ConnectONE 吉田 晋
セキュリティ対策の優先順位が見える。経営者とIT責任者のためのガイド。
情報漏洩事故を予測するゼロトラストFTAとは「その企業で情報漏洩事故が起きるのはどこか」を予測し、事前に対策する手法である。 もし経営者やIT責任者が「自社で次に起きる情報漏洩事故はここだ」と推定することが出来たなら、もっと効率良く対策をすることが出来るであろう。 ゼロトラストFTAはその「次の情報漏洩事故」を予測するために生みだされた。 そして起きやすいセキュリティ事故(情報漏洩事故)には次の2つの傾向がある。 ・世の中で発生件数が多い事故は自社でも起きやすい。 ・セキ
電子書籍「ゼロトラストFTA」ゼロトラストFTAの2022年度版を電子書籍で発表した。 Amazon KindleとRakuten koboで価格0円で配布しているので、興味がある方は是非ご覧頂きたい。 本書の構成は以下となっている。 セキュリティパッチ適用が最優先の対策この書籍で読者の方に最も読んで頂きたいのは第6章だ。 今回はその中でも「セキュリティパッチ対策」について解説する。 どの企業でも実施するべき「最も効果の高い対策」は次の4点である。 その中でも特に「セ
さてゼロトラストFTAでは、その発生率は統計データをベースに割り出している。数多くの事例を元に、企業がセキュリティ対策として優先すべきことが決められる。 たとえば脆弱性攻撃について4つの事例を例にとる。 事例1 ランサムウェア侵入経路の変化我々はランサムウェアは怪しいメールを不用意に開いたりして感染するものだと思っている。しかし昨年の例では、VPNルータなどの機器の脆弱性をついたものが大半の侵入経路だった。 この例からわかるように、脆弱性攻撃とは ・マルウェア感染 ・サ
マルウェアも脆弱性も本質は同じもの従来のゼロトラストFTAでは「クライアント端末マルウェア感染」と「サーバ機器脆弱性攻撃」を別の事象として分類していた。 しかし昨今の攻撃者の手口を調査していくと、この2つには実は敷居がないのではないのではないように思える。 たとえば昨年に警察庁から発表されたランサムウェアの経路についての調査だ。 我々の多くはランサムウェアとは「悪意のある添付ファイルをうっかり開くことで感染する」と考えているが、実態は必ずしもそうではない。 昨年後半は、V
悪意ある窃取と悪意なきうっかり漏洩を大別ゼロトラストFTAの発生率算出のデータを最新版への更新を行う。 今回データを更新するにあたり、FTAの樹形図も変更した。 情報漏洩には、悪意ある窃取と悪意なきミスによる2つの大別される。セキュリティ対策を立案する時には、それぞれ別なインシデントとして把握することが必要だからだ。 米国企業は「悪意ある攻撃窃取対策」がメインCIS Controls全18章のうち「うっかり漏洩」について言及されてるのはたった3章分である。 このように
ゼロトラスト製品導入でどこまでセキュリティが高まるかゼロトラストFTA2022年版では、日本国内の一般企業における「情報漏洩発生率」は「75.9%」と算出される。 情報漏洩に効果があるゼロトラスト製品さてご存知のように「ゼロトラスト製品」を導入することで、企業は情報漏洩リスクを提言することが出来る。 ゼロトラスト製品には様々な種類や機能がある。今回考察する情報漏洩リスクを防止する「ゼロトラスト製品の機能」は以下のものである。 思ったより効果が上がらない理由これらのセキュ
うっかり漏洩はデータが端末に保存されているから起きる情報漏洩のケースは下記2つに大別される。 ケース1:悪意ある情報窃取(攻撃窃取) ケース2:悪意ない紛失漏洩(うっかり漏洩) 今回はケース2についての情報漏洩について考察する。悪意のないうっかりミスから生じる漏洩なので「うっかり漏洩」と名付ける。 ゼロトラストFTAから「悪意のある攻撃窃取」と「うっかり漏洩」の発生率はほぼ同じであることがわかる。 そして「うっかり漏洩」が発生する原因は下記4つのケースであり、発生率と
システム管理者による内部不正情報漏洩IPA発行「内部不正による情報セキュリティインシデント実態調査(2016年3月)」によると、内部不正情報漏洩実行者の半数以上がシステム管理者である。 内部不正の被害額はサイバー攻撃より大きいこのIPAの報告書では、実際に内部不正をした事例10件について直接インタビューも行っている。そのインタビューの内容を専門家がまとめた考察が非常に示唆深い。 アンケートやインタビューの調査では、経営者やシステム管理者のように権限を持った人物の犯行が目立
脆弱性対策と運用ルールCIS Controlsを18回に渡って考察してきた。この18回のテーマは大きく分けると「脆弱性対策」と「運用維持」2つのトピックスに分けられることがわかる。 脆弱性対策 CC01組織の資産のインベントリと管理 CC02ソフトウェア資産のインベントリと管理 CC06アクセス制御管理 CC09電子メールとWebブラウザの保護 CC10マルウェア防御 CC12ネットワークインフラストラクチャ管理 CC15サービスプロバイダーの管理 CC16アプリケーション
ゼロトラストFTAの総仕上げCIS Contrlols 最後のテーマ第18章はペネトレーションテストについての考察だ。 ペネトレーションテストは、CISコントロール7で説明されている脆弱性テストとは異なります。脆弱性テストは、既知の安全でない企業資産の存在をチェックするだけで、そこで終わりです。 ペネトレーションテストは、さらにその弱点を突くことで、攻撃者がどこまで攻撃できるか、またその脆弱性を突くことでどのようなビジネスプロセスやデータに影響が及ぶかを確認します。 (CI
今回は、CIS Controls 17セキュリティ事故対応について考察する。 本来セキュリティ対策とは、保護、検出、対応、回復の機能までが含まれます。よくあるパターンは「保護と検出」だけの対応であったり、あるいは単純に復元するだけで終了とすることです。 しかし本来のセキュリティ対策は、事故の原因がどこにあったのかを解析して、被害が発生する前に対策しておくことです。事故の把握、原因解析、再発防止がなければ、システム管理者は永遠に「もぐら叩き」を続けることとなるだけです。 (C
CIS Controls 16ではアプリケーションのセキュリティについて考察する。 少ない開発で大きな効果があげられる標的アプリ攻撃者の立場では、出来るだけ効率良く情報窃取を行いたいと考える。脆弱性を見つけてマルウェアコード(スクリプト)を組み合わせるという手間暇に合う対象がの杣しい。 それは出来るだけ多くのユーザが使っているグローバルなアプリケーションやWebアプリケーションである。 ユーザ数が多いほど効率が良いグローバルなアプリケーションとは、MicrosoftのO
CIS Conrols 15はサービスプロバイダーのセキュリティ運用について考察している。 セキュリティ管理もアウトソースにクラウド利用の拡大などもそうであるが、多くの企業は自前のITシステムからサービスプロバイダーのサービスに移管している動きが広がっている。 これに伴い、各企業がそれまで自社で抱えていたセキュリティを守る役割も、サービスプロバイダーに移管しつつある。 標的型攻撃やランサムウエアの高度化が進むいなか、自社のみでセキュリティを維持するのは年々困難になってい
トレーニングを繰り返しても効果がない場合情報漏洩防止に効果的な社員へのセキュリティトレーニングはどういうものであろうか。 教育の回数を重ねることで、情報漏洩リスクが下がるケースもあるし、 残念ながら教育回数を重ねても、情報漏洩リスク低減という点に関しては効果がないケースもある。 効果があがらないケースの1つが、標的型攻撃などだ。たとえ100人の従業員99人が守れても1人のパソコンが感染することで、被害が全社ネットワークに広がる。 このようなケースでは教育で、感染させて
ログ監視は多重防御の最後の砦前回はネットワークセキュリティの棚卸しについて解説した。今回は引き続き、その中でも「ログ監視」について更に深く考察する。 セキュリティの棚卸しは健康診断のように最低でも年1回程度は実施することが望ましいが、ログの監視は日常的に行うことが効果的である。 ログの収集にはさまざまな目的があると考えられるが、ここではサイバー攻撃の痕跡を確認するため」に絞って考察する。 今回はJPCERTが発行している「高度サイバー攻撃への対処におけるログの活用と分析
時間とともに安全性が低下するCISセキュリティ管理12章はネットワークインフラ管理だ。 ゼロトラストFTAなどを利用してセキュリティ対策を施したとしても、定期的に「棚卸し」をすることは必要である。 それは、運用の中で「例外」「想定外」などの脆弱性が発生する可能性があるからだ。 本記事では「棚卸しチェック内容」について解説する。 棚卸しで確認すべき内容ゼロトラストFTAでは、対策すべきネットワークの脆弱性は下記3点である。 セキュリティ対策の棚卸しはこれらの対策が、破られ
