サイバーセキュリティ強化の新たな考え方...セキュリティ情報収集...

Fu j i tsu Security Forum 2016

Copyright 2016 FUJITSU LIMITED

2016年11月30日富士通株式会社サイバーセキュリティ事業戦略本部エバンジェリスト太田大州

サイバーセキュリティ強化の新たな考え方～技術革新と人材育成の重要性～


目次

1. ICTセキュリティの課題

2. 富士通の取り組み

3. 新たな成長に向けた挑戦

1

中表紙サブタイトル18pt ○○○○○○○○○○○○○○○○○○○ ○○○○○○○○○○○○○○○○○○○ ○○○○○○○○○○○○○○○○○○○ ○○○○○○○○○○○○○○○○○○○

中表紙タイトル32pt

サイバーセキュリティの課題 1. ICTセキュリティの課題 1.

2

Copyright 2016 FUJITSU LIMITED 2


あらゆるモノがつながる世界

通信農業

官庁自治体

位置情報放送

家庭 (家電)

電気・ガス水道

交通交通

物流

医療

製造

航空管制システム

列車運行システム物流配送システム

医療介護システム

生産管理システム

GPS 緊急速報システム

スマートメーター

スマートメーター上水道システム生育管理システムタブレット・スマホ

住民情報システム電子申請システム

サイバー空間

リアル空間 3


デジタル技術の波

サイバー空間は、

ますます拡大、高度化

デジタル技術はクラウド

モバイル、IoT、AIと

セキュリティの

集合体へ

AIとロボティクス

第4の波

Internet of Things 第3の波

500 億以上（2020年）

Mobile Internet 第2の波

100 億（2010年）

Internet

第1の波

ユーザー数/デバイス数 10 億（2000年）

4


お客様の重点課題

70.5%

64.8%

58.1%

55.2%

50.5%

49.5%

47.6%

45.7%

42.9%

41.0%

26.7%

26.7%

33.3%

37.1%

34.3%

40.0%

45.7%

32.4%

40.4%

32.4%

2.9%

8.6%

8.6%

7.6%

15.2%

10.5%

6.7%

21.9%

17.1%

26.7%

20.セキュリティ対策

22.制度・法令への対応

21.BCP(事業継続対策)/災害対策

5.間接費低減

4.売上原価低減

10.現場業務の強化(業務改善全般）

11.事業・業務可視化(経営)基盤強化

2.販売力強化

12.人材強化・育成の仕組み整備

7.技術力強化 a.今後１、2年で対応優先度が高い b.中期的(3～5年後まで)に対応が必要 c.優先順位は低い/対応予定なし

情報システム部門からみた企業課題傾向と対応状況（※上位10項目のみ記載）

※出典：第37回情報化調査 LS研ICT白書～会員企業におけるICT活用に関する調査～2015年度版

例年の優先課題「セキュリティ」「制度・法令」「事業継続」さらに優先度が高まる

+8.9

+8.2

5


サイバー攻撃がおよぼす経営リスク

自社内のだけの問題ではない

影響範囲はサプライチェーン全体に

サプライチェーン

情報漏えい個人情報だけではない

・知的財産・営業秘密情報

業務影響情報漏えいだけではない

・業務停止・機会損失

製品品質製造装置、制御装置も危険

・企業の社会的責任・IOTへの脅威

6

個人情報保護法

リスク対策

年代 2000年 2005年 2010年

情報保証（IA）と任務保証(MA)/事業保証(BC)

不正アクセス禁止法

日本版SOX法

マイナンバー法

BCPガイドライン・不正競争防止法

事故前提の対策でリスク低減

これからの危機管理の考え方


2016年

事故前提社会

サイバー攻撃対策

7

事業の中断


サイバー攻撃への任務保証と事業継続

事前対応

システム稼働

潜在リスク感知

時間経過

機能危機発生

インシデント対応能力

危機管理対応能力

8


任務保証と事業継続能力を高めるために

高度化する新たなサイバー攻撃には、脅威に対する正しい理解と緊急時の正しい判断が求められるため、対処体制の見直しが必要

① Observe(監視） ② Orient（情勢判断）

④ Act（行動） ③ Decide(意思決定)

◇継続的なモニタリングによるサイバー攻撃の検知 ◇サイバー攻撃の目的・意図を判別する為の情報収集

◇問題解決やリスク要因の排除・モニタリングへのフィードバック

◇攻撃の目的・意図を認識した上で、自組織に対する影響を把握・モニタリング結果の解析新脆弱性・リスクの高さの判断など

◇サイバー攻撃に対する措置に関する迅速かつ的確な意志決定

「総務省における情報セキュリティ政策の推進に関する提言」より引用 9


富士通の取り組み 2.

10


ウイルスの侵入・感染を防げない？

攻撃者の命令で感染が進み、痕跡も消える

一旦侵入されると、復旧まで時間がかかる

未成熟なセキュリティ運用の実態

解決できていないサイバーセキュリティの課題

ウイルスは常に新種が発生、一日に、100万種以上が発生

感染を検知できない、砂場で米粒を見つけるが如し

年金機構では3ヶ月を要した、ICTの停止は組織の致命傷

経営者の理解不足による、セキィリティ人材育成の遅れ 11

制御システム(OT)

命令・情報漏洩

実現したい技術と組織・人材育成

持ち込み入口・出口内部/オフィス(ICT) インターネット

重要サーバ

情報詐取

攻撃者 BYOD

USB/CD媒体など

出張戻りのPCなど

入口・出口対策ファイアウォールシグネチャーサンドボックス

遮断

踏み台サーバ

マルウェア感染端末

既知未知

証跡収集・影響分析技術

感染検知・遮断技術Ｔ２

組織構築と人材育成

Ｔ１

Ｔ３

テクニカル(SOC) マネジメント(CSIRT) H１Ｏ１

マルウェア感染端末

既知未知未知のサイバー攻撃

検知技術Ｔ4


富士通が求めた新しい着眼点

攻撃者の行動

Toolを送り込む (侵入)

Toolを利用 (諜報)

情報を窃取 (窃取)

手段マルウェア脆弱性アップロード

攻撃の目的・個人情報・機密情報 etc

シグネチャー

IPS製品マルウェア対策

製品

レピュテーション製品対策

対抗し続ける必要あり

実現手段は無数に存在

Ｔ１


導き出した新たな検知技術

侵入

諜報

窃取

侵入

諜報

窃取

侵入

諜報

窃取

侵入

諜報

諜報

諜報

侵入

侵入

侵入

侵入

侵入

※画像はイメージです。

～攻撃者行動遷移モデル～攻撃者はこういった行動を行って

標的型攻撃を遂行する

攻撃者の行動例：

※ 本技術は全ての標的型サイバー攻撃の検知を保証するものではありません。 ※ 本技術は富士通のグループ企業、株式会社PFUが開発した独自技術です

（Malicious Intrusion Process Scan）

端末の通信を監視し、分析した攻撃者の行動を

「攻撃者行動遷移モデル」に照合する事で

「標的型サイバー攻撃」を検出

「グローバルマネージドセキュリティサービス」にて提供

個別に見える攻撃者の行動も、

実は基本行動の組み合わせでしかない

Ｔ１



導き出した新たな検知技術(iNetSec IW)

チョークポイント(遠隔操作での感染拡大、諜報活動)を直接監視、遮断

Ｔ２

営業部

総務部

役員室

DMZ 攻撃者

インターネット

A支店

機密情報

攻撃サーバ

攻撃対象

Context(前後関係)

感染PC

秘

情報窃取

チョークポイント監視

15


攻撃全貌の把握

攻撃の進行状況を把握する全体俯瞰図

検知された踏み台

その前の踏み台

原因の端末

Ｔ３

16


大量のネットワーク通信を自動解析し、標的型サイバー攻撃の全貌を

短時間で分析、ひと目で把握する「高速フォレンジック技術」

専門運用技術を圧倒的効率化

常時、証跡収集・監視を実施問題発生時の対応迅速向上

マルウェア解析は行わず、影響分析・攻撃の

全体俯瞰に特化することで自動分析が可能

数週間かかる証跡分析を

数十分に短縮

危険度の高い端末操作の

自動抽出

一日分の端末操作の紐づけを

数秒で完了

全体俯瞰図の

自動描画

セキュリティ人材不足の解消

Ｔ３

17


構造化された CTI の M2M 共有 OASIS CTI 標準: CybOX, STIX, TAXII

CTI 共有前の「墨消し」

CTI の活用 [デモ] Active Cyber Threat Hunting

CTI 駆動型予見的対策ソリューション

共有された CTI をきっかけに主体的にサイバー攻撃を探しに行く

ベースは今年度製品化予定の CTIM (CTI Management System)

CTI の M2M 共有とその活用

Active Cyber Threat Hunting CTI 駆動型予見的対策ソリューション

CTI グラフ解析・編集共有ポリシー制御

CTIM

Ｔ４

18


CSIRT/SOCの構築では、「インシデントの発生確率を低減」の視点だけではなく、インシデント発生時の「被害の極小化」、及び組織における「攻撃への耐性強化」の視点を含めて、検討する必要

CSIRT/SOC構築に必要な視点

Risk Reduction

Damage Minimizaiton

Resistance Development

セキュリティ情報収集

セキュリティ監視

脆弱性診断

分析 / レポーティング

インシデントハンドリング

脆弱性ハンドリング

教育 / 訓練

1. インシデントの発生確率低減 Proactive Services

2. 被害の極小化 Reactive Services

3. 攻撃への耐性強化 Security Quality Management Services

セキュリティ機能強化

Ｏ１

19


セキュリティ技術者の可視化と活躍のサイクル

セキュリティに素養のある

人材を可視化。

コミュニティでナレッジを共有し

各自の業務に展開。

セキュリティマイスター自身が

後進の技術者を発掘・育成。

セキュリティ人材の育成サイクル

発掘

認定拡大、活性化

活動

教育

社内セキュリティコンテストなどにより発掘

教育コースの提供

セキュリティマイスター

認定制度

コミュニティへの参加・ナレッジの共有

セキュリティ品質を確保したICTの提供高度な攻撃に対抗するソリューションの提供

ビジネスへの貢献

Ｈ１

20


新たな成長に向けた挑戦 3.

21


企業成長の要素

サイバー攻撃

ビッグデータ

クラウド

モビリティ

自然災害

不正アクセス

情報漏えい

サイバー攻撃

ビッグデータ

クラウド

モビリティ

自然災害

不正アクセス

情報漏えい

ICT活用による価値の創造（企業の成長ドライバー）

セキュリティと事業継続（コンプライアンス・リスク）

企業の成長

エッジ＆センサー

Security by Design Optimality by Design

人材技術 22


富士通が目指すデジタル時代のセキュリティ

2015年 2016年 2017年 2018年 2019年

フロントデバイス最適な選択 iOS / Android / Windows10 PC / Tablet / Smartphone/

ウエラブル・コンピュータ BYOD / 専用ビッグデータ

大量ログ、リアル Hadoop / CEP Ｃloud / PCクラスター

NFCの普及 / バイオメトリクス認証局 (誰でも、どれでも） IDフェデレーションの高度化 FIDO

プライバシー保護データの活用促進

匿名化暗号化

認証基盤の充実多様性知の創造

AI/ロボティクス

サイバー攻撃対策 ProActive(予測予見)

脆弱性監視証拠性確保インシデント対応

Anytime，Anywhere，

Anyone，and Anything →IoT時代の到来

23

サイバーセキュリティ強化の新たな考え方...セキュリティ情報収集...

Documents