付を行う。

譲歩
何かを譲ってもらったら、同じように譲らなくてはならないと考える特性

相手の大きな要求を最初に断ったのだから、次の小さな要求には応じてあげたいと考える。


本記事はここまでになります。

この記事の続きでは、こちらでご紹介した以外にも、人に対する過度なストレスを与える攻撃、など心理的弱みを突く攻撃「ソーシャル・エンジニアリング」のメカニズムを徹底解説しています。 ぜひご一読ください。

※参考(続き)
contents
4.人へのバッファオーバーフロー攻撃
5.人間の隙をつくソーシャル・エンジニアリング攻撃
6.テクノロジーが人間を追い詰める
7.ソーシャル・エンジニアリングに対する防御
8.おわりに

下記より無料でダウンロードいただけます。

まずは無料で資料をダウンロード

年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。

 


 

セキュリティレポート資料ダウンロードページボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


 

SQAT® Security Serviceページへのバナー

 

BBSecコーポレートサイトへのバナー



 

Share