<4D F736F F F696E74202D204E49498D E690B65F8AEB8B408AC7979D8E9E82C982A882AF82E98FEE95F18AC7979D3F A815B E3F836

Size: px

Start display at page:

Download "<4D F736F F F696E74202D204E49498D E690B65F8AEB8B408AC7979D8E9E82C982A882AF82E98FEE95F18AC7979D3F A815B E3F836"

かんじいしなみ
5 years ago
Views:

1 危機管理時における情報管理エリートパニックを引き起こさないために倉弘喜国情報学研究所 Center for Cybersecurity Research and Development

2 学術研究機関独特の化教育を重視研究も重視学生という民間人の存在私物持ち込みの制限はできないノートパソコンスマートフォン学問の自由と部局自治研究者として情報発信は当然規制に対する抵抗感一方でサイバーインシデント時には積極的な情報開示は隠蔽体質とも受け止められる研究者のマインドが仇に丁寧に説明すれば情報管理含めて危機管理であるという認識の欠如 2

3 サイバー攻撃への備え危機管理体制の構築 CSIRT(Computer Security Incident Response Team) の設置緊急連絡網の整備第一発見者から担当役員まで意思決定手順の整備緊急対応を誰が判断してどう伝達するのか? 関係先への連絡手順担当役員から報告? 伝達手段は電子メール? 電話? 土日夜間はどうする? 通じない報告先の存在想定通りに事が進まない危機管理担当役員報告指 CSIRT 報告指直属上報告指第発者 3

4 柱本インシデントで轟沈する某クラウド事業者構築中だったサーバ個人情報はなぜ無いのだ? 5 秒で自主的に遮断そんなありがたい裏オプション独り占めとはけしからん! アクシデントへ NHK で報道技術に偏った情報提供無かったことがあったことに国会対応質疑時間の大部分が研究所の紹介 4

5 誰がどこに報告するのか? 第一発見者 / 情報機器の管理者担当役員直接なのか間に連絡網の全員が挟まるべきなのか? 担当役員監督官庁 NISC セキュリティ機関伝言ゲーム問題の発生通じない技術用語 v.s. NISC/ セキュリティ機関が求める技術的説明不確定情報下での意思決定どこまで報告すべきなのか? 未確定情報は出さないなんで報告しなかった? 未確定情報はその旨を添えて出す伝言ゲームの過程で確定情報にそもそもサイバー攻撃被害はサイバー問題なのか? 5

6 エリートパニックの原因全ての用語を理解して判断したがる公務員の性アドウェアって何? って上司に聞かれたら不要な広告表示プログラムって言い換えれば良いやん! 不要な広告って広告になるのか? ツッコミ入れるとこそこかい! 不要なポステイング広告を表示するプログラムならどうだ! 不要とはいえ広告をセキュリティソフトが検知するのか? どんどん疑暗に一段上がるたびに目黒のサンマ化する報告書現場は状況を把握してるのか? インシデント対応能力はあるのか? インシデント対応そっちのけで用語説明書の執筆会議どんどん遅れるインシデント対応報告軽微なインシデントがアクシデント扱いに結局某所から意味がわからん技術語を使えな指 6

7 報道機関対応誰が対応する? サイバーセキュリティ担当理事 or 広報担当理事押し付け合いになることも珍しくない CSIRT 技術屋が技術論を述べて当該部局の誰? 第一発見者見つけただけで犯人扱い? 管理者攻撃者が悪い論の展開取材担当記者の違い科学部と社会部記者会時の席順ネット中継をれる? 研究者のマインド懇切丁寧に時間をかけて説明すればきっと理解してもらえる 7

8 サイバーセキュリティ材に求められる能とは? よく言われるサイバーセキュリティ人材不足は本当なのか? 上級中級初級技術者とは何者なのか? 教育でステップアップするものなのか? 能力不足って何の能力が不足しているのか? 分野的にはなんでもできる人? フォレンジック ( 事故調査 ) イベント管理能力とは? 上級中級技術者初級技術者 8

9 組織が求める能実はコミュ力技術用語から役員用語への翻訳これが一番難しい事実関係を究明するのがミッションのエンジニア経営への影響だけに興味がある役員関係部門との調整情報システムは業務そのものではないましてやセキュリティは補佐的な立場停止や縮退による影響把握影響緩和策を議論マネジメント能力それセキュリティですか? 広大な知識が必要技術法律経営技術者なのか? 9

10 被害発は防げないでも時間はまってくれない 2016 年に発生した JTB 情報漏洩事件 3/19-24 間に発生した不審通信の発生を一部見逃したのが問題なのか? 発 3/15 攻撃メール着弾事象 3/18 起動不能の端末出現 NW 隔離 3/19 委託監視企業より Web サーバで複数の不審通信の報告 NW 隔離と調査 3/20 調査結果はマルウェア未発通信先のつを遮断 7 間 3/21 サーバでディスク容量不発容量ファイル確認業務上不要として削除 3/24-25 複数の不審通信先を追加遮断社内端末 5 台で不正通信失敗を確認 3/28 端末サーバでのマルウェア感染を確認詳細調査開始 4/1 概要把握全社 CSIRTによる調査開始 5/13 個情報漏洩の可能性を認識より抜粋 10

11 アクシデント化の恐怖たった数台のマルウェア感染で全ネットワーク遮断顧客サービス停止年金機構でも年金給付は継続稼働終息時期の予測不能長期の停止は人命に関わる被害の影響が及ばないことを確認個々のインシデントのトリアージアクシデントに発展するか? 報道時 2016 年 6 22 同同被害組織新城市静岡市御前崎市感染台数発端原因対応状況新城消防署 PC2 台静岡市役所 PC1 台 1 台 ( 他感染可能性のある PC あり ) 同三豊市市役所内 PC4 台 2016 年 6 25 同群県市県庁内 PC1 台中学校 3 校の PC がマルウェア感染不明警察からの情報提供警察からの情報提供警察からの情報提供組織にて検知外部より情報提供あり警察からの情報提供不明不審メールの開封不明不明ばらまき型メールの添付ファイル開封標的型メールによるものと推定市役所を含むネットワーク遮断 ( まで ) 初期化済み (6 2 ) 情報提供後インターネット接続遮断マルウェアの駆除初期化インターネット接続遮断感染詳細の調査中詳細判明後に公表予定感染したマルウェアは除去済み情報漏えいの有無について確認中 11

12 レジリエント性が求められる IT IT 単なる文房具から業務支援の要へ一台の IT 機器停止ですら業務への影響がマルウェアに感染したパソコン隔離 ( 手順通り ) 代替パソコンの手配 ( 手順通り ) 一向に届かない代替パソコンなぜか? 大学だと人や設備に被害が及ぶことすら治療中の医療機器止めるか? 治療を継続するか? 窒素タンクの状態監視機器温度と圧力データは信用できるのか? 判断するのは誰の仕事か? IT 部門単独では動けない時代へ 12

13 つまり本当に欲しいは危機管理のプロスーパーマン? 技術屋ではないことは確か社内に居るか? 社外から呼ぶ? 社内事情に詳しい部外者って誰? 法律の知識ネットワーク技術セキュリティ技術実務経験状況変化に応じた的確な判断と指 ( トリアージ能 ) 外部機関との連携経営の知識チームによる体制整備が必須アクシデント分析と管理 13

14 橋渡し材の育成が急務に橋渡し人材インシデント対応の指揮アクシデント化回避技術的知識アクシデント対応の指揮関係部署との調整情報の交通整理組織で育成するしか無い霞ヶ関でも自力育成に舵をただし専門知識の習得は専門機関に委託民間セキュリティ企業国の機関大学 4年間で1,000人程度 14

15 まとめサイバー攻撃による被害発生時迅速な原因究明被害拡大防止復旧専門業者との連携作業役員対応外部対応監督省庁法執行機関報道などチーム体制構築と橋渡し人材育成の必要性技術屋と経営層両方の考え方が出来る人材短時間で対応チーム規模を決定対応の長期化に備えた人材管理借りてこれるものではないある程度は自組織での養成が必須に 15

目次はじめに 1 1. 事案の状況と本部及び NISC の対応 2 2. 事案に関する技術的検討ネットワーク構成の確認等プロキシログの解析等認証サーバの調査感染端末に対するフォレンジック調査攻撃の全体像 10 3.

目次はじめに 1 1. 事案の状況と本部及び NISC の対応 2 2. 事案に関する技術的検討ネットワーク構成の確認等プロキシログの解析等認証サーバの調査感染端末に対するフォレンジック調査攻撃の全体像 10 3. 日本年金機構における個人情報流出事案に関する原因究明調査結果平成 27 年 8 月 20 日サイバーセキュリティ戦略本部目次はじめに 1 1. 事案の状況と本部及び NISC の対応 2 2. 事案に関する技術的検討 4 2.1. ネットワーク構成の確認等 4 2.2. プロキシログの解析等 5 2.3. 認証サーバの調査 10 2.4. 感染端末に対するフォレンジック調査 10 2.5.