ランサムウェア攻撃に効果的な対策
‐セキュリティ対策の点検はできていますか?‐

Share
パソコンのキーボードと南京錠とチェーンロック

これまでSQAT.jpの記事においても何度か取り上げている「ランサムウェア」ですが、攻撃パターンが変化し、なお進化を続け、その被害は国内外ともに2020年よりも増加傾向にあります。いまや完全に防ぐことが難しいランサムウェア攻撃に有効な対策としておすすめしたいのが、「攻撃・侵入される前提の取り組み」です。本記事では、ランサムウェア攻撃の拡大理由を探りながら、企業・組織が行うべき「ランサムウェア対策の有効性検証」について解説します。

現在のランサムウェア事情

海外レポートにおけるランサムウェア事情

2021年10月、米財務省金融犯罪取締ネットワーク(FinCEN)は2021年1月~6月におけるランサムウェア攻撃についてのレポートを発行しました。サイバー犯罪は政府全体で優先的に取り組むべき課題であるとしている中で、特にランサムウェアに関しては懸念される深刻なサイバー犯罪であると強調されています。

FinCENがランサムウェアをそのように注視している背景として、各金融機関から報告された2021年上半期のランサムウェアに関する不審な取引報告数が、2020年の1年間の合計件数よりもすでに多い状態であることや、ランサムウェア攻撃関連の取引総額も2020年の合計額よりもすでに多いことをレポートに挙げています。

出典:Financial Crimes Enforcement Network
Financial Trend Analysis – Ransomware Trends in Bank Secrecy Act Data Between January 2021 and June 2021」(2021/10/15)

これまでのバックナンバーでも触れてきましたように、ランサムウェアは変遷が激しく、日々新種や亜種が生まれ、大きな勢力を持っていたものですら、すぐに入れ替わってしまいます。

2020年以降のランサムウェアの変貌について、SQAT.jpでは以下の記事でご紹介しています。
こちらもあわせてご覧ください。
変貌するランサムウェア、いま何が脅威か―2020年最新動向―
ランサムウェア最新動向2021―2020年振り返りとともに―
APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―

このようにランサムウェアがRaaSとしてビジネス化している中で、依然として攻撃件数や被害総額は増えており、ランサムウェアの種類の移り変わりの激しさを見ても、活発な市場であることがわかります。

国内レポートにおけるランサムウェア事情

次は日本国内における最近のランサムウェア攻撃事情もみていきましょう。2021年9月に警察庁が公開した 「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア攻撃による被害が多発している中で、昨今のランサムウェアは下記のような特徴があるとしています。

二重恐喝
(ダブルエクストーション)
データの暗号化だけでなく、窃取したデータを使って
「対価を支払わなければデータを公開する」などと二重に金銭を要求する手口
標的型ランサムウェア攻撃特定の個人や企業・団体を狙って、事前にターゲットの情報を収集し、より確度の高い攻撃手法で実行する攻撃
暗号資産による金銭の要求身代金の支払いを暗号資産で要求する
VPN機器からの侵入従来は不特定多数を狙って電子メールを送る手口が一般的だったが、現在はVPN機器からの侵入が増えている
出典:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdfより弊社作成

同報告書によると、2021年上半期に都道府県警察から報告があった企業・団体等のランサムウェアの被害件数は61件であり、前年下半期の21件と比べると大幅に増加しました。被害を受けた企業・団体等は、大企業・中小企業といった規模や業界業種は問わずに被害が報告されている状況です。表でご紹介した昨今のランサムウェアの特徴である二重恐喝は、手口を確認できた被害企業のうち77%で実施され、また暗号資産による支払い請求は90%にもおよびました。

さらにランサムウェアの感染経路に関してもVPN機器からの侵入が55%で最も多く、次いでリモートデスクトップからの侵入が23%となっており、リモートワークが浸透してきた昨今の時勢からみると、まだセキュリティ対応の追いついていない穴をつく攻撃が多いことがわかります。

警察庁が被害を受けた企業・団体等に向けて実施したアンケートによると、被害後、復旧に要した期間は「即時~1週間」が最も多く全体の43%にあたります。次いで多いのは「1週間~1ヶ月」であることから、多くの企業は早々に復旧できているようです。

しかしながら、被害後の調査および復旧時の費用総額を見てみると、最も多いのは「1,000万円以上5,000万円未満」で全体の36%となっています。復旧の期間だけで見ればそれほど被害を大きく感じないところではありますが、調査および復旧時の費用総額を考えると、かなりのコストがかかってしまっているのが実情です。


注:図中の割合は小数点第1位以下を四捨五入しているため、総計が必ずしも100にならない

出典:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdf

またそういったコスト以外にも、ランサムウェアによる被害が業務に与えた影響について、「一部の業務に影響あり」と90%が回答しているものの、被害を受けた企業のうち2件は「すべての業務が停止」したため、もしランサムウェアの被害にあった場合はインシデント対応以外にも業務に支障が出てしまうことも忘れてはいけません。

なぜランサムウェア攻撃が増加していくの

ここまでみてきたとおり、国内外問わず依然として活発となっているランサムウェア攻撃ですが、なぜ拡大していく一方なのでしょうか。その理由として大きくは、下記のことが考えられます。

● RaaSビジネスとして儲かる市場ができている*1
● ランサムウェア攻撃をしても捕まりにくく、ローリスクハイリターンの状態である

既述の国外のランサムウェア事情でも触れましたように、ランサムウェアの市場は“稼げるビジネス”として活発であり、ビジネスとして儲けやすい状態にあります。

さらに攻撃者を捕まえるためにはこのように国際協力が必要不可欠であり、最近ようやく法整備などが整いつつある状況ではありますが、未だランサムウェア攻撃者が逮捕されにくいのが現状です。そういった状況からランサムウェア市場は今後も衰えることなく拡大していくことが想定されます。被害にあわないためにも、ランサムウェアを一時的な流行りの攻撃としてとらえるのではなく、今後も存在し続ける脅威だということを念頭において対策を行うことを推奨します。

進化し続けるランサムウェア

先に述べましたようにRaaSビジネス市場の活発さやランサムウェアの特徴の変化など、ランサムウェアは日々目まぐるしいスピードで進化し続けています。それに伴い、実際に被害件数や身代金の被害総額などが増加しているのも見てきたとおりです。また、テレワークやクラウドサービスの利用を緊急で対応した企業が多い中で、昨今のランサムウェアの特徴の一つである「VPN機器からの侵入」がメインの手法となっている今、そこが弱点となり得る企業が多く存在しています。

ランサムウェアの脅威は一時的なものではなく、来年、ないしはその先でも攻撃の手が伸びてくる可能性があることを忘れてはなりません。引き続きテレワーク・クラウド環境のセキュリティの見直しを行うことはもちろん、そういった働き方の変化に伴って増加している標的型攻撃メールやフィッシング攻撃についても警戒が必要です。

企業が行うべきランサムウェア対策の実効性評価

しかしながら、いくら警戒を強めて対策を行っていても、ランサムウェア攻撃を完全に防ぐことは難しいのが現実です。そこでBBsecが提案しているのは、完全に防ぐのではなく、攻撃への抵抗力を高めるという考え方です。そのために重要となってくるのは「攻撃・侵入される前提の取り組み」です。第一段階に侵入を防ぐ対策を行い、第二段階にもし侵入されてしまった場合に被害を最小化する対策を行うことで、多層防御を行うというものです。詳しくは「APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―」をご確認ください。

また、なかには思い浮かぶ限りの基本的な対策はすでに実施済みという方もいらっしゃるでしょう。そういった方々へ次のステップとしておすすめしているのは、「対策の有効性を検証する」という工程です。

BBsecでは多層防御実現のために「ランサムウェア対策総点検+ペネトレーションテスト」の組み合わせを推奨しています。

ランサムウェア対策総点検

「ランサムウェア対策総点検」では現状のリスクの棚卸を行うことが可能です。システム環境の確認や、環境内で検知された危険度(リスクレベル)を判定いたします。

ランサムウェア対策総点検サービス概要図
BBSecランサムウェア総点検サービスへのバナー
ランサムウェア感染リスク可視化サービス デモ動画

また弊社では、11月に「リスクを可視化するランサムウェア対策総点検」と題したウェビナーで、サービスのデモンストレーションとご紹介をしております。こちらも併せてご覧ください。

ペネトレーションテスト

「ペネトレーションテスト」では実際に攻撃者が侵入できるかどうかの確認を行うことが可能です。「ランサムウェア総点検」で発見したリスクをもとに、実際に悪用可能かどうかを確認いたします。

ペネトレーションテストサービス概要図

【例】

ペネトレーションテストシナリオ例

このように実際に対策の有効性を検証したうえで、企業・組織ごとに、環境にあった対策を行い、万が一サイバー攻撃を受けてしまった場合でも、被害を最小限にとどめられるような環境づくりを目指して、社員一人一人がセキュリティ意識を高めていくことが重要です。


セキュリティレポート資料ダウンロードページボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


SQAT® Security Serviceページへのバナー

 

BBSecコーポレートサイトへのバナー



 

Share

金融機関はサイバー攻撃を前提とした備えを
―リスクを最小化するセキュリティ対策―

Share

2020年は世界的に急拡大した新型コロナウイルス感染症(COVID-19)の影響を受け、デジタルトランスフォーメーション(DX)の進展やテレワークの急激な普及など、企業を取り巻く環境は著しく変化しました。急激な環境の変化により、強固なセキュリティ対策が必須な金融機関においても被害報告が増加しています。そこで今回は、金融機関に焦点をあて、最新の攻撃事例に触れつつ、その対策と予防策をご紹介いたします。

テレワークの採用など急激な業務体系の変化は人々に不安を与える一因となるだけでなく、十分なセキュリティ対策が伴わない場合、攻撃者に隙を与えてしまいます。昨今のサイバー攻撃は多様化、巧妙化しており、攻撃手法も日々進化しています。それに対抗するセキュリティ対策はどうでしょうか。とりわけ機密情報を多く取り扱い、安定的なサービス提供が要求される金融機関は、サイバー攻撃のリスクを経営上のトップリスクの一つと捉え、強固なセキュリティを実現すべく取り組んでいますが、それでも被害は起こっています。

金融機関を狙うサイバー攻撃

新型コロナウイルス感染症(COVID-19)の流行が世界的に急拡大した2020年2月から4月にかけて、金融機関を狙ったサイバー攻撃が238%増加したとの調査結果があります。このうちランサムウェア攻撃は、同じ期間で約9倍増加したとのことです。実際、過去12カ月の間にサイバー攻撃が増えていると回答した金融機関は8割に上っています。*2

金融機関におけるサイバー攻撃の脅威と被害例には、以下のようなものがあります。

出典:日本銀行「サイバーセキュリティの確保に向けた金融機関の取り組みと課題 -アンケート(2019年9月)調査結果-」(2020年1月)
https://www.boj.or.jp/research/brp/fsr/data/fsrb200131.pdf

約400の金融機関を対象に日本銀行が実施したサイバーセキュリティに関するアンケート結果によると、昨今のサイバー脅威の主な動向として、ランサムウェア攻撃の凶悪化とDoS・DDoS攻撃規模の拡大化が挙げられています。*2

ランサムウェア攻撃の凶悪化

身代金として金銭を得ることを目的としたランサムウェア攻撃について、独立行政法人情報処理推進機構(IPA)は、従来の攻撃に「人手によるランサムウェア攻撃」と「二重の脅迫」という新たな手口が加わったと注意を呼び掛けています。*3

【従来の攻撃と新たな攻撃の比較イメージ】

出典:IPA「事業継続を脅かす 新たなランサムウェア攻撃 について ~「人手によるランサムウェア攻撃」と「二重の脅迫」~」
https://www.ipa.go.jp/files/000084974.pdf

特に、「人手によるランサムウェア攻撃」は、従来の明確な標的を定めず無作為に感染を試みる攻撃とは異なり、より大金を得られるよう、組織だけでなくシステムや情報といった明確な“獲物”に狙いを定めて実行されます。新たなランサムウェア攻撃では、標的型サイバー攻撃全般で使用される攻撃手口が用いられることが考えられると、IPAは注意を呼び掛けています。

新しいタイプのランサムウェアについては、「変貌するランサムウェア、いま何が脅威か‐2020年最新動向‐」にもまとめていますので、あわせてご覧ください。

標的型サイバー攻撃の脅威

金融機関や決済サービスを標的としたサイバー攻撃は増加の傾向にあり、国内でも2020年8月から9月にかけて大規模な銀行口座不正利用が発生しました。その被害は、11の銀行で200件以上、被害総額は2,800万円以上にのぼると報告されています。*4オンライン取引の増加、サービスの電子化や政府主導のキャッシュレス決済の推進、クラウドサービスやAIのさらなる活用といった様々な環境変化によって利用者側のユーザビリティが高まる一方で、標的型サイバー攻撃の脅威は常に組織を脅かしています。例えば、世界中の金融機関に攻撃を仕掛けることで有名な“国家支援型”攻撃グループ「APT38」(「Lazarus」や「Hidden Cobra」とも) *5が、2020年、新たなマルウェア「BLINDINGCAN」を使用していることが発見されました。*6

ニューノーマル浸透に対するセキュリティ課題

さらに、新型コロナウイルス感染症(COVID-19)の影響を受け、金融機関でも政府の呼び掛けにより在宅勤務対応が急速に広まりました。先に紹介した日本銀行による調査*7でも、大手銀行のすべて、地方銀行の約半数が在宅勤務制度を設けていることが分かりました。在宅勤務というニューノーマルが浸透していく一方で、内部システムへの接続環境や業務に利用する端末(私用端末含む)、情報の授受方法(メール、ファイルダウンロード/アップロード、USB等の記憶媒体利用など)、Web会議サービスの利用、職員への教育……といったセキュリティ対策の様々な課題が浮き彫りになっています。

金融機関のセキュリティ対策における課題について、これまで当社が複数の地銀様・信金様よりお聞きしたところでは、共通して下記の問題点が確認されています。

1)十分に精通した専門家がいるわけではなく、対応要員の確保ができない
2)取引先・外部委託先まで含める必要があり、範囲が拡がる一方で対応が追いつかない
3)攻撃の複雑化・巧妙化に伴って対応も高度化しているため、コスト負担が非常に大きい
4)クラウド利用は増加の一途だが、そのセキュリティ対策まで十分に手が回らない

攻撃を前提としたセキュリティ対策へ

サイバー攻撃の昨今の傾向を鑑みると、完全な防御は難しいといえます。そのため、予防的対策に加えて攻撃発生を想定した対策とリスク評価が重要となります。攻撃の防御に努める一方で、万が一攻撃を受けた場合にも被害を最小限にとどめる必要があります。求められる対策には、例として以下が挙げられます。

・基本的なセキュリティ対策の実施
 (例)
 -OSやソフトウェア等のアップデートならびにセキュリティパッチの適用
  -セキュリティ診断の定期的な実施
  -適切なアクセス制御と監視、ロギング
  -定期的なバックアップと安全な保管 -推奨されるセキュリティ設定の適用 など
・攻撃回避と検知能力の向上
  (例)
  -悪用されうる機能やサービス等の無効化
  -ネットワーク分離
  -高度な機能を持つセキュリティソリューションの導入
  -監視とログ分析の強化 など
・業務継続の視点からのセキュリティ対策
  (例)
  -コンティンジェンシープランの整備
  -リスクの可視化
  -訓練・教育の強化
  -対策の実効性確認 など

標的型攻撃リスク診断 SQAT®APT デモ動画

セキュリティ対策の実効性を確認するには、訓練や演習、定期的なセキュリティ診断が効果的です。実際に攻撃を受けた場合に、どこまで被害が及ぶのか、対応のための体制や仕組みは十分か、といった点を評価できます。マルウェア対策にしても、アンチウイルスソフトをはじめとする対策ソリューションを導入しているからといって完全に安心できるわけではありません。近年ではそれらを掻い潜る攻撃が増加していることも広く知られています。そこで、例えば実際の攻撃を想定したシナリオに基づく疑似的なペネトレーションテストを実施し、より現実的なリスクを可視化するという方法があります。当社のお客様の8割はマルウェア対策ソリューションを導入していますが、その上でペネトレーションテストサービスを利用するのには、こうした背景があるからにほかなりません。

2020年12月、経済産業省より「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」*8が発行されました。サイバー攻撃によって発生した被害への対応は企業や組織の信頼に直接関わる重要な問題であることが強調されており、さらなる対策の強化と徹底が求められています。

参考情報:金融機関向けセキュリティガイドライン等の紹介


■金融分野におけるサイバーセキュリティ強化に向けた取組方針
金融庁
https://www.fsa.go.jp/news/30/20181019/cyber-policy.pdf

■金融機関等におけるセキュリティポリシー策定のための手引書(第2版)
公益財団法人金融情報システムセンター ※一般公開なし
https://www.fisc.or.jp/publication/book/000154.php

■金融機関等コンピュータシステムの安全対策基準・解説書(第9版令和2年3月版)
公益財団法人金融情報システムセンター ※一般公開なし
https://www.fisc.or.jp/publication/book/004426.php

■金融機関等におけるコンティンジェンシープラン策定のための手引書
公益財団法人金融情報システムセンター ※一般公開なし
https://www.fisc.or.jp/publication/book/000120.php

■製品分野別セキュリティガイドライン 金融端末(ATM)編
一般社団法人重要生活機器連携セキュリティ協議会(CCDS)
https://www.ccds.or.jp/public/document/other/guidelines/[CCDS]ATM%E7%B7%A8%E5%88%A5%E5%86%8A_%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%AF%BE%E7%AD%96%E6%A4%9C%E8%A8%8E%E5%AE%9F%E8%B7%B5%E3%82%AC%E3%82%A4%E3%83%89_Ver2.0.pdf

■Financial Crime Guideline
FCA(金融行為規制機構)
https://www.handbook.fca.org.uk/handbook/FCG.pdf

■金融分野における個人情報保護に関するガイドライン
金融庁
https://www.ppc.go.jp/files/pdf/kinyubunya_GL.pdf


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。




Share

PCI DSS―ペネトレーションテスト、そして非保持の落とし穴

Share

PCI DSSとは国際カードブランド5社により定められた、クレジットカード情報を守るためのセキュリティ基準です。クレジットカード加盟店等がPCI DSSに準拠しない場合、カードの取り扱いが停止される場合もあります。本稿では、PCI DSSの対象、12の要件、準拠のために何が必要になるのか等について触れながら、AWSのPCI DSS準拠や、PCI DSSが求めるペネトレーションテストなどについて解説します。

PCI DSSとは

PCI DSSとは「Payment Card Industry Data Security Standard」の略称で、クレジットカード業界や関連事業者がクレジットカード情報を安全に取り扱うことを目的に定められた、12の要件から構成される国際基準です。American Express、Discover、JCB、MasterCard、VISAの5つのカードブランドが共同で2004年に策定しました。

PCI DSSは、上記カードブランド5社が設立した組織であるPCI SSC(PCI Security Standards Council)によって管理されています。2021年には、最新の改訂版となるPCI DSSバージョン4.0の公開が予定されています。

PCI DSSの対象となる事業者の条件

PCI DSSは、クレジットカード情報の保存・処理・伝送などを行うすべての事業者(クレジットカード加盟店・銀行・クレジットカード決済サービス企業等)が準拠する必要がある国際基準です。

年間のクレジットカード決済件数に応じて1~4の4段階でレベル分けがなされ、それぞれのレベルで検証が行われます。例えば最もレベルが高いレベル1の事業者に対しては、PCI SSCの認定セキュリティ評価機関(QSA:Qualified Security Assessor)による、毎年1回の訪問監査が必須となります。

準拠が必要な場合、あなたの組織がどのレベルに属するのかをまず把握しておきましょう。

PCI DSSに準拠しなくてよい「非保持化」と、その落とし穴

一方で、クレジットカード決済をまったく取り扱わない企業や、取り扱っていてもクレジットカード情報の保存・処理・伝送を一切しない、いわゆる「クレジットカード情報の非保持化」を行っている企業はPCI DSSの対象外となり、準拠の必要はありません。

ただし、対象外かどうかは厳密に確認する必要があります。例えば、「自分の組織ではクレジットカード情報の保存等は一切行っていない」と思っていたとしても、決済代行サービスの管理画面上でPIN(Personal Identification Number:個人識別番号)などのカード会員情報を見ることができるなら、それは保存や処理にあたります。「作業者の目にはそうした情報は一切ふれない」という場合でも、カード決済端末からの情報が一度でも組織内のシステムを通過するなら、それは伝送にあたります。

上記のような状態で、「非保持化しているつもり」になっていないかどうかに注意しましょう。PCI DSSに詳しいセキュリティ企業のアドバイスを受けることをおすすめします。

AWS環境下でのPCI DSS準拠

代表的なクラウドサービスのひとつであるAWS(Amazon Web Services)は、最も規模の大きい「レベル1」のサービスプロバイダとして、PCI DSSに準拠しています。こういったサービスプロバイダを上手に活用すれば、あなたの組織でPCI DSS準拠に対応すべき範囲を減らすこともできます。ただし、慎重な運用が必要となることに変わりはありません。まずはAWSの責任共有モデルの理解からはじめましょう。

PCI DSSの12要件とは

以下に示すように、PCI DSSでは、6つの項目にわたって計12の要件が定められています。


安全なネットワークとシステムの構築と維持

1. カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

カード会員データの保護

3. 保存されるカード会員データを保護する
4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの維持

5. すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
6. 安全性の高いシステムとアプリケーションを開発し、保守する

強力なアクセス制御手法の導入

7. カード会員データへのアクセスを、業務上必要な範囲内に制限する
8. システムコンポーネントへのアクセスを識別・認証する
9. カード会員データへの物理アクセスを制限する

ネットワークの定期的な監視およびテスト

10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11. セキュリティシステムおよびプロセスを定期的にテストする

情報セキュリティポリシーの維持

12. すべての担当者の情報セキュリティに対応するポリシーを維持する


(PCI DSSバージョン 3.2.1より)

PCI DSSで求められる要件は明確で具体的です。そのため、一般的なセキュリティ管理のルールを策定する際の参考にされることがしばしばあるのですが、PCI DSSの要件に準拠したからといって、組織全体のセキュリティが万全になるとは言い切れない点に注意が必要です。例えば、PCI DSSでは、営業機密などへのアクセス制御不備があったとしても準拠に影響しない場合がありますし、PCI DSSへの準拠によってGDPR等の法制度に対応できるわけでもありません。PCI DSSを参考にする際は、それがあくまでクレジットカード情報の保護に特化した基準であることを念頭においたうえで活用するようにしましょう。

PCI DSSに準拠するためにやることは

PCI DSS準拠にあたっては、PCI DSSの基準に関するアンケートに回答する「自己問診」、PCI SSCが認定したASV(Approved Scanning Vendors:認定スキャニングベンダ)等によって行われるネットワークスキャン、PCI SSCが認定したQSA(Qualified Security Assessor:認定セキュリティ評価機関)による訪問監査などが、前述の4つのレベルに応じて実施されます。

PCI SSC準拠と継続のための2つのネットワークスキャン

PCI DSSにおけるネットワークスキャンとは、クレジットカード情報を扱うシステムや機器に対して、少なくとも四半期に1回、および対象システムに大幅な変更があった場合に、脆弱性スキャンを実施するものです。もし重大な脆弱性が発見された場合、準拠の認定や継続のためには、脆弱性の修正や代替案実施後の再スキャンで準拠基準に達しているという評価を得ることが必要になります。

ネットワークスキャンには、クレジットカード情報を扱うシステム等に対して外部から行うスキャンと、内部から行うスキャンの2つがあり、外部からのスキャンは必ず認定スキャニングベンダ(ASV)によって実施されなければなりません。

PCI SSC準拠と継続のためのペネトレーションテスト

また、クレジットカードの加盟店等は、少なくとも1年に1回(決済サービスプロバイダ等は1年に2回)、および対象システムに大幅な変更があった場合に、ペネトレーションテストを実施しなければなりません。

ペネトレーションテストを実施する際には、それがPCI DSSの要求を満たすテストであるかどうかを必ず確認しましょう。一般的基準で充分に高度とされるペネトレーションテストであっても、手法や範囲などがPCI DSSの要件を満たしていなければ、「システムの安全性は高まったがPCI DSSの準拠や継続ができなくなった」という事態が起こり得ます。

ペネトレーションテストには、外部からのネットワークスキャンのようなベンダ認定の仕組みがないため、選定での判断には注意が必要です。PCI DSSのペネトレーション要件に精通した企業の助力を求めるとよいでしょう。

なお、株式会社ブロードバンドセキュリティは、QSAとして12年にわたり約110社に対して、PCI DSS準拠認定付与支援およびオンサイト評価を行っております。また、PCIDSS準拠のためのネットワークスキャンやペネトレーションテストの実績を多数持っています。

最新版「PCI DSS 4.0」とは

PCI DSSでは現在8年ぶりのメジャーバージョンアップに向けた作業が進んでおり、2021年半ばにリリースされる見込みです。次期バージョンはPCI DSS 4.0となり、暗号やモニタリングなどが強化されるほか、多要素認証等についてもキャッチアップが行われ、さらなるセキュリティ強化が図られると予測されています。

まとめ

  • PCI DSSとは、国際カードブランド5社により定められた、安全にクレジットカード情報を取り扱うためのセキュリティ基準です。
  • クレジットカード情報の保存・処理・伝送を行うすべての事業者(クレジットカード加盟店・銀行・クレジットカード決済サービス企業等)が、PCI DSSに準拠する必要があります。
  • PCI DSSへの準拠では、自己問診や、ASV(認定スキャニングベンダ)によるネットワークスキャン、QSA(認定セキュリティ機関)による訪問監査などが実施されます。
  • ペネトレーションテストを実施する際は、テストの手法や範囲などがPCI DSSの要件を満たしていることを確認する必要があります。
  • 2021年には、次期バージョンPCI DSS 4.0が公開される予定です。

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

セキュリティ診断の必要性とは?

Share

セキュリティ診断には脆弱性診断、ソースコード診断、ペネトレーションテストなどの方法があります。「セキュリティ診断」とは何か、また企業にセキュリティ診断が不可欠な背景を説明します。診断以外のセキュリティ対策にも触れます。

情報漏えいサイバー攻撃など、さまざまなセキュリティ事件・事故が報道されています。不正アクセスは2018年から2019年の1年間で2倍に増え、上場企業の1割でインシデントが発生したともいわれています。身近な業務の現場でも、ウィルス感染や不正アクセスといった言葉が、もはや日常的になってきたのではないでしょうか。企業の情報セキュリティが脅威にさらされており、そのために適切な事故予防、攻撃対策をとっていくことは、企業の重要な業務のひとつとなっています。

セキュリティ対策やセキュリティ診断は、企業にとっていまや基幹業務に不可欠であり、社会的責任でもあります。この記事ではセキュリティ診断の内容と必要性などを解説します。

セキュリティ診断とは? その必要性

セキュリティ診断とはシステムのセキュリティ上の問題点を洗い出す検査のことを指します。
脆弱性診断、脆弱性検知、など呼び方もさまざまで、また対象によってソースコード診断、システム診断、Webアプリケーション診断、ペネトレーションテストなどに分類されます。

なお、複数の診断方法のうち、同様の診断をセキュリティベンダーや診断ツール提供者がそれぞれ微妙に異なる名称で呼んでいるケースもあります。

「セキュリティ診断」という用語は、単に「脆弱性診断」を指すこともあれば、セキュリティに関するさまざまな診断や評価全体を包括して「セキュリティ診断」と呼ぶ広義の使い方もあります。

「セキュリティ」には、情報セキュリティだけではなく、デジタル社会へのリスク対応全般が含まれる場合もありますが、「セキュリティ診断」という用語は、企業など組織の事業における(情報)セキュリティリスクの低減を主な目的とした検査のことをいいます。

情報セキュリティとは、資産である情報の「機密性」「完全性」「可用性」を守ることで、セキュリティ診断を行うことで、情報セキュリティの観点からみた構造上の欠陥や、組織体制、あるいは運用上の弱点を見つけることができます。発見された問題に対し優先順位をつけて対策を実施することで、より堅牢なシステム・環境・体制を構築することができます。

企業に求められる情報セキュリティ対策の例

企業が実施するセキュリティ対策のうち、よく話題にあがるものをいくつかピックアップして説明します。

不正アクセス対策

不正アクセスとは、本来アクセス権限を持たない者が、何らかの手段を用いて第三者の情報にアクセスすることをいいます。なりすまし不正侵入といった形が一般的です。不正アクセスによって、個人情報や知的財産が奪われる、サーバやシステムが停止するなど、企業活動に影響するリスクが生じます。不正アクセスに対しては、「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」によって、アクセス管理者にも次の管理策を行う義務が課されています(ただし、罰則はありません)。
・識別符号の適切な管理
・アクセス制御の強化
・その他不正アクセス行為から防御するために必要な措置
セキュリティ診断を通じてシステムに存在する弱点を洗い出し、発生箇所を特定することで、こうした不正侵入などへの対策を立てやすくする効果があります。

脆弱性対策

脆弱性とは、一つ以上の脅威によって付け込まれる可能性のある資産または管理策の弱点をいいます。脅威とは、「システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因」で、いわばシステムにおけるバグのようなものです。それらの脆弱性は、「危険度を下げる」「蔓延を防ぐ」「影響度を下げる」ことで、悪用されにくくすることができます。

脆弱性対策とは、これらの角度からシステムの欠陥をつぶしていく行為ともいえます。利用しているソフトウェアの既知の脆弱性をアップデートやパッチの適用で常に最新版に保ったりすることや、システム開発の場面でそもそも脆弱性を作りこまないように開発することなどが、その典型例です。

標的型サイバー攻撃対策

近年、「高度標的型サイバー攻撃(APT)」と呼ばれる、新しいタイプの攻撃が警戒されるようになりました。もともと、こうげき標的型攻撃とは、特定の企業や組織に狙いを定めてウィルスメールを送るなどの攻撃を仕掛けるものでしたが、高度標的型攻撃は、特定のターゲットに対して長期間の調査と準備を行い、ときには社内のネットワーク構成図や会社組織図、キーパーソンの休暇の取得状況まで調べ上げたうえで、サイバー攻撃を仕掛けてきます。

従来、標的型攻撃の対策としてはセキュリティ意識を高める訓練が主でしたが、今では「侵入されること」を前提に、セキュリティ機器を使った多層防御システムを構築することの大切さが、広く認識されるようになってきました。高度標的型攻撃に特化したセキュリティ診断を受けることで、攻撃被害スコープを可視化したり、脅威リスクのシミュレーションを行うことができます。

運用を含むリスクアセスメント

システムが技術的に強固に守られていても、アクセス用のIDとパスワードを付箋紙に書いてモニターに貼り付けていたら、安全は保たれるべくもありません。

システムなど技術的側面からだけでなく、作業手順や業務フロー、作業環境、組織のルールなどの運用面も含めてリスク評価を行うことを「リスクアセスメント」と呼びます。リスクアセスメントを通じて、リスクの棚卸による現状把握ができ、優先順位をつけて改善策を講じていくことが可能になります。

セキュリティ診断の方法と種類

セキュリティ診断の分類はいくつかあります。
<診断対象による分類>
 ・Webアプリケーション診断
 ・プラットフォーム診断
 ・ソースコード診断

<ソースコードや設計書の開示の有無による分類>
・ホワイトボックステスト
・ブラックボックステスト

<診断実施時にプログラムを動かすかどうかによる分類>
・動的解析
・静的解析

プラットフォームセキュリティ診断

サーバ、データベース、ネットワーク機器を対象として脆弱性診断やテスト、評価を行います。搭載されているOS、ファームウェア、ミドルウェアなどのソフトウェアについて、最新版か、脆弱性がないか、設定に不備がないかなどを確認します。プラットフォームの脆弱性対策をすることで、サーバの堅牢化を図る、不正アクセスを防止するなどの効果を得られます。

Webアプリケーションセキュリティ診断

Webアプリケーションのサーバやクライアントサーバに対して行う診断です。事業活動に欠かせないWebサイトはデータの宝庫です。ハッキング対象の約7割がWebサイトであるともいわれています。ひとたびデータ侵害が起こると、事業継続に影響を与えかねないインシデントを引き起こすリスクがあります。

ソースコードセキュリティ診断

WEBアプリケーションは、プログラムの集合体であり、脆弱性はプログラム処理におけるバグであるといえます。入力チェックやロジック制御に、バグ(考慮不足)があるから、想定しない不具合が発生すると考え、プログラムコード(ソースコード)を調べていくのがソースコード診断です。ソースコード診断はプログラムに対するセキュリティ観点でのチェックであるとともに、予防的コントロールであるともいえます。

セキュリティ診断で未然に事故を防ごう

セキュリティ診断のひとつとして挙げた脆弱性診断には、さまざまな診断ツールが存在しており、無料で入手できるものもあります。しかしツールの選定や習熟には一定の経験や知見が求められ、そもそも技術面だけでは企業のセキュリティを確保することはままなりません。セキュリティの専門会社の支援を受けて、客観的な評価やアドバイスを受けるのも有効な手段です。

まとめ

  • Webアプリケーションセキュリティ診断、プラットフォームセキュリティ診断、ソースコード診断、セキュリティに関するさまざまな診断やテストが存在する
  • 不正アクセスなどの攻撃を防ぐためシステムの脆弱性を見つけて対策することが必須
  • 技術的対策だけでセキュリティを担保することは難しい
  • 人間の脆弱性や業務運用までを含む包括的な視点で組織にひそむリスクを洗い出すことも重要

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

脆弱性診断の必要性とは?ツールなど調査手法と進め方

Share

脆弱性診断はアプリケーションやサーバ、ネットワークに、悪用できる脆弱性がないかを診断します。ライフサイクル別にどんな診断が必要か、ツール診断と手動診断、ペネトレーションテストとの違いなどを解説します。

企業が施すセキュリティ対策は広範かつ複雑になっています。外部からのサイバー攻撃や、内部での情報の持ち出しなど、セキュリティの脅威が多様化しているためです。企業が保護すべき情報、アプリケーション、機器の種類・数などが拡大していることも理由に挙げられます。

これに伴い、情報システムやそれを取り巻く環境・体制が堅牢であるかどうかを検査、評価する方法がいくつも存在します。この記事では、その中の 「脆弱性診断」を取り上げて、その定義、特徴、メリット、実際の利用方法などを紹介します。

脆弱性診断とは

脆弱性診断とは、 既知の脆弱性を悪用できるか検証することです。Webアプリケーション、スマホアプリケーション、サーバ、ネットワークなど対象は多岐に渡ります。

アプリケーションの脆弱性診断には、既知の攻撃パターンを送付して対象システムやソフトウェアの挙動を確認する 「ブラックボックステスト」という方法があります。「ブラックボックステスト」では、実装時における脆弱性は検出できますが、そもそもプログラムの設計図であるソースコード中に存在する脆弱性を網羅的には検査することには適していません。

この場合、ソースコード開示のもと「ソースコード診断」する方法が有効です。「ソースコード診断」は「ブラックボックステスト」に対して 「ホワイトボックステスト」とも呼ばれます。また、「ソースコード診断」はさらに、プログラムを実行しないで行う 「静的解析」と、実行して行う 「動的解析」に分類できます。

それぞれの脆弱性診断は、目的・実施タイミング・検知できる脆弱性が同じではありません。重要なのは、システムライフサイクルの各フェーズで、適切な診断を実施し、洗い出されたセキュリティ上の問題に優先順位をつけて、ひとつひとつ対処することです。脆弱性診断は一度実施したらそれで終わり、というものではありません。

脆弱性診断が必要な理由

情報セキュリティ事故を未然に防ぐため        

攻撃者より先にシステムに隠れた脆弱性を検出して対策することで、攻撃や事故発生の確率を下げることができます。ひとたび個人情報やクレジットカード情報の漏えい事故が発生すれば、さまざまな対応・復旧費用や対策工数の発生は避けられません。ブランドの毀損や企業イメージの低下も招きます。

サービス利用者の安心のため

パソコンやインターネットを補助的に利用していた昔と異なり、現在はWebサービスやアプリケーションそのものが利益を生み出しています。生活や経済がネットワークなしに成り立たない現在、脆弱性診断などのセキュリティ対策は、事業を継続しサービス利用者の安心を守るため、欠かせないものとなっています。

脆弱性診断の種類

診断対象により、さまざまな脆弱性診断サービスがあります。まず、企業が開発したWebアプリケーションが挙げられます。問合せや会員登録といった、入力フォームの入出力値の処理、ログイン機能の認証処理などに対して、幅広く網羅的に脆弱性診断が行われます。

次に、そのWebアプリケーションを実行するサーバやネットワーク機器、OSやミドルウェアに脆弱性がないか検査する プラットフォーム診断があります。

そのほか、近年増加の一途をたどる スマホアプリケーション IoT機器を対象とした脆弱性診断もあります。

(株式会社ブロードバンドセキュリティのサービス分類に基づく)

脆弱性診断とペネトレーションテストの違い

脆弱性診断とペネトレーションテストは、双方とも脆弱性などを検出する点では似ていますが、目的と方法が少し異なります。脆弱性診断は既知の脆弱性を網羅的に検出することを目的としています。

ペネトレーションテストは、「侵入テスト」の名前のとおり、疑似的なサイバー攻撃を仕掛けてセキュリティ対策の有効性を評価するために実施します。技術的アプローチだけでなく、対象となる組織の構成や、業務手順、ときには物理的な施設の特徴すら加味して、攻撃シナリオを作成する「レッドチーム演習」と呼ばれるテストを実施することもあります。

シナリオに沿ってペネトレーションテスターが攻撃を実行し、システムに侵入できるか、ターゲットとする資産(多くは知的財産)にたどり着くことができるかどうかなどをテストします。ペネトレーションテストは脆弱性診断と比べて、技術力はもちろん、より幅広い見識やセンスが求められます。

ツール診断と手動診断の特徴

ツール診断とは、脆弱性診断ツールと呼ばれるコンピュータプログラムを実行して、その応答から脆弱性を検知していくもので、自動診断とも呼ばれます。脆弱性診断ツールには、たとえばWebアプリケーション診断の場合に、検査コードと呼ばれる不正なHTTPリクエストを送信し 擬似攻撃するプログラムがあります。

これに対して手動診断は、技術者がプロキシツールを介してWebブラウザでサイトにアクセスした際に発生するリクエストを書き換える形で、脆弱性を確認する方法です。ツール診断と比べ検査項目も広く、また細かな検査ができるのが特徴です。

「ツール診断」による脆弱性診断

「ツール診断」では、セキュリティベンダーが、商用または自社開発した診断ツールを用いて脆弱性を見つけ出します。機械的に不正なHTTPリクエストを送り付ける疑似攻撃を行いますが、クラッカーによる攻撃とは異なり、あくまでも 脆弱性を見つけ出すことが目的であるため、システムを破壊することはありません。

ツール診断は機械的な検査であるため、過検知や誤検知なども含まれることが多く、その結果は担当者が補正することで正確な情報が得られます。比較的手軽に行えることから、開発段階で実施されることも多い診断です。また、定期的な簡易診断として用いることで、コストを低減しつつ最新の状態を保つことができるといった利用方法もあります。

「手動診断」による脆弱性診断

手動診断は、経験と専門性を持つ技術者によって実施され、機械的な判断では見落としてしまう 画面遷移・分岐にも対応できるメリットがあります。発見した脆弱性の再現手順や、最新動向を加味した対策方法などを提示してくれるのも、手動診断ならではの特徴と言えます。

ツール診断と手動診断は、どちらが優れていると比較するものではありません。それぞれの 特長を生かし、予算に合わせて組み合わせることで、コストパフォーマンスを発揮できるでしょう。

脆弱性診断の進め方

セキュリティベンダーに脆弱性診断を依頼する際は、まず 診断する範囲を決めます。組織にとって重要度が高い部分、すなわちサイバー攻撃を許してはいけないシステムやサーバ、Webアプリケーションを選定します。

診断が終了するとベンダーからレポートが提供され、報告会が行われることもあります。レポートに記載された脆弱性には深刻度などがスコア化されていることもあります。内容に応じて優先度をつけて、脆弱性をふさぐ必要があります。

脆弱性診断のまとめ

企業の情報システムが複雑かつ大規模になった現在、カード情報や個人情報・機密情報を狙う内外からの脅威に対して、企業もさまざまな予防手段を打っていく必要があります。情報システムやそれを取り巻く環境・体制が堅牢であるかどうかを検査、評価する方法として「脆弱性診断」があります。

・脆弱性診断とは既知の脆弱性を悪用できるか検証すること
・検査対象はWebアプリケーション、スマホアプリケーション、サーバ、ネットワークなど多岐に渡る
・脆弱性診断を行う対象は組織にとっての重要度に基づいて選定する


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share