官民ボード セキュリティポータル >> 情報システムの技術的なセキュリティ対策

技術的なセキュリティ対策

情報システムやウェブサイトに対する技術的なセキュリティ対策情報を掲載しています。

目次 Contents

[包括的な対策情報] 技術的なセキュリティ対策を包括する情報を紹介
[IPA コンテンツ] IPA のセキュリティに関するガイドラインやツールの紹介

包括的な対策情報

Top 35 Mitigation Strategies

オーストラリア国防信号局セキュリティ対策リスト
http://www.dsd.gov.au/publications/Top_35_Mitigations_2012.pdf

Top 35 Mitigation Strategies(35の軽減戦略)は、オーストラリア国防省の配下にある国防信号局(The Defense Signals Directorate:DSD)が作成した、サイバー攻撃からシステムやネットワークを防御するために有効な対策をリスト化した資料です。

DSDは、最近のサイバー攻撃の分析に基づいて、サイバーセキュリティ対策を優先順位付けするとともに、これら対策のうち上位4つの対策を実装することで、少なくても85%のサイバー攻撃が防御できると試算しています。

また、この35の軽減戦略は、組織がセキュリティに対して行うことができる具体的な対策に焦点を当てて記載されており、米国のセキュリティ研究組織SANS Instituteが公開している「20の重大なセキュリティコントロール」でも関連付けられて参照されるなど、オーストラリア政府のみならず、欧米各国においても参照されています。

Twenty Critical Security Controls for Effective Cyber Defense: Consensus Audit Guidelines (CAG)

サイバーディフェンスのための20の重大なセキュリティコントロール:コンセンサス監査ガイドライン
http://sans-japan.jp/resources/20CriticalControls_3.1_Japanese.pdf

このガイドラインは、米国の情報セキュリティ調査研究・教育機関であるSANS Instituteが、近い将来発生すると懸念される攻撃タイプと現在認識されている最優先の攻撃から、組織を保護するために有効とされる20の技術的な対策をまとめたセキュリティ管理策のガイドラインです。

この20のセキュリティ管理策では、情報セキュリティ対策と管理策の優先順位付けされたベースラインが記載されています。それぞれの対策では、 「暫定対応(クイックウィン)」、「可視化/特定」、「構成/予防措置」、「拡張」といった組織が防御を改善するために行うことができる措置や管理策の測定基準を評価する方法などが示されています。また、これら20のセキュリティ管理策は、米国標準技術研究所(NIST)のSpecial Publication 800-53(Recommended Security Controls for Federal Information Systems)の管理策にも対応しています。

これら20のセキュリティ管理策のうち、脆弱性対策に関係する「クリティカルコントロール4:継続的な脆弱性診断と改善」の紹介と、それを製品実装した例を以下に示します。

SANS 20 Critical Security Controls(「継続的な脆弱性診断と改善」の10個のコントロール)
SANS 20 Critical Security Controls(「継続的な脆弱性診断と改善」の10個のコントロール)に基づく
セキュリティベンダー(マカフィー社)によるセキュリティソリューション例

IPA コンテンツ

中小企業の情報セキュリティ対策ガイドライン

http://www.ipa.go.jp/security/fy20/reports/sme-guide/index.html

従来の情報セキュリティ対策の進め方では、リスク分析を基にして、自社に合った対策基準や実施手順を策定することが必要であり、対策未実施の中小企業にとって導入に着手することは容易ではなく、「何をすれば良いか分からない」という状況のなか、中小企業の情報セキュリティ対策として実施すべき具体的な対策事項を選択抽出しまとめられたガイドラインが公開されています。

また、個人情報や営業秘密など、情報管理の重要性への意識が高まってきており、中小企業であってもサービス業や製造業などは、取引先より情報セキュリティ対策の実施を求められることが多くなってきています。しかし、守るべき機密情報そのものや、その取り扱い方が業務委託時に明確にされていない場合も多く、発注者と受注者それぞれの対策事項が明確でない取引が行われていることから、「業務委託契約に係る機密保持条項(例)」および「委託先における情報セキュリティ対策事項」についても、ガイドラインとして公開されています。

ウェブサイト運営者のための脆弱性対応ガイド

http://www.ipa.go.jp/security/fy19/reports/vuln_handling/index.html

ウェブサイトの脆弱性がもたらす具体的なトラブルや運営者に問われる責任、ウェブサイトに求められる継続的な対策、脆弱性が見つかった場合の対応手順などを概説し、実際に脆弱性に関する通知を受けた場合の望ましい対応手順をまとめた「ウェブサイト運営者のための脆弱性対応ガイド」が公開されています。

標的型サイバー攻撃の事例分析と対策レポート

http://www.ipa.go.jp/security/fy23/reports/measures/index.html

被害の大きい標的型サイバー攻撃について典型的な事例を分析し、標的型攻撃に対応する上での課題の考察や、総合的な対策をレポートとしてまとめ公開されています。

「新しいタイプの攻撃」の対策に向けた設計・運用ガイド

http://www.ipa.go.jp/security/vuln/newattack.html

従来行われているウイルス対策ソフトやFireWall(ファイアウォール)等での対策では防御しきれない点や、ウイルスに感染したとしても組織の知的財産や個人情報などの重要情報を窃取される事態を避ける方法を重点的にまとめた「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」が公開されています。

安全なウェブサイトの作り方

http://www.ipa.go.jp/security/vuln/websecurity.html

「安全なウェブサイトの作り方」は、脆弱性関連情報の届出制度にて IPA が届出を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。

ウェブサイト攻撃の検出ツール iLogScanner

ウェブサーバのログを解析して脆弱性を狙った攻撃の検出を簡易に行うツール
http://www.ipa.go.jp/security/vuln/iLogScanner/index.html

ウェブサイト運営者は、自身が管理するウェブサイトがどれほど攻撃を受けているか、また攻撃による被害が発生していないか、常に状況を把握し対策を検討する必要があります。

「iLogScanner」は、利用者が用意したウェブサーバーのログファイルを解析し、ウェブサイトへの攻撃の有無を解析結果レポートとして出力します。これにより、ウェブサイトへの攻撃痕跡、また、一部の痕跡に関しては攻撃が成功した可能性を簡単に確認することができます。

この解析結果から、サイト運営者や経営者はウェブアプリケーションに潜む脆弱性を確認し、ウェブサイトのセキュリティ対策を検討できます。