ntt communications powerpoint template(38pt)...脆弱性診断結果に基づく対...

Copyright © NTT Communications Corporation. All rights reserved.

NTTコミュニケーションズのサイバーセキュリティ対策の取り組み

NTTコミュニケーションズ株式会社

セキュリティ・エバンジェリスト

小山覚

2016年2月10日


目次

1. セキュリティ脅威の動向

2. サイバー攻撃を契機とした、セキュリ

ティ・リスクマネジメントの見直し

3. 体制強化の取り組み

●記載されている会社名や製品名は、各社の商標または登録商標です

2


1. セキュリティ脅威の動向

3

Copyright © NTT Communications Corporation. All rights reserved. 4

サイバー攻撃

重要情報インフラの故障

グローバルリスク報告書は全世界及び全産業界に対して重大な悪影響を及ぼす可能性のあるものとして抽出した31のリスクに関する今後10年間の展望について、世界各地の700名以上の専門家に対する調査結果を取りまとめたもの。

・サイバー攻撃の発生する可能性が拡大

・重要情報インフラの故障による影響度が拡大

・IoT普及拡大によりリスクは更に増加する懸念

WORLD ECONOMIC FORUM Global Risks 2016

出典：World Economic Forum 2016

Insight Report The Global Risks Report 201611th Edition

http://www.weforum.org/reports/the-global-risks-report-2016


社会インフラ、制御系システムの脅威動向

通信 14.6%

その他 6.2%

IT 5.2%

医療 15.6%

政府機関 15.6%金融 3.1%農業 2.1%

水道 14.6%

交通 12.5%

原子力 6.2%

商業施設 7.3%化学 4.2%

エネルギー（電力・ガス）

32% 79件

最先端/軍需産業27% 65件

（報告件数245件）

（出典）ICS-CERT Year in Review 2014https://ics-cert.us-cert.gov/sites/default/files/documents/Year_in_Review_FY2014_Final.pdf

5


社会インフラに対するサイバー攻撃のリスク（事例）

6

交通標識が「ゴジラ襲来」と警告、米国でハッキング被害2014年 06月 9日 14:38 JST

http://jp.reuters.com/articleoddlyEnoughNewsidJPKBN0EK0A020140609


IP cameras: Japan

1 ... | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | ... 1154

Watch Panasonic camera in

Japan

Shibuya-Ku


Japan

Inazawa


Japan

Osaka


Japan

Numazu


Japan

Obu


Japan

Takamatsu

1 ... | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | ... 1154

無防備なWebカメラの監視画像を見せるInsecam


標的型攻撃対策

公開サイトのセキュリティ対策

基幹系システム群

社内LAN

問い合わせ対応報告・分析など

USB USB

C&C

企業を取り巻く脅威の概要

ダウンロード情報管理

95/552件


2. サイバー攻撃を契機とした、セキュリティ・リスクマネジメントの見直し

9


2013年7月23日 400万件の顧客情報が流出

10


セキュリティリスクマネジメントの見直し

セキュリティリスクマネジメントの欠如が露呈

全社ITシステム等を徹底調査し、セキュリティリスク低減策を講じるとともに、

お客様に提供する全サービス・全システムにおける統一したルールや体制を整備

ITシステムの全社管理とセキュリティリスクマネジメントの新たな業務運営プロセスを確立

11


7項目の見直しを実施

★全社ITシステムのセキュリティリスク低減策

1. 全社ITシステム等の調査

2. ITシステムのソフトウェア脆弱性解消の対応策

3. セキュリティ強化策

★セキュリティリスクマネジメントの新たな業務運営プロセス

4. 全社ITシステムの管理方針を改めて策定

5. ソフトウェア脆弱性発覚時の対応

6. ソフトウェア脆弱性発覚時の対応訓練

7. 規程/約款の改定

12


３．セキュリティ強化策の徹底

情報システムの種別

FWIDS

IPS

Email

Web

ｳｨﾙｽ対策

WAF

※

VMｾｷｭﾘﾃｨ

(仮想ﾊﾟｯﾁ)

プロファイリング

リアルタイムマルウェア検

知

脆弱性診断

リスクアセスメント

NW Web

公開システム

WebAPを保有 ● ● ● ● ● ● ● ● ● ●

上記以外(メール等) ● ● ● ● ● ● ● ●

インターネットGWを有するシステム

● ● ● ● ● ● ●

社内に閉じたシステム ● ● ● ●

■セキュリティ対策の「適用基準」を定め、調査で洗い出されたグローバルIPアドレス保有システムに適用

13

※WAF：Web Application FirewallF5 BIG-IP Application Security Manager（ASM）等


４．全社ITシステムの管理方針を改めて策定

課題

システム情報の一元化

タイムリーな情報更新

脆弱性情報に対する迅速で確実な対応

対応方針

ルール化サービス開発判断・システム投資判断時に情報登録脆弱性対応状況の登録を義務化

システム化（情報セキュリティ管理プラットフォー/ISMP）

システム構成情報管理の徹底

システムの標準化

全社のガバナンス強化ソフトウェア脆弱性への対応はISMPでモニタリング。ITシステムのハードウェアやOS等を標準化

●全ITシステムを一元管理する方針を定め、正確な構成管理とセキュリティレベル担保のためのプロセスを策定

14


脆弱性マネジメントシステム（ISMP）の利用を徹底

ISMP情報システム

従来のシステム管理台帳を廃止し、脆弱性マネジメントシステムに一本化より簡易に抜け漏れなく、ガバナンス強化を実現

システム管理者

（特徴1）脆弱性診断結果に基づく対策実施計画と実施状況を一元管理

Information Security Management Platform

CISO

●脆弱性対応状況管理・脆弱性対策実施の計画と実績管理

（特徴2）登録システム全体の脆弱性対策状況を管理ボトムラインを可視化

●システム情報登録・システム名、用途、IP、OS/AP等

●サービス提供・脆弱性診断（定期、随時）・当該システムに影響する脆弱性情報を抽出、自動通知

●対策実施診断結果と脆弱性情報に基づく対策実施

15

●警報配信（CSIRT）


当社のリスクマネジメントフレームワーク

企画/設計開発/構築運用

脆弱性診断

▲開発判断 ▲提供判断

リスク評価/分析

セキュリティ対策導入

カスタムシグニチャの提供

脆弱性管理システムに情報登録

インシデント

拡張/最適化

脆弱性対策

レスキューサービス

★ ★

サービス開始前に2回チェック

脆弱性情報

16

成否の50%は運用，30%はしくみ，20%はシステム

システムIDを発行しトレース（物品調達時もID）


bash脆弱性（ShellShock）対応状況

0:00①脆弱性公開パッチ提供

IP

S

A製品

B製品

WA

F

C製品

D製品

9/25 13:00 作成

9/26 17:30 公式提供

9/29 10:00 公式提供

9/27 10:30 公式提供45.5 時間

87.5 時間

28.5 時間

9/25(木) 26(金) 27(土) 28(日) 29(月)

15:00②脆弱性公開

(修正もれ)

11:00②パッチ提供

▲ ▲ ▲

● ●

9/25 13:00 作成● ●

9/25 18:30 作成● ●

9/25 22:00 作成● ●

●独自にカスタムシグニチャを作成し対策実施

17


bash脆弱性（ShellShock）対応状況

A社メーカーシグネチャリリース

B社メーカーシグネチャリリース

NTT Comカスタムシグネチャ

リリース

4500件以上の攻撃を検知・防御

18


①脅威通知メール

脅威通知メール

※「S+」はサービス停止勧告

脆弱性マネジメントシステム（ISMP）

脆弱性情報

DB

ｼｽﾃﾑ情報

DB

ｱﾗｰﾄ通知ｼｽﾃﾑ

脆弱性情報収集ｼｽﾃﾑ

市販脆弱性情報

各種ベンダ情報A

各種ベンダ情報B

IoTベンダ情報

自動収集

脆弱性マネジメントシステム

②脆弱性調査

システム情報登録

CISO（責任者）

管理対象システム

脆弱性スキャナー

脆弱性情報

ハッカーサイト

攻撃情報

公開情報調査

（非公式情報含む） ④全体進捗管理

脆弱性あり

③脆弱性対策

分析官

調査

●危険な脆弱性情報に対応し①脅威通知メールを自動送信し管理者や利用者に注意喚起を行う。②脆弱性スキャナーを装備し円滑な③脆弱性対策と④全体進捗管理が可能！

!!

管理者

!!


3. 体制強化の取り組み回らないPDCAと使えないCIAとの格闘

20


情報セキュリティ部（CSIRT）発足

21

CSIRTComputer Security IncidentResponse Team

サイバーセキュリティ対策

情報セキュリティマネジメント

Plan

Do Action

Check


いま風のセキュリティ対策の基本Confidentiality・Integrity・Availability

情報・データ NW・システム

C機密性

認められた者だけが、

情報にアクセスできる

システムや情報への攻撃を

検知・防御する多層防護

I完全性

情報が破壊、改ざん又は

消去されていない

連携するシステム間で、首尾一貫

したセキュリティ水準を保つ

A可用性

必要時に情報資産に

アクセスできる

必要時に場所を選ばず、システムや

情報にアクセスできる利便性


情報セキュリティの方程式

23

お客さまや社内外からの、よろず相談や協力要請をお待ちしてます！

セキュリティレベル

＝

①テクノロジー（新技術の導入）

②オペレーション（監視・運用・社員教育）×

③ユーザビリティ（利便性・自由度）

～人・システム・運用・制度・企業文化～

脆弱性（セキュリティホール）対策の徹底


ご清聴ありがとうございました。

24

ntt communications powerpoint template(38pt)...脆弱性診断結果に基づく対...

Documents