インターネットセキュリティの歴史と
2018年の課題
CySec講師 伊藤潤
インターネット革命
2
1993年インターネット革命
Webブラウザの登場
電子メール
Windows95の登場
3
TCP/IPをネイティブサポートするOSの登場
ホームページ・電子メール・掲示板
1996年、Yahoo Japanサービス開始
1999年、2チャンネル開設
1999年、i-modeサービススタート
1999年、宇治市で21万人の住基台帳データ漏洩
ブロードバンドネットワーク登場
4
インターネット常時高速接続
高速化に伴い、テキストデータから画像・動画へ
2000年、NTTフレッツADSLサービススタート
2000年、Google日本語検索サービススタート
2000年、Amazon.comスタート
2001年、YahooBBが価格破壊
2002年、各社FTTHを本格化
2002年、各社無線LANサービスをスタート
2000年、国内でホームページからの顧客情報漏えい頻発
2000年、Yahoo!、Amazon、eBayなどが大規模DDoS攻撃でダウン
2000年、中央省庁Web改ざん事件
2001年、Code Redワーム流行、Nimdaウイルス流行
SNS登場
5
SNS、ブログ
2004年、mixi、Amebaブログ、GREE、がサービスをスタート
2004年、Facebookサービススタート
2005年、WEB2.0
2005年、YouTubeサービススタート
2006年、Twitterサービススタート
2006年、モバゲーサービススタート
2003年、Blasterワーム流行
2003年、Winnyユーザーを狙ったAntinnyウイルスによる情報流出多発
iPhoneの登場
6
2007年、iPhone誕生
2007年、Google MAP ストリートビュー公開
2009年、Androidスマホ発売
2010年、iPad発売
2007年、エストニア、サイバー戦争の被害に遭う
2007年、大日本印刷顧客情報流出
2009年、Stuxnet
スマホ時代の到来
7
2010年、Instagramサービススタート
2011年、LINEサービススタート
2013年、日本のインターネット人口普及率82.8%
2011年、国内大手重機メーカー、国会をターゲットにした標的型攻撃
2013年、遠隔操作ウィルス事件
2013年、Apache Struts の脆弱性を使用した攻撃が急増
2014年、ベネッセ2,895万件顧客情報流出
2015年、日本年金機構125万件個人情報漏洩
2014年、NIST CSF発行
2014年、日本サイバーセキュリティ基本法
2020に向けて
8
2015年、CySec授業スタート
2018年、CySecPRO授業スタート
2017年、WannaCry(ランサムウェア流行)
2018年、ワイパー型ランサムウェア流行
2018年、Memcached(リフレクターDDoS攻撃1.35TB)
2018年、EU GDPR 施行
2018年、EDR本格普及予測
2019年以降、クラウド本格普及予測
CSIRTで見える日本の課題
9
1990年 2000年 2010年 2018年
Forum of Incident Response and Security Teams
Computer Emergency Readiness Team / Coordination Center
CYber incident Mobile Assistant Team
日本年金機構にて個人情報流出事案発生(2015年5月)
特定の組織をターゲットにした標的型攻撃が発生(2006年)
コンピューターウイルスによる被害が発生「Brain」(1986年以降)
1988年、米国でコンピューターウイルス出現を契機にCERT/CC設立
1990年、組織間および国際間連携のためFIRSTが組織化
1996年、国内初のシーサート組織、JPCERT/CCが組織化
2007年、日本シーサート協議会(NCA)が組織化
2012年、内閣官房情報セキュリティセンター内にCYMATが発足
2015年3月、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」にCSIRT設置が明文化
Japan Computer Emergency Response Team / Coordination Center
2014年NIST
CSF発行
2020年に向けてNISC内にCSIRT機能を設置へ
2020年
2016年4月、政府機関サイバーセキュリティ・情報化審議官設置
AWARENESS 認識 意識啓発知ること概念,推理,判断を主要3契機として遂行され,推理と判断において認識全体が積極的に関与する。推理の過程のない認識を直観的認識という。さらに判断の契機が消えるか極小になると知覚になり,認識と区別される。知覚により近い自然科学的認識の場合,判断は客観的であり,その認識は一般性をもっている。そこでの認識の働きは本質的に重要でなく,結果のみが価値をもっている。このような認識内容は知識と呼ばれることが多い。
出典 ブリタニカ国際大百科事典 小項目事典
10
推理 判断認識
防御から検知・対応へ
2013年 米国オバマ大統領令『Executive Order 13636, “Improving Critical Infrastructure Cybersecurity.”』に基づき, 翌2014年2月12日NIST(国立標準技術研究所)が『The Framework for Improving Critical Infrastructure Cybersecurity』(重要インフラストラクチャのサイバーセキュリティ改善のフレームワーク)を発行
11
防御Protect 検知
Detect対応
Respond
防御Protect
検知Detect
対応Respond
Before NIST CSF After NIST CSF特定
Identify
回復Recover
SOC CSIRT
速報:NIST CSF Ver.1.1 Final が2018年4月16日発行(サプライチェーンリスクとセルフアセスメントが追加)
2014年
リスクベースサイバーセキュリティアプローチ
NIST CSFでは最初のフェーズである特定(Identify)フェーズで実施されるリスクアセスメントを基にしたセキュリティへの取組み(優先順位付けをした取組)
12
影響度合Exposure,
Impact
発生確率Likelihood
リスク(不確実性)
Risk
脅威Threat
脆弱性Vulnerability
事業目標への影響Business Result
サイバーセキュリティリスク
Risk
【一般的なリスクの公式】
【サイバーセキュリティリスクの公式(NIST CSF)】
変数がゼロにならない限り、リスクはゼロにならないことがわかるつまりゼロリスクはあり得ない
13
標的型攻撃
「標的型攻撃」とは、特定の組織から機密情報を窃取するサイバー攻撃のこと。不特定多数を狙った攻撃とは異なり、特定の組織しかターゲットにしないため、防御が難しくなっている。
現在
ばらまき型
過去
標的型
• 特定の組織を狙ってウイルス付きメールを送信• ウイルス入りプログラムをホームページで公開しURLで誘導
• 同じ文面のメールを10カ所以上に送りつける「ばらまき型」が全体の97%(H29年度 警察庁発表)
攻撃者は、国家の支援を受けている組織で、執拗かつ任務遂行まで継続State Sponsored Actors
個人情報や機密情報の窃取が目的で、金銭化を狙うCyber Criminals
Cyber Espionageサイバースパイ
Cyber Crimeサイバー犯罪
【大きな課題】日本語で表現しづらいセキュリティの世界
14
侵害Compromise
漏えいLeak
漏えいBreach
やられちゃった
ダダ漏れ
深層防御Defense indepth
多層防御MultiLayered
脆弱性Flaw
脆弱性Vulnerability
欠陥
VERIZON DATA BREACH INVESTIGATION REPORT 2017-2018
15
http://www.verizonenterprise.com/resources/reports/rp_DBIR_2017_Report_ja_xg.pdf
2018 2018
MCAFEE THREAT REPORT 2017年12月
16
https://www.mcafee.com/jp/resources/reports/rp-quarterly-threats-dec-2017.pdf
TREND MICRO 2017 ROUND UPhttps://resources.trendmicro.com/jp-docdownload-thankyou-m051-web-asr.html?aliId=200535087
Business Email Compromise (BEC)
CROWDSTRIKE REPORT 2017
18
http://crowdstrike.lookbookhq.com/global-threat-report-2018-web/cs-2018-global-threat-report?utm_campaign=Threat_Report&utm_medium=Web&utm_source=Marketo
FIREEYE CYBER SECURITY PREDICTIONS FOR 2018
19
https://www.fireeye.jp/current-threats/annual-threat-report.html
NYS Department of Financial Services Cybersecurity Regulation
EU General Data Protection Regulation (GDPR)
GAO FEDERAL INFORMATION SECURITY 2017
20
https://www.gao.gov/assets/690/687461.pdf#search=%27GAO+FISMA+report%27
割合8%
2016年度
日本政府IT及びセキュリティ関連予算2017
21
http://www.itdashboard.go.jp/Statistics/investmenthttps://www.nisc.go.jp/conference/cs/dai16/pdf/16shiryou03.pdf
政府IT総投資額7,896億
政府セキュリティ総投資額
598.9億補正32.7億計631.6億
割合7.99%
2017年度
政府機関等の情報セキュリティ対策のための統一基準群の見直し
米国 DHS CDM (Continuous Diagnostic Mitigation)
https, DMARC (Domain-based Message Authentication, Reporting and Conformance)
23
サイバーセキュリティ協議会 設置へ
24
課題解決アプローチ提言
25
国家 法制度人材教育ベテラン
国内産業育成
セキュリティ投資
雇用拡大
監査制度セキュリティ保険
セキュリティ業界・業種