Copyright © NTT Communications Corporation. All rights reserved.
NTTコミュニケーションズの
サイバーセキュリティ対策の取り組み
NTTコミュニケーションズ株式会社
セキュリティ・エバンジェリスト
小山 覚
2016年2月10日
Copyright © NTT Communications Corporation. All rights reserved.
目次
1. セキュリティ脅威の動向
2. サイバー攻撃を契機とした、セキュリ
ティ・リスクマネジメントの見直し
3. 体制強化の取り組み
●記載されている会社名や製品名は、各社の商標または登録商標です
2
Copyright © NTT Communications Corporation. All rights reserved.
1. セキュリティ脅威の動向
Copyright © NTT Communications Corporation. All rights reserved.
4
サイバー攻撃
重要情報インフラの故障
グローバルリスク報告書は全世界及
び全産業界に対して重大な悪影響を
及ぼす可能性のあるものとして抽出
した31のリスクに関する今後10年
間の展望について、世界各地の700
名以上の専門家に対する調査結果を
取りまとめたもの。
・サイバー攻撃の発生す
る可能性が拡大
・重要情報インフラの故
障による影響度が拡大
・IoT普及拡大によりリス
クは更に増加する懸念
WORLD ECONOMIC FORUM Global Risks 2016
出典:World Economic Forum 2016
Insight Report The Global Risks Report 2016 11thEdition
Copyright © NTT Communications Corporation. All rights reserved.
社会インフラ、制御系システムの脅威動向
通信 14.6%
その他 6.2%
IT 5.2%
医療 15.6%
政府機関 15.6%
金融 3.1%
農業 2.1%
水道 14.6%
交通 12.5%
原子力 6.2%
商業施設 7.3%
化学 4.2%
エネルギー
(電力・ガス)
32%
79件
最先端/
軍需産業
27%
65件
(報告件数245件)
(出典)ICS-CERT Year in Review 2014
https://ics-cert.us-cert.gov/sites/default/files/documents/Year_in_Review_FY2014_Final.pdf
5
Copyright © NTT Communications Corporation. All rights reserved.
社会インフラに対するサイバー攻撃のリスク(事例)
6
交通標識が「ゴジラ襲来」と警告、米国でハッキング被害
2014年 06月 9日 14:38 JST
http://jp.reuters.com/articleoddlyEnoughNewsidJPKBN0EK0A020140609
Copyright © NTT Communications Corporation. All rights reserved.
IP cameras: Japan
1 ... | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | ... 1154
Watch Panasonic camera in
Japan
Shibuya-Ku
Watch Panasonic camera in
Japan
Inazawa
Watch Panasonic camera in
Japan
Osaka
Watch Panasonic camera in
Japan
Numazu
Watch Panasonic camera in
Japan
Obu
Watch Panasonic camera in
Japan
Takamatsu
1 ... | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | ... 1154
Copyright © NTT Communications Corporation. All rights reserved.
標的型攻撃対策
公開サイトのセキュリティ対策
基幹系システム群
社内LAN
問い合わせ対応
報告・分析など
USB
USB
C&C
企業を取り巻く脅威の概要
ダウンロード情報管理
95/552件
Copyright © NTT Communications Corporation. All rights reserved.
2. サイバー攻撃を契機とした、セキュリ
ティ・リスクマネジメントの見直し
Copyright © NTT Communications Corporation. All rights reserved.
2013年7月23日 400万件の顧客情報が流出
Copyright © NTT Communications Corporation. All rights reserved.
セキュリティリスクマネジメントの見直し
セキュリティリスクマネジメントの欠如が露呈
全社ITシステム
等を徹底調査し、
セキュリティリ
スク低減策
を講じるとともに、
お客様に提供する全サービス・全システムにおけ
る統一したルールや体制を整備
ITシステムの全社管理と
セキュリティリスクマネ
ジメントの新たな業務運営プロセス
を確立
11
Copyright © NTT Communications Corporation. All rights reserved.
7項目の見直しを実施
★全社ITシステムのセキュリティリスク低減策
1. 全社ITシステム等の調査
2. ITシステムのソフトウェア脆弱性解消の対応策
3. セキュリティ強化策
★セキュリティリスクマネジメントの新たな業務運営プロセス
4. 全社ITシステムの管理方針を改めて策定
5. ソフトウェア脆弱性発覚時の対応
6. ソフトウェア脆弱性発覚時の対応訓練
7. 規程/約款の改定
12
Copyright © NTT Communications Corporation. All rights reserved.
3.セキュリティ強化策の徹底
情報システムの種別
FW
IDS
IPS
Web
ウィルス対策
WAF
※
VM
セキュリティ
(仮想パッチ)
プロファ
イリング
リアルタ
イムマル
ウェア検
知
脆弱性診断
リスク
アセス
メント
NW Web
公
開
シ
ス
テ
ム
WebAPを保有
●
●
●
●
●
●
●
● ●
●
上記以外(メール等)
●
●
●
●
●
●
●
●
インターネットGWを
有するシステム
●
●
●
●
●
●
●
社内に閉じたシステム
●
●
●
●
■セキュリティ対策の「適用基準」を定め、調査で洗い出され
たグローバルIPアドレス保有システムに適用
13
※
WAF:Web Application Firewall
Copyright © NTT Communications Corporation. All rights reserved.
4.全社ITシステムの管理方針を改めて策定
課題
システム情報
の一元化
タイムリーな
情報更新
脆弱性情報に
対する迅速で
確実な対応
対応方針
ルール化
サービス開発判断・システム投資判断時に情報登録
脆弱性対応状況の登録を義務化
システム化
(情報セキュリティ管理プラットフォー/ISMP)
システム構成情報管理の徹底
システムの
標準化
全社のガバナンス強化
ソフトウェア脆弱性への対応はISMPでモニタリング。
ITシステムのハードウェアやOS等を標準化
●全ITシステムを一元管理する方針を定め、
正確な構成管理とセキュリティレベル担保のためのプロセスを策定
14
Copyright © NTT Communications Corporation. All rights reserved.
脆弱性マネジメントシステム(ISMP)の利用を徹底
ISMP
情報システム
従来のシステム管理台帳を廃止し、脆弱性マネジメントシステムに一本化
より簡易に抜け漏れなく、ガバナンス強化を実現
システム管理者
(特徴1)
脆弱性診断結果に基づく対
策実施計画と実施状況を一
元管理
Information Security Management Platform
CISO
●脆弱性対応状況管理
・脆弱性対策実施の計画と実績管理
(特徴2)
登録システム全体の脆弱性
対策状況を管理
ボトムラインを可視化
●システム情報登録
・システム名、用途、IP、OS/AP等
●サービス提供
・脆弱性診断(定期、随時)
・当該システムに影響する脆弱性
情報を抽出、自動通知
●対策実施
診断結果と脆弱性情報
に基づく対策実施
15
●警報配信(CSIRT)
Copyright © NTT Communications Corporation. All rights reserved.
当社のリスクマネジメントフレームワーク
企画/設計
開発/構築
運用
脆弱性診断
▲開発判断
▲提供判断
リスク評価/
分析
セキュリティ
対策導入
カスタムシグニ
チャの提供
脆弱性管理シス
テムに情報登録
インシデント
拡張/最適化
脆弱性対策
レスキュー
サービス
★
★
サービス開始前に2回チェック
脆弱性情報
16
成否の50%は運用,30%はしくみ,20%はシステム
システムIDを発行しトレース
(物品調達時もID)
Copyright © NTT Communications Corporation. All rights reserved.
bash脆弱性(ShellShock)対応状況
0:00
①脆弱性公開
パッチ提供
IPS
A製品
B製品
W
AF
C製品
D製品
9/25 13:00 作成
9/26 17:30 公式提供
9/29 10:00 公式提供
9/27 10:30 公式提供
45.5 時間
87.5 時間
28.5 時間
9/25(木)
26(金)
27(土)
28(日)
29(月)
15:00
②脆弱性公開
(修正もれ)
11:00
②パッチ提供
▲
▲
▲
●
●
9/25 13:00 作成
●
●
9/25 18:30 作成
●
●
9/25 22:00 作成
●
●
●独自にカスタムシグニチャを作成し対策実施
17
Copyright © NTT Communications Corporation. All rights reserved.
bash脆弱性(ShellShock)対応状況
A社メーカーシグネチャ
リリース
B社メーカーシグネチャ
リリース
NTT Com
カスタムシグネチャ
リリース
4500件以上の攻撃を検知・防御
18
Copyright © NTT Communications Corporation. All rights reserved.
①脅威通知メール
脅威通知メール
※「S+」はサービス停止勧告
脆弱性マネジメントシステム(ISMP)
脆弱性情報
DB
システム情報
DB
アラート通知
システム
脆弱性情報
収集システム
市販
脆弱性情報
各種ベンダ
情報A
各種ベンダ
情報B
IoTベンダ
情報
自動収集
脆弱性マネジメントシステム
②脆弱性調査
システム情報登録
CISO
(責任者)
管理対象システム
脆弱性
スキャナー
脆弱性情報
ハッカー
サイト
攻撃情報
公開情報調査
(非公式情報含む)
④全体進捗管理
脆弱性あり
③脆弱性対策
分析官
調査
●危険な脆弱性情報に対応し
①脅威通知メールを自動送信
し管理者や利用者に注意喚起を行う。
②脆弱性スキャナーを装備
し円滑な
③脆弱性対策
と
④全体進捗管理が可能!
!!
管理者
!!
Copyright © NTT Communications Corporation. All rights reserved.
3. 体制強化の取り組み
回らない
PDCA
と使えない
CIA
との格闘
Copyright © NTT Communications Corporation. All rights reserved.
情報セキュリティ部(CSIRT)発足
21
CSIRT
C
omputer
S
ecurity
I
ncident
R
esponse
T
eam
サイバー
セキュリティ対策
情報セキュリティ
マネジメント
Plan
Do
A
ction
C
heck
Copyright © NTT Communications Corporation. All rights reserved.
いま風のセキュリティ対策の基本
C
onfidentiality・
I
ntegrity・
A
vailability
情報・データ
NW・システム
C
機密性
認められた者だけが、
情報にアクセスできる
システムや情報への攻撃を
検知・防御する
多層防護
I
完全性
情報が破壊、改ざん又は
消去されていない
連携するシステム間で、
首尾一貫
したセキュリティ水準を保つ
A
可用性
必要時に情報資産に
アクセスできる
必要時に場所を選ばず、システムや
情報にアクセスできる
利便性
Copyright © NTT Communications Corporation. All rights reserved.
情報セキュリティの方程式
23
お客さまや社内外からの、よろず相談や協力要請をお待ちしてます!
セキュリティ
レベル
=
①テクノロジー
(新技術の導入)
②オペレーション
(監視・運用・社員教育)
×
③ユーザビリティ
(利便性・自由度)
~人・システム・運用・制度・企業文化~
脆弱性(セキュリティホール)対策の徹底
Copyright © NTT Communications Corporation. All rights reserved.
