ホワイトペーパーセキュリティ防ぎきれないサイバー攻撃多層防御と即応体制がセキュリティ対策のカギに日に日に増え続けるサイバー攻撃もはや悪意の侵入を防ぎきることは事実上不可能であり企業はセキュリティ対策に対する基本的な考え方や施策を再点検しなければならない富士通は社内のセキュリティ組織のあり方

Size: px

Start display at page:

Download "ホワイトペーパーセキュリティ防ぎきれないサイバー攻撃多層防御と即応体制がセキュリティ対策のカギに日に日に増え続けるサイバー攻撃もはや悪意の侵入を防ぎきることは事実上不可能であり企業はセキュリティ対策に対する基本的な考え方や施策を再点検しなければならない富士通は社内のセキュリティ組織のあり方"

がんまおとじま
4 years ago
Views:

防ぎきれないサイバー攻撃多層防御と即応体制がセキュリティ対策のカギに日に日に増え続けるサイバー攻撃もはや悪意の侵入を防ぎきることは事実上不可能であり企業はセキュリティ対策に対する基本的な考え方や施策を再点検しなければならない富士通は社内のセキュリティ組織のあり方を見直し

1 防ぎきれないサイバー攻撃多層防御と即応体制がセキュリティ対策のカギに日に日に増え続けるサイバー攻撃もはや悪意の侵入を防ぎきることは事実上不可能であり企業はセキュリティ対策に対する基本的な考え方や施策を再点検しなければならない富士通は社内のセキュリティ組織のあり方を見直し多層防御の仕組みを整えスピーディーなインシデント対応を実現して組織の安全を守る体制を整えたその具体的なノウハウとは今企業が取り組むべき統合的なセキュリティ対策の考え方と具体的な施策例を挙げていく 1/5 ページ

2 サイバー攻撃の勢いは全く緩む気配を見せない警察庁が発表した資料によると 2015 年企業や個人を狙った標的型攻撃の件数は同庁と連携している事業者などから報告を受けたものに限っても 3828 件に上り過去最多となった 2014 年と比べると実に 2.2 倍の件数だ日本企業を取り巻くサイバー攻撃の脅威は過去最悪のレベルに達していると言える標的型メール攻撃やランサムウェアなどユーザーの注意力の隙をつく脅威が猛威を振るう一方で攻撃対象となる端末は増えているワークスタイルの変化によりビジネスパーソンはモバイル端末を持ち歩き営業先出張先でも気軽に使うようになった企業のサービス拠点や小売店舗のカウンターには多数の担当者が入れ代わり立ち代わり操作する端末が並んでいるサイバー攻撃の危険が増している現在企業はどのようなセキュリティ体制を整えるべきなのか ICT 企業である富士通は体制作りから脅威発見の仕組みまで独自の方法で強固な対策を施しているリティセンター長の西嶋勉は語る同社が受けているサイバー攻撃のうち 8 割以上が標的型メール攻撃だという残りが水飲み場攻撃やランサムウェア攻撃ばらまき型のフィッシングメールなど攻撃と防御はいたちごっこのようなものだ 2016 年 2 月日本郵政をかたり不正送金を目論むマルウェアが全国に拡散したときなどは危険なメールをブロックするたびにすぐさま添付ファイルを変えたメールが来るといったことを繰り返していたという大量の攻撃に対して人力だけで対応することはとうてい不可能多くの企業は様々なセキュリティツールを導入しているものの全ての脅威に自動的に対応できるわけでもないこのためより視野を広げた組織的な対応が必要になる富士通では実際にどのようなセキュリティ体制をつくっているのだろうかまたその体制には同社の長年にわたるセキュリティ対策の経験とノウハウがどのように生かされているのだろうか 1 日 2000 件の標的型メールに立ち向かうセキュリティ組織は ICT 部門と分ける監視対象ログ 1 日 10 億件標的型メール攻撃ブロック数 1 日 2000 件これが 2016 年 4 月から 9 月の間に富士通が受けたサイバー攻撃に関する実態だサイバー攻撃の件数は 2014 年あたりから急激に増えましたさまざまな部署に国内外からまんべんなく攻撃が来ているこの傾向はどの企業でも同じでしょうと富士通総務リスクマネジメント本部セキュリティマネジメント統括部統括部長兼セキュ富士通株式会社総務リスクマネジメント本部セキュリティマネジメント統括部統括部長兼セキュリティセンター長西嶋勉同社のセキュリティの組織の特長の一つは CIO(Chief Information Officer) とは別に情報セキュリティ総轄責任者 CISO(Chief Information Security Officer) を置いていることだ CISOはセキュリティポリシーを策定しセキュリティ統制の方針をとりまとめ施策の実施を指揮するそして対策の実施状況をモニタリングし評価する体制を作る従業員へのセキュリティ教育にも責任を持つ ( 図 1) なぜ CISOなのか CIOではいけないのか西嶋はもともとセキュリティの組織は CIOが統括する ICT 部門の中に置かれていましたしかしその体制ではもし ICT 投資を抑制するということになったときに同じくセキュリティへの投資も抑えられてしまう可能性があります ICT 投資とは別の観点からセキュリティ投資を見るために ICT 部門の外にセキュリティ組織を設けることにしたのですと話す同社のセキュリティセンターは総務リスクマネジメント本部に所属し全社のリスクマネジメント部門の一つに位置づけられている本来企業としては製品やサービスのトラブル防災コンプライアンスなど対処すべきリスクはいくつもある情報セキュリティはそれらのリスクの一つであるという考え方をとっているのだ CISOは取締役会に直結したリスク委員会にレポートする役目を持ちセキュリティ統括組織をマネジメントする責任 2/5 ページ

3 もあるセキュリティ組織は総括組織とその下の各部門の担当事務局で構成され各部門の中にも情報セキュリティ推進責任者がいて総勢では数百人の体制という CSIRTの機能を実装することが重要堂々たるセキュリティ組織だが今多くの企業が注目しているセキュリティインシデント対応の専門組織 CSIRT( Computer Security Incident Response Team) の姿が見えないどういうことなのだろうか西嶋は CSIRT 機能はセキュリティ統括組織に含まれていますと語るポイントは機能という言葉にある組織ではなく機能そこに同社のこだわりがあるセキュリティの基本はセキュリティ統制機能を定め (Plan) セキュリティ施策を実施し(Do) それを監視して評価し (Check) インシデントに対応する(Action) という PDCAサイクルを回すことにある通常 CSIRTは Checkと Actionの領域をカバーするセキュリティを監視し不正アクセスやマルウェアを解析しインシデントがあればすぐに対応防御や証拠保全フォレンジック ( 解析検証 ) などを行い再発防止策を提案するしかし富士通は Checkと Actionの機能だけではセキュリティを確保することはできないと考えて Planと Doの機能も盛り込んだ統括組織の中に機能としての CSIRTを実装しそこで得た知見をセキュリティ施策に生かしている ( 図 2) 侵入されることを前提にセキュリティ施策を多層化同社のセキュリティ施策の特長は多層化だセキュリティに対する脅威が社内に入ってくることを前提に多層化によって重要な情報を守るのだ大切なのはどの情報をどのように守るのかというポイント情報の内容によって守り方が違ってくるそこで様々なセキュリティ施策を組み合わせていく戦略を採った同社のセキュリティ施策は 3つの軸で構成される情報の保護を目的とした情報セキュリティ防御を目的としたサイバーセキュリティそしてオフィスや事業所などのファシリティにおける物理セキュリティだ ( 図 3) 情報セキュリティに関する施策としてはルールの設定やセキュリティ教育データの格付け暗号化などが挙げられる規程や基準セキュリティ審査も含まれるサイバーセキュリティに関する施策としてはファイアウォール不正アクセス検知ネットワーク認証ウイルス対策セキュリティパッチ USBコントロールなど標的型攻撃対策もここに入るそして物理セキュリティに関する施策としては警備員入退室管理監視カメラなどがあるこのように施策を多層的に構成することでセキュリティを担保しているオフィスであれば玄関に警備員がいて各エリアに対しては入退室が管理されさらに内部では監視カメラが作動しているネットワークであればゲートウェイにはファイアウォールによる防御があってそれを通過してきた通信を監視しさらに社内ネットワークのエンドポイ委員会セキュリティガバナンス CISO 情報セキュリティ総轄責任者セキュリティ総括組織図 1 : 富士通のセキュリティインシデントマネジメント体制 3/5 ページ

4 ント間を監視する脆弱性をついて侵入してきたマルウェアが情報を盗むには踏み台を作って標的にアクセスし情報を取り出すという手順を踏みますそういう攻撃を想定して情報の出入り口だけでなく社内のエンドポイント間の動きも監視するように多層化しています ( 西嶋 ) 運用プロセスを明確にして組織で対応する具体的にはどのようにセキュリティ施策を実施しているのかまず基本となるのがサイバー攻撃への対処組織 SOC (Security Operation Center) によるネットワークのログの収集と分析だろう富士通は世界中の支社拠点にセキュリティ監視機器を設置しログを収集しているこの監視装置のログは全ていったん日本のログ統合管理システムに集約する集められたログは自動分析した後アラートとして各地域のオペレーターに通知されるさらに詳しい調査が必要であるとセキュリティアナリストが判断した場合インシデント & レスポンスチームにつなぎインシデント & レスポンスのフェーズに移行するここで重要なのはアラートに即時対応できるようにセキュリティアナリストからインシデント & レスポンスチームに至るまでの役割や運用を設計することだ危険度の評価方法や対応範囲対応順序などはあらかじめルール化しておく必要がある同社の場合監視対象は膨大だ PCだけでも数十万台監視対象ログは 1 日約 10 億件にも上るこれに対してファイアウォールや標的型攻撃検知機器ウイルス対策 DNSなどのツールを使って自動的に解析し通常の通信ログと対策が必要な脅威ログとに分けるログ総量の 97% は問題ない通信ログで脅威として分類されるものは 3% 足らずしかしそれでも約 3000 万件になる危険度と優先度の観点からこれらをふるいにかけていくさらに調査が必要と判断した場合や侵入が疑われる場合には SOCからインシデント & レスポンスチームに引き継ぎ攻撃を受けていた端末をネットワークから分離して証拠を保全するここで重要なのが白黒をハッキリさせること疑わしい事象で空振りするのはいいけれど絶対に見逃さないことが大切です ( 西嶋 ) 社内で実践した裏付けのあるセキュリティ技術を顧客に提供注力しているのは社内ネットワークのエンドポイント間の監視だ脅威の侵入は防ぎきれないという前提で強化している脅威の行動を監視し分析することで情報流出や業務妨害を未然に防げるもちろん対応は簡単ではないエンドポイントは膨大な数に上り人海戦術では対応できな CISO 情報セキュリティ総轄責任者セキュリティ統括組織 (CSIRT 機能を包含 ) Plan セキュリティ統制機能富士通グループ全体の情報セキュリティを総轄する組織に必要なセキュリティ機能 1 2 Do 3 Check 4 セキュリティ施策実施機能監視分析評価機能 Action インシデント & レスポンス機能セキュリティ仕様の統制全社セキュリティ施策の実施セキュリティ監視 ( S O C) インシデント & レスポンス全社セキュリティポリシー策定セキュリティポリシーの適用不正アクセスマルウェア解析証拠保全セキュリティ人材育成物理セキュリティの強化ホワイトハッカーによるフォレンジックセキュリティ審査監査セキュリティ施策社内実践インターネット動向調査再発防止策図 2 : セキュリティ統括組織内の CSIRT 機能 4/5 ページ

5 いのでどこまで自動化できるかが鍵を握るこのため同社ではエンドポイント間の監視システムを開発したマルウェアの動きを検知するエンジン組織内の遠隔操作を収集して分析するエンジンインシデントの影響範囲を自動で抽出して可視化するシステムなどだそこでは富士通研究所が開発したAI 技術も活用している今後東京五輪に向けて日本企業へのサイバー攻撃が増えると予想されている加えて IoTの進展によって監視の対象となる機器は急増していくそうした時代には個々のセキュリティ技術の強化はもちろんセキュリティの多層化や脅威対応の体制まで含めて総合的に対処していく必要があるこうしたことから同社はこれまで提供してきたセキュリティソリューションに社内実践で得たノウハウを盛り込みコンサルティングまで含めたトータルなソリューションを強化していくという富士通の経験とノウハウがどのように生かされているのか注目されるところだセキュリティ脅威が社内に入ってくることを前提とし情報セキュリティ及びサイバーセキュリティそして物理セキュリティの多層でセキュリティを考える攻撃サイバー空間インターネットネットワーク作業場所 ( 従業員オフィス事業所 ) データ格納場所 (PC サーバ等 ) 重要情報アプリケーションファイアウォール標的型攻撃対策警備員入退室管理カメラ不正アクセス検知ネットワーク認証データの格付け暗号化 USB コントロールセキュリティパッチ管理ウイルス対策ルールセキュリティ教育図 3 : 多層防御の基本的な考え方このコンテンツは 2017 年 1 月に ITpro Active に掲載したものです Copyright 2017 FUJITSU LIMITED 5/5 ページ

ログを活用したActive Directoryに対する攻撃の検知と対策

ログを活用したActive Directoryに対する攻撃の検知と対策電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, Japan Computer Emergency Response email=office@jpcert.or.jp, o=japan Computer Emergency Response Team