講演資料ダウンロード - Hisco(ハイテクノロジー・ソフトウェア開発協同組合)

我が国の情報セキュリティ最新事情
2016年10月12日
独立行政法人 情報処理推進機構
セキュリティセンター
センター長 江口 純一
Copyright © 2016 独立行政法人情報処理推進機構
1
目次
1. IPA・セキュリティセンターのご紹介
2. 情報セキュリティの現状と課題
2.1 情報セキュリティの変遷
2.2 標的型サイバー攻撃の脅威と対策
2.3 組織としての対応の重要性
3. 2020年に備える
3.1 ロンドンオリンピック大会の教訓
3.2 脅威の広がりに備える
4. まとめ
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
2
3
IPA概要紹介
 独立行政法人 情報処理推進機構
 IPA: Information-technology Promotion Agency, Japan
• 1970年に「情報処理の促進に関する法律」に基づき設立
 3つの責務: “頼れるIT社会”の実現を目指して
情報
セキュリティ
コンピューター
プログラムの設計
サイバー攻撃に
関する情報収集、
対処方法の提示や支援
安全・安心なコン
ピュータープログ
ラムの設計
ITに関する高い知識を
有する人材の育成
IT人材育成
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
3
IPA/ISEC(セキュリティセンター)の全体像
1.
2.
3.
4.
情報セキュリティに関する情報収集・分析、攻撃対応支援
各種情報・対策ツール等の提供
普及・啓発
基盤的な情報セキュリティ対策
情報の収集・分析、攻撃対応支援
• 脆弱性
• 標的型攻撃対応支援 等
• コンピュータウイルス
• 不正アクセス
組織向けに提供される情報等
•
•
•
•
標的型攻撃対策、不正アクセス対策
内部不正対策
脆弱性対策
セキュリティマネジメント 等
個人向けに提供される情報等
普及
啓発
• 相談窓口による相談受付
• マルウェア、ウイルスへの注意喚起
• ワンクリック(詐欺)、SNSの注意点 等
基盤的な情報セキュリティ対策
• 評価・認証(Common Criteria等)
• 暗号 等
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
4
目次
1. IPA・セキュリティセンターのご紹介
2. 情報セキュリティの現状と課題
2.1 情報セキュリティの変遷
2.2 標的型サイバー攻撃の脅威と対策
2.3 組織としての対応の重要性
3. 2020年に備える
3.1 ロンドンオリンピック大会の教訓
3.2 脅威の広がりに備える
4. まとめ
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
5
2.1 情報セキュリティの変遷
~情報セキュリティ10大脅威 2016~
• 10大脅威とは? https://www.ipa.go.jp/security/vuln/10threats2016.html
– 2006年よりIPAが毎年発行している資料
– 「10大脅威選考会」約100名の投票により、
情報システムを取巻く脅威を順位付けして解説
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
6
2.1 情報セキュリティの変遷
~10大脅威の順位の変遷~
10大脅威 2012
10大脅威 2013
10大脅威 2014
10大脅威 2015
10大脅威 2016
1位
機密情報が盗まれる!?新しい クライアントソフトの脆弱性を突い 標的型メールを用いた組織への
タイプの攻撃
た攻撃
スパイ・諜報活動
インターネットバンキングやクレ
ジットカード情報の不正利用
インターネットバンキングやクレ
ジットカード情報の不正利用
2位
予測不能の災害発生!引き起こ
標的型諜報攻撃の脅威
された業務停止
内部不正による情報漏えい
標的型攻撃による情報流出
3位
特定できぬ、共通思想集団による スマートデバイスを狙った悪意あ
ウェブサイトの改ざん
攻撃
るアプリの横行
標的型攻撃による諜報活動
ランサムウェアを使った詐欺・恐
喝
4位
今もどこかで・・・更新忘れのクラ
ウイルスを使った遠隔操作
イアントソフトを狙った攻撃
ウェブサービスへの不正ログイン
ウェブサービスからの個人情報
の窃取
5位
止らない!ウェブサイトを狙った
攻撃
金銭窃取を目的としたウイルスの オンラインバンキングからの不正 ウェブサービスからの顧客情報
横行
送金
の窃取
6位
続々発覚、スマートフォンやタブ
レットを狙った攻撃
予期せぬ業務停止
7位
不正ログイン・不正利用
ウェブサービスからの利用者情
報の漏えい
ウェブサービスへの不正ログイン
悪意あるスマートフォンアプリ
ハッカー集団によるサイバーテロ ウェブサイトの改ざん
大丈夫!?電子証明書に思わぬ
ウェブサイトを狙った攻撃
落とし穴
SNSへの不適切な情報公開
ウェブサイトの改ざん
8位
身近に潜む魔の手・・・あなたの
職場は大丈夫?
紛失や設定不備による情報漏え インターネット基盤技術を悪用し
い
た攻撃
内部不正による情報漏えいや
サービス停止
9位
危ない!アカウントの使いまわし
内部犯行
が被害を拡大!
ウイルスを使った詐欺・恐喝
脆弱性公表に伴う攻撃
巧妙・悪質化するワンクリック請
求
使用者情報の不適切な取扱いに
フィッシング詐欺
よる信用失墜
サービス妨害
悪意のあるスマートフォンアプリ
対策情報の公開に伴い公知とな
る脆弱性の悪用増加
10位
凡例:
脆弱性
パスワード流出の脅威
ウェブサイト
不正ログイン
パスワード
標的型攻撃
インターネット
バンキング
情報漏えい
内部不正
審査をすり抜け公式マーケットに
紛れ込んだスマートフォンアプリ
スマートフォン
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
7
2.1 情報セキュリティの変遷
~代表的な脅威の手口~
 標的型攻撃
・「ばらまき型」「やり取り型」
→メールからウイルス感染
・「水飲み場型」
→ウェブからウイルス感染
・標的組織の関連会社を踏み台にする
 DDoS攻撃
・ボットネットからの攻撃
→DNSリフレクター攻撃
→NTPリフレクター攻撃
→DNS水責め攻撃
2016年1月:日産自動車、成田空港、厚労省、金融庁などのWebサイトで閲覧障害
2016年2月:国税庁のWebサイトで閲覧障害
2016年3月:三重大学のWebサイトで閲覧障害
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
8
2.1 情報セキュリティの変遷(参考資料)
中小企業のサイバー攻撃の実態
•
ITや情報セキュリティの社内担当者の7人に1人はサイバー攻撃を受けていると回答
– サイバー攻撃に関する調査で、ITや情報セキュリティの社内担当者の2.3%が「サイバー攻撃の被害にあ
った」、12.6%が「サイバー攻撃を受けたが、被害には至らなかった」と回答となり、サイバー攻撃を受けた
との回答は全体の14.9%となった。
Q38貴社では、2014年度1年間(2014年4月~2015年3月)に、自社のサーバやパソコンがサイバー攻撃(不正アクセス、DoS攻撃、標的型攻撃な
ど)にあったことがありましたか。一度でもあればお答えください。
本設問では不正アクセスとは、インターネットを介して外部から、サーバやクライアント(パソコン)を許可なく操作し、不正に情報を読み取る、情報を書き換える、削除するなど
の行為すべてを含むものとします。最近の事例としては、Webサイトの改ざん、機密情報の漏えいなどが報告されています。標的型攻撃とは、主に電子メールを用いて特定の組織や
個人を狙う手法です。典型的な例として、メール受信者の仕事に関係しそうな偽の話題等を含む本文や件名で騙し、添付ファイル(ウイルス等)のクリックを促す手口が知られてい
ます。広告やフィッシング詐欺などを狙い、受信者の意図に反して無差別かつ大量に送信される「スパムメール」とは区別します。
サイバー攻撃で被害にあった
サイバー攻撃を受けたが、被害には至らなかった
サイバー攻撃をまったく受けなかった
わからない
20%
0%
40%
60%
80%
100%
n=
回答者:
役割:経営層,ITや情報セキュリ
ティの社内担当者
回答条件:条件なし
企
業
規
模
別
全体
(1,995)
小規模企業
(643)
1.8
10.0
74.4
0.6 6.7
100人以下
(899)
2.0
101人以上
(453)
3.1
13.7
80.2
11.0
12.4
73.9
13.1
中小企業
12.8
67.3
20%
0%
40%
16.8
60%
80%
100%
n=
全体
役
割
別
(1,995) 1.8
10.0
経営層
(838)
1.1 6.4
ITや情報セキュリティの
社内担当者
(1,157)
2.3
74.4
77.7
12.6
(出典)IPA「2015年度中小企業における情報セキュリティ対策に関する実態調査」
13.7
14.8
72.1
13.0
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
9
2.1 情報セキュリティの変遷
~代表的な脅威の手口~
 ウェブ改ざん
・ソフトウェアやウェブアプリケーションの
脆弱性を悪用
・リモート管理用のサービスから侵入
・設定不備をつき
悪意のあるソフトをアップロード
2016年3月:京都動物愛護センターで改ざん被害
2016年5月:真鶴町のWebサイトで改ざん被害
2016年6月:JAバンク岩手のWebサイトで改ざん被害
 ランサムウェア
・メールの添付ファイルから感染
・メール文のリンクから感染
・ウェブから感染
2016年1月:「ランサムウェア感染被害に備えて定期的なバックアップを」(IPA)
2016年4月:【注意喚起】ランサムウェア感染を狙った攻撃に注意(IPA)
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
10
2.1 情報セキュリティの変遷
~内部不正~
 発生要因 ・職場環境や処遇
・アクセス権限の不適切な付与
・システム操作記録と監視の未実施
 内部不正が起きやすい状況・対応の難しさ
「組織における内部不正防止ガイドライン」
:2015年3月に第3版に更新(IPA)
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
11
2.1 情報セキュリティの変遷(参考資料)
中小企業の内部不正の実態
•
ITや情報セキュリティの社内担当者の16人に1人は内部または委託者の不正があったと回答
–
内部または委託者の不正に関する調査で、ITや情報セキュリティの社内担当者の2.7%が「内部者の不正に
よる被害があった」、3.5%が「委託者の不正による被害があった」と回答となり、内部または委託者による不
正による被害の回答は全体の6.2%であった。
Q39 貴社では、2014年度1年間(2014年4月~2015年3月)に、内部者(委託者を含む)の不正に起因する情報漏えい
やシステムの悪用等の情報セキュリティ上のトラブルがありましたか。一度でもあればお答えください。
内部者の不正による被害があった
委託者の不正による被害があった
内部者(委託者を含む)の不正による被害はなかった
わからない
20%
0%
40%
60%
80%
100%
n=
企
業
規
模
別
全体
(1,995)
小規模企業
(643)
0.3
2.1 2.7
82.4
12.9
1.4
87.2
11.0
100人以下
(899)
2.9
101人以上
(453)
2.9 3.1
3.3
80.2
13.6
79.7
14.3
中小企業
回答者:
役割:経営層,ITや情報セキュリ
ティの社内担当者
回答条件:条件なし
0%
20%
40%
60%
80%
100%
n=
(1,995)
2.1 2.7
82.4
12.9
経営層
(838)
1.2 1.6
84.7
12.5
ITや情報セキュリティの
社内担当者
(1,157)
2.7 3.5
全体
役
割
別
(出典)IPA「2015年度中小企業における情報セキュリティ対策に関する実態調査」
80.6
13.2
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
12
2.2 標的型サイバー攻撃の脅威と対策
年
攻撃観測
代表的な事件
2005 国内政府で標的型メールを観測
・・・
2011
重工業界で情報漏洩、政府機関攻撃
2013 水飲み場型攻撃登場
農水省へのサイバー攻撃
2014 やり取り型攻撃登場
ソニー子会社情報漏洩
2015
年金機構情報漏洩
2016 より一層の巧妙化
JTB顧客情報流出
 標的型サイバー攻撃の脅威は増大の一途
 企業・法人・業界における「対策強化」が必要
IPAでは情報共有活動【J-CSIP】、対策支援(レスキュー)活動【J-CRAT】を
実施中
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
13
2.2 標的型サイバー攻撃の脅威と対策
2.2.1
J-CSIP ~情報共有の重要性~
• サイバー情報共有イニシアティブ
– 官民連携による、サイバー攻撃に関する情報共有の取り
組み
– 公的機関であるIPAを情報ハブ(集約点)として、参加組
織間で情報共有を行い、高度なサイバー攻撃対策に繋
げていく取り組み
• 2011年10月に発足
– 国内重工業でのセキュリティインシデントが発生(9月)
– 標的型サイバー攻撃に対抗するため、各組織での対策
に加え、組織間での情報共有が必要
– 運用ルールや締結するNDAの協議を経て、2012年4月に
本格的な運用を開始
※ J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan
https://www.ipa.go.jp/security/J-CSIP/
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
14
2.2 標的型サイバー攻撃の脅威と対策
2.2.1
J-CSIP ~情報共有の重要性~
• 7つのSIG(Special Interest Group)、72の参加組織
• IPAとの間で秘密保持契約(NDA)を締結、各種関連機関とも連携
連携
セプターカウンシル
JPCERT/CC
重大な事案発生時の
報告・指示
情報提供元の許可
する範囲内で連携
C4TAP
内閣サイバー
セキュリティセンター
等
NDAを締結し、IPAが情報ハブとなり
組織間・SIG間での情報共有を実施
重要インフラ機器
製造業者SIG
電力業界SIG
ガス業界SIG
化学業界SIG
重工・重電など
〔9組織〕
電気事業連合会
+電力会社
〔11組織〕
日本ガス協会
+ガス事業者
〔11組織〕
日本化学工業協会
+化学会社
〔18組織〕
石油業界SIG
資源開発業界SIG
自動車業界SIG
石油連盟
+石油会社
〔8組織〕
石油鉱業連盟
+鉱業会社
〔5組織〕
自動車関連
団体・企業
〔10組織〕
2016年1月~
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
15
2.2 標的型サイバー攻撃の脅威と対策
2.2.1
J-CSIP ~情報共有の重要性~
情報共有の基本的な流れ
【参加組織】
検知した攻撃情
報をIPAへ提供
【IPA】 分析、加
工(匿名化など)
フィードバック、
横断的分析
情報共有
効果・目的(対策)
① 類似攻撃の早期検知と被害の低減
② 事前防御の実施(ブラックリストへの追加等)
③ 複数の攻撃情報を基にした横断的分析
実績(件数)
項目
実際にこれだけ
の攻撃が擦り抜
けて届いている
2012年度
2013年度
2014年度
2015年度
IPAへの情報提供件数
246件
385件
626件
1,092件
参加組織への情報共有実施件数
160件
180件
195件
133件
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
16
2.2 標的型サイバー攻撃の脅威と対策
2.1.1
J-CSIP ~情報共有の有効性~
http://www.ipa.go.jp/files/000046018.pdf
3年間に情報提供された939件の攻撃メールを横断的に分析。
メールの送信元アドレス、ウイルスの特徴などを接点として情報の関
連付けを行い、114件(全体の12%)の攻撃メールが同一の攻撃者に
よる一連の攻撃であったことを解明(2014年度レポート)。
標的をこれだけ
執拗に狙ってくる
多数の攻撃情報の集約と分析により、これまで見えていな
かった新たな知見が得られ、それらを国民へ提供。
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
17
2.2 標的型サイバー攻撃の脅威と対策
2.2.2
J-CRAT ~早期対応の重要性~
http://www.ipa.go.jp/security/J-CRAT/index.html
活動内容: 攻撃を検知できずに「潜伏被害」を受けている組織や、検知した「インシ
デント発生」の状況や深刻度が認識できずにいる組織を支援:
・攻撃の把握 ・被害の分析 ・対策の早期着手
活動の目的: 標的型サイバー攻撃に対する相談対応、事案によりレスキュー活動
を実施することで、以下を達成する:
① 標的型サイバー攻撃被害の拡大防止、被害の低減を図る
② 攻撃の連鎖を解明、遮断する
この時間を如何に短縮できるか
インシデント
タイムライン
定常
状態
対応状況
J-CRAT:
Cyber Rescue and
Advice Team against
targeted attack of Japan
攻撃
発生
認知
潜伏
被害
実態
把握
助言/早期対応支援
・標的型サイバー攻撃特別相談窓口
・サイバーレスキュー隊
インシデント発 インシデント
生
対応
初動
対応
定常
状態
対策
相談対応
支援組織、民間事業者による対応
▲ ①発生攻撃の認知を支援
▲ ②被害状況の把握を支援
▲ ③対策計画への助言・進言
▲ ④自立的対策推進への支援
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
18
2.2 標的型サイバー攻撃の脅威と対策
2.2.2
J-CRAT ~早期対応の体制~
 積極的な情報収集活動と、適切な情報の配布
J-CSIP
JPCERT/CC
情報提供
公的機関
技術連携
サイバーレスキュー隊 (J-CRAT)
情報提供
支援相談
業界団体、
社団・財団
サイバーレスキュー活動
標的型サイバー攻撃
特別相談窓口
支援内容
情報発信
重要産業
関連企業
重要インフラ
事業者
アンチウイルスベンダ
レスキュー支援
公開情報検索
事案、公開情報の
分析・収集
解析
緊急対応
支援
攻撃・被害
の把握
暫定対策
助言
通知
恒久対策
助言
情報提供
J-CRAT
活動実績
300
107
537 160
39
38
11
相談件数
レスキュー件数
現場派遣件数
1
平成26年度
平成27年度
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
19
2.2 標的型サイバー攻撃の脅威と対策
2.2.2
J-CRAT ~標的型サイバー攻撃の連鎖~
標的型攻撃のルート・連鎖
メールの窃取、メールアカウントの乗っ取り、組織詐称など、
標的型攻撃は様々なルートから仕掛けられる:
① 標的組織への直接攻撃や踏み台としての攻撃
②ある組織から傘下の組織への攻撃
③ある組織から上流の組織への攻撃
④ ある組織と関連する組織への攻撃
国
攻撃者
①
③
官公庁
攻撃者
②
公的機関
①
②
②
①
こうした攻撃に対して:
1.各組織の対応力の向上
→ 組織・システム両面での
対策強化
2.業界としての対応力の向上
→ 情報共有
・J-CSIP
3.社会組織全体としての
対応力の向上
→ 攻撃連鎖の解明と遮断
・J-CRAT
業界団体
(社団、財団)
取引先企業/組織
④
の三位一体での対応が重要
重要産業関連企業
(J-CSIPメンバ企業等含む)
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
20
2.2 標的型サイバー攻撃の脅威と対策
2.2.2
J-CRAT~特定業界を執拗に狙う攻撃キャンペーンの分析~
http://www.ipa.go.jp/security/J-CRAT/report/20160629.html
 同一の攻撃者と思われる標的型攻撃を追跡し、2015年11月~2016年3月
までに137件の攻撃メールを収集 (この集合体をキャンペーンと呼ぶ)
 共通点を有する業界団体(8団体)を介して、執拗に攻撃を行っている
 企業等の正規アカウントを乗っ取り、踏み台にして送るケースが殆どである
 本文の類似性の他、ウイルスの添付方法、ウイルスの挙動などが同一である
オペレーション(Op.)の定義
本キャンペーン (2015/11~2016/3)
・標的型攻撃メールの差出人、件名、
本文、添付ファイルのすべてが同一
・メールの送信間隔に1時間以上の
開きが無い
このキャンペーンは、16の
オペレーションに分割でき、
攻撃者の挙動分析を実施。
:オペレーション
オペレーション毎の共通点と相関
 メールの送信元IPアドレスはOp.1からOp.4までと、Op.5からOp.16までで同一
 差出人のメールアドレスや、ウイルスの通信先などはオペレーションごとに都度変更
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
21
2.2 標的型サイバー攻撃の脅威と対策
2.2.2
J-CRAT~特定業界を執拗に狙う攻撃キャンペーンの分析~
<サイバーレスキュー隊(J-CRAT)分析レポート2015 (2016 6/29公開)>
 様々なログから、踏み台アカウントやそれを発信源とした次の攻撃先を把握
 日本の年末年始や、11月末、2月~3月に空白期間が存在している。
 メール着信時刻は、85%が9時から17時台までとなっている。
フリーメール
Op.1
Op.2
Op.3
Op.4
Op.5
Op.6
Op.7
Op.8
Op.9
Op.10
Op.11
Op.12
Op.13
Op.14
Op.15
Op.16
アカウント乗っ取りメール
2015年
11月
12月
1W 2W 3W 4W 1W 2W 3W 4W
1
1
13
最初の攻撃
5
1
34
1
2016年
1月
2月
1W 2W 3W 4W 5W 1W 2W 3W 4W
3月
1W 2W 3W 4W 5W
15
3
約2週間の空白期間
約1週間の空白期間
19
2
22
15
1
1ヶ月以上の空白期間
3
1
 添付ファイル名は平均85.9文字(半角文字で換算)分の長さ で非表示の拡張子は不明
 各オペレーションのメールの送付間隔は、平均1分17秒
 キャンペーンの後半では、深夜の送付やデコイファイルが無いなどの粗も
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
22
2.2 標的型サイバー攻撃の脅威と対策
2.2.2
J-CRAT~特定業界を執拗に狙う攻撃キャンペーンの分析~
<サイバーレスキュー隊(J-CRAT)分析レポート2015 (2016 6/29公開)>
 詐称組織・宛先・送付内容は受信者が違和感を覚えないような巧妙さに
#
Op1
Op2
Op3
Op4
Op5
Op6
Op7
Op8
Op9
Op10
Op11
Op12
Op13
Op14
Op15
Op16
詐称・踏み台組織
宛先
テーマ
業界団体
業界団体
企業(製造業)
企業(製造業)
業界団体
業界団体
業界団体
企業(卸売業)
業界団体
公的機関
不明
企業(製造業)
公的機関
業界団体
業界団体
公的機関
不明
業界団体
業界団体
業界団体
企業(製造業)
企業(製造業)
企業(製造業)
業界団体
業界団体
業界団体、個人・フリーメール
個人・フリーメール
業界団体、個人・フリーメール
業界団体
企業(製造業)
企業(製造業)
企業(製造業)
案内(セミナー)
案内(セミナー)
案内(制度)
申し込み完了(セミナー)
案内(会員)
案内(会員)
注意喚起
申し込み(制度・応募要項等)
案内(セミナー)
資料の改定
不明
申し込み(セミナー)
案内(セミナー)
案内(セミナー)
案内(会員)
案内(セミナー)
メール通数
1
1
13
5
1
34
1
15
3
19
2
22
15
1
3
1
 特定分野の製造業に狙いを絞ってメールが送られている
宛先
業界団体
企業・製造業
企業・卸売業
企業・ソフトウェア業
個人・フリーメール
不明
総計
組織数
メール件数
86
37
2
1
9
2
137
8
27
1
1
7
44
本キャンペーンで悪用された業界団体は主に
製造業に関わるは8団体、一般企業を狙った40通
の内37通は同一業界で、ある特定の製造業を
狙った攻撃であることが分かった。
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
23
2.3 組織としての対応の重要性
2.3.1
情報セキュリティ体制の重要性
• セキュリティインシデント
発生時の緊急体制がない
と、復旧に時間が掛かり
インシデント対応費用が
莫大に。また社会的信用の
喪失、ブランドイメージの
棄損のおそれも。
• CSIRT 等の緊急時体制の
整備が重要
※
CSIRT:サイバー攻撃による情報漏えい
や障害などセキュリティインシデントに対
処する組織
※
< CSIRT整備の効果 >
インシデント対応の事前準備
(対応プロセスの明確化など)
事
前
準
備
社内外の動向把握
(関連情報収集)
インシデント対応体制の構築
インシデント発生
事
後
対
応
インシデント発生
インシデント対応の事前準備
(対応プロセスの明確化など)
インシデント対応開始
社内外の動向把握
(関連情報収集)
インシデント対応終了
インシデント対応体制の構築
インシデント対応開始
短
縮
インシデント対応終了
出典:組織内CSIRTの必要性(一般社団法人JPCERT コーディネーションセンター)
©
2016 独立行政法人情報処理推進機構
Copyright
Copyright©Copyright
©2014
2015独立行政法人情報処理推進機構
独立行政法人情報処理推進機構
24
2.3 組織としての対応の重要性
2.3.1
情報セキュリティ体制の重要性
(参考)
平成27年12月に経済産業省とIPAが策定した
サイバーセキュリティ経営ガイドライン※ でも、
CSIRT等の整備と演習の実施を、「10の重要事項」
の一つとしている。
※サイバーセキュリティ経営ガイドライン
経営者のリーダーシップによってサイバーセキュリティ対策を
推進するため、経営者が認識すべき3原則と、経営者がセキ
ュリティの担当幹部(CISO等)に指示をすべき重要10項目を
まとめたもの
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
25
2.3 組織としての対応の重要性
2.3.1
情報セキュリティ体制の重要性
サイバーセキュリティ経営ガイドライン
1.経営者が認識すべき3原則
(1)経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、
リーダーシップによって対策を進めることが必要
(2)自社は勿論のこと、系列会社やサプライチェーンのビジネスパートナー、
ITシステム管理の委託先を含めたセキュリティ対策が必要
(3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、
対応に係る情報の開示など、関係者との適切なコミュニケーションが必要
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
26
2.3 組織としての対応の重要性
2.3.1
情報セキュリティ体制の重要性
サイバーセキュリティ経営ガイドライン
2.経営者がCISO等に指示をすべき10の重要事項
リーダーシップの
表明と体制の構築
サイバーセキュリティ
リスク管理の枠組み
決定
リスクを踏まえた
攻撃を防ぐための
事前対策
サイバー攻撃を受
けた場合に備えた
準備
(1)サイバーセキュリティリスクの認識、組織全体での対応の策定
(2)サイバーセキュリティリスク管理体制の構築
(3)サイバーセキュリティリスクの把握と実現するセキュリティレベル
を踏まえた目標と計画の策定
(4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
(5)系列企業や、サプライチェーンのビジネスパートナーを含めた
サイバーセキュリティ対策の実施及び状況把握
(6)サイバーセキュリティ対策のための資源(予算、人材等)確保
(7)ITシステム管理の外部委託範囲の特定と当該委託先の
サイバーセキュリティ確保
(8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用
のための環境整備
(9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)
の整備、定期的かつ実践的な演習の実施
(10)被害発覚後の通知先や開示が必要な情報の把握、経営者による
説明のための準備
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
27
2.3 組織としての対応の重要性
2.3.1
情報セキュリティ体制の重要性
• IPAは平成28年5月に、日・米・欧企業のCSIRTの
現状と課題に関して、調査結果を発表
「企業のCISOやCSIRTに関する実態調査2016」
– 調査方法: Webアンケート
– 調査対象: 日米欧の従業員数300人以上の企業
– 回答者:
CISO、情報システム/セキュリティ担当部門の
責任者及び担当者
– 有効回答数:日本588件、米国598件、欧州540件
• 調査結果の一部をご紹介
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
28
2.3 組織としての対応の重要性
2.3.1
•
情報セキュリティ体制の重要性
(1.企業内CSIRTに対する満足度)
日・米・欧でCSIRT等の設置状況に顕著な差はない
<CSIRT等の設置状況>
出典:企業のCISOやCSIRTに関する実態調査2016(IPA)
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
29
2.3 組織としての対応の重要性
2.3.1
•
情報セキュリティ体制の重要性
( 1.企業内CSIRTに対する満足度)
ところが、CSIRTが“期待したレベルを満たしている”と
回答した日本企業の割合は、欧米企業の割合の1/3
<CSIRT等の有効性の全体評価>
出典:企業のCISOやCSIRTに関する実態調査2016(IPA)
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
30
2.3 組織としての対応の重要性
2.3.1
•
情報セキュリティ体制の重要性
( 1.企業内CSIRTに対する満足度)
日本は、CSIRTの有効性を左右する要素として
“能力・スキルのある人員の確保”を重視している
割合が欧米より2割程度多い
<CSIRT等の有効性を左右する要素>
出典:企業のCISOやCSIRTに関する実態調査2016(IPA)
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
31
2.3 組織としての対応の重要性
2.3.1
情報セキュリティ体制の重要性
•
( 1.企業内CSIRTに対する満足度)
情報セキュリティ人材の質的充足度について
欧米では過半数が“十分である”が、日本では1/4。
大幅に不足しているとした割合は、日本は米国の
約3倍、欧州の約5倍
0%
日本(N=536)
20 %
40 %
25.2
米国(N=530)
80 %
53.2
54.3
欧州(N=491)
60 %
15.1
30.4
61.9
十分である
やや不足している
100 %
6.5
5.8
28.7
大幅に不足している
9.4
3.5
5.9
わからない
<情報セキュリティ業務担当者の質的充足度>
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
出典:企業のCISOやCSIRTに関する実態調査2016(IPA)
32
2.3 組織としての対応の重要性
2.3.1
•
情報セキュリティ体制の重要性
( 1.企業内CSIRTへの満足度)
日本の企業は、CSIRTを設置したものの人材の能力・
スキル不足を実感しており、現状に満足していない
(考察)
– 日本のCSIRT等の期待レベルの向上には能力・スキルのあ
る人員の確保が特に重視されており、要求が厳しい。
– 調査回答の自由記述から、スキル向上を阻害している複数
の要因が伺える。
•
•
•
CSIRT要員も人事ローテーションの対象で、専門スキルの維持・向上
が困難
CSIRTは、業務の特性から高い業績評価・人事考課を得にくく、
要員のモチベーション維持が課題
他業務を兼務する場合、とくに平時はCSIRT業務に時間を確保でき
ず、スキル向上に取り組めない など
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
33
2.3 組織としての対応の重要性
2.3.1
情報セキュリティ体制の重要性
• ( 2.企業内CSIRTの演習)
直近の会計年度にサイバー攻撃が発生していない
と回答した日米欧の企業は50%以上
<サイバー攻撃による被害発生状況>
出典:企業のCISOやCSIRTに関する実態調査2016(IPA)
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
34
2.3 組織としての対応の重要性
2.3.1
情報セキュリティ体制の重要性
• ( 2.企業内CSIRTの演習)
設置されているCSIRTで、訓練・演習機能を有して
いるのは全体の3割程度に過ぎない
<CSIRT等が持つ機能>
出典:企業のCISOやCSIRTに関する実態調査2016(IPA)
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
35
2.3 組織としての対応の重要性
2.3.1
情報セキュリティ体制の重要性
• ( 2.企業内CSIRTの演習)
50%超の企業は、最近のサイバー攻撃を受けた
認識がない。また、演習実施の機能が無いCSIRTが
6割以上を占める。
(考察、ほか)
– 新たなサイバー攻撃に備え演習を実施し、インシデント対
応においてCSIRTが機能するか確認し、課題を把握して
おくことが望まれる。
– 企業内部で独自に演習を行うほか、セキュリティ関係団
体が実施する演習や、民間企業が提供する演習サービ
スを利用する方法も考えられる。
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
36
2.3 組織としての対応の重要性
2.3.2 標的型サイバー攻撃に対する組織の備え
~ リテラシーの向上、適切な運用管理、セキュアなシステムの構築~
IPA注意喚起: http://www.ipa.go.jp/security/ciadr/vul/20160623-ta.html
最近の標的型攻撃による情報流出事案の検証:
・何故、短時間で、甚大被害に至ってしまったのか
・昨年の年金機構事案と、要因が似通っている
発生事象
振り返り
主体者
・取引先送信者を確認できず 不審を見過ごし、報
・メール受信者
・メール返信エラー
告ナシ
要因
・リテラシ不足
・報告ルール不徹底
・不審な通信の検知
・通信の遮断見送り(営業へ
の影響を懸念)
・インシデント検知時の
検知から初動対応の ・システム管理部門
運用管理の不備
遅れ
・経営者
・経営判断の遅れ
・大量重要情報の流出
感染端末から、重要
・システム構成の不備
情報へ短期間でアク ・システム管理部門
・重要DB管理の不備
セス
標的型サイバー攻撃による甚大被害を回避、
低減するための 「組織の備え」 が重要である。
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
37
2.3 組織としての対応の重要性
2.3.2 標的型サイバー攻撃に対する組織の備え
~ リテラシーの向上、適切な運用管理、セキュアなシステムの構築~
1.攻撃の上流で早期対処
・受信時のメールの取扱方法の再確認と報告の習慣化 【リテラシ】【運用管理】
(1) メールに対する警戒意識の向上と維持
(2) 標的型攻撃メールへの対応訓練の充実
(3) 受信メールの真正性を保証する仕組みの導入
2. 組織として甚大被害を回避するための対策
・被害を回避、低減するためのシステム上の見直し 【システム】【運用管理】
(1) 大量の重要情報を保有するデータベース(以後、DB)が存在するセグメントの分離
(2) 外部メールのファイルの安全性を確認する環境の整備
(3) ウイルスの感染後の拡散、侵攻を防御、早期検知できるシステム対策(多層防御)
3. 事案発生時のスムーズな対応
・インシデント発生に備えた体制の整備と訓練の実施 【運用管理】
(1) CSIRTの構築 :インシデント発生時の対応体制、手順の整備
(2) 経営者の参画 :サービス停止など、有事の対応に関する社内調整フローの確立
「IPA標的型サイバー攻撃特別相談窓口」の活用を
https://www.ipa.go.jp/security/tokubetsu/index.html
Copyright © 2016 独立行政法人情報処理推進機構
Copyright © 2014 独立行政法人情報処理推進機構
38
2.3 組織としての対応の重要性
2.3.2 標的型サイバー攻撃に対する組織の備え
標的型攻撃メール訓練の目的と活用 ~効果を上げる方法~
訓練の目的
期待する効果
Step1. 社員が攻撃メールの罠にひっかからなくする
Step2. 組織の感染可能性の芽を早期に摘む
Step3. 引っかかった社員を早期に発見し、初動対応をとる
Step4.組織として、被害を低減、最終甚大被害を回避する
Step1 ① メールを怪しい(タイトル、送信者/アドレスetc.)と判断したら開封しない。
Step2 ② スパム(業務外)と判断すれば廃棄、怪しければシステム管理部門に報告する。
③ 開封して、怪しければ(業務や組織を騙っている、心当りのない組織からetc.)、
添付ファイルや記載リンクをクリックせず、システム管理部門に報告する。
システム管理部門は、分析をして、組織内へ注意喚起し、報告を呼びかける。
Step3 ④ 誤って添付ファイルや記載リンクをクリックした際、表示内容が業務外で
あったり、適切な表示がなかったり、動作に違和感を覚えたら、即座に
システム管理部門に報告し、指示を仰ぐ。
⑤ システム管理部門は、当該端末の緊急措置(ネットからの隔離等)、
攻撃メールの着弾を 組織内へ注意喚起、報告の呼びかけと、
同一攻撃メールの着信の有無と処理状況をログ(アーカイブ)等で確認する。
Step4 ⑥ 当該端末のウイルスの駆除、可能であればウイルスの分析で得られた情報
による組織内汚染状況の検査などを実施、さらにその分析で得られた今後の
攻撃を回避するための情報を、ネットワークサーバ等に設定する。
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
39
目次
1. IPA・セキュリティセンターのご紹介
2. 情報セキュリティの現状と課題
2.1 情報セキュリティの変遷
2.2 標的型サイバー攻撃の脅威と対策
2.3 組織としての対応の重要性
3. 2020年に備える
3.1 ロンドンオリンピック大会の教訓
3.2 脅威の広がりに備える
4. まとめ
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
40
3.1 2012ロンドンオリンピックの教訓
2012年ロンドンオリンピックに学ぶ~発生した事案~
ロンドンオリンピックにおける
サイバーセキュリティ最高責任者
オリバー・ホーア氏
 ロンドン大会では23億5,000万件のセ
 ケーブルおよび高価値のコンポーネントの
キュリティ・システム・メッセージが記録
盗難
される(北京大会では120億件のセキュ
リティ 事案が発生したとされる)
 Webサイトのスプーフィング / 電子メール詐
欺(チケット、宿泊施設、商品)
 2億件の悪意のある接続要求をブロッ
ク。
 「PODIUM」の下での逮捕件数200
1つのDDoS攻撃につき、1秒あたり
(そのうち約100件がオンライン犯罪関係)
11,000件の接続要求があった。
 ノートPCの盗難
 大会Webサイト―ピーク時の同時ユー
 浸水―警察取り締まりセンターの避難
ザー数493,000人
 構築時のウイルス検出(Conflicker)
 DOSおよびDDOS(大会Webサイト、政
府系サイト、その他のサイト)
 2つの全国レベルのサイバー対応インシデ
ント―開会式―全国レベル対応(COBR)
※「IPAサイバーセキュリティシンポジウム2014」オリバーホーア氏基調講演より
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
41
3.2 脅威の拡がりに備える
2020オリパラでの脅威の全体像
攻撃者
・DoS攻撃による
システム停止
・マルウェアによる
システム破壊
・交通ハブに対
するDoS攻撃
・金融システムへ
のハッキング
重要インフラ網
攻撃者
・制御システムへの攻撃
・電力配線網の遮断
電気,水道等
重要インフラ
・車車間通信の妨害
・金融情報の改ざん
・ATMの停止(ダウン)
エ
ネ
ル
供ギ
給ー
・報道の改ざん
・通信の遅延・遮断
交通・金融
選手,
来場者
3
交通・金融網
1
攻撃者
2
・標的型攻撃
・フィッシングサイト
・オリパラサイト改ざん
各種情報伝達
オリンピック会場
一般視聴者
・内部不正
・人為的ミス
4
情報・通信システム
オリンピック会場へのサイバー攻撃
・会場の運用管理システムの脆弱性を狙った攻撃による機能停止や混乱誘発
・会場の電気等のインフラシステムへの攻撃による進行妨害
・電光掲示板の情報改ざんによる政治的(反政府的)メッセージの流布
・計測、時計システムの誤動作 ・会場内無線通信の盗聴・妨害
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
42
3.2 脅威の拡がりに備える
3.2.1
想定される脅威と新技術の例
分類
重要
イン
フラ
輸送・
交通・
金融
情報
シス
テム
大会
運営
破壊・停止
騙す・奪う
新技術
発電所・
・マルウェアによる制御機器破壊・停止
浄水場
・DoS攻撃による系統管理システムの停止
等
・内部不正による機密情報漏えい
・制御システムの
堅牢化技術
送電線 ・送電系統制御の破壊、電力供給不安定化
等
・マルウェア注入による大規模停電
・スマートメーター電力使用量等の改ざん
・料金システムの改ざん
・スマートグリッド
・ガイドライン
空港・
道路・
市街
・乗車券情報奪取による個人情報漏えい
・課金情報の改ざんによる不正利用
・地域不正ナビ情報による旅行者の混乱
・AI活用セキュリ
ティ技術
・誘導ロボット
電車・ ・運行制御システム破壊による電車運行障害
自動車 ・脆弱性攻撃による自動運転システム乗っ取り
・イモビカッター(盗難防止機能解除)による
自動車窃盗
・自動運転技術
銀行・
ATM
・攻撃による金融取引システムのダウン
・DoS攻撃、マルウェアによる銀行サービス停止
・スキミングによるカード情報奪取
・なりすましによる金銭取得
・仮想通貨
企業
・マルウェアによる企業システムの停止
・Webサイトや業務システムの改ざんや破壊
・顧客情報の漏えい
・機密漏洩、知財情報の窃取
・ネットワーク利用
高度認証技術
家庭・
国民
・マルウェア感染による個人端末の破壊、ロック
・不正アクセスによる家庭内機器の誤動作
・フィッシングによるクレジット番号奪取
・ウェアラブル機器
・チケットシステム改ざんによるチケット横領 ・IoT機器
通信網
・DoS攻撃による通信路輻輳
・悪意あるフィルタリングによる情報破棄
・Man-in-middle(中間者)攻撃による盗聴
次世代無線通信
大会運営 ・競技システムへのDOS攻撃による競技中断
本部
・会場システム破壊工作によるテロ攻撃
・マルウェアによる選手情報漏洩
・電子錠への査証情報入力による侵入
・(生体)認証
・画像認識技術
メディア ・データベースへ侵入による映像記録の削除
センター ・DoS攻撃による放送停止
・ネットワークカメラのデータ奪取による情報
・高画質・高速画像
漏えい
通信
・テロ組織等の主張が入った映像の混入
・ダイヤ情報改ざん、消去による業務停止
・航空無線妨害による航空便遅延
・予約、発券システムのダウンによる混乱
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
43
3.2 脅威の拡がりに備える
3.2.2
IoTのセキュリティ
http://www.ipa.go.jp/about/press/20160512.html
• 多種多様な「モノ」がネットワークを介してつながる
IoT(モノのインターネット)のセキュリティの課題
–
–
–
–
–
–
ネットの脅威を意識していない、対策の不十分性
コスト観点からセキュリティ対策が意図的に割愛
責任分界の曖昧さ
生命に関わる「モノ」の接続
「モノ」同士の自律的接続
インターネット
「モノ」から収集した情報の
システムやクラウドサービス
上での管理
– 技術的、ビジネス的な
約束事の確立が不可欠
クラウド
サービス提供サーバ
ファイアウォール
システム
・制御システム
・病院内医療ネットワーク
・スマートハウス 等
ゲートウェイ
家庭用ルータ
直接相互通信する
デバイス
・ゲーム機
・Car2X 等
中継
機器
スマートフォン
デバイス
・情報家電
・自動車
・ヘルスケア機器 等
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
44
3.2 脅威の拡がりに備える
3.2.2
IoTのインシデント事例(1)
• 設定不備のWebカメラ/スマートハウス(HEMS)
– 店舗や住宅内に設置されたWebカメラの映像・音声
を第三者が見聞き可能。
– スマートハウスが管理する情報を見られたり、
家庭内機器を遠隔操作される可能性。
• 対策不十分な複合機・ネットワークプリンタ
– 文書や画像、送受信履歴、印刷履歴が丸見え状態。
• 脆弱性の存在する情報家電
– 冷蔵庫扉に搭載された液晶パネル(Gmail Calendar)の
通信時、ログイン情報が窃取される可能性。
→ つながることにより、情報漏えいの根源に
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
45
3.2 脅威の拡がりに備える
3.2.2
IoTのインシデント事例(2)
• 脆弱性の存在する医療情報機器
– 薬剤ライブラリや輸液ポンプの設定等を管理する
サーバソフトの脆弱性を研究者が報告
– 脆弱性を利用して、インターネット経由で、患者に
投与する薬の種類や投薬量を改ざん可能
• 脆弱性の存在する自動車(コネクテッドカー)
– Jeep Cherokeeの脆弱性を攻撃し、研究者が
遠隔操作に成功
– ファームウェアを改竄した車に対して攻撃コードを
送りこむことで、ブレーキ、ステアリング、エアコン
等への干渉が可能。
→ 攻撃された場合、人命にかかわる恐れ
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
46
3.2 脅威の拡がりに備える
3.2.2
「つながる世界の開発指針」
• IoT機器・システムの
開発者が安全安心の
確保のために最低限
検討して欲しい事項を
17の指針として整理
• 2016年3月24日公開
大項目
方
針
指針
指針1 安全安心の基本方針を策定する
つながる世界の安
全安心に企業とし 指針2 安全安心のための体制・人材を見直す
て取り組む
指針3 内部不正やミスに備える
指針4 守るべきものを特定する
分
析
つながる世界のリ 指針5 つながることによるリスクを想定する
スクを認識する
指針6 つながりで波及するリスクを想定する
指針7 物理的なリスクを認識する
指針8 個々でも全体でも守れる設計をする
指針9 つながる相手に迷惑をかけない設計をする
設
計
守るべきものを守 指針10 安全安心を実現する設計の整合性をとる
る設計を考える
指針11 不特定の相手とつなげられても安全安心を確
保できる設計をする
指針12 安全安心を実現する設計の検証・評価を行う
保
守
指針13 自身がどのような状態かを把握し、記録する
市場に出た後も守 機能を設ける
る設計を考える
指針14 時間が経っても安全安心を維持する機能を設
ける
指針15 出荷後もIoTリスクを把握し、情報発信する
運
用
関係者と一緒に守 指針16 出荷後の関係事業者に守ってもらいたいこと
を伝える
る
指針17 つながることによるリスクを一般利用者に
知ってもらう
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
47
3.2 脅威の拡がりに備える
3.2.2 「IoT開発におけるセキュリティ設計の手引き」
• IoTのセキュリティ設計を担当する開発者に
向けて、IoT機器およびその使用環境で
想定される情報セキュリティ上の脅威と対策
を整理し、参考となる情報をまとめた手引き
1.
2.
3.
4.
5.
6.
IoTセキュリティの現状と課題、本書の狙い
IoTの全体像と構成要素の定義・整理
IoTのセキュリティ設計
関連セキュリティガイドの紹介
具体的な脅威分析・対策検討の実施例
IoTセキュリティの根幹を支える暗号技術
• 2016年5月12日公開
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
48
3.2 脅威の拡がりに備える
3.2.2 スマートハウスの脅威分析・対策検討の例
脆弱性対策(OTA4,5)
アンチウィルス
ソフトウェア署名
(OTA6)(OWASP9)
セキュア開発(OTA7)
※2
機微情報
設定データ
クラウドサービス
脅威
各種履歴データ
情報漏えい
DoS攻撃
データ暗号化(OTA2)(OWASP5,8)
データ二次利用禁止(OTA25)
DoS対策(OWASP3)
携帯電話通信事業者網
インターネット
脆弱性対策(OTA5)
ユーザ認証(OTA11,12,13,14)(OWASP2,8)
FW機能(OWASP3)
不正アクセス
脆弱性対策(OTA5)
ユーザ認証
(OTA11,12,13,14)(OWASP2,8)
FW機能(OWASP3)
DoS対策(OWASP3)
DoS攻撃
※1と同じ
盗聴・改ざん
携帯電話
基地局
有線通信
(LAN接続)
有線通信
(LAN接続)
無線通信
(特定小電力)
ホームルータ
電動窓シャッター
ユーザ認証
(OTA11,12,13,14)
(OWASP2,8)
遠隔ロック
カメラ付ドアホン
ホームモニター
ワイヤレス通信機
Wi-Fi通信
有線通信
(LAN接続)
盗聴・改ざん
有線通信
(LAN接続)
HEMS
コントローラ
脆弱性対策(OTA4,5)
アンチウィルス
ソフトウェア署名
(OTA6)(OWASP9)
セキュア開発(OTA7)
※2
HEMS対応
エアコン
※1と同じ
盗聴・改ざん
無線通信
(特定小電力)
無線通信
(特定小電力)
盗聴・改ざん
通信路暗号化
(OTA1,3)(OWASP4,8)
スマートメーター
有線通信
(LAN接続)
盗聴・改ざん
モバイル通信
(LTE等)
計測データ
情報漏えい
ウイルス感染
不正利用
タブレット端末
(スマホ、PC)
不正アクセス
無線通信
(WiSUN)
通信
アダプタ
※1と同じ
ウイルス感染
対策候補
(関連ガイドの対応要件番号)
不正アクセス
サーバセキュリティ(OTA4)
脆弱性対策(OTA5)(OWASP1,6)
ユーザ認証(OTA11,12,13,14)(OWASP1,2,6,8)
FW/IDS/IPS(OWASP3)
ログ分析(OTA15)
凡例
計測データ
通信路暗号化
(OTA1)(OWASP8)
※1
ユーザ認証
(OTA11,12,13,14)
(OWASP2,8)
遠隔ロック
データ暗号化(OTA2)(OWASP5,8)
出荷時状態リセット(OTA24)
セキュア消去(OTA29,30)
耐タンパH/W(OWASP10)
耐タンパS/W(OTA7)
不正利用
ウイルス感染
HEMS対応
温度・湿度センサー
スマートフォン
照明器具
HEMS対応
スイッチ
特定小電力無線
アダプタ
HEMS対応
温度・湿度
センサー
HEMS対応
分電盤
HEMS対応
電気給湯機
脆弱性対策(OTA4,5)
アンチウィルス
ソフトウェア署名
(OTA6)(OWASP9)
セキュア開発(OTA7)
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
49
目次
1. IPA・セキュリティセンターのご紹介
2. 情報セキュリティの現状と課題
2.1 情報セキュリティの変遷
2.2 標的型サイバー攻撃の脅威と対策
2.3 組織としての対応の重要性
3. 2020年に備える
3.1 ロンドンオリンピック大会の教訓
3.2 脅威の広がりに備える
4. まとめ
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
50
〔まとめ〕
社会全体のセキュリティ・リテラシーの向上
●2020年 東京オリンピックを見据えて、皆さんと行って
いきたいこと!
①国民全体の情報セキュリティ意識、リテラシーを高める活動
・IPAはセキュリティ教材、ツール、映像ライブラリーの提供による普及啓発
②組織間の連携を強化し、国全体のセキュリティを高める活動
・政府、省庁、セキュリティ関連組織、セキュリティベンダー、産業界等との連携
③オリンピックを契機に官民が連携し日本を活性化
・官民が連携し、セキュリティ産業を活性化
・経済活性化と国の発展をセキュリティの観点から貢献
脅威はグローバル化している
五輪のように強い連携を!
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
51
新試験はじまりました!
情報セキュリティマネジメント試験
情報セキュリティの基礎知識から管理能力まで、
組織の情報セキュリティ確保に貢献し、脅威から
継続的に組織を守るための基本的スキルを認定する試験
◆受験をお勧めする方◆
・個人情報を扱う全ての方
・業務部門・管理部門で
情報管理を担当する全ての方
初回応募者
約2万3千人!!
◆28年度秋期試験実施時期◆
・実施日
2016年10月16日(日)
・申込受付
2016年7月11日(月)開始
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
52
~情報処理安全確保支援士制度~
最新の知識・技能を備えた高度かつ実践的な情報セキュリティ人材
の国家資格として「情報処理安全確保支援士制度」を創設します。
参照:2016年4月「試験ワーキンググループ中間取りまとめ(概要)」より
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
53
情報セキュリティ白書2016
今そこにある脅威:意識を高め実践的な取り組みを
■2015年度に情報セキュリティの分野で起きた注目
すべき10の出来事を分かりやすく解説
2016年7月15日発売
■国内外における情報セキュリティインシデントの状
況や事例、攻撃の手口や脆弱性の動向、企業や政府
等における情報セキュリティ対策の状況を掲載
■情報セキュリティを支える基盤の動向として、国内
外における情報セキュリティ政策や関連法の整備状
況、情報セキュリティ人材の現状、組織の情報セキ
ュリティマネジメントの状況、国際標準化活動の動
向を掲載
■重要インフラやサイバー・フィジカル・システムに
関する安全・安心な通信手段の動向、自動車・制御
システム・IoT・スマートデバイスの情報セキュリ
ティ等の主要なテーマを解説
◆入手先:Amazon(http://www.amazon.co.jp)
全国官報販売組合(http://www.govbook.or.jp)
IPA ※全国の書店からも購入できます
電子書籍版はAmazon Kindleストア、
発行:IPA
ISBN:978-4-905318-41-5
ソフトカバー / A4判
定価 2,000円(税別)
電子書籍版 定価1,600円(税別)
楽天Kobo(http://books.rakuten.co.jp/e-book/)より発売
Copyright © 2014 独立行政法人情報処理推進機構
54
© 2016 独立行政法人情報処理推進機構
Copyright ©Copyright
2014 独立行政法人情報処理推進機構
55