7 Arrows will now form a part of Fidelity ADT. • Proof of attendance and reporting for work. Search. In the security guarding industry, there is a great level of complexity and many market factors create challenges to reduce costs, improve profitability and operate in the most efficient way possible. php?rfc=4864&tag=Local-Network-Protection-for-IPv6, By clicking accept or continuing to use the site, you agree to the terms outlined in our. Some features of the site may not work correctly. , Editor's Choice, Security Services & Risk Management. DOI: 10.1109/MC.2009.54; Corpus ID: 41230291. セキュリティ用語 第11回:今だから学ぶ! セキュリティの頻出用語 : SOCとは? This paper presents an overview of the key security issues, which outlines the challenges in deploying and transitioning to IPv6. Peter Lindström reflects on predictions he made about the macro trends affecting the sector in 2020 in the light of the pandemic. The SecuTraq all-in-one body camera has a robust design that is easy to operate. 東京. A White Paper Presented by: Lockheed Martin Corporation, Cyber Defense Overview - Attack Patterns Aligned to Cyber Kill Chain, インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書(第2版)公開(2017-11-09), 経営リスクとしてのサイバーセキュリティ対策~サイバーセキュリティ経営ガイドラインのポイント解説~, IPA CISO等セキュリティ推進者の経営・事業に関する役割調査-別冊-CISO等セキュリティ推進者の経営・事業に関する役割プラクティス, セキュリティ対応組織(SOC/CSIRT)の教科書~機能・役割・人材スキル・成熟度~第2.1版, セキュリティ対応組織(SOC/CSIRT)の教科書~機能・役割・人材スキル・成熟度~第2.0版, SOC(セキュリティオペレーションセンター)運用はどんな業務で成り立っているのか?監視以外にもある重要なミッション. COVID-19 has brought business continuity under scrutiny, with the opportunity to enhance resilience into the future. • Risk mitigation management and integration. The platform is cloud-based and therefore can be accessed and managed from anywhere and can be set up in accordance with each client’s specific business rules. Semantic Scholar is a free, AI-powered research tool for scientific literature, based at the Allen Institute for AI. Issue 8 2020, Secutel Technologies Issue 7 2020 The SecuTraq platform is a real-time monitoring system for security guards on patrol and their supervisors. Without a doubt, one of the largest emerging trends is the increased use of smart technology for monitoring and managing security workforces. Issue 8 2020, Fidelity ADT I want to be a Chief Risk Officer (said no one…. Strategies to Mitigate Cyber Security Incidents: オーストラリアサイバーセキュリティセンター(Australian Cyber Security Centre:ACSC。元はAustralian Signals Directorate(ASD)が作成していたものを引き継いだ)が提唱する重要項目 。 CISコントロール. Sergey Ozhegov, CEO of SearchInform, says that employees are not the only weak points in the work-from-home chain. In-depth analysis of IPv6 security posture, Survey of Authentication in Mobile IPv6 Network, The research on mobile Ipv6 security features, How Secure is the Next-Generation Internet? php?rfc=4864&tag=Local-Network-Protection-for-IPv6, 2009 5th International Conference on Collaborative Computing: Networking, Applications and Worksharing, 2010 7th IEEE Consumer Communications and Networking Conference, 2013 IEEE Symposium on Wireless Technology & Applications (ISWTA), View 3 excerpts, cites background and methods, View 2 excerpts, cites methods and background, 2010 International Conference on Science and Social Research (CSSR 2010), www.rfc-archive.org/getrfc. With universal online access, a focus on going ‘paperless’ and the rise of the hybrid workforce due to COVID-19, the chief risk officer is more important than ever. This paper presents an overview of the key security issues, which outlines the challenges in deploying and transitioning to IPv6. You are currently offline. サイバーセキュリティ(英: cyber security)は、サイバー領域に関するセキュリティを指す。, サイバーセキュリティはサイバー領域のセキュリティを指し、その定義は論者によって異なるものの(後述)、この言葉は2010年ころから[1]情報セキュリティに変わるバズワード的な語として用いられるようになった。この言葉が登場した2010年頃はセキュリティにとってのターニングポイントになっており[2]、2010年のスタックスネットの事案や2011の三菱重工の事案からもわかるように[2]、ターニングポイント以降、以下の問題が顕在化した:, こうした背景のもと、サイバー領域は2011年以降、米国の安全保障において陸・海・空・宇宙に次ぐ第五の領域とみなされており[3]、日本においても2013年の「国家安全保障戦略」でサイバー空間への防護が国家戦略に盛り込まれるなど[3]、サイバーセキュリティは国際政治・安全保障の問題として扱われるようになっている[3]。このためサイバー空間の問題は、「単に技術的観点のみならず国際政治、市場権益(国際公共財)、知的財産、安全保障、軍事作戦、国の危機管理体制などの各分野に跨る問題の側面を合わせ持っている」[4]。, 一方、企業などの組織体にとってサイバーセキュリティ対策や情報セキュリティ対策は、企業などの組織の事業における(情報)セキュリティリスクを低減する事を主な目的とする[5][6]。組織は災害リスク、事業環境リスク、戦略リスク、財務リスク、事故・故障リスク、情報セキュリティリスク、犯罪リスク、労務リスク、事業運営上のリスクといった様々なビジネスリスクを抱えており[5]、情報セキュリティリスクはそれらビジネスリスクの一つに過ぎない。よって組織のセキュリティを担保するには、組織の経営への影響[7]を加味した上で、ビジネス全体のリスク項目に基づき、網羅性と合理性を検討する必要がある[5]。したがって経営という観点から見た場合、企業戦略として、サイバーセキュリティリスクを加味してどの程度のセキュリティ投資を行うかは経営判断になる[8]。またサイバーセキュリティに関するガイドラインを策定するときは、リスク管理規程、危機管理規程、事業継続計画、IT-BCPといった既存のガイドラインと整合を取る必要がある[9]。, 企業はサイバーセキュリティ対策のため、SOC、CSIRTなどのセキュリティ対応組織をおく事があり、こうした組織の主な仕事は以下の2点に集約される[6]:, ここでインシデントとは直訳すれば「事件」であるが、サイバーセキュリティの文脈では、サイバー領域において組織を脅かす不正な行為全般を指す用語である(より厳密な定義はインシデントの項目参照)。, サイバーセキュリティでも情報セキュリティのCIA、すなわち下記の3つは重視される[10], しかし制御システムのセキュリティでは重要度がC、I、Aの順番ではなく、A、I、Cの順番である[11][12]。また以下のHSEの3つも重視される[12][13], 2018年現在、サイバーセキュリティの定義は論者により異なる。両極端の見解としては, サイバーセキュリティに関する情報セキュリティマネジメントシステムを規定したISO/IEC 27032:2012では、, この標準を規定したISO/IEC JTC 1/SC 27委員会はこの定義の改定を試みており、2017年に行われた会合では事前に9通りの定義案が提出された上でその定義が議論されたが、多様な理解が存在する実態を踏まえ、定義の決定を見送っている[14]。, 経済的利益に関するものは被害が顕在化しやすいのに対し、信仰・国防に関するものは被害が顕在化しにくいという特徴がある[16]。, サイバー犯罪は組織化・分業化が行われ、サイバー犯罪市場では、マルウェアなどの作成者や、マルウェアを遠隔操作するためのプラットフォームの提供業者、マネーロンダリングなどを担当する犯罪組織などによりビジネス化されている[17][18]。Ransomware as a Serviceなどのようにサイバー攻撃のプラットフォームも作られ[19]、アフィリエイトモデルのような攻撃者のヒエラルキーもできている[19]。, こうした犯罪ツールや犯罪サービスはダークウェブ上にあるダークネット・マーケットなどで取引されており[20]、仮想通貨などを利用して決済されている。提供されているものとしては例えば金融機関と銀行へのサイバー犯罪とハッキングサービス[20]、インターネット規模のDNSを使用したDRDoS攻撃[21] などがある。, なお、この活動を監視しようとする試みが様々な政府や民間団体を通じて行われており、使用されるツールの調査は『Procedia Computer Science journal』で見つけることができる[22]。, APT(後述)のような高度な攻撃は、国家の関与が疑われるものも多い。Mandiant社(買収後は買収元であるFireEye)は同一組織によると思われるAPTに対してAPT1、APT2、…と番号をつけており、攻撃組織に関与している事が疑われる国家を推定している[23]。, 標的型攻撃は、2010年ころから[2]サイバーセキュリティにおいてトレンドとなった攻撃手法で、それ以前の不特定多数を狙った攻撃と違い、特定の組織[30]、人[30]、これらの持つ重要情報[31]等を標的とした攻撃である[32]。したがって攻撃の標的となる組織固有の情報(組織構成、事業内容、システム構成等)を事前に入手し、これを利用して攻撃を仕掛ける事も多い[32][33]。, APTは標的型攻撃の一種に分類される事が多い[31]攻撃形態の一分類であり、「先進的で(Advanced)」「執拗な(Persistent)」「脅威(Threat)」を指す[34] [35]。その特徴は「特定の相手に狙いを定め、その相手に適合した方法・手段を適宜用いて侵入・潜伏し、数か月から数年にわたって継続する」[33]ことである。想定される攻撃者としては国家スパイ、産業スパイ、犯罪組織、競合他社、ハクティビスト、国家が後押しする団体などがある[36]。, またAPTでは明確な長期目標に基づく作戦行動のような活動が見られ[36]、このような作戦活動を攻撃キャンペーンという[37]。また攻撃キャンペーンは複数個の「一連の攻撃行動(オペレーション)」に分割できる[38]。, サイバーキルチェーン[40][41][42][43][44][45]は、攻撃者がAPT攻撃をはじめとした[40][46]サイバー攻撃を行う上でのステージを明確化したものであり、ロッキード・マーティンの研究者が2011年に発表した。, なお、「攻撃」と「インストール」をセットにし、最後に潜伏維持(Maintenance)を付け加えるバージョンもある[48]。, 以下、サイバーキルチェーンに従って攻撃のステージを説明する。ただし必要に応じて前節で述べた他のモデルも参照したので、「準備ステージ」のようにサイバーキルチェーンにはないステージも書かれている。またサイバーキルチェーンと内容が重複する部分に関しては、上述のモデルを適時サイバーキルチェーンに読み替え、該当箇所の解説に加えた。, サイバーキルチェーンにはないがJPCERT/CCのモデル[52]には記載されているステージ。, 攻撃者は実際の所在地や目的を把握されないよう、グローバル規模の分散型インフラをハッキング等により構築する[52]。このインフラには情報収集システム、電子メールシステム、ツールやマルウェアの保存用レポジトリ、C&Cサーバ、情報の引き出しに使うサーバ、外部クラウドサーバなどが含まれる[52]。場合によっては攻撃者が自分で攻撃用にドメインを取得する事もあるので[56]、ドメイン名はAPTの重要なインディケータ(APT関連のデータや情報を選り分けるため指標[57][58])になる。, 攻撃者はその攻撃元が特定されないよう、頻繁に攻撃拠点を変える[59]。また分散型のインフラにする事で攻撃の全容をつかみにくくする[60]。攻撃者は犯罪用に匿名化された防弾ホスティングサーバなどの身元が割れにくいサービスを利用する事もある[61]。, このインフラ網を構築するにあたり、攻撃者は法令を逆手に取る事があり、例えば米国や欧州では国家が国民の個人情報やトラフィック情報を収集するのが禁止されている事を逆手に取り、米国や欧州の国民のマシンを拠点にしたり、そうしたマシンからデータを送信したりする[52]。, 攻撃者はこうしたインフラ等、攻撃に必要な構成要素の動作を確認するため、テストラン(検証のための試験的な攻撃)を実施する場合があるので[56]、その際のIPアドレスやドメイン名を特定できればこれらをインディケータとして使う事ができる[56]。, 攻撃者は偵察ステージで従業員の情報[62]やe-メールアドレスを収集したり[62]、プレスリリース[62]、契約発注[62]などから企業情報を収集したり、企業がインターネットに公開しているサーバ[62]を特定したりする。攻撃者は標的組織に侵入する前に、まず標的組織の関連組織に攻撃を行ってメールアドレスなどの情報収集を行う事もある[63]。, さらに攻撃者は標的型メール(後述)等に利用可能なpdfやdocファイル等を収集する[56]。攻撃者は攻撃用のサイトでIEのresプロトコル[64]を使ったリンクをユーザにクリックさせる事で、ユーザが利用しているソフトウェアに関する情報を取得し、これを攻撃に利用できる[65]。, 資金力が十分ある攻撃者であれば、標的組織の防御体制、組織内で標的にすべき人物、ネットワーク構成、セキュリティ上欠陥等も把握する[66]。, このステージに対する対策を講じるのは非常に困難だが[62]、自社のウェブサイトを詳細に調べるユーザをログ解析や既存のアクセス解析であぶり出したりする事はできる[62]。, エクスプロイトとバックドアを組み合わせて配送可能なペイロードを攻撃者が作成するステージで[41][67]、ペイロードの作成には何らかの自動化ツールが使われる事が多い[68]。ペイロードは次の配送ステージで組織に侵入する際に使用される為、侵入検知システム等に検知されないよう、標的組織に特化した攻撃手法を用いる傾向にあり[69][40]、APTではゼロデイの脆弱性を利用される事も多い[40][70]。この場合マルウェア検知ソフトを利用したりパッチを当てたりといった対策で対抗するのは難しい[40]。, 対策側が攻撃者の武器化を検知するのは不可能だが[67]、攻撃が実行された後、マルウェアの検体やアーティファクトを解析し[67]、どんなツールキットが使われたのか[67]、いつごろ行われたどのAPTの作戦活動に連動しているのか[67]といった事を調査し、以後のAPT攻撃への対策に利用する事ができる。, JPCERT/CCのモデルでは攻撃者が直接潜入する事も想定し、これら3つをまとめて潜入ステージと呼んでいる[66]。, 代表的なマルウェア配送手法として以下のものがある。なお、下記に書いたものはマルバタイジングのように、標的型攻撃以外の攻撃で一般的なものも含まれる。, なお、特にスマートフォンアプリでは、正規のアプリをマルウェアとセットにしてリパッケージしたアプリを配布する事で、マルウェア感染させる手法がある[78]。, 大量の本物の業務メールに紛れて、業務メールに見せかけた標的型メールが送られてくるなどするので、配送ステージに対して完全な対策を打つのは難しく、次以降のステージに攻撃が移行する事が多い[75]。, 標的型メールの文面は、準備ステージで窃取した本物のメールを流用されている場合もあり[75]、受信者が標的型メールである事を見抜くのは難しい[75]。標的型メールで感染するペイロードは既存のマルウェアの亜種を使ったり[75]、ゼロデイの脆弱性を使ったり[40][70]する事で検知を逃れる工夫がなされている事もある。また、アイコンや拡張子を偽装する事でexeファイルでないように見せかけたファイルをユーザにクリックさせたり[75][87]、正規のアプリケーションに見せかけたトロイの木馬をユーザ自身にインストールさせたりする事で[75]、脆弱性を利用しないでマルウェアに感染させる場合もある。, 標的型メールの一形態として、「一般の問い合わせ等を装った無害な「偵察」メールの後、ウイルス付きのメールが送る」ものをやり取り型という[88]。また、不特定多数を対象にした攻撃用メールを用いた攻撃をばらまき型のメールという[89][90][91][92]。ばらまき型メールを標的型メールに含めるか否かは論者によって異なり、IPAのJ-CSIPなど標的型メールに含めない論者がいる[90][92]一方で、ばらまき型メールであっても特定企業の全社員や特定銀行の全ユーザなどを対象にしている事が多いことから標的型メールに含める論者もいる[89][91]。, ドライブバイダウンロード型の攻撃では、攻撃のスケーラビリティ向上や運用コスト削減、対策耐性の向上といった理由により、複数の悪性サイト間をリダイレクトさせた上でマルウェアを配布する事が多い[93]。こうした目的のために攻撃者により構築させる悪性サイトのネットワークをマルウェア配布ネットワークという[93]。マルウェア配布ネットワークには以下の4種類のサイトが含まれる事が多い[93]:, マルウェア配布ネットワークは多数の入口サイトを少数の攻撃サイトへと導くための仕組みである。このような構成を取る事により、攻撃者には以下の利点がある:, リダイレクトには、HTTPリダイレクト、HTMLのiframeタグや「meta http-equiv="refresh"」を使ったリダイレクト、JavaScriptなどのスクリプトのリダイレクトの3種類があり、これらが攻撃に利用される[93]。このうちHTMLのiframeを使ったリダイレクトは、widthとheightを0にする事でフレームサイズを0にし、さらにstyle属性を"visibility:none"や"visibility:hidden"にする事で非表示化できるので、標的ユーザに気づかれる事なくリダイレクトできる[93]。同様にstyle属性を"position:absolute"にし、フレームの位置のtopとleftとしてマイナスの値を指定することでも非表示化できる[93]。, またスクリプトを使ったリダイレクトの場合、リダイレクトが閲覧時に初めて生成されるようにできるので[93]、リダイレクトされている事がウェブ管理者に気づかにくい。, サイトにアクセスしてきたユーザのマシンにインストールされているブラウザや各種ツール(Java[94]、Adobe Reader、Adobe Flash[94]、Silverlight[94]など)のインストール状況やバージョン番号などのプロファイルを取得する手法の事。踏み台サイトや攻撃サイトでブラウザフィンガープリンティングを行う事で、ユーザの環境に最適な攻撃(たとえばユーザ環境の脆弱性つけるエクスプロイトを選ぶ等)を実行できるようになる。, ブラウザフィンガープリンティングには攻撃者のサーバサイドで行う方法とユーザのクライアントサイドで行う方法がある[95]。サーバサイドのものでは、ユーザのIPアドレスやHTTPユーザーエージェントからユーザ環境の情報が得られる[95]。クライアントサイドで行うものはクライアント環境でJavaScriptやVBScriptなどを実行する事でさらに詳細なユーザ環境情報を取る事ができ、例えばブラウザに追加されているプラグインの種類やバージョンを知る事ができる[95]。, 攻撃サイトなどに、エクスプロイトキットと呼ばれる攻撃ツールが仕込まれている場合がある。エクスプロイトキットはブラウザフィンガープリンティングを行い、保有している複数のエクスプロイトの中からユーザ環境で実行可能な物を選び[94]、マルウェアを実行する[94]。, エクスプロイトキットの中にはサイバー犯罪者向けにサービスとして運営されているものもあり、EaaS(Exploit Pack as a Service[96]もしくはExploits as a Service[97])と呼ばれている。, 悪性サイトにアクセスしてきたクライアントに応じて応答するウェブコンテンツを変化させる手法の事[98]。例えば検索エンジンのクローラーがアクセスしてきたときは無害なコンテンツを表示し、標的ユーザがアクセスしてきたときのみ攻撃用のコンテンツを表示する[98]。これにより攻撃用コンテンツをクローラーに発見される事なく、クローラー向けコンテンツに検索エンジン最適化を施す事で検索順位を上げる、といった事が可能になる[98]。クローキングで表示するコンテンツを変えるための指標として、IPアドレス、ユーザエージェント、リファラの情報が利用される[98]。, これまで標的型メールやウェブアクセスを利用して標的システム上でローカルエクスプロイト[99]を実行する手段を解説してきたが、攻撃者がセキュリティ上の欠陥をついて標的組織に潜入して遠隔地からリモートエクスプロイトを実行する場合もある。そうした方法としては例えば下記のものがある:, 制御システムだとSCADAに共有モデムが利用されている事が多いので、ここから侵入される場合もある[66]。, 攻撃対象の組織からC&Cサーバ(コマンドアンドコントロールサーバ。C2サーバとも。攻撃者が攻撃対象の組織に不正なコマンドを遠隔で頻繁に送信する為に利用されるサーバの事[100])への通信(コネクトバック通信[101])の経路を確保する[102]。なおC&Cサーバ自身も攻撃者に乗っ取られた外部組織のサーバであることもある[102]。, コネクトバック通信にはhttpやhttpsを使うことが多いので[101]、通信の特徴だけからコネクトバック通信を検知するのは困難である[101]。なお、監視の目が行き届いたhttpやhttpsを使う代わりに、e-メール[102]、DNS[102]などのプロトコルが使われる事もある。, ファイヤーウォールのフィルタリングルールが形骸化していたり、攻撃によく使われるCONNECTメソッドをプロキシで防ぐことを怠っていたりすると、コネクトバック通信の確立が容易になってしまう[101], 攻撃者は感染状態を維持しておくため、RAT やダウンローダーなどの攻撃ツールをOS 起動時に自動的に起動するようPC の設定を変更する(永続化)[103]。Windowsの場合、永続化のため主に下記の箇所を設定変更する[103]:, マルウェアが作るフォルダ名、ファイル名、サービス名等を発見しにくい名称に偽装する[103]。具体的には正規のアプリケーションと同一もしくはよく似た名前を利用したり[103]、マルウェア起動時に正規アプリケーションの一部のプログラムを利用する[103]。, マルウェアは一般利用者権限もしくはログインユーザー権限のみで多くの権限が得られるフォルダで環境変数でアクセスしやすい箇所に配置されやすい[103]。具体的には%TEMP%、%PROGRAMDATA%、%ALLUSERSPROFILE%、%APPDATA%、%LOCALAPPDATA%、%PUBLIC%、およびC:直下である[103]。典型的には、ファイルを開いたとき%TEMP%にマルウェアが一旦生成され、それを%PROGRAMDATA%以下の偽装したフォルダにコピーし、そのファイルを永続化する[103], 攻撃者が仕込んだRATはC&C サーバと定期通信(ビーコンという)を行う事が多い[104]。ビーコンは標的組織に発見される危険があるので、一時的にFQDN に対するA レコードを「0.0.0.0」や「127.0.0.1」としてC&C サーバとの通信を停止させるRATもある[104]。逆に言えば、標的組織はこれらのA レコードがこれらのIPアドレスになっているものをRATの候補として抽出可能である[104]。, JPCERT/CCのモデル[52]には記載されているステージで、サイバーキルチェーンでは目的実行ステージの一部とみなされている[105]。, このステージで攻撃者は、最初に侵害したシステムを足がかりにして同じ組織内の脆弱なシステムを横断的に侵害する[106]。具体的には最初に侵害したシステムを足がかりにして、インストールしたプログラムを使いながら、攻撃者は試行錯誤してネットワークの構造を把握し[106][101]、認証情報を窃取し[105][101]、ラテラルムーブメント(=他の端末やサーバへの侵入)[105]や権限昇格[105]等を行う。このステージでも攻撃者はバックドアを設置する[106]。, 攻撃者はこうした行為を行う為にIPアドレスやサービスポートをスキャンするが[101]、攻撃が発覚しづらいようスキャンするポートを限定して行われる[101]。, 対策面から見た場合、横断的侵害は最初の侵入に比べ検知しにくいという問題がある[106]。その原因は、LANの入口は監視していても、LANの内部やLANの出口はさほど監視されていないことにある[106]。, 攻撃者が目的となる行為を実行するステージ[105]。このステージにおける攻撃者の行動は、攻撃者が何を目的とするかで異なるが[105]、主な目標は重要情報の窃取である[106]。窃取した情報は分割され、複数の端末から外部に送信されるので、窃取したファイルの特定は極めて困難である[113]。, また最終目標を達成する前段階として、今後のオペレーションのために標的組織の状況を窃取したり、他の組織とのトラストチェーンを把握したり、標的組織に対して優位に立つため破壊行為を行ったりする[105][106]。, サイバーキルチェーンにはないが、IPAのモデル[50][51]には記載されているステージ。攻撃者は過去の侵入時に構築したコネクトバック通信路を利用し、再侵入してシステム内探索を継続する[114]。このため一度標的になった組織は、一見攻撃が終了したように見えても、コネクトバック通信路が設置されていない事を継続的に監視する事が重要である[114]。標的組織内にコネクトバック通信路が一つでも残っていると再侵入が可能になるので、APTの場合は「対処率99%でも残存リスクは100%のまま」[114]という事になる。, フィッシング(phishing)は口座番号、アカウント情報、カード番号といった、主に金銭に関わる個人情報を奪取するための攻撃[115]。金融機関を装ったりしたフィッシングメールを送りつけ、個人情報を盗むために設置されたフィッシングサイトに誘導する。メールやウェブサイトを利用する点では標的型攻撃と共通するが、目的が個人情報であるため必ずしも企業システムに潜入する必要はなく、ユーザのブラウザ上にある金融機関のcookie等に書かれたID/パスワードを奪取するなどの手口を用いる。SMSメールを利用したフィッシングを特にスミッシングという[115]。, ファーミング(Pharming)はURLとIPアドレスの対応表を攻撃者が不正に書き換えることで、正規サイトのURLにアクセスしたユーザを偽サイトに誘導する攻撃の事である[115]。URLとIPアドレスの対応表を書き換える手段としてはDNSを攻撃する方法(DNSキャッシュポイズニング)と、ユーザがローカルに持っているhostsファイルを書き換えたりする方法がある[115]。, 無線LANフィッシングはWiフィッシング(ワイフィッシング)とも呼ばれ、攻撃者が偽の無線LANアクセスポイント(Evil Twinと呼ばれる)を立てる事で、そのアクセスポイントを利用したユーザのID/パスワードを窃取んだり、偽サイトに誘導したりする攻撃である[115]。, QRishingはQRコードフィッシングとも呼ばれ、攻撃者が作成したQRコードを(正規サイトのものと偽って)ユーザに読ませる事により、偽サイトに誘導する攻撃である[115]。本物のQRコードの上に偽のQRコードのシールを貼ってQRishingした事案が知られている[115]。なお短縮URLでも同様の手口を行う事ができる[115]。, ビジネスメール詐欺(BEC、Business Email Compromise)とは、自社の経営層や取引相手になりすました偽のEメールで経費などの送金を指示する事で金銭をだまし取る詐欺[86][116]。その巧妙な騙しの手口は標的型攻撃に通じるところがある[116]。ビジネスメール詐欺には以下の5つの類型がある[116]:, といったものがある。なお詐称用ドメインを利用する手法では詐称用ドメインのDNSにSPFを設定してSPFのチェックを通過する攻撃も確認されている[117]。, ワンクリック詐欺はウェブページ上の特定のアダルトサイトや出会い系サイト、勝手に送られた電子メールに記載されているURLなどをクリックすると、「ご入会ありがとうございました。」等の文字やウェブページが契約したことにされて多額の料金の支払を求める詐欺のことをいう。同様の手口でツークリック以上のものやノークリック(=全くクリックしない)ものも存在する[118]。, ワンクリック詐欺のサイトでは、サイトに訪れたユーザのブラウザから環境変数を取得して表示するなどして、あたかもサイト側がユーザ個人を特定できているかのように装い、ユーザを脅迫することがある[118]。(たとえばユーザがスマートフォンからアクセスした場合にユーザの位置情報を表示するなど)[118]。, また詐欺サイトがユーザ端末にワンクリックウェアをインストールし、振込みを行うよう要求する画面を頻繁に表示させるという手口もある[118]。, 何らかの方法でインターネットバンキングのアカウント情報などを盗んで攻撃者の口座に不正送金を行うウイルスの事[119][120]。例えば以下の手法がある:, DoS攻撃(ドスこうげき)(英:Denial of Service attack)は、情報セキュリティにおける可用性を侵害する攻撃手法のひとつ。 ウェブサービスを稼働しているサーバやネットワークなどのリソース(資源)に意図的に過剰な負荷をかけたり脆弱性をついたりする事でサービスを妨害する。, DoS攻撃には2種類の類型があり、第一の類型はウェブサービスに大量のリクエストや巨大なデータを送りつけるなどしてサービスを利用不能にするフラッド攻撃(Flood=「洪水」)であり、第二の類型はサービスの脆弱性を利用する事でサービスに例外処理をさせるなどしてサービスを利用不能にする攻撃である[125][126]。, DoS攻撃の主な目的はサービスの可用性を侵害する事にあり、具体的な被害としては、トラフィックの増大によるネットワークの遅延、サーバやサイトへのアクセス不能といったものがあげられる[127]。しかしDoS攻撃は被害者に経済的ダメージを負わせる事を目的として行われる場合もあり、EDoS攻撃(Economic DoS Attack)と呼ばれる。たとえばクラウド上で従量課金されているサービスにDoS攻撃をしかければサービスの運営者に高額な課金を発生させることができる[128]。, また、「DoSをやめてほしければ金を払え」と脅す目的でDDoS攻撃(後述)が行われることもあり、ランサムDDoSと呼ばれる[129]。, フラッド型のDoS攻撃には、大量のマシンから1つのサービスに、一斉にDoS攻撃を仕掛けるDDoS攻撃(ディードスこうげき、分散型サービス妨害攻撃、英: Distributed Denial of Service attack)という類型がある。, DDoS攻撃の類型は2つあり、第一のものは攻撃者が大量のマシン(踏み台)を不正に乗っ取った上で、それらのマシンから一斉にDoS攻撃をしかける協調分散型DoS攻撃である。, 第二の類型は、DRDoS攻撃(Distributed Reflective Denial of Service attack。DoSリフレクション攻撃、分散反射型DoS攻撃)[130][131]と呼ばれる。DRDoS攻撃では、攻撃者が攻撃対象のマシンになりすまして大量のマシンに何らかのリクエストを一斉に送信する。するとリクエストを受け取ったマシン達は攻撃対象のマシンに向かって一斉に返答を返すことになるので、攻撃対象のマシンには大量の返答が集中し、高負荷がかかることになる[132]。DRDoS攻撃は協調分散型DDoS攻撃と異なりマルウェアなどで踏み台を乗っ取らなくても実行可能なため攻撃C&Cサーバが発覚しづらい。, ボットネットとはC&Cサーバのコントロール下にあるマシン(ボット)のネットワークで、攻撃者はC&Cサーバから命令を出す事で、ボットネットを様々なサイバー攻撃に利用する[133][134]。ボットによる攻撃にあった被害者は、裏にいるC&Cサーバの情報を直接得る事ができないので、攻撃者を特定するのは困難になる。, 攻撃者は1台のC&Cサーバから命令を出すことで多数のボットから同時多発的に攻撃をしかける事ができるので、低い運用コストでDDoS、スキャン、二次感染といった様々なサイバー攻撃の実行が可能になる[133]。, C&Cサーバとボットとの通信には、IRC[135]、HTTP[135]、各種P2P接続[135]などが利用される。特にHTTPはセキュリティに配慮した企業などであっても業務の関係上通信を遮断できないので、攻撃者は企業内のマシンをボット化できる[135]。, ボットネットのネットワーク構造として最も単純なものは、1つのC&Cサーバに全てのボットがぶら下がっているスター型のネットワーク・トポロジーであるが、これだとその1台のC&Cサーバがダウンしたり当局に取り締まられたりするとボットネットが完全に停止してしまう[133]。そこで様々な国に複数のC&Cサーバを立てて多重化する事で各国の取り締りにそなえたり[133]、ボットの下にさらにボットをぶら下げる階層型の構造にしてボットネットの全体像を把握されにくくしたり、P2P通信によるランダムなトポロジーにする事でネットワーク耐性を上げたりする[133]。, ボットネットのC&Cサーバ等の悪性サイトは、サイトのFQDNに対応するIPアドレスを数分程度で次々と変えていくFast Flux手法(IP Flux手法とも呼ばれる[136])を用いる事で[136][137][138][139][140]、捜査機関等が悪性サイトをテイクダウン(停止)させるのを難しくしている[137]。攻撃者は自身のコントロール下にあるボットのIPアドレスを悪性サイトのFQDNに次々に割り振っていく為、FQDNに割り振られるIPアドレスは数百から数万に及ぶ[136]。C&Cサーバやドライブバイダウンロード攻撃用サイトはFast Flux手法で運営される事が特に多い[136]。, Fast Flux手法はBlind Proxy Redirectionという手法と併用される事が多い[136]。この手法ではFast Fluxで運営されるサイトのは単なるリダイレクトサイト(フロントエンドノードという)であり、リダイレクト先にあるマザーシップノードが真の悪性サイトである[136]。このような構成を取る事により、マザーシップノードのアドレス情報を捜査機関から隠したり、捜査の手が及んだフロントエンドノードを切り捨てたりする事ができる。また悪性サイトのコンテンツを変えたい場合はマザーシップノードだけを変えればよいので運用も容易である[136]。, Fast Flux手法はsingle flux手法とdouble flux手法に分かれる[136][139][140]。single flux手法では攻撃者は何らかの方法を用いて自身の権威DNSサーバを立て、その権威DNSサーバ上で悪性サイトのIPアドレスを(TTLを小さな値にする事で)次々に変えていく手法である。この手法の(攻撃者にとっての)欠点は、攻撃者が立てた権威DNSサーバが単一障害点になっているため、この権威DNSサーバが捜査機関にテイクダウンされると、悪性サイトを運営できなくなってしまう事である[139][140]。, double flux手法は権威DNSサーバもFast Flux手法で運営する事で対策耐性をあげたものである。double flux手法ではボットネット上に権威DNSサーバXを立て、さらにXより上位レベルの権威DNSサーバYを自身で立てる。single flux手法のときと同じく悪性サイトのIPアドレスをX上で次々と変えるのみならず、XのIPアドレスをY上で次々と変える事でXがテイクダウンされる事を防ぐ[140]。なお、double flux手法においてYは単一障害点であるが、捜査機関が調査のため悪性サイトにアクセスしてきても、悪性サイトの名前解決はXで行われるので、捜査機関に直接Yが見える事はなく、Yを特定してテイクダウンするのは難しくなる。, 1つのドメイン名に対して複数のIPアドレスを用意して多重化するFast Flux手法とは逆に、ドメイン名を複数用意して多重化する手法をDomain Flux手法と呼ぶ[141]。この手法を用いる事で、一部のドメイン名が悪性サイトとして対策側にブラックリスト化されても、悪性サイトに別のドメイン名を用いる事でブラックリストをすり抜ける事ができる[141]。, Domain Fluxを行う方法の一つは攻撃者自身が管理するドメイン(仮にexample.comとする)に○○.example.comというFQDNを生成し、○○の部分を短時間で変える、というものである(ドメインワイルドカード)[141]。, Domain Fluxでは疑似乱数を使ってドメイン名を生成する。このためのアルゴリズムをDGA(Domain Generation Algorithm)という[141]。擬似乱数を利用するのは、C&Cサーバとそのコントロール下にあるマシンでドメイン名を同期するためである[141]。C&Cサーバとそのコントロール下にあるマシンで事前に擬似乱数の種を共有しておき、種と時刻情報を利用してドメイン名を生成するようにすれば、両者とも同一時刻には同一のドメイン名を取得できる[141]。, 本節では攻撃やペネトレーションテスト(システムに実際に攻撃をしかけてみる診断。詳細後述)で使われる手法やツールについて述べる。, ペネトレーションテスト用のLinuxディストリビューションとして、Kali Linux、Parrot Security OS、BackBoxなどがあり、前者2つはDebianベース、最後のものはUbuntuベースである。これらのディストリビューションにはペネトレーションテスト用の各種ツールがプレインストールされている。, ペネトレーションテストの練習用として、意図的に脆弱に作られたツールが公開されている:, 他にもBadstore、BodgeIt Store、amn Vulnerable Web Application (DVWA)、OWASP Bricks、WASP WebGoatb、WAPP、moth、Gruyere, Magical Code Injection Rainbow (MCIR)などがある。, 攻撃者は標的組織を偵察する際や、侵入後に横断的侵害を行う際、スキャンを行うことで、標的組織のネットワークの情報を得る。スキャンはホストスキャンとポートスキャンに大別でき[142]、前者はネットワーク上にあるホストのIPアドレス等を行うために行われ、後者はホスト上で空いているポート番号を知るために行われる[142]。ホストスキャンにはICMPプロトコルを利用したツールであるpingやtracerouteが用いられ、ポートスキャンには例えばnmapのようなツールが用いられる。, nmapは単にホスト上の空いているポート番号を特定するのみならず、ホストに送ったパケットに対する返答のフォーマット等の情報から、ホストで動いているOS、サービス、およびそれらのバージョン番号などを特定する機能も備えており[142][143][144]、これらは攻撃者にとって有益な情報となる。この手法で動作しているアプリケーションを特定する事をバナーチェック、OSの種類やバージョンを特定することをTCP/IP スタックフィンガープリンティングという[145]。, スニッファとはネットワーク上を流れるパケットを監視したり記録したりするツールの事で[153]パケット・スニッファとも呼ばれる[153]。攻撃目的ではなくセキュリティ目的で用いられる同種のツールをパケットアナライザ等と呼ぶが[153]、広義にはパケットアナライザもスニッファに含める[153]。フリーなものではWireshark、tcpdumpなどがある。, ソーシャル・エンジニアリングとは人間の心理的な隙や行動のミスなど「人」をターゲットにして機密情報を窃取する攻撃全般を指す[154][155][156]。手法としては例えば下記のものがある:, パスワードクラッキングとは、総当たり攻撃や辞書攻撃等の何らかの方法でパスワードを割り出す攻撃方法であり、推定したユーザID/パスワードでログイン試行を行うオンライン攻撃と何らかの方法で入手したパスワードハッシュ(パスワードのハッシュ値)などからローカルにパスワードを推測するオフライン攻撃とに大別される[157]。オフライン攻撃の対象となるパスワードハッシュはWindowsのSAMファイル、Linuxの/etc/shadowファイルなどにあるものを利用する[158]。またパスワードで保護されたOfficeファイル等も攻撃対象となる[158]。, 著名なオンライン攻撃ツールとしては、Bruter(Windows環境)[159][160]、ncrack(マルチプラットフォーム)[161][160]、TCP-hydra[162][163]がある。著名なオフライン攻撃ツールにはJohn the Ripper[158]、RainbowCrack[164](レインボーテーブルを用いてハッシュを解析する)、ophcrack[165]がある。, またWindowsのSAMファイルからパスワードハッシュを取得するツールとしてPwDumpがある[166]。, Metasploit Framework、あるいは単にMetasploitとは、エクスプロイトコードの作成、実行を行うためのフレームワークソフトウエアである[167]。Metasploitには様々なエクスプロイトコードが収録されており、アップデートを実行する事で新たなエクスプロイトコードを手に入れたり[168]、Exploit Databaseのようなエクスプロイト配信サイトからエクスプロイト(とそのエクスプロイトを適用できる脆弱なソフト)をダウンロードして用いたりできる[169]。, またプロキシやリダイレクタを使ってファイヤーウォールを突破する事で、侵入した端末からC&Cサーバや組織内の別の端末との通信経路を確立する[171]。その他ファイル圧縮ツールやステガノグラフィーツールもデータ内容を隠蔽して送信する目的で使われる[171]。, ウェブサーバやIoT機器など、インターネットに接続している機器を調査できるウェブサービスとして、SHODAN[191]やCensys[192]などがある[186][193][194]。SHODANはポートスキャンにより接続している機器を特定し、特定した機器に対してバナーチェックを行う事により、機器の情報を得ている[195]。SHODANの利用者が例えば東京にあるApacheサーバの一覧を得たければ、SHODANに「apatch city:Tokyo」と打ち込んで検索する事ができる[196]。また、SHODAN MAPSの機能により、検索した機器の位置を地図上に表示可能である[197]。, バナー情報により、検索結果には製品名やバージョン等もわかるため、攻撃者はこれを利用して脆弱性が適用可能な機器を見つける事ができる。なお、SHODANを使うには事前にユーザ登録が必要であり[198]、基本無料であるものの全機能を使うには低額の利用料を支払う必要がある[199]。, CensysはZmapというネットワークスキャナでIPv4のインターネット空間をスキャンして情報を収集し、ZGrabというプロトコル解析ライブラリにより収集したデータを構造化データに加工する[200]。なお、ZmapがIPv4のアドレス空間全てをスキャンするのにかかる時間は45分に過ぎない[200]。, Censysは無料で利用でき[193]、ユーザ登録は必須ではないが、登録していないユーザは1日4回までしか検索できない[193]。Censysはミシガン大学の研究者らが公開したものである[193]。, 攻撃に利用可能なツール、コマンド、脆弱性として下記のものがある。なお、下記の表にはRDPのように、本来は攻撃ツールではないものの攻撃用にも利用できるものもリストアップされている。, NIST(アメリカ国立標準技術研究所)のサイバーセキュリティフレームワーク(正式名称:重要インフラのサイバーセキュリティを向上させるためのフレームワーク)によれば、重要インフラのサイバーセキュリティ対策は以下の5つのフェーズに分類できる[203]:, 上の表でSOC、CSIRTはセキュリティ対応のための組織である。両者の役割分担や関係性、業務内容等は企業毎に異なるが[205]、概ねSOCは「平時」の分析運用を行い[206]、CSIRTは「有事」のインシデント対応を行う[207]。, このフレームワークは、それ以前の類似のフレームワークと比較した場合、攻撃が行われた後の検知、対策、復旧のフェーズの重要性を明確化した事と[208][209]、各フェーズの習熟度について言及した事に特徴がある[208]。, このフレームワークでは「ガバナンスのサイクル」と「マネジメントのサイクル」を回すことがサイバーセキュリティ対策で重要だと主張している[210]。, またおなじNISTが発行したSP800-61「コンピュータセキュリティ・インシデント対応ガイド」ではインシデント対応プロセスは、準備、検知および分析、封じ込めおよび根絶、インシデント後の活動の4段階に分類されるとしている[210]。, 以下、サイバーセキュリティフレームワークの各フェーズを説明するが、一部JPCERT/CCの文献を元に加筆した。, サイバーセキュリティ対策をする上で基本となるのは、守るべき資産を特定し[203]、各資産のリスクを把握することである。, 産業分野やサプライチェーンにおける自社の位置づけ[211]、重要サービスを提供する上での依存関係と重要な機能等を把握し[211]、自組織のミッション、目標、活動に関する優先順位を決め[211]、伝達する必要がある[211]。JPCERT/CCは、守るべき資産を特定する前準備として、組織のプロファイルを作成することを推奨している[212]。このプロファイルには規模[212]や提供製品[212]のような基本的事項のみならず、システムダウンの影響度合い[212]や規制のレベル[212]などリスクアセスメントに必要となる情報も含める。また、組織のサイバーセキュリティ防御能力に関する文書を作成する[212]。, またセキュリティに関する法規制を把握し[211]、自組織の情報セキュリティポリシーを定め[211]、セキュリティに関する役割と責任について内外のパートナーと調整や連携を行う[211]。さらにガバナンスやリスク管理のプロセスをサイバーセキュリティリスクに対応させる[211]。, 自組織内の物理デバイス、システム、ソフトウェアプラットフォーム、アプリケーション、外部情報システムといったリソースの一覧を作成し[211]、ネットワークの通信やデータフローを図示し[211]、これらのリソースやデータのうち、守らなければならないものとその理由、およびそれが抱える脆弱性を特定する[211][212][213]。この際、ビジネスに対する潜在的な影響とその可能性も特定する[203][212]。そしてそれら守るべき対象を守れなかった場合に発生するリスクを、脅威、脆弱性、可能性、影響等を考慮して分析し[212][211]、リスクに対処するためのコストや[212]リスクが顕在化した場合の減損[212]、対処後の残存リスク[212]を特定し、自組織の役割、事業分野等を考慮してリスク許容度を明確化する[211]。そしてビジネス上の価値に基づいてこれらのリソースやデータを優先度付けをする[203]。さらに自組織の従業員や利害関係者に対し、サイバーセキュリティ上の役割と責任を定める[211]。リスク管理のプロセスを自組織の利害関係者で確立、管理、承認する必要がある[211]。, なお、保有資産の特定にはIT資産インベントリ検出ツールが利用でき[212]、未登録機器の発見にはDHCPサーバのロギング機能等が利用できる[212]。またアクセス監視の際、資産リストと突合する事で、承認されたデバイスのみがネットワークに接続されている事を確認できる[212], なおリスク分析の際にはどのようなタイプの攻撃者が自組織が属する業界を攻撃するのかを事前に特定しておくのが望ましい[213]。, 脆弱性管理計画の作成・実施を行い[214]、脅威と脆弱性に関する情報を入手する必要がある[211]。JPCERT/CCによれば、脆弱性スキャン[215]はセキュリティ設定共通化手順「SCAP」のチェックリストにより検証済みのスキャナを用いて[216]、毎週ないしそれ以上の頻度で行う必要がある[216]。これによりコードベース・構成ベース方法の脆弱性を検出する事が可能である[216]。攻撃検知のイベントログと脆弱性スキャン結果を突合することで、どの脆弱性が標的にされたのかを判別できる[216]。アプリケーション、OS双方に対し自動パッチ適用ツールを用いる事が望ましい[217]。, 自組織の全ての従業員のIDに対してアクセス制御リスト(ACL)を定義し[212]、ACLに従って従業員の資産や関連施設への物理アクセス[214]やリモートアクセス[214]、データへのアクセス[212]を制限する。ACLは定期的に棚卸し[212]、人事の異動、追加、削減に際してアクセス権限の無効化[214]や従業員の審査[214]を行う。従業員等にシステムや資産に対する権限を与える場合には、最小権限の原則に従う[214]。, システムの開発ライフサイクル[214]や設定変更[214]を管理する。また開発の際には開発環境やテスト環境を実環境と分離することで情報漏えい等を防ぐ[214]。, 全てのユーザをトレーニングし[214][218]、権限ユーザ[214]、上級役員[214]、利害関係者[214]、 物理および情報セキュリティ担当者[214]にポリシー、手順、契約に基づいた[214]役割と責任を理解させる必要がある[214]。またAPTなどの攻撃に対する演習を事前に行っておく必要がある[218]。, 自組織のリスク戦略に従って[214]、保存されたデータや伝送中のデータの機密性、完全性、可用性を保証する[214]。データの可用性の保証に関しては十分な容量を確保し[214]、機密性に関しては漏洩対策を実施し[214]、完全性に関しては何らかの完全性チェックメカニズムを導入する[214]。データは定期的にバックアップ・テストする[214]。またデータはポリシーに従って破壊し[214]、資産の撤去、譲渡、廃棄も管理する[214]。, なお情報はその機微度に応じて「高、中、低」等の格付けを事前に実施し[213]、自組織を狙う可能性がある攻撃者がどのような情報に関心を示すのかを特定しておく[213]事が望ましい。, システムのベースラインを設定・維持する必要がある[214]。保守と修理はポリシーや定められた手順に従って実施する[214]。重要な資産を保護するプロセスを定め[213]、重要なシステムに対して適用可能なセキュリティ管理策を全て実施していることを確認する[213]。保守や修理の際は、管理されたツールを用いてタイムリーに行い[214]、ログを記録する[214]。特に遠隔保守の際には、承認[214]、ログの記録[214]、不正アクセス防止を行う必要がある。監査記録やログの対象をポリシーに従って決め[214]、取得した監査記録やログをレビューする[214]。ログデータは、DNS[219]、プロキシ[219]、ファイアウォール[219]など重要機器に対して取得し、時刻はNTPにより同期する[219]。事前にセキュリティを強化し、構成管理を厳密に行ったOS等のイメージを作成しておき、従業員のPCや新規導入システムにはこのイメージをインストールする[217]。, ネットワークのセキュリティ構成は、変更管理委員会によって文書化、確認、承認を行う[217]。, セキュリティポリシー、プロセス、手順を維持し[214]、資産の物理的な運用環境に関するポリシーと規制を満たすようにする[214]。また保護プロセスを継続的に改善する必要がある[214]。, インシデント対応[214]、事業継続[214]、インシデントや災害からの復旧計画[214]の実施・管理・テストを行う[214]。保護に使う技術の有効性の情報共有を行う[214]。, 取外し可能な外部記憶媒体はポリシーに従って保護したり、使用を制限したりする[214]。, 検知を行う前提条件として、ネットワーク運用のベースラインを定め[215]、データフローを特定・管理する[215]。そしてセキュリティイベントを検知できるよう[215]、ネットワーク[215]、物理環境[215]、個人の活動[215]、権限のない従業員・接続・デバイス・ソフト[215]、外部サービスプロバイダの活動[215]等をモニタリングし[215]、マルウェア対策ソフトなどで悪質なコード、特にモバイルコードを検出できるようにする[215]。, そしてイベントログを複数の情報源やセンサーから収集し、SIEMなどで一元管理して[219]、相互に関連付け[219]、検知したイベントを分析し[219]、その影響範囲を特定する[219]。また事前に定めたしきい値に従って[215]、検知したイベントをインシデントとみなすかどうかを判断する[215]。, 検知プロセスはテストし、継続的に改善する必要がある[215]。また説明責任が果たせるようにする必要がある[215]。, CSIRTの主たる担当業務である[204][207]。検知フェーズで発見したセキュリティイベントにタイムリーに対応できるよう対応計画を事前に定めておき[220]、法執行機関の支援が得られるよう情報共有や利害調整を行う[220]。そして対応計画にしたがってインシデント分類し[220]、フォレンジックを行うなどして[220]セキュリティイベントを調査し[220]、その影響範囲を把握し[220]、事前に定めた基準に従ってインシデントの封じ込めないし低減を行う[220]。インシデント対応の結果学んだ教訓を生かして対応計画を更新する[220]。, タイムリーに復旧できるよう事前に復旧手順を定め[221]、復旧の際にはその計画を実施する[221]。システムの復旧を行うのみならず、広報活動を管理するなどして評判回復に努める[221]。対応フェーズと同様、教訓を生かして復旧計画の更新も行う[221]。, システムの安全性を確実に担保するにはシステム開発ライフサイクルの初期段階からセーフティ、セキュリティ、プライバシーなどを考慮しておくことが望ましい。開発プロセスのより早い段階でセキュリティを考慮する事を(開発プロセスを左から右に書いたときにセキュリティを考慮するのを左に寄せる事から)シフトレフトという[222][223][224]。特に、情報セキュリティを企画・設計段階から確保するための方策をセキュリティ・バイ・デザイン(Secure By Design、SBD)といい[225][226]、プライバシーに対する同様の概念をプライバシー・バイ・デザインという。, またDevOps(デブオプス[227]、開発 (Development) の担当者と運用 (Operations) の担当者が一体となった開発手法[227])の普及に伴い、これにセキュリティの確保も一体になった開発手法であるDevSecOps[228][229]も注目を集めるようになっている。DevSecOpsでは設計段階からセキュリティを意識することはもちろん、セキュリティ対策ツールを開発ライフサイクルに組み込むなどして脆弱性診断を自動化し、アプリケーションを修正するたびに脆弱性を作り込まないようチェックし[229]、利用しているライブラリの脆弱性を日々チェックするような活動も含む[229]。, システム開発ではその工程の一部を外注する事も多いため、サプライチェーン全てでセキュリティを担保する事が重要となる。このような調達時の脅威に対応する事をサプライチェーンチェーンリスクマネジメント(Supply Chain Risk Management、SCRM)という[230][231]。ISO/IEC 27036ではアウトソーシングの際のセキュリティのガイドラインが規定されている[230]。米国ではNIST SP800-161やNIST IR 7622にSCRMの規定がある[230]。またISO/IEC 20243には不良品や偽造品を排除するためのベストプラクティス等が規定されている[230]。, また事業継続計画(BMC)の観点からもサプライチェーンの継続を図ることも重要であり、SCCM(Supply Chain Continuity Management)と呼ばれ、ISO 22318に規定されている[230]。なお災害復旧とサプライチェーンマネジメントをあわせてSCDRM(Supply Chain Disaster Recovery Management)と呼ぶ[230]。, 多層防御とは、様々な階層で複数のセキュリティ対策を施す事で、重要部への侵入前に攻撃の検知および対応を行う事で[232][233]、軍事・戦闘の世界のDefense in Depth (縦深防御) を応用したものである[234]。複数の防御壁を設けて、一つの壁を突破されても次の壁で阻止して、機密情報に到達されてしまう確率を下げる事を目的とする[234]。, 多層防御の手法として以下で述べる入口対策、内部対策、出口対策の3つを取り入れる組織内対策や[235][236]、複数組織をまたがった攻撃連鎖を上流で断つ国レベルでの対策[236]などがある。, 入口対策はファイアウォール、ウイルス対策ソフト、脆弱性対策など、攻撃者やマルウェアが組織内に侵入するのを防ぐ対策手法で[237][238]標的型攻撃やAPTが普及する以前は有効であった。しかし標的型攻撃やAPTでは組織に侵入する方法が巧妙化しており[239]、しかも侵入方法の変化が激しいので[239]、入口対策だけで攻撃を防御するのは難しい[239][240]。そこで、攻撃者が組織内部に侵入しているのを前提として、組織の内部対策を行う事より侵入の拡大を防ぎ[238]、攻撃の外向き通信を遮断・監視する[238]出口対策により組織からの情報の持ち出し[237]やC&Cサーバとの通信を防ぐ必要がある。, サイバーレジリエンスは攻撃を受けてしまう事を前提として、攻撃を受けた際に、どのように組織の機能を維持し、いかにすばやく対処・復旧するかという回復力(レジリエンス)を高めるべきという考え方である[241][242]。 世界経済フォーラムによる「グローバルリスク2013」を契機として「レジリエンス」という用語がビジネス等で使われるようになり、それと時期を同じくしてサイバーレジリエンスという用語も広まった[243]。なお「レジリエンス」という用語はISO22300では「複雑かつ変化する環境下での組織の適応能力」と定義されている[243]。, 非武装地帯(DMZ、DeMilitarized Zone)はメールサーバ、ウェブサーバ、DNSコンテンツサーバ、Proxyサーバといった、組織内、インターネット双方とアクセスする必要があるサーバ群を置いておくためのネットワーク領域で、組織内ネットワーク・インターネット・DMZの3つの領域間の通信をファイアウォールで制限する。ウェブサーバ等をDMZではなく組織内ネットワークに設置すると、ウェブサーバが用いるポートを開けて置かなければならない為、そのポートを利用してインターネットから組織内に攻撃を行う事が可能になってしまう。これを防ぐためにウェブサーバ等をDMZに設置する。, ネットワークを細かくセグメント分けする事[244]。マイクロセグメンテーションにより、セグメントをまたいだラテラルムーブメントやウィルスの二次感染を防ぐ事ができる[244][245]。実現手法としてh、スイッチングハブの各ポートにそれぞれ1台の機器を接続するというものがある[244]。また仮想マシン(ないし仮想デスクトップ)の場合は各仮想マシンに仮想ファイヤーウォールを立てる事で、同一ネットワーク上にある仮想マシンであっても、仮想マシン一台で一つのセグメントを構成できる[244][245]。, ゼロトラストはForrester ResearchのアナリストJohn Kindervag(ジョン・キンダーバグ[246])により提唱された概念である[247]。従来のセキュリティ対策ではネットワークの境界で攻撃の遮断が可能であり[248]、境界内は信頼できる事を前提としていたが、標的型攻撃や内部犯行の広がりによりこうした前提は崩れており[75]、攻撃者が内部に侵入してくるのを前提とした対策が必要となる[238][248]。, それに対しゼロトラストは従来型のセキュリティ対策よりも「性悪説」に基づいており[249]、組織内ネットワークであっても、ユーザがデータやリソースにアクセスする際、ユーザが利用しているデバイスの信頼性とユーザ自身の信頼性とを動的に評価してデータやリソースへのアクセス認可を行う[248]。一般的にはゼロトラストネットワークはユーザ関連情報を管理する ID プロバイダ、リソースにアクセスできるデバイスのリストを管理するデバイス ディレクトリ、管理者が設定したポリシーにユーザとデバイスが適合しているかを判断するポリシー評価サービス、リソースへのアクセス制御を行うプロキシから構成され[248]、ゼロトラストネットワークのプロキシはユーザとリソースの間に置かれ、ユーザはプロキシでアクセス認可を受けた場合のみがデータやリソースにアクセスできる[248]。, アクティブディフェンス(Active defense、能動的防御[250])は、実際の攻撃に先んじて脆弱性や攻撃方法を発見して予防策を積極的に構築する取り組みの事[251]。攻撃者が防御技術を研究して回避・無効化する事で[251]、対応が後手に回って攻撃側に主導権を握られるのを防ぐ[252]。, フリーのアクティブディフェンスツールとしては、ADHD(active defence harbindger distribution)[254][255]、Artillery[255]、Nova (Network Obfuscation and Virtualized Anti-Reconnaissance)[255]、BearTrap[256]、Decloak[256]、Honey Badger[256]などがある。, アクティブディフェンスの手法の一つ。これまでのセキュリティ対策では、静的なシステムに検知技術や防御技術を導入することでセキュリティを担保していたが、それに対しMoving Target Defense (MTD)は、守るべきシステムの構成、特にネットワークを動的に変更する事で、攻撃者がシステム内を探索したりシステム構成を予測したりするのを難しくする手法である[257][258][259]。従来のセキュリティ対策では、攻撃側がシステムを熟知しているのに対策側は攻撃者に関して断片的にしか知りえないという非対称ゆえの不利が対策側にあったが、MTDはこの種の不利を攻撃者にも背負わせようというアイデアである[257]。, 2018年現在の最新版であるVersion 7の20個の評価項目は以下の通りである[263][267]:, 本節では、システムのセキュリティ上の問題点を洗い出す検査や診断について述べる。なお、こうした検査や診断は脆弱性検査、脆弱性診断、セキュリティ検査、セキュリティ診断等と呼ばれるが、これらの語の指す範囲は論者やセキュリティ企業により異なる場合があるので注意されたい[272]。, このような用語上の混乱をさけるため、本節ではペネトレーションテスト等も含めた最広義の意味での脆弱性検査(すなわちIPA[273]意味での脆弱性検査)の事を「脆弱性診断関連の検査」と呼ぶことにする。, IPAによると、脆弱性診断関連の検査にはソースコードセキュリティ検査、ファジング、システムセキュリティ検査、ウェブアプリケーションセキュリティ検査、ペネトレーションテストの5つがあり[274]、これらの検査を行うフェーズと主な検査対象は下記のとおりである[274]。なお本節では、これら5つにレッドチームを加えた6つの検査について述べる。, 上の表の「主な利用フェーズ」は検査対象となる機器のシステムライフサイクルの中でどのフェーズでこれらの検査が利用されるのかを示している。なお、一般的にシステムの開発フェーズは企画、要件定義、設計、実装、テスト、納入という工程からなるが、これらの工程のうち脆弱性診断関連の検査が行われるのは実装工程とテスト工程である[275]。, 脆弱性診断関連の検査はPCI-DSSやコモンクライテリアのような基準や規格で定期的に実施する事が要求される場合がある[275]。, ソースコードセキュリティ検査は、開発中のソフトウェアのソースコードをチェックする事で、セキュリティ上の問題点を発見する検査であり、おもに実装工程で行われる[276]。その目的は、脆弱性を引き起こしやすい関数をソースコードから抽出したり、構文解析により脆弱性であると思われる箇所を特定する事である[276]。, 検査は人間によるソースコードレビューにより行われることもあるし、何らかのツールやサービスを用いて自動的にソースコードを検査することもある[276]。, なお、ソースコードセキュリティ検査は実装段階で混入する脆弱性を発見するものであるので、そもそもソフトウェアの設計そのものに脆弱性があってもそれを発見するのは難しい[276]。, ファジングは開発したソフトウェアに脆弱性を引き起こしやすい様々な入力を与える事で、脆弱性を発見する手法である[277](インプットとして極端に大きな値を入力してみるなど)。ファジングは実装工程やテスト工程において、何らかのツールやサービスを利用して実行される[277]。, ソースコードセキュリティ検査がソースコードを利用するホワイトボックステストであるのに対し、ファジングはソースコードを使わないブラックボックステストないしグレーボックステストである。, ソースコードセキュリティ検査と同様、ソフトウェアの設計そのものに含まれる脆弱性を発見するのは難しい[276]。, 制御システムセキュリティのEDSA認証ではファジングが必須になっているなど、ファジングの標準化の流れがある[278]。, ファジングを出荷前に行う事により、出荷後に脆弱性が原因で回収等で莫大なコストが発生する可能性が下げられる。ファジングも導入費用とツールの保守費用をあわせて数百万から数千万円程度かかるが[279]、半年程度で投資回収できるとされる[279]。, システムセキュリティ検査は、システム上の機器に対してパッチのあたっていない脆弱性が存在しないか、不必要なポートが空いているなどの設定上の不備がないかを調べる検査である。何らかのツールやサービスを用いて主に開発時のテスト工程と運用時に行われる[280]。なお性能の良いシステムセキュリティ検査ツールであれば、既知の脆弱性はもちろん、未知の脆弱性も発見できる[281]。, システムセキュリティ検査では検査のためにシステムをスキャン(脆弱性スキャン)する必要があり、スキャンにはパッシブスキャンとアクティブスキャンがある[282]。パッシブスキャンはミラーポートを使ったりWiresharkなどのアナライザを使ったりした受動的なパケットキャプチャ等で脆弱性を発見する手法である。それに対しアクティブスキャンはスキャナが機器にパケットを送信してその反応を見るなど能動的な方法で脆弱性を発見する手法である。, パッシブスキャンよりもアクティブスキャンのほうがより多くの脆弱性を発見できる可能性が高いが[282]、その分システムに負荷をあたえたり[282]、障害の原因になったりする可能性がある。, また脆弱性スキャンはネットワークの外部から行う外部スキャンとネットワークの内部から行う内部スキャンに分類できる[282]。外部スキャンの場合、スキャンのための通信がネットワーク境界にあるファイヤーウォールに阻まれるため、内部スキャンほど多くの情報がとれない。しかし外部スキャンは攻撃者が外部から侵入可能な入口を発見できるなど、内部スキャンとは異なった役割を果たす事ができる[282]。, システムセキュリティ検査は障害の原因になったり、検査対象が増えるにつれて検査費用が高くなるなどの事情があるため、ネットワーク全体に対して検査を行うとは限らず、一部の機器に限定して行われる事もある[280]。, ウェブアプリケーションセキュリティ検査はウェブアプリケーションに文字列を送信したり、ページ遷移を確認したり、ログ解析したりするなど、ウェブアプリケーションに特化した検査である[283]。何らかのツールやサービスを用いて主に開発時のテスト工程と運用時に行われる[283]。他の検査と同様、実装時に作り込んだ脆弱性は発見できるものの、設計段階で入り込んだ脆弱性を発見するのは難しい[283]。, IPAによるとウェブアプリケーションセキュリティ検査ツールは3タイプに分けられる[284]。第一のタイプのものは、ブラウザとウェブサイトの間のプロキシとして動作するもので、検査実施者がブラウザでウェブサイトにアクセスした際に発生するリクエストをプロセスである検査ツールが補足し、取得したリクエストの一部を検査実施者が手動で検査用のコードを埋め込む形で書き換え、書き換えたリクエストをウェブサイトに送信してその反応をみる事で脆弱性検査を行う[284]。, 第二のタイプは検査ツールがウェブクライアントとして動作し、検査用コードの入ったリクエストをウェブサイトに自動送信し、ウェブサイトからのレスポンスを元に検査実施者にレポートを出力する[284]。第二のタイプのものはツールに予め用意されている量の検査用コードを試自動で試せるのが利点であるが、人力に頼る第一のタイプほど細かな検査はできない[284]。, 第三のタイプでは検査ツールは検査実施者が操作するブラウザとウェブサイトとの通信を(書き換えずに)補足し、補足した情報から不審な動作等を探して検査実施者にレポートとして出力する[284]。第一、第二のタイプと違い検査用コードをウェブサイトに送りつける事がないので、詳細な検査はできないが、その分検査によりウェブサイトに障害が発生する可能性が格段に低いという利点がある[284]。, ペネトレーションテストは実際の攻撃で使われる手口をそのまま利用する事で、人間が検査システムに攻撃をしかける事によりシステムの弱点を見つけ、システムが実際に攻撃されたときどこまで侵入され、どのような被害が発生するのか明らかにする検査であり[285]、基本的に運用フェーズに行われる[285]。ペネトレーションテストを実施するには攻撃手法に関する高度な知識を必要とするため、セキュリティ企業に依頼して実施する形が普通である[285]。実際の攻撃手法を用いて検査を行うため、脆弱性のみならずシステムの不適切な運用等も発見できる[285]。, その性質上、他の検査よりもシステムに不具合を生じさせる危険が大きいため[285]、影響範囲を事前に特定し、復旧計画を立てて実施する必要がある[285]。, テストは対象システムの構造をテストする人(ペンテスター)が知っているホワイトボックステストとシステム構造を知らないブラックボックステストにわけられ、さらに攻撃を開始する場所がシステム外部である外部テストとシステム内部である内部テストにわけられる[286]。, レッドチームはペネトレーションテストと同様、「レッドチーム」と呼ばれる攻撃チームが実際に攻撃をしかけてみる検査であり、レッドチームに対抗する防御側をブルーチームと呼ぶ[287]。これらの言葉は元々軍事用語であり、敵軍であるレッドチームの視点で、自軍であるブルーチームの防御力や対応力を検証するものである[287]。レッドチーム検査は「脅威ベースペネトレーションテスト(Threat-Led Penetration Testing : TLPT)」とも呼ばれる[288][289]。, レッドチーム検査はペネトレーションテストよりもさらに実践的な検査である。ペネトレーションテストと違い、防御側であるブルーチームが攻撃の発生を認知しておらず[290]、この状態でブルーチームがどこまで攻撃に耐えられるのかが試される。, レッドチーム検査ではハクティビスト、愉快犯、内部犯、金銭目的の犯罪者等、攻撃者の「ペルソナ」を作り、レッドチームのメンバーはそのペルソナになりきって攻撃を行う[291]。典型的には攻撃前に初期調査を行い、マルウェアの配送、システム上への攻撃基盤構築、権限昇格、内部調査、目的達成といった手順をたどる[291]。, レッドチームはサイバー攻撃だけではなく、物理セキュリティや人的要素に対しても攻撃をしかける[287][291]。例えば初期調査では、ゴミ漁り[287]、エレベーターでの盗み聞き[287]、受付に「入館カードを忘れた」といって入り込む[287]などのソーシャル・エンジニアリング的な手法[291]、偽Wifiポイントの立ち上げによる盗聴[291]、SNSで情報発信を行っている社員からのOSINT[291]なども行われる。, レッドチームのようなサービスをセキュリティベンダーが提供するようになったのは、標的型攻撃が一般化したことにある[287]。標的型攻撃では上述のような物理要素・人的要素を犯す攻撃手法により情報収集されることもあり、こうした攻撃に耐えられるかを試すためにレッドチームのサービスが提供されるようになったのである[287]。, ネットワークに接続された不正機器の検出を目的とするネットワークディスカバリや、不正な無線通信を検出するワイヤレススキャンなどがある[292]。, 脆弱性情報ハンドリングとは、新たに発見された脆弱性関連情報の届け出を発見者に促し、届けられた情報を整理して製品開発者の担当窓口に提供して対策方法の立案を促し、適切なタイミングで脆弱性関連情報と対策情報を周知することで、被害を最小化するための活動である[293][294]。ここで脆弱性関連情報とは脆弱性情報、脆弱性が存在する事の検証方法、およびその脆弱性を利用した攻撃方法(例えばエクスプロイトコード)の事を指す[295]。また脆弱性への対策方法は、修正方法(=パッチ適用)と回避方法に分類でき、回避方法とはパッチ以外の方法で脆弱性の影響度を回避・低減する方法、例えば脆弱性のある機能の無効化、代替ソフトへの移行、WAFの導入等がある[296]。, 攻撃者に脆弱性関連情報を悪用されるのを防ぐため、複数の製品が影響を受ける脆弱性の場合などにおいて、情報の公表に関して関係者間で一定の足並みをそろえる事(公開日一致の原則)が重要である[297]。特に海外機関と調整が必要な際にこの原則を破って単独で情報公開を行うと、今後の脆弱性ハンドリングから外される場合がある[297]。, 日本において脆弱性ハンドリング方法の概略は経済産業省告示「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」[299]に規定され、その詳細は「情報セキュリティ早期警戒パートナーシップガイドラライン」[300]に規定されている[301]。規定されている手順は、脆弱性が発見されたのがソフトウェア製品なのかウェブサイトなのかで異なる。, ソフトウェア製品の脆弱性関連情報の発見者はその情報をIPAの窓口[302]に届け出し、IPAはその情報をJPCERT/CCに通知する[303]。JPCERT/CCは製品開発者にその情報を連絡し、製品開発者は脆弱性の検証や対応方法を考える[303]。JPCERT/CCは製品開発者と調整しながら脆弱性関連情報の公開スケジュールを決める。IPAとJPCERT/CCはスケジュールで定められた期日に脆弱性への策方法および対応状況を公表すする[303]。IPAは原則四半期毎に統計情報[304]を公表する[303]。, ウェブサイトの脆弱性関連情報の発見者がその情報をIPAの窓口に届け出するところまでは上の手順と同様だが、ウェブサイトの場合、IPAはJPCERT/CCを介さずに直接ウェブサイト運営者に脆弱性関連情報を通知し[301][305]、ウェブサイト運営者が脆弱性を修正する[305]。ソフトウェアの場合と異なりIPAやJPCERTの側が脆弱性情報を公開する事は基本的にはない。個人情報漏洩等があった場合、その事実を公表するなどの処置はウェブサイト運営者が行う[305]。, 個人情報が漏洩している可能性があるにもかかわらず、ウェブサイト運営者が対応しない場合は、IPAが個人情報保護法34条に従った措置(主務大臣による勧告や命令)を依頼する[305]。, 脆弱性の情報源としては、各種ニュースサイト以外に、脆弱性情報データベース、ベンダアドバイザリ、注意喚起サイトがある[307]。また攻撃情報の情報源としては、前述した脆弱性の情報源の他、攻撃コードデータベースがある[308]。, 脆弱性ハンドリング等によって集められた脆弱性関連情報を公開するデータベースの事。主なものとして下記のものがある。, ベンダや開発者のサイト、ブログ、アップデート情報、リリースノート等に自社製品の脆弱性情報やその対策情報が提供されている事があり、ベンダアドバイザリ[307]、セキュリティアドバイザリ[313][314]等と呼ばれている。ベンダアドバイザリは脆弱性情報の形で公開されない場合もあるので、注意が必要である[307]。セキュリティ担当者は基本的には各製品のサイト等を参考にしてベンダアドバイザリ手に入れる必要があるが、各種脆弱性情報データベースに載らないベンダアドバイザリを収集している有償サービスも存在するので、こうしたサービスから情報を得る事も可能である。, 広く使われている製品に対して、脆弱性の周知と対策の呼び掛けを行っているサイト[307]。国内ではJPCERT/CC[315]、警察庁[316]、IPA[317]等が注意喚起を行っており、海外ではUS-CERT[318]やICS-CERT[319](制御システムが対象)等がある[307]。, 攻撃コード(エクスプロイト)を収集したデータベースで[308]、Exploit DB[320]などがある[308]。, SCAP(エスキャップと発音[321])は、アメリカ国立標準技術研究所(NIST)が策定した「脆弱性管理、コンプライアンス管理の一部を機械化(自動化)することにより、情報システムに対するセキュリティ対策の負荷軽減と情報セキュリティ施策の推進の両立を目的とした仕様群」[322]である。 2015年現在、SCAPには以下の6つの仕様が規定されている[323]:, 脆弱性管理とは「自社の脆弱性の状況を常に掌握して、より頻繁かつ効果的に修正するためのプロセス」の事である[331]。脆弱性管理で行うプロセスはツールやサービスによって異なるものの、IT資産の目録作成[332][333]、守るべきIT資産の優先度付け[332]、IT資産の脆弱性の発見[332][333][334][335]、脆弱性のリスクレベルの特定[331][332][333]と対策優先度の決定[331][332]、脆弱性への対処[332][333]ないしその支援[335]、対処状況の一覧化[334][335]といったプロセスを含む。, ファイヤーウォールはネットワーク境界に設置して不正な通信を遮断する技術である。通信を許可・遮断するIPアドレスやポート番号をしていするタイプのファイヤーウォールをパケットフィルタリング型のファイヤーウォールという。パケットフィルタリング型のうち、管理者により予め決められたテーブルにしたがって通信の許可と遮断を行うものをスタティック型という。それに対しダイナミック型のパケットフィルタリングでは、ネットワーク境界内はネットワーク境界外より安全だという前提の元、境界内から境界外への通信が発生したときは、その返答が境界外から帰ってきた場合のみ例外的に通信を許可する。ステートフルパケットインスペクションはダイナミック型の特殊なもので、TCP/UDPセッションを認識して、正当な手順のセッションに属する場合のみ通信を許可する。, パケットフィルタリング型が通信の許可・遮断機能のみを持つのに対し、それ以外のファイヤーウォールは通信の中継機能を持つ。サーキットレベルゲートウェイ型ファイヤーウォールは、ファイヤーウォールを通過する際IPアドレスを付け替え、ネットワーク境界内のIPアドレスが境界外にもれないようにする。アプリケーションゲートウェイ型ファイヤーウォールはHTTPなどアプリケーション層のプロトコルを理解してプロキシとして振る舞う。コンテンツをキャッシュして通信速度を早くする他、有害なサイトのフィルタリングを行ったり、マルウェア対策ソフトを組み込んでファイヤーウォールをまたぐ通信に含まれるマルウェアを検知したりできる。, IDS(Intrusion Detection System、侵入検知システム)は不正侵入の兆候を検知し、管理者に通知するシステムである[336]。IPS(Intrusion Prevention System、侵入防止システム)も不正侵入の兆候を検知するところまではIDSと同様だが、検知した不正を自動的に遮断するところに違いがある。両者を合わせてIDPSという場合もある[337]。センサーないしエージェントと呼ばれるアプライアンスないしソフトウェアを利用して通信などの情報を集める事により不正を検知する。センサーやエージェントの集めた情報は管理サーバに送られ、管理サーバ側でも複数のセンサー・エージェントの情報を相関分析する事で不正を検知する。, ネットワークベースのIDPSとNBAはどちらもネットワークを監視する点では共通しているが、前者は主に組織LANと外部ネットワークの境界などネットワーク境界に設置され、境界をまたぐ通信を監視するのに対し、NBAは組織LAN内に設置され、LAN内の通信を監視する点に違いがある。, ネットワークベースIDS、IPSを略してそれぞれNIDS、NIPSと呼ぶ。同様にホストベースIDS、IPSをそれぞれ略してHIDS、HIPSという。, ネットワークベースのIDPSのセンサー設置方法としては、監視対象の通信が必ず通る場所にIDPSを設置するインライン型と[341]、監視対象の通信が必ず通る場所にスパニングポート、ネットワークタップ、IDSロードバランサ等を設置する事で監視対象の通信をコピーし、コピーした通信をIDPSで監視する受動型がある[341]。攻撃の遮断や回避のようなIPSとしての機能を利用する場合はインライン型が必須である[341]。, インライン型の場合、ファイヤーウォールが攻撃と考えられる通信を遮断するのでファイヤーウォールの前に設置するか後ろに設置するかで取得できる情報や、IDPSへの負荷が異なる。ファイヤーウォール前後両方を監視するためにIDPS機能とファイヤーウォール機能がハイブリッドになった製品もある[341]。, 受動型はネットワークの複数箇所の通信をコピーして集約した上で解析できるという利点がある。例えばファイヤーウォールの前後およびDMZの通信を全てコピーして解析するといった行為が可能になる[341]。, WAF(Web Application Firewall)は、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つ[342]。WAFはウェブサイトの前に設置し、ウェブアプリケーションの脆弱性に対する攻撃と思われる通信の遮断等を行うものであり、LANとインターネットの境界などに設置されることが多い通常のファイヤーウォールとは(その名称にもかかわらず)機能が異なる[343]。WAFが検知する攻撃はウェブサイトへのものに特化しており、HTMLを解釈してクロスサイトスクリプティングやSQLインジェクションなどの攻撃を遮断する。, 攻撃を遮断する点においてIPSと類似するが、IPSはOSやファイル共有サービスなど様々なものに対する攻撃を遮断するために不正な通信パターンをブラックリストとして登録しておくのに対し、WAFの防御対象はウェブアプリケーションに限定されている為ブラックリスト型の遮断のみならず、正常な通信を事前登録してホワイトリスト型の遮断も行うことができる[344]。, WAFを導入する主なケースとして、レンタルサーバ提供ベンダーや、複数のグループ企業を束ねている大手企業など、直接自分で管理していないウェブアプリケーションを保護したい場合、他社が開発したウェブアプリケーションを利用しているなど自分では脆弱性を防ぐことができない場合、事業継続の観点からウェブアプリケーションを停止できず脆弱性を行ったりパッチを当てたりできない場合等があり[345]、根本対策のコストよりもWAFの導入・運用のコストのほうが安い場合にWAFを導入する[345]。, WAFにはHTTP通信(リクエスト、レスポンス)を検査し、検査結果に基づいて通信を処理し、処理結果をログとして出力する機能がそなわっている[346]。通信の検査は前述のようにホワイトリスト、ブラックリストを用いて行う。検査結果に基づいた通信の処理としては、そのまま通過させる、エラー応答を返す、遮断する、通信内容の一部を書き換えた上で通過させる、という4通りがある[347]。またセッションのパラメータの正当性やHTTPリクエストの正当性を確認してCSFR等の攻撃を防ぐ機能、ウェブサイトの画面遷移の正当性を確認する機能、ホワイトリストやブラックリストを自動更新する機能、ログをレポートの形で出力する機能、不正な通信を管理者にメール等で通知する機能等がついている事もある[348]。, なお、たとえばウェブアプリケーションの認可機能に問題があるが、HTTP通信自身には問題がないケースなどではWAFは異常を検知してくれないので別の対策が必要となる[349]。, Webレピュテーションは様々な手法でウェブサイトを評価する事で、不正と思われるサイトへの接続を制御・抑制する技術である[350]。ユーザがウェブアクセスする際、アクセス先のURLをWebレピュテーションを提供しているセキュリティベンダーに問い合わせ、アクセスのブロック等を行う[351]。これにより不正サイトへのアクセスを制限できるのはもちろん、改竄された正規サイトに埋め込まれた不正サイトへのリンクへのアクセスもブロックできる[351]。またユーザによるアクセスのみならず、マルウェアによる外部接続も検知・遮断できる[352]。, レピュテーションのアイデアはマルウェア検知にも応用されており、「ファイルレピュテーション」や「プログラムレピュテーション」などと呼ばれている[353]。, エンドポイント(=パソコン、PDA、携帯電話などのネットワーク端末[354])のセキュリティ対策ツールはEPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)とEDR(Endpoint Detection and Response)に大きく分ける事ができる[355]。EPPがマルウェア感染から防御するためのものであるのに対し、EDRはマルウェアに感染してしまったことを検知(Detection)してその後の対応(Response)を行うためのものである[355][356]。EPPに分類されるものとしてマルウェア対策ソフト、パーソナルファイアウォール、ポート制御、デバイス制御などがある[357]。, EDRは標的型攻撃やゼロデイ攻撃などによりマルウェア感染が防げないという現実に対応して登場したもので[358]、エンドポイントにインストールするクライアントソフトと、それを一括管理するサーバないしアプライアンスからなる[358]。感染の検知や対応が目的なので、エンドポイントを監視して攻撃の兆候を検知し、ログを取得して組織全体のログデータと突合し、必要に応じて攻撃遮断などの応急処置を取ったりする[356][359]。EDRが攻撃検知に用いる情報の事をIOC(Indicator of Compromise、侵害痕跡)と呼び、具体的にはファイルの作成、レジストリーの変更、通信したIPアドレス、ファイルやプロセスのハッシュ値などがある[358]。なおEDRはガートナーのアナリストが2013年に定義した用語である[359]。, ブラウザ経由でのマルウェア感染を防ぐため、ブラウザのセッションをリモートから提供する手法のこと[360]。ブラウザのセッションは「ブラウザ・サーバ」という社内サーバもしくはクラウドから提供される[360]。Webページのレンダリングはブラウザ・サーバ側で行われ、エンドポイントには無害化した描画情報ないしレンダリング結果の画面ストリームのみが送られる[361][362]。, ブラウザ・サーバはブラウズ・セッションごと、タブごと、もしくはURLごとにリセットされるので、ブラウザ・サーバ自身が汚染される危険はない[362]。, 情報の機密性、完全性、可用性を守るため、情報の管理、更新、消去といった情報ライフサイクル管理(ILM, Information Lifecycle Management)の方法がISO 15489やJIS X 0902に規定されるなど[363]、セキュアな情報管理が求められる。このための技術として暗号化や署名といった暗号技術の他、USBポートのコントロールやe-メールの監視による情報の持ち出し制御、DLPなどがある。, DLP(Data Loss Prevention)は、機密情報の不正持出しを防ぐための技術である[364][365][366]。合意された定義は存在しないため、広義には暗号化やUSBポートのコントロールもDLPに含まれる場合がある[366]。しかし多くの場合DLPは、機密情報に関するポリシーをサーバで管理し、そのポリシーに従って情報の移動、持ち出し、利用等を制限したり遮断したりする技術である[364][365][366]。システムにある機密情報を洗い出す特定機能や洗い出した機密情報を監視する機能もついている場合が多い[364][366]。, DLPは機密情報をそのコンテンツ内容やその情報が利用されるコンテキスト(利用時間や環境等)などから特定する[367]。機密情報を解析する方法は、正規表現により事前に定められたポリシーを利用するもの、構造化データの全体一致を調べるもの、非構造化データの部分一致を調べるもの、ベイズ法などを利用した統計解析を行うもの、インサイダー取引に似た情報など何らかのコンセプトに従って上述した手法を組み合わせるもの、情報に対して「カード情報」などのカテゴリ化を定義して解析するものなどがある[367]。, 検疫ネットワークは未登録の端末や、パッチがあたっていないなどポリシーに違反した端末を組織のネットワークから遮断する技術であり[368]、次の3つのステップで構成される事が多い:, UBA(User Behavior Analytics)もしくはUEBA(User and Entity Behavior Analytics)は、システムに攻撃者が侵入した後のユーザの振る舞い等、ユーザを中心にした分析を行う事で攻撃を検知する技術全般を指す[369][370][371]。分析に用いるのはエンドポイントやネットワークのセキュリティデバイス、Active Directory等の認証サーバ、Webプロキシ、Net Flowなどのネットワークのトラフィック、データベース等のログ情報である[371]。その実装形態はいろいろありSIEMやログ管理と連携するものもあれば、エンドポイントにエージェントソフトをインストールものもある[369]。, 分析の目標はユーザの振る舞いを追跡して通常業務から逸脱した異常を検知する事で[369][371]、具体的にはアカウントの不正使用、侵害されたアカウントやホスト、データや情報の漏洩、内部偵察行為などを検知する[369]。, ユーザは大量の行動ログを残すので、UBAではApache Hadoopのようなビッグデータ解析基盤を用いる事が増えている[372][373]。, CASB(キャスビー[374]。Cloud Access Security Broker、クラウド・アクセス・セキュリティ・ブローカー[374])は2012年にガートナーが提唱した概念で[375]、ユーザにより勝手に使われているSaaSを可視化し[374]、機密情報の持ち出しなどを防いだりする事を目的とする[374]。ガートナーによればCASBは以下の4つ機能を持つ事を特徴とする。, いずれも攻撃者やマルウェアを騙す事で攻撃者の行動を観察したりシステムを防御したりする技術である[376][377][378][379]。ハニーポットは例えば囮サーバなど脆弱性なシステムに見せかけたものを用意して攻撃者を騙し、攻撃者の侵入方法、侵入語の行動を観察する技術である[380]。ハニーポットの主な利用方法は攻撃者の行動の観察で[376]、例えば囮サーバで攻撃者が何をしたのかから攻撃者の目的を知る、といった用途で用いる。, 実際のソフトウェアを用いたハニーポットを高対話型ハニーポット、ソフトウェアを模擬するエミュレータを使った(ので一部の対話しか再現できない)ハニーポットを低対話型ハニーポットという[380]。高対話型の方が現実環境に近いので低対話型よりも多く攻撃者の情報を集められるが、その分低対話型よりも負荷が高く、ハニーポットを攻撃者に乗っ取られた場合の危険も低対話型よりも大きい[380]。またインターネット上に設置したハニーポットに攻撃者を誘い込んで受動的観測を行うタイプと囮のウェブクライアント(ハニークライアント)で悪性サイトにアクセスするなどして能動的観測を行うタイプがある[380]。, これに対しサイバーデセプション(Cyber Deception)は、いわば「次世代ハニーポット」として位置づけられる技術で[376][377]、主に攻撃から防御したりや攻撃目標の達成を遅延させたりする目的で用いられる技術である[376]。デコイサーバ(囮サーバ)等を設置する事はハニーポットと同様だが[376]、ハニーポットが攻撃者の情報を集めるためにネットワーク境界の外のインターネット上にに設置される傾向があるのに対し、サイバーデセプションでは標的型攻撃により攻撃者がプライベートネットワーク内に侵入してくる事を前提にしてプライベートネットワーク上に囮を設置し、攻撃検知や防御のための時間稼ぎに利用される[376]。設置されるものとしては、デコイサーバの他に、囮サービス、囮クレデンシャル、囮ファイル等がある[376]。サイバーデセプションにおいて、囮として用いる情報全般をハニートークンといい[381]、例えばメールアドレス、プライバシー情報、アカウント情報等がハニートークンとして用いられる[381]。, サンドボックス(砂場)は隔離環境の事で、セキュリティ分野では、(不正な振る舞いをするかもしれない)プログラムをサンドボックス内で実行することで、そのプログラムの影響がサンドボックスの外に及ばないようにする目的で用いられる。隔離環境で実際にプログラムを実行してみる事により、従来のシグナチャ型マルウェア対策ソフトでは検知できなかったマルウェアを検出できる[382]。ただし、プログラムを実行して確認してみるという性質上、シグナチャ型のものよりも解析に時間がかかる[382]。, マルウェアの中にはサンドボックスへの対抗策が施されているものもある。対抗策としては例えば以下のものがある:, SOAR(Security Orchestration Automation and Response、セキュリティのオーケストレーションと自動化によるレスポンス[384])はいわば「次世代SIEM」に位置づけられる製品群で[385][386]、ガートナーの定義によれば、「セキュリティの脅威情報やアラートを異なる情報源から集める事を可能にするテクノロジーで、標準化されたワークフローに従って標準化されたインシデントレスポンス活動を定義し、優先度付けし、駆動するのを手助けするために、インシデント解析やトリアージが人間とマシンの協調を梃子にして行われるもの」[385]の事である。, 多くのSOAR製品はダッシュボード機能やレポート機能を持っており[385]、インシデントレスポンスや脅威情報の機能を持っているものもある[385]。また分析官の手助けをするために機械学習の機能を備えているものもある[387]。, BASは仮想的な攻撃を行う自動化ツールであり[388]、その概念はガートナーが2017年に提唱された[389]。ガートナーの定義によればBASは「ソフトウェアのエージェント、仮想マシン、ないしそれ以外の手段を用いる事により、企業のインフラに対する (内部の脅威、ラテラルムーブメント、データ抽出(exfiltlation)を含む)全攻撃サイクルの継続的かつ一貫したシミュレーションを行う事を企業に可能にする」技術を指す[389]。, BASはシミュレーションにより企業のセキュリティ上の脅威を顕在化させたり、レッドチームやペネトレーションテストを補完するためにSOCの人員によって用いられたりする[389]。, サイバーキルチェーンの原論文に載っているのはdetect、deny、disrupt、degrade、deceive、destroyの5つであり[392]、これはアメリカ合衆国国防総省のInformation Operations方針に載た軍事の分野の対策手段をAPTにも適用したのである[392]。ただし原論文でdestroyは空欄であったので[392]、上の表からは省いた。また文献[390][391]を参考にして他の列を加えた。, 日本ネットワークセキュリティ協会(JNSA)はセキュリティのツール・サービスを以下のように分類している, C&Cサーバとのコネクトバック通信ではhttpやhttpsを使う事が多いので[396]、透過型プロキシは通過してしまう[396]。このため透過型でないプロキシを立て、ユーザ端末のブラウザのプロキシ設定をオンにし[396]、プロキシを経由していない通信はファイヤーウォールでインターネットに接続前に遮断する必要がある[396]。アプリケーションの更新などはWSUSのような中間配布サーバを立てるか、個々のアプリケーションに対してプロキシを指定する[396]。後者の場合、通信ログからファイヤーウォールで遮断されたアプリケーションを特定してホワイトリストをチューニングする必要がある[396]。, またマルウェアの中にはプロキシに対応したものもあるので[397]、プロキシの認証機能を有効にし[397]、ユーザ端末のブラウザ側でもID/パスワードのオートコンプリート機能を禁止する必要がある[397]。プロキシはディレクトリサービスと連動するなどしてユーザ単位の認証ができるものが望ましい[397]。またActive Directoryを使えば配下にある端末のオートコンプリート機能を一括で禁止できる[397]。, ドメインと連携したシングルサインオン機能を使っている場合はコネクトバック通信も自動的に認証を通ってしまう可能性があるので[397]、プロキシの認証ログを監視し、(窃取されたユーザIDの使い回しによって)異なるユーザ端末から同一の時間帯に同一ユーザIDによる認証が異なるIPアドレスから行われていないか、業務時間外などの不自然な時間帯に特定端末で定期的に認証がなされていないかといった事を、検知ルールにより自動的にチェックする仕組みを作る必要がある[397]。, またマルウェアはC&Cサーバとのセッションの維持のためCONNECTメソッドを悪用する事があるので、プロキシのアクセス制御リストにより、業務に必要なポート(httpの80番やhttpsの443番)以外のCONNECTメソッドを遮断する必要がある[398]。さらにログの監視ルールを作ることで、長期間維持されているセッションや不自然な時間帯のセッションを遮断する必要がある[398]。マルウェアの中には切断されたセッションを規則的に再接続するものがあるので、ファイヤーウォールのフィルタリングでセッションを強制遮断する事によりそうしたマルウェアを発見できる[398]。, 攻撃者がラテラルムーブメントを行う目的として、運用サーバやそれを管理する端末に侵入するというものがある[399]。そこでユーザ端末のあるセグメントと運用管理セグメントをLANポートレベルで分離し、ユーザ端末のセグメントから運用管理セグメントへの通信を遮断する必要がある[399]。さらにサーバの管理者には通常業務に使う端末とは別に運用専用端末を用意して、運用管理セグメントには運用専用端末からのみアクセスするようにする事で、管理者の端末を経由してユーザ端末セグメントから運用管理セグメントに侵入されるのを防ぐ[399]。運用専用端末がマルウェアに感染しないよう、運用専用端末からはインターネットに接続できないようにする必要がある[399]。, リモートからの管理を許容しなければならない場合は、リモート管理を行う端末をユーザ端末セグメントにおき、運用管理セグメントの入口に認証と操作ログ管理機能を持ったトランジットサーバを置く[399]。, 部署をまたいだラテラルムーブメントを防ぐため、部署や業務内容毎にネットワーク分離をする必要がある[399]。, また攻撃者はWindows端末の管理共有サービスを利用して、攻撃ツールを他の端末に仕込み、タスクスケジューラやPsExecを用いてその不正ツールをリモート実行するので[400]、端末の管理共有サービスを無効にする必要がある[400]。, 業務上管理共有を無効にできないサーバに関しては、Windowsサーバ側でタスクスケジューラやPsExecのリモート実行を検知する為、それぞれタスク追加イベントのID 106、サービス追加イベントのID 7045を監視する必要がある[401]。Active Directoryを使えば、配下のWindows端末の管理共有サービスを一括で無効にできる[400]。またActive Directoryにより、配下のWindows端末のWindows ファイアウォールを一括で有効にできる[400]。, Active Directoryの認証失敗時のログを取得できるよう設定し[401]、ユーザ端末セグメントから管理運用セグメントへの認証試行を監視する[401]。また機密情報等、攻撃者が欲しがる情報を保有している部門のユーザ端末に、管理者権限などの高い権限を持っているかのような名称のトラップアカウントを作り[401]、トラップアカウントから管理運用セグメントへの認証試行を監視する事で、攻撃者によるユーザ端末の不正利用を検知する[401]。なお、トラップアカウントのパスワードはActive Directoryで一括変更する事で、無効なパスワードに設定しておく必要がある[401]。, また攻撃者が無作為なIPアドレスを探索しているとすれば、組織内のネットワーク上にデコイサーバを用意し、そこにアクセスしてきた端末を検知するという手段もあるが[402]、攻撃者が無作為なIPアドレス探索を実際に行っているかは分からないため[402]、その効果は不明である[402]。, 攻撃者は権限昇格の為ユーザ端末にキャッシュされている管理者権限のアカウント情報を窃取しようとするので[403]、これを防ぐために、ユーザ端末で使用するアカウント権限を必要最低限にする必要がある[403]。, 具体的には、ユーザ端末で使用するアカウントはDomain Usersグループ(ユーザ端末の一般ユーザ権限を持つグループ)に登録していかなる管理者権限を付与せず、ユーザ端末のメンテナンスを行うアカウントはOperatorsグループ(ユーザ端末のローカル管理者権限を持つグループ)に登録してDomain Adminsグループなどドメインの管理者権限を持つグループには登録しないようにする[403]。またユーザ端末のローカル管理者などそれ以外のローカルアカウントは、トラップアカウント以外原則全て無効にする[403]。, ドメイン管理者アカウントは可能な限り利用しないようにし、ドメイン管理者権限が必要な作業を運用記録として管理し、Active Directoryの認証ログと月に一度など定期的に突き合わせて、ドメイン管理者権限の不正利用がないか確認する必要がある[403]。運用記録の負荷軽減のため、システム管理製品のメッセージ監視機能等を使ってActive DirectoryのDomain Adminsグループのログイン履歴を監視し、ログインした事実を管理者に送信する事で実作業と突き合わせるようにするとよい[403]。, APTの標的となっている組織は、攻撃を検知してからでないと防御を行う事ができないので[404]、サイバーキルチェーンの早いステージで攻撃を検知する事が重要である。そのために以下で説明するインディケータとプロファイルを作成する事が有益である。, APT攻撃が行われている事を検知するには、攻撃を客観的に指し示す指標(インディケータ)[57][58]に注目する必要がある。インディケータには以下の3種類がある[58]:, どのインディケータがどの攻撃フェーズに対応するのかを明確化する事で、インシデント対応がしやすくなる[405]。, APT攻撃を特定するには、分析官は特定した攻撃のパターンを解析したり他の組織と強調したりする事でインディケータを明らかにし、それらインディケータをツールなどを使って成熟させ、そしてその成熟させたインディケータを使って攻撃を特定するというサイクルを回す必要がある[58]。, こうしたインディケータは、攻撃目標[405]、狙われるシステム[405]、侵入方法[405]、攻撃ツール[405]、攻撃に使う外部資源[405]、攻撃の痕跡[405]、テクノロジーギャップ[405]、攻撃者の知識[405]といったものを分析するために使われる。逆に言えば、こうした事項から逆算して必要なインディケータを割り出す事ができる[405]。, APTを行っている攻撃者は、経済的理由から同じ攻撃ツールを使い回すなど一定のパターンを繰り返す傾向があるので[404]、APTのキャンペーン毎のプロファイルを作り、過去の傾向を統合する事でインディケータを改善し、検知できるステージを早める必要がある[404][406]。, プロファイルの内容を充実させる方法としては、SIEMなどのログ相関分析エンジンを利用して複数の侵入行為に対してサイバーキルチェーンの各ステージにおけるインディケータの類似度を分析する事で攻撃の傾向を掴む[404][406]、というものがある。, プロファイルに含むデータとしては例えば、攻撃者の特性[406]、共犯者[406]、攻撃者の選好分野[406]、標的となった文書[407]、活動時間帯[407]、関連インディケータ[406]、マルウェアやツールキットの分析結果[407]、このAPTを追跡している他のCERT[406]、アナリストの任意のメモ[406]などがある。プロファイルは定期的に見直し[407]、最新に保つ必要がある。, なお、プロファイルが攻撃者に漏れては元も子もないので、プロファイルは極めて機密性が高く保ち、アナリストに必要な場合だけ必要な共有するようにする必要がある[406][407]。, 攻撃キャンペーン毎にどの時期にどのくらいの活動をしたのかを明示したヒートマップを作成する事で、APTの長期的な影響を理解し、休止中のAPTが攻撃を再開したときの潜在的予測分析が可能である[408][409]。, インシデント対応時に対策側が把握すべき事は以下の4つのフェーズに分類できる[410]:, 感染の把握の有無や被害範囲を把握する目的で行う調査としては下記のものがある[412]:, 前述したマルウェアが保存されやすい箇所を調べる事でマルウェアの痕跡が発見できる可能性がある[103]。, レジストリ情報はreg.exeで収集可能である[413]。調査すべきレジストリの詳細は文献[414]を参照されたい。, マルウェアなどアプリケーションを実行した痕跡が残る代表的な箇所として下記のものがある[103]:, AppCompatCacheやUserAssistはそのままでは可読でないので、何らかの可読化ツールで可読にする必要がある[415]。AppCompatCacheの可読化ツールとしては例えばShimCacheParser.pyがある[415]。, またNTFSのUSNジャーナルやマスター ファイル テーブルにも実行痕跡が残るし[202]、ネットワークにも実行痕跡が残るのでパケットキャプチャによりその痕跡を探る事ができる[202]。, 外部通信情報はDNS キャッシュとネットワーク接続情報から取得する[411]。前者はipconfig /displaydnsコマンドにより、後者はnetstatコマンドにより取得できる[411]。, 脅威インテリジェンス(スレットインテリジェンス、セキュリティインテリジェンスとも[418])はガートナーの定義によれば、資産に対する既存もしくは今後発生する危険への対応の意思決定を知らせる事に使う事ができる証拠に基づいた知識で、例えば文脈、メカニズム、インディケーター、含意(implication)、および実行可能なアドバイスなどを含む[419]。APT対策には脅威インテリジェンスが重要である[408]。, 脅威インテリジェンスサービスとは、脅威および脅威因子を複数の情報源から収集し、それを分析したりフィルタリングしたりしてセキュリティ管理システム用の管理レポートやデータフィードとして提供するサービス全般を指す[418]。一般的な有償サービスでは、データフィード以外に、顧客のリスク状態に合わせてカスタマイズしたアラートや定期的な脅威レポートも提供し[418][420]、これにより顧客が脅威情報収集に費やすリソース(時間、労力、専門知識等)を減らす[418]。