インターネットセキュリティの歴史と2018年の課題

Size: px

Start display at page:

Download "インターネットセキュリティの歴史と2018年の課題"

みいかぜんじゅう
4 years ago
Views:

1 インターネットセキュリティの歴史と 2018 年の課題 CySec 講師伊藤潤

2 1993 年インターネット革命インターネット革命電子メール Web ブラウザの登場 2

3 TCP/IP をネイティブサポートする OS の登場ホームページ電子メール掲示板 Windows95 の登場 1996 年 Yahoo Japan サービス開始 1999 年 2 チャンネル開設 1999 年 i-mode サービススタート 1999 年宇治市で 21 万人の住基台帳データ漏洩 3

4 インターネット常時高速接続高速化に伴いテキストデータから画像動画へ 2000 年 NTTフレッツADSLサービススタート 2000 年 Google 日本語検索サービススタート 2000 年 Amazon.comスタートブロードバンドネットワーク登場 2001 年 YahooBB が価格破壊 2002 年各社 FTTH を本格化 2002 年各社無線 LANサービスをスタート 2000 年国内でホームページからの顧客情報漏えい頻発 2000 年 Yahoo! Amazon ebayなどが大規模 DDoS 攻撃でダウン 2000 年中央省庁 Web 改ざん事件 2001 年 Code Redワーム流行 Nimdaウイルス流行 4

5 SNS ブログ 2004 年 mixi Amebaブログ GREE がサービスをスタート 2004 年 Facebookサービススタート 2005 年 WEB2.0 SNS 登場 2005 年 YouTube サービススタート 2006 年 Twitter サービススタート 2006 年モバゲーサービススタート 2003 年 Blaster ワーム流行 2003 年 Winny ユーザーを狙った Antinny ウイルスによる情報流出多発 5

6 2007 年 iphone 誕生 2007 年 Google MAP ストリートビュー公開 2009 年 Android スマホ発売 iphone の登場 2010 年 ipad 発売 2007 年エストニアサイバー戦争の被害に遭う 2007 年大日本印刷顧客情報流出 2009 年 Stuxnet 6

7 2010 年 Instagramサービススタート 2011 年 LINEサービススタート 2013 年日本のインターネット人口普及率 82.8% 2011 年国内大手重機メーカー国会をターゲットにした標的型攻撃スマホ時代の到来 2013 年遠隔操作ウィルス事件 2013 年 Apache Struts の脆弱性を使用した攻撃が急増 2014 年ベネッセ2,895 万件顧客情報流出 2015 年日本年金機構 125 万件個人情報漏洩 2014 年 NIST CSF 発行 2014 年日本サイバーセキュリティ基本法 7

8 2015 年 CySec 授業スタート 2018 年 CySecPRO 授業スタート 2017 年 WannaCry( ランサムウェア流行 ) 2020 に向けて 2018 年ワイパー型ランサムウェア流行 2018 年 Memcached( リフレクター DDoS 攻撃 1.35TB) 2018 年 EU GDPR 施行 2018 年 EDR 本格普及予測 2019 年以降クラウド本格普及予測 8

9 1988 年米国でコンピューターウイルス出現を契機に CERT/CC 設立 Computer Emergency Readiness Team / Coordination Center 2014 年 NIST CSF 発行 2012 年内閣官房情報セキュリティセンター内に CYMAT が発足 CYber incident Mobile Assistant Team CSIRT で見える日本の課題 1990 年組織間および国際間連携のため FIRST が組織化 Forum of Incident Response and Security Teams 1996 年国内初のシーサート組織 JPCERT/CC が組織化 Japan Computer Emergency Response Team / Coordination Center 2015 年 3 月総務省地方公共団体における情報セキュリティポリシーに関するガイドラインに CSIRT 設置が明文化 2016 年 4 月政府機関サイバーセキュリティ情報化審議官設置コンピューターウイルスによる被害が発生 Brain (1986 年以降 ) 2007 年日本シーサート協議会 (NCA) が組織化特定の組織をターゲットにした標的型攻撃が発生 (2006 年 ) 日本年金機構にて個人情報流出事案発生 (2015 年 5 月 ) 2020 年に向けて NISC 内に CSIRT 機能を設置へ 1990 年 2000 年 2010 年 2018 年 2020 年 9

10 AWARENESS 認識意識啓発知ること概念, 推理, 判断を主要 3 契機として遂行され, 推理と判断において認識全体が積極的に関与する推理の過程のない認識を直観的認識というさらに判断の契機が消えるか極小になると知覚になり, 認識と区別される知覚により近い自然科学的認識の場合, 判断は客観的であり, その認識は一般性をもっているそこでの認識の働きは本質的に重要でなく, 結果のみが価値をもっているこのような認識内容は知識と呼ばれることが多い出典ブリタニカ国際大百科事典小項目事典認識推理判断 10

11 防御から検知対応へ 2013 年米国オバマ大統領令 Executive Order 13636, Improving Critical Infrastructure Cybersecurity. に基づき, 翌 2014 年 2 月 12 日 NIST( 国立標準技術研究所 ) が The Framework for Improving Critical Infrastructure Cybersecurity ( 重要インフラストラクチャのサイバーセキュリティ改善のフレームワーク ) を発行 Before NIST CSF 2014 年 After NIST CSF 防御 Protect 検知 Detect 対応 Respond 特定 Identify 防御 Protect 検知 Detect SOC 対応 Respond CSIRT 回復 Recover 速報 :NIST CSF Ver.1.1 Final が 2018 年 4 月 16 日発行 ( サプライチェーンリスクとセルフアセスメントが追加 ) 11

12 リスクベースサイバーセキュリティアプローチ NIST CSF では最初のフェーズである特定 (Identify) フェーズで実施されるリスクアセスメントを基にしたセキュリティへの取組み ( 優先順位付けをした取組 ) 一般的なリスクの公式リスク ( 不確実性 ) Risk 影響度合 Exposure, Impact 発生確率 Likelihood サイバーセキュリティリスクの公式 (NIST CSF) サイバーセキュリティリスク Risk 事業目標への影響 Business Result 脅威 Threat 脆弱性 Vulnerability 変数がゼロにならない限りリスクはゼロにならないことがわかるつまりゼロリスクはあり得ない 12

サイバースパイ攻撃者は国家の支援を受けている組織で執拗かつ任務遂行まで継続 State Sponsored Actors 現在ばらまき型同じ文面のメールを 10

13 標的型攻撃標的型攻撃とは特定の組織から機密情報を窃取するサイバー攻撃のこと不特定多数を狙った攻撃とは異なり特定の組織しかターゲットにしないため防御が難しくなっている過去標的型特定の組織を狙ってウイルス付きメールを送信ウイルス入りプログラムをホームページで公開し URL で誘導 Cyber Espionage サイバースパイ攻撃者は国家の支援を受けている組織で執拗かつ任務遂行まで継続 State Sponsored Actors 現在ばらまき型同じ文面のメールを 10 カ所以上に送りつけるばらまき型が全体の 97%(H29 年度警察庁発表 ) 個人情報や機密情報の窃取が目的で金銭化を狙う Cyber Criminals Cyber Crime サイバー犯罪 13

14 大きな課題日本語で表現しづらいセキュリティの世界 Compromise Breach Leak Multi Layered Defense in depth Vulnerability Flaw 侵害漏えい漏えい多層防御深層防御脆弱性脆弱性やられちゃったダダ漏れ欠陥 14

15 VERIZON DATA BREACH INVESTIGATION REPORT

16 MCAFEE THREAT REPORT 2017 年 12 月 16

17 Business Compromise (BEC) TREND MICRO 2017 ROUND UP

CROWDSTRIKE REPORT 2017 http://crowdstrike.

18 CROWDSTRIKE REPORT

19 EU General Data Protection Regulation (GDPR) NYS Department of Financial Services Cybersecurity Regulation FIREEYE CYBER SECURITY PREDICTIONS FOR

20 2016 年度割合 8% GAO FEDERAL INFORMATION SECURITY

21 2017 年度政府 IT 総投資額 7,896 億政府セキュリティ総投資額億補正 32.7 億計億割合 7.99% 日本政府 IT 及びセキュリティ関連予算

23 政府機関等の情報セキュリティ対策のための統一基準群の見直し米国 DHS CDM (Continuous Diagnostic Mitigation) https, DMARC (Domain-based Message Authentication, Reporting and Conformance) 23

24 サイバーセキュリティ協議会設置へ 24

25 国家法制度人材教育ベテラン課題解決アプローチ提言雇用拡大セキュリティ投資国内産業育成監査制度セキュリティ保険セキュリティ業界業種 25

インターネット セキュリティの歴史と2018年の課題

インターネットセキュリティの歴史と2018年の課題