第7回 デジタル・フォレンジック・コミュニティ2010
パナソニックの情報セキュリティとパナソニックの情報セキュリティとデジタル・フォレンジックデジタル フォレンジック
2010年12月14日
パナソニック株式会社情報セキュリティ本部情報セキュリティ本部
金子 啓子
目 次
1 パナソニックグル プの概要1.パナソニックグループの概要
2.情報セキュリティの取組
3.フォレンジックの活用と今後の課題フォレンジックの活用と今後の課題
2
パナソニックグループの業容
創 業 1918年(大正7年)3月創 業 1918年(大正7年)3月
7兆4 180億円売 上
7兆4,180億円(国内54% 海外46%)
営業利益
1,905億円(営業利益率2 6%)利益 (営業利益率2.6%)
38万4 586名従業員
38万4,586名(国内152,853名 海外231,733名)
ブランド
32010年3月末時点
事業セグメント別の売上高構成比
• FA等
三洋 その他
• デジタルAVC
• 固定通信・三洋電機三洋(5%)
その他(11%) • 移動通信
• カーエレクトロニクス
洋電機(2010年1月~)
デジタルAVCネットワーク(40%)
デバイス(12%)
• カ エレクトロニクス
• システム• 半導体
• 電子部品
アプライ
電工パナホーム
電子部品
• 電池
モ タ アプライ アンス(13%)
(19%)
• 家庭電化・冷熱空調
• モータ
• 照明
• 環境システム
• パナソニック電工
• パナホーム
4
• 環境システム• パナホーム連結対象会社 680社
目 次
1 パナソニックグル プの概要1.パナソニックグループの概要
2.情報セキュリティの取組
3.フォレンジックの活用と今後の課題3.フォレンジックの活用と今後の課題
5
情報セキュリティの取り組みの背景
1 外的要請・外部からのリスク対応1.外的要請・外部からのリスク対応
・営業秘密保護、技術流出防止
・個人情報保護
IT ネットワ クリスクへの対応・IT、ネットワークリスクへの対応
2 内的要請2.内的要請
・グローバルのグループ会社内での安全な情報共有安全な情報共有
6
情報セキュリティ戦略
「2004年、企業戦略に情報セキュリティを組込む」年、企業戦略に情報セキ リティを組込む」
1.高信頼性企業の実現高信頼性 業 実現
2.企業価値の向上
3 企業風土の改革3.企業風土の改革
7
情報セキュリティの考え方
情報セキュリティはお客様・従業員を守る為
情報セキ リテ は事業継続の重要な要素情報セキュリティは事業継続の重要な要素
情報セキュリティは安心して情報活用図るため情報セキュリティは安心して情報活用図るため
トップの基本的指示トップの基本的指示
① 情報セキュリティはグローバル共通ルールで
② 階層を問わず 役員 従業員全 に適用② 階層を問わず、役員・従業員全てに適用
③ 教育(啓発)を実施し、違反者には厳正に対処
8
情報セキュリティの取り組み範囲
●情報を守るには、情報資産・グローバルルール・IT等のインフラを含めた対策が必要
・守るべき情報資産:営業秘密(技術情報)、個人情報、製品セキュリティ・基盤構築:グローバルISMポリシー体系、人的・物理的・ITセキュリティ等の基盤
個人の権利・利益保護の要請
・個人情報保護法制定
市場の安全 安心
・国の調達基準
市場の安全・安心要請知財が競争の
武器に
製品の情報セキュリティ
・民間企業の調達基準・消費者の安心要請
・不正競争防止法改正(営業秘密侵害に刑事罰) 個人情報
営業秘密(お預かり情報)
(技術情報)
グローバルISMポリシー/スタンダード/ガイドライン
ITセキュリティ 組織体制アクセス ント ル入出門管理 ・内部監査
・開発設計方針
・研修・教育土改革
お取引先
要請に対応
9
・アクセスコントロール・ID/パスワード管理・持出パソコン管理
・入出門管理・ゾーン管理・ロッカー鍵管理
・推進体制・ガバナンス
・内部監査・本部監査
・風土改革・誓約書
・要請に対応・契約・監査
・事故対応・パトロール
当社の情報セキュリティの特徴
●ISO27001の考え方を社内向けにカスタマイズして適用●グローバル共通ルールによる「ベースラインコントロール」●グロ バル共通ル ルによる「ベ スラインコントロ ル」
●グ バ な情報共有を実現
お客様販売会社完成品組立 物流
●グローバルな情報共有を実現
Panasonic
お客様販売会社完成品組立 物流
部品製造
情報共有情報共有
10資材・原料メーカー 情報漏えいを抑止
グローバルISMポリシー
●世界共通で守るべきルールをグローバルISMポリシー体系として規程
情
ポリシー
情報セキュリティの基本方針・考え方
・達成基準・職能規程との連携ポリシ
・IT(情報企画)・人(人事)法令(法務) などスタンダード
法法ITIT 人人物物
・法令(法務) など
具体的な管理策
ガイドライン
法法令令
ITIT 人人物物理理
・具体的な管理策・地域特性・ドメイン特性を加味 ガイドライン
地域(インフラ関係)
ドメイン(情報資産関係)
を加味
11
(インフラ関係) (情報資産関係)
規程の中で具体的な管理策を要求(ベースラインコントロール)
機密区分に応じた取り扱い
(配布割愛)
12
技術情報保護の取組1.情報セキュリティ事故と背景
当社
●技術情報に関する事故及び、想定されるリスクから、具体的管理策を設定
当社
仕様書の提供
⑦競業他社への転職(受皿研究
所)
①漏洩・不正利用
材料メーカ 設備メーカ
所)転職者退職者
購入先管理 協業避止制度
技術情報(データベース) 技術移転
購入先管理 協業避止制度
電子化情報①
化体物保存
⑥移転先情報管理の不備
ライセンス②退職前のダウンロード
技術化体物
設備・試作品技術混入
技術支援
化体物 技術流入防止電子化情報②
13
④試作品の盗難③PC・サーバ内技術情報の流出
⑤他社知財の混入
パナソニックグループにおける個人情報保護の考え方
個人情報はお客様、取引先・従業員からお預かりした貴重な財産
ご本人に安心 安全を提供し 信頼される企業にご本人に安心・安全を提供し、信頼される企業に
コンプライアンス個人情報保護法令
CS(顧客満足)個人情報保護法令 足)
活用と保護
情報セキュリティ リスクマネジメント安全管理 事故対応
■マ ケテ ング関連■マーケティング関連Web上の顧客情報、購入者情報ご愛用者カード、商品企画モニター
■人事関連社内人事情報採用者情報など
アンケート、懸賞、保証書情報など
■取引先関連先から預かる
■CS関連
採用者情報など
14
取引先から預かる個人情報等
お客様ご相談センターの顧客情報修理依頼の顧客情報など
全員運動による現場徹底の考え方
● パナソニックGの50事業グループ/700事業場/7000職場/30万人に対して①守るべき情報資産を特定①守るべき情報資産を特定②自己点検(個人単位)/自主精査(職場単位)/内部監査を実施③全従業員教育を実施
・・・・・・ 50事業グループ
700事業場(「子会社」に相当)
7000職場(「部」に相当)
1530万人(全従業員)
ISO27001認証取得
● 事業グループ単位にグローバル連結でISO認証取得を推進
認証取得認証取得 認証取得 認証取得
・・・・・・
16
インシデント発生時の報告ルート
社 長
報告 インシデント発生!
パナソニックグループ CSO
報告
正確な状況把握と迅速な報告を要求
情報セキュリティ本部
報告 報告【インシデント報告】原則48時間以内に
地域統括会社 事業ドメイン
CSO(又は社長) CSO(又は社長)
原則48時間以内に情報セキュリティ本部へ第一報
↓
報告
情報セキュリティ推進責任者 情報セキュリティ推進責任者
報告報
↓緊急の際は飛び越え報告
地域統括会社傘下の海外事業場
報告
事業ドメイン傘下の海外事業場
事業場長 事業場長
報告告 も可能
情報セキュリティ推進責任者
事業場長
情報セキュリティ推進責任者
事業場長
17職場上司 当事者本人職場上司職場上司 当事者本人職場上司
インシデント
インシデント
目 次
1 パナソニックグル プの概要1.パナソニックグループの概要
2.情報セキュリティの取組
3.フォレンジックの活用と今後の課題3.フォレンジックの活用と今後の課題
18
フォレンジックの活用と今後の課題
1) 多様なインシデントの発生
) 内部者関与イ シデ ト事例( )2) 内部者関与インシデント事例(1)ファイル交換ソフトによる情報流出
3) 内部者関与インシデント事例(2)技術流出 の懸念技術流出への懸念
4) 反省と留意点4) 反省と留意点
5) 今後の課題 (兆候把握と予防策)) 今後 課題 (兆候把握 予防策)
19
多様なインシデントの発生
●情報セキュリティ活動を推進しても、様々なインシデントが発生●特に 意図的・内部者関与のインシデントは情報流出に直結●特に、意図的 内部者関与のインシデントは情報流出に直結
~フォレンジック等の手法を利用した調査が必要~
悪意
・情報の無断持ち出し・ネット上への情報流出PC 機密書類等の盗難
技術流出・重大事故との結びつき
最もリスクが大きい意図的
・PC、機密書類等の盗難 最もリスクが大きい
ルール違反・PCの盗難・紛失・記憶媒体の盗難・紛失
(SDカード・USBメモリー等)
書類 盗難 紛失
・脇の甘さを衝かれる・兆候としての利用
うっかり、不注意
・書類の盗難・紛失・郵送誤配送・メール、FAXの誤送信
・狙われる可能性・職場のモラルダウン
や管理不足
・PC等の盗難
や管理不足
20
不可抗力・PC等の盗難
(海外での強盗)
事例(1) ファイル交換ソフトによる情報流出
社外の調査会社から当社の情報がネット上に流出している旨の連絡が入る
流出もとと見られる社員の個人所有PCを回収し、フォレンジック調査実施
① ③
借用書を発行し社員自宅
流出情報入手
し社員自宅から個人所有PCを回収
流出した情報(メールデータ)を分析し 調査の結果、Antinnyウイルスの感染を
流出情報入手
② ④流出した情報(メ ルデ タ)を分析し流出元と見られる社員を特定
調査の結果、Antinnyウイルスの感染を発見。また、本人インタビューより業務用メールの自宅転送を把握。社員の個人所有PCから情報流出したことを確認所有PCから情報流出したことを確認。
流出データから業務用メールの送信メールアドレス
デ タ送信メ ルアドレスを確認
メールデータの流出
21
私的メールと業務用メールが混在していたため流出もとは個人所有PCと断定
事例(1) ファイル交換ソフトによる情報流出
調査項目 調査結果
■フォレンジック調査の概要
P2Pネットワークへ流出した情報の有無
社外の調査会社からの通報のあった流出内容と同じファイルの存在を確認
情報流出に至った原因の特定
ANTTINYウイルスの感染を確認(TROJ_ANTTINY.AX)
情報流出の時期及び経緯の特定
ANTTINYウイルス感染後、流出ファイルの作成から流出発生に至る経緯を確認
ト利用によるも ト利用以外 情報流出 発生は無P2Pソフト利用によるもの以外の情報流出の有無
P2Pソフト利用以外の情報流出の発生は無いことを確認
■反省点
・調査対象PCの確保に失敗調 対象 確保 失敗社員個人所有PCを確保する前に、上司が当事者本人へ事情を伝えたため、本人が自宅でPC内の流出データを削除。職場上司との連携不足により 本人にPCを操作する時間的余裕を与えてしま た
22
により、本人にPCを操作する時間的余裕を与えてしまった。
事例(2) 技術流出への懸念
(配布割愛)
23
反省と留意点
(事例1) ファイル交換ソフトによる情報流出
デ■ 業務データの自宅PC持ち帰り禁止の徹底 (日頃から徹底)■ 個人所有パソコンの調査について
予め調査準備マニ アル等を整備しておくことが重要・ 予め調査準備マニュアル等を整備しておくことが重要・ 個人PCの確保手順 ・・・ 「借用書」様式の準備・ 個人所有PC内のデータ削除、隠滅工作防止のための対策と手順・ 私的なデータ(画像等)の取り扱い等、プライバシーに関する手順
専門の調査会社等、第三者の調査に委ねる
(事例2) 元技術社員の情報持ち出し
■ 不審な兆候を見逃さない (退職後1年半以上経過~調査にも限界)■ メール、Webアクセスログの保存期間、内容 (古いログは残らない)■ 情報持ち出し確認後の対応マニ アル 手順の整備■ 情報持ち出し確認後の対応マニュアル・手順の整備■ フォレンジック調査を行っても一定の限界がある事を認識する
記憶媒体を接続した履歴は判るが、何を保存したのかは判らない。
24
削除されたデータを全て完全に復元出来るとは限らない
今後の課題(兆候把握と予防策)
■ 事前の備えの徹底 モニタリング対策の実施・後から調査可能なログの取得(サーバ側、端末側)・兆候情報の積極収集(ログの収集~定期的な確認)・不審なログを発見した場合における、調査体制・調査方法の
整備 (特 内部者関与 事案)整備 (特に内部者関与の事案)・営業秘密侵害や転職先の調査・発見方法情報を無断持ち出しする気を起こさせない仕掛け作り・情報を無断持ち出しする気を起こさせない仕掛け作り
■ 海外での調査体制確立海外でのインシデント対応体制の構築・海外でのインシデント対応体制の構築
■ 再発防止に結びつけるための調査に関与した内部者が特定できなくとも 情報流出ル トを・関与した内部者が特定できなくとも、情報流出ルートを特定し、再発防止策を徹底する
■新たな内部者関与インシデントに対する対策■新たな内部者関与インシデントに対する対策・新しい手口の把握と対応策の構築
25■フォレンジック技術悪用の懸念