日経BP社 情報セキュリティ戦略セミナー 2016.5.31 @ 目黒雅叙園

1. セキュアで効率良い
業務システム構築に向けて
立命館大学
情報理工学部
上原哲太郎
情報セキュリティ戦略セミナー
2016.5.31 @ 目黒雅叙園

2. ※おことわり
 今回の話は3月の講演の補遺？です
3月の講演スライドはこちらでどうぞ
http://www.slideshare.net/tetsutalow/bp2016-spring

3. 本日ずっと
講演を聞いてこられた方？
 ご感想は？
Under Fire

4. まさに内憂外患
内部不正による
情報の持ち出し
姿の見えぬ敵
サイバー攻撃
マイナンバーなどの
法的義務

5. 企業の外敵たち
愉快犯→思想犯 明確な目的
技術誇示目的
極めて執拗な攻撃は成功するまでやるので厄介…
思想信条の表現
「集団暴走」
金銭目的
怨恨
破壊工作・諜報

6. 相手によって分けよう
 通り魔 VS スパイ

7. 通り魔＝思想犯の暴走
 #OpKillingBayなど
ハクティビストによる攻撃は
誰にでも起こりうる
 現在「日本総攻撃」状態

8. 金銭目的の「通り魔」
 ランサムウェア
 ネットバンキング狙いのマルウェア
 情報詐取→換金
 クレジットカード番号
 ID/PWの組
 メールアドレス

9. 目的があれば達成までやる
 サイバーセキュリティ戦略本部による
年金機構事案報告によれば…

10. 目的があれば達成までやる
 サイバーセキュリティ戦略本部による
年金機構事案報告によれば…第１波
5月8日
第4波
5月20日成功
第3波
5月18～19日
第2波
5月18日

11. 敵は確かに「進化」してる…

12. ここのところ特にマルウェア

13. だが、もう10年以上基本は同じ
 メール添付
→マルウェア感染
→遠隔操作
 不正アクセス
→侵入
→遠隔操作
変わってないのは
我々ではないか？

14. やることはずっと変わらない
事案そのものの抑止
＝システム強靭化
事案の早期発見と対処
＝連絡網整備・CSIRT設置・共同対処
事案発生の予知
＝情報収集

15. まずは基本中の基本
 「ファイアウォール」＆「系統分離」
 入退室管理があるように
データも出入り管理ができるようにLANを組み
機器を配置する
 脆弱性対策の迅速化
 端末のソフトウェアは必ずアップデート
 サーバ系の脆弱性管理は大変！
特にカスタマイズしていると…
 マルウェア対策ソフトウェアの導入
 （可能ならば）侵入検知・ふるまい検知

16. しかし「境界線防衛モデル」は限界
LAN
内部サーバ
File,DB,Apps…
外部サーバ
Web,Mail,DNS…
DMZ Internet
境界線を設定し、境界を越えるデータを
制限/検疫して「安全な世界」を脅威から
守る…しかし今や「境界線」は作れない
汚れた世界安全な世界?

18. 侵入するまで諦めない敵には
侵入したことを見つけ出すしかない
IPAによる集大成
「侵入されない」
は不可能なので
「侵入されたことを
発見しやすい」
「侵入されても被害が
大きくなりにくい」
システムを！

19. だが…事故前提は…
CISO CIO CEO
侵入は
不可避です
早期発見を！
侵入されたら
風評被害の
リスクが
高すぎる…
隔離するしか
ないですね…

20. セ
キ
ュ
リ
テ
ィ
ク
ラ
ウ
ド
自治体システム強靭化
住基系LAN
文書管理
施設予約
・・・
LG-WAN系LAN
インターネット系
Web
メール
議会録
提供・・
隔
離
・
限
定
接
続
LGWAN
FW/文書交換
システム等
住基ネット
FW／GWサーバ
FW
住基CS
LGWAN
ASPへ
イ
ン
タ
ー
ネ
ッ
ト
ファイアウォール
SOC監視
住民の
マイナンバー 職員の
マイナンバー
ここを切断！

21. 現場は大混乱
 システム強靭化策は「絶対」か？
 系統分離はどこまで徹底できるのか？
 各職員が最大3つの端末を使うのか？
画面転送などの技術を用いて共用は可？不可？
 ファイルの「無害化」とは何か？
 これで現場は回るのか？？

22. 足りないのは何？
 何のためにこれをやるのか
 何を守ろうとしてるのか
 安全と引き替えに失うものを
どのように補填するのか
これらを説明する
材料が足りない！

23. まずは脅威を「見える化」しよう
 脅威を見せてくれるサイトはいっぱい
 NICTのNicterWeb
 KasperskyのCyberthreat Real-time Map
 FireEyeのCyber Threat Map
 CheckPointのThreat Cloud
 F-Secure
 などなど

24. まずは脅威を「見える化」しよう
 脅威を見せてくれるサイトはいっぱい
 NICTのNicterWeb
 KasperskyのCyberthreat Real-time Map
 FireEyeのCyber Threat Map
 CheckPointのThreat Cloud
 F-Secure
 などなど

25. 「遠い世界の話」にしないために
 「遠隔操作」体験
 遠隔操作が可能だということがわかれば十分
 いわゆるリモートデスクトップなど
 マウスやキー入力の「自動化」
 標的型メール攻撃訓練

27. 怖がらせるだけでは進まない
 監視を強化して「事故前提」にするのはよい
 だが、これで「業務が効率化」しているのか
何のために情報システムを入れるのか？
本末転倒になってないことを示さないと！
コスト低減
ベネフィット
リスク＝Σ（L×P）
L:損失 P：発生確率

28. 業務の
セキュリティ・バイ・デザインを
 情報システム全体を
最初からセキュリティ対策しておくのは
もちろんのこととして・・・
 「仕事のやり方」を変える
勇気と努力が足りないのでは？
 いつまで情報機器を清書機にするのか
いつまで「印鑑文化」を維持するのか

29. ITを本当に活用するなら
業務からちゃんと見直そう
 本質は業務における
「データフロー」の最適化と処理の自動化
 それが整理されないので情報管理ができず
リスクポイントばかりが増えてゆく
 まずは業務をITに合わせ見直し効率化
それがリスクの所在を顕在化させ
効率のよい守りに繋がってゆく！

30. Bad Practice
 役所でよく見かける
「意見募集」
 Excel雛形をDLして
必要事項を記入して
特定のメールアドレスに
送付
 …格好の攻撃ターゲット？

31. 「人」が「ファイル」を開く機会を
極力なくす
 意見募集はWeb Formに
 もちろん脆弱性対策は重要だが
ちゃんと作ればそれほど難しくない
 集計は自動化させる
 集計結果もWeb表示に
 安全かつ
作業も効率化

32. 標的はシステムではなく「人」
人にデータを食わせるWebとメール
 現状狙われているのは「人」が「PC」で
「ファイル」を「手で」「直接」開く機会
本当にそのデータを人手で扱わせるのは
必要なのかもう一度問い直そう
メールの添付の
xlsxを開き
コピペして
一部手で直して
集計して…
データ選択
クリック
おわり！

33. そのために期待されるのは？
セキュアな内製が
できるIT部隊が必要

34. 日本は今や…
 IT後進国！
 ITリテラシの
平均的な低さ
 IT技術者の
社会的地位の
低さ
 結果として
労働生産性が
大変低い！

35. US News: The 100 Best Jobs 2016
1位 歯科矯正医
2位 歯科医
3位 情報システム
アナリスト
13位 ソフト開発者
20位 Web開発者
上位はほぼ
医療かIT関連職
この差を埋めたい！！

36. 今後はこれを比較しよう
業務改善
システム化
コスト
セキュリティ
対策コスト
セキュリティのために仕事をするのではなく
仕事のためにITを使い、そこにセキュリティを見いだす 36

37. おわりに
 業務効率化とセキュリティは
決して相反しない！
 一番なおざりなのは業務の効率的IT化
 効率的システム提供なしには
現場の理解は得られない
 そして抜け道を見つけられ…事故が…
 まずは強靭な業務システムの構築
次にインシデントの早期発見と拡大防止
そしてそれらを両立する業務改革のための
システム化を進めるべし