セキュアソフト

株式会社セキュアソフト | IPS、DDoS対策、スパムメール対策、監視運用サービスを提供: 2024年4月アーカイブ

2024年4月アーカイブ

CIS Benchmarksとは

SecureSoft (2024年4月26日 14:42) | コメント(0)

1. 概要

 昨今、クラウドサービスの利用拡大と共にセキュリティ事故の発生は増加傾向にあります。実際に、クラウドストレージの設定ミスにより、管理している顧客情報の一部が公開されたという事例もあります[1]。この事例のように、適切な設定を維持していないとセキュリティインシデントにつながるおそれがあります。
 そこで本稿では、適切な設定をまとめた文書「CIS Benchmarks」についてご紹介します。クラウドサービスのセキュリティ対策の一助になれば幸いです。

 

2. CIS Benchmarksとは

 CIS Benchmarksとは2000年に設立された米国の非営利団体「Center for Internet Security」が公開している、インターネットセキュリティを考慮した設定事項をまとめたガイドラインです。オペレーティングシステムやソフトウェア、ネットワーク機器、アプリケーション、クラウドプロバイダーなどの製品やサービスをカバーしており、各々に推奨設定が提供されています。製品やサービスのアップデートなどに伴い、CIS Benchmarksもバージョンが更新されるため、安全なセキュリティレベルの維持が可能になります。
 表1は、CIS Benchmarksがカバーしている製品・サービスの例です[2]。

2024_04_secnews1

【表1】CIS Benchmarksがカバーしている製品・サービスの例

 

3. CIS Benchmarksでのチェック項目

 CIS Benchmarksは各製品やサービスにそれぞれ提供されていますが、今回は、クラウドサービスの一例として、Microsoft Azureに対するチェック項目をご紹介します。
 Microsoft Azureに対するチェック項目は大きく分けて10項目あります。実際に確認をするのは10項目から細分化された詳細な項目で、全部で150項目程度あります。
 表2は、Microsoft Azureに対する項目とチェック項目の例です。

2024_04_secnews2

【表2】Microsoft Azureに対する項目とチェック項目の例

 例えば、「『安全な転送が必須』が有効になっていること」では、ストレージアカウントに安全な転送を必須とするプロパティを設定することを推奨しています。この設定をすることで、セキュリティで保護されていない接続(HTTP)を拒否するようにストレージアカウントを構成できます[3]。HTTP接続を拒否し、保護された接続(HTTPS)のみを使用することで、第三者による通信内容の盗聴、改ざんから保護します[4]。
 またチェック項目は利用者のすべての環境で必須ではありません。チェック項目はそれぞれに推奨レベルが設定されており、レベル1とレベル2で構成されています。レベル1はすべての環境で推奨される設定、レベル2は必ず推奨するものではなく、特に高度なセキュリティを必要とする環境向けの設定です。そのため利用者は、各々で自社に必要な設定かどうかを判断し、柔軟に調整することが可能となります。

 

4. 弊社クラウド設定確認診断について

 弊社クラウド設定確認診断では、内部侵入・攻撃も想定し、組織内部のユーザーに対する権限設定などを確認し、内部からの攻撃可否を確認します。3章でご紹介したチェック項目について確認後、CIS Benchmarksに記載されている推奨設定との不一致があった場合、設定推奨レベルや対処方法など詳細な情報をご報告しています。

 

5. まとめ

 今回はCIS Benchmarksについてご紹介しました。クラウドサービスの利用に伴い、今一度、利用状況の見直しをご検討ください。お客様でCIS Benchmarksを参照し、クラウドサービスの利用状況をご確認いただくことも可能ですが、ご不安でしたら、是非弊社のクラウド設定確認診断をご検討ください。

 

6. SSKのセキュリティ運用監視サービスおよび脆弱性診断サービスについて

 急速なデジタルシフトやDXの進展により、サイバー攻撃の標的となりうる範囲は大きく広がっています。更にランサムウェアをはじめとするサイバー攻撃の脅威は増す一方となり、企業活動においてサイバーセキュリティ対策は必要不可欠な課題となっています。
 SSKのセキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視をおこなっております。セキュリティ対策として様々なセキュリティ機器やサービスを導入するケースも増加しており、当社ではUTM製品をはじめ、SASE、EDR等、新しいセキュリティソリューションも監視対象としてサービス展開を行っています。また、脆弱性診断サービスでは、診断経験豊富なセキュリティエンジニアがお客様のシステムを診断し、検出された脆弱性への対策をご提案しております。Webアプリケーションだけでなくネイティブアプリケーション診断やクラウドサービス設定診断も行っています。

セキュリティ運用監視サービス:
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス:
https://www.ssk-kan.co.jp/vulnerability-assessment

 

7. 参考情報

[1]矢口 竜太郎 日経コンピュータ
215万人の車両情報が公開状態に 繰り返されるクラウドの設定ミス 2024年4月16日閲覧
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/061300134/
[2]Center for Internet Security
CIS Benchmarks 2024年4月12日閲覧
https://www.cisecurity.org/cis-benchmarks
[3]Microsoft Build
セキュリティで保護された接続を確保するために安全な転送を要求する 2024年4月16日閲覧
https://learn.microsoft.com/ja-jp/azure/storage/common/storage-require-secure-transfer
[4]Microsoft Build
Azure Policy の組み込みのポリシー定義 2024年4月18日閲覧
https://learn.microsoft.com/ja-jp/azure/governance/policy/samples/built-in-policies#storage

 

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
 リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫

ssk_logo.pngサービス&セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
       FAX 03-5464-9977
       sales@ssk-kan.co.jp

2024年内定者(120名)研修会・配属式を実施(株式会社セキュアソフト、サービス&セキュリティ株式会社合同)

SecureSoft (2024年4月17日 15:27) | コメント(0)

2024年3月28日、29日の2日間にわたり株式会社セキュアソフト及びグループ会社であるサービス&セキュリティ株式会社の新卒内定者120名の研修会・配属式がおこなわれました。

今年の内定者に対して、社長から活躍を期待する激励の言葉が贈られました。

研修会では、弊社の事業内容に加え、グループ会社であるサービス&セキュリティ株式会社のビジネスモデルであるIT人材サービス・総合セキュリティサービスなどに関する研修がおこなわれました。
また、情報セキュリティや人材育成の取り組みに関する教育とともに教育制度「S-Dream」の紹介を実施いたしました。

最後に役員・支社長から内定者ひとりひとりに辞令が交付され、内定者研修会・配属式が滞りなく終了いたしました。

新しく当グループに加わった仲間とともにお客様により良いサービスを提供する企業として邁進してまいります。

新入社員の皆さん、これからの活躍を期待しております!

 

■社長挨拶

20240417_1.jpg

 

20240417_2.jpg

 

■副社長挨拶

20240417_3.jpg

 

■研修会

20240417_4.jpg

 

20240417_5.jpg

 

■交付

20240417_6.jpg

 

20240417_7.jpg

 

■集合写真【東京】

20240417_8.jpg

 

■集合写真【大阪】

20240417_9.jpg

 

■集合写真【名古屋・四日市】

20240417_10.jpg

 

■集合写真【京都・大津】

20240417_11.jpg

 

【号外】【更新】注意喚起:PAN-OSのGlobalProtect機能における OSコマンドインジェクションの脆弱性(CVE-2024-3400)について

SecureSoft (2024年4月15日 14:54) | コメント(0)

1. 概要

 Palo Alto Networks社製品に搭載されている「PAN-OS」で、深刻な脆弱性(CVE-2024-3400)が存在することが報告されました。この脆弱性の悪用はすでに確認されており、4月13日にJPCERTコーディネーションセンター(JPCERT/CC)にて緊急で注意喚起が行われています。
 本脆弱性のCVSS v4.0のベーススコアは10.0(Critical)と極めて高いため、GlobalProtect機能が構成されているシステムにおいては、Palo Alto Networks社より案内のある対策を実施することが推奨されています。

 

2. 脆弱性情報詳細

(1)攻撃概要
 PAN-OSには、リモートアクセス(VPN))などを提供できるGlobalProtect機能があります。このPAN-OSのGlobalProtect機能において、OSコマンドインジェクションの脆弱性が確認されています。OSコマンドインジェクションの脆弱性(CWE-77)とは、信頼できないソースからアプリケーションにコマンドを入力し、コマンドを実行させることにより、攻撃者に他の方法では与えられない特権又は機能を与える脆弱性です。
 本脆弱性を悪用されると、認証されていない遠隔の第三者がルート権限で任意のコードを実行する可能性があります。
 下記の影響を受けるシステムおよびバージョンは、GlobalProtect機能が構成されている場合に本脆弱性の影響を受けます。

(2)影響を受けるシステムおよびバージョン
- PAN-OS 11.1:11.1.2-h3より前のバージョン
- PAN-OS 11.0:11.0.4-h1より前のバージョン
- PAN-OS 10.2:10.2.9-h1より前のバージョン

 ※4月15日時点では「GlobalProtect機能が構成されており、デバイステレメトリ機能が有効な場合に影響を受ける」とご案内していましたが、4月17日の公式案内が更新され、デバイステレメトリ機能が無効な場合でも本脆弱性の対象となりました。

(3)対策
 すでに本脆弱性の悪用を試みる通信が確認されていることから、影響を受けるシステムおよびバージョンを利用している場合、速やかな対応が必要です。4月15日以降、Palo Alto Networks社から脆弱性に対応する修正バージョンが順次公開されておりますので、案内に沿ってアップグレードを実施してください。
 即時のアップグレードが行えない場合の軽減策として、GlobalProtectインターフェイスに脆弱性保護を適用することが挙げられます。

(4)軽減策
 以前は回避策としてデバイステレメトリ機能の無効化を挙げておりました、4月17日の公式案内の更新によりデバイステレメトリ機能の無効化は、本脆弱性に対して有効な対策ではなくなりました。
 その他にGlobalProtectインターフェイスへの脆弱性保護の適用が案内されていますので、脅威 ID 95187 および 95189のシグネチャが有効な脆弱性保護セキュリティプロファイルを GlobalProtect インターフェイスに適用してください。詳細な手順については下記をご参照ください。
 なおThreat Preventionライセンスをお持ちでない場合はこの軽減策は実施いただけませんので、速やかにアップグレードを実施いただく事を強く推奨します。

・Palo Alto Networks
GlobalProtect インターフェイスへの脆弱性保護の適用, 2024年4月17日閲覧
https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184

 

3. まとめ

 本記事では、Palo Alto Networks社製品に搭載されているPAN-OSにおける最新の脆弱性(CVE-2024-3400)について詳細と対策を紹介いたしました。すでに当該脆弱性の悪用が確認されているため、当該製品をご利用の場合は速やかにPalo Alto Networks社より案内のある対策を実施することを推奨いたします。

 

4. 参考情報

・JPCERT/CC
Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起, 2024年4月17日閲覧
https://www.jpcert.or.jp/at/2024/at240009.html

・Palo Alto Networks
CVE-2024-3400 PAN-OS: GlobalProtect Gateway のOSコマンドインジェクションの脆弱性, 2024年4月17日閲覧
https://security.paloaltonetworks.com/CVE-2024-3400

・VOLEXITY
GlobalProtect の認証されていないリモートコード実行の脆弱性のゼロデイエクスプロイトの脆弱性 (CVE-2024-3400) , 2024年4月17日閲覧
https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/

 

5. SSKのセキュリティ運用監視サービスおよび脆弱性診断サービスについて

 急速なデジタルシフトやDXの進展により、サイバー攻撃の標的となりうる範囲は大きく広がっています。更にランサムウェアをはじめとするサイバー攻撃の脅威は増す一方となり、企業活動においてサイバーセキュリティ対策は必要不可欠な課題となっています。
 SSKのセキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視をおこなっております。セキュリティ対策として様々なセキュリティ機器やサービスを導入するケースも増加しており、当社ではUTM製品をはじめ、SASE、EDR等、新しいセキュリティソリューションも監視対象としてサービス展開を行っています。また、脆弱性診断サービスでは、診断経験豊富なセキュリティエンジニアがお客様のシステムを診断し、検出された脆弱性への対策をご提案しております。Webアプリケーションだけでなくネイティブアプリケーション診断やクラウドサービス設定診断も行っています。

セキュリティ運用監視サービス:
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス:
https://www.ssk-kan.co.jp/vulnerability-assessment

 

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
 リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫

ssk_logo.pngサービス&セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
       FAX 03-5464-9977
       sales@ssk-kan.co.jp

« 2024年3月 | メインページ | アーカイブ

カテゴリ

月別 アーカイブ

ウェブページ

Powered by Movable Type 6.5

検索

このアーカイブについて

このページには、2024年4月に書かれた記事が新しい順に公開されています。

前のアーカイブは2024年3月です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。