最低限検討すべきデフォルト緩和策 端末編
情報システム開発契約のセキュリティ仕様作成のためのガイドライン
最低限検討すべきデフォルト緩和策
本項では、ユーザー主体による運用管理および業務ルールによる対策として実施することが想定されるが、システムによる自動化、制限機能、チェック機能等の実装または実施を促すような機能による対策もあるため、必要に応じてシステム開発時のセキュリティ仕様として盛込むことも推奨します。また、この対策は、ガイドラインによるリスク低減の効果に大きく影響するため、ベンダーはユーザーに対して内容をレクチャーすることを推奨します。
No | 項目 | 概説 | 期待できる効果 | 考えられる影響 | 影響の緩和策 |
1 | 教育の実施 | 経営者向け:サイバーセキュリティ経営のリーダーシップをとり、セキュリティマネジメントのための知識を身に着ける。 | 適切な投資(セキュリティ対策費とリスク受容のバランス)の実施 | 具体的な方法がわからない | IPA 中小企業の情報セキュリティ対策ガイドラインの活用 |
管理職向け:セキュリティ設定の重要性や運用の必要性を理解し、指示・対応可能な知識を身に着け、継続的に組織に対して脅威情報などのインプットを行う。 | インシデント発生時の対応、社内外への適切な運用の維持、注意喚起の実施 | 具体的な方法がわからない | IPA 中小企業の情報セキュリティ対策ガイドラインの活用 | ||
従業員向け:設定の意味や運用の背景を理解する。 | 最新の攻撃手口の習得、適切な運用と報告 | 集合教育が難しい、コンテンツがない | IPA コンテンツの活用 | ||
2 | 重要情報資産の暗号化とバックアップの実施 | 重要資産を指定し、暗号化を行い、定期的にバックアップをとる。 | 被害の軽減/復旧 | バックアップシステムの導入コスト | クラウドの活用(OneDrive、GoogleDrive、DropBox) |
3 | 管理者権限の制限 | 利用者にローカルの管理者権限を付与しない (特権IDの適切な管理)。 | 特権昇格・永続化の防止/資格情報の窃取の防止 | アプリケーションインストールが不便 | インストール時のID/パスフレーズの付与 |
4 | アンチウイルス製品の利用 | パターンファイルの更新、クイックスキャン(日次)・完全スキャン (週次)の実施。 | 初期侵入の軽減/マルウェアの実行の防止 | スキャンが重く、PCが遅くなる | SSDもしくはSSD搭載PCへの換装検討(業務効率も向上) |
5 | 脆弱性修正プログラムの適用 | 脆弱性を修正するプログラムがリリースされた場合は、リリース後速やかに適用する(対応が難しい場合は代替策を用いる)。 | 初期侵入の軽減/マルウェアの実行の防止 | アプリケーションが動かなくなる | ベンダー情報の収集、互換性の低いアプリの運用停止 |
6 | マクロ・スクリプト禁止と保護ビューの利用 | Office、Acrobat製品等のマクロを禁止し、保護ビューを設定し、外部からのファイルは保護ビューを解除しない。 | 初期侵入の軽減/マルウェアの実行の防止 | マクロが使えない | マクロ実行用バッチファイルの設定 |
7 | メール・ブラウザーの適切な利用 | メールのファイルやリンクはむやみにクリックしない、リンク先を確認する、HTTPSで始まらないサイトは閲覧しない、パスワード解析ツールがあることからID/パスワードをブラウザーに保存させない、お気に入りは定期的に整理する。 | 初期侵入の軽減/マルウェアの実行の防止 | 多要素認証の導入、パスワードマネージャーの導入 | |
8 | 多要素認証機能の利用 | 顔認証や指紋認証、トークンなどを利用する。 | 資格情報の窃取の防止/水平展開の防止 | 設定がわからない | 専用サイトへの誘導 |
9 | セキュアなネットワークの利用 | フリーWi-Fi(特にパスワード設定のないWi-Fi)は利用せず、テザリングを活用する。httpsのみの接続が望ましい。退職者が出た場合、Wi-Fiのパスワードを変更する。 | 初期侵入の軽減/資格情報の窃取の防止/水平展開の防止 | 見分け方がわからない | IPA コンテンツの活用 |
10 | 外部記憶媒体の利用制限 | USBメモリやスマートフォンの外部記憶媒体で顧客とデータ交換をしない。利用する場合は最新のアンチウイルス製品で完全スキャン後に利用する。 | 初期侵入の軽減/マルウェアの実行の防止 | 顧客とのコミュニケーションや対応が悪くなる | 社内規程を整備し、社内ルールであることを周知する |
11 | 適切に管理・設定されたパスワードの利用 | 初期パスワードの変更(OS、ネットワーク機器等)を行い、端末・サーバーのローカル管理者のパスワードをユニークにする。またパスフレーズを活用し、設定する。 | 資格情報の窃取の防止/水平展開の防止/被害の軽減 | 設定がわからない | 導入業者に指示し、報告を受ける |
教育の実施 †
実施対策 †
サイバーセキュリティの維持のためには、IT部門・担当者に依存することなく、全社的な取り組みが必須である。サイバーセキュリティ経営を実現するために組織の役割に応じた教育を実施する。
- 経営者向け: リーダーシップをとってサイバーセキュリティ経営を促進するためにセキュリティマネジメントの知識を身に付ける
- 中間管理職向け: セキュリティ設定の重要性や運用の必要性を理解し、指示・対応可能な知識を身に着け、継続的に組織に対して脅威情報などのインプットを行う
- 従業員向け: 設定の意味や運用の背景を理解する
コンテンツ †
- IPA映像で知る情報セキュリティ ~映像コンテンツ一覧~ :https://www.ipa.go.jp/security/keihatsu/videos/index.html
- 組織の情報資産を守れ!-標的型サイバー攻撃に備えたマネジメント-
- 見えざるサイバー攻撃 -標的型サイバー攻撃の組織的な対策-
- そのメール本当に信用してもいいんですか? -標的型サイバー攻撃メールの手口と対策-
- 今 制御システムも狙われている! -情報セキュリティの必要性-
重要情報資産の暗号化とバックアップの実施 †
設定・運用対策 †
組織内で重要情報資産を定義する。
- 情報の内容の識別:個人情報、機微情報、営業情報、技術情報、財務情報等
- 情報の機密度の識別:極秘、営業秘密、秘密、社外秘
- 情報の共有の識別:社内関係者限り、部門限り、関係部門間限り、社外を含む関係者限り、一般公開可能 定義に応じて、重要情報資産へのアクセス設定を行い、その上で暗号化する、しないを決定する。 情報資産の内容に応じて、バックアップの可否、バックアップの実施タイミング(日次、週次、月次、年次等)を決定し、実施する。
攻撃の手口 †
ゼロディ攻撃や、修正プログラムリリース前に攻撃コードが公開された場合で、アンチウイルスを始めとする緩和策がまったく有効でない場合がある。
また、ランサムウェアに感染すると、データを暗号化されてしまうだけでなく、情報を窃取し、身代金を支払わない場合、窃取した情報をインターネットに公開するなどの手口も出現している。
現状の課題 †
データが窃取された場合、情報公開や悪用される可能性があり、事業継続に多大な影響を及ぼす可能性がある。ランサムウェアの場合、身代金を支払っても、データが復号できる保証はない。
対策の効果 †
攻撃されることを前提に措置を講じることは、極めて有効である。
重要資産の暗号化は、情報漏洩の際に実質的な漏洩を軽減する効果があり、Zip暗号化やOffice文書のパスワード設定等で容易に設定が可能である。
バックアップは、ランサムウェアなどの改ざんを行うマルウェア対策として極めて有効である。
リスクの受容 †
万一、マルウェアに感染し、データの暗号化等が実施された場合の復旧コストに比べ、はるかに低コストで防御が可能となるため、暗号化、バックアップを実施しないというリスク受容は推奨できない。
対策による弊害の緩和 †
バックアップ先として、Dropbox、Google Drive、OneDrive、BOX などの、ファイルの世代管理を実施するクラウドシステムがあり、情報資産の機密性、重要に応じて、これらの活用も視野に入れるべきである。(ランサムウェアで暗号化される前の世代のファイルで復旧できる)
OneDriveの場合、マイドキュメント、デスクトップを自動的に随時、バックアップする機能がある。
管理者権限の制限 †
設定・運用対策 †
管理業務以外の一般業務に携わる利用者には、管理者権限を付与せず、最小限の権限のみ与える。
Windows においては、Built-in Administrators に利用者やドメインユーザーを所属させない。
攻撃の手口 †
マルウェアが、永続性の確保や、アンチウイルスの無効化、改ざん、情報漏洩といった実害を引き起こすためには、管理者権限が必要となる場合がある。
現状の課題 †
利用者に管理者権限を与えている場合、マルウェアは侵入と同時に管理者権限で様々な行動が可能になり、新たなマルウェアをインターネットから呼び込んだり、C&Cサーバーと通信し、情報を外部に送信するなどの被害が発生する可能性が高まる。
また、管理者権限であれば、アンチウイルスソフトの停止や、様々なセキュリティ設定を変更でき、監査証跡も消去が可能で、他の端末への拡散も実行可能となる。
対策の効果 †
一方、標準ユーザーの場合、アプリケーションのインストール、OS やアプリケーションの設定変更が不可能であり、都度、管理者のID、パスワードが必要である。このため、特権昇格を試みている間に、検出が可能になる可能性が高まり、また、水平展開が困難となるなど、被害拡大を緩和できるメリットが大きい。
リスク受容 †
運用に弊害が発生するとの理由から、リスク受容することは危険であり、推奨できない。
対策による弊害の緩和 †
アプリケーションのインストール、設定変更のための個別のユニークなBuilt-In Administrators の ID、パスワードを PC に保存しないこと、適切な管理を前提に、標準ユーザーに印刷物で付与し、運用することを強く推奨する。
アンチウイルス製品の利用 †
設定・運用対策 †
アンチウイルスは端末、サーバー起動時にパターンファイルもしくはアンチウイルスソフト自体のバージョンアップを実施する。
日次1回は、マイドキュメント等のクイックスキャンを実施する。
週次1回以上、接続されたメディア全体の完全スキャンを実施する。
攻撃の手口 †
マルウェアは、アンチウイルスの検知を逃れるために、大量の亜種を作成する。亜種が多ければ多いほど、対応するパターンファイルのリリースに一定の時間がかかるためであり、この間に攻撃を完了しようという戦術に基づく。
現状の課題 †
未対応のパターンファイルの場合、検出が困難であり、対応するパターンファイルのリリースまでの期間(delta)はマルウェアの侵入を許してしまう。
対策の効果 †
パターンファイルの更新、日次でのマイドキュメントへのクイックスキャン、週次での完全スキャンを実施することで、最新のパターンファイルでの検出ができる可能性が高まる。
リスク受容 †
完全スキャンについては、動作が遅くなる等の弊害も指摘されるが、最新のパターンファイルですべてをスキャンすることは、極めて重要であり、実施しないことで、マルウェアの活動を許す期間が長くなるため、このリスク受容は推奨できない。
対策による弊害の緩和 †
ハードディスクなどの低速のI/Oを使用している場合、完全スキャンはシステムの動作が緩慢になり、生産性が落ちる。一方で、SSDに換装することで、完全スキャンの弊害は回避できる上、起動や処理全般の高速化による生産性の向上も期待できる。
脆弱性修正プログラムの適用 †
設定・運用対策 †
脆弱性修正プログラムは、リリース後、早期に適用する。
テスト期間中や、適用が早期に行えない場合は、脆弱性の性質に応じた適切な緩和策を実施し、監査を強化する。
攻撃の手口 †
マルウェアは、OSやアプリケーションソフトの脆弱性を利用し、自身のインストールや永続性の確保を行う。
現状の課題 †
修正プログラム適用によって、アプリケーションが動作しない等の理由で、修正プログラムの適用を実施できない場合がある。また、テストの工数負担が大きくすぐに適用できない場合や、運用上、システムを再起動できない24/365システムが存在する。
対策の効果 †
脆弱性情報発表の数日後に、その脆弱性を利用する新種のマルウェアが出現するなどの実績があり、早期適用は強く推奨される。
リスク受容 †
リスク受容する場合は、脆弱性の性質とシステムの特性に応じて、アクセス制限、不要なポートの遮断、脆弱性を有するプロトコルやアプリケーションの使用制限などの緩和策を速やかに実施し、監査を強化し検出に努める。
マクロ・スクリプト禁止と保護ビューの利用 †
設定・運用対策 †
Office のマクロは警告を発して原則禁止とする。保護ビューの設定を行う。
PDF のスクリプトは原則禁止とする。サンドボックスによる保護(表示は、「保護されたビュー」)の設定を行う。
Adobe Acrobat Standard DCでの設定例 †
- [環境設定]>[Java Script]>[Acrobat JavaScript を使用] のチェックボックスを外す。
- [環境設定]>[Java Script]>[JavaScript のセキュリティ]>[メニュー項目の JavaScript 実行権限を有効にする] のチェックボックスを外す。
- [環境設定]>[セキュリティ(拡張)]>[サンドボックスによる保護]>[保護されたビュー]>[すべてのファイル] を選択。
攻撃の手口 †
ローダーと呼ばれるマルウェアは、Office文書、PDF文書に埋め込まれたマクロやスクリプトであり、文書を開かせることで起動する。起動後、ローダーは外部から新たにマルウェア本体をダウンロードする。このように複雑な手順を踏むのは、アンチウイルスによる検出を避けるためである。
現状の課題 †
業務でマクロ・スクリプトを実行できる環境では、悪意ある文書の保護ビューを解除すると感染してしまう。
対策の効果 †
業務でマクロ・スクリプトを実行しない環境では、出荷時規定値であるマクロ・スクリプトの禁止を維持し、保護ビューを解除しないことで、被害を緩和できる。
リスク受容 †
多くのマルウェアは、この攻撃手口を利用することから、リスク受容は推奨できない。また、マクロ・スクリプトの利用許可は、一種の脆弱性の容認であることから、文書化し、監査を強化することを推奨する。
対策による弊害の緩和 †
業務でマクロ・スクリプトを実行する環境では、通常は、レジストリ設定でマクロ・スクリプトを禁止しておき、マクロ・スクリプト使用時のみ、レジストリを許可設定に変更したのち、マクロ・スクリプトファイルを使用する。使用後は、マクロ・スクリプトを禁止設定とする。一連の手順をバッチファイルにして、バッチファイルの操作で完了するようにする。
メール・ブラウザーの適切な利用 †
運用対策 †
HTTPSで始まらないサイトの閲覧、ダウンロードを禁止する。
電子メールに埋め込まれたWebサイトのリンクをクリックする場合は、実際のリンクを確認し、フィッシングサイトでないことを確実に確認する。HTTPS で始まらないリンクの場合は、送信者に確認するなどを規定化する。
相手方の実在を対面で確認した以外のメールの送信者はなりすましである可能性が否定できないため、対面もしくは相手方代表電話を経由し実在の確認ができた相手方に限り、リンク、添付文書の閲覧を実施する。
攻撃の手口 †
マルウェアの初期侵入は、メールに添付した悪意ある文書ファイルや、悪意あるサイトへ誘導する埋め込みされたリンクである。OSやアプリケーションの脆弱性を利用し、Webサイトを閲覧しただけで、マルウェアが送り込まれる。マルウェアはブラウザーのID/Passwordを窃取し、システムへの攻撃や水平展開に利用する。
現状の課題 †
攻撃者はユーザーとメールのやり取りを数回し、信頼を得たところで、悪意ある文書やリンクを送付してくる。信頼関係があるため、ファイルやリンクを開き被害にあってしまう。
対策の効果 †
不審なサイトの閲覧を極力回避することで、被害を軽減できる。特に HTTPS で始まらない、鍵マークが表示されないサイトへの接続を禁止する規程を整備し、周知する。
リスク受容 †
Google Chrome は既に HTTPSでなくHTTPのみ で始まるサイトへの接続に警告を発している。2020年10月からは HTTPのみ で始まるサイトからのダウンロードをブロックする予定である。今後、 HTTPS で始まらない、つまりドメインや組織の存在が確認できないサイトの閲覧は、脅威であると認識すべきであり、リスク受容は推奨できない。
対策による弊害の緩和 †
Chrome を使用する場合は、安全と考えられる HTTPのみで始まるサイトを登録することで、ブロックを回避できる。
多要素認証機能の利用 †
設定・運用対策 †
- 多要素認証を利用する。
- システム管理者の場合、多要素認証は必須とする。
攻撃の手口 †
侵入したマルウェアは、ブラウザーやOSが保存しているID /PWなどの情報を窃取し、特権昇格や他の端末への水平展開を試みる。
現状の課題 †
パスワードは知識(記憶)に頼った認証方式である。一般的に、複雑で長い桁数のパスワードは記憶が困難なため、パスワードを使いまわすか、多少、変更して使いまわすことが多い。このため、何らかの方法でパスワードが漏洩すると、類似のパスワードを生成され、Webサイトやドメインに侵入されてしまう可能性が高い。また、パスワードの場合、漏洩したこと自体を検知するのが困難なため、定期変更が求められるが、定期変更までに攻撃が完了しているかもしれず脆弱である。このように、定期変更は防御とならず、かつ、類推しやすいパスワードを生み出す温床となっている可能性が指摘されている。
対策の効果 †
多要素認証は、知識もしくは、生体情報と、所有(ハードウェア)のいずれか2種類以上を組み合わせて認証を行うものである。
認証要素 | 代表例 | 想定される攻撃や課題 |
知識 | PIN 、パスワード、パスフレーズ | 総当たり攻撃、辞書攻撃、漏洩パスワードの悪用 |
生体 | 顏、指紋、静脈 | 他人誤認識があり、確率的で確定的でない、漏洩した場合の代替がない |
所有 | PKI ハードウェアトークン、ワンタイムパスワード生成トークン | 盗難、紛失の際、失効する仕組みが必要 |
これらを複数組み合わせることで脆弱性を補完できるが、知識+生体の組合せの場合は、情報が揃って窃取された際の対処が難しい。そのため、所有+知識もしくは所有+生体で多要素認証を構成する例が多い。万一、パスワードもしくは生体情報が漏洩しても、所有物がなければ認証が成功しない。所有物を紛失、盗難して、パスワードが試行されても、パスワードのロックアウトが実施され、ブルートフォース攻撃は成功しない。
リスク受容 †
多要素認証は導入にコストがかかることがあり、移行期間中に、既存のシステムの認証方式との整合性が取れない場合がある。多要素認証を導入しない場合、ブルートフォース攻撃、辞書攻撃の耐性が強いとされる、長い桁数のパスフレーズの導入を行い、リスクを受容することが考えられる。この場合、同じフレーズの繰り返しや回文の使用、連続した文字列(123456789、qwerty)を禁止する必要がある。
システム管理者のリスク受容は推奨できない。
セキュアなネットワークの利用 †
設定・運用対策 †
- Free Wi-Fi は利用禁止とし、携帯電話でのテザリングを利用する。
- 例外的にセキュアでないネットワークに接続する際は、組織もしくは信頼できるプロバイダーまで VPN 接続を行う。
- Wi-Fiは事前共有鍵方式(PSK)ではなく、802.1X/EAP認証を利用する。
攻撃の手口 †
攻撃者は通信が暗号化されない Free Wi-Fi などで通信を傍受し、認証情報の窃取、システムへの侵入を試みる。特に、認証情報が暗号化されずに送信された場合、なりすましを許してしまう。また、実在する正規のAPアクセスポイント (AP) と同一のSSID、暗号化キーを設置し、Free Wi-Fiのなりすましを行い、通信を傍受するなどの攻撃が実例として存在する。
退職者が組織の Wi-Fi の事前共有鍵 (PSK) を利用し、若しくは第三者に暴露し、構外から Wi-Fi に接続する可能性がある。
現状の課題 †
総務省の調査では、65%がFree Wi-Fi の危険性を認知していながらも、48%が実際にはなんら対策を施していないという調査がある。
退職者が出た場合に Wi-Fi の PSK を変更する組織は少なく、情報漏洩・窃取の脅威が存在している。
対策の効果 †
テザリングを利用し Free Wi-Fi に接続しないことで、情報窃取・漏洩のリスクを緩和できる。
ゲストエリアでの組織内 Wi-Fi の AP を設置しない、月次で Wi-Fi の PSK を変更することで、退職者が出ても、情報窃取・漏洩のリスクを緩和できる。802.1X/EAPの場合、ユーザー個別に認証することから、退職者が出た場合、ユーザーアカウントの無効化で対処できる。
それぞれ、実効性を担保するため、規程を整備することが望ましい。
リスク受容 †
セキュアでないネットワークの利用は、情報窃取・漏洩のリスクが高く危険で、リスク受容は推奨できない。
対策による弊害の緩和 †
やむを得ずセキュアでないネットワークを利用する際は、VPNソフトウェアを利用し、組織もしくは信頼できるプロバイダーまで、VPN で接続し、セキュアでないネットワーク内での暗号化通信を実施する。
外部記憶媒体の利用制限 †
設定・運用対策 †
- USBメモリ等のリムーバブルメディアの利用を、職務上、やむを得ない場合を除いて許可しない。
- リムーバブルメディアを接続する端末は、自動再生を許可しない、自動実行コマンドの実行しない設定を行う。
- 可能な限り、リムーバブルメディアはアンチウイルス内蔵のものに限定する。
- 使用が終わったら初期化する。
- 使用を禁止する場合は、USBメモリ等の挿入を禁止するUSBポートガード等での物理的禁止設定を施す。
攻撃の手口 †
マルウェアは常時、リムーバブルメディアの接続を監視しており、接続された段階で、リムーバブルメディアに自分自身をコピーし、自動再生機能、自動実行機能を悪用し他の端末への拡散を行う。
現状の課題 †
客先等で、大量のデータを交換する際に、電子メールや Web アプリケーションを経由することが阻まれるケースがあり、やむなく、リムーバブルメディアを利用せざるを得ない状況が存在する。
対策の効果 †
利用制限の内、リムーバブルメディアの接続の際の自動再生を禁止し、かつ、アンチウイルスソフト内蔵のリムーバブルメディアを利用することで、リスクを大幅に緩和することが可能である。
リスク受容 †
自動再生、自動実行の禁止は設定容易であり、再生もワンクリックするだけである。自動再生、自動実行のリスクがはるかに高く、受容すべきではない。
適切に管理・設定されたパスワードの利用 †
設定・運用対策 †
- 初期パスワードは必ず変更する。
- ロックアウト可能なシステムの場合は、5回連続して間違ったら15分間、ロックアウトを実施する。
- 長いパスフレーズを採用する。ただし、連続、繰り返し、回文は排除する。
- 123456789
- aaaaaaaaaaaaa
- qwertyuiop
- monkeyyeknom
攻撃の手口 †
ルーター、Firewall、IoT 機器の変更されていない初期パスワードは、Web上で多数公開されている。攻撃者は、ブルートフォースや辞書攻撃でインターネットの接続点を攻撃してくる。また、電子メールやWebサイト経由で侵入したマルウェアは、水平展開を行う際に、それまで収集したID、パスワードをもとに推測したパスワードで侵入を試みる。 IoT 機器や Windows の Built-in Administrator の場合、パスワード試行失敗のアカウントロックアウトができないため、ブルートフォースや辞書攻撃は極めて有効である。
現状の課題 †
ロックアウトが設定された場合、パスワードは8桁、英大文字、英小文字、記号の組み合わせで十分といえるが、上述のようにロックアウトができないシステムの場合、例えば”Ipa#9801” という英数字(大文字、小文字を含む)と記号を使った8桁のパスワードは、攻撃用システムで解析すれば0.83日で解読可能 となる。
対策の効果 †
”Ipa ha komagome” (長さ20桁)のような長いパスフレーズの場合、解析は困難である。複雑性を要求するよりも、覚えやすいパスフレーズで長さを要求したほうが安全である。
リスクの受容 †
システムの都合上、長い桁数を受け入れない、かつ、ロックアウトができないシステムが存在する。その場合は、極力、複雑かつ完全にランダムで可能な限り長いパスワードを設定する。総当たり攻撃がないか、定期的に監査を行い、兆候がある場合は、パスワードの有効期間を短く設定し、変更するなどを規程化して受容する。システム更新を早め、長い桁数を受け入れる、もしくは、ロックアウト可能なシステムに入れ替える。
対策による弊害の緩和 †
辞書に掲載されていない単語を採用することが望ましいが、完全にランダムなパスワードは入力間違えも多く発生する。管理者端末からリモート接続の場合に限ってのみ、管理者のパスフレーズで暗号化保存したパスワードファイルからのコピー & ペーストを許可する。