# ケーススタディ ## 事例1 事例1では、3回のペネトレーションテストを実施した企業Aの事例を紹介します。 ## 背景 企業Aは、約1000人の社員が働いている。拠点が複数に分かれており、各拠点で ネットワークを分けているが、一部ではつながっている。 自社のシステム担当部門が主にセキュリティ対策の検討や運用の一部を行っている。 主要な拠点には、自社の担当者を置き、外部からの攻撃に関するログ監視など、 一部の運用業務については、外部の業者に委託している。 以前、外部から攻撃を受けて、被害が発生しており、主担当者やその他メンバーの セキュリティ意識が非常に高かった。 ## 1回目の実施内容検討 ペネトレーションテストを実施したいということで話を聞いたところ、インター ネットに公開されているサーバについては、以前から診断を実施しており、その 対策も行われていた。そのため、標的型攻撃への耐性チェックを希望している。 そこで社員の端末が感染した前提で、重要情報の持出ができるかどうかをチェック する内部に対するペネトレーションテストを実施することになった。 複数ある拠点のうち、最も主要な拠点の端末が感染した前提でテストを実施した。 ## 1回目のテスト結果 実施した結果、以下の問題が検出された。 1-1. C2サーバから遠隔操作可能 1-2. 複数台のPCにおいて、ビルトインアドミニストレータの 認証情報が共通 1-3. ドメイン管理者アカウントの認証情報が取得可能 1-4. C2サーバへ重要情報の持出が可能 診断結果としては、標的型攻撃に対する改善が必要な状況であった。1-3については、 早急に対策を行い、その他の問題については、すぐに対策することが難しく、軽減策等を 検討することになった。 なお、報告会には別拠点のシステム担当者も参加しており、同様の問題点があれば 対策を行うという話であった。 ## 2回目の実施内容検討 次に、お客さんから話を聞いたところ、インターネットに公開しているサーバは侵入 されない想定だが、もし、侵入された場合には、どのような被害が発生し、それを 検知できるのかを知りたいということであった。 そこで、公開しているサーバに侵入された前提で、重要情報の持出ができるかどうかを チェックするペネトレーションテストを実施することになった。 今回は、いくつかある公開サーバのうち、個人情報を取り扱うWebサーバからテストを 実施した。 ## 2回目のテスト結果 実施した結果、以下の問題が検出された。 2-1. 遠隔操作可能 2-2. 他サーバへログインするための認証情報が取得可能 2-3. アクセスすることを想定していないネットワークにアクセスが可能 診断結果としては、侵入された場合に遠隔操作が行われ、他サーバにも侵入される ことで重要情報が持ち出し可能という状況であった。そして、それを検知することが できない状況であった。 2-2はメンテナンス時にその認証情報を利用していたが、他サーバへの攻撃が容易に なってしまうので、認証情報は置かないようにした。2-3はアクセス制御の不備だった ので早急に対応することになった。 ## 3回目の実施内容検討 その後しばらくして、お客さんから話を聞いたところ、再度内部に対するペネトレー ションテストを実施したいということであった。 テストの目的としては、以前検出された問題点に対し、適切に対策されたのか、 その対策が全社にも行われたのかを確認するというものであった。 そこで、今回は前回実施した最も主要な拠点からのテストと、次に主要な箇所から テストを実施することになった。 ## 3回目のテスト結果 実施した結果、前回と同じ拠点からのテストでは、以下の問題が検出された。 3-1. C2サーバから遠隔操作可能 3-2. C2サーバへ重要情報の持出が可能 3-1と3-2について確認したところ、緩和策が取られており、問題無いという判断で あった。その他問題については対策されていた。 今回新たに実施した拠点からのテストでは、以下の問題が検出された。 3-1. C2サーバから遠隔操作可能 3-2. C2サーバへ重要情報の持出が可能 3-3. ローカル管理者のパスワードが取得可能 1回目の実施結果を基に対策されているため、最も主要な拠点とほぼ同じ結果となった。 しかしながら、運用の不備により、ローカル管理者のパスワードが漏えいしてしまう 可能性があった。そのため、早急にこの問題について対策を行った。 ## まとめ 今回の事例は、目的がはっきりしており、非常にテストを有効活用していた。その結果、 高いレベルで対策が行われている状態となった。 今回のポイントは、以下であると考える。 ・自組織でどのようなテストが必要であるかを認識できていたこと ・前回の指摘についての対策が適切であったこと ・視点を変えたテストを実施することで、新たなリスクが見えたこと ・前回結果が組織全体への改善へとつながったこと