Comments
Description
Transcript
SMCルータキャリア
セキュリティトレンドと 法規制を踏まえた セキュリティ対策 平成18年2月1日 (株)NTTPCコミュニケーションズ インテグレーション事業部 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 1 目次 1.ITを取り巻く社会動向 2.個人情報保護法の施行とその影響 3.日本版SOX法とその影響 4. コンプライアンス・イシューの総括 5.昨今のセキュリティー事情 6.NTTPCが提供するセキュリティー・ ソリューション 7. まとめ Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 2 1. ITを取り巻く社会動向 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 3 1-1. 2005年の代表的なIT関連事件、トピック 立法 4月 個人情報保護法施行 12月 日本版SOX法基準案 (財務報告に係る内部統制の評価及び監査の 基準のあり方について)の公開 個人情報漏えい事件 4月 みちのく銀行情報漏えいで是正勧告(個人情報保護法 初適用) 5月 楽天 個人情報流出を公表 6月 クレジットカード情報流出事件(米国、約4,000万件、ウィルス感染) ・・・ (4月∼6月だけでも120件あまり) 不正アクセス関連事件 5月 価格.com不正アクセスにより一時閉鎖(情報漏えい、ウィルス設置) 7月 クラブツーリズムに不正アクセス(情報漏えい、SQLインジェクション) ・・・ 社会問題やIT関連の問題(継続的なものを含む) 振り込め詐欺 架空請求問題 ネット・オークション詐欺 フィッシング被害(UFJ銀行、「Yafoo!」サイトなど) ・・・ Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 4 1-2. 今後の傾向と対策 立法による影響 個人情報保護法、日本版SOX法の施行 ・ 内部統制が企業の責任となる時代に突入 ・ ITも含めた業務環境の再整理が要求される ・ 永続的な対応が必須となる 脅威の変質と増大 質的側面 ・ 詐欺やカードの不正利用など、個人の財産を直接的に奪う傾向に ・ ツールの高度化とステルス化 ・ 手法の多様化と高度化 量的側面 ・ ウィルス対策ソフト会社の対応が追いつかないほどの新種の増加 ・ 簡単に使える強力なツールが続々登場(スクリプトキディーの増加) 対策 コンプライアンス ・ 積極的、統合的、包括的な対応がカギ セキュリティー ・ コーポレート・ポリシーに基づいた、きめ細かな対応が必要 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 5 2. 個人情報保護法の施行とその影響 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 6 2-1. 個人情報保護法の概要 背景 ITの急速な進展 ・ 国際的な情報流通の拡大により、情報の自由な流通とプライバシーの 確保の調和を取る必要が出てきた Î OECDのほとんどの国で、個人情報保護に関する法が整備される ・ プライバシー等の個人の権利利益侵害の危険性、不安感の増大 法体系と法の性質 ・ 国際標準であるOECD8原則をフレームワークとしている ・ 法律 Î 各省庁からのガイドライン Î 各業界のガイドライン(自主的に 策定)の流れで対応が具体化されている(民間) 法律 基本理念、施策、義務、 罰則など 各省庁のガイドライン 管轄業界の事情、文化 に即した具体的施策 個人情報の保護に関する法律 金融庁 金融機関など 経済産業省 製造業など 各業界団体のガイドライン 業界固有の事情、文化 に即したきめ細かな施策 銀行 保険 ・・・ 石油 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. ・・・ 総務省 通信業など ・・・ インター ネット ・・・ 7 2-2. 個人情報保護法の対象 個人情報 個人情報 ・ 生存する個人に関する情報で特定の個人を識別可能なもの Î 住所、氏名、性別、生年月日など 個人データ ・ 個人情報データベースなど、個人情報を検索できるように体系的に 構成したもの Î コンピュータ上のものだけでなく、紙ベースの名簿なども含む 保有個人データ ・ 個人データのうち、事業者が6ヶ月以上保有し、開示、内容の訂正、追加 または削除、利用の停止、消去および第三者への提供の停止を行う ことのできる権限を有する個人データ 個人情報 個人データ 保有個人データ 個人情報取扱事業者 ・ 過去6ヶ月のうち、1日でも個人情報により識別される個人の数の合計が 5,000件以上となる者 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 8 2-3. 個人情報保護法の義務 義務 (OECD 8原則との対応) 目的明確化の原則、利用制限の原則 ・ 利用の目的をできる限り特定しなければならない(第15条) ・ 利用目的の達成に必要な範囲を超えて取り扱ってはならない(第16条) ・ 本人の同意を得ずに第三者に提供してはならない(第32条) 収集制限の原則 ・ 偽りその他不正の手段により取得してはならない(第17条) データ内容の原則 ・ 正確かつ最新の内容に保つよう努めなければならない(第19条) 安全保護の原則 ・ 安全管理のために必要な措置を講じなければならない(第19条) ・ 従業者・委託先に対する必要な監督を行わなければならない(第21、22条) 公開の原則、個人参加の原則 ・ ・ ・ ・ ・ 取得したときは利用目的を通知又は公表しなければならない(第18条) 利用目的等を本人の知り得る状態に置かなければならない(第24条) 本人の求めに応じて保有個人データを開示しなければならない(第25条) 本人の求めに応じて訂正等を行わなければならない。(第26条) 本人の求めに応じて利用停止等を行わなければならない(第27条) 責任の原則 ・ 苦情の適切かつ迅速な処理に努めなければならない(第31条) Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 9 2-4. 個人情報保護法の罰則 罰則と適用のプロセス 個人情報の不適切な取扱い 報告しない・虚偽の報告 30万円以下 報告 の罰金 企業に対し、個人情報の取扱いに 関する報告を求める 主務大臣 報告 個人情報の取扱い方法が 適切であるかどうかの審議 主務大臣 主務大臣 問題あり 勧告・命令 問題なし 従う 継続的に 利用可能 企業 従わない 問題に対処 参考:「個人情報保護の実務と漏洩防止策のすべて」株式会社シーピーデザインコンサルティング 鈴木靖 當摩祐子 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 6ヶ月以下の懲役 または 30万円以下の罰金 10 2-5. 個人情報保護法への対応 対応の流れ(準備段階) 全体的なポイント ・ PDCA (Plan – Do – Check – Action)の改善プロセスが回るように、 永続的な対応を考える ・ 対策の根本は包括的、全社的な個人情報のリスク管理 個人情報の棚卸し ・ 内容、使用目的、保管場所、件数、保管方法、使用者、管理者などを 整理しつつ、個人情報の棚卸しを実施する 個人情報の簡易リスク評価 ・ 上記の個人情報について簡易な評価を実施し、優先順位を付ける Î 件数、内容、取扱い部門などをパラメータとして、数量的な評価を実施 業務フローの棚卸しと業務リスクの洗い出し ・ 上記個人情報に関する業務フローを作成し、リスクを洗い出す 詳細リスク評価 ・ フローの中でのリスクを評価し、対策を検討する Î 漏洩・破損・紛失した場合の影響範囲、影響度合い、可能性の高低に ついて定量評価し、リスクを分類する(即時対応が必要、1年以内の 対応が必要、状況を見ながら対応、リスク受容可能など)。その結果を もってリスク分析表を作成する Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 11 2-6. 個人情報保護法の対策 対策のポイント ・ ・ ・ ・ ・ 責任者を明確にし、取得から管理、廃棄までのプロセスを考慮する IT、人間両面での対応を考え、対応策のグルーピングを考える システムで対応可能なところはシステム化を考える モニタリングと評価のプロセスを組み込み、永続的な対応を可能にする もしもの時の対応策(アクション・プランなど)も考える IT環境での対策のポイント ・ 個人データの機密性、完全性、可用性を確保することを基本とする 機密性 Gatewayセキュリティの徹底、通信の暗号化 (漏洩を意識) 各種脆弱性への定期的かつ、確実な対応 アクセス権の管理、パソコンの暗号化 完全性 作業インターフェースの統一と簡易化 (正確さの担保) オペレーション・ミスの対応、チェック機構のインプリ 可用性 サーバの冗長、バックアップ、ディザスター・リカバリー (安全管理) ネットワークの冗長 ・ もしもの時には説明責任があるので、これに対応する施策も用意する Î フォレンジックなど Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 12 3. 日本版SOX法とその影響 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 13 3-1. SOX法とは SOX法登場の背景 ・ 2001年後半から、米国でエンロンなどの有名企業の大規模な役員不正、 粉飾決算が次々と発覚し、倒産 Î 従業員だけでなく、株式市場に強烈なインパクト ・ 会計の透明性向上が急務となり、上記のような事件を繰り返さないために、 サーベインズ・オクスレー法(SOX法)が成立(2002年7月) 米国SOX法の概要 顕在化した問題点 改革の骨子 役員の暴走 ・コーポレート・ガバナンスの強化 ・自社株式取引報告、自己貸付禁止 ・社外取締役の独立性、監視力の強化 巨額の粉飾決算 ・CEO、CFO開示の妥当性宣誓 ・刑事責任強化 ・ディスクロージャーの強化 ・官主導の会計基準、監査基準 財務報告に関わる内部 統制の重大な欠陥 ・内部統制の評価報告 ・CEO、CFOの有効性宣誓 ・有効性と評価方法の監査 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 日本では現在、 ここだけがク ローズアップ されている 14 3-2. コーポレートガバナンスへの影響 新会社法の制定 ・ 米国の事件の影響を受け、2002年の商法改正から、経営と執行を分離し、 経営の透明性とコーポレートガバナンスの強化を図るなどの動きが加速 ・ 2005年6月、会社に関する諸法律を再編し、新会社法制定 Î 大会社の取締役会または取締役、全ての委員会設置会社の取締役会 は、内部統制システムの基本方針策定が専決事項として義務付け られた(会社法 第348条4項、第362条5項、第416条2項) 委員会設置会社 (欧米型) 監査役設置会社(日本に多い) 株主総会 内部統制 基本方針 監督 株主総会 監査役 取締役会 指名 報酬 取締役会 監査 執行役 (Officer) 執行 経営数値 責任 社外取締役 副社長、専務なども含まれる ことがある 経営数値 責任 内部統制 基本方針 執行役員 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 15 3-3. 日本版SOX法基準案と内部統制 日本版SOX法基準案 (財務報告に係る内部統制の評価及び監査の基準のあり 方について 2005.12.8) とは ・ 内部統制の世界標準である、COSOのフレームワークを基に内部統制を 定義し、その中で「財務報告の信頼性」に関する内部統制を実施、評価、 公表、監査することを、経営者に義務付けている Î 具体的なガイドラインは今後出てくる予定 Î 2007年3月∼2008年4月を第一回目の評価期間として、法制化 される見通し 目的 要素 日本版SOX法基準案 COSOモデル 業務の有効性及び効率性 Operations 財務報告の信頼性 Financial Reporting 事業活動に関わる法令等の遵守 Compliance 資産の保全 - 統制環境 Control Environment リスクの評価と対応 Risk Assessment 統制活動 Control Activities 情報と伝達 Information & Communication モニタリング Monitoring ITへの対応 - COSO = トレッドウェイ委員会支援組織委員会 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 16 3-4. 日本版SOX法基準案と米国SOX法の内部統制 日本版SOX法基準案の特徴と米国SOX法 内部統制との違い 米国 日本 I. 内部統制の基本的 枠組み II. 財務報告に係る内部統制 の評価及び報告 III. 財務報告に係る内部統制 の監査 ・利用すべき枠組みが基準 に明記されていない ・COSOに限定されている わけではない ・実務上はCOSOが利用 されている ・基準には、経営者による財務 報告に関する内部統制の 有効性の評価アプローチが 明記されていない ・ダイレクト、インダイレクト・ レポーティング併用 ・トップダウン型のリスク・ アプローチ ・不備区分を「不備」、「重要な 不備」、「重大な欠陥」の3段階 とする ・財務諸表監査と一体的に実施 ・利用すべき枠組みが基準 に明記されている ・COCOと比べて - 統制目的に「資産の 保全」を追加 - 内部統制の基本的要素 に「ITへの対応」を追加 ・基準に、経営者による財務 報告に関する内部統制の 有効性の評価アプローチが 明記されている ・トップダウン型のリスク・ アプローチ ・不備区分を「不備」と「重要な 欠陥」の2段階とする ・インダイレクト・レポーティング (内部統制自体の有効性には 言及せず、経営者評価の 妥当性のみを検証する)のみ ・財務諸表監査と一体的に実施 参考:Computerworld Conference & Expoセッション資料 「日本版企業改革法を踏まえ 情報システム部門が実践 すべき施策」KPMGビジネスアシュアランス株式会社 橋本勝 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 17 3-5. 内部統制のイメージ 統制活動の 種類 全般統制 ・個別の統制の 有効性に影響する ・複数の目的に 関連する 統制活動 経営層レベル 統制環境 ・企業風土、グループ・全社の 組織体制、理念、方針・戦略、 教育・研修制度、人事制度、業 績評価制度、内部監査制度など ・コンプライアンス・プログラム、 内部通報制度など 業務処理統制 ・特定の個別的な 目的にのみ関連 する リスク評価、モニタリング 管理者レベル ・各部の組織体制・要員配置、 業務規程の整備、情報システム の整備、特定分野の教育・研修 など ・個別の業務ルール・手順、個別 の管理制度、認証手順など ・アクセス管理、アクセス制限 ポリシーなど 情報と伝達、ITへの対応(IT環境への対応、ITの利用及び統制) 組織レベルの統制 統制活動の ・業務プロセスに組み込まれる レベル プロセスレベルの統制 ・組織単位に適用される(複数 の業務プロセスに関連する) (組織を横断することもある) 合理的に保証 参考:Computerworld Conference & Expoセッション資料 「日本版企業改革法を踏まえ 情報システム部門が実践 すべき施策」KPMGビジネスアシュアランス株式会社 橋本勝 内部統制の目的 業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令の遵守、資産の保全 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 18 3-6. 日本版SOX法への対応 – リスクの把握 対応の流れ (統制環境は整備されていると仮定) 大まかなリスクの把握 ・ リスク評価モデルのようなものを用いて、全社のリスクを洗い出す 営業プロセスリスク ・顧客ニーズの 変化など 調達プロセスリスク ・架空発注/架空 支払いなど 製品開発リスク ・開発サイクル/ タイミングなど 財務リスク ・粉飾経理/不正 誤謬など 役員/従業員リスク ・企業文化/倫理 ・雇用/能力開発 など 環境リスク ・環境汚染 ・廃棄物処理など 法務リスク ・利益供与 ・情報漏洩など 情報システムリスク ・可用性、完全性 ・セキュリティなど ・ セキュリティ、 IT 業 務 環境 マーケットリスク ・ブランド価値定価 ・市場/セグメントなど テクノロジー リスク ・Eコマース など 戦略意思決定リスク ・事業ポートフォリオ ・新規事業など 環境リスク IT 社会リスク ・誘拐/恐喝 など ・情報収集と伝達 内 部 環境 戦略リスク オペレーショナルリスク 業界リスク ・業界特性 ・ビジネスモデルなど 経済リスク ・景気変動 など 情報伝達リスク 外部環境 政治リスク ・戦争/内乱 テロなど 災害リスク ・自然災害 など 参考:「企業改革法が変える 内部統制プロセス」IBMビジネスコンサルティングサービス 森本親治 守屋光博、高木将人 リスクの棚卸し ・ 上記の各リスクの種類を詳細にブレークダウンした、リスク定義リストを作る ・ 検討するリスクの種類に関わる業務を洗い出し、業務プロセスの棚卸を 実施 ・ リスク定義リストに基づいて、プロセスごとにリスクを洗い出す Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 19 3-7. リスク棚卸のプロセス 業務フロー リスク評価モデル 棚卸 ・ 業務プロセスの棚卸 ・ プロセスごとのリスクの洗い出し ピックアップ 業務関連 部門 A 情報システムリスク ・可用性、完全性 ・セキュリティなど ブレークダウン 業務関連 部門 B ・・・ 整理 詳細リスクリスト 召集、作業依頼 リスク定義リスト リスクカテゴリ リスク項目 リスク項目説明 リスク リスク詳細説明 情報システムリスク 情報の保管 情報を保管する上で発生する ストレージの故障 ストレージ・デバイスが故障し、情報資産を リスク 喪失するリスク バックアップの失敗 定期的なデータのバックアップが、テープ デバイスの不具合などで失敗するリスク バックアップの喪失 バックアップを取ったにもかかわらず、テープ の劣化で読み出しが出来なくなる、または テープ自身を紛失してしまうリスク 情報通信 情報を送受信する上で発生する ・ ・ ・ リスク ネットワークの断 情報を送受信する経路の断により、適切な 情報通信が出来なくなるリスク 参考:「企業改革法が変える 内部統制プロセス」IBMビジネスコンサルティングサービス 森本親治 守屋光博、高木将人 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 20 3-8. 日本版SOX法への対応 – リスクの評価と対策 対応の流れ (全社の詳細なリスクが洗い出されているものと仮定) リスクの評価と対応の決定 ・ グルーピングできるリスクはグルーピングしておく Î 似通った業務や、同じシステムを使う業務など、グルーピングすることで 内部統制を実施する項目を減らすことが可能 ・ 上記のリスクについて評価を実施し、優先順位を付ける Î 事業への影響度、信用、組織、人、物、金、情報、発生頻度などを パラメータとして、数量的な評価を実施 Î 経営層がリスクに関する対応を決定する(許容、回避、移転、軽減) 統制手法の選択 ・ 上記リスクで軽減と判断されたリスクに関して、各プロセス責任者が内部 統制手法を選択(統制活動、情報と伝達、モニタリング、ITへの対応:複数 選択可) 具体的な統制方法の決定 ・ 上記の手法に基づいて、それぞれ具体的にどう対応するかを検討し、確定 させる Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 21 3-9. 統制方法決定のプロセスと内部統制 財務報告の信頼性など 目的の設定 リスク評価モデルの利用 事象の識別 定期的なリスクの洗い出し 活動レベルのリスクの評価 リスクの 評価 リスクの 数値化 リスク定義 リストの利用 マネジメント アセスメント リスク対応 対応優先 順位策定 許容 受容レベ ル策定 回避 移転 経営サイド で決定 参考:「企業改革法が 変える 内部統制プロ セス」IBMビジネスコン サルティングサービス 森本親治 守屋光博、 高木将人 リスク軽減 施策の 運用 社員教育 の仕組み 構築 規程・マ ニュアル 整備 規程・マ ニュアル 整備 プロセス・ システム 改修 プロセス・ システム 改修 整備・運 用状況 チェック 自己評価 / 内部監査 結果 問題あり 軽減 リスク軽減 施策の 整備 社員教育 の仕組み 構築 モニタ リング 問題なし リスクの 洗い出し 統制環境、統制活動、情 報と伝達、IT への対応の 報と伝達、ITへの対応の 整備、運用 運用の強化・徹底 リスク軽減施策の再整備 リスクの対応方法の再検討 リスク軽減目標(受容レベル)の再設定 影響度・発生頻度の再評価 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 22 3-10. 日本版SOX法への対策 対策のポイント ・ ・ ・ ・ ・ 基本はやはり、PDCAを回す業務改善である(ルールを作る、見直す作業) 「ITへの対応」は全ての要素に関連することを意識する ITと人間両面での対策を考える(チェック機能など) 対策後の残存リスクを意識出来るようにする 事故が起こった場合の対策も考慮する IT環境での対策のポイント ・ データ、計算結果の機密性、完全性、可用性を確保することを基本とする 機密性 Gatewayセキュリティの徹底、通信の暗号化 (改ざんを意識) 各種脆弱性への定期的かつ、確実な対応 アクセス権の管理、パソコンの暗号化 完全性 作業インターフェースの統一と簡易化、アプリ・DBの統合 (正確さの担保) オペレーション・ミスの対応、チェック機構のインプリ 可用性 サーバの冗長、バックアップ、ディザスター・リカバリー (完全性を保証) ネットワークの冗長 ・ ドキュメント化が必要なので、文書化、レポートツールの充実も考慮すべき Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 23 4. コンプライアンス・イシューの総括 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 24 4-1. 企業としての対応方針 2つの法律が求めること ・ 決められた目的とガイドラインに沿って、永続的な業務改善をすること ・ 活動の内容を文書化し、必要に応じて内容を報告すること 結局何をすべきなのか 戦略と方針 ・ 2つの法律が求めることは、大きく考えると似ている Î 相乗効果を生むような対策の立案 ・ 米国では、SOX法の対応に1企業平均、約5億円かかっている Î 受身の形で場当たり的な対応をせず、積極的に業務改善すべき ・ 説明責任と企業の信頼度はインシデントへの対応で決まる Î インシデントに即座に対応できる全社的な仕組みづくりをするべき 作業レベルでの留意点とポイント ・ 対策を決めるのはプロセスの責任者 Î 業務、プロセスの責任部署、責任者を明確にして役割分担を ・ 国際標準とはすなわち欧米標準 Î 性悪説に立ったリスクの捉え方をすべき ・ ITの存在意義 Î プロセスに積極的にITを導入、利用することで、効率的にリスクを 軽減できる場合が多い Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 25 4-2. IT担当者の対応方針 基本的な姿勢 ・ 業務フローの作成及びリスクの洗い出しには積極的に出席するべき Î 細かい要請もさることながら、本質的な業務の要求と問題点を、ITの 立場から把握する ・ IT環境整備に関するプロセスも、計画、検討、調達、構築、運用、保守、 廃棄という全てのポイントについて見直すべき(各部との調整も含む) ・ 外からの脅威、危険は言うに及ばず、中からの脅威、危険も性悪説に 立って考慮すべき 考慮すべきポイント 戦略と方針 ・ 全社の業務のポリシーを十分理解し、これらに即したきめ細かい対応を 考える(リスク分析表に照らしてチェックするなど) ・ ITで処理する部分は、人間の関与を最小限に保つべき ・ ITの力だけでは不十分と思われるところは、積極的に人間を関与させる べき(複雑なチェック機能など) ・ モニタリング機能を有効活用すべき Î 単にログを取るだけでなく、日常的な業務改善のために、閾値を設けて レポートするなど ・ 常にトレンドを意識し、情報は機密性>完全性>冗長性の順位で保護 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 26 5. 昨今のセキュリティー事情 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 27 5-1. 昨今の脅威とその傾向 21世紀の脅威の傾向 ・ ハッカー/クラッカーの興味は金や財産、資産そのものの略奪へ ・ 気付くまでに時間がかかる、または気付くことが出来にくい攻撃手法 ・ ますます簡単で強力なツールの出現により、従来からの脅威も増大 ・ ウィルス開発ツールの公開、販売により、ウィルスの亜種出現のタイミング や、新種のウィルスの出現が加速 ・ バッファ・オーバーフローだけではない新手法が続々登場 ・ 犯罪の国際化 (国交がない国からの脅威) 比較的新しい手法 ・ フィッシング ・ ・ ・ ・ スパイウェア ボット(ネット) rootkit クロスサイト・スクリプティング ・ SQLインジェクション ・ Googleハッキング :偽装メールで悪意のあるサイトへ おびき出す :外部にPC内の情報を通信するなど :伝播型リモコン・ソフト :ステルス型ウィルス :URLやサイト、スクリプトの改ざんに よる攻撃 :CGIのSQL文の脆弱性を突く攻撃 :新種のWebハッキング手法 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 28 5-2. 具体的な事例 (1) – トラップ フィッシング (Phishing) ・ スパムメールの一種。銀行などからのメールを偽装し、URLのリンクを 利用して偽のサイトに導き、IDやパスワードを盗む ・ クロスサイト・スクリプティングとの併用やJavaScriptを利用してアドレス バーの偽装、ポップアップの利用など、手口がより複雑化している ・ 最近はボットを利用したサイトも増えてきている http://www.yahoo.com/index/?2l&:!%p/7&w%@p78a.com/ User ID Password スクリプトを用いてアド レスバーを偽装した例。 アドレス自体は本物だ が、日本語のブラウザ の「アドレス」の所が 「Address」になってい る。 Source: http://nikkeibp.jp/sj2005/column/u/01/02.html Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 29 5-3. 具体的な事例 (2) – 新手のウィルス ボット (Bot) ・ メールに添付したウィルス、Webから落とし込まれるスパイウェアなどを 通じて、様々な機能を持ったリモコン・ソフトを通常のPCに送り込む。侵入 したサーバに置かれることもしばしば ・ 自己伝播する特性を持つ ・ DDoS攻撃、踏み台、フィッシング用サイトの構築など、様々な用途に 使われるが、感染しているかどうかが非常に分かりにくい rootkit ・ 元々は、ハッカーが侵入した足跡を消したり、仕込んだツールを隠蔽する ような、一連の作業をするためのパッケージとして開発、利用したもの ・ 最近では最も恐ろしい存在のマルウェア ドライバに 偽装され たrootkit Boot時にメ モリにロード され、メモリ に常駐 カーネルモー ド・プロセス ユーザーモー ド・プロセス システムコールを横取りし、 ・自分のプロセスを隠蔽 する ・自分の元ファイルを 隠蔽する ・自分の元ファイルを消 させないようにする OSカーネル メモリ空間 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 30 5-4. 具体的な事例 (3) – その他新しい手法 SQLインジェクション (SQL Injection) ・ CGIの脆弱性を突き、CGIの後ろで動くDBサーバから情報を抜き出す ・ バッファオーバーフローよりも、お手軽感がある ・ 最近はこれを利用した攻撃が非常に多い(昨年のOZmailなど) Googleハッキング (Google Hacking) ・ 強力な検索機能を用いて、脆弱なWebサーバを発見する ・ 以前は地道に実施されていた、フットプリンティングが手軽に実施できる ・ 無防備なWebサーバは世界中から攻撃される可能性がある UNIXのパスワードファイル を探すため、 intitle:“index of..etc” passwd を実行したところ、インター ネット上に509件見付かっ た。 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 31 5-5. セキュリティートレンドの総括 総括 ・ ターゲットはサーバ類から一般ユーザの端末へとシフト傾向にある ・ 通常は大丈夫と思われるサイトでも、危険な場合がある Î 複合的な対応策が必須(レイヤード・セキュリティーなど) ・ スパイウェア、ボット、rootkitなど、基本的にはユーザのPC環境を傷つけ ず、踏み台などに利用するマルウェアが増えている Î ユーザは侵入に気付くのが非常に難しい ・ 自社で開発し、立ち上げている商用サイトには十分な注意が必要 Î SQLインジェクションは、ユーザ・インプットでのチェックの強化を ・ 絶えずトレンドを追いかけておかないと、日々新しい脅威が出現する ・ 最近では、ウィルスはrootkitやスパイウェア、ボットの単なるキャリアに なっている場合が多い Î キャリアに使われるウィルスは、危険度が低いと判断され、アンチ・ ウィルス・ソフトで引っ掛からない場合もある ・ 質的にも量的にも脅威は日々増大しているので、もしもの時にどうするかは 必ず考えておくべき Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 32 6. NTTPCが提供する セキュリティー・ソリューション Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 33 6-1. セキュリティー・イシューの整理 守るもの、防ぐもの ・ ・ ・ ・ 個人情報、社内機密情報の漏洩 公開サーバ、インフラの停止による業務停止、情報資産の喪失 社内PC、サーバ、インフラの停止による業務停止、情報資産の喪失 外部への攻撃(無意識または意図的) 原因の整理 ・ ・ ・ ・ ・ ハッカーやウィルス、マルウェアの侵入を受ける 内部の者が、外部のトラップに引っ掛かる PCや書類の紛失、盗難 外部から攻撃を受ける システムやインフラが故障する 個人情報、社内 機密情報の漏洩 侵入 公開サーバ、イ ンフラの停止 トラップ 社内PC、サーバ、 インフラの停止 紛失、盗難 外部への攻撃 外部からの攻撃 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. システム、インフ ラの故障 34 6-2. 侵入と攻撃 侵入と攻撃の種類と方法 ハッカー/クラッカーによる侵入 準備 ・フット・プリンティング ・ソーシャル・ エンジニアリング ・・・ 侵入と攻撃 ・脆弱性への攻撃 ・ID、パスワード やぶり ・DoS、SQLインジェ クション ・・・ ウィルス類による侵入 Web ・ブラウザ の脆弱性 ・ユーザの 不注意 Mail ・ソフトの 脆弱性 ・ユーザの 不注意 ここを防ぐ! スパイウェア ウィルス スパイウェア ワーム Bot系 結果 ・システム・クラッシュ ・踏み台(攻撃) ・情報漏洩 ・トラップ・サイト化 ・社内システムの混乱 ・・・ 仕事 ・ウィルス類投入 ・改ざん(トラップなど) ・ツール類投入(盗聴、 バックドアなど) ・・・ ワーム PC Bot系 ウィルス 拡散、攻撃 拡散、攻撃 機密情報など 攻撃指令など 社内の他の PC、サーバ 社外のシス テム ハッカー/ クラッカー システム・ク ラッシュなど *まずは侵入、攻撃を防ぐことを第一に考え、次に侵入された場合の対策 として、盗聴の防止を考える Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 35 6-3. セキュア・ゲートウェイ・ソリューション 社外からの侵入、攻撃を食い止めるソリューション 企業 DMZ Mail DNS サーバ サーバ 社内LAN 社内LAN 顧客DB 商用Web サーバ Active Directory DCサーバ、社内 共用サーバ群 UTM The The Internet Internet 脆弱性管理 システム 装置 防御するポイント 対象 対応する機能 UTM フットプリンティング 公開サーバ IDS/IPS ID、パスワードやぶり IDS/IPS DoS攻撃類 Firewall ウィルス、Bot、rootkitの侵入 脆弱性管理システム 社内PC アンチ・ウィルス スパイウェアの侵入 スパイウェア・プロテクション スパムメールの侵入 スパム・プロテクション サーバ類の脆弱性を診断する 公開サーバ、社内PC、サーバ Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 脆弱性診断機能 36 6-4. セキュアLANソリューション 社内に入ってきた脅威を食い止めるソリューション 企業 社内LAN 社内LAN Active Directory DCサーバ 業務、共用 サーバ群 持ち込みPC 脆弱性管理 システム DBサーバ 検疫 システム 装置 防御するポイント 対象 対応する機能 検疫システム OSの脆弱性 社内PC、持ち込みPC コンプライアンス・チェック機能 脆弱性管理システム ウィルス・ソフトのバージョン コンプライアンス・チェック機能 ソフトウェアの脆弱性 コンプライアンス・チェック機能 サーバ類の脆弱性を診断する 公開サーバ、社内PC、サーバ Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 脆弱性診断機能 37 6-5. 盗聴防止ソリューション 様々な通信の盗聴を防止するソリューション 本社 社内LAN 社内LAN DMZ DCサーバ、DB サーバ、社内共 用サーバ群 公開サーバ群 データセンター Active Directory Encryptor 管理サーバ(SCM) 管理サーバ(SCM) L2 Encryptor 専用 専用 線 線 UTM L2 Encryptor VPN VPN 網 網 SSLSSL-VPN 高機能VPN 高機能VPN ルータ 支社A 支社A The TheInternet Internet 支社B 支社B 屋外/ 屋外/外出先 装置 防御するポイント 対象 対応する機能 高機能VPNルータ インターネット上での盗聴 本社-支社間などの通信 VPN L2 Encryptor / SMC 専用線、VPN網内での盗聴 本社-支社間などの通信 L2通信暗号化機能 SSL-VPN リモートアクセス通信の盗聴 リモートアクセスするPCの通信 SSL-VPN UTM インターネット上での盗聴 本社-支社間などの通信 VPN Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 38 6-6. トラップ トラップの種類と方法 社内への侵入が原因 ユーザ側のシステ ムが乗っ取られ、 リダイレクトされる ユーザPCがウィ ルスなどの影響で リダイレクトされる PC (一般ユーザ) アクセスさせ ないような対 応が必要 悪意のあるサイト (偽物サイト) 偽物サイト) ・フィッシング ・ウィルス類 ・システム攻撃 プログラム ・・・ ユーザ教育が原因 ユーザの不注意 で偽のリンクをク リック 本物サイトへの侵 入が原因 目的のサイト自体 が乗っ取られてい る 悪意のあるサイト (本物サイト) 本物サイト) ・フィッシング ・ウィルス類 ・システム攻撃 プログラム ・・・ アクセスを防ぎ ようがないので、 事後の対応が 必要 *偽サイトにアクセスさせない方法を第一に考え、次に悪意のある本物サイトに引っ 掛かってしまった時の対策を考える Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 39 6-7. セキュア・インターネット・アクセス・ソリューション 危険なサイトにアクセスさせないソリューション 企業 DMZ Mail DNS サーバ サーバ 社内LAN 社内LAN 商用Web サーバ The The Internet Internet Active Directory DCサーバ、社内 共用サーバ群 UTM 装置 防御するポイント 対象 対応する機能 UTM フィッシング 社内PC フィッシング・プロテクション 危険なサイトへのアクセス 社内PC URLフィルタリング Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 40 6-8. その他の原因 盗難、紛失 ・ 悪意のある人間が社内から情報やPCを持ち出す ・ 悪意はなくとも、何処かに書類やPCを置き忘れる *社内では物理的なアクセスを制限することを考える。社外の対策は、置き 忘れても大丈夫な対策を考える。最悪盗難にあっても情報は漏れない 対策を考える。 システム、インフラの故障 ・ 意図せずとも機械は必ず故障する *ビジネスの継続性と情報資産の保護を考慮した対策を考える。データ保護の 観点から、モニタリングと絡めた対策を考える。 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 41 6-9. 盗難、紛失対策ソリューション 盗難、紛失を防止し、もし発生しても、情報漏洩を食い止めるソリューション 企業 社内LAN 社内LAN Active Directory 2要素認証 Key Blade PC 業務、共用 サーバ群 DCサーバ Thin Client HDD暗号化ソフト HDD暗号化ソフト 屋外/ 屋外/外出先 SSLSSL-VPN DBサーバ 持ち出し用PC Blade PCの画像情報のみ、 SSLでやり取りする 持ち出しPC は、2 2つの方式が実現可能 持ち出しPCは、 ・ハードディスクを暗号化して持ち出す ・持ち出したPCから社内のBlade PCに セキュアにアクセスし、Blade PCを 使って仕事をする(データを入れて 持ち出さない) 装置 防御するポイント 対象 対応する機能 Blade PC / TC 社内からの盗難 社内PC 物理的隔離、Thin Client SSL-VPN セキュアなリモートアクセス環境 持ち出しPC SSL-VPN HDD暗号化ソフト 盗難、紛失時の被害 社内PC、持ち出しPC データの暗号化 2要素認証Key 盗難、紛失時の被害 社内PC、持ち出しPC HDD暗号化と連動 不正アクセス 社内PC、持ち出しPC ADとの連動 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 42 6-10. フォレンジック・ソリューション もしもの時、起こった事実を把握し、的確なアクションに繋げるソリューション 企業 社内LAN 社内LAN Active Directory DCサーバ DBサーバ 業務、共用 サーバ群 コア・スイッチ フォレンジック・ システム 改ざん防止 ストレージ 装置 防御するポイント 対象 対応する機能 フォレンジック・システム インシデントの解析 社内の全トラフィック 高速キャプチャ機能 インシデントの解析 蓄積したトラフィック 通信解析機能 インシデントの解析 社内の全トラフィック データロック機能 改ざん防止ストレージ Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 43 6-11. フル・インテグレーション・イメージ 本社 社内LAN 社内LAN DMZ Active Directory DCサーバ、DB サーバ、社内共 用サーバ群 公開サーバ群 KVM延長 KVM延長 Port 共通NW Blade PC 部門A 脆弱性管理 システム 改ざん防止ストレージ UTM L2 Encryptor HDD暗号化 HDD暗号化 ソフト Encryptor 管理サーバ(SCM) 管理サーバ(SCM) 部門B SSLSSL-VPN 監視センター L2 Encryptor 専用線 専用線 フォレンジック 検疫システム データセンター The The Internet Internet VPN網 VPN網 支社A 支社A 支社B 支社B Thin Client 屋外/ 屋外/外出先 2要素認証Key 要素認証Key Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 44 6-12. NTTPCとコンプライアンス ISO9001 (品質マネジメントシステム)と業務改善 ・ 2003年3月に取得、当初は提供製品の品質向上を目指す ・ 2004年からは同マネジメントシステムを利用して業務プロセス改善を実施 ・ 2006年3月、更新予定 ISMS (Information Security Management System) ・ 2005年3月に取得、個人情報取扱事業者として必要な対策を実施 ISO14001 (環境マネジメントシステム) ・ 2003年11月に取得、現在もPDCAを回して業務改善を実施中 ・ 2005年12月、日経の「環境経営度ランキング」でNTT DoCoMoに次いで 通信業界で2位の評価を受ける CSRブックの作成 ・ 2005年にはコーポレート・ガバナンスの重要性を意識して、CSRブックを リリース 業務プロセス改善とセキュリティ対策はNTTPCの文化!! コンプライアンスを理解/意識したIT環境を提案、構築、保守 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 45 7. まとめ Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 46 7-1. 結論 コンプライアンス対策 ・ 極論すれば、業務プロセス改善 ・ 経験と実績のあるNTTPCは、御社の内部統制ポリシーを十分理解し、 貴社に最適なソリューションをお届けします セキュリティー対策 ・ 脅威は質と量において日々高度に、かつ膨大に ・ NTTPCはトレンドを踏まえ、貴社のルールに従いながら、最良の対策を ご提案致します ソリューション ・ これからのソリューションは、単純にモノを入れて終わりにはならない ・ NTTPCはSI、開発、運用、保守、回線、プロバイダ、データセンターを ワンストップで提供可能です ・ この中から、貴社のポリシーとセキュリティートレンドに最も適した組み 合わせを選択し、きめ細かく組み込んで行く、それがNTTPCの コンプライアンス・ソリューションです Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 47 7-2. ソリューション関連ベンダー一覧 Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 48 Thank You! 株式会社 NTTPCコミュニケーションズ インテグレーション事業部 TEL FAX 03-3432-1330 03-5402-3636 〒105-0004 東京都港区新橋6-1-11 ダヴィンチ御成門 3F [email protected] http://www.nttpc.co.jp/ Copyright (C) 2006, NTTPC Communications, Inc. All Rights Reserved. 49