IoTセキュリティセミナー IoT時代のCSIRT PSIRT構築の課題株式会社ラック原子拓 Copyright LAC Co., Ltd. All Rights Reserved.

IoTセキュリティセミナー 2018.2.26 IoT時代のCSIRT PSIRT構築の課題株式会社ラック原子拓

0. はじめに 1. プロフィール 2. インシデント発生状況 3.IoT セキュリティ 4.CSIRT のおさらい 5.CSIRT 構築の課題 6.PSIRT 構築のポイント 7. まとめ 2

0. はじめに 1. プロフィール 2. インシデント発生状況 3.IoT セキュリティ 4.CSIRT のおさらい 5.CSIRT 構築の課題 6.PSIRT 構築のポイント 7. まとめ 3

いろいろな物がインターネットに繋がる IoT 化が進むのに伴い付加価値が生まれ便利になる一方 IoT 機器に脆弱性があれば誤作動を起こしたりサイバー攻撃に利用されたりする可能性があります本セッションでは IoT 時代の企業内 CSIRT(PSIRT: Product Security Incident Response Team) のあり方について現状の CSIRT の実態を明らかにしつつあるべき姿と実現に向けた課題について解説します

大事なページにはポイントマークがありますそこだけ覚えておいてください

0. はじめに 1. プロフィール 2. インシデント発生状況 3.IoT セキュリティ 4.CSIRT のおさらい 5.CSIRT 構築の課題 6.PSIRT 構築のポイント 7. まとめ 6

ポイント原子拓はらこたく株式会社ラック 1988年 2017年株式会社日立情報ネットワーク入社日立製作所システム開発研究所にてネットワーク関連の研究開発に従事ヤマハ発動機株式会社入社情報システム部門にて26年間インフラアーキテクチャ全般の企画を担当 YMC-CSIRT リーダー Webサイトについては公式Webサイト立ち上げから20年間インフラセキュリティを担当 2012年にYMC-CSIRTを立ち上げその後NCA加盟デジタル戦略Gを兼務して IoT SmartFactoryのセキュリティを担当株式会社ラックに入社サイバーセキュリティ関連業務に従事 2016年日本シーサート協議会 NCA 運営委員 1991年 7

原子拓はらこたく株式会社ラックネットワークセキュリティエンジニア 1988年 2017年株式会社日立情報ネットワーク入社日立製作所システム開発研究所にてネットワーク関連の研究開発に従事ヤマハ発動機株式会社入社情報システム部門にて26年間インフラアーキテクチャ全般の企画を担当 YMC-CSIRT リーダー Webサイトについては公式Webサイト立ち上げから20年間インフラセキュリティを担当 2012年にYMC-CSIRTを立ち上げその後NCA加盟デジタル戦略Gを兼務して IoT SmartFactoryのセキュリティを担当インターネット Web PKI IoT 株式会社ラックに入社サイバーセキュリティ関連業務に従事 2016年日本シーサート協議会 NCA 運営委員 1991年グローバルエンタープライズIT CSIRT歴6年 8

ヤマハ発動機の CSIRT やってました今は LACERT( ラック社内サート ) メンバーです 9

最近の活動日本シーサート協議会運営安全なWebサイト CSIRT - ZDNet Security Day 2017 - NanoOpt Security Days Spring 2017 - 日経BP 情報セキュリティSummit クラウド IoT デジタル関連 - 翔泳社 Security Online Day 2017 - 翔泳社 EnterpriseZine Day など 10

消防団班長として実火災災害等のリアルインシデントと戦っています某市消防団火災出動の様子 11

ポイント黒柴ちゃん飼ってます癒されてます 12

名称本社所在地株式会社ラック (LAC Co., Ltd. ) 102-0093 東京都千代田区平河町2丁目16番1号平河町森タワー事業所アクシス事業所喜多方名古屋事業所福岡事業所創 2007年10月1日立年間売上高連結 371億円 2017年3月期従業員数連結 1,734名 2017年4月1日現在上場市場東京証券取引所事業概要セキュリティソリューションサービスシステムインテグレーションサービス情報システム関連商品の販売およびサービスジャスダック市場 13

名称本社所在地株式会社ラック (LAC Co., Ltd. ) 102-0093 東京都千代田区平河町2丁目16番1号平河町森タワー事業所アクシス事業所喜多方名古屋事業所福岡事業所創 2007年10月1日立年間売上高連結 371億円 2017年3月期従業員数連結 1,734名 2017年4月1日現在上場市場東京証券取引所事業概要ジャスダック市場セキュリティソリューションサービスシステムインテグレーションサービス情報システム関連商品の販売およびサービス 14

0. はじめに 1. プロフィール 2. インシデント発生状況 3.IoT セキュリティ 4.CSIRT のおさらい 5.CSIRT 構築の課題 6.PSIRT 構築のポイント 7. まとめ 15

出典 JPCERT/CC より 16

インシデント報告件数増加傾向出典 JPCERT/CC より 17

出典 JPCERT/CC より 18

2017年版 10大脅威 https://www.ipa.go.jp/security/vuln/10threats2017.html 出典 IPA より 19

ポイント IoT機器関連の脅威も増加 2017年版 10大脅威 https://www.ipa.go.jp/security/vuln/10threats2017.html 出典 IPA より 20

LAC 観点での統計情報 21

ポイント JSOC : セキュリティ監視センターサイバー救急センター : セキュリティインシデント対応部隊 22

平均 70 件 / 月のコール 23

1 件 / 日の出動要請 24

マルウェア関連 50% サーバー関連 20% 25

インシデントは 0 にはならない 26

インシデントは 0 にはならないインシデント対応が重要 27

ポイントインシデントは 0 にはならないインシデント対応が重要要 CSIRT 体制の整備 28

0. はじめに 1. プロフィール 2. インシデント発生状況 3.IoT セキュリティ 4.CSIRT のおさらい 5.CSIRT 構築の課題 6.PSIRT 構築のポイント 7. まとめ 29

出典 IPA IoT 開発におけるセキュリティ設計の手引きより

ネットワーク機器いわゆる IoT スマートファクトリー出典 IPA IoT開発におけるセキュリティ設計の手引きより 31

社内ネットワークサーバ設備と情報システムネットワーク機器 IoT スマートファクトリー製品サービスとそれらを構成する部品製品いわゆる IoT 部品A 部品B 部品Z 32 ソフト OS ハード

ポイント SHODANによると 870万台のデバイスもちろんサーバ含むが公開出典 SHODANより 33

ポイント SHODANによると 870万台のデバイスもちろんサーバ含むが公開管理していないものまで出典 SHODANより 34

まずはインターネットにさらされているIoTから出典 IPA IoT開発におけるセキュリティ設計の手引きより 35

0. はじめに 1. プロフィール 2. インシデント発生状況 3.IoT セキュリティ 4.CSIRT のおさらい 5.CSIRT 構築の課題 6.PSIRT 構築のポイント 7. まとめ 36

インシデントは 0 にはならないインシデント対応が重要要 CSIRT 体制の整備 37

コンピュータシステムを驚異から防ぐためにはそして万が一問題が発生したら予防活動各システムのチェック対策や規定の見直しユーザ啓発対応活動検知通知対応原因究明 38 これらの活動する組織が必要 CSIRT

CSIRT Computer Security Incident Response Team コンピュータセキュリティにかかわるインシデントに対処するための組織の総称インシデント関連情報脆弱性情報攻撃予兆情報を収集分析し対応方針や手順の策定などの活動 39

http://www.nca.gr.jp/imgs/csirt.pdf 40

http://www.nca.gr.jp/imgs/csirt.pdf 41

http://www.nca.gr.jp/imgs/csirt.pdf 42

http://www.nca.gr.jp/imgs/csirt.pdf 43

http://www.nca.gr.jp/imgs/csirt.pdf 44

一般的に認識されている CSIRT の役割 45

役割を実現するために必要となる CSIRT 活動 46

CSIRT に規格はなく CSIRT の目的立場 ( 組織内での位置付け ) 活動範囲法的規制などの違いからそれぞれのチームがそれぞれの組織において独自の活動している 1 つとして同じ CSIRT は存在しない ( パターンはある ) 組織のセキュリティ文化が反映されている 47

CSIRT の歴史 48

CSIRT の歴史 49

CSIRT設立年と日本シーサート協議会 NCA 加盟年の推移 2012年以前旧来型CSIRTの加盟 2013年以降新設型CSIRTの加盟 50

CSIRT設立年と日本シーサート協議会 NCA 加盟年の推移 2012年以前旧来型CSIRTの加盟 2013年以降新設型CSIRTの加盟 51

シーサートは多種多様活動範囲の視点から組織内シーサート国際連携シーサートコーディネーションセンター分析センター製品対応チームインシデントレスポンスプロバイダなどに分類されることもあるがサービス対象内容体制などの違いによって多種多様なシーサートが構成されている対象範囲 : 国自組織顧客内容 ( フェーズ ): 事前対処事後対処内容 ( 機能 ): 脆弱性ハンドリングインシデントハンドリング動向分析リスク分析など体制 : 集約型 / 分散型専任型 / 兼務型 52

対象範囲内容 ( フェーズ ) 内容 ( 機能 ) による分類サービス対象内容体制などの違いによって多種多様なシーサートが構成されている PSIRT Panasonic PSIRT CSIRT 54

①対外的な連絡窓口組織の対外的な窓口になっている必要がある対外的な連絡窓口が明らかになっていることのメリット [通知側] 脆弱性対策やインシデント対応の通知先を探さずに済む通知の背景説明を省略できる通知をたらい回しにされない [受領側] 通知をトリガに脆弱性対策やインシデント対応をベストエフォートで動かし始めることができる 55

②技術的な問い合わせに対応対外的な連絡や通知は技術的な内容が含まれ組織としての対処を期待されている対外的な連絡窓口が技術的な問合せに関しても対応可能であることのメリット迅速なインシデント対応が可能となる [通知側] 脆弱性対策やインシデント対応の技術的な通知をたらい回しにされない連絡窓口(シーサート)に期待したい要件技術的な視点で脅威を推し量り伝達できること技術的な調整活動ができること技術面での対外的な協力ができること 56

③事前対処インシデントレディネスインシデントレスポンス(事後対処)などの実践的な活動経験を元にインシデントレディネス(事前対処)を進めることが重要 57

CSIRTと消防団消防団 ①月1回の定例演習 ②月1回の機械器具点検 ③年4回の合同訓練 ④緊急出動指令 ⑤地域防災訓練 ⑥操法大会実際の消防団活動から CSIRT アセスメントe-ラーニング演習定期アセスメント NCA総会 WG インシデントの連絡部門との連携訓練セキュリティコンテスト

ポイント日本シーサート協議会 NCA とは出典日本シーサート協議会より

出典日本シーサート協議会より

速報出典日本シーサート協議会より

出典日本シーサート協議会より

ポイント既に多くの組織にCSIRTが出典日本シーサート協議会より

出典日本シーサート協議会より

ポイント出典日本シーサート協議会より

出典日本シーサート協議会より

ポイント出典日本シーサート協議会より

出典日本シーサート協議会より

0. はじめに 1. プロフィール 2. インシデント発生状況 3.IoT セキュリティ 4.CSIRT のおさらい 5.CSIRT 構築の課題 6.PSIRT 構築のポイント 7. まとめ 70

組織内 CSIRT 実装の多くは専任の要員が居る部門を核とした部門横断型になっている部門間を横断した組織体制の構築組織内の横断的な協力体制整備への期待 71

CSIRT 構築を主導した部署出典 JPCERT/CC より 72

CSIRT構築を主導した部署情報システムセキュリティ専門へ出典 JPCERT/CCより 73

CSIRT 構築に携わった部署出典 JPCERT/CC より 74

CSIRT 構築に調整が必要だった部署出典 JPCERT/CC より 75

CSIRT 構築に携わった人数出典 JPCERT/CC より 76

CSIRT の体制どの部門に配置されているか? 出典 JPCERT/CC より 77

外部からの問い合わせ状況出典 JPCERT/CC より 78

外部からの問い合わせ状況出典 JPCERT/CC より 79

DeNA CERT セキュリティ関連仮想組織出典 JPCERT/CC より 80

I-SIRT 部門横断仮想組織出典 JPCERT/CC より 81

YMC-CSIRT 情報システム部門出典 JPCERT/CC より 82

ポイント Fuji Xerox CERT PSIRT/CSIRT統合型出典 JPCERT/CCより 83

ポイント ASY-CSIRT 社長直下 PSIRT/CSIRT統合型出典 JPCERT/CCより 84

ASY-CSIRT スキルマップが整備されている出典 JPCERT/CC より 85

ポイント各CSIRTが抱える課題とは ①人材問題人員の確保次世代人員の教育 ②何をどこまでやったらいいのかわからない対策レベルがわからない ③情報が入ってこないベンダーに聞いても事例が無い出典 NCAより 86

0. はじめに 1. プロフィール 2. インシデント発生状況 3.IoT セキュリティ 4.CSIRT のおさらい 5.CSIRT 構築の課題 6.PSIRT 構築のポイント 7. まとめ 87

ポイント ①体制構築既存の組織をベースに体制づくり社外窓口必須 CSIRTがあれば CSIRTを中心に拡大 ②ポリシーガイドライン策定守るものを明確に ③報告フロー策定既存のフローをベースに ④NCA加盟見極め実際の事例入手可能 ⑤組織拡充

①推進体制の整備既存CSIRTベースに開発品質保証部門との連携既存CSIRTは全社に渡るガバナンス組織がほとんど CSIRT ガバナンス品質保証事業A 開発事業B 開発サイバーセキュリティも品質 89

②規定類の整備規定ガイドラインの整備既存セキュリティガイドラインにIoTも追加方針規定セキュア開発運用方針規定標準各種ガイドラインマニュアルガイドラインマニュアル事業A 事業B 開発開発サイバーセキュリティガイドライン 90

③社外窓口の整備 JPCERT/CCや社外からの連絡窓口の集約 XX-CSIRT AA-CSIRT BB-CSIRT XX株式会社 XX-ISAC ユーザー等社外連携には窓口が必須 91

NCA加盟により現状の対策レベルを見極めサイバーセキュリティ基礎能力を効率的に向上させる加盟後にやるべきところをさらに磨けばよい

各CSIRTが抱える課題とは CSIRT/PSIRT共通 ①人材問題人員の確保次世代人員の教育 ②何をどこまでやったらいいのかわからない対策レベルがわからない ③情報が入ってこないベンダーに聞いても事例が無い出典 NCAより 93

ポイント各CSIRTが抱える課題とは CSIRT/PSIRT共通 ①人材問題適材適所でベンダーを活用人員の確保次世代人員の教育 ②何をどこまで何をやったらいいのかわからない Topダウンでやれと言われたが ③情報が入ってこないベンダーに聞いても事例が無いまずは NCAに加盟して出典 NCAより 94

ガイドラインとかいろいろありますが 95

CSIRT Framework V1.1 96 PSIRT Framework

0. はじめに 1. プロフィール 2. インシデント発生状況 3.IoT セキュリティ 4.CSIRT のおさらい 5.CSIRT 構築の課題 6.PSIRT 構築のポイント 7. まとめ 97

インシデントは 0 になりませんから 0 に近づける活動とインシデント対応のために CSIRT が必要です

まずは形ばかりで良いですから CSIRT を立ち上げて NCA に加盟するところがスタートそれが成功の鍵

ポイントなるべく既にあるものは使い SOC運用など本来の専門業務でない部分は専業ベンダーを賢く活用すべきそれが早道

黒柴ちゃん飼ってます癒されてますが噛 101 気を許すと噛みつかれます!!

黒柴ちゃん飼ってます癒されてますが嚙まれないように世話することと噛まれた後の手当を迅速に噛気を許すと噛みつかれます 102

昨日の技術は過去のもの明日の技術は自分の中に本資料は2017年12月現在の情報に基づいて作成しており記載内容は予告なく変更される場合があります講演における発言等については講演者の個人的見解を含んでおり著作については講演者に帰属します本資料に掲載の図は資料作成用のイメージカットであり実際とは異なる場合があります本資料は弊社が提供するサービスや製品などの導入検討のためにご利用いただき他の目的のためには利用しないようご注意ください LAC ラック JSOC サイバー救急センターは株式会社ラックの登録商標ですその他記載されている会社名製品名は一般に各社の商標または登録商標です株式会社ラック 102-0093 東京都千代田区平河町2-16-1 平河町森タワー Tel 03-6757-0113 Fax 03-6757-0193 sales@lac.co.jp www.lac.co.jp

105

IoTセキュリティセミナー IoT時代のCSIRT PSIRT構築の課題 株式会社ラック 原子 拓 Copyright LAC Co., Ltd. All Rights Reserved.

IoTセキュリティセミナー IoT時代のCSIRT PSIRT構築の課題株式会社ラック原子拓 Copyright LAC Co., Ltd. All Rights Reserved.