HIGIS 3/ﾌﾟﾚｾﾞﾝﾃｰｼｮﾝ資料/J_GrayA.ppt

Size: px

Start display at page:

Download "HIGIS 3/ﾌﾟﾚｾﾞﾝﾃｰｼｮﾝ資料/J_GrayA.ppt"

ゆきつちかね
5 years ago
Views:

1 社会インフラシステムにおけるサイバーセキュリティの脅威と対策 2016/10/27 株式会社日立製作所サイバーセキュリティ事業統括本部事業戦略本部石原修

2 IoT 時代あらゆるモノやヒトがインターネットにつながることでこれまでなかったさまざまな新しい価値やサービスが生み出される 1

3 IoT 時代あらゆるモノやヒトがインターネットにつながることでこれまでなかったさまざまな新しい価値やサービスが生み出されるその一方でサイバー攻撃の脅威はますます高まっているサービス停止企業活動への影響さらには社会的な影響も引き起こしかねない本講演では企業活動そのものが社会インフラととらえサイバーセキュリティの脅威と対策について考えていきます 2

4 Contents 1. サイバー攻撃の脅威と動向 2. サイバーセキュリティに対する施策 3. 事業継続のために必要なセキュリティ対策とは 4. 日立のセキュリティへの取り組み 5. 日立のセキュリティソリューションまとめ 3

5 1. サイバー攻撃の脅威と動向 4

6 1-1 脅威事例 (1/3) 米国の保険会社事業者 ( ) 組織化されたサイバースパイの攻撃で顧客情報 7,800 万件以上が流出経済的損失だけでなく社会的信頼も喪失攻撃者と侵入方法組織化されたサイバースパイグループ水飲み場攻撃で管理者 PC へのアクセス権を搾取マルウェアを使って管理者の認証情報を盗みデータベースに侵入被害の内容搾取した個人情報がハッキングに使われる可能性 ( 政治家など含む ) 損失出典 :The New York Times 経済的損失社会的信頼の損失会社のセキュリティ強化の費用顧客への説明や信頼回復のための広報関連の費用 5

7 1-2 脅威事例 (2/3) サウジアラビアの石油会社 ( ) マルウェアにより 3 万台のワークステーションが停止破壊された通常状態に戻るため多額の費用と時間を費やした攻撃者と侵入方法被害の内容不明社内の約 3 万台のワークステーションのハードドライブ上の情報が削除および上書きされた損失と影響出典 : albawaba BUSINESS 数日間ネットワークに接続不可その間ウェブサイトなどは停止業務は手作業ハードドライブを短期間で再調達するため通常よりも高価格で購入ネットワーク復旧に 10 日間新たな安全を確保したシステムでの運用開始までに 5 か月かかった 6

8 1-3 脅威事例 (3/3) その他損害は金銭だけでなく社会不安やインフラの脆弱性の顕在化など日付 2016 年 2 月 2015 年 7 月 2015 年 5 月 2014 年 7 月 2014 年 3 月 ~8 月攻撃対象 ( 地域 ) 被害内容病院 ( 米国ドイツ ) ランサムウェアによりシステムがロック米国人事管理局 ( 米国 ) 2,210 万人の公務員個人情報の流出公的機関 ( 日本 ) 約 101 万人約 125 万件の個人情報が流出サービス業 ( 日本 ) 約 3,000 万件の顧客情報が流出地下鉄 ( 韓国 ) 58 台のPCがサイバー攻撃損害影響復旧に数週間 1 億 3,300 万ドル ~ 3 億 2,980 万ドル社会不安約 260 億円交通制御システムに内在するリスクが明らかに出典 :Kaspersky lab DAILY DZNet 米国における個人情報保護に関する取り組みの現状 DigitalArts 日本経済新聞 THE STRAITS TIMES 7

1-4 サイバー攻撃の動向 (1/2) 新種マルウェアが急増シグネチャベース *1

9 1-4 サイバー攻撃の動向 (1/2) 新種マルウェアが急増シグネチャベース *1 の対策だけではサイバー攻撃を防ぐことは不可能 ( 件 ) : 新種のマルウェア発生件数 140,000, ,000,000 世界中で 39 万件 / 日を超える新種のマルウェアが発生 60,000,000 20,000, ( 年 ) 新種のマルウェアの発生件数 (2016 年 9 月 9 日時点 ) 出典 :AV-TEST *1 ポリシー違反や侵入を検知するための静的照合パターン 8

2016 年第 2 四半期の新しいランサムウェア発見数は過去最高 *1 ファイルを勝手に暗号化 / 読み取れない状態にしファイルの復元と引き換えに金銭を要求する不正プログラムの総称出典 *2:McAfee Labs 脅威レポート 2016 年 9 月 *3:

10 1-4 サイバー攻撃の動向 (2/2) ランサムウェア *1 が急増事業継続に多大な影響が発生メール添付ファイルを開いたり改ざんされた正規サイトや不正広告を閲覧しただけで感染する 1Q,2Q 連続で 120 万超の新たな種類が発見された *2 1Q で 372,602 人への攻撃が確認された *3 攻撃の 50% が暗号化型ランサムウェア * 年の被害額が 10 億ドルに達する可能を示唆 *5 1,200,000 ランサムウェアの合計数はこの 1 年で 128% 増加年第 2 四半期の新しいランサムウェア発見数は過去最高 *1 ファイルを勝手に暗号化 / 読み取れない状態にしファイルの復元と引き換えに金銭を要求する不正プログラムの総称出典 *2:McAfee Labs 脅威レポート 2016 年 9 月 *3: Kaspersky Lab IT THREAT EVOLUTION IN Q *4:Trend Labs 2016 年上半期セキュリティラウンドアップ *5:HERJAVEC GROUP Hackerpocalypse: A Cybercrime Revelation 9

11 1-5 グローバルでのサイバー攻撃リスク (World Economic Forum) Global Risks of Highest Concern for Doing Business グローバルでのサイバー攻撃リスクは 11 位 No. Risk Share 1 失業または不完全雇用エネルギー価格ショック財政危機 31.3 : 8 重要インフラの故障 19.3 : 10 国家間紛争 Cyberattacks データ詐欺や盗難 15.1 : 14 テロ攻撃 14.3 : 出典 : World Economic Forum Global Risks

Risk Share 1 Cyberattacks 51.6 2 自然災害 46.2 3 財政危機 44.0 : 8 重要な情報インフラの故障 20.

12 1-6 日本におけるサイバー攻撃リスク (World Economic Forum) Global Risks of Highest Concern for Doing Business 日本でのサイバー攻撃リスクは 1 位 IoT 拡大サイバー攻撃への準備が不十分などが背景 No. Risk Share 1 Cyberattacks 自然災害財政危機 44.0 : 8 重要な情報インフラの故障 20.9 : 10 資産バブルデータ詐欺や盗難テロ撃極端な気象現象 13.2 : 出典 : World Economic Forum Global Risks

13 1-7 社会におけるサイバー攻撃の脅威増大社会インフラシステムや生活者をターゲットとした脅威の増大制御システムへのサイバー攻撃増加 2015 年度 295 件国内インターネットバンキングの不正送金 2015 年約 30 億円 (2013 年約 14 億円 ) 交通エネルギー金融公共産業物流情報分野制御分野クラウド情報漏えい商品サービス監視制御情報制御 LAN 開発制御 LAN サービス停止端末 / 装置なりすまし乗っ取り不正操作センサ出典 : NCCIC/ICS-CERT Year in Review 警察庁広報資料 ICS-CERT:Industrial Control Systems Cyber Emergency Response Team 12

14 2. サイバーセキュリティに対する施策 13

2-1 米国の施策米国商務省の技術部門である非監督機関 NIST が発行した重要インフラのサイバーセキュリティを向上させるためのフレームワーク *1 を活用各企業はサイバーセキュリティリスクを把握管理し取るべき行動計画を策定自社のセキュリティリスクを把握管理し取るべき行動計画を策定する観点特定防御検知対応復旧システム資産データ機能のセキュリティリスク

15 2-1 米国の施策米国商務省の技術部門である非監督機関 NIST が発行した重要インフラのサイバーセキュリティを向上させるためのフレームワーク *1 を活用各企業はサイバーセキュリティリスクを把握管理し取るべき行動計画を策定自社のセキュリティリスクを把握管理し取るべき行動計画を策定する観点特定防御検知対応復旧システム資産データ機能のセキュリティリスク重要インフラサービス提供のための保護対策検討実施インシデント検知のための対策検討実施検知されたインシデントへの対応検討実施 * 年 2 月の米国大統領令に基づき関係する政府機関業界団体企業を交えたワークショップによる検討を踏まえ 2014 年 2 月に NIST(National Institute of Standards and Technology) により公開出典 : Framework for Improving Critical Infrastructure Cybersecurity レジリエンス計画策定維持機能やサービスの復旧対策検討実施 14

16 2-2 日本政府 / 業界の主な取り組みサイバーセキュリティ基本法施行以降各種ガイドラインが発行されている 2015 年 2016 年 2017 年サイバーセキュリティ基本法施行 (2015/1) 総務省 : 地方公共団体向け情報セキュリティポリシーガイド発行 (2015/3) NISC *1 : 重要インフラの情報セキュリティ対策に係る第三次行動計画改訂 (2015/5) 金融庁 : 金融分野におけるサイバーセキュリティ強化に向けた取組方針公表 (2015/7) 経産省 : サイバーセキュリティ経営ガイドライン発行 (2015/12) *1 NISC:National center of Incident readiness and Strategy for Cybersecurity *2 ICT-ISAC: 情報通信 (ICT) 分野全体のサイバーセキュリティ関する情報共有及び分析するための組織 ISAC:Information Sharing and Analysis Center 経産省 / 総務省 : IoTセキュリティガイドライン発行 (2016/7) ICT-ISAC *2 電力 -ISAC 発足 (2016/6) Auto-ISACなど発足日本電気協会 : 電力制御システムセキュリティガイドライン発行 (2016/5) 15

17 2-3 重要インフラの情報セキュリティに係る第三次行動計画 IT 障害が国民生活や社会経済活動に重大な影響を及ぼさないよう重要インフラの防護が必要重要インフラ事業者の情報セキュリティの取り組み :5 つの強化安全基準などの整備浸透情報共有体制障害対応体制リスクマネジメント防護基盤重要インフラ (13 分野 ) 情報通信ガス金融水道航空物流鉄道化学電力クレジット医療石油政府行政サービス ( 含地方公共団体 ) NISC *1 による調整連携重要インフラ所轄省庁関係機関など *1 NISC:National center of Incident readiness and Strategy for Cybersecurity 出典 :NISC 重要インフラの情報セキュリティ対策に係る第 3 次行動計画の概要 16

2-4 サイバーセキュリティ経営ガイドライン ( 経済産業省 ) サイバー攻撃から企業を守る観点で経営者が認識するべき 3 原則を策定 1 経営者は IT 活用を推進する中でサイバーセキュリティリスクを認識しリーダーシップによって対策を進めることが必要 2 自社は勿論のこと

18 2-4 サイバーセキュリティ経営ガイドライン ( 経済産業省 ) サイバー攻撃から企業を守る観点で経営者が認識するべき 3 原則を策定 1 経営者は IT 活用を推進する中でサイバーセキュリティリスクを認識しリーダーシップによって対策を進めることが必要 2 自社は勿論のこと系列企業やサプライチェーンのビジネスパートナー IT システム管理の委託先を含めたセキュリティ対策が必要 3 平時および緊急時のいずれにおいてもサイバーセキュリティリスクや対策対応に係る情報の開示など関係者との適切なコミュニケーションが必要出典 : サイバーセキュリティ経営ガイドライン 17

19 2-5 先行する業界 ( 金融業界 ) での取り組み金融庁を中心に官民連携したサイバーセキュリティ対策の強化を推進 2015 年 7 月金融庁公表金融分野におけるサイバーセキュリティ強化に向けた取組方針を受け推進 1 実態の把握 2 情報共有 3 横断的な演習 4 人材育成 5 金融庁体制強化フレームワークを活用した現状把握特定 / 防御 / 検知 / 対応 / 復旧 / サービス提供状況 / 顧客への働きかけ情報共有機関 ( 金融 ISAC *1 など ) を活用した情報収集提供取り組み高度化演習で実戦能力を養い PDCA *2 サイクルを回すことが有効重要社会基盤事業者等におけるサイバーセキュリティの確保の促進 ( 第 14 条 ) 対策の実装等を行う技術担当者だけでなく経営層およびこれを支える管理部門の職員も対象人材の確保等 ( 第 21 条 ) *1 ISAC:Information Sharing and Analysis Center *2 PDCA:Plan Do Check Action 出典 : 金融モニタリングレポート 18

20 3. 事業継続のために必要なセキュリティ対策とは 19

21 3-1 企業におけるサイバーセキュリティ対策上の課題サイバーセキュリティといっても企業によって課題はさまざま事業者の主な声製造業者 1. 製品開発においてサイバーセキュリティの観点がない 2. どこまで何をすればセキュリティを担保できたと言えるのか? 3. 出荷後の製品にサイバーセキュリティはどうしたらよいか? 経営者 4. グループ会社含めてセキュリティポリシーシステム全体を見直したい 5. CSIRT *1 のセキュリティ人材がいないセキュリティ専門技術が必要な部分はアウトソーシングできないか? *1 CSIRT:Computer Security Incident Response Team 6. 日立はどのような体制で運営しているのか? 20

22 3-1 企業におけるサイバーセキュリティ対策上の課題サイバーセキュリティといっても企業によって課題はさまざま事業者の主な声製造業者 1. 製品開発においてサイバーセキュリティの観点がない製品のセキュリティ ( 開発から出荷後 ) 2. どこまで何をすればセキュリティを担保できたと言えるのか? 3. 出荷後の製品にサイバーセキュリティはどうしたらよいか? 経営者 4. グループ会社含めてセキュリティポリシーシステム全体を見直したい 5. CSIRTのセキュリティ人材がいないセキュリティ専門技術が必要な部分はアウトソーシングできないか企業のセキュリティ ( システム組織運用 )? *1 CSIRT:Computer Security Incident Response Team 6. 日立はどのような体制で運営しているのか? 21

23 3-2 企業におけるサイバーセキュリティとは企業におけるサイバーセキュリティは下記の 2 つの軸で検討する必要がある A) 自社のサービス / 製品のサイバーセキュリティ B) 自社 ( 社内情報システムを含む ) のサイバーセキュリティ企業におけるサイバーセキュリティ A) 自社のサービス / 製品のサイバーセキュリティ B) 自社のサイバーセキュリティ製品サービス社内システム 22

24 3-3 製造業の事例で考えるセキュリティ製品設計開発からアフターサービスまでの各ステージでインシデントのおそれサプライヤー顧客製品ライフサイクル販社解体業者財務広報総務 IT 開発購買部品受入製造製品検査物流販売アフターサービス ( 保守修理など ) 付帯サービス廃棄開発システム部品購買システム製造システム製品出荷管理システム 23

25 3-3 製造業の事例で考えるセキュリティ製品設計開発からアフターサービスまでの各ステージでインシデントのおそれ製品ライフサイクル財務広報総務セキュリティホール IT サプライヤー開発購買部品開発時の受入開発データ漏えい開発システム購入品 / OSS の脆弱性部品購買システム開発環境データ破壊製造製品検査不正操作製造システム製造環境のデータ破壊検査で OSS の脆弱性が発覚物流販売販社製品出荷管理システム顧客出荷後製品の脆弱性を突いた攻撃アフターサービス ( 保守修理など ) 付帯サービス顧客情報漏えい解体業者保守マニュアル情報漏えい廃棄 24

26 3-3 製造業の事例で考えるセキュリティ製品設計開発からアフターサービスまでの各ステージでインシデントのおそれサプライヤー製品ライフサイクル販社解体業者購入品 / 検査でOSSの出荷後製品の財務 OSSの脆弱性購入品 /OSSの脆弱性が発覚 OSSの脆弱性出荷後製品の脆弱性をセキュリティ設計セキュリティ品質の広報購買セキュリティを担保部品製造製物が分かる人材販アフターサービスセキュリティ管理突いた攻撃開発手順策定チェック手順策定廃総務開発時のする仕掛け整備受入品流売 / 組織整備 ( 保守修理などの手順策定 ) 棄セキュリティホール IT 検付帯サービス査企業のセキュリティ不正操作 ( システム組織運用 ) 保守マニュアル情報漏えい開発部品購買製造製品出荷管理開発データ漏えいシステム製品のセキュリティ ( 開発から出荷後 ) マネジメントのルールシステムシステム ( 運用 ) 組織 (CSIRT) システム監視システム製造環境のデータ破壊ガバナンスポリシー開発環境データ破壊顧客顧客情報漏えい 25

27 4. 日立のセキュリティへの取り組み 26

28 4-1 日立グループにおける情報セキュリティへの取り組み日立グループ共通の情報セキュリティへの取り組み方針を定め情報セキュリティ強化活動を推進守るべき資産の明確化情報資産の洗い出しおよびリスク分析利用者リテラシーの向上セキュリティ教材の整備管理者従業員に対する教育守るべき情報資産各種セキュリティ施策の整備管理的施策の徹底技術的施策の導入規則体系 ( セキュリティポリシー ) の整備監査フォロー体制の確立情報セキュリティ体制の確立管理体制の整備予防プロセスと事故対応プロセスにおける PDCAサイクル拡充によるフィードバックの徹底 27

29 4-2 利用者リテラシーの向上社員の倫理観とセキュリティ意識の向上監査を通じて問題点の早期発見と改善情報セキュリティ教育社員の各階層ごとのカリキュラム e ラーニングによる全員教育標的型攻撃メール訓練教育パンフレットによる機密情報管理規則の周知 28

*2 センタ- 各 IRTとの連絡窓口取り纏め社会 IRT コミュニティとのグローバルネットワークの構築情報セキュリティ早期警戒パートナーシップ *1 SI:System Integration,*2

30 4-3 情報セキュリティ体制の確立脆弱性対策インシデント対応を支える IRT(Incident Response Team) を構築お客さまシステムのセキュリティ確保日立製品の脆弱性対策社内インフラのセキュリティ確保 SI *1 ベンダ -IRT 社外 SI/ サービス提供部署製品ベンダ -IRT 情報システム制御システム製品開発部署社内ユーザ -IRT 社内インフラ管理部署 HIRT *2 センタ- 各 IRTとの連絡窓口取り纏め社会 IRT コミュニティとのグローバルネットワークの構築情報セキュリティ早期警戒パートナーシップ *1 SI:System Integration,*2 HIRT: Hitachi Incident Response Team *3 FIRST:Forum of Incident Response and Security Teams FIRST *3 などの社外 IRT コミュニティ 29

31 4-4 各種セキュリティ施策の整備 (1) 製品のライフサイクルに基づくセキュアな製品開発 ( 設計から実装運用までのセキュリティを考慮した製品開発の徹底 ) インシデントへの迅速な対応セキュリティ情報の提供製品のセキュリティに関する全体方針の策定セキュリティを確保する開発方針の決定 HIRT *1 セキュリティテストの実施セキュリティツールによる脆弱性検査脆弱性問題作りこみ防止ソースコード検査ツール *1 HIRT: Hitachi Incident Response Team テストサポートセキュリティ専門部署品質保証部署実装要件定義設計部署 Z 設計セキュアな製品開発第三者評価 ISO/IEC JCMVP CMVP 認証取得セキュリティ基本設計方針の具体化セキュリティチェック項目に基づく機能設計 30

32 4-5 各種セキュリティ施策の整備 (2) 製品が利用する OSS *1 情報の一元管理による迅速な対応 ( 問題の解析影響有無の判断対策方針の決定 ) 脆弱性情報の入手から問題の解析お客さまシステムへの影響の有無の判断対策方針の決定お客さま製品の提供保守営業 / S E 製品の提供製品開発部門構成要素管理 DB 脆弱性情報各種属性情報製品開発支援部門 OSS 導入 O S S 取り纏め部門 OSS コミュニティ研究所セキュリティコミュニティセキュリティ専門部署 *1 OSS:Open-source software 31

33 4-6 情報セキュリティ報告書 2016 日立グループの情報セキュリティの取り組みを紹介しています 32

34 5. 日立のセキュリティソリューション 33

35 5-1 セキュリティソリューションの 3 つのアプローチ日立グループでの実績経験を生かしたセキュリティソリューションを提供システムで守る組織で守る運用で守るの 3 つのアプローチ組織で守る組織運用運用で守る組織体制を構築しポリシー方針に基づいたガバナンスを行うことシステムで守るポリシー方針に基づいたセキュリティの仕掛けを構築することセキュリティコンセプト H-ARC システムポリシー方針に基づき組織システム ( 仕掛け ) を継続的に運用すること H-ARC H 強じん性 Hardening A 適応性 Adaptive R 即応性 Responsive C 協調性 Cooperative 34

36 5-2 映像日立サイバーセキュリティ映像をご覧ください 35

フィジカルセキュリティ総合監視空港セキュリティ多拠点映像監視爆発物探知マンホール防犯安全対策車両下部不審物検知画像解析 *1 CSMS:Cyber Security

37 5-3 Hitachi Social Innovation Forum 2016 TOKYO でのご紹介内容組織で守る運用で守る CSMS 構築 *1 SOC *2 / CSIRT *3 構築運用サイバー演習システムで守るサイバーセキュリティリスクアセスメントセキュリティ設計認証データ暗号化マルウェア対策不正侵入対策不正操作対策フィジカルセキュリティ総合監視空港セキュリティ多拠点映像監視爆発物探知マンホール防犯安全対策車両下部不審物検知画像解析 *1 CSMS:Cyber Security Management System *2 SOC:Security Operation Center *3 CSIRT:Computer Security Incident Response Team 36

38 まとめ 37

39 IoT 時代あらゆるモノやヒトがインターネットにつながることでこれまでなかったさまざまな新しい価値やサービスが生み出される今後も日立グループでの実績経験を活かしたシステムで守る組織で守る運用で守るセキュリティソリューションを提供していきます 38

40 展示のご紹介 B2F ホール E( 展示会場 ) セキュリティ関連の展示 39

41 セキュリティ関連セミナーのご案内 10 月 27 日 ( 木 ) 本日時間セミナー NO 16:30~17:10 SE01-24 IoT 時代へつなぐ制御システムセキュリティの現状と対策 10 月 28 日 ( 金 ) 時間セミナー NO ( 株 ) 日立製作所中野利彦 11:30~12:10 SE02-01 日立が考える安全安心な社会インフラを実現するセキュリティ ( 株 ) 日立製作所宮尾健 13:00~13:40 SE02-09 社会インフラを組織で守る! サイバー演習サイバージムギラッドヨシ氏 ( 株 ) 日立製作所夏目学 15:20~16:00 SE02-19 制御システムを守る! サイバーセキュリティマネジメントシステム ( 一財 ) 日本品質保証機構 (JQA) 小倉敏彦氏 40

42 END 社会インフラシステムにおけるサイバーセキュリティの脅威と対策 2016/10/27 株式会社日立製作所サイバーセキュリティ事業統括本部事業戦略本部石原修 41

中小企業向け　サイバーセキュリティ対策の極意

中小企業向け　サイバーセキュリティ対策の極意 INDEX Mission 1 Mission 2 Mission 4 Mission 5 Mission 3 info 2 INDEX Mission 1 Mission 2 Mission 3 Mission 4 Mission 5 info 3 INDEX Mission 1 Mission 5 Mission 3 Mission 2 Mission 4 info 4 INDEX Mission