情報漏えい対策ソリューション Blue Coat Security Analytics Platform 2015 年 7 月 15 日 NEC ネッツエスアイ株式会社
Agenda マイナンバー導入に伴う情報漏えい対策強化ポイント Blue Coat SAP 活用例 SSLの復号について SOCマネージドサービス まとめ
マイナンバー導入に伴う情報漏えい対策強化ポイント
マイナンバー導入に伴う情報漏えい対策強化ポイント マイナンバー制度とは 平成 27 年 10 月住民票を有する全国民にマイナンバーを通知平成 28 年 1 月社会保障 税 災害対策の分野で活用開始 マイナンバーは 12 桁の数字です 国や地方公共団体で 年金 雇用保険 医療保険の手続 生活保護 児童手当その他福祉の給付 確定申告などの税の手続などで 利用されます 4 NEC Corporation 2015 NEC Group Internal Use Only 出展 : マイナちゃんのマイナンバー解説 http://www.cas.go.jp/jp/seisaku/bangoseido/gaiyou.html
マイナンバー導入に伴う情報漏えい対策強化ポイント 民間企業におけるマイナンバー 民間企業も税や社会保険の手続でマイナンバーを取り扱います 従業員の健康保険や厚生年金の加入手続を行う 従業員の給料から源泉徴収して税金を納める 証券会社や保険会社等の金融機関では 利金 配当金 保険金等の税務処理を行うなど 平成 28 年 1 月の法施行までに 全企業で制度対応が必要になります 1. 社内準備 ( 経営システムの見直し 体制整備 教育など ) 2. 従業員 顧客から番号収集 管理 3. 法定調書への番号記載 5 NEC Corporation 2015 NEC Group Internal Use Only
マイナンバー導入に伴う情報漏えい対策強化ポイント マイナンバー法の注意点 マイナンバーは 個人情報保護のために その管理にあたっては 安全管理措置などが義務付けられます 安全管理措置 ( 番号法第 12 条 33 条 34 条 個人情報保護法第 20 条 21 条 ) 個人番号関係事務実施者又は個人番号利用事務実施者である事業者は 個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の漏洩 滅失又は毀損の防止等 特定個人情報等の管理のために 必要かつ適切な安全管理措置を講じなければならない 出展 : 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) http://www.ppc.go.jp/files/pdf/261211guideline2.pdf 罰則 最大で 4 年以下の懲役もしくは 200 万円以下の罰金 ( 直罰規定 ) 従業員等の違反行為に対して その法人にも罰金刑が科される マイナンバーに対するセキュリティ対策は必須! 6 NEC Corporation 2015 NEC Group Internal Use Only
マイナンバー導入に伴う情報漏えい対策強化ポイント マイナンバーに対するセキュリティ対策 マイナンバーの取り扱いに関するガイドラインには 以下の講ずべき安全管理措置の内容が記載されています A 基本方針の策定 B 取扱い規定等の策定 C 組織的安全管理措置 データの利用 取得状況等の記録が必要 D 人的安全管理措置 E 物理的安全管理措置 F 技術的安全管理措置 システムとして防御 分析が必要 また 特定個人情報保護評価 ( 番号法第 26 条 27 条 ) として以下のように記載されています 特定個人情報の漏えいその他の事態を発生させるリスクを分析し そのようなリスクを軽減するための適切な措置を講ずる 7 NEC Corporation 2015 NEC Group Internal Use Only 出展 : 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) http://www.ppc.go.jp/files/pdf/261211guideline2.pdf 上記ガイドラインが求める 記録 防御 分析 ( リスクを分析 ) に対応するにはネットワークフォレンジックソリューションが最適であり 同ソリューション製品のマーケットシェア No.1 製品である Blue Coat SAP 導入を推奨いたします
マイナンバー導入に伴う情報漏えい対策強化ポイント 弊社が考えるマイナンバー導入後イメージとセキュリティ対策 インターネット 社外から利用する社員 記録 分析 防御 インターネット上の Web サーバ ( 危険がいっぱい ) 公開 Web サーバ 防御 分析 ( リスクを分析 ) システムとして防御 分析 セキュリティデバイス群 DMZ ネットワーク マイナンバーデータ保管 社内から利用する社員 社内ネットワーク 記録データの利用 取得状況等の記録 8 NEC Corporation 2015 NEC Group Internal Use Only 人事給与システムなど データベース マイナンバー管理システム 情報漏えいリスクポイントとセキュリティ対策の考え方インターネットに接続可能な社内の端末や公開 Web サーバは常に脅威に晒されているため 情報漏えいのリスクが存在します そのリスクポイントで 標的型攻撃やマルウェア感染 SQL インジェクション攻撃などの脅威の有無を分析し 脅威を防ぐポリシーをセキュリティデバイスに反映することで セキュリティの強化を行います
マイナンバー導入に伴う情報漏えい対策強化ポイント Blue Coat SAP(Security Analytics Platform) とは ネットワーク上に流れるトラフィックをキャプチャして保存するネットワークフォレンジック製品 記録 防御 分析 リスクを分析 取りこぼしのない証跡管理最大 10Gbps まで取りこぼしなくパケットをキャプチャ ( 保存 ) 条件に該当するパケットをコピーし 外部へ転送 ( 証跡提供 ) 万が一のインシデント発生時にも過去に遡り通信内容の再現が可能 充実した分析機能プロトコル ファイル形式 時間 IP アドレス等様々な条件を元に高速で検索しデータを追跡 更に 2000 以上のアプリケーションを識別 ( 分類 ) IPS やサンドボックス等セキュリティ機器との連携による潜在的脅威の分析 及び分析結果をポリシーとしてセキュリティ機器に反映して防御 脅威情報 DB 連携による潜在的脅威可視化 Blue Coat GIN( 高精度脅威情報 DB) と連携したレピュテーションにより危険性の高い通信先 通信内容を検出 情報漏洩のきっかけになる通信の可視化することで対策可能に! 9 NEC Corporation 2015 NEC Group Internal Use Only
マイナンバー導入に伴う情報漏えい対策強化ポイント ガイドライン要求事項と SAP 製品機能とのマッピング C 組織的安全管理措置 F 技術的安全管理措置 課題 データの利用 取得状況等の記録が必要 システムとして防御 分析が必要 リスクを分析 リスクを分析し リスクを軽減するための適切な措置が必要 製品での対応 記録防御 分析 ( リスクの分析 1) 1 特定個人情報のやり取りを記録 2 標的型攻撃や脆弱性を付く攻撃を含む通信を記録 IPS 等のセキュリティ機器と連携してアラートの詳細分析を実施 分析結果をポリシーに反映して防御に活用 リスクの分析 2 Blue Coat SAP 独自の高精度脅威情報 DB と連携し脅威の可視化強化 オプション Blue Coat Security Analytics Platform を導入することでマイナンバー導入に伴う情報漏えい対策の強化が可能! 10 NEC Corporation 2015 NEC Group Internal Use Only
Blue Coat SAP 活用例
Blue Coat SAP 活用例 記録 取りこぼしのない証跡管理 インターネット 社外から利用する社員 記録 分析 防御 インターネット上の Web サーバ ( 危険がいっぱい ) 公開 Web サーバ DMZ ネットワーク 社内から利用する社員 記録 人事給与システムなど マイナンバーデータ保管 データベース 社内ネットワーク Blue Coat SAP マイナンバー管理システム 複数ポイント同時のキャプチャが可能 10Gbps まで対応 キャプチャポイント毎の分析 解析が可能 全てのキャプチャデータをマージした解析も可能 フィルタリングして取得したいパケットのみをキャプチャ (L4 レベルでフィルタ可能 ) 12 NEC Corporation 2015 NEC Group Internal Use Only
Blue Coat SAP 活用例 分析 充実した分析機能 攻撃者 インターネット アラート検知 源泉徴収 公開 Web サーバ マイナンバー管理システム アラート検知 SandBox IPS IPS や SandBox 等のログだけでは 明確な被害状況が把握できない キャプチャ データベース マイナンバーデータ保管 Blue Coat SAP 社内から利用する社員 キャプチャ パケット情報から いつ どこで 何が起きたのかを把握可能 SAP では様々な角度から分析できるメニューが揃っており 迅速かつ明確に被害状況を特定可能 13 NEC Corporation 2015 NEC Group Internal Use Only
Blue Coat SAP 活用例 分析 充実した分析機能 次項から SQL インジェクション攻撃を検知した際に SAP を活用してどのように分析を行い防御につなげるのかをご説明いたします 不正な SQL コマンドを送信 個人情報漏えい 公開 Web サーバ マイナンバー管理システム 攻撃者 インターネット IPS Blue Coat SAP 源泉徴収 データベース マイナンバーデータ保管 SQL インジェクション攻撃とは Web サイトの検索入力欄などで Web サイト側が想定しないデータベース操作コマンド (SQL コマンド ) を実行することにより データベースシステムを不正に操作する攻撃方法 14 NEC Corporation 2015 NEC Group Internal Use Only
Blue Coat SAP 活用例 攻撃者 インターネット 源泉徴収 公開 Web サーバ マイナンバー管理システム IPS Blue Coat SAP IPS にて SQL インジェクション攻撃を検知 しかし IPS のアラート画面では攻撃が成功した ( 情報が漏えいした ) のかどうかが分からない データベース 15 NEC Corporation 2015 NEC Group Internal Use Only
Blue Coat SAP 活用例 攻撃者 インターネット 源泉徴収 公開 Web サーバ マイナンバー管理システム IPS Blue Coat SAP データベース IPS で検知した攻撃元の IP アドレスを用いて SAP で検索対象を絞ります 絞った通信内容のパケットを確認します 16 NEC Corporation 2015 NEC Group Internal Use Only
Blue Coat SAP 活用例 攻撃者 インターネット 源泉徴収 公開 Web サーバ マイナンバー管理システム IPS Blue Coat SAP データベース 攻撃元 IP アドレスから サーバに対して不正な SQL コマンドが送信されていることがわかります 17 NEC Corporation 2015 NEC Group Internal Use Only
Blue Coat SAP 活用例 攻撃者 インターネット 源泉徴収 公開 Web サーバ マイナンバー管理システム IPS Blue Coat SAP プレビュー機能で実際に攻撃者が閲覧したページを再現します データベース 不正な SQL コマンドにより 閲覧出来てはいけない情報 ( 個人情報を含む ID と PASSWORD) が攻撃者に閲覧されていた = 漏洩していた! 18 NEC Corporation 2015 NEC Group Internal Use Only
Blue Coat SAP 活用例 攻撃者 インターネット 源泉徴収 公開 Web サーバ マイナンバー管理システム IPS 分析結果 Blue Coat SAP データベース 他にも同攻撃者からの攻撃が無いか 同 IP からの通信内容を確認します 漏洩した ID PASSWORD 情報により WEB サービスにログインされ さらに個人情報を閲覧された = 漏えいした 2 次被害までも確認 19 NEC Corporation 2015 NEC Group Internal Use Only
Blue Coat SAP 活用例 攻撃者 インターネット ポリシー分析結果 源泉徴収 公開 Web サーバ マイナンバー管理システム IPS Blue Coat SAP SAP で分析した結果をそのままにするのではなく IPS( セキュリティ機器 ) に反映することが必要です データベース 攻撃手法 攻撃元 IP アドレスをブロックポリシーとして反映 セキュリティ強化のサイクルを確立し よりセキュリティを強固なものにすることが大切 20 NEC Corporation 2015 NEC Group Internal Use Only
Blue Coat SAP 活用例 リスク分析 - 脅威情報 DB とのレピュテーション機能 事例では IPS 等のセキュリティデバイスのアラートをトリガーにして SAP にて分析を行っていたが SAP 上でも脅威情報 DB を基にしたレピュテーション機能を利用することで より高精度にリスクを分析 Blue Coat SAP では オプションである Threat Blade を利用することによって Blue Coat SAP 独自の高精度の脅威情報 DB と連携し 脅威の可視化を強化 Threat Blade は Web/Mail/File の観点でレピュテーションを実施 HTTP, HTTPS に対応 不正な IP アドレス URL との通信を検知 不正なコンテンツを検知 SMTP, POP3 に対応 不正なメールを検知 FTP, SMB に対応 不正なファイルを検知 21 NEC Corporation 2015 NEC Group Internal Use Only
Blue Coat SAP 活用例 リスク分析 - 脅威情報 DB とのレピュテーション機能 また Threat Blade は Blue Coat 社の既存技術である WebPulse 機能を基にした Global Intelligence Network(GIN) システムと連携し 他製品にはないセキュリティに特化した検知機能を有しています 全世界 7500 万ユーザの情報を共有 5 億以上 /1 日の Web リクエストを処理 55 ヶ国語に対応 未知の URL をリアルタイム解析 サンドボックス 20 以上の脅威検出エンジン ホワイトハッカーによる動的解析 高い確率で C&C サーバを検知 GIN システム Threat Blade を利用することで分析機能を強化可能 Blue Coat SAP 22 NEC Corporation 2015 NEC Group Internal Use Only
SSL トラフィックの復号について
SSL トラフィックの復号について 暗号化されたトラフィックの分析 SSL トラフィックは暗号化された状態そのままでは Blue Coat SAP でトラフィックを保存しても 無意味 ( 分析もできない ) 完全な証跡保存 分析には SSL トラフィックを復号する必要がある 24 NEC Corporation 2015 NEC Group Internal Use Only
SSL トラフィックの復号について SSL トラフィック復号の必要性 SSLトラフィックは クラウドコンピューティングの利用増などに伴い 急増している 多くのネットワークでは 40% が SSL トラフィック特定のネットワークでは 70% とも言われている 近年 SSL 暗号化通信は急増傾向 ネットワークフォレンジックでは SSL 暗号化されたトラフィックは保管はできても分析はできない 証跡を管理するには 全てのデータが読み取れる形で保管されている必要があり SSL トラフィックの復号は必須 25 NEC Corporation 2015 NEC Group Internal Use Only
SSL トラフィックの復号について SSL 復号装置 (Blue Coat SSL Visibility Appliance) Blue Coat SSL/VA(SSL Visibility Appliance) は SSL トラフィックを復号する専用アプライアンスです 復号した通信は 接続した機器に転送します インターネット Forensic IPS Firewall Sandbox abcdefghijkl mnopqrstuvw xyz 既存機器でノーチェックだった通信が検査可能に コピー 復号 @:/~;fasdfas @:abc/21plpl :;l-u Blue Coat SSL/VA Web サーバ ユーザ @:/~;fasdfas @:abc/21plpl: ;l-u 社内ネットワーク 26 NEC Corporation 2015 NEC Group Internal Use Only
SSL トラフィックの復号について Blue Coat SSL/VA の導入効果 SSL トラフィックを復号し Blue Coat SAP に保管することで 完全に記録 同様に欠損の無い完全な過去データを基にした漏れの無い分析 ( リスク分析 ) 復号したデータは複製して他の既設セキュリティ機器に送ることが出来るため 既存セキュリティ対策の強化も実現 Blue Coat SSL/VA は フォレンジックソリューションには不可欠 27 NEC Corporation 2015 NEC Group Internal Use Only
SOC マネージドサービス
SOCマネージドサービス設備に対する運用の課題設備は整えたが 製品での対応 記録防御 分析 ( リスクの分析 1) リスクの分析 2 1 特定個人情報のやり IPS 等のセキュリティ機 Blue Coat SAP 独取りを記録器と連携してアラートの自の高精度脅威 2 標的型攻撃や脆弱性詳細分析を実施情報 DB と連携し脅を付く攻撃を含む 分析結果をポリシーに威の可視化強化通信を記録反映して防御に活用 オプション S O C 監視オペレータ 組織 体制 仕組み アナリスト 専門知識 ノウハウ C S I R T 各企業単独での調達は困難 外部サービスの利用等アウトソーシングが理想 29 NEC Corporation 2015 NEC Group Internal Use Only
SOCマネージドサービス分析には SOCマネージドサービスが必要不可欠 弊社では SOC/Managed Security Service メニューが充実 IDS/IPS や次世代 FW サンドボックスなどのアラート監視サービス 既存サービス 新サービス IPS SandBox Proxy SSL/VA SAP 監視 運用 セキュリティ対策実施 トラフィック分析 NESIC SOC サービス 監視オペレータ 連携 アナリスト 通報 お客様 お客様 分析結果を報告 トラフィック分析サービスは 2015 年下期リリース予定 NEC ネッツエスアイのマネージドサービスで SAP の分析機能を有効活用 30 NEC Corporation 2015 NEC Group Internal Use Only
まとめ
まとめ マイナンバー導入に伴い情報漏えい対策強化は必須 ガイドラインの要求事項は Blue Coat 製品だけで満たすことができる NEC ネッツエスアイなら導入から運用まで一貫してお客様をサポート 番号通知まで 2 ヶ月弱 運用開始まで約半年 対応はお早めに! お問い合わせは NEC ネッツエスアイまで! 32 NEC Corporation 2015 NEC Group Internal Use Only