サイバーセキュリティ月間 キックオフ シンポジウム 費用 から 投資 へ 企業における最近の被害動向 平成27年2月2日 NPO日本ネットワークセキュリティ協会 調査研究部会長 加藤雅彦 Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会
Agenda JNSAのご 紹 介 企 業 における 最 近 の 被 害 動 向 日 常 的 に 発 生 するサイバー 攻 撃 多 発 するリスト 型 アカウントハッキング 攻 撃 揺 らぐ 基 盤 ソフトウェアへの 信 頼 止 まらない 個 人 情 報 の 漏 えい 2013 年 情 報 セキュリティインシデントに 関 する 調 査 結 果 ~ 個 人 情 報 漏 えい 編 ~ 2014 年 上 期 情 報 セキュリティインシデントに 関 する 調 査 結 果 速 報 サイバーセキュリティ 費 用 から 投 資 へ 個 人 情 報 漏 えい 損 害 額 の 算 出 情 報 セキュリティ 市 場 規 模 の 推 定 まとめ 2
JNSAのご 紹 介 3
NPO 日 本 ネットワークセキュリティ 協 会 名 称 特 定 非 営 利 活 動 法 人 日 本 ネットワークセキュリティ 協 会 JNSA (Japan Network Security Association) 設 立 2000 年 4 月 ( 任 意 団 体 として 発 足 NPO 法 人 化 は2001 年 ) 会 員 数 162 社 (2015 年 1 月 現 在 ) 主 に 情 報 セキュリティベンダー 住 所 本 部 東 京 都 港 区 西 新 橋 西 日 本 支 部 大 阪 府 大 阪 市 淀 川 区 西 中 島 URL メール 役 員 http://www.jnsa.org/ sec@jnsa.org 会 長 田 中 英 彦 ( 情 報 セキュリティ 大 学 院 大 学 学 長 ) 副 会 長 中 尾 康 二 (KDDI 株 式 会 社 ) 事 務 局 長 高 橋 正 和 ( 日 本 マイクロソフト 株 式 会 社 ) 下 村 正 洋 ( 株 式 会 社 ディアイティ) 4
NPO 日 本 ネットワークセキュリティ 協 会 設 立 社 会 インフラとしてのインターネット 普 及 と 情 報 ネットワーク 社 会 の 形 成 を 背 景 に ネットワークセキュリティシステムに 携 わるベンダーによる 団 体 として2000 年 設 立 2001 年 に 特 定 非 営 利 活 動 法 人 (NPO)として 認 可 活 動 の 目 的 ネットワーク 社 会 の 情 報 セキュリティ レベルの 維 持 向 上 日 本 における 情 報 セキュリティ 意 識 の 啓 発 最 新 の 情 報 セキュリティ 技 術 および 脅 威 に 関 する 情 報 提 供 など 会 員 企 業 ネットワーク セキュリティ 製 品 を 提 供 しているベンダー システムインテグレータ インターネットプロバイダーなど 約 160 社 (2015 年 1 月 現 在 ) 部 会 社 会 活 動 部 会 西 日 本 支 部 調 査 研 究 部 会 総 会 理 事 会 幹 事 会 情 報 セキュリ ティ 教 育 事 業 者 連 絡 会 <ISEPA> 標 準 化 部 会 日 本 セキュリティ オペレーション 事 業 者 協 議 会 <ISOG-J> 教 育 部 会 監 事 事 務 局 会 員 交 流 部 会 U40 部 会 (2015 年 1 月 ) 5
調 査 研 究 部 会 活 動 目 的 : 被 害 調 査 および 市 場 調 査 を2 大 事 業 として 推 進 し 技 術 的 研 究 としてIPv6などの 新 コンピューティング 技 術 の 調 査 研 究 およびスマートフォン SNSの 安 全 な 利 用 内 部 犯 行 等 に 関 する 調 査 研 究 を 行 う セキュリティ 被 害 調 査 WG リーダー: 大 谷 尚 通 氏 ( 株 式 会 社 NTTデータ) 個 人 情 報 漏 えい 編 発 生 確 率 編 の 調 査 を 継 続 し 報 告 書 を 作 成 し 公 開 する 2012 年 個 人 情 報 漏 えい 編 発 生 確 率 編 2013 年 個 人 情 報 漏 えい 編 の 調 査 報 告 書 を 作 成 し 公 開 する 2013 年 情 報 セキュリティインシデントに 関 する 調 査 報 告 書 ( 公 開 中 ) http://www.jnsa.org/result/incident/index.html 2011 年 情 報 セキュリティインシデントに 関 する 調 査 報 告 書 ~ 発 生 確 率 編 ~ ( 公 開 中 ) http://www.jnsa.org/result/incident/2011_probability.html 2014 年 情 報 セキュリティインシデントに 関 する 調 査 報 告 書 近 日 公 開 予 定!! セキュリティ 市 場 調 査 WG リーダー: 木 城 武 康 氏 ( 株 式 会 社 日 立 システムズ) 国 内 の 情 報 セキュリティ 市 場 の 現 況 を 調 査 分 析 し 報 告 書 を 作 成 する 2013 年 度 情 報 セキュリティ 市 場 調 査 報 告 書 ( 公 開 中 ) http://www.jnsa.org/result/2014/surv_mrk/index.html 6
調 査 研 究 部 会 その 他 のWG 組 織 で 働 く 人 間 が 引 き 起 こす 不 正 事 故 対 応 WG リーダー: 甘 利 康 文 氏 (セコム 株 式 会 社 ) IPA 組 織 における 内 部 不 正 防 止 ガイドライン の 各 章 に 対 応 した 製 品 サービスを 掲 載 した 内 部 不 正 対 策 ソリューションガイド を 公 開 http://www.jnsa.org/result/2013/surv_acci/index.html IPv6セキュリティ 検 証 WG リーダー: 許 先 明 氏 スマートフォン 活 用 セキュリティポリシーガイドライン 策 定 WG リーダー: 栃 沢 直 樹 氏 (トレンドマイクロ 株 式 会 社 ) SNSセキュリティWG リーダー: 高 橋 正 和 氏 ( 日 本 マイクロソフト 株 式 会 社 ) シンギュラリティ 調 査 WG リーダー: 広 口 正 之 氏 (リコージャパン 株 式 会 社 ) IoTセキュリティWG リーダー: 兜 森 清 忠 氏 ( 株 式 会 社 シマンテック) 脅 威 を 持 続 的 に 研 究 するWG リーダー: 大 森 雅 司 氏 ( 株 式 会 社 日 立 システムズ) 各 WGの 活 動 内 容 については http://www.jnsa.org/active/2014/surv.html をご 覧 ください 7
Agenda JNSAのご 紹 介 企 業 における 最 近 の 被 害 動 向 日 常 的 に 発 生 するサイバー 攻 撃 多 発 するリスト 型 アカウントハッキング 攻 撃 揺 らぐ 基 盤 ソフトウェアへの 信 頼 止 まらない 個 人 情 報 の 漏 えい 2013 年 情 報 セキュリティインシデントに 関 する 調 査 結 果 ~ 個 人 情 報 漏 えい 編 ~ 2014 年 上 期 情 報 セキュリティインシデントに 関 する 調 査 結 果 速 報 サイバーセキュリティ 費 用 から 投 資 へ 個 人 情 報 漏 えい 損 害 額 の 算 出 情 報 セキュリティ 市 場 規 模 の 推 定 まとめ 8
企 業 における 最 近 の 被 害 動 向 日 常 的 に 発 生 するサイバー 攻 撃 9
IIJ Internet Infrastructure Review(IIR) Vol.23を 元 に 作 成 (http://www.iij.ad.jp/company/development/report/iir/023.html) IIRに 各 インシデントの 参 照 情 報 (URL 等 )が 記 載 されている 詳 細 はそちらを 確 認 のこと サイバーセキュリティ 月 間 キックオフ シンポジウム 費 用 から 投 資 へ 月 日 内 容 2 US-CERTは 12 月 に 発 覚 した 大 手 小 売 り 事 業 者 の 情 報 流 出 の 原 因 となったPOS 端 末 に 感 染 するマルウェアについて 注 意 喚 起 を 行 った 複 数 のオンラインゲームで 何 者 かによるDDoS 攻 撃 が 行 われ サービス 停 止 などの 影 響 が 出 た この 攻 撃 は 特 定 の 利 用 者 に 対 する 攻 撃 の 可 能 性 が 4 指 摘 されている 独 立 行 政 法 人 日 本 原 子 力 研 究 開 発 機 構 は 高 速 増 殖 炉 もんじゅの 事 務 処 理 用 パソコン1 台 がウイルスに 感 染 し 情 報 流 出 の 可 能 性 があることを 公 表 した 6 米 国 のY 社 は 年 末 年 始 の 期 間 中 に 欧 州 の 自 社 サイトに 配 信 した 広 告 のいくつかで 不 正 サイトからのマルウェアへの 誘 導 が 行 われていたことを 公 表 し 1 た 韓 国 で 大 手 クレジットカード3 社 から 延 べ8,500 万 件 のクレジットカード 情 報 が カード 会 社 と 契 約 していた 信 用 情 報 会 社 の 社 員 により 流 出 していたこと 8 が 発 覚 した 11 大 手 オンラインストレージサービスのD 社 でメンテナンス 時 の 不 具 合 により 2 日 間 に 渡 るサービス 障 害 が 発 生 した 15 S 社 は 日 本 の 大 手 出 版 社 のWebサイトが 改 ざんされ Toolkitによる 不 正 サイトからのマルウェアへの 誘 導 が 行 われていたことを 発 表 した 31 米 国 Y 社 のメールサービスで 一 部 アカウントに 対 するリスト 型 攻 撃 による 不 正 ログインが 発 生 した 航 空 会 社 の 会 員 向 けWebサイトで 不 正 アクセスが 発 生 し 通 信 販 売 サイトのポイントに 交 換 される 事 件 が 発 生 した 東 京 大 学 国 際 高 等 研 究 所 カブリ 数 物 連 携 宇 宙 研 究 機 構 で スーパーコンピュータシステムが 外 部 からの 不 正 アクセスを 受 けたことを 公 表 した この 3 事 件 では 侵 入 されたシステムを 通 じ て 共 同 研 究 を 行 っていた 国 立 天 文 台 など 外 部 の 研 究 機 関 への 不 正 アクセスも 確 認 されたことから 各 研 究 機 関 で 対 応 が 行 われた 2 3 最 近 のセキュリティ 事 件 (2014/1~3) 6 独 立 行 政 法 人 国 立 がん 研 究 センターは 国 立 がん 研 究 センター 東 病 院 のパソコン2 台 がウイルス 感 染 し 患 者 情 報 などが 漏 えいした 可 能 性 があるこ とを 公 表 した 7 Bitcoinの 取 引 所 の1つであるMt. Goxは 技 術 トラブルを 修 正 するためとしてビットコインの 払 い 出 しを 一 時 停 止 した この 後 2 月 28 日 にサイバー 攻 撃 によるBitcoinと 銀 行 預 金 の 流 出 のため 債 務 超 過 に 陥 ったとして 民 事 再 生 手 続 きを 申 請 した 12 Bitcoin 取 引 所 のMtGoxやBitStampなどが トランザクション 展 性 を 悪 用 した 取 引 妨 害 攻 撃 を 受 けたとして 口 座 からの 引 き 出 しを 一 時 停 止 した この 影 響 でBitcoinの 対 ドルレートが 一 時 急 落 するなどの 影 響 が 出 た 18 検 索 サイトの 検 索 連 動 型 広 告 を 悪 用 し 複 数 の 金 融 機 関 の 偽 サイトへの 誘 導 が 行 われていたことが 発 覚 し 対 応 が 行 われた 24 H 社 は 提 供 しているサービスに 対 して 外 部 から 不 正 ログインされた 可 能 性 があるとしてパスワード 変 更 や 登 録 内 容 の 確 認 を 行 うよう 注 意 喚 起 を 行 っ た 10 別 の 航 空 会 社 の 会 員 向 けWebサイトで 不 正 ログインが 発 生 し マイルを 別 のポイントに 交 換 される 事 件 が 発 生 したことを 公 表 した 12 CMSであるWordPressで 投 稿 にリンクが 張 られたことを 知 らせるPingback 機 能 を 悪 用 した 大 規 模 なDDoS 攻 撃 が 発 生 した 17 ブラジルとベネズエラでGoogle Public DNSの 経 路 が 一 時 的 にBGPハイジャックされる 事 件 が 発 生 した
IIJ Internet Infrastructure Review(IIR) Vol.24を 元 に 作 成 (http://www.iij.ad.jp/company/development/report/iir/024.html) IIRに 各 インシデントの 参 照 情 報 (URL 等 )が 記 載 されている 詳 細 はそちらを 確 認 のこと サイバーセキュリティ 月 間 キックオフ シンポジウム 費 用 から 投 資 へ 5 6 最 近 のセキュリティ 事 件 (2014/4~6) 月 日 4 15 JPCERTコーディネーションセンターは Movable Typeの 既 知 の 脆 弱 性 を 使 用 した 攻 撃 により 不 正 なファイルが 設 置 されたり 攻 撃 サイトへと 誘 導 する iframeや 難 読 化 されたJavaScriptが 埋 め 込 まれたりする 事 件 が 多 く 確 認 されているとして 注 意 喚 起 を 行 った 20 FBIは ファイルやアカウント 情 報 を 盗 むRAT Blackshadesに 関 わったとされる 共 同 作 成 者 を 含 む100 人 以 上 を 逮 捕 したことを 発 表 した 27 オーストラリアなど 複 数 の 国 で A 社 製 のスマートフォンが 遠 隔 ロックされ 金 銭 を 要 求 される 事 件 が 発 生 した この 事 件 では A 社 が 提 供 しているスマートフォンを 探 す 機 能 を 悪 用 したと 考 えられているが 手 口 の 詳 細 については 明 らかになっていない 29 複 数 のプロバイダでDNSサーバへの 問 い 合 わせが 急 増 したことによる 障 害 が 発 生 した 3 内 容 15 カナダ 歳 入 庁 のWebサイトに 対 して OpenSSLの 脆 弱 性 (CVE-2014-0160)を 悪 用 した 攻 撃 が 発 生 し 納 税 者 およそ900 人 分 の 社 会 保 障 番 号 が 漏 えい したことを 発 表 した なお 4 月 17 日 に 学 生 が 容 疑 者 として 逮 捕 された 国 立 感 染 症 研 究 所 は Webメールの 管 理 者 を 騙 ったメールによって メールアカウントのユーザ 名 とパスワードが 盗 取 され 迷 惑 メールが 送 信 されたこ 16 とを 公 表 した 5 月 後 半 から 発 生 していた 複 数 サイトの 不 正 アクセスによるコンテンツやファイルの 改 ざん 事 件 について 利 用 していたCDNサービスの 提 供 事 業 者 が 不 正 侵 入 を 受 けたことによるものと 判 明 した 米 司 法 省 は オンラインバンキングなどの 情 報 窃 取 を 行 うマルウェアであるGameOver Zeusについて 10ヵ 国 以 上 の 法 執 行 機 関 と 共 同 でテイクダウン を 実 施 し 関 連 サイトの 差 し 押 さえや 管 理 者 の 逮 捕 などが 行 われたことを 公 表 した 12 サポート 終 了 となった 日 本 独 自 のブログ 作 成 ツールについて 約 8 割 が 問 題 のある 状 態 で 運 用 されており 攻 撃 者 の 標 的 になっているとして 注 意 喚 起 が 行 われた 13 香 港 の 民 主 化 を 求 めて 活 動 する 団 体 の 電 子 投 票 システムに 対 する 大 規 模 なDDoS 攻 撃 が 発 生 した 19 広 告 配 信 サーバによって Adobe Flash Playerの 更 新 を 促 す 通 知 に 見 せかけた 悪 意 あるサイトに 誘 導 する 広 告 が 表 示 される 事 件 が 発 生 した 30 Microsoft 社 は Bladabindi(NJrat)とJenxcus(NJw0rm)の2つのマルウェアファミリーが 利 用 していたダイナミックDNSサービスであるNO-IPの23ドメイン について テイクダウンを 実 施 したことを 公 表 した
IIJ Internet Infrastructure Review(IIR) Vol.25を 元 に 作 成 (http://www.iij.ad.jp/company/development/report/iir/025.html) IIRに 各 インシデントの 参 照 情 報 (URL 等 )が 記 載 されている 詳 細 はそちらを 確 認 のこと サイバーセキュリティ 月 間 キックオフ シンポジウム 費 用 から 投 資 へ 8 9 最 近 のセキュリティ 事 件 (2014/7~9) 月 日 7 9 内 容 通 信 教 育 企 業 は 同 社 の 約 2070 万 人 分 の 顧 客 情 報 が 名 簿 業 者 など 外 部 に 流 出 したことを 公 表 した その 後 9 月 に 公 表 された 最 終 報 告 では 約 4858 万 人 分 の 個 人 情 報 が 漏 えいしたことが 判 明 している インド 政 府 のルート 認 証 局 の 傘 下 で 中 間 認 証 局 を 運 営 するインド 国 立 情 報 工 学 センター(NIC)で 複 数 のGoogleドメインやYahoo!ドメイ ンの 証 明 書 が 不 正 に 発 行 されたことが 判 明 し 複 数 のブラウザで 当 該 証 明 書 を 無 効 にする 対 応 が 行 われた 原 因 については 証 明 書 発 行 プロセスが 破 られたためと さ れている 通 信 教 育 企 業 の 顧 客 情 報 が 外 部 に 漏 えいした 事 件 について 業 務 委 託 企 業 の 元 派 遣 社 員 が 不 正 競 争 防 止 法 違 反 ( 営 業 秘 密 の 複 製 )の 容 疑 で 逮 捕 さ 17 れた 一 般 財 団 法 人 日 本 データ 通 信 協 会 テレコム アイザック 推 進 会 議 は インターネットバンキングに 係 るマルウェア(Game Over Zeus)の 国 際 的 な 感 染 駆 18 除 作 戦 に 関 連 し 官 民 連 携 による 国 民 のマルウェア 対 策 支 援 プロジェクト(ACTIVE)を 通 じて 該 当 マルウェアに 感 染 してい る 利 用 者 への 注 意 喚 起 を 実 施 することを 発 表 した 欧 州 中 央 銀 行 は Webサイトに 侵 入 され イベント 登 録 者 の 電 子 メールアドレスなどの 個 人 データが 漏 えいしたことを 公 表 した この 事 件 は 漏 えいした 24 データと 引 き 換 えに 金 銭 を 要 求 する 匿 名 のメールが 届 いたことから 発 覚 した 25 国 内 の 複 数 の 企 業 や 行 政 機 関 より 自 サイトのホームページを 模 倣 したWebサイトに 対 する 注 意 喚 起 が 相 次 いで 行 われた 1 US-CERTは POSシステムを 対 象 とした 新 種 の 不 正 プログラムBackoffが 確 認 されたとして 注 意 喚 起 を 行 った 2 Mozilla Developer Networkは データベースダンプファイルが 誤 って 公 開 状 態 になっていたことから 7 万 6 千 のMDNユーザのメールアドレスと4,000 ユーザの 暗 号 化 されたパスワードが 漏 えいした 可 能 性 があることを 公 表 した 各 国 の 政 府 機 関 が 情 報 収 集 活 動 に 利 用 しているとされる 商 用 監 視 ソフトウェアFinSpy(FinFisher)について 提 供 元 企 業 が 不 正 アクセスを 受 け 40GB 4 にもなる 内 部 文 書 とソースコードが 公 開 された 米 国 のセキュリティ 企 業 より 2014 年 2 月 から5 月 にかけて BGPハイジャックにより 仮 想 通 貨 のマイニングプールへのトラフィックを 偽 のマイニング 8 プールに 振 り 向 ける 攻 撃 が 行 われていたことが 報 告 された この 攻 撃 では 19のISPが 影 響 を 受 けたとされており 攻 撃 者 は8 万 3000ドルの 利 益 を 得 て いた 可 能 性 があることが 指 摘 されている 米 国 で インターネットの 速 度 が 低 下 したり 通 信 が 不 安 定 になるなどの 現 象 が 発 生 した 原 因 については 広 報 されたBGPの 経 路 情 報 が 古 いルー 12 タでBGPのルーティングテーブルの 上 限 である512kを 超 えたためと 考 えられる テキスト 編 集 ソフトの 日 本 語 と 簡 体 字 中 国 語 のサポートサイトが 改 ざんされ 利 用 者 のユーザ 名 パスワード IPアドレスを 盗 もうとする 痕 跡 が 見 つ 13 かったことが 公 表 された その 後 8 月 18 日 に 再 度 Webサイトが 改 ざんされ 当 該 シェアウェアの 更 新 チェック 機 能 を 利 用 して 悪 意 あるファイルがインス トールされる 事 件 も 発 生 している 21 米 国 U 社 は 国 内 の51ヵ 所 の 代 理 店 でマルウェア 感 染 が 確 認 され 顧 客 のクレジットカード 情 報 などが 流 出 した 可 能 性 があることを 公 表 した 25 何 者 かによって S 社 が 提 供 するネットワークサービスへのDDOS 攻 撃 が 行 われ 大 規 模 な 障 害 が 発 生 した 米 国 で ハリウッド 女 優 などのプライベート 写 真 が 掲 示 板 に 掲 載 される 事 件 が 発 生 した この 事 件 は 流 出 した 複 数 の 著 名 人 のiCloudアカウントに 不 1 正 アクセスが 行 われたことが 原 因 とされている 3 米 国 の 小 売 り 大 手 であるH 社 で 大 規 模 なカード 情 報 の 流 出 が 発 生 した 18 ゲームサーバにDDoS 攻 撃 を 複 数 回 行 い ゲーム 会 社 の 業 務 を 妨 害 したとして 高 校 生 が 電 子 計 算 機 損 壊 等 業 務 妨 害 容 疑 で 書 類 送 検 された 24 航 空 会 社 でマルウェア 感 染 による 不 正 アクセスが 発 生 し 最 大 で73 万 件 の 会 員 の 個 人 情 報 が 漏 えいした 可 能 性 があることが 公 表 された 物 流 事 業 者 のサポートサイトへパスワードリスト 攻 撃 と 考 えられる 不 正 ログインがあり 一 部 の 会 員 の 個 人 情 報 が 閲 覧 されることで 漏 えいした 可 能 性 26 があることが 公 表 された 同 様 の 事 件 は28 日 に 別 の 物 流 事 業 者 のサポートサイトでも 発 生 している
企 業 における 最 近 の 被 害 動 向 多 発 するリスト 型 アカウントハッキング 攻 撃 13
リスト 型 アカウントハッキング 攻 撃 同 じID パスワードを 使 い 回 しているアカウントを 狙 った 不 正 ログイン 攻 撃 無 料 オンライン サービス オンライン ショッピング サイト オンライン ゲーム SNS クラウド サービス ID: PW: abc@mail.jp Hogeh0ge! 漏 洩 ID: abc@mail.jp PW: Hogeh0ge! ID=メールアドレスを 指 定! ID: abc PW: Hogeh0ge! パスワードの 使 い 回 し! ID: PW: abc Hogeh0ge! ID: PW: abc@mail.jp Hogeh0ge! 不 正 ログイン 攻 撃 者 ID: ID: PW: ID: PW: PW: abc@mail.jp abc@mail.jp Hogeh0ge! abc@mail.jp Hogeh0ge! Hogeh0ge! 14
リスト 型 アカウントハッキングの 被 害 例 リスト 型 アカウントハッキングが 成 功 してアカウントへ 不 正 アクセスさ れてしまった 場 合 の 被 害 攻 撃 者 ID: ID: abc@mail.jp ID: abc@mail.jp PW: abc@mail.jp PW: Hogeh0ge! PW: Hogeh0ge! Hogeh0ge! 不 正 ログイン オンライン ショッピング サイト SNS クラウド サービス 乗 っ 取 ったアカウントを 使 って 換 金 性 の 高 い 商 品 を 不 正 購 入 乗 っ 取 ったアカウントの 友 人 から 電 子 マネーをだまし 取 る 乗 っ 取 ったアカウントを 使 ってCPUリソー スを 不 正 利 用 したり 攻 撃 の 踏 み 台 や 水 飲 み 場 型 攻 撃 用 のWebページやC&C サーバに 使 う 15
2013 年 個 人 情 報 漏 洩 インシデント トップ10 No. 漏 えい 人 数 業 種 原 因 1 400 万 人 情 報 通 信 業 不 正 アクセス 2 169 万 2496 人 情 報 通 信 業 不 正 アクセス 3 47 万 人 卸 売 業, 小 売 業 不 正 アクセス 4 42 万 6000 人 公 務 ( 他 に 分 類 されるものを 除 く) 紛 失 置 忘 れ 5 24 万 3266 人 情 報 通 信 業 不 正 アクセス 6 17 万 5297 人 情 報 通 信 業 設 定 ミス 7 15 万 0165 人 卸 売 業, 小 売 業 不 正 アクセス 8 12 万 0616 人 金 融 業, 保 険 業 管 理 ミス 9 10 万 9112 人 情 報 通 信 業 不 正 アクセス 10 9 万 7438 人 情 報 通 信 業 不 正 アクセス リスト 型 アカウントハッキング 攻 撃 2013 年 は 不 正 アクセスが 急 増! 16
リスト 型 アカウントハッキングの 対 策 案 リスト 型 アカウントハッキングによって 不 正 ログインされないためには パスワードを 使 いまわさない 同 じパスワードを 使 わない 2 要 素 認 証 など 不 正 アクセス 対 策 がしっかりした サービスを 積 極 的 に 利 用 する 解 読 されやすい 秘 密 の 質 問 を 使 用 しない ログインできる 端 末 やIPアドレスを 限 定 する( 可 能 な 場 合 ) 設 定 ミスに 気 をつける(クラウドサービスの 場 合 など) 2 要 素 認 証 リスト 型 アカウントハッキングで 1 段 階 目 の 認 証 を 突 破 されても 2 段 階 目 の 認 証 を 突 破 できない 例 ) 母 親 の 旧 姓 は? = 鈴 木 出 身 地 は? = 東 京 17
企 業 における 最 近 の 被 害 動 向 揺 らぐ 基 盤 ソフトウェアへの 信 頼 18
基 盤 となるソフトウェアの 脆 弱 性 Heartbleed 暗 号 化 通 信 で 広 く 用 いられているソフトウェアであるOpenSSLにおいて ハートビート 処 理 の 実 装 に 問 題 があり 細 工 したデータをリクエストとして 送 ることにより 本 来 読 み 出 せないプロセスのメモリ 領 域 をレスポンスに 含 めさせることが 可 能 となる 脆 弱 性 が 発 見 された IIJ Internet Infrastructure Review(IIR) Vol.24より 引 用 http://www.iij.ad.jp/company/development/report/iir/024/01_04.html 対 策 は 修 正 済 バージョンへのアップデート 対 象 は 下 表 のとおりだが 詳 細 はOpenSSL 公 式 サイトや 各 脆 弱 性 情 報 提 供 サイト 等 を 参 照 19
基 盤 となるソフトウェアの 脆 弱 性 CCS Injection OpenSSLのChangeCipherSpecメッセージの 処 理 に 欠 陥 が 発 見 されました この 脆 弱 性 を 悪 用 された 場 合 暗 号 通 信 の 情 報 が 漏 えいする 可 能 性 があります 株 式 会 社 レピダム OpenSSL #ccsinjection vulnerability より 引 用 http://ccsinjection.lepidum.co.jp/ja.html 本 脆 弱 性 による MITM 攻 撃 では サーバとクライアントの 両 方 が OpenSSL を 使 っている 場 合 に その 間 にいる 攻 撃 者 が SSL/TLS ハンドシェーク 中 に 特 別 なメッ セージを 割 り 込 ませることで 攻 撃 者 にも 計 算 できる 鍵 を 両 者 の 暗 号 化 通 信 に 使 わせることができます 攻 撃 者 はその 鍵 を 使 って 暗 号 化 通 信 を 復 号 でき 通 信 内 容 の 盗 聴 改 ざんが 可 能 になります この 攻 撃 を 受 けた 状 況 でも サーバとクライ アントでは 通 常 どおりの 暗 号 化 通 信 として 認 識 され 異 常 に 気 づくことができませ ん IIJ Security Diary OpenSSL の Man-in-the-middle 攻 撃 可 能 な 脆 弱 性 の 影 響 より 引 用 https://sect.iij.ad.jp/d/2014/06/069806.html 対 策 は 修 正 済 バージョンへのアップデート 対 象 はバージョンに 依 存 ( 次 ページ 参 照 ) 詳 細 はOpenSSL 公 式 サイトや 各 脆 弱 性 情 報 提 供 サイト 等 を 参 照 20
基 盤 となるプロトコルの 脆 弱 性 POODLE Attack POODLE Attackと 呼 ばれる 本 手 法 はBEAST 攻 撃 に 類 似 した 中 間 者 攻 撃 でブラウザから 大 量 のリクエストをサーバに 送 り つけることによるトライ&エラーを 繰 り 返 すことでSSLで 暗 号 さ れた 攻 撃 対 象 データを1バイトずつ 復 号 することを 可 能 にして います. 現 実 的 な 攻 撃 としてはCookieの 搾 取 が 挙 げられます 暗 号 プロトコル 評 価 技 術 コンソーシアム(CELLOS) [2014/10/15] SSLv3 仕 様 そのもの に 対 する POODLE attack について より 引 用 https://www.cellos-consortium.org/jp/index.php?poodleattack_20141015_j 対 策 はSSLv3の 無 効 化 など 対 象 は SSLv3を 使 用 可 能 としているデバイス 全 て 詳 細 は 各 脆 弱 性 情 報 提 供 サイト 等 を 参 照 21
基 盤 となるソフトウェアの 脆 弱 性 Shellshock GNU bash の 脆 弱 性 ~ shellshock 問 題 ~ は Linux で 使 用 するシェルのひとつである GNU bash (Bourne-Again Shell) の 環 境 変 数 の 処 理 に 存 在 する 任 意 のコード 実 行 などを 許 し てしまう 脆 弱 性 です Web サーバ 上 で 動 作 する CGI プログ ラムや Linux ベース 組 み 込 みシステムなど 非 常 に 広 範 囲 にわたって 影 響 を 与 えるものです 日 本 シーサート 協 議 会 GNU bash の 脆 弱 性 ~ shellshock 問 題 ~ について より 引 用 http://www.nca.gr.jp/2014/shellshock/ 対 象 はbash を 使 っているプログラムすべて 対 策 は 修 正 済 みバージョンへのアップデート 詳 細 は 各 脆 弱 性 情 報 提 供 サイト 等 を 参 照 22
最 近 の 問 題 における 特 徴 正 規 アカウントの 悪 用 など 対 象 が 幅 広 く 検 出 や 対 策 が 難 しい 攻 撃 が 数 多 く 発 生 している ID/パスワードを 使 ってログインする 仕 組 みがあれば リスト 型 パスワード ハッキングの 攻 撃 対 象 となる 可 能 性 がある インターネットの 基 盤 として 広 く 使 われている オープンソースソ フトウェアでもいまだに 新 しい 脆 弱 性 が 発 見 される 安 全 という 認 識 で 広 く 長 く 使 われているものが ある 日 突 然 危 険 になる 既 に 数 多 くの 組 み 込 み 機 器 にインターネット 関 連 技 術 が 使 われており パ ソコンやスマホだけがセキュリティ 対 策 の 対 象 ではない 同 様 の 技 術 を 使 っていればIoTデバイスなども 対 象 となる 長 期 間 にわたって 対 応 が 発 生 することを 想 定 する 必 要 がある どこからでも 攻 撃 されやすく 問 題 発 生 時 の 影 響 が 大 きい 長 期 の 対 応 を 前 提 としたセキュリティ 対 策 が 不 可 避 23
企 業 における 最 近 の 被 害 動 向 止 まらない 個 人 情 報 の 漏 えい 2013 年 情 報 セキュリティインシデントに 関 する 調 査 結 果 ~ 個 人 情 報 漏 えい 編 ~より 24
漏 えい 人 数 と 件 数 ( 経 年 ) 3000 万 人 3,053 万 人 漏 えい 人 数 2,500 件 インシデント 件 数 2,357 件 2500 万 人 2,224 万 人 2,000 件 2000 万 人 1500 万 人 1000 万 人 500 万 人 0 万 人 1,032 件 881 万 人 993 件 864 件 1,373 件 723 万 人 1,539 件 1,679 件 572 万 人 558 万 人 1,551 件 628 万 人 1,388 件 972 万 人 925 万 人 2005 年 2006 年 2007 年 2008 年 2009 年 2010 年 2011 年 2012 年 2013 年 漏 えい 人 数 は ほぼ 横 ばい 漏 えい 人 数 インシデント 件 数 1,500 件 1,000 件 500 件 0 件 件 数 は も っ と も 多 い 公 表 さ れ た イ ン シ デ ン ト 25
原 因 別 の 漏 えい 件 数 不 正 な 情 報 持 ち 出 し 21 件 1.5% 設 定 ミス 43 件 3.1% 不 正 アクセス 65 件 4.7% 盗 難 77 件 5.5% 内 部 犯 罪 内 部 不 正 行 為 14 件 1.0% 紛 失 置 忘 れ 199 件 14.3% 目 的 外 使 用 10 件 0.7% 管 理 ミス 449 件 32.3% バグ セキュリティホール 7 件 0.5% 誤 操 作 485 件 34.9% ワーム ウイルス 5 件 0.4% その 他 9 件 0.6% 不 明 5 件 0.4% 2012 年 2013 年 (N=2357 件 ) (N=1389 件 ) 管 理 ミス (1391 件 ) 誤 操 作 (474 件 ) 紛 失 置 忘 れ (189 件 ) 盗 難 (88 件 ) 誤 操 作 (485 件 ) 管 理 ミス (449 件 ) 紛 失 置 忘 れ (199 件 ) 盗 難 (77 件 ) 管 理 ミス(= 誤 廃 棄 ) 誤 操 作 (=ケアレスミス) による 漏 えいが 多 い 上 位 の 原 因 に 大 きな 変 化 はなし 26
原 因 別 の 漏 えい 件 数 ( 経 年 ) 2,000 件 1,500 件 1,000 件 500 件 0 件 22 件 20 34 件 53 12 件 128 件 434 件 21 件 81 件 82 件 17 146 件 290 件 176 件 34 件 157 件 60 件 483 件 14 件 369 件 17 件 22 件 543 件 539 件 474 件 485 件 177 件 194 件 211 件 189 件 122 213 件 件 189 件 199 件 266 件 143 件 154 件 121 件 72 件 30 件 117 件 128 件 103 件 88 件 77 件 14 件 22 20 件 25 件 18 件 35 28 件 65 件 2005 年 (n=1032) 2006 年 (n=993) 68 件 2007 年 (n=864) 19 件 80 件 305 件 2008 年 (n=1373) 2012 年 は 管 理 ミス の 件 数 が 大 幅 増 加 53 件 784 件 2009 年 (n=1539) 19 件 73 件 609 件 2010 年 (n=1679) 26 件 77 件 497 件 2011 年 (n=1551) 30 件 60 件 1,391 件 23 件 2012 年 (n=2357) 21 件 449 件 43 件 2013 年 (n=1389) 不 明 その 他 内 部 犯 罪 内 部 不 正 行 為 目 的 外 使 用 不 正 な 情 報 持 ち 出 し 管 理 ミス 設 定 ミス 誤 操 作 紛 失 置 忘 れ 盗 難 不 正 アクセス ワーム ウイルス インシデントの3 大 要 因 は 人 為 的 ミス 管 理 ミス 誤 操 作 紛 失 置 忘 れ バグ セキュリティホール 27
媒 体 別 の 漏 えい 件 数 USB 等 可 搬 記 録 媒 体 108 件 7.8% 携 帯 電 話 スマートフォン 13 件 0.9% PC 本 体 40 件 2.9% その 他 33 件 2.4% 不 明 9 件 0.6% 2012 年 2013 年 (N=2357 件 ) (N=1389 件 ) 紙 媒 体 (1384 件 ) USB 等 可 搬 記 録 媒 体 (610 件 ) 紙 媒 体 (941 件 ) インターネット (126 件 ) 電 子 メール 119 件 8.6% インターネット 126 件 9.1% 紙 媒 体 941 件 67.7% 電 子 メール (130 件 ) インターネット (118 件 ) 電 子 メール (119 件 ) USB 等 可 搬 記 録 媒 体 (108 件 ) 紙 媒 体 による 漏 えいが 多 い ( 例 年 通 り) USBが 大 幅 減 少 28
媒 体 別 の 漏 えい 件 数 ( 経 年 ) 2,000 件 1,500 件 1,000 件 500 件 0 件 32 16 68 件 件 68 8 件 66 件 76 1 件 162 件 218 件 173 件 81 件 106 件 44 51 件 0 85 件 133 件 108 件 94 件 515 件 435 件 349 件 2005 年 (n=1032) 2006 年 (n=993) 2007 年 (n=864) 10 88 件 0 件 111 件 160 件 136 件 100 件 768 件 2008 年 (n=1373) 30 12 0 108 件 件 70 件 144 件 58 件 1,117 件 2009 年 (n=1539) 40 14 件 115 件 82 件 208 件 55 件 1,165 件 2010 年 (n=1679) 45 23 件 126 件 68 件 156 件 68 件 1,065 件 2011 年 (n=1551) 63 9 件 130 件 118 件 610 件 43 件 1,384 件 2012 年 (n=2357) 例 年 紙 媒 体 による 漏 えいが 多 い 次 に USBメモリ 電 子 メール が 多 い 13 33 9 件 119 件 126 件 108 件 40 件 941 件 2013 年 (n=1389) 不 明 その 他 携 帯 電 話 スマートフォン FTP 電 子 メール インターネット USB 等 可 搬 記 録 媒 体 PC 本 体 紙 媒 体 2013 年 は インターネット が 増 加 29
全 組 織 の 共 通 問 題 人 為 的 ミス 管 理 ミス 誤 操 作 紛 失 置 き 忘 れの 人 為 的 ミスによる 情 報 セキュリ ティインシデントは 毎 年 件 数 が 多 く 高 い 割 合 を 占 める インシデントの3 大 要 因 は 人 為 的 ミス 管 理 ミス 誤 操 作 紛 失 置 き 忘 れ 人 為 的 ミス 2008 年 2009 年 2010 年 2011 年 2012 年 2013 年 インシデント 件 数 (%) インシデント 人 数 (%) 982 件 (71.5%) 516.7 万 人 (71.4%) 1275 件 (82.8%) 269.6 万 人 (47.1%) 1363 件 (81.2%) 149.5 万 人 (26.8%) 1249 件 (80.5%) 256.0 万 人 (40.7%) 2054 件 (87.1%) 805.3 万 人 (82.8%) インシデント 人 数 のばらつきが 大 きい 1 件 あたりの 漏 えい 人 数 は 少 ない 人 為 的 ミスの 対 策 が 必 要! 1071 件 (80.3%) 157.3 万 人 (17.0%) (ヒューマンエラー) 30
企 業 における 最 近 の 被 害 動 向 止 まらない 個 人 情 報 の 漏 えい 2014 年 上 期 情 報 セキュリティインシデントに 関 する 調 査 結 果 速 報 31
漏 えい 人 数 と 件 数 ( 経 年 ) 3000 万 人 3,053 万 人 漏 えい 人 数 2,500 件 インシデント 件 数 2,357 件 2500 万 人 2,224 万 人 2,000 件 2000 万 人 1500 万 人 1,032 件 1,373 件 1,539 件 1,679 件 1,551 件 1,388 件 1,500 件 1900 件 ( 予 測 ) 1,000 件 +3500 万 人 ( 下 半 期 ) 1000 万 人 500 万 人 881 万 人 993 件 864 件 723 万 人 572 万 人 558 万 人 628 万 人 972 万 人 925 万 人 500 件 944 件 ( 上 半 期 ) 0 万 人 2005 年 2006 年 2007 年 2008 年 2009 年 2010 年 2011 年 2012 年 2013 年 0 件 2014 年 75 万 人 漏 えい 人 数 インシデント 件 数 32
業 種 別 ( 件 数 / 人 数 ) 2014 年 上 期 速 報 不 動 産 業, 物 品 賃 貸 業 8 件 0.9% サービス 業 ( 他 に 分 類 されないもの) 28 件 3.0% 卸 売 業, 小 売 業 5 件 0.5% 電 気 ガス 熱 供 給 水 道 業 医 療, 福 祉 13 件 33 件 1.4% 3.5% 情 報 通 信 業 41 件 4.4% 生 活 関 連 サービス 業, 娯 楽 業 5 件 0.5% 製 造 業 13 件 1.4% 教 育, 学 習 支 援 業 129 件 13.8% 学 術 研 究, 専 門 技 術 サービス 業 19 件 2.0% 金 融 業, 保 険 業 315 件 33.7% 運 輸 業, 郵 便 業 1 件 0.1% 建 設 業 3 件 0.3% 宿 泊 業, 飲 食 サービス 業 1 件 0.1% 公 務 ( 他 に 分 類 される ものを 除 く) 321 件 34.3% 医 療, 福 祉 62,348 人 0.7% サービス 業 ( 他 に 分 類 されな いもの) 68,237 人 0.7% 教 育, 学 習 支 援 業 68,760 人 0.7% 生 活 関 連 サービス 業, 娯 楽 業 101,360 人 1.1% 公 務 ( 他 に 分 類 されるものを 除 く) 549,002 人 5.9% 運 輸 業, 郵 便 業 51,195 人 0.5% 製 造 業 47,188 人 0.5% 卸 売 業, 小 売 業 703,973 人 7.6% 金 融 業, 保 険 業 892,259 人 9.6% 不 動 産 業, 物 品 賃 貸 業 13,704 人 0.1% 建 設 業 12,491 人 0.1% 情 報 通 信 業 6,735,552 人 72.3% 学 術 研 究, 専 門 技 術 サー ビス 業 4,692 人 0.1% 宿 泊 業, 飲 食 サービス 業 321 人 0.003% 電 気 ガス 熱 供 給 水 道 業 1,461 人 0.016% 業 種 別 ( 件 数 ) 業 種 別 ( 人 数 ) 33
原 因 別 ( 件 数 / 人 数 ) 2014 年 上 期 速 報 内 部 犯 罪 内 部 不 正 行 為 11 件 1.2% 盗 難 22 件 2.3% 不 正 な 情 報 持 ち 出 し 26 件 2.8% 不 正 アクセス 30 件 3.2% 設 定 ミス 21 件 2.2% バグ セキュリティホール 3 件 0.3% 不 明 2 件 0.2% ワーム ウイルス 2 件 0.2% その 他 2 件 0.2% 設 定 ミス 53,748 人 7.2% 盗 難 13,757 人 1.8% 内 部 犯 罪 内 部 不 正 行 為 15,125 人 2.0% 不 正 な 情 報 持 ち 出 し 38,061 人 5.1% バグ セキュリティホール 459 人 0.1% 誤 操 作 8,542 人 1.1% 不 明 20 人 0.003% その 他 1 人 0.0001% ワーム ウイルス 1 人 0.0001% 管 理 ミス 200 件 21.2% 誤 操 作 268 件 28.4% 紛 失 置 忘 れ 357 件 37.8% 紛 失 置 忘 れ 91,142 人 12.2% 管 理 ミス 124,006 人 16.7% 不 正 アクセス 399,591 人 53.7% 原 因 別 ( 件 数 ) 原 因 別 ( 人 数 ) 34
経 路 別 ( 件 数 / 人 数 ) 2014 年 上 期 速 報 USB 等 可 搬 記 録 媒 体 64 件 6.8% PC 本 体 15 件 1.6% その 他 25 件 2.6% 不 明 3 件 0.3% PC 本 体 6,321 人 電 子 メール 6,961 人 その 他 2,441 人 不 明 14 人 電 子 メール 55 件 5.8% USB 等 可 搬 記 録 媒 体 109,733 人 インターネット 59 件 6.3% 紙 媒 体 133,675 人 インターネット 485,308 人 紙 媒 体 723 件 76.6% 経 路 別 ( 件 数 ) 経 路 別 ( 人 数 ) 35
2014 年 の 特 徴 個 人 情 報 漏 えい 業 種 を... 件 数 でみると 公 務 金 融 教 育 等 が 多 い 人 数 でみると 情 報 通 信 業 が 約 3/4 個 人 情 報 漏 えい 原 因 を... 件 数 でみると 紛 失 誤 操 作 管 理 ミス 等 ヒューマンエラー 関 連 が 多 い ところが 人 数 で 見 ると 不 正 アクセスが 半 数 を 占 める 個 人 情 報 漏 えい 経 路 を... 件 数 でみると 紙 媒 体 からの 漏 えいが 圧 倒 的 に 多 い 一 方 人 数 で 見 るとインターネットからの 漏 えいが 圧 倒 的 に 多 い インターネットからの 不 正 アクセスによる 情 報 漏 えいは その 影 響 が 大 きい 事 前 の 対 策 は 不 可 避 36
Agenda JNSAのご 紹 介 企 業 における 最 近 の 被 害 動 向 日 常 的 に 発 生 するサイバー 攻 撃 多 発 するリスト 型 アカウントハッキング 攻 撃 揺 らぐ 基 盤 ソフトウェアへの 信 頼 止 まらない 個 人 情 報 の 漏 えい 2013 年 情 報 セキュリティインシデントに 関 する 調 査 結 果 ~ 個 人 情 報 漏 えい 編 ~ 2014 年 上 期 情 報 セキュリティインシデントに 関 する 調 査 結 果 速 報 サイバーセキュリティ 費 用 から 投 資 へ 個 人 情 報 漏 えい 損 害 額 の 算 出 情 報 セキュリティ 市 場 規 模 の 推 定 まとめ 37
サイバーセキュリティ 費 用 から 投 資 へ 38
被 害 動 向 と 投 資 供 給 される 数 多 くの 脅 威 情 報 リスト 型 アカウント ハッキング Malware ShellShock DDoS DRDoS 不 正 アクセス 標 的 型 攻 撃 HeartBleed CSS Injection こんなに 危 ない ので 対 策 が 必 要 です! 対 策 する 価 値 がどこ まであるかわからなく ても 対 策 することで 安 心 感 は 得 られる 定 性 的 効 果 ( 費 用 )のよくあるパターン Botnet Phishing Web 改 ざん 内 部 犯 行 影 響 の 数 値 化 ~の 期 間 でいくら 損 しますよ ~の 期 間 でいくら 得 しますよ 対 策 する 価 値 があるか どうかを 合 理 的 に 判 断 自 社 の 情 報 資 産 なお 自 動 化 の 観 点 でSCAPなどセキュリティの 定 量 化 が 行 われているが ここでは 金 額 にして 示 す と 言 う 意 味 で 数 値 化 としている 定 量 的 効 果 ( 投 資 )へのチャレンジ 39
本 日 のテーマ 費 用 から 投 資 へ サイバーセキュリティ 対 策 は 費 用 が 今 までの 認 識 サイバーセキュリティ 対 策 費 は 問 題 の 発 生 予 防 や 回 復 を 目 的 とした 手 段 を 入 手 するための 支 出 でしかない ともすれば 消 極 的 にとらえられがち しかし ICTの 利 活 用 と サイバーセキュリティの 考 慮 は 切 り 離 せないのが 現 状 ICTを 利 活 用 することがこれからの 事 業 発 展 に 欠 か せないものとなっていくとするならば サイバーセキ ュリティ 対 策 も 事 業 発 展 に 欠 かせないものとなってい くのではないか 40
本 日 のテーマ 費 用 から 投 資 へ 投 資 には 将 来 的 なリターン( 利 益 )が 必 要 投 資 対 効 果 が 測 定 可 能 でなければならない 測 定 するためには 投 資 の 数 値 利 益 の 数 値 が 必 要 投 資 の 数 値 = 投 資 額 であれば 利 益 も 金 額 数 値 化 に 関 わるチャレンジ セキュリティ 対 策 で 損 害 が 軽 減 される ことによる 利 益 セキュリティ 対 策 を 販 売 する ことによる 利 益 セキュリティ 対 策 のおかげで より 売 れる ことによる 利 益 41
費 用 から 投 資 へ 個 人 情 報 漏 えい 損 害 額 の 算 出 42
セキュリティ 被 害 調 査 WGによる 損 害 額 算 出 目 的 情 報 セキュリティインシデントにおける 被 害 の 定 量 化 適 切 な 情 報 セキュリティに 対 する 投 資 判 断 投 資 対 効 果 の 提 示 企 業 における 情 報 セキュリティインシデントに 係 る 被 害 額 投 資 額 などの 実 態 をアンケートやヒアリングによって 調 査 した この 調 査 結 果 をもとに 情 報 セキュリティインシデントに 関 する 被 害 額 算 出 モデル を 策 定 一 年 間 に 報 道 された 個 人 情 報 漏 えいインシデント( 事 件 事 故 )を 調 査 分 析 し JOモデル(JNSA Damage Operation Model for Individual Information Leak) を 用 いて 想 定 損 害 賠 償 額 などを 推 定 し 報 告 書 を 公 開 情 報 セキュリティ 分 野 において 被 害 の 定 量 化 や 投 資 対 効 果 の 考 え 方 をもっと 普 及 発 展 させたい 43
想 定 損 害 賠 償 額 / 算 定 式 の 注 意 点 想 定 損 害 賠 償 額 算 定 式 は 各 組 織 が 所 有 する 個 人 情 報 の 潜 在 的 リスクを 把 握 するためのひとつの 推 定 方 法 である 保 有 する 個 人 情 報 によるリスクを 定 量 化 し 個 人 情 報 を 取 り 扱 う 組 織 のリスクを 把 握 するもの 算 定 結 果 は 対 策 するときの 判 断 材 料 とするもの 想 定 損 害 賠 償 額 は あくまでも もし 被 害 者 全 員 が 賠 償 請 求 した ら という 仮 定 に 基 づくものである 実 際 に 各 事 例 においてその 金 額 が 支 払 われたものではない 被 害 者 が 漏 えい 元 の 組 織 に 対 して 請 求 できる 損 害 賠 償 額 を 示 したものではない 44
参 考 : 個 人 情 報 価 値 の 算 出 式 漏 洩 個 人 情 報 価 値 = 基 礎 情 報 価 値 機 微 情 報 度 本 人 特 定 容 易 度 基 礎 情 報 価 値 : =500 2003 年 6 月 L 社 カードの 会 員 56 万 人 の 個 人 情 報 が 漏 えい 同 社 は115 万 人 全 員 に 謝 罪 文 と 商 品 券 500 円 分 を 郵 送 した これ により 1 人 あたり500 円 の 謝 金 を 配 る とする 対 応 が 増 えた 機 微 情 報 度 : 漏 洩 した 個 人 情 報 に 含 まれる 機 微 情 報 の 量 機 微 情 報 度 =(10 x-1 +5 y-1 ) Simple-EP 図 上 の 個 人 情 報 の 座 標 値 (x,y)より x = 漏 洩 した 情 報 の 精 神 的 苦 痛 レベルの 最 大 値 y = 経 済 的 損 失 レベルの 最 大 値 本 人 特 定 容 易 度 : 漏 洩 した 個 人 情 報 からの 個 人 特 定 しやすさ 判 定 基 準 個 人 を 簡 単 に 特 定 可 能 氏 名 住 所 が 含 まれること 本 人 特 定 容 易 度 コストを 掛 ければ 個 人 が 特 定 できる 氏 名 または 住 所 + 電 話 番 号 が 含 まれること 3 特 定 困 難 上 記 以 外 1 6 45
参 考 :Simple-EP 図 ( 評 価 尺 度 を3 段 階 へ) 個 人 情 報 の 価 値 の 評 価 尺 度 を3 段 階 とし 基 準 判 断 を 容 易 にしよう! y 経 済 的 損 失 =1~30 万 円 機 微 情 報 度 5 0 ~5 2 経 済 的 損 失 レベル =(10 x-1 +5 y-1 ) 10 0 ~10 2 精 神 的 苦 痛 =1~100 万 円 3 2 1 口 座 番 号 & 暗 証 番 号, クジットカード 番 号, カード 有 効 期 限, 銀 行 のアカウント/ パスワード パスポート 情 報, 購 入 記 録, ISPのアカ ウント/パスワード 氏 名, 住 所, 生 年 月 日, 性 別, 金 融 機 関 名, 住 民 票 コード, メールアドレス, 健 康 保 険 証 番 号, 年 金 証 書 番 号, 免 許 証 番 号, 社 員 番 号, 会 員 番 号, 電 話 番 号, ハ ンドル 名, 健 康 保 険 証 情 報, 年 金 証 書 情 報, 介 護 保 険 証 情 報, 会 社 名, 学 校 名, 役 職, 職 業, 職 種, 身 長, 体 重, 血 液 型, 身 体 特 性, 写 真 ( 肖 像 ), 音 声, 声 紋, 体 力 診 断 遺 言 書 年 収 年 収 区 分, 資 産, 建 物, 土 地, 残 高, 借 金, 所 得, 借 り 入 れ 記 録 健 康 診 断, 心 理 テスト, 性 格 判 断, 妊 娠 歴, 手 術 歴, 看 護 記 録, 検 査 記 録, 身 体 障 害 者 手 帳, DNA, 病 歴, 治 療 法, 指 紋, レセプト, ス リーサイズ, 人 種, 地 方 なまり, 国 籍, 趣 味, 特 技, 嗜 好, 民 族, 日 記, 賞 罰, 職 歴, 学 歴, 成 績, 試 験 得 点, メー ル 内 容, 位 置 情 報 Simple-EP 図 前 科 前 歴, 犯 罪 歴, 与 信 ブラックリスト 加 盟 政 党, 政 治 的 見 解, 加 盟 労 働 組 合, 信 条, 思 想, 宗 教, 信 仰, 本 籍, 病 状, カルテ, 痴 呆 症, 身 体 障 害, 知 的 障 害, 精 神 的 障 害, 保 有 感 染 症, 性 癖, 性 生 活 1 2 3 精 神 的 苦 痛 レベル X 46
参 考 : 想 定 損 害 賠 償 額 の 算 定 式 (JOモデル) 式 や 判 定 基 準 表 を 用 いて 計 算 式 への 代 入 値 を 求 めやすく 損 害 賠 償 額 = 漏 洩 個 人 情 報 価 値 社 会 的 責 任 度 事 後 対 応 評 価 =( 基 礎 情 報 価 値 機 微 情 報 度 本 人 特 定 容 易 度 ) 社 会 的 責 任 度 事 後 対 応 評 価 基 礎 情 報 価 値 を 一 律 500 円 (ポイント)と 定 義 = 基 礎 情 報 価 値 [500] 機 微 情 報 度 [Max(10 x-1 +5 y-1 )] 本 人 特 定 容 易 度 [6,3,1] 社 会 的 責 任 度 [2,1] 事 後 対 応 評 価 [2,1] 判 定 基 準 適 切 な 対 応 不 適 切 な 対 応 不 明 そ の 他 事 後 対 応 評 価 1 2 1 一 般 よ り 高 い 一 般 的 適 正 な 取 扱 い を 確 保 す べ き 個 別 分 野 の 業 種 ( 医 療 金 融 信 用 情 報 通 信 等 ) お よ び 知 名 度 の 高 い 大 企 業 公 的 機 関 そ の 他 一 般 的 な 企 業 お よ び 団 体 組 織 判 定 基 準 機 微 情 報 度 =(10 x -1 +5 y -1 ) x = 漏 洩 し た 情 報 の 精 神 的 苦 痛 レ ベ ル の 最 大 値 y = 経 済 的 損 失 レ ベ ル の 最 大 値 判 定 基 準 本 人 特 定 容 易 度 個 人 を 簡 単 に 特 定 可 能 氏 名 住 所 が 含 ま れ る こ と 6 社 会 的 責 任 度 コ ス ト を 掛 け れ ば 個 人 が 特 定 で き る 氏 名 ま た は 住 所 + 電 話 番 号 が 含 ま れ る こ と 3 2 特 定 困 難 上 記 以 外 1 1 47
参 考 : 想 定 損 害 賠 償 算 定 の 全 体 像 経 済 的 損 失 y EP 図 判 定 基 準 表 経 済 的 情 報 基 本 情 報 プライバシー 情 報 精 神 的 苦 痛 X 一 般 的 損 害 賠 償 額 =( 基 礎 情 報 価 値 機 微 情 報 度 本 人 特 定 容 易 度 ) 情 報 漏 洩 元 組 織 の 社 会 的 責 任 度 事 後 対 応 評 価 適 正 な 取 扱 いを 確 保 すべき 個 別 分 野 の 業 種 一 般 より ( 医 療 金 融 信 用 情 報 通 信 等 )および 知 名 高 い 2 度 の 高 い 大 企 業 公 的 機 関 判 定 基 準 = 基 礎 情 報 価 値 [500] 機 微 情 報 度 [Max(10 x-1 +5 y-1 )] 本 人 特 定 容 易 度 [6, 3, 1] 社 会 的 責 任 度 [2, 1] 事 後 対 応 評 価 [2, 1] 判 定 基 準 その 他 一 般 的 な 企 業 および 団 体 組 織 適 切 な 対 応 1 不 適 切 な 対 応 不 明 その 他 事 後 対 応 評 価 判 定 基 準 個 人 を 簡 1 単 に 特 定 可 能 氏 名 住 所 が 含 まれること コストを 掛 ければ 個 人 が 特 定 でき る 氏 名 または 住 所 + 電 話 番 号 が 含 まれること 2 特 定 困 難 上 記 以 外 漏 洩 組 織 の 対 応 を 評 価 社 会 的 責 任 度 6 3 1 1 本 人 特 定 容 易 度 個 人 情 報 の 基 本 的 な 価 値 を 算 出 48
2013 年 個 人 情 報 漏 えいインシデント 期 間 :2013 年 1 月 1~12 月 31 日 ( 12ヶ 月 分 ) インターネットニュースなどで 報 道 されたインシデントの 記 事 組 織 からリリースされたインシデントの 公 表 記 事 などをもとに 集 計 2013 年 データ 2012 年 データ 漏 えい 人 数 925 万 4513 人 972 万 65 人 漏 えい 件 数 1388 件 2357 件 想 定 損 害 賠 償 総 額 1438 億 7184 万 円 2132 億 6405 万 円 一 件 当 たりの 漏 えい 人 数 7027 人 4245 人 一 件 当 たり 平 均 想 定 損 害 賠 償 額 1 億 924 万 円 9313 万 円 一 人 当 たり 平 均 想 定 損 害 賠 償 額 2 万 7707 円 4 万 4628 円 49
2014 年 上 期 個 人 情 報 漏 えいインシデント 報 告 書 はJNSAホームページで 公 開 予 定 期 間 :2014 年 1 月 1~6 月 30 日 ( 6ヶ 月 分 速 報 値 のため 修 正 される 場 合 有 り) インターネットニュースなどで 報 道 されたインシデントの 記 事 組 織 からリリースされたインシデントの 公 表 記 事 などをもとに 集 計 2014 年 上 半 期 2013 年 データ 漏 えい 人 数 74 万 4453 人 925 万 4513 人 漏 えい 件 数 944 件 1388 件 想 定 損 害 賠 償 総 額 245 億 8688 万 円 1438 億 7184 万 円 一 件 当 たりの 漏 えい 人 数 823 人 7027 人 一 件 当 たり 平 均 想 定 損 害 賠 償 額 2726 万 円 1 億 924 万 円 一 人 当 たり 平 均 想 定 損 害 賠 償 額 4 万 9715 円 2 万 7707 円 50
費 用 から 投 資 へ 情 報 セキュリティ 市 場 規 模 の 推 定 51
本 日 のテーマ 費 用 から 投 資 へ 投 資 には 将 来 的 なリターン( 利 益 )が 必 要 投 資 対 効 果 が 測 定 可 能 でなければならない 測 定 するためには 投 資 の 数 値 利 益 の 数 値 が 必 要 投 資 の 数 値 = 投 資 額 であれば 利 益 も 金 額 セキュリティ 数 値 化 に 関 わるチャレンジ セキュリティ 対 策 で 損 害 が 軽 減 される ことによる 利 益 セキュリティ 対 策 を 販 売 する ことによる 利 益 セキュリティ 対 策 のおかげで より 売 れる ことによる 利 益 52
セキュリティ 市 場 調 査 WGによる 市 場 規 模 推 定 過 去 10 年 間 の 調 査 の 蓄 積 + 新 規 参 入 撤 退 などの 変 化 入 札 による 個 社 別 売 上 データの 購 入 今 日 の 段 階 推 定 値 検 討 会 調 査 結 果 5 月 今 年 度 の 調 査 : 調 査 活 動 期 間 : 2014 年 6 月 ~( 現 在 も 進 行 中 本 日 は 速 報 値 ) 調 査 方 法 :アンケート 調 査 はしない( 回 収 率 が 悪 く 参 考 にならない) 各 種 統 計 調 査 資 料 の 参 照 企 業 の 事 業 概 要 規 模 推 定 ( 対 象 数 :470 505 社 ) 検 討 会 :WGメンバー 情 報 や 公 開 情 報 を 元 にデータ 修 正 対 象 期 間 :2012, 2013 年 度 実 績 2014 年 度 見 込 み 2015 年 度 予 測 53
市 場 区 分 の 定 義 セ キ ュ リ テ ィ ツ ー ル セ キ ュ リ テ ィ サ ー ビ ス 統 合 型 アプライアンス ネットワーク 脅 威 対 策 製 品 コンテンツセキュリティ 対 策 製 品 アイデンティティ アクセス 管 理 製 品 システムセキュリティ 管 理 製 品 暗 号 製 品 情 報 セキュリティコンサルテーション セキュアシステム 構 築 サービス セキュリティ 運 用 管 理 サービス 情 報 セキュリティ 教 育 情 報 セキュリティ 保 険 FW IDS ウイルス 対 策 等 複 数 機 能 を 持 ったアプライアンス FW IDS/IPS VPN アプリケーションファイアウォール ウイルス 対 策 スパム 対 策 URLフィルタ メールフィルタ DLP 等 認 証 ログオン 管 理 アクセス 許 可 PKI 製 品 セキュリティ 情 報 統 合 管 理 ポリシー アクティビティ 管 理 ツール 脆 弱 性 検 査 ツール 等 暗 号 化 製 品 暗 号 モジュール ポリシー 構 築 監 査 診 断 等 セキュリティ 管 理 全 般 コンサルティン グ 規 格 認 証 取 得 支 援 サービス ITセキュリティの 設 計 導 入 製 品 選 定 支 援 等 マネージドサービス(ITセキュリティの 監 視 運 用 支 援 ) プロ フェッショナルサービス 電 子 認 証 サービス 等 教 育 実 施 コンテンツ 提 供 教 育 ASP 資 格 認 定 等 情 報 セキュリティおよびITセキュリティ 保 険 54
サイバーセキュリティ 製 品 サービス 市 場 市 場 規 模 推 移 1,000,000 900,000 800,000 700,000 600,000 500,000 400,000 300,000 200,000 100,000 0 2008/9 リーマンショック 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 売 上 高 実 績 推 定 値 3 2 8 5 億 円 3 6 5 6 億 円 報 告 書 はJNSAホームページで 公 開 予 定 7770 億 円 3 8 4 9 億 円 見 込 み 4 0 5 億 円 予 想 値 4 2 4 8 億 円 サービス ツール 55
国 内 情 報 セキュリティツール 市 場 推 移 4,141 億 円 ツール 全 体 で2012 年 から 7.6%の 伸 び 伸 率 が 高 かったカテゴリ は システムセキュリティ 管 理 製 品 と 暗 号 化 製 品 情 報 漏 えい 対 策 強 化 の 結 果 と 推 測 される 56
情 報 セキュリティサービス 市 場 推 移 3,628 億 円 前 年 比 4.7% 伸 び3628 億 円 システム 構 築 サービスが 最 大 標 的 型 攻 撃 対 策 などで 需 要 が 伸 びた スマートデバイスを 用 いた 社 内 システム 運 用 の 需 要 情 報 漏 えい 対 策 景 気 回 復 が 後 押 していると 思 われる 情 報 セキュリティコンサル テーション セキュアシステム 構 築 サービ ス セキュリティ 運 用 管 理 サービ ス 情 報 セキュリティ 教 育 情 報 セキュリティ 保 険 0 500 1,000 1,500 億 円 702 727 763 801 1,389 1,449 1,032 1,094 1,206 1,278 266 270 280 294 76 89 99 106 2012 年 度 2013 年 度 2014 年 度 2015 年 度 57
参 考 :クラウドセキュリティ 対 策 サービス Category 1: Identity and Access Management Category 2: Data Loss Prevention Category 3: Web Security Category 4: Email Security Category 5: Security Assessments Category 6: Intrusion Management Category 7: Security Information and Event Management (SIEM) Category 8: Encryption Category 9: Business Continuity and Disaster Recovery Category 10: Network Security https://cloudsecurityalliance.org/research/secaas/ より 引 用 58
まとめ 59
まとめ ICTの 利 用 が 広 がるとともに 攻 撃 の 対 象 範 囲 も 拡 大 リスト 型 アカウントハッキングや 暗 号 化 プロトコルの 問 題 は 広 く 影 響 ネットを 使 った 不 正 アクセスによる 大 規 模 な 情 報 漏 えい 攻 撃 対 象 は 幅 広 く サポート 期 間 はより 長 くなる 傾 向 ICTを 生 かした 事 業 運 営 とサイバーセキュリティは 一 心 同 体 脅 威 情 報 や 被 害 動 向 だけ 見 ていても 事 業 とはつながらない 事 業 戦 略 とサイバーセキュリティを 一 体 化 して 考 える そのためには 重 要 な 一 要 素 である 数 値 化 投 資 対 効 果 測 定 に 参 考 となる(かもしれない) 被 害 額 算 定 市 場 規 模 推 定 を 紹 介 サイバーセキュリティを 投 資 としてとらえるためにはまだまだ 情 報 手 法 が 不 足 している( 確 立 されていない)ことは 大 きな 課 題 だが 誰 かが 解 決 してくれることを 待 っていられるほど 余 裕 のある 状 況 でもない 続 きはパネルディスカッションで 60
御 清 聴 ありがとうございました 61