これは [Kyash Advent Calendar 2024] の8日目の記事です。

Kyashで情報セキュリティを担当しているshimoyamaです。 もう１年が経ちますかぁという感じですが、この１年は何をしてきたんだろう？という思いもあり、少し振り返って見ようと思います。 情報セキュリティを生業としている人が全て同じことしている訳ではありませんが、どの様なことをしているのかはわかりそうなので、ご参考になればと。

外部認証の取得・準拠

www.kyash.co

Kyashホームページを見て頂くと、一番下に『登録』という欄が凄く控えめに存在していますが、皆さんはご覧頂いていますでしょうか。 『登録』にはKyashが取得・準拠している認証等を記載しているのですが、その中の PCI DSS 、 TRUSTe 、 JIS Q 27001 が情報セキュリティ担当の職務となります。 これらの認証を取得・準拠するためには審査やヒアリングを受ける必要があり、今年は以下でした。

• JIS Q 27001 ： 2月に審査を受審、期間は1日半でした
• PCI DSS ： ９・10月に審査を受審、期間は6日間（長い！）でした
• TRUSTe ： 12月（まさに今！）にヒアリングを受けました。

審査やヒアリングを受けるためにはそれなりの準備が必要になりますが、それらの外部認証には規格要件があり、審査やヒアリングでは規格要件ごとに文書や証跡を提示しながら進めるため、準備では規格要件の内容がこうなっているからこういう文書と証跡を準備しておけばOKかも、という感じです。

ところが、この規格要件が何を言っているのかよくわからない場合も結構あるので、他部署から質問を受けた際の回答内容に迷うことも多く、特に今年の PCI DSS は規格要件のバージョンが 3.2.1 から 4.0 に上がり、追加・変更された規格要件がそれなりにあり、更によくわからない状態でしたので、これまで培ってきた人脈をフルに活用しながら調べまくりました。

とは言いつつも、昨年と比較して今年の PCI DSS の審査は結構上手く進められた様に感じています。準備不足の場合、提示する文書・証跡を探しながら審査を行うため時間が掛かってしまうのですが、準備段階でこの規格要件ではこの文書とこの証跡を出す！と決めて、一覧化しているのでスムーズに進められました（ちなみに昨年は、担当されていた前任者の方が退職され、急に私が対応することになりバタバタでした）。 私が上手いことやれたということでは無く、他部署の方が優秀だったことに尽きると思っていますので、激しく感謝しております！

実は、 PCI DSS の規格要件バージョンが 4.0 から 4.0.1 へちょっと上がり、2025年の審査は新バージョンになるとのことです（涙） まぁ、情報セキュリティに関する認証規格がバージョンアップすると、規格要件が” 減る ”ということはほぼ無く” 増える ”一方で、その度に審査工数と準備工数が増えるため色々と辛いですが、技術変化が激しい業界ですので” さもありなん ”という感じですね。

ところで、外部認証それぞれの詳細につては本稿では書いていませんが、詳細を知りたい方は下記のリンク先を参照してみてください。

• PCI DSS ja.wikipedia.org

• TRUSTe www.truste.or.jp

• JIS Q 27001（＝ISO/IEC 27001） ja.wikipedia.org

サイバーセキュリティ演習

今年のお仕事の中で印象的だったのが、金融庁が主催しているサイバーセキュリティ演習に参加したことです。この演習に参加するのは自分史上初なのもあり、準備段階を含めて興味深い内容でした。

私の準備不足もあり混乱したらどうしようとドキドキしながらスタートしましたが、始まってみれば想像以上にスムーズに進みました。参加されたスタッフの皆さん、流石です！

www.fsa.go.jp

訓練や演習を行う目的としては、サイバー攻撃を実際に受けた場合、こういう感じで対処しましょうねを想定して定義している手順等が、攻撃発生時に役に立つのか役に立たないのかを検証し、不備があれば手順等を改善しましょうということなので、今後も続けていければと思っています。

ログ確認と脆弱性調査

今年も色々なログを確認しました。日次、週次、月次、アラートが出たとき、不定期といったタイミングで確認していたり、確認していなかったり、と濁しておきますが、ログ確認については情報セキュリティ的にあまり語れないのですが、今年もそれなりにやったなぁとちょっと感慨深い感じです。

また、ソフトウェアやアプリケーションの脆弱性調査を週次で行っているのですが、Kyashで使用しているソフトウェアやアプリケーションが該当する場合は、当該部署に周知しています。サイバー攻撃に関するトピックも同様に見ている中で、今年特に興味深かったのは” Living off the Land戦術を用いたOperation Blotless攻撃キャンペーン ”です。

www.jpcert.or.jp

詳しくは上記のリンク先を見て頂ければと思いますが、マルウェアの発見や挙動ブロック、攻撃されていると認識することが難しく、中々に厄介だなとの感想です。 対策内容を見れば大凡のポイントがわかるので、以下に引用します。ログの調査対象がDNSやVPNとなっているのが特徴的に感じますが、DNSやVPNを対象とした攻撃については、本件以外でも最近は目にする事があるため、比較的に狙われている印象があります。

◆推奨調査項目（短期的な対応）

1. ドメインコントローラーでのログなどの調査
2. Webサーバーやネットワーク機器などへのWebshell設置有無調査
3. リバースプロキシツールの調査
4. SSL-VPN機器などにおけるログ調査や管理者権限アカウントの調査

◆推奨対策（中長期的な対策）

1. 攻撃の侵入経路になり得るインターネットに接続されたアプライアンス（SSL-VPN等）の設定や運用の点検
2. Active Directoryの各種ログ保存設定の見直し、侵害兆候に関するアラート設定等の導入
3. 管理者権限の棚卸し

以前はVPNを使用しているので情報セキュリティとしては安全ですと手放しで言っていましたが、最近はそうでは無くなって来ましたので、管理をしっかりとする必要がありますが、上述した情報セキュリティの認証規格では、現状としてあまり言及されていないため、今後は、またしても規格要件が増えそうな悪寒が、いや予感がしますね。

Kyashに入社する前は情報セキュリティのコンサルティングを生業としていたのですが、参画していたとあるプロジェクトにて基盤担当者に” このシステムで使用するVPNの暗号suiteの設定はどうなっていますか？ ”と聞いたところ、” わからない、設定はデフォルトのまま、安全ですよね？ ” とのことでした。思い出ですね。

サイバー攻撃の手法や挙動を見ていると、システムの動きをすごく良く理解しているなぁと感じることが多く、興味深くて色々と調べていると時間が掛かってしまいますね。

最後に

情報セキュリティは守備範囲がとてつもなく広く、お仕事内容としては書けない内容も多いのですが、今回は主にKyashにおいてどの様な事をしているのかをご紹介しました。また機会があればお付き合い頂ければと思います。 メーカー系の教育機関で情報セキュリティのリスクマネジメントやリスク対策の講座の講師をしているので、ひょっとしたら、もしかしたら、お会いできるかもしれませんね。