インターネットセキュリティの歴史と

2018年の課題

CySec講師 伊藤潤

インターネット革命

2

1993年インターネット革命

Webブラウザの登場

電子メール

Windows95の登場

3

TCP/IPをネイティブサポートするOSの登場

ホームページ・電子メール・掲示板

1996年、Yahoo Japanサービス開始

1999年、2チャンネル開設

1999年、i-modeサービススタート

1999年、宇治市で21万人の住基台帳データ漏洩

ブロードバンドネットワーク登場

4

インターネット常時高速接続

高速化に伴い、テキストデータから画像・動画へ

2000年、NTTフレッツADSLサービススタート

2000年、Google日本語検索サービススタート

2000年、Amazon.comスタート

2001年、YahooBBが価格破壊

2002年、各社FTTHを本格化

2002年、各社無線LANサービスをスタート

2000年、国内でホームページからの顧客情報漏えい頻発

2000年、Yahoo!、Amazon、eBayなどが大規模DDoS攻撃でダウン

2000年、中央省庁Web改ざん事件

2001年、Code Redワーム流行、Nimdaウイルス流行

SNS登場

5

SNS、ブログ

2004年、mixi、Amebaブログ、GREE、がサービスをスタート

2004年、Facebookサービススタート

2005年、WEB2.0

2005年、YouTubeサービススタート

2006年、Twitterサービススタート

2006年、モバゲーサービススタート

2003年、Blasterワーム流行

2003年、Winnyユーザーを狙ったAntinnyウイルスによる情報流出多発

iPhoneの登場

6

2007年、iPhone誕生

2007年、Google MAP ストリートビュー公開

2009年、Androidスマホ発売

2010年、iPad発売

2007年、エストニア、サイバー戦争の被害に遭う

2007年、大日本印刷顧客情報流出

2009年、Stuxnet

スマホ時代の到来

7

2010年、Instagramサービススタート

2011年、LINEサービススタート

2013年、日本のインターネット人口普及率82.8%

2011年、国内大手重機メーカー、国会をターゲットにした標的型攻撃

2013年、遠隔操作ウィルス事件

2013年、Apache Struts の脆弱性を使用した攻撃が急増

2014年、ベネッセ2,895万件顧客情報流出

2015年、日本年金機構125万件個人情報漏洩

2014年、NIST CSF発行

2014年、日本サイバーセキュリティ基本法

2020に向けて

8

2015年、CySec授業スタート

2018年、CySecPRO授業スタート

2017年、WannaCry（ランサムウェア流行）

2018年、ワイパー型ランサムウェア流行

2018年、Memcached（リフレクターDDoS攻撃1.35TB）

2018年、EU GDPR 施行

2018年、EDR本格普及予測

2019年以降、クラウド本格普及予測

CSIRTで見える日本の課題

9

1990年 2000年 2010年 2018年

Forum of Incident Response and Security Teams

Computer Emergency Readiness Team / Coordination Center

CYber incident Mobile Assistant Team

日本年金機構にて個人情報流出事案発生（2015年5月）

特定の組織をターゲットにした標的型攻撃が発生（2006年）

コンピューターウイルスによる被害が発生「Brain」（1986年以降）

1988年、米国でコンピューターウイルス出現を契機にCERT/CC設立

1990年、組織間および国際間連携のためFIRSTが組織化

1996年、国内初のシーサート組織、JPCERT/CCが組織化

2007年、日本シーサート協議会（NCA）が組織化

2012年、内閣官房情報セキュリティセンター内にCYMATが発足

2015年3月、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」にCSIRT設置が明文化

Japan Computer Emergency Response Team / Coordination Center

2014年NIST

CSF発行

2020年に向けてNISC内にCSIRT機能を設置へ

2020年

2016年4月、政府機関サイバーセキュリティ・情報化審議官設置

AWARENESS 認識 意識啓発知ること概念，推理，判断を主要3契機として遂行され，推理と判断において認識全体が積極的に関与する。推理の過程のない認識を直観的認識という。さらに判断の契機が消えるか極小になると知覚になり，認識と区別される。知覚により近い自然科学的認識の場合，判断は客観的であり，その認識は一般性をもっている。そこでの認識の働きは本質的に重要でなく，結果のみが価値をもっている。このような認識内容は知識と呼ばれることが多い。

出典 ブリタニカ国際大百科事典 小項目事典

10

推理 判断認識

防御から検知・対応へ

2013年 米国オバマ大統領令『Executive Order 13636, “Improving Critical Infrastructure Cybersecurity.”』に基づき, 翌2014年2月12日NIST（国立標準技術研究所）が『The Framework for Improving Critical Infrastructure Cybersecurity』（重要インフラストラクチャのサイバーセキュリティ改善のフレームワーク）を発行

11

防御Protect 検知

Detect対応

Respond

防御Protect

検知Detect

対応Respond

Before NIST CSF After NIST CSF特定

Identify

回復Recover

SOC CSIRT

速報：NIST CSF Ver.1.1 Final が2018年4月16日発行（サプライチェーンリスクとセルフアセスメントが追加）

2014年

リスクベースサイバーセキュリティアプローチ

NIST CSFでは最初のフェーズである特定（Identify）フェーズで実施されるリスクアセスメントを基にしたセキュリティへの取組み（優先順位付けをした取組）

12

影響度合Exposure,

Impact

発生確率Likelihood

リスク（不確実性）

Risk

脅威Threat

脆弱性Vulnerability

事業目標への影響Business Result

サイバーセキュリティリスク

Risk

【一般的なリスクの公式】

【サイバーセキュリティリスクの公式（NIST CSF)】

変数がゼロにならない限り、リスクはゼロにならないことがわかるつまりゼロリスクはあり得ない

13

標的型攻撃

「標的型攻撃」とは、特定の組織から機密情報を窃取するサイバー攻撃のこと。不特定多数を狙った攻撃とは異なり、特定の組織しかターゲットにしないため、防御が難しくなっている。

現在

ばらまき型

過去

標的型

• 特定の組織を狙ってウイルス付きメールを送信• ウイルス入りプログラムをホームページで公開しURLで誘導

• 同じ文面のメールを10カ所以上に送りつける「ばらまき型」が全体の97％（H29年度 警察庁発表）

攻撃者は、国家の支援を受けている組織で、執拗かつ任務遂行まで継続State Sponsored Actors

個人情報や機密情報の窃取が目的で、金銭化を狙うCyber Criminals

Cyber Espionageサイバースパイ

Cyber Crimeサイバー犯罪

【大きな課題】日本語で表現しづらいセキュリティの世界

14

侵害Compromise

漏えいLeak

漏えいBreach

やられちゃった

ダダ漏れ

深層防御Defense indepth

多層防御MultiLayered

脆弱性Flaw

脆弱性Vulnerability

欠陥

VERIZON DATA BREACH INVESTIGATION REPORT 2017-2018

15

http://www.verizonenterprise.com/resources/reports/rp_DBIR_2017_Report_ja_xg.pdf

2018 2018

MCAFEE THREAT REPORT 2017年12月

16

https://www.mcafee.com/jp/resources/reports/rp-quarterly-threats-dec-2017.pdf

TREND MICRO 2017 ROUND UPhttps://resources.trendmicro.com/jp-docdownload-thankyou-m051-web-asr.html?aliId=200535087

Business Email Compromise (BEC)

CROWDSTRIKE REPORT 2017

18

http://crowdstrike.lookbookhq.com/global-threat-report-2018-web/cs-2018-global-threat-report?utm_campaign=Threat_Report&utm_medium=Web&utm_source=Marketo

FIREEYE CYBER SECURITY PREDICTIONS FOR 2018

19

https://www.fireeye.jp/current-threats/annual-threat-report.html

NYS Department of Financial Services Cybersecurity Regulation

EU General Data Protection Regulation (GDPR)

GAO FEDERAL INFORMATION SECURITY 2017

20

https://www.gao.gov/assets/690/687461.pdf#search=%27GAO+FISMA+report%27

割合8%

2016年度

日本政府IT及びセキュリティ関連予算2017

21

http://www.itdashboard.go.jp/Statistics/investmenthttps://www.nisc.go.jp/conference/cs/dai16/pdf/16shiryou03.pdf

政府IT総投資額7,896億

政府セキュリティ総投資額

598.9億補正32.7億計631.6億

割合7.99%

2017年度

政府機関等の情報セキュリティ対策のための統一基準群の見直し

米国 DHS CDM (Continuous Diagnostic Mitigation)

https, DMARC (Domain-based Message Authentication, Reporting and Conformance）

23

サイバーセキュリティ協議会 設置へ

24

課題解決アプローチ提言

25

国家 法制度人材教育ベテラン

国内産業育成

セキュリティ投資

雇用拡大

監査制度セキュリティ保険

セキュリティ業界・業種