日本企業がとるべきサイバーセキュリティ戦略

1
© Copyright 2015 Hewlett-Packard Development Company, L.P. The informationcontained herein is subject to change without notice.
日本企業がとるべき
サイバーセキュリティ戦略
日本ヒューレット･パッカード株式会社
テクノロジーコンサルティング事業統括
エンタープライズアーキテクト
藤田政士 / 22 July 2015
#HPWorldTour
© Copyright 2015 Hewlett-Packard Development Company, L.P. The informationcontained herein is subject to change without notice.2
Agenda
はじめに
1. ICT利用領域の拡大とサイバーセキュリティのリスク
2. 新しい脅威への対応
3. サイバーセキュリティのリスクとコストのマネジメント
4. まとめ
モバイル～ソーシャル～IoTと、ICTの利用が広がり、
セキュリティ対応は新しい次元に入りました。
変革の時代にリスクとコストをどうマネージしていくべきか、
企業セキュリティ戦略として実例を含め解説します。

2
はじめに
• 近年、ICTの利用において、スマートフォンやSNS利用の拡大、
モノのInternet等が話題になっているが、“便利さ”の進歩は、
必ず新たなリスクを生み出す。
• 特にサイバーセキュリティについては、攻撃の動機や手法も高
度化･多様化(標的型攻撃、APTなど)し、攻撃(脅威)対象は、既存
のICT機器から、モバイル～装置系までに拡大し、そのリスクも
従来とは比較にならない程、大きなものになろうとしている。
• さらに、Black Marketの形成による、攻撃に関する情報の取引に
より、サイバーセキュリティにおいては、完璧な防御を前提と
した対応を行うことは困難になってきている。
（水際防御→深層防御）
• 今、必要なことは、従来型の技術対策だけではなく、
事故・事件が発生することを前提とした、予算方式や組織構成
を含めたセキュリティ戦略の全般的かつ長期的な見直しである。
（ビジネス課題）
“便利さ”の進歩には、
必ず新たなリスクが伴う
サイバー攻撃の高度化･
多様化、リスクの巨大化
完璧な防御は困難
水際防御から深層防御へ
予算方式や組織構成を含め
たセキュリティ戦略の
見直しが必要
1.0 ICTの利用領域の拡大と
サイバーセキュリティのリスク

3
1.0 ITの利用方式の変革：拡がり続ける ITの利用
企業の生産性向上から人の生活の向上、そして豊かな社会の実現に向けて変化
New Style of Business
個人+社会+企業+機器
2020
 モビリティ
 クラウド
 ソーシャル
 ビッグデータ
次世代
の社会
高度
成長
 メインフレーム
 オートメーション
商用コンピュ―タの進化
企業での利用
1960
PC・インターネット
個人＋企業での利用
1980 2000
 E-コマース
 リアルタイム
便利な
生活
1.1 個人×社会×企業×機器
ICTエリアの拡大
個人の能力拡大、個人の社会への働きかけ、企業の利用、機器の接続
つながるものの多さ
データ量の多さと
重要度の増大
サービスの多様化
• いつでも、どこでも、個々人が利用 (Smart Device)
• 通信能力の向上、通信コストの低下
• ヒト意外の通信：M2M (Machine to Machine)、IoT (Internet of Things)
• 個人 x 機器 x サービス
(PC：3億台、Smart Device 10憶台、センサ100億～)
→膨大なデータ(Big Data：2.5エクサ・バイト/Day、40ヶ月で倍)
• 個人情報のデジタル・データ化
→IDデータ(マイナンバー等)、位置データ、医療、センサーデータ
• 個人向け各種アプリ/ゲーム、位置サービス
• ソーシャル・サービス
• マイナンバー、オープン・データ、IoT

4
1.2 201X年代のセキュリティ
IT利用の拡大(目的・用途)→ 犯罪の対象に→ セキュリティリスクの増大
なくならない脆弱性
• 年間8000件超の新たな脆弱性報告
• 攻撃者のBlack Marketが存在
(10兆円規模!?)
時間との戦い
• 対策前に攻撃Toolが出現
• 時間差を突く攻撃(ゼロ・ディ攻撃)
防御対象の拡大
• 個人/業務兼用利用(BYOD)機器の増大
(従来型の防御壁型対応が困難)
• 通信機能をもつすべての機器が対象
愉快犯から国家レベルの攻撃者まで
• 動機の多様化
(なんでもあり)
• 攻撃目標の拡大
(個人～国家)
• 攻撃手法の高度化
(執拗、悪質)
→標的型攻撃、
APT(Advanced Persistent Threat)、
のっとり型(Ransomware)
果てしなく続く攻撃攻撃者の増大と目的の多様化
ハッカー
コンペチター
組織犯罪
国家
内部
知識
悪名 (Notoriety)
利益
不平・苦情
競合優位性
情報の収集
地政学的対立
ウイルス・ワーム
ボットネット
E-mail
Website
USB
直接攻撃
情報漏えい
インスタントメッセージ
DoS攻撃
情報資産
顧客機密情報
個人情報
システム/データの可用性
不正
信頼性
ブランド価値
物理的損害
APTs
Hacktivist
テロリスト
1.3 多様化するセキュリティ攻撃とリスク
Source
(攻撃者)
Motivation
(動機)
Attack Vectors
(攻撃方法)
Risks

5
1.4 新たなリスクの時代の始まり
標的型攻撃とAPT(Advanced Persistent Threat)
標的型攻撃 (Targeted Attack)
• 不特定多数ではなく、
特定の個人や組織を狙った攻撃
• 攻撃者も、動機(Motivation)、
攻撃方法も様々なものがある
APT (Advanced Persistent Threat)
• 標的型攻撃の中の一つで、
多様、かつ、高度な攻撃手法を
複合的に用い、執拗に
長い時間をかけて
目的を達成しようとするもの
Continuity
自然災害:
火災､洪水､悪天候
Availability
構成ミス
電力･ネットワーク障害ソフトウェア障害
ハードウェア障害
計画停止
アプリケーション障害
1.5 ITのセキュリティリスクの増大
Security
セキュリティ侵害: ハッカー、0-Day攻撃
サービス停止の攻撃(DoS)
ウィルス攻撃
内部者の不正行為
標的型攻撃:テロ､悪意のある攻撃
発生頻度Low High
イ
ン
パ
ク
ト
High
Low
標的型/APTの登場により、
ITセキュリティリスクが増大
→新しい“経営課題”の登場

6
ブラックマーケット
ブラック
マーケット
1.6 攻撃のライフサイクルとBlack Market
Research potential
targets
Research
リサーチ
Data sold
on black market
Monetization
現金化
Phishing attack and
malware
Infiltration
侵入
Mapping breached
environment
Discovery
探索
Obtain data
Capture
搾取
Exfiltrate/destroy
stolen data
Exfiltration
退却
質問① サイバーセキュリティリスクのリテラシー
IT担当部門以外の社員は、
｢標的型攻撃｣の存在や、その攻撃方法
を理解しているか？
• 経営者は？
• 社員は？
｢標的型攻撃｣や｢APT｣を受けた場合の
組織的対応が準備され、
関係者間で同意されているか？
• 対応に伴う、ICTの利用制限や、
復帰までの時間や手続きは
理解されているか？
• 経営者、広報、法務間等のリスク
コミュニケーションは十分か？

7
2.0 新しい脅威への対応
2.0 変化の時代のセキュリティ戦略
新しい時代には、新しい考え方(フレームワーク/戦略)が必要
企業での利用
1960~1980年
個人＋企業での利用
1980~2000年
個人＋企業＋社会＋機器
2000～2020年
環境利用は企業内
(社内不正、産業スパイ)
企業内、企業間
PC、Internetでの利用
(ハッカーの登場)
企業内、企業間、Internet、Web、Smart
Device、Cloud、Social、M2M、IoT
(Black Marketの存在)
セキュリティ
アーキテクチャ
対象：端末、ホスト対象：PC、サーバ、NW 対象：モバイル、PC、サーバ、NW、機器
物理セキュリティ
アクセスセキュリティ
物理セキュリティ
境界セキュリティ(NW)
アクセスセキュリティ
物理・境界(NW)・アクセス・エンドポイン
ト・セキュリティ(多層防御)＋
インシデント管理(プロアクティブ監視)
セキュリティ
ガバナンス
戦略特になし (IT内戦略) 全社セキュリティ戦略
セキュリティ・フレームワーク
規則アクセスルールポリシー(ルール)、
セキュリティ教育
ポリシー、セキュリティ教育、
リスク管理、インテリジェンス
対象 IT部門、IT利用者全社員、パートナー、Net顧客全社員、パートナー、Net顧客、Net接続機器
サイバーセキュリティの「”黒い”マーケット」が存在する今日、従来型対応には限界
→より柔軟かつ包括的な“セキュリティ戦略”や“セキュリティフレームワーク”が必要

8
2.1 経営課題としてのリスク対応①
ICT(Internet)を利用する場合には、
常に攻撃への防御を考える
→ ICTセキュリティリスクの無い会社はない!
現在の
ICT/Internet(Cyber Space)環境は･･･
攻撃防御 Internetの利用には常にリスクが存在
→経営課題であり、ビジネス・リスクとして対応する
→ 技術の進歩や攻撃手法の多様化が進み、
“これでOK”という防御策はない。継続的に、
できる限りのリスク対応を行っておく必要がある
• 対処療法ではなく、長期的視野でのリスク対応の
予算化が必要
• 恒常的な組織(機能)による対応と人材の育成が必要
• ビジネス部門とのガバナンス/プロセスの見直しも必要
国も本格的に対応を開始！
法律も体制も準備。
企業が対応するのはいつ!?
2.2 経営課題としてのリスク対応②
悪意のある執拗な攻撃を受けるという前提
ではないため、防御が弱い
• 重要データが隔離/暗号化されていない
• 適切なSecurity Patchがなされていない
• Updateするには膨大なテストが必要だが、
そんな時間もお金もない
• 装置系はIT部門の管轄外
ゼロ・ディ攻撃の多発や標的型/APT攻撃は、既存のITにとっては、“想定外”の事件。
このような攻撃を想定していないシステムや環境での対応には膨大なコストがかかる。
システム/データ保全の概念が大きく変化
• 漏洩や破壊だけでなく、
使用不能にする攻撃が存在
(DoS攻撃、破壊、乗っ取り)
• クラウドではセキュリティ対応を
他人に委ねるリスクが存在
(不正コピーや不完全消去)
• 多重防御の考え方で、
複数の防御策を講じる
平和な時代に作られたシステム群
(Cyberspaceはもはや“擬似戦争”状態)
新たな脅威の登場と対象拡大
長期的視野に立ったIT利用戦略立案の必要性

9
2.3 サイバーリスク対処方式の見直し
自社(組織)がターゲットになった場合を想定
• 意図(悪意)を持った攻撃を考慮する
防御範囲の拡大 (対象、期間)
• 外部接続機器･サービスだけでなく、
内部の設備･装置系も防御対象へ
• “今”だけでなく、長い時間軸での対応が必要
【過去】
– すでに侵入されているかもしれない
– 残存している過去の脆弱性
(古いほど弱い)
【未来】
– 内部への侵入を想定した対応システムの拡大
– 包括的かつ長期的な計画の立案
損害の最小化
• すべてを回避する水際防御から、
ある部分が破られても、
損害を最小化する深層防御へ
– 執拗で、長期間の攻撃に耐えられる環境
の構築
– 個々の防御壁が破られても影響を受けな
い多重防御
– 発生時の対応準備
標的型/APTも想定した対処方式へ水際防御から深層防御へ
質問② サイバーセキュリティリスクのリテラシー
自社が個人情報(マイナンバー含む)
をどれくらい持っていて、
万が一、漏洩した場合のコストは
いくらかかるかを理解しているか？
• 経営～一般社員、
パートナーの理解は？
サイバーセキュリティリスク対応の
予算化のルールは決まっているか？
• IT予算におけるサイバーセキュリ
ティの扱いは決まっているか？

10
3.0
サイバーセキュリティリスクと
コストのマネージメント
3.0 短期的対策、中期的対策、長期的対策
セキュリティリスクの評価
• 標的型攻撃やAPTを意識した脅威と脆弱性の把握
• 現状での対応レベルの確認
(何ができ、何ができていないか、対応の優先順位の決定)
短期
中期
長期
プロセス/アーキテクチャの見直し (整合化)
• ガバナンス/プロセスの見直し
• アーキテクチャの見直し、脆弱点の徹底強化
(対応ロードマップ作成)
組織化と予算化 (経営課題としての取り組み)
• 経営陣・事業部門を巻き込んだ組織･体制づくり
• 人材育成と継続的な教育の実施
• 長期での対応予算の編成

11
3.1 企業毎に異なるセキュリティ対応
企業環境やIT環境により個別のセキュリティ強化策が必要
前提条件、環境 ToBe Model 対応と考慮点
人員
(リテラシー)
• 現場と経営陣のセキュリティ・
リテラシー
• 事故時の対応の準備
• リスクコミュニケーションの理解
• 最新の脅威・対応の理解
• 事故対応の訓練
• リスクコミュニケーションの
確立(体制の確立)
継続的な教育・訓練の実施
必須：半期毎程度での教育
(現場スタッフ～経営陣)
推奨：各種訓練、
リハーサル実施
ビジネスモデル • ビジネスで利用する重要情報の
種類と量
• 個人情報の所有と利用の状況
• セキュリティリスクを考慮し
た予算化
(ICT対策コスト、保険)
ビジネスモデルの見直し
(便益とコスト評価)
必須：ビジネスリスク理解
推奨：セキュリティ保険
アプリケーション • 重要データの分離と隔離
• 開発時対応、暗号化、ハッシング
• 脆弱性排除のレベル
(Update/Patch)
• アプリケーションでの
セキュリティ対応実施
• 最新Patchの適用
アプリケーションの見直しと
改良(時間とコスト大)
必須：最新Patchの適応
推奨：開発時のチエック
ICTインフラ • セキュリティアーキテクチャ
(物理、境界、アクセス、エンド
ポイント、監視)の完成度
• 多重かつ多層防御
• プロアクティブ監視(自動)
• セキュリティ
インテリジェンス(予測、AI)
Weak Pointの継続強化を
実施(弱点を補完)
必須：障害検知
推奨：ログ監視範囲拡大、
自動化、AI化
3.2 リスク対応へのアプローチ
臨時予算ではなく、継続的な予算化
(攻撃は永遠に続き、ICTは日々変化→弱いところを強化、しかし時間がかかる)
• 脆弱性評価により、分野毎で優先順位をつけ対応を粘り強く続けていく
• 防御策が出来てもすぐに陳腐化する危険性大
• 古い(平和な時代の)システムの積極的な刷新
ビジネス課題として
予算化
相互牽制や監査の
導入、教育とリスク
コミュニケーション
方式の確立
所有の見直し、
保険等の利用
プロセス(ガバナンス)強化と教育への投資
• 職務分掌や複数Check、抜き打ち監査等の徹底
• 教育・トレーニングの継続的な実施
(経営陣を含む全社員・パートナー！)
• リスクコミュニケーション方式の確認とシュミレーションの実施
(最初の48時間)
他のアプローチの検討
(防御に失敗し、大きな損害が予想される場合)
• 大量の個人情報漏洩の場合では莫大なコストが発生
(データ所有の意義確認)
• 保険もリスクヘッジの一方法ではあるが、条件や制限に留意

12
3.3 Case Study：あなたの会社は大丈夫か？
日本の企業ITセキュリティの弱点
データ/システム・オーナの役割分担や、ログの監
視方式が曖昧で、悪意により、情報が持ち出され
る危険性が高い状態だった。
リスクコミュニケーション不足で、セキュリティ
インシデント発生時のシステム･オーナ部門への連
絡が出来ず、被害が拡大。
最新Patchが義務付けられていたのは、Internetに直
接接続されているシステムのみで、内部システム
には古いVersionが多数存在。全システムの最新化
には膨大な時間とコストがかかることが判明。
1. 個人情報を多数扱っているが、サーバの管理が不十分
であり、特権権限を利用した内部不正の発生を防げな
いという指摘を受けた。
2. 最新の侵入検知システムにより悪意ある攻撃を検知し
たが、検知した時間が連休中の深夜だったため、関連
(事業)部門への連絡がつかず、システム停止の判断が
出来ず、攻撃を受けてしまった。
3. 念のためInternetへの出口をモニターしたところ、
定期的に外部に情報を発信している社内の古いサーバ
を発見。侵入の疑いのある対象が数百ある全内部シス
テムに広がりパニックに。
3.4 リスク対応とコスト
IT予算の5%をサイバーセキュリティ対応として継続的に予算化
• 優先順位を考え、中長期的な視点で順次改善を行う
• ブリッジソリューションの利用も重要
(IDSの導入やアクセスログの監視)
ツールの導入だけが
回答ではない。
地道な対応策を
確実に実施しているか？
教育と訓練の実施、
リスクコミュニケーション
(経営～現場)
複雑かつ膨大なシステム群を
1日で改善することは
出来ない。
時間をかけて改善する。
古典的な複数者対応、ログの相互監視、不定期な抜き打ち監査は
今でも有効
• ツールありきではなく、リスクを防ぐ様々な統制を確実に実施する
(特に内部不正)
• 当たり前のことが出来ていないシステムが多数存在
(特権IDの管理等)
防ぐ教育だけでなく、発生時の対応も教育し、訓練を行う
• 業務によっては、BCPのリハーサルよりも必要性大
• 標的型やAPTでの各フェーズでの“症状”と“対処”
• リスクコミュニケーション方式を現場から経営陣まで
徹底して確認しておく

13
3.5 必要なIT機能(組織)
包括的ｱﾌﾟﾛｰﾁ : 全ITﾗｲﾌｻｲｸﾙ､全ITﾌﾟﾛｾｽ、ｱﾌﾟﾘ～ｲﾝﾌﾗ全般を対象に
標的型/APT攻撃に対応するためには、対処療法ではなく、
包括的な対応が必須(組織および企業能力が問われている)
Client/PC Security Server Security
Governance & Process
Application Security
Data Security
Network Security
Security Tools & Services
統制方式、ITプロセス
(教育、コミュニケーションを含む)
アプリケーション対応(開発時)
暗号化、配置、ルール化
堅牢化、侵入検知
入口/出口対応
提供すべきサービス
3.6 ﾘｽｸへの対処方法: ﾘｽｸ移転としての保険の利用
発生可能性と影響度に基づく処理方法の選択
基本形Ⅰ
• セキュリティ保険もセキュリティリスク移転の選択肢の一つ
• 個人情報漏洩等の対応策は経済的損害の“低減”につながる
2要素(影響度と発生可能性)
の変化バランスを考慮
回避：リスクを発生させる原因を避ける
共有(移転)：
リスクの一部を他者に転嫁あるい
は共有し、リスク発生の可能性や
影響度の低減を図る
低減：リスクの発生可能性、影響度の両
方または一方について低減を図る
受容：リスクの発生可能性または影響度
に影響を与える行動を取らない
(リスクの発生を受容する)
高
低
低
高
影
響
度
発生可能性
低減
共有
(移転)
回避受容
影響度 × 発生可能性
基本形Ⅱ
高
低
高
影
響
度
発生可能性低
受容
低減
回避
共有
(移転)

14
4.0 まとめ
まとめ
• 便利になれば、その代償がある
• 「“黒い”市場」により、攻撃者の拡大と優位が続く
• サイバーセキュリティのコストは、ITの事件･事故対応の時だけの
特別コストではなく、継続的なビジネスコストである
• 個人情報等を大量に扱う場合は、
リスクヘッジのコストを考慮した上でビジネスを考える
• 保険も選択肢の一つ
• 完全防御は不可能と考え、深層防御や被害の最小化を考慮し、
教育からインフラ更新まで包括的な視点で、
時間をかけて弱点を補強していく

15
攻撃のﾗｲﾌｻｲｸﾙへの備え: HP Security Solutions
Research
Research Potential
Targets
Monetization
Data sold
on black market
Infiltration
Phishing Attack and
Malware
Discovery
Mapping Breached
Environment
Capture
Obtain data
Exfiltration
Exfiltrate/destroy
Stolen data
Block adversary
• HP TippingPoint
• HP Fortify
Detect adversary
• HP ArcSight
• Vertica
Protect data
• HP Atalla
• HP Voltage
Mitigate damage
• HP Breach Response
Services
Threat intelligence
• HP security research
HP managed security customers
900+ HP Secured User Accounts
47m
HP Security Professionals
5000+
All major branches US Department of Defense
9 out of 10
Top software companies
10 out of 10
Top telecoms
9 out of 10
Major banks
HP Security's industry leading scale
Monthly security events
23bn

16
Thank You

日本企業がとるべきサイバーセキュリティ戦略

Recommended

Recommended

More Related Content

What's hot

What's hot (18)

Viewers also liked

Viewers also liked (15)

Similar to 日本企業がとるべきサイバーセキュリティ戦略

Similar to 日本企業がとるべきサイバーセキュリティ戦略 (20)

More from 日本ヒューレット・パッカード株式会社

More from 日本ヒューレット・パッカード株式会社 (16)

Recently uploaded

Recently uploaded (10)