富士通グループ情報セキュリティ報告書2016

Size: px

Start display at page:

Download "富士通グループ情報セキュリティ報告書2016"

ともあきわくや
5 years ago
Views:

1 富士通グループ情報セキュリティ報告書 2016

2 CONTENTS IT FUJITSU Security Initiative

3 FUJITSU Way ICT Information and Communication Technology ICT ICT ICT ICT FUJITSU Way

4 コーポレートガバナンス体制選任解任取締役会取締役 12 名株主 / 株主総会選任解任諮問取締役相互の監督を前提に報酬委員会非執行による執行の監督に力点を置く指名委員会監答申提案非執行取締役業務執行取締役監督情報共有意見形成 6 名 6 名 ( うち社外取締役 4 名 ) 独立役員会議役4 名選独立社外監査役 3 名 5 名任解内部統制体制の整備に関する基本方針監査監督任社外監体制整備義務監督報告査内部統制体制監役査内部統制体制 3 名代表取締役社長監督報告監督報告監督報告連携内部内執行組織統内部統制部門部制連報推監携告経営会議進リスクコンプライアンス査連連委員会携部携携独立社外取締役門会)執行役員(FUJITSU Way 経内会計各部門推進委員会営部計監グループ各社監統監制査査等査監/人室査)内部監査 2015 年 12 月現在 04 査役会監査(うち ICT 企業価値の持続的向上 FUJITSU Way ステークホルダーへの貢献 AC T PLAN 取締役会リスクコンプライアンス委員会本社各部門ビジネスグループリスクコンプライアンス責任者を設置お客様 DO リスクマネジメントの実践と継続的改善 CHEC K 社員事業活動社会株主投資家事務局総務リスクマネジメント本部各グループ会社お取引先リスクコンプライアンス委員会等を設置リスクコンプライアンス責任者を設置

5 ののの関のののするの本のに組す関規にのにるのす用するにす富士通グループ情報セキュリティ基本方針国内グループ会社海外グループ会社情報管理情報管理規程他社秘密情報管理規程個人情報管理規程 ITセキュリティ情報システムセキュリティ規程 Fujitsu PKI 利用規程 Information Systems Security Policy など会社ごとに規程ポリシーなどを整備実施手順実施手順 PKI:Public Key Infrastructure の略本人認証や暗号化の仕組みの利用に関する規程 1. のにるのにる認のに組に FUJITSU Wayにすののの関のの規るす 1のにの人や組に人組の利利す 2のにののるにの利利す 3のににににするにのす 2. のの組みのす 1 に用ののするのす 2 にするにす 3にするのにののす 4するのののす 5 にするにに関するの認す 3. 組みのににする関規す 05

6 e-learning e-learning ICT ICT

7 IT ICT ICT IT IT IT IT ICT IT FENICS IT ITIT IT IT IT セキュリティ関連規定場面の設定役割と責任 PDCA サイクルの確立業務システムにおける情報管理クライアントセキュリティ統制利用者の一元管理を実現する認証システムネットワークセキュリティ統制業務情報利用者の分析に基づくアクセス制御機能信頼性維持機能対策の自動化電子メール誤送信対策社内標準パソコンセキュリティカードによる入室管理認証文書の決裁ネットワークの統制電子メールの統制ネットワークサービス利用の統制 ITセキュリティの基礎となる資産管理財産としての現物管理セキュリティ対策管理ライセンス管理 ITセキュリティ監査実施状況の確認 IT IT ICT IT IT 2. IT IT 3. PDCA IT PDCA 07

8 IT SE ICT ICT ICT ICT OS BIOS ICT FENICS パソコンにおける対策の自動化セキュリティ修正適用ウイルス定義ファイル更新社内電子メール誤送信対策電子メールアドレスの自動識別富士通標準パソコンの導入暗号化ハードディスクの使用 BIOSパスワードの設定スクリーンセーバーの設定などメール社外発信資格送信者メールアドレスのチェッククライアント機器の社外での安全な使用セキュリティチェックデー情報セキュリティ教育仮想デスクトップサービスなど自宅出張先個人所有機器の安全な使用クライアント機器に情報を保存できない仕組み IT IT ICT IT IT IT IT IT Systemwalker Systemwalker Desktop Patrol IT 08

9 IC IC PKI Public Key Infrastructure PKI PKI PKI 文書決裁電子署名の付与セキュリティカード入室管理セキュリティドアログイン認証業務システム利用の PKI 認証リモート接続認証社外からの接続の PKI 認証 APT Advanced Persistent Threat 09

IT SOC Security Operation Center SOC 24 SOC セキュリティ分析官動向調査横断的なログ分析監視方針の策定インシデント管理者日本米国欧州現地対応要員欧州エンドユーザー欧州インシデント対応支援現地対応要員米国エンドユーザー米国 IDS/ マルウェア監視装置などステータス管理ログ調査対応結果の妥当性判断現地対応要員中国 /APAC

10 IT SOC Security Operation Center SOC 24 SOC セキュリティ分析官動向調査横断的なログ分析監視方針の策定インシデント管理者日本米国欧州現地対応要員欧州エンドユーザー欧州インシデント対応支援現地対応要員米国エンドユーザー米国 IDS/ マルウェア監視装置などステータス管理ログ調査対応結果の妥当性判断現地対応要員中国 /APAC エンドユーザー中国 /APAC 統合ログシステム是正対応是正対応是正対応是正対応アラート通知現地対応要員日本インシデント管理システムワークフローシステム稼働監視障害対応システム運用システム運用者障害復旧依頼エンドユーザー日本 APAC:Asia-Pacific 電子メールの統制ウイルス対策迷惑メール対策性能管理信頼性設計ネットワークの統制部門が行う接続の審査許認可社外からのアクセス環境の整備不正アクセス対策性能管理信頼性設計不正アクセスウイルス迷惑メール専門の部署による接続設置運用イントラネット利用の統制世界中の富士通グループの統制共通ポリシーの適用ネットワークサービス利用の統制特定ネットワークサービス利用の制限誤使用の監視 IT IT IT 10

11 2013 Fujitsu Technology and Service Vision 経営者セキュリティ委員会委員各 SI サービス提供組織委員長 / 副委員長委員各 SI サービス提供組織外部有識者事務局委員各 SI サービス提供組織 SI: システムインテグレーション SMF 情報セキュリティ施策推進会議推進会議事務局組織 ( 各本部 ) 情報セキュリティ推進部門 ( 情報セキュリティ管理責任者情報セキュリティ監査責任者 )64 本部グループ会社情報セキュリティ推進部門 ( 情報セキュリティ管理責任者情報セキュリティ監査責任者 ) 参加組織 47 社 11

12 SMF SMF SMF ISO/IEC SMF SMF SMF 2016 SMF SMF SMF 情報セキュリティ導入ガイド情報セキュリティマネジメントマニュアル情報セキュリティ管理基準情報セキュリティ実施基準情報セキュリティ監査基準などひな型を活用して情報セキュリティマネジメントを実践参加組織 PLAN PLAN PLAN ACTDO DO ACT ACTDO CHECK CHECK CHECK 引用カスタマイズ ISO/IEC ファミリ経済産業省情報セキュリティ監査基準富士通グループ規定業界ガイドラインお客様との契約に伴う管理項目 2012 e-learning JASA e-learning 692 1,330 12

IT Policy N@vi OS 26 SNS SNS SNS SNS Social Networking Service ドキュメントとヒアリングによる問題点の抽出 JASA システム設計お客様納入事件事故防止!

13 IT Policy OS 26 SNS SNS SNS SNS Social Networking Service ドキュメントとヒアリングによる問題点の抽出 JASA システム設計お客様納入事件事故防止!! Webアプリケーションシステム構築セキュリティ問診セキュリティ監査制度セキュリティ監査ツールシステムテストの最終段階でセキュリティ基準に基づいてセキュリティ品質をチェックします OS Web Web Web 13

14 CSA ENISA ISO/IEC FJC DSS FJC DSS Fujitsu Cloud Data Security Standard FJC DSS 外部要求富士通の実践知各種業界標準規格クラウドサービス運用の実践知 FJC DSS お客様のセキュリティ要件 ISMS 監査などからの気づき 14 CERT CERT Computer Emergency Response Team FIRST FIRST Forum of Incident Response and Security Teams CERT 1 情報セキュリティ運用脆弱性診断 / モニタリング 24 時間 365 日運用 3 富士通クラウドサービス情報セキュリティマネジメント 2 富士通クラウド CERT 適切にマネジメントした情報セキュリティガバナンスを実践緊急対応事象の識別解決被害局所化を迅速に実施外部団体連携外部団体との連携により高度化 / 複雑化するセキュリティ攻撃に対して対処

15 SE 業務アプリケーション / データベースハードディスク全体のイメージを取得被害サーバ被害端末フィールド SE 連携高度分析官が調査調査報告を基に対処被害を最小限へ A3L Cyber Threat Intelligence A3L FUJITSU Advanced Artifact Analysis Laboratory 社内情シス部門クラウド CERT など社内実践知外部インテリジェンス外部団体などセキュリティ運用サービスなど新たな知見を展開 A3L( エーキューブラボ ) マルウェア解析 / デジタルフォレンジックセキュリティアナリストの育成最先端技術の調査適用など製品サービス SI 開発構築ノウハウ最先端技術製品他リージョン日々のセキュリティ運用判断検知観測外部環境新たな脆弱性 / 攻撃社会情勢対処最新の技術動向インシデント対応訓練役割役割意思決定者役割キーパーソンインシデント対応担当者インシデント対応フローセキュリティインシデントシナリオ役割ファシリテータ ( シナリオを用意し進行 ) 包括的にセキュリティ運用における課題を抽出洗い出した課題リスクに対して改善案を立案対応マニュアル 15

16 IPA JPCERT/CC 1 セキュア開発推進チーム IPA, JPCERT/CC 脆弱性情報ハンドリング体制製品開発者教育繰り返し事例集セキュリティ情報の公表製品開発者のセキュリティ知識脅威分析プロセス脆弱性知識検証ツール新しい脆弱性情報セキュリティトラブル設計実装テスト保守セキュリティ分析セキュアコーディングソースコード検証セキュリティ検証脆弱性情報ハンドリング : セキュリティアーキテクトデジタル署名 Open Source Software OSS OSS OSS OSS OSSSE OSS 1. OSS JVN ipedia 1 NVD National Vulnerability Database 2 2. OSS OSS 3. OSS OSS 4. OSS 16

17 1 JVN ipediajpcert/cc IPA 2007 NVD 2 NVD National Vulnerability Database NIST National Institute of Standard and Technology OSS 製品リポジトリ 2)OSS 情報取込 JVN ipedia OSS 脆弱性対応システム開発者 1) 脆弱性情報取込 3) 脆弱性通知 4) 対応結果回答脆弱性対応 5) 状況監視品質管理責任者 fuzz ファジングツールソフトウェアシステム動作停止ファズデータの生成加工ファズデータを評価対象に入力評価対象の状態変化を監視ファズ応答処理 A 処理 B A 社製ソフトウェア B 社製ソフトウェア情報漏えい X 社製ソフトウェアの脆弱性を悪用するデータ脆弱性重要情報攻撃端末乗っ取り 2 3 X 社製ソフトウェア Web DoS Denial of Service attack DDoS Distributed Denial of Service attack 3 17

18 フィールド領域システムセキュリティエンジニア SI 系の開発エキスパート領域 SI 系の開発セキュリティプロダクトエキスパート上級システムセキュリティエンジニアセキュアネットワークコーディネーター SI 系の運用 / サービス系セキュリティインシデントハンドラー SI 系の運用 / サービス系ペネトレーションテスター上級セキュリティインシデントハンドラーサイバーリサーチャーサイバーリスクアセッサーセキュリティアナリストフォレンジックエンジニアハイマスター領域 ,000 コードウィザードコンピュータウィザードグローバルホワイトハッカーシニアセキュリティコーディネーター 3 セキュリティマイスターフィールドシステム開発サービス運用現場で高度なセキュリティ技術の適用を推進しお客様業務の安心安全を実現するフィールド領域のエンジニアを育成認定エキスパートお客様へ最適なソリューションを提供するため高度なセキュリティ特化技術を持つエキスパート領域のエンジニアを集中的に育成認定ハイマスター高度な脅威に対抗するため業界最高レベルのセキュリティ技術を持つハイマスター領域の人材を幅広くグループ内から発掘認定想定対象組織フィールド SE サービスエンジニアが所属する組織セキュリティビジネスを行っている組織またはセキュリティの支援業務を行っている組織富士通グループ全体 ICT ICT ICT ICT 3 15 IT white hat hacker IT 2 Top Gun 18

課題レポート作成提出認定ヒアリングスキルアップ教育プログラムセキュリティアーキテクト研修会セキュリティアーキテクト教育メニューセキュリティ分析技法セキュリティ技術脆弱性の知識

19 40 プロダクト開発部門セキュリティサービス提供部門コミュニティネットワーク部門セキュリティコンサル部門システムインテグレーション部門ナレッジの集約 CSIRT 部門検証環境の調整社外向けの講演や本の執筆などの調整事務局による支援情報交換および発信する環境の整備外部団体活動へ参加の調整育成教育プログラム事前学習事前課題作成集合教育課題レポート作成提出認定ヒアリングスキルアップ教育プログラムセキュリティアーキテクト研修会セキュリティアーキテクト教育メニューセキュリティ分析技法セキュリティ技術脆弱性の知識セキュアなソフトウェアの開発プロセスセキュリティアーキテクト認定メニュー他部署のセキュリティ活動紹介社内障害事例紹介専門組織の研究報告セキュアなソフトウェアの開発プロセス ( 最新情報 ) 19

20 DoS Denial of Service Attack AI 2 AI AI 1. AI 関連性可視化分析技術稀な形状を持つグラフを分析ログ分析者ログログ中の値の分布外れ構造を持つデータ集団可視化結果データ間の関連性をグラフ形式で可視化類似類似稀な形状巧妙な攻撃が含まれている可能性大外れ構造学習技術低頻度のデータ集団を分離し外れ構造を抽出 20

21 ID AES IC bit bit 2014 バイオコード暗号化フェーズバイオコード秘密情報乱数 1 暗号化データ復号フェーズ復号処理バイオコード乱数 2 復号用コード特徴データの漏えいリスクなし秘密情報 21

22 誤り訂正符号によりバイオコードの差異を吸収バイオコードバイオコードが差異復号用コードバイオコード乱数 2 誤り訂正符号バイオコード 2 誤り訂正符号により乱数の差異を吸収乱数 1 乱数が差異暗号化データバイオコード乱数 1 並べ替えバイオコード乱数 1 乱数 2 乱数 1 乱数 2 誤り訂正符号秘密情報秘密情報秘密情報秘密情報 22

23 FUJITSU Way , ,

24 JIPDEC IT HR AB CIT PFU ISMS ISO/IEC ISMS IT PFU AAAis AAAis AAAis AAAis AA is LCM AA is ISMS JIPDEC 2002 ISMS JRCA IRCA ISMS ISMSISMSISMS 155 JASA JASA JASA

25 各種パートナー製品構内 / 広域ネットワーク ( 認証アクセス制御暗号化 VPN IDS/IPS 検疫マルウェア検知次世代 FW) FUJITSU Security Initiative ICT ICT ICT 300 FUJITSU Security Initiative FUJITSU Security Initiative オファリング不正アクセス対策情報漏洩対策ウイルス対策エンドポイントセキュリティメールセキュリティサイバー攻撃対策フィジカルセキュリティ認証 ID 管理シンクライアントスマートデバイスセキュリティ PCI DSS セキュリティ統制コンサル運用教育訓練アプリケーションプラットフォームネットワークデバイスグローバルマネージドセキュリティアセスメント / コンサルティングセキュリティ運用教育訓練共通 / 業務アプリケーション ( 認証アクセス制御 ID 管理 ) FENICS Ⅱ ユニバーサルコネクト携帯ブラウザ接続サービス / アプリケーションブリッジサービスサーバストレージ OS ミドルウェア ( アクセス制御特権ユーザ管理脆弱性管理 ) サイバー攻撃対策サーバセキュリティ強化脆弱性診断入退室管理システム Systemwalker Security Control SHieldWARE 管理サービス SGシリーズ UTM 型ネットワークサーバ IPCOM EX SC IT 機器管理 PC 検疫 inetsec シリーズメールセキュリティ強化 SHieldMailChecker ネットワークサービス FENICS Ⅱ PC スマートデバイスシンクライアント ( 認証デバイスアクセス制御暗号化ウイルス対策 ) リモート消去 PC 手のひら静脈認証 PCセキュリティモバイルデバイス管理 CLEARSURE PalmSecure Systemwalker Desktopシリーズ FENCE-Pro FENCE-Mobile RemoteManager ESA SMF ESA ICT ID PCI DSS PCI DSS Payment Card Industry Data Security Standard 25

26 FUJITSU Security Initiative FUJITSU Security Solution A3L 2 SI CERT 1 Malicious Intrusion Process Scan 1. インシデントの発生リスク軽減 2. 被害の極小化 2 A3L FUJITSU Advanced Artifact Analysis Laboratory 脆弱性監視検知防御分析対処インシデントレスポンス侵入検知独自開発の脅威検知技術高い技能を有するエキスパート富士通社内グローバルクラウドサービスを守る実践知侵害調査セキュリティ耐性強化お客様イベント収集富士通改善提案レポート 3. 攻撃への耐性強化リアルタイム監視侵入検知脆弱性監視 1. Malicious Intrusion Process Scan 1 2. PC サーバ監視対象のシステム必要な施策を決定 / 導入お客様セキュリティ担当者お客様セキュリティ責任者通報調査報告改善提案報告サポートデスクオペレーターサポートデスクオペレーターフォレンジックエンジニアセキュリティエキスパートインシデント検知インシデントレスポンス侵害調査 (A3L) お客様と協議の上実施可否を判断改善提案レポートセキュリティ運用の改善 FUJITSU Security Solution FUJITSU Security Solution FUJITSU Security Solution FUJITSU Security Solution FUJITSU Security Solution HDD 26

27 TEL TEL

28 FUJITSU LIMITED 2016

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 office@jpcert.or.jp インシデントレスポンスとは Computer Security Incident ( 以降インシデントと略 ) コンピュータセキュリティに関係する人為的事象で意図的および偶発的なもの弱点探索リソースの不正使用サービス運用妨害行為など不正アクセス ( 行為 ) は狭義に規定された

富士通グループ 情報セキュリティ報告書2016

富士通グループ情報セキュリティ報告書2016