サイバーセキュリティ

サイバーセキュリティ︵英: cyber security︶は、サイバー領域に関するセキュリティを指す。

概要[編集]

サイバーセキュリティはサイバー領域のセキュリティを指し、その定義は論者によって異なるものの(後述)、この言葉は2010年ころから^[1]情報セキュリティに変わるバズワード的な語として用いられるようになった。この言葉が登場した2010年頃はセキュリティにとってのターニングポイントになっており^[2]、2010年のスタックスネットの事案や2011の三菱重工の事案からもわかるように^[2]、ターニングポイント以降、以下の問題が顕在化した。 ●攻撃対象が産業システムにも広がった^[2] ●攻撃方法も高度化して特定組織を狙った標的型攻撃が行われるようになった^[2] ●攻撃目的も国家によるサイバー攻撃、犯罪者による金銭目的、ハクティビストによる主義主張の目的などに多様化した^[2] こうした背景のもと、サイバー領域は2011年以降、米国の安全保障において陸・海・空・宇宙に次ぐ第五の領域とみなされており^[3]、日本においても2013年の﹁国家安全保障戦略﹂でサイバー空間への防護が国家戦略に盛り込まれるなど^[3]、サイバーセキュリティは国際政治・安全保障の問題として扱われるようになっている^[3]。このためサイバー空間の問題は、﹁単に技術的観点のみならず国際政治、市場権益︵国際公共財︶、知的財産、安全保障、軍事作戦、国の危機管理体制などの各分野に跨る問題の側面を合わせ持っている﹂^[4]。一方、企業などの組織体にとってサイバーセキュリティ対策や情報セキュリティ対策は、企業などの組織の事業における︵情報︶セキュリティリスクを低減する事を主な目的とする^[5]^[6]。組織は災害リスク、事業環境リスク、戦略リスク、財務リスク、事故・故障リスク、情報セキュリティリスク、犯罪リスク、労務リスク、事業運営上のリスクといった様々なビジネスリスクを抱えており^[5]、情報セキュリティリスクはそれらビジネスリスクの一つに過ぎない。よって組織のセキュリティを担保するには、組織の経営への影響^[7]を加味した上で、ビジネス全体のリスク項目に基づき、網羅性と合理性を検討する必要がある^[5^]。したがって経営という観点から見た場合、企業戦略として、サイバーセキュリティリスクを加味してどの程度のセキュリティ投資を行うかは経営判断になる^[8]。またサイバーセキュリティに関するガイドラインを策定するときは、リスク管理規程、危機管理規程、事業継続計画、IT-BCPといった既存のガイドラインと整合を取る必要がある^[9^]。企業はサイバーセキュリティ対策のため、SOC、CSIRTなどのセキュリティ対応組織をおく事があり、こうした組織の主な仕事は以下の2点に集約される^[6]‥ ●インシデント発生の抑制 ●インシデント発生時の被害最小化ここでインシデントとは直訳すれば﹁事件﹂であるが、サイバーセキュリティの文脈では、サイバー領域において組織を脅かす不正な行為全般を指す用語である(より厳密な定義はインシデントの項目参照)。サイバーセキュリティでも情報セキュリティのCIA、すなわち下記の3つは重視される^[10] ●機密性 (Confidentiality): 情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること ●完全性 (Integrity): 情報が破壊、改ざん又は消去されていない状態を確保すること ●可用性 (Availability): 情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保することしかし制御システムのセキュリティでは重要度がC、I、Aの順番ではなく、A、I、Cの順番である^[11]^[12]。また以下のHSEの3つも重視される^[12]^[13] ●健康︵Health︶ ●安全︵Safe︶ ●環境への影響︵Environment︶

定義[編集]

2018年現在、サイバーセキュリティの定義は論者により異なる。両極端の見解としては ●情報セキュリティの一部とみなし、サイバー空間において機密性、完全性、可用性の確保を目指すもの ●デジタル社会のリスクへの対応を指すとするものがある^[14]。

ISO/IEC 27032:2012の定義[編集]

サイバーセキュリティに関する情報セキュリティマネジメントシステムを規定したISO/IEC 27032:2012では、 preservation of confidentiality, integrity and availability of information in the Cyberspace サイバー空間において機密性、完全性、可用性の確保を目指すもの — ISO/IEC 27032:2012 とサイバーセキュリティを狭義に定義し^[15]、サイバー空間については the complex environment resulting from the interaction of people, software and services on the Internet by means of technology devices and networks connected to it, which does not exist in any physical form 人間、ソフトウェア、およびテクノロジーデバイスやそれに接続するネットワークを用いたインターネット上のサービスのやりとり(interaction)の結果として生じる複雑な環境で、いかなる物理的形態も存在しないもの — ISO/IEC 27032:2012 と定義している^[15]。この標準を規定したISO/IEC JTC 1/SC 27委員会はこの定義の改定を試みており、2017年に行われた会合では事前に9通りの定義案が提出された上でその定義が議論されたが、多様な理解が存在する実態を踏まえ、定義の決定を見送っている^[14]。

サイバーセキュリティ基本法の定義[編集]

サイバーセキュリティ基本法第二条では以下のように定義される‥ ﹁サイバーセキュリティ﹂とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式︵以下この条において﹁電磁的方式﹂という︶により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置︵情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体︵以下﹁電磁的記録媒体﹂という︶を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む︶が講じられ、その状態が適切に維持管理されていることをいう。 — “サイバーセキュリティ基本法平成二十八年四月二十二日公布︵平成二十八年法律第三十一号︶改正”. e-Gov. 2018年9月10日閲覧。

攻撃者[編集]

「ハッカーグループ」も参照

種類・攻撃の目的[編集]

攻撃者の種類と攻撃の目的は以下のように分類可能である^[16]：


	自己満足・信念	経済的利益		信仰・国防
国家				国家危機管理
国家			サイバーインテリジェンス
組織		サイバー犯罪	サイバーインテリジェンス
組織				サイバーテロ
集団	ハクティビズムネット被害
個人	ハクティビズムネット被害
個人	興味本位

経済的利益に関するものは被害が顕在化しやすいのに対し、信仰・国防に関するものは被害が顕在化しにくいという特徴がある^[16]。

サイバー犯罪の産業化[編集]

サイバー犯罪は組織化・分業化が行われ、サイバー犯罪市場では、マルウェアなどの作成者や、マルウェアを遠隔操作するためのプラットフォームの提供業者、マネーロンダリングなどを担当する犯罪組織などによりビジネス化されている^[17]^[18]。Ransomware as a Serviceなどのようにサイバー攻撃のプラットフォームも作られ^[19]、アフィリエイトモデルのような攻撃者のヒエラルキーもできている^[19]。こうした犯罪ツールや犯罪サービスはダークウェブ上にあるダークネット・マーケットなどで取引されており^[20]、仮想通貨などを利用して決済されている。提供されているものとしては例えば金融機関と銀行へのサイバー犯罪とハッキングサービス^[20]、インターネット規模のDNSを使用したDRDoS攻撃^[21] などがある。なお、この活動を監視しようとする試みが様々な政府や民間団体を通じて行われており、使用されるツールの調査は﹃Procedia Computer Science journal﹄で見つけることができる^[22]。

国家が関与する攻撃[編集]

APT︵後述︶のような高度な攻撃は、国家の関与が疑われるものも多い。Mandiant社︵買収後は買収元であるFireEye︶は同一組織によると思われるAPTに対してAPT1、APT2、…と番号をつけており、攻撃組織に関与している事が疑われる国家を推定している^[23]。 ●中国‥APT1、APT3、APT10、APT12、APT16、APT17、APT18、APT19、APT30 ●ロシア‥APT28、APT29 ●イラン‥APT33、APT34 ●ベトナム‥APT32 ●北朝鮮‥APT37 欧米でも国家が関与したハッキング行為が行われている‥

米国：2010年のスタックスネットの事案におけるマルウェアはアメリカ国家安全保障局(NSA)がイスラエルと共同開発したと報じられ^[24]^[25]、2017年のWannaCryの事案で用いられたエクスプロイトのEternalBlueもNSAが作成したとされる^[26]。
イギリス：イギリスの政府通信本部(GCHQ)はLinkedInのプロフィールページにマルウェアを仕込み、ベルギーの通信企業のネットワークをハッキングしたと2013年に報じられている^[27]。またGCHQは2015年には自身がハッキング行為をしていることを初めて認めたと報じられた^[28]^[29]

標的型攻撃・APT攻撃[編集]

詳細は「標的型攻撃」および「APT攻撃」を参照

標的型攻撃は、2010年ころから^[2]サイバーセキュリティにおいてトレンドとなった攻撃手法で、それ以前の不特定多数を狙った攻撃と違い、特定の組織^[30]、人^[30]、これらの持つ重要情報^[31^]等を標的とした攻撃である^[32]。したがって攻撃の標的となる組織固有の情報︵組織構成、事業内容、システム構成等︶を事前に入手し、これを利用して攻撃を仕掛ける事も多い^[32]^[33]。 APTは標的型攻撃の一種に分類される事が多い^[31]攻撃形態の一分類であり、﹁先進的で︵Advanced︶﹂﹁執拗な︵Persistent︶﹂﹁脅威︵Threat︶﹂を指す^[34] ^[35]。その特徴は﹁特定の相手に狙いを定め、その相手に適合した方法・手段を適宜用いて侵入・潜伏し、数か月から数年にわたって継続する﹂^[3^3]ことである。想定される攻撃者としては国家スパイ、産業スパイ、犯罪組織、競合他社、ハクティビスト、国家が後押しする団体などがある^[36]。またAPTでは明確な長期目標に基づく作戦行動のような活動が見られ^[36]、このような作戦活動を攻撃キャンペーンという^[37]。また攻撃キャンペーンは複数個の﹁一連の攻撃行動︵オペレーション︶﹂に分割できる^[38]。

サイバーキルチェーン[編集]

Intrusion kill chain for information security^[39]

サイバーキルチェーン^[40]^[41]^[42]^[43]^[44]^[4^5]は、攻撃者がAPT攻撃をはじめとした^[40]^[46]サイバー攻撃を行う上でのステージを明確化したものであり、ロッキード・マーティンの研究者が2011年に発表した。サイバーキルチェーンでは攻撃には以下のステージがあるとする‥


ステージ（日本語）^[47]	ステージ（英語）	説明^[41]^[47]
偵察	Reconnaissance	ターゲットを選定し、選定されたターゲット調査する。
武器化	Weaponization	エクスプロイトとバックドアを組み合わせて配送可能なペイロードを作成^[41]
配送	Delivery	eメール、ウェブサイト、USB等を利用してターゲットにマルウェアを配送
攻撃	Exploitation	ターゲットのシステムで脆弱性を悪用したコードを実行
インストール	Installation	ターゲットの資産にマルウェアをインストール
遠隔操作	Command and Control	コマンド&コントロール（C&C）サーバへのチャネルを確立
目的実行	Actions on Objective	重要情報を持ち出すなど、目的を遂げる。

なお、「攻撃」と「インストール」をセットにし、最後に潜伏維持(Maintenance)を付け加えるバージョンもある^[48]。

類似のモデル[編集]

サイバーキルチェーンと同様、攻撃者の行動をモデル化したものとして以下がある：


提案者・名称	ステージ
Mandiant社の「M-Trend」モデル^[49]	Reconnaissance(偵察)、Initial Intrusion into the network(侵入)、Establish a Backdoor into the network(遠隔制御)、Obtain user Credentials(権限取得)、Install Various utilities(インストール)、Privilege escalation/Lateral Movement/Data Exfiltration(実行)、Maintain Persistence(潜伏)
IPAのモデル^[50]^[51]	計画立案、攻撃準備、初期潜入、基盤構築、内部調査、目的遂行、再潜入
JPCERT/CCのモデル^[52]	準備、潜入、横断的侵害、活動
トレンドマイクロのモデル	偵察、スキャン、アクセス権の獲得、アクセス権の維持／引き上げ、窃盗、証拠隠滅^[53]
トレンドマイクロのモデル	事前調査、初期潜入、C&C通信、情報探索、情報集約、情報送出^[54]^[55]

以下、サイバーキルチェーンに従って攻撃のステージを説明する。ただし必要に応じて前節で述べた他のモデルも参照したので、﹁準備ステージ﹂のようにサイバーキルチェーンにはないステージも書かれている。またサイバーキルチェーンと内容が重複する部分に関しては、上述のモデルを適時サイバーキルチェーンに読み替え、該当箇所の解説に加えた。

準備ステージ[編集]

サイバーキルチェーンにはないがJPCERT/CCのモデル^[52]には記載されているステージ。攻撃者は実際の所在地や目的を把握されないよう、グローバル規模の分散型インフラをハッキング等により構築する^[52]。このインフラには情報収集システム、電子メールシステム、ツールやマルウェアの保存用レポジトリ、C&Cサーバ、情報の引き出しに使うサーバ、外部クラウドサーバなどが含まれる^[52]。場合によっては攻撃者が自分で攻撃用にドメインを取得する事もあるので^[56]、ドメイン名はAPTの重要なインディケータ︵APT関連のデータや情報を選り分けるため指標^[57]^[58]︶になる。攻撃者はその攻撃元が特定されないよう、頻繁に攻撃拠点を変える^[5^9]。また分散型のインフラにする事で攻撃の全容をつかみにくくする^[60]。攻撃者は犯罪用に匿名化された防弾ホスティングサーバなどの身元が割れにくいサービスを利用する事もある^[61]。このインフラ網を構築するにあたり、攻撃者は法令を逆手に取る事があり、例えば米国や欧州では国家が国民の個人情報やトラフィック情報を収集するのが禁止されている事を逆手に取り、米国や欧州の国民のマシンを拠点にしたり、そうしたマシンからデータを送信したりする^[52^]。攻撃者はこうしたインフラ等、攻撃に必要な構成要素の動作を確認するため、テストラン︵検証のための試験的な攻撃︶を実施する場合があるので^[56]、その際のIPアドレスやドメイン名を特定できればこれらをインディケータとして使う事ができる^[56]。

偵察ステージ[編集]

攻撃者は偵察ステージで従業員の情報^[62]やe-メールアドレスを収集したり^[62]、プレスリリース^[62]、契約発注^[62]などから企業情報を収集したり、企業がインターネットに公開しているサーバ^[62]を特定したりする。攻撃者は標的組織に侵入する前に、まず標的組織の関連組織に攻撃を行ってメールアドレスなどの情報収集を行う事もある^[63]。さらに攻撃者は標的型メール︵後述︶等に利用可能なpdfやdocファイル等を収集する^[56]。攻撃者は攻撃用のサイトでIEのresプロトコル^[64]を使ったリンクをユーザにクリックさせる事で、ユーザが利用しているソフトウェアに関する情報を取得し、これを攻撃に利用できる^[65]。資金力が十分ある攻撃者であれば、標的組織の防御体制、組織内で標的にすべき人物、ネットワーク構成、セキュリティ上欠陥等も把握する^[^66]。このステージに対する対策を講じるのは非常に困難だが^[62]、自社のウェブサイトを詳細に調べるユーザをログ解析や既存のアクセス解析であぶり出したりする事はできる^[62]。

武器化ステージ[編集]

エクスプロイトとバックドアを組み合わせて配送可能なペイロードを攻撃者が作成するステージで^[41]^[67]、ペイロードの作成には何らかの自動化ツールが使われる事が多い^[68]。ペイロードは次の配送ステージで組織に侵入する際に使用される為、侵入検知システム等に検知されないよう、標的組織に特化した攻撃手法を用いる傾向にあり^[^69]^[40]、APTではゼロデイの脆弱性を利用される事も多い^[^40]^[70]。この場合マルウェア検知ソフトを利用したりパッチを当てたりといった対策で対抗するのは難しい^[40]。対策側が攻撃者の武器化を検知するのは不可能だが^[67]、攻撃が実行された後、マルウェアの検体やアーティファクトを解析し^[67]、どんなツールキットが使われたのか^[67]、いつごろ行われたどのAPTの作戦活動に連動しているのか^[67]といった事を調査し、以後のAPT攻撃への対策に利用する事ができる。

配送ステージ、攻撃ステージ、インストールステージ[編集]

これら3つのステージでは以下が行われる‥ ●配送ステージ‥ペイロードを標的に送りつける ●攻撃ステージ‥従業員が標的型メールを開くなどするか^[70]、あるいは攻撃者自身がサーバの脆弱性をつくこと^[70]でエクスプロイトが実行される^[70]。 ●インストールステージ‥エクスプロイトがクライアントマシンにバックドアを仕込んだり、ウェブサーバにウェブシェル(バックドアの一種)を仕込んだりし^[71]、攻撃拠点を築く為、悪意のあるサービスが自動実行されるようにする^[71]。 JPCERT/CCのモデルでは攻撃者が直接潜入する事も想定し、これら3つをまとめて潜入ステージと呼んでいる^[66]。

マルウェア配送手法[編集]

代表的なマルウェア配送手法として以下のものがある。なお、下記に書いたものはマルバタイジングのように、標的型攻撃以外の攻撃で一般的なものも含まれる。


手法	概要
標的型メール^[72]^[73]^[74]	標的型メールとは、標的となる組織・ユーザに特化した文面を作り込むなどする事で^[75]、受信者が不審を抱かずに添付ファイル（pdf、Wordファイル等）を開いたり、リンクを開いたり（スピアフィッシング）してしまうよう工夫されたメールの事である^[76]。標的型メールは、添付ファイルやリンク先に仕込まれたペイロードを利用して組織内に侵入拡大する事を目的とする^[77]。
水飲み場型攻撃^[72]^[74]	標的組織のユーザがアクセスする可能性の高いウェブサイトを攻撃者が改ざんし、そのサイトを閲覧したユーザがドライブバイダウンロード（ブラウザやそのプラグインの脆弱性を悪用してブラウザの権限を奪取し、マルウェアをインストールさせる手法^[78]）などによりマルウェア感染するようにする攻撃である^[79]。標的組織のIPアドレスからアクセスされた場合のみ攻撃を行う事でサイトの改ざんを発覚しにくくする場合もある^[80]。なお「水飲み場型攻撃」という名称は改ざんサイトを水飲み場に見立て、ライオンが水飲み場で獲物を待ち伏せるがごとく、攻撃者が改ざんサイトでユーザを待ち伏せすることからついたものである^[79]。
USBにマルウェアを仕込む^[72]	マルウェアが仕込まれたUSBを標的組織のユーザが端末に挿入する事で感染^[81]。Windowsのオートラン機能を悪用する^[78]。インターネットと接続していない(エアギャップ)クローズ系の機器であっても、アップデート等でUSBを挿入する事があるので、こうした機器にも感染を広げる事ができる^[82]。別の機器でマルウェアに感染したUSBをユーザが端末に挿入するのを待つ方法と、攻撃者がマルウェアを仕込んだUSBを標的組織に落としておいて、それを拾ったユーザが端末に挿入するのを待つ方法がある^[81]。
リモートエクスプロイト	遠隔ホストから標的ホストの脆弱性をついてマルウェアをインストールする^[78]。
アップデートハイジャック^[74]	標的組織が使っているソフトのアップデート配信元に侵入し、アップデート時にマルウェアを送り込む攻撃^[74]
ドメインハイジャック^[74]	標的組織が利用するウェブサイトのドメインを乗っ取る事で、攻撃者サイトに誘導する攻撃^[74]
トロイの木馬	スマートフォンアプリやP2Pファイル、ウェブサイト上の有用そうなファイル等にみせかけてトロイの木馬をインストールさせる^[78]。
マルバタイジング	マルウェアの拡散や悪性サイトへのリダイレクト等を目的とした悪質なオンライン広告配信の事^[83]。典型的にはオンライン広告に悪意のあるスクリプトが仕込まれ、これをクリックするとマルウェアに感染するなどする^[83]^[84]。広告を表示しただけで感染するケースもある^[84]。多数のユーザが集まるサイトに広告を配信する事で、そのサイトを改ざんする事なくマルウェア配信等が可能な事が攻撃者にとっての利点である。またウェブ広告では広告データは複数のサーバを経由する上、秒単位の入札で表示される広告が決まる仕組みなので、後から不正広告を追跡するのが難しい事も攻撃者にとって利点である^[85]。典型的には広告会社に攻撃を仕掛ける事でマルバタイジングを行う^[84]。
タイポスワッティング	「URLハイジャッキング」とも呼ばれ、インターネットユーザーがWebブラウザにURLを入力する際に犯す打ち間違いを利用した攻撃である。例えば攻撃者が「https://ja.wijipedia.org」というドメインを取得していると、ユーザがウィキペディア日本語版にアクセスするつもりで誤って「https://ja.wijipedia.org」と入力した場合に攻撃者サイトにアクセスしてしまう^[86]。

なお、特にスマートフォンアプリでは、正規のアプリをマルウェアとセットにしてリパッケージしたアプリを配布する事で、マルウェア感染させる手法がある^[78]。大量の本物の業務メールに紛れて、業務メールに見せかけた標的型メールが送られてくるなどするので、配送ステージに対して完全な対策を打つのは難しく、次以降のステージに攻撃が移行する事が多い^[75]。

標的型メール[編集]

標的型メールの文面は、準備ステージで窃取した本物のメールを流用されている場合もあり^[75]、受信者が標的型メールである事を見抜くのは難しい^[75]。標的型メールで感染するペイロードは既存のマルウェアの亜種を使ったり^[75]、ゼロデイの脆弱性を使ったり^[40^]^[70]する事で検知を逃れる工夫がなされている事もある。また、アイコンや拡張子を偽装する事でexeファイルでないように見せかけたファイルをユーザにクリックさせたり^[75]^[87]、正規のアプリケーションに見せかけたトロイの木馬をユーザ自身にインストールさせたりする事で^[75]、脆弱性を利用しないでマルウェアに感染させる場合もある。添付した実行ファイルの拡張子の偽装方法としては下記のものがある^[^87]‥


手法	概要
二重拡張子	「hoge.doc.exe」のように二重に拡張子をつける。拡張子を表示しない設定になっていると、「hoge.doc」と表示されるのでdocファイルに偽装できる。
RLO（Right-to-Left Override）による偽装	「hogecod.exe」のようなファイル名の下線部にRLOを用いると、「hogeexe.doc」と表示されるので、docファイルに偽装できる。
長い空白の利用	「hoge.doc(長い空白).exe」のようなファイル名にするとファイル名の後半の表示が省略されて「hoge.doc」と表示されるのでdocファイルに偽装できる。

標的型メールの一形態として、﹁一般の問い合わせ等を装った無害な﹁偵察﹂メールの後、ウイルス付きのメールが送る﹂ものをやり取り型という^[88]。また、不特定多数を対象にした攻撃用メールを用いた攻撃をばらまき型のメールという^[89]^[90]^[91]^[92]。ばらまき型メールを標的型メールに含めるか否かは論者によって異なり、IPAのJ-CSIPなど標的型メールに含めない論者がいる^[90]^[92]一方で、ばらまき型メールであっても特定企業の全社員や特定銀行の全ユーザなどを対象にしている事が多いことから標的型メールに含める論者もいる^[89]^[91]。

マルウェア配布ネットワーク[編集]

ドライブバイダウンロード型の攻撃では、攻撃のスケーラビリティ向上や運用コスト削減、対策耐性の向上といった理由により、複数の悪性サイト間をリダイレクトさせた上でマルウェアを配布する事が多い^[93^]。こうした目的のために攻撃者により構築させる悪性サイトのネットワークをマルウェア配布ネットワークという^[93]。マルウェア配布ネットワークには以下の4種類のサイトが含まれる事が多い^[93]‥


名称	概要
入口サイト	標的となるユーザが最初にアクセスするサイトで^[93]、多数のユーザをマルウェア感染させるため、改竄された一般サイトなどが利用される^[93]。入口サイトは踏み台サイトへとリダイレクトされている^[93]。
踏み台サイト	入口サイトに攻撃サイトのURLを残さないために設置され^[93]、攻撃サイトにリダイレクトされている^[93]。
攻撃サイト	ユーザにマルウェアをダウンロードさせるためのシェルコードを仕込んだサイト^[93]
マルウェア配布サイト	ユーザは攻撃サイトのシェルコードにより、マルウェア配布サイトのマルウェアをダウンロードする^[93]

マルウェア配布ネットワークは多数の入口サイトを少数の攻撃サイトへと導くための仕組みである。このような構成を取る事により、攻撃者には以下の利点がある‥ ●複数のサイトを改ざんして入口サイトにし、攻撃サイトに誘導する事でスケーラビリティの高い攻撃を行う事ができる^[93]。 ●攻撃コードを改良する場合は少数の攻撃サイトやマルウェア配布サイトを書き換えれば、多数の入口サイトはそのままでよいので運用コストが下げられる^[93]。 ●踏み台サイトを経由する事で攻撃サイトのURLを入口サイトの管理者から隠しているので、対策耐性が高い^[93]。リダイレクトには、HTTPリダイレクト、HTMLのiframeタグや﹁meta http-equiv="refresh"﹂を使ったリダイレクト、JavaScriptなどのスクリプトのリダイレクトの3種類があり、これらが攻撃に利用される^[93]。このうちHTMLのiframeを使ったリダイレクトは、widthとheightを0にする事でフレームサイズを0にし、さらにstyle属性を"visibility:none"や"visibility:hidden"にする事で非表示化できるので、標的ユーザに気づかれる事なくリダイレクトできる^[93]。同様にstyle属性を"position:absolute"にし、フレームの位置のtopとleftとしてマイナスの値を指定することでも非表示化できる^[93]。またスクリプトを使ったリダイレクトの場合、リダイレクトが閲覧時に初めて生成されるようにできるので^[93]、リダイレクトされている事がウェブ管理者に気づかにくい。

バナーチェック・ブラウザフィンガープリンティング[編集]

サイトにアクセスしてきたユーザのマシンにインストールされているブラウザや各種ツール︵Java^[94]、Adobe Reader、Adobe Flash^[94]、Silverlight^[94]など︶のインストール状況やバージョン番号などのプロファイルを取得する手法の事。踏み台サイトや攻撃サイトでブラウザフィンガープリンティングを行う事で、ユーザの環境に最適な攻撃︵たとえばユーザ環境の脆弱性つけるエクスプロイトを選ぶ等︶を実行できるようになる。ブラウザフィンガープリンティングには攻撃者のサーバサイドで行う方法とユーザのクライアントサイドで行う方法がある^[95]。サーバサイドのものでは、ユーザのIPアドレスやHTTPユーザーエージェントからユーザ環境の情報が得られる^[95]。クライアントサイドで行うものはクライアント環境でJavaScriptやVBScriptなどを実行する事でさらに詳細なユーザ環境情報を取る事ができ、例えばブラウザに追加されているプラグインの種類やバージョンを知る事ができる^[95]。

エクスプロイトキット[編集]

攻撃サイトなどに、エクスプロイトキットと呼ばれる攻撃ツールが仕込まれている場合がある。エクスプロイトキットはブラウザフィンガープリンティングを行い、保有している複数のエクスプロイトの中からユーザ環境で実行可能な物を選び^[94]、マルウェアを実行する^[94]。エクスプロイトキットの中にはサイバー犯罪者向けにサービスとして運営されているものもあり、EaaS︵Exploit Pack as a Service^[96]もしくはExploits as a Service^[97]︶と呼ばれている。

クローキング[編集]

悪性サイトにアクセスしてきたクライアントに応じて応答するウェブコンテンツを変化させる手法の事^[98]。例えば検索エンジンのクローラーがアクセスしてきたときは無害なコンテンツを表示し、標的ユーザがアクセスしてきたときのみ攻撃用のコンテンツを表示する^[98]。これにより攻撃用コンテンツをクローラーに発見される事なく、クローラー向けコンテンツに検索エンジン最適化を施す事で検索順位を上げる、といった事が可能になる^[98]。クローキングで表示するコンテンツを変えるための指標として、IPアドレス、ユーザエージェント、リファラの情報が利用される^[98]。

リモートエクスプロイトの実行[編集]

これまで標的型メールやウェブアクセスを利用して標的システム上でローカルエクスプロイト^[99]を実行する手段を解説してきたが、攻撃者がセキュリティ上の欠陥をついて標的組織に潜入して遠隔地からリモートエクスプロイトを実行する場合もある。そうした方法としては例えば下記のものがある‥ ●防御されていないゲートウェイから侵入^[66] ●何らかの不正な手段で正当な認証情報を取得して侵入^[66] ●DMZからの侵入^[66] ●周辺システムと標的組織の間のトラストチェーンを利用して侵入^[6^6] 制御システムだとSCADAに共有モデムが利用されている事が多いので、ここから侵入される場合もある^[66]。

遠隔操作ステージ[編集]

攻撃対象の組織からC&Cサーバ︵コマンドアンドコントロールサーバ。C2サーバとも。攻撃者が攻撃対象の組織に不正なコマンドを遠隔で頻繁に送信する為に利用されるサーバの事^[100]︶への通信(コネクトバック通信^[101])の経路を確保する^[102]。なおC&Cサーバ自身も攻撃者に乗っ取られた外部組織のサーバであることもある^[1^02]。コネクトバック通信にはhttpやhttpsを使うことが多いので^[^101]、通信の特徴だけからコネクトバック通信を検知するのは困難である^[101]。なお、監視の目が行き届いたhttpやhttpsを使う代わりに、e-メール^[102]、DNS^[102]などのプロトコルが使われる事もある。ファイヤーウォールのフィルタリングルールが形骸化していたり、攻撃によく使われるCONNECTメソッドをプロキシで防ぐことを怠っていたりすると、コネクトバック通信の確立が容易になってしまう^[10^1]

永続化[編集]

攻撃者は感染状態を維持しておくため、RAT やダウンローダーなどの攻撃ツールをOS起動時に自動的に起動するようPCの設定を変更する(永続化)^[103]。Windowsの場合、永続化のため主に下記の箇所を設定変更する^[103]‥ ●自動起動レジストリ ●スタートアップ起動プログラム ●サービス起動プログラム ●スタートアップフォルダ ●ログオンスクリプト ●タスクスケジューラ

その他の特徴[編集]

マルウェアが作るフォルダ名、ファイル名、サービス名等を発見しにくい名称に偽装する^[103]。具体的には正規のアプリケーションと同一もしくはよく似た名前を利用したり^[103]、マルウェア起動時に正規アプリケーションの一部のプログラムを利用する^[103]。マルウェアは一般利用者権限もしくはログインユーザー権限のみで多くの権限が得られるフォルダで環境変数でアクセスしやすい箇所に配置されやすい^[103]。具体的には%TEMP%、%PROGRAMDATA%、%ALLUSERSPROFILE%、%APPDATA%、%LOCALAPPDATA%、%PUBLIC%、およびC:直下である^[103]。典型的には、ファイルを開いたとき%TEMP%にマルウェアが一旦生成され、それを%PROGRAMDATA%以下の偽装したフォルダにコピーし、そのファイルを永続化する^[103] 攻撃者が仕込んだRATはC&Cサーバと定期通信︵ビーコンという︶を行う事が多い^[104]。ビーコンは標的組織に発見される危険があるので、一時的にFQDN に対するAレコードを﹁0.0.0.0﹂や﹁127.0.0.1﹂としてC&Cサーバとの通信を停止させるRATもある^[104]。逆に言えば、標的組織はこれらのAレコードがこれらのIPアドレスになっているものをRATの候補として抽出可能である^[104]。

横断的侵害ステージ[編集]

JPCERT/CCのモデル^[52]には記載されているステージで、サイバーキルチェーンでは目的実行ステージの一部とみなされている^[^105]。このステージで攻撃者は、最初に侵害したシステムを足がかりにして同じ組織内の脆弱なシステムを横断的に侵害する^[106]。具体的には最初に侵害したシステムを足がかりにして、インストールしたプログラムを使いながら、攻撃者は試行錯誤してネットワークの構造を把握し^[^106]^[101]、認証情報を窃取し^[105]^[101]、ラテラルムーブメント︵＝他の端末やサーバへの侵入︶^[105]や権限昇格^[105]等を行う。このステージでも攻撃者はバックドアを設置する^[106]。このステージで攻撃者がWindowsコマンドとしては以下のものがある‥


目的	コマンド
初期調査	tasklist、ver、ipconfig、net time、systeminfo、netstat、whoami、nbtstat、net start、set^[107]
探索活動	dir、ping、net view、type、net use、echo、net user、net group、net localgroup、dsquery^[108]、Active Directoryのdsqueryとcsvde^[108]
感染拡大	at、move、schtasks、copy、ren、reg、wmic、powershell、md、runas^[109]
痕跡削除	del、taskkill、klist、wevtutil、rd、wevtutil^[110]

攻撃者はこうした行為を行う為にIPアドレスやサービスポートをスキャンするが^[101]、攻撃が発覚しづらいようスキャンするポートを限定して行われる^[101]。

ラテラルムーブメントの手法[編集]

下記のものがある：


手法	概要
Pass the hash攻撃の悪用^[101]	パスワード自身でなくそのハッシュ値を使ってログインできるPass the hash攻撃を使う方法。侵入した端末Aから他のマシンBにパスワードを使ってリモートログインした事がある場合、Aのメモリ上にそのパスワードのハッシュ値がキャッシュされているので、これを不正に入手し、Pass the hash攻撃によりマシンBにログインできる。PCキッティング作業時の共通アカウントが残っている場合や^[111]、Domain Adminを使用したリモートメンテナンスを行っている場合^[111]にラテラルムーブメントが可能である。
管理共有の悪用	ユーザ端末でファイルの管理共有サービスが開放されている場合、これを利用してその端末に攻撃ツールをコピーしてラテラルムーブメントする事が可能である^[111]。
Pass the Ticket攻撃^[112]^[60]	追加の認証なしでアクセスを許可する不正なチケットを発行して認証に利用する攻撃^[112]。

対策面から見た場合、横断的侵害は最初の侵入に比べ検知しにくいという問題がある^[106]。その原因は、LANの入口は監視していても、LANの内部やLANの出口はさほど監視されていないことにある^[1^06]。

目的実行ステージ[編集]

攻撃者が目的となる行為を実行するステージ^[105]。このステージにおける攻撃者の行動は、攻撃者が何を目的とするかで異なるが^[10^5]、主な目標は重要情報の窃取である^[106]。窃取した情報は分割され、複数の端末から外部に送信されるので、窃取したファイルの特定は極めて困難である^[113]。また最終目標を達成する前段階として、今後のオペレーションのために標的組織の状況を窃取したり、他の組織とのトラストチェーンを把握したり、標的組織に対して優位に立つため破壊行為を行ったりする^[10^5]^[106]。

再侵入ステージ[編集]

サイバーキルチェーンにはないが、IPAのモデル^[50]^[51]には記載されているステージ。攻撃者は過去の侵入時に構築したコネクトバック通信路を利用し、再侵入してシステム内探索を継続する^[114^]。このため一度標的になった組織は、一見攻撃が終了したように見えても、コネクトバック通信路が設置されていない事を継続的に監視する事が重要である^[114]。標的組織内にコネクトバック通信路が一つでも残っていると再侵入が可能になるので、APTの場合は﹁対処率99％でも残存リスクは100％のまま﹂^[114]という事になる。

それ以外の攻撃[編集]

主に金銭を目的とした攻撃[編集]

フィッシング関連[編集]

フィッシング(phishing)は口座番号、アカウント情報、カード番号といった、主に金銭に関わる個人情報を奪取するための攻撃^[1^15]。金融機関を装ったりしたフィッシングメールを送りつけ、個人情報を盗むために設置されたフィッシングサイトに誘導する。メールやウェブサイトを利用する点では標的型攻撃と共通するが、目的が個人情報であるため必ずしも企業システムに潜入する必要はなく、ユーザのブラウザ上にある金融機関のcookie等に書かれたID/パスワードを奪取するなどの手口を用いる。SMSメールを利用したフィッシングを特にスミッシングという^[115]。 ファーミング︵Pharming︶はURLとIPアドレスの対応表を攻撃者が不正に書き換えることで、正規サイトのURLにアクセスしたユーザを偽サイトに誘導する攻撃の事である^[115]。URLとIPアドレスの対応表を書き換える手段としてはDNSを攻撃する方法(DNSキャッシュポイズニング)と、ユーザがローカルに持っているhostsファイルを書き換えたりする方法がある^[115]。 無線LANフィッシングはWiフィッシング︵ワイフィッシング︶とも呼ばれ、攻撃者が偽の無線LANアクセスポイント(Evil Twinと呼ばれる)を立てる事で、そのアクセスポイントを利用したユーザのID/パスワードを窃取んだり、偽サイトに誘導したりする攻撃である^[115]。 QRishingはQRコードフィッシングとも呼ばれ、攻撃者が作成したQRコードを︵正規サイトのものと偽って︶ユーザに読ませる事により、偽サイトに誘導する攻撃である^[115]。本物のQRコードの上に偽のQRコードのシールを貼ってQRishingした事案が知られている^[^115]。なお短縮URLでも同様の手口を行う事ができる^[115]。

ビジネスメール詐欺[編集]

ビジネスメール詐欺(BEC、Business Email Compromise)とは、自社の経営層や取引相手になりすました偽のEメールで経費などの送金を指示する事で金銭をだまし取る詐欺^[86]^[116]。その巧妙な騙しの手口は標的型攻撃に通じるところがある^[116]。ビジネスメール詐欺には以下の5つの類型がある^[116^]‥ ●取引先との請求書の偽装^[116]︵偽の請求書詐欺、サプライヤー詐欺、請求書偽装の手口などと呼ばれる^[116]︶ ●経営者等へのなりすまし^[116](CEO詐欺、企業幹部詐欺などと呼ばれる^[116]) ●窃取メールアカウントの悪用^[116]︵従業員のメールアカウントを窃取して、そのアカウントから取引先にメールを出す手法^[116^]︶ ●社外の権威ある第三者へのなりすまし^[116]︵弁護士などになりすまし、緊急の事態だから振り込むように命令する等^[116]︶ ●詐欺の準備行為と思われる情報の詐取^[116]︵人事担当などになりすましてメールし、他の従業員の個人情報などを窃取し、次なる攻撃に利用する^[116]︶手口としては ●企業のメールアドレスの＠以下とよく似た詐称用ドメインを取得してそこからメールする^[117]︵例‥xxx@wikipedia.com→xxx@wikiqedia.com︶ ●企業のメールアドレスに似たフリーメールアドレスを使う^[117]︵例‥xxx@wikipedia.com→xxx.wikipedia@freemail.com︶ ●メールを送る際、多人数にCcしてそこに詐欺用のアドレスを紛れ込ませる事で発覚を遅らせたり本物と錯覚させたりする^[117] といったものがある。なお詐称用ドメインを利用する手法では詐称用ドメインのDNSにSPFを設定してSPFのチェックを通過する攻撃も確認されている^[117]。

ワンクリック詐欺[編集]

ワンクリック詐欺はウェブページ上の特定のアダルトサイトや出会い系サイト、勝手に送られた電子メールに記載されているURLなどをクリックすると、﹁ご入会ありがとうございました。﹂等の文字やウェブページが契約したことにされて多額の料金の支払を求める詐欺のことをいう。同様の手口でツークリック以上のものやノークリック︵＝全くクリックしない︶ものも存在する^[118]。ワンクリック詐欺のサイトでは、サイトに訪れたユーザのブラウザから環境変数を取得して表示するなどして、あたかもサイト側がユーザ個人を特定できているかのように装い、ユーザを脅迫することがある^[11^8]。︵たとえばユーザがスマートフォンからアクセスした場合にユーザの位置情報を表示するなど︶^[118]。また詐欺サイトがユーザ端末にワンクリックウェアをインストールし、振込みを行うよう要求する画面を頻繁に表示させるという手口もある^[^118]。

不正送金ウィルス[編集]

何らかの方法でインターネットバンキングのアカウント情報などを盗んで攻撃者の口座に不正送金を行うウイルスの事^[119]^[120]。例えば以下の手法がある‥

マン・イン・ザ・ブラウザプロキシ型トロイの木馬というマルウェアによってWebブラウザの通信を盗聴、改竄を行う攻撃である。具体例としては、オンラインバンキングへのログインイベントなどを検知するとその通信を乗っ取って、振込先を改ざんして預金を盗む事例などが挙げられる ^[121^]^[122]。クリックジャッキング利用者が開くページのボタン︵次ページに進むボタンなど︶の上に、透明化したボタン︵攻撃者に送金するボタン︶を重ねて表示する。ユーザが次ページを表示するつもりでボタンを押すと、送金ボタンが押されてしまい、攻撃者に送金されてしまう。

ランサムウェア、スケアウェア、ローグウェア[編集]

ランサムウェアユーザのコンピュータやデータを使えない状態にし、再度使えるようにしてほしければ﹁身代金﹂︵ransom︶を支払うようにとユーザを脅迫するマルウェア。スケアウェア正当なソフトウェアのふりをしてセキュリティ上の脅威や違法ポルノが発見されたなどという嘘の警告を発し、その解決のためにソフトウェアの代金や個人情報を要求する^[123]^[124]。セキュリティソフトを装っているものはローグウェア︵rogueware、偽装セキュリティツール︶とも呼ばれる。

DoS攻撃[編集]

詳細は「DoS攻撃」を参照

DoS攻撃︵ドスこうげき︶︵英‥Denial of Service attack︶は、情報セキュリティにおける可用性を侵害する攻撃手法のひとつ。ウェブサービスを稼働しているサーバやネットワーク^{[要曖昧さ回避]}などのリソース︵資源︶に意図的に過剰な負荷をかけたり脆弱性をついたりする事でサービスを妨害する。 DoS攻撃には2種類の類型があり、第一の類型はウェブサービスに大量のリクエストや巨大なデータを送りつけるなどしてサービスを利用不能にするフラッド攻撃︵Flood＝﹁洪水﹂︶であり、第二の類型はサービスの脆弱性を利用する事でサービスに例外処理をさせるなどしてサービスを利用不能にする攻撃である^[125]^[126]。 DoS攻撃の主な目的はサービスの可用性を侵害する事にあり、具体的な被害としては、トラフィックの増大によるネットワークの遅延、サーバやサイトへのアクセス不能といったものがあげられる^[127]。しかしDoS攻撃は被害者に経済的ダメージを負わせる事を目的として行われる場合もあり、EDoS攻撃(Economic DoS Attack)と呼ばれる。たとえばクラウド上で従量課金されているサービスにDoS攻撃をしかければサービスの運営者に高額な課金を発生させることができる^[128]。また、﹁DoSをやめてほしければ金を払え﹂と脅す目的でDDoS攻撃︵後述︶が行われることもあり、ランサムDDoSと呼ばれる^[12^9]。

DDoS攻撃[編集]

図‥StacheldrahtによるDDoS攻撃

フラッド型のDoS攻撃には、大量のマシンから1つのサービスに、一斉にDoS攻撃を仕掛けるDDoS攻撃︵ディードスこうげき、分散型サービス妨害攻撃、英: Distributed Denial of Service attack︶という類型がある。 DDoS攻撃の類型は2つあり、第一のものは攻撃者が大量のマシン(踏み台)を不正に乗っ取った上で、それらのマシンから一斉にDoS攻撃をしかける協調分散型DoS攻撃である。第二の類型は、DRDoS攻撃︵Distributed Reflective Denial of Service attack。DoSリフレクション攻撃、分散反射型DoS攻撃︶^[130]^[131^]と呼ばれる。DRDoS攻撃では、攻撃者が攻撃対象のマシンになりすまして大量のマシンに何らかのリクエストを一斉に送信する。するとリクエストを受け取ったマシン達は攻撃対象のマシンに向かって一斉に返答を返すことになるので、攻撃対象のマシンには大量の返答が集中し、高負荷がかかることになる^[132]。DRDoS攻撃は協調分散型DDoS攻撃と異なりマルウェアなどで踏み台を乗っ取らなくても実行可能なため攻撃C&Cサーバが発覚しづらい。

ボットネット[編集]

ボットネットとはC&Cサーバのコントロール下にあるマシン︵ボット︶のネットワークで、攻撃者はC&Cサーバから命令を出す事で、ボットネットを様々なサイバー攻撃に利用する^[133]^[134]。ボットによる攻撃にあった被害者は、裏にいるC&Cサーバの情報を直接得る事ができないので、攻撃者を特定するのは困難になる。攻撃者は1台のC&Cサーバから命令を出すことで多数のボットから同時多発的に攻撃をしかける事ができるので、低い運用コストでDDoS、スキャン、二次感染といった様々なサイバー攻撃の実行が可能になる^[^133]。 C&Cサーバとボットとの通信には、IRC^[135]、HTTP^[1^35]、各種P2P接続^[135]などが利用される。特にHTTPはセキュリティに配慮した企業などであっても業務の関係上通信を遮断できないので、攻撃者は企業内のマシンをボット化できる^[135]。ボットネットのネットワーク構造として最も単純なものは、1つのC&Cサーバに全てのボットがぶら下がっているスター型のネットワーク・トポロジーであるが、これだとその1台のC&Cサーバがダウンしたり当局に取り締まられたりするとボットネットが完全に停止してしまう^[^133]。そこで様々な国に複数のC&Cサーバを立てて多重化する事で各国の取り締りにそなえたり^[133]、ボットの下にさらにボットをぶら下げる階層型の構造にしてボットネットの全体像を把握されにくくしたり、P2P通信によるランダムなトポロジーにする事でネットワーク耐性を上げたりする^[133]。

Fast Flux手法[編集]

ボットネットのC&Cサーバ等の悪性サイトは、サイトのFQDNに対応するIPアドレスを数分程度で次々と変えていくFast Flux手法(IP Flux手法とも呼ばれる^[136])を用いる事で^[13^6]^[137]^[138]^[139]^[140]、捜査機関等が悪性サイトをテイクダウン︵停止︶させるのを難しくしている^[137]。攻撃者は自身のコントロール下にあるボットのIPアドレスを悪性サイトのFQDNに次々に割り振っていく為、FQDNに割り振られるIPアドレスは数百から数万に及ぶ^[136]。C&Cサーバやドライブバイダウンロード攻撃用サイトはFast Flux手法で運営される事が特に多い^[136]。 Fast Flux手法はBlind Proxy Redirectionという手法と併用される事が多い^[136]。この手法ではFast Fluxで運営されるサイトのは単なるリダイレクトサイト︵フロントエンドノードという︶であり、リダイレクト先にあるマザーシップノードが真の悪性サイトである^[136]。このような構成を取る事により、マザーシップノードのアドレス情報を捜査機関から隠したり、捜査の手が及んだフロントエンドノードを切り捨てたりする事ができる。また悪性サイトのコンテンツを変えたい場合はマザーシップノードだけを変えればよいので運用も容易である^[136]。 Fast Flux手法はsingle flux手法とdouble flux手法に分かれる^[136]^[139]^[140]。single flux手法では攻撃者は何らかの方法を用いて自身の権威DNSサーバを立て、その権威DNSサーバ上で悪性サイトのIPアドレスを(TTLを小さな値にする事で)次々に変えていく手法である。この手法の︵攻撃者にとっての︶欠点は、攻撃者が立てた権威DNSサーバが単一障害点になっているため、この権威DNSサーバが捜査機関にテイクダウンされると、悪性サイトを運営できなくなってしまう事である^[^139]^[140]。 double flux手法は権威DNSサーバもFast Flux手法で運営する事で対策耐性をあげたものである。double flux手法ではボットネット上に権威DNSサーバXを立て、さらにXより上位レベルの権威DNSサーバYを自身で立てる。single flux手法のときと同じく悪性サイトのIPアドレスをX上で次々と変えるのみならず、XのIPアドレスをY上で次々と変える事でXがテイクダウンされる事を防ぐ^[140]。なお、double flux手法においてYは単一障害点であるが、捜査機関が調査のため悪性サイトにアクセスしてきても、悪性サイトの名前解決はXで行われるので、捜査機関に直接Yが見える事はなく、Yを特定してテイクダウンするのは難しくなる。

Domain Flux手法[編集]

1つのドメイン名に対して複数のIPアドレスを用意して多重化するFast Flux手法とは逆に、ドメイン名を複数用意して多重化する手法をDomain Flux手法と呼ぶ^[141]。この手法を用いる事で、一部のドメイン名が悪性サイトとして対策側にブラックリスト化されても、悪性サイトに別のドメイン名を用いる事でブラックリストをすり抜ける事ができる^[141]。 Domain Fluxを行う方法の一つは攻撃者自身が管理するドメイン︵仮にexample.comとする︶に○○.example.comというFQDNを生成し、○○の部分を短時間で変える、というものである︵ドメインワイルドカード︶^[141]。 Domain Fluxでは疑似乱数を使ってドメイン名を生成する。このためのアルゴリズムをDGA(Domain Generation Algorithm)という^[141]。擬似乱数を利用するのは、C&Cサーバとそのコントロール下にあるマシンでドメイン名を同期するためである^[141]。C&Cサーバとそのコントロール下にあるマシンで事前に擬似乱数の種を共有しておき、種と時刻情報を利用してドメイン名を生成するようにすれば、両者とも同一時刻には同一のドメイン名を取得できる^[141]。

攻撃・ペネトレーションテストで使われる手法やツール[編集]

本節では攻撃やペネトレーションテスト︵システムに実際に攻撃をしかけてみる診断。詳細後述︶で使われる手法やツールについて述べる。

ペネトレーションテスト用OS[編集]

ペネトレーションテスト用のLinuxディストリビューションとして、Kali Linux、Parrot Security OS、BackBoxなどがあり、前者2つはDebianベース、最後のものはUbuntuベースである。これらのディストリビューションにはペネトレーションテスト用の各種ツールがプレインストールされている。

意図的に脆弱に作られたツール[編集]

ペネトレーションテストの練習用として、意図的に脆弱に作られたツールが公開されている‥ ●Metasploitable‥意図的に脆弱性が残されたLinuxディストリビューションのバーチャルマシン。 ●OWASP BWA (Broken Web Applications)‥意図的に脆弱性が残されたウェブアプリケーションを詰め込んだバーチャルマシン ●OWASP Mutillidae‥BWAに梱包されている脆弱なウェブアプリケーションの一つ他にもBadstore、BodgeIt Store、amn Vulnerable Web Application (DVWA)、OWASP Bricks、WASP WebGoatb、WAPP、moth、Gruyere Magical Code Injection Rainbow (MCIR︶などがある。

攻撃対象の情報収集[編集]

スキャナ[編集]

攻撃者は標的組織を偵察する際や、侵入後に横断的侵害を行う際、スキャンを行うことで、標的組織のネットワークの情報を得る。スキャンはホストスキャンとポートスキャンに大別でき^[142]、前者はネットワーク上にあるホストのIPアドレス等を行うために行われ、後者はホスト上で空いているポート番号を知るために行われる^[142]。ホストスキャンにはICMPプロトコルを利用したツールであるpingやtracerouteが用いられ、ポートスキャンには例えばnmapのようなツールが用いられる。 nmapは単にホスト上の空いているポート番号を特定するのみならず、ホストに送ったパケットに対する返答のフォーマット等の情報から、ホストで動いているOS、サービス、およびそれらのバージョン番号などを特定する機能も備えており^[142]^[143]^[144]、これらは攻撃者にとって有益な情報となる。この手法で動作しているアプリケーションを特定する事をバナーチェック、OSの種類やバージョンを特定することをTCP/IP スタックフィンガープリンティングという^[1^45]。他にも下記のようなツールがある‥ ●SING︵Send ICMP Nasty Garbage) ^[^146]、ICMPScan^[146]‥nmapのようにICMPをプロービングするツール^[146] ●Amap‥アプリケーションのフットプリンティングを行うツール^[^147]^[148]。通常とは違う場所で動作しているアプリケーションをも特定可能である^[147]^[148]。 ●httprint‥Webサーバのフィンガープリンティングツール^[149]^[150] ●xprobe2‥OSフィンガープリンティングツール^[151]^[1^52]

スニッファ[編集]

スニッファとはネットワーク上を流れるパケットを監視したり記録したりするツールの事で^[153]パケット・スニッファとも呼ばれる^[1^53]。攻撃目的ではなくセキュリティ目的で用いられる同種のツールをパケットアナライザ等と呼ぶが^[153]、広義にはパケットアナライザもスニッファに含める^[153]。フリーなものではWireshark、tcpdumpなどがある。

ソーシャル・エンジニアリング[編集]

ソーシャル・エンジニアリングとは人間の心理的な隙や行動のミスなど﹁人﹂をターゲットにして機密情報を窃取する攻撃全般を指す^[154^]^[155]^[156]。手法としては例えば下記のものがある‥ ●システム管理者や警察などになりすましてメールないし電話する事で個人情報等を聞き出す^[155]^[156] ●ショルダーハッキング︵Shoulder surfing︶‥PCを操作しているユーザの肩越しにパスワード等を盗み見る^[155]^[^156] ●トラッシング‥ゴミ箱に捨てられた紙媒体や記憶媒体から機密情報を得る^[155]^[156]。スカベンジング^[154]、スカビンジングとも^[156]

パスワードクラッキング[編集]

パスワードクラッキングとは、総当たり攻撃や辞書攻撃等の何らかの方法でパスワードを割り出す攻撃方法であり、推定したユーザID/パスワードでログイン試行を行うオンライン攻撃と何らかの方法で入手したパスワードハッシュ︵パスワードのハッシュ値︶などからローカルにパスワードを推測するオフライン攻撃とに大別される^[157]。オフライン攻撃の対象となるパスワードハッシュはWindowsのSAMファイル、Linuxの/etc/shadowファイルなどにあるものを利用する^[158]。またパスワードで保護されたOfficeファイル等も攻撃対象となる^[158]。著名なオンライン攻撃ツールとしては、Bruter︵Windows環境︶^[159]^[160]、ncrack(マルチプラットフォーム)^[161]^[160]、TCP-hydra^[162]^[163]がある。著名なオフライン攻撃ツールにはJohn the Ripper^[158]、RainbowCrack^[164]︵レインボーテーブルを用いてハッシュを解析する︶、ophcrack^[165]がある。またWindowsのSAMファイルからパスワードハッシュを取得するツールとしてPwDumpがある^[166]。

パスワードリスト攻撃[編集]

Pass the hash攻撃[編集]

Metasploit[編集]

詳細は「Metasploit」を参照

Metasploit Framework、あるいは単にMetasploitとは、エクスプロイトコードの作成、実行を行うためのフレームワークソフトウエアである^[167]。Metasploitには様々なエクスプロイトコードが収録されており、アップデートを実行する事で新たなエクスプロイトコードを手に入れたり^[168]、Exploit Databaseのようなエクスプロイト配信サイトからエクスプロイト（とそのエクスプロイトを適用できる脆弱なソフト）をダウンロードして用いたりできる^[169]。

脆弱性検査ツール[編集]

詳細は「脆弱性検査ツール」を参照

w3af、Nessus、OWASP ZAP、OpenVASなどがある。

横断的侵害を行うためのツール[編集]

ネットワークに侵入して横断的侵害を行う攻撃の手口の典型的パターンは ●ipconfigやsysteminfoといったWindows標準コマンドで侵入した端末の情報を収集^[170] ●net等のツールでネットワーク上の他の端末の情報、ドメイン情報、アカウント情報等を収集し、次に侵入する端末を選ぶ^[170] ●mimikatzやPwDump等のパスワードやそのハッシュ値をダンプするツールで次に侵入する端末のユーザーのパスワード情報を入手^[170] ●netやat等のツールを駆使して他の端末に侵入^[170] というものである。またプロキシやリダイレクタを使ってファイヤーウォールを突破する事で、侵入した端末からC&Cサーバや組織内の別の端末との通信経路を確立する^[171]。その他ファイル圧縮ツールやステガノグラフィーツールもデータ内容を隠蔽して送信する目的で使われる^[171]。

その他・複数機能を持つツール[編集]

●netcatは正規のネットワークユーティリティで、﹁接続モードでは、任意のサーバ、ポートを指定し接続を行うことができ、telnetのように対話的に使用したり、ポートスキャナとして使用することもできる。待ち受けモードでは、任意のポートをで待ち受けを行い、接続してきたクライアントと対話することができる﹂^[172]。バックドアのように使用する事も可能である^[173]。 ●LanSpy‥ネットワークディスカバリーツール、ポートスキャナ^[174]^[175] ●tcptraceroute、tracetcp‥ICMPの代わりにTCPレイヤでtracerouteを行う^[176] ●SMTP Relay Scanner‥SMTPの不正中継調査^[^177] ●snmpcheck、snmpwalk、SNScan‥SNMPデバイスのディスカバリーツール^[178]^[179] ●SiteDigger、metagoofil‥Googleハッキングツール^[180]^[181] ●dig‥DNSへの問い合わせツール^[182] ●tcpdump、Wireshark‥パケットモニタリングツール^[183] ●Cain and Abel‥パスワードクラッキング、スニッファ、VOIPキャプチャ、RTPストリームリプレイ ●MSN Protocol Analyzer‥MSN Messengerのキャプチャ・プロトコルアナライザ^[184] ●hping‥パケットジェネレータ、パケットキャプチャ・アナライザ。パケットジェネレータ機能はファイアウォールのテストなどに利用可能。

攻撃・ペネトレーションテストに利用できるサイト[編集]

以下のものがある‥


類別	サイト	概要
マルウェア検体の調査	Threat Crowd	過去のマルウェア情報や関連情報の確認が可能^[185]
	Passive Total	同上。WHOIS履歴の参照も可能^[185]
	Virus Total	ファイルやウェブサイトの検査が可能^[185]
インターネット接続機器の検索	SHODAN	ウェブサーバやIoT機器など、インターネットに接続している機器を調査可能^[186]
インターネット接続機器の検索	Censys	同上^[186]
脆弱性チェック	QUALYS SSL Server Test	SSLサーバの脆弱性や設定のチェック^[186]
エクスプロイト集	Exploit Databsae	エクスプロイト集
Googleハッキング	Google Hacking Database	「パスワードや機密情報を探し出すGoogle検索ワードがカテゴリーごとに、集約されている」^[187]
流出情報共有	Pastebin	元来は情報共有サイトだが、個人情報や機密情報の投稿にも用いられている^[188]
流出情報共有	Dumpmonitor	Pastebinに載った流出情報をつぶやくtwitterアカウント^[189]
脆弱性情報検索	PunkSPIDER	脆弱なウェブサイトとそのサイトの脆弱性を検索^[190]

SHODANとCensys[編集]

ウェブサーバやIoT機器など、インターネットに接続している機器を調査できるウェブサービスとして、SHODAN^[191]やCensys^[192]などがある^[186]^[193]^[194]。SHODANはポートスキャンにより接続している機器を特定し、特定した機器に対してバナーチェックを行う事により、機器の情報を得ている^[19^5]。SHODANの利用者が例えば東京にあるApacheサーバの一覧を得たければ、SHODANに﹁apatch city:Tokyo﹂と打ち込んで検索する事ができる^[196]。また、SHODAN MAPSの機能により、検索した機器の位置を地図上に表示可能である^[197]。バナー情報により、検索結果には製品名やバージョン等もわかるため、攻撃者はこれを利用して脆弱性が適用可能な機器を見つける事ができる。なお、SHODANを使うには事前にユーザ登録が必要であり^[198^]、基本無料であるものの全機能を使うには低額の利用料を支払う必要がある^[199]。 CensysはZmapというネットワークスキャナでIPv4のインターネット空間をスキャンして情報を収集し、ZGrabというプロトコル解析ライブラリにより収集したデータを構造化データに加工する^[^200]。なお、ZmapがIPv4のアドレス空間全てをスキャンするのにかかる時間は45分に過ぎない^[200]。 Censysは無料で利用でき^[193]、ユーザ登録は必須ではないが、登録していないユーザは1日4回までしか検索できない^[193]。Censysはミシガン大学の研究者らが公開したものである^[193^]。

ツール一覧[編集]

攻撃に利用可能なツール、コマンド、脆弱性として下記のものがある。なお、下記の表にはRDPのように、本来は攻撃ツールではないものの攻撃用にも利用できるものもリストアップされている。


分類		ツール・コマンド・脆弱性の例^[201]
コマンド実行^[201]	リモートでのコマンド実行^[202]	PsExec PsExec2 wmiexec.vbs BeginX WinRM WinRS BITS^[201]^[202]
コマンド実行^[201]	任意のタイミングでコマンド実行^[202]	schtasks2^[202]
パスワード、ハッシュの入手^[201]		PWDump7 PWDumpX Quarks PwDump Mimikatz(パスワードハッシュ入手 lsadump::sam、 sekurlsa::logonpasswords、チケット入手 sekurlsa::tickets) WCE gsecdump lslsass AceHash Find-GPOPasswords.ps1 Get-GPPPassword (PowerSploit) Invoke-Mimikatz (PowerSploit) Out-Minidump (PowerSploit) PowerMemory (RWMC Tool) WebBrowserPassView^[201]
Pass-the-hash Pass-the-ticket^[201]		WCE (リモートログイン) Mimikatz (リモートログイン)^[201]
通信の不正中継（パケットトンネリング）^[201]^[171]		Htran Fake wpad^[201] ZXProxy ZXPortMap^[171]
リモートログイン^[201]		RDP^[201]
権限昇格・窃取	権限昇格^[201]	MS14-058 Exploit MS15-078 Exploit SDB UAC Bypass^[201]
権限昇格・窃取	ドメイン管理者権限アカウントの窃取^[201]	MS14-068 Exploit Golden Ticket (Mimikatz) Silver Ticket (Mimikatz)^[201]
ホストログインしたりするための^[202]ローカルユーザー・グループの追加・削除^[201]		net user^[201]
共有ポイント経由での攻撃ツール送信やファイルサーバーからの情報取のための^[202]ファイル共有ツール^[201]		net use^[201]
痕跡の削除^[201]	攻撃に利用したファイルの復元できない削除^[202]	sdelete^[201]^[202]
	タイムスタンプ修正によるファイルアクセスの隠蔽^[202]	timestomp ^[201]^[202]
	攻撃に使ったKerberosチケットのホストからの削除^[202]	klist purge^[201]^[202]
	攻撃関連のイベントログの削除^[202]	wevtutil^[201]^[202]
情報収集^[201]	パスワード解析の為NTDS.DIT(NTDSのデータベース)を抽出^[202]	ntdsutil vssadmin ^[201]^[202]
	攻撃対象選定等のためActive Directoryからアカウント情報を収集^[202]	csvde ldifde dsquery^[201]^[202]
	攻撃に利用可能なドメインコントローラーの問題を調査^[202]	dcdiag^[201]^[202]
	ホストが所属するドメインコントローラーの情報を取得^[202]	nltest^[201]^[202]
	ネットワーク内のホストの列挙、接続可能なポートの調査等^[202]	nmap^[201]^[202]
	APIやアプリの出すデバッグ情報を取得^[171]	dbgview^[171]

攻撃への対策のフレームワークや考え方[編集]

サイバーセキュリティフレームワーク[編集]

NIST（アメリカ国立標準技術研究所）のサイバーセキュリティフレームワーク(正式名称：重要インフラのサイバーセキュリティを向上させるためのフレームワーク)によれば、重要インフラのサイバーセキュリティ対策は以下の５つのフェーズに分類できる^[203]：


	具体例^[203]	担当する組織^[204]
特定	資産管理、ビジネス環境、ガバナンスリスクアセスメント、リスク管理戦略	リスク管理部門		活動範囲の広い CSIRT
防御	アクセス制御、意識向上およびトレーニング、データセキュリティ、情報を保護するためのプロセスおよび手順、保守、保護技術	-	(2018年現在から見た)従来型のIT管理部門
検知	異常とイベント、セキュリティの継続的なモニタリング、検知プロセス	いわゆるSOC、CSIRT	(2018年現在から見た)従来型のIT管理部門
対応	対応計画の作成、伝達、分析、低減、改善	いわゆるSOC、CSIRT	危機管理部門
復旧	復旧計画の作成、改善、伝達	-	危機管理部門

上の表でSOC、CSIRTはセキュリティ対応のための組織である。両者の役割分担や関係性、業務内容等は企業毎に異なるが^[205]、概ねSOCは﹁平時﹂の分析運用を行い^[206]、CSIRTは﹁有事﹂のインシデント対応を行う^[207]。このフレームワークは、それ以前の類似のフレームワークと比較した場合、攻撃が行われた後の検知、対策、復旧のフェーズの重要性を明確化した事と^[208]^[209]、各フェーズの習熟度について言及した事に特徴がある^[208]。このフレームワークでは﹁ガバナンスのサイクル﹂と﹁マネジメントのサイクル﹂を回すことがサイバーセキュリティ対策で重要だと主張している^[210]。またおなじNISTが発行したSP800-61﹁コンピュータセキュリティ・インシデント対応ガイド﹂ではインシデント対応プロセスは、準備、検知および分析、封じ込めおよび根絶、インシデント後の活動の4段階に分類されるとしている^[210]。以下、サイバーセキュリティフレームワークの各フェーズを説明するが、一部JPCERT/CCの文献を元に加筆した。

特定[編集]

サイバーセキュリティ対策をする上で基本となるのは、守るべき資産を特定し^[203]、各資産のリスクを把握することである。

組織の置かれた状況の特定[編集]

産業分野やサプライチェーンにおける自社の位置づけ^[211]、重要サービスを提供する上での依存関係と重要な機能等を把握し^[211]、自組織のミッション、目標、活動に関する優先順位を決め^[211]、伝達する必要がある^[211]。JPCERT/CCは、守るべき資産を特定する前準備として、組織のプロファイルを作成することを推奨している^[212]。このプロファイルには規模^[212]や提供製品^[^212]のような基本的事項のみならず、システムダウンの影響度合い^[212]や規制のレベル^[212]などリスクアセスメントに必要となる情報も含める。また、組織のサイバーセキュリティ防御能力に関する文書を作成する^[212]。またセキュリティに関する法規制を把握し^[211]、自組織の情報セキュリティポリシーを定め^[211]、セキュリティに関する役割と責任について内外のパートナーと調整や連携を行う^[211]。さらにガバナンスやリスク管理のプロセスをサイバーセキュリティリスクに対応させる^[211]。

守るべき資産とそのリスクの特定[編集]

詳細は「ソフトウェア資産管理」、「リスクマネジメント」、および「リスクアセスメント」を参照

自組織内の物理デバイス、システム、ソフトウェアプラットフォーム、アプリケーション、外部情報システムといったリソースの一覧を作成し^[211]、ネットワークの通信やデータフローを図示し^[211]、これらのリソースやデータのうち、守らなければならないものとその理由、およびそれが抱える脆弱性を特定する^[211]^[212]^[21^3]。この際、ビジネスに対する潜在的な影響とその可能性も特定する^[203]^[212]。そしてそれら守るべき対象を守れなかった場合に発生するリスクを、脅威、脆弱性、可能性、影響等を考慮して分析し^[212]^[211]、リスクに対処するためのコストや^[212]リスクが顕在化した場合の減損^[212]、対処後の残存リスク^[212^]を特定し、自組織の役割、事業分野等を考慮してリスク許容度を明確化する^[211]。そしてビジネス上の価値に基づいてこれらのリソースやデータを優先度付けをする^[203]。さらに自組織の従業員や利害関係者に対し、サイバーセキュリティ上の役割と責任を定める^[21^1]。リスク管理のプロセスを自組織の利害関係者で確立、管理、承認する必要がある^[211]。なお、保有資産の特定にはIT資産インベントリ検出ツールが利用でき^[^212]、未登録機器の発見にはDHCPサーバのロギング機能等が利用できる^[212]。またアクセス監視の際、資産リストと突合する事で、承認されたデバイスのみがネットワークに接続されている事を確認できる^[212] なおリスク分析の際にはどのようなタイプの攻撃者が自組織が属する業界を攻撃するのかを事前に特定しておくのが望ましい^[213]。

防御[編集]

脆弱性管理による防御[編集]

脆弱性管理計画の作成・実施を行い^[214]、脅威と脆弱性に関する情報を入手する必要がある^[211]。JPCERT/CCによれば、脆弱性スキャン^[215]はセキュリティ設定共通化手順﹁SCAP﹂のチェックリストにより検証済みのスキャナを用いて^[216]、毎週ないしそれ以上の頻度で行う必要がある^[216]。これによりコードベース・構成ベース方法の脆弱性を検出する事が可能である^[216]。攻撃検知のイベントログと脆弱性スキャン結果を突合することで、どの脆弱性が標的にされたのかを判別できる^[216]。アプリケーション、OS双方に対し自動パッチ適用ツールを用いる事が望ましい^[217]。

ID管理とアクセス制御による防御[編集]

自組織の全ての従業員のIDに対してアクセス制御リスト(ACL)を定義し^[212]、ACLに従って従業員の資産や関連施設への物理アクセス^[214]やリモートアクセス^[214]、データへのアクセス^[^212]を制限する。ACLは定期的に棚卸し^[212]、人事の異動、追加、削減に際してアクセス権限の無効化^[214]や従業員の審査^[^214]を行う。従業員等にシステムや資産に対する権限を与える場合には、最小権限の原則に従う^[214]。

システム開発時の防御[編集]

システムの開発ライフサイクル^[214]や設定変更^[214]を管理する。また開発の際には開発環境やテスト環境を実環境と分離することで情報漏えい等を防ぐ^[214]。

意識向上やトレーニングによる防御[編集]

全てのユーザをトレーニングし^[214]^[218]、権限ユーザ^[2^14]、上級役員^[214]、利害関係者^[214]、物理および情報セキュリティ担当者^[214]にポリシー、手順、契約に基づいた^[^214]役割と責任を理解させる必要がある^[214]。またAPTなどの攻撃に対する演習を事前に行っておく必要がある^[218]。

データの防御[編集]

自組織のリスク戦略に従って^[214]、保存されたデータや伝送中のデータの機密性、完全性、可用性を保証する^[214]。データの可用性の保証に関しては十分な容量を確保し^[214]、機密性に関しては漏洩対策を実施し^[214]、完全性に関しては何らかの完全性チェックメカニズムを導入する^[214]。データは定期的にバックアップ・テストする^[214]。またデータはポリシーに従って破壊し^[214^]、資産の撤去、譲渡、廃棄も管理する^[214]。なお情報はその機微度に応じて﹁高、中、低﹂等の格付けを事前に実施し^[213]、自組織を狙う可能性がある攻撃者がどのような情報に関心を示すのかを特定しておく^[213]事が望ましい。

保守運用作業における防御[編集]

システムのベースラインを設定・維持する必要がある^[214]。保守と修理はポリシーや定められた手順に従って実施する^[214]。重要な資産を保護するプロセスを定め^[213]、重要なシステムに対して適用可能なセキュリティ管理策を全て実施していることを確認する^[2^13]。保守や修理の際は、管理されたツールを用いてタイムリーに行い^[214]、ログを記録する^[214]。特に遠隔保守の際には、承認^[214]、ログの記録^[214]、不正アクセス防止を行う必要がある。監査記録やログの対象をポリシーに従って決め^[214]、取得した監査記録やログをレビューする^[214]。ログデータは、DNS^[219]、プロキシ^[219]、ファイアウォール^[219]など重要機器に対して取得し、時刻はNTPにより同期する^[219]。事前にセキュリティを強化し、構成管理を厳密に行ったOS等のイメージを作成しておき、従業員のPCや新規導入システムにはこのイメージをインストールする^[217]。ネットワークのセキュリティ構成は、変更管理委員会によって文書化、確認、承認を行う^[217]。

その他の防御方法[編集]

セキュリティポリシー、プロセス、手順を維持し^[214]、資産の物理的な運用環境に関するポリシーと規制を満たすようにする^[214]。また保護プロセスを継続的に改善する必要がある^[214]。インシデント対応^[214]、事業継続^[214]、インシデントや災害からの復旧計画^[214]の実施・管理・テストを行う^[214]。保護に使う技術の有効性の情報共有を行う^[214]。取外し可能な外部記憶媒体はポリシーに従って保護したり、使用を制限したりする^[214]。またJPCERT/CCによれば下記を行う事が望ましい‥ ●自組織のセキュリティ方針やセキュリティ計画に情報システム・重要データが扱う必要がある^[213]。 ●自組織のネットワーク境界の外部および内部からペネトレーションテストを定期的に実行する必要がある^[216]。ペネトレーションテストに用いるアカウントはコントロール・モニタリングし^[216]、テスト終了後に除去するか通常機能に戻ることを確認する^[216]。 ●システムで使うソフトウェアが限定されている場合には、実行可能なソフトウェアのホワイトリストを作り^[212]、そうでない場合は利用して良いソフトウェアとそのバーションを定めて無許可のソフトを検知できるようにする事でリスクを低減できる^[212]。利用して良いソフトウェアが改竄されるリスクを低減する為、ファイル完全性チェックツールでモニタする事が望ましい^[212]^[214]。

検知[編集]

検知を行う前提条件として、ネットワーク運用のベースラインを定め^[^215]、データフローを特定・管理する^[215]。そしてセキュリティイベントを検知できるよう^[215]、ネットワーク^[215]、物理環境^[215]、個人の活動^[215]、権限のない従業員・接続・デバイス・ソフト^[215]、外部サービスプロバイダの活動^[21^5]等をモニタリングし^[215]、マルウェア対策ソフトなどで悪質なコード、特にモバイルコードを検出できるようにする^[215]。そしてイベントログを複数の情報源やセンサーから収集し、SIEMなどで一元管理して^[219]、相互に関連付け^[219]、検知したイベントを分析し^[219]、その影響範囲を特定する^[219]。また事前に定めたしきい値に従って^[215]、検知したイベントをインシデントとみなすかどうかを判断する^[215]。検知プロセスはテストし、継続的に改善する必要がある^[215]。また説明責任が果たせるようにする必要がある^[215]。

対応[編集]

CSIRTの主たる担当業務である^[204]^[207]。検知フェーズで発見したセキュリティイベントにタイムリーに対応できるよう対応計画を事前に定めておき^[220]、法執行機関の支援が得られるよう情報共有や利害調整を行う^[220]。そして対応計画にしたがってインシデント分類し^[220]、フォレンジックを行うなどして^[220^]セキュリティイベントを調査し^[220]、その影響範囲を把握し^[^220]、事前に定めた基準に従ってインシデントの封じ込めないし低減を行う^[220]。インシデント対応の結果学んだ教訓を生かして対応計画を更新する^[220]。

復旧[編集]

タイムリーに復旧できるよう事前に復旧手順を定め^[221]、復旧の際にはその計画を実施する^[221]。システムの復旧を行うのみならず、広報活動を管理するなどして評判回復に努める^[221]。対応フェーズと同様、教訓を生かして復旧計画の更新も行う^[221]。

開発ライフサイクルにおけるセキュリティ確保[編集]

システムの安全性を確実に担保するにはシステム開発ライフサイクルの初期段階からセーフティ、セキュリティ、プライバシーなどを考慮しておくことが望ましい。開発プロセスのより早い段階でセキュリティを考慮する事を︵開発プロセスを左から右に書いたときにセキュリティを考慮するのを左に寄せる事から︶シフトレフトという^[222]^[223^]^[224]。特に、情報セキュリティを企画・設計段階から確保するための方策をセキュリティ・バイ・デザイン︵Secure By Design、SBD︶といい^[225]^[226]、プライバシーに対する同様の概念をプライバシー・バイ・デザインという。またDevOps︵デブオプス^[227]、開発 (Development) の担当者と運用 (Operations) の担当者が一体となった開発手法^[227]︶の普及に伴い、これにセキュリティの確保も一体になった開発手法であるDevSecOps^[228]^[22^9]も注目を集めるようになっている。DevSecOpsでは設計段階からセキュリティを意識することはもちろん、セキュリティ対策ツールを開発ライフサイクルに組み込むなどして脆弱性診断を自動化し、アプリケーションを修正するたびに脆弱性を作り込まないようチェックし^[229]、利用しているライブラリの脆弱性を日々チェックするような活動も含む^[229]。

カオスエンジニアリング[編集]

サプライチェーンにおけるセキュリティ確保[編集]

システム開発ではその工程の一部を外注する事も多いため、サプライチェーン全てでセキュリティを担保する事が重要となる。このような調達時の脅威に対応する事をサプライチェーンチェーンリスクマネジメント(Supply Chain Risk Management、SCRM)という^[230]^[231]。ISO/IEC 27036ではアウトソーシングの際のセキュリティのガイドラインが規定されている^[^230]。米国ではNIST SP800-161やNIST IR 7622にSCRMの規定がある^[230]。またISO/IEC 20243には不良品や偽造品を排除するためのベストプラクティス等が規定されている^[230]。また事業継続計画(BMC)の観点からもサプライチェーンの継続を図ることも重要であり、SCCM(Supply Chain Continuity Management)と呼ばれ、ISO 22318に規定されている^[230]。なお災害復旧とサプライチェーンマネジメントをあわせてSCDRM(Supply Chain Disaster Recovery Management)と呼ぶ^[230]。

多層防御[編集]

詳細は「多層防御 (セキュリティ)」を参照

多層防御とは、様々な階層で複数のセキュリティ対策を施す事で、重要部への侵入前に攻撃の検知および対応を行う事で^[232]^[233]、軍事・戦闘の世界のDefense in Depth (縦深防御) を応用したものである^[234]。複数の防御壁を設けて、一つの壁を突破されても次の壁で阻止して、機密情報に到達されてしまう確率を下げる事を目的とする^[234]。多層防御の手法として以下で述べる入口対策、内部対策、出口対策の3つを取り入れる組織内対策や^[235]^[236]、複数組織をまたがった攻撃連鎖を上流で断つ国レベルでの対策^[236]などがある。

入口対策、内部対策、出口対策[編集]

入口対策はファイアウォール、ウイルス対策ソフト、脆弱性対策など、攻撃者やマルウェアが組織内に侵入するのを防ぐ対策手法で^[237]^[238]標的型攻撃やAPTが普及する以前は有効であった。しかし標的型攻撃やAPTでは組織に侵入する方法が巧妙化しており^[239^]、しかも侵入方法の変化が激しいので^[239]、入口対策だけで攻撃を防御するのは難しい^[239]^[240]。そこで、攻撃者が組織内部に侵入しているのを前提として、組織の内部対策を行う事より侵入の拡大を防ぎ^[238]、攻撃の外向き通信を遮断・監視する^[238^]出口対策により組織からの情報の持ち出し^[237]やC&Cサーバとの通信を防ぐ必要がある。

サイバーレジリエンス[編集]

サイバーレジリエンスは攻撃を受けてしまう事を前提として、攻撃を受けた際に、どのように組織の機能を維持し、いかにすばやく対処・復旧するかという回復力︵レジリエンス︶を高めるべきという考え方である^[241]^[242]。世界経済フォーラムによる﹁グローバルリスク2013﹂を契機として﹁レジリエンス﹂という用語がビジネス等で使われるようになり、それと時期を同じくしてサイバーレジリエンスという用語も広まった^[243]。なお﹁レジリエンス﹂という用語はISO22300では﹁複雑かつ変化する環境下での組織の適応能力﹂と定義されている^[243]。

セキュアなネットワーク構成[編集]

非武装地帯 (DMZ)[編集]

非武装地帯(DMZ、DeMilitarized Zone)はメールサーバ、ウェブサーバ、DNSコンテンツサーバ、Proxyサーバといった、組織内、インターネット双方とアクセスする必要があるサーバ群を置いておくためのネットワーク領域で、組織内ネットワーク・インターネット・DMZの3つの領域間の通信をファイアウォールで制限する。ウェブサーバ等をDMZではなく組織内ネットワークに設置すると、ウェブサーバが用いるポートを開けて置かなければならない為、そのポートを利用してインターネットから組織内に攻撃を行う事が可能になってしまう。これを防ぐためにウェブサーバ等をDMZに設置する。

マイクロセグメンテーション[編集]

ネットワークを細かくセグメント分けする事^[244]。マイクロセグメンテーションにより、セグメントをまたいだラテラルムーブメントやウィルスの二次感染を防ぐ事ができる^[244]^[245]。実現手法としてh、スイッチングハブの各ポートにそれぞれ1台の機器を接続するというものがある^[244]。また仮想マシン︵ないし仮想デスクトップ︶の場合は各仮想マシンに仮想ファイヤーウォールを立てる事で、同一ネットワーク上にある仮想マシンであっても、仮想マシン一台で一つのセグメントを構成できる^[244]^[245]。

ゼロトラスト[編集]

ゼロトラストはForrester ResearchのアナリストJohn Kindervag︵ジョン・キンダーバグ^[246]︶により提唱された概念である^[247]。従来のセキュリティ対策ではネットワークの境界で攻撃の遮断が可能であり^[248]、境界内は信頼できる事を前提としていたが、標的型攻撃や内部犯行の広がりによりこうした前提は崩れており^[75]、攻撃者が内部に侵入してくるのを前提とした対策が必要となる^[238]^[248]。それに対しゼロトラストは従来型のセキュリティ対策よりも﹁性悪説﹂に基づいており^[249]、組織内ネットワークであっても、ユーザがデータやリソースにアクセスする際、ユーザが利用しているデバイスの信頼性とユーザ自身の信頼性とを動的に評価してデータやリソースへのアクセス認可を行う^[248]。一般的にはゼロトラストネットワークはユーザ関連情報を管理するIDプロバイダ、リソースにアクセスできるデバイスのリストを管理するデバイスディレクトリ、管理者が設定したポリシーにユーザとデバイスが適合しているかを判断するポリシー評価サービス、リソースへのアクセス制御を行うプロキシから構成され^[^248]、ゼロトラストネットワークのプロキシはユーザとリソースの間に置かれ、ユーザはプロキシでアクセス認可を受けた場合のみがデータやリソースにアクセスできる^[248]。

アクティブディフェンス[編集]

アクティブディフェンス︵Active defense、能動的防御^[250]︶は、実際の攻撃に先んじて脆弱性や攻撃方法を発見して予防策を積極的に構築する取り組みの事^[251]。攻撃者が防御技術を研究して回避・無効化する事で^[251]、対応が後手に回って攻撃側に主導権を握られるのを防ぐ^[252]。アクティブディフェンスの基本的手法としては以下のものがある^[25^3]‥ ●アノイヤンス︵Annoyance︶‥攻撃の労力を増加させる事^[^253]。デコイサーバや偽のDNSエントリなど各種デセプション技術で攻撃者を騙し、時間を稼ぐ等^[253]。 ●アトリビューション︵Attribution︶‥攻撃者の属性︵Attribution︶を明らかにする事^[253]。攻撃されそうなサーバやファイルにウェブビーコンやマクロ等を仕込んで攻撃者のIPアドレスや位置情報を取得する等^[253]。 ●アタックバック(Attack Back)‥攻撃者に攻撃し返す事^[253]。なおアタックバックはアクティブディフェンスに含まないとする意見もある^[252]。フリーのアクティブディフェンスツールとしては、ADHD(active defence harbindger distribution)^[254]^[255]、Artillery^[255]、Nova (Network Obfuscation and Virtualized Anti-Reconnaissance)^[255]、BearTrap^[256]、Decloak^[256]、Honey Badger^[256]などがある。

Moving Target Defense[編集]

アクティブディフェンスの手法の一つ。これまでのセキュリティ対策では、静的なシステムに検知技術や防御技術を導入することでセキュリティを担保していたが、それに対しMoving Target Defense (MTD)は、守るべきシステムの構成、特にネットワークを動的に変更する事で、攻撃者がシステム内を探索したりシステム構成を予測したりするのを難しくする手法である^[257]^[258]^[25^9]。従来のセキュリティ対策では、攻撃側がシステムを熟知しているのに対策側は攻撃者に関して断片的にしか知りえないという非対称ゆえの不利が対策側にあったが、MTDはこの種の不利を攻撃者にも背負わせようというアイデアである^[257]。

優先的に対策すべき箇所[編集]

優先的に対策すべき場所を示したガイドラインとして下記のものがある‥


名称	概要
CISコントロール	Center for Internet Securityが「最も危険な脅威からのリスクを最大限に減らす」ための評価項目（コントロール）を上位20項目をあげたもの^[260]。2018年現在の最新版はVersion 7で、Version 6までは「CIS Critical Security Controls」(CIS CSC)と呼ばれていた^[261]^[262]。Tripwireによれば、Version 6の20の評価項目のうち最初の6つを利用するだけで85％の攻撃を防ぐことができ、20個全てを利用すれば、97％超の攻撃を防げるという^[263]。
OWASP Top 10	OWASP（ウェブアプリケーションセキュリティに関する国際的なオープンコミュニティ^[264]）が作成した、ウェブアプリケーションにおける重要な脆弱性１０項目とその脆弱性を作りこまないようにする方法とを記した資料^[265]。
Strategies to Mitigate Cyber Security Incidents	オーストラリアサイバーセキュリティセンター（Australian Cyber Security Centre：ACSC。元はAustralian Signals Directorate(ASD)が作成していたものを引き継いだ）が提唱する重要項目^[266]。

CISコントロール[編集]

2018年現在の最新版であるVersion 7の20個の評価項目は以下の通りである^[263]^[267]：


分類	番号	評価項目	評価項目（和訳）
Basic	1	Inventory and Control of Hardware Assets	ハードウェア資産の目録作成とコントロール
	2	Inventory and Control of Software Assets	ソフトウェア資産の目録作成とコントロール
	3	Continuous Vulnerability Management	継続的な脆弱性管理
	4	Controlled Use of Administrative Privileges	管理権限のコントロールされた利用
	5	Secure Configuration for Hardware and Software on Mobile Devices, Laptops, Workstations and Servers	モバイルデバイス、ラップトップ、ワークステーションおよびサーバにおけるハードウェアとソフトウェアのセキュアな設定
	6	Maintenance, Monitoring and Analysis of Audit Logs	監査ログのメンテナンス、モニタリング、解析
Foundational	7	Email and Web Browser Protections	eメールとウェブブラウザの保護
	8	Malware Defenses	マルウェア対策
	9	Limitation and Control of Network Ports, Protocols and Services	ネットワークポート、プロトコル、およびサービスの制限とコントロール
	10	Data Recovery Capabilities	データ復旧能力
	11	Secure Configuration for Network Devices, such as Firewalls, Routers and Switches	ファイヤーウォール、ルータ、スイッチといったネットワークデバイスのセキュアな設定
	12	Boundary Defense	境界防御
	13	Data Protection	データ保護
	14	Controlled Access Based on the Need to Know	「Need to Know」原則に基づいてコントロールされたアクセス
	15	Wireless Access Control	ワイヤレスネットワークのコントロール
	16	Account Monitoring and Control	アカウントのモニタリングとコントロール
Organizational	17	Implement a Security Awareness and Training Program	セキュリティの意識向上とトレーニングプログラムの実施
	18	Application Software Security	アプリケーションソフトウェアのセキュリティ
	19	Incident Response and Management	インシデントへの対応とマネージメント
	20	Penetration Tests and Red Team Exercises	ペネトレーションテストとレッドチーム演習

OWASP Top 10[編集]

2017年度版の10項目は下記のとおりである^[268]：


番号	項目
A1：2017	インジェクション
A2：2017	認証の不備
A3：2017	機微な情報の露出
A4：2017	XML外部エンティティ参照（XXE）
A5：2017	アクセス制御の不備
A6：2017	不適切なセキュリティ設定
A7：2017	クロスサイトスクリプティング（XSS）
A8：2017	安全でないデシリアライゼーション
A9：2017	既知の脆弱性のあるコンポーネントの使用
A10：2017	不十分なロギングとモニタリング

Strategies to Mitigate Cyber Security Incidents[編集]

2018年現在は下記８項目^[266]：


項目	項目（和訳）
application whitelisting	アプリケーションのホワイトリスト化
patching applications	アプリケーションへのパッチ適用
configuring Microsoft Office macro settings	マイクロソフトオフィスの設定のコンフィグレーション
application hardening	アプリケーションのハードニング
restricting administrative privileges	管理者権限の制限
patching operating systems	OSへのパッチ適用
multi-factor authentication	他要素認証
daily backups	デイリーバックアップ

脆弱性診断とその関連[編集]

本節では、システムのセキュリティ上の問題点を洗い出す検査や診断について述べる。なお、こうした検査や診断は脆弱性検査、脆弱性診断、セキュリティ検査、セキュリティ診断等と呼ばれるが、これらの語の指す範囲は論者やセキュリティ企業により異なる場合があるので注意されたい^[注 1]。このような用語上の混乱をさけるため、本節ではペネトレーションテスト等も含めた最広義の意味での脆弱性検査(すなわちIPA^[269]意味での脆弱性検査)の事を﹁脆弱性診断関連の検査﹂と呼ぶことにする。 IPAによると、脆弱性診断関連の検査にはソースコードセキュリティ検査、ファジング、システムセキュリティ検査、ウェブアプリケーションセキュリティ検査、ペネトレーションテストの5つがあり^[272]、これらの検査を行うフェーズと主な検査対象は下記のとおりである^[2^72]。なお本節では、これら5つにレッドチームを加えた6つの検査について述べる。


検査名	主な利用フェーズ		主な検査対象
検査名	開発	運用	PC向けソフト	組み込みソフト	ウェブアプリケーション	その他
ソースコードセキュリティ検査	○	ー	○	○	○
ファジング	○	ー	○	○	ー
システムセキュリティ検査	○	○	ー	○	ー	ネットワークシステム
ウェブアプリケーションセキュリティ検査	○	○	ー	ー	○	クライアントサーバ
ペネトレーションテスト	ー	○	ー	○	ー	サーバ

上の表の﹁主な利用フェーズ﹂は検査対象となる機器のシステムライフサイクルの中でどのフェーズでこれらの検査が利用されるのかを示している。なお、一般的にシステムの開発フェーズは企画、要件定義、設計、実装、テスト、納入という工程からなるが、これらの工程のうち脆弱性診断関連の検査が行われるのは実装工程とテスト工程である^[273]。脆弱性診断関連の検査はPCI DSSやコモンクライテリアのような基準や規格で定期的に実施する事が要求される場合がある^[273]。

ソースコードセキュリティ検査[編集]

ソースコードセキュリティ検査は、開発中のソフトウェアのソースコードをチェックする事で、セキュリティ上の問題点を発見する検査であり、おもに実装工程で行われる^[274]。その目的は、脆弱性を引き起こしやすい関数をソースコードから抽出したり、構文解析により脆弱性であると思われる箇所を特定する事である^[274]。検査は人間によるソースコードレビューにより行われることもあるし、何らかのツールやサービスを用いて自動的にソースコードを検査することもある^[274]。なお、ソースコードセキュリティ検査は実装段階で混入する脆弱性を発見するものであるので、そもそもソフトウェアの設計そのものに脆弱性があってもそれを発見するのは難しい^[274]。

ファジング[編集]

詳細は「ファジング」を参照

ファジングは開発したソフトウェアに脆弱性を引き起こしやすい様々な入力を与える事で、脆弱性を発見する手法である^[275]︵インプットとして極端に大きな値を入力してみるなど︶。ファジングは実装工程やテスト工程において、何らかのツールやサービスを利用して実行される^[275]。ソースコードセキュリティ検査がソースコードを利用するホワイトボックステストであるのに対し、ファジングはソースコードを使わないブラックボックステストないしグレーボックステストである。ソースコードセキュリティ検査と同様、ソフトウェアの設計そのものに含まれる脆弱性を発見するのは難しい^[274]。制御システムセキュリティのEDSA認証ではファジングが必須になっているなど、ファジングの標準化の流れがある^[276]。ファジングを出荷前に行う事により、出荷後に脆弱性が原因で回収等で莫大なコストが発生する可能性が下げられる。ファジングも導入費用とツールの保守費用をあわせて数百万から数千万円程度かかるが^[277^]、半年程度で投資回収できるとされる^[277]。

システムセキュリティ検査[編集]

「脆弱性検査ツール#ネットワーク脆弱性検査ツール」も参照

システムセキュリティ検査は、システム上の機器に対してパッチのあたっていない脆弱性が存在しないか、不必要なポートが空いているなどの設定上の不備がないかを調べる検査である。何らかのツールやサービスを用いて主に開発時のテスト工程と運用時に行われる^[278]。なお性能の良いシステムセキュリティ検査ツールであれば、既知の脆弱性はもちろん、未知の脆弱性も発見できる^[279]。システムセキュリティ検査では検査のためにシステムをスキャン︵脆弱性スキャン︶する必要があり、スキャンにはパッシブスキャンとアクティブスキャンがある^[280]。パッシブスキャンはミラーポートを使ったりWiresharkなどのアナライザを使ったりした受動的なパケットキャプチャ等で脆弱性を発見する手法である。それに対しアクティブスキャンはスキャナが機器にパケットを送信してその反応を見るなど能動的な方法で脆弱性を発見する手法である。パッシブスキャンよりもアクティブスキャンのほうがより多くの脆弱性を発見できる可能性が高いが^[280]、その分システムに負荷をあたえたり^[280]、障害の原因になったりする可能性がある。また脆弱性スキャンはネットワークの外部から行う外部スキャンとネットワークの内部から行う内部スキャンに分類できる^[280]。外部スキャンの場合、スキャンのための通信がネットワーク境界にあるファイヤーウォールに阻まれるため、内部スキャンほど多くの情報がとれない。しかし外部スキャンは攻撃者が外部から侵入可能な入口を発見できるなど、内部スキャンとは異なった役割を果たす事ができる^[280]。システムセキュリティ検査は障害の原因になったり、検査対象が増えるにつれて検査費用が高くなるなどの事情があるため、ネットワーク全体に対して検査を行うとは限らず、一部の機器に限定して行われる事もある^[278]。

ウェブアプリケーションセキュリティ検査[編集]

詳細は「ウェブアプリケーション脆弱性診断」を参照

「脆弱性検査ツール#Webアプリケーション脆弱性検査ツール」も参照

ウェブアプリケーションセキュリティ検査はウェブアプリケーションに文字列を送信したり、ページ遷移を確認したり、ログ解析したりするなど、ウェブアプリケーションに特化した検査である^[281]。何らかのツールやサービスを用いて主に開発時のテスト工程と運用時に行われる^[281]。他の検査と同様、実装時に作り込んだ脆弱性は発見できるものの、設計段階で入り込んだ脆弱性を発見するのは難しい^[281^]。 IPAによるとウェブアプリケーションセキュリティ検査ツールは3タイプに分けられる^[282]。第一のタイプのものは、ブラウザとウェブサイトの間のプロキシとして動作するもので、検査実施者がブラウザでウェブサイトにアクセスした際に発生するリクエストをプロセスである検査ツールが補足し、取得したリクエストの一部を検査実施者が手動で検査用のコードを埋め込む形で書き換え、書き換えたリクエストをウェブサイトに送信してその反応をみる事で脆弱性検査を行う^[282]。第二のタイプは検査ツールがウェブクライアントとして動作し、検査用コードの入ったリクエストをウェブサイトに自動送信し、ウェブサイトからのレスポンスを元に検査実施者にレポートを出力する^[282]。第二のタイプのものはツールに予め用意されている量の検査用コードを試自動で試せるのが利点であるが、人力に頼る第一のタイプほど細かな検査はできない^[282]。第三のタイプでは検査ツールは検査実施者が操作するブラウザとウェブサイトとの通信を︵書き換えずに︶補足し、補足した情報から不審な動作等を探して検査実施者にレポートとして出力する^[282]。第一、第二のタイプと違い検査用コードをウェブサイトに送りつける事がないので、詳細な検査はできないが、その分検査によりウェブサイトに障害が発生する可能性が格段に低いという利点がある^[282]。

ペネトレーションテスト[編集]

詳細は「ペネトレーションテスト」を参照

ペネトレーションテストは実際の攻撃で使われる手口をそのまま利用する事で、人間が検査システムに攻撃をしかける事によりシステムの弱点を見つけ、システムが実際に攻撃されたときどこまで侵入され、どのような被害が発生するのか明らかにする検査であり^[283]、基本的に運用フェーズに行われる^[283]。ペネトレーションテストを実施するには攻撃手法に関する高度な知識を必要とするため、セキュリティ企業に依頼して実施する形が普通である^[283]。実際の攻撃手法を用いて検査を行うため、脆弱性のみならずシステムの不適切な運用等も発見できる^[283]。その性質上、他の検査よりもシステムに不具合を生じさせる危険が大きいため^[283]、影響範囲を事前に特定し、復旧計画を立てて実施する必要がある^[283]。テストは対象システムの構造をテストする人︵ペンテスター︶が知っているホワイトボックステストとシステム構造を知らないブラックボックステストにわけられ、さらに攻撃を開始する場所がシステム外部である外部テストとシステム内部である内部テストにわけられる^[284]。

レッドチーム[編集]

詳細は「レッドチーム」を参照

レッドチームはペネトレーションテストと同様、﹁レッドチーム﹂と呼ばれる攻撃チームが実際に攻撃をしかけてみる検査であり、^[285]レッドチームに対抗する防御側をブルーチームと呼ぶ^[286]。これらの言葉は元々軍事用語であり、敵軍であるレッドチームの視点で、自軍であるブルーチームの防御力や対応力を検証するものである^[286^]。レッドチーム検査は﹁脅威ベースペネトレーションテスト︵Threat-Led Penetration Testing : TLPT︶﹂とも呼ばれる^[287]^[288]。レッドチーム検査はペネトレーションテストよりもさらに実践的な検査である。ペネトレーションテストと違い、防御側であるブルーチームが攻撃の発生を認知しておらず^[289]、この状態でブルーチームがどこまで攻撃に耐えられるのかが試される。レッドチーム検査ではハクティビスト、愉快犯、内部犯、金銭目的の犯罪者等、攻撃者の﹁ペルソナ﹂を作り、レッドチームのメンバーはそのペルソナになりきって攻撃を行う^[290]。典型的には攻撃前に初期調査を行い、マルウェアの配送、システム上への攻撃基盤構築、権限昇格、内部調査、目的達成といった手順をたどる^[290]。レッドチームはサイバー攻撃だけではなく、物理セキュリティや人的要素に対しても攻撃をしかける^[286]^[290]。例えば初期調査では、ゴミ漁り^[286]、エレベーターでの盗み聞き^[286]、受付に﹁入館カードを忘れた﹂といって入り込む^[286]などのソーシャル・エンジニアリング的な手法^[290]、偽Wifiポイントの立ち上げによる盗聴^[290]、SNSで情報発信を行っている社員からのOSINT^[290]なども行われる。レッドチームのようなサービスをセキュリティベンダーが提供するようになったのは、標的型攻撃が一般化したことにある^[286]。標的型攻撃では上述のような物理要素・人的要素を犯す攻撃手法により情報収集されることもあり、こうした攻撃に耐えられるかを試すためにレッドチームのサービスが提供されるようになったのである^[286]。

その他の診断[編集]

ネットワークに接続された不正機器の検出を目的とするネットワークディスカバリや、不正な無線通信を検出するワイヤレススキャンなどがある^[291]。

脆弱性ハンドリングと脆弱性管理[編集]

脆弱性ハンドリング[編集]

脆弱性情報ハンドリングとは、新たに発見された脆弱性関連情報の届け出を発見者に促し、届けられた情報を整理して製品開発者の担当窓口に提供して対策方法の立案を促し、適切なタイミングで脆弱性関連情報と対策情報を周知することで、被害を最小化するための活動である^[29^2]^[293]。ここで脆弱性関連情報とは脆弱性情報、脆弱性が存在する事の検証方法、およびその脆弱性を利用した攻撃方法︵例えばエクスプロイトコード︶の事を指す^[294]。また脆弱性への対策方法は、修正方法︵＝パッチ適用︶と回避方法に分類でき、回避方法とはパッチ以外の方法で脆弱性の影響度を回避・低減する方法、例えば脆弱性のある機能の無効化、代替ソフトへの移行、WAFの導入等がある^[295^]。攻撃者に脆弱性関連情報を悪用されるのを防ぐため、複数の製品が影響を受ける脆弱性の場合などにおいて、情報の公表に関して関係者間で一定の足並みをそろえる事(公開日一致の原則)が重要である^[296]。特に海外機関と調整が必要な際にこの原則を破って単独で情報公開を行うと、今後の脆弱性ハンドリングから外される場合がある^[296]。

脆弱性ハンドリングの標準・ガイドライン[編集]

国際標準として以下のものがある^[297]‥ ●ISO/IEC 30111 – Vulnerability handling process (脆弱性取扱い手順) ●ISO/IEC 29147 – Vulnerability disclosure (脆弱性開示) 日本において脆弱性ハンドリング方法の概略は経済産業省告示﹁ソフトウエア製品等の脆弱性関連情報に関する取扱規程﹂^[298]に規定され、その詳細は﹁情報セキュリティ早期警戒パートナーシップガイドラライン﹂^[299]に規定されている^[300]。規定されている手順は、脆弱性が発見されたのがソフトウェア製品なのかウェブサイトなのかで異なる。

ソフトウェア製品の脆弱性に対するハンドリング手順[編集]

ソフトウェア製品の脆弱性関連情報の発見者はその情報をIPAの窓口^[301]に届け出し、IPAはその情報をJPCERT/CCに通知する^[302]。JPCERT/CCは製品開発者にその情報を連絡し、製品開発者は脆弱性の検証や対応方法を考える^[302]。JPCERT/CCは製品開発者と調整しながら脆弱性関連情報の公開スケジュールを決める。IPAとJPCERT/CCはスケジュールで定められた期日に脆弱性への策方法および対応状況を公表すする^[302]。IPAは原則四半期毎に統計情報^[303]を公表する^[302]。

ウェブサイトの脆弱性に対するハンドリング手順[編集]

ウェブサイトの脆弱性関連情報の発見者がその情報をIPAの窓口に届け出するところまでは上の手順と同様だが、ウェブサイトの場合、IPAはJPCERT/CCを介さずに直接ウェブサイト運営者に脆弱性関連情報を通知し^[300]^[304]、ウェブサイト運営者が脆弱性を修正する^[304]。ソフトウェアの場合と異なりIPAやJPCERTの側が脆弱性情報を公開する事は基本的にはない。個人情報漏洩等があった場合、その事実を公表するなどの処置はウェブサイト運営者が行う^[304]。個人情報が漏洩している可能性があるにもかかわらず、ウェブサイト運営者が対応しない場合は、IPAが個人情報保護法34条に従った措置︵主務大臣による勧告や命令︶を依頼する^[304]。 IPAは原則四半期毎に統計情報^[305]を公表する^[304]。

脆弱性に関する情報源[編集]

脆弱性の情報源としては、各種ニュースサイト以外に、脆弱性情報データベース、ベンダアドバイザリ、注意喚起サイトがある^[306]。また攻撃情報の情報源としては、前述した脆弱性の情報源の他、攻撃コードデータベースがある^[307]。

脆弱性情報データベース[編集]

詳細は「脆弱性情報データベース」を参照

脆弱性ハンドリング等によって集められた脆弱性関連情報を公開するデータベースの事。主なものとして下記のものがある。


名称	概要
Common Vulnerabilities and Exposures(CVE)	脆弱性に固有の識別番号を割り振ったデータベースで、詳細情報は外部サイトや他の脆弱性データベースに任せている。アメリカ合衆国国土安全保障省(DHS)のNCSDの資金のもとMitre社のNational Cybersecurity FFRDCが運営。
National Vulnerability Database(NDV)	アメリカ国立標準技術研究所(NIST)が管理する脆弱性情報データベース。CVEで命名された脆弱性情報の詳細情報をNVDで提供している。
Japan Vulnerability Notes (JVN)	JPCERT/CCとIPAが共同で管理している^[308]^[309]脆弱性情報データベース。脆弱性ハンドリングの結果挙がってきた脆弱性関連情報のみならず、海外の調整機関と連携した脆弱性情報も載る^[309]。海外連携情報元としてはCERT/CCのTechnical Cyber Security AlertsやVulnerability Notes、CPNIのCPNI Vulnerability Adviceなどがある^[308]。
JVN iPedia	JVNのサイト内にある、脆弱性対策情報データベース^[310]。JVNがいち早く一般に周知することを目的にしているのに対し、JVN iPediaでは脆弱性が公開されてから一週間程度を目安に、JVNに掲載されたもの以外にも国内外問わず脆弱性対策情報を広く公開している^[310]。
Open Source Vulnerability Database (OSVD)	脆弱性に関するオープンソースのデータベース^[311]。

ベンダアドバイザリ[編集]

ベンダや開発者のサイト、ブログ、アップデート情報、リリースノート等に自社製品の脆弱性情報やその対策情報が提供されている事があり、ベンダアドバイザリ^[306]、セキュリティアドバイザリ^[312]^[313]等と呼ばれている。ベンダアドバイザリは脆弱性情報の形で公開されない場合もあるので、注意が必要である^[306]。セキュリティ担当者は基本的には各製品のサイト等を参考にしてベンダアドバイザリ手に入れる必要があるが、各種脆弱性情報データベースに載らないベンダアドバイザリを収集している有償サービスも存在するので、こうしたサービスから情報を得る事も可能である。

注意喚起サイト[編集]

広く使われている製品に対して、脆弱性の周知と対策の呼び掛けを行っているサイト^[306]。国内ではJPCERT/CC^[314]、警察庁^[315]、IPA^[316]等が注意喚起を行っており、海外ではUS-CERT^[317]やICS-CERT^[318]︵制御システムが対象︶等がある^[306]。

攻撃コードデータベース[編集]

攻撃コード︵エクスプロイト︶を収集したデータベースで^[307]、Exploit DB^[319]などがある^[307]。

脆弱性評価に関する指標[編集]

Security Content Automation Protocol(SCAP)[編集]

詳細は「Security Content Automation Protocol」を参照

SCAP（エスキャップと発音^[320])は、アメリカ国立標準技術研究所(NIST)が策定した「脆弱性管理、コンプライアンス管理の一部を機械化(自動化)することにより、情報システムに対するセキュリティ対策の負荷軽減と情報セキュリティ施策の推進の両立を目的とした仕様群」^[321]である。 2015年現在、SCAPには以下の６つの仕様が規定されている^[322]：


略称	名称	概要
CWE	Common Weakness Enumeration	ベンダーに依存しない共通の脆弱性分類方法^[323]。脆弱性をツリー構造で分類^[323]
CVE	Common Vulnerabilities and Exposures	脆弱性毎に「CVE－西暦－連番」という形のCVE識別番号(CVE-ID)を付与し脆弱性の概要(Description)、参考URL(References)、ステータス(Status、「候補」もしくは「登録」)を記述^[324]。CVE識別番号はベンダーに依存しない共通の脆弱性識別子^[324]
CVSS	Common Vulnerability Scoring System	ベンダーに依存しない共通の脆弱性の評価手法に従い点数化^[325]。脆弱性の技術的な特性を表した「基本評価基準」、現時点での危険度を表した「現状評価基準」、製品利用者毎に評価が変わる「環境評価基準」に対し脆弱性の危険度を0.0～10.0の評価値（大きいほど危険）で表現^[325]。
CCE	Common Configuration Enumeration	「設定上のセキュリティ問題」を解決するためにコンピュータのセキュリティ設定項目に一意の番号（設定項目識別子）を付与する仕様^[326]
XCCDF	eXtensible Checklist Configuration Description Format	プログラム上や設定上のセキュリティ問題のチェック項目をXMLで記述するための仕様^[327]
OVAL	Open Vulnerability and Assessment Language	コンピュータのセキュリティ設定状況を検査するための仕様^[328]

その他の指標[編集]


略称	名称	概要
CAPEC	Common Attack Pattern Enumeration and Classification	共通的な攻撃パターンを網羅的に列挙し、分類したもの。US-CERTによるスポンサーのもとMitre社が作成している。類似した攻撃を共通化し、ツリー構造で攻撃を分類している。
MAEC	Malware Attribute Enumeration and Characterization、マルウェア特徴属性一覧^[329]	マルウェアの動作、痕跡、攻撃パターンなどを記述するためのXMLベースの仕様^[329]。
CEE	Common Event Expression：共通イベント記述^[329]	ログなどのイベントを記述するための仕様^[329]
IODEF	Incident Object Description Exchange Format	インシデント情報交換メッセージフォーマット。RFC 5070に規定されている。
CybOX	Cyber Observable eXpression、サイバー攻撃観測記述形式^[329]	オブジェクト」と「イベントフィールド」を用いて記述する^[329]。オブジェクトは「ファイル、レジストリキー、プロセスなど、サイバー攻撃活動によって観測された事象の主体を記述」^[329]し、イベントフィールドは観測事象中に発生した動作を記述するもので」^[329]、例えば「ファイルを削除した、レジストリキーを作成した、HTTP GET要求を受信したなど、あるオブジェクトに対して行われた動作を記述」^[329]する。

脆弱性管理[編集]

脆弱性管理とは﹁自社の脆弱性の状況を常に掌握して、より頻繁かつ効果的に修正するためのプロセス﹂の事である^[330]。脆弱性管理で行うプロセスはツールやサービスによって異なるものの、IT資産の目録作成^[331]^[332]、守るべきIT資産の優先度付け^[331]、IT資産の脆弱性の発見^[331]^[332]^[333]^[334]、脆弱性のリスクレベルの特定^[330]^[331]^[332]と対策優先度の決定^[330]^[331]、脆弱性への対処^[331]^[332]ないしその支援^[334]、対処状況の一覧化^[333]^[334]といったプロセスを含む。

セキュリティ対策技術[編集]

境界防御・サーバ防御技術[編集]

ファイヤーウォール[編集]

詳細は「ファイヤーウォール」を参照

ファイヤーウォールはネットワーク境界に設置して不正な通信を遮断する技術である。通信を許可・遮断するIPアドレスやポート番号をしていするタイプのファイヤーウォールをパケットフィルタリング型のファイヤーウォールという。パケットフィルタリング型のうち、管理者により予め決められたテーブルにしたがって通信の許可と遮断を行うものをスタティック型という。それに対しダイナミック型のパケットフィルタリングでは、ネットワーク境界内はネットワーク境界外より安全だという前提の元、境界内から境界外への通信が発生したときは、その返答が境界外から帰ってきた場合のみ例外的に通信を許可する。ステートフルパケットインスペクションはダイナミック型の特殊なもので、TCP/UDPセッションを認識して、正当な手順のセッションに属する場合のみ通信を許可する。パケットフィルタリング型が通信の許可・遮断機能のみを持つのに対し、それ以外のファイヤーウォールは通信の中継機能を持つ。サーキットレベルゲートウェイ型ファイヤーウォールは、ファイヤーウォールを通過する際IPアドレスを付け替え、ネットワーク境界内のIPアドレスが境界外にもれないようにする。アプリケーションゲートウェイ型ファイヤーウォールはHTTPなどアプリケーション層のプロトコルを理解してプロキシとして振る舞う。コンテンツをキャッシュして通信速度を早くする他、有害なサイトのフィルタリングを行ったり、マルウェア対策ソフトを組み込んでファイヤーウォールをまたぐ通信に含まれるマルウェアを検知したりできる。

IDS/IPS[編集]

IDS(Intrusion Detection System、侵入検知システム)は不正侵入の兆候を検知し、管理者に通知するシステムである^[335]。IPS(Intrusion Prevention System、侵入防止システム)も不正侵入の兆候を検知するところまではIDSと同様だが、検知した不正を自動的に遮断するところに違いがある。両者を合わせてIDPSという場合もある^[336]。センサーないしエージェントと呼ばれるアプライアンスないしソフトウェアを利用して通信などの情報を集める事により不正を検知する。センサーやエージェントの集めた情報は管理サーバに送られ、管理サーバ側でも複数のセンサー・エージェントの情報を相関分析する事で不正を検知する。 IDPSは以下の4種類に分類できる^[337]‥


分類	センサー・エージェントの主な設置・インストール場所
ネットワークベースIDPS	ネットワーク境界^[338]
無線IDPS	監視対象の無線ネットワークの通信範囲内や、無許可の無線ネットワーク活動が行われている懸念のある場所^[338]
NBA(Network Behavior Analysis)	組織内ネットワークフローの監視ができる場所、もしくは組織内と外部ネットワークの間の通信フローの監視ができる場所^[338]
ホストベースIDPS	攻撃を受けやすい公開サーバや機密情報が置かれているサーバなどの重要ホスト^[338]。その他PCのようなクライアントホストやアプリケーションサービスにもインストールされる^[339]。

ネットワークベースのIDPSとNBAはどちらもネットワークを監視する点では共通しているが、前者は主に組織LANと外部ネットワークの境界などネットワーク境界に設置され、境界をまたぐ通信を監視するのに対し、NBAは組織LAN内に設置され、LAN内の通信を監視する点に違いがある。ネットワークベースIDS、IPSを略してそれぞれNIDS、NIPSと呼ぶ。同様にホストベースIDS、IPSをそれぞれ略してHIDS、HIPSという。ネットワークベースのIDPSのセンサー設置方法としては、監視対象の通信が必ず通る場所にIDPSを設置するインライン型と^[340]、監視対象の通信が必ず通る場所にスパニングポート、ネットワークタップ、IDSロードバランサ等を設置する事で監視対象の通信をコピーし、コピーした通信をIDPSで監視する受動型がある^[340]。攻撃の遮断や回避のようなIPSとしての機能を利用する場合はインライン型が必須である^[340]。インライン型の場合、ファイヤーウォールが攻撃と考えられる通信を遮断するのでファイヤーウォールの前に設置するか後ろに設置するかで取得できる情報や、IDPSへの負荷が異なる。ファイヤーウォール前後両方を監視するためにIDPS機能とファイヤーウォール機能がハイブリッドになった製品もある^[340]。受動型はネットワークの複数箇所の通信をコピーして集約した上で解析できるという利点がある。例えばファイヤーウォールの前後およびDMZの通信を全てコピーして解析するといった行為が可能になる^[340^]。

WAF[編集]

詳細は「Web Application Firewall」を参照

WAF︵Web Application Firewall︶は、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つ^[341]。WAFはウェブサイトの前に設置し、ウェブアプリケーションの脆弱性に対する攻撃と思われる通信の遮断等を行うものであり、LANとインターネットの境界などに設置されることが多い通常のファイヤーウォールとは︵その名称にもかかわらず︶機能が異なる^[342]。WAFが検知する攻撃はウェブサイトへのものに特化しており、HTMLを解釈してクロスサイトスクリプティングやSQLインジェクションなどの攻撃を遮断する。攻撃を遮断する点においてIPSと類似するが、IPSはOSやファイル共有サービスなど様々なものに対する攻撃を遮断するために不正な通信パターンをブラックリストとして登録しておくのに対し、WAFの防御対象はウェブアプリケーションに限定されている為ブラックリスト型の遮断のみならず、正常な通信を事前登録してホワイトリスト型の遮断も行うことができる^[343]。 WAFを導入する主なケースとして、レンタルサーバ提供ベンダーや、複数のグループ企業を束ねている大手企業など、直接自分で管理していないウェブアプリケーションを保護したい場合、他社が開発したウェブアプリケーションを利用しているなど自分では脆弱性を防ぐことができない場合、事業継続の観点からウェブアプリケーションを停止できず脆弱性を行ったりパッチを当てたりできない場合等があり^[344]、根本対策のコストよりもWAFの導入・運用のコストのほうが安い場合にWAFを導入する^[344]。 WAFにはHTTP通信︵リクエスト、レスポンス︶を検査し、検査結果に基づいて通信を処理し、処理結果をログとして出力する機能がそなわっている^[345]。通信の検査は前述のようにホワイトリスト、ブラックリストを用いて行う。検査結果に基づいた通信の処理としては、そのまま通過させる、エラー応答を返す、遮断する、通信内容の一部を書き換えた上で通過させる、という4通りがある^[346]。またセッションのパラメータの正当性やHTTPリクエストの正当性を確認してCSFR等の攻撃を防ぐ機能、ウェブサイトの画面遷移の正当性を確認する機能、ホワイトリストやブラックリストを自動更新する機能、ログをレポートの形で出力する機能、不正な通信を管理者にメール等で通知する機能等がついている事もある^[347]。なお、たとえばウェブアプリケーションの認可機能に問題があるが、HTTP通信自身には問題がないケースなどではWAFは異常を検知してくれないので別の対策が必要となる^[348]。

メールフィルタリング・URLフィルタリング[編集]

Web レビュテーション[編集]

Webレピュテーションは様々な手法でウェブサイトを評価する事で、不正と思われるサイトへの接続を制御・抑制する技術である^[349]。ユーザがウェブアクセスする際、アクセス先のURLをWebレピュテーションを提供しているセキュリティベンダーに問い合わせ、アクセスのブロック等を行う^[350]。これにより不正サイトへのアクセスを制限できるのはもちろん、改竄された正規サイトに埋め込まれた不正サイトへのリンクへのアクセスもブロックできる^[350]。またユーザによるアクセスのみならず、マルウェアによる外部接続も検知・遮断できる^[351]。 Webレピュテーションの評価基準には例えば以下のものがある‥ ●ウェブサイトの登録年月日‥悪性サイトは作成日が比較的新しいものが多い為^[351]。 ●ウェブサイトの安定性‥悪性サイトはDNSやIPアドレスを頻繁に変える(fast flux)事が多い為^[351]。 ●特定のネームサーバが複数のドメインで利用されているか否か‥フィッシングサイトはこのような特徴を持つものが多い^[351]。レピュテーションのアイデアはマルウェア検知にも応用されており、﹁ファイルレピュテーション﹂や﹁プログラムレピュテーション﹂などと呼ばれている^[352]。

エンドポイント対策技術[編集]

エンドポイント︵＝パソコン、PDA、携帯電話などのネットワーク端末^[353]︶のセキュリティ対策ツールはEPP︵Endpoint Protection Platform‥エンドポイント保護プラットフォーム︶とEDR︵Endpoint Detection and Response︶に大きく分ける事ができる^[354]。EPPがマルウェア感染から防御するためのものであるのに対し、EDRはマルウェアに感染してしまったことを検知︵Detection︶してその後の対応︵Response︶を行うためのものである^[354]^[^355]。EPPに分類されるものとしてマルウェア対策ソフト、パーソナルファイアウォール、ポート制御、デバイス制御などがある^[35^6]。

EDR[編集]

EDRは標的型攻撃やゼロデイ攻撃などによりマルウェア感染が防げないという現実に対応して登場したもので^[357]、エンドポイントにインストールするクライアントソフトと、それを一括管理するサーバないしアプライアンスからなる^[357]。感染の検知や対応が目的なので、エンドポイントを監視して攻撃の兆候を検知し、ログを取得して組織全体のログデータと突合し、必要に応じて攻撃遮断などの応急処置を取ったりする^[355]^[358]。EDRが攻撃検知に用いる情報の事をIOC︵Indicator of Compromise、侵害痕跡︶と呼び、具体的にはファイルの作成、レジストリーの変更、通信したIPアドレス、ファイルやプロセスのハッシュ値などがある^[357^]。なおEDRはガートナーのアナリストが2013年に定義した用語である^[358]。

リモートブラウザ[編集]

ブラウザ経由でのマルウェア感染を防ぐため、ブラウザのセッションをリモートから提供する手法のこと^[359]。ブラウザのセッションは﹁ブラウザ・サーバ﹂という社内サーバもしくはクラウドから提供される^[359]。Webページのレンダリングはブラウザ・サーバ側で行われ、エンドポイントには無害化した描画情報ないしレンダリング結果の画面ストリームのみが送られる^[360]^[361]。ブラウザ・サーバはブラウズ・セッションごと、タブごと、もしくはURLごとにリセットされるので、ブラウザ・サーバ自身が汚染される危険はない^[361]。

情報漏えい対策技術[編集]

情報の機密性、完全性、可用性を守るため、情報の管理、更新、消去といった情報ライフサイクル管理(ILM, Information Lifecycle Management)の方法がISO 15489やJIS X 0902に規定されるなど^[362]、セキュアな情報管理が求められる。このための技術として暗号化や署名といった暗号技術の他、USBポートのコントロールやe-メールの監視による情報の持ち出し制御、DLPなどがある。

DLP[編集]

DLP(Data Loss Prevention)は、機密情報の不正持出しを防ぐための技術である^[363]^[364]^[365]。合意された定義は存在しないため、広義には暗号化やUSBポートのコントロールもDLPに含まれる場合がある^[365]。しかし多くの場合DLPは、機密情報に関するポリシーをサーバで管理し、そのポリシーに従って情報の移動、持ち出し、利用等を制限したり遮断したりする技術である^[363]^[364]^[365]。システムにある機密情報を洗い出す特定機能や洗い出した機密情報を監視する機能もついている場合が多い^[363]^[365]。 DLPは機密情報をそのコンテンツ内容やその情報が利用されるコンテキスト︵利用時間や環境等︶などから特定する^[366]。機密情報を解析する方法は、正規表現により事前に定められたポリシーを利用するもの、構造化データの全体一致を調べるもの、非構造化データの部分一致を調べるもの、ベイズ法などを利用した統計解析を行うもの、インサイダー取引に似た情報など何らかのコンセプトに従って上述した手法を組み合わせるもの、情報に対して﹁カード情報﹂などのカテゴリ化を定義して解析するものなどがある^[366]。

その他の技術[編集]

検疫ネットワーク[編集]

検疫ネットワークは未登録の端末や、パッチがあたっていないなどポリシーに違反した端末を組織のネットワークから遮断する技術であり^[3^67]、次の3つのステップで構成される事が多い‥ ●検出・検査‥未登録の端末やポリシー違反の端末を検出・調査する^[^367] ●隔離‥ポリシー違反の端末を組織のネットワークから遮断し、代わりに隔離されたネットワークである検疫ネットワークにつなげる^[36^7] ●修復︵治療︶‥ポリシーに従って、検疫ネットワーク内でパッチを当てたり、マルウェアの定義ファイルを更新したりする^[367]

UBA、UEBA[編集]

UBA(User Behavior Analytics)もしくはUEBA(User and Entity Behavior Analytics)は、システムに攻撃者が侵入した後のユーザの振る舞い等、ユーザを中心にした分析を行う事で攻撃を検知する技術全般を指す^[368]^[369]^[370]。分析に用いるのはエンドポイントやネットワークのセキュリティデバイス、Active Directory等の認証サーバ、Webプロキシ、Net Flowなどのネットワークのトラフィック、データベース等のログ情報である^[370]。その実装形態はいろいろありSIEMやログ管理と連携するものもあれば、エンドポイントにエージェントソフトをインストールものもある^[^368]。分析の目標はユーザの振る舞いを追跡して通常業務から逸脱した異常を検知する事で^[368]^[370]、具体的にはアカウントの不正使用、侵害されたアカウントやホスト、データや情報の漏洩、内部偵察行為などを検知する^[368]。ユーザは大量の行動ログを残すので、UBAではApache Hadoopのようなビッグデータ解析基盤を用いる事が増えている^[371^]^[372]。

CASB[編集]

CASB(キャスビー^[373]。Cloud Access Security Broker、クラウド・アクセス・セキュリティ・ブローカー^[373])は2012年にガートナーが提唱した概念で^[374^]、ユーザにより勝手に使われているSaaSを可視化し^[373]、機密情報の持ち出しなどを防いだりする事を目的とする^[373]。ガートナーによればCASBは以下の4つ機能を持つ事を特徴とする。 (一)社内ユーザーが用いているSaaSをシステム管理者が可視化する機能^[374] (二)アクセス権限違反やや機密情報の持ち出しをチェックしたりブロックしたりするデータセキュリティ機能^[374] (三)セキュリティ監査のためのコンプライアンス機能^[374] (四)セキュリティの脅威から防御する機能^[374]。 CASBの実装形態は3つある‥

(一)クラウドサービスへアクセスするためのゲートウェイを社内に設置し、全てのクラウドアクセスをそこに集約させる形態^[373]^[374^]。 (二)ユーザ端末にエージェントをインストールしてクラウドアクセスを監視する形態^[374]。第一のものと違い社外にでる事もあるモバイル端末のクラウドアクセスも監視できるという利点がある^[374]。 (三)SaaSベンダ側が提供するAPIを利用する形態^[374]。APIを通じてユーザがSaaS上に置いた情報等を監視する事ができるという利点がある^[374]。

ハニーポットとサイバーデセプション[編集]

詳細は「ハニーポット」および「:en:Deception technology」を参照

いずれも攻撃者やマルウェアを騙す事で攻撃者の行動を観察したりシステムを防御したりする技術である^[375]^[376]^[377]^[3^78]。ハニーポットは例えば囮サーバなど脆弱性なシステムに見せかけたものを用意して攻撃者を騙し、攻撃者の侵入方法、侵入語の行動を観察する技術である^[379]。ハニーポットの主な利用方法は攻撃者の行動の観察で^[375]、例えば囮サーバで攻撃者が何をしたのかから攻撃者の目的を知る、といった用途で用いる。実際のソフトウェアを用いたハニーポットを高対話型ハニーポット、ソフトウェアを模擬するエミュレータを使った︵ので一部の対話しか再現できない︶ハニーポットを低対話型ハニーポットという^[379]。高対話型の方が現実環境に近いので低対話型よりも多く攻撃者の情報を集められるが、その分低対話型よりも負荷が高く、ハニーポットを攻撃者に乗っ取られた場合の危険も低対話型よりも大きい^[379]。またインターネット上に設置したハニーポットに攻撃者を誘い込んで受動的観測を行うタイプと囮のウェブクライアント︵ハニークライアント︶で悪性サイトにアクセスするなどして能動的観測を行うタイプがある^[37^9]。これに対しサイバーデセプション(Cyber Deception)は、いわば﹁次世代ハニーポット﹂として位置づけられる技術で^[37^5]^[376]、主に攻撃から防御したりや攻撃目標の達成を遅延させたりする目的で用いられる技術である^[375]。デコイサーバ︵囮サーバ︶等を設置する事はハニーポットと同様だが^[375]、ハニーポットが攻撃者の情報を集めるためにネットワーク境界の外のインターネット上に設置される傾向があるのに対し、サイバーデセプションでは標的型攻撃により攻撃者がプライベートネットワーク内に侵入してくる事を前提にしてプライベートネットワーク上に囮を設置し、攻撃検知や防御のための時間稼ぎに利用される^[375]。設置されるものとしては、デコイサーバの他に、囮サービス、囮クレデンシャル、囮ファイル等がある^[375]。サイバーデセプションにおいて、囮として用いる情報全般をハニートークンといい^[380]、例えばメールアドレス、プライバシー情報、アカウント情報等がハニートークンとして用いられる^[^380]。

サンドボックス[編集]

サンドボックス︵砂場︶は隔離環境の事で、セキュリティ分野では、︵不正な振る舞いをするかもしれない︶プログラムをサンドボックス内で実行することで、そのプログラムの影響がサンドボックスの外に及ばないようにする目的で用いられる。隔離環境で実際にプログラムを実行してみる事により、従来のシグナチャ型マルウェア対策ソフトでは検知できなかったマルウェアを検出できる^[381]。ただし、プログラムを実行して確認してみるという性質上、シグナチャ型のものよりも解析に時間がかかる^[381]。マルウェアの中にはサンドボックスへの対抗策が施されているものもある。対抗策としては例えば以下のものがある‥ ●マルウェアがサンドボックス内に置かれている事を察知してサンドボックス外とは振る舞いを変える^[381] ●特定の時間しか動作しないようにしてサンドボックスでの検出を逃れる^[381] ●ファイルレスマルウェア︵＝メモリ上にのみ存在しファイルとしては存在しないマルウェア︶を用いる事により、ファイルを対象にするサンドボックス製品から逃れる^[382]。

SOAR[編集]

SOAR︵Security Orchestration Automation and Response、セキュリティのオーケストレーションと自動化によるレスポンス^[383]︶はいわば﹁次世代SIEM﹂に位置づけられる製品群で^[384]^[385]、ガートナーの定義によれば、﹁セキュリティの脅威情報やアラートを異なる情報源から集める事を可能にするテクノロジーで、標準化されたワークフローに従って標準化されたインシデントレスポンス活動を定義し、優先度付けし、駆動するのを手助けするために、インシデント解析やトリアージが人間とマシンの協調を梃子にして行われるもの﹂^[384]の事である。多くのSOAR製品はダッシュボード機能やレポート機能を持っており^[384]、インシデントレスポンスや脅威情報の機能を持っているものもある^[384]。また分析官の手助けをするために機械学習の機能を備えているものもある^[386]。

Breach & Attack Simulation (BAS)[編集]

BASは仮想的な攻撃を行う自動化ツールであり^[387]、その概念はガートナーが2017年に提唱された^[388]。ガートナーの定義によればBASは﹁ソフトウェアのエージェント、仮想マシン、ないしそれ以外の手段を用いる事により、企業のインフラに対する (内部の脅威、ラテラルムーブメント、データ抽出(exfiltlation)を含む︶全攻撃サイクルの継続的かつ一貫したシミュレーションを行う事を企業に可能にする﹂技術を指す^[388]。 BASはシミュレーションにより企業のセキュリティ上の脅威を顕在化させたり、レッドチームやペネトレーションテストを補完するためにSOCの人員によって用いられたりする^[388]。

サイバーキルチェーンとの対応[編集]

以下のようになる^[47]^[45]^[389]^[390]^[391]


			検出^[45] Detect^[389]	拒否^[45] Deny^[389]	中断^[45] Disrupt^[389]	低下^[45] Degrade^[389]	欺き^[45] Deceive^[389]	含有 Contain^[390]
入口対策		偵察	Web分析	FW ACL				FW ACL
		武器化	NIDS	NIPS	インライン型マルウェア対策ソフト	e-メールの遅延転送		NIPS
		配送	ユーザの慎重さ	プロキシフィルタ				アプリケーションFW
		攻撃	HIDS	ベンダーパッチ	EMET、DEP			ゾーン内のNIPS
		インストール	HIDS		マルウェア対策ソフト			EPP
	出口対策	遠隔操作	NIDS	FW ACL	NIPS	Tarpit	DNSリダイレクト	TrustZone
	内部対策	目的実行	ログ監査			QoSのスロットル率制限^[392]	ハニーポット	TrustZone

サイバーキルチェーンの原論文に載っているのはdetect、deny、disrupt、degrade、deceive、destroyの５つであり^[391]、これはアメリカ合衆国国防総省のInformation Operations方針に載た軍事の分野の対策手段をAPTにも適用したのである^[391]。ただし原論文でdestroyは空欄であったので^[391]、上の表からは省いた。また文献^[389]^[390]を参考にして他の列を加えた。

主なセキュリティツール・サービスの一覧[編集]

日本ネットワークセキュリティ協会（JNSA）はセキュリティのツール・サービスを以下のように分類している


分類^[393]	具体例、解説^[393]
統合アプライアンス	複数のセキュリティ機能をあわせ持つツール
ネットワーク脅威対策ツール	ファイアウォール、アプリケーションファイアウォール
	VPN
	IDS/IPS
コンテンツセキュリティ対策製品	マルウェア対策
	スパムメール対策、メールフィルタリング
	URLフィルタリング
	DLP
アイデンティティ・アクセス管理製品	個人認証システム(例：ワンタイムパスワード、ICカード等による本人確認)、生体認証システム
	アイデンティティ管理製品
	ログオン管理・アクセス許可製品
	PKI関連
システムセキュリティ管理製品	セキュリティ情報管理
	脆弱性管理
	ポリシー管理、設定管理、動作監視制御
暗号製品	-
情報セキュリティコンサルテーション	情報セキュリティ、情報セキュリティ管理全般のコンサルテーション
	情報セキュリティ診断・監視サービス
	情報セキュリティ関連認証・審査・監査の機関・サービス
セキュアシステム構築サービス	ITセキュリティシステムの設定・仕様策定
セキュアシステム構築サービス	ITセキュリティシステムの導入・選定支援
セキュリティ運用・管理サービス	セキュリティ統合監視・運用支援サービス（SIEMの運用など^[394]）
	各種セキュリティ製品（ファイアウォール、IDS/IPS、マルウェア対策、フィルタリング）の監視・運用サービス
	脆弱性検査サービス（ペネトレーションテスト、ソースコード解析など^[394]）
	セキュリティ情報支援サービス
	電子認証サービス
	インシデント対応サービス
情報セキュリティ教育	-
情報セキュリティ保険	-

APT対策[編集]

APT対策のためのシステム設計[編集]

コネクトバック通信対策[編集]

C&Cサーバとのコネクトバック通信ではhttpやhttpsを使う事が多いので^[395]、透過型プロキシは通過してしまう^[395]。このため透過型でないプロキシを立て、ユーザ端末のブラウザのプロキシ設定をオンにし^[395]、プロキシを経由していない通信はファイヤーウォールでインターネットに接続前に遮断する必要がある^[395^]。アプリケーションの更新などはWSUSのような中間配布サーバを立てるか、個々のアプリケーションに対してプロキシを指定する^[39^5]。後者の場合、通信ログからファイヤーウォールで遮断されたアプリケーションを特定してホワイトリストをチューニングする必要がある^[395]。またマルウェアの中にはプロキシに対応したものもあるので^[396]、プロキシの認証機能を有効にし^[396]、ユーザ端末のブラウザ側でもID/パスワードのオートコンプリート機能を禁止する必要がある^[^396]。プロキシはディレクトリサービスと連動するなどしてユーザ単位の認証ができるものが望ましい^[396]。またActive Directoryを使えば配下にある端末のオートコンプリート機能を一括で禁止できる^[396]。ドメインと連携したシングルサインオン機能を使っている場合はコネクトバック通信も自動的に認証を通ってしまう可能性があるので^[396^]、プロキシの認証ログを監視し、︵窃取されたユーザIDの使い回しによって︶異なるユーザ端末から同一の時間帯に同一ユーザIDによる認証が異なるIPアドレスから行われていないか、業務時間外などの不自然な時間帯に特定端末で定期的に認証がなされていないかといった事を、検知ルールにより自動的にチェックする仕組みを作る必要がある^[396^]。またマルウェアはC&Cサーバとのセッションの維持のためCONNECTメソッドを悪用する事があるので、プロキシのアクセス制御リストにより、業務に必要なポート(httpの80番やhttpsの443番)以外のCONNECTメソッドを遮断する必要がある^[397]。さらにログの監視ルールを作ることで、長期間維持されているセッションや不自然な時間帯のセッションを遮断する必要がある^[397]。マルウェアの中には切断されたセッションを規則的に再接続するものがあるので、ファイヤーウォールのフィルタリングでセッションを強制遮断する事によりそうしたマルウェアを発見できる^[397]。

ラテラルムーブメント対策[編集]

攻撃者がラテラルムーブメントを行う目的として、運用サーバやそれを管理する端末に侵入するというものがある^[398]。そこでユーザ端末のあるセグメントと運用管理セグメントをLANポートレベルで分離し、ユーザ端末のセグメントから運用管理セグメントへの通信を遮断する必要がある^[398]。さらにサーバの管理者には通常業務に使う端末とは別に運用専用端末を用意して、運用管理セグメントには運用専用端末からのみアクセスするようにする事で、管理者の端末を経由してユーザ端末セグメントから運用管理セグメントに侵入されるのを防ぐ^[39^8]。運用専用端末がマルウェアに感染しないよう、運用専用端末からはインターネットに接続できないようにする必要がある^[398]。リモートからの管理を許容しなければならない場合は、リモート管理を行う端末をユーザ端末セグメントにおき、運用管理セグメントの入口に認証と操作ログ管理機能を持ったトランジットサーバを置く^[398]。部署をまたいだラテラルムーブメントを防ぐため、部署や業務内容毎にネットワーク分離をする必要がある^[398]。また攻撃者はWindows端末の管理共有サービスを利用して、攻撃ツールを他の端末に仕込み、タスクスケジューラやPsExecを用いてその不正ツールをリモート実行するので^[399]、端末の管理共有サービスを無効にする必要がある^[399]。業務上管理共有を無効にできないサーバに関しては、Windowsサーバ側でタスクスケジューラやPsExecのリモート実行を検知する為、それぞれタスク追加イベントのID 106、サービス追加イベントのID 7045を監視する必要がある^[400]。Active Directoryを使えば、配下のWindows端末の管理共有サービスを一括で無効にできる^[399]。またActive Directoryにより、配下のWindows端末のWindows ファイアウォールを一括で有効にできる^[399]。 Active Directoryの認証失敗時のログを取得できるよう設定し^[400]、ユーザ端末セグメントから管理運用セグメントへの認証試行を監視する^[400]。また機密情報等、攻撃者が欲しがる情報を保有している部門のユーザ端末に、管理者権限などの高い権限を持っているかのような名称のトラップアカウントを作り^[400]、トラップアカウントから管理運用セグメントへの認証試行を監視する事で、攻撃者によるユーザ端末の不正利用を検知する^[400]。なお、トラップアカウントのパスワードはActive Directoryで一括変更する事で、無効なパスワードに設定しておく必要がある^[400]。また攻撃者が無作為なIPアドレスを探索しているとすれば、組織内のネットワーク上にデコイサーバを用意し、そこにアクセスしてきた端末を検知するという手段もあるが^[401]、攻撃者が無作為なIPアドレス探索を実際に行っているかは分からないため^[401]、その効果は不明である^[401]。

権限昇格対策[編集]

攻撃者は権限昇格の為ユーザ端末にキャッシュされている管理者権限のアカウント情報を窃取しようとするので^[402]、これを防ぐために、ユーザ端末で使用するアカウント権限を必要最低限にする必要がある^[^402]。具体的には、ユーザ端末で使用するアカウントはDomain Usersグループ︵ユーザ端末の一般ユーザ権限を持つグループ︶に登録していかなる管理者権限を付与せず、ユーザ端末のメンテナンスを行うアカウントはOperatorsグループ︵ユーザ端末のローカル管理者権限を持つグループ︶に登録してDomain Adminsグループなどドメインの管理者権限を持つグループには登録しないようにする^[^402]。またユーザ端末のローカル管理者などそれ以外のローカルアカウントは、トラップアカウント以外原則全て無効にする^[402]。ドメイン管理者アカウントは可能な限り利用しないようにし、ドメイン管理者権限が必要な作業を運用記録として管理し、Active Directoryの認証ログと月に一度など定期的に突き合わせて、ドメイン管理者権限の不正利用がないか確認する必要がある^[402]。運用記録の負荷軽減のため、システム管理製品のメッセージ監視機能等を使ってActive DirectoryのDomain Adminsグループのログイン履歴を監視し、ログインした事実を管理者に送信する事で実作業と突き合わせるようにするとよい^[402]。

攻撃の検知と把握[編集]

APTの標的となっている組織は、攻撃を検知してからでないと防御を行う事ができないので^[403]、サイバーキルチェーンの早いステージで攻撃を検知する事が重要である。そのために以下で説明するインディケータとプロファイルを作成する事が有益である。

インディケータ[編集]

APT攻撃が行われている事を検知するには、攻撃を客観的に指し示す指標︵インディケータ︶^[57]^[58]に注目する必要がある。インディケータには以下の3種類がある^[58]‥


名称（日本語）	名称（英語）	概要	具体例
基本的インディケータ^[404]	atomic indicator^[58]	攻撃者の侵入を示す、より小さな情報に細分できない情報^[58]。	IPアドレス^[58]^[404]、URL^[404]、マルウェアのファイル名^[404]、e-メールアドレス^[58]、脆弱性識別子^[58]
複雑なインディケータ^[404]	computed indicator^[58]直訳：算出インディケーター	インシデントに関するデータから導出されたインディケータ^[58]。	マルウェアのハッシュ値^[58]^[404]、（IDSのシグナチャなどに使われる^[404]）正規表現^[58]、C&Cサーバの特性^[404]
パターンによるインディケータ^[404]	behavioral indicator^[58]直訳：行動インディケーター	上記2種類のインディケータを組み合わせたインディケータで^[58]、攻撃者固有の行動様式から観察可能な性質^[404]。大抵の場合、何らかの値や組み合わせ論理で条件付けされている^[58]。例えば「攻撃者は正規表現○○にヒットするネットワークトラフィックにより生成されたバックドアから□□の頻度△△のIPアドレスに侵入し、MD5ハッシュ値が☆☆なものにファイルを置き換える」といったインディケータ^[58]。	標的型メールの特徴^[404]、マルウェアの行動パターン^[404]、マルウェアのアーティファクトからわかる違い^[404]、好んで使用するゼロデイ^[404]、使用するインフラ、ホップポイント（≒踏み台）^[404]、DNSのレジストリの詳細^[404]、レジストラパターン^[404]、ポートのパターン^[404]、標的となる従業員^[404]、標的となるデータ種別^[404]、補完された戦略的ギャップデータ^[404]

どのインディケータがどの攻撃フェーズに対応するのかを明確化する事で、インシデント対応がしやすくなる^[404]。 APT攻撃を特定するには、分析官は特定した攻撃のパターンを解析したり他の組織と強調したりする事でインディケータを明らかにし、それらインディケータをツールなどを使って成熟させ、そしてその成熟させたインディケータを使って攻撃を特定するというサイクルを回す必要がある^[58]。こうしたインディケータは、攻撃目標^[404]、狙われるシステム^[^404]、侵入方法^[404]、攻撃ツール^[404]、攻撃に使う外部資源^[404]、攻撃の痕跡^[404]、テクノロジーギャップ^[4^04]、攻撃者の知識^[404]といったものを分析するために使われる。逆に言えば、こうした事項から逆算して必要なインディケータを割り出す事ができる^[404]。

プロファイルの作成[編集]

APTを行っている攻撃者は、経済的理由から同じ攻撃ツールを使い回すなど一定のパターンを繰り返す傾向があるので^[403]、APTのキャンペーン毎のプロファイルを作り、過去の傾向を統合する事でインディケータを改善し、検知できるステージを早める必要がある^[403^]^[405]。プロファイルの内容を充実させる方法としては、SIEMなどのログ相関分析エンジンを利用して複数の侵入行為に対してサイバーキルチェーンの各ステージにおけるインディケータの類似度を分析する事で攻撃の傾向を掴む^[403]^[405]、というものがある。プロファイルに含むデータとしては例えば、攻撃者の特性^[405]、共犯者^[405]、攻撃者の選好分野^[405]、標的となった文書^[^406]、活動時間帯^[406]、関連インディケータ^[405]、マルウェアやツールキットの分析結果^[406]、このAPTを追跡している他のCERT^[405]、アナリストの任意のメモ^[405]などがある。プロファイルは定期的に見直し^[406]、最新に保つ必要がある。なお、プロファイルが攻撃者に漏れては元も子もないので、プロファイルは極めて機密性が高く保ち、アナリストに必要な場合だけ必要な共有するようにする必要がある^[405]^[406]。

攻撃の予測[編集]

攻撃キャンペーン毎にどの時期にどのくらいの活動をしたのかを明示したヒートマップを作成する事で、APTの長期的な影響を理解し、休止中のAPTが攻撃を再開したときの潜在的予測分析が可能である^[40^7]^[408]。

インシデント対応における調査[編集]

インシデント対応時に対策側が把握すべき事は以下の4つのフェーズに分類できる^[409]‥


フェーズ	知るべき事	調査対象
攻撃の有無の把握	攻撃メールか否か	メール、不審なファイル
感染の有無の把握		PCの永続化、PCの実行痕跡、PCの感染頻出箇所、プロキシサーバ、ファイヤーウォール
被害状況の把握	通信先、侵入元、被害範囲、情報漏えい状況	メールサーバ、プロキシサーバ、DNSサーバ、ファイヤーウォール、同一セグメントのPC、組織内のPC・サーバ、Active Directoryの侵害状況、ファイルサーバの侵害状況、初期感染の徴候、感染したPC・サーバの詳細調査とフォレンジック
対策の有効性の把握		プロキシサーバ、DNSサーバ、ファイヤーウォール

以上の調査のため、下記のものを調べる必要がある^[409]：


調査対象	調査箇所
メール	不審なファイル
メールサーバ	メールログ
DNSサーバ	クエリログ
プロキシサーバ	アクセスログ
Active Directory	レジストリ、ファイルシステム、イベントログ
PC	レジストリ、ファイルシステム、イベントログ
PC	ネットワーク接続情報^[410]

感染の把握の有無や被害範囲を把握する目的で行う調査としては下記のものがある^[411]：


評価対象	実施内容
感染頻出箇所	不審ファイル・攻撃ツールの有無
永続化設定	感染頻出箇所の抽出、既知攻撃類似点の抽出、公開情報との比較、実フォルダ確認
実行痕跡	バイナリ解析（可読化）、感染頻出箇所の抽出、実フォルダ確認、不審ファイル・攻撃ツールの有無
外部通信	通信先の抽出、公開情報との比較

感染頻出箇所の調査[編集]

前述したマルウェアが保存されやすい箇所を調べる事でマルウェアの痕跡が発見できる可能性がある^[103]。

永続化の痕跡の調査[編集]

マルウェアの永続化の痕跡を以下の方法で発見できる可能性がある^[412]


永続化方法	調査方法
スタートアップ起動プログラム	レジストリ操作ツール
サービス起動プログラム
スタートアップフォルダ
スタートアップフォルダ	レジストリ操作ツール、リンクファイル情報の収集、PowerShell によるリンクファイル内容の収集
タスクスケジューラ	タスク管理ツール

レジストリ情報はreg.exeで収集可能である^[412]。調査すべきレジストリの詳細は文献^[413]を参照されたい。

実行痕跡の調査[編集]

マルウェアなどアプリケーションを実行した痕跡が残る代表的な箇所として下記のものがある^[103]：


実行痕跡	概要
Prefetch Files	C:\Windows\Prefetch フォルダのpfに最近128個のアプリケーション起動時の各種情報（起動時の読み込みファイル、実行回数等）が保持されている。
最近使ったファイル	C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recentフォルダにlnkファイルとして最近エクスプローラー経由で使ったファイル名が保存される。
最近使ったOffice ドキュメント	C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Office\Recentフォルダにlnkファイルとして最近使ったOfficeドキュメントが保管されている。
AppCompatCache	レジストリHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCacheに最近1024 個のアプリケーション実行時のキャッシュ情報（フルパスを、実行ファイル名、最終更新日、サイズ、ファイルの実行可否など）が保存されている。
UserAssist	レジストリHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssistにエクスプローラー経由で実行したプログラム情報が保存されている。
RunMRU	レジストリHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRUに「ファイル名を指定して実行」で実行したプログラム情報が保存されている。
TypedURLs	レジストリHKEY_CURRENT_USER\Software\SOFTWARE\Microsoft\Internet Explorer\TypedURLsにInternetExplorer でアクセスした直近のURL（25 個~50 個）が保存されている。

AppCompatCacheやUserAssistはそのままでは可読でないので、何らかの可読化ツールで可読にする必要がある^[41^4]。AppCompatCacheの可読化ツールとしては例えばShimCacheParser.pyがある^[414]。またNTFSのUSNジャーナルやマスターファイルテーブルにも実行痕跡が残るし^[202]、ネットワークにも実行痕跡が残るのでパケットキャプチャによりその痕跡を探る事ができる^[202]。他にも以下のような実行痕跡を調査する必要がある‥ ●攻撃者はラテラルムーブメントの際、攻撃ツールをPsExecでリモート実行する事が多いので^[400]^[415]、レジストリKEY_USERS\SID\Software\Sysinternals\PsExecを調査する事でその実行痕跡を調査する必要がある^[415]。 ●攻撃ツールが実行環境に合わずにクラッシュしてその痕跡を残す可能性があるので、C:\ProgramData\Microsoft\Windows\WER\ReportArchiveからアプリケーションのクラッシュ情報を調査する必要がある^[416]。

外部通信の調査[編集]

外部通信情報はDNS キャッシュとネットワーク接続情報から取得する^[410]。前者はipconfig /displaydnsコマンドにより、後者はnetstatコマンドにより取得できる^[410^]。

脅威インテリジェンス[編集]

脅威インテリジェンス︵スレットインテリジェンス、セキュリティインテリジェンスとも^[417]︶はガートナーの定義によれば、資産に対する既存もしくは今後発生する危険への対応の意思決定を知らせる事に使う事ができる証拠に基づいた知識で、例えば文脈、メカニズム、インディケーター、含意(implication)、および実行可能なアドバイスなどを含む^[418]。APT対策には脅威インテリジェンスが重要である^[407]。

脅威インテリジェンスサービス[編集]

脅威インテリジェンスサービスとは、脅威および脅威因子を複数の情報源から収集し、それを分析したりフィルタリングしたりしてセキュリティ管理システム用の管理レポートやデータフィードとして提供するサービス全般を指す^[417]。一般的な有償サービスでは、データフィード以外に、顧客のリスク状態に合わせてカスタマイズしたアラートや定期的な脅威レポートも提供し^[417]^[419]、これにより顧客が脅威情報収集に費やすリソース︵時間、労力、専門知識等︶を減らす^[4^17]。脅威インテリジェンスのサービス提供者はインターネットを監視してどのIPアドレスがどのIPアドレスとどんな通信を行っているのか、どのIPアドレスがどんなウィルスを配布しているかなど、IPアドレス間の関係性や悪質度を解析する^[420]。さらに不正プログラムの情報^[420]、脆弱性情報^[420]、ダークウェブなどアンダーグラウンドのコミュニティで取引されている違法な商品やサービス^[421]、それらを扱っている組織や人物像^[421]、諸外国のサイバー攻撃の情報^[421]なども用いて解析を行う。そして顧客に例えばフィッシング詐欺で用いられるなど悪意のある使われ方をしたりするIPアドレス、ドメイン、URLの情報、マルウェアのハッシュ値などをデータフィードとして提供する^[419]。

STIX[編集]

詳細は「Structured threat information expression」を参照

SXIX(Structured Threat Information eXpression、脅威情報構造化記述形式)はサイバー脅威インテリジェンスを機械可読な方法で他者と共有するための仕様であり^[422]^[423]、セキュリティコミュニティが攻撃をより理解し、攻撃への準備や対応をよりうまく、早く、正確に行う事を可能にする^[423]。なお、STIXのバージョン1はXML形式で脅威インテリジェンスを記述していたが、バージョン2ではJSON形式で記述する^[424]。

TAXII[編集]

TAXII︵Trusted Automated Exchange of Intelligence Information^[425^]、検知指標情報自動交換手順^[426]︶はSTIXで記述された脅威インテリジェンスをHTTPS上でシンプルかつスケーラブルな方法で通信するためのプロトコルである^[425]。

CISO[編集]

CISO︵Chief Information Security Officer、最高情報セキュリティ責任者︶は企業などで情報セキュリティを統括する役員のことで^[427]^[428]、サイバーセキュリティ対策に関する全社的統括に業務責任を負っている^[429]。それ以外にもIT戦略︵コンプライアンス、リスクマネジメントに関するセキュリティ対策、セキュリティ実施計画やルール策定等︶^[429]、システム企画におけるセキュリティ実装計画^[429]、IT環境における事業継続計画^[429]、ディザスタリカバリ^[429]、情報セキュリティマネジメント^[429]に関して支援・補佐する。主な業務内容はセキュリティポリシーの策定^[428]、個人情報の扱い運用やその監査^[428]、コンピュータのセキュリティ対策^[42^8]、機密管理規程の策定^[428]、リスク管理^[428]、情報漏洩事故の防止^[428]、有事の際の対応^[427]などを統括する事である。なお個人情報に関しては﹁CPO﹂(Chief Privacy Officer‥最高プライバシー責任者)という役職を別に授ける事もある^[427]。情報システムの企画、導入、運用、更新を統括するCIO(Chief Information Officer‥最高情報責任者) とは別の役職であるが^[427]、兼任する場合もある^[^427]。またCSO (Chief Security Officer‥最高セキュリティ責任者) は日本ではCISOと同義である事が多いが^[427]、海外ではCISOとは別で、全社的な保安対策を担当を統括する役職を指す^[427]。﹁サイバーセキュリティ経営ガイドライン Ver 3.0﹂によると、経営者は、以下の重要10項目について、CISO 等への指示を通じて組織に適した形で確実に実施させる必要がある^[430]‥


経営者が認識すべき３原則	分類	サイバーセキュリティ経営の重要１０項目
経営者がリーダーシップをとったセキュリティ対策の推進	サイバーセキュリティリスクの管理体制構築	1	サイバーセキュリティリスクの認識、組織全体での対応方針の策定
		2	サイバーセキュリティリスク管理体制の構築
		3	サイバーセキュリティ対策のための資源（予算、人材等）確保
	サイバーセキュリティリスクの特定と対策の実装	4	サイバーセキュリティリスクの把握とリスク対応に関する計画の策定★
		5	サイバーセキュリティリスクに効果的に対応する仕組みの構築★
		6	PDCA サイクルによるサイバーセキュリティ対策の継続的改善
	インシデント発生に備えた体制構築	7	インシデント発生時の緊急対応体制の整備★
	インシデント発生に備えた体制構築	8	インシデントによる被害に備えた事業継続・復旧体制の整備★
サプライチェーンセキュリティ対策の推進		9	ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
ステークホルダーを含めた関係者とのコミュニケーションの推進		10	サイバーセキュリティに関する情報の収集、共有及び開示の促進

これらは、単に指示すればよいのではなく、組織のリスクマネジメントの責任を担う経営者が自らの役割として実施方針の検討、予算や人材の割当、実施状況の確認や問題の把握と対応等を通じてリーダーシップを発揮することが求められる。経営者はCISOを任命し、CISOが策定したサイバーセキュリティ対応方針や実施計画を承認する^[431]。策定したセキュリティ対応方針は組織の内外に示す^[432]。上述の表にあるように、CISOは自身を中心としたサイバーセキュリティリスク管理体制を構築し、経営リスク委員会等他の体制と内部統制、災害対策等について整合を取る必要がある^[433]。また﹁★﹂がついている項目はCSIRTなどのセキュリティ対応部門に実務を担わせる^[433]^[434]。

SOCとCSIRT[編集]

業務内容と対応組織[編集]

企業などに存在するセキュリティ対応組織には、SOCとCSIRTの2種類が存在し、これら2つの主な仕事は以下の2点に集約される^[6^]‥ ●インシデント発生の抑制 ●インシデント発生時の被害最小化セキュリティ対応組織の実務は、体制の検討、構築、見直しといった導入のフェーズ、概ね平時に行われる運用のフェーズ、インシデントが発生した﹁有事﹂においてインシデントに対応するフェーズからなる^[4^35]。全体の運営は、短期に回す運用・対応のサイクルと、この短期サイクルを踏まえて導入の見直しを行う長期サイクルからなっている^[^435]。以上の業務をSOC、CSIRTという2種類の組織で行う。これら2つ組織の役割分担や関係性、業務内容等は企業毎に異なるが^[205]、それぞれ概ね以下のような仕事を担う‥


組織名	主な業務
SOC	概ね平時の営みの分析運用を行う^[206]。組織のセキュリティに関するセンサー的な役割を担い^[436]、インシデント検知のための分析、セキュリティ対応システムの監視やメンテナンスなど、^[207]。狭義にはリアルタイムアナリシスとディープアナリシスを担当する^[206]。
CSIRT	概ね有事の営みを担当し、インシデント対応を行う^[207]。

文献^[437]は、CSIRTがインシデントに対して行なう活動全般をインシデントマネジメントと呼び、インシデントマネジメントには、有事の対応に相当するインシデントハンドリング以外に以下の活動が含まれるとしている^[437]‥ ●脆弱性対応︵パッチの適応等︶ ●事象分析 ●普及啓発 ●注意喚起 ●その他インシデント関連業務︵予行演習など︶

種別[編集]

CSIRTには、企業などの組織内に存在する組織内CSIRTの他に、国や地域を代表する国際連携CSIRTや、JPCERT/CCのように複数のCSIRTの連携を行うコーディネーションセンターなどがあるが^[438]、本項では特に断りがない限り組織内CSIRTに関して述べるものとする。またSOCには自組織で運営するものと、専門業者に外部委託するものがある^[439]。両者を区別する場合、自組織で運営するものをプライベートSOCと呼ぶ^[439]。一方、SOC機能等の外部委託先となるセキュリティサービスとしてMSS︵Managed security service︶があり^[440]、MSSを提供する事業者をMSSプロバイダー︵MSSP︶と呼ぶ^[440]。MSSPは例えば以下の機能を提供している‥ ●SOC機能^[440] ●リモートでシステムのセキュリティをリアルタイムに監視^[440] ●セキュリティ対策装置の運用^[440] ●セキュリティインシデント発生時の対応支援を提供する^[440] セキュリティ対策装置の攻撃アラートの検知時には、その内容を調査・分析して重要度や影響度を契約企業に通知し、対応を実施する^[440^]。またセキュリティ対策装置の運用の一環として、装置のソフトウェア更新を行ったり、ポリシー設定やシグネチャの変更や更新を行ったりする^[440]。さらに稼動状況や対応作業の報告を行ったり、リアルタイムに状況をレポートしたり、契約企業からの問い合わせ対応を行ったりもする^[440]。なおMSS事業者の呼称は業者毎に異なっており、﹁MSSP﹂以外にも﹁MSP︵マネージドサービスプロバイダー︶﹂、﹁MSSP︵マネージドセキュリティサービスプロバイダー︶﹂、あるいは単に﹁SOC﹂等とも呼ばれる^[440]。またMSSPの業態には、専業事業者以外に、SIer、ISP、ハードウェアベンダがサービスを提供する場合もあり^[440]、サービス内容としてMSS以外にITシステムの運用や機器の稼働監視提供している場合がある^[441]。またMSS は24時間365 日体制で提供される場合が多い^[441]。

リアルタイムアナリシス[編集]

SOCに求められる主な機能の一つで、ログを参照監視してインシデントの予兆を発見する^[444]^[445]。監視するログとしては主に以下のものがある^[444]^[445]‥ ●ファイアウォールなどのネットワーク装置のログ ●IDS/IPS、WAFといったセキュリティ機器のアラートログ ●Webサーバなどのアクセスログ ●Active DirectoryやDNSなど各種システムからのログ ●ユーザ利用端末のログ SIEMのようにログを収集・正規化し、複数のログを相関分析する機器を用いる事で、職人芸的なログ分析能力などの属人性を廃して膨大な量のログを分析する^[444]^[445]。ログの分析は以下の2つをトリガーとして行う^[444] ●セキュリティ機器のルールやシグネチャ条件に合致したイベントの発生によるアラートをトリガーにして分析を開始する^[444]、 ●一つのログを定点観測する事で、時間あたりのログの量が急激に増えるなどの現象をトリガにして分析を開始する^[444]。上述した分析だけでは不足する場合は、詳細な分析として以下を行う^[^445]‥ ●専用のネットワークキャプチャ装置やセキュリティ装置を用いたパケットキャプチャ^[445] ●エンドポイントやサーバから必要なデータを取得^[445] 以上に加えリアルタイムアナリシスでは、トリアージ︵後述︶に必要となる情報の収集を行う^[445]。 SOCにはその活動内容の報告が求められ、定期報告と必要に応じた臨時報告を行う^[445]^[446]。定期報告は大手ソフトウェアメーカーが定期的にパッチをリリースする1週間後程度を目安として行われる事が多い^[446]。報告内容は被害端末の情報、攻撃手法、攻撃経路、情報漏えいの有無、影響度、すぐに行うべき短期的な対処策等である^[445]。不明なものは不明と明記する事が望ましい^[445]。また分析に関する問合せ対応も行う必要がある^[445]。

インシデントハンドリング[編集]

CSIRTに求められる主な機能の一つで、インシデントの発生確認、迅速な封じ込め、影響範囲特定とその文書化、全容解明、復旧といった技術より作業の他に^[447]、ビジネスやネットワークに及ぼす混乱を最小限にとどめ、インシデントに対する世間の認識をコントロールし、犯人に対する訴訟の準備をするといった作業も含まれる^[447]。インシデントハンドリングは技術的な作業のみにとどまらないので、一般的に ●何が発生したのかを判断して損害を評価する調査チーム ●攻撃者を排除して被害者のセキュリティ体制を強化する修復チーム ●何らかの形の︵経営層、社員、ビジネスパートナー、一般に対する︶広報活動で構成される^[448]。インシデント管理責任者はCISO、CIO、もしくは彼らから直接任命を受けた人物がその任務にあたる^[449]。 CSIRTはインシデントと思しき情報をユーザやSOC、外部組織等から検知／連絡受付したら、その情報をトリアージし、対応すべきと判断したインシデントに対してインシデントレスポンスを行い^[450]、最後に報告／情報公開を行う^[450]。

検知／連絡受付[編集]

インシデントと思しき情報は自組織内部の保守作業で発見される場合、IDSのような何らかの異常検知システムで発見される場合、外部からの連絡により発見される場合の3通りがある。よってCSIRTは、 ●保守作業で発見されるケースが増えるよう、インシデントの検知に必要なチェック項目とチェック方法を予め定めておく必要がある^[45^1]。 ●保守作業ないし異常検知システムでインシデントと思しき情報が発見された場合に備え、何を持って異常とするのかを事前に定めておく必要がある^[451]。 ●外部からの連絡が増えるよう、事前に問い合わせ窓口を用意し、自組織のWebサイト等で公開しておく必要がある^[451]^[452]。またWHOISにCSIRTのグループアドレスを登録してメンバの誰でも対応できるようにする必要がある^[451]^[452]。

トリアージ[編集]

CSIRT のリソースを有効に使うため、対応すべきインシデントの優先度付けを行うフェーズである^[453]。そのために、何を守るべきか等の活動ポリシーを明確化し、事前にトリアージの判断基準を決めておく^[453]。インシデントと思しき情報があったら情報提供者から必要情報を入手し^[453]、5W1Hを整理する︵﹁Why﹂は後回しでも良い^[45^3]︶。そして単なる勘違いでないか、CSIRT の対応すべきか等を判断する^[453]。対応する場合は後述するインシデントレスポンスを行う。対応しないと判断したら、セキュリティポリシーに照らして可能な範囲で情報提供者や関係者等に回答する^[453]。対応の有無にかかわらず、必要に応じて注意喚起等の情報を発信する^[453]。なお本稿では文献^[453]に従ってトリアージをインシデントハンドリングに含めたが、文献^[445]ではトリアージをリアルタイムアナリシスに含めている。

インシデントレスポンス[編集]

トリアージの結果、CSIRTが対応すべきと判断したケースにおいて、インシデントに対応するフェーズである。まず事象を分析して、CSIRTで対応すべきか、技術的な対応が可能か等を冷静に再判断し^[454]、対応が必要だと判断した場合は対応計画を策定し^[454]^[455]、具体的な対応活動・攻撃の抑止措置を取る^[455]。この際必要に応じてIT関連部署や外部組織と連携し^[454]^[456]、経営層と情報共有し、外部の専門機関等に支援を依頼する^[454]。対応が終了したら、セキュリティポリシーに照らして可能な範囲で情報提供者や協力者等に回答する^[454]。調査では、攻撃経路、使われた攻撃ツール、被害を受けたシステム、攻撃の手口、攻撃者が達成したことなどを特定し、被害の評価を行い、さらにインシデントが行われた期間はいつか、インシデントが継続中か否かといった事も特定する^[456]。優先度の低いインシデントは電話やメールでリモート対応する^[456^]。リモート対応ができないときや、厳格な証拠保全が必要な場合は、物理的拠点に直接向かい、オンサイトで対処を行う^[456]。なお詳細な分析に関してはディープアナリシスの節で記述する。このフェーズでは、調査や訴訟のために証拠を保全する事を重要である^[457]。またインシデント対応が完了するまで、インシデント分析の進捗状況などの対応状況の管理をする必要がある^[452]。

報告／情報公開[編集]

必要に応じ、プレスリリース、監督官庁への報告、組織内部への情報展開等を行う^[458]^[456]。

ディープアナリシス[編集]

インシデントの全容解明と影響の特定のため、被害を受けたシステムの調査、漏えいしたデータの確認、攻撃に利用されたツールや手法の分析などを行う^[459]。具体的には ●ネットワークログ、PCAP、その他リアルタイム分析の対象ではないログを用いたネットワークフォレンジック^[460] ●被害に遭ったマシンのメモリや記憶媒体を用いたデジタルフォレンジック^[460] ●マルウェアの検体解析^[460] 等を行う事で攻撃の全容を解明し^[460]、犯罪捜査や法的措置を行う可能性がある場合は証拠を保全する^[460]。文献^[461]ではディープアナリシスをSOCの業務としている。

全般的な運営[編集]

方針策定[編集]

以下を策定し、必要に応じて改善する‥ ●取り扱うべき事象、対応範囲、運営体制、行うべき取り組みなどの全体方針^[462] ●インシデント発生時、脆弱性発見時、脅威情報発見時のトリアージ基準とそれぞれに対する具体的なアクションの方針^[462] ●体制、業務プロセス、システム、人材育成、キャリアパスなどの全体像の把握と立案^[462]

全般的な運用業務[編集]

●人員等のリソース管理^[462] ●人材確保^[463] ●対応の効果測定と品質改善^[462] ●ネットワークやエンドポイントのセキュリティ機器の運用管理、分析基盤、アナリシスツール、業務基盤等の運用管理^[464]

その他の業務[編集]

SOC・CSIRTの業務として、以上に挙げたもの以外に以下のものがある。

資産管理[編集]

防御対象となるサーバ、端末、ネットワーク装置などの資産やネットワーク構成を把握する^[465]。把握した情報は、脆弱性管理、分析、インシデント対応等に利用する^[465]。

脆弱性管理・対応[編集]

資産管理の結果得られた資産リストに関する脅威情報を収集し、対応が必要な資産を特定し、その資産の管理部門に通達する^[465]。さらに脅威への対応状況を管理する^[465]。この目的のためにプラットフォーム診断、Webアプリケーション診断などを自動脆弱性診断ツールで実行する他^[465]、必要に応じて手動の脆弱性診断を行う。

情報収集・注意喚起[編集]

下記の情報を収集する‥ ●内部インテリジェンス︵リアルタイム分析やインシデント対応に関する情報︶^[466] ●外部インテリジェンス︵公開された新たな脆弱性情報、攻撃動向、マルウェア挙動情報、悪性IPアドレス/ドメイン情報など︶^[466] これらの情報を定期的にドキュメント化し、周知する^[466]。重大な脆弱性等に関しては速報も出す必要がある^[466]。

予行演習・社員教育・普及啓発等[編集]

●標的型メール訓練の実施^[465] ●ソーシャルエンジニアリングテストの実施^[465] ●攻撃が起きたという想定でのサイバー攻撃対応演習とその結果の反映^[465] ●社内研修・勉強会の実施ないしその支援^[463] ●社内セキュリティアドバイザーとして活動^[463]

内部統制支援[編集]

内部統制の監査データで必要となるログの収集と報告、内部不正が発覚した際の支援、内部不正の検知や防止の仕組みの確立支援等を行う^[4^63]。

社内外の組織との連携[編集]

利用しているセキュリティ製品・サービスの提供元との情報交換や、セキュリティ対応を行っている組織の集まりにおける情報交換など^[46^3]。CSIRTによるコミュニティとしては、例えばFIRST (Forum of Incident Response and Security Teams)、APCERT (Asia Pacific Computer Emergency Response Team)、日本シーサート協議会などがある^[467]。

PSIRT[編集]

PSIRT︵Product Security Incident Response Team︶は﹁組織が開発・販売する製品、ソリューション、コンポーネント、サービスなどの、脆弱性リスクの特定や評価、対処に焦点を当てた﹂組織内機能で^[468]﹁自社製品の脆弱性への対応、製品のセキュリティ品質管理・向上を目的﹂とする^[469]。 PSIRTと組織内CSIRTの違いは、前者はその活動の中心が製品のセキュリティであるのに対し、後者は組織のインフラを構成するコンピュータシステムやネットワークのセキュリティに重きを置いている点にある^[469]。ただしPSIRTは組織内CSIRTと協調する事で相乗効果を発揮する^[469]。 PSIRTの組織構造は﹁分散モデル﹂、﹁集中モデル﹂、﹁ハイブリッドモデル﹂に分類できる^[470]。分散モデルでは、﹁PSIRT 自体はごく小規模な組織であり、製品開発チームの代表者と協力して脆弱性に対処する﹂^[470]。分散モデルでは脆弱性のトリアージや修正プログラム提供は製品開発チームが行い^[470]、PSIRTはそのための支援やガイドラインの作成等を行う^[470]。集中モデルではPSIRT は多くのスタッフを抱え、﹁各部門から選抜されたスタッフが組織の製品セキュリティを担当する上級幹部に報告する﹂^[470^]。脆弱性のトリアージや修正プログラム提供はPSIRTがチケッティングシステムを管理してリーダーシップを発揮する^[470]。ハイブリッドモデルは両者の中間形態である^[470]。﹁組織の規模が大きく、多様な製品ポートフォリオを持つ組織﹂^[47^0]は分散モデルが適している。一方﹁より小さい組織や同種の製品ポートフォリオを持つ組織﹂^[470]では﹁高度なセキュリティスキルと専門知識を1つの領域に集中﹂^[470]できる集中モデルが適している。 PSIRTの活動内容はCSIRTのそれとかぶる部分も多いが、開発関係者との連携^[471]、製品のライフサイクル・リリースタイミング・サービスレベルアグリーメントを意識したセキュリティ確保^[47^2]、脆弱性発見者との交流^[473]、サプライチェーンの上流・下流との交流^[473]、バグバウンティ︵脆弱性報奨金︶の提供^[47^4]もしくはバグバウンティベンダとの交流^[475]など、PSIRT固有の活動もある。

制御システム・IoT機器のセキュリティ[編集]

制御システムのセキュリティ[編集]

制御システムとは、例えば ●エネルギー分野︵電力、ガス等︶、石油・化学、鉄鋼業プラントにおける監視・制御^[476] ●機械・食品等の工場の生産・加工ライン^[476] ●施設管理、鉄道運行管理^[477] などで用いられるシステムの事である。インターネットの普及に伴い、制御システムの機器も汎用で標準的なプロトコルを用いて制御用データを送受信するようになり^[478]、システムにもWindows やUNIXなどの汎用OSが利用されるようになっている^[478]。こうした理由により、制御システムもインターネットを経由したサイバー攻撃のリスクに晒されており、セキュリティ対策が必要となる。制御システムは社会インフラで利用される事が多いので、サイバー攻撃のリスクは大きく、場合によってはサイバーテロの標的になったり、国家によるサイバー攻撃を受けたりする場合もある︵例えばスタックスネットの事案︶。

制御システムの特徴[編集]

制御システムでも情報セキュリティのCIA、すなわち下記の3つは重視される^[10] ●機密性 (Confidentiality): 情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること ●完全性 (Integrity): 情報が破壊、改ざん又は消去されていない状態を確保すること ●可用性 (Availability): 情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保することしかし制御システムのセキュリティでは重要度がC、I、Aの順番ではなく、A、I、Cの順番である^[11]^[12]。また以下のHSEの3つも重視される^[12]^[13] ●健康︵Health︶ ●安全︵Safe︶ ●環境への影響︵Environment︶以下の表は制御システムと情報システムとでセキュリティに対する考え方の違いを整理したものである^[479]‥


	制御システム	情報システム
セキュリティの優先順位	AICの順。継続して安全に動く事を重視。	CIAの順。情報が適切に管理され、情報漏えいを防ぐ事を重視。
保護対象	モノ（設備、製品）、サービス（連続可動）	情報
システムのサポート期間	１０年～２０年	３～５年
求められる可用性	24時間365日安定稼働。（再起動は許容されないケースが多い）	再起動は許容範囲のケースが多い
運用管理	現場技術部門	情報システム部門

CSMS[編集]

一方向性ゲートウェイ[編集]

アプリケーションホワイトリスト[編集]

IoT機器のセキュリティ[編集]

IoT機器とは家電、オフィス機器、自動車、信号機などのモノでインターネットにつながる機能を有しているものを指す。IoT機器はLinuxやWindowsなどの汎用OSがカスタマイズして搭載されている^[480]。IoT機器の多くでは、設定変更を行うためウェブサーバ機能が搭載サれており、他にもFTPやSMBのサーバ機能、メールサーバ機能等が搭載されていることもある^[480]。 IoT機器は出荷した初期設定状態ですぐ利用できる事が想定されているため、初期設定ではログイン認証機能が設定されていないことも多く^[481]、こうしたIoT機器がファイヤーウォールを隔てることなく直接インターネットに接続されることも多い^[481]。このため複合機やウェブカメラから機密情報や個人情報が漏洩したり^[481]、ブロードバンドルーターなどのIoT機器の設定を不正に変更してユーザを悪性サイトに誘導したり^[481]、スパムメール送信やDoS攻撃に利用されるなど攻撃の踏み台にしたり^[481]といったインシデントが起きている。

日本国のサイバーセキュリティ推進体制[編集]

サイバーセキュリティ基本法[編集]

サイバーセキュリティ基本法はサイバーセキュリティに対する脅威の深刻化と内外の諸情勢の変化に伴って2014年に可決、2016年に改正された法律である。この法律の目的はサイバーセキュリティに関する施策を総合的かつ効果的に推進し、経済の向上と持続的発展、国民の安心・安全、国際社会の平和と安全、および日本国の安全保障に寄与する事である︵第一条︶^[482]。またこの法律は、サイバーセキュリティの施策に関する基本理念、国や地方公共団体の責務、サイバーセキュリティ戦略の策定など施策の基本事項を定め、さらにサイバーセキュリティ戦略本部を設置する事を定める︵第一条︶^[482]。

サイバーセキュリティ戦略本部と内閣サイバーセキュリティセンター[編集]

サイバーセキュリティ基本法第24条により内閣にサイバーセキュリティ戦略本部を置く事が定められており^[483]、内閣官房組織令第1条により内閣官房に内閣サイバーセキュリティセンター︵NISC︶を置く事が定められている^[484]。サイバーセキュリティ戦略本部の庶務はNISCが行うこととされている。それぞれの概要は下記のとおりである^[485]^[483]^[486]^[487]‥

組織名	根拠法令	構成員	役割		関連組織
サイバーセキュリティ戦略本部	サイバーセキュリティ基本法第24条	本部長：内閣官房長官副本部長：サイバーセキュリティ戦略本部に関する事務を担当する国務大臣本部員国家公安委員会委員長デジタル大臣総務大臣外務大臣経済産業大臣防衛大臣国務大臣で本部の所掌事務を遂行するために特に必要があると認める者経済安全保障担当大臣東京オリンピック競技大会・東京パラリンピック競技大会担当大臣有識者（10名以下）	以下の事の事務（26条1項）：サイバーセキュリティ戦略の案の作成及び実施の推進政府機関などにおけるサイバーセキュリティに関する対策の基準の作成、およびその基準に基づく施策の評価、監査等の施策の実施の推進政府機関などで発生したサイバーセキュリティに関する重大な事象に対する施策の評価（原因究明のための調査を含む）開催する会議として以下がある：サイバーセキュリティ対策推進会議（CISO等連絡会議）重要インフラ専門調査会研究開発戦略専門調査会普及啓発・人材育成専門調査会		下記と緊密連携を取る国家安全保障会議（NSC）高度情報通信ネットワーク社会推進戦略本部（IT総合戦略本部）
内閣サイバーセキュリティセンター（NISC）	内閣官房組織令第1条	内閣サイバーセキュリティセンター長（内閣官房副長官補が兼務。4条の2第3項）副センター長（内閣審議官）上席サイバーセキュリティ分析官サイバーセキュリティ補佐官	基本戦略グループ	サイバーセキュリティ政策に関する中長期計画や年度計画の立案サイバーセキュリティ技術動向等の調査・研究分析	下記と協力体制を取る：重要インフラ所管省庁金融庁総務省厚生労働省経済産業省国土交通省閣僚本部員6省庁警察庁デジタル庁総務省外務省経済産業省防衛省
			国際戦略グループ	サイバーセキュリティ政策に関する国際連携の窓口機能
			政府機関総合対策グループ	政府機関等の情報セキュリティ対策を推進するための統一的な基準の策定、運用及び監査
			情報統括グループ	サイバー攻撃等に関する最新情報の収集・集約政府機関情報セキュリティ横断監視・即応調整チーム（GSOC）の運用
			重要インフラグループ	重要インフラ行動計画に基づく情報セキュリティ対策の官民連携
			事案対処分析グループ	標的型メール及び不正プログラムの分析その他サイバー攻撃事案の調査分析

サイバーセキュリティ担当大臣[編集]

サイバーセキュリティ戦略本部に関する事務を担当する国務大臣の通称としてサイバーセキュリティ担当大臣と呼ぶことがある。事務局であるNISCは内閣官房に属するが、同国務大臣は担当大臣や内閣府特命担当大臣とも異なる無任所大臣であり、辞令等によってサイバーセキュリティ担当とする補職が行われているものではない。デジタル市場競争本部の設置について︵2019年9月27日閣議決定︶などにおいて、本部員に﹁サイバーセキュリティ戦略本部に関する事務を担当する国務大臣﹂が指定されている。

サイバーセキュリティ協議会[編集]

平成30年のサイバーセキュリティ基本法改正によりその創設が決定された^[488]。その目的は﹁専門機関等から得られた脅威情報を戦略的かつ迅速に共有﹂する事であり^[489]、そのために﹁官民の多様な主体が相互に連携して情報共有を図り、必要な対策等について協議を行う﹂^[489]。NISCと専門機関を事務局とし^[489]、国の行政機関、地方公共団体、重要インフラ事業者、サイバー関連事業者、教育研究機関、有識者等をその構成員とする^[489]。構成員には秘密保持と協議会への情報提供の協力とが課せられる^[489]。

サイバーセキュリティ戦略[編集]

サイバーセキュリティ戦略本部はサイバーセキュリティ戦略というサイバーセキュリティに関する基本的な計画を作り、閣議決定する^[483^]^[490]。その内容は下記のとおりである︵サイバーセキュリティ基本法12条2項︶^[483]‥ (一)サイバーセキュリティに関する施策についての基本的な方針 (二)国の行政機関等におけるサイバーセキュリティの確保に関する事項 (三)重要社会基盤事業者や地方公共団体等におけるサイバーセキュリティの確保の促進に関する事項 (四)その他サイバーセキュリティに関する施策を総合的かつ効果的に推進するために必要な事項

政府統一基準[編集]

サイバーセキュリティ基本法第26条第1項第2号には、サイバーセキュリティ戦略本部がつかさどる事務の一つとして、﹁国の行政機関、独立行政法人及び指定法人におけるサイバーセキュリティに関する対策の基準の作成及び当該基準に基づく施策の評価︵監査を含む。︶その他の当該基準に基づく施策の実施の推進に関すること﹂が定められている^[4^83]。統一基準群は以下の3つの文書の総称である^[491]‥

名称	概要
政府機関等のサイバーセキュリティ対策のための統一規範^[492]	機関等がとるべき対策の統一的な枠組みを定めたもの。
政府機関のサイバーセキュリティ対策のための統一基準^[493]	情報セキュリティ対策の項目毎に機関等が遵守すべき項目を規定することにより、機関等の情報セキュリティ水準の斉一的な引き上げを図ることを目的とするもの。
政府機関等の対策基準策定のためのガイドライン^[494]	統一基準の遵守事項に対応した基本対策事項を例示したもの。併せて、対策基準の策定及び実施に際しての考え方等を解説。

GSOC[編集]

GSOC(Govrenment Security Operation Coordination team)はNISCの情報統括グループにより運営されているセキュリティ横断監視・即応調整チーム^[^495]。中央省庁、独立行政法人、特殊法人、認可法人を監視対象とする^[496]。2018年現在、法人の対象は日本年金機構、地方公共団体情報システム機構、地方公務員共済組合連合会、地方職員共済組合、都職員共済組合、全国市町村職員共済組合連合会、国家公務員共済組合連合会、日本私立学校振興・共済事業団、公立学校共済組合の9つ^[496]。これら指定法人では、統一的な基準の策定、情報システムの不正監視と分析、サイバーセキュリティ演習、関係機関との連携、情報共有などの施策を講じねばならない^[496]。

情報セキュリティー緊急支援チーム(CYMAT)[編集]

CYMAT(Cyber Incident Mobile Assistance Team)^[497]は、政府機関等へのサイバー攻撃に対して被害拡大防止、復旧、原因調査、再発防止のための技術的支援をしているNISCの組織である^[498]^[499]。平常時には研修や訓練も実施している^[499]。

政府共通プラットフォーム[編集]

政府全体でシステム基盤を共有化するプラットフォーム^[500]。2009年に政府が掲げた﹁霞が関クラウド︵仮称︶﹂を構想化したもので^[500]^[501]、2013年3月18日から運用を開始^[501^]。クラウドコンピューティングなどのICT技術を活用する事で、各府省の政府情報システムを統合、共通機能を一元的に提供する^[501^]。クラウドコンピューティングをはじめとする最新の情報通信技術︵ICT︶を活用し、従来は各府省が個別に整備・運用していた政府情報システムを統合・集約するとともに、共通機能を一元的に提供する基盤システム。2013年3月18日から運用を開始した。しかし個人情報を含んでいたり民間サービスを利用したりしている61%のシステムは2016年段階で統合できず、政府共通システムへの以降は限定的である^[5^01]。　

防衛省の施策・活動[編集]

防衛省・自衛隊内にはサイバーセキュリティに関する下記の組織がある^[502]^[503]‥


組織名	概要
自衛隊サイバー防衛隊	防衛省・自衛隊のネットワークの監視及び事案発生時の対処を２４時間体制で実施し、サイバー攻撃等に関する脅威情報の収集及び調査研究を一元的に行い、その成果を省全体で共有している^[503]
サイバー防護隊（陸自）保全監査隊（海自）システム監査隊（空自）	24時間態勢で通信ネットワークを監視し、ウイルス解析などのサイバー攻撃対処を行っている^[502]^[503]。
防衛本省内部部局の防衛政策局戦略企画課及び整備計画局情報通信課	サイバーセキュリティ政策に関する企画立案を行っている。
防衛装備庁の装備政策部装備保全管理官、技術戦略部技術戦略課及び次世代装備研究所	防衛関連企業に対するサイバーセキュリティ推進、防衛装備品に対するサイバーセキュリティ技術の研究開発を行っている。

またサイバー攻撃対処に関する態勢や要領を定めた規則として「防衛省の情報保証に関する訓令」^[504]などを発行している^[502]。

他組織とは下記のような連携体制を取っている：


連携先	名称	概要
NISC	-	サイバーセキュリティ戦略本部の構成員として以下を実施している： NISCを中心とする政府横断的な取組に対して、サイバー攻撃対処訓練への参加、人事交流、サイバー攻撃に関する情報提供、CYMATに対する要員派遣^[502] NISCが府省庁の情報システムに侵入耐性診断を行うに当たり、自衛隊が有する知識・経験の活用について検討^[502]
米国	日米サイバー防衛政策ワーキンググループ（CDPWG：Cyber Defense Policy Working Group）	サイバーに関する政策的な協議の推進、情報共有の緊密化、サイバー攻撃対処を取り入れた共同訓練の推進、専門家の育成・確保のための協力
	日米サイバー対話	日米両政府全体の取り組み
	日米ITフォーラム	防衛当局間の枠組み
NATO	日NATOサイバー防衛スタッフトークス	防衛当局間のサイバー協議
	サイバー防衛演習（Cyber Coalition）	自衛隊はオブザーバー参加
	サイバー紛争に関する国際会議（CyCon）	NATOサイバー防衛協力センター（CCDCOE：Cooperative Cyber Defence Centre of Excellence）が主催
オーストラリア、英国、エストニアなど	-	防衛当局間によるサイバー協議。脅威認識やそれぞれの取組に関する意見交換
シンガポール、ベトナム、インドネシア	-	防衛当局間で、ITフォーラムを実施し、サイバーセキュリティを含む情報通信分野の取組及び技術動向に関する意見交換
サイバーセキュリティに関心の深いコアメンバー（防衛産業10社程度）	サイバーディフェンス連携協議会（CDC：Cyber Defense Council）	共同訓練などを通じた、防衛省・自衛隊と防衛産業双方のサイバー攻撃対処能力向上

警察庁の施策・活動[編集]

サイバー警察局[編集]

2022年度︵令和4年度︶に新設されたサイバー警察局では、情報技術解析課︵サイバーフォース︶で技官がフォレンジックを担当している。

日本サイバー犯罪対策センター︵JC3︶[編集]

一般財団法人日本サイバー犯罪対策センター︵JC3、Japan Cybercrime Control Center︶は﹁日本版NCFTAとしてサイバー空間の脅威に対処するための非営利団体﹂^[50^5]。﹁警察による捜査権限のより効果的な行使を始めとする脅威への先制的・包括的な対応を可能とする産学官の新たな連携の枠組﹂である^[506]。2018年現在、正会員18社^[507]、賛助会員36社^[^508]。 2017年現在、JC3は違法性アダルトサイトや不正口座の摘発、犯罪者の検挙や犯罪組織のインフラのテイクダウン、加盟団体の情報提供によるエクスプロイトキットの全容解明等で成果をあげている^[509^]。具体的活動としては、﹁犯罪者を特定するための調査﹂、﹁ログなどの証拠収集と確保﹂、﹁民間企業であるプロバイダや回線事業者への協力要請﹂、﹁摘発する各都道府県警の足並みを揃える﹂、﹁海外にサーバがある場合に国際的な法執行機関との事前連携を取る﹂など^[509^]。 JC3には﹁全国の警察組織をとりまとめる警察庁のメンバーが事務所内に常駐体制を敷﹂^[509]いており、全国一斉の捜査・摘発では足並みを揃えやすい^[509]。またサイバー攻撃の標的になるのを避けるためNCFTAがそのメンバーを積極的には公表していないのに対し、JC3では参加企業・協賛団体を公開している^[509]。
主な活動内容は以下の通り‥


項目	活動概要
金融犯罪対策	情報共有、攻撃の未然防止、攻撃者に対する司法的追求も含めた脅威の無効化を図る活動の推進^[510]
情報流出対策	「攻撃事案についての実態解明、被害防止、被疑者検挙を目的とする情報共有等」^[510]
eコマース対策	被害防止を図るため、情報共有・手口分析等^[510]
マルウェア解析	マルウェアの解析を行い、C&Cサーバ等のマルウェアに関する様々な情報を収集、被害防止に関する情報を提供^[510]
脅威情報の収集と活用	「情報の蓄積及び検索可能なシステムを構築し、データを横断的に分析してより価値のある形にしていく」^[510]
国際連携	「米国NCFTA等の海外関係機関との国際的な連携を推進」^[510]

情報処理推進機構(IPA)の施策・活動[編集]

独立行政法人情報処理推進機構︵IPA、英: Information-technology Promotion Agency, Japan︶は、経済産業省所管の中期目標管理法人たる独立行政法人で、﹁情報セキュリティ対策の実現﹂、﹁IT人材の育成﹂、﹁IT社会の動向調査・分析・基盤構築﹂の3つの事業領域を持ち^[511]、これらを﹁ITを取り巻く社会の社会動向・産業動向・技術動向﹂の把握に役立てる^[511]。本稿では以下、サイバーセキュリティに関する事業のみを紹介する。

標的型サイバー攻撃対策[編集]

IPAでは標的型サイバー攻撃対策のため、﹁脅威と対策研究会﹂を立ち上げて﹁﹃高度標的型攻撃﹄対策に向けたシステム設計ガイド﹂等の資料を公開している^[512]他、以下を行っている‥

略称	読み	日本語名	英語名	主目的	概要
J-CSIP	ジェイ・シップ^[513]	サイバー情報共有イニシアティブ	Initiative for Cyber Security Information sharing Partnership of Japan	情報共有^[514]	「標的型サイバー攻撃を受けた参加組織がIPA に情報を提供し、IPA はそのメールを含む検体情報を分析および加工して、類似攻撃の検知や攻撃の抑止に役立つ（かつ提供元の組織情報を含まない）情報として参加組織間に情報共有を実施」^[514]。これにより「攻撃の早期検知と回避に繋げる」^[514]ための枠組み。参加組織とはNDAを結ぶ^[515]。﹁経済産業省の協力のもと、重工、重電等、重要インフラで利用される機器の製造業者を中心に﹂発足^[515]。複数のSIG︵Special Interest Group、類似の産業分野同士が集まったグループ^[515]︶からなっており、2018年10月26日現在、重要インフラ機器製造業者SIG、電力業界SIG、ガス業界SIG、化学業界SIG、石油業界SIG、資源開発業界SIG、自動車業界SIG、クレジット業界SIG、航空業界SIG、物流業界SIG、鉄道業界SIGの11のSIGがあり^[515]、全部で238の組織が参加している^[515]。
J-CRAT	ジェイ・クラート^[516]	サイバーレスキュー隊	Cyber Rescue and Advice Team against targeted attack of Japan）	対策支援^[514]	「標的型攻撃メールや組織のログ等の情報を分析することにより、感染経路の把握、感染の範囲などを分析し、必要な対策の早期着手を支援」^[517]し、「標的型サイバー攻撃による感染の連鎖を解明し、一連の攻撃の対象となっていることを検知できずに「潜伏被害」を許してしまっていた場合に、その組織にコンタクトすることにより、攻撃の連鎖の遮断を支援」^[517]する。「標的型サイバー攻撃特別相談窓口」から情報提供や支援依頼を求めるのみならず^[517]、「事案分析の結果、攻撃の連鎖に組み込まれている組織」^[517]や、「インターネット上での各種情報の分析によって潜在的に被害の兆候が伺える組織」^[517]に対しては「IPA からその組織にコンタクト（ドア･ノック）してサイバーレスキュー活動を実施」^[517]する。

認証・評価[編集]

以下を行っている：


略称	日本語名	英語名	概要
JISEC	ITセキュリティ評価および認証制度	Japan Information Technology Security Evaluation and Certification Scheme	ISO/IEC 15408（コモンクライテリア）認証精度^[518]。同様の制度を持つ28カ国（2018年4月現在）の政府調達でも相互承認される^[518]。
JCMVP	暗号モジュール試験および認証制度	Japan Cryptographic Module Validation Program	ISO/IEC 19790に基づく暗号機能の実装の適切性・正確性の認証制度^[518]
CRYPTREC	暗号技術検討会	Cryptography Research and Evaluation Committees	暗号技術の調査・評価を行って「CRYPTREC暗号リスト」を作成^[518]。政府機関におけるシステム調達やシステム利用時に推奨する暗号技術等を公開^[518]。暗号技術を使用する際の設定方法を示すガイドライン等を作成・公開^[518]。情報通信研究機構(NICT)と共同運営^[518]。

その他の施策・活動[編集]

●﹁脆弱性届出制度﹂︵詳細は前述︶の運営と﹁脆弱性対策情報データベース﹂JVNの提供^[519]。 ●NISCからの一部事務委託により、独立行政法人・指定法人の﹁情報セキュリティ監査︵助言型のマネジメント監査およびペネトレーションテスト︶や不正な通信の監視によるサイバー攻撃の検知等の業務を実施﹂^[519]︵第2GSOC︶ ●中小企業の自発的な対策実施を促す﹁SECURITY ACTION﹂を運営^[519] ●セキュリティ対策の普及啓発^[519] ●若手のサイバーセキュリティ人材の発掘・育成を目的とした﹁セキュリティ・キャンプ﹂の実施^[520]。 ●﹁中核人材育成プログラム﹂︵約1年間の研修プログラム︶等、産業界のサイバーセキュリティ戦略をリードする﹁中核人材﹂の育成^[5^20]。 ●国家資格﹁情報処理技術者試験︵情報セキュリティマネジメント試験など︶﹂の実施、及び﹁情報処理安全確保支援士﹂の試験、登録、講習の運営^[520]。 ●﹁情報セキュリティ白書﹂の発行など、情報セキュリティに関する調査・分析^[521] ●制御システムのセキュリティリスク分析^[519] ●IoT製品・システムの安全性・信頼性を確保^[521]。﹁つながる世界の開発指針﹂の公開や安全性解析手法﹁STAMP/STPA﹂の普及を推進等^[521]。 ●毎年年度初めに情報セキュリティ10大脅威を発表。

情報通信研究機構(NICT)の施策・活動[編集]

詳細は「情報通信研究機構」を参照

国立研究開発法人情報通信研究機構︵NICT︶は総務省所管の国立研究開発法人。NICTは情報の電磁的流通及び電波の利用に関する技術の研究及び開発、高度通信・放送研究開発を行う者に対する支援、通信・放送事業分野に属する事業の振興等を総合的に行うことにより、情報の電磁的方式による適正かつ円滑な流通の確保及び増進並びに電波の公平かつ能率的な利用の確保及び増進に資することを目的とする。︵国立研究開発法人情報通信研究機構法第4条︶組織は総務や広報のような事務部門のほか、電磁波研究群、ネットワーク研究群、AI・脳情報通信研究群、サイバーセキュリティ研究所、未来ICT研究群、オープンイノベーション推進本部、ソーシャルイノベーションユニット、イノベーション推進部門、グローバル推進部門、デプロイメント推進部門を持つ^[522]。サイバーセキュリティ研究所は﹁NICTの中立性を最大限に活用し、産学との緊密な連携によりサイバーセキュリティ研究開発の世界的中核拠点を目指し﹂ており^[523]、研究実施体制としてサイバーセキュリティ研究室とセキュリティ基盤研究室を持ち^[523]、その他にナショナルサイバートレーニングセンター︵後述︶を持つ。サイバーセキュリティ研究室では以下の研究技術を公開している^[52^4]‥


略称	日本語名	英語名	概要
NICTER	サイバー攻撃観測・分析・対策システム	Network Incident analysis Center for Tactical Emergency Response	ダークネットやハニーポットを観測する事によるサイバー攻撃観測・分析・対策システム
DAEDALUS	対サイバー攻撃アラートシステム	Direct Alert Environment for Darknet And Livenet Unified Security	「NICTER で構築した大規模ダークネット観測網を活用した対サイバー攻撃アラートシステム」^[524]
NIRVANA	リアルトラフィック可視化ツール	NIcter Real-time Visual ANAlyzer	「ネットワークに流れる通信を『見える化』することで、ネットワークの輻輳・切断等の障害や、設定ミス等を瞬時に見つけだすことを可能にし、ネットワーク管理者の負荷を大幅に軽減」^[524]

セキュリティ基盤研究室では以下の研究を行っている^[525]：

機能性暗号技術
暗号技術の安全性評価
プライバシー保護技術

特に、暗号技術の安全性評価の一環として、IPAとともにCRYPTRECの運営を行っている^[525]。

ナショナルサイバートレーニングセンター[編集]

実践的なサイバートレーニングを企画・推進する組織^[526]。主に以下の3つの事業を推進


名称	読み	概要
CYDER	サイダー	実践的サイバー防御演習^[526]。国の行政機関、地方公共団体、重要インフラ等が対象^[526]
Cyber Colosseo	サイバーコロッセオ	東京2020オリンピック・パラリンピック競技大会開催時を想定した模擬環境下で行う実践的なサイバー演習^[526]
SecHack365	セックハックサンロクゴ	「NICTが若年層のICT人材を対象に、セキュリティの技術研究・開発を本格的に指導する新規プログラム」^[526]

産業総合研究所の施策・活動[編集]

国際連携[編集]

総務省はイスラエルとのサイバーセキュリティ分野における協力に関する覚書に署名^[527]。イスラエル・国家サイバー総局と連携し、サイバーセキュリティ対策の取組を強化していく。

米国のサイバーセキュリティ推進体制[編集]

全般[編集]

サイバーセキュリティ調整官（Cybersecurity Coordinator）[編集]

「国家のサイバーセキュリティ戦略・活動を統括する責任者」^[528]である。

FISMA[編集]

詳細は「:en:Federal Information Security Management Act of 2002」を参照

アメリカサイバー軍[編集]

詳細は「アメリカサイバー軍」を参照

アメリカサイバー軍はアメリカ軍のサイバー戦を担当する統合軍であり、その任務はサイバー空間における作戦を一元化し、国防総省のサイバー空間における能力を強化し、国防総省のサイバー空間における専門的技能の統合と強化を行う事にある^[529]^[530]。

国家情報長官オフィス(ODNI)とその関連組織[編集]

国家情報長官[編集]

国家情報長官︵英語: Director of National Intelligence、略称‥DNI︶は、閣僚級の高官で、以下を行う権限を持つ︵根拠法‥Intelligence Reform and Terrorism Prevention Act of 2014(IRTPA)︶‥ ●米国の16の諜報機関の統括 ●国家対外情報計画^[531](National Foreign Intelligence Program。National Intelligence Programとも)の統括 ●大統領、国家安全保障会議、Homeland Security Councilに国家安全保障の諜報に関する事柄を助言

ODNIの紋章

毎朝、諜報機関が収集した情報をまとめた機密文書大統領日報︵President's Daily Brief︶を大統領に報告する。この大統領日報は、大統領と大統領が承認した人物のみ閲覧できる。国家情報長官を補佐する独立連邦機関として国家情報長官オフィス(ODNI)があり、ODNIには国家テロ対策センターなど6つのセンターがある。

サイバー脅威情報統合センター︵CTIIC︶[編集]

サイバー脅威情報統合センター︵CTIIC、Cyber Threat Intelligence Integration Center︶は脅威インテリジェンスの収集と分析を担うODNIの下部組織で^[532]^[533]^[534]、﹁既存の政府機関が収集した外国からのサイバー脅威に関する情報を集約し、脅威に対抗するために必要な情報と手段を米政府の関係機関に提供する﹂^[533]。

アメリカ国防総省(DoD)とその関連組織[編集]

DoDはサイバー司令部を持っている^[528]。サイバー司令部の司令官はNSA長官が兼務^[528]。

アメリカ国家安全保障局(NSA)[編集]

詳細は「アメリカ国家安全保障局」を参照

アメリカ国家安全保障局︵英: NSA、National Security Agency︶は、アメリカ国防総省(DoD)の諜報機関である。中央情報局︵CIA︶がおもにヒューミント︵HUMINT; human intelligence︶と呼ばれるスパイなどの人間を使った諜報活動を担当するのに対し、NSAはシギント︵SIGINT; signal intelligence︶と呼ばれる電子機器を使った情報収集活動とその分析、集積、報告を担当する。 NSAはイギリスの政府通信本部︵GCHQ︶など4カ国の諜報機関と世界中に張り巡らせたシギントの設備や盗聴情報を、相互利用・共同利用する為にUKUSA協定を結んでおり^[535]、UKUSA協定グループのネットワークはエシュロンと呼ばれている^[535]。またNSAは通信監視プログラムPRISMを運営し、マイクロソフトの﹁So.cl︵英語版︶﹂︵ソーシャル︶、Google、Yahoo!、Facebook、Apple、AOL、Skype、YouTube、PalTalkの、合わせて9つのウェブサービスを対象に、ユーザーの電子メールや文書、写真、利用記録、通話など、多岐に渡るメタ情報を収集している他、各国の行政権を担う人物が電話盗聴の対象になっていたとマスメディア各社が報じている^[536]^[537]^[538]。

DHSとその関連組織[編集]

アメリカ合衆国国土安全保障省(DHS)[編集]

詳細は「アメリカ合衆国国土安全保障省」を参照

アメリカ合衆国国土安全保障省︵英: DHS、United States Department of Homeland Security︶は概ね各国の内務省に相当する行政機関で、公共の安寧の保持を所掌事務とする。その使命は、テロリズムの防止、国境の警備・管理、出入国管理と税関業務、サイバーセキュリティ、防災・災害対策である^[539]。サイバーセキュリティ関連ではNational Cyber Security Division、National Cybersecurity Center、Central Security Serviceをその配下に置く。

サイバーセキュリティ・インフラストラクチャセキュリティ庁︵CISA︶[編集]

サイバーセキュリティ・インフラストラクチャセキュリティ庁︵CISA、Cybersecurity and Infrastructure Security Agency︶はDHS傘下の独立連邦機関で、2018年サイバーセキュリティ・インフラストラクチャセキュリティ庁法︵Cybersecurity and Infrastructure Security Agency Act of 2018︶に基づき^[540]^[541]^[542]^[543]、国家保護・プログラム総局︵NPPD︶を改組する事で設立されたものである^[5^44]。 CISAに期待されている役割は政府の全てのレベルを横断したサイバーセキュリティの改善、サイバーセキュリティのプログラムに関して各州と協調する事、および私的なハッカーや国家ぐるみのハッカーに対する政府のサイバーセキュリティ防御を改善する事である^[545]。 CISAは以下の3部門から構成されている‥ ●﹁プロアクティブなサイバー保護を所管するサイバーセキュリティ部門﹂^[544] ●﹁重要インフラの強靭化を所管するインフラストラクチャセキュリティ﹂^[544] ●﹁自然災害やテロおよびその他の人為災害のイベント対応を支援する緊急コミュニケーション﹂^[544] CISAは下記の組織を監督する^[546]‥ ●Federal Protective Service(FPS)^[546] ●Office of Biometric Identity Management(OBIM)^[546] ●Office of Cyber and Infrastructure Analysis (OCIA)^[546] ●Office of Cybersecurity & Communications(OC&C)^[546] ●Office of Infrastructure Protection(OIP)^[546]

国家サイバーセキュリティ通信総合センター︵NCCIC︶[編集]

CISAの傘下^[547]の組織で、重要インフラ等のサイバー情報集約機関^[548]。US-CERT、ICS-CERT、National Coordinating Center for Communicationsを統括^[549]^[548]^[550]。FBI、CIA、NSA、等の情報を一元的に集約し、分析結果を共有することでサイバー攻撃を防ぐ事を目的とする^[551]。

Automated Indicator Sharing(AIS)[編集]

Automated Indicator Sharing(AIS)はDHS︵米国国土安全保障省︶が推進する枠組みで^[552]^[55^3]^[554]^[555]、米国内外を問わず官民でCTI︵Cyber Threat Intelligence、サイバー脅威インテリジェンス︶を加盟団体間で迅速に共有する事をその目的とする^[554^]^[555]。加盟にはDHSに申請書類の提出と受理が必要である^[^554]。情報提供を行う加盟団体は、他のどの加盟団体にどのCTIを共有するかを指定でき^[554]、CTIはデフォルトでは匿名化処理を施した上で他の加盟団体に共有されるが、情報提供団体が望めば匿名化せずに提供する事も可能である^[552]^[553]^[554]。情報の共有はDHS傘下の国家サイバーセキュリティ通信総合センター︵NCCIC︶が提供する情報システムを介して行われる︵根拠法‥Cybersecurity Information Sharing Act︶^[552]^[553]^[555]。情報の迅速な共有に重きが置かれているため、提供されたCTIの内容の正確性をDHSの側が検証する事はしないが^[552]^[553]、加盟団体が有益なCTIにレピュテーションスコアをつける事ができる^[552]^[553]。 CTIの共有にはSTIX・TAXIIプロトコルが利用され^[554^]、CTIには例えばIPアドレス、ドメイン名、フィッシングメールの送信者アドレスが含まれる^[554]。 AISにおいて個人を特定可能な情報(PII、Personally Identifiable Information)を保護するため、DHSはAISのためのプライバシーインパクトのアセスメントを定めており^[552]、サイバーの脅威に直接関係ないPIIは自動的に削除される^[552]。

NISTとその関連組織[編集]

アメリカ国立標準技術研究所(NIST)[編集]

詳細は「アメリカ国立標準技術研究所」を参照

NISTのロゴ

アメリカ国立標準技術研究所︵アメリカこくりつひょうじゅんぎじゅつけんきゅうじょ、National Institute of Standards and Technology, NIST︶は、アメリカ合衆国の国立の計量標準研究所であり、アメリカ合衆国商務省配下の技術部門であり非監督︵non-regulatory ︶機関である。その公式任務は﹁アメリカの技術革新や産業競争力を強化するために、経済保障を強化して生活の質を高めるように計測学、規格、産業技術を促進すること﹂である^[556]。次の研究ユニットがある^[5^57]。 ●エンジニアリング研究所 (EL) ●情報技術研究所 (ITL) ●材料計測研究所 (MML) ●物理計測研究所 (PML) ●ナノスケール科学技術センター (CNST) ●NIST中性子研究センター (NCNR) ITL︵Information Technology Laboratory︶の中のCSD︵Computer Security Division︶という部門がコンピュータセキュリティに関して研究を行い、以下の文書を発行している^[558]‥


	略語の意味	内容
SP800シリーズ	Special Publications	コンピュータセキュリティ関係のレポートやガイドライン
FIPS	Federal Information Processing Standards、連邦情報処理標準	米国商務長官の承認を受けてNISTが公布した情報セキュリティ関連の文書
ITL Security Bulletins	-	ITLの会報
NIST IRs	NIST Interagency Reports	NISTの各内部機関がまとめたレポート。CSD Annual Report(年次報告書)など

IPAのサイトに主だった文書のリストと邦訳がある。

官民連携R&Dセンター︵NCCoE︶[編集]

官民連携R&Dセンター︵NCCoE: National Cybersecurity Center of Excellence︶はNISTがメリーランド大学内部に設置した組織で^[559]、以下を目的とした研究開発を行っている‥ ●﹁安全でプライバシーに配慮した情報技術のためのセキュリティ標準・基準などの基盤策定﹂^[559] ●﹁コンピュータや企業システムのセキュリティのあり方を策定・モニタリング・測定方法を開発・テスト﹂^[559] ●﹁官民全体に適用できる実用的かつ有用なサイバーセキュリティ機能を幅広く適用﹂^[559]

FBIとその関連組織[編集]

連邦捜査局(FBI)[編集]

FBIの紋章

連邦捜査局︵れんぽうそうさきょく、英: FBI、Federal Bureau of Investigation︶は、アメリカ合衆国の警察機関の一つ。アメリカ合衆国司法省において、連邦法に関する事案の捜査を任務としている。 FBIに以下のサイバー対策部隊がある︵2010年3月4日現在)^[^560] ●国内支局のサイバー担当官 (Cyber squads) - 1000人以上の捜査官、分析官を有する。ルーマニア、エストニア、オランダなど欧州の警察機関にも捜査官を派遣している。 ●機動サイバー隊(Mobile Cyber Action Teams) - 世界中のサイバー脅威に対応できる高度に訓練された捜査官、分析官のグループ。 ●国家サイバー合同捜査本部 (National Cyber Investigative Joint Task Force) - FBI主体で創設され、17の警察・情報機関と協力している。また、全国ホワイトカラー犯罪センター(NW3C)と連携して米国インターネット犯罪苦情センターを運営している。

NCFTA[編集]

NCFTA(National Cyber-Forensics & Training Alliance、日本語では﹁米国サイバー鑑識・訓練協定﹂^[561]もしくは﹁全米サイバー犯罪科学訓練同盟﹂^[561])は﹁サイバー犯罪に関する情報共有や捜査支援、被害防止のために設けられた、アメリカの非営利団体﹂^[561]。FBIを中心とする法執行機関、民間企業、大学による産学官連携組織である^[5^61]。サイバー犯罪の手口等をデータベース化して専門家が分析し、捜査員の訓練や捜査の技術支援に役だてる^[561]。

その他の関連組織[編集]

National Strategy for Trusted Identities in Cyberspace
National Intelligence University(国家インテリジェンス大学^[562])
New Jersey Cybersecurity and Communications Integration Cell
米国サイバー･チャレンジ（US Cyber Challenge）：「官民合同のサイバーセキュリティ人材育成プログラム。非営利団体のNational Board of Information Security Examiners (NBISE)が運営」^[559]。「サイバーセキュリティの合宿型講習会Cyber Campや、サイバー技術競技大会CyberQuestなどを実施」^[559]。

その他諸外国のサイバーセキュリティ推進体制[編集]

「インテリジェンス・コミュニティー」および「:en:Category:National cyber security centres」も参照

EU[編集]

EU一般データ保護規則(GDPR)[編集]

詳細は「EU一般データ保護規則」を参照

European Data Protection Board(EDPB)[編集]

European Data Protection Board(EDPB)はGDPRの適用をEUに任された機関^[563]。データ処理プロセスを監視する^[564]データ保護当局︵DPA‥Data Protection Authority︶の長と諸機関における個人データの取扱いを監督する独立の機関である^[565]欧州データ保護監督官︵EDPS、European Data Protection Supervisor︶ないしその代表から構成される^[563]。欧州委員会もEDPBに参加するが、投票権を持たない^[563]。その責務は下記のとおりである‥ ●データ保護法のEU加盟国間での一貫性の保証^[563] ●DPA間の協調^[563] ●GDPRのコンセプトの解釈に関するガイドラインの発行^[563] ●論争に対する拘束力のある規定の作成^[563]

欧州ネットワーク・情報セキュリティ機関(ENISA)[編集]

ENISA︵英語‥European Union Agency for Network and Information Security。略称は旧名のEuropean Network and Information Security Agencyに基づく、日本語訳‥欧州ネットワーク・情報セキュリティ機関もしくは欧州ネットワーク情報安全機関^[566]︶は、欧州連合内におけるネットワークと情報セキュリティを改善を目的とした欧州連合の専門機関の一つ。EU法を含め、ネットワークおよび情報セキュリティの必須要件を満たす為、委員会、加盟国、その結果として経済界を援助する。また加盟国と欧州連合の各機関がネットワークおよび情報セキュリティに関連した問題について専門的知識の助言を求めるセンターとして運用されるよう務める。欧州ネットワーク・情報セキュリティ機関は長官によって管理され、その傘下におかれる職員については情報通信技術業界や消費者団体および学識経験者などの利害関係者を代表する専門家で構成し運営されている。機関は管理員会によって監督され、欧州連合加盟国、欧州委員会やその他の利害関係者から排出された代表から成っている。また、常設関係者部会が設立され長官を補佐する。

中国[編集]

中国は、ネットのセキュリティを強化するために中華人民共和国サイバーセキュリティ法︵中国語:中華人民共和國網絡安全法︶を制定している。

イギリス[編集]

「:en:UK cyber security community」も参照

イギリスではGDPRを補完する法律としてData Protection Act 2018を定めている。

イスラエル[編集]

“防犯・防災・航空宇宙・サイバーセキュリティ”. イスラエル大使館　経済部. 2019年1月30日閲覧。：イスラエルのサイバーセキュリティ企業の紹介

民間団体・業界団体等[編集]

ISAC[編集]

ISAC(Information Sharing and Analysis Center、セキュリティ情報共有組織^[567])とは、重要インフラに対するサイバーセキュリティ上の脅威を収集し、民間部門と公的機関の間で双方向の情報共有を行うための非営利団体である^[568]^[569]。 ISACは歴史的には米国に端を発しており、大統領令63の1︵クリントン大統領︵当時︶が1998 年5月22日に署名︶において、重要インフラへの攻撃に備えるため、分野における脅威や脆弱性に関する情報を分野内で共有する専門組織の設立が推奨された事に呼応して設立されたものである^[570]。米国では19のISACが活動している︵2015年5月現在︶^[571^]他、National ISAC Council ^[572]が﹁定期的に各ISAC の代表者を集めた会合を開催して、情報を共有しており、ウェブサイト上ではISACに係わる白書やテクニカルドキュメントを公表している﹂^[573]。日本でも金融ISAC^[574]、電力ISAC^[575]、ICT-ISAC^[576]︵旧Telecom-ISAC Japanを発展的に継承したもの^[577]︶、Software ISAC^[578^]などが活動しており、ヨーロッパではエネルギー関連のISACであるEE-ISAC^[579]が活動している。 National ISAC Council によるISACの定義は以下の通りである^[580]‥ ●24時間週7日体制でインシデント・脅威・脆弱性に関するその分野独自の情報を共有・分析^[580] ●その分野の重要な警戒情報の収集・分析・インシデントレポートの提供^[580] ●その分野におけるインシデント・脅威・脆弱性の影響を関係政府機関に説明^[580] ●サイバー・物理を問わず重要インフラ保護のための信頼できる情報共有システムを提供^[580] ●意図的・非意図的双方に関し、他ISAC に被害をもたらす︵可能性のある︶事象に対する専門的支援・情報共有^[580]

ISAO[編集]

^[581]

JNSAとその関連団体[編集]

日本ネットワークセキュリティ協会(JNSA)[編集]

日本ネットワークセキュリティ協会（JNSA、Japan Network Security Association）は、ネットワークセキュリティに関する啓発、教育、調査研究及び情報提供に関する事業を行う、特定非営利活動法人。会員企業は227社（2019年1月1日現在）^[582]。


部会	WG・委員会等	活動概要(2018年度)
社会活動部会	セキュリティ啓発WG	「インターネット安全教室」（IPA委託事業）の内容検討や運営サポート、広報活動の検討など^[583]
	海外市場開拓WG	Made-in-Japanのセキュリティソリューションの海外展開・拡販を業界団体として促進^[583]
	CISO支援WG	CISOを支援するための情報の取りまとめ、公開^[583]
	サイバーセキュリティ小説コンテスト	カクヨムと組んで、サイバーセキュリティをテーマとする小説を募集^[584]
	サイバーセキュリティ事業における適正な事業遂行の在り方に関する検討委員会	適正なセキュリティサービス事業遂行の在り方について検討^[583]
調査研究部会	セキュリティ被害調査WG	セキュリティインシデントの調査、公表等^[585]
	セキュリティ市場調査WG	国内で情報セキュリティに関するツール、サービス等の提供を事業として行っている事業者を対象として、推定市場規模データを算出し報告書として公開^[585]
	組織で働く人間が引き起こす不正・事故対応WG	「組織で働く人間が引き起こす不正・事故」に対する考察を深め、ベストプラクティスの紹介、提案、啓発^[585]
	IoTセキュリティWG	レポート展開、 IoT機器メーカーとのセキュリティ評価など^[585]
	脅威を持続的に研究するWG	国内外における新たなビジネスアプローチやマーケットの構図の変化を調査^[585]
標準化部会	IoT機器セキュリティログ検討WG	IoT機器のセキュリティログの国際標準化、IoT機器のインシデント対応を行いやすくするための環境整備^[586]
	アイデンティティ管理WG	アイデンティティ管理に関する課題の検討、啓蒙、普及促進、市場活性化^[586]
	国際化活動バックアップWG	国際標準化活動の情報共有^[586]
	電子署名WG	「電子署名（含タイムスタンプ）関連技術の相互運用性確保のための調査、検討、標準仕様提案、相互運用性テスト、及び電子署名普及啓発」^[586]
	日本ISMSユーザグループ	ISMS普及・促進^[586]
	PKI相互運用技術WG	PKI の技術、標準化、法制度等の情報交換及び、議論、IETF参加報告会やPKI Day 2018の開催^[586]
教育部会	ゲーム教育WG	情報セキュリティに関するゲーム（セキュリティ専門家人狼、Malware Containmentなど）を用いた教育や普及啓発の普及と促進^[587]
	情報セキュリティ教育実証WG	「情報セキュリティを教えることが出来る高度なスキルをもった人材を育成するために、大学などで講義」教育部会^[587]
	セキュ女WG	セキュリティに関する専門スキルを持ちたい女性を応援、勉強会を中心に活動教育部会^[587]
会員交流部会	セキュリティ理解度チェックWG	情報セキュリティ理解度チェックサイト、理解度セルフチェックサイトの問題の見直しなど^[588]
	JNSAソリューションガイド活用WG	会員企業、およびそのソリューションのPRを図る^[588]
	経営課題検討WG	企業の経営指標にサイバーセキュリティ投資の可視化、具体的で実務的な観点からの検討^[588]
マーケティング部会		JNSAのWG成果物の普及促進^[589]
西日本支部	企画･運営WG	JNSA 会員および西日本地域のセキュリティレベルの向上を図る企画の立案と実施、会員企業向けの勉強会の実施^[590]
西日本支部	中小企業のためのSecurity by Design WG	「中小企業の情報システム部門が考えるべき導入、運用、廃止までのライフサイクルを考慮した情報セキュリティシステムの姿を検討」^[590]
U40部会	for Rookies WG	若手をはじめとした人的ネットワークの形成および知識
U40部会	勉強会企画検討WG	U40部会員の知識・スキル向上を目指し、勉強会を企画・開催
産学情報セキュリティ人材育成検討会		情報セキュリティ企業のインターンシップ^[591]
SECCON		セキュリティコンテストの実施^[592]

毎年年末にJNSA十大ニュースを発表している。

日本セキュリティオペレーション事業者協議会(ISOG-J)[編集]

日本セキュリティオペレーション事業者協議会︵ISOG-J、Information Security Operation providers Group Japan︶は、﹁セキュリティオペレーション技術向上、オペレータ人材育成、および関係する組織・団体間の連携を推進することによって、セキュリティオペレーションサービスの普及とサービスレベルの向上を促し、安全で安心して利用できるIT環境実現に寄与することを目的として設立﹂された団体^[593]。2018年12月25日現在、47社が参加^[594]。ISOG-JはJNSAを事務局とし^[593]、総務省と経済産業省をオブザーバーとする^[595^]。以下のワーキンググループを持つ^[596]‥


WG	名称	活動概要
WG1	セキュリティオペレーションガイドラインWG	ユーザ向けセキュリティ診断サービスの解説書や事業者向けのセキュリティ診断サービスのガイドラインを作成^[596]
WG2	セキュリティオペレーション技術WG	最新の技術動向を調査、最適なセキュリティオペレーション技術を探究、技術者の交流を図る^[596]
WG3	セキュリティオペレーション関連方調査WG	関連法規に変更などがあった場合にのみ活動。利用組織および事業者が特に認識すべき関連法規を分かり易く整理^[596]
WG4	セキュリティオペレーション認知向上・普及啓発WG	セキュリティオペレーションの必要性についての認知度向上、普及啓発活動^[596]
WG5	情報利用関連WG	外部関連組織から提供されるサイバーセキュリティ関連情報の利活用検討^[596]
WG6	セキュリティオペレーション連携WG	セキュリティの運用について各社共通の課題の議論、検討^[596]

情報セキュリティ教育事業者連絡会（ISEPA）[編集]

日本トラストテクノロジー協議会（JT2A）[編集]

その他の日本の団体[編集]

日本情報経済社会推進協会(JIPDEC)[編集]

日本情報経済社会推進協会は一般財団法人で、以下を行っている：

個人情報保護の推進^[597]
- プライバシーマーク制度の運用^[597]
- 個人情報保護法に基づく認定業務の実施^[597]
- APECプライバシーフレームワークへの適合性を審査・認証^[598]
インターネット上の情報の信頼性確保^[597]
情報利活用に向けた調査研究・提言^[597]
情報マネジメントシステムの普及と認定業務の推進^[597]

付属機関「情報マネジメントシステム認定センター」（ISMS-AC）で下記を行っている：

以下の運営
- ISMS適合性評価制度^[597]
- ITSMS適合性評価制度^[597]
- BCMS適合性評価制度^[597]
- CSMS適合性評価制度^[597]
情報マネジメントシステムの推進に関する調査研究^[597]

2017年度まではJIPDEC自身がISMS適合性評価制度における認証機関の認定機関であったが、この部門は独立し、上述のISMS-ACで行っている。

技術研究組合制御システムセキュリティセンター（CSSC）[編集]

重要生活機器連携セキュリティ協議会(CCDS)[編集]

業界団体[編集]

Cyber Threat Alliance[編集]

Cyber Threat Alliance︵CTA︶はほぼリアルタイムに高品質なサイバー脅威情報を加盟団体間でシェアするために2014年に設立された非営利団体で^[599]^[600]、発足時の加盟企業はフォーティネット、マカフィー、パロアルトネットワークス、シマンテックである^[600]^[601]。加盟団体は脅威情報をSTIX形式のパッケージとしてCTAのプラットフォームに提供し^[600]、提供された脅威情報は匿名化された上で他の加盟団体で共有される^[600]。提供する脅威情報はサイバーキルチェーンのフェーズのどのフェーズに相当するかを明示する必要があり^[600]、提供段階で脅威情報に総合点がつけられる^[600]。加盟団体には基準点以上の脅威情報の提供が義務付けられており、この義務を守っている場合しか他の加盟団体の提供した脅威情報を閲覧する事はできない^[602]。

脚注[編集]

[脚注の使い方]

注釈[編集]

^ たとえばIPAの資料^[269]ではペネトレーションテストを脆弱性検査の一つとしているが、LACはペネトレーションテストを脆弱性検査・診断とは別サービスとし^[270]、脆弱性検査・診断をセキュリティ診断と同義に用いている^[270]。一方、サイバーディフェンス研究所はセキュリティ診断の語を脆弱性診断とペネトレーションテストの双方に対して用いている^[271]。

出典[編集]

参考文献[編集]

●標的型攻撃・APT全般 ●一般社団法人JPCERTコーディネーションセンター (2016年3月31日). “高度サイバー攻撃︵APT︶への備えと対応ガイド～企業や組織に薦める一連のプロセスについて”. 2018年9月18日閲覧。 ●Nart Villeneuve (2011年8月). “Trends in Targeted Attacks” (pdf). トレンドマイクロ. 2018年9月25日閲覧。 ●トレンドマイクロセキュリティブログ ●Macky Cruz (2012年6月28日). “1︶持続的標的型攻撃の各攻撃ステージを6段階に分類 – 持続的標的型攻撃を知る”. 2018年9月25日閲覧。 ●Macky Cruz (2012年7月19日). “2︶”狙った獲物” に精通する攻撃者 – 持続的標的型攻撃を知る”. 2018年9月25日閲覧。 ●Macky Cruz (2012年8月15日). “3︶侵入したネットワークに潜伏し執拗に攻撃を仕掛ける – 持続的標的型攻撃を知る”. 2018年9月25日閲覧。 ●佳山こうせつ︵独立行政法人情報処理推進機構技術本部セキュリティセンター研究員︶ (2015年5月). “高度標的型攻撃対策に向けたシステム設計ガイド～感染することを前提とした﹁防御グランドデザイン﹂に向けたシステム設計の勘所～”. 2018年9月10日閲覧。 ●“サイバーレスキュ隊︵J-CRAT︶分析レポート2015　特定業界を執拗に狙う攻撃キャンペーンの分析～2015年秋から2016年春に見られた攻撃事例～” (pdf). 情報処理推進機構. 2018年9月25日閲覧。 ●“﹁﹃高度標的型攻撃﹄対策に向けたシステム設計ガイド﹂の公開”. 情報処理推進機構 (2014年9月30日). 2018年9月25日閲覧。 ●“﹃高度標的型攻撃﹄対策に向けたシステム設計ガイド～入口突破されても攻略されない内部対策を施す～”. 情報処理推進機構 (2014年9月30日). 2018年9月25日閲覧。 ●“﹃標的型メール攻撃﹄対策に向けたシステム設計ガイド” (pdf). 情報処理推進機構 (2014年8月29日). 2018年9月25日閲覧。 ●“﹃新しいタイプの攻撃﹄の対策に向けた設計・運用ガイド(改定第二版)” (pdf). 情報処理推進機構 (2014年11月30日). 2018年9月25日閲覧。 ●“簡易説明資料” (pdf). 情報処理推進機構. 2018年9月25日閲覧。 ●“出口対策まとめ” (pdf). 情報処理推進機構. 2018年9月25日閲覧。 ●“IPAテクニカルウォッチ﹁標的型攻撃メールの例と見分け方﹂” (pdf). 情報処理推進機構 (2015年1月9日). 2018年9月27日閲覧。 ●竹田春樹︵JPCERT コーディネーションセンター︶ (2018年6月1日). “インシデント対応ハンズオン for ショーケース” (pdf). 日本ネットワークインフォメーションセンター. 2018年9月27日閲覧。 ●朝長秀誠(JPCERTコーディネーションセンター); 六田佳祐(株式会社インターネットイニシアティブ). “攻撃者の行動を追跡せよ-行動パターンに基づく横断的侵害の把握と調査-”. CODE BLUE 2017. JPCERT/CC. 2018年9月28日閲覧。 ●一般社団法人JPCERTコーディネーションセンター (2017年7月28日). “ログを活用したActive Directoryに対する攻撃の検知と対策 1.2版”. 2018年9月28日閲覧。 ●“サイバーレスキュー隊(J-CRAT)技術レポート2017インシデント発生時の初動調査の手引き～WindowsOS標準ツールで感染を見つける～” (pdf). 情報処理推進機構 (2018年3月29日). 2018年10月1日閲覧。 ●サイバーキルチェーン ●“Lockheed Martin Cyber Kill Chain”. 2018年9月10日閲覧。 ●Eric M. Hutchins, Michael J. Cloppert, Rohan M. Amin. “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains”. Lockheed Martin Corporation. 2018年9月21日閲覧。※原論文 ●“GAINING THE ADVANTAGE Applying Cyber Kill Chain® Methodology to Network Defense”. LOCKHEED MARTIN. 2018年9月18日閲覧。 ●“Seven Ways to Apply the Cyber Kill Chain® with a Threat Intelligence Platform. A White Paper Presented by: Lockheed Martin Corporation”. LOCKHEED MARTIN (2015年). 2018年9月20日閲覧。 ●John Franco. “Cyber Defense Overview - Attack Patterns Aligned to Cyber Kill Chain” (pdf). シンシナティ大学. 2018年9月10日閲覧。 ●攻撃ツール・ペンテストツール ●“インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書︵第2版︶公開︵2017-11-09︶”. JPCERT/CC. 2018年9月11日閲覧。 ●“現役ペンテスト技術者が選ぶ使えるセキュリティツール”. ScanNetSecurity. 2019年1月2日閲覧。 ●CISO、経営におけるサイバーセキュリティ ●“CISOハンドブック v1.1β”. 日本ネットワークセキュリティ協会 (2018年6月22日). 2018年9月10日閲覧。 ●経済産業省商務情報政策局サイバーセキュリティ課. “経営リスクとしてのサイバーセキュリティ対策～サイバーセキュリティ経営ガイドラインのポイント解説～” (pdf). 内閣サイバーセキュリティセンター(NISC). 2018年9月12日閲覧。 ●経済産業省、独立行政法人情報処理推進機構 (2017年11月16日). “サイバーセキュリティ経営ガイドライン Ver 2.0”. 2018年9月12日閲覧。 ●“サイバーセキュリティ経営ガイドライン解説書Ver.1.0”. 情報処理推進機構 (2017年5月15日). 2018年9月12日閲覧。 ●“﹁CISO等セキュリティ推進者の経営・事業に関する役割調査﹂報告書について”. 情報処理推進機構 (2018年6月28日). 2018年10月2日閲覧。 ●“CISO等セキュリティ推進者の経営・事業に関する役割調査－調査報告書－”. 情報処理推進機構. 2018年10月2日閲覧。 ●“IPA CISO等セキュリティ推進者の経営・事業に関する役割調査－別冊－CISO等セキュリティ推進者の経営・事業に関する役割プラクティス”. 情報処理推進機構. 2018年10月2日閲覧。 ●SOC、CSIRT、インシデントレスポンス ●NPO 日本ネットワークセキュリティ協会︵JNSA︶; ISOG-J 日本セキュリティオペレーション事業者協議会 (2018年3月30日). “セキュリティ対応組織︵SOC/CSIRT︶の教科書～機能・役割・人材スキル・成熟度～第2.1版”. 2018年9月10日閲覧。 ●ISOG-J 日本セキュリティオペレーション事業者協議会 (2017年10月3日). “セキュリティ対応組織︵SOC/CSIRT︶の教科書～機能・役割・人材スキル・成熟度～第2.0版”. 2018年9月10日閲覧。 ●“マネージドセキュリティサービス︵MSS︶選定ガイドラインVer.1.0”. ISOG-J 日本セキュリティオペレーション事業者協議会 (2010年8月). 2018年9月10日閲覧。 ●“SOC︵セキュリティオペレーションセンター︶運用はどんな業務で成り立っているのか?監視以外にもある重要なミッション” (pdf). セキュリティ用語第11回‥今だから学ぶ！ セキュリティの頻出用語 : SOCとは?. マカフィー. 2018年9月11日閲覧。 ●Jason T. Luttgens; Matthew Pepe; Kevin Mandia 政本憲蔵、凌翔太、山崎剛弥訳 (2016/4/7). インシデントレスポンス 第3版. 日経BP社. ASIN B01ESU5NP4. ISBN 978-4822279875 ●“CSIRT ガイド”. CSIRTマテリアル運用フェーズ. JPCERT/CC (2015/11 /26). 2018年9月14日閲覧。 ●“インシデントハンドリングマニュアル”. CSIRTマテリアル運用フェーズ. JPCERT/CC (2015/11 /26). 2018年9月14日閲覧。 ●情報処理推進機構 (2017年4月13日). “企業のCISOやCSIRTに関する実態調査2017－調査報告書調査報告書－”. 2018年9月18日閲覧。 ●アメリカ国立標準技術研究所　翻訳‥情報処理推進機構. “SP 800-61 v1 コンピュータセキュリティインシデント対応ガイド”. 2018年9月19日閲覧。 ●PSIRT ●“FIRST PSIRT Services Framework”. JPCERT/CC. 2018年12月13日閲覧。 ●“PSIRT Services Framework Version 1.0 Draft日本語抄訳” (pdf). FIRST (Forum of Incident Response and Security Teams) (2018年7月19日). 2018年12月13日閲覧。 ●優先的に対策すべき箇所のガイドライン ●CISコントロール ● CIS Controls Version 7. Center for Internet Security pdf。以下からダウンロード可能‥ ●“CIS Controls Version 7 – What’s Old, What’s New”. Center for Internet Security. 2018年10月12日閲覧。 ●“The CIS Critical Security Controls for Effective Cyber Defense Version6.1 (日本語訳)”. SANS Japan. 2018年10月12日閲覧。以下からダウンロード可能 ●“The CIS Critical Security Controls for Effective Cyber Defense Version6.1の日本語翻訳版を米国CISのWebサイトにて公開しています”. SANS Japan. 2018年10月12日閲覧。 ●OWASP Top 10 ●“Category:OWASP Top Ten Project”. OWASP. 2018年11月26日閲覧。‥プロジェクトのトップページ ●“OWASP Top 10 - 2017 The Ten Most Critical Web Application Security Risks” (pdf). OWASP. 2018年11月26日閲覧。 ●日本語訳‥“OWASP Top 10 - 2017 最も重大なウェブアプリケーションリスクトップ10” (pdf). OWASP. 2018年11月26日閲覧。 ●Strategies to Mitigate Cyber Security Incidents ●“Strategies to Mitigate Cyber Security Incidents”. オーストラリアサイバーセキュリティセンター. 2018年9月26日閲覧。 ●“1.pdf サイバーセキュリティのための水準の引き上げ︵米戦略国際問題研究所︶・標的型サイバー潜入に対する軽減戦略－軽減戦略の詳細︵オーストラリア通信電子局︶” (pdf). 公益財団法人防衛基盤整備協会. 2018年11月26日閲覧。 ●脆弱性対策 ●脆弱性ハンドリング ●経済産業省 ●“経済産業省告示﹁ソフトウエア製品等の脆弱性関連情報に関する取扱規程﹂”. 2018年10月15日閲覧。 ●JPCERT/CC ●“脆弱性対策情報”. JPCERT/CC (2018年7月19日). 2018年10月15日閲覧。 ●“脆弱性情報ハンドリングとは？”. JPCERT/CC (2017年7月31日). 2018年10月15日閲覧。 ●高橋紀子︵一般社団法人 JPCERT コーディネーションセンター情報流通対策グループ脆弱性情報ハンドリングチームリーダ︶ (2013年2月18日). “脆弱性情報ハンドリング概要” (pdf). 2018年10月15日閲覧。 ●“JPCERT/CC 脆弱性関連情報取扱いガイドライン Ver 6.0” (pdf) (2017年6月21日). 2018年10月15日閲覧。 ●IPA ●独立行政法人情報処理推進機構(IPA) 技術本部セキュリティセンター (2017年2月20日). “脆弱性対策の効果的な進め方～脆弱性対策入門～” (pdf). 2018年10月15日閲覧。 ●IPA、JPCERT/CC共著 ●情報処理推進機構、JPCERTコーディネーションセンター、電子情報技術産業協会、コンピュータソフトウェア協会、情報サービス産業協会、日本ネットワークセキュリティ協会 (2017年5月). “情報セキュリティ早期警戒パートナーシップガイドライン 2017年度版” (pdf). 2018年10月15日閲覧。 ●“情報セキュリティ早期警戒パートナーシップガイドライン概要日本語版情報セキュリティ早期警戒パートナーシップの紹介ー脆弱性取扱プロセスの要点解説ー︵2017年版︶” (pdf). 2018年10月15日閲覧。 ●SCAP ●“OpenSCAPで脆弱性対策はどう変わる？”. @IT. 2018年11月22日閲覧。 ●脆弱性診断とその関連 ●“脆弱性検査と脆弱性対策に関するレポート～組織で提供するソフトウェアの検査と組織内のシステムの点検のための脆弱性検査を～” (pdf). 情報処理推進機構 (2013年8月8日). 2018年10月18日閲覧。 ●ウェブアプリケーションセキュリティ検査 ●上野宣 (2016/8/2). Webセキュリティ担当者のための脆弱性診断スタートガイド上野宣が教える情報漏えいを防ぐ技術 (kindle版). 翔泳社. ASIN B01J9E0HCI. ISBN 978-4798145624 ●ファジング ●“IPA テクニカルウォッチ製品の品質を確保する﹁セキュリティテスト﹂に関するレポート～修正費用の低減につながるセキュリティテスト﹁ファジング﹂の活用方法とテスト期間に関する考察～”. 情報処理推進機構 (2012年9月20日). 2018年10月26日閲覧。 ●レッドチーム ●PwCあらた有限責任監査法人 (2018年1月31日). “諸外国の﹁脅威ベースのペネトレーションテスト(TLPT)﹂に関する報告書の公表について”. 金融庁. 2018年10月19日閲覧。 ●脆弱性対策全般 ●“脆弱性対策の効果的な進め方︵実践編︶～脆弱性情報の早期把握、収集、活用のスヽメ～”. 情報処理推進機構 (2015年3月31日). 2018年10月16日閲覧。 ●独立行政法人情報処理推進機構、一般社団法人 JPCERTコーディネーションセンター、一般社団法人電子情報技術産業協会、一般社団法人コンピュータソフトウェア協会、一般社団法人情報サービス産業協会、特定非営利活動法人日本ネットワークセキュリティ協会. “ウェブサイト運営者のための脆弱性対応ガイド情報セキュリティ早期警戒パートナーシップガイドライン別冊”. 2018年10月19日閲覧。 ●独立行政法人情報処理推進機構、一般社団法人 JPCERTコーディネーションセンター、一般社団法人電子情報技術産業協会、一般社団法人コンピュータソフトウェア協会、一般社団法人情報サービス産業協会、特定非営利活動法人日本ネットワークセキュリティ協会. “セキュリティ担当者のための脆弱性対応ガイド～企業情報システムの脆弱性対策～　情報セキュリティ早期警戒パートナーシップガイドライン別冊”. 2018年10月19日閲覧。 ●“IPAテクニカルウォッチ﹁ウェブサイトにおける脆弱性検査手法︵ウェブアプリケーション検査編︶﹂～3種のオープンソースの脆弱性検査ツールを操作性、検査制度等で比較したレポート～” (pdf). 情報処理推進機構 (2013年12月12日). 2018年10月26日閲覧。 ●日本国のサイバーセキュリティ推進体制 ●全般 ●内閣官房内閣サイバーセキュリティセンター (2017年1月30日). “我が国のサイバーセキュリティ政策の概要”. 総務省. 2018年10月19日閲覧。 ●政府統一基準群 ●“﹁政府機関等の情報セキュリティ対策のための統一基準群︵平成28年度版︶﹂について”. 内閣サイバーセキュリティセンター (2016年). 2018年10月20日閲覧。 ●“政府機関の情報セキュリティ対策のための統一規範”. 内閣サイバーセキュリティセンター (2016年). 2018年10月20日閲覧。 ●“政府機関等の情報セキュリティ対策の運用等に関する指針”. 内閣サイバーセキュリティセンター (2016年). 2018年10月20日閲覧。 ●“政府機関の情報セキュリティ対策のための統一基準︵平成28年度版︶”. 内閣サイバーセキュリティセンター (2016年). 2018年10月20日閲覧。 ●“府省庁対策基準策定のためのガイドライン︵平成28年度版︶”. 内閣サイバーセキュリティセンター (2016年). 2018年10月20日閲覧。 ●IPA ●“事業案内パンフレット”. 情報処理推進機構. 2018年12月10日閲覧。 ●“サイバーレスキュー隊(J-CRAT)の活動概要～標的型サイバー攻撃に対するIPAの取組み～”. 情報処理推進機構. 2018年12月10日閲覧。 ●NICT ●“実践的サイバー防御演習﹁CYDER﹂紹介資料2018年7月版”. 情報通信研究機構. 2018年12月14日閲覧。 ●ISAC ●“米国のセキュリティ情報共有組織︵ISAC︶の状況と運用実態に関する調査”. NISC (2009年). 2018年12月10日閲覧。 ●“Information Sharing and Analysis Center (ISACs) - Cooperative models” (pdf). 欧州ネットワーク・情報セキュリティ機関(ENISA). 2018年12月10日閲覧。‥ISACの動向レポート ●米国のサイバーセキュリティ推進体制 ●八山幸司︵IPAニューヨーク事務所　JETROニューヨーク事務所︶ (2015年3月17日). “米国等のサイバーセキュリティに関する動向” (pdf). IPA. 2019年1月25日閲覧。 ●制御システム・IoT機器のセキュリティ ●“制御システムのセキュリティリスク分析ガイド第2版～セキュリティ対策におけるリスクアセスメントの実施と活用～” (pdf). 情報処理推進機構 (2018年10月15日). 2018年10月23日閲覧。 ●“ICS-CERT‥多層防御による制御システムセキュリティの強化概要”. 情報処理推進機構 (2016年11月22日). 2018年9月10日閲覧。 ●“制御システム利用者のための脆弱性対応ガイド重大な経営課題となる制御システムのセキュリティリスク～制御システムを運用する企業が実施すべきポイント～第2版” (pdf). 情報処理推進機構. 2018年12月13日閲覧。 ●独立行政法人情報処理推進機構(IPA)産業サイバーセキュリティセンター(ICSCoE)田辺雄史 (2018/２/７). “IPA産業サイバーセキュリティセンターが目指す先” (pdf). JPCERT/CC. 2018年12月13日閲覧。 ●“IPAテクニカルウォッチ﹁増加するインターネット接続機器の不適切な情報公開とその対策﹂”. 情報処理推進機構. 2018年12月14日閲覧。 ●“IPAテクニカルウォッチ﹁増加するインターネット接続機器の不適切な情報公開とその対策﹂～あなたのシステムや機器が見られているかもしれない～” (pdf). 情報処理推進機構 (2014年2月27日). 2018年12月14日閲覧。 ●開発ライフサイクルにおけるセキュリティ ●“﹁情報システムに係る政府調達におけるセキュリティ要件策定マニュアル﹂の策定について”. NISC. 2018年11月5日閲覧。 ●“情報システムに係る政府調達におけるセキュリティ要件策定マニュアル”. NISC. 2018年11月5日閲覧。 ●“情報セキュリティを企画・設計段階から確保するための方策に係る検討会　報告書”. NISC (2011年3月). 2018年11月5日閲覧。 ●NIST、日本語訳情報処理推進機構. “NIST SP800-64 Revision 2 情報システム開発ライフサイクルにおけるセキュリティの考慮事項”. 2018年11月5日閲覧。 ●対策技術・対策ツール ●“Web Application Firewall 読本改訂第2版 Web Application Firewall を理解するための手引き”. 情報処理推進機構 (2011年12月27日). 2018年11月2日閲覧。 ●NIST、日本語訳情報処理推進機構. “NIST SP800-94 侵入検知および侵入防止システム︵IDPS︶に関するガイド Guide to Intrusion Detection and Prevention Systems ︵IDPS︶”. 2018年11月14日閲覧。 ●Securosis、SANS. “Understanding and Selecting a Data Loss Prevention Solution”. 2018年10月29日閲覧。 ●その他 ●富士通株式会社　山下真 (2017年12月). “ISO/IEC 27000 ファミリー規格の動向” (pdf). 日本ISMSユーザグループ. 2018年9月6日閲覧。 ●アメリカ国立標準技術研究所︵日本語訳‥情報処理推進機構︶ (2014年2月12日). “重要インフラのサイバーセキュリティを向上させるためのフレームワーク 1.0版” (pdf). 2018年9月10日閲覧。 ●“情報セキュリティ市場分類区分定義表 2012年度版”. 日本ネットワークセキュリティ協会. 2018年9月10日閲覧。 ●八木毅; 村山純一; 秋山満昭 (2015/3/17). コンピュータネットワークセキュリティ. コロナ社. ISBN 978-4339024951 ●佐々木良一︵東京電機大学未来科学部教授、会計検査院最高情報セキュリティアドバイザー︶ (2018年1月6日). “サイバーセキュリティとリスクマネジメント”. 第6回情報セキュリティマネージャーISACA カンファレンス in Tokyo. ISACA︵情報システムコントロール協会︶東京支部. 2018年9月11日閲覧。 ●佐々木良一︵監修︶; 電子情報通信学会︵編︶ (2014/3/20). ネットワークセキュリティ. 現代電子情報通信選書﹁知識の森﹂. オーム社. ISBN 978-4274215179 ●寺田真敏︵日立︶ (2012年5月25日). “企業におけるサイバー攻撃対策の再考”. NPO 情報セキュリティ研究所. 2018年9月20日閲覧。 ●羽室英太郎 (2018/10/16). サイバーセキュリティ入門:図解×Q&A. 慶應義塾大学出版会 ●“トレンドマイクロ　セキュリティリサーチペーパー資料ダウンロード”. 2018年10月1日閲覧。 ●“ビジネスメール詐欺﹁BEC﹂に関する事例と注意喚起～サイバー情報共有イニシアティブ︵J-CSIP︶の活動より～” (pdf). 情報処理推進機構 (2017年4月3日). 2018年10月30日閲覧。 ●中村行宏; 横田翔 (2015/1/14). 事例から学ぶ情報セキュリティ――基礎と対策と脅威のしくみ. Software Design plus. 技術評論社. ISBN 978-4774171142

外部リンク[編集]

●サイバーセキュリティ - デジタル庁 ●内閣サイバーセキュリティセンター - 内閣官房 ●国民のためのサイバーセキュリティサイト - 総務省 ●サイバーセキュリティ政策 - 経済産業省 ●みんなで使おうサイバーセキュリティ・ポータルサイト - 内閣官房 ●“Cybersecurity 500”. 2018年12月13日閲覧。‥米調査会社Cybersecurity Ventures社が選ぶ﹁世界で最もホットで最もイノベーティブなサイバーセキュリティ企業﹂500社の一覧。毎年更新 ●“AV-Comparatives”. 2019年1月8日閲覧。‥セキュリティ製品の第三者評価機関

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

[272] たとえばIPAの資料^[269]ではペネトレーションテストを脆弱性検査の一つとしているが、LACはペネトレーションテストを脆弱性検査・診断とは別サービスとし^[270]、脆弱性検査・診断をセキュリティ診断と同義に用いている^[270]。一方、サイバーディフェンス研究所はセキュリティ診断の語を脆弱性診断とペネトレーションテストの双方に対して用いている^[271]。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[4

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[5

[60]

[61]

[62]

[63]

[64]

[65]

[

[67]

[68]

[

[70]

[71]

[72]

[73]

[74]

[75]

[76]

[77]

[78]

[79]

[80]

[81]

[82]

[83]

[84]

[85]

[86]

[87]

[88]

[89]

[90]

[91]

[92]

[93

[94]

[95]

[96]

[97]

[98]

[99]

[100]