滨辞罢セキュリティの课题
- 3. セキュリティ事故の影響 ? セキュリティ事故等の適時開示後の影響 ? 50日後には株価が平均10%減少 ? 売上高は平均4%上昇したが、純利益は平均21%減少 - 純利益が大幅に減少した理由は、事故対応調査や再発防止のための特 別損失が発生したこと等 ? 中小企業のビジネスは特定事業に依存しており、その事業へのサ イバー攻撃による影響は大企業に比べて大きい 引用元:取締役会で議論するためのサイバーリスクの数値化モデル https://www.j-cic.com/pdf/report/QuantifyingCyberRiskSurvey-20180919(JP).pdf 3
- 7. IoTセキュリティ対策の5つの指針 7 ? 方針 ? 指針1 IoTの性質を考慮した基本方針を定める - 要点1. 経営者が IoT セキュリティにコミットする ? 参考情報 サイバーセキュリティ経営ガイドライン (経済産業省) Cybersecurity Questions for CEOs (DHS:米国国土安全保障省) CSMSユーザーズガイド - 要点2. 内部不正やミスに備える ? 参考情報 組織における内部不正防止ガイドライン
- 8. 要点 1. 経営者が IoT セキュリティにコミットする ? サイバーセキュリティ経営ガイドラインの3原則と重要10項目 引用元:サイバーセキュリティ経営ガイドラインの概要 http://www.meti.go.jp/policy/netsecurity/mng_guide.html 8
- 9. サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集 ? セキュリティ担当者の悩みおよび「重要10項目」と対比させたプラクティス 引用元:サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/fy30/reports/ciso/index.html 9
- 10. サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集 ? セキュリティ担当者の悩みおよび「重要10項目」と対比させたプラクティス 引用元:サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/fy30/reports/ciso/index.html 10
- 11. (ご参考) PSIRT(Product Security Incident Response Team) ? FIRST PSIRT Services Framework “PSIRT(Product Security Incident Response Team)は、組織が提供する製品の脆弱性に起因 するリスクに対応するための組織内機能です。 自社製品の脆弱性への対応、製品のセキュリ ティ品質管理?向上を目的とした組織で、国内 の製品開発者においても徐々に設置が進んでい ます。” “FIRST(Forum of Incident Response and Security Teams)は、製品やサービスを開発し 提供する組織がPSIRTを設置し、継続的に運用し、 その能力の向上を支援するためのガイドとして 「PSIRT Services Framework」を作成し公開し ました。本フレームワークは、PSIRTの組織モデ ル、機能、サービス、成果などを含むPSIRTのコ ンセプトと全体像を示し、さらに、PSIRTが果た すべき責任と、活動に必要な能力を備え、組織 内外との連携によって価値を提供するために PSIRTに求められる事項について説明していま す。” “製品開発者は、自組織に最適なPSIRTモデルを 実装し、能力を備え、製品セキュリティに関す るステークホルダーのニーズに応えるために、 このフレームワークを利用することができま す。” 引用元:FIRST PSIRT Services Framework https://www.jpcert.or.jp/research/psirtSF.html 11
- 12. サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集 ? セキュリティ担当者の悩みおよび「重要10項目」と対比させたプラクティス 引用元:サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/fy30/reports/ciso/index.html 12
- 13. ? 環境を取り巻く急激な変化に気づけていない 引用元:情報セキュリティ10大脅威 2016:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/vuln/10threats2016.html (悩み)IT部門のみで経営層のセキュリティ意識を向上させることに限界を感じている 13
- 14. ? 攻撃手法と目的の多様化に追いつけていない 引用元:情報セキュリティ10大脅威 2016:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/vuln/10threats2016.html (悩み)IT部門のみで経営層のセキュリティ意識を向上させることに限界を感じている 14
- 15. (悩み)IT部門のみで経営層のセキュリティ意識を向上させることに限界を感じている ? (取り組み)外部講師による経営者向けの研修会を実施する 引用元:サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/fy30/reports/ciso/index.html 15
- 16. (悩み)IT部門のみで経営層のセキュリティ意識を向上させることに限界を感じている ? (取り組み)外部講師による経営者向けの研修会を実施する 引用元:サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/fy30/reports/ciso/index.html 16
- 17. (悩み)IT部門のみで経営層のセキュリティ意識を向上させることに限界を感じている ? (取り組み)外部講師による経営者向けの研修会を実施する 引用元:サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/fy30/reports/ciso/index.html 17
- 18. (ご参考)情報セキュリティ10大脅威 18 ? 情報セキュリティ10大脅威2019(個人編?組織編) 順位 昨年 個人編 1位 1位 クレジットカード情報の不正利用 2位 1位 フィッシングによる個人情報等の詐取 3位 4位 不正アプリによるスマートフォン利用者の被害 4位 - メール等を使った脅迫?詐欺の手口による金銭要 求 5位 3位 ネット上の誹謗?中傷?デマ 6位 10位 偽警告によるインターネット詐欺 7位 1位 インターネットバンキングの不正利用 8位 5位 インターネットサービスへの不正ログイン 9位 2位 ランサムウェアによる被害 10位 9位 IoT 機器の不適切な管理 順位 昨年 組織編 1位 1位 標的型攻撃による被害 2位 3位 ビジネスメール詐欺による被害 3位 2位 ランサムウェアによる被害 4位 - サプライチェーンの弱点を悪用した攻撃の高まり 5位 8位 内部不正による情報漏えい 6位 9位 サービス妨害攻撃によるサービスの停止 7位 6位 インターネットサービスからの個人情報の窃取 8位 7位 IoT機器の脆弱性の顕在化 9位 4位 脆弱性対策情報の公開に伴う悪用増加 10位 12位 不注意による情報漏えい 引用元:情報セキュリティ10大脅威 2019:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/vuln/10threats2019.html
- 19. (ご参考)関連トレーニングコース 1日でわかる! 情報セキュリティ10大脅威の攻撃手法とその対策 (SCC0272G) ? 短時間で情報セキュリティ10大脅威(情報処理推進機構発表)で取り上げられた脅 威を中心に講義、演習を交えながら攻撃手法とその対策を学んでいくコースです。 ? 個人の脅威を中心に組織人として注意すべきポイントを効果的に学べます。 ? 演習やデモを通し理解を深めます。 ? IT部門の方はもちろん、non-IT部門の方がセキュリティを学ぶのにお勧めです。 ポイント 19 1. 脅威とは 2. 情報セキュリティ10大脅威とは 3. 10大脅威から知る「個人の脅威」 4. 10大脅威から知る個人が関わる「組織の脅威」 5. 脅威から組織を守るために 学習内容 演習例: ?IoT機器への攻撃を体感 ?セキュリティ製品の正しい挙動を確認など 詳細はウェブで https://www.trainocate.co.jp/SCD190625kb
- 21. IoTセキュリティ対策の5つの指針 21 ? 方針 ? 分析 ? 設計 ? 構築?接続 ? 運用?保守 ? サイバー?フィジカル?セキュリティ対策フレームワーク(CPSF) ? 「Society 5.0」 向けのセキュリティ対策フレームワーク。対象となる技術領 域はIoTの他、ビッグデータ、人工知能(AI)、ロボットと広範。 めざすべきIoTセキュリティ対策実現のための準備 ? セキュリティ対策の基礎固めを行う ? 技術トレンドを知る、知識のアップデートを行う ? 脅威の傾向を知る ? インシデント対応の準備をする ? 定期的に対策の見直しを行う ? IoTが利用される事情を知る 引用元:『第2層:フィジカル空間とサイバー空間のつながり』の信頼性確保に向けたセキュリティ対策検討タスクフォースの検討の方向性 https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_bunyaodan/dainiso/pdf/001_04_00.pdf
- 23. サイバー?フィジカル?セキュリティ対策フレームワーク(CPSF) ? CPSFでは、産業?社会の変化に伴うサイバー攻撃の脅威の増大に対し、リスク 源を適切に捉え、検討すべきセキュリティ対策を漏れなく提示するための新た なモデル(三層構造と6つの構成要素)を提示。 ? 三層構造 ? 第三層:サイバー空間におけるつながり - 自由に流通し、加工?創造されるサービスを創造するためのデータの信頼性を確保 ? 第二層:フィジカル空間とサイバー空間のつながり - フィジカル?サイバー間を正確に“転写“する機能の信頼性を確保(現実をデータに転換するセン サーや電子信号を物理運動に転換するコントローラ等の信頼) ? 第一層:企業間のつながり - 適切なマネジメントを基盤に各主体の信頼性を確保 ? 構成要素 ? ソシキ - バリュークリエイションプロセスに参加する企業?団体?組織 ? ヒト - ソシキに属する人、及びバリュークリエイションプロセスに直接参加する人 ? モノ - ハードウェア、ソフトウェア及びそれらの部品 - 操作する機器を含む ? データ - フィジカル空間にて収集された情報及び共有?分析?シミュレーションを通じて加工された情報 ? プロシージャ - 定義された目的を達成するための一連の活動の手続き ? システム - 目的を実現するためにモノで構成される仕組み?インフラ 引用元:『第2層:フィジカル空間とサイバー空間のつながり』の信頼性確保に向けたセキュリティ対策検討タスクフォースの検討の方向性 https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_bunyaodan/dainiso/pdf/001_04_00.pdf 23
- 24. (ご参考)セキュリティ知識分野(SecBoK2019) ? 「スキル」から「タスク」へ ? Society5.0などのITを利活用して社会を変えようとの時 代の流れにおいては、「セキュリティスキルの習得が目 的ではなく、何ができるというタスクの考え方が必要」 ? SecBoK2019 (JNSA日本ネットワークセキュリティ協会) ? NIST(アメリカ国立標準技術研究所) SP800-181 スキル 項目との連携 ? NIST SP800-181 ロールとの連携 ? NIST サイバーセキュリティフレームワーク(CSF)との連 携 - ※ SP800-181 NICE Cybersecurity Workforce Framework ? サイバーセキュリティ業務の役割?専門分野と必要とされる知 識?能力に関する共通用語と分類法を提供 引用元:セキュリティ知識分野(SecBoK2019) https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_bunyaodan/dainiso/pdf/001_04_00.pdf 24
- 25. (ご参考) 関連トレーニングコース EC-Councilセキュリティエンジニア養成講座: CND (Certified Network Defender) (SCC0259V) ? 「予測可能な防御スキル」「事後対応の方法」「インシデントに対する遡及的対 応」の3つの観点からのアプローチで、ネットワークセキュリティ技術者に求め られるスキルの習得を支援致します。 ? 受講者はラボ環境により実践的学習が可能です。 ? 受講料金には、テキスト、演習環境iLabsのID(6か月間有効)、認定資格試験バウチャ(受講開 始後1年以内に受験が必要)を含みます。 ポイント 以下の14のモジュールから、最新のセキュリティ脅威、 防御手法、対 応まで実践形式で学習いたします。 1. コンピュータネットワークと防衛の基礎 2. ネットワークセキュリティの脅威、脆弱性、攻撃 3. ネットワークセキュリティのコントロール、プロトコル、デバイス 4. ネットワークセキュリティポリシーのデザインと実装 5. 物理セキュリティ 6. ホストセキュリティ 7. ファイヤーウォールの安全な構成と管理 学習内容 8. IDSの安全な構成と管理 9. VPNの安全な構成と管理 10. 無線ネットワークの防御 11. ネットワークトラフィックのモニタリングと分析 12. ネットワークリスクと脆弱性の管理 13. データのバックアップとリカバリ 14. ネットワークインシデント対応と管理 25
- 26. (ご参考) 関連トレーニングコース EC-Councilセキュリティエンジニア養成講座: CEH (Certified Ethical Hacker) ? 最新のセキュリティ脅威、高度な攻撃手法と、最新のハッキングの技術、ツール や手口を学ぶことができます。また提供されるハッキングのツールとひとつひと つの動作原理を理解することで攻撃原理を理解できます。 ? 「現実の攻撃手法」を体系的に学んで頂くことで、ホワイトハッカーとして「攻 撃者視点」の判断力を習得し、効果的な防御に活かすことができます。 ? 受講者はラボ環境により実践的学習が可能です。 ? 受講料金には、テキスト、演習環境iLabsのID(6か月間有効)、認定資格試験バウチャ(受講開 始後1年以内に受験が必要)を含みます。 ポイント 26 1.ホワイトハッキングのご紹介 2.フットプリンティングと調査 3.ネットワークの診断 4.列挙 5.脆弱性解析 6.システムハッキング 7.マルウェアの脅威 8.スニッフィング 9.ソーシャル?エンジニアリング 10.サービス拒否(DoS攻撃) 11.セッション?ハイジャック 学習内容 12.IDS、ファイアウォール?ハニーポットの回避 13.Webサーバのハッキング 14.Webアプリケーションのハッキング 15.SQLインジェクション 16.ワイヤレスネットワークのハッキング 17.モバイル?プラットフォームの ハッキング 18.IoTハッキング 19.クラウド?コンピューティング 20.暗号技術 26
- 28. まとめ 28 ? 経営者によるIoTセキュリティへのコミットを得る ? IoTの特性を正しく理解する ? 各種ガイドラインを活用する ? 最新の脅威とその対策手段を理解する ? IoT以外のセキュリティ対策を疎かにしない ? 組織にあったフレームワークやトレーニングを活 用し技術や管理手法のアップデートを行う
- 30. 参考URL 30 総務省|平成27年版 情報通信白書|ユビキタスからIoTへ http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h27/html/nc254110.html コネクテッド?インダストリーズ税制(IoT税制) (METI/経済産業省) https://www.meti.go.jp/policy/it_policy/data-katsuyo/iot-zeisei/iot-zeisei.html 取締役会で議論するためのサイバーリスクの数値化モデル https://www.j-cic.com/pdf/report/QuantifyingCyberRiskSurvey-20180919(JP).pdf IoTセキュリティガイドラインを策定しました(METI/経済産業省) https://www.meti.go.jp/press/2016/07/20160705002/20160705002.html FIRST PSIRT Services Framework https://www.jpcert.or.jp/research/psirtSF.html サイバーセキュリティ経営ガイドライン https://www.meti.go.jp/policy/netsecurity/mng_guide.html Cybersecurity Questions for CEOs (DHS) https://www.dhs.gov/sites/default/files/publications/Cybersecurity%20Questions%20for%20CEOs_0.pdf CSMSユーザーズガイドの利用 https://isms.jp/csms/doc/JIP-CSMS111-08.pdf サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集 https://www.ipa.go.jp/security/fy30/reports/ciso/index.html 情報セキュリティ10大脅威 2016:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/vuln/10threats2016.html 情報セキュリティ10大脅威 2019:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/vuln/10threats2019.html 『第2層:フィジカル空間とサイバー空間のつながり』の信頼性確保に向けたセキュリティ対策検討タスクフォースの検討の方向性 https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_bunyaodan/dainiso/pdf/001_04_00.pdf 組織における内部不正防止ガイドライン https://www.ipa.go.jp/security/fy24/reports/insider/ セキュリティ知識分野(SecBoK2019 https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_bunyaodan/dainiso/pdf/001_04_00.pdf SP 800-181、NICEフレームワーク| CSRC https://csrc.nist.gov/publications/detail/sp/800-181/final 認定ネットワークディフェンダー /TrainocateJ/certified-network-defender-148963051
- 31. まとめ