情報処理安全確保支援士 オンライン講習(2021年度)単元4:様々な脅威への対応
日時:2022年5月5日~5月5日
概要
自組織における外部からの脅威だけではなく内部に潜む脅威や、脅威への継続した相合サイクルについて学習する
1章:様々な場所に潜む脅威
- 情報システムを取り巻く環境の変化
- 情報システムはセキュリティ対策として内部と外部の境界を分離すること実施してきたが、クラウド化や働き方改革により、オフィス以外の場所での業務、協力会社や取引先とのサプライチェーンなどにより境界があいまいになり、情報システムの防御対策が難しくなっている
- 多様化した脅威に対応するセキュリティ対策
- 組織内部のシステムは外部公開システム同様のセキュリティ対策が必要
- ゼロトラストのように、全てのアクセスがUntrusted(信用できない)であるという概念から、トラフィックを全て検証・認証していくアプローチもある
- セキスペが考える脅威への3ステップ
- 情報の収集と自組織のアップデート(システムや運用ライフサイクルの意識)
- 脅威の特定(脅威の要因や起こりうるシステムの把握)
- リスクへの対応(リスク対策の実施)
2章:内部に潜む脅威
- テレワーク等のニューノーマルな働き方を狙った攻撃
- テレワーク等の環境を考慮したポリシーの作成を行い、被害を受けた場合でも早期検知、対応ができる体制構築を行う
- 被害の予防
- セキュリティ教育の実施
- セキュリティに強いテレワーク環境
- 組織としての体制確立
- CSIRTの構築
- 対策予算の確保と継続的な対策の実施
- テレワークのセキュリティポリシー/規定/運用ルールの策定・整備
- 利用するソフトウェアの脆弱性情報の収集・周知
- 被害の早期検知
- 適切なログ取得と継続的な監視
- ネットワーク監視、防御
- 被害後の対応
- CSIRT運用によるインシデント対応
- 内部不正による情報漏えい
- 内部不正を出来ない環境を構築する、また不正が発生しても早期に検知できるよう対策をする
- 被害の予防
- 内部不正対策における基本方針の策定(内部不正チェックシートの活用)
- 情報資産の把握、体制の整備
- 情報モラルの向上
- コンプライアンス教育
- 離職者に対する秘密保持義務を課す誓約書
- 被害の早期検知
- システム操作履歴の監視
- ログや証跡の監視
- 被害を受けた後の対応
- 自組織にて規定している報告先への連絡
- 影響調査、今後の対策強化
- 組織における内部不正防止ガイドライン
- 不注意による情報漏えい
- 不注意に起因するセキュリティ事故を未然に最小限に抑え発生したことに迅速に気付ける環境を構築することを第一に考え対策する
- 情報漏えいの予防・対策
- 確認プロセスに基づく運用
- 情報の保護(暗号化、認証)
- 外部に持ち出す情報の制限
- 情報リテラシーや情報モラルの向上
- セキュリティ意識を高める普及・啓発活動
- 組織規程、確認プロセスの確立
- 情報漏えいの早期検知
- 問題発生時の内部報告体制の整備
- 外部からの連絡窓口の設置
- 被害を受けた後の対応
- 自組織にて規定している報告先への連絡
- 影響調査、今後の対策強化
- サプライチェーンの弱点を悪用した攻撃の高まり
- 業務委託先の組織が、セキュリティ対策を適切に実施しておらず、委託先を足掛かりとして自組織への被害が発生する
- 対策・対応
- 被害の予防
- 業務委託における規則の徹底
- 信頼できる委託先の選定
- 委託先からの納品物の検証、業務監査
- 契約内容の確認
- 被害を受けた後の対応
- 影響調査及び対策強化
- 被害への補償
3章:脅威への対応サイクル
- セキュリティ対応組織における機能
- セキュリティ対応組織運営
- リアルタイムアナリシス
- ディープアナリシス
- インシデント対応
- セキュリティ対応状況の診断と評価
- 脅威情報の収集及び分析と評価
- セキュリティ対応システム運用・開発
- 内部統制・内部不正対応支援
- 外部組織との積極連携
- セキュリティ対応組織(SOC/CSIRT)の教科書
- 継続した対応が必要な理由
- 新たな脅威の発生
- 事業拡大やIoT・クラウドなど自組織の変化
- 守るべきもの自体が変化
- 脅威への継続アプローチ手法
- 脅威から守るべきものを明確にしたうえで、セキュリティ対応における「導入」「運用」「対応」の3つの軸を抑え、「実行」と「見直し」によるサイクルを「継続して」回すことが必要となる
- シャドーITと上手く付き合うには
- 想定されるリスクを洗い出し、脅威を確認したうえで、対策を実施
- エンドポイントを監視し、大まかに利用を制限する
- クラウドサービスのコントロールとしてCASBを採用し制御を行う
- クラウドサービスの利用を可視化
- 不要なサービスの利用制限・禁止
- アクセス・データ利用等のポリシー設定
- 利用状況から不正利用の検知
- ネットワーク境界型防御からゼロトラストネットワークへ移行しシャドーITを見つけ出す。
- ゼロトラストアーキテクチャ7つの原則
- 全てのデータソースとコンピューティングサービスをリソースとして認識する
- ネットワークの場所によらず全ての通信を保護する
- 個々のリソースへのアクセスはセッション単位で許可する
- リソースへのアクセスは動的ポリシーによって決定する
- 保有する全ての資産の完全性とセキュリティ状態を監視・測定する
- アクセスを許可する前に、動的で厳格なリソースの許可・認証をする
- 資産やネットワークインフラの状況について可能な限り情報収集しセキュリティに活かす
4章:脅威への対応と対策
- 脅威への対応・対策におけるフェーズ
- 準備(対応要否判断)
- 検知と分析
- 封じ込め/根絶/復旧
- 事件後の対応
- セキュリティ対応組織(SOC/CSIRT)強化に向けたサイバーセキュリティ情報共有の「5W1H」
- 対応・対策要否の判断
- インシデントの発生は対応・対策が必要だが、脅威に関する情報は必ずしも対応が必要とは限らない為、各フェーズでの対応要否が変わる
- 準備(対応要否判断)
- 脅威に関連する情報を収集し、対応・対策が必要かの判断をするフェーズ
- 脆弱性を基にした対応要否判断
- 脆弱性がある具体的部位を明確にし、対象となるシステムがあるかを基に判断
- 攻撃関連情報を基にした対応要否判断
- 特定地域における攻撃や特定ルートへの攻撃といった情報から対応を判断する
- 検知と分析
- 攻撃などの脅威に対して、監視の実施と被害の有無を分析するフェーズ
- 脅威に対する準備
- 脅威の情報を確認した結果、攻撃試行がみられない、もしくは成功していないと判断した場合は、脅威に対する予防を実施
- 脅威情報を基にした予防
- 攻撃を無効化する方法(パッチ適用、設定変更)
- 攻撃に対する緩和策(設定変更)
- 攻撃関連情報を基にした予防
- システムに対する予防(パッチの適用、設定変更)
- ユーザへの周知
- 封じ込め/根絶/復旧
- 自組織への攻撃が判明した場合、封じ込め/根絶/復旧するためのフェーズ
- 事件後の対応
- 各フェーズにて対応した結果を取りまとめるためのフェーズ
- IPA 「届出・相談・情報提供」
- 経営視点での情報セキュリティ
- エンタープライズ・リスク・マネジメント(ERM)などのフレームワークに基づきリスク分析を行う
- JNSA CISOハンドブック 業務執行として考える情報セキュリティ
5章:ゼロデイ攻撃から学ぶ脅威への対応と対策
- ゼロデイ攻撃
- 脆弱が発見され対策が発表される前に脆弱性を突く攻撃
- 一般的に周知されていない
- 周知されたが対策が未公開で緩和策しかない
- 準備フェーズ
- 脆弱性対策情報データベースの情報を基に自組織への対応要否を判断
- Japan Vulnerability Notes
- 検知と分析フェーズ
- 攻撃の特徴、痕跡を収集
- リアルタイムアナリシスを実施し、異常が認められる場合はディープアナリシスにより詳細を確認
- 封じ込め/根絶/復旧
- 「攻撃行為をセキュリティ製品や関連するシステムで遮断するための設定要件」を確認、攻撃の無効化ができないことが想定されるためネットワーク遮断など脆弱性とは関連しない部分での対処が必要となる
- 上記の場合、経営視点での判断が必要となる為、事前にプロセス・ルールを策定することが望ましい
- 事件後の対応フェーズ
- ゼロデイ攻撃は今後も継続することが見込まれるため、ルール化が必要
コメント
コメントを投稿