ntt communications powerpoint template(38pt)...脆弱性診断結果に基づく対...
TRANSCRIPT
Copyright © NTT Communications Corporation. All rights reserved.
NTTコミュニケーションズのサイバーセキュリティ対策の取り組み
NTTコミュニケーションズ株式会社
セキュリティ・エバンジェリスト
小山 覚
2016年2月10日
Copyright © NTT Communications Corporation. All rights reserved.
目次
1. セキュリティ脅威の動向
2. サイバー攻撃を契機とした、セキュリ
ティ・リスクマネジメントの見直し
3. 体制強化の取り組み
●記載されている会社名や製品名は、各社の商標または登録商標です
2
Copyright © NTT Communications Corporation. All rights reserved.
1. セキュリティ脅威の動向
3
Copyright © NTT Communications Corporation. All rights reserved. 4
サイバー攻撃
重要情報インフラの故障
グローバルリスク報告書は全世界及び全産業界に対して重大な悪影響を及ぼす可能性のあるものとして抽出した31のリスクに関する今後10年間の展望について、世界各地の700名以上の専門家に対する調査結果を取りまとめたもの。
・サイバー攻撃の発生する可能性が拡大
・重要情報インフラの故障による影響度が拡大
・IoT普及拡大によりリスクは更に増加する懸念
WORLD ECONOMIC FORUM Global Risks 2016
出典:World Economic Forum 2016
Insight Report The Global Risks Report 201611th Edition
http://www.weforum.org/reports/the-global-risks-report-2016
Copyright © NTT Communications Corporation. All rights reserved.
社会インフラ、制御系システムの脅威動向
通信 14.6%
その他 6.2%
IT 5.2%
医療 15.6%
政府機関 15.6%金融 3.1%農業 2.1%
水道 14.6%
交通 12.5%
原子力 6.2%
商業施設 7.3%化学 4.2%
エネルギー(電力・ガス)
32% 79件
最先端/軍需産業27% 65件
(報告件数245件)
(出典)ICS-CERT Year in Review 2014https://ics-cert.us-cert.gov/sites/default/files/documents/Year_in_Review_FY2014_Final.pdf
5
Copyright © NTT Communications Corporation. All rights reserved.
社会インフラに対するサイバー攻撃のリスク(事例)
6
交通標識が「ゴジラ襲来」と警告、米国でハッキング被害2014年 06月 9日 14:38 JST
http://jp.reuters.com/articleoddlyEnoughNewsidJPKBN0EK0A020140609
Copyright © NTT Communications Corporation. All rights reserved.
IP cameras: Japan
1 ... | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | ... 1154
Watch Panasonic camera in
Japan
Shibuya-Ku
Watch Panasonic camera in
Japan
Inazawa
Watch Panasonic camera in
Japan
Osaka
Watch Panasonic camera in
Japan
Numazu
Watch Panasonic camera in
Japan
Obu
Watch Panasonic camera in
Japan
Takamatsu
1 ... | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | ... 1154
無防備なWebカメラの監視画像を見せるInsecam
Copyright © NTT Communications Corporation. All rights reserved.
標的型攻撃対策
公開サイトのセキュリティ対策
基幹系システム群
社内LAN
問い合わせ対応 報告・分析など
USB USB
C&C
企業を取り巻く脅威の概要
ダウンロード情報管理
95/552件
Copyright © NTT Communications Corporation. All rights reserved.
2. サイバー攻撃を契機とした、セキュリティ・リスクマネジメントの見直し
9
Copyright © NTT Communications Corporation. All rights reserved.
2013年7月23日 400万件の顧客情報が流出
10
Copyright © NTT Communications Corporation. All rights reserved.
セキュリティリスクマネジメントの見直し
セキュリティリスクマネジメントの欠如が露呈
全社ITシステム等を徹底調査し、セキュリティリスク低減策を講じるとともに、
お客様に提供する全サービス・全システムにおける統一したルールや体制を整備
ITシステムの全社管理とセキュリティリスクマネジメントの新たな業務運営プロセスを確立
11
Copyright © NTT Communications Corporation. All rights reserved.
7項目の見直しを実施
★全社ITシステムのセキュリティリスク低減策
1. 全社ITシステム等の調査
2. ITシステムのソフトウェア脆弱性解消の対応策
3. セキュリティ強化策
★セキュリティリスクマネジメントの新たな業務運営プロセス
4. 全社ITシステムの管理方針を改めて策定
5. ソフトウェア脆弱性発覚時の対応
6. ソフトウェア脆弱性発覚時の対応訓練
7. 規程/約款の改定
12
Copyright © NTT Communications Corporation. All rights reserved.
3.セキュリティ強化策の徹底
情報システムの種別
FWIDS
IPS
Web
ウィルス対策
WAF
※
VMセキュリティ
(仮想パッチ)
プロファイリング
リアルタイムマルウェア検
知
脆弱性診断
リスクアセスメント
NW Web
公開システム
WebAPを保有 ● ● ● ● ● ● ● ● ● ●
上記以外(メール等) ● ● ● ● ● ● ● ●
インターネットGWを有するシステム
● ● ● ● ● ● ●
社内に閉じたシステム ● ● ● ●
■セキュリティ対策の「適用基準」を定め、調査で洗い出されたグローバルIPアドレス保有システムに適用
13
※WAF:Web Application FirewallF5 BIG-IP Application Security Manager(ASM)等
Copyright © NTT Communications Corporation. All rights reserved.
4.全社ITシステムの管理方針を改めて策定
課題
システム情報の一元化
タイムリーな情報更新
脆弱性情報に対する迅速で確実な対応
対応方針
ルール化サービス開発判断・システム投資判断時に情報登録脆弱性対応状況の登録を義務化
システム化(情報セキュリティ管理プラットフォー/ISMP)
システム構成情報管理の徹底
システムの標準化
全社のガバナンス強化ソフトウェア脆弱性への対応はISMPでモニタリング。ITシステムのハードウェアやOS等を標準化
●全ITシステムを一元管理する方針を定め、正確な構成管理とセキュリティレベル担保のためのプロセスを策定
14
Copyright © NTT Communications Corporation. All rights reserved.
脆弱性マネジメントシステム(ISMP)の利用を徹底
ISMP情報システム
従来のシステム管理台帳を廃止し、脆弱性マネジメントシステムに一本化より簡易に抜け漏れなく、ガバナンス強化を実現
システム管理者
(特徴1)脆弱性診断結果に基づく対策実施計画と実施状況を一元管理
Information Security Management Platform
CISO
●脆弱性対応状況管理・脆弱性対策実施の計画と実績管理
(特徴2)登録システム全体の脆弱性対策状況を管理ボトムラインを可視化
●システム情報登録・システム名、用途、IP、OS/AP等
●サービス提供・脆弱性診断(定期、随時)・当該システムに影響する脆弱性情報を抽出、自動通知
●対策実施診断結果と脆弱性情報に基づく対策実施
15
●警報配信(CSIRT)
Copyright © NTT Communications Corporation. All rights reserved.
当社のリスクマネジメントフレームワーク
企画/設計 開発/構築運用
脆弱性診断
▲開発判断 ▲提供判断
リスク評価/分析
セキュリティ対策導入
カスタムシグニチャの提供
脆弱性管理システムに情報登録
インシデント
拡張/最適化
脆弱性対策
レスキューサービス
★ ★
サービス開始前に2回チェック
脆弱性情報
16
成否の50%は運用,30%はしくみ,20%はシステム
システムIDを発行しトレース(物品調達時もID)
Copyright © NTT Communications Corporation. All rights reserved.
bash脆弱性(ShellShock)対応状況
0:00①脆弱性公開パッチ提供
IP
S
A製品
B製品
WA
F
C製品
D製品
9/25 13:00 作成
9/26 17:30 公式提供
9/29 10:00 公式提供
9/27 10:30 公式提供45.5 時間
87.5 時間
28.5 時間
9/25(木) 26(金) 27(土) 28(日) 29(月)
15:00②脆弱性公開
(修正もれ)
11:00②パッチ提供
▲ ▲ ▲
● ●
9/25 13:00 作成● ●
9/25 18:30 作成● ●
9/25 22:00 作成● ●
●独自にカスタムシグニチャを作成し対策実施
17
Copyright © NTT Communications Corporation. All rights reserved.
bash脆弱性(ShellShock)対応状況
A社メーカーシグネチャリリース
B社メーカーシグネチャリリース
NTT Comカスタムシグネチャ
リリース
4500件以上の攻撃を検知・防御
18
Copyright © NTT Communications Corporation. All rights reserved.
①脅威通知メール
脅威通知メール
※「S+」はサービス停止勧告
脆弱性マネジメントシステム(ISMP)
脆弱性情報
DB
システム情報
DB
アラート通知システム
脆弱性情報収集システム
市販脆弱性情報
各種ベンダ情報A
各種ベンダ情報B
IoTベンダ情報
自動収集
脆弱性マネジメントシステム
②脆弱性調査
システム情報登録
CISO(責任者)
管理対象システム
脆弱性スキャナー
脆弱性情報
ハッカーサイト
攻撃情報
公開情報調査
(非公式情報含む) ④全体進捗管理
脆弱性あり
③脆弱性対策
分析官
調査
●危険な脆弱性情報に対応し①脅威通知メールを自動送信し管理者や利用者に注意喚起を行う。②脆弱性スキャナーを装備し円滑な③脆弱性対策と④全体進捗管理が可能!
!!
管理者
!!
Copyright © NTT Communications Corporation. All rights reserved.
3. 体制強化の取り組み回らないPDCAと使えないCIAとの格闘
20
Copyright © NTT Communications Corporation. All rights reserved.
情報セキュリティ部(CSIRT)発足
21
CSIRTComputer Security IncidentResponse Team
サイバーセキュリティ対策
情報セキュリティマネジメント
Plan
Do Action
Check
Copyright © NTT Communications Corporation. All rights reserved.
いま風のセキュリティ対策の基本Confidentiality・Integrity・Availability
情報・データ NW・システム
C機密性
認められた者だけが、
情報にアクセスできる
システムや情報への攻撃を
検知・防御する多層防護
I完全性
情報が破壊、改ざん又は
消去されていない
連携するシステム間で、首尾一貫
したセキュリティ水準を保つ
A可用性
必要時に情報資産に
アクセスできる
必要時に場所を選ばず、システムや
情報にアクセスできる利便性
Copyright © NTT Communications Corporation. All rights reserved.
情報セキュリティの方程式
23
お客さまや社内外からの、よろず相談や協力要請をお待ちしてます!
セキュリティレベル
=
①テクノロジー(新技術の導入)
②オペレーション(監視・運用・社員教育)×
③ユーザビリティ(利便性・自由度)
~人・システム・運用・制度・企業文化~
脆弱性(セキュリティホール)対策の徹底
Copyright © NTT Communications Corporation. All rights reserved.
ご清聴ありがとうございました。
24