ニッポンを守りたい サイバー空間の防衛会社 目次 2・まえがき 3・会社概要・株主や主要メンバー 4・挨拶 9・組織構成 10・導入実績 13・パートナー(対談) 19・パートナーからの応援メッセージ 23・受賞歴 25・執筆活動 26・講演及び、教育活動 32・ 日本での活動 43・メディア活動 45・E-light事業戦略 48・今、ニッポンが危ない 50・ サイバー攻撃を受けた企業の悩み 51・ でも一体、具体的にどうやって、守るのか? 61・お問い合わせ・お見積もり・メモ 62・パートナー証明書 63・ あとがき ・アンケート・ まえがき どこに、サイバーセキュリティを任せるべきか? サイバーセキュリティの専門家は、世界中にいます。そんな中で、 「いったい、誰が、本当にニッポンのためになる専門家なのでしょうか?」 「ニッポンにいる専門家は、本当に世界レベルの専門家なのでしょうか?」 本来は、ここから突き詰めて考えてみる必要性があるかもしれません。 なぜなら、サイバー空間は、歴史のある空間とは違い、 ここ20、30年で急激に膨れ上がった、まだまだ真新しい仮想空間であり、 これから本格的にスタートするIOT(モノのインターネット)時代に向けて、 そして、それに伴う、第4次産業革命の幕開けに向けて、 ニッポンのサイバーセキュリティは、出遅れているからです。 ビジネス、利害関係、権力闘争を抜きにして、 「味方につけるべき、本当の専門家は誰なのか?」 を探り当てるために、経歴や肩書きなどの色眼鏡をはずして、 実力主義 = 結果主義で、サイバーセキュリティを考えるべきだと思います。 「実力を測れるすべは、何なのか?」 その答えの最高峰として知られているのが、 「ペネトレーションテスト(攻撃・侵入実験)」です。 サイバー空間においては、攻撃能力(侵入能力)が、 防衛能力(攻撃から保護するセキュリティのアイデア)につながるからです。 弊社、イーライトでは、この「ペネトレーションテスト」において、 世界で最も強い企業を目指して、活動を続けてまいります。 日本アジア地区戦略 統括責任者 三島悟 2 E-lightプロフィール ●会社概要 会社名 "E-Light" Limited liability company (LLC) 代表取締役社長(General Director)ウィクトル・ルサック 所在地 1) Kiev, Il'inskaya 8 St., Ukraine 2) Kiev, Lesya Ukrainka 26 Blvd., Ukraine 3) Kiev, Degtyaryovskaya 21G St., Ukraine 創立2013年3月 資本金 $5,000,000(2014年11月現在) 主な事業内容 ペネトレーションテスト、フォレンジック調査、教育 従業員数 48名 ●株主や主要メンバー 顧問:レオニッドネツディハタ (ウクルテレコム会長、元 専用通信と情報保護の国家機関 会長) 顧問:カテリーナ・チャーラ (MMI持株会社の代表取締役社長) 株主:ロマン・シュップ 株主:矢口辰夫 株主:三島悟(日本アジア地区戦略統括責任者) 代表取締役社長:ウィクトル・ルサック 取締役:アンドレイ・シェフツォフ (112チャンネルのIT部長 CERT‐UAの創設者) 取締役:アレクサンドル・クリワノフスキー(SBU大佐 情報セキュリティ教育) 取締役:ナザル・キリチェンコ(ネットワークセキュリティー部長) 最高技術責任者:アルチョム・ズギブロフ 顧問弁護士:アンドレイ・ドレフシャンニコフ 3 挨拶 顧問:レオニッド・ネツディハタ 専用通信と情報保護の国家機関の会長を経験した者として、そして、通信 システムの事業者として、世界中の最先端情報セキュリティに携わって きた者として、最終的に最も大事なのは、『人』だと思っています。どん なに最先端の防犯システムでも、それは、人の手によって破られるからで す。 ニッポンのサイバー空間を守るために、そして、ニッポンのサイバーセキ ュリティレベルを向上させていくために、自信をもっておすすめできるの が、イーライトの技術力(スタッフの能力)です。 彼らは、世界でも稀な、最高レベルの(善玉)ハッキング能力を生かして ペネトレーションテスト(侵入実験)が行える個人個人としてはもちろん のこと、得意分野ごとに分散して、ある課題に対して、一斉に、複合的に 作業に取り組めるチームとして、その実力は、世界でも二つと例を見ない 民間の存在であると、私は思っています。 彼らは、国家間の不可思議な権益を伴わない、唯一無二の存在であり続け てくれることを祈っています。 <略歴> 1995~1997: 「ドネツクテレコム社」社長 1997~2000: 「ウクルテレコム社」の社長 2001~2003: 「ウクライナのデジタル携帯通信社」の副社長 2003: ウクライナ首相の顧問 2003~2004: 専用通信と情報保護の国家機関の副会長 2004~2008: ウクライナの交通と通信副大臣 2010~2011: 専用通信と情報保護の国家機関の会長 2013~ : ウクルテレコムOJSCの会長 4 顧問:カテリーナ・チャーラ MMI持株会社の代表取締役社長 高級レストランの前で、鍛え上げられた屈強な男達が黒ずくめのスーツ でセキュリティをしていたり、大統領のすぐ横で選び抜かれたSPが周囲 に目を光らせていたり、そんな光景は、やはり昔ながらに、男性がして いる仕事のイメージです。 しかし、このサイバーセキュリティの仕事はどうでしょうか? 大きな体格もたくましい筋肉も格闘術も必要なく、頭脳明晰で発想力が 豊かで手先が器用な女性にこそ、ぴったりの仕事なのではないでしょう か?その上、プライドが高くて負けず嫌いな女性であれば、尚も、ぴっ たりの仕事なのではないでしょうか? パソコン=オタク、の時代は終わりました。PCやスマホを通じて、かっ こよく、世界中を飛び回って仕事をしているIT企業の女性幹部は、今や 世界中に溢れんばかりです。そんな中でも、これから先の将来で必ず人 材不足が予想されている、サイバーセキュリティ・サイバー防衛の分野 こそ、世の女性が、近未来で、大々的に活躍すべき場所だと確信してい ます。 イーライトを通じて、女性のサイバーセキュリティ人材をもっともっと 増やし、サイバー空間の安全は、多くの女性で守っていける世の中にな っていくことを期待しています。 <略歴> 2006~2008: DP IPP Kvazar-Microの法務副所長 2008~2010:Sitronics Information Technologies株式会社の 法務担当副社長 2012~2013: Sitronics Information Technologies株式会社の 代表取締役 2014~: NC IT-project LLCの代表取締役社長 5 株主:ロマン・シュップ(チームリーダー) 世界レベルで、サイバー空間における犯罪が激増しています。 不謹慎かもしれませんが、被害者の立場からすると、サイバー攻撃は災 害と類似している部分があります。予告もなく、ある日突然襲われ、予 想もできないほど大きな被害、二次被害をもたらすからです。 こんな理不尽なサイバー犯罪に対して、手をこまねくしかないのでしょ うか? いえ、違います。我々は、犯罪者よりも高いレベルの技術で、日本やア ジアの企業を守りたいと思っています。 株主:三島悟 日本アジア地区の統括責任者として、世界最高水準のペネトレーション技 術で、日本の情報セキュリティレベルを向上させたいと考えております。 机上の空論を繰り返すのではなく、本物の侵入実験(ペネトレーションテ スト)を何度も繰り返すことによって、それは実現できると信じてやみま せん。 サイバー攻撃によって、ダメージの大きい致命傷を負う前に、そして、社 会的信用が失墜する前に、『実行力』で、ニッポンを守りたいと思ってお ります。 6 株主:矢口辰夫 我々は民間レベルで「日本を守りたい」をコンセプトに、本当の意味で 日本を守るには「何が必要か?」を考えたとき 世界的に起きている サイバーテロの脅威に、日本も漏れなくさらされている現状を知ること となりました。 ご存知のように、日本でもハッカーの攻撃や個人情報漏えい、不正送金 などの事件が連日のようにマスコミ等で報道されています。 今やサイーバーテロの脅威は、他人事ではなく、何時どこで起きても不 思議ではない事件、事故、自然災害のようなものと酷似しています。 自分の所は「大丈夫!」「関係ない!」と思っていること自体が後々取 り返しのつかない大きなダメージを負いかねません。 私どもイーライトは、世界最高峰のテロ対策の技術、知識を持ったベテ ラン技術者達から神経言語プログラミングの専門家までの精鋭がサイバ ーテロと連日連夜寝る間も惜しまず戦っております。 この、技術を活かし、日本で少しでもお役に立てれば嬉しいですし、最 初の一歩は小さな一歩かも知れませんが、大きな意味で「日本を守る」 事に繋がっていくと信じています。 代表取締役社長:ウィクトル・ルサック 『どうしてサイバー犯罪が後を絶たないのか?』と、皆さまからご質問 をいただきます。その答えの一つとして、『世界レベルで、法整備やサ イバー犯罪捜査が後手後手になっているから』という要因が挙げられま す。それは言い換えると、『サイバー犯罪=捕まらない犯罪』だと言え ます。 そんな中で、サイバー犯罪を発生させない高いレベルのセキュリティを 構築すること=サイバー空間における抑止力を高めることが、我々の役 割だと考えております。 7 取締役:アンドレイ・シェフツォフ CERTウクライナの創設者として、テレビチャンネル(オンラインニュー スチャンネル112)のIT責任者として、あらゆる種類のサイバー攻撃を目 の当たりにし、保護方法と調査方法(フォレンジック)を構築してきま した。教育に重きを置き、1619名の候補者の中から、14名のセキュリテ ィエリートを育成することに成功しました。 その経験を活かし、ニッポンでも民間CERTを設立し、サイバー犯罪から の保護や、事件発生後の調査(捜査)を行うとともに、未来のサイバー 空間を守れる優秀な人材育成にも注力したいと思います。 取締役:ナザル・キリチェンコ どんなにお金をかけた強いネットワークシステムでも、人的要因(スタ ッフ)のせいで情報が漏れてしまうケースが後を絶ちません。スタッフ のミスが原因で、知らず知らずのうちに、エリートハッカー(組織犯罪 者)の犯罪行為をしやすくして(手伝って)しまっているわけです。 従って、ソーシャルエンジニアリングやインサイダーも含めて、総合的 に複合的なペネトレーションテストを行い、企業内部の人的脆弱性、そ の企業固有の慢性的な脆弱性を調べ上げ、よりリアルな現実を見定め、 ご報告致します。 8 ビジネスコンサルタント 公共部門の分析専門家 最高技術責任者 システム構造 サイバーセキュリティ 専門家 管理と組織 教育プロセス 情報分析 人事管理 ペンテスト専門家 倫理的なハッキング 分析専門家 サイバー攻撃のモデリング トレーニングセンター アーカイブ処理 教育部門 アレクス・クリワノヴ スキー プロジェクトマネージャ ビジネスコンサルタント 軍事部門の分析専門家 ユリー・サバディール サイバーディフェンス部門 イワン・オストレツォフ ワディム・ゴリシコ アルチョム・ズギブロフ 株主 チームリーダー 創設者 フォレンジック調査 情報リソースの保護 情報システムの開発 112TVチャンネルのIT部長 研究開発 トレーニングセンター 電子アーカイブ 統計および分析システム クラウドサービス IT法律 ISO 9001 E-Light LLC Channel 112 & SpecBite LLC アンドレイ・シェフツォフフ MMI Group (NC IT Project) ロマン・シュップ 組織構成 エカテリーナ・チャーラ 9 代表取締役社長 顧問弁護士 コーポレート法律の 専門家 アンドレイ・ドレフシ ャンニコフ ネットワークセキュリティー テレコムソリューション ビデオ監視ソリューション エンジニアリング ソリューション インフラストラクチャー部門 ナザル・キリチェンコ ウィクトル・ルサック 株主 日本アジア地区戦略統括責任者 三島悟 サーバとネットワーク分野のソ リューション ソフトウェアライセンス Software Asset Management 方法論の実装 Conterra LLC アレクス・ワロヴスキー 導入実績 ウクライナ トルクメニスタン ロシア ポーランド ベラルーシ スロバキア カザフスタン キプロス モルドバ アゼルバイジャン ハンガリー アルメニア オーストリア CIS諸国とEUの民間銀行・国立銀行 CIS諸国の収税所 CIS諸国とEUの水道局 ウクライナの内閣の官房 10 ウクライナの内務省 ウクライナの外務省 ウクライナの専用システムの国立会社 (専用通信と情報保護の国家機関の会社) ウクライナの国家貯蓄銀行 (OSHCADBANK) 国立会社ITプロジェクトLLC ウクライナセキュリティーサー ビス(SBU) タスリンクLLC (TasLink LLC) コンピュータ情報技術LLC 保険株式会社 (AXA) ウェッブフォーマットLLC 112 TVチャンネル ファースト不動産グループ (ウクライナ) プラウェクスバンク (Praveks Bank) ナフトガズウクライナ国立合資会社 11 ソフトラインLLC VTB銀行 グローバルマニー )GlobalMoney OJSC( カスペルスキー研究所LLC DR.WebウクライナLLC ウクルソッツバンク (Ukrsots Bank) ホットラインLLC (Hotline LLC) ESETウクライナLLC ライファイゼンバンクアバーリ (RaiffeisenBankAval) マカフィー ウクルシッブバンク (Ukrsib Bank) 12 パートナー(対談) ESET:業務執行取締役アレクセイ・ゲラシムチュック テーマ 攻撃は最大の防御なり 対談 アレクセイ氏 (ESET) × ロマン、三島 (ELIGHT) 三島: ニッポンの国家や重要インフラ企業、もしくは、何万人規模のお客さんや社員を抱えている大企 業において、最もレベルの高いセキュリティを短期間で築くためには、何が必要ですか? ロマン: 『短期間』という点がポイントですね。 13 アレクセイ: 先人のひそみに倣って考えると、Googleなどの、サイバー 犯罪に最も注視しているIT企業は、脆弱性(セキュリティー ホール)を見つけ出すために、多くの一般人材(ハッカー) を利用していますよね。 ロマン: はいそうですね。Googleなどが、脆弱性を発見した人に報 酬を配る、『報奨金制度』を導入してから、たしか、もう5 年くらい経ちします。2013年の夏頃までに$800,000以上の支 払いをしていたはずです。 アレクセイ: 米Google社が開催した賞金総額100万ドルのハッキン グ・コンテスト『Pwnium』では、なんと、10代の少年が 『GoogleChrome』のサンドボックスを突破することに成 功しましたもんね。3件のゼロデイ脆弱性を利用してハッキ ングし、うち、たった1件の脆弱性でChromeのサンドボッ クスを突破したのは衝撃的でした。あの時の賞金は$60,000 でしたよ。 ロマン: 2014年の3月に行われた同じコンテストでは、たった2件の脆弱性を見つけたチームに$100,000 の賞金が贈られてましたもんね。 三島: 脆弱性を見つけ出すことへの報奨金額は、年々増加する傾向にあるのですね。でもどうして、専 門家を雇うのではなく、一般人に脆弱性を探させているのですか? アレクセイ: 費用面でも、技術面でも、そのほうが良い結果が得られるからだと思います。 裏を返すと、世界中のハッカーから、敢えて攻撃(侵入)させてみることによって、自社内では 見つけることができなかった新しい脆弱性が発見でき、それによる対価を支払いながらも、自社 の防御をより強く固めていくビジネスモデルが出来あがっているという印象があります。 ロマン: もっと核心に迫るとすれば、全世界の、サイバー最前線において、あるシステムの脆弱性(穴) を最大限に見つけ出すために、唯一つの方法として、『生身のハッカーに、実際に、攻撃させて みる≒ペンテストする』これしかない動向がうかがえます。 14 アレクセイ: 確かにその通りですね。100%欠陥の無いシステムを作り出すことは100%不可能なわけですか ら、結局最後は、ハッカー(悪玉の犯罪者)VSペンテスト(善玉の侵入実験)のテクニック勝 負、というところになりますからね。 三島: なるほど。最もレベルの高いセキュリティを短期間で築くためには、セキュリティシステムに頼 るのではなく、実際のハッカーの目線から侵入実験を行い、穴を発見する都度、そこを修復して いくことが大切なのですね。地味なようで、実はそれが最も短期間のうちにセキュリティレベル を向上させる方法だということが分かりました。 15 シマンテック:CISカントリーマネージャー アレクサンド ル・クラシン氏 テーマ :一般ユーザーの意識改革 対談: アレクサンドル・クラ シン氏(シマンテック) × ロマン、三島 (ELIGHT) 三島:アレクス、シマンテックの2013年報告書による と、ウクライナとCIS諸国において、スマートフォンユ ーザーの57%以上はサイバー犯罪に直面しています。世 界平均は38%です。アレクスの意見なら、どうして世界 平均よりも、CIS諸国はサイバー犯罪への遭遇率が高い ですか? アレクス:一つの理由として、CIS諸国の人たちの国民 的特徴が挙げられます。多くのユーザーは、携帯デバイ スに何の危険があるか知りませんし、保護ソリューショ ンの種類に関しても知りません。また、リスクを知って いるユーザーでも、自分は犯罪には遭わないだろうと甘 く見ている傾向もあります。 16 三島:なるほど。それはCIS諸国だけではなく、日本でも同じことが言えるかもしれません。アレ クスの意見なら、スマートフォンのユーザーは2013年よりも、2014年、2015年のほうが、サイ バー攻撃に直面しやすいと思いますか? アレクス:最近、携帯デバイスを利用した詐欺やお金の盗難は、大変よくニュースで取り上げら れています。ですから、一般ユーザーは自分自身のスマホの保護にもっと関心を持ってくれるこ とに期待はしているのですが、残念ながら、犯罪に直面する可能性はすぐには下がらないと考え たほうが良いと思っています。 三島:上記の報告書によると、携帯デバイスの保護ソリューションに関する知識を持ってないユ ーザーのパーセンテージは、CISと世界とでは、ほとんど差がありませんでした(56%と57% )。これからは、傾向として、世界全体で、保護への関心が強まりますか? アレクス:関心は間違いなく高まります。マスコミのおかげでもあります。毎年、IT分野のニュ ースを作っている人たちのレベルが高くなってきてますから、一般ユーザーに届く情報も、詳し くなってきています。 三島:ひとりひとりのユーザーの意識レベル向上が、世界的に安全なモバイル空間を生んでいく ということですね。その逆も言えますが。。。 17 アレクス:そういうことになります。例として、2014年に、何十万台の携帯デバイスが入ってい る大きいボットネットワーク(=犯罪者に乗っ取られた、犯罪攻撃用のネットワーク)の検出に 関する報告がありました。「PCと同じように、携帯にも保護が必要」ということを理解してくれ るユーザーの率を増やしてかないと、このようなボットネットワークのパワーは、どんどん強く 大きくなってしまいます。今年は、珍しく、MacOSのプラットフォームのパソコンのボットネッ トワークも検出されました。または、レジのターミナルや、自動販売機なども、ボットネットワ ークに使われるようになってきました。 三島:携帯の保護を怠ると、気づかないうちに、犯罪を手助けしてしまっていることになるわけ ですね。携帯デバイスとPCの保護の違いはありますか? アレクス:大きな違いは、情報の保管方 法です。携帯デバイスなら、最近、クラウド保管かリモート保管が人気です。スマートフォンの 60%のユーザーは、「携帯のロックにパスワードを使わない」「アンチウィルスソフトをインス トールしない」「情報のバックアップをしない」という3つの残念な傾向があり、個人情報は非常 に高いリスクにさらされています。我々シマンテックはそのリスクを軽減する工夫をしていきた いと考えています。 三島:そうですね。イーライトでも、サイバー犯罪者の視点から、次はどこが狙われやすくて、 どのような盲点を付け狙ってくるのか、日々、研究を重ねていこうと考えています。 アレクス:シマンテックや、世界中の情報セキュリティ会社の多くは、防御(ディフェンス)に 徹して開発を進めている中、イーライトさんのように、サイバー犯罪者の攻撃視点=オフェンス 視点で開発を進めている企業は、世界的に大変珍しいですから、これからも、協業していきたい と思っています。お互いの役割を果たせるように、頑張っていきましょう。 三島:はい。そのように努力します。大変ありがとうございます。 18 パートナーからの応援メッセージ EMC²(RSA) 担当者:ヴラジミル・ボンダレンコ、カントリ ーマネージャー 応援メッセージ:小さな子供達からベテランの 専門家にまで、実に幅広い層に対して最新のサ イバーセキュリティを教えて人材育成をしてい る点で、強い感銘を受けています。そこで育っ た人材は、きっと、世界中で活躍していくこと になるのでしょう。イーライトチームを応援し ています! ファイアアイ 担当者:アルチョム・タラシケヴィッ千、ファイアアイ製品担当者 応援メッセージ:世界のスタンダードセキュリティではなく、ハッカー(犯罪者)の視点に特化 した、しかも、神経言語プログラミングまで取り入れた様々な侵入テクニックには感服します。 是非、この技術を世界中に広めていってほしいと思っています。 19 マイクロソフト 担当者:アレクサンドル・ソコリー、企業顧客 の担当者 応援メッセージ:イーライトのチームリーダー と出会ったのは、小学校のときですから、もう 30年以上の付き合いになりますね!APT攻撃が 増している昨今では、あなた達の技術は特に重 要性が増していると思います。これからも、立 派な技術者を、どんどん育成していってくださ い!応援しています。 フィリップス 担当者:アンドレイ・ザハルキヴ、企業パート ナーの担当者 応援メッセージ:今や、IT業界に限らず、ほとん どの企業が情報セキュリティを社内の重要課題 として掲げています。そんな中で、イーライト のチームは、最後の砦として、最も高いレベル における壁(セキュリティ)を作っていること に感心しています。いろいろな企業を守ってあ げてくださいね。 20 CISCO(シスコ) 担当者:ドミトリー・クラシリニコフ、BDMマネージャー 応援メッセージ:イーライトの技術力は、特殊性があり、なかなか真似をしようと思ってマネで きるものではありません。長い経験と柔らかい発想力があってはじめて、確立できる仕事だと思 っています。これからも、すごく期待しています! HP 担当者:ワディム・ヤロヴェツキー、セールスの取締役 応援メッセージ:どんなに強いシステムを導入しても、やはり最後は人の手で破られま す。悪人にそれをされる前に、イーライトさんのようなチームに定期的にチェックして もらうことが大切だと思っています。 21 カスペルスキー 担当者:アレクサンドル・サヴシキン、ウクライナ代理店社長 応援メッセージ:イーライトさんを推薦できる1つの理由は、人柄です。技術力もさるこ とながら、きめ細かいフォローには、大きなありがたみを感じております。同じく情報セ キュリティを取り扱っている企業として、これからも良い関係でいましょう。 ドクターウェブ 担当者:ニーコライ・メチョルキン、ウクライナのサービスセンターの社長 応援メッセージ:サイバー事件が起きてしまったあと、その犯罪を捜査する能力におい て、イーライトの技術者チームは、非常に高いレベルにあると思っています。国家や重要 なインフラへの攻撃が激しさを増していますので、まさに、イーライトの出番なのだと感 じています。頑張れ! 22 受賞歴 イーライトのセキュリティチームは、これまでに、CIS各国から、様々な栄誉ある賞を受賞させて いただきました。その一部をご紹介させていただきます。 Medal «For Irreproachable Service» of Ukraine 「国のサービス」に貢献し たメダル Medal «For achievements in military service» 「兵役成果ため」のメダル ウクライナの「パーソン・オブ・ ザ・イヤー2013(IT分野)」 23 ウクライナセキュリティサー ビス専用通信と情報保護の大 尉への賞 「最高議会選挙の情報セキュ リティシステムの維持ため」 ウクライナの参謀本部から、 専用通信と情報保護に貢献し た、少佐への賞 ウクライナセキュリティサービ スの特別通信システムと情報保 護学専攻からの感謝証明書 24 執筆活動 イーライトでは、世界の情報誌内にて、執筆活動を行っております。優れた人材が、次世代に向 けて、少しずつでも成長してくれることを願っています。執筆活動を行っているジャーナルをご 紹介します。 IRTC,マナジングシ ステムとマシーン 雑誌 サイバーネティク スとシステムの監 査。Springer US出 版 数学とコンピュ ータサイエン ス:Qafqaz大学の 雑誌 データ記録、保管と プロセッシング雑誌 (Data Recording, Storage & Processing journal) 人工知能雑 誌(Artificial Intelligence journal) 25 講演及び、教育活動 イーライトは、講演や教育活動を通じて得た経験を活かし、ニッポンの情報セキュリティの発展 に貢献します。主に、下記の大学や機関で教育活動などを行っている専門家が参加します。 26 ウクライナのセキュリティーサ ービスの国立アカデミー(SBU 大学) http://academy.ssu.gov.ua/ 国立航空大学 http://nau.edu.ua/ 国立テレコミュニケーション大学 http://www.dut.edu.ua/ ウクライナ国立工科大学 http://kpi.ua 国立テレコミュニケーション大学 の軍隊電気通信と情報化の研究所 http://viti.edu.ua/ キエフ・モヒーラ・アカデミー国 立大学 http://www.ukma.edu.ua/ キエフ国立シェフチェンコ大学 http://www.univ.kiev.ua/ ヨーロッパ大学 http://e-u.in.ua 情報システム監査とコントロール 協会, ISACA https://www.isaca.org/ 攻撃対策セキュリティ認定プロフ ェッショナル http://www.offensive-security. com/ G.C.V.Corelan (エクスプロイト DEVトレーニングとペンテストサー ビス) https://www.corelan-training.com/ SANS情報セキュリティトレー ニング http://www.sans.org/ (ISC)²Inspire. Secure. Certify. https://www.isc2.org/ OWASP ウクライナ https://www.owasp.org/ Athcon, Hack In Paris, DerbyCon, ISSA ベルギーの管理者 27 授業風景 情報セキュリティー学部の学生 フォレンジック調査の実習授業 [ アンドレイ 先生 ] 授業を聞く学生達 電子通信システム保護の授業 [KPI大 学 カレン先生] 28 ・イーライトは、総合セキュリティソフト制作会社の ESET主催の活動にも、積極的に協力を行っています。 パートナー用の教育システム講演 中学生用のセキュリティ教育 E-lightとEsetが共同開催している企業向けセ キュリティ講演 29 ・イーライトでは、国立銀行や民間銀行などに対する攻撃や 詐欺行為の防止を行うためにSAS Institute主催の活動にも、 積極的に協力を行っています。各銀行の情報セキュリティ担 当者様に対して、攻撃を受けた場合の防御方法や、攻撃を受 ける前の対策方法などを具体的にご提案しています。 30 ファイアアイとの共同作業は無事成功 イーライトによるファイアアイの製品 説明 オーナーのロマン。各企業の情報セキュ リティー担当者に対して、ペネトレーシ ョンテストの推奨。 ペネトレーションテストに関する質疑応 答風景 イーライト本社勤務、技術担当のアルチ ョム。 31 日本での活動 ニューオータニで行われたサイバーセキュリティ啓蒙活動 イーライトのプレゼンテーションが行われた東 京のニューオータニホテル イーライトのリーダーのシュップさんは挨拶 する様子 イーライトのロマン・フラモフはフォレンジッ クのプレゼンテーションを行っている様子 ウクライナのハルチェンコ大使はウクライナ のサイバーセキュリティーについて発表する 様子 32 遠山先生と共に、サイバーセキュリティ強化の決意を新たに 遠山夫妻と在日本ウクライナ大使であるイーゴリハルチェンコ様との記念撮影 遠山清彦議員と日本政府のサイバーセキュリティ 強化に向けて決意を新たに 33 第1回 日本ウクライナ サイバーセキュリティ講演 (in Tokyo) サイバー講演終了後に遠山清彦議員と濱村進議 員と一緒に記念撮影 右から平井卓也議員、遠山清彦議員、ロマン シュップ、田中雅人 超党派で行われたサイバーセキュリティ講演 の様子 超党派で行われたサイバーセキュリティ講演 の様子 (2) 34 千葉大学とウクライナ国との学術交流、留学、サイバー人材 育成プロジェクトについて 千葉大学にて副学長様らを含む皆様との記念撮影 千葉大学にて学術交流、留学、サイバー人材育成などについて行われた会談の様子 35 冨岡勉 文部科学副大臣とのサイバーセキュリティ人材育成 協議 冨岡勉 文科副大臣とサイバーセキュリティ人材育成戦略について行われた会談後の記念撮影 長崎大学とウクライナ国との学術交流、留学、サイバー人材 育成プロジェクトについて 長崎大学にて行われた学術交流、留学、サイ バー人材育成などに関する会談の様子 36 長崎大学にて行われた学術交流、留学、サイ バー人材育成などに関する会談の様子 (2) 長崎とチェルノブイリの深い関係(長崎県庁での会談) 長崎県庁にて副知事様らと行われた会談の様子 37 情報通信技術(IT)政策担当の島尻大臣との会談 情報通信技術(IT)政策担当の島尻大臣。2020年東京オリンピックまでに日本国のサイバーセキュリ ティ強化を加速させる取り組み、セキュリティ人材を短期間で増やす方法について行われた会談 の様子 情報通信技術(IT)政策担当の島尻大臣との歓談 時の様子 38 情報通信技術(IT)政策担当の島尻大臣との歓談 時の様子 (2) 加藤大臣との会談 加藤勝信大臣との会談後、是非ウクライナにお越しくださいというお誘いも兼ねて歓談した際の 様子 加藤勝信大臣との記念撮影 日ウ間で行われた安倍総理大臣とポロシェンコ 大統領との首脳会談時に、サイバーセキュリ ティ 共同戦略を提案してくれた加藤勝信大臣への 御礼と、日本政府のサイバーセキュリティ強化 に、ウクライナが力になりたい旨をお伝えした 会談の様子 39 外務省の柿原主席事務官との会談 外務省首席事務官の柿原様と、日ウ間におけるサイバーセキュリティ共同戦略に関する会談後の 記念撮影 外務省首席事務官の柿原様をはじめ、日本国外務省の方々と行われた日ウ間におけるサイバー セキュリティ共同戦略に関する会談の様子 40 ニスコム社の尾上社長との会食 日本の戦略パートナーであるニスコム社様の尾上社長、三石様らとの記念撮影 41 北村誠吾議員(元防衛副大臣、現安全保障委員長)との会談 北村誠吾議員と『日本を守りたい』という一点 において合意 現安全保障委員長であり元防衛副大臣を歴任された北村誠吾議員と、世界に親友(親日国)を増 やしていく事で、日本のサイバー空間に安全が訪れるという議論が行われた様子 42 メディア活動 イーライトは、世界的にみても珍しいシステムを取り入れているオンラインテレビチャンネル 「112チャンネルLLC(テレビ局)」を共同運営しています。特に、 ・攻撃や不正に強いサーバー、ネットワークシステムの構築 ・様々な形で受けるメディアへの攻撃に対して、防御方法、対策方法の提案 ・より安全に、どこよりも早く視聴者に情報を届けるためのシステム構築において、イ ーライトの技術力を利用しています。 43 44 E-light 事業戦略 ● 経営理念 人(技術)を大切にする。という、これまでの基本理念をそのまま受け継ぎながら、 サイバー空間での防衛に特化した会社として、唯一つ『ニッポンを守る』という新し い理念を掲げさせていただきます。 ● 社長の経営理念と事業戦略(ビジョン) 志として、『ニッポンを守る』という大それたことを申し上げておりますが、これに は、本当にそのような役割を担いたいという思いが日々大きくなり今日に至った経緯 や背景があることをご理解いただければと思っております。 と申しますのも、世界有数の先進国であり、超技術大国である日本であるにも関わら ず、今の日本のサイバー空間に適用できる法律や対策(セキュリティ)の脆弱性を目 の当たりにするたびに、そして、各団体や企業への、耳を疑うほど恐ろしいサイバー 攻撃や情報漏洩事件が発生するたびに、この危険な状況をスピード感をもって打破し ていくためには、大至急、セキュリティ人材の開拓・育成が欠かせないと判断し、自 ら旗を振る決断を致したところでございます。 これまで20年間汗を流してきたIT業界への恩返しも含めて、CIS諸国で培った情報セ キュリティのノウハウも含めて、強い思いで、そして、フルオープンで、ニッポンの サイバー空間におけるハイレベルなセキュリティ人材を育成していきたいと考えてお ります。スピード重視ですので、早速、 1 現時点で、すでにハイレベルなセキュリティ人材の発掘・増員(外国人材含む) 2 日本トップレベルの情報セキュリティ専門家の方々と有識者会議 3 団体や企業の情報セキュリティをチェック(ペネトレーションテストなど) 4 後を絶たないサイバー攻撃に対する対応策の提案とフォレンジック捜査協力 5 情報セキュリティの教育システムを作り、日本人人材を育成 の5つに取り掛かります。 ● 事業概要・コンセプト スマートフォンはもちろん、家電やクルマ、農業や流通など、ネットワークにつなが るすべてがサイバー攻撃の対象(脅威にさらされている)と言えます。その中でも特 に国民に大きな被害を与えてしまう、水、電気、エネルギーなどの重要インフラや、 公共団体や大企業が提供しているサービスなどは、国際的な犯罪組織から狙われやす い状況にあります。不意討ちの攻撃にあい、その結果、考えられないほど大きな損害 を被る前に、システムのセキュリティ強化や、セキュリティ担当者のレベル向上をは かり、攻撃を受けたとしても、被害を最小限度に食い止めることが、我々の事業内容 であり、コンセプトです。 45 ・弊社の成長性 世界一の先進国と言っても過言でない日本が、情報セキュリティの分野では後進国 です。その理由は様々ありますが、そこを踏まえ、日本がゆえに、世界に発信でき る、最良の情報セキュリティシステムを構築できると信じてやみません。自動車、ロ ボット、宇宙探査機と同じように、国を挙げて事業に取り組み、平和国家ニッポン が、情報セキュリティの世界一をキープし続けることこそが、世界中のサイバーの安 全と平和を維持する必須条件だと思っております。端的に申しますと、世界のサイバ ーセキュリティのカギを握るのは、ニッポン人であると考えます。 それを後押しする意味で、世界最先端IT国家創造宣言、サイバーセキュリティ基本法 案、CIO、NISCなどの日本政府の動きも重要であり、且つ、この分野の成長性をうか がわせる証なのかとも思っております。 ・弊社の最終顧客(お客様) ハイレベルな情報セキュリティを導入する(例:複合ペネトレーションテストな ど)という意味では、国家や地方公共団体、大手企業から中小企業まで、ネットワー クを利用している組織すべてが顧客として該当します。 ハイレベルな情報セキュリティ人材を育てる(教育システム)という意味では、サ イバー犯罪の捜査を行う警察関連機関、各企業の情報セキュリティ担当者、大学や専 門学校で情報セキュリティを学んでいる生徒さんなどが、顧客として該当します。今 の日本では、少なく見積もっても10万人の情報セキュリティ人材が足りないと言われ ています。 ・弊社の必要性 お客様は、弊社の複合ペネトレーションテスト(侵入実験)を試すことによって、 今の会社の情報セキュリティシステムが安全か否か判断できます。名の通ったセキュ リティシステムを導入されているからと言って、必ずしも安全とは言い切れないから です。例えば、会員の個人情報が漏えいしないかなどをテストできます。 お客様が、弊社の情報セキュリティ教育を学ぶことによって、情報セキュリティの 高い技術が身につきます。それは、将来的に、英語を話せるよりもずっと高い就職率 が得られる(職に困らない)ということも、お客様にとっての必要性の一つです。 ・弊社の海外展開 日本人の人材だけでサイバー空間の防衛ができれば良いのですが、それは、スピー ド面からみても、現在の技術(人材)面からみても、なかなか難しいと言えます。そ れよりも、世界中から信用できる、且つ、強力な人材(特に教育者として長けた人 材)をヘッドハンティングで集めていったほうが得策であり、そのほうが確率的にも 高く、必要な防衛力を短期間で開発できます。 46 よく、信用できる国家やIT先進国と協力すべきでは?という議論がありますが、セキ ュリティの力=攻撃の力、という側面もありますので、自国の攻撃力を他国に包み隠 さず教えるということは、信頼のおける国家間と言えども、現実性に欠けるのではな いでしょうか。我々のような民間企業の場合には、各国の有望な人材を見つけ出し、 その人物に対して、高い志を持たせ、高い報酬を与え、共に成長することを目的と し、契約者(お客様)は絶対的な存在として、最大限のサポートを行えます。 ・弊社の優位性 日本は、現時点において、サイバーセキュリティの分野で後進国であることは事実 です。他国(アメリカなど)が作り上げた高レベルで高価なセキュリティシステムを 導入することで、安心を買っている状況です。しかし、少しずつ、その状況を変え、 自国の人材や自国のシステムでも、サイバー空間を守れるようにしなければなりませ ん。そのためには、外国人セキュリティエリートの協力や教育を受け、日本国内に、 ハイレベルなサイバーセキュリティエリートを養成していく必要があります。 我々の場合には、チーム全体で、すでに40名以上のサイバーセキュリティエリートの 養成に成功しており、且つ、それらを講師にして、情報セキュリティノウハウをオン ラインで学べる教育システムの開発も進めております。 外国人や外国の製品に、おんぶにだっこの状態ではなく、自ら(ニッポン)が成長し ていけるサイバーセキュリティ(養成)システムを作っていることが、我々が最も誇 れるポイントです。 ● 弊社の事業が必要とされる社会的背景 昨年(2013年)1年だけで、国内外から日本の政府機関、大学、企業などに向けられ たサイバー攻撃がおよそ128億件以上あったことが、独立行政法人情報通信研究機構 の解析で分かっている中で、それらの攻撃に対する具体的な防衛措置(セキュリティ 対策)や法整備が間に合っておらず、完全に後れを取ってしまっている状態です。増 える一方の犯罪に対して、捜査は後手後手なわけです。 弊社と類似したサービスを扱っておられる企業様もいらっしゃいますが、まったく人 手が足りない状態であることが、この業界の本質です。現在は、10万人以上、人手が 足りないとされています。 従って、犯罪が起こる前のセキュリティ技術、有事の際の対策や捜査能力、人材を鍛 え上げる独自の教育システム、これらすべてを抱えている弊社の事業は、ニッポンを 守るために一役買えると意気込んでおります。 47 今、ニッポンが危ない 甘すぎるニッポンのセキュリティ事情。 今、ニッポンが危ない! 世界的な視点でみたとき、脅威に対する知識レベルが低いのは、実は、 日本企業ではなく、日本の情報セキュリティ会社そのものだという指摘があります。 日本や世界の大手情報セキュリティ会社の最高責任者の方達も、 『日本は、情報セキュリティにおける後進国』と明言されております。 世界中の犯罪組織にとって、お金持ちニッポンは、 格好の狩り場となってしまっているのです。 もう少し具体的に申しますと、諸外国製の最新セキュリティシステムを導入したのはいいもの の、それを代理で販売している営業マンはもちろんのこと、技術者までもがそのシステムの表面 しか理解していないため、このシステムを使えば、安全・安心と思い込んでしまっている状態が 見受けられます。 したがって、 ・最新のペンテストツールでチェックしたから100%安心だと言われたのに、、、 ・最新の攻撃脅威に100%対応したセキュリティシステムだと言われたのに、、、 ・どんな攻撃にも耐えられる非常に強いシステムだと聞いていたのに、、、 ・高価なシステムだから、安心・安全だと思っていたのに、、、 と、後の祭り(お客様からのクレーム)になってしまっているわけです。 日本人は、情報セキュリティの分野にもっと注視し、日本人らしいきめ細かいこだわりいっぱい の純国産セキュリティを発達させるべき日が来ているのだと思います。これから10年20年で訪れ る、大情報流動時代に、今のままの日本人のセキュリティ感覚では、とても大きな不安が残りま す。サイバーセキュリティとサイバー犯罪は、常に表裏一体となって、近年急速にそのレベルを 上げてきており、いたちごっこのような状態です。世界一二を争う経済大国ニッポンが、この分 野で後進国であり続け、世界から取り残されるようなことは避けなければならないと考えます。 48 ちなみに、近年、攻撃を受けた例としては、 2014年 7月ベネッセホールディングス 最大で2070万件の顧客情報が漏洩。 2014年 6月ニコニコ動画 22万件の個人情報が流出。 2014年 6月共同通信社のグループ会社3万件の顧客情報流出。 2014年 6月POS端末にサイバー攻撃。 2014年 4月パナソニック7万8361件の顧客情報漏洩。 2014年 3月第一生命 4万人分の顧客情報紛失。 2014年 2月ビットコイン 470億円消失。 2013年 10月セブンネットショッピング15万件個人情報流出。 2013年 10月Adobeが攻撃され世界290万人に不正アクセス。 2013年 7月NAVERまとめに不正アクセス、169万件のID流出。 などが代表的です。(2014年8月現在調べ) いずれも計り知れないほど大きな被害を受けたとともに、いずれも非常に高価で厳重な、、、厳重 だったはずのシステムであったことは言うまでもありません。我が社の情報は安全だ、我が社に限 っては大丈夫だ、という思い込みや見くびりがあったとは思いたくありませんが、もっとセキュリ ティを強化していればよかった…という後悔の念は持たれている筈です。会長や社長の引責辞任だ けでは済まない現実があるからです。 このような犯罪に対するプロファイリングをあらゆる角度から徹底的におこない、 常に最新の脅威・攻撃に立ち向かえる調査や保護対策、そして、ペネトレーションテスト(侵入実 験)を行っているのが弊社です。 定期的に人間ドックで健康診断するのと同じように、早期発見・早期治療のセットでサイバーセキ ュリティを行います。 目的は唯一つ、『ニッポンを守る』 これだけを志しに据えて、チーム洗練を極めます。 49 サイバー攻撃を受けた企業の悩み 企業の場合の被害例 ● 信用の失墜 ● 顧客情報が拡散 ● 退会者が続出(新規入会者の減少) ● 雇用問題の発生 ● 競争力が低下 ● 株価・時価総額の急激な下落 ● 金銭被害や負債 ● 倒産 ● イベント、新製品の発表、行事の停止・自粛 ● 引責辞任 ● 長期的な風評被害 ● 流出した情報が別の犯罪に悪用される二次被害 ● 社内の別の問題・弱みなどが、連鎖的に露呈する二次被害 企業とは異なり、国家の場合の具体的被害例は、より多くの国民に、より深刻な被害をもたらしま すので、犯罪者にヒントを与えないためにも、本書での記述は避けさせていただきます。 50 でも一体、具体的にどうやって、守るのか? ニッポンをサイバー攻撃から守るためには、 一、セキュリティ人材の育成(教育) 二、攻撃への具体的な保護と調査(対策) 大きく分けて2つに分けられます。 ニッポンをサイバー攻撃から守るためには、 一、教育 ● 教育概要:陸・海・空・宇宙に続く、『5番目の戦場』とささやかれているサイバー空間で、あ らゆるシナリオを想定し、未然に攻撃や事件を防ぐとともに、万一の非常事態に備え、事態の収 拾や、犯罪者の特定を行ったりするCSE(サイバーセキュリティエリート)を養成します。 ● 教育対象者:個人や、各企業や各団体の情報セキュリティの専門家に対して訓練を行います。 具体的には、 ・様々な視聴者(学生~一般)向けに、情報セキュリティ分野に於いて国際的共通の基準に基 づいた基礎教育プログラムで人材育成するという機会を与えること: ・会社、国営企業、民間組織の経営者の情報セキュリティ知識を豊かにし、管理(マネージメ ント)能力を向上させること: ・情報(サイバー)セキュリティの責任者が持つ実践的なスキルや技能を高めること: ・情報(サイバー)セキュリティサービスを提供している会社の専門家の訓練レベルを高める こと: ・サイバー攻撃を調査する機関の捜査員の訓練レベルを高めること: ・サイバーセキュリティの専門家や、サイバー捜査員を育てている講師の訓練レベルを高める こと が挙げられます。 ● 訓練方法:オンライン講座、オンラインテスト、セミナー、各企業や団体内部での集中セミナ ー、夏季に保養所などを利用した合宿セミナーなどを通じて訓練を行います。 ● 講演対象者:(情報セキュリティの専門家ではない)経営者や、団体上層部を集めて、最新の サイバー危機管理の動向を説明するセミナーを行います。 51 ● 教育目的 1 日本では、2014年6月、アベノミクスの新戦略「世界最先端IT国家創造宣言」が閣議決定された ことを受け、東京オリンピックが開催される2020年までに「世界最高水準のIT社会づくり」を目 指しています。具体的には、 ・公共データの民間開放 ・ビッグデータの利活用促進 ・ITを活用した農業の高度化 ・ITを活用した社会インフラの維持管理 ・国・地方の行政情報システム改革 ・政府CIOによるITガバナンス強化 が挙げられます。このようなIT社会、ITインフラへの投資に比例してリスクも増大しますので、セ キュリティを強化するために、CSEを育て、且つ、組織化します。 2 日本では、2001年にIT戦略本部を立ち上げ「5年以内に世界最先端のIT国家になる」と宣言して いたものの、失敗し、世界から出遅れました。ニーズを把握せず、各省がバラバラに投資したこ とも失敗要因の一つです。しかし、そのような苦い経験があるからこそ、今回は、各企業経営者 (※)に対して、サイバーセキュリティを重要視することで、社内の安全性が向上するだけでは なく、社会的貢献が果たせるということを解説する『つなぎ人材』 の育成も行います。各企業経 営者が、サイバーセキュリティの必要性に気づくことで、10万人足りないとされているサイバー セキュリティ人材の募集促進 が期待できるからです。つなぎ人材にて、経営陣に対する社会的な 空気(ニューマ)=サイバーセキュリティをしないことは罪、というニューマを生み出せば、必 要最低限の投資でサイバー空間のセキュリティ強化が行えます。 (※)ハーバードビジネスレビュー誌の読者調査では、サイバー攻撃に深刻な懸念を抱きなが ら、企業経営者は、被害実態を理解していないと結論付けられています。 3 政府全体のIT政策を取りまとめて推進するCIOやNISCにとって、今後、欠かせないのがサイ バーセキュリティを高度化させる取り組みです。もし今、サイバーセキュリティ分野で協力を仰 ごうとしている専門企業や、その会社内のセキュリティ専門家のレベルが、日本国内では高くて も、世界的に見れば、底辺にあるとしたら、、、もしくは、偏りがあるとしたら、、、どうでし ょう?そのような状況を打破すべく、教育を行います。 4 衆議院議員が中心となっている「サイバーセキュリティ基本法案」では、前述のNISC強化に加 えて、以下の取り組みが行われています。これらの取り組みに直接、有効(必要)になってくる のが、今回のCSEの養成です。 ・行政機関におけるサイバーセキュリティの確保 ・重要インフラ事業者におけるサイバーセキュリティの確保 ・民間事業者や教育機関における取り組みの促進 ・犯罪の取り締まりと被害の拡大防止 ・産業振興及び国際競争力の強化 52 ・研究開発推進 ・人材の確保 5 重要インフラへの攻撃数は急増しています。情報通信研究機構(NICT)の分析システムnicter によると、攻撃元は、中国が41%で1位、2位が韓国で7%、3位が日本で6%、4 位がアメリカで5 %と続きますが、果たして、この割合は本当でしょうか?今や、組織化、企業化されている攻撃 者(犯罪者)は、いとも簡単に、中国が攻撃を 仕掛けているように、表面上見せかけることもで きることを忘れてはなりません。そのように、現在のセキュリティ関連情報を根本から見つめ直 していくためにも、多角的な教育により、CSEの養成を行います。 6 以前のサイバー攻撃は、攻撃者が相手に知られないよう密かに実行する傾向にありました。し かし、近年のAPT攻撃では、高度なテクニックを使って企業や組織のシステムやネットワークに 忍び込み、長期間潜伏したり、機密情報を盗み出したり、金銭を要求したり、ユーザーをマルウ ェアに感染させたり、大胆なサイバー攻撃が増えています。インサイダーと呼ばれるような内部 に潜り込むスパイと、高いサイバー技術を持った悪玉ハッカーとが手を組んでいるケースも増え ています。そのような実態に、日本の企業は、対応する術を持ち合わせているでしょうか?未然 に防いだり、犯罪を暴くことはできるでしょうか?実は、今の日本では、それがほぼ不可能な状 態にあります。なぜなら、世界レベルの専門家が、日本には非常に少ないからです。 7 近年、サイバー攻撃は会社経営化され、費用対効果を求める犯罪になってきています。即ち、 大きな投資がかからず、なるべく簡単に情報を盗めるところから盗もうとする傾向があります。 弱いセキュリティの企業は、犯罪集団にとって魅力的なターゲットとなってしまう可能性がある わけです。適正給与の2倍でマルウェアに詳しいハッカーを雇い、スパムメールを送り付ける担当 や通訳を雇い、工作活動を行う工作員を雇い、まるで会社経営と同じような形で、攻撃を運営し ている犯罪組織に対抗するためには、断片的にではなく、それらのことを複合的に理解している CSEの養成が必要不可欠です。 8 各企業の経営者や担当者は、情報セキュリティの専門会社の専門家(プロ)が訪れた際に、 半ば、言うなりになるしかありません。その答えは単純で、『(情報セキュリティに関して)よ く分からないから』です。これは、とても危険なことだと言えます。ほぼ何の役にも立たないセ キュリティシステムやツールを勧められて導入し、知らぬが仏で、安全になった気がしている経 営者も多いと聞きます。そんな状態から抜け出すためには、自社内にCSEを抱えることが重要で す。 ● アップデート:講演内容、訓練内容は、毎日更新を行います。サイバー空間での1日の遅れは命 取りになるからです。 ● 個別訓練:トレーニングは、オープン(大衆向け)も、各企業・団体専用のフォーマットも作 れます。各企業や団体の特徴に合わせて、非公開でトレーニングを行います。オープンは、広く 一般向けに、総合的な訓練を行うのに対し、各団体専用の非公開トレーニングは、例えば、その 団体が水資源について取扱いをしている場合、その水資源を管理しているシステムが攻撃される と、どのような脅威が訪れるのかなども含めて、専門的にリスク回避の方法などを訓練します。 ● 講師陣:各国のエリートを採用しています。各種情報セキュリティのトップ企業、カスペルス キー、ドクターWEB、Eセット、シスコ、ファイアアイ、RSAセキュリテイーなどからのパートナ ー証明や推薦状を持っているメンバーです。情報セキュリティの分野において、日本人専門家の レベルは、残念ながら、世界レベルとは言えません。チームとして訓練を受けていない専門家も 53 多いです。弊社の場合には、得意分野ごとにチーム化されたメンバーを採用しています。 ● 教育実績:大学での情報セキュリティ教育、各種団体内部での非公開講演、各種団体上層部を 集めた公開講演、各種団体のサイバーセキュリティポリシーの立案、各種情報セキュリティ誌に ての執筆活動、などを教育活動の一環として行っています。 ● 終わりに 英Lloyd'sの「RiskIndex 2013」では、サイバーリスクが12位から3位へと大きくランクアップし ている昨今です。しかしそんな中でも、“企業の金庫” と呼ばれるデータベースからの機密情 報窃取に対して、驚くことに、およそ80%の日本企業はセキュリティ対策をしていません。 それとは相反して、2014年8月、関電システムソリューションズは、ファイア・アイとパートナ ーシップを結びました。ファイア・アイは大阪外国企業誘致センターの支援で、西日本市場にお ける事業拡大を目的としているそうです。これは、情報セキュリティ対策を重視している、非常 に良い傾向ではあるのですが、ここにすら盲点があることを忘れてはなりません。ファイアアイ のシステムだからといって、100%完全に攻撃が防げて安心なわけではないということです。 サイバー空間の『安全神話』『思い込み』から抜け出し、未来のニッポンを守れる人材を急ピッ チで育てていくことが、大切だと思っております。 ニッポンをサイバー攻撃から守るためには、 二、対策 相手は、ルール無用の悪党 サイバー犯罪者の中でも、特にエリートハッカーは、非常に巧妙に、そして鍛え上げられた実力 をフルに活用して、容赦なく攻撃をしかけてきます。そこには、必ず目的がありますし、大きな APT攻撃(標的型の総攻撃)であればあるほど、犯罪者は1名ではなく、数十名の組織として襲い かかってきます。 脆弱性のあるシステムを利用し続けている場合、 訓練を受けた、たった1人のエリートハッカーが、 たった1台のパソコンから発した命令によって、 何万人、何十万人のスタッフを抱える民間や公共の情報システムが、 何百万人、何千万人のユーザーを抱える民間や公共の情報システムが、 ● ● ● ● ● 機能不全(サイト、サーバー、機能停止状態)に陥ります 社員や会社の情報が持ち出されます お客様の情報(顧客データ)、ID/PASSが流出します 開発中の新製品の情報が盗まれます 気づかぬうちに、定期的に社外秘情報をのぞかれます 54 このくらいは、エリートハッカーの実力からすると、やってできないことではないということを 念頭に置いておかねばなりません。 何億、何十億、何千億、または、お金には換えられないほど大きな価値のある積み上げてきた信 用までもが、サイバーマフィアが雇った、たった1人のハッカーによって失われるのは、あまりに アンフェアです。 サイバー攻撃は、災害と同じで、来ることを想定した上で高いレベルの基準を設け、来ることを 想定した上で訓練を行い、来ることを想定した上で定期的に対応の見直しをしておかねばならな い、『リアル』だと捉えたほうが良さそうです。 独立行政法人情報処理推進機構(IPA)は、APTに関して下記の見解を出しています。 「脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャルエンジニアリングにより特定企業 や個人をねらい、対応が難しく執拗な攻撃」(「IPAテクニカルウォッチ『新しいタイプの攻撃』 に関するレポート」より引用) また、McAfeeは、APT攻撃について次のように定義づけています。 「純粋な意味での金銭目的、犯罪目的、政治的な抗議ではなく、国家の支持または資金援助によ って特定の標的に対して実行されるサイバー上のスパイ行為または犯罪行為」(McAfee「2011 年の脅威予測」より引用) 最高レベルでの保護(対策)方法 セキュリティソフトで保護をすれば大丈夫という、誤った認識も横行しているようですが、APT 攻撃は、ソフト=システムで守り抜けるものではありません。エリートハッカー達は、たちまち そのシステムを支配するからです。 APT攻撃には、人間が、定期的にシステムの免疫力を向上させていく=人間が、定期的に脆弱性 をチェックすることが、唯一つ、盤石な対策です。もちろん、犯罪者を上回る非常に高いレベル が必要です。 ルールのないAPT攻撃に対する防御方法を構築するためには、 ルールのないAPT攻撃を、安全な人間がテストで行うしかないということです。 このことを業界用語で『ペネトレーションテスト』(通称 ペンテスト)と呼びます。日本 語ですと侵入実験と呼ばれたりします。セキュリティの弱点(脆弱性)を発見するために、あり とあらゆる方法で、侵入を試みるテストです。 弊社では、世界最新のサイバー犯罪の動向や、世界最新のAPT攻撃の特徴を勉強しており、APTか ら盤石な保護をされたい企業様にとっては、この上なく精密なご協力が可能になります。 55 例えば、よくあるケースですが、大きな企業や、特殊な技術を持っている企業であればあるほ ど、非常に高い可能性で、多目的情報収集スタッフ=スパイ、もしくは、その予備軍が潜り込 んでいます。途中から買収されるスタッフもいれば、最初からスパイ目的で潜入しているスタッ フもいます。これは日本だけではなく、世界共通の事実です。企業に限らず、公務員でも同様で す。 そのような悪意あるインサイダーが潜り込んでいる場合、社内でどんなに高価なセキュリティシ ステムを組んでいても、社内の情報は非常に大きな危険にさらされていることになります。なぜ なら、例え、彼らが持っているアクセス権限が最下位ランクの権限であったとしても、それを利 用して社内システムの脆弱性を見つけ出したり、もしくは引き出したりして、結果的に、部長課 長クラスしかアクセスできない情報や、役員クラスにしかアクセスできない情報まで、彼らに筒 抜けになってしまうからです。 システム外部からの攻撃よりも、システム内部からの攻撃が最も怖く、損失レベルも大きいと言 えます。だからこそ、内部に、もしも、スパイが潜り込んでいる場合に備えて、内部からシステ ムをペンテストし、スパイに自由自在な権限を与えないようにすることが大切です。 ペンテストの目的とは? 普通の泥棒で考えていただくと分かりやすいですが、昼夜問わず警備員が巡回している最新鋭の ビルに忍び込むのと、夜間は監視カメラのみが作動しているだけの雑居ビルに忍び込むのとで は、やはり後者のほうが、犯罪を起こしやすくしてしまっているということになります。それは 即ち、前者のほうが、犯罪に対する抑止力が強いということになります。 凶悪犯罪者や犯罪組織から街の平和を守るためには、銃を持ち、厳しい訓練を受けた強い警察官 が必要なのと同じで、平和を維持するためには、正しい力を振りかざせる人間の力と巡回が必要 であるということを忘れてはならないのだと考えております。 ペンテストの方法とは? 通常、ペンテストは、複合的に行います。例えばある1つのペンテストを行ったとしても、他の部 分に脆弱性があれば、そのペンテストには、ほぼ意味がなくなってしまうからです。例えて言う と、どんなに、表門の扉を3重の最新ロック(施錠)にしたところで、裏門にロックがなければ、 泥棒は裏門を選ぶ可能性が高いですから、折角の表門の3重ロックには、意味がなくなってしま う、ということです。 従って、弊社が推奨しているペンテストは、複合ペンテストです。方法としては、 56 イ、BLACK-BOXテスト システムの内部構造とは無関係に、外部から見た機能を検証するプログラムのテスト方法です。 ロ、WHITE-BOXテスト システム内部の構造を理解した上でそれら一つ一つが意図した通りに動作しているかを確認す る、プログラムのテスト方法です。 ハ、ソーシャルエンジニアリング(social engineering)テスト ソーシャルエンジニアリングとは、ソーシャルハッキングという言葉にも置き換えが可能です。 もっと身近な言葉にしますと、スパイ、工作員、詐欺師、潜入調査員などというイメージにも近 いものがあります。宅配便を名乗って住所などを聞き出す手法や、ATMを操作する人の後ろから 暗証番号を盗み見たりする行為も、立派なソーシャルエンジニアリングです。 コンピューター内に不正に侵入して情報を盗んだりするのではなく、社員のミスや、心理的なス キを狙って、不正にパスワードを聞き出したりもします。有名な手口としては、 ・サーバー管理者などと身分を詐称して電話をかけて、パスワードなどを聞き出す ・同僚や上司に成りすまして、メールに添付したPDFを開かせてウイルス感染させる ・ウイルスが仕込まれた社外秘と書かれているUSBをターゲットとして選んだ社員のカバンに入 れたり、机に置いたりする。中身が気になったターゲットは、そのUSBとPCを接続してしまい、 社内のネットワークにウイルスが拡散したり、そのターゲットのPCを自由にコントロールして、 長期的に企業情報を盗み取る などが挙げられます。 このような人的なスキやミスは、会社内部での機密情報の管理ルールが甘いと生まれやすく、そ れによって、どんなに高価なセキュリティーシステムを導入していても、容易に機密が漏洩して しまいます。 そういった人的要因による情報漏洩、人的要因による社内システム全体の損壊、人的要因による 社会的信用の失墜をなくすために行うのが、ソーシャルエンジニアリングというテスト方法で す。 大きく分けて、上記イ~ハの3つの方法を複合的に組み合わせてペンテストを行います。 ※ペンテストに関する詳細は多様性が高いですので、細部に至っては、本書とは別途、専門家を 通じてご案内させていただきます。 どこに対してペンテストを行うのか? ペンテストは、主に、下記に対して行います。 I. ワイヤレスネットワークへのテスト 情報システムのワイヤレスセグメント(segment)構造に侵入できる可能性があるか調査します。 また同時に、そのセグメント構造のそれぞれのコンポーネント(アクセスポイント、ネットワー 57 ククライアント、認証サーバー、パスワードポリシーなど)の調査/テストも行われます。このテ ストの目的は、ワイヤレスネットワークの脆弱性を検出することになります。 調査/テストの内容としては、 • お客様のワイヤレスネットワークの調査 • 検出したネットワークの詳細な分析 • 認証システム(authentication)と承認システム(authorization )に対して攻撃 • ネットワークのハードウェアに対して攻撃 • ネットワーククライアント(network client)に対して攻撃 標準的には、上記のような調査(攻撃も調査に含みます)が行われます。 これらの調査結果に基づいて、お客様の情報システムのワイヤレスセグメントのセキュリティレ ベルをご報告するとともに、検出した脆弱性を排除するための改善方法をお伝えします。 II. ネットワーク外周(外部)のテスト 企業情報システムのワイヤード(有線)ネットワークの脆弱性を検出するために調査します。ま た同時に、ネットワークの外部から利用できるリソース(resource)、例えばサイトなど と、情報セキュリティマネジメントシステム(ISMS)の調査も行います。 調査/テストの内容としては、 • 企業ネットワークに関する予備情報の確認 • ネットワークマップ(network map)の製図。ディバイスやOSやアプリケーションの外部からの 影響に対する反応の定義 • ネットワークサービスとアプリケーションの脆弱性の定義 • 検出した脆弱性を利用(悪用)して、どんなリスクが考えられるか調査(利用方法や試すツール などは、それぞれの脆弱性によって決まります) ・外周とオープンリソース(open resource)に対するDoS攻撃。攻撃に対して、ネットワークエレ メント(NE)の安定性を調査し、想定されるダメージレベルを把握 • ネットワークトラフィック(network traffic)の取り込み調査。検出した脆弱性を利用して、企業 にとって最重要な情報(例えば、顧客情報・ユーザーパスワード・社外秘資料など)が漏洩する か(盗まれるか)を調査 • ルーティング(routing)の安定性テスト。偽造のルートモデリング(falsificated rout modeling) とルーティングプロトコル(rout protocols)に対してDoS攻撃 • 社員の個人情報が漏えいするか(盗まれるか)調査 標準的には、上記のような調査や攻撃が行われます。これらの調査で検出した脆弱性(穴)と、 それによってどのような被害やリスクが考えられるのかをご報告するとともに、改善策をご提供 致します。 III. WEBアプリケーションへのテスト お客様のWEBアプリケーションに関する詳細な調査です。自動ソフト(ユーティリティー)と専 門家の手作業を繰り返して行い、脆弱性(穴)を検出します。利用する自動ソフトは、市販のも のよりは、自社メイドのものを多用します。 基本的な部分として、OWASP基準になっている項目はすべてチェックできます。しか し、OWASPの基準だけをチェックしても安心とは言えませんので、熟練の技術者の経験からくる 勘や、鋭い感性から織りなす複合的なアイデアを用いて、侵入実験を行います。 例えば、お客様のWEBアプリケーションに対して、下記のような危険があるか(≒下記のような 58 攻撃が可能か否か)を確認します。 - SQL Injection - Cross-Site Scripting - Content Spoofing - OS Commanding - 認証(authentication)と承認(authorization)の不具合で生じる脆弱性 - その他 WEBアプリケーションへのテスト対象例 • ポータルサイト (portal site) • ウェブサイト (website) • サービス管理インターフェイス (interface of service control) • CRMとERPシステムの外部WEBインターフェイス • インターネットクライアントバンクシステム • 請求システム(ビリングシステム) • マルチレベルの認証システム (multilevel authentication systems) • 不正防止システム(anti-fraud systems) • その他 IV. I~IIIも含め、お客様のシステムや組み込み機器、 すべての環境への複合ペンテスト(弊社推奨) I~IIIも含めて、お客様の全環境に対する調査です。この複合ペンテストを推奨している理由は、 ルール無用の犯罪者のリアルなアクションに一番近い(似ている)作業だからです。 世界中のサイバー犯罪のプロファイリングやフォレンジック調査を参考に、システムを利用した り、エリートハッカーが使う攻撃をイミテーションしたり、ソーシャルエンジニアリングを行っ たり、BLACKBOX、WHITEBOX、ありとあらゆる手法を用いてペンテストを行います。それは、 世界中のエリートハッカーが用いる手法だからです。 ペンテストの対象は、お客様のすべてのパソコンのネットワーク、それを構成するアセンブリ、 外部と内部のWEBリソース、スタッフ、取締役、その他、お客様に関連するすべてが、ペンテス トの対象になると考えて良いと思います。なぜなら、それがエリートハッカーを抱えるサイバー 犯罪組織のやり方であり、APT攻撃だからです。 お客様にとって、自社の情報セキュリティ保護レベルに関して、最も精度の高い情報が得られる のが、弊社推奨の複合ペンテストになります。 ※ペンテストに関する詳細は多様性が非常に高いですので、細部に至っては、本書とは別途、専 門家を通じてご案内させていただきます。 ※お客様から、どこまでの権限と時間を与えていただけるかによって、ペンテストの深さが決ま ります。 フォレンジック調査 各サイバー犯罪で使われた手法の分析経験や、公安機関への捜査協力経験を活かし、ニッポンの 59 企業や国家に対して行われたサイバー攻撃を調査することができます。 一般的に、ペンテストは、サイバー攻撃をされる前に保護や予防の意味で行うのに対し、フォレ ンジックは、サイバー攻撃を受けた後に、 ・その犯罪がどのような脆弱性を通って行われたか(手法解析) ・どこの誰が何の目的で行ったか(犯人特定・動機特定) ・どこまでの被害を受けているか(実態調査) などを行うため、調査(捜査)という意味合いを強く持ちます。そして、APT攻撃などに多い、 二次被害、三次被害を食い止めるためにも行いますので、悪の連鎖を最小限で断ち切る意味合い も持ちます。 下記は、サイバー攻撃を受けた際などに行われる犯罪・事件捜査(フォレンジック)の一般的な 流れとなります。事件によって、また、被害にあわれたクライアント様の事業形態や捜査目的に よって、プランや調査内容は変化します。目安としてお考えください。 フォレンジックの行動計画(流れ) ※事件によって異なります 1 事件を正しく識別。今現在も存在するか、それとも過去だけか、継続性を確認。 2 事件の正確な目的・場所・時間、そして事件により悪影響を受けた資産と対象となる者( 会社や国家)を確認。 3 関係部署(情報セキュリティー担当部署)に対し、事件の有無と、詳細を通知。 4 悪影響を受けたIT機器・機械の場所を検出(確認)。 5 事件に巻き込まれて壊れた機器へのアクセス許可を制限し、事件で悪影響を受けた部分を 予備部品に切り替え、もっとも故障した個所や設備は分離。 6 事件のタイプと本質によって適任の専門家を選定し、審査会議に召集。 7 事件の専門捜査グループを開設し、証拠収集とシステムの回復手順を示す作業計画を立 案。事件への対応や行動は、すべて記録。 8 調査プロセス促進の為に、必要最大限の情報を提供。 9 証拠の適正な取り扱い、即ち登録・保管・保存を確保。 10 リアルタイムなインシデント情報を収集。 11 さらなるデータ分析・保管の為に、必要な場合、独立した第三者の前で、エビデンスベー ス(証拠・根拠、証言、形跡)を取り除くか、または封印。画像などのデータも同様。 12 資産と対象の取り扱いについて資料を作成。 13 サイト、抽出されたデータとこの保管場所など、全ての一覧表を作成。 14 全ての行動について資料を作成。(具体的に、証書、写真、ビデオなど) 15 資料の保存性及び不変性を確保。偶発的もしくは任意的に内容が編集できないよ うにすること。 16 調査の結果をまとめて、攻撃を可能にした原因と脆弱性を特定。 17 調査の結果をまとめて、攻撃者を特定し、動機及び責任のレベルを明らかにし、 訴訟。 18 調査結果を担当ユニットもしくは担当部署に移送させ、システムの運動機能を回 復させる。 19 再発防止対策を講じる。 20 調査結果を保存・保管。 ※ご契約内容、攻撃の種類、ご利用のシステムなどによって、調査内容や手順が変化しま すので、詳細は別途、専門家を通じてご案内させていただきます。 ※どこまでの権限を与えていただけるかによって調査の深さが決まります。 60 お問い合わせ・お見積り 下記に関するお問い合わせやお見積りは、お気軽にどうぞ。 ●ペネトレーションテスト(脆弱性のチェック) ●フォレンジック調査(攻撃された時の捜査) ●オンライン教育システム(サイバーセキュリティ人材の育成) ●セミナー(サイバーセキュリティ専門家や経営者への講演) ●セキュリティシステム開発(ご要望に合わせた保護システムの構築) メモ 61 パートナー証明書 62 あとがき ニッポンの皆さまへ 日本人として、日本の中で生まれ、そして育った日本人の皆さまは、もしかすると気 付いておられないことがあるかもしれません。それは、世界から見たときの、 「ニッポンのバランスの良さ」 です。 アメリカ、ロシア、イギリス、フランス、ドイツ、デンマーク、中国、ブラジル、カ ナダ、インド、スイス、オーストラリアなどなど、世界には190を超える国々があり ますが、 ニッポンよりも、総合的にバランスの良い国は、どこでしょうか? 私には、その答えが出せません。 私はお世辞を言いません。どこの国にも良いところがあることに間違いはありません が、豊かな自然・強い経済・高い教育水準・世界最古の国家と王室・2600年を超え る文化や習慣・便利な実生活(インフラ)・良い治安・世界トップクラスの技術力・ 豊富なエネルギー資源・世界から注目される食生活・世界有数の医療技術と健康(長 寿)・優れた道徳心などをトータル的に考えた場合、ニッポンほどバランスのとれた 国を世界中で見つけることは難しく、ニッポンという国が特別な存在であることを否 定することも難しいことが分かります。 日本は小資源国と言われていますが、エネルギーに関しては、日本近海で、世界最大 級のメタンハイドレードの埋蔵量を有しているはずです。技術的には、世界中、ニッ ポンのテクノロジーの恩恵を受けていない国は無いに等しいはずです。 サイバー空間においても、ニッポンが果たすべき役割は大きいのではないでしょう か? 現時点では、サイバーセキュリティにおける開発途上国であったとしても、ニッポン が、このまま開発途上国で終わるはずがありません。 これから10年後、20年後、50年後に、必ず訪れる、今とは比べ物にならない情報ネ ットワーク時代に備えて、そして、災害と同じように、いつ襲われるか予測できない サイバー犯罪・サイバー攻撃・サイバーテロ・サイバー戦争に備えて、今から、ニッ ポンのサイバー防衛力を徹底的に強化し、世界中のサイバー空間における安全確保に 臨んでいくことが、イーライトの目的です。 なぜ、アメリカやロシアではなく、日本から世界になのか? 「ニッポン人には、秩序があるからです」 信じる心が大きいがゆえに、秩序をうみ、時として、奇跡も生み出すからです。 63
© Copyright 2024 ExpyDoc