AWSとAzureのクラウドデータをハッカーから守る、無料のクラウドセキュリティツール5選


サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、企業がクラウドベースの環境を保護するために役立つ無料のツールのリストを公開しました。これらのツールは、クラウドベースまたはハイブリッド環境で発生する脅威、既知の脆弱性、および異常を緩和、特定、検出するために、インシデント対応アナリストおよびネットワーク防御者を支援します。

しかし、クラウド環境では膨大な数の攻撃ベクトルが利用可能であるため、クラウドへの移行が急速に拡大していることに引き込まれ、クラウドシステムを標的とする脅威行為者もいます。

クラウドベースの攻撃に対する防御に必要な能力を備えていない組織は、CISAが提供するツールを利用することで大きなメリットを得られます。これらのツールは、データ窃盗、情報漏洩、そして情報窃取からクラウドリソースを保護するのに役立ちます。CISAが提供するツールのリストは以下の通りです。
  1. Cybersecurity Evaluation Tool (CSET).
  2. The SCuBAGear tool.
  3. The Untitled Goose Tool
  4. Decider Tool
  5. Memory Forensic on Cloud.

        Cybersecurity Evaluation Tool (CSET)

        CISAは、企業のサイバーセキュリティ態勢を評価するためのツールを開発しました。このツールは、業界で広く受け入れられている標準、ガイドライン、推奨事項に基づいており、運用ルールや手順、システムの設計に関する質問に回答することで、企業の長所と短所を把握します。その結果を踏まえて、改善のための提案とともに報告書を作成します。

        CSETバージョン11.5では、米国国立標準技術研究所(NIST)がコンピュータセキュリティ産業協会(CISA)と共同で策定したクロスセクター・サイバー・パフォーマンス・ゴール(CPG)が含まれています。CPGは、企業のサイバーセキュリティ態勢を評価するための共通基準を提供します。


        The SCuBAGear tool

        SCuBAGearは、SolarWinds Orion Softwareのサプライチェーン攻撃への対応として開発された、連邦民間行政機関(FECB)とCISAのMicrosoft 365(M365)セキュアコンフィギュレーションを比較する自動化ソフトウェアです。

        CISAは、SCuBAGearと連携して、クラウドセキュリティのガイドとなるような、あらゆるタイプの企業に役立つ数多くの資料を作成しました。このツールの結果、3種類の文書が作成されました。

        • SCuBAGearガイド:SCuBAGearの使用方法と、その結果を解釈する方法について説明します。
        • SCuBAレポートテンプレート:SCuBAGearを使用して作成したレポートのフォーマットを定義します。
        • SCuBAベストプラクティス:クラウドセキュリティのベストプラクティスをまとめたドキュメントです。


        SCuBA Technical Reference Architecture (TRA)


        クラウドストレージ環境の安全性を強化するための基本的なフレームワークを提供します。クラウドベースのビジネスアプリ(SaaSモデルの場合)と、その保護と監視に使用されるセキュリティサービスは、いずれもTRAの範囲に含まれます。

        ハイブリッドアイデンティティソリューションアーキテクチャ


        クラウド上でホストされる環境でアイデンティティ管理に取り組むための最善の方法を提供します。このアーキテクチャは、オンプレミスとクラウドの両方の環境を統合し、一元的に管理することを目的としています。

        M365セキュリティコンフィギュレーションベースライン(SCB)


        Microsoft 365(M365)環境のセキュリティを強化するために、M365のすべてのサービスに対する基本的なセキュリティ設定を提供します。SCBガイドラインに準拠していないポリシーを識別し、そのポリシーの逸脱を示すHTMLレポートを生成します。

        The Untitled Goose Tool

        Untitled Goose Toolは、Sandia National Laboratoriesと共同で開発された、Microsoft Azure、Active Directory、Microsoft 365環境での異常の検出と調査を支援するツールです。監査ログのクエリ、エクスポート、調査も可能です。

        SIEMプラットフォームにログをインポートしていない組織にとって、このツールは非常に役立ちます。PowerShellツールにAzure、AAD、M365のデータ収集機能がなかったため、このツールは当時利用可能だったPowerShellツールの代替として設計されました。


        Untitled Goose Toolは、Active Directory、Microsoft Azure、Microsoft 365からクラウド成果物を抽出するツールです。

        Unified Audit Logs (UAL)にタイムバウンディングを行うことで、特定の期間のログのみを収集できます。また、MDE(Microsoft Defender Endpoint)データデサイダーツールのタイムバウンディング機能を利用して、特定の期間のデータを収集することもできます。

        インシデント対応アナリストは、このツールをMITRE ATT&CK 手法と組み合わせることで、悪意のあるアクションをマッピングするのに役立ちます。このツールは、アナリストの手法をより利用しやすく、適切な方法で行動をレイアウトするための方向性を提供します。

        Decider Tool

        このツールは、CSETと同様に、ユーザーの環境やニーズを理解するために、多くの質問を行います。これらの質問に答えることで、ユーザーは以下のことができるようになります。


        • ATT&CK Navigatorからヒートマップをエクスポート。
        • 収集した脅威インテリジェンスに関するレポートの公開。
        • 適切な予防策の実施。
        • 搾取の防止

        さらに、CISAはDeciderツールの使い方を説明したリンクを提供しています。

        Memory Forensic on Cloud.

        このツールは、AWS上のWindowsメモリイメージを構築および分析するために、Volatility 3を使用しています。また、最近流行しているファイルレスマルウェアの検出にも役立ちます。

        メモリイメージ解析は、インシデントレスポンス対応において重要な役割を果たす可能性があります。インシデント発生時に、メモリイメージを分析することで、攻撃者の痕跡を特定し、対応策を検討することができます。


        【セキュリティ事件簿#2023-506】北広島町社会福祉協議会におけるシステム不調発生のご報告とお詫びについて

         

        北広島町社会福祉協議会では、12月4日から、システム不調が生じております。

        現在、個人情報等の保護とシステムの安定性を最優先に考え、専門業者と協力して迅速な復旧に全力で取り組んでいるところです。

        現時点では個人情報等の漏洩は確認されておりませんが、この不調により、各種業務への対応の遅れ、メールの不通による連絡の遅れ等が発生しており、皆様には多大なご迷惑をおかけしておりますことを深くお詫び申し上げます。

        ご不便をおかけし誠に申し訳ございませんが、ご理解とご協力を賜りますようお願い申し上げます。

        【セキュリティ事件簿#2023-505】日本航空電子工業株式会社 当社サーバへの不正アクセス発生について

         

        2023年11月2日、当社グループの一部サーバにおいて、外部からの不正アクセスを受けたことを確認しました。本件不正アクセスは、ランサムウェアによる攻撃であり、サーバ内のファイルが暗号化されたほか、不正アクセスを受けた海外子会社JAE Oregon, Inc.(米国オレゴン州)にて、サーバ内に保存されていた情報の一部が流出したことが判明しております。

        現在、対策本部を設置し、外部専門家の協力のもと被害状況の調査と復旧作業を進めております。

        本件につき、関係諸機関への報告、相談を継続しており、影響を受けた可能性のあるお客様、お取引先様には順次、報告をするとともに、セキュリティの強化及び再発防止策の検討を進めております。

        お客様、お取引先様、関係の皆様には多大なご迷惑をお掛けして誠に申し訳ございません。被害拡大の防止と再発防止に向け、総力を挙げて対応してまいります。

        今後、調査によって判明した内容は、随時webサイトでお知らせいたします。

        リリース文アーカイブ

        【セキュリティ事件簿#2023-504】株式会社フジシールインターナショナル 当社米国グループ会社におけるランサムウェア被害および復旧状況について

         

        株式会社フジシールインターナショナルは、米国グループ会社(American Fuji Seal, Inc. 等。以下、「AFS」)で発生している身代金要求型ウィルス「ランサムウェア」による被害およびその復旧状況についてお知らせします。

        AFS では、異常を検知した後速やかに、外部の現地セキュリティコンサルティング会社の支援も得ながら、同被害の封じ込め、復旧および調査に取り組んでおり、被害を受けたサーバの復旧を完了しております。

        お客様・お取引先関係の皆様にご迷惑、ご心配をおかけしたこと、また、調査に時間を要したことを深くお詫び申し上げます。

        (経緯および調査で判明した事実)

         現地 8 月 30 日(金)未明、AFS のサーバの一部で異常を検知しました。AFS は速やかに状況の把握や対策を開始し、本件がランサムウェア被害であることを確認いたしました。

        AFS ではその後、通常の生産活動に向けた復旧活動と併行して、外部の現地セキュリティコンサルティング会社の支援も得ながら、同被害の封じ込め・復旧・調査に取り組んでまいりました。その結果、これまでに同様のランサムウェア攻撃に対する適切な対処を実施し、被害を受けたサーバの復旧を完了しております。

        また、今回のランサムウェアによる被害に伴い漏洩した可能性のある情報・データを確認・分析した結果、漏洩した可能性のある情報は、AFS の従業員等に係る個人情報であることを確認しております。現時点において、AFS のお客様・お取引先に関する情報が社外に漏洩したという事実は確認されておりません。

        なお、本ランサムウェアによる被害に関連して、弊社グループの米州以外のリージョン(日本・欧州・アセアン)では、同様の被害・サイバーアタックは確認されておりません。

        (今後の対応および再発防止策)

        AFS は、本件被害に伴う個人情報の漏洩について、従業員等対象者に通知および適切な対処を行うとともに、関係各所への報告を行ってまいります。また、ランサムウェア被害の再発防止に向け、AFS のみならずグループ全体の IT セキュリティーの見直し・強化に努めてまいります。

        リリース文アーカイブ

        IHG 100%ボーナス付ポイント購入セール(2024年2月2日まで)


        IHGは2024年、会員限定のポイント購入フラッシュセールを初めて開催しました。2月2日までの8日間、通常よりもお得にポイントを購入できるチャンスです。

        100%ボーナスなので、1ポイント0.5USセントで購入できます。


        ポイント購入は本当に得なのか?

        ポイント購入は、単なるセールだからという理由で購入するのは避けるべきです。しかし、ポイントを有効活用すれば、宿泊費を大幅に節約することができます。

        IHGのポイント購入がおすすめな理由


        IHGは最近、価格変動制のアワードに移行しました。 これにより、ポイントを利用したお得なプランがいくつか登場しています。

        ポイント購入にはボーナスが付与されることがあります。 2024年1月26日~2月2日まで開催されているIHG初のポイント購入フラッシュセールでは、最大100%のボーナスが付与されます。

        ポイントを使って、客室のアップグレードや特典と交換することができます。

        ポイント購入を検討する前に


        • ポイントの有効期限を確認しましょう。 IHGリワーズクラブのポイントは、獲得から12ヶ月間有効です。
        • ポイントの使い道について計画しましょう。 ポイントを使って宿泊したいホテルや時期を決めましょう。
        • 現在のポイント数を確認しましょう。 すでに十分なポイントを持っている場合は、購入する必要はありません。
        • ポイント購入は、賢く利用すれば、旅行をよりお得に楽しむことができます。 上記の情報を参考に、ポイント購入を検討してみてはいかがでしょうか。
        ポイント購入は、賢く利用すれば、旅行をよりお得に楽しむことができます。

        というのが前書きだが、IHGのポイント購入セールは100%ボーナスが最大であり、また100%ボーナス以外でのセールは買う価値が無い。

        また、100%ボーナスは11,000ポイント以上の購入からとなり、それ以下の購入ではボーナスポイントはつかない。

        結論:今回は見送り。

        【セキュリティ事件簿#2023-502】ANAN2023プレミアム付き商品券運営事務局 市民の皆様へ


        ANAN2023プレミアム付き商品券事業ホームページにおきまして、令和5年12月31日、海外からの不正アクセスが確認されたため、安全が確認されるまで当サイトを閉鎖しております。大変なご心配、ご不便をおかけいたします事、お詫び申し上げます。

        今回の事案において、同ホームページ内の「お問い合わせフォーム」が何らかの影響を受けた可能性があり、その状況等について現在調査中でございます。

        なお、「お問い合わせフォーム」をご利用いただいた方の個人情報(氏名、メールアドレス、電話番号等)につきましては、同ホームページ及びサーバー内に設計上保存されない仕組みになっていることから、外部への漏えいの可能性は極めて低いと考えておりますが、念のため該当するお客様には個別に注意を呼び掛けさせていただいております。

        現在、同ホームページの復旧にむけての作業を行っており、セキュリティ強化対策を行うなどこれまで以上の技術的な安全管理を強化したうえで、再度オープンする予定です(1月19日予定)。

        なお、購入申込者及び登録店舗に関する情報等につきましては、同ホームページのサーバーとは別のサーバーにおいて保存されていることから、この度の不正アクセスによる影響はございませんが、ANAN2023プレミアム付き商品券事業をご利用いただいている市民の皆様並びにご参加いただいている登録店舗関係者様にご心配をおかけしております事、重ねて、お詫び申し上げます。

        本件に関してお問い合わせがございましたら、下記運営事務局迄お問い合わせいただきますよう、お願い申し上げます。

        【セキュリティ事件簿#2023-501】京都市立芸術大学 日本伝統音楽研究センター ウェブサイトへの不正アクセスについて


        2023年12月20日、本学 日本伝統音楽研究センターのウェブサイト(https://rcjtm.kcua.ac.jp/)に不正なアクセスがありました。
         当該サイトのデータが削除されており、詳細については、現在、調査中です。
         二次被害を防ぐため、残されたデータはすべて削除し、現在公開停止としております。

         削除されたデータには、メールアドレス等が含まれているため、それらメールアドレスが特定できた場合は、本学から不審なメールの削除などを促す注意喚起を行う予定です。

         現在、原因の調査・再発防止策の検討を進めており、このようなことが生じないよう全学的に情報セキュリティ対策に万全を期してまいります。

         ご不便をおかけいたしますが、当該サイトの復旧まで、日本伝統音楽研究センターからのお知らせは、本ウェブサイトのトップページのお知らせ欄(http://www.kcua.ac.jp/category/info/)をご覧いただきますよう、お願い申し上げます。

        【セキュリティ事件簿#2023-500】株式会社丹青社 業務委託先からの個人情報漏洩に関するお詫びとお知らせ


        当社がIRニュースメールの配信業務を委託していた外部委託会社のサーバーが不正アクセスを受けたことにより、当社保有の個人情報の一部が漏洩していることが判明しました。関係者の皆さまには、多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。既に10月30日付で当社コーポレートウェブサイトにお知らせ「当社からのメールを装ったなりすましメールにご注意ください」を掲載しておりますが、その後の対応と再発防止策について以下のとおりお知らせします。

        当社におきましては、今回の事実を厳粛に受け止め、同様の事態が再び発生しないよう、業務委託先の管理監督を含め個人情報管理体制の一層の強化を図ってまいります。

        1.経緯

        2023年10月30日、当社従業員および取引先が、送信元情報を当社ドメイン(@tanseisha.co.jp)のメールアドレスに偽装した「なりすましメール」を多数受信しました。同時に警視庁サイバー犯罪対策課から、業務委託先のサーバーが乗っ取られている可能性を指摘され、本事態を把握しました。

        同日中に業務委託先のサーバーへのドメイン許可を停止し、当社ドメインからメールが送信されることがないように対処しました。あわせて当社コーポレートウェブサイトのお知らせにて社外への注意喚起を行い、二次被害拡大の防止に取り組みました。
        なお、本件については、個人情報保護委員会および一般財団法人日本情報経済社会推進協会へ適時報告を行っております。

        2.漏洩した個人情報

        (1)個人情報の項目
          当社IRニュースメールに登録されているメールアドレス。
          ※銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。
        (2)対象者と件数
          株主、投資家、顧客、従業員のメールアドレス641件。

        3.発生原因

        当社の業務委託先のサーバーに対して第三者からの不正アクセスがあったことが原因と認識しております。

        4.二次被害またはそのおそれの有無

        漏洩したメールアドレス宛に、送信元情報を当社ドメイン(@tanseisha.co.jp)のメールアドレスに偽装した「なりすましメール」が複数件送信されたことを確認いたしました。
        なお、既にサーバーへのドメイン許可を停止しているため、現在は同事象の発生はありません。

        5.再発防止策

        当該委託会社への業務委託を2023年11月で停止し、現在は適格性を確認できた新たな委託先へ契約変更しています。
        また、従業員への教育や業務委託先の適格性の審査・確認、継続的な管理監督を実施し、当社の個人情報管理体制の一層の強化を図ってまいります。