![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
テーマ サイバー攻撃/標的型攻撃に対する防御モデルを考える ~総務省事業の取組みを踏まえて~ 講師 奥村 恭弘 氏(NTTコミュニケーションズ株式会社 ソリューションサービス部 担当部長) #secdogo
2017-02-23 14:19:41![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
講演(1) サイバー攻撃/標的型攻撃に対する防御モデルを考える ~総務省事業の取組みを踏まえて~ #secdogo
2017-02-23 14:19:48![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
2月初めの複数の国内サイトの改ざんについてまとめてみた d.hatena.ne.jp/Kango/20170205… #secdogo
2017-02-23 14:23:04![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
6つの攻撃経路 ・メール ・ドライブバイダウンロード ・不正コード混入ソフト ・USBメモリ ・保守業者持ち込み機器 ・クラウドサービス #secdogo
2017-02-23 14:24:10![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
攻撃経路 クラウドサービス経由 (一部のクラウドサービスは同一アカウントで使うと同期する設定になる。私物のアカウント経由で企業が侵害される) その他にも - 標的型攻撃 - Drive by Download - 不正コードが混入したソフトウェア - 保守業者 #secdogo
2017-02-23 14:25:41![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
攻撃フェーズ 情報収集>マルウェアの入れ込み>足場固め(※)>C2との通信>攻撃実行 ドロッパーだけでなく、痕跡を残さないようにインメモリで動くマルウェアも増えてきた。 #secdogo
2017-02-23 14:27:27![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
防御モデル: ヒト・組織対策(インシデントレスポンスの計画と実行) 技術的対策(事前・検知・事後対策。被害にあうことを前提に、被害を最小化する仕組みづくり) #secdogo
2017-02-23 14:29:25![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
#secdogo で途中参加の方で資料が手元にない方は、受付に声がけしていただけるとお渡しいたします。満席につき申しわけありません。。。。
2017-02-23 14:29:27![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
CSIRT ガイド - JPCERT コーディネーションセンター jpcert.or.jp/csirt_material… #secdogo
2017-02-23 14:30:46![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
インシデントレスポンスプラニング: 情報収集 活動への承認獲得 組織内の現状把握および、関連部門との調整 CSIRT体制の設置および、簡易的な演習 活動にかかる文書作成とレビュー 計画は大事だが、すべて一気にやる必要はない。 #secdogo
2017-02-23 14:33:02![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
情報システム部門のミッション:コストの適正化を図る CSIRT のミッション:コストがかかってもセキュリティを向上する リソースの都合上、情報システム部門と CSIRT を兼任させると、相反するミッションを持つことになるため、経営層との合意が重要。 #secdogo
2017-02-23 14:34:59![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
インシデントハンドリングの流れ: 受付(PoC の設置が重要) 初動対応(原因がわからない中で何ができるのか?計画段階で考えておくことが重要。) 調査 結果分析 再発防止案の立案 #secdogo
2017-02-23 14:37:50![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
CSIRT の業務範囲は各組織ごとに異なるもの。 役割ごとにインシデントハンドリングでどのような業務があるかをまとめてあるので、自身の組織ごとに適用範囲を決めればよい。 ※ フロー図の資料は後日公開予定とのこと。 #secdogo
2017-02-23 14:40:06![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
技術的な事前対策: 攻撃者のコストを回りよりも高くすることが重要。 アプリケーションの利用制限 パッチ適用 管理者権限の最小化 #secdogo
2017-02-23 14:41:11![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
下記3対策で85%のサイバー攻撃が防御可能 ・アプリケーションの利用制限 ・アプリケーションを最新の状態に保持 ・管理者権限の最小化 #secdogo
2017-02-23 14:42:51