IPA 情報セキュリティ EXPO サイバー脅威の 正しい怖がり方と考え方 ~ イノベーション x セキュリティ ~ 2018 年 5 月 本日のポイント 1 皆さんの新しい技術革新 価値創造を応援したい 2 データの利活用を促進するためにセキュリティ 3 セキュリティ投資のモチベーショ

Transcription

1 IPA 報セキュリティ EXPO サイバー脅威の 正しい怖がり方と考え方 ~ イノベーション x セキュリティ ~ 2018 年 5 月 本日のポイント 1 皆さんの新しい技術革新 価値創造を応援したい 2 データの利活用を促進するためにセキュリティ 3 セキュリティ投資のモチベーションへ 報処理推進機構セキュリティセンター 研究員佳山こうせつ 1

2 自己紹介 主な業務 1 人材育成 2 インシデントレスポンス業務 3 対策手法の報発信 ( 出口対策 内部対策 ) 4 若者たちとの共創 5 アドバイザリー 所属 1 富士通株式会社セキュリティマイスター 2 独立行政法人報処理推進機構研究員 3 東京電機大学サイバーセキュリティ研究所研究員中央大学外部講師 名古屋工業大学外部講師 4SECCON 実行委員 セキュリティキャンプ地域 WG 主査 SecHack365 実行委員 5 総務省公衆無線 LAN セキュリティ分科会専門委員 2

3 高度標的型攻撃 対策に向けたシステム設計ガイド ( 第 4 版 ) の公開 ( ) 作成 :IPA 脅威と対策研究会 出典 : 3

4 テクニカルウォッチの公開 ( ) 攻撃者に狙われる設計 運用上の弱点についてのレポート ~ 標的型攻撃におけるシステム運用 設計 10 の落とし穴 ~ 公開 内容を補完 テクニカルウォッチ 10 の落とし穴 メールチェックとサーバ運用管理端末が同一 分離できていないネットワーク 止められないファイル共有サービス 初期キッティングで配布さえれるローカル Admin 使いこなせない Windows セキュリティログ パッチ配布のための Domain Admin ファイアウォールのフィルタリングルール形骸化 不足している認証プロキシログの活用とログ分析 なんでも通す CONNECT メソッド 放置される長期間の http セッション 攻撃に対して意外な弱点となっているシステム設計例を 10 点挙げ 運用 ( 背景 ) と対策の考え方を解説 出典 : 4

5 もう 対策に向けたシステム設計ガイドの歴史 古い? 2011 年 8 月 2011 年 11 月 2013 年 8 月 2014 年 9 月 報が漏れないことに着眼した対策 侵入を許しても取られない 内部の拡散に着眼した対策 侵入を許しても影響を局所化 ( 受容範囲に ) 出典 : 5

6 侵入を前提とした対策の課題 ~ 内部システムの防御は業務システムの設計と運用を中心に ~ 内部侵入後の挙動 プロキシサーバを介した外部との不信な通信 組織全体への拡大 イントラネット 主に 脆弱性が狙われる 主に 設計上 運用上の弱点が狙われる 出典 : 6

7 つながる時代 交通交通 物流 官庁 自治体 変わらない考え方 医療 列車運行システム 物流配送システム 電子申請システム 住民報システム 航空管制システム 医療介護システム サイバー空間 スマートメーター 生産管理システム 家庭 ( 家電 ) 製造 スマートメーター 電気 ガス リアル空間 上水道システム 水道 生育管理システム 農業 タブレット スマホ 通信 緊急速報システム GPS 放送位置報出典 : 富士通セキュリティフォーラム 7

8 目次 報システムを取巻く状況を紐解く ネットワークの多様化 データワークフローから見る全体設計 まとめ 8

9 海外日本 サイバー脅威の変遷 ~ 時系列に並べてみる ~ 石油, エネルギー産業 RSA( 米 ) (Night Doragon) 妨化学, 防衛産業大統領府など (Nitro, 米 ) 妨 (7.7 大乱, 韓国 ) 核施設 (Stuxnet ) 妨 Google (Operation Aurola, 米 ) 農協銀行 ( 韓国 ) 三菱重工 衆議院. 参議院会館 妨 銀行, 放送局 ( 韓国 ) JAXA 特許庁 9 財務省 NSA ( スノーデンリーク, 米 ) 農林水産省 JAEA 高速増殖炉 もんじゅ 外務省 JAXA 妨 San Francisco Metro System Hacked( 米 ) 妨 Hacking team Twitterなどの Hacked( 伊 ) アクセス妨害 ( 世界 ) JTB 妨 妨 Mirai bot 日本年金機構 米大統領選 ( 米 ) 妨 WannaCry( 世界 ) 妨 妨 妨 Google による大規模障害 ( 世界 ) 2018 WannaCry Google による大規模障害

10 サイバー脅威の変遷 ~ やるべき対策が多く積みあがり複雑化した時代へ ~ 主な対策の軸足 つながる 某機構を狙った事案により 意思決定の重要性が改めて認識 経営 箱ものセキュリティ製品だけでは限界 人材育成 止まないサイバー攻撃と被害報道 内部対策 防衛産業を狙ったサイバー攻撃 緊急対応体制 サイバー空間をめぐる攻防 出口対策 粉飾決算事案 内部統制対応 個人報保護法施行 報漏えい対策 省庁サイト改ざん 不正アクセス対策 ウイルス蔓延事案 コンピュータウイルス ( マルウェア ) 対策 10

11 つながる時代 物流交通交通 列車運行システム物流配送システム航空管制システム 官庁 電子申請システム デモ自治体医療 住民報システム医療介護システム サイバー空間 スマートメーター 生産管理システム 家庭 ( 家電 ) 製造 スマートメーター 電気 ガス リアル空間 上水道システム 水道 生育管理システム 農業 タブレット スマホ 通信 緊急速報システム GPS 放送位置報出典 : 富士通セキュリティフォーラム 11

12 セキュリティに投資する意義 ~ つながる時代の弊害であり つなげて価値創造するためにセキュリティ ~ セキュリティファーストでは問題の本質が見えづらい 巧妙なウイルス感染 新しい価値創造の弊害 つながることで新しい価値を創造するために 邪魔されないセキュアな土台が不可欠 出典 : 12

13 目次 報システムを取巻く状況を紐解く ネットワークの多様化 データワークフローから見る全体設計 まとめ 13

14 NW1: イントラ型 攻撃者 設計ポイント 1 3 入口 出口対策 設計ポイント 5 ダッシュボード機能 セキュリティ製品 プロキシ Web アプリ ログ管 運管 バックアップ 一般職員 OA 端末 設計ポイント 2 4 エンドポイント 内部対策 認証基盤 ファイルサーバ データベース 管理端末 出典 : 14

15 NW2: イントラ x クラウド型 クラウドサービス 設計ポイント 1 3 入口 出口対策 攻撃者 Web アプリ データベース ファイルサーバ 認証基盤 設計ポイント 5 ダッシュボード機能 プロキシ ログ管 運管 バックアップ 一般職員 OA 端末 設計ポイント 2 4 エンドポイント 内部対策 管理端末 出典 : 15

16 NW3: イントラ x クラウド x IoT 型 攻撃者 クラウドサービス Web アプリ データベース ファイルサーバ 認証基盤 設計ポイント 1 3 入口 出口対策 IoT 設計ポイント 5 ダッシュボード機能 プロキシ ログ管 運管 バックアップ 一般職員 OA 端末 出典 : 設計ポイント 2 4 エンドポイント 内部対策 管理端末 16

17 目次 報システムを取巻く状況を紐解く ネットワークの多様化 データワークフローから見る全体設計 まとめ 17

18 全体設計対策の考え方 変わらない考え方 ポイント 1) 入口対策 エンドポイント対策 出口対策 内部対策でバランスのとれた全体設計を検討する 2) 攻撃者が歩く経路を狭めることが 監視すべきポイントの最適化に繋がる 出典 : 18

19 ポイント 1) システム全体でバランスの取れた全体設計を考える P40 攻撃シナリオと対応機器の概要 No. 攻撃手口 対応機器 スパムフィルタ SPF 次世代サンドボックス型ファイアウォール エンドポイント 1 入口対策対策出口対策内部対策 メールサーバ インターネットファイアウォール IPS/IDS 次世代ウェブアプリケーションファイアウォール ウェブサーバ ウェブ改ざん検知 ウイルス対策ソフト ゼロデイ対策ソフト ウェブプロキシサーバ ウェブフィルタリング 次世代型ネットワーク振る舞い検知型 FW/IDS/IPS 業務端末 運用管理端末 内部センサー 認証サーバ ファイルサーバ DB サーバ 監視サーバ ネットワーク機器 1 立計ターゲット周辺の調査案画 2 ウェブサイト改ざん 水飲み場サイト構築攻 3 撃準備 標的型メール作成 4 C&Cサーバ準備 5 初 標的型メール受信 期 潜 6 入 水飲み場サイトアクセス 7 バックドア開設 基盤構築段階 バックドア開設 リモートコントロールの確立後 端末内のシステム報を収集 攻撃ツールのダウンロード 11 周辺端末調査 12 内他端末への不正アクセ 部ス侵 13 入リモートコマンド実行 システムの運用と設計調 14 査端末報の収集 中心の対策 15 目 報窃取 的 遂 16 行 報破壊 出典 : 凡例 : 攻撃検知 ( 主観測 ) : 攻撃検知 ( 補助 ) : ログ取得機器セキュリティ製品業務機器 19

20 ポイント 2) 攻撃者が歩く経路を狭め監視ポイントを最適化 P47 1 防御 遮断策 2 監視強化策 攻撃回避を主眼とした設計策 攻撃シナリオをベースに対策 不正アクセス PW 窃取等を防止 早期発見を主眼とした設計策 攻撃者の足跡を発見 トラップを仕掛け ログ監視強化 攻撃者が歩く経路を少なくする事で 監視強化にも繋がる 出典 : システムとセキュリティ機能が連携して 攻撃者の足跡を残す 20 20

21 出入口21 データワークフローから見る全体設計 アーキテクチャ設計へ エンドポイント センシング端末 作業端末 報受付 サービス受付 コントローラダッシュボード メンテナンス データ蓄積 ネットワーク 分析 外部連携 データ提供口内部

22 目次 報システムを取巻く状況を紐解く ネットワークの多様化 データワークフローから見る全体設計 まとめ 22

23 データワークフローから見る セキュリティ全体設計 ~ イノベーションのためのセキュリティ ~ IoT セキュリティ ウイルス対策 データワークフ ロー 23 Copyright 2016 Kousetsu Kayama

24 アーキテクチデータワークフローから見る セキュリティ全体設計 ~ イノベーションのためのセキュリティ ~ データワークフロー +セキュリティデザインと組織マネジメント ャ24 Copyright 2016 Kousetsu Kayama 価値思考の再開

25 Innovation Centric Security 守るセキュリティから繋げるセキュリティへ イノベーションのためにセキュリティへ投資 25