企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝

Copyright © NTT Communications Corporation. All rights reserved.

企業ICTのリスクマネジメントを強化する３つの視点 NTTコミュニケーションズ株式会社

経営企画部マネージドセキュリティサービス推進室

セキュリティ・エバンジェリスト, CISSP

竹内文孝

2015年10月8日



標的型メールによるサイバー攻撃の事例

3

C&Cサーバ（※1）

①標的にマルウェアを侵入させる

③新たなマルウェアをダウンロード

④外部から端末を遠隔操作

攻撃者

バックドア

標的企業

⑥攻撃命令と、それに基づく情報漏えいなど

⑤侵入範囲を拡大、目標の情報資産に到達

マルウェア配布サイト

(※1)Command&Controlサーバ：攻撃者がマルウェアに指令を送り、制御するためのサーバ

②マルウェアに感染

FW,IPS,proxy, etc･･･

AS,AV, etc･･･

4,906件

356種類

10.1%

39件

170億件 53日間のログ量


日本が標的に！？「Blue Termite」の脅威

4

日本国内の組織を標的としたBlue Termiteが日本全国で猛威をふるっており、これまでに少なくとも300組織でインシデント発生! 攻撃手法や被害規模ともにこれまでとはレベルの異なる脅威で現在も進行中!!

被害状況

攻撃手法

攻撃者像

外部からの通報で発覚し、その時点で感染から2～3ヶ月以上経過。数十台規模のPCが感染し、イントラ内のサーバーまで侵入。社員情報やメール等の探索行為が多く、特に経営層は執拗に攻撃。

マニュアル操作による適応的な手段で既存のセキュリティ対策を回避。個別C&Cサーバを用意するなどブラックリスト化を回避。平日9時～19時に活動し、正常トラフィックに紛れて攻撃。

豊富な資金をもつ組織が戦略性の高い作戦に従事。特徴的な言語の形跡が所々見受けられる。機密情報や金銭が目的ではなく、日本人の名寄せ情報を収集。

真の目的

は何か？

（仮説）現段階は情報収集フェーズ。真の攻撃はこれから・・・

災害対策と同様に危機管理の観点でセキュリティ対策の投資が必要


インシデント発生要因から見える課題

5

（出典：PwC「相互につながった世界におけるサイバーリスクマネジメントグローバル情報セキュリティ調査2015」）

以前の委託業者

わからない

委託業者

ハッカー

退職者

現行の従業員 27%

11%

18%

5%

8%

43% 18%

18%

15%

24%

30%

35%

日本（n=206）グローバル（n=9,329）

①原因究明できてない ⇒ 潜在リスクを放置


わからない

委託業者

ハッカー

退職者


11%

18%

5%

8%

43% 18%

18%

15%

24%

30%

35%

日本（n=206）グローバル（n=9,329）


インシデント発生要因から見える課題

6

（出典：PwC「相互につながった世界におけるサイバーリスクマネジメントグローバル情報セキュリティ調査2015」）

②内部関係者が51% ⇒ 内部不正は経営責任


わからない

委託業者

ハッカー

退職者


11%

18%

5%

8%

43% 18%

18%

15%

24%

30%

35%

日本（n=206）グローバル（n=9,329）

Copyright © NTT Communications Corporation. All rights reserved. 7

企業ICTのセキュリティリスク（振り返り）

日本を狙う標的型攻撃

企業ICT環境に潜伏する脅威とリスク

既存対策を回避する

攻撃

経営層を狙う執拗な

攻撃

戦略的で適応的な攻撃

潜伏活動ウイルス

侵入感染

ウイルス巧妙化悪質化

豊富な資金源を持つ組織

内部不正

バックドアから不正アクセス

情報漏洩



リスクマネジメントの強化ポイント “１．２．３．”

9

「企業価値向上」「社会的責任」

の達成!!

■株式市場の高評価とブランド価値向上 ■事故時のネガティブな反応の抑制等

＋ 1.持続可能なリスクマネジメントフレームワークの導入

2.インシデント対応ライフサイクルの強化

3.グローバル環境下の情報セキュリティガバナンスの導入

標的型攻撃は企業ICTの弱点を突いて戦略的に作戦を実行する

社内体制の整備

Step 1

実行レベルの強化

Step 2

グループ全体の底上げ

Step 3

情報資産を守る

経営を守る

CSIRT

経営

子会社

取引先

他

CSIRT

情シス

事業部


持続可能なリスクマネジメントフレームワークの導入

10

１

情報セキュリティとリスクマネジメント活動をシステムライフサイクルに組み込み構造化

【参考文書】 Copyright（c）2011 IPA NIST（米国国立標準技術研究所） Special Publication 800-37

「連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド」より抜粋

投資効果の評価

投資効果の指標

企画設計

開発構築

運用

改善

step1

分類 Step2

選択

Step3

実施

Step4

評価 Step5

認可

Step6

監視

リスクアセスメント

セキュリティ対策の決定

システム監査

脆弱性診断

パッチ管理

イベント監視

インシデントレスポンス

再発防止策の展開


インシデント対応ライフサイクルの強化

11

２

ウイルスは既存対策を回避して侵入し水面下で攻撃を実行する

インシデントを前提とした対策とその実行力の強化が求められる！

【準備】

・プロセスの整備・人の体制化・技術の導入

【事故後の活動】

・事故全容の把握・コストの把握・再発防止策の立案

【検知と分析】

・前兆を知る・兆候を掴む・攻撃を把握する

【封込、根絶、復旧】

・封じ込めの実行・感染源の識別と駆除・封じ込めの解除

有事の際の体制強化

*出典：NIST (National Institute of Standards and Technology)発行「Guide to Malware Incident Prevention and Handling」（マルウェアによるインシデントの防止と対応のためのガイド）の「Figure 4-1. Incident Response Life Cycle」（インシデント対応のライフサイクル）


グローバル環境下の情報セキュリティガバナンスの導入３

グローバル基準の共通管理策全世界で適用される基本となるセキュリティ対策基準、グローバル基準

ローカル基準の固有管理策

情報システム‘A’


情報システム‘Z’

ハイブリッド管理策


各国、地域の法制や習慣、またシステム固有の特徴等を加味したローカル基準

RMF

一般的な管理策のグローバル展開

共通的なセキュリティポリシーの策定と配布

ポリシーに基づく拠点毎の対策実装と運用

グローバル基準は費用対効果と一貫性を向上させリスクマネジメント活動を単純化ローカル基準は各国規制や慣習、システム固有の特徴を補完グローバル基準とローカル基準のハイブリッド型で高品質かつ低コストを両立

＜一般的な現状課題＞

・システム管理者のスキル・導入対策のスペック

・運用プロセス・システム利用者のモラル

ハイブリッド型セキュリティ対策ポリシーの展開

グローバル基準

ローカル基準

共通ポリシー

北米ポリシー

欧州ポリシー

APAC ポリシー

日本ポリシー

さらに、グローバル環境で対策レベルを統制するには

【IT基盤や体制の共通化、統合化】・セキュリティ機能が充実した

クラウドサービスの利用・セキュリティ機能が充実したネットワークサービスの利用

利害関係者

方向付け

モニタリング

評価

報告











RMF












RMF















RMF


















RMF










ローカル基準

共通ポリシー

北米ポリシー

欧州ポリシー

APAC ポリシー

日本ポリシー











RMF










ローカル基準

共通ポリシー

北米ポリシー

欧州ポリシー

APAC ポリシー

日本ポリシー

さらに、グローバル環境で対策レベルを統制するには

【IT基盤や体制の共通化、統合化】・セキュリティ機能が充実した

クラウドサービスの利用・セキュリティ機能が充実したネットワークサービスの利用



NTTコムの総合リスクマネジメントメニュー

19

プロフェッショナルサービス

セキュリティ対策機器/ソフトウェアの導入サービス

マネージドセキュリティサービス

持続可能案リスクマネジメ

ントフレームワークの導入

インシデント対応ライフ

サイクルの強化

グローバル環境下の情報セ

キュリティガバナンス導入

１２３


プロフェッショナルサービスのメニュー

20

◆ ２5年にわたる豊富な経験と実績（8000件以上）

メニュー対策概要

コンサルティング

グローバルコンサルティング

Global Enterprise Methodology (GEM)に基づくグローバル企業向けコンサルティング、情報セキュリティマネジメント第三者評価

セキュリティポリシー作成支援情報セキュリティポリシー基本方針、対策基準、対策手順までの作成を支援

システムリスクアセスメント/ セキュアプランニング支援

ITシステムセキュリティのベストプラクティスとのギャップ分析によるリスク評価効果的なセキュリティ対策の計画立案を支援

CSIRT/SOC構築支援インシデントレスポンス体制整備およびSOC構築支援

レスキュー総合インシデントレスポンス

緊急事態にプロフェッショナルエンジニアが調査・分析を実施初動対応、調査分析、改善提案まで提供

インシデント初動対応パック情報の整理、事象の把握と調査、被害の拡大防止までを実施

脆弱性診断プラットフォーム脆弱性診断 OSやミドルウェアなどの脆弱性を検出、リスクを可視化

Webアプリケーション脆弱性診断 Webアプリケーションの脆弱性を検出、リスクを可視化

脆弱性マネジメント

セルフ脆弱性診断脆弱性診断～対策管理までを定期的・継続的にお客さま自身で行う環境を提供

総合脆弱性マネジメント CSIRT向け管理/統制支援（システム情報管理、脆弱性検出/通知、対策/リスク管理機能をお客さま専用基盤として提供）


既知の脅威を境界で検知／防御します！

標的型攻撃からICT環境を守る多層防御と連携防御

グローバル共通

脅威対策

個社別脅威対策

潜伏型脅威対策

入口出口

未知の脅威を精密検査で検知／通知します！

端末に潜伏した脅威を封じ込め、根絶します！

ログ収集

分析

通知

対処

お客様ICT環境

GROC Global Risk Operation Center

21


マネージドセキュリティサービスのメニュー

グローバル共通脅威対策

個社別脅威対策

潜伏型脅威対策

・インターネットと社内ネットワーク、重要セグメントの境界で、既に認識されているウイルスや攻撃手法など既知の脅威を検知／防御。

・監視対象システムの特徴に応じて監視ポリシーチューニングを行い誤検知ならびに対応コストを低減。

・最新の脅威情報に基づいてカスタムシグニチャを迅速、的確に作成／適用し、セキュリティ製品の効果を最大限に発揮。

・標的型攻撃など「グローバル共通脅威対策」で防御できない未知の脅威を検知／通知。検知した脅威は分析し個社別の兆候情報として収集。

・メール添付やWebダウンロードにより侵入した悪性ファイル等を仮想環境で精密検査しリアルタイムに検知／通知。

・ICT環境から生成される各種ログを独自開発SIEMと24h×365dアナリストが分析し、異常な振る舞いや不正アクセスを可視化。

・個社別に収集した兆候情報を既存セキュリティ対策に展開し連携防御。

・上記対策を回避、または持ち込まれてサーバやPC端末などに到達／潜伏したウイルス等の挙動を検知し、封じ込め、ログ収集を遠隔制御。

・被害端末のログを分析し攻撃内容の詳細を把握。その情報をもとに同事象の端末を探索し2次感染ならびに拡散を防止。

・「個社別脅威対策」をご利用の場合、個社別に収集した兆候情報を活用し潜伏した脅威を探索。

■ネットワークセキュリティ・Firewall ・IPS/IDS

■コンテンツセキュリティ・Email-Anti-Virus ・Web-Anti-Virus ・URL Filtering ・Application Filtering

■リアルタイムマルウェア検知・RTMD Web/Email (On site) ・Cloud base RTMD

■CLA （非セキュリティ機器との相関分析）

■End Point Threat Protection

・Analysis & Blocking ・Validation & Isolation

22


ご清聴ありがとうございました。

本セミナーでご紹介しましたサービスは「 WideAngle マネージドセキュリティサービス」です。ぜひ展示エリアにお越しください。

印の場所に展示しています。