これからのサイバーセキュリティ対策〜日本電気株式会社

自由民主党
IT戦略特命委員会 御中
これからのサイバーセキュリティ対策
平成27年3月26日
日本電気株式会社
目次
1.サイバー攻撃の現状と取り組むべきテーマ
2.サイバーセキュリティ人材育成
3.セキュリティ技術開発
4.NECからの提言
5.<参考>NECの取り組み
Page 2
© NEC Corporation 2015
1
サイバー攻撃の現状と
取り組むべきテーマ
Page 3
© NEC Corporation 2015
取り組むべき3つのテーマ
サイバー攻撃の現状:攻撃ツールや最新情報が流通する国際的なコミュニティが存在
攻撃技術が高度化
攻撃手口の進化が加速化
攻撃対象・被害が拡大化
高度な技術と
専門人材が必要
攻撃手法に関して組織を超えた
情報共有が必要
あらゆる組織で対策システムと
専門人材が必要
1組織での解決が
困難
取り組むべきテーマ
対策に必要な情報が
不足
対策技術の開発の
遅れ
対応人材が
不足
取り組むべきテーマ
情報共有は(官民、民民)あちこちで
始まった
サイバーセキュリティ先進国へ
Page 4
© NEC Corporation 2015
2
サイバーセキュリティ人材育成
Page 5
© NEC Corporation 2015
日本の課題、企業ITの課題
▌実践的な人材の不足
• 2011年、日本はようやくサイバーセキュリティ元年。米国は9.11の同時多発テロをきっかけに
2001年からサイバー対策を推進。日本は10年の遅れ。
• ICT企業の中にトップレベルの技術者はいない。
• 初級技術者といえど、大学では育成できていない。(即戦力重視の授業がない、指導できない)
▌サイバーをITの延長でしか考えられない人が多い
• IT予算の10%程度がセキュリティ予算。その半分は既存セキュリティシステムの保守、維持費。
残りの予算をサイバーセキュリティに充てているのが現実。
▌誤解、認識不足があまりに多い
• あふれるIT技術者をサイバーセキュリティ技術者に配置転換できることはない。
• セキュリティ製品、システム開発者がセキュリティを熟知していることはない。
Page 6
© NEC Corporation 2015
攻撃される政府システム
▌セキュリティ管理が切実なのは、運用・保守フェーズ
国家が介在する
 国家の機微情報や機能麻痺が攻撃の対象。
攻撃多発!!
 共通システム基盤セキュリティ担当者は府省内の個別システムを掌握していない。
 各府省の個別システムは、職員がインシデントを都度対応。
・システムと運用は分離調達
・マルチベンダー
・オープンシステム
・部署単位に個別システム
・個別システムの対策状況不明
・保守は別ベンダ
・各府省のセキュリティ管理者は2年で交代
・セキュリティポリシー引き継ぎつけず
各府省
セキュリティ
管理者
各部署毎に
個別システム
共通システム基盤
運用・保守
中級
中級
中級
分離調達
設計
テクニ
カルサ
ポート
ベンダが異なる
共通システム基盤保守
(調達ベンダ)
初級
中級
初級
Page 7
© NEC Corporation 2015
上級
中級
セキュリティ
担当者
各部署の個別システム
(職員)
初級
このレベルの人材がいない。
高度な攻撃から政府
システムを守れない
ベンダが異なる
セキュリティ
担当者
上級
中級
国家的ハッカー集団
システム開発・構築
開発・
構築
インターネット
人民解放軍
サイバー部隊
「61398部隊」
等
攻撃される重要インフラシステム
▌セキュリティ管理が切実なのは、運用・保守フェーズ
 大規模インフラシステムほどサイバー攻撃の対象になりやすい
 セキュリティ運用保守は限定的
大規模システム
・マルチベンダー
・古いレガシー
・ソースコードなし
・つぎはぎだらけ
・Win98,XP
インターネット
・未発見脆弱性
・製品間不整合
・一貫性弱体化
開発・構築
上級
テクニカル
サポート
中級
中級
中級
初級
初級
仮説)
ピーク時の人数が約300人
Page 8
上級
中級
© NEC Corporation 2015
セキュリティ
担当者
仮説)
保守要員は約30人、徐々に減少
このレベルの人材がいない。
高度な攻撃からインフラ
システムを守れない
上級
運用・保守
上級
中級
ブラックハッカー集団
システム開発・構築
設計
サイバー
攻撃者
<参考>サイバーセキュリティ人材像(7階層)と想定スキル
OGC(※)で提言
1 トップガン
サイバー攻撃を未然に防ぐ事ができるスキルを有し、サイバー攻
撃に対して的確な「チームの指揮」を執ることができる。
確たる倫理観念を持っている。
2 トップガン補佐
サイバー攻撃を食い止めるスキルを有し、攻撃が内部に到達し
たときには、被害の拡大を防ぎ、問題個所を突き止めて除去で
きる。
3
中間層エリート
(トップガン候補)
サイバーセキュリティの専門知識はあるが、臨機応変にいろいろ
な攻撃を防ぐ事ができるわけではない。
4
中間層
(2−3年以上の実務経験者)
担当業務システムの範囲内で、セキュリティ専門知識と知られた
攻撃への対処スキルを有する。
5
中間層の卵
(実務経験1年未満)
基本的な教育は終え、適性があることも確認後、セキュリティ関
連業務を行う部署へ配属されて間もない担当者。
6 基礎教育修了者
大学、大学院で2年間以上のセキュリティ教育を修めた者。
7 卵
高専、大学教養課程までの人材。体系だったセキュリティの知
識は持っていない。
※OGC (Open Government Consortium) 国の政策をまとめる業界団体の取り組み。
Page 9
© NEC Corporation 2015
2020年をターゲットとした育成シミュレーション
スキルレベル
トップガン
現状での人材数
(想定人数の算定方法)
上位スキルレベルへの
昇格イメージ
現在10人以下
―
(セキュリティベンダーの中でも突出した専門
スキルを有するスーパー人材。各社0人∼2
人)
(トップガンへの研修)
中間層エリート
現在20人
(セキュリティに強いITベンダー10数社に在籍
する人材。各社1∼2人程度存在すると仮
定)
現在300人
(ITベンダーTOP50社、1社当たり6人程度
存在すると仮定)
現在3000人
中間層
(従業員数3000人規模の上場企業トップ
100社において、従業員の1%が中間層のセ
キュリティ運用者と仮定)
(セキュリティ技術者
として採用)
基礎教育修了者
卵(高専、大学)
Page 10
中間層エリートから有望な
人材を毎年10人程度トップ
ガン補佐として選抜
30人
20人
0人
300人
40人
10人
10人
50人
10人
60人
10人
590人
877人
1161人
1441人
10%程度が中間層エリート
に昇格
3000人
3270人
3240人
3213人
3189人
3169人
300人
300人
300人
300人
300人
300人
19,700人
29,400人
39,100人
48,800人
58,500人
(300人採用/年)
中間層の卵
(大学、大学院卒)
トップガン補佐になった人材
は100%トップガンに育成
10人
90%程度が中間層に昇格
(ITベンダーTOP50社の中間層エリートが部 10%は職種変更
下1名を雇用し、OJT指導すると仮定)
(10,000人輩出/年)
中間層の卵に昇格するかは
(理工系学部の上位200学部に在籍する学 企業の採用数に依存。毎年
300人と仮置き
生、1学部50名程度育成と仮定)
10,000人
大学から人材育成していては間に合わないので市場の現役を活用!
ただし、市場の現役数は年を経てもさほど増えない!
© NEC Corporation 2015
2018年のチームが中心
トップガン補佐
2014 2015 2016 2017 2018 2019 2020
シミュレーションでわかった課題 その1
トップガンの獲得シナリオはよく見えない
スキルレベル
トップガン
現状での人材数
(想定人数の算定方法)
上位スキルレベルへの
昇格イメージ
現在10人以下
―
(セキュリティベンダーの中でも突出した専門
スキルを有するスーパー人材。各社0人∼2
人)
トップガン補佐
(トップガンへの研修)
中間層エリート
現在20人
(セキュリティに強いITベンダー10数社に在籍
する人材。各社1∼2人程度存在すると仮
定)
現在300人
(ITベンダーTOP50社、1社当たり6人程度
存在すると仮定)
(従業員数3000人規模の上場企業トップ
100社において、従業員の1%が中間層のセ
キュリティ運用者と仮定)
中間層エリートから有望な
人材を毎年10人程度トップ
ガン補佐として選抜
10人
30人
20人
0人
300人
40人
10人
10人
50人
10人
60人
10人
590人
877人
1161人
1441人
10%程度が中間層エリート
に昇格
3270人
3240人
3213人
3189人
3169人
300人
300人
300人
300人
300人
300人
(300人採用/年)
中間層の卵
(セキュリティ技術者
として採用)
90%程度が中間層に昇格
(ITベンダーTOP50社の中間層エリートが部 10%は職種変更
下1名を雇用し、OJT指導すると仮定)
ここが増えないと問題
3000人
実働者
現在3000人
中間層
トップガン補佐になった人材
は100%トップガンに育成
2014 2015 2016 2017 2018 2019 2020
ICT企業(大手)、セキュリティ専門ベンダーにしかサイバーセキュリティ人材がいない。
(10,000人輩出/年) 中間層の卵に昇格するかは
基礎教育修了者
(理工系学部の上位200学部に在籍する学 企業の採用数に依存。毎年 10,000人
19,700人
29,400人
39,100人
48,800人
58,500人
(大学、大学院卒)・ICT企業(大手)、セキュリティ専門ベンダーでトップガン育成はできない。
300人と仮置き
生、1学部50名程度育成と仮定)
・中間層も現状劇的に増えない。
日本市場に潜在するセキュリティ教育修了者
卵(高専、大学)
Page 11
すそ野を中間層に変換できないと現状は長く変わらない
© NEC Corporation 2015
シミュレーションでわかった課題 その2
トップガンの獲得シナリオはよく見えない
スキルレベル
トップガン
現状での人材数
(想定人数の算定方法)
上位スキルレベルへの
昇格イメージ
現在10人以下
―
2014 2015 2016 2017 2018 2019 2020
10人
(セキュリティベンダーの中でも突出した専門
スキルを有するスーパー人材。各社0人∼2
人)
トップガン補佐
現在20人
トップガン補佐になった人材
は100%トップガンに育成
30人
40人
50人
60人
2020年までに必要なサイバーセキュリティ人材は、大学からの
育成では間に合わない。
(トップガンへの研修)
中間層エリート
(セキュリティに強いITベンダー10数社に在籍
する人材。各社1∼2人程度存在すると仮
定)
現在300人
20人
0人
10人
中間層エリートから有望な
人材を毎年10人程度トップ
ガン補佐として選抜
現在3000人
中間層
(従業員数3000人規模の上場企業トップ
100社において、従業員の1%が中間層のセ
キュリティ運用者と仮定)
10人
877人
1161人
1441人
10%程度が中間層エリート
に昇格
3270人
3240人
3213人
3189人
3169人
(セキュリティ技術者
として採用)
基礎教育修了者
90%程度が中間層に昇格
(ITベンダーTOP50社の中間層エリートが部 10%は職種変更
下1名を雇用し、OJT指導すると仮定)
300人
300人
300人
300人
300人
300人
19,700人
29,400人
39,100人
48,800人
58,500人
(10,000人輩出/年)
中間層の卵に昇格するかは
(理工系学部の上位200学部に在籍する学 企業の採用数に依存。毎年
300人と仮置き
生、1学部50名程度育成と仮定)
10,000人
日本市場に潜在するセキュリティ教育修了者
卵(高専、大学)
Page 12
すそ野を中間層に変換できないと現状は長く変わらない
© NEC Corporation 2015
ここが増えないと問題
3000人
(300人採用/年)
中間層の卵
(大学、大学院卒)
10人
実働者
(ITベンダーTOP50社、1社当たり6人程度
300人
590人
・大学でサイバーセキュリティを教える教員が少ない
存在すると仮定)
・人材を輩出したあと、企業での雇用の受け皿が少ない
10人
サイバーセキュリティ人材の増やせるところ
政府系、独法
他国に劣らない
少数精鋭トップ
人材の獲得が
課題
現状
優先
需要側
現状
目標
重要インフラ
企業(非ICT)
一般上場企業
(非ICT)
運用子会社保有
(非サイバー)
IT部門あり
(非サイバー)
3%(ほぼゼロ)
IT/NW運用者
7%(ほぼゼロ)
IT/NW技術者
中小企業
現状は蚊帳の外(問題)、
サービス化、クラウド化
などにより廉価な対策が
提供されることが課題
攻撃変化に合わせダイナミックに防御ができる
現状 高度サイバー運用者、緊急時対応者の充実が
優先 課題
供給側
ICT企業(大手)
保有セキュリティ人材
市場比率︵
サイバー人材︶
80%(一割程度)
セキュリティ研究者、
IT/NW技術者、IT/NWセ
キュリティ技術者、IT/NW
マネージャ、IT/NW運用
者、保守作業者
Page 13
セキュリティ
専門ベンダー
専門大学
総合大学
7%(半数程度)
IT/NWセキュリティ技術
者、IT/NWマネージャ、
IT/NW運用者
1%(ほぼ全員)
セキュリティ研究者、
IT/NWセキュリティ学習
者
2%(半数以下)
セキュリティ研究者、
IT/NWセキュリティ学習
者
必要な施策: 旧技術者をサイバー技術者へ短期大量転換(社会人教育)、大学(院)卒サイ
バー技術者候補の大幅増加(サイバー基礎教育の拡充)
© NEC Corporation 2015
サイバーセキュリティ人材維持のエコシステム(キャリアパス)
至急整備:
既存:
育成の先導
人材の7階層
未存在、防衛相、
警察庁を想定
日本
(※トップガン育成プログラムが不在)
トップ
ガン
(※トップガン育成プログラムが存在)
重点①
交流
FBI、CIA、NYポリス、軍等
最高峰サイバー研究機関
優遇政策
トップガン
招致
補佐
企業、経産省、
総務省を想定
中間層
エリート
推薦/認定
人材交流
中間層
(従業員数3000人規模の上場企
業トップ100社において、従業員の
1%が中間層のセキュリティ運用者
が存在する企業を想定)
日本サイバーアカデミー
就職
文科省と
官産学の協力を想定
基礎教育
修了者
卵
© NEC Corporation 2015
就職
大学院大学等
(1大学100人が在籍する修士課
程の大学を仮定、セキュリティを専
門に研究する大学院を想定)
就職
サイバー
修士
総合大学(含む大学院)
(1大学4000人が在籍する総合大学を想定、
1講師が20名を実践演習による育成を仮定)
専門家コ
ミュニティ
(カリスマ、ホワ
イトハッカー、
引退組、など)
(1年に10人程度、
研修留学を想定。
奨学金制度の
活用等を想定)
交流
重点②就職
中間層
の卵
セキュリティ専門
ベンダー&部門
(専業ベンダーとセキュリティに
強いICTベンダー30社を想定)
IT企業&IT部門
Page 14
米国・EU等
交流
社会人継
続教育
(企業から講
師派遣、最新
の実践的内容
の共有)
裾野開拓
交換留学生、CTF、遠隔
授業、等の連携を想定
サイバー演習によるセキュリ
ティ人材の効率的育成拡大
重点③
米国・EUの大学
(セキュリティ専門学部併設の大学
を想定)
(産学共同の
取り組み)
重点①
最高峰サイバー研究機関の目指すところ
至急整備:
・国家安全保障に絡む組織下に創設
NISC、NSC等
既存:
最高峰サイバー研究機関
•
•
•
•
•
•
高度サイバー攻撃に対する実践的演習の場
攻撃手法の研究
高度な防御技術と法律の研究
企業で入手できないインテリジェンスの入手
トップガンを抱える場
サイバーセキュリティ技術者のキャリアパスの最終目標
共同研究
人材交流
結果の活用
国内
海外
・日本サイバー犯罪対策センター(JC3)
・制御システムセキュリティセンター(CSSC)
・Telecom-ISAC Japan
・IPA 独立行政法人 情報処理推進機構
・日本シーサート協議会
・日本セキュリティオペレーション事業者協議会
・不正通信防止協議会
・JPCERT/CC
・J-CSIP
・IGCI(The INTERPOL Global
Complex
for Innovation)
・NCFTA(National CyberForensics and Training
Alliance)
Page 15
© NEC Corporation 2015
<補足>
・トップガンの素養として攻撃手法、防御手法の
知識が必要。
・防御と攻撃との技術的境目が曖昧、かつ原法
解釈が困難
重点②
日本サイバーアカデミーの目指すところ
至急整備:
▌社会人継続教育、人材レベルの維持。
既存:
日本サイバーアカデミー
•
•
•
•
•
•
<補足>
ワーキンググループを立ち上げ最新情報を分析
最高峰サイバー研究機関からの作業委託
三者で持ち出せるものを持ち寄り活動する場
全国で活動する
セミナー/シンポジウム等の活動を行う
最先端情報共有のクラス
講師
etc.
知見
etc.
IT企業&IT部門
(従業員数3000人規模の
上場企業トップ100社におい
て、従業員の1%が中間層の
セキュリティ運用者が存在す
る企業を想定)
Page 16
セキュリティ専門ベンダー
&部門
(専業ベンダーとセキュリ
ティに強いICTベンダー30
社を想定
© NEC Corporation 2015
場所
etc.
・セキュリティ専門ベンダの優遇政策が重要な
カギ
・セキュリティ専門ベンダの位置付けをあげる
日本サイバーアカデミー
大学院大学等
(1大学100人が在籍
する修士課程の大学
を仮定、セキュリティを
専門に研究する大学
院を想定)
2020年以降のサイバーセキュリティ都市基盤
<参考>日本サイバーアカデミー創設に向けたNECの取り組み
実践的サイバー防御演習 CYDER
総務省「サイバー攻撃解析・防御モデル実践演習
の実証実験」プロジェクトを2013年度から受託。
NECが演習プログラムを作成・運用。 (写真:2014年10月実施)
大学連携 寄付講座・共同研究
北陸先端科学技術大学院大学など各大学との寄附講座、
インターン、共同研究の取組を推進。サイバーレンジを構
築するため知見の研究、トップガン人材の輩出
SECCON(ハッキングコンテスト)への協賛
学生から参加可能な日本最大のセキュリティコンテスト。
優秀な情報セキュリティー人材を発掘・育成し、日本のセキュリ
ティー技術の底上げを図る目的で開催。
出題ジャンルは、暗号、バイナリ、ネットワーク、Web、プログラ
ミングなど。協賛しサイバーセキュリティ人材の発掘、日本のセ
キュリティレベルの向上への貢献。
Page 17
© NEC Corporation 2015
<参考>日本サイバーアカデミー創設に向けたNECの取り組み
CODE BLUEへの協賛
世界トップクラスのセキュリティ専門家による日本発の情報セ
キュリティ国際会議。欧米の著名な研究者を招へいし、最新の
成果を共有する。日本やアジア各国の優れた研究者を発掘し、
研究成果を世界へと発信。協賛しサイバーセキュリティ人材の
発掘、日本のセキュリティレベルの向上への貢献。
セキュリティ監視専門会社をグループ会社へ
サイバーディフェンス研究所 グループ会社化 (2013年3月)
先進の技術・知見を持つトップ人材を強化
インフォセック株式会社 グループ会社化 (2014年2月)
セキュリティ監視に強いノウハウ、監視業務を強化
インターポールインターとの連携 (2012年12月)
2014年10月サイバー犯罪に関する研究開発・トレーニング・
捜査支援の活動拠点「The INTERPOL Global Complex for
Innovation(IGCI)」をシンガポールに開設。
最先端のサイバーセキュリティ対策を開発し、インターポール加
盟各国へ提供。
Page 18
© NEC Corporation 2015
重点③
教員不足を補うサイバー演習システム
▌サイバー演習によるサイバーセキュリティ人材の効率的かつ実践的育成
① 全国の主要地域に大学設置型サイバー演習システムを構築。各地域に1つの演習システムを構築。
② 教育コンテンツは、実際にインシデントが発生した事例を活用し、インシデントハンドリングの基礎技術を習得させる。また、最近のサ
イバー攻撃事例をベースに、インシデントハンドリングの応用技術を習得させる。また教師による効果測定を実施する。
③ 導入地域の大学の演習システムへは、同一地区の各大学からリモート演習可能。
教師1人+生徒20人程度で演習に参加する事を仮定。演習は1日3コマとし1週間で15コマ。
1チーム20人を1クラスとして、同時に5チームが参加できると仮定。
各地域でトレーニングできる人数は、100人×15コマ(1500人の人材育成が可能)。
1500人を7領域で、約1万人の育成が可能。
③
②
教師1人+生徒20人
教師1人+生徒20人
教師1人+生徒20人
・・・
・・・
・・・
・・・
教師1人+生徒20人
教師1人+生徒20人
教師1人+生徒20人
・・・
・・・
・・・
最近のサイバー攻撃事例から
教育コンテンツ作成・更新。
教師が演習結果の
効果測定を行う。
一地域で1500人の育成が可能
北海道地区
大学
同時に5チーム参加可能。
1週間で15コマなので、
一地域で1500人の育成が可能
サイバー演習
システム基盤
東北地区
大学
A大学
九州地区
大学
中四国地区
大学
関西地区
大学
中部地区
大学
教育コンテンツ
Z大学
①
© NEC Corporation 2015
教師を含めた大学間の
サイバーセキュリティコミュ
ニティサイトの運用による
育成の効率化
VPN接続
Y大学
Page 19
・・・
X大学
関東地区大学
DEFCON参加等
<参考>大学へサイバー演習システムを導入するには
2020年までには、 大学でのサイバーセキュリティ人材育成は間に合わないが、育成
し始めないと保守運用者が増えないという大変な現実が待っている。効果的な実践
的技術習得の場が必要。
▌目的設定
 大学生、大学院生まで対象とし、資質教育を含むサイバーセキュリティ教育を導入して、
サイバーセキュリティ人材の裾野(数+レベルアップ)を確実に広げられること
 日々進化するサイバーセキュリティ情報を教育、演習内容に反映できること
 実知識が身に付き、実際に近い模擬環境で演習が行え、実践対応力が身につくこと
 基礎演習は講師のレベルにかかわらず、同じ内容・クオリティの授業をどこでも受講でき
る環境を実現する。
▌概要
 文科省および企業がサイバーセキュリティ人材の育成に注力している主要大学と連携し、
サイバー演習システムをテスト導入する。
▌教育内容
 1∼2年次は基礎知識の習得を目的とする(必須科目化) →大学のシラバスを活用
 3年次以降はAdvancedな内容(実践的な演習) →実践的な演習メニューを活用
Page 20
© NEC Corporation 2015
<参考>カリキュラム作成の考え方
実機を使用したサイバー演習(実践的演習)
前期
1
トップ
ガン
トップガン
補佐
中間層
エリート
中間層
2
後期
3
6
セキュリティコンテスト参加
M
1
フォレ
ンジッ
ク演
習初
級
フォレ
ンジッ
ク演
習中
級
フォレ
ンジッ
ク演
習上
級
CTF(A/D)演習
シナリオ開発
開発
した演
習の
実施
グローバルに認知される認定証ならば、
留学、研修、出向と、その先が広がる
4
年
ウェブ
演習
上級
ネット
ワーク
演習
上級
バイナ
リ演習
上級
CTF
(A/D)
演習
1
CTF
(A/D)
演習
2
CTF
(A/D)
演習
3
基礎知識・技術の保有を証明する認定
(ISC2はカリキュラムへの適用を検討)
3
年
ウェブ
演習
初級
ネット
ワーク
演習
初級
バイナ
リ演習
初級
ウェブ
演習
中級
ネット
ワーク
演習
中級
バイナ
リ演習
中級
実践力を証明する認定(修了証)発行
(演習システムベンダーはすでに実行)
育成の先導は
文科省・大学
卵
Page 21
5
M
2
中間層の卵
基礎教育修了者
4
(2単位/半期の履修を想定。
90分コマの授業を15回受講を仮定。)
前期:4月∼7月(28週)
後期:9月∼12月(28週)
© NEC Corporation 2015
集合教育(一般講義)
前期
1
2
後期
3
2
年
サイバーセ
キュリティ社
会論(集合
教育)
サイバーセ
キュリティ概
論(集合教
育)
大
学
1
年
ICT社会論(集合教育)
・OS概論
・HW、,SW概論
・システム設計開発概論
・数理・統計学・暗号学
概論
・デジタル、アナログ工学
概論
・電子/電気デバイス概論
4
5
6
エンド
ポイン
トセ
キュリ
ティ技
術
ネット
ワーク
セキュ
リティ
技術
アプリ
ケー
ション
セキュ
リティ
技術
情報セキュリティ概論(集合
教育)
・倫理学、セキュリティ法学
概論
・アクセス制御概論
・運用セキュリティ概論
・通信/NW概論
・物理セキュリティ概論
・脆弱性診断、インシデント
レスポンス概論
3
セキュリティ技術開発
Page 22
© NEC Corporation 2015
遅々として向上しないサイバーセキュリティ対策レベル
▌サイバー攻撃技術が高度化
• 攻撃者は、個人(主にアマチュア)から組織・国家へ(プロ化)
• 組織犯のため、国際的なネットワークにより防御モデルがすぐに研究され、回避する攻
撃手法をすぐに開発される。
▌システム管理者の負担
• 日々発生する攻撃や脆弱性対応に追われる
• 終始、漏えいや改ざん、サービスダウンの恐怖におびえる
• ついに発生したインシデントで絶望する
▌最新のセキュリティ対策が導入されにくい
• 対策製品の開発サイクルが、新種マルウェアに追いつかない。製品対策の限界。
• 費用対効果がわからない
• セキュリティ成熟度モデル
では依然(B)ツールベース、
一部の省庁ではやっと(C)の
統合化検討が始まったばかり。
Page 23
© NEC Corporation 2015
取り組むべき技術開発
▌攻撃の“先読み”と“自動対処”
不足しているサイバーセキュリティ人材に対し、高度化するサイバー攻撃には、
従来の対策スピードでは間に合わない。
修正ファイルの適用等の対策をとるまでの間、リスクが生じる。
これを、《先読み自動対処》 によって、攻撃を受ける前に無力化する。
高度化・
巧妙化
先読み自動対処
サイバー攻撃
(プロアクティブ対策)
従来の対策
新たなマルウェア
新たな脆弱性
セキュリティ対策
(修正ファイル等)
対策のレベルと
サイバー攻撃のギャップ
⇒セキュリティリスク
時間
Page 24
© NEC Corporation 2015
今後のコアになるのは「インテリジェンス」
▌インテリジェンスの収集
インテリジェンスとは、ハッカーコミュニティの動向や攻撃の予兆に関する情報、
最新の攻撃テクニックや攻撃ツールに関する情報、攻撃元に関する情報(ブラッ
クリスト)、未発表の脆弱性に関する情報、攻撃を発見するための判別方法(シ
グネチャ)など
広範囲にて収集
FW
DMZ
バックボーン
A社
・・・
B社
インターナル
インテリジェンス
ボーダー
インテリジェンス
▌インテリジェンスの分析・予測
収集したインテリジェンスを分析することで、攻撃を予測する
Page 25
© NEC Corporation 2015
エクスターナル
インテリジェンス
<補足>グローバルな動きを知る
米Norse社と提携、サイバー攻撃を予測
NECは米Norse社と提携し、世界のサイバー攻撃情報を秒単位で
収集・分析し、次の攻撃を予測するセキュリティーサービスを開始。
NECの経験・技術にNorse社の技術を組み込み攻撃者の行動パターンを分析、攻撃プロセス
をいち早く検知する情報を提供。(2015年3月16日)
Page 26
© NEC Corporation 2015
“先読み”を目指す 「次世代○SOC」
NECサイバーセキュリティ・ファクトリーのスーパーSOC(SSOC)にあるインテリジェンス
と、お客様環境にあるプライベートSOC(PSOC)のインテリジェンスがリアルタイムで
連携し、脆弱性や攻撃等に対処する。
お客様環境
監視対象
サーバ
ログサーバ
PC
管理者
PSOC
PC
インターネット
PC
NEC
インテリジェンス
サイバーセキュリティ・
ファクトリー
・Webレピュテーション
・ファイルレピュテーション
・IPレピュテーション
・脆弱性情報
・マルウェアの感染手口
・マルウェアの足跡情報
・犯罪者情報
・脆弱性検索スクリプト
SSOC
サイバー
インテリジェンス
etc..
産官学連携
インテリジェンス
ベンダ
FW
IPS
Sand
Box
パートナ企業
アナリスト/オペレータ
Page 27
© NEC Corporation 2015
自社の知見
“自動対処”を目指す“ 「SDNセキュリティ連携」
ネットワーク可視化技術によるネットワーク上のふるまい監視、マルウェア感染や改ざ
ん検知などの機能と、SDN技術によるネットワーク制御の機能を連携させることで、
不正なPC端末やサーバの隔離・遮断、検疫、監視、および通信経路変更によるサー
ビスの切り替えを自動化。
マルウェア検知センサー
SDNコントローラ
連携
アダプター
セキュリティ
イベント検知
検知情報
通知
ネットワーク制御指示
(制御線)
セキュリティイベント毎に制御指示
(遮断、検疫、隔離)
不正侵入
攻撃者
Page 28
© NEC Corporation 2015
SDNスイッチ
ネットワーク制御
(通信制御)
4
NECからの提言
Page 29
© NEC Corporation 2015
提言
提言1
日本最高峰研究機関の創設
・サイバーセキュリティのトップ人材を育成・維持
・サイバー攻撃側の研究
提言2
日本サイバーセキュリティアカデミーの創設
・2020年をターゲットにした社会人継続教育の場
提言3
実践的サイバー演習システムの設置
・効率的実践的人材育成
提言4
サイバーセキュリティ人材育成のエコシステム
・提言1から3のシナジー最大化
提言5
GSOCの強化
・インテリジェンスを使用した“先読み”と“自動対処”の実践
Page 30
© NEC Corporation 2015
5
<参考>NECの取り組み
Page 31
© NEC Corporation 2015
NECサイバーセキュリティ・ファクトリー
2014年6月、サイバー攻撃に
対抗する専門組織として開設
セキュリティ監視
プロのサイバー犯罪集団にプロの
セキュリティ専門家で対抗。
セキュリティ専門会社と連携し、
トップ人材、技術、ナレッジを集結。
・インシデント対応
・フォレンジック
サイバーレンジ
サイバー
インテリジェンス
サイバーセキュリティ・
ファクトリー
要員・ナレッジ
・評価環境
・分析環境
・演習環境
サイバーセキュリティ
技術開発
蓄積/共有化したナレッジ、運用ノウハウ、
監視モデルを、『技術開発』 『人材育成』 へ。
Page 32
© NEC Corporation 2015