2020年を見据えた
サイバーセキュリティ対応及び、
個人情報保護の動向
(C) AMIYA Corporation
自己紹介
■職歴 外資系金融機関において情報セキュリティコンプライアンス運用の責任者を務める。 米国FRB等、外部監査に対応。 1998年 株式会社網屋に入社。 ISMS認証取得支援、個人情報保護法対応支援、J-SOX法対応IT統制運用支援等、 コンサルティング業務に従事。 現在、台湾を初めとするアジアを中心としたグローバルビジネスの展開に携わる。 ■資格CISA (Certified Information Systems Auditor) ■活動
ISACA COBIT研究会
JISA 先進技術実践委員会 情報セキュリティ部会 部会長
1. サイバーセキュリティ対応の動向
2. 個人情報保護の動向
3. 弊社ソリューションのご紹介
目次
設立1996年 所在地:日本橋浜町 従業員:119名
※2018年7月現在
売上の伸長 海外展開 メーカーとしての実績
商号 株式会社網屋 (AMIYA Corporation) 設立 1996年12月 役員 代表取締役 伊藤 整一 常務取締役 石田 晃太 取締役 柴崎 正道 監査役 田口 信夫 顧問 五十嵐 隆 山口 敏治
会社概要
(C) AMIYA Corporation 5 本社所在地 〒103-0007 東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町 11F TEL: 03-6822-9999(代表) 03-6822-9996(セキュリティ製品・サービス) 03-6822-9995(ネットワーク製品・サービス) FAX: 03-6822-9998 大阪営業所 〒541-0041 大阪府大阪市中央区北浜3-2-24 北沢ビル 8FM TEL: 06-4706-5585 FAX: 06-4706-5586海外子会社 台灣網屋股份有限公司(AMIYA TAIWAN CORPORATION) (100)台北市中正区衡陽路7號11樓 TEL: +886-2-2700-8418 董事長 伊藤 整一 資本金 5,000万円 従業員数 119名(正社員・契約社員・パート・アルバイト・パートナー社員含む) ※2018年7月1日現在
事業概要
事業内容 監査ソリューション事業
・セキュリティ監査ツールの開発/販売
-サーバアクセスログ 「ALog ConVerter」 -データベースサーバログ 「ALog ConVerter DB」 -Anyログ 「ALog EVA」
-サーバマネージメント 「Resource Athlete」 -スタンドアロン型サーバアクセスログ 「SMASH」 -その他 セキュリティ監査ツール ・IT統制構築/内部監査/報告書作成/運用支援 ・情報セキュリティマネジメントシステム構築/監査/運用支援 -ISO27001(ISMS) -個人情報保護法対応 -プライバシーマーク IT基盤ソリューション事業 ・システム基盤の評価/コンサル/設計/構築/運用 -シンクライアントシステム -サーバ仮想化システム ・ネットワークセキュリティシステムのコンサル/設計/構築/運用 -IPアドレス管理システム(DNS/DHCP) -インターネットセキュリティシステム (Firewall/VPN/IPS/IDS/Anti Virus/URL filtering)
-メールセキュリティシステム(メールアーカイブ/Anti SPAM) ・ネットワークセキュリティシステム・サービスの開発/販売 -仮想ネットワーク基盤フレーム -クラウドWAN 「Verona」 -クラウドLAN 「Hypersonix」 ・データセキュリティシステムの設計/構築/運用 -DLP、アクセスコントロールシステム -DataBase暗号化システム
(C) AMIYA Corporation 7
1. サイバーセキュリティ
対応の動向
日本政府の方針/戦略
2015年1月 「サイバーセキュリティ基本法」施行 2015年12月 「サイバーセキュリティ経営ガイドライン」(2017年11月改訂) 2016年8月 「企業経営のためのサイバーセキュリティの考え方」 2017年4月 「重要インフラの情報セキュリティ対策に係る第4次行動計画」 2017年4月 「サイバーセキュリティ人材育成プログラム」 2017年7月 「サイバーセキュリティ研究開発戦略」 2018年7月 「サイバーセキュリティ2018」「企業経営のためのサイバーセキュリティの考え方」
9① サイバーセキュリティは、利益を生み出し、ビジネスモデルを革新するものであり、
新しい製品やサービスを創造するための戦略の一環として考えていく必要がある。
② 全てがつながる社会において、サイバーセキュリティに取り組むことは、社会的な
要求・要請であり、自社のみならず社会全体の発展にも寄与することとなる。
(C) AMIYA Corporation 内閣サイバーセキュリティセンター「デジタルビジネス」の概念
デジタルビジネスの文脈では「複数の革新的ITがつながり(Connectivity)の向上により 統合されること」と意味づけられる。 注目すべきは単一ではなく、モバイル、 IoT、クラウド/エッジ、API、ビッグデータ、AI/ 機械学習などの「複数の革新的ITの統合」による活用とそれを実現する「つながり」に ある。 デジタルビジネスとは,この「複数の革新的IT」,すべてのITの「つながり」を活用し,企 業や社会活動に参画するすべての人が価値を創造,提供できるようにして,企業業績 や社会生活の向上を図ることである。11
4
重要インフラ企業の経営層はリスクアセスメントとリスクマネジメントを経 営戦略に組み込み、情報セキュリティへの関与を高める必要がある。 重要インフラに対するサイバー攻撃を阻止するためには業界間、官民のサイ バー脅威に関する情報共有が不可欠。本行動計画では、重要インフラ企業が ITとOTの部門間でサイバー脅威情報共有の第一歩を踏み出す必要がある。 (C) AMIYA Corporationサイバーセキュリティ2018 ー重点施策ー
(1)経済社会の活力の向上や持続的発展 企業経営層におけるセキュリティ意識の向上 経営リスク管理としてのセキュリティ対策の推進 株主等ステークスホルダーに対するセキュリティの説明責任 (2)国民が安全で安心して暮らせる社会の実現 サイバー犯罪などの脅威に対する官民連携のさらなる強化 2020年の段階で想定される運用経験やノウハウなどを2021年以降に継承していく ための準備 (3)国際社会の平和・安定および我が国の安全保障への寄与 サイバー空間における国際的な「自由・公平・安全」の確保やその理念の普及 (4)横断的施策 実務および技術での専門人材の育成や組織での確保 セキュリティの戦略マネジメントを担う人材の育成や定着13
経営層の意識
セキュリティ対策を推進する上 での課題 「経営層のリスク感度が低い」 欧州20.7
%、米国27.1
%、 日本30.9
%、 IPA「企業のCISOやCSIRTに関する実態調査2017」より (C) AMIYA Corporation 24. 33.9 34.6 16.8 20.1 15.9 12.5 13.2 4.9 4.9 1.7 30.9 27.1 428.1 27.5 32.4 24.9 19.0 23.7 14.6 13.5 3.8 8.7 20.7 19.0 27.9 27.9 20.3 17.1 21.9 12.2 11.8 4.4 15.8 2.7 2.7 0 % 20 % 40 % 経営層のリスク感度が低い 経営層にITやセキュリティの 重要性を理解してもらえない 予算が不足している リスクの見える化が困難/不十分 情報セキュリティの取組が企業価値の向上 につながると 認識されていない セキュリティ対策が場当たり的になっている インシデント発生に備えた準備が不十分 経営とセキュリティの両方を 理解している人材がいない 担当者の専門知識が不足している CISOの能力が不十分である 委託先管理が困難である その他 日本(N=755) 米国(N=527) 欧州(N=526) ■情報セキュリティ対策を進める上での課題認識経営層に求められる役割
CISOに求められる4つの顔
役割 定義 マネジメント的側面 Strategist 事業及びサイバーリスク戦略の調整を主導するとともに、価値ある 投資によってリスクを管理するための変革を創造・推進する。 Advisor サイバーセキュリティリスクの観点から事業に対して、教育、アド バイス、普及啓発を行う。 技術的側面 Guardian 脅威の全体像を理解し、サイバーリスクに関するプログラムの有効 性を高めることで事業資産を保護する。 Technologist 組織のセキュリティ機能を構築するためのセキュリティ技術及び標 準の評価、導入を行う。15
デジタルビジネスアーキテクチャを俯瞰すると
JISA「デジタルトランスフォーメーション(DX)の現状と動向」より
人材育成
2015年6月 「産業横断サイバーセキュリティ人材育成検討会」 2017年4月 産業サイバーセキュリティセンター (IPA:情報処理推進機構) 2017年4月 「サイバーセキュリティ人材育成プログラム」 (サイバーセキュリティ戦略本部) サイバーセキュリティ戦略本部 IPA:情報処理推進機構 産業横断サイバーセキュリティ人材育成検討会「サイバーセキュリティ人材育成プログラム」
17 対象期間:2020年東京オリンピック・パラリンピック競技大会開催前までの3年間 (2017年度から2019年度)を想定 サイバーセキュリティは企業価値や国際競争力を高めるものである。 サイバーセキュリティは、やむを得ない「コストセンター(直接利益を創出しないもの)」で はなく、機会がもたらされる「ビジネスエネーブラー(ビジネス推進のカギ)」として扱うべ きである。 経営層と実務者の橋渡し役となるサイバーセキュリティ人材像の共通認識。 (C) AMIYA Corporation サイバーセキュリティ戦略本部「サイバー空間をめぐる脅威の情勢等について」
(2018年3月)【平成29年1年間の脅威】
サイバー犯罪検挙数は合計9,014件。相談数は13万件超。 確認された標的型メールの数は6,027件。平成28年と比べて約1.5倍。脅威の増加 が顕著。 手口としては「ばらまき型」が全体の9割。配送会社の再配達依頼に見せかけたもの など。 仮想通貨アカウントを標的にした不正送金被害は合計149件。被害額は合計6億 6,240万円。平成30年に発生した大規模流出被害の前兆と言える。 不正出金の主流であったネットバンクを狙ったサイバー攻撃は、ピーク時の1/4程度と 影を潜める。 警察庁順位 脅威 前年順位 1 標的型攻撃による被害 1 2 ランサムウェアによる被害 2 3 ビジネスメール詐欺による被害 ー 4 脆弱性対策情報の公開に伴う悪用増加 ー 5 脅威に対応するためのセキュリティ人材の不足 ー 6 ウェブサービスからの個人情報の窃取 3 7 IoT機器の脆弱性の顕在化 8 8 内部不正による情報漏えい 5 9 サービス妨害攻撃によるサービスの停止 4 10 犯罪のビジネス化(アンダーグラウンドサービス) 9 JIPDEC 「情報セキュリティ10大脅威2018」より
日本におけるサイバーリスクの認識
(C) AMIYA Corporation 19 過去の主なサイバーセキュリティ被害 2009年 大規模DDoS被害 2011年 ポータルサイトから個人情報漏えい(韓国初の標的型攻撃) 2013年 大規模DDoS被害、同年6月国営放送局KBSへの破壊攻撃 2017年 電子商取引サイトから個人情報漏えい(標的型攻撃) 韓国のサイバーセキュリティ防衛体制
Blue House
NIS
KISA
MND
中国の状況
21 2013年以降 「総合的国家安全保障観」 2017年 「中华人民共和国网络安全法」(サイバーセキュリティー法、インターネット安全法) 規制対象: インターネット運営者、重要情報インフラ運営者、インターネット製品および サービス提供者等の組織および個人 特徴: 内資・外資の区別はない。 ネットワークの安全保護 ネットワークの稼働状況およびネットワークの安全に関する事件事故を監視および記録し、 かつ、関連規定に従い ネットワーク・ログを最低6か月間保存する。 (C) AMIYA Corporation台湾の状況
2012年10月 「個人資料保護法」施行
2016年3月 法改正
(C) AMIYA Corporation 23
2. 個人情報保護の動向
GDPR対応、日本の企業の意識と現状は
GDPR(General Data Protection Regulation)対応状況調査 アンケート結果
Q.あなたの会社にはヨーロッパに拠点がありますか?
Q.GDPR(EU一般データ保護規則)が5月25日から適用 されます。GDPRをご存知ですか?
Q.あなたの所属組織は、GDPRに対応していますか。
(C) AMIYA Corporation 25
次なる脅威か? “eプライバシー法”とは
2019年に施行予定。 eプライバシー法(ePrivacy regulation)とはEU(ヨーロッパ連合)の法規制。 メールやCookie等を取り扱う民間企業等に対し、EU市民のプライバシーの遵守を 義務付ける法案。 EU市民といいながらも、2018年5月に施行されたGDPR(EU一般データ保護規 則)同様、日本企業にも大きな影響を及ぼす可能性がある。「Sorry is not Enough」
Facebook CEO Mark Zuckerberg again says 'I'm sorry,' but that doesn't go far enough for some EU officials. (USA TODAY)
“Sorry is not enough”: WP29 establishes a Social Media Working Group
“We reiterate our earlier commitment to assist and fully cooperate with the UK’s Information Commissioner’s Office (ICO) in its investigation of Cambridge Analytica and Facebook. “ “We are also committed to work closely together through our existing Facebook Contact
Group1 and speak with one voice. “
“We are at the start of a new era of data protection. The protection of individuals against unlawful use of their personal data on social media platforms will be one of our key priorities. “
(C) AMIYA Corporation 27
GDPRのエッセンス
個人データ処理の調査と報告 (Articles 15/17/18/28) GDPRに対応したセキュリティ対策の実装を証明できること(Articles 3/58/82) 情報漏洩の検知、予防、分析/調査 (Articles 32/33/34) 通知(Articles 33,34) 制裁金(Articles 83)Article 15,16,17
データ主体は、自分に関するどのようなデータが、何の目的のために処理され、誰と共 有され、どこで処理されているのかを知る権利を有する (第15条) データ主体は、自分の個人データの訂正
を求めることができる (第16条) データ主体は、自分の個人データの削除
を求めることができる(第17条)→忘れられる権利
(Right to be forgotten)データ主体の権利
[Right](C) AMIYA Corporation 29
Article 28
認可された要員だけが個人データの処理に携わるよう規制する。それらの要員には機 密保持を確約させるか、法的義務を課す。 個人データの処理に関連したサービスの提供終了後には、すべての個人データを消去 するか、管理者に返却する。処理者
[Processor]Article 32
「リスクに見合うセキュリティレベルを確保するために、適切な技術的および組織的な 対策」を講じる必要がある。
処理のセキュリティ
[Security of Processing]the controller and the processor shall implement appropriate technical and organisational
measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:
暗号化/仮名化 セキュリティ(機密性・完全性・可用性)の確保 インシデント発生時の可用性とデータの復旧 技術的および組織的な対策の効果の評価 リスクのレベルに応じたデータのセキュリティ 必要な対策:
31
Article 33、34
管理者は、 個人データへの侵害を認識した時点から 72時間以内に監督機関 に通知しなければならない(第33条)。 また、影響を被る本人にも遅滞なく通知しなければならない(第34条)。 (C) AMIYA Corporation監督当局/データ主体への通知
[Notification to the supervisory authority/Communication to the data subject]
the controller should notify the personal data breach to the supervisory authority without undue delay and, where feasible, not later than 72 hours after having become aware of it...”.
Any organization suffering a data breach will be required to report it to the national data protection body and also notify any affected customers swiftly.
監査当局/データ主体への通知のために、調査・分析が必要な事柄
データ侵害によって引き起こされ得る事象
影響を被るデータ主体とデータの数
(C) AMIYA Corporation 33
Article 83
1. 1000万ユーロまたは企業の全世界年間売上高の2%のいずれか高い方 GDPRの要件を満たす適切な技術的・組織的措置を実施しなかった場合 個人データ侵害の通知義務を怠った場合 2. 2000万ユーロまたは企業の全世界年間売上高の4%のいずれか高い方 個人データ処理の基本原則や同意取得に関して違反した場合 個人データのEEA域外への移転で違反した場合Article 82
(物質的もしくは非物質的な)損害を受けたすべての個人が賠償を受ける権利がある。 企業は、損害を生じさせた事象に一切責任がないことを示すことができる場合にのみ、
制裁金の支払いが免除される。
損害賠償請求権及び法的責任
[Right to compensation and liability]controller or processor shall be exempt from liability … if it proves that it is not in any way responsible for the event giving rise to the damage.
(C) AMIYA Corporation 35
制裁金の回避
回避の要件
企業は、個人データの処理に関する活動記録をとりまとめ、監督機関にコンプラ イアンスへの準拠を実証する必要がある。
Article 58
各監督機関は、データ保護監査の形式で調査を実施し、データ処理に関して警告、 けん責、データ処理の停止命令を発する権限を有する(第58条)
(C) AMIYA Corporation 37
求められる技法
Data discovery Data mapping Forensic 断捨離 data minimization(156)39 (C) AMIYA Corporation
3.弊社情報セキュリティ
ソリューションの御紹介
ALogシリーズ
フォルダのアクセス権情報や 不要ファイルの洗い出しなど マルチなサーバマネジメントツール データベースアプリレイヤから取得 分散するDBログを一元的に保管 専用サーバ不要&簡単インストール スタンドアロン型サーバログ スタンドアロン型 サーバアクセスをOSレイヤから取得 複数サーバから統合的にログ管理を実現 エンタープライズ型 ALogの守備範囲を全方位に広げる 統合ログ製品情報・通信業
860
社以上 製造業720
社以上 出版/メディア/ 広告代理店300
社以上 公共系法人250
社以上 建設・不動産業270
社以上 金融・保険業600
社以上導入実績
サーバアクセスログ市場 パッケージ別シェア 出典:ミック経済研究所 「サイバーセキュリティソリューション市場の現状と将来展望」 【ガバナンス&監査編】2018年版 2018年8月発行ALog ConVerter の特長
複雑なログを 変換後 更に圧縮して 大容量のログを 元のログ 不正確な内容も1GB
が1MB
に!見
やすく小
さく正
しく25KB
に! 生のイベントログでは実際のユーザー操作を把握することが困難です。 ALogは『実際のユーザー操作が分かるログ※』を出力します。 ※ウィルススキャン、バックアップなど、ユーザーが実施していない操作 のログが出力される場合は、設定で出力を止めることができます。 見やすいログに 超コンパクトに 正しい操作履歴に READ WRITE ファイルを開いて 保存した READ WRITE READ WRITE READ WRITE READ WRITE READ WRITE ? ? ? ? S-1-5-21-2910433525-404745982-3962478095-500/Toshio/2008SP2/0x50b70/Security/File/E:¥DATA¥顧客情報¥取引先重要顧客リスト.xls /0x534/%%4416 /0x1/0x4// S-1-5-21-2910433525-404745982-3962478095-500/Toshio/2008SP2/0x50b70/Security/File/E:¥DATA¥顧客情報¥取引先重要顧客リスト.xls /0x534/%%4416 /0x1/0x4// S-1-5-21-2910433525-404745982-3962478095-500/Toshio/2008SP2/0x50b70/Security/File/E:¥DATA¥顧客情報¥取引先重要顧客リスト.xls 時刻 ユーザー サーバ 対象 操作 2012/1/18 15:04:50 amiya.co.jp¥kawasaki amiyafs-vol1 D:¥エンジン開発部¥次世代 EV開発¥EV特許技術.xls READ 2012/1/18 15:05:22 amiya.co.jp¥kawasaki amiyafs-vol1 D:¥機密¥個人情報¥個人プ ロフィール.doc WRITE 2012/1/18製品概要
(C) AMIYA Corporation 43 ALog EVAはALogシリーズのログ範囲を飛躍的に拡大します。 セキュリティ全般を全方位に統合管理し、サイバーアタックの検知、通信障害の原因探索、 有事勃発時の事後追跡などのあらゆる記録を様々なデバイスから取得して セキュリティリスクの可視化と監視/レポートを行います。多くの取込み実績
◆ネットワーク/アプライアンス機器 Cisco ASA シリーズ Cisco Catalyst シリーズ Juniper SSG シリーズ Juniper MAG シリーズ PaloAlto Networks PA シリーズ Blue Coat ProxySG シリーズ Fortigate シリーズ Infoblox DHCP ヤマハ RTX シリーズ IBM Flex System EN スイッチ Hitachi Load Balancer EL130Aruba Networks モビリティ・コントローラー トレンドマイクロ Deep Discovery Inspector Soliton Systems NetAttest EPS シリーズ SonicWall シリーズ
◆NAS/クラウドストレージ/汎用機
Hitachi Virtual File Platform (CIFS) NetApp ONTAP (NFS audit) HPE 3PAR StoreServ
Nutanix AFS (Nutanix Files) QNAP
I-O DATA LAN DISK
Amazon Web Services CloudTrail Box
FOBAS クラウドストレージキャッシュ IBM AS/400
◆各種サーバ
Apache HTTP Server (Linux)
IBM HTTP Server (Linux)
DHCP Server (Windows)
DNS Server (debug log) (Windows)
Microsoft Exchange Server (Windows)
RADIUS Server (Windows)
WebDAV (Windows)
Squid common (Linux proxy server)
Sendmail (Linux mail server)
Postfix (Linux mail server)
Samba (Linux)
◆データベース
MySQL (Linux)
PostgreSQL (Linux)
FUJITSU Symfoware Server (OPEN)
FUJITSU Symfoware Server (NATIVE)
日立 HiRDB IBM DB2
◆セキュリティ製品
SKYSEA Client View LanScope Cat
Soliton Systems SmartOn
ディー・オー・エス System Support best1 (SS1) クオリティソフト QND
デジタルアーツ i-FILTER デジタルアーツ m-FILTER トレンドマイクロ ウイルスバスター
トレンドマイクロ InterScan Messaging Security アルプス システム インテグレーション InterSafe ILP アルプス システム インテグレーション InterSafe IRM Symantec Messaging Gateway
日立ソリューションズ 秘文 ZenmuTech ZENMU Cisco クラウド Web セキュリティ IIJ セキュア Web ゲートウェイサービス Pulse Secure シリーズ Logstorage ◆アプリケーション SAP NEC Explanner PCA シリーズ OBIC シリーズ ニッセイコム GrowOne
Microsoft SharePoint (AvePoint) Cybozu Office シリーズ Cybozu Garoon シリーズ Access Analyzer 日立 JP1 FUJITSU Systemwalker 富士ゼロックス DocuShare 富士ゼロックス ArcSuite ※2018年9月末時点、順不同
一般的によく取られるログには、専用テンプレートを標準装備。 テンプレートを選ぶだけで設定が完了します。 テンプレートを選んで 1 ログの収集先を決めて 2 収集周期を決めたら 3 設定完了 4
スピーディーなログマッピング
※テンプレートはサポートサイトからもダウンロードできます (C) AMIYA Corporation 45All Unified Management
取り込んだログは、ALogシリーズ共通のインターフェースで管理します。 共通のGUIでログの検索・レポートができ、全方位のログ管理を実現します。 • 閾値を用いたアラート通知ができる • 複合検索と定期レポートを実現 Point 統一 フォーマット レポート出力変換処理 アクセスログ マッピング定義 ①Windows ファイル共有 (NASサーバ等) ログ転送 ログ検索 ログ保管 ②sshdによる SCP転送 (Linuxサーバ等) ログ収集 ③対象機器から Syslogを転送※ (ネットワーク機器等) マネージャーサーバ 対象機器 ログ収集 Syslog サーバ ※対象機器からALogマネージャーサーバにログを転送し、マネージャーサーバ側で受信します。 Syslogサーバ(Kiwi Syslog Serverなど)をマネージャーサーバに構築する必要があります。
システムフロー
• 圧縮保管で長期運用◎ • 暗号化保管で非改ざん性◎ • DBの保管期間は任意に設定可能 • デバイス単位でファイル出力 (他システム連携が簡易) Point (C) AMIYA Corporation 47GUI:ログ検索
A AD Active Directory V B 1 CDB
49
自動レポート作成機能
Article 15,16,17
データ主体は、自分に関するどのようなデータが、何の目的のために処理され、誰と共 有され、どこで処理されているのかを知る権利を有する (第15条) データ主体は、自分の個人データの訂正
を求めることができる (第16条) データ主体は、自分の個人データの削除
を求めることができる(第17条)→忘れられる権利
(Right to be forgotten)データ主体の権利
[Right]51
Implementation
Requirements 個人データへのアクセス、特に変更と削除の記録を残し、データ主体の権利 が保護されていることを実証する必要がある。 WRITE入手 保管 RENAME 加工 WRITE 利用 READ 廃棄 DELETE
Article 28
認可された要員だけが個人データの処理に携わるよう規制する。それらの要員には機 密保持を確約させるか、法的義務を課す。 個人データの処理に関連したサービスの提供終了後には、すべての個人データを消去 するか、管理者に返却する。処理者
[Processor]53
Implementation
Requirements
Auditing personal data access and user activities
認可されたユーザのみが、許可された範囲で個人データにアクセスし、処理を 行っていることを立証するために、アクセスの記録を残す。 処理者が、サービス提供後にデータの削除もしくは返却をしたことを立証するた めの記録を残す。
Implementation by tools
特定の個人データに対してアクセスが認可されているユーザのリストを定期的に、 レビューする。 認可されていないユーザが、個人データにアクセスをする。 アクセス失敗のアラートが発効される。 (C) AMIYA CorporationImplementation
「アクセス失敗」の抽出 重要データへのアクセス
(C) AMIYA Corporation 55
Article 32
「リスクに見合うセキュリティレベルを確保するために、適切な技術的および組織的な 対策」を講じる必要がある。
処理のセキュリティ
[Security of Processing]the controller and the processor shall implement appropriate technical and organisational
measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:
暗号化/仮名化 セキュリティ(機密性・完全性・可用性)の確保 インシデント発生時の可用性とデータの復旧 技術的および組織的な対策の効果の評価 リスクのレベルに応じたデータのセキュリティ 必要な対策:
Implementation
不審なアクセスを記録する 夜間、休日にアクセスをしているユーザのリストを出力する。 ログオン失敗のリストを出力する。 退職予定者のアクセスを記録する。 休暇中や病欠中の従業員に関連するログオンアクティビティを検知する。 普段は使われていないアプリケーション経由でのデータベースへのアクセス を記録する。 リモート環境からのログインを記録する。 新規のモバイルデバイスによるシステムへの登録を記録する。57
Report by tools 1
(C) AMIYA Corporation
Report by tools 2-1
WebプロキシのログをALog EVAで収集。「転職サイトカテゴリー」のWebサイトの閲覧状況を集計
詳細なアクセスログを見てみると… 同一人物が頻繁に転職サイトを見ている ことが発覚!
59
Report by tools 2-2
(C) AMIYA Corporation
このIPアドレスの持ち主を検索し 「t-suzuki」であることを特定
Report by tools 2-3
「顧客情報」フォルダーに しきりにアクセスしている!
事例 (C) AMIYA Corporation 61
内部不正対策
編 大手物流センター様 内部不正による情報漏えいを発生させてしまった 物流大手CT社。再発防止のため、「機密情報」 「管理者権限」「持ち出し」の3つの視点でログ 管理を行うこととした。 ALog EVA選定Point もともとALogConVerterでファイルアクセスログ、 DBログを取得していたため、Alog EVAを適用するだ けで対象範囲が拡張でき、導入が容易だった。 プロキシサーバからWebメールの添付送付を取得。 PCログからUSBへのファイルコピーを取得。 ファイルサーバから機密ファイルの操作ログを取得。 DBサーバから管理者のDBログオンログを取得。 機密情報へのアクセスは 全て記録しなければ! ALog EVA 特に管理者の記録は 再重要! ALog ConVerter 外部への持ち出しも 全て記録を残す!Copyright AMIYA Corporation All Rights Reserved.
Webメール添付
C&C server
サイバーセキュリティの環境
プロキシ アプリケーション サーバ ファイル サーバ FW IPS/IDS FW インターネット DMZ LAN 事前調査 標的型メールの 送付 C&C通信の確立 内部移動 高い権限を持つ PCへの侵入 情報の盗み出し 痕跡の消去 impact Successful infiltrationユーザーAのメールからランサムウェアに感染。その後、ランサムウェアがファイルサーバの複数のファイルを暗号化。 すぐにALogでその「ユーザー」と「ファイルのRENAME操作」をAND検索。 複数の暗号化されたファイルを全て特定し、感染範囲を特定。データはバックアップで復元。被害を最小限に留めることができた。 1日に100回以上ファイルを 「RENAME」したらメール通知 その後 監視レポートを活用して自動で検知 (C) AMIYA Corporation 63
サイバー攻撃の検知①
A A´ B B´ C C´ ウィルスに感染した日にユーザーAが 実行した「RENAME」操作を抽出 事例 大手薬品メーカー様ドメイン管理者権限の奪取
Kerberos認証の脆弱性を突いて ドメインへの永続的な侵入を可能にする 「Golden Ticket」を発行する攻撃既知の脆弱性への攻撃
イベントID のエラーコードに「0xf」と 記録されている場合、既知の脆弱性を 狙ったサイバー攻撃を受けているケースが多い 時刻 ユーザー 対象 操作 詳細 2017/6/1 17:50:45 amiyadc01¥Security アカウントドメイン: eo.oe.kiwi :)エラーコード: 0x0 Security Event EventID:4672 2017/6/1
17:59:50 amiyadc01¥Security
アカウントドメイン: AMIYADC.Local
エラーコード: 0xf Security Event EventID:4769 2017/6/1
17:59:51 amiyadc01¥Security アカウントドメイン: AMIYADC.Localエラーコード: 0xf Security Event EventID:4769
※引用元
サイバー攻撃の検知②
(C) AMIYA Corporation
株式会社網屋 取締役 柴﨑正道
