パロアルトネットワークスが9月12日に開催した「Palo Alto Networks Day 2017」に、ジャパンネット銀行 IT統括部 部付部長 JNB-CSIRTリーダー 二宮賢治氏が登壇。「ジャパンネット銀行における標的型攻撃対策について」と題し、同行のCSIRT運用やコストを抑えながら運用している独自の標的型攻撃対策を紹介した。
大切なのは「小さな施策の積み上げ」
ジャパンネット銀行は預金残高7,000億円(市場性商品除く)、口座数約350万口座の日本初のインターネット専業銀行。24時間365日取引可能で、定期メンテナンスに伴うサービス停止時間は年間30分にすぎない。日本の銀行で初めてワンタイムパスワードのトークンをキャッシュカードと同様の薄さのカード型トークンとして提供したほか、最近はトークン不要で安全に本人確認を行うことができる「認証パネルアプリ」を提供するなど、サービス向上に努めている。
二宮氏は、SIベンダーで金融機関担当SEを経て、2003年にジャパンネット銀行に入行し、主に基幹系システムの基盤開発を担当してきた。2013年には同行のCSIRT「JNB-CSIRT」設立に関わり、2015年からはCSIRTリーダーとしてサイバーセキュリティ対策を主な業務として取り組んでいる。
 |
|
ジャパンネット銀行 IT統括部 部付部長 JNB-CSIRTリーダー 二宮賢治氏 |
ジャパンネット銀行が標的型攻撃対策に取り組み始めたのは2015年6月からだ。2015年5月に日本年金機構からの情報漏洩事件を受け、全社プロジェクトチームを設置して、対策を推進した。プロジェクトチームは、ITガバナンス部門、リスク管理部門、JNB-CSIRTを中心に社内各部署のメンバーで構成。主に、「現在の対策の総点検とリスク再確認」「追加対策の検討・方針決定」の2つに取り組んだ。
「総点検では主に、個人情報の保管場所の一斉点検や社内の啓蒙活動、人的チェック強化策の検討などを行いました。追加対策で大きなポイントとなったのは、感染を前提に、社内機密情報が外部に出ていかないようにする施策の検討です。当時は、銀行業務を安全に行うためのひととおりのセキュリティ製品は導入していたものの、未知の脆弱性を突かれて社内にマルウェアが入り込むと、PCなどから個人情報が盗まれる懸念がありました」(二宮氏)
そこで取り組んだのが、内部対策・出口対策の強化だ。入り口対策については、2012年からPalo Alto Networksの次世代ファイアウォール「PAシリーズ」を導入し、アンチウイルスやファイルブロッキング、不許可通信遮断、URLフィルタ、IPSなどを行っていた。それに加え、出口対策としてPAシリーズでアプリケーション制御を行うようにした。
「アプリケーション制御は、徹底したホワイトリスト運用です。業務上必須のアプリケーション通信のみを許可設定し、必要なアプリケーションが増えた場合は、利用部署から申請します。SOC運用は機器の保守と監視のみ外部委託し、ポリシー定義・設定は全て自社で実施しています」(二宮氏)
PAシリーズは、URLフィルタサービスでは対応できないユーザー/グループ別のフィルタ制御をADと連携して実施できたり、製品ベンダーが脆弱性の修正プログラムを提供する前に、脆弱性に対応したシグニチャを提供してくれたりと使い勝手がいいという。また、誤検知が少ないことも評価した。現在は、サンドボックス機能(WildFire)以外をほぼ全て有効にして利用しているという状況だ。
また、出口対策については、プロキシ認証の追加、POSTサイズ制限、仮想ブラウザの導入といった施策を追加で行った。さらに、内部対策についても、認証ゲートウェイを新たに導入したほか、ファイルサーバの点検強化、ふるまい検知機器導入といった追加策を実施した。
 |
|
追加施策の全体像 |
「こうした6つの施策は、『セキュリティ製品は使い倒すこと』『低コストでできる対策もある』を信条に進めました。新規の機器導入以外は追加費用がほとんど発生していません」(二宮氏)
例えば、プロキシ認証の追加は、外部サイトに接続する際にプロキシでアカウント認証を実施するものだ。内部に潜り込んだマルウェアはこの認証を突破できずC&Cサーバとの通信はできなくなる。クライアントのADアカウントとは別アカウントにし、ユーザーに都度アカウントを入力させており、追加費用はかかっていない。
また、POSTサイズ制限は、特定のサイズを超えるPOST通信を拒否するように設定するもので、不正に収集したファイルをC&Cサーバにアップロードされることを防ぐ。これも追加必要は発生していない。
「セキュリティ施策1つで全体をカバーすることはできません。キルチェーンのどこかで攻撃を断ち切るために小さな施策の積み上げが大事になってきます。また、製品、サービスを利用する場合は、自社に適合し、運用できるかをしっかり評価しています。もちろん、既存の製品やサービスで対応できるか考えることも重要です。費用をかけなくても、ちょっとした設定で効果を発揮する施策はあります」(二宮氏)
