 |
セキュリティ監査概論[前編]
事例にみるセキュリティ監査のポイント
矢崎 誠二インターネット セキュリティ システムズ株式会社
プロフェッショナルサービス部 マネージャー
(シニアセキュリティコンサルタント)
2005/4/19
 |
セキュリティ診断事例の紹介 |
ここからはいくつかの事例を紹介したいと思う。インターネット経由での外部アタックによるセキュリティ監査のケースが多いことは承知のうえであるが、今日のセキュリティ事情に合わせた形で、それ以外の事例も紹介しよう。
なお、ハッキングスキルを用いて疑似アタックを試みると、脆弱な設定により侵入できるケースも多々ある。今回紹介する事例の脆弱性は、現在はすでに適切な対策が実施されていること、またお客さま保護のため、詳細な情報や特定できる内容は一切記載できないことを併せてご理解いただきたい。
●事例1:上級職社員のPCに対する疑似アタック
社内においては役職が上であればあるほど、重要情報や機密情報を保管する傾向が強い。この事例では、情報サーバのセキュリティを強化しても、結局のところ個人PCに一部の情報が散在している事実を危惧し、状況把握をするため、セキュリティ監査に踏み切った。数百にわたるWindows端末を所持するすべての役職者に対して、社内オンサイトからネットワーク経由でのセキュリティ監査を実施した。
ドメイン管理による強固なパスワードが設定されていたため、個々のアカウンティングに関する設定上の脆弱性は検出されなかった。しかしながら、バックアップサーバに試験用途に使用されたと思われる過去のドメイン管理者権限アカウントが残っており、このサーバへの侵入が成功。バックアップサーバであっても、ドメイン管理権限を保有していたため、このアカウントの2次利用が可能である。全端末はアクティブディレクトリにて管理されていたため、本アカウントを使用して全端末へのログインが可能となった。
社員PCからの不正アクセスにより全端末へのログインが可能となる極めて危険な状況が報告された。
●事例2:内部サーバ全域に対する疑似アタック
対象システムはUNIXシステムおよびWindowsシステムの混在環境である。無差別に配置されたサーバ群に対してリモートからの疑似アタックを試みた。目的は内部からの不正アクセスの可能性とその影響の度合いを調査するためである。膨大な内部サーバが存在するため、オンサイトで1カ月以上に及ぶ調査期間が必要となった。
内部サーバは、インターネットからの脅威に対して守られているため、外部アクセスによる脅威の影響は低いといえる。逆に内部アクセスからの不正行為に対して脆いという予想は見事に的中した。
まずWindowsシステムに関しては、パッチ適用が実施されておらず、大多数のサーバにDoS攻撃によるサービス停止や、共有フォルダの作成による内部ファイルの閲覧および改ざんが可能であった。その中には社員の重要なファイルも存在していたほどである。
UNIXシステムでは比較的脆弱性の数は少ない傾向にある。しかしながら、ユーザーが構築したFTPサーバに対し、rootによるフリーアクセスが可能であったり、内部のためrootアクセスが可能なHTTPサーバを起動した状態のネットワーク機器もあったりというような脆弱性が露呈していた。
部門別に管理しているサーバや、社員が自由に構築したサーバの場合、特にこのような脆弱性が検出される傾向があり、情報システムの管理体制や責任分岐点の難しさがセキュリティ監査の結果からも垣間見えることがある。
●事例3:DMZシステムおよび内部システムに対するペネトレーション
一般的なペネトレーションチェックが実施された。監査当初インターネットからファイアウォールを経由して内部ネットワークへの侵入はできないとされた。しかしながら、DMZに存在するメールサーバ内の、sendamilではない別のサービスの脆弱性を利用してバッファオーバーフローを引き起こし、DMZ内のメールサーバに侵入が成功した。
DMZから内部ネットワークへのファイアウォール制御が適切ではなかったため、ファイアウォールを経由して内部ネットワークアドレスに対するポートスキャンが可能となった。さらなる侵入が可能と考えられるが、セキュリティ監査としてはここで止めるものとした。
●事例4:インシデント対応に関する抜き打ちチェック
セキュリティ運用に関する抜き打ち監査といっても過言ではないが、実務担当者には周知されない形でのセキュリティ監査を依頼された。平日、日中の時間帯でどのような調査を実施しても構わないという依頼で、DoS攻撃、バッファオーバーフロー、そのほかあらゆる調査を実施した。
監査の結果、侵入に至る可能性のある脆弱性が何点か検出された。また、多大な不正パケットを送信したため、実務担当者は不測の事態が発生していることを感知し、送信元IPアドレスをJPNICにて参照し、当社の担当者に通信の停止依頼という連絡をした。セキュリティ運用としてまずは適切なフローが動いたのではないだろうか。
 |
2/3 |
|
| Index | |
| 事例にみるセキュリティ監査のポイント | |
| Page1 セキュリティ監査の3つのポイント -脆弱性の検出手段 -監査結果の確証性 -セキュリティ監査に伴うリスク セキュリティ監査の評価基準 -総合評価 -脆弱性評価 |
|
 |
Page2 セキュリティ診断事例の紹介 -上級職社員のPCに対する疑似アタック -内部サーバ全域に対する疑似アタック -DMZシステムおよび内部システムに対するペネトレーション -インシデント対応に関する抜き打ちチェック |
| Page3 脆弱性への対応 セキュリティ監査の定期化 -セキュリティレベル向上 -セキュリティ監査のサイクル |
|
| 関連リンク | |
| セキュリティ監査の目的と必要性 | |
| 個人情報保護法に備える4つの課題 | |
| 情報漏えいに備えるセキュリティ投資の目安 | |
| 個人情報保護法(セキュリティ用語事典) | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
