inukiti

inukiti

サイバーキルチェーンを用いたランサムウェア対策の分析・評価 Part2

前書きPart1では、「標的型攻撃メール」によるランサムウェア攻撃を題材として取り上げたが当Partでは現時点で最も被害が多い「VPN機器の脆弱性」によるランサムウェア攻撃を題材として取り上げる。 VPNの種類の整理VPN(Virtual Private Network)には、いくつかの種類があり当該記事では以降に「インターネットVPN」を対象とし「IP-VPN」等の閉塞網を利用するものは対象外とする。 VPN装置の脆弱性に対する攻撃手法(キル)の整理攻撃手法を前回と同様

inukiti

    • サイバーキルチェーンを用いたランサムウェア対策の分析・評価 Part1

      前書き2024年に入りイセトーやKADOKAWAへのランサムウェア攻撃があり、ランサムウェア対策が緊急の課題となりつつある。当記事にて、サイバーキルチェーンを用いて自組織のランサムウェア対策の分析・評価方法を示す。当該手法を用いることで、自組織におけるランサムウェア対策の状況と追加で導入すべき技術的な対策を明確にすることが可能である。 サイバーキルチェーンとは上記のように攻撃手法を把握した上で各フェーズ毎に実施される攻撃手法を阻止する対策を行うことで多層的に考える手法である

      inukiti

      • 適切な暗号方式の選択について

        適切な暗号化とは データの転送や保管において暗号化は、セキュリティ対策において重要な対応となります。ただ適切な暗号方式を選択しなければ、必要な暗号強度を保てないことになります。 では、適切な暗号化とはどういった暗号化なのでしょうか。 適切な「暗号化アルゴリズム」と「鍵長」の2つで考える必要がある 「暗号化アルゴリズム」とは、暗号化を行う場合の「手順」や「規則」となります。このアルゴリズムに脆弱性(欠陥)があると暗号化されたデータから元のデータが復元されてしまったり、総

        inukiti

        • 情報セキュリティ関連規格の整理(法令関連の規格)

          情報セキュリティ関連規格の分類(再掲) 当記事では、下表の「法令関連の規格」に分類される情報セキュリティ関連規格を説明します。 情報セキュリティの法令関連の規格とは? 法令関連の規格とは、日本国政府が定める法令に従い国の機関が法令を遵守するために作成した規格(ガイドライン)となります。特定の業務を行う上で実施すべき事項が定められており、公的機関より準拠することが求められることになります。また、公的機関以外の機関が作成しているが、実態としては同様の扱いとなっている規格につ

          inukiti

        • サイバーキルチェーンを用いたランサムウェア対策の分析・評価 Part2

          inukiti

        • サイバーキルチェーンを用いたランサムウェア対策の分析・評価 Part1

          inukiti

        • 適切な暗号方式の選択について

          inukiti

        • 情報セキュリティ関連規格の整理(法令関連の規格)

          inukiti

          情報セキュリティ関連規格の整理(成熟度評価関連の規格)

          情報セキュリティ関連規格の分類(再掲) 当記事では、下表の「成熟度評価の規格」に分類される情報セキュリティ関連規格を説明します。 情報セキュリティの成熟度評価関連の規格とは? サイバーセキュリティの分野は特に日進月歩のイタチごっこが続いており、自組織がどこまでの対応を行う必要があるかを常に考えなければいけません。そのような自社の評価を行うために使用するのが「成熟度評価関連の規格」であり、この規格を使用して自社のセキュリティ成熟度を評価するとともに何が不足しているかを認識

          inukiti

          情報セキュリティ関連規格の整理(成熟度評価関連の規格)

          inukiti

          情報セキュリティ関連規格の整理(認証関連の規格)

          情報セキュリティ関連規格の分類(再掲) 当記事では、下表の「認証関連の規格」に分類される情報セキュリティ関連規格を説明します。 情報セキュリティの認証関連の規格とは? 認証関連の規格は、独立した認証機関が審査を行い規格に定められた基準を満たしていることを第三者に対して証明することを目的としており、取得した場合には次のようなメリットがあります。 官公庁の入札要件 ISMS等を取得していることが官公庁関連業務の入札要件となっていることがあります。また、民間企業でも委託元か

          inukiti

          情報セキュリティ関連規格の整理(認証関連の規格)

          inukiti

          情報セキュリティ関連規格の整理(前書き)

          情報セキュリティ関連規格ありすぎ問題 例えばAWSは、情報セキュリティ関連についてどのような規格の認定を受けていたり、どんな規格に沿って対策を検討していたり、どんな国の法令に関連する規格に準拠しているのでしょうか? AWSのページには、情報セキュリティ関連規格に関するページが存在しており沢山の規格が記載されています。 このように情報セキュリティ関連の規格(ガイドライン・フレームワーク)は多数存在しており、また同じ名前の規格でもタイプが違うなど非常に複雑です。ガイドラインの

          inukiti

          情報セキュリティ関連規格の整理(前書き)

          inukiti

          z/OSに対するセキュリティシステム監査(ミドルウェアに対する監査)

          ミドルウェアの監査z/OSには多数のDB2/Netview等のミドルウェアが存在しているがここではごく初歩的なセキュリティ監査について説明を行います。 当該項目については、製品に対する前提となる知識等が必要であることから各ミドルゥエア等で考えるべき事項等を列挙するに止める。 DB2のセキュリティDB2にはIDの記事で説明したとおり、特権情報(SYSADM等)をDB2側で管理を行なっている場合があることRACFだけでなくDB2側の特権情報を確認する必要があります。 また、DB

          inukiti

          z/OSに対するセキュリティシステム監査(ミドルウェアに対する監査)

          inukiti

          z/OSに対するセキュリティシステム監査(一般クラスの保護)

          一般クラスとは例えば、データセットを保護する場合には「DATASET」クラスにプロファイルを作ることで保護を行います。同様にz/OSおよびミドルウェアの各機能を保護するために、一般クラスと呼ばれる沢山のクラスが用意されています。 例えば、コマンド保護の場合例えば、z/OSには多くのコマンドがありそのコマンドを投入することで各種機能のアクティブ等が実施できます。そのため、コマンドを発行できる対象者を限定していない場合、システム障害等を発生する可能性があります。そのため、コマン

          inukiti

          z/OSに対するセキュリティシステム監査(一般クラスの保護)

          inukiti

          z/OSに対するセキュリティシステム監査(ログの取得・保管)

          z/OSにおけるログ取得・保管の概要SMF(システム管理機能)とは z/OSにおいてログを集中管理する機能で、各所から出力されるログを集中的に保管します。 ログ取得・保管の大まかな流れ z/OSや各種のミドルウェア、およびRACFはそれぞれログをSMFに出力します。SMFは方々から入ってくるログを、MAN1〜MAN3のようなSMF管理下のデータセットに保管します。MANxの1つのデータセットの使用率が一定以上となるとNetview等の自動ツールを使用して、次のデータセッ

          inukiti

          z/OSに対するセキュリティシステム監査(ログの取得・保管)

          inukiti

          z/OSに対するセキュリティシステム監査(STC-ID2)

          適切なSTC-IDの設定STCで稼動するタスクは多種多様であり、必要となる権限もタスク毎に異なることから適切な権限を付与されたIDを紐づける必要があります。 しかし、システムによってはほぼ全てのSTCがOPERTAION属性を持つような単一のIDで稼働している場合には次のような問題点があります。 STCが過剰な権限で実行されることから悪用された場合にセキュリティリスクが高くなる SMF等に出力されるログが全て同一IDの処理として出力されることからログの切り分けが難しくなる

          inukiti

          z/OSに対するセキュリティシステム監査(STC-ID2)

          inukiti

          z/OSに対するセキュリティシステム監査(STC-ID1)

          STCとは STCとは、システム上で稼働しているDB2やNetview等のミドルウェア(またそれ以外の個別のシステム機能)のようにシステムに常駐して各種機能を提供する機能です。STCには、稼働を行うために紐づけられたSTC-IDが存在し、当該IDおよび該当タスクが持つ権限で稼働します。 RACFでは各STCと紐づけられたID、その他属性の定義テーブルを持っておりDSMONの「RACF 開始済みプロシージャー表報告書」で定義情報を確認することが可能です。 STC特有の属性

          inukiti

          z/OSに対するセキュリティシステム監査(STC-ID1)

          inukiti

          z/OSに対するセキュリティシステム監査(開発環境と本番環境の分離)

          本番環境は業務データ等の守るべき情報資産が多数あることから、不要な担当者が本番環境にアクセスできないように開発環境と本番環境を分離する必要があります。 そのため、「本番環境へアクセスできるネットワークの分離」、「本番環境端末の物理的セキュリティ対策」および「本番環境のユーザーID管理プロセスの厳格化」などが一般的な対策となります。当記事では、z/OS固有の機能として考慮すべき事項について記載します。 共有VOLの管理開発環境と本番環境間で業務アプリケーションの引き上げリリー

          inukiti

          z/OSに対するセキュリティシステム監査(開発環境と本番環境の分離)

          inukiti

          z/OSに対するセキュリティシステム監査(アクセス許可検査の整理)

          RACFにおけるアクセス許可検査についてRACFにおけるアクセス権限許可検査は下記のマニュアルにて非常に丁寧かつ網羅的に説明がされていますが全てを理解することは難しいことから、監査等で確認すること、理解することが前提となる部分を中心にご説明します。 (かなり簡略化していることから厳密性がないことをご了承ください) いくつかの例題次のようなパターンの権限が設定されていた場合にはアクセスが許可されるか、許可されないでしょうか。 あるUSERA(所属グループ:GROUPA)が、

          inukiti

          z/OSに対するセキュリティシステム監査(アクセス許可検査の整理)

          inukiti

          z/OSに対するセキュリティシステム監査(業務データセットの保護)

          システムにおいて絶対不可侵なデータが業務データとなっており、不正なアクセスによる漏洩やデータ改竄による被害はあってはならない事象です。 そのため、業務データを含むデータセットの保護は厳格に実施する必要があります。 業務データセットの特定業務データの多くは本番DB(DB2やIMS等)に格納されています。また、本名DB以外にも処理の中間ファイル(転送データ等)が存在しています。そのため、被監査システム担当者にヒアリングを行い本番DBのVSAMファイル(DBの実データが保管されて

          inukiti

          z/OSに対するセキュリティシステム監査(業務データセットの保護)

          inukiti

          z/OSに対するセキュリティシステム監査(システム系データセットの保護)

          システムにおけるデータセットの保護システム稼働を行うデータセットは、一般ユーザーID等が参照または更新を行った場合にセキュリティ上のリスクとなることから保護を行う必要があります。IBMマニュアルにおいて、システム稼働等で使用するデータセット保護について次のようなガイドラインを示されており参考となります。 また、システムデータセットを適切に対してアクセス権限設定を行うことはセキュリティ上だけなく誤った操作によりシステム障害を防ぐフェールセーフの役割もあります。 当該ガイドライ

          inukiti

          z/OSに対するセキュリティシステム監査(システム系データセットの保護)

          inukiti