2014年11月6日木曜日

【参加】今後、機密情報をどう守ればいいのか? 標的型攻撃、内部犯行など、複合化するセキュリティ課題への組織的対処

セキュリティのセミナーをいくつも受講させていたぢていますが、ここまでためになったのは久しぶりです。ZDネットビジネスセミナーはとても学習性の高いセミナーだと感じました。これからも参加したいと思います。
今回の内容は是非経営者もしくはCIOなどの役員レベルの人に聞いていただきたかったです。
やはり、セキュリティはボトムアップからでは難しくトップダウンで考えなくてはいけないと感じました。



以下メモ



今後、機密情報をどう守ればいいのか? 標的型攻撃、内部犯行など、複合化するセキュリティ課題への組織的対処


○なぜ、日本企業は防御偏重のサイバーセキュリティ対策を好むのか
http://www.pwc.com/jp/ja/advisory/research-insights-report/information-security-survey.jhtml
(グローバル情報セキュリティ調査2015の日本語版は12月に公開予定)
・本日サイバーセキュリティ基本法案が通っているはず。
・ネットワークFW導入、マルウェア対策ツール導入は、情報セキュリティが騒がれる前から当たり前のようにやっていたこと。
 それ以外は、セキュリティインシデントが起こるのが当たり前としての対策で、グローバルでは平均的に導入しているが日本はインシデントが起こらないことを前提に導入していない傾向にある。
・一般的にセキュリティインシデントで気が付くことができるのは3割程度。
・近年は大企業が狙われ、被害が大きいインシデントが増えている。
 大企業にほしい情報がある可能性が高い。
 大企業の方がセキュリティツールを導入しているため、気が付く割合が高い。
・2013年と比べると2014年は4%減となっている。
 2013年は標的型攻撃対策のために導入企業が多かったため2014年はその反動があった。
 大企業ほど、セキュリティに対するコストは下がっている。
・セキュリティインシデントの要因は、グローバルで現行要員・退職者などの内部犯行が一番多い。悪意だけではない。
・新入社員向けに情報セキュリティの教育をやっている企業とやっていない企業では被害額に4倍の差がある。情報セキュリティのリテラシーの違いがものを言っている。
・ここ2~3年のサイバーセキュリティの脅威は、質も量も桁違いなものになっている。
 インターネットにつながっていることを前提にセキュリティ対策が必要。
 国家間のサイバー上の対立によって巻き込まれるケースが増えた。
 インターネットにつながるポイントが増えた。
 SNSの普及によって、SNSを利用した攻撃が増えた。
 富裕層と貧困層の差が大きくなったため、貧困層からの攻撃が増えた。
・日本企業は知的財産が多いにも関わらず海外と比べると半分。
 情報セキュリティ投資を増やすと考えている企業は3割程度。
・情報セキュリティ投資の多い会社は以下のような特徴がある。
 セキュリティリーダーがいる。セキュリティ戦略がある。対策の効果測定を行っている。
 情報セキュリティを経営課題と認識しているかどうかの差。
・日本企業は最初の導入時に比較検討する企業が多いが、継続して効果の測定を行っている企業はほとんどない。サイバー攻撃のライフサイクルは早いため、こまめなチェックが必要。
・経営者自らがリードして経営課題として情報セキュリティを進めることが重要。

・グローバルと日本企業ではインシデント発生要因がわからないと答える企業が日本には圧倒的に多い(43%)。要因が分からないと対策も説明もできないため非常に重要。
・セキュリティ教育を社内に実施している企業はグローバルよりも割合が高い。しかし、委託先と契約を定めたり、監査を行ったりしている企業は非常に少ない。
 なれ合いで信用していると判断しているケースが多い。
・内部関係者とは
 日本では従業員のみを考えてしまうが、従業員、退職者、委託業者、以前の委託業者までが対象になる。
 組織に忠誠心が低い、やめようとしている企業や委託先の要員の方が、リスクが高い。
・グローバル企業のCEOが考えるビジネスに影響が大きいと考えている事柄は5番目にサイバー攻撃が入っている。
・金融庁がサイバーセキュリティリスクについて有価証券報告書に記載するように検討を進めている。
・海外ではCIOが情報セキュリティリーダーになっているケースだけではなく、CEOやCFO、監査役員がリーダーを務めるケースが増えている。
 役員クラスからCEOに説明できる人が必要。
 自企業内だけではなく、外部から情報収集する力、人脈を思っている人がリーダーにふさわしい。
 リーダーは担当範囲にかかわらず、リスク管理の得意な役員がリーダーになった方がよい。
・グローバル企業の場合は、各拠点の状況、環境、法令に合わせて対策を行う必要がある。

○標的型攻撃の実態 ~情報漏洩を前提とした対策について~
・kill チェーン:サーバー攻撃のフレームワーク
・攻撃者はPCに強いハッカーではなく、国の後ろ盾を持って行動している人が多い。
・中国の公務員は13~15にお昼休憩をとるため、午前中に攻撃を一番行い、15~18に第2段の攻撃を行う。ロシアは比較的一日中攻撃傾向にあるが概ね中国と同じ時間の流れになる。
・攻撃者の最優先行動は「見つからないようにすること」となっている。
 攻撃者はサイバーセキュリティ対策を厳重にされていることを前提に攻撃を行う。
・パッカー(マルウェアの圧縮ツール)を利用することでアンチウイルスに検知されにくくなる。
・ショートカットを利用した攻撃は非常に多い。
 ショートカットのリンク先にスクリプトを仕込んでいるケースが多い。
・IPS等を回避する方法として、ゼロデイや脆弱性を利用しない攻撃をすることが増えている。
 アイコンの偽装:あえて、本物とそっくりのアイコンを利用する。同じアイコンの場合はIPS等に引っかかる。
 IPSは多層化して各層で違いがないか確認して攻撃を検知する。
 RTO:拡張子を偽装する。
・URLフィルタはブラックリストを利用して検知を行っている。
 回避方法としては、ホワイトリストのサイトから攻撃する。
 例:twitterのツイートに攻撃コマンドを記述する。
・サウンドボックス
 仮想環境でマルウェアの可能性があるファイルを事前に実行して、マルウェアか正常なファイルか確認する。
 ユーザー画面かサウンドボックスの画面の違い、ユーザーはアプリケーションが起動していたり、 アイコンが多かったりする。サウンドボックスの場合上で実行されたと思われる場合は、サウンド ボックス専用のマルウェアを作成し攻撃しサウンドボックスを乗っ取る。
・情報セキュリティ教育を行っていても、URL偽装などで教育を超えた攻撃をすることが多い。
・USBのメモリにキーボードの操作を実行するように埋め込んだものもある。
・攻撃者用のSNSがあり情報共有をしている。
・攻撃を受けた後の対応は、5W1Hで情報を収集し、経営者への報告や官公庁に連絡を行う。しかし、日本企業の場合、情報収集することができない場合が多い。
・フォレンジック:攻撃を受けた際に必要な情報を収集する。
 コンピュータ・フォレンジックとネットワーク・フォレンジックの2種類がある。
 コンピュータ・フォレンジックを利用した攻撃は確認されているが、ネットワーク・フォレンジックを使用した攻撃はほぼない(完全ではない)。
 ネットワーク・フォレンジックで収集した情報は分析、解析が重要。
・脅威除法データベースGINを利用して、攻撃方法を確認することが大事。

○標的型攻撃を防ぐウェブルートのセキュリティ インテリジェンス ソリューション
・攻撃に利用されるマルウェアは既知の脆弱性を利用してマルウェアをカスタマイズして攻撃することが多い。既知の脆弱性に対してパッチの適応などの対策をきっちり行っている企業はほぼない。
・アンチウイルスはクライアントにデータベースを配信して対策を行うが、マルウェアが非常に多くなったため、間に合わなくなっている。また、ゼロデイには対応できない。スピアフィッシング(特定の個人やチームを狙う)の成功率が上がっている。あるチームしか利用しないようなファイルを似せて作って攻撃する。
・アンチウイルスを導入していても数か月間攻撃しないで通常ファイルとして認識させた後にいきなり起動するような事例も増えている。
・脅威インテリジェンス(脅威の情報収集)を重視し、対策を常に行うことが大事。
・1日に発見される悪意なURLは470万中25000。
 1日に77万の未知のファイルが発生している。活動する悪意なファイルは600万。1日作成されるフィッシングサイトは1000。9億のIPのうち悪質なアドレスは7万が更新されている。
・クラウド型のセキュリティ製品の特長
 セキュリティ情報をビックデータとして扱って分析し、脅威になるファイルやURL、IP等をフィルタする。
 ビックデータを機械学習させて、脅威をコンピュータに理解させる。判断が難しい未知のファイルやURLでも検知できる確率が上がる。
・MRTI:脅威インテリジェンス
 ポイント
 カバー範囲の広さ
 多角的な視野と正確さ
 分析能力の高さ
 拡張性
 特定業界への特化
・未知に対する脅威の分析は、1つの不審なものに対してその関連情報(バックのIPやファイル等)の分析が必要。

○今年発生した重大な情報漏えい事故から学ぶ ~被害を最小限にするための情報管理とガバナンス

・個人情報・機密データをばらばらに持っているとそれだけセキュリティ対策を行わないといけないため管理コストがかかる。
また、削除依頼が来た場合に対象の個人情報すべて削除できない可能性がある(範囲が不明になる)。
・ウイルス感染後、PCをフォーマットしてしまい、情報収集できず原因特定ができない場合がある。
・インシデント管理の原則は「被害の極小化」
 事故が発生しても影響が出ないような仕組みづくり(事故ではなく事象で済ませる)。インシデント0件にできる。
 影響を少なくするためには、「事故に気が付く」体制が必要。
・WEB改ざんが起きた場合、ユーザーがアクセスする前に気が付く対応できれば、事故にならずに済む。
 つまり、監視はユーザーアクセス間隔よりも短くしないといけない。
 →監視は企業で実施するよりクラウド型のサービスを受ける方が圧倒的に安いし品質も高くすることができる。
・出勤簿を見ると社内犯罪の特定をすることができる。
 遅刻が多い人:会社に対する忠誠心が低い。
 残業が多い人:上司の机が汚く、故意でなくとも機密情報を見てしまうことがある。
・動機
 外部犯の場合は目的達成したら1度しかやらない場合が多い。
 内部犯の場合は小さい犯行を何度も実施し最終的に大きな被害になる。また、機会を与えないように机をきれいにする、機密資料は鍵付きロッカーに入れる等の基本が重要。従業員の管理(勤怠チェック等)も必要。
・組織づくりは連絡体制を作ること。
 指示をすると部下に責任が移動し、報告すると責任が戻ることになる。
・リアルタイムに情報収集できないようではだめ。
 事故報告書が来ても処理しきれない場合が多いため、機械で集計できるようにすることが大事。
・ガバナンスは経営陣が現場を知ること。
 セキュリティ情報は一元管理しないと集計、分析、知ることができない。
・ゼロデイを気が付くには攻撃後の振る舞いを管理・分析する。
・情報セキュリティは現在コスト。次のステージは活用、業務改善にする。ここまでできている企業は日本にないといってもよい(少なくともIPAに事例はなし)。
・新入社員のときに教育を行っても現場ではできていないことがある。
 たとえば、officeのバージョンアップをするとパスワードがつけられなくなることが多い。手順書やマニュアルが更新されていなかったり、バージョン毎に手順書やマニュアルが用意されていなかったりする。
・情報セキュリティは科学。個人の努力に依存している情報セキュリティは失敗する。
 誰がやっても同じ結果が出るセキュリティでないとだめ。
・ユーザーが気が付ない情報セキュリティが理想。
・個人情報などのラベルがついているだけではだめ。
 個人情報のオーナーは各個人。
 利用は部門の人
 管理者はどの部門
 →これは「取扱注意」で十分に設定できる。
 個人情報というラベルを付けるとそれが個人情報とわかってしまう。
・メールの添付ファイルは危険。5人の部下に作業報告書を書かせるために添付ファイルを送ると27個のファイルができることになる。
 →ファイルサーバにおけばよい。同時編集ができるようにすればよい。また、編集履歴が残るようにする。
・経営陣には問題があることを伝え、どうすれば管理できるか経営陣に考えさせることが重要。
・セキュリティは機能ではなく業務で考える。業務の中、情報のルートで考える。
・情報セキュリティは目的を明確に。
 失敗は情報資産ベースに考えてしまっている。情報の分類ができるようにする。
・攻撃者が知っている情報に対して対策する。
 対策の影響とコストを比較し、どこまで許容できるか考える。
・影響に合わせたコスト計算が必要。
 セキュリティ対策を行ったシステムが停止した場合、どれくらいのコストがかかるか考える。
システムが停止した場合、残業させる(調査、対策、報告、業務等の理由)場合のコストと情報セキュリティ対策のコストを比較する。

0 件のコメント: