NTTコミュニケーションズの サイバーセキュリティ 対 策 の 取 り 組 み NTTコミュニケーションズ 株 式 会 社 セキュリティ エバンジェリスト 小 山 覚 2016 年 2 月 10 日
目 次 1. セキュリティ 脅 威 の 動 向 2. サイバー 攻 撃 を 契 機 とした セキュリ ティ リスクマネジメントの 見 直 し 3. 体 制 強 化 の 取 り 組 み 記 載 されている 会 社 名 や 製 品 名 は 各 社 の 商 標 または 登 録 商 標 です 2
1. セキュリティ 脅 威 の 動 向 3
WORLD ECONOMIC FORUM Global Risks 2016 重 要 情 報 インフラの 故 障 サイバー 攻 撃 サイバー 攻 撃 の 発 生 す る 可 能 性 が 拡 大 重 要 情 報 インフラの 故 障 による 影 響 度 が 拡 大 IoT 普 及 拡 大 によりリス クは 更 に 増 加 する 懸 念 グローバルリスク 報 告 書 は 全 世 界 及 び 全 産 業 界 に 対 して 重 大 な 悪 影 響 を 及 ぼす 可 能 性 のあるものとして 抽 出 した31のリスクに 関 する 今 後 10 年 間 の 展 望 について 世 界 各 地 の700 名 以 上 の 専 門 家 に 対 する 調 査 結 果 を 取 りまとめたもの 出 典 :World Economic Forum 2016 Insight Report The Global Risks Report 2016 11 th Edition http://www.weforum.org/reports/the-global-risks-report-2016 4
社 会 インフラ 制 御 系 システムの 脅 威 動 向 最 先 端 / 軍 需 産 業 27% 65 件 エネルギー ( 電 力 ガス) 32% 79 件 ( 報 告 件 数 245 件 ) 通 信 14.6% 商 業 施 設 7.3% 化 学 4.2% その 他 6.2% 水 道 14.6% 交 通 12.5% 原 子 力 6.2% IT 5.2% 医 療 15.6% 政 府 機 関 15.6% 金 融 3.1% 農 業 2.1% ( 出 典 )ICS-CERT Year in Review 2014 https://ics-cert.us-cert.gov/sites/default/files/documents/year_in_review_fy2014_final.pdf 5
社 会 インフラに 対 するサイバー 攻 撃 のリスク( 事 例 ) 交 通 標 識 が ゴジラ 襲 来 と 警 告 米 国 でハッキング 被 害 2014 年 06 月 9 日 14:38 JST http://jp.reuters.com/articleoddlyenoughnewsidjpkbn0ek0a020140609 6
IP cameras: Japan 無 防 備 なWebカメラの 監 視 画 像 を 見 せるInsecam 1... 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45... 1154 Watch Panasonic camera in Japan Shibuya-Ku Watch Panasonic camera in Japan Inazawa Watch Panasonic camera in Japan Osaka Watch Panasonic camera in Japan Numazu Watch Panasonic camera in Japan Obu Watch Panasonic camera in Japan Takamatsu
企業を取り巻く脅威の概要 公開サイトのセキュリティ対策 基幹系システム群 問い合わせ対応 報告 分析など USB USB 社内LAN 標的型攻撃対策 ダウンロード情報管理 C&C 95/552件
2. サイバー 攻 撃 を 契 機 とした セキュリ ティ リスクマネジメントの 見 直 し 9
2013 年 7 月 23 日 400 万 件 の 顧 客 情 報 が 流 出 10
セキュリティリスクマネジメントの 見 直 し セキュリティリスクマネジメントの 欠 如 が 露 呈 全 社 ITシステム 等 を 徹 底 調 査 し セキュリティリ スク 低 減 策 を 講 じるとともに お 客 様 に 提 供 する 全 サービス 全 システムにおけ る 統 一 したルールや 体 制 を 整 備 ITシステムの 全 社 管 理 とセキュリティリスクマネ ジメントの 新 たな 業 務 運 営 プロセスを 確 立 11
7 項 目 の 見 直 しを 実 施 全 社 ITシステムのセキュリティリスク 低 減 策 1. 全 社 ITシステム 等 の 調 査 2. ITシステムのソフトウェア 脆 弱 性 解 消 の 対 応 策 3. セキュリティ 強 化 策 セキュリティリスクマネジメントの 新 たな 業 務 運 営 プロセス 4. 全 社 ITシステムの 管 理 方 針 を 改 めて 策 定 5. ソフトウェア 脆 弱 性 発 覚 時 の 対 応 6. ソフトウェア 脆 弱 性 発 覚 時 の 対 応 訓 練 7. 規 程 / 約 款 の 改 定 12
3.セキュリティ 強 化 策 の 徹 底 セキュリティ 対 策 の 適 用 基 準 を 定 め 調 査 で 洗 い 出 され たグローバルIPアドレス 保 有 システムに 適 用 情 報 システムの 種 別 FW IDS IPS Email Web ウィルス 対 策 WAF VM セキュリティ ( 仮 想 ハ ッチ) プロファ イリング リアルタ イムマル ウェア 検 知 脆 弱 性 診 断 NW Web リスク アセス メント 公 開 シ ス テ ム WebAPを 保 有 上 記 以 外 (メール 等 ) インターネットGWを 有 するシステム 社 内 に 閉 じたシステム WAF:Web Application Firewall F5 BIG-IP Application Security Manager(ASM) 等 13
4. 全 社 ITシステムの 管 理 方 針 を 改 めて 策 定 全 ITシステムを 一 元 管 理 する 方 針 を 定 め 正 確 な 構 成 管 理 とセキュリティレベル 担 保 のためのプロセスを 策 定 課 題 対 応 方 針 システム 情 報 の 一 元 化 タイムリーな 情 報 更 新 脆 弱 性 情 報 に 対 する 迅 速 で 確 実 な 対 応 ルール 化 サービス 開 発 判 断 システム 投 資 判 断 時 に 情 報 登 録 脆 弱 性 対 応 状 況 の 登 録 を 義 務 化 システム 化 ( 情 報 セキュリティ 管 理 プラットフォー/ISMP) システム 構 成 情 報 管 理 の 徹 底 システムの 標 準 化 全 社 のガバナンス 強 化 ソフトウェア 脆 弱 性 への 対 応 はISMPでモニタリング ITシステムのハードウェアやOS 等 を 標 準 化 14
脆弱性マネジメントシステム ISMP の利用を徹底 従来のシステム管理台帳を廃止し 脆弱性マネジメントシステムに一本化 より簡易に抜け漏れなく ガバナンス強化を実現 ISMP 情報システム Information Security Management Platform システム情報登録 システム名 用途 IP OS/AP等 サービス提供 対策実施 診断結果と脆弱性情報 に基づく対策実施 脆弱性診断 定期 随時 当該システムに影響する脆弱性 情報を抽出 自動通知 特徴1 警報配信 CSIRT 特徴2 登録システム全体の脆弱性 対策状況を管理 ボトムラインを可視化 脆弱性対応状況管理 脆弱性対策実施の計画と実績管理 システム管理者 脆弱性診断結果に基づく対 策実施計画と実施状況を一 元管理 CISO 15
当 社 のリスクマネジメントフレームワーク サービス 開 始 前 に2 回 チェック 拡 張 / 最 適 化 企 画 / 設 計 開 発 判 断 開 発 / 構 築 提 供 判 断 脆 弱 性 診 断 運 用 インシデント レスキュー サービス リスク 評 価 / 分 析 セキュリティ 対 策 導 入 脆 弱 性 管 理 シス テムに 情 報 登 録 脆 弱 性 対 策 脆 弱 性 情 報 システムIDを 発 行 しトレース ( 物 品 調 達 時 もID) カスタムシグニ チャの 提 供 成 否 の50%は 運 用,30%はしくみ,20%はシステム 16
bash 脆 弱 性 (ShellShock) 対 応 状 況 独 自 にカスタムシグニチャを 作 成 し 対 策 実 施 9/25( 木 ) 26( 金 ) 27( 土 ) 28( 日 ) 29( 月 ) 0:00 1 脆 弱 性 公 開 15:00 11:00 パッチ 提 供 2 脆 弱 性 公 開 2パッチ 提 供 ( 修 正 もれ) IPS WAF A 製 品 B 製 品 C 製 品 D 製 品 9/25 13:00 作 成 9/25 13:00 作 成 9/25 18:30 作 成 45.5 時 間 28.5 時 間 9/25 22:00 作 成 9/27 10:30 公 式 提 供 9/26 17:30 公 式 提 供 87.5 時 間 9/29 10:00 公 式 提 供 17
bash 脆 弱 性 (ShellShock) 対 応 状 況 B 社 メーカーシグネチャ リリース A 社 メーカーシグネチャ リリース NTT Com カスタムシグネチャ リリース 4500 件 以 上 の 攻 撃 を 検 知 防 御 18
脆弱性マネジメントシステム ISMP 危険な脆弱性情報に対応し①脅威通知メールを自動送信し管理者や利用者に注意喚起を行う ②脆弱性スキャナーを装備し円滑な③脆弱性対策と④全体進捗管理が可能 ①脅威通知メール 公開情報調査 非公式情報含む ④全体進捗管理 攻撃情報 ハッカー サイト 調査 CISO 責任者 S+ はサービス停止勧告!! 脆弱性情報 分析官 脆弱性マネジメントシステム 脅威通知メール 各種ベンダ 情報A アラート通知 システム 脆弱性情報 収集システム 各種ベンダ 情報B 自動収集 IoTベンダ 情報 システム情報登録 脆弱性情報 DB 脆弱性 スキャナー 管理対象システム システム情報 DB 市販 脆弱性情報 管理者 脆弱性あり!! ②脆弱性調査 ③脆弱性対策
3. 体 制 強 化 の 取 り 組 み 回 らないPDCAと 使 えないCIAとの 格 闘 20
情 報 セキュリティ 部 (CSIRT) 発 足 CSIRT サイバー セキュリティ 対 策 Computer Security Incident Response Team Check Do Action Plan 情 報 セキュリティ マネジメント 21
いま 風 のセキュリティ 対 策 の 基 本 Confidentiality Integrity Availability 情 報 データ NW システム C 機 密 性 認 められた 者 だけが 情 報 にアクセスできる システムや 情 報 への 攻 撃 を 検 知 防 御 する 多 層 防 護 I 完 全 性 情 報 が 破 壊 改 ざん 又 は 消 去 されていない 連 携 するシステム 間 で 首 尾 一 貫 したセキュリティ 水 準 を 保 つ A 可 用 性 必 要 時 に 情 報 資 産 に アクセスできる 必 要 時 に 場 所 を 選 ばず システムや 情 報 にアクセスできる 利 便 性
情 報 セキュリティの 方 程 式 脆 弱 性 (セキュリティホール) 対 策 の 徹 底 ~ 人 システム 運 用 制 度 企 業 文 化 ~ 1テクノロジー セキュリティ レベル = ( 新 技 術 の 導 入 ) 2オペレーション ( 監 視 運 用 社 員 教 育 ) 3ユーザビリティ ( 利 便 性 自 由 度 ) お 客 さまや 社 内 外 からの よろず 相 談 や 協 力 要 請 をお 待 ちしてます! 23
ご 清 聴 ありがとうございました 24