企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝

24.672 visualizaciones

Publicado el

昨今、被害が急増している標的型サイバー攻撃への対策を講ずることは重要なことですが、一方で企業をとりまくセキュリティ脅威は外部だけでなく、内部にも存在します。企業ICT環境のリスクマネジメントを3つの視点で見直し、有効な管理策や技術的な対策、監視方法についてご紹介します。

Publicado en: Tecnología
0 comentarios
2 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
24.672
En SlideShare
0
De insertados
0
Número de insertados
18.257
Acciones
Compartido
0
Descargas
20
Comentarios
0
Recomendaciones
2
Insertados 0
No insertados

No hay notas en la diapositiva.

企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝

  1. 1. Copyright © NTT Communications Corporation. All rights reserved. 企業ICTのリスクマネジメントを 強化する3つの視点 NTTコミュニケーションズ株式会社 経営企画部マネージドセキュリティサービス推進室 セキュリティ・エバンジェリスト, CISSP 竹内文孝 2015年10月8日
  2. 2. Copyright © NTT Communications Corporation. All rights reserved.
  3. 3. Copyright © NTT Communications Corporation. All rights reserved. 標的型メールによるサイバー攻撃の事例 3 C&Cサーバ (※1) ①標的にマルウェアを 侵入させる ③新たなマルウェア をダウンロード ④外部から端末を 遠隔操作 攻撃者 バックドア 標的企業 ⑥攻撃命令と、それに基 づく情報漏えいなど ⑤侵入範囲を拡大、 目標 の情報資産に到達 マルウェア 配布サイト (※1)Command&Controlサーバ: 攻撃者がマルウェアに指令を送り、 制御するためのサーバ ②マルウェアに感染 FW,IPS,proxy, etc・・・ AS,AV, etc・・・ 4,906件 356種類 10.1% 39件 170億件 53日間のログ量
  4. 4. Copyright © NTT Communications Corporation. All rights reserved. 日本が標的に!?「Blue Termite」の脅威 4 日本国内の組織を標的としたBlue Termiteが日本全国で猛威をふるっており、これまでに少なくとも300 組織でインシデント発生! 攻撃手法や被害規模ともにこれまでとはレベルの異なる脅威で現在も進行中!! 被害状況 攻撃手法 攻撃者像 外部からの通報で発覚し、その時点で感染から2~3ヶ月以上経過。 数十台規模のPCが感染し、イントラ内のサーバーまで侵入。 社員情報やメール等の探索行為が多く、特に経営層は執拗に攻撃。 マニュアル操作による適応的な手段で既存のセキュリティ対策を回避。 個別C&Cサーバを用意するなどブラックリスト化を回避。 平日9時~19時に活動し、正常トラフィックに紛れて攻撃。 豊富な資金をもつ組織が戦略性の高い作戦に従事。 特徴的な言語の形跡が所々見受けられる。 機密情報や金銭が目的ではなく、日本人の名寄せ情報を収集。 真の目的 は何か? (仮説)現段階は情報収集フェーズ。 真の攻撃はこれから・・・ 災害対策と同様に 危機管理の観点で セキュリティ対策 の投資が必要
  5. 5. Copyright © NTT Communications Corporation. All rights reserved. インシデント発生要因から見える課題 5 (出典:PwC「相互につながった世界におけるサイバーリスクマネジメント グローバル情報セキュリティ調査2015」) 以前の委託業者 わからない 委託業者 ハッカー 退職者 現行の従業員 27% 11% 18% 5% 8% 43%18% 18% 15% 24% 30% 35% 日本(n=206)グローバル(n=9,329) ①原因究明できてない ⇒ 潜在リスクを放置 以前の委託業者 わからない 委託業者 ハッカー 退職者 現行の従業員 27% 11% 18% 5% 8% 43%18% 18% 15% 24% 30% 35% 日本(n=206)グローバル(n=9,329)
  6. 6. Copyright © NTT Communications Corporation. All rights reserved. インシデント発生要因から見える課題 6 (出典:PwC「相互につながった世界におけるサイバーリスクマネジメント グローバル情報セキュリティ調査2015」) ②内部関係者が51% ⇒ 内部不正は経営責任 以前の委託業者 わからない 委託業者 ハッカー 退職者 現行の従業員 27% 11% 18% 5% 8% 43%18% 18% 15% 24% 30% 35% 日本(n=206)グローバル(n=9,329)
  7. 7. Copyright © NTT Communications Corporation. All rights reserved. 7 企業ICTのセキュリティリスク(振り返り) 日本を狙う 標的型攻撃 企業ICT環境に潜伏 する脅威とリスク 既存対策 を回避する 攻撃 経営層を 狙う執拗な 攻撃 戦略的で 適応的な 攻撃 潜伏 活動ウイルス 侵入 感染 ウイルス 巧妙化 悪質化 豊富な資金源 を持つ組織 内部 不正 バックドア から不正 アクセス 情報 漏洩
  8. 8. Copyright © NTT Communications Corporation. All rights reserved.
  9. 9. Copyright © NTT Communications Corporation. All rights reserved. リスクマネジメントの強化ポイント “1.2.3.” 9 「企業価値向上」 「社会的責任」 の達成!! ■株式市場の高評価と ブランド価値向上 ■事故時のネガティブな 反応の抑制 等 +1.持続可能なリスクマネジメント フレームワークの導入 2.インシデント対応 ライフサイクルの強化 3.グローバル環境下の情報 セキュリティガバナンスの導入 標的型攻撃は企業ICTの 弱点を突いて戦略的に 作戦を実行する 社内体制 の整備 Step 1 実行レベ ルの強化 Step 2 グループ全体 の底上げ Step 3 情 報 資 産 を 守 る 経 営 を 守 る CSIRT 経営 子会社 取引先 他 CSIRT 情シス 事業部
  10. 10. Copyright © NTT Communications Corporation. All rights reserved. 持続可能なリスクマネジメントフレームワークの導入 10 1 情報セキュリティとリスクマネジメント活動をシステムライフサイクルに組み込み構造化 【参考文書】 Copyright(c)2011 IPA NIST(米国国立標準技術研究所) Special Publication 800-37 「連邦政府情報システムに対するリスクマネジメントフレーム ワーク適用ガイド」より抜粋 投資効果 の評価 投資効果 の指標 企画 設計 開発 構築 運用 改善 step1 分類 Step2 選択 Step3 実施 Step4 評価 Step5 認可 Step6 監視 リスクアセスメント セキュリティ 対策の決定 システム監査 脆弱性診断 パッチ管理 イベント監視 インシデント レスポンス 再発防止策 の展開
  11. 11. Copyright © NTT Communications Corporation. All rights reserved. インシデント対応ライフサイクルの強化 11 2 ウイルスは既存対策を回避して 侵入し水面下で攻撃を実行する インシデントを前提とした対策と その実行力の強化が求められる! 【準備】 ・プロセスの整備 ・人の体制化 ・技術の導入 【事故後の活動】 ・事故全容の把握 ・コストの把握 ・再発防止策の立案 【検知と分析】 ・前兆を知る ・兆候を掴む ・攻撃を把握する 【封込、根絶、復旧】 ・封じ込めの実行 ・感染源の識別と駆除 ・封じ込めの解除 有事の際の体制強化 *出典:NIST (National Institute of Standards and Technology)発行「Guide to Malware Incident Prevention and Handling」(マルウェアによるインシデントの防止と対応のためのガイド)の「Figure 4-1. Incident Response Life Cycle」 (インシデント対応のライフサイクル)
  12. 12. Copyright © NTT Communications Corporation. All rights reserved. 12 グローバル環境下の情報セキュリティガバナンスの導入3 グローバル基準の共通管理策 全世界で適用される基本となるセキュリティ対策基準、グローバル基準 ローカル基準の 固有管理策 情報システム‘A’ ローカル基準の 固有管理策 情報システム‘Z’ ハイブリッド 管理策 ハイブリッド 管理策 各国、地域の法制や習慣、またシステム固有の特徴等を加味したローカル基準 RMF 一般的な管理策のグローバル展開 共通的なセキュ リティポリシー の策定と配布 ポリシーに基づ く拠点毎の対策 実装と運用 グローバル基準は費用対効果と一貫性を向上させリスクマネジメント活動を単純化 ローカル基準は各国規制や慣習、システム固有の特徴を補完 グローバル基準とローカル基準のハイブリッド型で高品質かつ低コストを両立 <一般的な現状課題> ・システム管理者のスキル ・導入対策のスペック ・運用プロセス ・システム利用者のモラル ハイブリッド型 セキュリティ対策ポリシーの展開 グローバル 基準 ローカル 基準 共通 ポリシー 北米 ポリシー 欧州 ポリシー APAC ポリシー 日本 ポリシー さらに、グローバル環境で 対策レベルを統制するには 【IT基盤や体制の共通化、統合化】 ・セキュリティ機能が充実した クラウドサービスの利用 ・セキュリティ機能が充実した ネットワークサービスの利用 利害関係者 方向付け モニタリング 評価 報告
  13. 13. Copyright © NTT Communications Corporation. All rights reserved. 13 グローバル環境下の情報セキュリティガバナンスの導入3 グローバル基準の共通管理策 全世界で適用される基本となるセキュリティ対策基準、グローバル基準 ローカル基準の 固有管理策 情報システム‘A’ ローカル基準の 固有管理策 情報システム‘Z’ ハイブリッド 管理策 ハイブリッド 管理策 各国、地域の法制や習慣、またシステム固有の特徴等を加味したローカル基準 RMF グローバル基準は費用対効果と一貫性を向上させリスクマネジメント活動を単純化 ローカル基準は各国規制や慣習、システム固有の特徴を補完 グローバル基準とローカル基準のハイブリッド型で高品質かつ低コストを両立
  14. 14. Copyright © NTT Communications Corporation. All rights reserved. 14 グローバル環境下の情報セキュリティガバナンスの導入3 グローバル基準の共通管理策 全世界で適用される基本となるセキュリティ対策基準、グローバル基準 ローカル基準の 固有管理策 情報システム‘A’ ローカル基準の 固有管理策 情報システム‘Z’ ハイブリッド 管理策 ハイブリッド 管理策 各国、地域の法制や習慣、またシステム固有の特徴等を加味したローカル基準 RMF 一般的な管理策のグローバル展開 共通的なセキュ リティポリシー の策定と配布 ポリシーに基づ く拠点毎の対策 実装と運用 グローバル基準は費用対効果と一貫性を向上させリスクマネジメント活動を単純化 ローカル基準は各国規制や慣習、システム固有の特徴を補完 グローバル基準とローカル基準のハイブリッド型で高品質かつ低コストを両立
  15. 15. Copyright © NTT Communications Corporation. All rights reserved. 15 グローバル環境下の情報セキュリティガバナンスの導入3 グローバル基準の共通管理策 全世界で適用される基本となるセキュリティ対策基準、グローバル基準 ローカル基準の 固有管理策 情報システム‘A’ ローカル基準の 固有管理策 情報システム‘Z’ ハイブリッド 管理策 ハイブリッド 管理策 各国、地域の法制や習慣、またシステム固有の特徴等を加味したローカル基準 RMF 一般的な管理策のグローバル展開 共通的なセキュ リティポリシー の策定と配布 ポリシーに基づ く拠点毎の対策 実装と運用 グローバル基準は費用対効果と一貫性を向上させリスクマネジメント活動を単純化 ローカル基準は各国規制や慣習、システム固有の特徴を補完 グローバル基準とローカル基準のハイブリッド型で高品質かつ低コストを両立 <一般的な現状課題> ・システム管理者のスキル ・導入対策のスペック ・運用プロセス ・システム利用者のモラル
  16. 16. Copyright © NTT Communications Corporation. All rights reserved. 16 グローバル環境下の情報セキュリティガバナンスの導入3 グローバル基準の共通管理策 全世界で適用される基本となるセキュリティ対策基準、グローバル基準 ローカル基準の 固有管理策 情報システム‘A’ ローカル基準の 固有管理策 情報システム‘Z’ ハイブリッド 管理策 ハイブリッド 管理策 各国、地域の法制や習慣、またシステム固有の特徴等を加味したローカル基準 RMF 一般的な管理策のグローバル展開 共通的なセキュ リティポリシー の策定と配布 ポリシーに基づ く拠点毎の対策 実装と運用 グローバル基準は費用対効果と一貫性を向上させリスクマネジメント活動を単純化 ローカル基準は各国規制や慣習、システム固有の特徴を補完 グローバル基準とローカル基準のハイブリッド型で高品質かつ低コストを両立 <一般的な現状課題> ・システム管理者のスキル ・導入対策のスペック ・運用プロセス ・システム利用者のモラル ハイブリッド型 セキュリティ対策ポリシーの展開 グローバル 基準 ローカル 基準 共通 ポリシー 北米 ポリシー 欧州 ポリシー APAC ポリシー 日本 ポリシー
  17. 17. Copyright © NTT Communications Corporation. All rights reserved. 17 グローバル環境下の情報セキュリティガバナンスの導入3 グローバル基準の共通管理策 全世界で適用される基本となるセキュリティ対策基準、グローバル基準 ローカル基準の 固有管理策 情報システム‘A’ ローカル基準の 固有管理策 情報システム‘Z’ ハイブリッド 管理策 ハイブリッド 管理策 各国、地域の法制や習慣、またシステム固有の特徴等を加味したローカル基準 RMF 一般的な管理策のグローバル展開 共通的なセキュ リティポリシー の策定と配布 ポリシーに基づ く拠点毎の対策 実装と運用 グローバル基準は費用対効果と一貫性を向上させリスクマネジメント活動を単純化 ローカル基準は各国規制や慣習、システム固有の特徴を補完 グローバル基準とローカル基準のハイブリッド型で高品質かつ低コストを両立 <一般的な現状課題> ・システム管理者のスキル ・導入対策のスペック ・運用プロセス ・システム利用者のモラル ハイブリッド型 セキュリティ対策ポリシーの展開 グローバル 基準 ローカル 基準 共通 ポリシー 北米 ポリシー 欧州 ポリシー APAC ポリシー 日本 ポリシー さらに、グローバル環境で 対策レベルを統制するには 【IT基盤や体制の共通化、統合化】 ・セキュリティ機能が充実した クラウドサービスの利用 ・セキュリティ機能が充実した ネットワークサービスの利用
  18. 18. Copyright © NTT Communications Corporation. All rights reserved.
  19. 19. Copyright © NTT Communications Corporation. All rights reserved. NTTコムの総合リスクマネジメントメニュー 19 プロフェッショナルサービス セキュリティ対策機器/ソフトウェ アの導入サービス マネージドセキュリティサービス 持 続 可 能 案 リ ス ク マ ネ ジ メ ン ト フ レ ー ム ワ ー ク の 導 入 イ ン シ デ ン ト 対 応 ラ イ フ サ イ ク ル の 強 化 グ ロ ー バ ル 環 境 下 の 情 報 セ キ ュ リ テ ィ ガ バ ナ ン ス 導 入 1 2 3
  20. 20. Copyright © NTT Communications Corporation. All rights reserved. プロフェッショナルサービスのメニュー 20 ◆ 25年にわたる豊富な経験と実績(8000件以上) メニュー 対策概要 コンサル ティング グローバル コンサルティング Global Enterprise Methodology (GEM)に基づくグローバル企業向けコンサルティング、 情報セキュリティマネジメント第三者評価 セキュリティポリシー作成支援 情報セキュリティポリシー基本方針、対策基準、対策手順までの作成を支援 システムリスクアセスメント/ セキュアプランニング支援 ITシステムセキュリティのベストプラクティスとのギャップ分析によるリスク評価 効果的なセキュリティ対策の計画立案を支援 CSIRT/SOC構築支援 インシデントレスポンス体制整備およびSOC構築支援 レスキュー 総合インシデントレスポンス 緊急事態にプロフェッショナルエンジニアが 調査・分析を実施初動対応、調査分析、改善提案まで提供 インシデント初動対応パック 情報の整理、事象の把握と調査、被害の拡大防止までを実施 脆弱性診断 プラットフォーム脆弱性診断 OSやミドルウェアなどの脆弱性を検出、リスクを可視化 Webアプリケーション脆弱性診断 Webアプリケーションの脆弱性を検出、リスクを可視化 脆弱性マネ ジメント セルフ脆弱性診断 脆弱性診断~対策管理までを定期的・継続的にお客さま自身で行う環境を提供 総合脆弱性マネジメント CSIRT向け管理/統制支援 (システム情報管理、脆弱性検出/通知、対策/リスク管理機能をお客さま専用基盤として 提供)
  21. 21. Copyright © NTT Communications Corporation. All rights reserved. 既知の脅威を境 界で検知/防御 します! 標的型攻撃からICT環境を守る多層防御と連携防御 グローバル共通 脅威対策 個社別脅威対策 潜伏型脅威対策 入口 出口 未知の脅威を精 密検査で検知/ 通知します! 端末に潜伏した 脅威を封じ込め、 根絶します! ログ 収集 分析 通知 対処 お客様ICT環境 GROC Global Risk Operation Center 21
  22. 22. Copyright © NTT Communications Corporation. All rights reserved. マネージドセキュリティサービスのメニュー グローバル 共通脅威 対策 個社別 脅威対策 潜伏型 脅威対策 ・インターネットと社内ネットワーク、重要セグメントの境界で、既に 認識されているウイルスや攻撃手法など既知の脅威を検知/防御。 ・監視対象システムの特徴に応じて監視ポリシーチューニングを行い誤 検知ならびに対応コストを低減。 ・最新の脅威情報に基づいてカスタムシグニチャを迅速、的確に作成/ 適用し、セキュリティ製品の効果を最大限に発揮。 ・標的型攻撃など「グローバル共通脅威対策」で防御できない未知の脅 威を検知/通知。検知した脅威は分析し個社別の兆候情報として収集。 ・メール添付やWebダウンロードにより侵入した悪性ファイル等を仮想 環境で精密検査しリアルタイムに検知/通知。 ・ICT環境から生成される各種ログを独自開発SIEMと24h×365dアナ リストが分析し、異常な振る舞いや不正アクセスを可視化。 ・個社別に収集した兆候情報を既存セキュリティ対策に展開し連携防御。 ・上記対策を回避、または持ち込まれてサーバやPC端末などに到達/潜 伏したウイルス等の挙動を検知し、封じ込め、ログ収集を遠隔制御。 ・被害端末のログを分析し攻撃内容の詳細を把握。その情報をもとに同 事象の端末を探索し2次感染ならびに拡散を防止。 ・「個社別脅威対策」をご利用の場合、個社別に収集した兆候情報を活 用し潜伏した脅威を探索。 ■ネットワークセキュリティ ・Firewall ・IPS/IDS ■コンテンツセキュリティ ・Email-Anti-Virus ・Web-Anti-Virus ・URL Filtering ・Application Filtering ■リアルタイムマルウェア検知 ・RTMD Web/Email (On site) ・Cloud base RTMD ■CLA (非セキュリティ機器との相関 分析) ■End Point Threat Protection ・Analysis & Blocking ・Validation & Isolation 22
  23. 23. Copyright © NTT Communications Corporation. All rights reserved. 23 ご清聴ありがとうございました。 本セミナーで ご紹介しましたサービスは 「 WideAngle マネージドセキュリティサービス」 です。 ぜひ展示エリアにお越しください。 印の場所に展示しています。

×