金融機関向けホワイトペーパー

by user

on 28 марта 2017

Category: Documents

>> Downloads: 2

views

Report

Comments

Description

Download 金融機関向けホワイトペーパー

Transcript

金融機関向けホワイトペーパー

金融機関向け
セキュリティソリューション
著者：中村弘毅
監修：齋藤ウィリアム浩幸
金融機関向けセキュリティソリューション
エクゼクティブサマリー：
• 昨今、ニュースなどでサイバー犯罪が新
聞の一面を飾る日が多くなり、その犯罪手
口の多様化により、サイバーセキュリティ
対策を軽視できない状況になっています。•
企業の経営陣は、これまで業務に直結し
ないセキュリティ対策への投資を見送る傾
向にありましたが、経営を揺るがしかねな
い要因として、この方針が大きく変わろう
としています。
キュリティ対策の強化が必要となると推測
しています。
脅威の進化：
弊社が未知のマルウェア対策として提
供している仮想サンドボックスサービス
(WildFire) は、2015 年２月現在、5000
社以上のお客様が利用されており、１日
の検査対象となるファイルが 150 万を超
え、１年前と比較して 10 倍になっていま
す。この１年で、新規にマルウェア判定さ
日本では、平成２６年１１月にサイバー
れたファイルは、平均で検査ファイル全体
セキュリティ基本法が制定され、サイバー
の約 5% になり、このマルウェア判定した
セキュリティ戦略が立案されたことにより、
ファイルの 59% は、他のベンダーが対応
国としてのサイバーセキュリティの取り組
していない未知のマルウェアであることが
みが強化される事となりました。
判明しています。
平成２７年度版金融情報システム白書 *1
によると、国内の金融機関ではサイバー
攻撃によりシステムが停止したことは無い
が、万が一にもこうした事態が発生した
図 1:
場合には顧客や決済システムなどにも大
きな影響を与えることが考えられるとい
う記述があり、入口・出口・内部脅威対
策として、明確な対策方針が新たに追記
されました。
これまでは、金融機関毎に独自のセキュ
リティ基準による対策が行われていました
が、今後は明確な基準が打ち出されたこ
とにより、方針に即した対策の必要性が
問われることになります。
平成２７年 4 月に金融監督庁の監督指針
が更新され、セキュリティ対策基準が盛り
込まれたことにより、金融機関に一層のセ
図 2:
パロアルトネットワークス | 金融機関向けセキュリティソリューション
1
また、マルウェアがどのようなファイルで
あるかを分析すると Financial Service に
該当するお客様では、上記の図にあるよ
うに実行形式のファイルが大部分を占める
ことが判っています。
表 1:
過去 1 年、未知のマルウェアは一定数の
増加で推移していますが、未知の脅威は
一過性のものではなく、マルウェアが形
を変えて、発見されにくくすることで、既
存のアンチウィルス製品が対応するスピー
ドを上回るペースで日々進化し続けてい
ます。
今後のセキュリティ対策のあるべき姿：
• これまでのセキュリティ対策は、何らかの
攻撃を受けたことが判明し、その攻撃へ
の対応が起点となる、既知の脅威への対
策が中心でした。
例えば、新しい脅威が公表されると、その
脆弱性やウィルスに対応しているかどうか
の議論になり、セキュリティベンダーはそ
の対応スピードを競っていました。さらに、
未知の新しい脅威が発見されると、新し
いセキュリティ製品を追加し、絶対に侵入
させないということが至上命題になり、経
営陣も同様の前提で認識しているために、
欧米と比較して、セキュリティに対する意
識が向上しない状態が続いていたと思わ
れます。
最近は、脅威の手口も巧妙になり、侵入
されてしまうことを前提とした対策が標
準になりつつあります。つまり、これまで
の前提が変わり、未知の脅威が社内に侵
入した後の対策が求められています。
今後、これらの前提に沿ったセキュリティ
対策としては、以下の３点を満たしている
製品、ソリューションが必須になります。
• 脅威の対応スピード・脅威情報の共有
• 自動化
• 防御
表 2:
先に例を挙げた脅威に対応するには、上
記の３つの点に対応できるプラットフォー
ムを持っていることが重要になります。例
えば、１日に数万もの新規マルウェアが発
見され、その全てに迅速な対応ができる
か？との問いに明確に回答できるセキュリ
ティ製品、ソリューションを選ぶことが必
要です。
•
セキュリティ対策製品では、検知を優先す
る製品はありますが、その製品で脅威か
ら防御することが出来ない場合には、人
手を介する必要があります。
また、金融業界をはじめとする各業界団
体においても情報共有の必要性が高まっ
ており、検知・防御した攻撃が同じ業界
内で発生しているのかどうかを確認するこ
とも重要です。
FISC 要件への対応の重要性：
今回の金融庁の監督基準では、入口、出
口、内部対策の必要性について記載され
ていますが、具体的な対策について明記
されませんでした。しかし、平成２７年度
版金融情報システム白書 *1 には、新規の
セキュリティ対策要件が具体的に提示され
ています。
一昨年に発生した米国のクレジットカー
ド流出事件でも、脅威を検知していたが、
検知後に人を介した対応プロセスに問題以下の表に記載されている要件が平成
があり、被害が拡大したとの報告があり２７年度版で、新たに追加されたセキュ
リティ対策の一部です。金融機関では、
ます。
入口対策を重視する傾向がありましたが、
今後のセキュリティ対策では、脅威の拡今回、出口対策が詳細に定義されていま
大スピードに対応でき、発見した脅威をす。特に、マルウェアの検知・遮断と明確
自動的に分析し、人手を介さずに脅威
に記載されています。また、次世代ファイ
を防御できる機能を持つことが推奨されアウォールによるアプリケーションの通信
ます。
監視が含まれています。つまり、従来の
セキュリティ対策では不十分であり、ポー
トベースのファイアウォールの通信ログの
監視には限界があるということが明確であ
り、今後、アプリケーションレベルの通信
監視・制御が標準機能として搭載してい
ることが新しいファイアウォールの基準と
言っても過言ではありません。
多層防御はシンプルさが重要
金融情報システム白書 *1 では、多層防御
は、入口対策では不十分であるため、出
口対策も平行して実施することが重要であ
ると訴求しています。このため、既知の脅
威対策のイメージから多層防御は複数の
セキュリティ製品を組み合わせて実現する
ものだと考えられるかもしれませんが、こ
れは大きな誤解です。多層防御は出来る
パロアルトネットワークス ¦ 金融機関向けセキュリティソリューション
2
限りシンプルに実現することが重要です。図 3:
管理対象となるセキュリティ製品が増加す
れば、同時に、運用コストの上昇、分析
対象ログの増加に直結するため、現実的
ではありません。
また、最近では、多層防御に該当する機
能を１台で複数有している製品が増えてき
ていますが、パフォーマンスの観点から多
層防御を利用した際のメリット、デメリッ
トを事前に把握することが重要です。
パロアルトネットワークス製品は、多層防
御に必要なすべての機能を同時に使うこ
とを前提として開発されており、シンプル
な多層防御を実現することが可能です。
パロアルトネットワークスが考える FISC 要
件に対応した対策：
• パロアルトネットワークスは、セキュリティ
対策はシンプルであるべきだと考えていま
す。上記の図は、金融情報システム白書 *1
に記載されている要件を盛り込んだ場合の
セキュリティ対策例です。
入口・出口対策を１台のセキュリティ製品
で実現することで、多層防御の要件を満
たし、かつ、既知のセキュリティ製品を統
合することで大幅なコスト削減につなが
ります。この対策を実施した上で、パロ
アルトネットワークスが提供していない
（上記の図、黒字で記載した対策）セ
キュリティ対策をお客様の要件に合わせ
て追加することで、最適なセキュリティ対
策を実現することができます。
パロアルトネットワークスが提供するセキュ
リティソリューション：
• パロアルトネットワークスは、お客様に
アプリケーションを安全に利用して頂
くことを目的として創業した会社で
す。その理念は現在も変わらずアプリ
ケーション識別をコアに位置づけ、
様々なセキュリティソリューションを提
供しています。
金融機関のお客様には、インターネッ
ト入口・出口対策、未知のマルウェア
対策、内部脅威対策をご利用頂いてお
ります。
• インターネット入口・出口対策
金融機関のお客様は、大きく分けて２
つの入口・出口があります。１つはイン
ターネットへの入口・出口、もう１つは
対外接続ネットワークの入口・出口対策
です。
-> 入口・出口対策
図 4:
以下の対策を１台で実現することにより
シンプルな多層防御が実現可能です。
• アプリケーションレベルでの通信可視
化・制御 ( ポート詐称の発見 )
• IPS/IDS , AntiVirus Gateway の統合
• 未知のマルウェア
• 対策として WildFire の利用
• 他のお客様で発見された未知のマル
ウェア情報を１５分間隔で共有
• マルウェアサイトへの遮断を目的とした
URL フィルタリング機能
-> 対外接続ネットワーク対策
対外接続ネットワークは、インターネット
に接続されていないという理由から、ポー
トベースのファイアウォールによる最低限
の対策が行われてきました。しかし、昨今、
マルウェアの感染経路がインターネットに
限定されないために、さらなる対策が求
められています。しかし、対外接続ネット
ワークに複数製品を組み合わせるのはコ
スト的にも現実的ではないために、弊社
製品１台での多層防御ソリューションが最
適です。
パロアルトネットワークス | 金融機関向けセキュリティソリューション
3
・未知のマルウェア対策
・エンドポイントの対策
( アドバンスドエンドポイント Traps)
パロアルトネットワークスの未知のマル
ウェア対策は、クラウドベースであるため、
多くの金融機関のお客様はファイルを外部
に出すことに強い懸念を持たれるケース
があります。そこで、ファイルの検査は実
施せずに、パロアルトネットワークスを利
用されている世界中のお客様で検出され
た未知のマルウェアのシグネチャを 15 分
間隔で取得することで、未知のマルウェア
対策を実施することが可能です。ファイル
のアップロードが難しい場合には、ファイ
ルを外に出さずにファイルのスキャン、シ
グネチャの作成を行うことが可能なアプラ
イアンス製品 (WF-500) をご用意しており
ます。
これまで数々のエンドポイントセキュリ
ティ製品が市場に出回っているにもかか
わらず、アンチウィルス製品は従来のシグ
ネチャベースによる対策に終始してきまし
た。パロアルトネットワークスが提供する
アドバンスドエンドポイント製品は、個々
の攻撃そのものではなく、マルウェアが利
用するエクスプロイトテクニックに着目す
ることにより、脆弱性に関する予備知識が
なくても攻撃を防御することができます。
これにより、悪意のあるファイルが使用す
るエクスプロイトテクニックが実行された
タイミングで、攻撃を検知、遮断すること
が可能です。
・内部脅威対策
・サイバー脅威インテリジェンス
AutoFocus
社内は安全という前提が崩れてきており、
社内ネットワークのセキュリティ対策の強 • 弊社では、2015 年 3 月３１日、お客様
化に取り組むお客様が増加しています。
がサイバー脅威との闘いに明確な優位性
を持てるよう、優先度付きの実用性の高
社内でどのようなアプリケーションが利用
いサイバー脅威情報を提供する、サイバー
されているかが分からないと言われている
脅威インテリジェンスサービス Palo Alto
IT 担当者様が増えており、現状の対策を
Networks AutoFocus を発表しました。
疑問視されています。そこで、まずは、社
内ネットワークのアプリケーションを可視
セキュリティ担当者は、さまざまなツール
化し、金融情報システム白書 *1 に記載されやベンダーからの配信情報や、組織全体
ている出口対策を実施することで社内をよ
に導入されたデバイス群からの膨大な量
りセキュアに保つことが可能です。
のセキュリティデータや通知を毎日受信し
また、クラウドサービスの普及により、
ます。この莫大な情報にはコンテキスト
（制
SSL による暗号化通信の利用が通信全体の御するための情報）や、次の手順に必要
３割を占めるまでに増加しています。この
な詳細情報がごくわずか、もしくはまった
課題に関しても、SSL 通信を復号することく存在しないため、組織が直面する他で
で、より詳細にどのようなアプリケーショ
は見られない固有の標的型攻撃は識別し
ン、どのようなサイトに接続したかについ
にくく、その結果、攻撃を事前に防止する
て監視することが可能です。
機会を逃すことが多くなります。
図 5:
AutoFocus のサービスによりセキュリティ
担当者は、日常的に高度な標的型攻撃
の標的となる 5,000 以上のグローバル企
業、サービスプロバイダ、政府機関から
収集された何十億ものファイル分析結果
から得られた実用的な詳細情報へ即座に
アクセスできるようになります。個々の脅
威の発生源や独自性、同業種での関連性
といったコンテキストを提供することによ
り、サイバー脅威インテリジェンスサービ
ス AutoFocus は以下の情報提供を実現し
ます。
〒 102-0094
千代田区紀尾井町 4 番 3 号
泉館紀尾井町 3F
電話番号 : 03-3511-4050
www.paloaltonetworks.jp
• 攻撃者によって使用される最新の脅威
戦術、技法、手順の公開
• 攻撃者と具体的な敵対者との関連づけ
• 個々の攻撃が大規模な組織的攻撃にど
のように組み込まれているかの特定
• 一般的なマルウェアと、高度にカスタマ
イズされた標的型マルウェアとを区別
• この高度な機能により、お客様は即座
に重大な標的型攻撃の優先度を判断す
ることが可能となり、対処するための適
切なリソースを割り当て、重要な資産を
保護するために迅速な措置を講ずるこ
とができます。
・まとめ
• パロアルトネットワークスは、金融機関を
対象に最適なサイバーセキュリティ要件
を満たすために利用できる最も革新的で、
かつ柔軟なセキュリティプラットフォーム
を提供します。パロアルトネットワークス
プラットフォームは、多数のセキュリティ
機能を組み合わせ、シンプルな多層防御
により金融機関のネットワークを効果的に
保護します。
エンタープライズセキュリティプラット
フォームはユーザコントロールを通じ、全
てのアプリケーションをコントロールし、
既知・未知の脅威を阻止し、ネットワーク
を横断してあらゆるデバイスに繋がった全
てのユーザを保護するものです。
• アプリケーションを安全に運用
• 脅威から保護 − 既知・未知問わず −
APT、標的型攻撃にも有効
• サイバー攻撃ライフサイクルの各ステッ
プに有効
• プラットフォームを横断する迅速かつ自
動化された情報シェア
• 複雑な問題への統合ソリューション
平成２７年度金融白書 *1
引用：金融情報システム白書（金融情報システムセンター
(FISC) が金融情報システムの現状及び課題について過去１
年間の最新の動向を盛り込んだ資料 https://www.ﬁsc.or.jp/
publication/disp_target_detail.php?pid=308）
© 2015 Palo Alto Networks, Inc.
パロアルトネットワークスは、パロアルトネットワークスの登録商標です。
商標のリストについては、
http://www.paloaltonetworks.com/company/trademarks.html をご覧ください。
本書に記述されているその他の商標はすべて、各社の商標である場合があります。
PAN_WP_SPA_072415