企業を取り巻く情報セキュリティ上の脅威とその対処

立命館大学情報理工学部　上原哲太郎

情報セキュリティ Summit 2016 Spring2016.2.5 @ 目黒雅叙園

情報セキュリティ界隈が騒がしく企業の情報システム担当は大変B 社個人情報大量漏洩事件 日本年金機構情報漏洩事件

マイナンバー制度開始

内部不正 サイバー攻撃

法的義務

ベネッセ事件の大きな構図

連絡先など顧客名簿

サービス利用者やアンケート回答者ベネッセの社内情報システム

管理端末不正な持ち出し

ベネッセ システム管理子会社（シンフォーム）

（元）社員

開発管理委託業務委託

業務受託システム会社

派遣

名簿業者

抽出

3社に売却 業者間で転売・流通名簿業者

名簿 流出名簿競合する通信教育事業者

流出名簿販売ダイレクトメール 利用送付

流出名簿

流出名簿データベース

大きな影響が… 5 次に渡る集団訴訟提起

原告計 10729 名　一人あたり 55000 円 会員数の減少

2014 年 4 月 365 万人→ 2015 年 4 月 271 万人 しかし、本当に防げた事故だったか？ちゃんと「端末管理」されていた

MTP 問題に事前に気づける？私物スマホ持ち込み禁止できる空気？他社の「持ち出し→事故」事案に比べ…

ベネッセの事後対応 LAC と共同で情報管理専門会社を設立 業務システム見直し 第三者委員会による定期的監査

ベネッセ Web ページより

内部不正は防ぐのが大変 システム管理権限を持つ者が不正すると… アクセス制御を厳格化すると業務が… 経理不正防止と同様の考えが必要

権限最小化、相互監視、監査… 結局はガバナンスの問題

IPA 「組織における内部不正防止ガイドライン」データベース・セキュリティ・コンソーシアム 「 DB 内部不正対策ガイドライン 1.1 版」などなど…やっぱり経営層が見てくれないとなぁ…

年金機構事件の大きな構図

LAC 「日本年金機構の情報漏えい事件から、我々が得られる教訓」より

こんなの実は日常茶飯事 同種案件は 2014 年秋には…

既に 100以上の Emdivi被害例 「通り魔が本気になった」だけかも？

個人情報漏洩「だけ」が騒ぎになる不幸 「個人識別情報」だから事件化・報道に 防ぐべきは悪用　守るべきはプライバシー

何を反省するべきか IT投資の不足

基幹系だけで業務が完結すべきところをエンドユーザコンピューティング（ EUC ）常態化 EUC を「情報系」で行うリスクを甘く見た業務上不可避なら閉鎖環境を作るべき

インシデントレスポンス体制の不足 GSOC からの連絡後にリスク判断が出来ていない 業務やシステム構成が「臨戦態勢」になってない

事件の教訓を生かす 年金機構、厚労省、 NISC 　 3 つの報告書→事の詳細が明確に　これは国の宝 自治体情報セキュリティ対策支援チーム中間報告→「自治体システムの強靭化」

マイナンバー関連他の行政情報 インターネット接続端末

切断 インターネット

一般企業でもいろんな攻撃者愉快犯→思想犯 明確な目的技術誇示目的

さらに外部か内部かなど…

思想信条の表現「集団暴走」

怨恨金銭目的

破壊工作・諜報

限界が来た「境界線防衛モデル」LAN

内部サーバFile,DB,Apps…

外部サーバWeb,Mail,DNS…

DMZ Internet

境界線を設定し、境界を越えるデータを制限 /検疫して「安全な世界」を脅威から守る…しかし今や「境界線」は作れない

汚れた世界安全な世界 ?

攻撃のほとんどはメールか Web ファイアウォール /proxy越えは容易

13

攻撃者

罠を張ったサーバ ファイアウォール

内部システム

誘導 URLを含むメール

マルウェア等を含むメール

もはや「入れないようにする」のは困難 多層防御　多段階防御はもう常識

入口対策＋出口対策＋「真ん中対策」 攻撃の各段階で可能な限り攻撃者の手を縛る「意地悪セキュリティ」初期侵入から目的達成までは時間がかかっているはず時間を稼げる対策をしてその間に発見することを期待

IPA 「高度標的型攻撃」対策ガイドほぼ毎年改訂されてきたシステム設計ガイドの集大成ポイントは「侵入されないこと」ではなく「侵入されたことを　　発見しやすい」「侵入されても被害が　大きくなりにくい」こと

Many, too many

組織内

データセンター＆クラウド

従業員自宅テレワークノマドワーク

持ち出しデータ

関係組織 / 委託業者 / サプライチェーン

契約社員

この状況で戦えますか？ 多すぎる敵　少なすぎる人と予算

マルウェア0-day 攻撃

データ持ち出し

不正アクセス

DoS 攻撃フィッシング

ランサムウェア

踏み台ファイアウォール

システム障害 フォレンジック

IDS/IPS

SPAM

サンドボックス暗号化

端末管理SIEM

ウィルス対策ふるまい検知

DVI

「マイナンバー対応」

無理なものは無理！標的型メール対策してね！

ご無体な！

いくら防衛しても標的型メールは届く !

どんなに訓練しても社員はメールを開く！マルウェア対策していたって標的型なら防げない！

どこか良いツールを探してきて！でも予算は限られてるからね！

ところで？ イマドキの ATM

中身は Windows後ろに Ethernetカードの規格も知られている

中はもちろん現金いっぱい

電子的には穴はない？

どっちがシステム的に安全ですか？パソコンタブレット

ツブシが効くのはパソコンだが…「何でも出来る」ことが厄介！

汎用 vs 専用　多機能 vs単機能 全入力・全機能に渡る脆弱性検査は汎用・多機能では困難になる

正しい入力・操作012abc…チェック＆ OK…

間違った入力・操作yz□ ？※… OK100 連打…

可能な全ての入力や操作

正しく処理

正しくエラー脆弱性 侵入

KISS 原則＝ Keep It Simple and Stupid

パソコンの本質！

無駄に複雑な IT にしてませんか サイバー犯罪統計が昨年初めて

Excel データを公表

なんでこうなるのか？　ネ申 Excel 問題！

本当にそれは必要ですか添付ファイルつきメールは業者との連絡に必須で…基幹システムに決済システムがあってそこにネットからの文書を添付しないと…

メールじゃなくてファイル授受サーバをクラウド上に作れば？

決済権者がその文書を本当にそのシステム上でチェックするの？

問題の所在はどこか 経営に IT が「正しく」組み込まれていない

IT は業務への使われ方が本質的でない ワープロを清書ツール、 Excel をそろばんの代替メールを郵便の代替として使っている

本質は業務における「データフロー」の最適化 それが整理されないので情報管理ができずリスクポイントばかりが増えてゆく

まずは業務を IT に合わせ見直し効率化それがリスクの所在を顕在化させ効率のよい守りに繋がってゆく！

標的はシステムではなく「人」人にデータを食わせる Web とメール 脆弱性対策はシステム管理でやればよい 現状狙われているのは「人」に不定型なデータを拾わせる機会本当にそのデータを人手で扱わせるのは必要なのかもう一度問い直そう

CSV を落として列を加えてコピペして一部手で直して再度 Upload…

データ選択クリックおわり！

今後はこれを比較しよう

業務改善システム化コストセキュリティ対策コスト

セキュリティのために仕事をするのではなく仕事のために IT を使い、そこにセキュリティを見いだす 26

おわりに 「現場力」に頼るのは経営の甘えメリハリあるガバナンスを 業務効率化とセキュリティは決して相反しない！

一番なおざりなのは業務の効率的 IT 化 まずは強靭な業務システムの構築次にセキュリティ事故の早期発見と拡大防止に重点は移っている そのためにも今から意識改革を

　

　　

情報セキュリティ対策情報漏えい・情報流出等

（公財）京都産業２１お客様相談室

ＫｓｉｓｎｅｔＩＴ相談窓口

研修・セミナー対応

システム向上・ IT事故対応

府内中小企業

連　携

中小企業応援隊

連　携連

　携

情報発信

一般社団法人京都府情報産業協会

ｼｽﾃﾑの向上・ＩＴ事故対応

　府内大学教授　

セミナー開催・講師派遣

京都府警察

犯罪のおそれのある事案

犯罪・事件対応

相談

中小企業は一番の弱みこれを守るために…地場を地場で守る産学公連携組織

http://ksisnet.com