サイバーセキュリティへの進化 KPMG コンサルティング株式会社 田口篤 2014 年 11 月 13 日
1. サイバーセキュリティの定義は確立されていない サイバーセキュリティ基本法案など 都道府県警察 警視庁ホームページなど サイバーセキュリティ サイバー犯罪 サイバー攻撃 外部からの脅威サイバー空間の話高度なハッキング技術明確な犯意 etc なんとなくのイメージ サイバーテロ 防衛省ホームページなど サイバーテロ対策協議会 ( 警視庁 ) 情報通信ネットワーク安全 信頼性基準 ( 総務省 ) など member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 1
2. 情報セキュリティ上の脅威の変遷 ~2004 ~2006 ~2009 2010~ 時代背景 Stage1 Stage2 Stage3 Stage4 インターネット接続の広がり 企業における PC の浸透 (1 人 1 台 ) 業務のシステム化率上昇 システムの多様化 複雑化 主な脅威 ウイルス ハッキング等の外部脅威 メール誤送信 紛失 設定ミス等の内部エラー 盗用 売買等の内部不正 入念な準備に基づき特定ターゲットに攻撃 ( 外部脅威 ) 脅威の主体 主な目的 外部内部 ( 過失 ) 内部 ( 故意 ) 外部 いたずら ( ミス エラー ) 金銭多種多様 主な対策 F/W ウイルス対策ソフト等のツール 教育 啓発 ISMS 等の内部管理の仕組み 内部性悪説を前提とした対応 標的型攻撃を前提とした新たな対応 Stage1 との相違点 : 外部脅威のプロ化 多様化 member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 2
3. 多様化する攻撃者と攻撃目的 サイバーセキュリティの本質は多様化する攻撃者と攻撃目的を理解し 自社に迫る脅威を的確に把握すること Individual Hacker 技術スキルの誇示が目的 Web 改ざんなど Stage1 The Activist (Hacktivist) 業務妨害や評判へのダメージが目的 サービス停止など Organized Crime 金銭的利益が目的 フィッシング 詐取など Nation States (Government) 地政学的 経済的優位性の獲得が目的 スパイ 機密漏えいなど Stage4 プロ化 多様化 特定組織を明確な目的を持って攻撃 技術の高度化 (Social+ Technical) Insider Stage2 & 3 member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 3
4. 企業が取り組むべき事項 これまでの情報セキュリティの取組みを最新のサイバー攻撃に対応できるように進化させる 1 2 3 4 Crown Jewelの特定リスクシナリオの検討突破されることを前提とした対策の導入インテリジェンス機能の導入による継続的な学習 member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 4
5.1Crown Jewel の特定 /2 リスクシナリオの検討 自社にとっての Crown Jewel は何か 機密情報の範囲が広すぎる 管理側の都合で対象外にされているものがある ( 例 : 制御系システム グループ会社 ) 外部から見たときに本当に魅力的なものは何か? 誰から狙われているのか? なぜ狙われているのか? 何を狙われているのか? どうやって攻撃されるか? 誰が なぜ 何を どうやって 会社によって狙われる理由は千差万別 自社固有のリスクシナリオが必要 member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 5
6. 自社はサイバー攻撃のターゲットとして魅力的か? 全くそう思わない 8% 非常にそう思う 6% どちらかといえばそう思わない 37% どちらかといえばそう思う 19% どちらともいえない 30% KPMG サイバーセキュリティサーベイ 2013 より上場企業 売上高 500 億円以上の未上場企業 308 社回答 member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 6
7.3 突破されることを前提とした対策の導入 100% 完璧な防御はない だから... ( これまで ) セキュリティに過度のコストをかけるのはやめよう ( これから ) Fail Safe 思想の導入と Detect & Response の充実 3 3 のマスを埋める設計 Prevention Detection Response Management & Organization 管理体制 ( 責任と権限 ) の整備 24 時間 365 日体制の危機管理体制 フォレンジックスキルの活用 Process シミュレーション定期的な侵入テスト インシデントの究明 追跡手続 インシデントレスポンスプラン Technology 十分なデスクトップセキュリティ機能ネットワークのセグメンテーション 重要なイベントのログ収集機能セントラルモニタリング機能 攻撃下での IT サービス遮断機能 member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 7
8.4 インテリジェンス機能の導入による継続的な学習 サイバーインテリジェンス機能とは セキュリティに関するさまざまな情報を収集 分析し 自社への影響を評価することによって サイバー攻撃の予兆を捉えプロアクティブに対応することを目的とした機能 収集 分析対象となる情報の例 - 日々 発見 報告されるシステムの脆弱性に関する情報 - 自社サイトの監視状況 - セキュリティに関する事件 事故情報 - 海外を含む同業種に対するサイバー攻撃の情報 - アンダーグラウンド情報 - 自社のインシデント情報など 情報収集力と学習機能をもつことが最良の対応手段 member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 8
9. サイバーセキュリティに関する誤解 IT のテクニカルな話でユーザー部門には関係ない? 自社はハッカーには狙われない? セキュリティ認証をとっているので対策としては十分? 誤解 最高クラスの IT システムに投資していればサイバーセキュリティは安全に保たれる サイバー攻撃から自社を守るためには こちらも高度なスキルをもった専門家を雇わなければならない サイバーセキュリティに関するさまざまなガイドラインに準拠していくことが最良の対応手段である 実際 攻撃側は一番弱いところを狙ってくる目的達成のためなら手段はオンラインに限定されない サイバーセキュリティは特別なスキルを持った専門家集団だけで達成されるわけではない サイバーセキュリティのリスクは各社各様標準的なルールセットだけでは対応しきれない member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 9
10.KPMG サイバーセキュリティサービス KPMG では昨今のサイバー攻撃の脅威の高まりに伴い 2013 年より以下のサービスを提供しています member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 10
お問合せ先パートナー田口篤 KPMGコンサルティング株式会社 TEL : 03-3548-5305( 代表 ) kpmg.com/jp/kc 無断転写禁止 ここに記載されている情報はあくまで一般的なものであり 特定の個人や組織が置かれている状況に対応するものではありません 私たちは 的確な情報をタイムリーに提供するよう努めておりますが 情報を受け取られた時点及びそれ以降においての正確さは保証の限りではありません 何らかの行動を取られる場合は ここにある情報のみを根拠とせず プロフェッショナルが特定の状況を綿密に調査した上で提案する適切なアドバイスをもとにご判断ください 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.