BCP・BCM
BCP・BCMとは
[ISO22301:2012 社会セキュリティー事業継続マネジメントシステム]によると以下の通り。
BCP
事業継続マネジメント(じぎょうけいぞくマネジメント、BCM: Business continuity management)
事業の業務の中断・阻害に対応し、事業を復旧し、再開し、あらかじめ定められたレベルに回復するように組織を導く文書化された手順のこと。
BCM
事業継続マネジメント(じぎょうけいぞくマネジメント、BCM: Business continuity management)
組織への潜在的な脅威、及びそれが顕在化した場合に引き起こされる可能性がある事業活動への影響を特定し、主要なステークホルダの利益、組織の評判、ブランド、及び価値創造の活動を保護する効果的な対応のための能力を備え、組織のレジ離縁素を構築するための枠組みを提供する包括的なマネジメントプロセスのこと。
出来上がった成果物がBCPである。
BMCに関するISMSの要求事項
- 組織は、困難な状況における情報セキュリティの継続のための要求事項を決定すること。
- 組織は困難な状況で情報セキュリティを継続するためのプロセス、手順管理策を確立して文書化し、実施・維持すること。
- 情報セキュリティ継続のための管理策が妥当かつ有効であることを確実にするため、定期的に検証すること。
- 応報処理施設は、十分な冗長性を持って導入すること。
情報セキュリティポリシ
情報セキュリティポリシとは
情報セキュリティポリシとは組織の情報資産を守るための方針や基準を明文化したもの。
※情報セキュリティポリシに厳密な定義はないため、あくまで情報処理試験の標準的な構成についてまとめる。
文書構成
情報セキュリティポリシを策定するとき、「情報セキュリティ基本方針」「情報セキュリティ対策基準」「情報セキュリティ実施手順」の3つを作成する。
「情報セキュリティポリシ」という言葉は、このうち、「情報セキュリティ基本方針」「情報セキュリティ対策基準」の2つを指す。
情報セキュリティ基本方針
情報セキュリティ対策に対する根本的な考え方を表すものであり、情報セキュリティに対する取組み姿勢を示すものである。
目的・対象範囲・維持管理体制・義務・罰則など。
業界標準、該当する法令、政府規制への準拠を宣言する場合がある。
情報セキュリティマネジメントシステム(ISMS)における情報セキュリティ基本方針に関する記述
①情報セキュリティのための方針群
情報セキュリティのための方針群は,これを定義し,管理層が承認し, 発行し,従業員及び関連する外部関係者に通知しなければならない。
②情報セキュリティのための方針群のレビュー
情報セキュリティのための方針群は,あらかじめ定めた間隔で,又は重大な変化が発生した場合に,それが引き続き適切,妥当かつ有効であることを確実にするためにレビューしなければならない。
情報セキュリティ対策基準
基本方針で定められた情報セキュリティを確保するため に必要な、遵守すべき行為や判断などの基準。
実際に守るべき規程を具体的に記述し、適用範囲や対象者を明確にする。
情報セキュリティ実施手順
情報セキュリティ対策基準を実施するため の詳細な手続・手順のこと。
それぞれの情報システムや部署固有の事情を考慮したうえで作成する。
策定・運用による効果
- セキュリティレベルを明確にすることによるセキュリティレベルの向上
- リスクアセスメントを行い、全社最適化するので、セキュリティ対策の費用対効果が向上する
- 取り組みをアピールすることで対外的な信用を得られる
その他留意事項
- 情報セキュリティポリシの品質を高めるため、各種の外部専門家の活用する
- 策定においては目的・範囲・行為・罰則の明確化をする
- PDCAサイクルによって改善していく
リスクの概念
リスクの意味
「何らかの事態が発生することの関する 不確実性 」
あくまで不確実性であり、損失を生むとは限らない。
リスクの種類
投機的リスクと純粋リスク
投機的リスク
株価のような利益と損失のいずれかを生むもの。 顕在化すると、利益と損実のいずれかをもたらす。
純粋リスク
損失のみを生む可能性がある不確実性。 顕在化すると損失のみをもたらす。 情報セキュリティにおいて、主に分析・評価の対象となる。
情報リスクを構成する要素
情報資産・脅威・脆弱性
情報資産
「組織にとって守るべき価値を持つ情報及びそれを取り扱う一連の仕組みである情報システム」
情報に加え、ハードウェア・ソフトウェア・ネットワークなどの情報システム構成要素を含む。
脅威
情報資産に影響を与える直接的な要因となるもの。
脆弱性
脅威と結びつくことで損失を生む、弱点や欠陥のこと。
リスクと損失の関係
損失が生じるかもしれない不確実性がリスクである。
損失の種類
- 直接損失:コンピュータが盗まれるなど資産損失。事故による人的損失。
- 間接損失:業務中断、信用失墜による収益損失。賠償責任などの責任損失。
- 対応費用:復旧、再発防止のための費用。
直接損失の額は産出しやすいが、間接損失の額は算出しにくい。
ボット
ボットとは
ボット(bot)とは、コンピュータを外部から遠隔操作を行う不正プログラムである。 ロボット(Robot)のように、対象コンピュータを意のままに操ることができることが名前の由来。有名なものにSdbotやGaobot(Agobot)がある。
ボットにおける最大の特徴はボットネットワークを構成することである。 ボットネットワークとは、ボット感染に感染した複数のコンピュータを攻撃者が一括して遠隔操作できる仕組のこと。構成するPCの数は数百~数千・数万に及ぶこともある。
用語
C&C(command and control server)サーバ
ボットネットワークに対して指令(command)を出し、制御(control)するサーバー。通信の手段としてIRCが用いられることが多い。
IRC(Internet Relay Chat)
サーバを介して会話(チャット)をする枠組みの名称である。 TCPプロトコルとして主に用いる。
ハーダー
ボットを操る攻撃者のこと。
ゾンビPC
ボットに感染したパソコンのこと。
攻撃の内容
特徴・問題点
遠隔操作が可能なので、ファイル操作やプロセス操作、ほかのサーバへの攻撃などさまざまなことができる。
感染したコンピュータを不正なメールの送信やDDoS攻撃に利用するので、被害者が加害者にもなりうる。
また、C&Cサーバとの通信の中で、自身のアップデートを行い、ウイルス対策ソフトウェアによる検出を免れたり、攻撃に必要な機能を追加することができる。
命令の実行まで待機して、すぐに被害を出さないことも多く、感染に気が付きにくい。
自己隠蔽のためにHostsファイルの改ざんを試みることが多い。
他のマルウェアでもいえることだが、より多くの亜種を作るためのソースコードが公開されている。(ex:Sdbot、Gaobot)
感染経路
- ウイルスメールの添付ファイルの実行による感染
- 不正な(ウイルスの埋め込まれた)Webページの参照による感染
- スパムメールに示されたリンク(URL)のクリックにより不正なサイトに導かれて感染
- コンピュータの 脆弱性*1 を突く、ネットワークを通じた不正アクセスによる感染
- 他のウイルスに感染した際に設定される バックドアを通じてネットワークから感染
- ファイル交換(PtoP)ソフトの利用による感染
- IM(インスタントメッセンジャ)サービスの利用による感染
対策
ユーザー
- コンピュータのOSやアプリケーションを最新状態にしておく。
- ウイルス対策ソフトを最新の状態に保つ。
- Hostsファイルの改ざんを確認する
管理者
- 外部不正サイトへのアクセスをブロックする。
- ネットワーク内の不審な通信や挙動を可視化する。
Webサイトなどの運営者
- 侵入されてWebページなどがボットの感染用に改ざん(ウイルスの埋め込みなど)されないよう、対策をする。
- ホストのOSやアプリケーションを最新状態にしておく。
- 異常が見つかったら、即座にWebを閉鎖するなど被害拡大防止の措置をとる。
ネットワーク感染型ワーム
ネットワーク感染型ワームとは
一般的にワームといえばメールの添付ファイルとして感染を広げるものが多いが、 ネットワーク感染型ワーム はネットワークに接続するだけで感染する。
2003年のW32/MSBlasterが有名。これはWindowsの脆弱性を利用したものだった。標準のWindows環境で135/TCPポートが開いた状態となっていいるため、多くのユーザーが感染した。出先でインターネットに接続したPCが社内LANに接続することで、社内に大きな被害をうける企業が続出した。
対策
- ネットワーク感染型ワームはシステムやプログラムのぜい弱性を悪用するものであるため、これらを常に最新に保つことが必要である。
- ファイアーウォールによって、ネットワーク感染型ワームが使用するパケットをインバウンド、アウトバウンドの双方向で遮断する。
- 外部から持ち込まれるPCについては、対策がなされているか事前に確認する。
標的型攻撃
標的型攻撃とは
特定の組織や団体をターゲットとした攻撃。取引先などの関係者や、公的機関を装ってマルウェアや不正なリンクが埋め込まれたメールを送ることによって、知的財産や金銭を盗むもうとする。「プロの犯罪者」による攻撃といえる。
標的型攻撃のメールの特徴
- 受信者の業務に関係のありそうな件名と本文
- 送信者の署名欄は、公的機関や組織内の管理部門を装っている
- 本文の内容に沿った添付ファイル名
- 社会情勢を反映した内容
- イベント、ニュース、注意喚起、報告書を装う
- 文書ファイルを装ったマルウェアを添付
ウイルス対策ソフトによる検知について
しばしばその攻撃専用のマルウェアが用いられるため、ウイルス対策ソフトによる検知が困難である。
また、攻撃対象の組織で使用されているウイルス対策ソフトを調査した上で、当該ソフトでは検出されないマルウェアが使われることがある。
さらに、被害の範囲が限定的であるため、ウイルス対策ソフトのベンダにマルウェアの情報が伝わらず、ウイルス定義ファイルに登録されないという問題もある。
「新しいタイプの攻撃」
複数の既存攻撃を組み合わせ、長期間にわたり執拗かつ巧妙に攻撃を繰り返し情報盗み出す行為。『新しいタイプの攻撃』はIPAによる呼称であり、海外ではAPT(Advanced Persistent Threats)と呼ばれている。
添付されているマルウェアの具体的な偽装方法
実行形式(.exe)のファイルであることをどのようにして隠すか→
- アイコンを文書ファイルに見せかける。
- 本来の拡張子の前に空白文字を並べて別の拡張子であるかのように見せかける。「議事録.doc .exe」
- 文字の並びを右から左に読むように変更するUnicodeの制御文字[RLO]を利用する。「議事録[RLO]cod.exe」→「議事録exe.doc」
対策
DNSサーバに対する攻撃
DNSサーバに対する攻撃
ゾーン転送要求による登録情報の収集
DNSサーバにゾーン転送制限をかけていない場合、どのホストからでもnslookupコマンドでゾーン情報が閲覧できる。
⇒ネットワーク構成やサーバ構成がバレる。
DNSキャッシュポイズニング
意味
偽の名前解決情報をDNSキャッシュに登録させること。
影響
ホスト名とIPアドレスの対応を変更し有害サイトへ誘導する。 メールの内容を盗聴する、改ざんする。 スパムを送信する。 DNSを使用不能にして、各種サービスやアプリケーションを動作不能にする。
不正リクエストによるサービス停止攻撃
DNSサーバの 脆弱性 をついて 不正な要求を与えることで サービスを停止させる。
DNSリフレクション(DNS amp)
送信元IPをターゲットのホストのIPにしたうえで、DNSに要求を送る。この時応答のメッセージのサイズができるだけ大きくなるようにする。これを多くのDNSサーバに対し一斉に行う。 ⇒ターゲットのホストに大量の応答パケットが返される(DRDos)。