agenda 最近のセキュリティリスクの傾向標的型攻撃にみる攻撃の構造例サプライチェーン攻撃で鉄壁の守りも突破ビジネスメール詐欺の被害拡大サイバーセキュリティ経営ガイドライン攻撃の組織化とCSIRT CSIRTによるインシデント対応 1

Size: px

Start display at page:

Download "agenda 最近のセキュリティリスクの傾向標的型攻撃にみる攻撃の構造例サプライチェーン攻撃で鉄壁の守りも突破ビジネスメール詐欺の被害拡大サイバーセキュリティ経営ガイドライン攻撃の組織化とCSIRT CSIRTによるインシデント対応 1"

あかりあさぶき
5 years ago
Views:

1 最新のセキュリティ脅威と対策ポイント JNSA マーケティング部会

2 agenda 最近のセキュリティリスクの傾向標的型攻撃にみる攻撃の構造例サプライチェーン攻撃で鉄壁の守りも突破ビジネスメール詐欺の被害拡大サイバーセキュリティ経営ガイドライン攻撃の組織化とCSIRT CSIRTによるインシデント対応 1

3 最近のセキュリティリスクの傾向昨年順位個人順位組織昨年順位 1 位インターネットバンキングやクレジットカード情報の不正利用 1 位標的型攻撃による情報流出 1 位 2 位ランサムウェアによる被害 2 位ランサムウェアによる被害 2 位 7 位ネット上の誹謗中傷 3 位ビジネスメール詐欺 [NEW] ランク外 3 位スマートフォンやスマートフォンアプリを狙った攻撃の可能性 4 位脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加ランク外 4 位ウェブサービスへの不正ログイン 5 位セキュリティ人材の不足 [NEW] ランク外 6 位 5 位ウェブサービスからの個人情報の窃取情報モラル不足に伴う犯罪の低年齢化 6 位ウェブサービスからの個人情報の窃取 3 位 7 位 IoT 機器の脆弱性の顕在化 8 位 8 位ワンクリック請求等の不当請求 8 位内部不正による情報漏えい 5 位 10 位 IoT 機器の不適切管理 9 位ランク外偽警告 [NEW] IPA 情報セキュリティ 10 大脅威位サービス妨害攻撃によるサービスの停止犯罪のビジネス化 ( アンダーグラウンドサービス ) 4 位 9 位 2

添付ファイル実行によるマルウェア感染情法インストール悪意のあるWebサイトアクセスによるマルウェアのダウンロード感染報を悪意のあるコマンド実行による設定の変更別のマルウェアのダウンロードに組データの搾取リみー合

4 サイバーキルチェーンによる攻撃フェーズと攻撃例フェーズ攻撃例外部からの脆弱性スキャン偵察社員のSNSの情報収集フィッシングメール送信マルウェア付きメール送信なりすましメール送信配送段い悪意のあるWebサイトURL付きメール送信階く脆弱性を悪用した外部からのコマンド実行的つ添付ファイルを開かせるにか攻撃悪意のあるWebサイトにアクセスさせる重の悪意のあるコマンドを実行させる要手添付ファイル実行によるマルウェア感染情法インストール悪意のあるWebサイトアクセスによるマルウェアのダウンロード感染報を悪意のあるコマンド実行による設定の変更別のマルウェアのダウンロードに組データの搾取リみー合遠隔操作別のマルウェアのダウンロードチわ OSの設定変更 OS情報の送信すせ侵入拡大同一ネットワーク上の端末への感染拡大る目的の情報やデータを外部へ送信目的達成目的の設定やバックドアトロイの木馬の埋め込み Copyright 2018 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 3

5 転換ポイントサイバーセキュリティ政策に係る年次報告 (2017 年度 )2018 年 7 月 25 日 NISC サイバー攻撃はより深刻化巧妙化し被害も拡散 Java 脆弱性により漏えい事案が発生攻撃ツールセットが公開されランサムウェア WannaCry が世界的に大流行多額の仮想通貨が不正に送信他の仮想通貨等へ交換平昌オリパラにおいて大会運営用システムがサイバー攻撃の影響で停止サイバー空間に係る国際的な動向米国 EU 中国ロシアの動向各国との二国間協議 4

6 NEWS1 標的型攻撃に見るサイバーキルチェーン日本年金機構での攻撃の構造例 1 公開アドレスに標的型メール日本年金機構の情報系システム ( 機構 LAN システム ) 基幹システム ( 社会保険オンラインシステム ) 攻撃者 2 メールアドレス流出職員 ( 福岡県 ) メインフレーム個人情報 3 非公開アドレスに標的型メール職員 ( 東京都など ) 4 内部拡散記憶媒体などでコピー 5 ファイルサーバー内の個人情報が流出職員ファイルサーバー攻撃者が操る外部の複数のサーバー個人情報流出個人情報 5

調査結果報告のポイント 1 2 3 4 5 インシデントへの対応体制担当者任せ責任所在不明確など

情報セキュリティポリシー等改正等遅れ省の反映のみで緊張感欠如職員研修責任を持った意思決定なしガバナンス

7 調査結果報告のポイントインシデントへの対応体制担当者任せ責任所在不明確など共有ファイルサーバの管理個人情報の保管場所に関する問題のあるシステム設計とリスク認識の甘さルールチェックなし情報セキュリティポリシー等改正等遅れ省の反映のみで緊張感欠如職員研修責任を持った意思決定なしガバナンス組織風土のゼロベースからの抜本改革上層部に情報集約されずなど日本年金機構 (2015/8/20) 不正アクセスによる情報流出事案に関する調査結果報告書 6

8 NEWS2 サプライチェーン攻撃で鉄壁の守りも突破ビジネス活動の流れ ( サプライチェーン ) の途中を攻撃し最終的にターゲットを攻撃する大企業や政府組織などを攻撃するため防御の手薄なビジネスパートナー等を侵入口として攻撃そこからターゲットの組織へ潜入する多くの組織が利用している製品ソフトウェア等の開発元などに侵入し密かにマルウェア等を混入しそれを利用している組織を攻撃する 7

10 NEWS3 ビジネスメール詐欺の被害拡大ビジネスメール詐欺 (BEC:Business Compromise) 事例請求に関するメールのやり取り支払い済み! 2B 社担当者に成りすまし A 社に偽口座を伝え金銭を詐取 1 何らかの方法で盗聴未払い A 社被害企業担当者 4 他の請求も前倒しで支払うよう要求 ( さらに詐取を画策 ) 攻撃者 3A 社担当者に成りすまし支払いの事実関係を確認中と時間稼ぎ ( 発覚を遅らせる ) B 社正規の取引先担当者 9

11 ビジネスメール詐欺の手口取引担当者等になりすまし税務調査が入っており従来の口座が使用できない従来の口座が不正取引に使用され凍結されてしまった技術的な問題が発生しており従来の口座が使用できない経営者層等になりすまし極秘の買収案件で資金が至急必要になった緊急かつ内密に送金してほしい ( 他者に相談させない ) 弁護士等になりすまし 10

12 被害防止対策添付ファイルやリンク先を不用意に開かないウイルス対策ソフト OSを最新の状態に更新不正アクセス対策を徹底する電話などメール以外の方法で確認メール ( アドレス ) をよく確認組織内外での情報共有いかに早く気づけるかが重要! 11

13 NEWS4 改訂サイバーセキュリティ経営ガイドライン昨今のサイバー攻撃の巧妙化により事前対策だけでは対処が困難平成 29 年 11 月 16 日検知と復旧を入れて Ver2 に改訂 12

B) サイバーセキュリティ対策に関する参考情報 C) インシデント発生時に組織内で整理しておくべき事項別紙 D)

14 サイバーセキュリティ経営ガイドラインの構成本編概要１はじめに経営問題 3原則重要10項目２経営者が認識すべき３原則３サイバーセキュリティ経営の重要１０項目付録 A) サイバーセキュリティ経営チェックシート B) サイバーセキュリティ対策に関する参考情報 C) インシデント発生時に組織内で整理しておくべき事項別紙 D) 国際規格ISO/IEC27001及び27002との関係 E) 用語の定義 Copyright 2018 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 13

経営者が認識すべき 3 原則 1 2 3 経営者はサイバーセキュリティリスクを認識しリーダーシップによって対策を進めることが必要自社は勿論のこと

15 経営者が認識すべき 3 原則経営者はサイバーセキュリティリスクを認識しリーダーシップによって対策を進めることが必要自社は勿論のことビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要平時及び緊急時のいずれにおいてもサイバーセキュリティリスクや対策に係る情報開示など関係者との適切なコミュニケーションが必要 14

16 インシデント発生時の報告内容組織内で整理しておくべき事項付録C 表1 表2 表3 表4 表5 基本項目情報漏えいに係る項目ウイルス感染に係る項目不正アクセスに係る項目 (D)DoSに係る項目全てのインシデントで共通して調査すべき項目情報漏えいが発生した際に調査すべき項目ウイルス感染が発生した際に調査すべき項目不正アクセスを受けた際に調査すべき項目 (D)DoS攻撃を受けた際に調査すべき項目 Copyright 2018 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 15

17 NEWS5 攻撃の組織化と CSIRT 攻撃側 VS 防御側指揮監督マルウェア作成 DDoS 攻撃 Web 改ざん NW 侵入データ入手..etc 対策指揮内外との連絡係情報収集分析..etc CSIRT 構築の必要性 16

攻撃予兆情報を収集分析し対応方針や手順の策定などの活動予防活動各システムのチェック対策や規定の見直しユーザ啓発

18 CSIRTとは CSIRT Computer Security Incident Response Team コンピュータセキュリティにかかわるインシデントに対処するための組織の総称インシデント関連情報脆弱性情報攻撃予兆情報を収集分析し対応方針や手順の策定などの活動予防活動各システムのチェック対策や規定の見直しユーザ啓発対応活動検知通知対応原因究明これらの活動をする組織が必要 CSIRT Copyright 2018 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 17

20 CSIRT の役割と業務内容出典 : 日本シーサート協議会 CSIRT 人材の定義と確保 ver.1.5) 19

21 自組織をイメージして担当を検討 PoC 経営企画部コマンダー管理本部財務部取締役会監査室社長営業本部技術本部人事部情報システム部マーケティング部営業部設計部製造部外注業者インシデントハンドラフォレンジクス 20

22 CSIRT 組織化事例出典 :JPCERT/CC 2015 年度 CSIRT 構築および運用における実態調査 21

NEWS⑥ CSIRTで重要なのは発生時だけじゃないインシデント対応の考え方は多数存在するが

ティ部門がまとめたコンピュータセキュリティ関係のレポートSP800-61(r1)を解説している

ＣＳＩＲＴの設置検知調査機能の実装訓練の実施前兆や兆候の検出兆候の分析優先順位付け

23 NEWS⑥ CSIRTで重要なのは発生時だけじゃないインシデント対応の考え方は多数存在するが本セミナーではNISTのコンピュータセキュリティ部門がまとめたコンピュータセキュリティ関係のレポートSP800-61(r1)を解説している準備検知と分析封じ込め根絶復旧事件後の対応準備検知と分析手順書の作成ＣＳＩＲＴの設置検知調査機能の実装訓練の実施前兆や兆候の検出兆候の分析優先順位付け通知や報告封じ込め根絶復旧事件後の対応状況の確認被害拡大の防止インシデント原因の調査復旧セキュリティ対策の改善インシデント対応の評価と改善証拠の保管参考文献 NIST SP800-61(r1) コンピュータセキュリティインシデント対応ガイド Copyright 2018 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 22

24 Phase1: 準備インシデントレスポンスを行うための体制手順環境づくりを行う準備検知と分析封じ込め根絶復旧事件後の対応ポリシーと 1 手順書経営層がインシデント対応の必要性を意識するインシデントレスポンスの手順を決め書類等にまとめるサーバを調査するコマンド表やチェックリストなどを作成するインシデントの検知調査を可能とするシステムや運用の環境を作る 2CSIRT インシデントレスポンスチームを構成する組織で発生する IT 事故 = インシデントに対応するチーム外部組織 3 との連携インシデント対応には組織方針に沿った活動や外部との連携が必須公的機関政府協力会社など関連組織との連携を意識した準備をする 4訓練インシデントを体験しておきいざというときも対応できるようにする突然のインシデントに対応できるよう準備も兼ねた訓練を行う 23

25 Phase2: 検知と分析インシデントの兆候を検出しインシデントであるかどうかの分析を行う準備検知と分析封じ込め根絶復旧事件後の対応 1検知イベントを検知システムログ通報などでインシデントの兆候に気づく 2分析検知した内容を確認し本物のインシデントか誤検知かどうかを調べるどのようなインシデントであるかを分かる範囲で調査被害が出ていれば次の封じ込めフェーズに移行 24

26 Phase3: 封じ込め根絶復旧被害を最小化し原因を調査した後に業務機能やシステムを復旧する準備検知と分析封じ込め根絶復旧事件後の対応 1 封じ込め 2 根絶 3 復旧封じ込めをするためどのような原因であるかを調査システムネットワークパソコンを一時的に停止する停止の際には停止の影響と調査のための証拠が消えないよう注意すること取引先顧客社内に対してインシデントの発生を知らせるインシデントの原因を詳細に調査被害状況を詳細に調査今回のインシデントの原因となった箇所を修復する修復箇所が正しく修復されていることを確認所轄官庁警察等に連絡通報修復を終えたシステムを再開データの復旧等取引先顧客への連絡 Web サイト等にインシデントの顛末復旧の旨を掲載 25

27 封じ込めと根絶の対策ポイント原因根絶インシデント封じ込め影響 26

28 Phase4: 事件後の対応インシデントから学習し再発防止のための改善を行う事前対処 ( インシデントレディネス ) 準備検知と分析封じ込め根絶復旧事件後の対応 1 教訓インシデントから教訓を学ぶすべての関係者が参加して反省会を開催する新しい脅威に対して進化し技術を向上させる収集された 2事件データの利用各事件に関する客観的なデータと主観的なデータの収集体系的なセキュリティの弱点や脅威事件の動向の変化把握リスク評価プロセスへの還元追加のコントロールの選択と実施への応用 3 証拠の保管事件の証拠の保管期間のポリシーを確立すべての証拠を保管 27

参考資料はTPOで使い分け JPCIRT/CC インシデントハンドリングインシデント発生時の対応全般 4つ

30 インシデント対応マニュアルのポイントインシデント対応マニュアル 1. インシデント対応する人及び部署の明確化 2. インシデント発生前の準備 ① インシデント対応に必要な連絡先の確保 ② 各種規則の把握と整合性の確認 ③ インシデント対応に有効なツールの利用 3. インシデント対応フロー ① インシデントの発見及び報告 ② インシデントに対する初動対応 ③ インシデントに関する告知 ④ インシデントの抑制措置と復旧 ⑤ インシデントの事後対応出典 JPCERT/CC 準備検知と分析封じ込め根絶復旧 2018 LAC Co., Ltd. 事件後の対応 29

31 CSIRTのまとめ CSIRT活動{組織間の協力 (事前対処事後対処)} ① 対外的な連絡窓口であること ② 技術的な問合せに関して対応が可能であること ③ インシデントレスポンス(事後対処)だけではなくインシデントレスポンスなどの実践的な活動経験を元にインシデントレディネス(事前対処)を進めていること ④ 部署間を横断した組織体制をとっていること本日のメッセージ CSIRT と名乗らなくていいインシデント対応ができる体制づくりはしておこう Copyright 2018 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 30

32 安心してビジネスに取り組める組織づくりを!! 31

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション公表予定資料 6 サイバーセキュリティ対策 2017 年 6 月 14 日独立行政法人情報処理推進機構技術本部セキュリティセンターセンター長江口純一 IPA/ISEC( セキュリティセンター ) の使命と事業の支柱使命経済活動国民生活を支える情報システムの安全性を確保すること 1 ウイルス不正アクセス及び脆弱性対策ウイルス不正アクセスの届出相談受付脆弱性関連情報の届出受付分析提供