講演資料

Size: px

Start display at page:

Download "講演資料"

わんどのしろ
5 years ago
Views:

1 最新のサイバーセキュリティ対策としてのアクセス管理と認証等 2018 年 8 2 般財団法本情報経済社会推進協会 (JIPDEC) 常務理事内徹

JIPDEC の概要名称 JIPDEC ( じぷでっく ) 法番号 1 0104 0500 9403 般財団法本情報経済社会推進協会事務所所在地

4 内徹講師紹介般財団法本情報経済社会推進協会 (JIPDEC) 常務理事インターネットトラストセンター経歴内閣官房 IT 担当室経済産業省等においてIT 政策及び基準認証政策の企画案に携わった後般社団法 JPCERTコーディネーションセンター主席研究員を経て現職また早稲学常勤講師としてシンガポール / アジアの IT と社会講座を担当 3 Copyright 2018 JIPDEC all rights reserved

6 本のご説明の要旨アメリカ国標準技術研究所 (NIST) が昨年電的認証に関するガイドラインの最新版である NIST SP を発表本ガイドラインや最近のサイバー攻撃事例などから最新のサイバーセキュリティ対策として企業内システムのアクセス管理と認証につき何が求められているのか信頼できるクラウドサービス等を如何に選び安全に使いこなすかについて解説 5 Copyright 2018 JIPDEC all rights reserved

8 企業経営とサイバーセキュリティ知的財産やブランドなど企業の競争の源泉がデジタル化する中でサイバーに係るリスクも増リスクは情報漏洩だけではなく事業継続困難や信棄損の可能性 IoT によるサプライチェーンのセキュリティサイバーセキュリティ対策 ( セキュリティマネジメント ) は企業経営の課題であり経営者による主体的取り組みが不可出所 : 横浜信著経営とサイバーセキュリティを参考に作成 7 Copyright 2018 JIPDEC all rights reserved

セキュリティインシデントの推移内部不正, 為ミスなりすましメールの増加 8 Copyright 2018

10 セキュリティサービス製品の導多種多様なセキュリティサービス製品社内サーバ / プラットフォームに対する脆弱性診断サービス 0% 25% 50% 75% 100% 43.3% 15.0% 6.5% 28.0% 7.2% 外部 Web サーバに対する脆弱性診断サービス 36.8% 15.9% 7.9% 32.0% 7.4% Web サーバ向けの SSL サーバ証明書 38.0% 16.6% 8.1% 27.4% 10.0% Web 改ざん検知 / コードサイニング証明書 28.9% 16.5% 9.2% 35.2% 10.2% クライアント証明書 32.3% 16.2% 9.5% 31.5% 10.5% 外部から社内ネットワークへの侵検知サービス 33.8% 16.6% 9.4% 31.3% 8.9% セキュリティ機器の運アウトソーシング 29.4% 18.0% 10.0% 32.9% 9.7% セキュリティオペレーションセンタ (SOC) による総合的なセキュリティ監視 28.3% 19.0% 10.7% 32.5% 9.5% セキュリティ情報 ( 脅威情報 ) 配信サービス 28.0% 18.2% 9.4% 33.6% 10.8% サイバー保険 ( 個情報漏洩保険含む ) 24.0% 18.9% 11.3% 34.9% 11.0% (N=693) 利済み 1 年以内に利開始予定 3 年以内に利開始予定予定なしサービス体を知らない 9 Copyright 2018 JIPDEC all rights reserved 出典 :JIPDEC IT-Report 2018 Spring

ISMS による情報セキュリティ対策リスクマネジメントプロセスを取りれて情報資産を保護するための組織的な仕組み ( 情報セキュリティマネジメントシステム :ISMS) PDCA サイクル ISMS を構築するための国際規格が ISO/IEC 27001 (ISMS

11 ISMS による情報セキュリティ対策リスクマネジメントプロセスを取りれて情報資産を保護するための組織的な仕組み ( 情報セキュリティマネジメントシステム :ISMS) PDCA サイクル ISMS を構築するための国際規格が ISO/IEC (ISMS 要求事項 ) として定められている ISMS 認証とは ISO/IEC に沿って PDCA サイクルを構築運していることを第三者 (ISMS 認証機関 ) が証明すること 10 Copyright 2018 JIPDEC all rights reserved

12 リスクのアセスメント及び対応内外の状況把握リスク特定リスク評価リスク対応働き改クラウド化事業標経営戦略情報の機密性完全性可性の喪失が想定される発状況その原因結果などを特定特定したリスクの影響発可能性を特定リスクレベルを決定リスクの優先順位付けリスク低減のための管理策の実施 * リスク対応には保険などによるリスク共有 ( 移転 ) などもある 11 Copyright 2018 JIPDEC all rights reserved

ISMS 適合性評価制度の概要本は世界のISMSの普及国 JIPDECの関連法 :( 社 )

適合性評価 - 適合性評価機関の認定をう機関に対する般要求事項 ) 認定 (Accreditation) 認証機関 :26

) 認証 (Certification) 認証組織 :5596 適合基準 ISO/IEC 27001 ( 情報技術 -

13 ISMS 適合性評価制度の概要本は世界のISMSの普及国 JIPDECの関連法 :( 社 ) 情報マネジメントシステム認定センター (ISMS-AC) 認定機関 :ISMS-AC 適合基準 ISO/IEC ( 適合性評価 - 適合性評価機関の認定をう機関に対する般要求事項 ) 認定 (Accreditation) 認証機関 :26 適合基準 ISO/IEC ( 情報技術 - セキュリティ技術 -ISMS の審査及び認証をう機関に対する要求事項 ) 認証 (Certification) 認証組織 :5596 適合基準 ISO/IEC ( 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項 ) 12 Copyright 2018 JIPDEC all rights reserved

14 クラウドサービスのセキュリティ ISMSに基づくクラウドサービスのセキュリティ対策 ISMSクラウドセキュリティ認証 (ISO/IEC 及びISO/IEC 27017) 社内 LAN 社内 LAN セキュリティ対策は全て前 ISMS 認証セキュリティ対策はクラウドサービスに依存する部分がきい ISMS クラウドセキュリティ認証 13 Copyright 2018 JIPDEC all rights reserved

16 NIST SP とは国政府機関向けのデジタル認証実装ガイドライン Digital Identity Modelの保証レベルを定義 Federation and Assertion ( 出所 :NIST Special Publication Digital Identity Guidelines を基に作成 ) 15 Copyright 2018 JIPDEC all rights reserved

NIST SP800-63-3 の全体構成 3つの保証レベルを定義 4つの書によって構成保証レベル毎にサブドキュメント化書番号タイトル URL SP800-63-3 SP800-63A SP800-63B

Authentication and Lifecycle Management 認証とライフサイクル管理 Federation and Assertions フェデレーションとアサーション

pdf https://nvlpubs.nist.gov/ni stpubs/specialpublications /NIST.SP.800-63b.pdf https://nvlpubs.nist.gov/ni stpubs/specialpublications /NIST.SP.800-63c.

17 NIST SP の全体構成 3つの保証レベルを定義 4つの書によって構成保証レベル毎にサブドキュメント化書番号タイトル URL SP SP800-63A SP800-63B SP800-63C Digital Identity Guidelines 電認証のガイドライン Enrollment and Identity Proofing 登録プロセス元確認 Authentication and Lifecycle Management 認証とライフサイクル管理 Federation and Assertions フェデレーションとアサーション stpubs/specialpublications /NIST.SP pdf stpubs/specialpublications /NIST.SP a.pdf stpubs/specialpublications /NIST.SP b.pdf stpubs/specialpublications /NIST.SP c.pdf 16 Copyright 2018 JIPDEC all rights reserved

19 NIST SP800-63B のポイントパスワードからパスフレーズへユーザが設定するときは8 字以上管理者がランダムに設定するときは6 字以上最低 64 字を許容すべきスペース ( 空字 ) を許容する複雑さ ( 英数記号を混ぜるなど ) の要件を課すべきではないパスワードの定期変更の推奨パスワードを定期的に変更するように要求すべきでないただしパスワード漏えいの恐れがあるときは変更を強制しなければならない体認証はユーザの利便性を提供する補助的な認証要素体認証は確率的なものであるがで他の認証要素は決定的なもの体認証の特性はシークレットではないその他秘密の質問の制限アウトバウンドデバイスの制限等 18 Copyright 2018 JIPDEC all rights reserved

20 パスワードの定期変更は条件付禁ユーザーによる複雑なパスワードの記憶には限界があるパスワードの定期変更を強制されるとユーザは結果として弱いパスワード使うようになるという研究結果例 ) password Passw0rd P@ssw0rd P@ssw0rd! P@ssw0rd!1 P@ssw0rd!2 字 / 数字記号桁数定期変更 1 定期変更 2 NIST SP800-63B 記憶シークレット検証者検証者は記憶シークレットに対して他の構成ルール ( 異なる字種の組み合わせの要求や字の繰り返しの禁など ) を強要すべきではない (SHOULD NOT) 検証者は記憶シークレットを任意で ( 例えば定期的に ) 変更するよう要求すべきではない (SHOULD NOT) しかし認証コードが危殆化した証拠がある場合は変更を強制する (SHALL) 19 Copyright 2018 JIPDEC all rights reserved

21 本でのパスワード管理に関する啓発総務省国のための情報セキュリティサイトパスワードを複数のサービスで使い回さない ( 定期的な変更は不要 ) y/business/staff/01.html 内閣サイバーセキュリティセンター (NISC) 情報セキュリティハンドブックパスワードの定期変更は必要なし流出時は速やかに変更する誤解を招く報道につながる?! 20 Copyright 2018 JIPDEC all rights reserved

内部不正対策としてのアクセス管理重要情報の取扱い重要情報にアクセスできる員 ( 部署 ) の制限 (50.8%) 重要情報の取扱責任者の任命 (47.5%) クライアント対策外部デバイスへのデータ移動の制限 (50.1%) PC 操作ログの取得保管 (46.6%) サーバー対策特権ユーザ ( システム監理者など ) の管理 (46.

22 内部不正対策としてのアクセス管理重要情報の取扱い重要情報にアクセスできる員 ( 部署 ) の制限 (50.8%) 重要情報の取扱責任者の任命 (47.5%) クライアント対策外部デバイスへのデータ移動の制限 (50.1%) PC 操作ログの取得保管 (46.6%) サーバー対策特権ユーザ ( システム監理者など ) の管理 (46.5%) 社内サーバへの定期的なアクセス権の直し (43.7%) その他般社員向けへの教育研修の実施 (46.5%) 退職者に対するアクセス権の早期無効化 (46.5%) 外部 Webサイトへのアクセス制限 (46.5%) 21 Copyright 2018 JIPDEC all rights reserved 出典 :JIPDEC IT-Report 2018 Spring

退職者等のアカウント管理内部不正対策として退職者等のアカウントは直ちに消去する必要があると共に

で内部犯 ʻ を検索すると 181 件がヒット http://www.security-next.

25 社内システムへのアクセス認証進むアクセス認証 0% 20% 40% 60% 80% 100% 79.7% ID/ パスワード 2.2% LDAP/ActiveDirectory 17.0% 39.5% ハードウェアトークン (ICカード RFIDなど ) ソフトウェアトークン ( ワンタイムパスワードメール通知声通知など ) 体認証 ( 指紋静脈虹彩顔など ) FIDO 認証 (U2F/UAF) リスクベース認証 ( 画像 / 字致 CAPTCHA マトリクス表 QRコードなど ) 端末固有情報を利した認証 (MACアドレス IPアドレスなど ) 認証連携 ( フェデレーション SAML2.0 OpenID Connectなど ) 外部サービスを利した認証 (Googleアカウントマイクロソフトアカウント Facebookアカウントなど ) 35.4% 18.9% 29.9% 20.1% 26.3% 32.8% 16.5% 23.4% 17.7% 19.2% 27.7% 17.9% 16.3% 19.6% 18.3% 18.2% 現在利している現在は利していないが今後利したいあてはまるものがない 10.2% 34.5% (N=693) 24 Copyright 2018 JIPDEC all rights reserved 出典 :JIPDEC IT-Report 2018 Spring

クラウドサービスのセキュアな認証内部環境クラウドサービスメールオンラインストレージ等 JCAN 証明書による認証認証システムブロック!

JIPDEC の概要名称 JIPDEC ( じぷでっく ) 法番号般財団法本情報経済社会推進協会事務所所在地東京都港区六本丁 9 番 9 号 ( 六本ファーストビル内 ) 設 1967 年来年 50 周年記念 2 Copyright 2

JIPDEC の概要名称 JIPDEC ( じぷでっく ) 法番号般財団法本情報経済社会推進協会事務所所在地東京都港区六本丁 9 番 9 号 ( 六本ファーストビル内 ) 設 1967 年来年 50 周年記念 2 Copyright 2 EABuS&JIPDEC フォーラム 2016 第 4 次産業命とインターネットトラスト 2016 年 11 24 般財団法本情報経済社会推進協会常務理事インターネットトラストセンター内徹 Copyright 2016 JIPDEC all rights reserved 講師紹介内徹般財団法本情報経済社会推進協会 (JIPDEC) 常務理事インターネットトラストセンター経歴内閣官房