サイバーセキュリティ強化の新たな考え方 ～技術革新と人材育成の重要性～

Fu jitsu Secu rity Foru m 2 0 1 6

2016年11月30日

富士通株式会社

サイバーセキュリティ事業戦略本部

エバンジェリスト

太田 大州

サイバーセキュリティ強化の新たな考え方

～技術革新と人材育成の重要性～

目次

1. ICTセキュリティの課題

2. 富士通の取り組み



中表紙サブタイトル18pt



○○○○○○○○○○○○○○○○○○○



○○○○○○○○○○○○○○○○○○○



○○○○○○○○○○○○○○○○○○○



○○○○○○○○○○○○○○○○○○○

中表紙タイトル32pt

サイバーセキュリティの課題

1.

ICTセキュリティの課題

1.

Copyright 2016 FUJITSU LIMITED

あらゆるモノがつながる世界

通信

農業

官庁

自治体

位置情報

放送

家庭

(家電)

電気・ガス

水道

交通

交通

物流

医療

製造

航空管制システム

列車運行システム

物流配送システム

医療介護システム

生産管理システム

GPS

緊急速報システム

スマートメーター

スマートメーター

_{上水道システム}

生育管理システム

_{タブレット・スマホ}

住民情報システム

電子申請システム

サイバー空間

リアル空間

デジタル技術の波



サイバー空間は、

ますます拡大、高度化



デジタル技術はクラウド

モバイル、IoT、AIと

セキュリティの

集合体へ

AIとロボティクス

第4の波

Internet of Things

第3の波

500

億以上（2020年）

Mobile Internet

第2の波

100

億（2010年）

Internet

第1の波

10

億（2000年）

お客様の重点課題

70.5%

64.8%

58.1%

55.2%

50.5%

49.5%

47.6%

45.7%

42.9%

41.0%

26.7%

26.7%

33.3%

37.1%

34.3%

40.0%

45.7%

32.4%

40.4%

32.4%

2.9%

8.6%

8.6%

7.6%

15.2%

10.5%

6.7%

21.9%

17.1%

26.7%

20.セキュリティ対策

22.制度・法令への対応

21.BCP(事業継続対策)/災害対策

5.間接費低減

4.売上原価低減

10.現場業務の強化(業務改善全般）

11.事業・業務可視化(経営)基盤強化

2.販売力強化

12.人材強化・育成の仕組み整備

7.技術力強化

a.今後１、2年で対応優先度が高い

b.中期的(3～5年後まで)に対応が必要

c.優先順位は低い/対応予定なし

情報システム部門からみた企業課題傾向と対応状況

（※上位10項目のみ記載）

※出典：第37回 情報化調査 LS研ICT白書 ～会員企業におけるICT活用に関する調査～2015年度版

例年の優先課題「セキュリティ」「制度・法令」「事業継続」さらに優先度が高まる

+8.9

+8.2

サイバー攻撃がおよぼす経営リスク

自社内のだけの問題ではない

影響範囲はサプライチェーン全体に

サプライチェーン

情報漏えい

個人情報だけではない

・知的財産

・営業秘密情報

業務影響

情報漏えいだけではない

・業務停止

・機会損失

製品品質

製造装置、制御装置も危険

・企業の社会的責任

・IOTへの脅威

個人情報保護法

リ

ス

ク

対

策

年代

2000年

2005年

2010年

情報保証（IA）と

任務保証(MA)/事業保証(BC)

不正アクセス禁止法

日本版SOX法

マイナンバー法

BCPガイドライン・不正競争防止法

事故前提

の対策で

リスク低減

これからの危機管理の考え方

2016年

事故前提

社会

サイバー攻撃対策

7

事業の中断

サイバー攻撃への任務保証と事業継続

事前対応

システム稼働

潜在リスク

感知

時間経過

機能

_危機発生

インシデント

対応能力

危機管理対応能力

任務保証と事業継続能力を高めるために

高度化する新たなサイバー攻撃には、脅威に対する正しい理解と

緊急時の正しい判断が求められるため、対処体制の見直しが必要

①

O

bserve(監視）

②

O

rient（情勢判断）

④

A

ct（行動）

③

D

ecide(意思決定)

◇継続的なモニタリングによるサイバー攻撃の検知

◇サイバー攻撃の目的・意図を

判別する為の情報収集

◇問題解決やリスク要因の排除

・モニタリングへのフィードバック

◇攻撃の目的・意図を認識した上で、

自組織に対する影響を把握

・ モニタリング結果の解析新脆弱性

・ リスクの高さの判断 など

◇サイバー攻撃に対する措置に関する

迅速かつ的確な意志決定

「総務省における情報セキュリティ政策の推進に関する提言」より引用

富士通の取り組み

Copyright 2016 FUJITSU LIMITED



ウイルスの侵入・感染を防げない？



攻撃者の命令で感染が進み、痕跡も消える



一旦侵入されると、復旧まで時間がかかる



未成熟なセキュリティ運用の実態

解決できていないサイバーセキュリティの課題



ウイルスは常に新種が発生、

一日に、100万種以上が発生



感染を検知できない、

砂場で米粒を見つけるが如し



年金機構では3ヶ月を要した、

ICTの停止は組織の致命傷



経営者の理解不足による、

セキィリティ人材育成の遅れ

11

制御システム(OT)

命令・情報漏洩

実現したい技術と組織・人材育成

持ち込み

入口・出口

内部/オフィス(ICT)

インターネット

重要サーバ

情報詐取

攻撃者

BYOD

USB/CD媒体など

出張戻りのPCなど

入口・出口対策

 ファイアウォール

 シグネチャー

 サンドボックス

遮断

踏み台サーバ

マルウェア感染端末

既知

_未知

証跡収集・

影響分析

技術

感染検知・遮断技術

Ｔ２

組織構築と人材育成

Ｔ１

Ｔ３

テクニカル(SOC)

_H１

マネジメント(CSIRT)

Ｏ１

マルウェア感染端末

既知 未知

未知のサイバー攻撃

検知技術

_Ｔ4

富士通が求めた新しい着眼点

攻撃者の行動

Toolを送り込む

(侵入)

Toolを利用

(諜報)

情報を窃取

(窃取)

手段

マルウェア

脆弱性

_{アップロード}

攻撃の目的

・個人情報 ・機密情報 etc

シグネチャー

IPS製品

マルウェア対策

_製品

レピュテーション

製品

対策

対抗し続ける

必要あり

実現手段は

無数に存在

Ｔ１

導き出した新たな検知技術

侵

入

諜

報

窃

取

侵

入

報

諜

窃

取

侵

入

諜

報

窃

取

侵

入

諜

報

諜

報

諜

報

侵

入

侵

入

侵

入

侵

入

侵

入

※画像はイメージです。

～攻撃者行動遷移モデル～

攻撃者はこういった行動を行って

標的型攻撃を遂行する

攻撃者の行動例：

※ 本技術は全ての標的型サイバー攻撃の検知を保証するものではありません。

（Malicious Intrusion Process Scan

）

端末の通信を監視し、分析した攻撃者の行動を

「攻撃者行動遷移モデル」

に照合する事で

「標的型サイバー攻撃」を検出

「グローバルマネージド

セキュリティサービス」

にて提供

個別に見える攻撃者の行動も、

実は基本行動の組み合わせでしかない

Ｔ１

導き出した新たな検知技術

(iNetSec IW)

チョークポイント(遠隔操作での感染拡大、諜報活動)を直接監視、遮断

Ｔ２

営業部

総務部

役員室

DMZ

攻撃

者

インターネット

A支店

機

密

情

報

攻撃サー

バ

攻撃対象

Context(前後関

係)

感染PC

秘

情報窃取

チョークポイント監視

攻撃全貌の把握

攻撃の進行状況を把握する全体俯瞰図

検知された

踏み台

その前の

踏み台

原因の端末

Ｔ３



大量のネットワーク通信を自動解析し、標的型サイバー攻撃の全貌を

短時間で分析、ひと目で把握する「高速フォレンジック技術」

専門運用技術を圧倒的効率化

常時、証跡収集・監視を実施

問題発生時の対応迅速向上

マルウェア解析は行わず、影響分析・攻撃の

全体俯瞰に特化することで自動分析が可能

数週間かかる証跡分析を

数十分に短縮

危険度の高い端末操作の

自動抽出

一日分の端末操作の紐づけを

数秒で完了

全体俯瞰図の

自動描画

セキュリティ

人材不足の解消

Ｔ３



構造化された CTI の M2M 共有



OASIS CTI 標準: CybOX, STIX, TAXII



CTI 共有前の「墨消し」



CTI の活用



[デモ] Active Cyber Threat Hunting

CTI 駆動型 予見的対策ソリューション



共有された CTI をきっかけに主体的にサイバー攻撃を探しに行く



ベースは今年度製品化予定の CTIM

(CTI Management System)

CTI の M2M 共有とその活用

Active Cyber Threat Hunting

CTI 駆動型 予見的対策ソリューション

CTI グラフ解析・編集

_{共有ポリシー制御}

CTIM



CSIRT/SOCの構築では、

「インシデントの発生確率を低減」

の

視点だけではなく、インシデント発生時の

「被害の極小化」、

及び

組織における

「攻撃への耐性強化」

の視点を含めて、検討する必要

CSIRT/SOC構築に必要な視点

Risk

Reduction

Damage

Minimizaiton

Resistance

Development

セキュリティ情報収集

セキュリティ監視

脆弱性診断

分析 / レポーティング

インシデントハンドリング

脆弱性ハンドリング

教育 / 訓練

1. インシデントの発生確率低減

Proactive Services

2. 被害の極小化

Reactive Services

3. 攻撃への耐性強化

Security Quality Management Services

セキュリティ機能強化



セキュリティ技術者の可視化と活躍のサイクル



セキュリティに素養のある

人材を可視化。



コミュニティでナレッジを共有し

各自の業務に展開。



セキュリティマイスター自身が

後進の技術者を発掘・育成。

セキュリティ人材の育成サイクル

発掘

認定

拡大、活性化

活動

教育

社内セキュリティコンテスト

などにより発掘

教育コースの提

供

セキュリティマイス

ター

認定制度

コミュニティへの参加・ナレッジの共有

セキュリティ品質を

確保したICTの提供

高度な攻撃に対抗する

ソリューションの提供

ビジネス

への貢献

Ｈ１

新たな成長に向けた挑戦

企業成長の要素

サイバー攻撃

ビッグデータ

クラウド

モビリティ

自然災害

不正アクセス

情報漏えい

サイバー攻撃

ビッグデータ

クラウド

モビリティ

自然災害

不正アクセス

情報漏えい

ICT活用による価値の創造

（企業の成長ドライバー）

（コンプライアンス・リスク）

セキュリティと事業継続

企業の成長

エッジ＆センサー

Security by Design

Optimality by Design

富士通が目指すデジタル時代のセキュリティ

2015年 2016年 2017年 2018年 2019年

フロントデバイス

最適な選択



iOS / Android / Windows10



PC / Tablet / Smartphone/

ウエラブル・コンピュータ



BYOD / 専用

ビッグデータ

大量ログ、リアル



Hadoop / CEP



Ｃloud / PCクラスター



NFCの普及 / バイオメトリクス



認証局 (誰でも、どれでも）



IDフェデレーションの高度化



FIDO

プライバシー保護

データの活用促進



匿名化



暗号化

認証基盤の充実

多様性

知の創造

AI/ロボティクス

サイバー攻撃対策

ProActive

(予測予見)



脆弱性監視



証拠性確保



インシデント対応

Anytime，Anywhere，