攻撃パターンに基づくSIEM環境診断サービス

リスク対応レベル診断サービス

サービス内容

診断対象項目

IPA、、JPCERT、総務省などによる各種サイバー攻撃パターン対策ガイドラインをベースとして弊社実績と知見を踏まえ診断項目を策定。この診断項目に沿って個別に診断しています。

評価基準(攻撃シナリオ〈IPA〉ベース)
想定脅威 記号 攻撃手口 説明
初期潜入 標的型メール A11 標的型メール受信 Fromが内部ドメインのメールを外部より受信
A12 メール添付ファイルからマルウェア感染 マルウェアが添付されたメールから感染
A13 標的型メールから不正サイトへ誘導 メールに記載された不正サイトURLへアクセス
Web A21 悪性サイトへのアクセス(フィッシング詐欺等) WebサーバやDNSが攻撃され、アクセスしたユーザをフィッシングサイトへ誘導(Drive-By-Download含む)
A22 正常なWebサイトからのマルウェア感染 正常なWebサイトが不正に改竄され、埋め込まれたマルウェアをダウンロードし感染
A23 自社公開サイトから侵入(脆弱性を突く攻撃) 外部からの攻撃による自社公開サイトへの不正侵入
物理的 A31 外部媒体からのマルウェア感染 許可されない外部媒体接続(例:USBメモリ内に潜伏したマルウェアが接続後感染、拡大)
A32 持込みPCから社内ネットワークへのマルウェア感染 持込みPCがマルウェア感染しており、社内ネットワーク接続による感染拡大
その他 A41 VPN接続によるマルウェア感染 マルウェア感染したPCがVPN接続により社内ネットワークに感染拡大
基盤構築 バックドア開設 B11 外部への通信経路調査 マルウェア感染端末からC&Cサーバへの通信施行
B12 C&Cサーバのとの通信確立 C&Cサーバとの通信成功、及び定期的な通信
B13 C&Cサーバからのマルウェアダウンロード C&Cサーバより攻撃に利用するツールのダウンロード
探索 B21 内部ネットワークの情報収集 内部ネットワークの情報収集のため不特定多数の端末、サーバへの通信発生
B22 侵入対象の脆弱性調査 特定の脆弱性を保持する端末調査のため、不特定多数の端末サーバへの通信発生
内部侵入・調査 認証情報搾取 C11 ブルートフォース攻撃によるログイン試行 特定ホストの同一IDに対する複数回ログイン試行(ランダムID/パスワード)
C12 パスワードリスト攻撃によるログイン試行 同一端末から特定ホストへの複数回ログイン試行(複数のIDとパスワードの組合わせ)
C13 ローカル特権アカウントでのログイン試行 「root」や「administrator」に対するログイン試行(許可されていない端末、利用不可特権アカウントの利用など)
C14 ドメイン特権アカウントでのログイン試行 「Domain Admins」に対するログイン試行(許可されていない端末、利用不可特権アカウントの利用など)
C15 キッティングアカウントでのログイン試行 キッティング時に利用する共通アカウントからの不正なログイン
C16 Pass the Hashによる認証情報搾取 不正なツール(pwdump等)の実行によるパスワード情報搾取、不正ログイン試行
C17 Keyloggerによる認証情報搾取 不正なツール(pwdump等)の実行によるパスワード情報搾取
権限操作 C21 特権アカウントの使用/管理者権限に昇格 root/administratorへのスイッチ、またはsudo(管理者で実行)の実行
C22 特権コマンドの実行(パスワードポリシーの変更等) /etc/passwordやドメインのパスワードポリシーの変更
C23 ファイルサーバなどへのアクセスや権限の奪取 ファイルサーバ管理アカウントへのログイン試行、権限昇格
C24 OS/ソフトの脆弱性を突いた権限昇格 エクスプロイトツールの実行により管理者権限の奪取
感染活動 C31 社内他端末への攻撃ツールの配布 端末間のリモートアクセス、ファイル共有による不正なツールの配布
C32 ドメイン管理者による攻撃ツール配布 ドメイン管理者による不正なツールの配布
C33 ファイルサーバ上へのマルウェアの配置 ファイルサーバへの不正なツールの配置
乗っ取り C41 RATによる感染PCの遠隔操作 外部よりRAT実行による社内端末の遠隔操作
C42 ユーザ端末からのサーバへのリモート接続(SSH、RDP、PsExec等) メンテナンスセグメント以外からのSSH/RDP/PsExecの実行
C43 管理者が通常使用するIPアドレスと異なるIPアドレスからの管理者権限要求 メンテナンスセグメント以外からの特権アカウントを利用した操作
目的遂行 データ窃取・外部送信 D11 機密情報への不正アクセス 通常業務とは異なる不正と疑わしい機密情報へのアクセス
D12 機密情報の外部流出 機密情報を複数回に渡り、特定サイトへアップロード
D13 大容量のデータアップロード 機密情報を大量に外部へアップロード
D14 業務時間外のデータアップロード 通常業務では発生しない時間外におけるデータアップロード
D15 不正なデータ流出 不正なサイトへのデータ送信、不正と疑わしい外部記憶媒体へのデータ書き込み
データの破壊・業務妨害 D21 不正アクセスの痕跡消去 操作ログやシステムログの不正な削除
D22 業務データの削除 機密情報の不正な削除
D23 破壊プログラムの設置と実行 不正なツールの保存、実行
D24 稼働中サービスの停止 意図しないサービスの停止
D25 外部からの攻撃(DDos) 外部から公開サーバへDos攻撃
診断結果イメージ

攻撃パターン毎に診断した結果を段階毎に集計し、レーダチャートに整理

診断結果イメージ1

分析ルールと各攻撃パターンをマッピングし、相関分析ルールの検知状況に基づき、個々に診断

診断結果イメージ2
診断結果イメージ3

【リスク対応レベル診断サービス】は 約1ヵ月で結果がわかるリーズナブルなサービスです

関連サービス

SCSKでは、「リスク対応レベル診断サービス」の結果に基づき、導入、運用を支援する関連サービスを提供しています。

関連サービス

お問い合わせ

お問い合わせはこちら

CONTACT

03-5166-1764

基盤インテグレーション事業本部 セキュリティサービス部
受付時間:9:30~18:00(土・日・祝日は除く)

page top