日本企業がとるべきサイバーセキュリティ戦略

1

© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

日本企業がとるべきサイバーセキュリティ戦略日本ヒューレット･パッカード株式会社

テクノロジーコンサルティング事業統括エンタープライズアーキテクト

藤田政士 / 22 July 2015

#HPWorldTour

© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 2

Agenda

はじめに

1. ICT利用領域の拡大とサイバーセキュリティのリスク

2. 新しい脅威への対応

3. サイバーセキュリティのリスクとコストのマネジメント

4. まとめ

モバイル～ソーシャル～IoTと、ICTの利用が広がり、セキュリティ対応は新しい次元に入りました。

変革の時代にリスクとコストをどうマネージしていくべきか、企業セキュリティ戦略として実例を含め解説します。

2


はじめに

• 近年、ICTの利用において、スマートフォンやSNS利用の拡大、モノのInternet等が話題になっているが、“便利さ”の進歩は、必ず新たなリスクを生み出す。

• 特にサイバーセキュリティについては、攻撃の動機や手法も高度化･多様化(標的型攻撃、APTなど)し、攻撃(脅威)対象は、既存のICT機器から、モバイル～装置系までに拡大し、そのリスクも従来とは比較にならない程、大きなものになろうとしている。

• さらに、Black Marketの形成による、攻撃に関する情報の取引に

より、サイバーセキュリティにおいては、完璧な防御を前提とした対応を行うことは困難になってきている。（水際防御→深層防御）

• 今、必要なことは、従来型の技術対策だけではなく、

事故・事件が発生することを前提とした、予算方式や組織構成を含めたセキュリティ戦略の全般的かつ長期的な見直しである。（ビジネス課題）

“便利さ”の進歩には、必ず新たなリスクが伴う

サイバー攻撃の高度化･多様化、リスクの巨大化

完璧な防御は困難

水際防御から深層防御へ

予算方式や組織構成を含めたセキュリティ戦略の

見直しが必要


1.0 ICTの利用領域の拡大とサイバーセキュリティのリスク

3


1.0 ITの利用方式の変革：拡がり続ける ITの利用企業の生産性向上から人の生活の向上、そして豊かな社会の実現に向けて変化

New Style of Business 個人+社会+企業+機器

2020

モビリティクラウドソーシャルビッグデータ

次世代の社会

高度成長

メインフレーム

オートメーション

商用コンピュ―タの進化

企業での利用

1960

PC・インターネット個人＋企業での利用

1980 2000

E-コマース

リアルタイム

便利な生活


1.1 個人×社会×企業×機器 ICTエリアの拡大

個人の能力拡大、個人の社会への働きかけ、企業の利用、機器の接続

つながるものの多さ

データ量の多さと重要度の増大

サービスの多様化

• いつでも、どこでも、個々人が利用 (Smart Device)

• 通信能力の向上、通信コストの低下

• ヒト意外の通信：M2M (Machine to Machine)、IoT (Internet of Things)

• 個人 x 機器 x サービス (PC：3億台、Smart Device 10憶台、センサ100億～)

→膨大なデータ(Big Data：2.5エクサ・バイト/Day、40ヶ月で倍)

• 個人情報のデジタル・データ化

→IDデータ(マイナンバー等)、位置データ、医療、センサーデータ

• 個人向け各種アプリ/ゲーム、位置サービス

• ソーシャル・サービス

• マイナンバー、オープン・データ、IoT

4


1.2 201X年代のセキュリティ IT利用の拡大(目的・用途)→ 犯罪の対象に→ セキュリティリスクの増大

なくならない脆弱性 • 年間8000件超の新たな脆弱性報告 • 攻撃者のBlack Marketが存在

(10兆円規模!?)

時間との戦い • 対策前に攻撃Toolが出現 • 時間差を突く攻撃(ゼロ・ディ攻撃)

防御対象の拡大 • 個人/業務兼用利用(BYOD)機器の増大

(従来型の防御壁型対応が困難) • 通信機能をもつすべての機器が対象

愉快犯から国家レベルの攻撃者まで • 動機の多様化

(なんでもあり)

• 攻撃目標の拡大 (個人～国家)

• 攻撃手法の高度化 (執拗、悪質)

→標的型攻撃、 APT(Advanced Persistent Threat)、のっとり型(Ransomware)

果てしなく続く攻撃攻撃者の増大と目的の多様化


ハッカー

コンペチター

組織犯罪

国家

内部

知識

悪名 (Notoriety)

利益

不平・苦情

競合優位性

情報の収集

地政学的対立

ウイルス・ワーム

ボットネット

E-mail

Website

USB

直接攻撃

情報漏えい

インスタントメッセージ

DoS攻撃

情報資産

顧客機密情報

個人情報

システム/データの可用性

不正

信頼性

ブランド価値

物理的損害

APTs

Hacktivist

テロリスト

1.3 多様化するセキュリティ攻撃とリスク Source

(攻撃者) Motivation

(動機) Attack Vectors

(攻撃方法) Risks

5


1.4 新たなリスクの時代の始まり標的型攻撃とAPT(Advanced Persistent Threat)

標的型攻撃 (Targeted Attack)

• 不特定多数ではなく、特定の個人や組織を狙った攻撃

• 攻撃者も、動機(Motivation)、攻撃方法も様々なものがある

APT (Advanced Persistent Threat)

• 標的型攻撃の中の一つで、

多様、かつ、高度な攻撃手法を複合的に用い、執拗に長い時間をかけて目的を達成しようとするもの


Continuity

自然災害: 火災､洪水､悪天候

Availability

構成ミス

電力･ネットワーク障害ソフトウェア障害

ハードウェア障害

計画停止アプリケーション障害

1.5 ITのセキュリティリスクの増大

Security

セキュリティ侵害: ハッカー、0-Day攻撃

サービス停止の攻撃(DoS)

ウィルス攻撃内部者の不正行為

標的型攻撃:テロ､悪意のある攻撃

発生頻度 Low High

インパクト

High

Low

標的型/APTの登場により、 ITセキュリティリスクが増大 →新しい“経営課題”の登場

6


ブラックマーケット






1.6 攻撃のライフサイクルとBlack Market

Research potential targets

Research

リサーチ

Data sold on black market

Monetization

現金化

Phishing attack and malware

Infiltration

侵入

Mapping breached environment

Discovery

探索

Obtain data

Capture

搾取 Exfiltrate/destroy

stolen data

Exfiltration

退却


質問① サイバーセキュリティリスクのリテラシー

IT担当部門以外の社員は、

｢標的型攻撃｣の存在や、その攻撃方法を理解しているか？

• 経営者は？

• 社員は？

｢標的型攻撃｣や｢APT｣を受けた場合の組織的対応が準備され、関係者間で同意されているか？

• 対応に伴う、ICTの利用制限や、復帰までの時間や手続きは理解されているか？

• 経営者、広報、法務間等のリスクコミュニケーションは十分か？

7


2.0 新しい脅威への対応


2.0 変化の時代のセキュリティ戦略新しい時代には、新しい考え方(フレームワーク/戦略)が必要

企業での利用 1960~1980年

個人＋企業での利用 1980~2000年

個人＋企業＋社会＋機器 2000～2020年

環境利用は企業内 (社内不正、産業スパイ)

企業内、企業間 PC、Internetでの利用 (ハッカーの登場)

企業内、企業間、Internet、Web、Smart Device、Cloud、Social、M2M、IoT (Black Marketの存在)

セキュリティアーキテクチャ

対象：端末、ホスト対象：PC、サーバ、NW 対象：モバイル、PC、サーバ、NW、機器

物理セキュリティアクセスセキュリティ

物理セキュリティ境界セキュリティ(NW) アクセスセキュリティ

物理・境界(NW)・アクセス・エンドポイント・セキュリティ(多層防御)＋インシデント管理(プロアクティブ監視)

セキュリティガバナンス

戦略特になし (IT内戦略) 全社セキュリティ戦略セキュリティ・フレームワーク

規則アクセスルールポリシー(ルール)、セキュリティ教育

ポリシー、セキュリティ教育、リスク管理、インテリジェンス

対象 IT部門、IT利用者全社員、パートナー、Net顧客全社員、パートナー、Net顧客、Net接続機器

サイバーセキュリティの「”黒い”マーケット」が存在する今日、従来型対応には限界

→より柔軟かつ包括的な“セキュリティ戦略”や“セキュリティフレームワーク”が必要

8


2.1 経営課題としてのリスク対応①

ICT(Internet)を利用する場合には、常に攻撃への防御を考える → ICTセキュリティリスクの無い会社はない!

現在の ICT/Internet(Cyber Space)環境は･･･

攻撃防御 Internetの利用には常にリスクが存在 →経営課題であり、ビジネス・リスクとして対応する

→ 技術の進歩や攻撃手法の多様化が進み、 “これでOK”という防御策はない。継続的に、できる限りのリスク対応を行っておく必要がある

• 対処療法ではなく、長期的視野でのリスク対応の予算化が必要

• 恒常的な組織(機能)による対応と人材の育成が必要

• ビジネス部門とのガバナンス/プロセスの見直しも必要

国も本格的に対応を開始！法律も体制も準備。

企業が対応するのはいつ!?


2.2 経営課題としてのリスク対応②

悪意のある執拗な攻撃を受けるという前提ではないため、防御が弱い

• 重要データが隔離/暗号化されていない

• 適切なSecurity Patchがなされていない

• Updateするには膨大なテストが必要だが、そんな時間もお金もない

• 装置系はIT部門の管轄外

ゼロ・ディ攻撃の多発や標的型/APT攻撃は、既存のITにとっては、“想定外”の事件。このような攻撃を想定していないシステムや環境での対応には膨大なコストがかかる。

システム/データ保全の概念が大きく変化

• 漏洩や破壊だけでなく、使用不能にする攻撃が存在 (DoS攻撃、破壊、乗っ取り)

• クラウドではセキュリティ対応を他人に委ねるリスクが存在 (不正コピーや不完全消去)

• 多重防御の考え方で、複数の防御策を講じる

平和な時代に作られたシステム群 (Cyberspaceはもはや“擬似戦争”状態)

新たな脅威の登場と対象拡大長期的視野に立ったIT利用戦略立案の必要性

9


2.3 サイバーリスク対処方式の見直し

自社(組織)がターゲットになった場合を想定

• 意図(悪意)を持った攻撃を考慮する

防御範囲の拡大 (対象、期間)

• 外部接続機器･サービスだけでなく、内部の設備･装置系も防御対象へ

• “今”だけでなく、長い時間軸での対応が必要

【過去】 – すでに侵入されているかもしれない – 残存している過去の脆弱性

(古いほど弱い)

【未来】 – 内部への侵入を想定した対応システムの拡大 – 包括的かつ長期的な計画の立案

損害の最小化

• すべてを回避する水際防御から、ある部分が破られても、損害を最小化する深層防御へ

– 執拗で、長期間の攻撃に耐えられる環境の構築

– 個々の防御壁が破られても影響を受けない多重防御

– 発生時の対応準備

標的型/APTも想定した対処方式へ水際防御から深層防御へ


質問② サイバーセキュリティリスクのリテラシー

自社が個人情報(マイナンバー含む)をどれくらい持っていて、万が一、漏洩した場合のコストはいくらかかるかを理解しているか？

• 経営～一般社員、パートナーの理解は？

サイバーセキュリティリスク対応の予算化のルールは決まっているか？

• IT予算におけるサイバーセキュリティの扱いは決まっているか？

10


3.0 サイバーセキュリティリスクとコストのマネージメント


3.0 短期的対策、中期的対策、長期的対策

セキュリティリスクの評価 • 標的型攻撃やAPTを意識した脅威と脆弱性の把握

• 現状での対応レベルの確認 (何ができ、何ができていないか、対応の優先順位の決定)

短期

中期

長期

プロセス/アーキテクチャの見直し (整合化) • ガバナンス/プロセスの見直し

• アーキテクチャの見直し、脆弱点の徹底強化 (対応ロードマップ作成)

組織化と予算化 (経営課題としての取り組み) • 経営陣・事業部門を巻き込んだ組織･体制づくり

• 人材育成と継続的な教育の実施

• 長期での対応予算の編成

11


3.1 企業毎に異なるセキュリティ対応企業環境やIT環境により個別のセキュリティ強化策が必要

前提条件、環境 ToBe Model 対応と考慮点

人員 (リテラシー)

• 現場と経営陣のセキュリティ・リテラシー

• 事故時の対応の準備 • リスクコミュニケーションの理解

• 最新の脅威・対応の理解 • 事故対応の訓練 • リスクコミュニケーションの

確立(体制の確立)

継続的な教育・訓練の実施必須：半期毎程度での教育

(現場スタッフ～経営陣) 推奨：各種訓練、

リハーサル実施

ビジネスモデル • ビジネスで利用する重要情報の種類と量

• 個人情報の所有と利用の状況

• セキュリティリスクを考慮した予算化 (ICT対策コスト、保険)

ビジネスモデルの見直し (便益とコスト評価)

必須：ビジネスリスク理解推奨：セキュリティ保険

アプリケーション • 重要データの分離と隔離 • 開発時対応、暗号化、ハッシング • 脆弱性排除のレベル

(Update/Patch)

• アプリケーションでのセキュリティ対応実施

• 最新Patchの適用

アプリケーションの見直しと改良(時間とコスト大)

必須：最新Patchの適応推奨：開発時のチエック

ICTインフラ • セキュリティアーキテクチャ (物理、境界、アクセス、エンドポイント、監視)の完成度

• 多重かつ多層防御 • プロアクティブ監視(自動) • セキュリティ

インテリジェンス(予測、AI)

Weak Pointの継続強化を実施(弱点を補完)

必須：障害検知推奨：ログ監視範囲拡大、

自動化、AI化


3.2 リスク対応へのアプローチ

臨時予算ではなく、継続的な予算化 (攻撃は永遠に続き、ICTは日々変化→弱いところを強化、しかし時間がかかる)

• 脆弱性評価により、分野毎で優先順位をつけ対応を粘り強く続けていく • 防御策が出来てもすぐに陳腐化する危険性大 • 古い(平和な時代の)システムの積極的な刷新

ビジネス課題として予算化

相互牽制や監査の

導入、教育とリスクコミュニケーション

方式の確立

所有の見直し、

保険等の利用

プロセス(ガバナンス)強化と教育への投資

• 職務分掌や複数Check、抜き打ち監査等の徹底

• 教育・トレーニングの継続的な実施 (経営陣を含む全社員・パートナー！)

• リスクコミュニケーション方式の確認とシュミレーションの実施 (最初の48時間)

他のアプローチの検討 (防御に失敗し、大きな損害が予想される場合)

• 大量の個人情報漏洩の場合では莫大なコストが発生 (データ所有の意義確認)

• 保険もリスクヘッジの一方法ではあるが、条件や制限に留意

12


3.3 Case Study：あなたの会社は大丈夫か？日本の企業ITセキュリティの弱点

データ/システム・オーナの役割分担や、ログの監

視方式が曖昧で、悪意により、情報が持ち出される危険性が高い状態だった。

リスクコミュニケーション不足で、セキュリティインシデント発生時のシステム･オーナ部門への連絡が出来ず、被害が拡大。

最新Patchが義務付けられていたのは、Internetに直

接接続されているシステムのみで、内部システムには古いVersionが多数存在。全システムの最新化には膨大な時間とコストがかかることが判明。

1. 個人情報を多数扱っているが、サーバの管理が不十分であり、特権権限を利用した内部不正の発生を防げないという指摘を受けた。

2. 最新の侵入検知システムにより悪意ある攻撃を検知したが、検知した時間が連休中の深夜だったため、関連(事業)部門への連絡がつかず、システム停止の判断が出来ず、攻撃を受けてしまった。

3. 念のためInternetへの出口をモニターしたところ、

定期的に外部に情報を発信している社内の古いサーバを発見。侵入の疑いのある対象が数百ある全内部システムに広がりパニックに。


3.4 リスク対応とコスト

IT予算の5%をサイバーセキュリティ対応として継続的に予算化

• 優先順位を考え、中長期的な視点で順次改善を行う • ブリッジソリューションの利用も重要

(IDSの導入やアクセスログの監視)

ツールの導入だけが回答ではない。地道な対応策を

確実に実施しているか？

教育と訓練の実施、リスクコミュニケーション

(経営～現場)

複雑かつ膨大なシステム群を1日で改善することは

出来ない。時間をかけて改善する。

古典的な複数者対応、ログの相互監視、不定期な抜き打ち監査は今でも有効

• ツールありきではなく、リスクを防ぐ様々な統制を確実に実施する (特に内部不正)

• 当たり前のことが出来ていないシステムが多数存在 (特権IDの管理等)

防ぐ教育だけでなく、発生時の対応も教育し、訓練を行う

• 業務によっては、BCPのリハーサルよりも必要性大 • 標的型やAPTでの各フェーズでの“症状”と“対処” • リスクコミュニケーション方式を現場から経営陣まで

徹底して確認しておく

13


3.5 必要なIT機能(組織) 包括的ｱﾌﾟﾛｰﾁ : 全ITﾗｲﾌｻｲｸﾙ､全ITﾌﾟﾛｾｽ、ｱﾌﾟﾘ～ｲﾝﾌﾗ全般を対象に

標的型/APT攻撃に対応するためには、対処療法ではなく、包括的な対応が必須(組織および企業能力が問われている)

Client/PC Security Server Security

Governance & Process

Application Security

Data Security

Network Security

Security Tools & Services

統制方式、ITプロセス (教育、コミュニケーションを含む)

アプリケーション対応(開発時)

暗号化、配置、ルール化

堅牢化、侵入検知

入口/出口対応

提供すべきサービス


3.6 ﾘｽｸへの対処方法: ﾘｽｸ移転としての保険の利用発生可能性と影響度に基づく処理方法の選択

基本形Ⅰ

• セキュリティ保険もセキュリティリスク移転の選択肢の一つ • 個人情報漏洩等の対応策は経済的損害の“低減”につながる

2要素(影響度と発生可能性) の変化バランスを考慮

回避：リスクを発生させる原因を避ける

共有(移転)：リスクの一部を他者に転嫁あるいは共有し、リスク発生の可能性や影響度の低減を図る

低減：リスクの発生可能性、影響度の両方または一方について低減を図る

受容：リスクの発生可能性または影響度に影響を与える行動を取らない (リスクの発生を受容する)

高

低

低

高

影響度

発生可能性

低減共有

(移転)

回避受容

影響度 × 発生可能性

基本形Ⅱ

高

低

高

影響度

発生可能性低

受容

低減

回避

共有 (移転)

14


4.0 まとめ


まとめ

• 便利になれば、その代償がある

• 「“黒い”市場」により、攻撃者の拡大と優位が続く

• サイバーセキュリティのコストは、ITの事件･事故対応の時だけの特別コストではなく、継続的なビジネスコストである

• 個人情報等を大量に扱う場合は、リスクヘッジのコストを考慮した上でビジネスを考える

• 保険も選択肢の一つ

• 完全防御は不可能と考え、深層防御や被害の最小化を考慮し、教育からインフラ更新まで包括的な視点で、時間をかけて弱点を補強していく

15


攻撃のﾗｲﾌｻｲｸﾙへの備え: HP Security Solutions

Research

Research Potential Targets

Monetization

Data sold on black market

Infiltration

Phishing Attack and Malware

Discovery

Mapping Breached Environment

Capture

Obtain data

Exfiltration

Exfiltrate/destroy Stolen data

Block adversary

• HP TippingPoint

• HP Fortify

Detect adversary

• HP ArcSight

• Vertica

Protect data

• HP Atalla

• HP Voltage

Mitigate damage

• HP Breach Response Services

Threat intelligence

• HP security research

HP managed security customers 900+

HP Secured User Accounts 47m

HP Security Professionals 5000+

All major branches US Department of Defense

9 out of 10 Top software companies

10 out of 10 Top telecoms

9 out of 10 Major banks

HP Security's industry leading scale

Monthly security events

23bn

16


Thank You

日本企業がとるべきサイバーセキュリティ戦略

Technology

Transcript of 日本企業がとるべきサイバーセキュリティ戦略

日本企業がとるべき サイバーセキュリティ戦略

Technology

Transcript of 日本企業がとるべき サイバーセキュリティ戦略

日本企業がとるべきサイバーセキュリティ戦略

Transcript of 日本企業がとるべきサイバーセキュリティ戦略