弊社は先日開催された金融ISACアニュアル・カンファレンス2018にブースの出展および登壇いたしました。

本イベントを主催する金融ISACは、「日本の金融機関の間でサイバーセキュリティに関する情報の共有・分析、及び安全性の向上のための協同活動を行い、金融サービス利用者の安心・安全を継続的に確保することを目的としています。」※1

弊社ブースではペネトレーションテストなどサービス紹介やデモを行いました。多くの企業の方々が安心・安全なサービス提供を継続するためにはどうすればいいのかといった熱のこもった非常に濃い内容のご質問を頂きました。また、筆者は「侵入されないためにどうすればいいのか」というタイトルで登壇いたしました。内容として、「ペネトレーションテストがどういったものなのか」、「侵入できた事例」や「よくある侵入の原因と対策」について解説いたしました(ペネトレーションテストについてはこちらもあわせてご参照ください)。5分間で2回笑いを取るという当初の目標も達成できるほど、暖かいご声援をいただきました。お忙しい中、お付き合いくださった方に改めてお礼申し上げます。

登壇後は「諸外国の脅威ベースのペネトレーションテスト(TLPT)に関する報告書公表について」に関して、多くのご質問を頂きました。「脅威ベースのペネトレーションテスト(TLPT)」という言葉自体、あまり聞きなれないかと思いますが、「現実世界で実際に起きているサイバー攻撃をテスターが動的に シミュレーションし、防御側である金融機関が防御、検知、対応を行う。」とあり、原則本番環境を用いて現実に起きているサイバー攻撃を行い、防御、検知が行えるかという点も含めて調査します。弊社でもお客様環境に合わせてシナリオを作成し、現実に起きている手法を取り入れ、ペネトレーションテストを実施します。

シナリオを作成する際にポイントとなるのは「どこ」から診断を実施するのかということです。「どこ」というのは、インターネット経由(リモート)で行うのか、お客様のネットワークに接続して行う(オンサイト)のかという点です。これは、「どこ」からの侵入を調査したいのかということにも関係します、TLPTではインターネットからのリスクを洗い出すリモートでの調査および侵入されたことを想定しリスクを洗い出すオンサイトでの調査もスコープとして含められています。

オンサイトでお客様のネットワークに接続する場合も診断対象とするサーバと同一セグメント(サーバセグメント)から実施するのか、ユーザが普段利用しているセグメント（ユーザセグメント）から実施するのかによって、結果も変わってくる可能性があります。これは、一般的にユーザセグメントの通信は制限され、途中のネットワーク機器などでアクセス制限が行われている場合が多くあり、反対に、サーバセグメントは通信の制限を行っていない場合や通信制限が厳格ではない場合があるためです。通信が制限されることで診断できる内容が変わってしまうため、検出結果も変わる可能性があります。

サーバセグメントでの実施は多くの通信が許可されていることが多いため、多くの結果を得られる可能性がありますが、サーバセグメントで実施することが適切かというと想定するシナリオによって変わってきます。たとえば、不正なソフトウェアを実行する可能性が高いのはサーバセグメントよりユーザセグメントになります。そのため、ユーザセグメントにあるPC端末などで不正なソフトウェアを実行し、乗っ取られたことを想定する場合、ユーザセグメントからテストを実施する必要があります。このように現実的に起こる可能性のあるシナリオに合わせて実施場所を変更します。

登壇後、どのようなテストを実施するのがいいのかと言った具体的なご相談を通じて、多くの方と有意義なディスカッションを行うことができ、筆者にとって大変勉強となったイベントでした。イベント終了後、ハッピーアワー(※2)に間に合わせるため急いで片づけを行い、おいしくいただきました、テキーラを。

※1　http://www.f-isac.jp/institute/activities.html

※2　ハッピーアワーとは、ビールなどの飲み物が割引きされる時間帯で、一部の居酒屋などで導入されているとてもすばらしいサービスです。

小河 哲之 の他のブログ記事を読む