1. - IBM

by user

on 28 марта 2017

Category: Documents

>> Downloads: 4

views

Report

Comments

Description

Download 1. - IBM

Transcript

1. - IBM

先進セキュリティー対策のご紹介
～新しいタイプの攻撃への対応・出口対策～
2012年 3月 7日
日本アイ・ビー・エム株式会社
ITS事業ソリューションセールス事業部
セキュリティー営業部部長本間将一
1
本日の内容
1. 2011年セキュリティー10大ニュース
2. セキュリティー事故から学ぶ「３つの事項」
3. IBMのセキュリティー・ソリューション
4. まとめ IBMのご提案
2
2011年
2011年セキュリティー十大
セキュリティー十大ニュース
十大ニュース
3
NPO 日本ネットワークセキュリティー協会選考
http://www.jnsa.org/active/news10/ より掲載
お客様の
客様の関心・
関心・投資領域の
投資領域の変化
2011年7月から8月にかけて、IBMでは約3000社のお客様を対象に、今後のITの投資領域についてのサー
ベイを実施しました。19の投資領域の中で、セキュリティーについては「ほぼ対応しているけど、さらに強化が
必要」な領域として関心の高まりがうかがえます。
ほぼ対応済
ほぼ対応済み
対応済み
4
対応しているが
対応しているが更
しているが更に強化が
強化が必要
具体的な
具体的な取り組み予定あり
予定あり
具体的な
具体的な予定はないが
予定はないが
必要性を
必要性を感じる
1
コンプライアンス
セキュリティー
IFRS対応
スマートフォン・モバイル・
アプリケーション
2
セキュリティー
省電力
サーバー統合・仮想化
クラウド/SaaS
3
外部DCの利用、DCの移転・
分散、バックアップ対策
サーバー統合・仮想化
クラウド/SaaS
省電力
4
ERP導入
コンプライアンス
データ統合
データ統合
5
サーバー統合・仮想化
蓄積データの分析
外部DCの利用、DCの移転・
分散、バックアップ対策
蓄積データの分析
6
データ統合
外部DCの利用、DCの移転・分
散、バックアップ対策
スマートフォン・モバイル・
アプリケーション
事業継続管理（BCP,BCM)
災害対策
7
蓄積データの分析
事業継続管理（BCP,BCM)
災害対策
事業継続管理（BCP,BCM)
災害対策
次世代社会インフラ
8
省電力
データ統合
蓄積データの分析
在宅勤務支援
9
CRM導入
ERP導入
省電力
トレーサビリティー、
RFID、センサー
10
SCM導入
トレーサビリティー、
RFID、センサー
ERP導入
外部DCの利用、DCの移転・
分散、バックアップ対策
※事業継続・災害対策の「ほぼ対応済み」は4.7% 11位
IBM調べ、2011年7月～8月
セキュリティー事故から学ぶ「3つの事項」
WEBサイト
WEBサイトの
サイトの
脆弱性攻撃
新しいタイプ
しいタイプ
“標的型攻撃”
標的型攻撃”
社会と
社会とIT利用
IT利用
形態の
形態の変化
5
世界的な
世界的な波及と
波及とビジネスへの
ビジネスへの影響
への影響
グループ他業態
グループ他業態、
他業態、業界他社への
業界他社への波及
への波及
従来型の
従来型の攻撃手法による
攻撃手法による示威的活動
による示威的活動
初期攻撃から
初期攻撃から現象認知
から現象認知・
現象認知・報告まで
報告まで長時間経過
まで長時間経過
巧妙な
巧妙な攻撃手法の
攻撃手法の組み合わせによる諜報活動
わせによる諜報活動
技術的予防策と
技術的予防策と日頃の
日頃の予防活動（
予防活動（教育や
教育やリテラシー）
リテラシー）
国レベルの
レベルの対応 “サイバーと
サイバーと軍事”
軍事” “ウィルス作成罪
ウィルス作成罪”
作成罪”
スマホ、
スマホ、クラウド等
クラウド等新しいIT
しいIT利用形態
IT利用形態への
利用形態への対応
への対応
震災と
震災とBCP、
BCP、在宅勤務と
在宅勤務とセキュリティー
SQLインジェクション攻撃
この資料はX-FORCE
Tokyo SOCﾚﾎﾟｰﾄの報告
をもとに作成しています.
アプリサーバー
DBサーバー
サーバー
3. Webアプリ
アプリは
アプリは攻撃者が
攻撃者が混入した
混入した
SQL文
文をDBに
に発行
4. DBは
は受け取ったSQL文
文に基づ
った
き、データの
データの検索や
検索や更新を
更新を実行
1. 攻撃者は
サーバーを
攻撃者はWebサーバー
サーバーを経由し
経由し
てWebアプリ
アプリに
アプリに正しく接続
しく接続
2. Webアプリ
アプリの
アプリのパラメーターに
パラメーターに任意
のSQL文
文を混入
Webサーバー
サーバー
6
5. DB検索結果
検索結果の
検索結果の表示や
表示や更新により
Webアプリ
アプリが
アプリが本来許可していない
本来許可していない
情報漏えいや
情報漏えいや改
えいや改ざんが発生
ざんが発生
この資料はX-FORCE
Tokyo SOCﾚﾎﾟｰﾄの報告
をもとに作成しています.
SQLインジェクション攻撃の推移と特徴
14000
2011年上半期
2011年上半期継続して発生
継続して発生
CMSの脆弱性を悪用する攻撃
CMSの脆弱性を悪用する攻撃
目新しい攻撃手法は観測されず
目新しい攻撃手法は観測されず
Anonymous/LulzSecによる攻撃による総数の増減なし
Anonymous/LulzSecによる攻撃による総数の増減なし
攻撃検知数
12000
10000
8000
6000
4000
2000
2011/06/25
2011/06/18
2011/06/11
2011/06/04
2011/05/28
2011/05/21
2011/05/14
2011/05/07
2011/04/30
2011/04/23
2011/04/16
2011/04/09
2011/03/26
2011/03/19
2011/03/12
2011/03/05
2011/02/16
600
2011/04/02
Webサイトを改ざんしようと
するSQLインジェクション数
700
2011/02/02
800
2011/02/26
2011/02/19
2011/02/12
2011/02/05
2011/01/29
2011/01/22
2011/01/15
2011/01/08
2011/01/01
0
攻撃対象が小規模
攻撃対象が小規模
まず調査し、改ざんが可能が判明すると改ざん行為を繰り返す
まず調査し、改ざんが可能が判明すると改ざん行為を繰り返す
→
→規模が小さいのでなかなか発覚せず、対策が遅れる
規模が小さいのでなかなか発覚せず、対策が遅れる
→
対策がなされないので攻撃者側は悠々と攻撃を続けている（隠蔽不要）
→ 対策がなされないので攻撃者側は悠々と攻撃を続けている（隠蔽不要）
500
400
300
200
100
2011/06/22
2011/06/08
2011/05/25
2011/05/11
2011/04/27
2011/04/13
2011/03/30
2011/03/16
2011/03/02
2011/01/19
2011/01/05
2010/12/22
2010/12/08
2010/11/24
2010/11/10
2010/10/27
2010/10/13
2010/09/29
2010/09/15
7
2010/09/01
0
この資料はX-FORCE
Tokyo SOCﾚﾎﾟｰﾄの報告
をもとに作成しています.
SQLインジェクションの攻撃元
2011年4～6月
2011年4～6月
2011年1～3月
2011年1～3月
1%
1% 7%
1%
3%
4%
4%
6%
30%
43%
China
USA
Japan
Korea
1%
1% 1% 4%
51%
7%
9%
Taiwan
Russia
Viet Nam
Indonesia
Germany
Other
26%
China
USA
Japan
Korea
Netherlands
Philippines
Russia
France
Viet Nam
Other
中国およびUSからの攻撃が大半を占める傾向が継続している
中国およびUSからの攻撃が大半を占める傾向が継続している
【攻撃の
攻撃の特徴】
特徴】
バージョン管理や定期的Web脆弱性診断で回避可能な古典的手法による攻撃
バージョン管理や定期的Web脆弱性診断で回避可能な古典的手法による攻撃
調査と実行で学習しながら、繰り返し継続的に攻撃
調査と実行で学習しながら、繰り返し継続的に攻撃
日本のサイトへの攻撃元は、国外からが90％以上。米中でほぼ75％
日本のサイトへの攻撃元は、国外からが90％以上。米中でほぼ75％
8
国外に
国外に展開される
展開されるWEB
されるWEBサイト
WEBサイト保全
サイト保全におけるお
保全におけるお客様
におけるお客様の
客様の事情
現地への
現地
への
現地への
への権限委譲
権限委譲
現地への権限委譲
への権限委譲
本社の
本社
本社の
の統治
統治
本社の
現地語対応
現地語対応
現地の感性（デザイン）
現地の感性（デザイン）
ポリシー、ガイドライン策定
ポリシー、ガイドライン策定
運用規定への明文化
運用規定への明文化
現地での開発と外注
現地での開発と外注
現地のDCでの運用
現地のDCでの運用
規定の遵守の徹底
規定の遵守の徹底
基盤、組織、体制の変更
基盤、組織、体制の変更
現地のビジネス・ニーズ
現地のビジネス・ニーズ
対応スピード重視
対応スピード重視
運用の管理・監視
運用の管理・監視
違反への対応指導
違反への対応指導
現地の判断事項
現地の判断事項
事故への対策
事故への対策
ビジネスと
ビジネスとリスクマネージメント、
リスクマネージメント、そのための投資
そのための投資
ポリシー/ガイドラインはあるが
ビジネスを優先せざるを得ない
9
定期的に診断すべきであるが
それには費用がかかりすぎる
目的に応じた脆弱性診断
方法の検討による最適化
（自営、委託、ツール、SaaS型）
セキュリティー事故から学ぶ「3つの事項」
WEBサイト
WEBサイトの
サイトの
脆弱性攻撃
新しいタイプ
しいタイプ
“標的型攻撃”
標的型攻撃”
社会と
社会とIT利用
IT利用
形態の
形態の変化
10
世界的な
世界的な波及と
波及とビジネスへの
ビジネスへの影響
への影響
グループ他業態
グループ他業態、
他業態、業界他社への
業界他社への波及
への波及
従来型の
従来型の攻撃手法による
攻撃手法による示威的活動
による示威的活動
初期攻撃から
初期攻撃から現象認知
から現象認知・
現象認知・報告まで
報告まで長時間経過
まで長時間経過
巧妙な
巧妙な攻撃手法の
攻撃手法の組み合わせによる諜報活動
わせによる諜報活動
技術的予防策と
技術的予防策と日頃の
日頃の予防活動（
予防活動（教育や
教育やリテラシー）
リテラシー）
国レベルの
レベルの対応 “サイバーと
サイバーと軍事”
軍事” “ウィルス作成罪
ウィルス作成罪”
作成罪”
スマホ、
スマホ、クラウド等
クラウド等新しいIT
しいIT利用形態
IT利用形態への
利用形態への対応
への対応
震災と
震災とBCP、
BCP、在宅勤務と
在宅勤務とセキュリティー
標的型攻撃の
標的型攻撃の経緯
当不正アクセス事件では、外部から送付されたメールに添付されたウイルスが発端であり、技術だけでは
予防できないメール受信者のリテラシーという課題があります。
日付
出来事
2011/8/11
←特定の
特定の社員を
社員を狙って攻撃
って攻撃
一部サーバー
一部サーバーが
サーバーが再起動を
再起動を繰り返す現象を
現象を確認。
確認。社内調査開始。
社内調査開始。
←4ヶ月間潜伏
2011/8/22
ウィルス感染
ウィルス感染の
感染の事実を
事実を確認。
確認。少なくとも8
なくとも8種類の
種類のウイルスに
ウイルスに感染
2011/8/27
情報セキュリティ
情報セキュリティー
セキュリティーの専門業者調査依頼。
専門業者調査依頼。調査に
調査に着手
2011/9/19
読売新聞が
読売新聞が朝刊一面で
朝刊一面で報道。
報道。全国11
全国11拠点
11拠点にある
拠点にあるサーバ
にあるサーバー
サーバーなど83
など83台
83台（サーバー
サーバー45台
45台、PC38台
PC38台）のウイルス感染
ウイルス感染、
感染、その一部
その一部
が海外への
海外への通信
への通信を
通信を行っていたとされる。
っていたとされる。同社による
同社によるプレスリリース
によるプレスリリース。「
プレスリリース。「システム
。「システム情報
システム情報(IP
情報(IPアドレス
(IPアドレス等
アドレス等)が漏えいした可能性
えいした可能性がある
可能性がある
が、機密情報の
機密情報の流出は
流出は確認できていない
確認できていない」
できていない」
これ以降
これ以降の
の
一部報道で
一部報道
で
、
ウイルス感染
ウイルス
感染は
標的型メール攻撃
メール添付の
マルウェア）によるものであると
によるものであると言及
以降
感染は標的型メール
メール攻撃（
攻撃（メール添付
添付のマルウェア）
であると言及される
言及される。
される。
2011/10/1
ウイルス感染
ウイルス感染した
感染したサーバ
したサーバー
サーバーの一部には
一部には、
には、防衛省から
防衛省から発注
から発注を
発注を受けた装備品関係
けた装備品関係の
装備品関係のデータが
データが蓄積されていたと
蓄積されていたと報道
されていたと報道。（
報道。（漏洩
。（漏洩した
漏洩した
かは不明
かは不明）
不明）
2011/10/12
自衛隊の
式空対艦誘導弾」
自衛隊のミサイル「
ミサイル「80式空対艦誘導弾
式空対艦誘導弾」弾の管理情報が
管理情報が流出した
流出した恐
した恐れがあるとの報道
れがあるとの報道
2011/10/24
一部サーバ
一部サーバー
サーバーで軍事や
軍事や原発の
原発の情報を
情報を送信した
送信した痕跡
した痕跡が
痕跡が残っていたとの報道
っていたとの報道
2011/10/26
哨戒ヘリコプター
哨戒ヘリコプターや
ヘリコプターや戦闘機に
戦闘機に関する情報
する情報のほか
情報のほか、
のほか、国会議員への
国会議員への説明資料
への説明資料などが
説明資料などが社外
などが社外に
社外に流出した
流出した可能性
した可能性と
可能性と報道。
報道。防衛秘
密は含まれていなかったと今
まれていなかったと今のところみている。
のところみている。
2011/10/27
各地の
各地のサーバーに
サーバーに蓄積されていた
蓄積されていた戦闘機
されていた戦闘機や
戦闘機や原発に
原発に関する情報
する情報が
情報が、こうした分野
こうした分野と
分野と関係の
関係の薄い同社内の
同社内の別の工場の
工場のサー
バーに
バーに集められた後
められた後、外部に
外部に流出した
流出した疑
疑
いがあるとの報道
いがあるとの
報道。
。
ウイルス発信者
ウイルス
発信者が
が
情報を
情報
を
外部に
外部
に
持
ち
出
す
出口として
出口
として、
した
報道
発信者
として、機密性
の高い製品を
製品を取り扱っていない同工場
っていない同工場を
同工場を選んだ可能性
んだ可能性。
可能性。
2011/4
標的型メール
標的型メール攻撃
メール攻撃を
攻撃を受けたとされる時期
けたとされる時期
11
◆
一般報道による事件
による事件の
事件の経緯（
経緯（主な報道を
報道を抜粋）
抜粋）
11 一般報道による
←情報流出の
情報流出の恐れ？
特定の
特定の相手を
相手を対象とした
対象とした標的型
とした標的型攻撃
標的型攻撃メール
攻撃メール
由
経
ット
ネ
ル
ー
ー
タ
メ
イン電子
での
電子メール
電子メールを
メールを悪用した
悪用した標的型攻撃
した標的型攻撃の
標的型攻撃の例
（福島原発事故発生直後に
福島原発事故発生直後に蔓延した
蔓延したメール
したメール）
メール）
実在する組織を装い
適切そうな内容の本文
① 疑問
疑問をいだかさない
をいだかさない送信元
をいだかさない送信元メールア
送信元メールア
ドレス（政府機関、マスコミ・・・）
ドレス
② 重要度の
重要度の高い人物への
人物への送信
への送信（社長、
役員、役職者…）
③ メール受信者
メール受信者が
興味を持つと思
つと思われ
受信者が興味を
る件名（災害、戦争、企業秘密、ゴ
件名
シップ…）
④ 本文
本文の
の内容に
内容に沿った添付
った添付ファイル
添付ファイル名
ファイル名
でPDFや
やWordファイル
ファイルなどを
ファイルなどを添付
などを添付
（場合によってはexeファイル）
xxx省
xxx省 xxx 部 xxxxx
12
⑤ 件名
件名に
に関わる本文
わる本文
⑥ ①に対応した
した組織
組織や
対応した
組織や個人名を
個人名を使用
（実在する人物やカンファレンス等）
標的型攻撃の攻撃パターン
高度なテクニックと複数の手段を用いて周到に準備し、企業・組織内深くに入り込もうとします。ウィルスは市
販のセキュリティー対策ソフト/ソリューションを回避するよう設計されており、既存のセキュリティー対策で不正
侵入を完全に防止することは容易ではありません。
Step1: 初期潜入
インターネット
攻撃者 ①不正な
メール送付
Step2:攻撃基盤構築
攻撃基盤構築
社内ネットワーク
社内ネットワーク
Step3: システム調査
システム調査
②受信者がメール本文中のリンクや添付ファイルを開く
③ウィルスに感染
感染
システム
内への侵入
への侵入
侵入
リモート
制御
C&Cサイト
C&Cサイト
④C&Cサーバー
経由で追加ツー
ルの導入/内部
情報の送信
⑤ サーバーや
近くのPCへの不
正侵入
社内サーバ
社内サーバー
サーバー
外部への
外部への
踏み台
目的
終
最成
の達
• 重要情報、顧客情報
の入手
• 重要システムの破壊
• 他社攻撃の踏み台
近接PC/
近接PC/サーバ
PC/サーバー
サーバー etc.
への侵入
への侵入
13
Step4: 最終目的の
最終目的の遂行
今求められている
今求められている標的型攻撃
められている標的型攻撃ヘ
標的型攻撃ヘの対策
高度な標的型攻撃に対抗するためには、従来のセキュリティー設計を見直し、入り口、内部、出口の三つ
の観点からセキュリティー対策が実装、運用されているかをチェックする必要があります。
Step1:
攻撃準備
準備
Step2:
初期潜入
Step3:
攻撃基盤構築
感染
入口対策
支配
社内PC
社内PC
メールの
メールのフィルタリ
ング
IPSによる
IPSによる侵入防御
による侵入防御
不正アクセス
不正アクセス監視
アクセス監視
攻撃者
Step4:
システム調査
調査
内部対策
Step5:
最終目的の遂行
遂行
社内サーバ
社内サーバ
アンチウイルス対策
アンチウイルス対策
OS/
OS/アプリ/
アプリ/ミドルウェア脆弱性管理
ミドルウェア脆弱性管理
システム、
システム、アプリの
アプリのハードニング
社内ネットワーク
社内ネットワーク/DB
ネットワーク/DBの
/DBの不正アクセス
不正アクセス監視
アクセス監視
重要システム
重要システムの
システムの分離と
分離とデータ暗号化
データ暗号化
業界団体
出先機関
子会社
出口対策
＜侵入＞
＜バックドア＞
＜システム/
侵入＞
バックドア＞
システム/内部情報の
内部情報の取得＞
取得＞＜組織の
組織の重要情報の
重要情報の窃取＞
窃取＞
• 内部情報
•脆弱性の悪用
• コントローラとの通信
• 重要情報の入手
（HTTP,
IRC等での
•AntiVirusの回避・無効化
• システムの破壊
社内から
社内から外部
のSSL,
フィルタリングと
フィルタリング
と（ID/PASS,ネットワーク/
コ
から外部への
外部への通信
への通信の
通信
ノード情報入手）
C&C通信)
•ルートキット/RAT導入
• 他社攻撃の踏み台
ンテンツ監視
ンテンツ監視
• 外部媒体ヘの書込み
• モジュール更新
etc
社内ネットワーク
社内ネットワークの
ネットワークのゾーニング
システム・
システム・ネットワークログの
ネットワークログの取得・
取得・分析（
分析（異
常検知）
常検知）
エンドポイント・
エンドポイント・ファイアウォール
社外ネットワーク
社外ネットワーク
14
指示・
指示・情報の
情報の流出
社内ネットワーク
社内ネットワーク
IPA「「
IPA「「新
「「新しいタイプ
しいタイプの
タイプの攻撃」
攻撃」の対策に
対策に向けた設計
けた設計/
設計/運用ガイド
運用ガイド」、「
ガイド」、「東日本大震災
」、「東日本大震災に
東日本大震災に乗じた
標的型攻撃メール
標的型攻撃メールによる
メールによるサイバー
によるサイバー攻撃
サイバー攻撃の
攻撃の分析・
分析・調査報告書」
調査報告書」を参考に
参考に作成
標的型攻撃への
標的型攻撃への対応
への対応におけるお
対応におけるお客様
におけるお客様の
客様の事情
包括的な
包括的
対策
包括的な
な対策の
対策の
の必要性
必要性
包括的な
対策の
従来型の攻撃への備えに
従来型の攻撃への備えに
加え下記の対策必須
加え下記の対策必須
––入口対策
入口対策
––内部対策
内部対策
––出口対策
出口対策
技術だけではない防げない
技術だけではない防げない
継続的なリテラシー対策
継続的なリテラシー対策
起こることを前提とした
起こることを前提とした
初動体制、管理体制
初動体制、管理体制
様
レイヤー
様々
々な
なレイヤーにおける
レイヤーにおける
における
レイヤーにおける
最善策の
最善策
最善策の
の選択
選択
最善策の
現状の対策状況の評価と
現状の対策状況の評価と
要対策事項の洗い出し
要対策事項の洗い出し
対策の有効性の検証と優
対策の有効性の検証と優
先順位の決定
先順位の決定
運用のための技術蓄積
運用のための技術蓄積
IT組織を越えた管理、運営
IT組織を越えた管理、運営
体制づくり
体制づくり
有効性（
有効性（セキュリティー専門家
セキュリティー専門家）
専門家）と実現可能度（
実現可能度（お客様）
客様）の連携
15
【お客様】実現可能度の検証
【IBM】対策と有効性の提案
リスクの選定と投資できる範囲
未対応事項の可視化
運用設計と要員・技術の確保
対策選択肢の提案
リテラシー向上のための施策
対策の実装と運用への助言
セキュリティー事故
セキュリティー事故から
つの事項」
事故から学
から学ぶ「３つの事項
事項」
グローバル
視点の
視点の対応
一箇所の
一箇所の盲点から
盲点から、
から、世界中に
世界中に被害が
被害が広がること
攻撃の
攻撃の主体は
主体は海外の
海外の個人・
個人・団体が
団体が９０％
９０％を占める
現地の
現地の権限と
権限と世界全体の
世界全体の統治の
統治のバランス
定常的な
定常的な監視・
監視・観察と
観察とポリシー/
ポリシー/ガイドラインへの
ガイドラインへの反映
への反映
永続的な
永続的な対策
設計・
設計・開発、
開発、展開と
展開と運用までの
運用までのライフサイクル
までのライフサイクル視点
ライフサイクル視点の
視点の統治
「リスクと
リスクとコスト」
コスト」と「技術進化」
技術進化」への対応
への対応→
対応→自営or
自営or委託
or委託
すべてのIT
すべてのIT構成要素
IT構成要素・
構成要素・レイヤーへの
レイヤーへの複合的
への複合的な
複合的な対応
包括的な
包括的な対応
特に“出口通信対策”
出口通信対策”は、自営は
自営は不可能
リテラシー向上
リテラシー向上や
向上や避けられないことを想定
けられないことを想定した
想定した備
した備え
「脅威の
脅威の変化」
変化」に応じた対策
じた対策のとり
対策のとり方
のとり方
16
サービス提供形態
サービス提供形態の
提供形態の多様化
本日の内容
1. 昨年のセキュリティー 10大ニュースと変化
2. セキュリティー事故から学ぶ「３つの事項」
3. IBMのセキュリティー・ソリューション
4. まとめ IBMのご提案
17
IBM のセキュリティー・フレームワーク
IBMは、保護すべき経営資源の領域を整理した「IBMセキュリティー・フレームワーク」を定義し、フレームワークに
沿ったセキュリティー対策ソリューションをご提供しています。
セキュリティー・ガバナンス、リスク、および
セキュリティー・ガバナンス、リスク、および
GRC
GRC
コンプライアンス
コンプライアンス
セキュリティー・
セキュリティー・・ガバナンス、
ガバナンス、
ガバナンス、、リス
リス
セキュリティー・
セキュリティー
ガバナンス
およびコンプライアンス
コンプライアンス
ククおよび
人
人と
とアイデンティティー
アイデンティティー
データ・
データ
データ・
情報
データ・・情報
アプリケーション・
アプリケーション
アプリケーション・
プロセス
アプリケーション・・プロセス
ネットワーク・
ネットワーク
サーバー
ネットワーク・
サーバー・
エンドポイント
ネットワーク・・サーバー・
サーバー・・エンドポイント
物理インフラストラクチャー
物理
物理インフラストラクチャー
インフラストラクチャー
物理インフラストラクチャー
ID
ID および
および
アクセス管理
アクセス管理
データ・
データ・
セキュリティー
セキュリティー
EE メール・
メール・
セキュリティー
セキュリティー
ID
ID 管理
管理
アクセス管理
アクセス管理
データ損失の防止
データ損失の防止 (DLP)
(DLP)
暗号化と鍵の
暗号化と鍵の
メッセージングセキュリティー
メッセージングセキュリティー
ライフサイクル管理
ライフサイクル管理
データベースのモニタリングと
データベースのモニタリングと
データ・マスキング
データ・マスキング
保護
保護
アプリケーション・
アプリケーション・
セキュリティー
セキュリティー
アプリケーション脆弱性
アプリケーション脆弱性
スキャン
スキャン
ソース・コード・スキャン
ソース・コード・スキャン
Web
Web アプリケーション・
アプリケーション・
ファイアウォール
ファイアウォール
Web
Web // URL
URL
フィルタリング
フィルタリング
アクセスおよび資格の管理
アクセスおよび資格の管理
SOA
SOA セキュリティー
セキュリティー
インフラストラクチャーの
インフラストラクチャーの
セキュリティー
セキュリティー
脅威のアセスメント
脅威のアセスメント
ファイアウォール、
ファイアウォール、
IDS/IPS、MFS
IDS/IPS、MFS 管理
管理
18
ログ管理
ログ管理
脆弱性アセスメント
脆弱性アセスメント
Web/URL
Web/URL フィルター
フィルター
イベント管理
イベント管理
物理的セキュリティー
物理的セキュリティー
メインフレームの
メインフレームの
セキュリティー
セキュリティー
侵入防止システム
侵入防止システム
仮想システム・
仮想システム・
セキュリティー
セキュリティー
IBMセキュリティー
IBMセキュリティー・
セキュリティー・フレームワークにおける
フレームワークにおけるIBM
におけるIBMソリューション
IBMソリューション
IBM セキュリティー・ガバナンス／リスク・マネジメント／コンプライアンス・サービス、PCI DSS総合支援サービス
セキュリティーエリア
IBM ソリューション例
対策
人と
アイデンティ
ティー
ID・
・権限管理、
権限管理、
セキュリティー
ポリシー管理
ポリシー管理、
管理、
セキュリティー
教育
データと
データと情報
コンテンツ・
コンテンツ・セ
ン(Fidelis)
キュリティー、
キュリティー、暗 IBM クライアント・セキュリティー・ソリューション
号化、
号化、ログ管理
ログ管理、
管理、 IBM Proventia Network Mail Security
IBM Optim Data Privacy Solution
アクセス制御
アクセス制御
IBM Tivoli Identity Manager
IBM Tivoli Access Manager for e-business
IBM Tivoli Access Manager for Enterprise Single
Sign-On
IBM Tivoli Federated Identity Manager
IBM ネットワーク Data Loss Protectionソリューショ
IBM InfoSphere Guardium
19
IBM IDアクセス管理サービス
IBM ISS Identity and Access Management
Services - Total Authentication Solution
IBM Tivoli Key Lifecycle Manager
IBM Security Server Protection
IBM Tivoli Security Information and Event
Manager
IBM Eメール・セキュリティー管理サービス
アプリケー
ションと
ションとプロセス
アクセス制御
アクセス制御、
制御、
脆弱性監査、
脆弱性監査、ポ
リシー管理
リシー管理
IBM Tivoli Security Policy Manager
IBM WebSphere DataPower
IBM X-Force アプリケーション診断・分析サービス
IBM Managed Security Services for Web
Security
IBM Rational AppScan Standard Edition
IBM Rational AppScan Enterprise Edition
IBM Rational AppScan OnDemand
IBM Rational AppScan Source Edition
ネットワーク、
ネットワーク、
サーバーと
サーバーと
エンドポイント
アクセス制御
アクセス制御、
制御、
不正侵入防御、
不正侵入防御、
ウィルス対策
ウィルス対策、
対策、
脆弱性監査
IBM Security Network IPS
IBM Security Virtual Server Protection for
VMware
IBM Security Network Intrusion Prevention
System 仮想アプライアンス
IBM X-Force セキュリティー・インフラ診断サービス
IBM Tivoli Access Manager for Operating
Systems
IBM Proventia Network Multi-Function Security
IBM Proventia Network Enterprise Scanner
IBM Desktop Endpoint Security
物理インフラ
物理インフラ
ストラクチャー
入退室管理、
入退室管理、ビ
デオ監視
監視
デオ
IBM IB-ACCESS
IBM IB-CCTV
IBM Managed Security Services
IBM Smart Surveillance Solution
IBMの
IBMのソリューションと
ソリューションと提供方法
脅威の
脅威の変化
20
対策の
対策のアプローチ
ソリューションの
ソリューションの要件
WEBサイト
WEBサイトの
サイトの
脆弱性攻撃
グローバル
視点の
視点の対応
世界標準
新しいタイプ
しいタイプ
“標的型攻撃”
標的型攻撃”
永続的な
永続的な対策
ライフサイクル
社会と
社会とIT利用
IT利用
形態の
形態の変化
包括的な
包括的な対応
提供形態の
提供形態の
多様性
Webサイト
Webサイト脆弱性
サイト脆弱性の
脆弱性のライフサイクル管理
ライフサイクル管理
世界中に伝播したWebサイトへの攻撃には、サイトのライフサイクルに着目し、設計・開発工程からテスト実装フェーズ、さらに
は運用時において、定期的診断が必要です。
また、そのコスト増を抑えるために、ポリシーに基づいた①委託方式②自営診断③SaaS型診断サービスの利用等または監
視サービスと組み合わせて、危険サイトのみ実施といった方法が考えられます。
Webアプリケーション
Webアプリケーション開発
アプリケーション開発の
開発の工程と
工程とセキュリティー
セキュリティーの実装
全体としての
全体としての管理
としての管理の
管理の仕組み
仕組み
1.
情報
リスク
管理体制
1. 情報リスク
情報リスク
リスク管理体制
管理体制の
の整備
整備
情報リスク管理体制
リスク管理体制の
管理体制の
設計
開発プロセス
開発プロセスの
プロセスの整備
Webアプリケーション
Webアプリケーションの
アプリケーションの開発ライフサイクル
開発ライフサイクル
テスト・
テスト・
リリース
開発
運用
2.
管理体制の
管理体制
2. Web管理体制
Web管理体制
管理体制の
の強化
強化
管理体制の
セキュリティー要件定義
セキュリティー機能の実装
セキュリティー機能のテスト
セキュリティー運用の検証
セキュリティー概要・詳細設計
セキュリティー
セキュリティー・情報セキュリティー情報セキュリティー
ポリシーによる
ポリシーによる
ポリシー
スタンダード
標準化
（参照文書例）
参照文書例）
システム
セキュリティー
スタンダード
OS/アプリの
セキュリティーガイド
（コーディング・設定）
規程類の
規程類の整備
4.
セキュリティ
ポリシー
見直
4. セキュリティー
セキュリティー
ー・・ポリシーの
ポリシーの
の見直し
見直し
し
セキュリティー
ポリシーの
見直し
5.
委託先
セキュリティ
要件
5. 委託先セキュリティ
委託先セキュリティ
セキュリティー
ー要件の
要件の
の明確化
明確化
委託先セキュリティー
セキュリティー
要件の
21
セキュリティー
セキュリティー運用の
運用の強化
3.
機能の
機能
3. CSIRT機能
CSIRT機能
機能の
の強化
強化
機能の
6.
セキュリティー
セキュリティ
管理
6. Webセキュリティ
Webセキュリティ
セキュリティー
ー管理の
管理の
の標準化
標準化
セキュリティー
管理の
と
基盤構築
と基盤構築
コンサル・設計
プロフェッショナルによる
プロフェッショナルによる診断
による診断サービス
診断サービス
導入・構築
運用・保守
お客様Webサーバーの脆弱性を診断・分析、情報漏洩リスクを可視化
X-Force クイック・セキュリティー診断サービス
IBM がお勧
がお勧めする解決策
めする解決策
お客様の
客様の課題／
課題／要望
■ Webアプリケーションへの攻撃による被害
民間最大級のセキュリティー研究組織であるX-Forceの最新脆弱性情報
や分析手法をベースに、お客様のWebアプリケーションの脆弱性を発見、
最適な対策をご提言する「IBM X-Force クイックWebアプリケーション・セ
キュリティー診断サービス」をお勧めします。
■ 診断ツールの結果だけでは不安
■ 脆弱性が発見されても対策が不明確
IBMセキュリティー・オペレーション・センター(SOC)
お客様
世界のセキュリティー情報
診断ツールによる検査と、経験豊富なセキュリティー専門家の
手動検査を組み合わせたハイブリッド診断手法により、網羅的
かつきめ細かい検査を行うことができます。ツールにのみ頼っ
た診断では発見できない脆弱性を検出した事例が多々ござい
ます。
【78%の企業で対策が必要】
X-Force
ナレッジ情報DB
お客様Webサイト
①診断・分析
報告書原案
【ツールと手動を組み合わせたハイブリッドな診断手法】
診断プロフェッショナル
報告書
当社が診断・分析した企業のうち、約78%の企業で、緊急に対
策が必要な脆弱性が発見されております。
③ご報告
■ 脆弱性発見率
22%
②複数要員による
品質・内容審査
危険低
危険度：中～高
78%
22
■ 実績が語る診断レベルの高さ
金融系企業A社様
他社ツール中心手法（2006年実施）
危険度：高０件、中０件、低１件
X-Force手法（2007年実施、2006年
時点のシステムから変更はなし）１件
危険度：高３件、中３件、低３件
9件
ル
プ
Webアプリケーション
Webアプリケーション診断
アプリケーション診断アプローチ
診断アプローチ
ン
Webアプリケーション診断の結果、発見された脆弱性を、High/Medium/Lowの３段階に分類し、対象
サ
機器・サイト全体としての評価は、E/D/C/B/Aの5段階に評価いたしました。
プロフェッショナルによる
プロフェッショナルによる診断
による診断サービス
診断サービス
評価基準の
評価基準の具体的内容
具体的内容
•
サーバーへの直接的な侵入が可能である。
•
攻撃によりサーバー全体または主体となるサービスが使用不能状態につながる可能性がある
•
サーバー内の全ファイルの取得や改竄、特権権限によるコマンド実行を許す可能性がある
•
•
ユーザー個人に関わる重要情報(クレジットカード番号等)が外部のサーバーまたは別のユーザーに転送・公開さ
れる恐れがある。
サーバー内の非公開ファイルの取得、限定された範囲内でのコマンド実行を許す可能性がある
•
サーバーが提供しているサービスの一部が使用不能状態につながる可能性がある
•
直接的な侵入や攻撃への手助けとなる多くの情報を提供する可能性がある
•
•
他のサイトや他のホストへの攻撃の踏み台となる可能性がある
サーバーやネットワーク構成情報の一部の取得を許す可能性がある
•
ユーザー情報、サーバー稼働状況等の取得を許す可能性がある
•
間接的に攻撃や侵入の手助けとなる情報を提供する可能性がある
発見された
発見された
脆弱性から
脆弱性から
機器・
機器・サイトを
サイトを評価
23
対象機器・
対象機器・サイトの
サイトの評価基準
評価基準
非常に危険な状態。早急に対策を講じる必要がある
重大な脆弱性が検出。対策を講じる必要がある
直接の危険性は高くないが対策を講じる必要がある
比較的出来ているがまだ改善の余地がある
十分対策を講じてある／安全である
評価
High
Medium
Low
評価
E
D
C
B
A
ル
プ
ン
サ
プロフェッショナルによる
プロフェッショナルによる診断
による診断サービス
診断サービス
Webアプリケーション
Webアプリケーション診断結果
アプリケーション診断結果
Webアプリケーション診断の結果、診断対象
診断対象16
診断対象16アプリケーション
16アプリケーションすべてにおいて
アプリケーションすべてにおいて脆弱性
すべてにおいて脆弱性が
脆弱性が検出されました。２サイトが“E:早急な改善が
検出
必要である”、４サイトが“D:重大な脆弱性を検出/対策を講じる必要がある”、５サイトが“C:直接の危険性は高くないが対策を講じる
必要がある”の評価となりました。
脆弱性 ※1
小計
High
Medium
Low
1 xxxxxxxxx[
0
0
6
6
xxxxxxxxx[ xxxxxx.xxxxxx.jp ]
2 xxxx [ 1xx.2x.xx.111 ]
0
8
2
10
3 xxxxxxxxxxxx [ xxxxxx.xxxxxx.jp ]
4
2
4
10
4 xxxxxxxxxxxxxxxxxx [ xxx.xxxxxx.jp ]
0
0
2
2
5 xxxxxxxxxxxxxx [ xxxxx.xxxxxxj.jp]
0
3
4
7
xxxxx.xxxxxxj.jp]
6 xxxxx [ xx2.2xx.1x3.1x9 ]
0
1
6
7
7 xxxxxxx[
36
55
7
98
xxxxxxx[ xxx.xx3.xx2.xxx]
8 xxxxxxxxxxx [ xxx.2xx.xx3.xxx ]
0
0
2
2
9 xxxx公式
237
114
199
550
xxxx公式 HP [ xx2.xxx.22x.xx4 ]
10 xxxxxｘｘｘ
3
0
5
8
xxxxxｘｘｘ [ xxx.x.xx2.x3 ]
11
1
1
7
9
xxxxxxxxxx携帯
xxxxxxxxxx携帯
脆弱性評価
High
Hig[hxxx.x53.xx2.x3 ]
12
0
0
2
2
xxxxxxxx[
xxxxxxxx[ 1xx.2xx.2xx.17x ]
= システム停止の攻撃を受ける危険性がある/個人情報を搾取される危険性がある
13 ｘｘｘ（ｘｘxxxxx
18
86
5
109
ｘｘｘ（ｘｘxxxxx）
xxxxx） [ xxx.xx3.x24.xx1 ]
14
0
0
10
10
xxxxx
[ xxx.2x.x6.1xx
そのサイト
サイトの
の評価 E]
その
サイト
15
0
4
17
21
xxx [ｘｘｘ
[ｘｘｘwrap.
ｘｘｘwrap.ｘｘｘ
wrap.ｘｘｘ.
ｘｘｘ.co.jp ]
= 非常に危険な状態。早急に対策を講じる必要がある
16 XXX [ www.xxx.yyy.co.jp
0
6
7
13
www.xxx.yyy.co.jp ]
対象サイト
脆弱性合計
299件
280件
285件
評価
B
C
D
B
C
C
E
B
E
D
D
B
D
B
C
C
864件
（7パターン）
（4パターン）
（20パターン）
※1）脆弱性検出数は、GET/POSTなどパラメーター毎に、１つずつカウントしています。GET/POSTに関係無く、Webサーバー自体や対象画面
全体に関わる脆弱性の場合は、それぞれ１つとしてカウントしています。
24
プロフェッショナルによる
プロフェッショナルによる診断
による診断サービス
診断サービス
コンサル・設計
導入・構築
運用・保守
IBMのセキュリティー・プロフェッショナルがお客様インフラの脆弱性を診断、対策をご提言いたします。
IBM X-Force クイック・インフラ・セキュリティー診断サービス
貴社の
貴社のサーバーや
サーバーやネットワークは
ネットワークは本当に
本当に大丈夫？
大丈夫？
サービス概要
不正アクセス、ボット、ワームなどサーバーやネットワークの脆弱性
(弱点)を狙った継続的な攻撃が巧妙化してる
サーバー、通信機器のセキュリティー対策は万全ですか？
単なる診断ツールの結果だけで安心していませんか？
本当に大丈夫ですか、誰がいつ確認されましたか？
日本IBM
日本IBM
お客様
日本IBMセキュリティー
オペレーション・センター
IBM
IBM
■ルーター ■スイッチ
■ミドルウェア
■各種サーバー
IBM
世界の情報
サイバー攻撃
サイバー攻撃は
攻撃は増加の
増加の一途です
一途です！
です！
X-FORCE
ナレッジ情報DB
サイバー攻撃の急増、巧妙化・高度化に対応すべく、 X-Force 調査手法
に基づき、お客様のインフラ(サーバーやネットワーク機器)を調査・診断を
実施、対策提言致します。
インターネット
お客様ネットワークインフラ
診断プロフェッショナル
段階的に
段階的に取り組める診断
める診断サービス
診断サービスをご
サービスをご用意
をご用意しました
用意しました！
しました！
1
ツールまたは手動によ
る脆弱性の調査
診断結果
クイック・
クイック・インフラ・
インフラ・セキュリティー
セキュリティー診断サービス
診断サービス
高度セキュリティー
手動による調査
ント
イ
ポ
ハイレベル・セキュリティー技術
診断プロフェッショナル
診断
報告書
貴社へ
ご報告
リーズナブル
な価格を設定
X-Force(*1)のナレッジを活用した高品質の診断サービス
25
※診断対象のすべての脆弱性を発見することを保証するものではございません。
報告書
原案
2
3 ご報告
報告書
複数要員による
品質・内容審査
1
2
3
IBMセキュリティー専門技術者による脆弱性の手動調査
スキャナーによる脆弱性の調査
事前受領情報による脆弱性の調査
事前に受領した情報を調査し、ツールでサポートしない脆弱性など
を補完し、報告の精度を高めます。
結果ご報告
診断ツール
診断ツールのご
ツールのご提供
のご提供
コンサル・設計
導入・構築
運用・保守
アプリケーションの脆弱性を開発段階・テスト段階で検査、排除
Rational AppScan Standard Edition
Webアプリケーション
Webアプリケーション脆弱性検査
アプリケーション脆弱性検査の
脆弱性検査の内製化により
内製化によりコスト
によりコスト削減
コスト削減と
削減と検査カバレージ
検査カバレージを
カバレージを確保する
確保する
Webアプリやインフラストラクチャー(OS/Webサーバー)に
潜むセキュリティー/コンプライアンスの問題を効率的に発見
Webアプリ管理者、QA担当者、セキュリティー監査担当者、
侵入テスト実施者の業務効率を大幅に向上
発見した問題点の詳細と推奨される修正方法を提供し
レポートを自動作成
検査の困難な認証後のページや最新のWeb 技術
(Ajax, Flash など)に対応
最新のルールファイルを自動更新
問題が重大度分けして
表示される
サイトの構成が一目で分かる
セキュリティー
アドバイザリー
が日本語で
【弊社製品導入の
弊社製品導入のメリット】
メリット】
1. Web
Webアプリケーション
アプリケーション脆弱性
アプリケーション脆弱性を
脆弱性を発見し
発見し、セ
キュアな
キュアなアプリケーションを
アプリケーションを提供
レポートに載せる内容は選択可能
2. 自動化範囲
自動化範囲の
の拡大による
拡大による生産性
による生産性の
生産性の大幅
な向上
3. 検査
検査の
の内製化による
内製化による早期検査
による早期検査と
早期検査と検査コス
検査コス
トの大幅削減
4. 最新
最新の
の情報による
情報による検査
による検査を
検査をアプリケーショ
ンの修正のたびに
修正のたびに実施可能
のたびに実施可能
26
PCI DSS、OWASP Top 10
などのコンプライアンス
レポートも豊富
Webアプリケーション
Webアプリケーションの
アプリケーションの脆弱性を
脆弱性を開発段階で
開発段階で検査するための
検査するためのSource
するためのSource Editionもあります
Editionもあります。
もあります。
レポートは、pdf、html、
txt など様々なフォー
マットで保存可能
SaaS型
SaaS型サービス診断ツール
診断ツールと
ツールとサポートサービス
コンサル・設計
導入・構築
運用・保守
AppScan EEを使ったWEB脆弱性検査特化型SaaSサービス (発表予定)
IBM Hosted AppScan on demand service ： Webアプリケーション
Webアプリケーション脆弱性検査
アプリケーション脆弱性検査サービス
脆弱性検査サービス
コンサル・設計
お客様の課題／要望
■WEBアプリを中心に脆弱性検査を定期的にチ
ェックしたい。
■効果的かつ効率的検査のために専門家の
支援を受けたい。
導入・構築
運用・保守
IBM がお勧めする解決策
Webｱﾌﾟﾘｹｰｼｮﾝの脆弱性検査は、完全な自動化が困難な作業であり
、効果的かつ効率的な検査のためには専門家の支援が不可欠です。
AppScan on Demandは、SaaS型で診断インフラを提供しつつ、スキャン
スケジュール、結果の評価・解説、対策支援等のアドバイスをソリュー
ション・マネージメント・サービスとして合わせてご提供します。
■公開前サイトのスキャンも実施したい。（サイト
間VPN設定要）
提供イメージ
提供イメージ
• アプリケーション数、ドメイン数、IPアドレス数無制限
【SaaS型
SaaS型のサービス提供
サービス提供による
提供による管理負担
による管理負担の
管理負担の低減】
低減】
H/W,S/Wの
の
準備
H/W,S/Wの
の準備、
準備、
インストレーション
準備、、インストレーション
問題の
問題
問題の
の修正
修正
問題の
スキャンジョブの
スキャンジョブ
スキャンジョブの
の設定
設定
スキャンジョブの
問題の
問題
問題の
の
問題の
優先順位付け
優先順位付
優先順位付け
け
優先順位付け
修正サイクル
検査/修正
サイクル
検査
検査
レポート作成
レポート
レポート作成
作成
レポート作成
レポートの
レポート
レポートの
の解析
解析
レポートの
バックアップ
バックアップ
アップグレード
アップグレード
データの
データ
データの
の保存
保存
データの
• ソリューション・マネージメント時間に応じて、専門家による
支援を提供
• 地域、部門などによる階層的管理
• ユーザー毎のセキュリティー検査権限設定
• サイト間VPNの設定で公開前サイトのスキャンも可能
• 様々な「見える化」機能
複数ユーザーのスキャン結果を集約
グラフィカルなダッシュボード、タブベースのビュー
トレンドレポート、問題管理機能による解決状況の把握
お客様が
客様が実施する
実施する作業
する作業
がご提供
提供する
する作業
IBMがご
がご
提供
する
作業
診断に必要な環境・作業をIBMが準備、
提供することにより、お客様は問題修正
に集中することが出来ます。
複数スキャン結果を元にしたコンプライアンスレポート
＊発表計画中であり、機能、サービス仕様について当ページ記載内容と異なる可能性があります。
27
SaaS型
SaaS型サービス診断ツール
診断ツールと
ツールとサポートサービス
コンサル・設計
導入・構築
運用・保守
SaaS 型のスキャン・サービスで脆弱性ライフサイクル・マネージメントを実現！
IBM Hosted vulnerability management service (VMS) ：インフラ
インフラ診断
インフラ診断サービス
診断サービス
コンサル・設計
お客様の課題／要望
■公開サーバーの脆弱性を定期的にチェックし
たい。
■導入後のアップグレードや設定変更によって、
新しい脆弱性が発生していないか確認したい
■見つかった脆弱性に対して対処方法や
レポートがほしい。
導入・構築
IBM がお勧めする解決策
運用・保守
お客様に代わって脆弱性チェックを実施する「MSS 脆弱性管理サービ
ス」をお勧めします。お客様は専用のカスタマー・ポータルから設定す
ることで、ご都合用のよいタイミングで、脆弱性のチェックを行えます。
また、見つかった脆弱性に対して対応の優先度や解決方法が提供され
ますので、効率よく脆弱性対応することが可能です。
提供イメージ
提供イメージ
IBM
IBM Security Operation Center (SOC)
Detroit
Detroit
Boulder
Boulder
Toronto
Toronto
Atlanta
Atlanta
Hortolândia
Hortolândia
Brussels
Brussels
Tokyo
Tokyo
Bangalore
Bangalore
脆弱性管理インターフェース
(カスタマー・ポータル)
Brisbane
Brisbane
• 脆弱性の対処方法に関する情報を提供
• スキャンの設定や結果確認はポータル・サイトで 24 時間
365 日実施可能
• 定期スキャン(日時、週時、月次など)も設定可能
• 見つかった脆弱性の対応状況は、チケットシステムで管理
可能
脆弱性スキャナー
• PCI に対応したスキャンサービスを提供
Web サーバー
DNS サーバー
Mail サーバー
28
お客様ネットワーク環境
• Web アプリケーションの脆弱性(SQL インジェクション、ク
ロスサイト・スクリプティングなど)やデータベースへのス
キャンも提供
ライフサイクルWeb脆弱性管理の実装例
IBM セキュリティー
セキュリティー管理サービス
管理サービス（Managed Security Services :MSS)
診断サービス
診断サービス
不正アクセス
不正アクセス検知
アクセス検知
IBM Hosted vulnerability
management service (VMS)
インフラ診断サービス
IBM Rational AppScan
On demand
Webアプリケーション診断サービス
IBM IPS/FW/UTM managed
security service (MSS)
攻撃に対する防御・監視サービス
IBM Global Unified Security Infrastructure
（グローバル統合
グローバル統合セキュリティ
基盤）
統合セキュリティー
セキュリティー基盤）
ログ管理
ログ管理サービス
管理サービス
IBM Hosted security event and log
management (SELM)
ログ収集・保管/不正ログ検出サービス
お客様の
サイト
客様の公開Webサイト
公開
セキュリティー
セキュリティー監視
IBMグローバルセキュリティー
センターによる一括管理・監視
セキュリティー
セキュリティー診断
各国/
の
各国/各地域の
各地域
Webサイト e
e Webサイト
e
Z on
Z on
Z on
Ｂ
e
n
Ｂ
Ｄ
e
Ｂ
o
e
n
Ｄ
Z
n
Ｄ
o
o
AP
AP Z
AP Z
DMZ
DMZ
DMZ
各国/
各国/各地域の
各地域のセキュリティー
セキュリティーポータル
統一されたビューによるセキュリ
ティー管理状況の報告
ポータルの
ポータルの閲覧
各サイト担当者
サイト担当者/
担当者/管理者
ＩＢＭ Global Security Adviser (Ｇ
(ＧSA)
マネジメントサマリー
マネジメントサマリーの提供
ＩＢＭＧＳAによるグローバル
状況の御報告
29
Sony CISO
各Region およびHQ
およびHQ ISO
IBMの
IBMのソリューションと
ソリューションと提供方法
脅威の
脅威の変化
30
対策の
対策のアプローチ
ソリューションの
ソリューションの要件
WEBサイト
WEBサイトの
サイトの
脆弱性攻撃
グローバル
視点の
視点の対応
世界標準
新しいタイプ
しいタイプ
“標的型攻撃”
標的型攻撃”
永続的な
永続的な対策
ライフサイクル
社会と
社会とIT利用
IT利用
形態の
形態の変化
包括的な
包括的な対応
提供形態の
提供形態の
多様性
標的型攻撃への
標的型攻撃への包括的
への包括的ソリューション
包括的ソリューション
高度な
高度な標的型攻撃に
標的型攻撃に対抗するためには
対抗するためには、
するためには、従来の
従来のセキュリティー
セキュリティー設計を
設計を見直し
見直し、入り口、内部、
内部、出口の
出口の三つの観点
つの観点から
観点からセキュリティ
からセキュリティー
セキュリティー対策が
対策が実装、
実装、
運用されているかを
運用されているかをチェック
されているかをチェックする
チェックする必要
する必要があります
必要があります。
があります。
• メールフィルタリング
• IPS/IDS（
（侵入検知・
侵入検知・防止）、
防止）、監視
）、監視
Step2:攻撃基盤構築
攻撃基盤構築
Step1: 初期潜入
社内ネットワーク
社内ネットワーク
インターネット
攻撃者 ①不正な
メール送付
Step3: システム調査
システム調査
②受信者がメール本文中のリンクや添付ファイルを開く
③ウィルスに感染
感染
入口対策
侵入
リモート
制御
出口対策
内への侵入
への侵入
目的
終
最成
の達
⑤ サーバや近く
•クライアント
クライアント端末管理
クライアント端末管理
のPCへの不正
侵入
• 重要情報、顧客情報
•データベース
データベース管理
管理
データベース
の入手
社内サーバ
社内サーバ
外部への
外部への
み台）、監視
IPS/IDS（
（通信検知
通信検知・
・防止）、
防止
検知踏
）、監視
• 機密情報漏えい
機密情報漏えい防止
えい防止
31
内部対策
システム
④C&Cサーバ経
由で追加ツール
の導入/内部情
報の送信
C&Cサイト
C&Cサイト
•
Step4: 最終目的の
最終目的の遂行
• 重要システムの破壊
• 他社攻撃の踏み台
近接PC/
近接PC/サーバ
PC/サーバー
サーバー etc.
への侵入
への侵入
SaaS型
SaaS型サービスと
サービスとサポートサービス
入口対策
メール本文や添付ファイルのセキュリティーチェックを行い、サイバー攻撃からお客様を守ります
IBM Eメール・セキュリティー管理サービス (ESMS)
攻撃者
Eメール
メール・
メール・セキュリティー管理センター
管理センター
（クラウド・
クラウド・サービス）
サービス）
インターネット
アンチウィルス
迅速なウィルス対応
×
×
ウィルス・メール
スパム・メール
お客様
管理者
ヘルプ
デスク
アンチスパム
スパム・メールの劇的な削減
コンテンツコントロール
添付ファイルと文章のフィル
タリング
状況確認画面
メールユーザー
ゲートウェイ
お奨め
ポイント
日本を含め、全世界で3万社以上のご利用実績。
1日に約50億ものSMTP接続に対応。ご利用のお客
様は、過去Eメール経由のウィルス感染ゼロ。
IBMのヘルプデスクがお客様の支援を実施。
ご参考価格
1 ユーザーあたり月額90～289円 (ユーザー数、メニュ
ー内容で料金が算定されます)*
導入期間例
導入期間例
約１週間(MXレコード設定でサービス利用可能）
32
*2012年3月時点での情報です。価格については予告なく変更になる可能性があります
さらに！
問題になった
問題
になった
以下
問題になった
になった以下
以下の
のマルウェア
マルウェア
問題になった以下
になった以下の
以下の
もも検知していました
検知
していました。
。
していました
検知していました
検知していました。
していました。
• • TSPY_DERUSBI.A
TSPY_DERUSBI.A
• • TROJ_PIDIEF.EED
TROJ_PIDIEF.EED
• • BKDR_ZAPCHAST.QZ
BKDR_ZAPCHAST.QZ
• • BKDR_HUPIG.B
BKDR_HUPIG.B
• • BKDR_HUPIGON.ZXS
BKDR_HUPIGON.ZXS
• • BKDR_HUPIGON.ZUY
BKDR_HUPIGON.ZUY
製品と
製品と24/365の
24/365の監視サービス
監視サービス
入口対策
出口対策
ネットワーク経由での外部からの攻撃を監視・防御（検知・分析・監視・処置提言の一貫サービス）
Security Network IPS ＋ MSS（
（セキュリティー監視
セキュリティー監視サービス
監視サービス）
サービス）
IPS （IBM Proventia)
昨今の
昨今の脅威を
脅威を防御： SQLインジェクションなどファイア
ウォールで防御出来ない攻撃からサーバーを保護
WAF機能
機能を
機能を搭載：ファイルインクルード、クロスサイト・スク
リプティング等主要なWebアプリを狙った攻撃を検知、防御
バーチャルパッチ技術
バーチャルパッチ技術：あたかもサーバーにパッチを適用
したのと同様のレベルで脆弱性攻撃を無効にすることで、
パッチ適用作業やリスクを大幅に減らします
正規のアクセス
SQLデータベース
SQLデータベース
正規のアクセス
のみ許可
脆弱性攻撃
SQLインジェクション
24時間監視
Web
アプリケーション
迅速な情報連携
東京セキュリティー
東京セキュリティー・
セキュリティー・
オペレーション・
オペレーション・センター
アウトバウンド通信
IBM Security Operation Center (SOC)
Detroit
Detroit Toronto
Toronto
Boulder
Boulder
Atlanta
Atlanta
Brussels
Brussels
Tokyo
Tokyo
Bangalore
Bangalore
Hortolândia
Hortolândia
33
世界９
世界９ヶ所のSOC
Brisbane
Brisbane
Globalレベル
Globalレベルの
レベルのSOC(セキュリティ
SOC(セキュリティー
セキュリティー・オペレーション・
オペレーション・センター)
センター)
1. IBM SOC(セキュリティ
セキュリティー
は、全世界9拠点
セキュリティー・オペレーション・
オペレーション・センター
センター)は
全世界拠点
北米3拠点、南米、ヨーロッパ、アジア地域を網羅しています。
2. 世界No1
の監視実績
世界
全世界で20,000 Device 以上の監視実績
各国政府、病院、航空会社など社会インフラ業種を含む様々な業種に対応しています。
3. セキュリティー
）
セキュリティー統計データ
統計データの
データの収集（
収集（G-TOC）
全世界レベルでのセキュリティー・アラートを一元管理し統計データを収集しています。
このデータを基に、予兆管理、対策手法の蓄積を行っています。
IBM Security Operation Center (SOC)
Detroit
Detroit Toronto
Toronto
Boulder
Boulder
Atlanta
Atlanta
Hortolândia
Hortolândia
Brussels
Brussels
Tokyo
Tokyo
Bangalore
Bangalore
Brisbane
Brisbane
全世界9拠点のセキュリティー・オペレーション・センター東京セキュリティー・オペレーション・センター
34
製品と
製品と導入サービス
導入サービス
内部対策
グローバルの国防組織で認められたセキュリティー基準を全エンドポイントに徹底
IBM Tivoli Endpoint Manager
エンドポイント管理
エンドポイント管理のよくある
管理のよくある課題点
のよくある課題点
Tivoli Endpoint Managerによる
による解決策
による解決策
• クライアントPCへ必要なソフトウェアの導入作業、
パッチ適用に手間がかかる
ソフトウェアの
ソフトウェアの配布、
配布、セキュリティー
セキュリティー・パッチの
パッチの自動適用
• 最新のセキュリティー・パッチ、必要ソフトウェアを対象全体に確実に適用。配
布状況をリアルタイムで可視化し、クライアントPCを一元管理
• 最新パッチの適用状況、SWのインストールなどク
ライアントPCの現状がわからない
エージェント主導
エージェント主導の
主導の変更通知
• エージェント自身が変更状況をサーバーへ通知。ITポリシーに不遵守の場合
は、最新のセキュリティー・パッチを該当PCに適用。
• 社内で規定したセキュリティー・ポリシーを遵守させ
ることが困難。また、遵守状況を把握できない
企業ポリシー
企業ポリシーに
ポリシーに対するコンプライアンスチェック
するコンプライアンスチェック
• ポリシーベースでクライアントを管理。非遵守PCの発見→対象への通知→
社内規定への強制変更を自動化。セキュリティーの可視化と標準化を実現。
• 分散環境に対応するために管理サーバーを多数
設置。そのサーバーの運用に負荷がかかる
1台
台の管理サーバー
管理サーバーで
サーバーで数十万台の
数十万台のクライアントを
クライアントを管理
• パッチ管理、脆弱性管理など対策毎に違う製品を
導入。その結果、管理サーバが増加し運用コスト・
負荷が増加している
• エージェント主導の変更通知により、低負荷かつリアルタイムでの管理を実施
1台
台の管理サーバ
管理サーバー
サーバー、コンソール、
コンソール、エージェントでの
エージェントでの統合管理
での統合管理
• 様々なクライアント管理機能を、1台の管理サーバ、単一のエージェントで実現
導入効果
1台のサーバで
エンドポイントを統合管理
コスト
コスト、
コスト、作業工数の
作業工数の削減
→クライアント管理の自動処理、管理サーバーの統
合による運用コストの削減
社内
社内システム
社内システムの
システムの安全性向上
→各システムのセキュリティー・レベルを標準化
コンプライアンス
コンプライアンスの
コンプライアンスの管理
→企業ポリシーへの準拠
管理対象
管理対象
Windows
- UNIX
- Linux
- VMware
etc…
ソフトウェア配布・パッチ管理
資産 / ライセンス管理
ネットワークアクセス制御
Tivoli Endpoint Manager
レポートの
レポートの出力
セキュリティー構成・脆弱性管理
パッチ管理
35
リアルタイで
リアルタイで
可視化
各機能の
各機能の
設定・
設定・実行
内部対策
製品と
製品と導入サービス
導入サービス
導入事例: IBM Corporation
パッチの
パッチの適用率を
適用率を劇的に
劇的に向上させ
向上させ、
させ、IBMのクライアントPCのセキュリティーを強化
しつつ、
しつつ、パッチ運用工数削減
パッチ運用工数削減により
運用工数削減により優
により優れたROIを実現
課題
高度化
高度化している
ウィルス等への追従
への追従
高度化している攻撃手法
している攻撃手法、
攻撃手法、ウィルス等
IT
ITビジネス
ITビジネス・
ビジネス・モデルの
モデルの変革に
変革に伴うPCおよび
PCおよびインフラ
およびインフラへの
インフラへのリスク
へのリスク増大
リスク増大
従来の
従来のツールでは
ツールでは管理
では管理に
管理に限界があ
限界があ
り、よりセキュア
よりセキュアで
セキュアでROIを
ROIを実現するた
実現するた
めの高機能
めの高機能な
高機能なツールが
ツールが必要
合併
合併・
合併・企業分割の
企業分割の加速化
アウトソーシング
アウトソーシングや
アウトソーシングや他社との
他社との共同
との共同プロジェクト
共同プロジェクト
Windows
Windows以外
非標準コンピューティング・
デバイスの管理
Windows以外の
以外の非標準コンピューティング
コンピューティング・デバイスの
新興国
新興国における
新興国におけるセキュリティ
におけるセキュリティー
セキュリティー・ポリシー遵守違反
ポリシー遵守違反の
遵守違反の増大
Tivoli
Manager
TivoliEndpoint
EndpointManagerを
Managerを
Managerをを
IBMの
IBM
ての
エンドポイント
IBMの
IBMの
の全
全てのエンドポイント
てのエンドポイント
てのエンドポイント75
エンドポイント75
75
エンドポイント75
万台に
末末までに)
))
万台
(2011
までに
万台に
万台にに導入展開
導入展開(2011末
(2011末
(2011
までに)
までに
パイロット導入
パイロット導入での
導入での効果例
での効果例*
効果例*
効果の
効果の一例
以前の
以前のツール
Tivoli Endpoint Manager
パッチ適用可能
3-14日
24時間以内
パッチ適用率
5日以内で92%(ユーザー完全依存)
24時間以内に98%(自動修正)
「「最初の
最初
ワークステーション
セキュリティー
する
問題
最初の
最初の
の 11 年
年で
で、
、ワークステーションの
ワークステーションの
ワークステーションの
のセキュリティーに
セキュリティーに
セキュリティーに
に関
関する問題
する問題
する問題を
問題を
を 50
50 %% 減
減
問題を
らし、
らし
ドル
コスト
削減
可能
である
らし、
、1,000
1,000 万
万ドルの
ドルの
のコスト削減
コスト削減
削減が
が可能である
可能である
である」
と算定
算定 by
by IBM
IBM CISO
CISO
らし、
ドルの
コスト削減が
削減が
可能である」
である」」と
36
*あくまで特定の条件においての試算であり、この効果を必ずしも保証するものではありません
製品と
製品と導入サービス
導入サービス
内部対策
データベースアクセスの記録、警告、ブロック、レポート機能を提供
Guardium ﾏﾙﾁ･
ﾏﾙﾁ･ﾃﾞｰﾀﾍﾞ
ｰﾀﾍﾞｰｽの
ｰｽのセキュリティー・
セキュリティー・監査ソリューション
監査ソリューション
【こんな事
こんな事で悩んでいませんか？
んでいませんか？】
1. データベース・セキュリティーが不十分なため、情報漏洩という大きなビジネス・リスクを抱えている
2. J-SOXやPCI-DSS対応の監査ログを取りたくても、DB標準の機能では負荷が高く、業務への影響が大きい
3. 様々なDBやOS毎にDB監査の仕組みを用意するのでは運用が困難。監査対応のコストが膨大
【当製品導入の
製品導入のメリット】
メリット】
1. 既存環境、データベースに負荷なしに全てのDBアクセスをリアルタイム監視、記録
2. いつ、誰が、どこから、どんなアクセスをしたかの詳細なDBアクセス・ログを収集可能
3. 様々なDBやOS、ERPパッケージのアクセスログを一元管理、統合的なレポートの出力が可能
Guardiumの
Guardiumの三大機能：
三大機能：記録、
記録、警告、
警告、集計・
集計・レポート
マルチプラットフォーム対応
マルチプラットフォーム対応
TERADATA
MySQL Sun
Oracle
Microsoft
SYBASE
37
ソフトウェア
エージェント
(S-TAP)
アプライアンス
(Collector)
出口対策
製品と
製品と導入サービス
導入サービス
社内ネットワーク環境からの情報漏洩を水際で防ぐ
ネットワーク情報漏洩対策
ネットワーク情報漏洩対策ソリューション
情報漏洩対策ソリューション(Fidelis
ソリューション(Fidelis)
(Fidelis)
パフォーマンスに
パフォーマンスに影響を
影響を与えることなく、
えることなく、65,535個
65,535個すべての通信
すべての通信ポート
通信ポートを
ポートを保護
社内ネットワーク
社内ネットワーク
Fidelis Security Systemsアプライアンス
Systemsアプライアンス
様々な通信種別
ファイアウォールなど
ファイアウォールなど
Eメール
Webメール
ファイル転送
インスタント・メッセージング
P2P(Peer-To-Peer)
許可されないWeb
許可されない暗号
STOP
機密情報・
機密情報・重要情報に
重要情報に
抵触しない
抵触しないデータ
しないデータ
STOP
STOP
STOP
STOP
STOP
STOP
様々な形式データ
形式データ
機密データ
機密データの
データの検出と
検出とブロック
Fidelis Security Systemsアプライアンス
Systemsアプライアンスラインナップ
Fidelis
Fidelis XPS
XPS CommandPost™
CommandPost™ (管理サーバー)
(管理サーバー)
インターネット・
ゲートウェイ
データー・センター
企業内ネットワーク
Webプロキシー
Fidelis XPS™ Proxy
Fidelis XPS™ Direct
38
38
Eメール・サーバー
Fidelis XPS™
Internal
Fidelis XPS™ Internal
Fidelis XPS™ Mail
モデル名称と機能紹介
Fidelis XPS
CommandPost
Webインターフェースを持つ、アラート収集と管理、インシデント・トラ
ッキング、ポリシーやユーザー、システムなどの集中管理。
Fidelis XPS™
Direct
すべてのネットワーク・トラフィックの監視。全通信ポート(65,535)に
渡る通信上での遮断が可能。
Fidelis XPS™
Proxy
Webプロキシーとの組み合わせで、Webトラフィックに特化した検査
を行う。SSL終端装置との組み合わせでSSL暗号通信の監視下能。
Fidelis XPS™
Mail
メール・トラフィックに特化した検査を行う。違反メールを隔離、送信
者へ通知、暗号化システムへ強制転送、等可能。
Fidelis XPS™
Internal
企業内部ネットワークにおけるデータ・センターや部門間の情報トラ
ンザクションに対する可視化とコントロール。
本日の内容
1. 昨年のセキュリティー 10大ニュースと変化
2. セキュリティー事故から学ぶ「３つの事項」
3. IBMのセキュリティー・ソリューション
4. まとめ IBMのご提案
39
２０１１年の「セキュリティーインシデント」と対応ソリューションのまとめ
WEBサイト
WEBサイトの
サイトの
脆弱性攻撃
新しいタイプ
しいタイプ
“標的型攻撃”
標的型攻撃”
社会と
社会とIT利用
IT利用
形態の
形態の変化
40
IBM
IBM Webアプリケーション
Webアプリケーション/
アプリケーション/インフラ診断
インフラ診断サービス
診断サービス
AppScan
AppScan （定期的な
定期的なWeb脆弱性診断
Web脆弱性診断）
脆弱性診断）
AppScan
AppScan on Demand （定期的な
定期的なWeb脆弱性診断
Web脆弱性診断）
脆弱性診断） SaaS
VMS
VMS (定期的な
定期的なインフラ診断
インフラ診断）
診断） SaaS
IPS/IDS
IPS/IDS＋
IPS/IDS＋MSS （侵入検知・
侵入検知・防止、
防止、監視）
監視）
ESMS (メールフィルタリング
(メールフィルタリング )
IPS/IDS＋
IPS/IDS＋MSS （侵入検知・
侵入検知・防止、
防止、監視）
監視）
Tivoli Endpoint Manager (内部対策
(内部対策としての
内部対策としてのエンドポイント
としてのエンドポイント管理
エンドポイント管理）
管理）
Guardium （内部対策としての
内部対策としてのDB
としてのDB対策
DB対策）
対策）
AppScan （定期的な
定期的なWeb脆弱性診断
Web脆弱性診断）
脆弱性診断）
Fidelis （出口対策としての
出口対策としての情報漏
としての情報漏えい
情報漏えいアプライアンス
えいアプライアンス）
アプライアンス）
ﾊﾟｰﾄﾅｰ様
ｰﾄﾅｰ様ソリューションと
ソリューションとIBMの
IBMのSOC機能
SOC機能の
機能の連携
– 新たなデバイス
たなデバイス、
デバイス、新しいネット
しいネットの
ネットのサービス
– クラウド時代
クラウド時代の
時代のITプレイヤー
ITプレイヤー
– ビジネス要件
ビジネス要件を
要件を満たすセキュリティー
たすセキュリティー対応
セキュリティー対応
事故がおきると、、、
情報漏えい事故が起こると、通常、以下
以下の
以下
費用
発生
情報漏えい事故が起こると、通常、以下
以下の
の費用が
費用が
費用が
が発生します。
発生します。
発生
以下の
1.1. 謝罪広告の掲載
謝罪広告の掲載
2.2. 会見の設定
会見の設定
3.3. おわび状の作成・送付
おわび状の作成・送付
4.4. 顧客への補償
顧客への補償
5.5. 顧客対応コールセンターの設置
顧客対応コールセンターの設置
6.6. 応急処置のためのシステム回収
応急処置のためのシステム回収
7.7. 原因究明と本格的な対策の実施
原因究明と本格的な対策の実施
8.8. セキュリティー専門家などコンサルティングの実施
セキュリティー専門家などコンサルティングの実施
9.9. サイトなどの停止期間の売り上げ機会損失
サイトなどの停止期間の売り上げ機会損失
10.
10.社会的信用失墜や企業イメージの低下に伴う経営上の損失
社会的信用失墜や企業イメージの低下に伴う経営上の損失
11.
11.株価の下落による資産の減少
株価の下落による資産の減少
12.
12.民事訴訟で敗訴した場合の損害賠償
民事訴訟で敗訴した場合の損害賠償など
など
「うちのセキュリティー
うちのセキュリティー
は、大丈夫なのか
大丈夫なのか？」
なのか？」
最悪一千億円規模になるといわれています。
最悪一千億円規模
最悪一千億円規模になるといわれています。
最悪一千億円規模
41
まずは現状
まずは現状の
現状の対策の
対策の可視化をご
可視化をご支援
をご支援し
支援し、
最適な
最適なソリューションとその
ソリューションとその提供形態
とその提供形態をご
提供形態をご提案
をご提案します
提案します。
します。
の
な
況
な状
う
す。
よ
ま
の
き
ど
で
は
が
状
と
現
こ
の
す
策
探
サーバー自身でセキュリ
対
を
ア
ー
ィ
リ
エ
リテ
る
ティーログが取得されて
ュ
あ
キ
の
セ
足
、
いますが、ログの集中管
不
て
じ
過
、
総
き
理・監視に至っていませ
で
認
確
ん。またハーデニング(要
か再
お客様
#
現状
質問
将来
2 or 1 or 0 2 or 1 or 0
1
情報セキュリティ
情報セキュリティへの
セキュリティへの対応状況
への対応状況（
対応状況（全般）
全般）
1-1 セキュリティ・ポリシーは策定され、定期的に更新されていますか？
プライバシー･マーク、ISMS認証の取得等、コンプライアンスへの取り組みを行なっています
1-2 か？
セキュリティに関するソリューションや製品の導入は優先順位をつけ、計画的にセキュリティ施
1-3 策を実施していますか？
1-4 全社員へのセキュリティ教育を実施、徹底していますか？
2
サーバーセキュリティ対策
サーバーセキュリティ対策
サーバーやアプリケーション、DB、ネットワーク機器等のあらゆるデバイスのログを一箇所で
2-1 集中管理し、リアルタイムに監視できる仕組みはありますか？
複数の社内アプリケーションでユーザーIDやパスワードのライフサイクル管理を行なっていま
すか（管理が行なわれていない例：退職した社員のユーザＩＤ，パスワードが残ったままになっ
2-2 ている、一つのアプリケーションでパスワードを変更したが、その他のアプリケーション上のパ
スワードは変更されていない等）？
主要なサーバー(基幹業務サーバー、個人情報等が入っているサーバー、DB含む)に対して認
2-3 証・アクセス制御の設定とログの取得を行なっていますか？
2-4 サーバー上の重要なデータは暗号化していますか？
塞化)や脆弱性検査が不
十分なため、潜在的なリ
スクが現状では明確であ
りません。か、
べき
す
善
改
を
。
ア
す
リ
ま
エ
どの絞り込み
セキュリティー・パッチや
2-5 サーバー上の重要なデータのバックアップファイルは暗号化されて保管されていますか？
2-6 サーバーにセキュリティ・パッチを適用していますか？
製品や利用者に依存して
いる対策がある為、個々
に差が出る可能性があり、
セキュリティー・ポリシーに
準じていないＰＣが社内に
接続された場合、そこから
ウィルス等の感染が広が
る可能性があります。
2-7 サーバーのハードニングを行なっていますか？
Windowsサーバーにアンチウィルスソフトが導入され、定義ファイルが定期的に更新されてい
2-8 ますか？
42
セキュリティーの設定が
管理されていない場合、
脆弱性が残りウィルス感
染や情報漏洩の可能性
があります。
IBMの考えるこれからのセキュリティーと成熟度モデル
•セキュリティーは、１つの製品を利用して防御するというアプローチから、統合
統合された
統合された全体的
された全体的な
全体的なアプ
ローチが
ローチが必要になってきており、以下の考え方が重要となってくると考えています。
必要
•Active Management
•Real Time Information
•相関分析
•脅威管理における事前予測
人とアイデンティティ
データ・
データ・情報
アプリケーション
インフラストラクチャー
・プロセス
（NW/SVR/EndPoint
NW/SVR/EndPoint,
EndPoint, 物理エリア
物理エリア)
エリア)
Governance, Risk and Compliance
tomorrow
最適化
高度に
高度に適応
高度な相関分析
高度なネットワーク監視
前兆を
自動化された
な
ー
前兆
予見
する
自動化
された
分析的
セキュリティ
する自動化
データフロー分析
セキュアなアプリケーション開発
前兆を
を予見する
予見する
自動化された
された分析的
分析的な
なセキュリティー
セキュリティー
ー対応
対応
前兆を
予見する自動化
する
自動化された分析的
された分析的な
分析的
セキュリティ
フォレンジック
ロールベースでの分析
アイデンティティ・ガバナンス
特権ユーザ管理
統合ID管理
データガバナンス
不正アクセス検知
セキュアなシステム
アセット管理
外部接続セキュリティーの強化
アクティビティ・モニタリング
アプリケーション・ファイアウォール
エンドポイント/ネットワークセキュリ
セキュリティーが
セキュリティー
基盤や
業務
各層
まれている
基盤
運営
高度認証方式の導入
セキュリティーが
がIT基盤
IT基盤
基盤や
や業務運営
業務運営
運営の
の各層に
各層に
に組
組み
み込
込
まれている
セキュリティーが
基盤や
業務運営の
運営の
各層に
ティ管理
パスワード認証
today
基本
43
暗号化
脆弱性スキャニング
外部との
防御し
外部
との
境界線
防御
アクセス
制御
手作業
レポート
個別の管理
アンチウィルスを
外部との
との境界線
境界線を
をアクセス制御
防御し
アクセス制御
制御と
手作業の
のレポートを
レポートを
を実現
実現
外部との境界線
との境界線を
境界線を
防御しし、、アクセス制御
アクセス制御と
制御とと手作業の
手作業の
レポート
さらなるソリューション
さらなるソリューション提供形態
ソリューション提供形態の
提供形態の多様化にむけて
多様化にむけて
技術の進歩、パートナー企業の優れた運用サービス、業界Cloudへの対応やお客様固有要件への対応のために、弊社のセ
キュリティー運営基盤と技術、X-FORCE知見をご提供し、その上でパートナー企業の優れた運用サービスを重ね、お客様に
よりSecureな環境をお届けすることができます。
スマホ
スマホ/
スマホ/タブレットの
タブレットの
普及
SNS
SNS等新
SNS等新しい
等新しいイン
しいイン
ターネット・
ターネット・サービス
新
新しいNetwork
しいNetwork
Appliance
新しいデバイス
しいデバイスや
デバイスや
ネットサービス
お客様固有の
客様固有の
Industry
Industry Cloudの
Cloudの推進お
通信環境
DC
DCの
DCの付加価値強化
複雑
複雑な
複雑な
ユニーク
ユニークな
ユニークな運用
Application連携
Application連携
サービス
Critical
Criticalかつ
Criticalかつ
緊急な
緊急な初動要件
Cloudの
の普及と
普及と
DC業者
業者の
業者の役割
ビジネス要件
ビジネス要件
や内部通信
東京SOC
セキュリティー・
東京
セキュリティー・エンジニア、
エンジニア、アナリスト
パートナー様
パートナー様の技術や
技術や
運用資源との
運用資源との連携
との連携
IBM Security Operation Center
Detroit
Detroit Toronto
Toronto
Boulder
Boulder
Atlanta
Atlanta
Hortolândia
Hortolândia
SOC セキュリティー・
セキュリティー・オペレーション・
オペレーション・センター運営基盤
センター運営基盤
X-FORECE 技術・
技術・知見
44
Brussels
Brussels
Bangalore
Bangalore
Brisbane
Brisbane
パートナー様
パートナー様との協業
との協業モデル
協業モデル VSOC Virtual Security Operation Center
技術の進歩、パートナー企業の優れた運用サービス、業界Cloudへの対応やお客様固有要件への対応のために、弊社のセ
キュリティー運営基盤と技術、X-FORCE知見をご提供し、その上でパートナー企業の優れた運用サービスを重ね、お客様に
よりSecureな環境をお届けすることができます。
ビジネスパートナー様
コロケーションエリア
ビジネスパートナー様DCコロケーションエリア
インターネット
Internet
監視
IDS/IPS
User A 様
IDS/IPS
User B 様
IDS/IPS
User C 様
IBM
セキュリティー
オペレーション
センター
DC運用監視
運用監視
センター
連携
ご報告
検知・
検知・通知・
通知・分析レポート
分析レポート
セールス
マーケティング
サービス
メニュー
カスタム
メニュー
協同ブランド
協同ブランド
ポータル
ヘルプデスク
セキュリ
ティー
ー技術者
ティ
分析
システム
リセラー・モデル
BP様
BP様
IBM
IBM
-
-
IBM
IBM
IBM
アライアンス
パートナーモデル
BP様
BP様
IBM
BP様
オプション
オプション
BP様
IBM
IBM
モデル
45
IBMの
IBMのセキュリティー監視
セキュリティー監視、
監視、活用体制の
活用体制の基礎となる
基礎となるX
となるX-Force
IBM Security Operation Center (SOC)
Detroit
Detroit Toronto
Toronto
Boulder
Boulder
Atlanta
Atlanta
Brussels
Brussels
Tokyo
Bangalore
Bangalore
Hortolândia
Hortolândia
Brisbane
Brisbane
日本、米国 4拠点、ベルギー、
ブラジル、オーストラリア、インド
世界9拠点のSOC
(セキュリティー・オペレーション・センター)
監視情報
X-Force
Intelligence
脆弱性研究の活動（コアファ
ンクション）、他のセキュリ
ティー機関、学術機関、ベン
ダー等の情報収集にあたる
フィールド調査活動
46
セキュリティー・リスク・レベル
最新脅威情報、
最新脅威情報、対策、
対策、分析結果、
分析結果、
ナレッジの
ナレッジのFeedback
GTOC
X-Force Global Threat
Operations Center
集約した情報を総合
的に分析し、
お客様環境や製品
へ反映
IBM X-Force
（セキュリティー研究・分析機関）
ご清聴ありがとうございました。
© IBM Corporation 2012. All Rights Reserved.
ワークショップ、セッション、および資料は、IBMまたはセッション発表者によって準備され、それぞれ独自の見解を反映したものです。それらは情報提供の目的のみで提供されており、いかなる参加
者に対しても法律的またはその他の指導や助言を意図したものではなく、またそのような結果を生むものでもありません。本講演資料に含まれている情報については、完全性と正確性を期するよ
う努力しましたが、「現状のまま」提供され、明示または暗示にかかわらずいかなる保証も伴わないものとします。本講演資料またはその他の資料の使用によって、あるいはその他の関連によって、
いかなる損害が生じた場合も、IBMは責任を負わないものとします。本講演資料に含まれている内容は、IBMまたはそのサプライヤーやライセンス交付者からいかなる保証または表明を引きだす
ことを意図したものでも、IBMソフトウェアの使用を規定する適用ライセンス契約の条項を変更することを意図したものでもなく、またそのような結果を生むものでもありません。
本講演資料でIBM製品、プログラム、またはサービスに言及していても、IBMが営業活動を行っているすべての国でそれらが使用可能であることを暗示するものではありません。本講演資料で言
及している製品リリース日付や製品機能は、市場機会またはその他の要因に基づいてIBM独自の決定権をもっていつでも変更できるものとし、いかなる方法においても将来の製品または機能が
使用可能になると確約することを意図したものではありません。本講演資料に含まれている内容は、参加者が開始する活動によって特定の販売、売上高の向上、またはその他の結果が生じる
と述べる、または暗示することを意図したものでも、またそのような結果を生むものでもありません。パフォーマンスは、管理された環境において標準的なIBMベンチマークを使用した測定と予測に基
づいています。ユーザーが経験する実際のスループットやパフォーマンスは、ユーザーのジョブ・ストリームにおけるマルチプログラミングの量、入出力構成、ストレージ構成、および処理されるワークロー
ドなどの考慮事項を含む、数多くの要因に応じて変化します。したがって、個々のユーザーがここで述べられているものと同様の結果を得られると確約するものではありません。
記述されているすべてのお客様事例は、それらのお客様がどのようにIBM製品を使用したか、またそれらのお客様が達成した結果の実例として示されたものです。実際の環境コストおよびパフォー
マンス特性は、お客様ごとに異なる場合があります。
IBM、IBM ロゴ、ibm.com、AppScan、DataPower、Guardium、InfoSphere、Optim、Proventia、Rational、Tivoli、WebSphere、X-FORCE は、世界の多くの国で登録されたInternational
Business Machines Corporationの商標です。
他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。
現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtmlをご覧ください。
Linuxは、Linus Torvaldsの米国およびその他の国における登録商標です。
Windowsは Microsoft Corporationの米国およびその他の国における商標です。
UNIXはThe Open Groupの米国およびその他の国における登録商標です。
47