内容説明
最近、APT(Advanced Persistent Threat)という言葉を多く耳にするようになり、その被害も深刻化しています。しかし、現状は具体的な対応や対策ツールおよび解説の整備は不十分な状況です。本書は、日本セキュリティ監査協会が蓄積してきた新型サイバー攻撃APT(Advanced Persistent Threat)対策の知見をもとに、企業・組織のシステム管理者に最低限知っておいてほしい対策をまとめています。また、対策のチェック項目も含まれています。
目次
はじめに
■第1章 APTによる攻撃とは
1.APTによる攻撃の主な事例
2.APTによる攻撃の定義と特徴
3.APTによる攻撃の被害
(1)情報の流出に関わる被害
(2)情報システムの改ざんに関わる被害
4.APTによる攻撃への対策の必要性
■第2章 APTによる攻撃のステップ・バイ・ステップ
1.APTによる攻撃の流れ
2.APTによる攻撃のステップ
ステップ1 諜報 ―標的に関する情報を収集
ステップ2 侵攻 ―標的内部のコンピュータへマルウェアを送付
ステップ3 潜伏 ―標的内部のコンピュータがマルウェアに感染
ステップ4 橋頭堡確保 ―標的内部のコンピュータを支配
ステップ5 索敵 ―支配したコンピュータを踏み台に、ネットワークを探索
ステップ6 浸透 ― 発見したコンピュータを攻撃し、踏み台を増殖
ステップ7 占領 ―目的の情報のあるコンピュータを支配
ステップ8 収奪 ―目的の情報を窃取
ステップ9 撤収 ―攻撃の痕跡を消去
■第3章 APTによる攻撃対策の前に
1.情報セキュリティのマネジメントを確立する
(1)情報セキュリティマネジメントとは
(2)ベースラインアプローチとリスクベースアプローチ
2.基本的な対策(ベースライン)を考える
(1)ネットワークアクセスの適切な制御
(2)マルウェアへの対策
(3)ぜい弱性への対策
(4)各種ユーザアカウントやIDとその認証、アクセス権限の適切な管理
(5)ネットワークおよびサーバなどのアクセスログ取得と定期的なチェック
(6)バックアップの取得
3.インシデント対応の体制を作る
(1)インシデントやインシデントにつながる状況を定義する
(2)インシデントの報告ルートと対応責任範囲や判断の責任者を決めておく
(3)対応の記録を常に取っておく
参考1 一般的なセキュリティ対策チェックリスト
■第4章 APTによる攻撃の検知と対応
1.基本的な考え方
(1)基本的対策の限界を知る
(2)予防から検知へ発想を変える
2.APTによる攻撃の検知と対応は
(1)機器・システムのログ、システムファイルの整合性
(2)APTによる攻撃を疑うべきセキュリティイベント
(3)トラップの設置と検知
3.「怪しい」と思ったら行うこと
参考2 段階別に見た発見ポイントおよび機器による検知
参考3 ダークネットについて
■第5章 APTによる攻撃対策のために情報セキュリティマネジメント
1.APTによる攻撃対策のための情報セキュリティマネジメントとは
(1)基本方針の明確化と体制整備
(2)APTによる攻撃対策としての管理策
(3)残留リスクの承認
(4)日常の注意点
(5)PDCAを回す
■第6章 情報セキュリティ監査とその技法を活用する
1.情報セキュリティ監査の評価と判断の尺度
(1)情報セキュリティ監査における評価
(2)情報セキュリティ監査における判断の尺度
2.APTによる攻撃対策の情報セキュリティ監査
(1)APTによる攻撃対策の個別管理基準
(2)APTによる攻撃対策のための情報セキュリティ監査の実施
(3)システム管理者による監査技法の活用
参考4 APTによる攻撃対策と情報セキュリティ管理基準の対応例
参考5 APTによる攻撃対策に対する情報セキュリティ監査の着眼点
結びに代えて
参考文献
著者紹介