企業を悩ます最近のセキュリティ事情 2015年4月21日 トレンドマイクロ株式会社 小屋 晋吾 日本でも世界でも支持される セキュリティのリーディングカンパニー VISION A World Safe for Exchanging Digital Information デジタル情報を安全に交換できる世界 創業 : 1988年 本社 : 東京 従業員数(全世界)※ : 5,217名 売上高※ : 1,083億1,400万円 ※ 2013年12月時点 エバ・チェン 大三川 彰彦 会社創設者 兼 CEO 取締役副社長 日本地域担当 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 1 日本でも世界でも支持される セキュリティのリーディングカンパニー 国内シェア No.1 ※ サーバセキュリティ、クラウドセキュリティ 世界シェア No.1 コンシューマ向け製品 サーバセキュリティ 47.9% 27.0% 企業向け製品 (ゲートウェイ) 55.9% 企業向け製品 (サーバ/クライアント/その他) 55.2% ※ 出典 富士キメラ総研 「2012ネットワークセキュリティビジネス調査総覧(上巻)」 ウイルス対策ツール 2011年度実績値 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 2011年企業向けエンドポイントサーバセキュリティ 世界売上金シェア Source: IDC Worldwide Endpoint Security 2012-2016 Forecast And 2011 Vendor Shares, doc #235930, July 2012 クラウドセキュリティ 13-17% 2010年クラウドセキュリティソフトウェア市場 世界売上金シェア Source: 2012 Technavio – Global Cloud Security Software Market 2 Agenda 標的型攻撃 内部犯行 人材育成 その他 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 3 標的型攻撃 2015年版 10大脅威(IPA公開情報より) 第1位 オンラインバンキングやクレジットカード情報の不正利用 第2位 内部不正による情報漏えい 第3位 標的型攻撃による諜報活動 第4位 ウェブサービスへの不正ログイン 第5位 ウェブサービスからの顧客情報の窃取 第6位 ハッカー集団によるサイバーテロ 第7位 ウェブサイトの改ざん 第8位 インターネット基盤技術の悪用 第9位 脆弱性公表に伴う攻撃の発生 第10位 悪意のあるスマートフォンアプリ ※赤字:標的型攻撃と直接的・間接的に関連がある脅威 参照:情報セキュリティ10大脅威 2015(2015年2月6日) https://www.ipa.go.jp/security/vuln/10threats2015.html Copyright © 2015 Trend Micro Incorporated. All rights reserved. 5 規模・業種を問わない標的型サイバー攻撃 • 標的型サイバー攻撃の共通点 – 法人が持つ「個人情報」が標的に – 組織内部に「遠隔操作ツール」が仕掛けられている 2014年標的型サイバー攻撃事例 時期 業種 2014年2月 大学(米国) 2014年2月 出版・通販(日本) 従業員数 漏えい情報 約9,000名 約29万件の学生、職員の個人情報 約270名 約1,160件の顧客情報 2014年5月 オークション(米国) 約18,000名 約1億4,500万人分の顧客情報 2014年7月 製造(日本) 約430名 約6万2,000件の顧客情報 2014年8月 小売(日本) 約170名 約900件の顧客情報 2014年8月 医療(米国) 約90,000名 約450万人分の患者情報 2014年9月 大学(米国) 約3,000名 約4,000名の学生の個人情報 2014年9月 航空(日本) 約10,000名 約19万件の顧客情報 2014年10月 金融(米国) 約260,000名 約8,300万人分の顧客情報 2014年11月 郵便(米国) 約800,000名 職員・顧客情報 2014年12月 マスコミ(日本) 約1,600名 約1万7,000件の個人情報 2014年公表情報をもとにトレンドマイクロ調べ Copyright © 2015 Trend Micro Incorporated. All rights reserved. 6 規模・業種を問わない標的型サイバー攻撃 • 標的型サイバー攻撃と考えられるケースが増加 • 規模・業種問わず遠隔操作ツールを確認 国内法人からの解析依頼のうち、遠隔操作ツールが確認されたケースの割合 60.0% 49.2% 50.0% 40.0% 32.4% 30.0% 16.4% 20.0% 29.5% 9.8% 10.0% 4.2% 0.0% 2013年7~9月 10~12月 2014年1~3月 4~6月 7~9月 10~12月 2014年12月トレンドマイクロ調べ 注:2014年10~12月期は11月30日までの暫定データ Copyright © 2015 Trend Micro Incorporated. All rights reserved. 7 とあるゼロデイ攻撃にフォーカスして 見えてくるもの・・・ 2014年2月上旬に発覚したMicrosoftのInternet Explorer(IE)に存在するゼロデイ攻撃 は当初、米国などで特定の標的を狙ったものでした。 しかし、2月下旬になると日本での攻撃数が急増しました。 • 語学学習サイト • 金融情報サイト • 通販サイト • 旅行会社のサイト • トレッキング愛好家向けサイト • アダルト出会い系サイト 標的にされた各国のコンピュータの状況 http://www.itmedia.co.jp/news/articles/1402/26/news041.html Copyright © 2015 Trend Micro Incorporated. All rights reserved. 中央省庁や軍事関連企業のような 特殊な組織でなくとも、組織の公開サ イトが改ざん等の被害を受けていま す。 8 標的型攻撃の手法と対策 :入口対策 不正な Webサイト SMTP Webリクエスト 活動を開始したマルウェ ア・BOTが不正サイトや C&Cサーバにアクセス Webレスポンス C&Cからのコントロールコ マンドや新たな不正ファイ ル・マルウェアがダウン ロードされる ⑤ ⑥ ⑪ ① メールによる侵入 メールに添付された不正ファイルで 侵入。実行形式だけでなく、Word, Excel, PDF等のドキュメント形式を 使用してファイルを開かせる。 端末上で活動開始 不正ファイルの開封等をトリ ガーとして、マルウェア感 染・活動開始。ソフトウェア の脆弱性の利用等 内部間通信の 監視も重要 ⑫ Web GW Proxy SMTP UPLOAD先 Proxy侵入 ⑨と同じ手法を用いて、情 報を外部に送信するために Proxyサーバに侵入する例 多数有 ③ SW ⑨ ⑩ 他PCの情報収集 通信や⑨で送信した不正 プログラムを使って情報 詐取 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 外部UPLOAD 不正サイト・正常サイ トに情報をUPLOAD DNS ③DNSリクエスト ④DNSレスポンス ④ ⑦ ⑧ ② :出口対策 Active Directory ADリクエスト ADに対して辞書攻撃また はブルートフォース攻撃 で不正 ログインリクエスト ADレスポンス ⑦の攻撃に対する認証エ ラーのレスポンス 他PC・サーバへのアクセス/ファイル送 信 脆弱性攻撃・情報収集、⑦で得た認証 情報を利用して不正プログラムの送信 および実行 9 持続的標的型攻撃とは 特定組織に対し、時間、手段、手法を問わず、 目的達成に向け、その標的に特化して行われる一連の攻撃 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 1 事前準備 攻撃先決定、偵察、初期潜入用不正プログラム 準備、C&Cサーバ準備 2 初期潜入 メール送信、受信者による添付不正プログラム 実行 3 端末制御 C&C通信による遠隔操作の確立、感染環境確認 4 情報探索 内部活動ツール送出、LAN内情報探索 5 情報集約 有益情報の収集 6 情報送出 収集情報の入手 10 標的型メール攻撃の傾向 • 添付ファイルとして攻撃に用いられたファイル形式と拡張 子の傾向 – 実行ファイルが増加傾向、文書ファイルが減少傾向 → ファイル形式や拡張子によるフィルタリングが有効 文書 実行 文書 その他 ファイル ファイル ファイル 6% 39% 61% 21% 実行 ファイル ファイル形式の割合 左:2013年上半期 2013年下半期:右 PDF JTD PDF LNK VBS HTA 5% 3% JTD,JSD 1% 4% 1% 1% 73% 8% DOC, DOCX, XLS 12% DOC,XLS EXE 33% 53% DAT EXE 2% 60% DLL SCR 4% 6% SCR, PIF, CPL ファイル拡張子の割合 左:2013年上半期 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 7% 2013年下半期:右 11 標的型メール攻撃の傾向 • ファイル名での日本語使用の傾向 – 日本語の使用が過半数=受信者を騙す手口 – 文字フォーマットが簡易中国語のものを多数確認 • 会議関連 「2013年2月4日部門打ち合わせ議事録」 英字のみ 48% 日本語 52% • クレーム系 「貴社製品の故障(製品番号、故障内容など)」 • 人事関連: 「2013年4月1日付人事通知」 「応募用履歴書」 図:2013年に確認された標的型添付ファイル200 サンプルのファイル名における日本語使用の割合 • 調査/報告書関連 「2013年度計画関連の具体的施策報告書」 • 仕事などの依頼 「国際情報研究調査の依頼」 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 12 初期潜入用不正プログラムの傾向 • 初期潜入で利用される遠隔操作ツール種類の傾向 – PoisonIvyから他のツール、特にPlugXへの移行の傾向 遠隔操作ツール種類の割合 左:2013年上半期 2013年下半期:右 BKDR_POISON &DARKMOON 23% その他 32% BKDR_PLUGX 21% BKDR_FEXEL 2% BKDR_NETTY 2% BKDR_WKYSOL 2% BKDR_CHOSZ 2% BKDR_ZEGOST 2% Copyright © 2015 Trend Micro Incorporated. All rights reserved. BKDR_NFLOG BKDR_EVILOGE BKDR_KORPLG 5% 3% 3% BKDR_ETUMBOT 3% 13 初期潜入用不正プログラムの傾向 • 遠隔操作ツール=C&Cサーバ間の通信傾向 – 使用ポート:ウェルノウンポートの使用が96%であり、一般的なFWだけで は対策が難しい(→プロトコルを含めた監視が必要) – プロキシ利用:半数の不正プログラムは、ブラウザやレジストリに設定さ れているプロキシ情報を窃取して自身の通信に利用する 4% 1% 2% 4% ポート80 ポート443 ポート53 35% 54% 利用しない 48% Proxy利用 52% ポート99 ポート587 ハイポート 図:2013年に確認された遠隔操作ツール200サンプルが C&Cサーバとの通信に使用するポートの割合 サンプルが複数ポートを使用する場合、重複してカウント Copyright © 2015 Trend Micro Incorporated. All rights reserved. 図:2013年に確認された遠隔操作ツール200サンプルのプロキシ利用割合 14 初期潜入用不正プログラムの傾向 • C&Cサーバホスト名の偽装 – 全体の67%で正規サイトとの誤解を招くことを目的としたホスト名 を使用 • 明らかに標的組織の名称/略称を含むと判断できたもの 5% (例:”TARGETCOMPANY.co.jp.xxx.com”) • 明らかに有名サイトやサービスの文字列を含むもの 15% (例:yahoo、msn、microsoftupdate、facebook、gmail、など) • 正規サイトやサービスと誤解させる文字列を含む 47% (例:webmail、dns、antivirus、download、など) その他 14% 直接IP 正規サービス 19% との誤解 47% 有名サイト 標的組織名偽装 名偽装 5% 15% 図:2013年下半期に確認された遠隔操作ツールが接続するC&Cサーバのホスト名分類 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 15 BKDR_PLUGX • これまで複数のバージョンが確認されている – 攻撃者がセキュリティ製品に対策されたことを敏感に察知して定期 的にプログラムの改良を行う – C&Cサーバとの通信の方式などを変更している • バイナリプランティングと呼ばれる不正プログラムを隠蔽 する手法を用いて調査を困難にする Copyright © 2015 Trend Micro Incorporated. All rights reserved. 16 [参考] バイナリプランティング プログラムが読み込むDLLファイルの優先順位を悪用し、 正規のDLLと同名にしたウイルスを正規プログラムに読み込ませる手法 本来はsystem32配下にある DLLが利用されるはずだったが、 DLL読込みの優先順位により EXEと同じ階層の不正なDLLが 読み込まれる Copyright © 2015 Trend Micro Incorporated. All rights reserved. 17 特定バージョンのBKDR_PLUGX 管理ツールは中国語 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 18 不正プログラムに残される攻撃者の痕跡 • C&Cサーバ接続時の パスワード情報 – 複数の企業から発見された マルウェアから同一の パスワードを確認 – 同一の攻撃グループが狙った 可能性が考えられる – 標的の社名が入っていること もある BKDR_POISONの設定情報(keaidestoneがパスワード情報) • 暗号化・復号に利用される キー文字列情報 – 攻撃者が閲覧して切り抜いた と思われるWebニュースの BKDR_PROXY検体中から抽出されたニュース記事 記事が確認された この文字列から生成したMD5を利用して暗号化・復号を行う – 攻撃者の特性が推測できる (文字エンコードが簡易中国語であったため所々文字化けが生じている) Copyright © 2015 Trend Micro Incorporated. All rights reserved. 19 [参考] 不正プログラム内の暗号化・ 復号用キー発見の流れ 不正プログラム 不正プログラム中の命令で謎の文字列を 暗号化に利用している部分を確認 コードを文字列に変換しても よく分からないが、 文字化けしているように見える 文字コードを日本語(Shift_JIS)から 簡易中国語(GB2312)に変換すると 日本語になった Copyright © 2015 Trend Micro Incorporated. All rights reserved. 20 高度な初期潜入手法の事例 ~標的が利用するソフトウェアのアップデートサーバを改ざんし、 不正プログラムを送信する事例~ • 正規ソフトウェアのアップデートサーバを乗っ取り、悪用 する事例が近年数件確認されている ① 不正プログラムや 設定ファイルを設置 ④ 情報が窃取される C&Cサーバ 攻撃者 標的ユーザ ③ 不正プログラムが 送信される ① アップデート要求 不正サーバ ② 不正アクセス・改ざん ① アップデート要求 ② 特定のIPから接続があった場合、 不正サーバへ転送 一般ユーザ ② 正規アップデート プログラムが送信される 正規アップデートサーバ Copyright © 2015 Trend Micro Incorporated. All rights reserved. 21 標的型攻撃対策(出入口対策のみ)の課題 SMTP 不正な Webサイト :入口対策 UPLOAD先 :出口対策 :内部対策 Web GW SMTP Proxy SW 内部間通信の 監視が重要 根本原因であるマルウェアがい る限り感染活動は継続される Copyright © 2015 Trend Micro Incorporated. All rights reserved. 検知率が100%でないのであれば入ってくる攻撃 が成功する可能性は否定できません。同様に出 ていく攻撃が成功する可能性も否定できません。 DNS Active Directory 内部には攻撃が 到達してしまう。 ※標的型攻撃の場合1台5~6個以上 のマルウェアがいることもあります。 22 標的型攻撃対策のポイント 考え方 入口、内部、出口対策において、どのレイヤも”完全な対策”は無い。 一レイヤを固めるのではなく、バランスよく対策を行うことが必要。 点の対策よりも、線の対策が重要。線を捉える為には、脅威の知見が必要。 IPAによる解決のヒント 独立行政法人情報処理推進機構(略称「IPA」)が出版している設計ガイドが参考にな る。 攻撃者が心理的に“内部探索しづらい”システム設計策を施す。 システム管理者が "侵入拡大" 行動(内部活動の存在)に早期に気付くようにする。 (結果的に攻撃の遮断と防止につながる) 、 ①標的型攻撃の内部活動に気付く仕組み ②標的型攻撃の内部活動をしづらい環境作り ※出典:IPA「『標的型メール攻撃』対策に向けたシステム設計ガイド 」p.20 https://www.ipa.go.jp/files/000042039.pdf Copyright © 2015 Trend Micro Incorporated. All rights reserved. 23 標的型攻撃に気付くためには • 標的型攻撃は、その活動を可視化することが難しく、小さな異変 に気づくこと、気づける仕組みを持つことが重要。さらにその小さな異 変、点の攻撃が、深刻な攻撃の継続、線の一端であることを理解 し、対処することが重要。そのためには、最新の攻撃に関する知識も 必要。 • 小さな異変に気付くためには、ネットワーク内の大きな異変をなくし、 正常な状態(ベースライン)を定義することが重要。 ある日確認された 過去の攻撃の痕跡 攻撃基盤 攻撃元 標的 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 24 あるべき標的型攻撃対策 出入口対策だけでは、すり抜けた際に追跡が困難 内部検知も併せて行うことにより、攻撃の全容を把握しやすい 感染した弱点を是正する事により、侵入しにくい環境にする 標的型攻撃は、メールやウェブとったオフィスワークで必須となる通信経路を使 い、直接ユーザ端末などのエンドポイントシステムに対し攻撃を行ってくる。シス テムへの侵入を完全に防ぎきることは難しいため、システム侵入を前提とした内部 対策も併用することが重要になってくる。内部対策を実施するためには、システム の設計・運用上の弱点(設計上の不備)を理解することが必要である。 ※引用元:IPA 攻撃者に狙われる設計・運用上の弱点についてのレポート https://www.ipa.go.jp/files/000037456.pdf Copyright © 2015 Trend Micro Incorporated. All rights reserved. 25 標的型攻撃対策に必要なセキュリティ 攻撃者 Web通信制御(Proxy) ウイルス検知、URLフィルタ、レピュテー ション、ユーザ認証、許可ブラウザの種類 制御、C&C接続制御。 Proxyサーバは攻撃者が外部への情報持ち 出しとして狙う(侵入する)為、Proxy サーバ自体の監視が必要。 メールアンチウイルス/ アンチスパム 外部との通信制御 Security Support セキュリティサポート 既知メールウイルス、スパム メールを除去。 クライアントやサーバから 直接外部への通信を禁止。 外部へ通信をする場合に は、外部通信を許可された サーバのみに限定。特に、 内部からのインターネット 通信はProxyのみに限定。 高度な攻撃に対するセキュリティイベン トの分析やマルウェア解析を行う。 Mail Gateway 標的型メール攻撃を検出し、動的解析を実行。動 的解析の結果、危険と判定した場合は隔離。 Firewall 統合管理 各セキュリティ製品 から出るログや、解 析結果を統合管理 し、相互連携による セキュリティの向上 を行う。 統合管理 AD Server Proxy Mail Server Switch/Router Behavior Monitoring 業務Server ネットワーク挙動監視 ネットワークアクセス制御 内部であっても、最低限必要な通信 以外は遮断。 アカウント管理強化 高い権限を持つアカウントの 搾取を防ぐため、ドメインポ リシーの強化が必要。 例として、パスワードポリ シー強化、管理者アカウント の最小権限化、認証失敗時の アカウントロックアウト、端 末への認証情報キャッシュの 禁止等の管理策を実施。 ハーデニングと監視 OS/アプリケーションのハー デニング、脆弱性対策、提供 サービスに限定した通信許 可、不正変更の監視が必要。 標的型メール対策 Client ポート/IPスキャンや脆弱性攻撃の検出、ハッキ ングツールによる通信の検出。 更に、OSが持つ通常の機能を利用した攻撃(OS コマンドによるアカウント調査、パスワード調 査)を検出できる機能が必要。 Dynamic File Analysis 運用者 アンチマルウェア、脆弱性対策、フォレンジック、 ユーザとデータの分離 既知アンチウイルスによる対策及び脆弱性対策が必要。 攻撃発覚後に被害の特定を行う為には、通常時からフォレンジッ クツールによる監視が必要。データはクライアントに残さない。 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 不審ファイル動的解析 様々なセンサーから集まるファイ ルを動的解析。動的解析の結果作 成された各種ブラックリスト(不 審URL、不審ファイル等の情報) を対策へ反映。 26 内部探索しづらい環境にするために 不正行為プロセス 不正行為概略 ドメイン/ローカル ・管理者が特定されID・ パスワードが搾取される 管理権限搾取 サーバへ不正 アクセス バックドア設置 リモート操作 DB侵入 該当DATA特定 該当DATA 外部送信 対策項目 不 要 サ ー ビ ス 削 除 ・ 停 止 ア ク セ ス ・アクセスコントロールが コ 無くどの端末からでも ン 接続可能であった ト ・SMBを不正利用される ロ ー ・ウイルス対策で検知できず ル ・正規管理toolを悪用 ・リモートデスクトップ/ レジストリが改変、 不 各 不正使用される 正 種 ・メンテナンス用 ロ DBパスワード搾取し侵入 変 更 グ ・内部閲覧し該当DATA特定 監 監 視 視 ・アーカイバを用い DATAを外部へ送信 ・痕跡抹消の為ログ改ざん 暗 バックドア削除 号 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 強化されたセキュリティ対策 FW IDS ネ ッ ト ワ ー ク の 上 審 活 動 の 挙 動 監 視 特権IDアクセス制御 ログイン許可時間制御 ネ ッ ト ワ ー ク 挙 動 監 視 不要サービス削除 未登録AP起動制御 ファイルアクセス制御 コマンド実行制御 改ざん検知 ログ監視・管理 ログ改ざん防御 DATA暗号 管理運用態勢強化 27 内部不正 2015年版 10大脅威(IPA公開情報より) 第1位 オンラインバンキングやクレジットカード情報の不正利用 第2位 内部不正による情報漏えい 第3位 標的型攻撃による諜報活動 第4位 ウェブサービスへの不正ログイン 第5位 ウェブサービスからの顧客情報の窃取 第6位 ハッカー集団によるサイバーテロ 第7位 ウェブサイトの改ざん 第8位 インターネット基盤技術の悪用 第9位 脆弱性公表に伴う攻撃の発生 第10位 悪意のあるスマートフォンアプリ ※赤字:標的型攻撃と直接的・間接的に関連がある脅威 参照:情報セキュリティ10大脅威 2015(2015年2月6日) https://www.ipa.go.jp/security/vuln/10threats2015.html Copyright © 2015 Trend Micro Incorporated. All rights reserved. 29 半数以上の企業が 「内部犯行による情報漏洩リスク」を重視 出典:JIPDEC/ITR「企業IT利活用動向調査 2015」 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 30 組織における内部不正防止ガイドライン 1章 背景 2章 概要 3章 用語の定義と関連する法律 4章 内部不正を防ぐための管理の在り方 付録I 内部不正事例集 付録II 内部不正チェックシート 付録III Q&A集 付録IV 他のガイドライン等との関係 付録V 基本方針の記述例 付録VI 内部不正の基本5原則と25分類 付録VII 対策の分類 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 31 環境犯罪学 12の犯罪予防策 Ronald V. Clarke 犯罪原因論 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 犯罪機会論 32 犯罪の困難さを増加させる施策 標的の強化 施設の出入り制限 標的となる対象物の弱点を補強する 物理的・電子的なアクセスコントロールを行う 犯罪者の移置 一定の地域において逸脱行為や犯罪を黙認することによっ てほかの地域の治安を維持 犯罪促進手段の 制限 犯罪を促進する機会の取得や道具の入手について一定の 資格保有や身分証の提示などを求めることによりこれを制 限し犯罪の機会を低減させる Copyright © 2015 Trend Micro Incorporated. All rights reserved. 33 犯罪に伴う危険性の増加 入口・出口規制 入場の条件に一致しないものを発見する可能性を高める フォーマルな監視 警察官やガードマンなどの巡回 従業員による監視 ホテルのドアマンや公園の管理人などによる監視 自然な監視 日常生活の中で人々の視線が広い範囲に注がれているよ うに工夫すること Copyright © 2015 Trend Micro Incorporated. All rights reserved. 34 犯罪報酬の減少 標的の除去 所有物の識別 犯罪の被害にあいやすいものをあいにくいものに交換す る。あるいはあいにくい場所に移転する 物理的・電子的なアクセスコントロールを行う 犯罪誘因の除去 一定の地域において逸脱行為や犯罪を黙認することによっ てほかの地域の治安を維持 ルールの設定 犯罪を促進する機会の取得や道具の入手について一定の 資格保有や身分証の提示などを求めることによりこれを制 限し犯罪の機会を低減させる Copyright © 2015 Trend Micro Incorporated. All rights reserved. 35 人材育成 組織における セキュリティ対策上の課題認識 ※2014年 トレンドマイクロ調べ Copyright © 2015 Trend Micro Incorporated. All rights reserved. 37 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 38 http://www.nisc.go.jp/active/kihon/pdf/jinzai-sankou.pdfより抜粋 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 39 企業で育成が急がれる人材例 CISO CSIRT・SOC人材 社員・職員の教育 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 40 CISO CISOに期待される役割とは? 1 情報セキュリティ戦略の立案 2 リスク認識と対策の評価・承認 3 インシデント発生時の意思決定 4 PDCAサイクルの推進 5 経営者と現場とのコミュニケーションハブ 6 部門間の調整業務 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 42 CISOに必要な素養とは? ・社内の各業務を十分に理解していること ・経営サイドに属し十分な権限があること ・情報セキュリティ戦略を経営の要素として立案推進できること ・社内各部門とコミュニケーションがとれていること ・社内社外共に調整能力を有していること ・情報セキュリティに関する知識が有ること ・優先度・緊急度・温度感の判断ができること ・インシデント発生時の判断が的確にできること ・金銭感覚に優れること Copyright © 2015 Trend Micro Incorporated. All rights reserved. 43 技術的対策 1 既存対策の評価・改善 2 侵入を検知できる仕組の構築 3 検知から駆除・対策構築の 短サイクル化 の、支援 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 44 組織的対策 1 セキュリティに関する組織体制の整備 2 規程類の整備・改廃 3 セキュリティの評価・見直しから 経営へのフィードバック 4 事故・違反への対処 5 外部との連携関係の構築 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 45 人的対策 1 従業員・役員・その他従業者への教育 2 同上への訓練 3 セキュリティに関する組織への訓練 4 結果を経営へフィードバック 5 結果を次の教育や規則にフィードバック Copyright © 2015 Trend Micro Incorporated. All rights reserved. 46 CSIRT・SOC人材 インシデント対応とその力量は個人任せ • 担当者の技術力向上を図っているのは51.4% • 緊急対応の枠組みがあるのはわずか5.6% セキュリティ担当者向けの取り組み実施状況 セキュリティ担当者向けの取り組み実施状況 セキュリティ担当部門 社内講習会 38.7 14.8 CSIRT/SOCいずれか 外部講習会 サイバー攻撃演習 26.6 10.0 17.6 20.8 30.9 69.1 5.66.610.1 実施している 20% 46.5 40% 実施予定・検討中 53.4 77.7 55.8 CSIRT 3.7 6.110.2 80.0 SOC 3.0 6.610.5 79.9 0% 0% 5.4 10.3 60% 80% 100% 実施予定なし 出典:2014年8月トレンドマイクロ実施「セキュリティ教育・組織体制に関する実態調査2014」 URL:http://www.trendmicro.co.jp/jp/security-intelligence/sr/sor2014/index.html Copyright © 2015 Trend Micro Incorporated. All rights reserved. 20% 40% 60% 80% 100% 設立済み いずれか設立予定あり 時期未定ながらいずれか設立予定あり 設立予定なし 48 組織体制強化への取り組みは道半ば • 体制強化を阻害する最大要因は「社内ノウハウ」 と「必要性の認識」の欠如 担当者向け施策を実施しない理由 CSIRT/SOCを構築しない理由 必要性がない 29.7 社内にノウハウがない 33.8 29.4 必要性がない 33.3 社内にノウハウがない 他の取り組みで十分 22.7 他の取り組みで十分 22.0 お金がかかる お金がかかる 21.9 12.7 経営・意思決定層の理解が得られな 経営・意思決定層の理解が得ら 9.9 れない 10.7 い その他 その他 0.8 0.0 5.0 10.0 15.0 20.0 25.0 30.0 35.0 1.2 0 10 20 30 40 出典:2014年8月トレンドマイクロ実施「セキュリティ教育・組織体制に関する実態調査2014」 URL:http://www.trendmicro.co.jp/jp/security-intelligence/sr/sor2014/index.html Copyright © 2015 Trend Micro Incorporated. All rights reserved. 49 49 組織内 CSIRT 要員に必要な ヒューマンスキル 組織内 CSIRT 要員のヒューマンスキルについては、以下の能力 及び意欲を持っていることが求められる • 明確な指示や取り決めなどがなく、時間的制約がある状況下でも、必要なこと を受け入れ、判断できること • 業務内容の異なる部署や、外部組織との対話を円滑にできること • 規則や取り決めなどに従うことができること • 強いストレスのある状況下で業務を遂行できること • チームの評判を守る大局的な視点と行動ができること • 勉強を続ける姿勢があること • 問題解決能力 • 他のメンバとの連携能力 • 時間管理能力 「組織内CSIRTの要員」 JPCRT/CC より抜粋 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 50 組織内 CSIRT 要員に必要な テクニカルスキル 組織内 CSIRT の活動領域であるサービス対象の範囲 の業務、システム、ネットワー ク、関連規則等の知識以外 に、以下のテクニカルスキルを持っていることが求められる • インターネットに関する知識 • ネットワークプロトコル (IPv4、IPv6、ICMP、TCP、UDP) • ネットワークインフラ (ルータ、スイッチ、DNS、メールサーバ ネットワーク上のサービス 及びその実装プロトコル (SMTP、HTTP、HTTPS、FTP、Telnet、SSH、IMAP、 POP3) • セキュリティの基本原則(3原則:機密性・完全性・可用性、多層防御など) • コンピュータ、ネットワークに対する脅威 • 攻撃手法(IP スプーフィング、DoS、ウィルス、ワーム等) • 暗号化技術(3DES、AES、IDEA、RSA、DSA、MD5、SHA) • 運用上の問題(バックアップ、セキュリティパッチ、アップデート) • プログラミング及びコンピュータ管理能力 「組織内CSIRTの要員」 JPCRT/CC より抜粋 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 51 社員・職員教育 組織体制・従業員への施策も不十分 従業員教育を定期的あるいは随時 行っている 29.2% 従業員向けのガイドラインが存在し、 定期的あるいは随時更新されている 28.9% 専門の対応人員、組織が社内に 存在する 27.2% セキュリティポリシーが存在し、 定期的あるいは随時更新されている 27.0% サイバー攻撃、情報漏えいに関する 注意喚起を定期的に行っている 24.7% 出典:2014年3月トレンドマイクロ実施「組織におけるセキュリティ対策実態調査」 URL:http://www.trendmicro.co.jp/jp/security-intelligence/sr/sor2014/index.html Copyright © 2015 Trend Micro Incorporated. All rights reserved. 53 人間の持つ6つの脆弱性 返報性 コミットメントと一貫性 社会的証明 •親切や贈り物、招待等を受けると、そ • 自由意志によりとった行動がそ • 他人が何を正しいと考えている れを与えてくれた人に対して将来お返 の後の行動にある拘束をもたら かによって、自分が正しいかど しをせずにいられない気持ちになるこ すこと うかを判断する特性 と 好意 権威 希少性 • 好意を持っている人から頼まれ • 企業・組織の上司等権威を持つ • 手に入りにくい物であるほど、 ると、承諾してしまうというも ものの命令に従ってしまうこと 貴重なものに思え、手に入れた の くなってしまう特性 ロバート・B・チャルディーニ(Robert B. Cialdini) Copyright © 2015 Trend Micro Incorporated. All rights reserved. 54 危険情報活用力 • 危険情報を高度 • 危険情報の収集 化し利用する力 運用 収集 保持 編集 • 危険情報を記憶 しておく力 • 危険情報を自分 に近いものにす る Copyright © 2015 Trend Micro Incorporated. All rights reserved. 55 記憶のメカニズム 瞬時記憶 短期記憶 長期記憶 覚える 覚えている Copyright © 2015 Trend Micro Incorporated. All rights reserved. 思い出す 56 必要なことは? 理解させる • 短期記憶を長期記憶に変える • 理解は各種バイアスを遠ざける 繰り返す(反復練習) • 短期記憶を長期記憶に変える とはいえ、企業には取れる時間に限界も・・・ Copyright © 2015 Trend Micro Incorporated. All rights reserved. 57 その他、悩ましい事 • パッチマネジメント • レガシーOSの扱い • 国内外のITガバナンス • BYOD Copyright © 2015 Trend Micro Incorporated. All rights reserved. 58 Appendix Copyright © 2015 Trend Micro Incorporated. All rights reserved. 59 企業におけるサーバ脆弱性対策に関する実態調査 2014 企業におけるサーバ脆弱性対策に関する実態調査 2014 トレンドマイクロ株式会社 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 60 Windows Server 2003利用実態調査 ■調査の概要 調査名: 「企業における Windows Server 2003利用実態 調査」 実施時期: 2014年12月5日~ 2014年12月8日 回答者: 企業においてサーバに 関わるIT管理者515名 手法: インターネット調査 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 61 下請け業者向けチェックツール 62 修了証 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 63 BYODサンプル規定集 http://www.csaj.jp/activity/byod/index.html Copyright © 2015 Trend Micro Incorporated. All rights reserved. 64 【総括】 TRENDMICRO、ウイルスバスターおよびTrend Micro Deep Security、Deep Discovery、 Deep Discovery Advisor、Deep Discovery Inspector、Trend Micro Smart Protection Network、 トレンドマイクロ・プレミアム・サポート・プログラムは、トレンドマイクロ株式会社の登録商標です。 本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 65
© Copyright 2024