セキュリティの
学び場

今回の解説ニュース

不正アクセスにより個人情報が漏洩した可能性があるということです。再発防止策として導入されたASMの概要と、長期休暇中に求められるインシデント対応の体制について説明します。

今回のインシデントは、サーバ機器を経由した不正な通信を検知したため第三者機関で調査したところ、システムのアカウント情報等を管理するシステムへの不正アクセスの形跡を確認し、個人情報の一部が外部流出した可能性が判明したというものです。原因として、ネットワークに設置されていたサーバの脆弱性が不正アクセスの経路となり、アカウント情報を管理するサーバに対し、第三者が不正操作を行ったことが挙げられています。

対策として、アカウント管理サーバへの不正アクセスの経路となったサーバを停止し、被害拡大を防ぐために全てのユーザーIDのパスワード変更を行うとともに、不正操作の履歴があったアカウント管理サーバの監視強化を実施するなどの措置を講じています。再発防止策として、脆弱性を悪用した不正アクセス対策としてASMを導入し、インシデント対応プロセスの改善を図るとともに、OSやソフトウェアのバージョン情報を管理するプロセスを強化し、多要素認証の実装の加速や、ユーザーIDを悪用したネットワーク内部不正アクセスや不正行為を検知し、対応するためのシステムを導入するということです。

ASM（Attack Surface Management）とは

ASMとは、Attack Surface Managementの略で、組織の情報資産を攻撃者から見た際のリスクを把握するためのセキュリティ対策です。特に、インターネット上に露出している情報資産を網羅的に把握し、脅威を特定することでセキュリティを強化することを目的としています。

まず、組織の攻撃対象ですが、攻撃者によってサイバー攻撃が行われる可能性のある情報資産全般が該当します。具体的には、パソコンやスマートフォン、サーバやVPN機器に加え、ソフトウェアやクラウドサービスなども挙げられます。

ASMは、これらの情報資産を継続的に監視することで、攻撃対象の変化を把握し、脅威を特定することで、セキュリティを強化することを目的としています。具体的には、端末やクラウドなどの情報資産を可視化して、OSやバージョンなどの関連情報を継続的に収集します。その上で、情報資産に存在する脆弱性やインターネットへ露出している状況から、攻撃対象となりえるかを把握します。

ちなみに、類似するセキュリティ対策である脆弱性診断との主な違いは、特定の情報資産に対して脆弱性を詳細に把握するのが脆弱性診断、組織に関連するリスクを網羅的に把握するのがASMとなります。

長期休暇中に求められるインシデント対応の体制

長期休暇中に求められるインシデント対応の体制として、休暇前に緊急連絡体制の確認を行うことが必要です。

長期休暇中は担当者が不在になるなどして、通常のインシデント対応ができなくなる場合があります。結果として、対応に遅れが生じることで、インシデントの被害が拡大してしまう可能性があります。よって、休暇前にインシデントが発生した際の緊急連絡体制を確認しておくことが必要です。具体的には、連絡フローが現在の体制でも有効であるかの確認や、担当者の連絡先が変わっていないかなどの確認が求められます。

また、長期休暇明けは、休暇中に脆弱性が公開されている可能性がありますので、速やかにセキュリティ情報を確認した上で、OSやソフトウェアのバージョンアップを検討しましょう。ちなみに、セキュラジは年末年始も休まず放送します。