60秒で6000万ドルを盗む、
サイバー犯罪に向き合うには？
ヒューレット・パッカード・カンパニー
HPセキュリティチーフテクノロジーオフィサー (CTO)
アンドレイ・カバレッツ
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
顧客事例 : ゼネラル・エレクトリック
クラウドを用いたセキュリティソリューション
顧客の要件
HP のソリューション
現在は？
GEは従業員とパートナーに対し、
グローバルなインターネットア
クセスを提供を望んでいた
• いつでも、どこでも、モバイ
ルを含むどんなデバイスから
もアクセスできるように
• オフィスからのアクセスと同
じ管理で
• 標的型の脅威やSNSからユーザ
とネットワークを守る
• HPのパブリッククラウド上での、
すべてをコントロールした新しい
世代のインターネットプロキシ
サービスへの移行
• GEのネットワーク境界を管理する
（標的型攻撃から守るためにセ
キュリティデバイスとネットワー
クの入り口を管理する）
• 32万人の従業員とパートナーのため
に安全なインターネットアクセスを
実現、いつでも、どこでも、どんな
デバイスからでも
• レジリエントで安全なネットワーク
セキュリティ管理
• WebやDMZの問題をひとつの窓口で
受け付ける
サービスとテクノロジー
• マネージドセキュリティサービス
• セキュリティコンサルティングサービス
• プロジェクトマネジメント
「HPは我々と一緒に、32万人の従業
員とパートナーのために、安全でか
つ柔軟な（いつでも、どこでも、ど
んなデバイスからでも）インターネ
ットアクセスを実現してくれた。グ
ローバルで継続したアクセスを提供
する企業の先駆けになれたことを誇
りに思っている」
Jason Georgi, IT Leader – Networking Services, GE
2
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HPの脆弱性リサーチ
•
•
•
最先端の犯罪調査 – 新しい脆弱性は横ばい
モバイルアプリの深刻な問題
SCADA システムの脆弱性は増加
•
Top 5 – IE, QT, Java, HP, Web Access
ZDIチーム
単一のプロダクトとして、
脆弱性が最も多く報告され
たのは Internet Explorer
ソフトウェアセキュリティ
アプリ、システム実装、ユーザの情報
が脆弱性によって漏洩
クロスフレームスクリプティング
ネット上のサイトに蔓延、現在でもテスト
データ等に残っているようだ
未熟なエラーハンドリングのために、
システム情報が漏洩しがちに
モバイルアプリセキュリティ
安全でないクライアントサイドの操作
によるセキュリティの問題
安全でないサーバーサイドアプリのコー
ドやコードの質による問題
必要のないパーミッションの付与
3
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Java も話題に上るようになったが、マイクロソフ
トが脆弱性調査の対象として依然として第一位
SCADAの脆弱性は増え続けている
・製造過程
・発電
・鉱業
・浄水
2010年のスタックスネット
以来、これらの脆弱性の調
査は飛躍的に増えている
HP セキュリティ：グローバルで支えます
Texas
UK
Bulgaria
Virginia
8
セキュリティ
オペレーション
センター
India
Malaysia
Costa Rica
Australia
Global SOC
月次セキュリティ
イベント数
管理セキュリティ
デバイス数
ユーザーアカウント数
HP MSS 顧客数
Regional SOC
HP セキュリティ製品の
顧客数
HP セキュリティ
プロフェッショナル数
230億 50万以上約4700万 1000以上 10000以上 5000以上
約
4
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HPのセキュリティリサーチ
斬新な調査 research
Innovative
実践的なセキュリティ
インテリジェンス
・HP製品と自動的に連携
・HPが半分以上の脆弱性を見つけている
・過去３年間で、１位のセキュリティ脆弱性
調査
- Frost & Sullivan
セキュリティのリーダー
5
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HPのCISO 調査
情報のリスクは組織の俊敏さ
を損なうとエグゼクティブの
43% は信じている。しかし、
情報に金銭的な価値を見出し
ているのは、その内の半数だ
けである。
情報のリスクの上位は何か?
従業員の不注意
サイバー犯罪
内部リスクは
極めて高い
データの漏洩, 従業
員の不注意, スタッ
フの辞職など、リス
クの56%を占める
データの漏洩
6
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
シニア・エグゼクティブの
23% しか、データ漏洩への
対応に満足を感じていない。
ビジネスリーダーとしての
CISOの進化
新しいスタイルのITを実現するためのHPソリューション
エンドツーエンドでのセキュリティ
Advise
プリンタとパーソナルシステム
プリンタ
PC
Big Data
7
タブレット
Services
Transform
Manage
Finance
インフラストラクチャ
サーバ
Cloud
ストレージネットワーク
Mobility
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
ソフトウエア
IT
管理
分析
セキュリティ
Security
Big Data
Cloud
Mobility
悪意のある攻撃者は巧妙になっていく
サイバー犯罪は増加し、ビジネスが直面するリスク項目の
12位から3位になった1
$1040億
$1590万
3
2
1年間のブラックマーケット規模
ITセキュリティ職の
65%は9週間あるいは
それ以上3 埋まらない
5000人を超える従業員を抱え
る組織が1年間でセキュリティ
コンプライアンスに使う平均
的なコスト
Security
HPのセキュリティグループは、攻撃者の視点
で考えられるように支援します
攻撃に備えられるように、エキスパートを雇用し、ソリュー
ションを開発し、多数の知識を活用する
5,000 人の経験豊かな
セキュリティの専門家が
10,000 の顧客をサポート
毎年310万のウイルスを
検知し駆除している
100万以上のセキュリ
ティデバイスを管理、
監視している
50%
の従業員は自前のデバ
イスを用いて重要な
ビジネスにアプリに
アクセスしている4
世界に 8つの
セキュリティオペレー
ションセンター
Sources:
© Copyright 2014 Hewlett-Packard
Development Company, L.P. The information contained herein is subject to change without notice.
8
1 Lloyd’s
2013 Risk index • 2 Ponemon Institute: Enterprise Security Benchmark Survey, November 2012
3 McLean’s Magazine, August 19, 2013 • 4 Ponemon Institute: Dangerous Insider Study, November 2012
世界10大銀行のうち9行を守り、
毎日9兆のトランザクションを
監視している
Big Data
敵に立ち向う
セキュリティ
テクノロジー
Cloud
Security
Mobility
リスクを
管理する
可能性を広げる
セキュリティ
コンサルティング
マネージドセキュリ
ティサービス
HP ArcSight • HP TippingPoint • HP Fortify • DV Labs • HP Threat Central
セキュリティインテリジェンス
9
インシデントレスポンス
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
セキュリティオペレーション
エンタープライズセキュリティサービス
リスクを管理し、セキュリティインテリジェンスを提供する
セキュリティテクノロジー
(敵に立ち向かう)
実績のある HPのセキュリティ製品、
グローバルなセキュリティベンダとの
パートナーシップ
セキュリティコンサルティング
マネージドセキュリティサービス
(リスクを管理する)
(可能性を広げる)
顧客の理解を助け、ビジネスとセキュリ
ティのリスクを抑制する専門家
HP のセキュリティテクノロジー
• ArcSight
• Tippingpoint
• Fortify
• HP Threat Central
セキュリティ対策を強化し、プロアク
ティブにインシデントを管理するサービ
スで可能性を広げる
セキュリティ
管理
セキュリティ
監視
パートナーのテクノロジー
Full 3rd party coverage including:
• F5
• McAfee
• Websense
• Symantec
• FireEye
• Checkpoint
• BlueCoat
• Computer Associates
10
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
セキュリティ
インシデントレスポンス
脅威に対する
インテリジェンス
HPはセキュリティ向上を提案し続けます
9 主要
銀行
out
of
10
10 out of 10
テレコム
すべての主要な支局
米国国防総省
9 out of 10
10大ソフトウエア企業
5000+
HP セキュリティのプロフェッショナル
4700万
監視しているユーザ数
230億
1ヶ月のセキュリティイベント
11
1000+
HPセキュリティのMSS顧客提供
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
We’re starting to figure you out
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.