見出し画像

楽しいセキュリティ対策!社内のPCがマルウェア感染する想定で攻撃してもらった結果

12ban

この記事はセキュリティ対策の優先順位付けをするため、脆弱性の洗い出しにペネトレーションテストを行ったお話です。

ペネトレーションテストを使った脆弱性の洗い出しと対策はそれなりにお金がかかりますが、お金以上のメリットがあります。

それはファクトベースかつ攻撃社視点で脆弱性が可視化される点です。

ここで明確になった脆弱性に対する改善(セキュリティ対策)予算も比較的取りやすい、というメリットもあります。

1. 課題

課題はセキュリティ対策を何から実施していくか、ということ。これはいわゆる脆弱性の可視化と優先順位的なお話。

現状としてプロダクトはPCI DSSに準拠しており、一定の対策がなされていました。逆に社内の方もPCI DSSに準拠しているものの、そこまで直接的な関わりはありません。

よって社内のセキュリティを強化したい、という方針がありました。脆弱性の洗い出しと優先順位付けの手法はいくつかあります。その中でも、ドキュメントベースの網羅的な手法ではなく、ファクトベースかつ攻撃者視点での手法と取りたい、と考え、今回はペネトレーションテスト(侵入テスト)を利用した脆弱性洗い出し、対策を行うことになったのです。

2. 見積もり依頼

ペネトレーションテストとは、攻撃者としてシステムを攻撃してもらい、脆弱性を洗い出す手法です。

多くの企業は社内にペネトレーションテスト経験者を抱えているわけではないので、セキュリティ専門会社に発注する形になります。

そして見積もりには3つの決め事が必要です。

1. 起点
2. ゴール
3. テスト期間

1. 起点

起点とはどこから攻撃するのか、ということです。今回は、社内のPCがマルウェアに感染したという設定にしました。

2. ゴール

攻撃者の目的設定です。今回は、プロダクトシステム内にある顧客のクレジットカード情報の取得、をゴールとしました。

3. テスト期間

実際に攻撃をしてもらう期間です。この期間が長くなると金額も高くなります。今回は5日間としました。

3. 準備

さて見積もりを取得して、正式に発注すると準備に取り掛かります。
基本的にセキュリティ専門会社は依頼がひっきりなし。特に1月から3月は予算消化のための依頼が多いことから、この期間は外したほうが良いです。

準備は大きく2つです

1. 実施に向けての打ち合わせ
2. 環境準備

ポイントは環境準備です。今回の起点だとPCがマルウェア感染する想定なので、PCの準備が必要です。しかし、ここで初期化したPCに対して、標準設定を行っても現実に即した結果が得られません。なぜなら、PC上に実際のアプリやデータが入ってないからです。

よってPCの準備は誰かのPCをコピーする形で用意していきます。

例えば、CSが使っていることを想定したPC、エンジニアが使っていることを想定したPCなどです。

今回は3つ用意しました。

1. CSが使っていることを想定したmacOS
2. エンジニアが使っていることを想定したmacOS
3. 管理部門が使っていることを想定したWindowsOS

4. テスト実施

さて楽しい、楽しい、テストの始まりです。テスト自体はリモートで実施されます。まず朝にメールで送ってもらったマルウェアを実行します。

初日はトラブルが予想されるので、会社にいた方がよいです。その後もテスト期間中は何度か依頼がありました。

これはあとからわかるのですが、今回依頼した会社はWindowsでの調査をメインとしており、macOSはあまり強くない印象でした。

この期間は今、どこまで攻撃されてるんだろう?とか、ほんとドキドキでした。

5. 報告会

テスト実施後に一定期間をおいて、レポートベースでの報告会がありました。

結果として、最重要資産であるクレジットカード情報の奪取はされませんでした!(良かった)。しかし、それ以外の重要資産が奪取されてしまいました..

レポートで指摘された点は記載できないのですが、どの企業もほぼ確実に指摘されるだろう事項があります。

1. パスワードの強化
2. 共通アカウント、パスワードの使用
3. 平文パスワードの保存

この3点については、各社対応しておくことをおすすめします。しかし、ここは100%の精度で実施することが難しいのも事実なので7、8割達成を目指すのが現実的かなぁと思っています。

6. 改善ロードマップ作成

レポートの記載された指摘事項をもとに、対策のコストと影響度を考えて、改善のためのロードマップを作成していきます。

ここもかけないのですが、例えば

1. MFA必須化
2. パスワードポリシーの強化
3. 共通アカウント、パスワードをなくす

といった内容が入ってきます。

レポートには対策内容も記載されていますが、これはセキュリティ視点で書かれた対策のため、自社の環境や生産性といった要素も踏まえて対策内容を考え直すことをオススメします。

7. 改善

さて改善(個別のセキュリティ対策)はみんな得意ですよね?
ロードマップの内容に沿って、対策していきましょう。

感想

今回、初めてペネトレーションテストを行いましたが、非常に満足度が高かったです。明確に脆弱性が洗い出され、それが事実として突きつけられるので、改善も非常に楽です(セキュリティ対策予算取りの意味でも)

またこれらのサイクルは1回実施して終わり、ではなく、毎年実施することで、継続的なセキュリティ向上が期待できます。

2021/12/11追加

今年は社外からプロダクトに対して攻撃をしてもらいました。結果、同様に攻撃者視点での脆弱性を洗い出してファクトに基づく改善をすることができました。来年もペンテストを実施予定です。

しかし、来年で3年目になるのでそれ以降はペンテストを依頼する会社を変えて実施するのと、また少し違った視点で改善点が洗い出せそうと思っています。



この記事が気に入ったらサポートをしてみませんか?