第240回NRIメディアフォーラム サイバーセキュリティ傾向分析レポート バ 傾向分析 ポ ト 2016 〜標的型メールの侵⼊リスクはゼロにはならず、それを前提とした多層防御が必要〜 2016年8⽉18⽇ NRIセキュアテクノロジーズ株式会社 NRIセキュアテクノロジ ズ株式会社 サイバーセキュリティサービス事業本部 サイバーセキュリティ事業開発部 部⻑ ⻄⽥ 助宏 〒100-0004 東京都千代⽥区⼤⼿町 1-7-2 東京サンケイビル ⽬次 1 はじめに 1. 2. サイバーセキュリティ傾向分析結果 2-1. ⼈に対する脅威 2-2. システムに対する脅威 2 3 システムマネジメントの課題 2-3. 3. おわりに Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 1 1. はじめに Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 1. はじめに 本レポートについて 経緯 当社の顧客である企業などに提供した、各種の情報セキュリティ対策サービスを通じて得た 当社の顧客である企業などに提供した 各種の情報セキュリティ対策サービスを通じて得た データの集計、分析を基にして「サイバーセキュリティ傾向分析レポート2016」を作成 このレポートは2005年度以降毎年発表しており、今回で12回⽬ ⽬的 企業や公的機関におけるセキ リティ対策の推進を⽀援すること 企業や公的機関におけるセキュリティ対策の推進を⽀援すること 本発表の概要 サイバー攻撃に対する「企業などの対策状況」、および「外部からの脅威の現状」を分析 分析結果を踏まえ、企業などが実施すべき対策を提⽰ 調査概要はP.30を参照 Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 3 2. サイバーセキュリティ傾向分析結果 Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 2-1. ⼈に対する脅威 Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 企業の実態 2-1. ⼈に対する脅威 従業員・役員に対する標的型メール攻撃は、依然として脅威 2015年度に実施した標的型メール訓練の対象者の開封率(*1)は12.8% 役員(*2)と従業員を⽐べると(*3)、役員の開封率は従業員の約1.6倍となり、2014年度の結 役員の開封率は従業員の約1 6倍となり 2014年度の結 果1.5倍とほぼ同程度 役員は⽐較的機密度の⾼い情報へのアクセス権を有し、標的となる可能性が⾼い 標的型メール訓練における開封率(従業員/役員別) 50% 従業員 40% 20% 31% 29% 30% 16% 役員 19% 従業員 12.8% 役員 20.8% 役員の開封率は、従業員の 約1.6倍 10% 開封率の 0% 2013年度 2014年度 2015年度 (n=101,326通/n=311通) (n=139,832通/n=149通) (n=564,987通/n=725通) *1: 訓練メールに添付した疑似攻撃ファイルを実⾏、あるいは訓練メールに記載した疑似攻撃サイトへのリンクをクリックした割合 *2: 会社法における役員などを「役員」と表現 *3: 通常は1⼈1メールアカウントなので、メール配信数をメール訓練対象者数ののべ⼈数として集計・分析 Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 6 企業の実態 2-1. ⼈に対する脅威 開封率はゼロにはならない 標的型メール訓練を繰り返すと開封率は下がる 初めて訓練を実施した組織では開封率が23.1%であるのに対し、訓練を重ねると徐々に開封率 初めて訓練を実施した組織では開封率が23 1%であるのに対し 訓練を重ねると徐々に開封率 は⼩さくなっていく 理由:メール攻撃の疑似体験による効果 ⇒ 標的型メールに対して意識が向くようになる しかし、開封率をゼロにすることは⾮常に難しい 回数を重ねるごとに開封率の下げ幅は⼩さくなり、5%程度に収束する 理由:個⼈的関⼼・業務上の役割 (次スライド参照) (次スライド参照)、攻撃メール内容の巧妙さの向上など 攻撃メ ル内容の巧妙さの向上など 実施回数(*1)別の開封率⽐較 25% 20% 5%程度で下げ⽌まる 23.1% 15% 14.9% 10% 15.5% 0% 8.7% 9.1% 5% 5.6% 1回⽬ 2回⽬ 3回⽬ 4回⽬ 5回⽬ 6回⽬ 4.8% 3.2% 7回⽬ 8回⽬ 合計=1,023,561 合計=1 023 561 通 *1: 2011年のサービス開始以降、顧客組織毎にメール訓練を実施いただいた回数別で集計 Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 7 企業の実態 2-1. ⼈に対する脅威 個⼈的関⼼が違和感を上回るケース 落ち着いて⾒れば、明らかに 怪しいと分かる 個⼈的関⼼の⾼いテーマ・・・⾦銭/健康/趣味 医療費通知のお知らせ 総務 <[email protected]>(※フリーメールを偽装) (宛先名称)) (宛 各 位 2015年度、開封率が最も⾼かった訓練メ 2015年度 開封率が最も⾼かった訓練メールは左図 ルは左図 ▪2014年頃から「医療費通知」を名乗る攻撃メールが、国内 で散布され続けた事象を踏まえて作成(*) 個⼈的関⼼が⾼いテ 個⼈的関⼼が⾼いテーマであるため マであるため、違和感を感じる前に添付 違和感を感じる前に添付 ファイルを開封・クリックしてしまった可能性 以前よりアナウンスさせていただいている通り、今⽉より、 訓練メール⽂⾯別の開封率⽐較(上位10パターン) 訓練 ⽂⾯別 開封率⽐較( 位 ) 「医療費のお知らせ」が配信されるようになりました。 内容についてご確認をお願します。 また、医療費通知のお知らせは、適正な保険診療の啓 蒙、 医療機関による診療報酬の不正請求の抑⽌効果等、 医療費適正化の取り組みの⼀つとして実施しています。 医療費通知 お知らせ ⽉分 i 医療費通知のお知らせ_5⽉分.zip *: 訓練メールの内容に関連する組織などから事前に了承を得ることを お客様にお願いしております 件名 開封率 医療費通知のお知らせ 38.8% 先ほどの写真の件 24.9% メールボックスの設定が変更されました 23.4% 取材のお願い 17.6% Re: グループ全体会議 16.9% 調査事項 15 8% 15.8% お知らせ【eチケットお客様控え】 14.7% Re: 経営戦略セミナー事務局につきまして 14.0% 【緊急】ウィルス感染の検出(⾃動配信) 【緊急】ウィ ス感染 検出(⾃動配信) 13.8% 【重要】Windows の脆弱性暫定回避策 13.7% 上位10パターンの配信数合計=151,778 通 Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 8 外部からの脅威 2-1. ⼈に対する脅威 業務での役割上、開封せざるを得ないケース 業務上の役割 業務上の役割から、添付ファイルの開封や本⽂内のURLリンクをクリックすることに対して、 業務上の役割から 添付ファイルの開封や本⽂内のURLリンクをクリックすることに対して ⼀定の強 定の強 制⼒が働く場合がある 例:対外の不特定多数の相⼿とやり取りする必要のある、メールでの問い合わせ窓⼝担当者が 下図のメ ルを受け取った場合は? 下図のメールを受け取った場合は? 差出⼈ [苗字]@xxxxxxxx.co.jp 宛先 [問い合わせ窓⼝のアドレス] 件名 商品の破損について 添付 商品の画像.zip お世話になっております。 先⽇注⽂して届いた商品が添付の通り破損していました。 ⾄急交換をお願いします。 お客様からのメールだ 確認しなきゃ!! ----------XXXXXXXX株式会社 ○○部 ⽒ 名 E-mail: .... Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 9 2-1. ⼈に対する脅威 推奨対策 標的型メール攻撃への対策は多層で⾏う ⼈の対策例:開封率を⽬安に、次回のメール訓練の実施⽅針を検討する 開封率が5%⽔準に低下するまで:標的型メールに対して意識を向けさせる 開封率が5%⽔準に低下するまで:標的型メ ルに対して意識を向けさせる ▪攻撃の⼿⼝となる基本的なパターンを、従業員や役員が⼀通り疑似体験する 開封率が5%⽔準に下がった後:標的型メ ルへの意識を維持しつつ、被害を最⼩限に抑えるた 開封率が5%⽔準に下がった後:標的型メールへの意識を維持しつつ 被害を最⼩限に抑えるた めの訓練を⾏う ▪新たな気づきを与える ▪興味を強くかき⽴てるメール⽂⾯/「業務内容」に応じたメール⽂⾯を⽤いる 興味を強くかき⽴てるメ ル⽂⾯/ 業務内容」に応じたメ ル⽂⾯を⽤いる ▪被害の最⼩化に向けた訓練 ▪不審メール受信後の対応の整備・訓練 ▪不審メールの添付ファイル開封やURLリンクへアクセスした後の対応の整備・訓練 ■危機対応の教訓 システム対策例:添付ファイルの取扱を⾒直す 普段やっていることしかできない 添付ファイルを取り扱わずに済む業務設計やシステムでの制御 普段やっていることも満⾜にできない ▪業務で不要な添付ファイルはシステムで規制する 普段やっていないことは絶対にできない 添付ファイルを「安全」に開くことができる環境を整備 ▪仮想環境、仮想化ツール、など Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 10 外部からの脅威 2-1. ⼈に対する脅威 悪⽤される添付ファイルの拡張⼦(*1)には流⾏が存在する 2016年2⽉以降、マルウェア(*2)付きメールが急増 通年(2015/4-2016/3)で拡張⼦を分析(*3)すると、Word/Excelなどのマクロ付きOfficeドキュ すると Word/Excelなどのマクロ付きOfficeドキュ メント(55.3%)と、 スクリプト(*4)ファイル(38.2%)が、マルウェア付きメール全体の93.5%を占める マルウェア付きメールの検出件数推移(2016年度⽉別) 通 120,000 マクロ付きOffice⽂書(docm,xlsmなど) +スクリプトファイル (.jsなど) 100,000 80 000 80,000 93.5% 60,000 総計 マクロ付Office 40,000 +スクリプト プ 20,000 0 4⽉ 5⽉ 6⽉ 7⽉ 8⽉ 2015年 9⽉ 10⽉ 11⽉ 12⽉ 1⽉ 2016年 2⽉ 3⽉ 合計=207,782 通 *1: ファイルの種類を識別するためにファイル名の末尾に付与される⽂字列。docxやxlsxなどがそれにあたる *2: コンピュータウイルスなど、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアなどの総称 *3: 当社のマネージドセキュリティサービス(MSS)において、スパムフィルタを通過したメールのうち、アンチウィルス製品にてマルウェア付きと判定されたメールが対象。 圧縮ファイルが添付されていたケースでは、展開後の拡張⼦を基に集計 *4: 機械語への変換や実⾏可能ファイルの作成などの過程を省略、あるいは⾃動化した簡易なプログラム Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 11 推奨対策 2-1. ⼈に対する脅威 悪⽤される添付ファイルの拡張⼦の流⾏を踏まえ、拡張⼦で規制する 多くの企業では既にスパムメールフィルタリング製品やアンチウィルス製品が導⼊されている 加えて振る舞い検知型製品など⾼度な⼊⼝対策を導⼊しているケース 悪性メールの⼤量受信 ⇒ 処理増により業務メールが遅延する可能性 基本的には多層での防御、さらに拡張⼦規制で効率よく攻撃メールの流⼊を防ぐ 後続機器に負荷をかけないよう、最もインターネットに近い位置でフィルタをかけることが重要 流⾏に沿って規制対象を定期的に⾒直す スパムメール フィルタ製品 アンチウイルス 製品 振る舞い検知型 製品 攻撃者 悪性メールの⼤量受信 により、業務メールの配 信が遅延する可能性 従業員 インターネット 企業内環境 Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 導⼊済み製品を活⽤ した拡張⼦規制 12 外部からの脅威 2-1. ⼈に対する脅威 あたかも社内から送られてきたかのように⾒せかける「なりすましメール攻撃」 2016年2〜3⽉に検出したマルウェア付きメールのうち、46.3%のメールで送信元/送信先 メ ルアドレスのドメイン(@よりも後ろの部分)が 致 メールアドレスのドメイン(@よりも後ろの部分)が⼀致 社内メールを装って、外部から送信している(=なりすまし) メールアカウント名(@よりも前の部分)は、 customer、service、adminといった汎⽤的に使わ れ得る単語を組み合わせたもののほか れ得る単語を組み合わせたもののほか、copier、scanner、などが多い i などが多い 2016年2〜3⽉に検出したマルウェア付きメール 合計=175,542 , 通 Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. From:△△@●● @ To: XX@●● のように、送信元/送信先 ドメインが同じメールが 46.3% 13 推奨対策 2-1. ⼈に対する脅威 ⾃社ドメインを騙ったメールは遮断する。送信元認証技術の導⼊も視野に インターネットから届くメールのうち、⾃社ドメインを装ったメールを規制する 送信元ドメイン認証 (SPF(*1)/DKIM(*2)/DMARC(*3))などの採⽤ 全ドメインでの送信元ドメイン認証の適⽤が難しい場合は、⾃社ドメインに対してのみ適⽤ 導⼊が難しい場合:インターネットからの受信メールのうち、送信元アドレスが⾃社ドメインのものを 遮断 遮断が難しい場合:メールのタイトルや本⽂に警告⽂を挿⼊し、受信者に認識させる 攻撃者 メール配信経路の違いを 信経路 違 踏まえ、⾃社ドメインを 装ったメールを遮断 従業員A 社内からのメールを装って 社外から攻撃メールを配信 従業員B インターネット Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 企業内環境 *1: Sender Policy Framework *2: DomainKeys Identified Mail *3: Domain-based Message Authentication, Reporting and Conformance 14 2-2. システムに対する脅威 Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 外部からの脅威 2-2. システムに対する脅威 telnet(*1)ポートへのアクセスが約2倍に増加 telnetは、ルータやWebカメラなどLinuxが組み込まれた機器を標的とした攻撃で使われる 攻撃されてボット(*2)と化した機器は、更に他の機器の乗っ取りを試みるためにtelnetサービスが稼 と化した機器は 更に他の機器の乗っ取りを試みるためにtelnetサービスが稼 働している機器を探索する ボット化した機器が増加したことが、telnetポートへのアクセスが増加した原因と推定 ファイアウォールでブロックした通信の件数(割合) インターネットへの不要な経路は閉じるよう⾒直す telnetサービスを公開している企業⽤途のWebサイトは t l tサ ビスを公開している企業⽤途のW bサイトは もはや存在しない Webカメラなど、⼩型の組み込み機器が管理者の 知 知らないところでインターネットに接続されていないか 接続 を考慮すべき 2015 Other 56.0% 2014年度に⽐べ、2015年度には telnet(23/tcp) へのアクセスが 約 倍に増加 約2倍 *1: TCP/IPネットワークを通じて別のコンピュータにアクセスし、遠隔操作するためのプロトコルのひとつ *2: コンピュータを外部から遠隔操作するための不正プログラムの⼀種 Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. n=808,955,599 件 telnet 21.0% 2014 telnet 12 2% 12.2% http 7.3% ssh 5.0% Other 67.1% icmp 4 7% 4.7% smtp 3.8% smtp 7.3% http 4.9% ssh 4 0% 4.0% icmp 3.4% 53413番 ポート/udp 3.5% 16 外部からの脅威 2-2. システムに対する脅威 特定製品の脆弱性を狙ったアクセスが多発。来るIoT時代へ備える必要 特定製品の脆弱性を狙った通信が急増(2015/11-2016/3) 遠隔操作を可能にするような不具合混⼊が発覚した某社製ルータを標的とした通信 今後も「特定製品の脆弱性を狙った攻撃」が⼤量に発⽣する可能性 IoT機器の台頭 ⇒ 管理者の知らないところでインターネットに繋がるデバイスが出てくる 攻撃者にとっては、インターネットに繋がるもの全てが攻撃対象となり得る 時代に沿った適切な管理体制を定める ファイアウォールでブロックした通信(53413番ポート/udp宛て)の件数推移(⽉別) 838.4万件 (百万件) 10 8 過去に報告されていたルータのバックドアに 対するアクセスが2015年11⽉から 2016年2⽉にかけて急増 6 4 2 0 10⽉ 2015年 11⽉ 12⽉ 1⽉ 2⽉ 3⽉ 合計=28,058,398 件 2016年 Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 17 2-2. システムに対する脅威 Webアプリケーション診断/プラットフォーム診断の対象について ⼀般に、Webシステムの診断は、評価対象のWebシステムの構成要素によって2種類に ⼤別される Webシステムの構成要素 Webアプリケーション診断での評価対象 Webアプリケーション Webアプリケーションサーバ プラットフォーム診断での評価対象 Webサーバ/DBサーバ OS 検査する⼈(or ツール) Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 評価対象 Webシステム 18 企業の実態 2-2. システムに対する脅威 企業などの外部公開システムで、システム基盤の13%に、危険な問題が⾒つかる 2015年度に実施した、インターネット経由でのプラットフォーム診断で、「危険」と判断された 割合は13.0% 「危険」:即座に攻撃可能な問題を発⾒したシステム 危険と判定されたシステムの80%が、製品に関する脆弱性を抱える システム基盤の脆弱性は、⼀定の割合で残り続けている プラットフォ ム診断にて「危険」と判断されたシステム割合推移 プラットフォーム診断にて「危険」と判断されたシステム割合推移 100% 80% 60% 40% 25 0% 25.0 20% 14.6% 19 6% 19.6 13.0% 0% 2012 2013 2014 (n=88) (n=82) (n=132) Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 「危険」と判断された10 システム中、8システムが プロダクト脆弱性に起因 2015 2015 (n=77システム) (n=77システム) 19 企業の実態 2-2. システムに対する脅威 企業のWebアプリケーションの約30%で、危険な問題が⾒つかる 2015年度に実施したWebアプリケーション診断で、「危険」と判断された システムの割合は32.1% 「危険」:重要情報への不正アクセスが可能など、即座に攻撃可能な問題を発⾒したシステム 過去4年、「危険」なWebアプリケーションの割合は30%前後で推移 Webアプリケーション診断にて「危険」と判断されたシステム割合推移 100% 80% 30%前後で推移 60% 40% 32.8% 28.3% 35.1% 32.1% 20% 0% 2012 2013 2014 2015 (n=229) (n=531) (n=590) (n=502システム) Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 20 企業の実態 2-2. システムに対する脅威 「危険」と判断されたうち、75.2%が「アクセスコントロール」に関する問題を抱える 「アクセスコントロール」に関する問題の例 あるユーザが他のユーザになりすまして システムを利⽤することが可能 あるユーザが他のユーザになりすまして、システムを利⽤することが可能 ⼀般ユーザが、⾃⾝の権限を越えて特権機能へアクセス可能、など (再掲) Webアプリケーション診断にて「危険」と判断されたシステム割合推移 危険と判断されたWebアプリケ ション 危険と判断されたWebアプリケーション 75.2% のうち がアクセス コントロールに関する脆弱性を抱える 100% 80% 60% 40% 32 8% 32.8 28 3% 28.3 35.1% 35 32 1% 32.1 20% 0% 2012 2013 2014 (n=229) (n=531) (n=590) Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 2015 2015 (n=502システム) (n=502システム) 「危険」と判断された Webシステム n=161 システム 21 2-2. システムに対する脅威 「アクセスコントロール」に関する問題は、検査ツールでは発⾒できない ツールによる機械的な検査では、 「アクセスコントロール」に関する問題の発⾒は困難 アプリケーションの処理ロジックを理解した上で その処理ロジック⾃体の問題を探す必要がある アプリケーションの処理ロジックを理解した上で、その処理ロジック⾃体の問題を探す必要がある ツールによる機械的な検査が増えてきているが、⼿作業での検査が不要となるわけではない 検査⽤の⽂字列に変更 検査する⼈( ツール) 検査する⼈(or ツ ル) W bアプリケ シ ン Webアプリケーション リクエスト GET /test?parameter=XXXXX・・・ レスポンス HTTP/1.1 200 OK XXXYYYZZZ・・・ ツールが発⾒することを 得意とする脆弱性 項⽬A ○ Webアプリの違いによらず 検査⽤リクエスト送信時のレス ポンスに⼀定のパターンがある 項⽬B × 項⽬C △ ・ ・ ・ 基本的な実施⽅法は 「⼈」も「ツール」も同じ 例: • SQLインジェクション • クロスサイトスクリプティング クロスサイトスクリプテ ング • OSコマンドインジェクション、など Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. ツールでは発⾒が 難しい脆弱性 Webアプリごとの 処理ロジックに依存する 例: • 他⼈の株式買い注⽂を修正 できる • 受発注管理システムで他者の 情報を閲覧できる、など 22 推奨対策 2-2. システムに対する脅威 開発⼯程中に作り込まれる脆弱性を、早めの段階で減らす 「アクセスコントロール」に起因する脆弱性の多くは、設計及び実装時に作り込まれる ⼀般に、アプリケーション開発段階での修正は、⼯程の初期段階ほどコスト⾯で有利 「設計時のレビュー」、「ソースコードのチェックツール」などを利⽤し、開発⼯程中の早めの段階で作 「設計時のレビュ 」、「ソ スコ ドのチェックツ ル」などを利⽤し、開発⼯程中の早めの段階で作 り込まれる脆弱性を減らす それでも、リリース前にセキュリティ診断は必要 ▪対応済みのはずの脆弱性を実装の不備で作り込んでしまう ▪ソースコードチェックツールの検知漏れ 要件定義 (Requirements) 設計 (Design) 実装 (Implement) 配備 (Deploy) 設計時のレビュー 時 ビ ソースコードのチェック セキュリティ診断 リリース 運⽤ (Maintain) 修正は初期⼯程であればある ほど、費⽤を低く抑えられる Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 23 2-3. システムマネジメントの課題 Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 企業の実態 2-3. システムマネジメントの課題 企業におけるWebサイトの把握/⼀元管理は進まず Webサイト群探索棚卸しサービス(GR360)で探索したWebサイトのうち、企業などが把握 できていた((*))⾃社 ⾃社・⾃組織のWebサイトの割合は50.1%にとどまる ⾃組織の ebサイトの割合は50 %にとどまる 管理から漏れやすい例 ⼀時利⽤(キャンペーン、広告など) 事業部⾨主導(クラウド利⽤) 海外拠点 合併 など 合併、など 企業が⼀元的に把握できていた⾃社Webサイトの割合推移 100% ここ3年、50%前後で推移 80% 60% 48% 49% 2013 2014 (n=5,338) (n=1,571) 50.1% 40% 20% 0% 2015 ((n=5,691サイト) (n=5,691サイト) 5 691サイト) *: ⾃社のWebサイトをリスト化するなどして、企業・組織内の⼀部⾨が把握できていたWebサイト Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 25 企業の実態 2-3. システムマネジメントの課題 インターネット上のWebサイトを把握・管理するための体制、⼿段を確保 Webサイトの存在を把握できていなければ、脆弱性が存在していても対処のしようがない Webサイトに対する簡易チェック(*1)で、攻撃が成⽴する可能性のある問題を検出 で 攻撃が成⽴する可能性のある問題を検出 (下図) Webサイトを把握し、⼀元管理するための王道は、管轄部⾨を定めてWebサイトの構築、 運⽤に関わるルールを定義し、PDCAサイクルを回していくこと 組織に関連するWebサイトを探索するソリューションを「⽀援策」として活⽤することも⼀つの選択肢 発⾒したWebサイトはひとつひとつ地道に評価し、対策を検討していくことが結局は近道 簡易チェックで問題が検出されたWebサイトの割合(地域別)(*2) 100% 80% 60% 40% 20% 18.8% 11 5% 11.5 8.2% ヨーロッパ 北⽶ 中南⽶ (n=3,431) (n=6,756) (n=913) 3.0% 0% オセアニア (n=98,477 *1: 「バナー情報から脆弱性を持つプロダクトが確認できるか」、「メンテナンスサービスに サイト) Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 中南⽶では16.3%のWebサイトにて、危険度の ⾼い脆弱性(リモートから任意のコード実⾏が可 能、リモートからDoS攻撃が可能、など)が存在する 製品が稼働 製品が稼働していたことが数値を押し上げた要因 た とが数値を押 上げた要因 アクセスできるか」、などWebサイトが攻撃を受けうる問題を様々な観点から確認 *2: IPアドレスから得られる地理情報に基づいて、各Webサイトを地域ごとにマッピング 26 企業の実態 2-3. システムマネジメントの課題 2年間の猶予を踏まえ、強⼒な暗号化⽅式への移⾏計画を⽴てる必要 2015年度に実施したASVスキャン(*1)では、 SSL/TLSに関する問題が最も多く、42.8%を 占めた PCI DSS v3.1でTLS1.1以降への対応が 求められていたが(2016/6/末) 対応が進まなかっ 求められていたが(2016/6/末)、対応が進まなかっ たことを⽰唆している 対応が進まなかった理由 ▪古い端末利⽤者の存在 ▪準備が間に合わない ASVスキャンで検出した問題の⽐率 ASVスキャン で検出した問題数 PCI SSCが対応期限の延⻑ (〜2018/6)を発表 2年間の猶予を踏まえ、まずは移⾏計画を⽴てる *1: ASV(外部脆弱性スキャンを⾏うことを、PCI SSC(*2)により認定されているベンダ) による、四半期毎の脆弱性スキャ ン。PCI DSS(*3)に準拠するための要件のひとつ *2: 国際クレジットカードブランド会社5社(VISA、MasterCard、JCB、American Express、Discover)が設⽴した、 クレジットカードのセキュリティ基準の開発、管理、教育、 および認知を実施する有限責任会社 *3: クレジットカード情報及び取り引き情報を保護するために、PCI SSCが定めた評価基準 Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. SSL/TLSに関する問題が 42 8% 42.8% 1,194 システムを対象に実施 27 3. おわりに Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 3. おわりに まとめ 従業員・役員に対する標的型メール攻撃は、依然として脅威 ⼈の対策:開封率を⽬安に 次回のメール訓練を検討する(意識の維持 被害の最⼩化) ⼈の対策:開封率を⽬安に、次回のメール訓練を検討する(意識の維持、被害の最⼩化) システム対策:添付ファイルの取扱を⾒直す マルウェア付きメールの流⾏を踏まえ、対策を定期的に⾒直す 悪⽤される添付ファイルの拡張⼦の流⾏に合わせて、拡張⼦で規制する 送信元認証技術などを活⽤し、⾃社ドメインを騙ったメールを遮断する 送信元認証技術などを活⽤し ⾃社ドメインを騙 たメ ルを遮断する 危険度の⾼いWebアプリケーションの脆弱性の多くは、検査ツールでは発⾒できない 危険度の⾼いWebアプリケ ションの脆弱性の多くは、検査ツ ルでは発⾒できない 「アクセスコントロール」に関する問題は、ツールでは発⾒が困難であり、⼿動での検査は必要 開発⼯程中の早めの段階で作り込まれる脆弱性を減らす 企業などが把握している⾃社Webサイトは依然として半数にとどまる ル ルでの管理に加え Webサイトを探索するソリュ ションを活⽤することも選択肢となる ルールでの管理に加え、Webサイトを探索するソリューションを活⽤することも選択肢となる 発⾒したWebサイトは、ひとつひとつ評価/対策を検討していくことが近道 Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 29 3. おわりに 調査概要 調査時期:2015年4⽉〜2016年3⽉ 調査⽅法:当社顧客である企業や公的機関に提供した、各種情報セキュリティ対策サービスを通じて得たデータを基に集計、分析 調査対象サービス:以下のサービスが対象。サンプル数(対象システムなど)は個々に記載 調査対象サ ビス 以下のサ ビスが対象 サンプル数(対象システムなど)は個々に記載 ◆マネージドセキュリティサービス ○FNCセキュアインターネット接続サービス メールゲートウェイ、プロキシサーバ、リモートアク セスなど お客様の社内ネ トワ クとインタ セスなど、お客様の社内ネットワークとインター ネットを安全に接続するために必要となるセ キュリティ対策のアウトソーシングサービスです。 FNCセキュアインターネット接続サービスで管理 しているゲートウェイサーバのうち、ウイルスチェッ クサーバ48システム分のログを集計対象として クサ バ48システム分のログを集計対象として います。 ○FNCセキュアWebネット管理サービス お客様のWebサイトを、外部からの不正アクセ スの脅威から守るセキュリティ対策のアウトソー シングサービスです。ファイアウォール(FW)や侵 ⼊検知システム(IDS)の他、侵⼊防御システ ム(IPS)やWebアプリケーションファイアウォール (WAF)などのセキュリティデバイスを24時間 365⽇監視しています FNCセキ アW bネッ 365⽇監視しています。FNCセキュアWebネッ ト管理サービスで管理しているセキュリティデバ イスのうち、ファイアウォール77システム分のログ を集計対象としています。 ◆セキュリティ診断サービス ○プラットフォーム診断 ネットワークの外側(インターネット)あるいは内 側のLANから、サーバやネットワーク機器などの システム基盤のセキュリティホールや設定状況 について検査を⾏い、発⾒された問題に対して 当社独⾃の基準により危険性を評価して報 当社独⾃ 準 り危険性 評価 報 告するサービスです。2015年4⽉〜2016年 3⽉に、インターネット経由で診断した77システ ムを集計対象としています。 ○Webアプリケ ション診断 ○Webアプリケーション診断 Webアプリケーションの実装⽅式、開発⾔語、 利⽤プラットフォームなどを考慮し、Webアプリ ケーションに潜在するセキュリティ上の問題点を 洗い出し、発⾒された問題に対して当社独⾃ の基準により危険性を評価して報告するサー の基準により危険性を評価して報告するサ ビスです。2015年4⽉〜2016年3⽉に診断 を実施した502システムを集計対象としていま す。 ○PCI DSS認定スキャンサービス DSS認定スキャンサ ビス PCI DSSの認定スキャニングベンダである当社 が、PCI DSSにおいて要求されている四半期 ごとの脆弱性スキャン、無線LAN調査、年1 回のペネトレーションテストを⾏い、PCI DSS の準拠をサポ トするサ ビスです 2015年4 の準拠をサポートするサービスです。2015年4 ⽉〜2016年3⽉にASVスキャンを実施した 1,194システムを集計対象としています。 Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. ○Webサイト群探索棚卸サービス (GR360) 独⾃アルゴリズムにより、インターネットに公開さ れている特定企業関連のWebサイトを探索 し、発⾒されたWebサイトに対して簡易なセ キュリティチェックを⾏って、Webサイト群全体に 対するセキュリティレベルの可視化を⾏うサービ スです。2015年4⽉〜2016年3⽉に簡易な セキュリティチェックを実施した109,577サイト , (ヨーロッパ3,431サイト、北⽶6,756サイト、 中南⽶913サイト、アジア・オセアニア98,477 サイト)を集計対象としています。 ○標的型メ ル攻撃シミュレ ション ○標的型メール攻撃シミュレーション 疑似攻撃ファイルを添付、あるいは疑似攻撃 サイトへのURLリンクを記載した標的型メール を送付し、対象者へ標的型メール攻撃に対す る意識付けを⾏うと共に、対象者のファイル実 ⾏ あるいはリンクのクリック状況を確認すること ⾏、あるいはリンクのクリック状況を確認すること で、標的型メール攻撃へ耐性をチェックして報 告するサービスです。2015年4⽉〜2016年 3⽉に送信した564,987通を集計対象として います。 30 3. おわりに お問い合わせ先など 内容に関するお問い合わせ NRIセキュアテクノロジーズ サイバーセキュリティ事業開発部 ⻄⽥ TEL:03-6706-0500 E-mail:[email protected] 「サイバーセキュリティ傾向分析レポート2016」は 下記URLから無料でダウンロードできます 無料 ダ http://www.nri-secure.co.jp/security/report/2016/cstar.html Copyright © 2016 NRI SecureTechnologies, Ltd. All rights reserved. 31
© Copyright 2024 ExpyDoc
