業務に特化したセキュリティ対策、ペネトレーションテストとは
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」5月23日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・業務に特化したセキュリティ対策はペネトレーションテストが有効
・企業側が発信する「詳細の公表」はどこまで伝えるべきなのか
今回の解説ニュース
店舗がつながるネットワークに不正アクセスがあり、決済を一時停止する状態になったということです。ECサイトではない、リアルな店舗のネットワークにおけるセキュリティで気を付けるべきポイントについて説明します。
今回のインシデントは、ネットワークに不正アクセスがあり、システム障害が発生したということです。インシデントの原因については現時点で公表されておらず、犯罪者集団の増長を招くことを考慮し、情報開示は最低限にとどめるということです。
対策として、被害拡大を防ぐために店舗でのキャッシュレス決済を一時的に停止しています。また、捜査機関と連携し調査を行っているということです。
業務に特化したセキュリティ対策はペネトレーションテストが有効
業務に特化したセキュリティ対策を実施するためには、脅威ベースのペネトレーションテストが有効です。今回のインシデントは詳細について公開されていませんので、あくまでも一般論として説明します。
ペネトレーションテストとは、システムの脆弱性を特定し、実際に侵入して影響の範囲を特定するテスト手法です。守るべき情報資産に対して攻撃者がどのように侵入を試みるか、具体的にシナリオを設計してから、実際に侵入できるかテストを実行します。
例えば、皆さんがお使いのスマートフォンに対してセキュリティ対策をするとします。画面ロックをかけ、OSも最新のバージョンを使っているならば、スマートフォン単体のセキュリティをチェックしても脆弱性は発見されないかもしれません。ただし、スマートフォン単体に対するセキュリティではなく、Aさんが持ち歩いているスマートフォンのセキュリティとして具体的に考えてみましょう。Aさんは土日に喫茶店に行く習慣があったとします。そして、Aさんのスマートフォンが脅威にさらされるシナリオを考えます。
まず、Aさんがいつも行く喫茶店で座る場所が決まっていたとします。そうすると、その横の席に攻撃者が常に座っていれば、Aさんが画面ロックを解除する際に使っているパスワードを覗き見ることができるかもしれません。仮に、そのパスワードがAさんのツイッターでも使われていた場合、Aさんのスマートフォンを踏み台にして、ツイッターのアカウントが乗っ取られてしまうことになってしまいます。
このように、システム単体でセキュリティのチェックをしたとしても可視化できない脆弱性が、脅威シナリオをベースとしたペネトレーションテストではリスクを顕在化できる場合があります。具体的には、対象となる情報資産を特定して業務全体を理解し、具体的な脅威シナリオを構築した上でペネトレーションテストを実施します。仮に、店舗の決済システムに直接侵入できなくても、社内のパソコンをマルウェアに感染させることで、業務が停止に追い込まれてしまうインシデントが発生する可能性があるかもしれません。
その他のトピック
企業側が発信する「詳細の公表」はどこまで伝えるべきなのか
(全文はこちら)