プラクティス・ナビ
プラクティス・ナビ

プラクティス5-1 多層防御の実施

H社の実践のステップ

情報システム部の部長は、現状のセキュリティ対策で最重要システムがサイバー攻撃から適切に防御されるか、多層防御の観点を踏まえて確認する必要があると感じた。システム運用委託先と協力し、社内システム・ネットワークについて調査・整理した。
①最重要システムについて、持ち込みPCや可搬記憶媒体の利用が常態化していないことを確認した
②標的型攻撃を脅威シナリオとし、標的型攻撃のメールが社内のメールゲートウェイをすり抜けて端末へ到達し、C&Cサーバとの通信が確立したとの前提で、問題点を調査した
③業務システムやOSの権限設定等のアクセス制御に一部不備があること、そして最重要システムへ、ネットワーク上のどの端末からでも参照できる状態であることが判明した


H社の実践内容

 調査結果を受けた情報システム部長は、ガイドラインを参考にコストとのバランスに配慮し、問題点と実践する対策を次表の通り選定した。各対策の内容は「A:攻撃に利用されうる端末への対策」、「B:最重要システムに到達させない対策」、「C:サーバへ侵入させない対策、検知のためのログ取得(“プラクティス5-2”参照)」、「D:破壊されても元に戻せる対策」である。

表1 多層防御の観点で発見された問題点と実践内容の例

発見した問題点実践内容
A: 端末への対応
  • マルウェア対策ソフトウェア等の定義ファイルを更新していない端末があった
  • 全端末の状態を常時監視し、定義ファイル等が古い場合は更新する運用とした
B:ネットワークの分離
  • 最重要システムに無関係な端末が、最重要システムを参照できてしまった
  • 場所毎にIPアドレス体系を分け、必要な通信のみが通過する設計とした
  • 社外システムを利用する端末を限定し、社内ネットワークから切り離した
C:サーバへの対応
  • 社内を踏み台とした不正アクセスを想定した対応を検討していなかった
  • サーバへのアクセス権限設定を見直した
  • 検知のためのログ取得について検討した
D:バックアップ
  • バックアップデータが同一システム内に保存される設計で、サイバー攻撃時に同時に破壊され、復旧できないリスクがあった
  • バックアップデータを定期的に電子媒体にコピーし、システムとは別の場所で保管する運用とした

 情報システム部の部長は次のステップとして、コストの問題で先送りした更なる投資(EDRの導入等)や、他の脅威シナリオをベースにした対策検討を予定している。


TOP