企業に対するサイバー攻撃の実態と対策 NTT コミュニケーションズの事例紹介 NTTコミュニケーションズ株式会社覚 2017 年 2 3 Transform your business, transcend expectations with our technologically advance

Size: px

Start display at page:

Download "企業に対するサイバー攻撃の実態と対策 NTT コミュニケーションズの事例紹介 NTTコミュニケーションズ株式会社覚 2017 年 2 3 Transform your business, transcend expectations with our technologically advance"

こおがたつざわ
5 years ago
Views:

1 企業に対するサイバー攻撃の実態と対策 NTT コミュニケーションズの事例紹介 NTTコミュニケーションズ株式会社覚 2017 年 2 3 Transform your business, transcend expectations with our technologically advanced solutions.

2 次 1. セキュリティ脅威の動向 2. 繰り返される情報漏洩事故 3. 当社における標的型攻撃対策の取り組み 4. サイバー攻撃を契機としたセキュリティリスクマネジメントの直し 5. CSIRT 体制強化の取り組み記載されている会社名や製品名は各社の商標または登録商標です 2

3 1. セキュリティ脅威の動向 3

4 グローバルリスクレポート2017 テロリストの攻撃サイバー攻撃 4

米中間のサイバーセキュリティ問題 1/2 2014 年 5 月 19 日米司法省は中国人民解放軍の将校 5 人を産業スパイで起訴人民解放軍の 61398 部隊に所属する将校 5 人は

5 米中間のサイバーセキュリティ問題 1/ 年 5 月 19 日米司法省は中国人民解放軍の将校 5 人を産業スパイで起訴人民解放軍の部隊に所属する将校 5 人は原発メーカーの Westinghouse Electric など米国企業 6 社のシステムに侵入し企業秘密などを盗み出したとされる自社と顧客の企業秘密を守る為に我々は何をすべきか? 5

米中間のサイバーセキュリティ問題 2/2 2015 年 9 月米中首脳会談で中国のサイバー攻撃を非難オバマ大統領は習近平国家主席に

6 米中間のサイバーセキュリティ問題 2/ 年 9 月米中首脳会談で中国のサイバー攻撃を非難オバマ大統領は習近平国家主席に中国がサイバー攻撃したと考えられるアトリビューションの根拠を突きつけた両国は知的財産を盗むサイバー攻撃を実行しない支援しないことで合意 Kevin Lamarque-REUTERS 6

サイバー空間における安全と安定の促進国家及びテロリストを含む非国家主体の双方によるサイバー空間の悪意ある利用に対し密接に協力一定の場合には

7 G7 合意はトランプ政権に引き継がれるか? G7 伊勢志摩首脳宣言付属文書記載事項サイバーに関する G7 の原則と行動目指すべきサイバー空間オンラインにおける人権と法の支配の原則の堅持サイバー空間における安全と安定の促進国家及びテロリストを含む非国家主体の双方によるサイバー空間の悪意ある利用に対し密接に協力一定の場合にはサイバー活動が国連憲章及び国際慣習法にいう武力の行使又は武力攻撃となりうることを確認

8 社会インフラに対するサイバー攻撃のリスク ( 事例 ) 交通標識がゴジラ襲来と警告国でハッキング被害 2014 年 :38 JST 8

9 無防備な Web カメラの監視画像をせる Insecam Watch Panasonic camera in Japan Shibuya-Ku Watch Panasonic camera in Japan Inazawa Watch Panasonic camera in Japan Osaka Watch Panasonic camera in Japan Numazu Watch Panasonic camera in Japan Obu 9 Watch Panasonic camera in Japan Takamatsu

10 反射増幅 ( リフレクション ) 攻撃事例攻撃者標的だけでなく攻撃を中継したISP もシステム停等の被害を受ける攻撃は最 70Gbps 標的分類データの個数 / ID 攻撃は40 回リソース / 3 以上 OCN インターネットインターネット OCN 開始月開始日 (DD)

11 2. 繰り返される情報漏洩事故

情報を作業にコピー社会保険オンラインシステム作業にデータを抽出 4 悪性サイトにアクセス悪性サイト /C&C サーバ 6 機構内情報が流出 10 個情報が流出 9 被害拡約 125 万件そのうち 55

12 N 機構個情報流出までの時系列 ( 概要 ) 厚労働省などを装ったメールが送信される N 機構において職員の端末が不正アクセスを受け年加者の名年管理番号など約 125 万件 (101 万分 ) の個情報が流出 3URL クリック年加者個情報攻撃者 25/8 以前第 1 弾受信 75/18 第 2 弾を複数受信 85/20 第 3 弾を複数受信情報系システム職員 5ウイルス感染 & バックドア 1 個情報を作業にコピー社会保険オンラインシステム作業にデータを抽出 4 悪性サイトにアクセス悪性サイト /C&C サーバ 6 機構内情報が流出 10 個情報が流出 9 被害拡約 125 万件そのうち 55 万件にはパスワードによるアクセス制限はされていなかったファイル共有サーバや個の端末にデータを保存外部サーバに情報を保存部は東京都港区の海運事業者のサーバに保存されていた 2015 年 7 2 午前 9 時時点での公開情報に基づく 12

mofa.go.jp/mofaj/press/oshirase/17/osrs_1020.

13 2005 年外務省の発表なぜ同じような過ちを繰り返すのか? マネジメント普及啓発技術的対策監視運監査など何が問題だったのか? 出典 : 13 出典 :

14 作業中 (IT 導前 ) システム化が抱える課題 1/2 基幹系システム群システムは常に変化移期や暫定的な業務がリスクをむシステム化 (IT 導後 ) 基幹系システム群動化部作業動化 14

15 システム化が抱える課題 2/2 公開サイトのセキュリティ対策基幹系システム群問い合わせ対応 USB 社内 LAN USB 報告分析など標的型攻撃対策 C&C ダウンロード情報管理 95/552 件 15

16 3. 当社における標的型攻撃対策について 16

17 標的型攻撃のメールの開封率 ( 弊社訓練結果 ) 1 回 (2012 年 11 ) 社員派遣社員 10,431 名中 340 名 (3.3%) が開封 2 回 (2013 年 2 ) 社員派遣社員 8,745 名中 1,583 名 (18.1%) が開封社外から緊急メール架空の団体懇親会の案内メール既にマルウェアが社内に潜伏している前提での対策が必要 17

18 NTT コムに対するマル ( ランサム ) ウェアの脅威平均間メール通数 :18,560,624 通マルウェア添付メール検知数 ( 検知に駆除不可 ) マルウェア添付メール検知数 ( 検知に駆除可能 ) 激増したマルウェアの多くはランサムウェア

C D!! 防御側の対応策 1 独ブラックリストの導 + 不審な通信先監視 2 複数機器の警報 ( ログ ) を相関分析し

19 組織的攻撃を想定したリスク対策とは攻撃者のセオリー 1 URL ブラックリストに登録されていないサイトから攻撃 2 不正侵検知装置では軽微な警報 3 ウィルス対策ソフトも無反応 4 標的 ( 社員 ) も特定 5 システム環境も調査 A P 脆弱性対策レスキュー C D!! 防御側の対応策 1 独ブラックリストの導 + 不審な通信先監視 2 複数機器の警報 ( ログ ) を相関分析しすり抜けた脅威を検出 34 全ての電ファイルを仮想 PC 環境 (Sandbox) で動作確認注意喚起メールの動送信出ブロック動設定注意!! Sandbox 19

20 未対応ランサムウェアの量流経験ランサムウエア付きメールが短時間に量着信スパムメールフィルタリングウィルス対策 GW メールサーバ開封者 6 名 77,924 59,353 39,183 59,353 対応前のマルウエア 100% 通過開封率 0.015% ランサムウエアの本体プログラムのダウンロードを阻し被害回避プロキシサーバの動ブロック機能により 2 名認証プロキシの ID/PW 認証により 4 名 20

21 標的型攻撃対策の実績 NTT Com グループ独の SIEM エンジンやブラックリストなどにより従前の対策で検知困難な未知の重篤なセキュリティ脅威を発 IPS/UTM ( 従来型 SOC) 4 監視対象件 :PC 約 8 万台リアルタイムマルウェア検知 (Sandbox+PCAP) 170 億件 /53 のログを抽出 22 件標 ( ログソース :IPS/IDS, Sandbox, PROXY) 1-2 セキュリティ運基盤による分析 22 万件の疑わしいログに絞り込み件 / リスクアナリストによる重篤度判定総合ログ分析 13 件 39 件の重篤なセキュリティ脅威を検知 21

22 4. サイバー攻撃を契機としたセキュリティリスクマネジメントの直し

23 2013 年万件の顧客情報が流出 23

24 7 項の直しを実施全社 ITシステムのセキュリティリスク低減策 1. 全社 ITシステム等の調査 2. ITシステムのソフトウェア脆弱性解消の対応策 3. セキュリティ強化策セキュリティリスクマネジメントの新たな業務運営プロセス 4. 全社 ITシステムの管理針を改めて策定 5. ソフトウェア脆弱性発覚時の対応 6. ソフトウェア脆弱性発覚時の対応訓練 7. 規程 / 約款の改定 24

25 1. 全社 ITシステムを洗い出しソフトウェアやハードウェアの構成 / 運状態 / 主管 7 組織等を調査リスクアセスメントの基礎情報を再整備 2. グローバル IP アドレスを保有するシステムについて朽化したシステムの更改ソフトウェアパッチの適の全体予算を把握し対応策を策定対応針決定数字は IT システム数システム管理台帳 668 全社調査 382 ( 分析中 ) 優先度 ( クローハル IP 有り ) 再調査詳細調査詳細調査システム改修計画 941 調査継続サポート無しサポート有りシステム更改 ( 朽化 ) 6 システムは廃パッチ適体制の確調査継続サービス提供系共通系サービス停実施順の作成 156 システム停順作成 156 システムお客様対応順作成 150 サービス 25

26 3. セキュリティ強化策の徹底セキュリティ対策の適基準を定め調査で洗い出されたグローバル IP アドレス保有システムに適 NW Web 公開システ情報システムの種別 FW IDS IPS Web ウィルス対策 WAF VM セキュリティプロファイリングリアルタイムマルウェア検知脆弱性診断リスクアセスメント上記以外 ( メール等 ) WebAPを保有ムインターネットGWを有するシステム社内に閉じたシステム 26

27 4. 全社 IT システムの管理針を改めて策定全 IT システムを元管理する針を定め正確な構成管理とセキュリティレベル担保のためのプロセスを策定課題対応針システム情報の元化タイムリーな情報更新脆弱性情報に対する迅速で確実な対応ルール化サービス開発判断システム投資判断時に情報登録脆弱性対応状況の登録を義務化システム化 ( 情報セキュリティ管理プラットフォー /ISMP) システム構成情報管理の徹底システムの標準化全社のガバナンス強化ソフトウェア脆弱性への対応は ISMP でモニタリング IT システムのハードウェアや OS 等を標準化 27

28 脆弱性マネジメントシステム (ISMP) の利を徹底従来のシステム管理台帳を廃し脆弱性マネジメントシステムに本化より簡易に抜け漏れなくガバナンス強化を実現情報システム ISMP システム情報登録システム名途 IP OS/AP 等 Information Security Management Platform 対策実施診断結果と脆弱性情報に基づく対策実施システム管理者 CISO サービス提供脆弱性診断 ( 定期随時 ) 当該システムに影響する脆弱性情報を抽出動通知警報配信 (CSIRT) 脆弱性対応状況管理脆弱性対策実施の計画と実績管理 28 ( 特徴 1) 脆弱性診断結果に基づく対策実施計画と実施状況を元管理 ( 特徴 2) 登録システム全体の脆弱性対策状況を管理ボトムラインを可視化

29 当社のリスクマネジメントフレームワークサービス開始前に 2 回チェック拡張 / 最適化企画 / 設計開発判断開発 / 構築提供判断脆弱性診断運インシデントレスキューサービスリスク評価 / 分析セキュリティ対策導脆弱性管理システムに情報登録脆弱性対策脆弱性情報システム ID を発しトレース ( 物品調達時も ID) カスタムシグニチャの提供 29

30 2 攻撃可能性リモート攻撃可能 5. ソフトウェア脆弱性発覚時の対応対応緊急度の判定 1 リスクレベルと 2 攻撃可能性 ( リモート攻撃可否 + 攻撃ツール有無 ) で緊急度を判断攻撃ツール有攻撃ツール無リモート攻撃不可能 1 リスクレベル S+ S リスク A リスク低 B 対応実施基準緊急度対応実施基準 S+ S- A B 速やかにサービスを停し対処を実施する速やかにサービスを停し対処を実施することを基本とする停せずに対処可能な場合はサービス責任者がその根拠を明らかにし対処を実施する速やかに順検討の後対処を実施する各組織にて定期的に対処を実施する 30

31 0:00 1 脆弱性公開パッチ提供 bash 脆弱性 (ShellShock) 対応状況独にカスタムシグニチャを作成し対策実施 9/25( ) 26( ) 27( ) 28( ) 29( ) 15:00 2 脆弱性公開 ( 修正もれ ) 11:00 2 パッチ提供 IPS WAF A 製品 B 製品 C 製品 D 製品 45.5 時間 9/25 13:00 作成 28.5 時間 9/25 13:00 作成 9/27 10:30 公式提供 9/26 17:30 公式提供 87.5 時間 9/25 18:30 作成 9/25 22:00 作成 9/29 10:00 公式提供 31

32 bash 脆弱性 (ShellShock) 対応状況 B 社メーカーシグネチャリリース A 社メーカーシグネチャリリース NTT Com カスタムシグネチャリリース経営者が決断すべきは 4500 件以上の攻撃を検知防御事業継続のためのシステム停攻撃者より早い決断が必要です 32

33 セキュリティリスクマネジメントの直しセキュリティリスクマネジメントの如が露呈全社 IT システム等を徹底調査しセキュリティリスク低減策を講じるとともにお客様に提供する全サービス全システムにおける統したルールや体制を整備 IT システムの全社管理とセキュリティリスクマネジメントの新たな業務運営プロセスを確 33

34 4. CSIRT 体制強化の取り組み

35 情報セキュリティ部 (CSIRT) について CSIRT サイバーセキュリティ対策 Computer Security Incident Response Team Check Do Action Plan 情報セキュリティマネジメント 35

36 情報セキュリティの程式脆弱性 ( セキュリティホール ) 対策の徹底システム運制度企業化 1テクノロジーセキュリティレベル = ( 新技術の導 ) 2 オペレーション ( 監視運社員教育 ) 3 ユーザビリティ ( 利便性由度 ) お客さまや社内外からのよろず相談や協要請をお待ちしてます! 36

37 ご清聴ありがとうございました 37

NTT Communications PowerPoint Template(38pt)

NTT Communications PowerPoint Template(38pt) IoT 時代に求められる次世代セキュリティ対策すでに起こった未来に学ぶ NTT コミュニケーションズ株式会社小山覚 2017 年 2 月 16 日 Transform your business, transcend expectations with our technologically advanced solutions. 目次 1. セキュリティ脅威の動向 2. すでに起こった IoT

企業に対するサイバー攻撃の実態と対策 NTT コミュニケーションズの事例紹介 NTTコミュニケーションズ株式会社 覚 2017 年 2 3 Transform your business, transcend expectations with our technologically advance

企業に対するサイバー攻撃の実態と対策 NTT コミュニケーションズの事例紹介 NTTコミュニケーションズ株式会社覚 2017 年 2 3 Transform your business, transcend expectations with our technologically advance