Comments
Description
Transcript
クラウド時代の情報セキュリティ
クラウド時代の情報セキュリティ トレンドマイクロ株式会社 上席執行役員 大場 章弘 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 1 アジェンダ • 脅威動向から攻撃のポイントを探る • 組織におけるセキュリティ対策、被害、課題の現状 • 「経営リスクを低減するセキュリティ」とは? 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 2 脅威動向から 攻撃のポイントを探る 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 3 続発するゼロデイ攻撃 主な2013年PC向けゼロデイ攻撃事例 1月 Java、一太郎 2月 Flash、Adobe Reader 4月 Internet Explorer 5月 一太郎 8月 Internet Explorer、Java 9月 一太郎 11月 Internet Explorer、Office、 Windows XP/2003 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 4 2014年4月に続発したゼロデイ脆弱性 脆弱性 報告日 ゼロデイ脆弱性が 確認されたソフト これらのソフトは 元々何をするもの? この脆弱性が攻撃されると どうなる? 4月7日 Open SSL サーバの正当性の証明と共 に、端末とサーバ間の通信 を暗号化するためのソフト 暗号化通信時の重要情報(暗 号鍵やユーザが入力したクレ ジットカード情報など)が Webサーバ上で盗み取られる (Heart Bleed 脆弱性) 4月21日 Apache Struts Webアプリを作ってサーバ 上で動かすためのソフト Webアプリへの攻撃により、 Webサーバに不正プログラム が感染したり、最終的にWeb サイトが改ざんされる 4月26日 Internet Explorer (IE) パソコンでWebを閲覧する ためのソフト Internet Explorerを使用して Webを閲覧しただけで端末が 不正プログラムに感染する 4月28日 Adobe Player ブラウザでFlashと呼ばれる 動画などのファイルを 再生 るためのソフト Web閲覧時などに不正なFlash コンテンツを表示した場合、 端末が不正プログラムに感染 する 6/18/2014 Flash Copyright © 2014 Trend Micro Incorporated. All rights reserved. 5 OpenSSL Heartbleed脆弱性とは? • 脆弱性ID:「CVE-2014-0160」 • OpenSSLの「Heartbeat拡張」に存在するエラー • 悪用されると、攻撃者はサーバのメモリから痕跡を 残さずに情報を読み出すことが可能になる • 脆弱性の影響を受けるバージョン – OpenSSL 1.0.1 から 1.0.1f – OpenSSL 1.0.2-beta から 1.0.2-beta1 http://heartbleed.com/ 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 6 OpenSSL Heatbleed脆弱性の影響? • SSL/TLS通信を行っているプロセスが リアルタイムで送受信している情報 すべてが盗まれる可能性 – SSL/TLSの秘密鍵 利用者が通信中で送信した内容 (ユーザ名、パスワード、クレジット カード情報、機密書類などの情報) 図:脆弱性を利用して読み取れたデータの実例 http://www.dartalis.lu/2014/04/11/heartbleed-openssl-vulnerability/より引用 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 7 Internet Explorerに存在する脆弱性(CVE-2014-1776) • 概要 – Internet Explorerに脆弱性「CVE-2014-1776」が存在 – 攻撃者がこの脆弱性を利用することで、IE利用者に自動的に不正 プログラムを感染させられる – Microsoft社の発表では既にこの脆弱性を利用した標的型攻撃を 確認済み • 影響範囲 – IEの現行バージョンすべて(6~11)に影響 – サポート終了のWindows XP にも影響(IE6~8) 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 8 Adobe Flash Playerの脆弱性(CVE-2014-0515) • 概要 – Adobe Flash Playerに脆弱性「CVE-2014-0515」が存在 – Flash Player利用者がWebサイトなどで不正なFlashコンテンツを 閲覧すると、自動的に不正プログラムが実行され感染してしまう – Adobe社の発表によればこの脆弱性を利用した攻撃を確認済み • 影響範囲 – Windows版 13.0.0.182 およびそれ以前のバージョン – Mac版 13.0.0.201 およびそれ以前のバージョン – Linux版 11.2.202.350 およびそれ以前のバージョン 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 9 セキュリティリスクの評価 資産価値 (機密情報、経営資源、ITシステム) 脅威(リスクを引き起こす要因) 脆弱性 6/18/2014 (システムの弱点) Copyright © 2014 Trend Micro Incorporated. All rights reserved. 10 どのように対策すべきか? • 対策 – 重度の脆弱性が発見されたら、早期で修正パッチを適用する – IPS/IDSなどの機能によって、脆弱性を狙う攻撃通信をブロックする 攻撃の早期化 パッチ適用が困難な理由 ・パッチ適用時の検証に時間を要する ・本番環境をすぐには止められない ・サイトの規模が大きくパッチの適用 作業に時間を要する ・プラットフォーム、ソフトウェアが 多岐に渡り調査に時間がかかる 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. + 11 ・脆弱性が公表されてから、エクスプロ イトコードが公開されるまでの期間が 短い(次頁参照) ・エクスプロイトコードが公開されるこ とにより、脆弱性が悪用されるリスク が高まる。 ・ゼロデイ脆弱性が無くなることはない 機能紹介:仮想パッチの運用に最適な推奨スキャン 推奨スキャンとは サーバにインストールされたDeep Security Agentがサーバーにインストールされ ているアプリケーションの情報を収集し、必要な仮想パッチを自動選択します。 DBサーバー Webサーバー 推奨スキャン 推奨スキャン Deep Security Manager 仮想パッチ機能 ON! 仮想パッチ機能 ON! 推奨スキャンを利用したパッチマネジメント 脆弱性 発覚! 脆弱性情報が 公的DBに 登録される Deep Security 仮想パッチ 適用 推奨スキャン 正規パッチ リリース Deep Security 仮想パッチ 解除 推奨スキャン で自動化 で自動化 Time Line 緊急度が高いも のは48時間以内 にリリース 6/18/2014 Deep Security 仮想パッチ リリース Copyright © 2014 Trend Micro Incorporated. All rights reserved. 正規パッチ 検証開始 12 正規パッチ インストール 機能紹介:Open SSLの脆弱性への対応 2014/4/8 コードの公開 「OpenSSL」の脆弱性 (CVE-2014-0160) 脆弱性情報の公開 2014/4/8 仮想パッチ 4月9日公開 ルール番号 DSRU14-009 攻撃コード公開の翌日には仮想パッチがリリース!! 脆弱性の公開 6/18/2014 エクスプロイトコードの公開 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 13 Windows Server 2003サポート終了 2015年7月14日 対象製品 「Windows Server 2003」、「Windows Server 2003 R2」 サポート切れによるセキュリティの影響 ①Microsoft社からセキュリティ更新プログラムが提供されなくなる 見つかった脆弱性(セキュリティホール)への対策が出来なくなる ②OS上のMiddleware製品も最新Versionに移行できない Middlewareの脆弱性(セキュリティホール)の対策も出来なくなる ③サーバOSはネットワーク接続前提 Windows XPクライアントのようにネットワークから隔離することができない 最新バージョンへの移行の検討ともに、 仮想パッチなど脆弱性対策の検討も必要 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 14 アカウントリスト攻撃の台頭 • 20%が外部からの指摘ではじめて侵害に気付く • 54%は異常が発覚した結果の調査により侵害に気付く • 僅か3%が定期的な監視により侵害に気付く 2013年不正アクセス発覚原因内訳 *公表データを基にトレンドマイクロ独自に集計 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 15 狙われるPOSシステム 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 16 止まらないWeb改ざん • サイト訪問者への金銭詐欺を目的としたWeb改ざんが約8割* • 情報窃取を目的としたWeb改ざんの登場 • 標的型サイバー攻撃を目的とした「水飲み場型攻撃」 Web改ざん報告件数推移 8000 7000 6000 5000 正規ECサイト 4000 決済代行業者 7,409 3000 氏名:TREND TARO カード番号:XXXX-XXXX-XXXX-XXXX 有効期限:2018年9月 2000 1,814 1000 320 0 2011年 2012年 2013年 出典: JPCERT/CCインシデント報告対応四半期レポート https://www.jpcert.or.jp/ir/report.html ※JPCERT/CCインシデント報告対応四半期レポートの数字をトレンドマイクロ株式会社にて編集 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 17 *公表データを基にトレンドマイクロ独自に集計 「新しいオンライン詐欺」の到来 • ネットバンキング利用者を狙った脅威 – 累計検出台数は、前年比約3.4倍 – 世界に占める国内検出台数の割合は、3%から19%に – 不正送金被害は14億600万円で過去最悪、前年比約29倍 (警察庁発表) オンライン銀行詐欺ツール国別検出台数割合 オンライン銀行詐欺ツール検出台数推移 2014年トレンドマイクロ調べ 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 2014年トレンドマイクロ調べ 18 標的型サイバー攻撃の傾向 • 遠隔操作ツールの96%がウェルノウンポートを通信に使用 • 通信先C&Cの67%は正規サイト・サービスを誤認させる アドレスを使用 遠隔操作ツールが使用する通信ポート 遠隔操作ツールのプロキシ利用割合 2014年3月トレンドマイクロ調べ 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 19 攻撃者は必ず痕跡を消す • ファイル転送を起点とした複数の挙動がある場合の 攻撃発生率は100% Windows管理共有への実行 ファイルコピー ファイル 転送 FTPによる実行ファイル転送 PsExecの実行 リモート 実行 リモートでのechoコマンド 実行 リモートでのタスク削除 痕跡 消去 リモートでのタスク追加 リモートでのサービス作成 リモートでのサービス削除 リモートでのイベントログ 削除 確認された挙動に対する攻撃発生環境の割合 2014年3月トレンドマイクロ調べ 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 20 サイバー攻撃のポイント キーワード:変化、隠蔽、偽装 目的 • 金銭的利益の獲得 • 価値ある情報の窃取 • 攻撃への踏み台 • 最終目的達成への悪用 • 標的環境の長期的制御 6/18/2014 攻撃対象 手段 • 正規Webサイト • ソフトウェア脆弱性の利用 • オンラインサービス • 正規Webサイトの改ざん • 個人・業務用端末 • ソーシャルエンジニアリング • 不特定多数のネット利用者 • 端末やアカウントの乗っ取り • 企業と企業内個人 • 不正プログラム Copyright © 2014 Trend Micro Incorporated. All rights reserved. 21 組織におけるセキュリティ対策、 被害、課題の現状 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 22 組織におけるセキュリティ対策実態調査 2014 概要 • 調査目的 – 組織におけるセキュリティ対策がどれだけ包括的に行われているかの 実態を把握する – 組織において直面しているサイバー攻撃とその実害の実状を明らかに する – 組織においてセキュリティ対策を実施する上で直面している課題を 浮き彫りにする • 調査対象 – 実施時期: 2014年3月28日~2014年3月31日 – 回答者:組織における、情報セキュリティ対策に関する意思決定者、 ならびに意思決定に寄与する立場の者 計1,175名 – 手法:インターネット調査 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 23 セキュリティ事故の発生状況は? 66.2%がセキュリティ事故を経験 官公庁自治体 金融 製造 医療 情報サービス・通信プロバイダー 教育 建設・不動産 運輸・交通・インフラ 店舗系商業サービス 卸小売・サービス 福祉・介護 出版・放送・印刷 0 100 200 400 500 600 クライアント端末のウイルス感染 社内サーバのウイルス感染 公開サーバのウイルス感染 スマートフォン、タブレットのウイルス感染 不正サイトへのアクセス フィッシングサイトへのア クセス Webサイトの改ざん なりすましメールの受信 社内システムからの情報漏えい 公開システムからの情報漏えい サービス停止攻撃(DoS/DDoS攻撃) 社内システムへの不正ログイン 公開システムへの不正ログイン ノートブックの紛失・盗難 USBなどのリムーバブルメディアの紛失・盗難 スマートフォン・タブレットの紛失・盗難 その他 6/18/2014 300 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 700 2014年3月トレンドマイクロ調べ 24 セキュリティ事故による実害はあるのか? 53.7%が実害に直結 データ破壊・損失 179 社員情報の漏えい 146 システム・サービス停止 122 業務関連情報の漏えい 101 顧客、取引先情報の漏えい 97 システム破壊 47 顧客、取引先との関係悪化 31 盗まれた情報・データの悪用 28 金銭被害 26 株価への影響 16 賠償・補填 13 訴訟 4 その他 3 把握できていない 37 実害はない 323 0 50 100 150 200 250 300 2014年3月トレンドマイクロ調べ 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 25 350 業種別セキュリティ対策包括度 技術的対策スコア 75.3 80.0 60.0 29.0 ベースラインスコア 71.3 72.0 66.1 58.5 組織的対策スコア 29.1 24.8 20.7 61.3 22.0 60.3 20.6 55.5 55.4 55.1 18.5 19.5 18.0 53.2 52.1 45.2 17.9 40.0 20.0 52.4 18.4 16.9 13.8 46.2 37.8 42.2 41.3 39.3 39.7 出 版 ・ 放 送 ・ 印 刷 製 造 37.0 35.9 37.1 35.2 34.0 35.2 31.4 建 設 ・ 不 動 産 教 育 卸 ・ 小 売 運 輸 ・ 交 通 ・ イ ン フ ラ サ ー ビ ス 医 療 福 祉 ・ 介 護 0.0 全 体 通 信 プ ロ バ イ ダ ー 情 報 サ ー ビ ス ・ 金 融 官 公 庁 自 治 体 (n=1175) (n=103) (n=103) (n=103) (n=48) (n=103) (n=103) (n=103) (n=103) (n=103) (n=103) (n=103) (n=97) 2014年3月トレンドマイクロ調べ 「出版・放送・印刷」は回答者サンプルが少ないため参考値 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 26 技術的な対策の導入状況は? クライアントで総合セキュリティではなく ウイルス対策ソフトを使っている 77.5% 社内サーバで総合セキュリティではな くウイルス対策ソフトを使っている 74.5% 公開サーバで総合セキュリティではなく ウイルス対策ソフトを使っている 67.8% 不正な通信や挙動を発見する 仕組みを利用している 51.6% 社内・公開システムで不正な改変を 特定できる対策をしている 39.6% 昨今の脅威に対策が追い付いていない 2014年3月トレンドマイクロ調べ 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 27 組織的な取り組みの実施状況は? 従業員教育を定期的あるいは随時 行っている 29.2% 従業員向けのガイドラインが存在し、 定期的あるいは随時更新されている 28.9% 専門の対応人員、組織が社内に 存在する 27.2% セキュリティポリシーが存在し、 定期的あるいは随時更新されている 27.0% サイバー攻撃、情報漏えいに関する 注意喚起を定期的に行っている 24.7% 組織を守る環境・体制が整っていない 2014年3月トレンドマイクロ調べ 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 28 組織におけるセキュリティ対策上の課題認識 投資の効果が見えにくい 66.0% 社員のリテラシー・意識が低い 59.1% 予算がない、足りない 55.8% 投資の必要性を上層部に説得する 材料に欠けている 53.2% 対策に必要な人材が足りない 52.0% 社員がUSBなどの端末を社内に 持ち込んでいる 49.4% 対策を行う人材のスキルが足りない 48.5% 部下から必要な対策の 提案が足りない 自組織が攻撃されていることに 気付きにくい 41.6% 社員がルールやガイドラインを守らない 41.5% 42.3% 2014年3月トレンドマイクロ調べ 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 29 「経営リスクとしての認識度合い」と 「対策包括度」の相関関係 割合 セキュリティを経営リスクとして 十分認識している 38.0% セキュリティを経営リスクとして ある程度認識している 42.0% セキュリティを経営リスクとして あまり認識していない 12.7% セキュリティを経営リスクとして 十分認識していない 4.5% 分からない 2.7% 対策包括度スコア 72.5 55.5 41.8 33.6 29.3 「経営リスク」認識は対策レベルに直結 2014年3月トレンドマイクロ調べ 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 30 組織におけるセキュリティ対策の課題は? 経営視点での セキュリティ 組織的対策として のセキュリティ 技術的対策として のセキュリティ 6/18/2014 • 投資の必要性の認識や予算不足 • セキュリティ人材の「量」と「質」の不足 • リスク認識が対策包括度に直接的に影響 • ポリシー、ガイドラインの未整備、陳腐化 • 社員教育、注意喚起の欠如 • リテラシーの低い一般従業員 • 「旧来のセキュリティ対策」への依存 • 発生しているシステム侵害に気付けない • 不正な通信や挙動に気付きにくい Copyright © 2014 Trend Micro Incorporated. All rights reserved. 31 「経営リスクを低減する セキュリティ」とは? 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 32 組織におけるセキュリティ対策「3ステップ」 「経営リスク」としての 組織的な対策の強化 技術的な対策の強化 • 体制の見直し・強化 • 端末での対策強化 • 脅威動向の情報収集 • 対策人材への投資 • 社内・公開システムでの対策 • セキュリティ脅威に関する理解 • ポリシーの策定・見直し • ビジネスリスクの分析・認識 • 社員教育・注意喚起の実施 • データの保護 • 対策・投資の必要性の理解 • ライフサイクルとしての • 内部活動の可視化 認識 セキュリティの実施 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 33 強化 • 不正改変の早期察知 組織における優先対策ポイントTOP3 組織的対策 ① 専任組織構築、人的投資を含めた体制の強化 ② ポリシーやガイドラインなどのルールの整備と見直し ③ 社員教育や注意喚起を通じた全社的な底上げ 技術的対策 ① クライアント・サーバでの旧来の対策からの脱却 ② システム侵害時のインシデント早期発見 ③ 組織内部での不正な通信や挙動の早期発見 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 34 トレンドマイクロが提供するセキュリティ サーバ対策 Trend Micro Deep Security 対処 クライアント対策 Client / Server Suite Premium 内部対策 Trend Micro Deep Discovery 6/18/2014 保護 導入・運用支援 サービス モニタリング & コントロー ル 分析 Copyright © 2014 Trend Micro Incorporated. All rights reserved. CSIRT/SOC 構築支援サービス インシデント 対応支援サービス 検知 プレミアム サポートサービス 35 トレンドマイクロの対策支援体制 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 36 組織体制づくりをトレンドマイクロが支援します トレンドマイクロ 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 37 ご清聴 ありがとうございました 6/18/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved. 38