金融機関向け セキュリティソリューション 著者:中村 弘毅 監修:齋藤ウィリアム浩幸 金融機関向けセキュリティソリューション エクゼクティブサマリー: • 昨今、ニュースなどでサイバー犯罪が新 聞の一面を飾る日が多くなり、その犯罪手 口の多様化により、サイバーセキュリティ 対策を軽視できない状況になっています。• 企業の経営陣は、これまで業務に直結し ないセキュリティ対策への投資を見送る傾 向にありましたが、経営を揺るがしかねな い要因として、この方針が大きく変わろう としています。 キュリティ対策の強化が必要となると推測 しています。 脅威の進化: 弊 社 が 未 知 の マ ルウェア対 策として提 供している仮想サンドボックスサービス (WildFire) は、2015 年 2 月 現 在、5000 社以上のお客様が利用されており、1日 の検査対象となるファイルが 150 万を超 え、1年前と比較して 10 倍になっていま す。この1年で、新規にマルウェア判定さ 日本では、平成26年11月にサイバー れたファイルは、平均で検査ファイル全体 セキュリティ基本法が制定され、サイバー の約 5% になり、このマルウェア判定した セキュリティ戦略が立案されたことにより、 ファイルの 59% は、他のベンダーが対応 国としてのサイバーセキュリティの取り組 していない未知のマルウェアであることが みが強化される事となりました。 判明しています。 平成27年度版金融情報システム白書 *1 によると、 国内の金融機関ではサイバー 攻撃によりシステムが停止したことは無い が、万が一にもこうした事態が発生した 図 1: 場合には顧客や決済システムなどにも大 きな影響を与えることが考えられる とい う記述があり、入口・出口・内部脅威対 策として、明確な対策方針が新たに追記 されました。 これまでは、金融機関毎に独自のセキュ リティ基準による対策が行われていました が、今後は明確な基準が打ち出されたこ とにより、方針に即した対策の必要性が 問われることになります。 平成27年 4 月に金融監督庁の監督指針 が更新され、セキュリティ対策基準が盛り 込まれたことにより、金融機関に一層のセ 図 2: パロアルトネットワークス | 金融機関向けセキュリティソリューション 1 また、マルウェアがどのようなファイルで あるかを分析すると Financial Service に 該当するお客様では、上記の図にあるよ うに実行形式のファイルが大部分を占める ことが判っています。 表 1: 過去 1 年、未知のマルウェアは一定数の 増加で推移していますが、未知の脅威は 一過性のものではなく、マルウェアが形 を変えて、発見されにくくすることで、既 存のアンチウィルス製品が対応するスピー ドを上回るペースで日々進化し続けてい ます。 今後のセキュリティ対策のあるべき姿: • これまでのセキュリティ対策は、何らかの 攻撃を受けたことが判明し、その攻撃へ の対応が起点となる、既知の脅威への対 策が中心でした。 例えば、新しい脅威が公表されると、その 脆弱性やウィルスに対応しているかどうか の議論になり、セキュリティベンダーはそ の対応スピードを競っていました。さらに、 未知の新しい脅威が発見されると、新し いセキュリティ製品を追加し、絶対に侵入 させないということが至上命題になり、経 営陣も同様の前提で認識しているために、 欧米と比較して、セキュリティに対する意 識が向上しない状態が続いていたと思わ れます。 最近は、脅威の手口も巧妙になり、 侵入 されてしまうことを前提とした対策 が標 準になりつつあります。つまり、これまで の前提が変わり、未知の脅威が社内に侵 入した後の対策が求められています。 今後、これらの前提に沿ったセキュリティ 対策としては、以下の3点を満たしている 製品、ソリューションが必須になります。 • 脅威の対応スピード・脅威情報の共有 • 自動化 • 防御 表 2: 先に例を挙げた脅威に対応するには、上 記の3つの点に対応できるプラットフォー ムを持っていることが重要になります。例 えば、1日に数万もの新規マルウェアが発 見され、その全てに迅速な対応ができる か?との問いに明確に回答できるセキュリ ティ製品、ソリューションを選ぶことが必 要です。 • セキュリティ対策製品では、検知を優先す る製品はありますが、その製品で脅威か ら防御することが出来ない場合には、人 手を介する必要があります。 また、金融業界をはじめとする各業界団 体においても情報共有の必要性が高まっ ており、検知・防御した攻撃が同じ業界 内で発生しているのかどうかを確認するこ とも重要です。 FISC 要件への対応の重要性: 今回の金融庁の監督基準では、入口、出 口、内部対策の必要性について記載され ていますが、具体的な対策について明記 されませんでした。しかし、平成27年度 版金融情報システム白書 *1 には、新規の セキュリティ対策要件が具体的に提示され ています。 一昨年に発生した米国のクレジットカー ド流出事件でも、脅威を検知していたが、 検知後に人を介した対応プロセスに問題 以下の表に記 載されている要件が平成 があり、被害が拡大したとの報告があり 27年度版で、新たに追加されたセキュ リティ対策の一部です。 金融機関では、 ます。 入口対策を重視する傾向がありましたが、 今後のセキュリティ対策では、脅威の拡 今回、出口対策が詳細に定義されていま 大スピードに対応でき、発見した脅威を す。特に、マルウェアの検知・遮断と明確 自動 的 に分 析し、 人 手を介さず に脅 威 に記載されています。また、次世代ファイ を防御できる機能を持つことが推奨され アウォールによるアプリケーションの通信 ます。 監視が含まれています。つまり、従来の セキュリティ対策では不十分であり、ポー トベースのファイアウォールの通信ログの 監視には限界があるということが明確であ り、今後、アプリケーションレベルの通信 監視・制御が標準機能として搭載してい ることが新しいファイアウォールの基準と 言っても過言ではありません。 多層防御はシンプルさが重要 金融情報システム白書 *1 では、多層防御 は、入口対策では不十分であるため、出 口対策も平行して実施することが重要であ ると訴求しています。このため、既知の脅 威対策のイメージから多層防御は複数の セキュリティ製品を組み合わせて実現する ものだと考えられるかもしれませんが、こ れは大きな誤解です。多層防御は出来る パロアルトネットワークス ¦ 金融機関向けセキュリティソリューション 2 限りシンプルに実現することが重要です。 図 3: 管理対象となるセキュリティ製品が増加す れば、同時に、運用コストの上昇、分析 対象ログの増加に直結するため、現実的 ではありません。 また、最近では、多層防御に該当する機 能を1台で複数有している製品が増えてき ていますが、パフォーマンスの観点から多 層防御を利用した際のメリット、デメリッ トを事前に把握することが重要です。 パロアルトネットワークス製品は、多層防 御に必要なすべての機能を同時に使うこ とを前提として開発されており、シンプル な多層防御を実現することが可能です。 パロアルトネットワークスが考える FISC 要 件に対応した対策: • パロアルトネットワークスは、セキュリティ 対策はシンプルであるべきだと考えていま す。上記の図は、金融情報システム白書 *1 に記載されている要件を盛り込んだ場合の セキュリティ対策例です。 入口・出口対策を1台のセキュリティ製品 で実現することで、多層防御の要件を満 たし、かつ、既知のセキュリティ製品を統 合することで大幅なコスト削減につなが ります。この対策を実施した上で、パロ アルトネットワークスが提供していない (上記の図、黒字で記載した対策)セ キュリティ対策をお客様の要件に合わせ て追加することで、最適なセキュリティ対 策を実現することができます。 パロアルトネットワークスが提供するセキュ リティソリューション: • パロアルトネットワークスは、お客様に アプリケーションを安全に利用して頂 くことを目的として創業した会社で す。その理念は現在も変わらずアプリ ケーション識別をコアに位置づけ、 様々なセキュリティソリューションを提 供しています。 金融機関のお客様には、インターネッ ト入口・出口対策、未知のマルウェア 対策、内部脅威対策をご利用頂いてお ります。 • インターネット入口・出口対策 金融機関のお客様は、大きく分けて2 つの入口・出口があります。1つはイン ターネットへの入口・出口、もう1つは 対外接続ネットワークの入口・出口対策 です。 -> 入口・出口対策 図 4: 以下の対策を1台で実現することにより シンプルな多層防御が実現可能です。 • アプリケーションレベルでの通信可視 化・制御 ( ポート詐称の発見 ) • IPS/IDS , AntiVirus Gateway の統合 • 未知のマルウェア • 対策として WildFire の利用 • 他のお客様で発見された未知のマル ウェア情報を15分間隔で共有 • マルウェアサイトへの遮断を目的とした URL フィルタリング機能 -> 対外接続ネットワーク対策 対外接続ネットワークは、インターネット に接続されていないという理由から、ポー トベースのファイアウォールによる最低限 の対策が行われてきました。しかし、昨今、 マルウェアの感染経路がインターネットに 限定されないために、さらなる対策が求 められています。しかし、対外接続ネット ワークに複数製品を組み合わせるのはコ スト的にも現実的ではないために、弊社 製品1台での多層防御ソリューションが最 適です。 パロアルトネットワークス | 金融機関向けセキュリティソリューション 3 ・未知のマルウェア対策 ・エンドポイントの対策 ( アドバンスドエンドポイント Traps) パロアルトネットワークスの未知のマル ウェア対策は、クラウドベースであるため、 多くの金融機関のお客様はファイルを外部 に出すことに強い懸念を持たれるケース があります。そこで、ファイルの検査は実 施せずに、パロアルトネットワークスを利 用されている世界中のお客様で検出され た未知のマルウェアのシグネチャを 15 分 間隔で取得することで、未知のマルウェア 対策を実施することが可能です。ファイル のアップロードが難しい場合には、ファイ ルを外に出さずにファイルのスキャン、シ グネチャの作成を行うことが可能なアプラ イアンス製品 (WF-500) をご用意しており ます。 これまで数々のエンドポイントセキュリ ティ製品が市場に出回っているにもかか わらず、アンチウィルス製品は従来のシグ ネチャベースによる対策に終始してきまし た。パロアルトネットワークスが提供する アドバンスドエンドポイント製品は、個々 の攻撃そのものではなく、マルウェアが利 用するエクスプロイトテクニックに着目す ることにより、脆弱性に関する予備知識が なくても攻撃を防御することができます。 これにより、悪意のあるファイルが使用す るエクスプロイトテクニックが実行された タイミングで、攻撃を検知、遮断すること が可能です。 ・内部脅威対策 ・サイバー脅威インテリジェンス AutoFocus 社内は安全という前提が崩れてきており、 社内ネットワークのセキュリティ対策の強 • 弊社では、2015 年 3 月31日、 お客様 化に取り組むお客様が増加しています。 がサイバー脅威との闘いに明確な優位性 を持てるよう、優先度付きの実用性の高 社内でどのようなアプリケーションが利用 いサイバー脅威情報を提供する、サイバー されているかが分からないと言われている 脅威インテリジェンスサービス Palo Alto IT 担当者様が増えており、現状の対策を Networks AutoFocus を発表しました。 疑問視されています。そこで、まずは、社 内ネットワークのアプリケーションを可視 セキュリティ担当者は、さまざまなツール 化し、金融情報システム白書 *1 に記載され やベンダーからの配信情報や、組織全体 ている出口対策を実施することで社内をよ に導入されたデバイス群からの膨大な量 りセキュアに保つことが可能です。 のセキュリティデータや通知を毎日受信し また、クラウドサービスの普及により、 ます。この莫大な情報にはコンテキスト (制 SSL による暗号化通信の利用が通信全体の 御するための情報)や、次の手順に必要 3割を占めるまでに増加しています。この な詳細情報がごくわずか、もしくはまった 課題に関しても、SSL 通信を復号すること く存在しないため、組織が直面する他で で、より詳細にどのようなアプリケーショ は見られない固有の標的型攻撃は識別し ン、どのようなサイトに接続したかについ にくく、その結果、攻撃を事前に防止する て監視することが可能です。 機会を逃すことが多くなります。 図 5: AutoFocus のサービスによりセキュリティ 担当者は、日常的に高度な標的型攻撃 の標的となる 5,000 以上のグローバル企 業、サービスプロバイダ、政府機関から 収集された何十億ものファイル分析結果 から得られた実用的な詳細情報へ即座に アクセスできるようになります。個々の脅 威の発生源や独自性、同業種での関連性 といったコンテキストを提供することによ り、サイバー脅威インテリジェンスサービ ス AutoFocus は以下の情報提供を実現し ます。 〒 102-0094 千代田区紀尾井町 4 番 3 号 泉館紀尾井町 3F 電話番号 : 03-3511-4050 www.paloaltonetworks.jp • 攻撃者によって使用される最新の脅威 戦術、技法、手順の公開 • 攻撃者と具体的な敵対者との関連づけ • 個々の攻撃が大規模な組織的攻撃にど のように組み込まれているかの特定 • 一般的なマルウェアと、高度にカスタマ イズされた標的型マルウェアとを区別 • この高度な機能により、お客様は即座 に重大な標的型攻撃の優先度を判断す ることが可能となり、対処するための適 切なリソースを割り当て、重要な資産を 保護するために迅速な措置を講ずるこ とができます。 ・まとめ • パロアルトネットワークスは、金融機関を 対象に最適なサイバーセキュリティ要件 を満たすために利用できる最も革新的で、 かつ柔軟なセキュリティプラットフォーム を提供します。パロアルトネットワークス プラットフォームは、多数のセキュリティ 機能を組み合わせ、シンプルな多層防御 により金融機関のネットワークを効果的に 保護します。 エンタープライズ セキュリティプラット フォームはユーザコントロールを通じ、全 てのアプリケーションをコントロールし、 既知・未知の脅威を阻止し、ネットワーク を横断してあらゆるデバイスに繋がった全 てのユーザを保護するものです。 • アプリケーションを安全に運用 • 脅 威 から保 護 − 既 知・ 未 知 問わず − APT、標的型攻撃にも有効 • サイバー攻撃ライフサイクルの各ステッ プに有効 • プラットフォームを横断する迅速かつ自 動化された情報シェア • 複雑な問題への統合ソリューション 平成27年度金融白書 *1 引用:金融情報システム白書(金融情報システムセンター (FISC) が金融情報システムの現状及び課題について過去1 年間の最新の動向を盛り込んだ資料 https://www.fisc.or.jp/ publication/disp_target_detail.php?pid=308) © 2015 Palo Alto Networks, Inc. パロアルトネットワークスは、パロアルトネットワークスの登録商標です。 商標のリストについては、 http://www.paloaltonetworks.com/company/trademarks.html をご覧ください。 本書に記述されているその他の商標はすべて、各社の商標である場合があります。 PAN_WP_SPA_072415
© Copyright 2024 ExpyDoc
