標的型攻撃の増加とともに企業での情報漏えい対策・セキュリティ対策の重要性が改めて認識されています。マルウェア感染により年金情報が流出した事件は記憶に新しいですが、多くの企業が対策を進めているにもかかわらず、いまだに情報漏えい事件が頻発しています。
MOTEXでは「日々進化する外部からの攻撃に対し、社内体制をどのように作っていくべきか」という視点でセミナーを開催しました。
<セミナープログラム>
Session1『情シスだけでは難しい!CSIRT構築の第一歩。』
デロイトトーマツリスクサービス株式会社 代表取締役 丸山 満彦氏
Session2『インシデントの現場から ~未知マルウェアとの付き合い方~』
トレンドマイクロ株式会社(TM-SIRT) 今 佑輔氏
Session3『攻撃されることを前提に考えるクライアントセキュリティ対策』
エムオーテックス株式会社 執行役員 池田 淳
Session1
情シスだけでは難しい!CSIRT構築の第一歩
Session1ではデロイトトーマツリスクサービス株式会社の代表取締役社長の丸山氏に登壇いただきました。
特定の企業をターゲットとした標的型攻撃は100%防ぎきることは困難です。標的型攻撃の「防止」ではなく「被害の軽減」の視点でCSIRT(シーサート、Computer Security Incident Response Team の略、自社へのサイバー攻撃を検知し、セキュリティ事故発生時の緊急対応を行う組織)が注目されています。CSIRTによる緊急対応体制の構築により、発見や対応の遅れが原因の被害拡大を防ぐことが重要とご説明いただきました。
また、CSIRTの構築には標準は無く、組織ごとに守るべき資産や受ける攻撃は多種多様なため、その会社に適した組織と権限、機能、業務を与える必要がある点と、既知の脆弱性を対象とした攻撃が大部分であることから、CSIRTで既知の脆弱性への対応方法をあらかじめ策定しておくことで「脆弱性対策」の効率化を図ることができる点を紹介いただきました。
☆CSIRT参考情報(1)
■日本シーサート協議会加盟組織一覧2015[参照元:日本シーサート協議会]
日本シーサート協議会に加盟している国内CSIRTの概要・傾向がわかります。
http://www.nca.gr.jp/imgs/nca_teams_2015.pdf
☆CSIRT参考情報(2)
■CSIRTスターターキット[参照元:日本シーサート協議会]
これからCSRIT構築を検討したい方向けの資料です。
http://www.nca.gr.jp/imgs/CSIRTstarterkit.pdf
Session2
インシデントの現場から~未知マルウェアとの付き合い方~
Session2ではトレンドマイクロ株式会社(TM-SIRT)今氏に登壇いただきました。今氏はセキュリティ事故の現場でインシデントハンドラー(事故発生時の分析及び対処法の検討、関係部署との調整役)として長年、務めてきた経歴を持たれています。
近年の標的型攻撃の93%が外部からの指摘によって発覚する(トレンドマイクロ社調べ)ことからも、大部分の企業が「気づけない攻撃」になっていることを指摘されました。
また、今氏が過去経験したセキュリティ事故の対応でマルウェア感染によってどのような情報が流出したか調査する際に、IT資産管理ソフトなどで取得したログが役に立った点をご説明いただきました。
Session3
攻撃されることを前提に考えるクライアントセキュリティ対策
Session3ではでは弊社執行役員の池田が登壇しました。2015年6月に発生した年金情報の流出事件を事例とし、今後求められるクライアントPCのセキュリティ対策について説明しました。
情報取り扱いルール上では「基幹系システム」だけで保管されるべき年金情報がインターネットにつながる「情報系システム」に保管され、マルウェア感染が発生したため流出してしまいました。つまり、情報取り扱いルールが厳格に守られていたら情報の流出は防げた可能性があります。
情報取り扱いルールの徹底には、クライアントPCの「ログ取得」とログの「定期的なモニタリング」を行い、取り扱い状況の「可視化」を行うことが有効な対策になります。ただし、クライアントPCのログは、違反操作の有無にかかわらずどんな操作でも常に記録されるため、膨大な件数が発生します。この膨大なログを人が定常的にチェックすることは現実的ではなく、多くの企業・組織で課題になっています。
LanScope Catは、発生する膨大なログのうち違反操作のみを自動的に抽出し通知をすることによって効率的なモニタリング体制を実現できる「Webコンソール」機能を紹介しました。
お客様の運用実態は・・・IPA推奨の対策未実施が半数以上
本セミナーに来場いただいたお客様にアンケートで、IPAが推奨する情報漏えい対策のひとつであるネットワークの分離についてお聞きしました。
結果を見るとまだ多くの組織で重要な情報を扱う基幹系システムと情報系システムの分離が行われていない可能性があります。セキュリティ対策の強化のためみなさまの組織でも現状どのようになっているか是非確認いただきたいと思います。
☆CSIRT参考情報(3)
■【注意喚起】ウイルス感染を想定したセキュリティ対策と運用管理を
(参照元:情報処理推進機構(IPA))
http://www.ipa.go.jp/security/ciadr/vul/20150602-secop.html
☆CSIRT参考情報(4)
■自治体情報セキュリティ緊急強化対策について
~自治体情報セキュリティ対策検討チーム 中間報告~(参照元:総務省)
http://www.soumu.go.jp/main_content/000372668.pdf
また、LanScope CatではIT資産管理機能により「更新プログラムの適用状況」や「ウイルス対策ソフトのアップデート状況」を正確に把握できます。
更新プログラムの最新版が適用されていない場合はネットワーク経由でアップデートを配信・適用し、標的型攻撃対策の基本となるアップデートプログラムの最新版の適用の徹底を実現します。
まだ対策ができていない場合、ネットワークの分離だけではなく基幹系システムで取り扱われる「重要な情報の取り扱い状況の可視化」と「ウイルス対策ソフト・更新プログラムの最新版適用の徹底」のためLanScope Catの導入も併せて検討いただければと思います。
当社では今後も多彩なイベント・セミナーの開催を予定しています。ぜひご参加ください。
■LanScope Catの標的型対策機能などの基本を 実機演習を通じて理解できる!
ハンズオンで学ぶ!PC資産管理と情報漏えい対策
<東京>12/15(火)・1/20(水)<大阪>12/16(水)
https://www.lanscope.jp/cms/cat/seminar/handson-seminar2015/
■その他MOTEXのイベント・セミナーはこちら
https://www.lanscope.jp/cms/cat/seminar/
この記事を書いた人
浅妻 久遠
事業推進部 プロダクトマーケのLanScope Cat企画チームに所属。セミナーで皆様とお会いする機会があるかもしれませんのでよろしくお願いいたします。