(Microsoft PowerPoint -

Size: px

Start display at page:

Download "(Microsoft PowerPoint -"

ゆうりゅうしもね
5 years ago
Views:

1 IBM X-FORCE セキュリティーフォーラムセキュリティーの最新動向最新動向と IBMの取り組み 2012 年 3 月 7 日日本アイアイビービーエムエム株式会社経営品質情報情報セキュリティー徳田敏文

2 本日お話させていただく内容 IBM X-FORCEとは日本企業を取り巻く脅威 IBMが経験した情報漏えい事件新しいタイプの攻撃 ~ 標的型攻撃について IBMにおける情報セキュリティー管理体制官民連携について 2

3 IBM X-FORCE 全世界 100 名以上の研究員からなりグローバルなインターネット脅威脆弱性攻撃の状態について調査研究するセキュリティー専門家の世界トップレベルの組織脆弱性の調査研究 High Risk Advisories 脅威情報の把握 3

4 IBM X-FORCE 脆弱性研究結果や各国の SOC 観測情報に基づき製品やサービスへの反映 ( アップデート ) を行い被害を事前に防御し影響を最小化脅威情報やアラートの発信情報分析レポートの発刊などの情報共有を実施 New 製品への反映 XPU アップデート XPU アップデート XPU アップデート XPU アップデート情報の発信 4

5 X-FORCE は各国特有のアップデートも作成可能アンダーグラウンドの情報収集 ( ハッカーの動向等 ) 各 SOC より GTOC へ寄せられた情報の解析 / 分析回避手段検知方法の製品化社会的政治的事件の分析からインターネット犯罪への可能性を分析 XPU アップデートの国内開発とはたとえば Winny などの P2P や日本国内やアジアで流行しているマルウェアが悪用する脆弱性について検知ロジックを国内で作成する作成した検知ロジックは US の QA プロセスを通り XPU アップデートとしてリリースされる地域固有の問題を製品レベルで対応可能 MSS SOC で監視防御に使用 SOC での観測状況固有の P2P ソフトマルウェアの存在ペイロード分析ソフトウェア分析検知ロジックロジックの作成 US X-FORCE でのテスト検証 XPU リリース国内 US 5

6 日本企業を取り巻く脅威インターネットの普及により利便性は向上したが一方でサイバー犯罪は年々増加している不正アクセスに関してはフィッシングによるID 等の不正入手が最も多い IDの推測や内部犯行など知り得る立場を悪用した件も少なくない不正に経済的利益を得るために行われることが圧倒的に多いサイバー犯罪の検挙件数の推移 ( 平成 13~22 年 / 2001~2010) 平成 23 年警察白書第 1 節より引用 6

上記図表の引用元 : IPA 2011 年版 10 大脅威進化する攻撃その対策で十分すか?

7 日本企業を取り巻く脅威毎年脅威の上位は情報漏えいが占めている最近は情報搾取を目的とした標的型攻撃 ( 標的型諜報攻撃 ) が脅威のトップとしてあげられるクライアントソフトウェアの脆弱性を悪用した攻撃も多発人が起こしてしまう情報漏えいとは? JNSA 2010 年情報セキュリティインシデントに関する調査報告書 ( 上半期速報版 ) 上記図表の引用元 : IPA 2011 年版 10 大脅威進化する攻撃その対策で十分すか? 7

IBM が経験した情報漏えい事件委託先社員より 11 万人の個人情報が流出し全国で報道された対策実施データ消去再放流者逮捕まで約 1 年間報道資料マスメディア 8 プロジェクト (2006 年 ) Winny 委託先社員自宅 (2008 年 ) Winny 投稿 ( 騒ぎ立て ) 匿名掲示板再放流者 2008 年通報リーク (

8 IBM が経験した情報漏えい事件委託先社員より 11 万人の個人情報が流出し全国で報道された対策実施データ消去再放流者逮捕まで約 1 年間報道資料マスメディア 8 プロジェクト (2006 年 ) Winny 委託先社員自宅 (2008 年 ) Winny 投稿 ( 騒ぎ立て ) 匿名掲示板再放流者 2008 年通報リーク ( 十分な調査調査や対策を立てさせない ) 流出データ分析関連費用 ( 人件費 ) インターネット監視関連費 ( 人件費 ) 保護者宛のお詫び状送付費用相談窓口設置関連費用 Winny/Share 上での情報拡散防止費用 - 監視システムの設置 - 情報拡散防止キー配信実施弁護士費用莫大な費用 Share 2009 年ファイル保有者 ( 傍観者 )

新しいタイプの攻撃標的型攻撃に代表されるメールや外部記憶媒体を経由して組織内の従業員端末まで侵入するセキュリティー対策のうち入り口対策といわれる従来型の対策をすり抜ける巧妙な攻撃組織にとって非常に重要な情報を搾取されたりシステムを破壊されたりする海外では

9 新しいタイプの攻撃標的型攻撃に代表されるメールや外部記憶媒体を経由して組織内の従業員端末まで侵入するセキュリティー対策のうち入り口対策といわれる従来型の対策をすり抜ける巧妙な攻撃組織にとって非常に重要な情報を搾取されたりシステムを破壊されたりする海外ではこれらの一部をAPT (Advanced Persistent Threats) と呼んでいる進歩執拗脅威 9 IPA 新しいタイプの攻撃の対策に向けた設計運用ガイド改定第 2 版より引用

10 入口対策と出口対策共通攻撃手法の一部でも切断すればたとえ内部に侵入されても出口で情報を保護できる通過入口対策被害発生情報の流出インターネットインターネット防御通過インターネット被害発生出口対策インターネット防御防御 10

11 標的型攻撃の分類標的型攻撃には国の経済や安全保障等に影響を及ぼす組織情報を搾取し特定の組織を継続的に狙う標的型諜報攻撃と言われる高度な攻撃が存在する協力会社関係会社など特定の分野から情報を搾取し絞り込みを行ってくる偵察目的の攻撃分野別の攻撃標的型攻撃標的型諜報攻撃特定目標攻撃不特定目標攻撃スパムメールその他の攻撃 DDoS Web 改ざんなど IPA 新しいタイプの攻撃の対策に向けた設計運用ガイド改定第 2 版を参考に作成 11

12 スパムメール違法広告だけで無くマルウェア ( ウイルス ) がついている事が多く情報漏えい等のきっかけとなる場合があり特にフィッシング ( 詐欺 ) に悪用されるケースが少なくない踏み台等ボットネット等お金情報カード番号等 12

13 標的型攻撃機密情報を知り得る立場の人やその周辺の人物に狙いを付けウイルスを送り込む情報を搾取することができればさらに狙いを絞り込む政府機関機密情報を取り扱う企業等踏み台等命令情報機密情報を知り得る立場 PDF 影響範囲組織に関する情報顧客に関する情報システムに関する情報機密情報 13

14 標的型諜報攻撃 (APT) 政府機関機密情報を取り扱う企業等国の経済や安全保障等に影響を及ぼす組織情報を継続的に搾取する内部まで入り込みシステムを操ったり破壊したりする踏み台等情報搾取命令情報命令情報影響範囲踏み台組織に関する情報顧客に関する情報システムに関する情報機密情報 14

15 IBM における想定リスク自然災害疫病 / 新型インフルエンザサイバー犯罪テロ情報漏えい影響範囲地域的な影響限定的広範囲地球規模 ( 対象は限定的だが ) 広範囲地球規模被害対象主として施設設備インフラへの被害主としてヒトに対する被害 ( 設備等に波及も ) IT インフラ / 経済的損失 / 風評被害影響期間短期間 ( 復旧に専念できる ) 長期間複数の波 ( 復旧開始時期が難しい ) 中期間 - 長期間 ( システム上の復旧は短時間だが二次的な被害拡大の恐れあり ) 発生予告限定的または予告なし何らかの予兆あり予告なしその他コンプライアンス情報システムのトラブルなども想定 15

16 IBM の CIO 体制もグローバルでサイバーテロ対策を強化 CSIRT(Computer Security Incident Response Team) を2012 年より設立マルウェアやサイバー攻撃に対する緊急対応チームとしてグローバル展開各国支部でフォレンジック対応活動を実施 CIO IT Risk CTO IT Risk Strategy, Policy & Education IT Risk Transformation and Project Office IT Compliance Team Computer Security Incident Response Team (CSIRT) CSIRT の活動データ収集ツールの強制導入によるデータ収集解析プログラムによるマルウェアなどの解析 16

17 IBM における情報セキュリティー管理体制情報セキュリティーグローバルガバナンスモデル IBM では本社が強い統制力をもって情報セキュリティーを牽引し実際のセキュリティー管理活動は各地域毎に実施される ERM Office 連携エンタープライズリスクマネジメント日本固有の組織情報セキュリティー推進室 CIO 日本 Corporate Auditor 欧州アジア米国グローバルに監査を実施 IT 系の情報セキュリティーを統括する Technology Deployment IBM 社員 IT セキュリティー Security Director 物理セキュリティー個人情報取扱いコンプライアンス総務人事系に関する情報セキュリティーを統括する 17

18 日本 IBM における情報セキュリティー管理体制社会的背景セキュリティー事件事故増加情報漏えいサイバー攻撃 / テロお客様セキュリティ事件事故増加プロジェクトセキュリティー強化社会的信用 IBM 社内グローバル / 社内事件事故への即応体制強化セキュリティーガバナンス強化情報セキュリティーに関する全方位的なニーズに対応した体制および組織横断的な連携が求められるテクニカル / ルール / ガバナンス対応プロセス / 事件事故処理など CISO 情報セキュリティー CIO IT セキュリティー CSO 物理セキュリティー CPO プライバシー 18 *CISO Chief Information Security Officer *CIO Chief Information Officer *CSO Chief Security Officer *CPO Chief Privacy Officer

19 オペレーショナルリスクにおけるプロセスマネジメント日々の業務プロセスに組み込み定期的に PDCA を回す経営への反映社内規定プロセスツール周知啓発企業倫理企業行動基準就業規則 BCG 署名申請実績管理内部監査コンプライアンス委員会 / 研修情報セキュリティー IT 規則社内スタンダード事故報告四半期 ACL 確認 PGP WST Validation 情報セキュリティー委員会 / 研修製品サービス障害製品サービス標準障害報告 QA プロセス障害報告 DB 経営品質会議 ( 全社 / 部門 ) 事件事故社内基準就業規則事件事故報告事故報告システムセキュリティー教育 BCG 研修 *BCG Business Conduct Guidelines *ACL: Access Control List *QA : Quality Assurance 19 *PGP: Pretty Good Privacy ( 暗号化ツール ) *WST: Workstation Security Tool (PC セキュリティー状況監査ツール )

20 IBM におけるグローバルガバナンスとは 1 つのグローバルスタンダード事業展開するすべての国の法律や制度慣習マーケットニーズ国民性の分析が不可欠グローバルスタンダードの遵守予算や権限を一旦集中させてからグローバルにおける戦略や投資方針等と連動し管理単位毎に分配することにより投資の最適化を実現全従業者への教育と認知度向上共通の仕組みやツール等によるセーフティーネットの設置定期的な点検や監査監視体制不遵守に対する改善や是正の確実な実施と確認スタンダードそのものも常に見直し ~ トップマネージメントのリーダーシップが不可欠 ~ 20

21 官民情報共有不正アクセス防止対策に関する官民意見集約委員会 ( 官民ボード ) 警察庁総務省経済産業省 + サイバー犯罪警戒防止事業者 ( 民間企業 ) 官民が一体となって不正アクセス行為に関する実態情報を共有し不正アクセス防止対策として講ずべき措置について意見集約を行いその結果を公表して社会全体で実行するフィッシング対策の推進不正ログイン対策の推進セキュリティーホール等対応の推進不正アクセス禁止法改正について 1. フィッシング行為の禁止処罰 2. ID パスワードの不正取得等の禁止処罰 3. 情報セキュリティー関連事業団体に対する情報提供 4. 不正アクセス行為に対する法定刑の引き上げ 21

22 ありがとうございました 22

23 IBM Corporation All Rights Reserved. ワークショップセッションおよび資料は IBM またはセッション発表者によって準備されそれぞれ独自の見解を反映したものですそれらは情報提供の目的のみで提供されておりいかなる参加者に対しても法律的またはその他の指導や助言を意図したものではなくまたそのような結果を生むものでもありません本講演資料に含まれている情報については完全性と正確性を期するよう努力しましたが現状のまま提供され明示または暗示にかかわらずいかなる保証も伴わないものとします本講演資料またはその他の資料の使用によってあるいはその他の関連によっていかなる損害が生じた場合も IBM は責任を負わないものとします本講演資料に含まれている内容は IBM またはそのサプライヤーやライセンス交付者からいかなる保証または表明を引きだすことを意図したものでも IBM ソフトウェアの使用を規定する適用ライセンス契約の条項を変更することを意図したものでもなくまたそのような結果を生むものでもありません本講演資料で IBM 製品プログラムまたはサービスに言及していても IBM が営業活動を行っているすべての国でそれらが使用可能であることを暗示するものではありません本講演資料で言及している製品リリース日付や製品機能は市場機会またはその他の要因に基づいて IBM 独自の決定権をもっていつでも変更できるものとしいかなる方法においても将来の製品または機能が使用可能になると確約することを意図したものではありません本講演資料に含まれている内容は参加者が開始する活動によって特定の販売売上高の向上またはその他の結果が生じると述べるまたは暗示することを意図したものでもまたそのような結果を生むものでもありませんパフォーマンスは管理された環境において標準的な IBM ベンチマークを使用した測定と予測に基づいていますユーザーが経験する実際のスループットやパフォーマンスはユーザーのジョブストリームにおけるマルチプログラミングの量入出力構成ストレージ構成および処理されるワークロードなどの考慮事項を含む数多くの要因に応じて変化しますしたがって個々のユーザーがここで述べられているものと同様の結果を得られると確約するものではありません記述されているすべてのお客様事例はそれらのお客様がどのように IBM 製品を使用したかまたそれらのお客様が達成した結果の実例として示されたものです実際の環境コストおよびパフォーマンス特性はお客様ごとに異なる場合があります IBM IBM ロゴ ibm.com X-FORCE は世界の多くの国で登録された International Business Machines Corporation の商標です他の製品名およびサービス名等はそれぞれ IBM または各社の商標である場合があります現時点での IBM の商標リストについてはをご覧くださいこの資料は 2012 年 3 月 7 日現在のものであり将来この資料の全体または一部につき変更する場合があります弊社の許諾なしに本資料を転載することを禁じます 23

IBM Presentations: Smart Planet Template

IBM Presentations: Smart Planet Template Nutanix Tips 冗長性設計のヒント 2018 年 12 月 7 日日本アイビーエム株式会社システムズハードウェア事業本部 Power Systems テクニカルセールス 1 Nutanix システムの冗長性の設計耐障害性に関して以下の 2 点を決定します Redundancy Factor ノードが何台ダウンしてもクラスターが稼動し続けるか? Replication Factor