2016.2.5　目黒雅叙園にて

1. 企業を取り巻く
情報セキュリティ上の脅威と
その対処
立命館大学
情報理工学部
上原哲太郎
情報セキュリティSummit 2016 Spring
2016.2.5 @ 目黒雅叙園

2. 情報セキュリティ界隈が騒がしく
企業の情報システム担当は大変
B社個人情報
大量漏洩事件
日本年金機構
情報漏洩事件
マイナンバー
制度開始
内部不正
サイバー
攻撃
法的義務

3. ベネッセ事件の大きな構図
連絡先
など
顧客
名簿
サービス
利用者や
アンケート
回答者
ベネッセの社内情報システム
管理
端末
不正な
持ち出し
ベネッセ
システム管理子会社
（シンフォーム）
（元）社員
開発
管理
委託
業務
委託
業務受託
システム会社
名簿業者
名簿業者
名簿 流出
名簿
競合する
通信教育
事業者
流出
名簿
ダイレクト
メール
利用
送付
流出
名簿
流出
名簿
データベース

4. 大きな影響が…
 5次に渡る集団訴訟提起
 原告計10729名 一人あたり55000円
 会員数の減少
 2014年4月365万人→2015年4月271万人
 しかし、本当に防げた事故だったか？
ちゃんと「端末管理」されていた
MTP問題に事前に気づける？
私物スマホ持ち込み禁止できる空気？
他社の「持ち出し→事故」事案に比べ…

5. ベネッセの事後対応
 LACと共同で情報管理
専門会社を設立
 業務システム見直し
 第三者委員会による
定期的監査
ベネッセWebページより

6. 内部不正は防ぐのが大変
 システム管理権限を持つ者が不正すると…
 アクセス制御を厳格化すると業務が…
 経理不正防止と同様の考えが必要
 権限最小化、相互監視、監査…
 結局はガバナンスの問題
IPA「組織における内部不正防止ガイドライン」
データベース・セキュリティ・コンソーシアム
「DB内部不正対策ガイドライン1.1版」
などなど…
やっぱり経営層が見てくれないとなぁ…

7. 年金機構事件の大きな構図
LAC「日本年金機構の情報漏えい事件から、我々が得られる教訓」より

8. こんなの実は日常茶飯事
 同種案件は2014年秋には…
 既に100以上のEmdivi被害例
 「通り魔が本気になった」だけかも？
 個人情報漏洩「だけ」が騒ぎになる不幸
 「個人識別情報」だから事件化・報道に
 防ぐべきは悪用 守るべきはプライバシー

9. 何を反省するべきか
 IT投資の不足
 基幹系だけで業務が完結すべきところを
エンドユーザコンピューティング（EUC）常態化
 EUCを「情報系」で行うリスクを甘く見た
業務上不可避なら閉鎖環境を作るべき
 インシデントレスポンス体制の不足
 GSOCからの連絡後にリスク判断が出来ていない
 業務やシステム構成が「臨戦態勢」になってない

10. 事件の教訓を生かす
 年金機構、厚労省、NISC 3つの報告書
→事の詳細が明確に これは国の宝
 自治体情報セキュリティ対策支援チーム
中間報告→「自治体システムの強靭化」
マイ
ナンバー
関連
他の
行政情報 インター
ネット
接続端末
切断 インター
ネット

11. 一般企業でもいろんな攻撃者
愉快犯→思想犯 明確な目的
技術誇示目的
さらに外部か内部かなど…
思想信条の表現
「集団暴走」
怨恨
金銭目的
破壊工作・諜報

12. 限界が来た「境界線防衛モデル」
LAN
内部サーバ
File,DB,Apps…
外部サーバ
Web,Mail,DNS…
DMZ Internet
境界線を設定し、境界を越えるデータを
制限/検疫して「安全な世界」を脅威から
守る…しかし今や「境界線」は作れない
汚れた世界安全な世界?

13. 攻撃のほとんどはメールかWeb
 ファイアウォール/proxy越えは容易
13
攻撃者
罠を張った
サーバ ファイアウォール
内部
システム
誘導URLを
含むメール
マルウェア等を
含むメール

14. もはや「入れないようにする」のは
困難
 多層防御 多段階防御はもう常識
 入口対策＋出口対策＋「真ん中対策」
 攻撃の各段階で可能な限り
攻撃者の手を縛る「意地悪セキュリティ」
初期侵入から目的達成までは
時間がかかっているはず
時間を稼げる対策をして
その間に発見することを期待

15. IPA「高度標的型攻撃」対策ガイド
ほぼ毎年改訂されてきた
システム設計ガイドの集大成
ポイントは
「侵入されないこと」
ではなく
「侵入されたことを
発見しやすい」
「侵入されても被害が
大きくなりにくい」
こと

16. Many, too many
組織内
データセンター
＆クラウド
従業員自宅
テレワーク
ノマドワーク
持ち出し
データ
関係組織 /
委託業者 /
サプライチェーン
契約
社員

17. この状況で戦えますか？
 多すぎる敵 少なすぎる人と予算
マルウェア
0-day 攻撃
データ持ち出し
不正アクセス
DoS攻撃
フィッシング
ランサムウェア
踏み台
ファイアウォール
システム障害 フォレンジック
IDS/IPS
SPAM
サンドボックス
暗号化
端末管理
SIEM
ウィルス対策
ふるまい検知
DVI
「マイナンバー対応」

18. 無理なものは無理！
標的型メール
対策してね！
ご無体な！
いくら防衛しても
標的型メールは届く!
どんなに訓練しても
社員はメールを開く！
マルウェア対策
していたって
標的型なら防げない！
どこか良い
ツールを
探してきて！
でも予算は
限られてる
からね！

19. ところで？
 イマドキのATM
中身はWindows
後ろにEthernet
カードの規格も
知られている
中はもちろん
現金いっぱい
電子的には
穴はない？

20. どっちがシステム的に安全ですか？
パソコンタブレット
ツブシが効くのは
パソコンだが…
「何でも出来る」
ことが厄介！

21. 汎用vs専用 多機能vs単機能
 全入力・全機能に渡る脆弱性検査は
汎用・多機能では困難になる
正しい入力・操作
012abc…チェック＆OK…
間違った入力・操作
yz□？※…OK100連打…
可
能
な
全
て
の
入
力
や
操
作
正しく
処理
正しく
エラー
脆弱性 侵入
KISS原則＝Keep It Simple and Stupid
パソコンの本質！

22. 無駄に複雑なITにしてませんか
 サイバー犯罪統計が昨年初めて
Excelデータを公表
なんでこうなるのか？ ネ申Excel問題！

23. 本当にそれは必要ですか
添付ファイルつき
メールは業者との
連絡に必須で…
基幹システムに
決済システムがあって
そこにネットからの
文書を添付しないと…
メールじゃなくて
ファイル授受サーバを
クラウド上に作れば？
決済権者が
その文書を本当に
そのシステム上で
チェックするの？

24. 問題の所在はどこか
 経営にITが「正しく」組み込まれていない
 ITは業務への使われ方が本質的でない
 ワープロを清書ツール、Excelをそろばんの代替
メールを郵便の代替として使っている
 本質は業務における「データフロー」の最適化
 それが整理されないので情報管理ができず
リスクポイントばかりが増えてゆく
 まずは業務をITに合わせ見直し効率化
それがリスクの所在を顕在化させ
効率のよい守りに繋がってゆく！

25. 標的はシステムではなく「人」
人にデータを食わせるWebとメール
 脆弱性対策はシステム管理でやればよい
 現状狙われているのは
「人」に不定型なデータを拾わせる機会
本当にそのデータを人手で扱わせるのは
必要なのかもう一度問い直そう
CSVを落として
列を加えて
コピペして
一部手で直して
再度Upload…
データ選択
クリック
おわり！

26. 今後はこれを比較しよう
業務改善
システム化
コスト
セキュリティ
対策コスト
セキュリティのために仕事をするのではなく
仕事のためにITを使い、そこにセキュリティを見いだす 26

27. おわりに
 「現場力」に頼るのは経営の甘え
メリハリあるガバナンスを
 業務効率化とセキュリティは
決して相反しない！
 一番なおざりなのは業務の効率的IT化
 まずは強靭な業務システムの構築
次にセキュリティ事故の早期発見と
拡大防止に重点は移っている
 そのためにも今から意識改革を

28. 情報セキュリティ対策
情報漏えい・情報流出等
（公財）京都産業２１
お客様相談室
Ｋｓｉｓｎｅｔ
ＩＴ相談窓口
研修・セミナー対応
システム向上・IT事故対応
府内中小企業
連 携
中小企業応援隊
情報発信
一般社団法人
京都府情報産業協会
ｼｽﾃﾑの向上・ＩＴ事故対応
府内大学教授
セミナー開催・講師派遣
京都府警察
犯罪のおそれのある事案
犯罪・事件対応
相
談
中小企業は一番の弱み
これを守るために…
地場を地場で守る産学公連携組織
http://ksisnet.com