© Hitachi, Ltd. 2016. All rights reserved.
株式会社 日立製作所
サイバーセキュリティ事業統括本部 事業戦略本部
2016/10/27
石原 修
社会インフラシステムにおける
サイバーセキュリティの脅威と対策
1
© Hitachi, Ltd. 2016. All rights reserved.
IoT時代
あらゆるモノやヒトが インターネットにつながることで
これまでなかった さまざまな新しい価値やサービスが生み出される
2
© Hitachi, Ltd. 2016. All rights reserved.
IoT時代
あらゆるモノやヒトが インターネットにつながることで
これまでなかった さまざまな新しい価値やサービスが生み出される
© Hitachi, Ltd. 2016. All rights reserved.
その一方で、サイバー攻撃の脅威はますます高まっている
サービス停止、企業活動への影響
さらには社会的な影響も引き起こしかねない
本講演では、企業活動そのものが、社会インフラととらえ
サイバーセキュリティの脅威と対策について考えていきます
© Hitachi, Ltd. 2016. All rights reserved.
1. サイバー攻撃の脅威と動向
2. サイバーセキュリティに対する施策
3. 事業継続のために必要なセキュリティ対策とは
Contents
3
4. 日立のセキュリティへの取り組み
5. 日立のセキュリティソリューション
まとめ
4
© Hitachi, Ltd. 2016. All rights reserved.
5
© Hitachi, Ltd. 2016. All rights reserved.
1-1 脅威事例(1/3) 米国の保険会社事業者(2015.02)
組織化されたサイバースパイの攻撃で顧客情報7,800万件以上が流出
経済的損失だけでなく社会的信頼も喪失
出典:The New York Times
• 組織化されたサイバースパイグループ
• 水飲み場攻撃で管理者PCへのアクセス権を搾取
• マルウェアを使って管理者の認証情報を盗みデータベースに侵入
攻撃者と
侵入方法
搾取した個人情報がハッキングに使われる可能性(政治家など含む)
被害の内容
• 経済的損失、社会的信頼の損失
• 会社のセキュリティ強化の費用
• 顧客への説明や信頼回復のための広報関連の費用
損失
6
© Hitachi, Ltd. 2016. All rights reserved.
1-2 脅威事例(2/3) サウジアラビアの石油会社(2012.08)
マルウェアにより3万台のワークステーションが停止・破壊された
通常状態に戻るため多額の費用と時間を費やした
不明
攻撃者と
侵入方法
社内の約3万台のワークステーションのハードドライブ上の
情報が削除および上書きされた
被害の内容
• 数日間、ネットワークに接続不可。その間ウェブサイトなどは停止
業務は手作業
• ハードドライブを短期間で再調達するため、通常よりも高価格で購入
• ネットワーク復旧に10日間、新たな安全を確保したシステムでの
運用開始までに5か月かかった
損失と影響
出典: albawaba BUSINESS
7
© Hitachi, Ltd. 2016. All rights reserved.
1-3 脅威事例(3/3) その他
損害は金銭だけでなく、社会不安やインフラの脆弱性の顕在化など
日付
攻撃対象(地域)
損害・影響
被害内容
2016年2月
病院(米国、ドイツ)
復旧に数週間
ランサムウェアにより、システムがロック
2015年7月
米国人事管理局(米国)
1億3,300万ドル~
3億2,980万ドル
2,210万人の公務員個人情報の流出
2015年5月
公的機関(日本)
社会不安
約101万人、約125万件の個人情報が流出
2014年7月
サービス業(日本)
約260億円
約3,000万件の顧客情報が流出
2014年3月~8月
地下鉄(韓国)
交通制御システムに内在
するリスクが明らかに
58台のPCがサイバー攻撃
8
© Hitachi, Ltd. 2016. All rights reserved.
1-4 サイバー攻撃の動向(1/2)
*1 ポリシー違反や侵入を検知するための静的照合パターン
新種のマルウェアの発生件数(2016年9月9日時点)
新種マルウェアが急増
シグネチャベース
*1
の対策だけではサイバー攻撃を防ぐことは不可能
(年)
20,000,000
100,000,000
140,000,000
2016
2015
2014
2010
2007
:新種のマルウェア発生件数
(件)
60,000,000
世界中で39万件/日を超える
新種のマルウェアが発生
出典:AV-TEST
9
© Hitachi, Ltd. 2016. All rights reserved.
1-4 サイバー攻撃の動向(2/2)
1Q,2Q連続で120万超の新たな種類が発見された
*2
1Qで372,602人への攻撃が確認された
*3
攻撃の50%が暗号化型ランサムウェア
*4
2016年の被害額が10億ドルに達する可能を示唆
*5
ランサムウェア
*1
が急増、事業継続に多大な影響が発生
メール添付ファイルを開いたり、改ざんされた正規サイトや不正広告を閲覧
しただけで感染する
1,200,000
2016
2015
2014
出典 *2:McAfee Labs 脅威レポート 2016年9月 *3: Kaspersky Lab IT THREAT EVOLUTION IN Q1 2016 *4:Trend Labs 2016年上半期セキュリティラウンドアップ
*5:HERJAVEC GROUP Hackerpocalypse: A Cybercrime Revelation
*1 ファイルを勝手に暗号化/読み取れない状態にし、ファイルの復元と引き換えに金銭を要求する不正プログラムの総称
ランサムウェアの合計数は
この1年で128%増加
2016年 第2四半期の
10
© Hitachi, Ltd. 2016. All rights reserved.
No.
Risk
Share
1 失業または不完全雇用
37.0
2 エネルギー価格ショック
35.5
3 財政危機
31.3
:
8 重要インフラの故障
19.3
:
10 国家間紛争
17.6
11 Cyberattacks
15.6
12 データ詐欺や盗難
15.1
:
14 テロ攻撃
14.3
:
1-5 グローバルでのサイバー攻撃リスク
(World Economic Forum)
Global Risks of Highest Concern for Doing Business
グローバルでのサイバー攻撃リスクは11位
11
© Hitachi, Ltd. 2016. All rights reserved.
1-6 日本におけるサイバー攻撃リスク
(World Economic Forum)
Global Risks of Highest Concern for Doing Business
日本でのサイバー攻撃リスクは1位
IoT拡大、サイバー攻撃への準備が不十分などが背景
No.
Risk
Share
1 Cyberattacks
51.6
2
自然災害
46.2
3
財政危機
44.0
:
8
重要な情報インフラの故障
20.9
:
10 資産バブル
13.2
10 データ詐欺や盗難
13.2
10 テロ撃
13.2
10 極端な気象現象
13.2
:
12
© Hitachi, Ltd. 2016. All rights reserved.
社会インフラシステムや生活者をターゲットとした脅威の増大
1-7 社会におけるサイバー攻撃の脅威増大
制御システムへのサイバー攻撃増加 2015年度 295件
国内インターネットバンキングの不正送金 2015年 約30億円(2013年 約14億円)
交通
エネルギー
金融・公共
産業・物流
クラウド
制御分野
センサ
開発
監視
制御
情報分野
端末/
装置
出典: NCCIC/ICS-CERT Year in Review ICS-CERT:Industrial Control Systems Cyber Emergency Response Team
警察庁 広報資料
情報漏えい
なりすまし
乗っ取り
制御LAN
不正操作
情報制御LAN
サービス停止
商品サービス
13
© Hitachi, Ltd. 2016. All rights reserved.
14
© Hitachi, Ltd. 2016. All rights reserved.
2-1 米国の施策
*1 2013年2月の米国大統領令に基づき、関係する政府機関、業界団体、企業を交えたワークショップによる検討を踏まえ
2014年2月にNIST(National Institute of Standards and Technology) により公開 出典: Framework for Improving Critical Infrastructure Cybersecurity
米国商務省の技術部門である非監督機関 NIST が発行した
「
重要インフラのサイバーセキュリティを向上させるためのフレームワーク
」
*1
を活用、
各企業は、サイバーセキュリティリスクを把握・管理し、取るべき行動計画を策定
自社のセキュリティリスクを把握・管理し、取るべき行動計画を策定する観点
特定
防御
システム、資産、
データ、機能の
セキュリティリスク
重要インフラ
サービス提供のための
保護対策検討・実施
検知
対応
復旧
インシデント
検知のための
対策検討・実施
検知された
インシデントへの
対応検討・実施
レジリエンス
計画策定・維持
機能やサービスの復旧・
対策検討・実施
15
© Hitachi, Ltd. 2016. All rights reserved.
2-2 日本政府/業界の主な取り組み
2015年
2016年
2017年
▲総務省:地方公共団体向け情報セキュリティポリシーガイド発行(2015/3)
▲金融庁:金融分野におけるサイバーセキュリティ強化に向けた取組方針公表(2015/7)
▲NISC
*1
:重要インフラの情報セキュリティ対策に係る第三次行動計画改訂(2015/5)
▲サイバーセキュリティ基本法施行(2015/1)
▲日本電気協会:
電力制御システムセキュリティガイドライン発行(2016/5)
▲経産省/総務省:
IoTセキュリティガイドライン発行(2016/7)
▲経産省:サイバーセキュリティ経営ガイドライン発行(2015/12)
「サイバーセキュリティ基本法」施行以降、各種ガイドラインが発行されている
▲ICT-ISAC
*2
発足(2016/6)
電力-ISAC、
Auto-ISACなど発足
*2 ICT-ISAC:情報通信(ICT)分野全体のサイバーセキュリティ関する情報共有及び分析するための組織
ISAC:Information Sharing and Analysis Center
16
© Hitachi, Ltd. 2016. All rights reserved.
2-3 重要インフラの情報セキュリティに係る第三次行動計画
重要インフラ(13分野)
重要インフラ所轄省庁
関係機関など
NISC
*1
による
調整・連携
重要インフラ事業者の情報セキュリティの取り組み:5つの強化
安全基準などの
整備・浸透
情報共有体制
障害対応体制
リスクマネジメント
防護基盤
出典:NISC重要インフラの情報セキュリティ対策に係る第3次行動計画の概要
IT障害が国民生活や社会経済活動に重大な影響を及ぼさないよう
重要インフラの防護が必要
情報通信、ガス、金融、水道、航空
物流、鉄道、化学、電力、クレジット
医療、石油
政府・行政サービス(含 地方公共団体)
17
© Hitachi, Ltd. 2016. All rights reserved.
2-4 サイバーセキュリティ経営ガイドライン(経済産業省)
出典:
サイバーセキュリティ経営ガイドライン
サイバー攻撃から企業を守る観点で、経営者が認識するべき「3原則」を策定
1
経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し
リーダーシップによって対策
を進めることが必要
2
自社は勿論のこと、
系列企業やサプライチェーンのビジネスパートナー
ITシステム管理の委託先を含めたセキュリティ対策
が必要
3
平時および緊急時のいずれにおいても
サイバーセキュリティリスクや対策、対応に係る情報の開示
など
関係者との適切なコミュニケーション
が必要
18
© Hitachi, Ltd. 2016. All rights reserved.
2-5 先行する業界(金融業界)での取り組み
金融庁を中心に官民連携したサイバーセキュリティ対策の強化を推進
出典:金融モニタリングレポート
フレームワークを活用した現状把握
特定 / 防御 / 検知 / 対応 / 復旧 / サービス提供状況 / 顧客への働きかけ
2015年7月金融庁公表「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を受け推進
情報共有機関(金融ISAC
*1
など)を活用した
情報収集・提供、取り組み高度化
演習で実戦能力を養い、
PDCA
*2
サイクルを回すことが有効
対策の実装等を行う技術担当者だけでなく
経営層およびこれを支える管理部門の職員も対象
重要社会基盤事業者等におけるサイバーセキュリティの確保の促進(第14条)
人材の確保等(第21条)
1
実態の把握
2
情報共有
3
横断的な演習
4
人材育成
5
金融庁体制強化
19
© Hitachi, Ltd. 2016. All rights reserved.
20
© Hitachi, Ltd. 2016. All rights reserved.
製造業者
経営者
3-1 企業におけるサイバーセキュリティ対策上の課題
サイバーセキュリティといっても、企業によって「課題」はさまざま
事業者の主な声
1.
製品開発において、サイバーセキュリティの観点
がない
2. 「
どこまで、何をすれば、セキュリティを担保できた
」と言えるのか?
3. 出荷後の製品にサイバーセキュリティは、どうしたらよいか?
4. グループ会社含めて
セキュリティポリシー、システム全体を見直したい
5.
CSIRT
*1
のセキュリティ人材がいない
セキュリティ専門技術が必要な部分は、アウトソーシングできないか?
6.
日立は、どのような体制で運営しているのか?
21
© Hitachi, Ltd. 2016. All rights reserved.
3-1 企業におけるサイバーセキュリティ対策上の課題
サイバーセキュリティといっても、企業によって「課題」はさまざま
事業者の主な声
1. 製品開発において、サイバーセキュリティの観点がない
2. 「どこまで、何をすれば、セキュリティを担保できた」と言えるのか?
3. 出荷後の製品にサイバーセキュリティは、どうしたらよいか?
製造業者
4. グループ会社含めてセキュリティポリシー、システム全体を見直したい
5. CSIRTのセキュリティ人材がいない
セキュリティ専門技術が必要な部分は、アウトソーシングできないか?
6. 日立は、どのような体制で運営しているのか?
経営者
製品のセキュリティ(開発から出荷後)
企業のセキュリティ(システム・組織・運用)
22
© Hitachi, Ltd. 2016. All rights reserved.
3-2 企業におけるサイバーセキュリティとは
企業におけるサイバーセキュリティは、下記の2つの軸で検討する必要がある
A) 自社のサービス / 製品のサイバーセキュリティ
B) 自社(社内情報システムを含む)のサイバーセキュリティ
A)自社のサービス/製品のサイバーセキュリティ
製品
企業におけるサイバーセキュリティ
サービス
社内システム
B)自社のサイバーセキュリティ
23
© Hitachi, Ltd. 2016. All rights reserved.
3-3 製造業の事例で考えるセキュリティ
サプライヤー
財務
顧客
総務
IT
広報
解体業者
販社
開発
購買
部品
受入
製造
製
品
検
査
物
流
アフターサービス
(保守・修理など)
付帯サービス
廃
棄
販
売
製品設計・開発からアフターサービスまでの各ステージでインシデントのおそれ
開発
システム
製造
システム
部品購買
システム
製品出荷管理
システム
製品ライフサイクル
24
© Hitachi, Ltd. 2016. All rights reserved.
3-3 製造業の事例で考えるセキュリティ
サプライヤー
財務
顧客
総務
IT
広報
解体業者
販社
開発
購買
部品
受入
製造
製
品
検
査
物
流
アフターサービス
(保守・修理など)
付帯サービス
廃
棄
販
売
開発
システム
製造
システム
部品購買
システム
製品出荷管理
システム
開発データ
漏えい
製造環境の
データ破壊
開発環境
データ破壊
顧客情報
漏えい
不正操作
購入品/
OSSの脆弱性
開発時の
セキュリティホール
出荷後製品の
脆弱性を
突いた攻撃
保守マニュアル
情報漏えい
検査でOSSの
脆弱性が発覚
製品ライフサイクル
製品設計・開発からアフターサービスまでの各ステージでインシデントのおそれ
25
© Hitachi, Ltd. 2016. All rights reserved.
3-3 製造業の事例で考えるセキュリティ
サプライヤー
財務
顧客
総務
IT
広報
解体業者
販社
開発
購買
部品
受入
製造
製
品
検
査
物
流
アフターサービス
(保守・修理など)
付帯サービス
廃
棄
販
売
開発
システム
製造
システム
部品購買
システム
製品出荷管理
システム
開発データ
漏えい
製造環境の
データ破壊
開発環境
データ破壊
顧客情報
漏えい
不正操作
購入品/
OSSの脆弱性
開発時の
セキュリティホール
出荷後製品の
脆弱性を
突いた攻撃
保守マニュアル
情報漏えい
検査でOSSの
脆弱性が発覚
製品ライフサイクル
マネジメントのルール(運用) ・ 組織(CSIRT) ・ 監視システム
ガバナンス・ポリシー
セキュリティ設計・
開発手順策定
セキュリティ品質の
チェック手順策定
出荷後製品の
セキュリティ管理
の手順策定
購入品/OSSの
セキュリティを担保
する仕掛け整備
OSSの脆弱性
が分かる人材
/組織整備
製品のセキュリティ(開発から出荷後)
企業のセキュリティ(システム・組織・運用)
製品設計・開発からアフターサービスまでの各ステージでインシデントのおそれ
26
© Hitachi, Ltd. 2016. All rights reserved.
27
© Hitachi, Ltd. 2016. All rights reserved.
4-1 日立グループにおける情報セキュリティへの取り組み
日立グループ共通の情報セキュリティへの取り組み方針を定め
情報セキュリティ強化活動を推進
守るべき
情報資産
守るべき資産の明確化
●情報資産の洗い出しおよびリスク分析
各種セキュリティ施策の整備
●管理的施策の徹底
●技術的施策の導入
利用者リテラシーの向上
●セキュリティ教材の整備
●管理者・従業員に対する教育
情報セキュリティ体制の確立
●規則体系(セキュリティポリシー)の整備 ●管理体制の整備
●監査・フォロー体制の確立
●予防プロセスと事故対応プロセスにおける
PDCAサイクル拡充によるフィードバックの徹底
28
© Hitachi, Ltd. 2016. All rights reserved.
4-2 利用者リテラシーの向上
社員の倫理観とセキュリティ意識の向上
監査を通じて問題点の早期発見と改善
情報セキュリティ教育
• 社員の各階層ごとのカリキュラム
• eラーニングによる全員教育
標的型攻撃メール訓練教育
パンフレットによる
機密情報管理規則の周知
29
© Hitachi, Ltd. 2016. All rights reserved.
FIRST®
*3
などの社外
IRTコミュニティ
情報セキュリティ早期警戒
パートナーシップ
4-3 情報セキュリティ体制の確立
お客さまシステムのセキュリティ確保
社内インフラのセキュリティ確保
社外SI/サービス
提供部署
SI
*1
ベンダ-IRT
情報システム・制御システム
製品開発部署
製品ベンダ-IRT
社内インフラ
管理部署
社内ユーザ-IRT
各IRTとの連絡窓口・取り纏め
HIRT
*2
センタ-
脆弱性対策、インシデント対応を支えるIRT(Incident Response Team)を構築
日立製品の脆弱性対策
社会IRTコミュニティとのグローバルネットワークの構築
*1 SI:System Integration ,*2 HIRT: Hitachi Incident Response Team
*3 FIRST:Forum of Incident Response and Security Teams
30
© Hitachi, Ltd. 2016. All rights reserved.
Z
サポート
要件定義
設計
実装
テスト
設計部署
セキュリティ
専門部署
品質保証部署
4-4 各種セキュリティ施策の整備(1)
製品のライフサイクルに基づくセキュアな製品開発
(設計から実装・運用までのセキュリティを考慮した製品開発の徹底)
• インシデントへの迅速な対応
• セキュリティ情報の提供
• 製品のセキュリティに関する全体方針の策定
• セキュリティを確保する開発方針の決定
• 脆弱性問題作りこみ防止
• ソースコード検査ツール
セキュアな製品開発
第三者評価
ISO/IEC 15408・JCMVP・CMVP認証取得
• セキュリティテストの実施
• セキュリティツールによる
脆弱性検査
• セキュリティ基本設計方針の
具体化
• セキュリティチェック項目に
基づく機能設計
HIRT
*1
31
© Hitachi, Ltd. 2016. All rights reserved.
4-5 各種セキュリティ施策の整備(2)
OSSコミュニティ
お
客
さ
ま
製品開発部門
営
業
/
S
E
製品開発支援部門
O
S
S
取
り
纏
め
部
門
研究所
セキュリティ・コミュニティ
セキュリティ専門部署
製品が利用するOSS
*1
情報の一元管理による迅速な対応
(問題の解析・影響有無の判断・対策方針の決定)
製品の提供
製品の提供
・保守
構成要素管理DB
・脆弱性情報
・各種属性情報
OSS
導入
脆弱性情報の入手から、問題の解析、お客さまシステムへの影響の有無の判断、対策方針の決定
1
2
3
4
*1 OSS:Open-source software
32
© Hitachi, Ltd. 2016. All rights reserved.
4-6 「情報セキュリティ報告書 2016」
日立グループの情報セキュリティの取り組みを紹介しています
33
© Hitachi, Ltd. 2016. All rights reserved.
34
© Hitachi, Ltd. 2016. All rights reserved.
5-1 セキュリティソリューションの3つのアプローチ
日立グループでの実績・経験を生かしたセキュリティソリューションを提供
システムで守る ・ 組織で守る ・ 運用で守る の3つのアプローチ
組織体制を構築し、
ポリシー・方針に基づいた
ガバナンスを行うこと
ポリシー・方針に基づき
組織、システム(仕掛け)を
継続的に運用すること
ポリシー・方針に基づいた
セキュリティの仕掛けを構築すること
組織
運用
セキュリティ
コンセプト
H-ARC
システム
組織で守る
運用で守る
システムで守る
H-ARC
H 強じん性 Hardening
A 適応性 Adaptive
R 即応性 Responsive
C 協調性 Cooperative
35
© Hitachi, Ltd. 2016. All rights reserved.
映像をご覧ください。
36
© Hitachi, Ltd. 2016. All rights reserved.
5-3
Hitachi Social Innovation Forum 2016 TOKYOでのご紹介内容
組織で守る
運用で守る
システムで守る
SOC
*2
/ CSIRT
*3
構築・運用
CSMS構築
*1
サイバー演習
マルウェア
対策
認
証
データ
暗号化
リスク
アセスメント
セキュリティ
設計
不正侵入
対策
不正操作
対策
サイバー
セキュリティ
車両下部
不審物検知
爆発物
探知
多拠点
映像監視
フィジカル
セキュリティ
総合
監視
空港
セキュリティ
マンホール
防犯・安全対策
画像解析
37
© Hitachi, Ltd. 2016. All rights reserved.
38
© Hitachi, Ltd. 2016. All rights reserved.
IoT時代
あらゆるモノやヒトが インターネットにつながることで
これまでなかった さまざまな新しい価値やサービスが生み出される
今後も日立グループでの実績・経験を活かした
「システムで守る ・ 組織で守る ・ 運用で守る」
セキュリティソリューションを提供していきます
38
39
© Hitachi, Ltd. 2016. All rights reserved.
展示のご紹介
B2F ホールE(展示会場)
40
© Hitachi, Ltd. 2016. All rights reserved.
セキュリティ関連セミナーのご案内
時間
セミナーNO
16:30~17:10 SE01-24
IoT時代へつなぐ
制御システムセキュリティの現状と対策
(株)日立製作所 中野 利彦
10月27日(木)
※本日
10月28日(金)
時間
セミナーNO
11:30~12:10 SE02-01
日立が考える安全・安心な社会インフラを実現する
セキュリティ
(株)日立製作所 宮尾 健
13:00~13:40 SE02-09
社会インフラを組織で守る!サイバー演習
サイバージム ギラッド ヨシ氏
(株)日立製作所 夏目 学
15:20~16:00 SE02-19
制御システムを守る!サイバーセキュリティマネジメントシステム
(一財)日本品質保証機構(JQA) 小倉 敏彦氏
© Hitachi, Ltd. 2016. All rights reserved.
