金融庁ガイドライン改定ポイント 侵入を前提としたセキュリティ対策「入口・内部・出口での多層防御」...
TRANSCRIPT
⾦融庁ガイドラインの改定ポイントと侵⼊される事を前提とした対策の必要性について
ネットスカウト・システムズ・ジャパン株式会社
©2015 NetScout Systems, Inc. All rights reserved.
⾦融庁ガイドラインの改定ポイントと
侵⼊される事を前提とした対策の必要性について
2015 年 7 ⽉ 24 ⽇
ネットスカウト・システムズ・ジャパン株式会社
シニアセールスエンジニア
宮澤 巧
⾦融庁ガイドライン改定にある背景 昨年 6 ⽉に発覚した教育サービス企業⼤⼿による数千万件に及ぶ個⼈情報漏洩やその 3 ヶ⽉後の
9 ⽉に発覚した運送業⼤⼿による(※当初数⼗万件と予想されるも)数千件の個⼈情報漏洩など、2014 年
を振り返ると、外部からの不正アクセスによる被害だけでなく、業務委託先も含めた内部関係者による情
報漏洩事件が⽬⽴った 1 年ではなかったでしょうか?
情報セキュリティ 10 ⼤脅威
出典: 情報処理推進機構(IPA) 2015 年
⾦融庁ガイドラインの改定ポイントと侵⼊される事を前提とした対策の必要性について
ネットスカウト・システムズ・ジャパン株式会社
©2015 NetScout Systems, Inc. All rights reserved.
情報処理推進機構(IPA)が今年 2 ⽉に発表した情報セキュリティ 10 ⼤脅威によると 1 位がイン
ターネットバンキングやクレジットカード情報の不正利⽤、2 位が内部不正による情報漏洩、3 位が標的
型攻撃による諜報活動となっており、これらの事件が氷⼭の⼀⾓であり、如何に数が多かったが伺えます。
インターネットバンキングに係る不正送⾦事犯の発⽣状況等について
出典: 警察庁 2015 年
また、同じく今年 2 ⽉に警察庁が発表した広報資料によると、インターネットバンキングに係る
不正送⾦被害件数はこの 2 年で約 30 倍に、被害総額については約 60 倍に増えています。
出典: ⾦融庁 2015 年
これらを背景に、⾦融機関においても情報セキュリティ管理体制のあり⽅について⾒直しが求めら
れた反省を踏まえ、今年 2 ⽉に⾦融庁より「⾦融検査マニュアル」および「監督指針」の⼀部改正が公表
され、パブリックコメントを反映し、今年 4 ⽉より適⽤が開始されました。
⾦融庁ガイドラインの改定ポイントと侵⼊される事を前提とした対策の必要性について
ネットスカウト・システムズ・ジャパン株式会社
©2015 NetScout Systems, Inc. All rights reserved.
⾦融庁ガイドラインの改定ポイント 「検査マニュアル」については業種別に「⾦融検査マニュアル」と「保険検査マニュアル」が有り、
「監督指針」についても「主要⾏等」「中⼩・地域⾦融機関」「保険会社」「⾦融証券取引業者」等業種
別に分かれていて、ほぼ同様の改正が⾏われております。
⾦融庁ガイドラインの改定ポイント 改定ポイント 概要
情報セキュリティ管理 外部委託先社員等によるカード偽造・不正出⾦事案等を踏まえ、顧客に関する情報の厳格な管理体制
や外部委託先に対する適切な管理体制について、監督上の着眼点として明確化
サイバーセキュリティ管理 2015 年 1 ⽉のサイバーセキュリティ基本法の施⾏を踏まえ、⾦融機関が重要インフラ事業者等であ
ることなどから、サイバーセキュリティ管理体制の整備状況について、監督上の着眼点として明確化
インターネットバンキング インターネットバンキングに係る犯罪⼿⼝が⾼度化・巧妙化していること等を踏まえ、預⾦等取扱⾦
融機関におけるセキュリティ対策や顧客への対応について、監督上の着眼点として明確化
何れもシステムリスク管理に関するものですが、「情報セキュリティ管理」が“既存の枠組み”の強
化を促す⼀⽅、「サイバーセキュリティ管理」と「インターネットバンキング」は深刻化するサイバー攻
撃に対する“新しい枠組み”を要求している点が重要な改定ポイントとなります。
尚、サイバー攻撃に対する監視体制については CSIRT を設置する事としてガイドラインでは⾔及
されていますが、本ドキュメントでは詳細は割愛します。
では“新しい枠組み”とは何でしょうか? 「検査マニュアル」と「監督指針」を読み解くと“多層
防御”という表現が使われています。 情報通信推進機構(IPA)によると、
“多層防御” =「特定のセキュリティ対策製品を導⼊しただけでは被害を防ぐことができない
場合があるとし、ウイルス感染予防だけでなく、感染してしまうことを想定した
上で、感染後の被害低減のために複数の対策を多層で⾏う事」とあります。
では「特定のセキュリティ対策製品」とは何でしょうか?
⾦融庁ガイドラインの改定ポイントと侵⼊される事を前提とした対策の必要性について
ネットスカウト・システムズ・ジャパン株式会社
©2015 NetScout Systems, Inc. All rights reserved.
多層防御における主なセキュリティ対策と適⽤箇所 主なセキュリティ対策と特定のセキュリティ対策製品の特徴
対策 説明 特定のセキュリティ対策製品
⼊⼝対策 攻撃者の侵⼊を防ぐ為の対策 ファイアウオール・ウイルス対策・スパム対策・マルウエア対策・IPS・WAF
サンドボックス
内部対策 深く⼊りこまれない為の対策 特権 ID の管理・ログ分析・DLP
出⼝対策 情報を持ちだされない為の対策 ファイアウオール・IPS・プロキシーサーバー
特定のセキュリティ対策製品の適⽤箇所
このように、特定のセキュリティ対策製品を多層に⽤いる事で防御をより強固にする事が出来ます。
しかしながら果たして本当にこれで万全なのでしょうか? 報告によると、情報漏洩があった企業の多く
がこれらの対策を既に講じていたにも関わらず、内部不正⼜は標的型攻撃による諜報活動によって情報漏
洩が発⽣しました。
⾦融庁ガイドラインの改定ポイントと侵⼊される事を前提とした対策の必要性について
ネットスカウト・システムズ・ジャパン株式会社
©2015 NetScout Systems, Inc. All rights reserved.
⼊⼝対策・内部対策・出⼝対策の問題点と対策 内部対策の問題点は⼀旦侵⼊されてしまうと無策になるという点に尽きます。 これは、標的型の
マルウエアに⾼度な隠蔽⼯作が施されているからで、攻撃者は侵⼊後特権 ID を取得し、機密データにアク
セスをしイベントログを消去します。 イベントログを消去されたら当然ログ分析は出来ませんので内部
対策も万全ではありません。 また、攻撃者が機密データを外部に持ち出す場合、トンネリングされた通
信は通常の通信と遜⾊がなく、検知をする事は困難です。
多層防御に⽋けているのは侵⼊され、ログが消去された状態でもトンネリングされた通信を含む全
ての通信証跡を収集・分析・管理する仕組みです。 全て、という部分が重要で、「○⽉○⽇○時○分に
〇〇というユーザーが〇〇というサーバーから〇〇というファイルを○件ダウンロードした」という情報
はパケットデータからのみ知り得る事が出来ます。 仮想化によりブラックボックス化するサーバー環境、
広帯域化するネットワーク、そして IoE/IoT の発達により今後さまざまな機器がネットワークに接続され
る中で、如何にして横断的かつ効率的にパケットデータを収集・分析・管理するかが重要となります。
導⼊イメージ
⾦融庁ガイドラインの改定ポイントと侵⼊される事を前提とした対策の必要性について
ネットスカウト・システムズ・ジャパン株式会社
©2015 NetScout Systems, Inc. All rights reserved.
専⽤パケットキャプチャアプライアンスにおける通信証跡の異常検出例
据え置き型となる専⽤パケットキャプチャアプライアンスでは 24 時間 365 ⽇、全ての通信証跡
を収集可能です。 ①任意の時間帯を指定すれば、その時間帯に絞った形で通信証跡を⾒える化します。
②エキスパート解析機能を⽤いれば、セッション単位の TCP フラグの分析やトランザクション単位のアプ
リケーションエラーの分析など、レイヤー単位で通信の異常を⾒える化します。 ③パケット解析機能を
⽤いれば、任意のトランザクションにおいて○○というファイルがダウンロードされたという特定も可能
です。
専⽤パケットキャプチャアプライアンスを⽤いることで、ログが消去された状態でもトンネリング
された通信を含む全ての通信証跡を収集・分析・管理する事が可能になります。
⾦融庁ガイドラインの改定ポイントと侵⼊される事を前提とした対策の必要性について
ネットスカウト・システムズ・ジャパン株式会社
©2015 NetScout Systems, Inc. All rights reserved.
まとめ
サイバー攻撃による脅威が深刻化する中で⾦融庁ガイドラインも改正され、⼀般企業だけでなく⾦
融機関においてもサイバーセキュリティー管理体勢の構築が求められています。 「サイバーセキュリテ
ィ管理」と「インターネットバンキング」に対抗する新しい枠組みとしては、⼊⼝対策、内部対策、出⼝
対策といった⼀般的な多層防御だけではなく、侵⼊される事を前提とした対策が不可⽋で、それは専⽤パ
ケットキャプチャアプライアンスを⽤いた通信証跡の収集・分析・管理に他なりません。
ネットスカウト・システムズは1984年の創業から30年、⼀貫してパケットキャプチャ⽅式を⽤い
た通信証跡管理製品の開発・販売に取り組んできたリーディングカンパニーです。 世界中の主要⾦融グ
ループ並びに証券取引所への豊富な導⼊実績を元に最適なソリューションをご提供致します。
ネットスカウト・システムズ・ジャパン株式会社
〒105-6027 東京都港区⻁ノ⾨4-3-1 城⼭トラストタワー27F
TEL: 03-5403-4826
FAX: 03-5403-4646
http://www.netscout.com/
mailto:[email protected]
⾦融庁ガイドラインの改定ポイントと侵⼊される事を前提とした対策の必要性について
ネットスカウト・システムズ・ジャパン株式会社
©2015 NetScout Systems, Inc. All rights reserved.
会社概要