プラクティス5-1 多層防御の実施
H社の実践のステップ
情報システム部の部長は、現状のセキュリティ対策で最重要システムがサイバー攻撃から適切に防御されるか、多層防御の観点を踏まえて確認する必要があると感じた。システム運用委託先と協力し、社内システム・ネットワークについて調査・整理した。
①最重要システムについて、持ち込みPCや可搬記憶媒体の利用が常態化していないことを確認した
②標的型攻撃を脅威シナリオとし、標的型攻撃のメールが社内のメールゲートウェイをすり抜けて端末へ到達し、C&Cサーバとの通信が確立したとの前提で、問題点を調査した
③業務システムやOSの権限設定等のアクセス制御に一部不備があること、そして最重要システムへ、ネットワーク上のどの端末からでも参照できる状態であることが判明した
H社の実践内容
調査結果を受けた情報システム部長は、ガイドライン
を参考にコストとのバランスに配慮し、問題点と実践する対策を次表の通り選定した。各対策の内容は「A:攻撃に利用されうる端末への対策」、「B:最重要システムに到達させない対策」、「C:サーバへ侵入させない対策、検知のためのログ取得(“プラクティス5-2”参照)」、「D:破壊されても元に戻せる対策」である。表1 多層防御の観点で発見された問題点と実践内容の例
発見した問題点 | 実践内容 | |
---|---|---|
A: 端末への対応 |
|
|
B:ネットワークの分離 |
|
|
C:サーバへの対応 |
|
|
D:バックアップ |
|
|
情報システム部の部長は次のステップとして、コストの問題で先送りした更なる投資(EDRの導入等)や、他の脅威シナリオをベースにした対策検討を予定している。