Yahoo!ニュース

年末年始に見直したいセキュリテイ:長期休暇前にセキュリテイ担当者が実施すべきこと。

大元隆志CISOアドバイザー
サイバー攻撃に休暇期間は無い。むしろ長期休暇中は増加する。(写真:アフロ)

 2020年はサイバー攻撃のレベルが数段向上した。セキュリテイ担当者不在の時期を狙って社内に潜伏していた暴露型ランサムウェア等がこの時期を狙って活動を開始しない保証はない。長期休暇前にシステム担当者、セキュリテイ担当者として、実施しておくべきタスクをまとめてみた。

 ※なお、パッチをあてる、マルウェア対策のシグネチャを最新のものにするなど、日常的に行うべきものは記載していない。

■長期休暇前の対応

■全般

・セキュリティインシデント発生時の連絡網の確認

 万が一、休暇中にセキュリティインシデントが発生した場合の緊急連絡網を整理しておくことを推奨する。

・特権IDのパスワードを変更する

 ID/PWは盗まれているものと考え、休暇に入る前に特権IDのパスワードは変更しておこう。勿論多要素認証が有効化出来るなら、多要素認証を有効化しておこう。

・バックアップの取得及び、オフラインでの保管

 休暇中にランサムウェアに感染した場合を想定し、重要なサーバーのバックアップを取得し、オフラインで保管しておく。

・アクセスログの記録状況を確認する

 今年はテレワーク対応のため急遽クラウドプロキシを導入したり、クラウドサービスの利用を開始したため「想定外のアクセスログ」が発生し、実はアクセスログが取れていなかったというような事故が発生しているケースがある。休暇に入る前に「アクセスログは取れているか?休暇中のディスク容量は問題ないか?」を念の為確認しておこう。

・会社資産に対するリモートアクセスを日本からに限定しておく

 海外拠点等が多い国は事情が異なるかもしれないが、長期休暇中は出張者も減ると考えられるため、リモートアクセスシステム等が「国」単位でのアクセス制御が可能な場合には、日本からだけのアクセスを許可することで、不正アクセスのリスクを軽減出来る。

■オンプレミス環境の注意点

 オンプレミス環境では、マルウェアをパソコンに感染させADを標的とする攻撃の脅威が増している。パソコンがマルウェアに感染するリスク、サーバーの不審な挙動を検出する仕組みを整えておくことが大切だ。

・パソコンの電源を停止する

 休暇中にマルウェアに感染したパソコンが発生すると、ラテラルムーブメントを行い起動しているパソコンに感染被害が発生する可能性がある。不要なパソコンやサーバーの電源は停止しておく。

・不審なトラフィックを監視する

 休暇中にも関わらず、大量のファイルを外部にアップロードしようとしているユーザや、大量のDNSトランザクションを発生させていたりするとC&Cサーバー経由で不正操作を行われている可能性がある。

・サーバーの監視サービスの稼働状況を監視する

 最近のマルウェアは外部から遠隔操作され、サーバーの監視機能や保護機能を停止するものが存在する。こういった監視用に起動させているサービス等が停止したことを監視出来るようにしておく。

・サーバーの再起動を監視する

 特定の脆弱性が悪用場合にはサーバーが再起動することがある。予定外の再起動は検知、調査するようにしよう。

■IaaS環境における注意点

 開発者等が無許可起動させているインスタンスや、RDP等から不正アクセスを仕掛けられるケースが増加している。最低限以下のようなタスクは実施しておくべきだろう。

・不要なインスタンスの停止

 インスタンスの棚卸しを行い、不要なインスタンは停止する。

・不要なRDPの停止

 リモートワーク用にIaaSインスタンス上に勝手にRDPが有効化されていないかを確認し、無許可で動作しているRDPがあれば停止する。

・従量課金制限の実施

 最近再び暗号資産の価格が高騰しており、暗号資産のマイニングを狙ったインスタンスの不正利用の発生が懸念される。不正にインスタンスを利用された場合の想定、従量課金に制限設けておく。

■SaaS環境における注意点

 SaaSの特徴は「休暇中だからといって電源を停止することは出来ない」点だ。正規ユーザーがSaaSを利用していなくても、不正アクセスを仕掛けられる可能性は否定出来ない。最低限以下のようなタスクは実施しておくべきだろう。

・ログイン失敗の監視

 特定ユーザーのログイン失敗が急増しないか監視する。また日本以外からのアクセス試行などを監視する。

・SaaSに接続されるアプリケーションの監視

 休暇中にユーザーがMS365やGsuiteにサードパーティ製のアプリを追加する可能性がある。最近はこういったサードパーティ製のアプリにもリスクの高いアプリが増えてきているため、休暇中に業務利用以外のアプリが追加されていないか監視する。

■自社/自分は大丈夫という油断が事故に繋がる

 年末年始等の長期休暇中は社内のシステム担当者やセキュリティ担当者が不在となるため、休暇中に発見された脆弱性等に対する対応が遅れがちになってしまう。一方でサイバー攻撃者に「年末年始休暇は関係ない」。セキュリティ担当者不在の状況は、サイバー攻撃者にとっては活動のチャンスとなる。

 サイバー攻撃は増加中で有り、会社の規模の大小を問わず被害に合う傾向に有る。そして、サイバー攻撃のレベルは大幅に向上しており、従来型のファイアウォールやアンチウィルス対策は実装されていることが前提でそれらを迂回してくる。

 また、大企業のサプライチェーンの中に、セキュリティの甘い企業が有ればそこを狙って本丸へ忍び込もうとする。自社のセキュリテイに不備があったために取引先に被害を及ぼす可能性も考慮しなければならない。

 「自社/自分は大丈夫」といった根拠の無い自信は持たず、しっかり対策を行うことを推奨する。

大元隆志
CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事