セッション１：業界別提案⽅方法 ~∼サイバー攻撃基礎から業界別提案まで~∼ 1 | © 2 016, Palo A lto N etworks. C onfidential a nd Proprietary. 本プレゼンテーションの⽬目的 • フロント営業の⽅方にサイバー攻撃と対策の基礎知識識を⾝身につけて頂く • ※⼗十分知識識のあるプリセールスの⽅方は、このプレゼンテーションにある程度度の知識識をフロント営業の⽅方に是⾮非トレーニング下さい。⽇日々の提案業務がよりスムースになると思います。サイバー攻撃の基礎 3 サイバー攻撃者のパラダイムシフト第三世代第⼆二世代第⼀一世代単独の愉快犯思想を持つ組織犯サイバー攻撃により営利利を得るビジネス組織標的型攻撃での被害例例様々なベンダを組み合わせ、UTMやエンドポイントでWeb /Mailのマルウェア対策を実施し、Sandbox設置で未知の攻撃へ備えていたが感染 →単なるSandboxとUTMの組み合わせでは検知しても対処できないデータセンター空調業者 POS レジ端末 WAN Target ネットワーク Internet Internet ソーシャルエンジニアリングの⾼高度度化国内外のサイバー犯罪組織は、利利⽤用者があがらえない形で罠を仕掛けてきます利利⽤用者は⼗十分に注意していても、⼿手⼝口を回避することは困難未知のマルウェア作成ツールの流流通攻撃者は無償ツールや、より⾼高度度な有償ツール(2000$程度度)を使って、誰でも簡単に100%の確率率率でマルウェアベンダを出し抜けるようになった 7 アンチマルウェア100%回避の２つの⼿手法標的型攻撃メールで未知マルウェアを直接送付する⽔水飲み場型攻撃改ざんサイトに”常に新鮮な”未知マルウェアを設置改ざんサイト 8 レガシーセキュリティの課題 – Demo 利用者は個人向けアンチマルウェアを搭載した PCを用いて悪意あるWebサイトへアクセス。攻撃者は正規Webサイトを改ざんした「水のみ場型攻撃」を実施する。未知の脆弱性や未知のマルウェアを送り込み、利用者のPCを乗っ取る。個人向けマルウェアは、総合型を利用。アンチウイルスだけなく、メール/Web対策、 FW/IPS等を搭載。企業でのUTMに相当。 9 | © 2015, Palo Alto Networks. Confidential and アンチマルウェアではなくアンチアタックが必要サイバー攻撃の進化世界No1セキュリティソフトメーカーのシマンテック⽈曰く、※ 「ウイルス対策ソフトウェアはもう死んでいる」「現在のウイルス対策ソフトウェアでは、攻撃の55%程度度しか防げないのが現状」 By Tech Week 個⼈人情報漏漏えい回避的なコマンド&コントロール通信攻撃者未知で多形性のあるマルウェアゼロディエクスプロイト / 脆弱性アンチマルウェアを強化しても無意味既知の脅威（FW・IPS・AV） ※ http://www.techweekeurope.co.uk/workspace/ant i-‐‑‒virus-‐‑‒dead-‐‑‒or-‐‑‒dying-‐‑‒symantec-‐‑‒144954 組織における潜在的リスクモバイルの脅威 Palo Alto Networks基礎 11 セキュリティプラットフォーム WildFire 既知の脅威情報、シグネチャ情報を蓄積 TM 未知のマルウェア対策脅威防御 AUTOMATED Traps - エクスプロイト防御 Traps - マルウェア防御 NATIVELY INTEGRATED 次世代ファイアウォール EXTENSIBLE 次世代FW – アプリケーションベース制御 • インターネットの普及に伴い、様々なWebサービスが乱立 • 従来のポートベースのFW（ファイアウォール）では、これらを制御するのはもはや不可能 SaaS Collaboration / M edia Personal • なぜならば、これらのWeb サービスは、80番ポート、 443番ポートでサービスを提供しているため、ポートベースのFWでは、すべて通すか、すべて止めるかの極端な制御しかできない次世代FW – 多層防御によるセキュリティ保護 • 複数のセキュリティチェックを行うことで、次世代FWを通過するトラフィックの安全性を確認した上で通信させることが可能＝セキュリティの向上 URL Filtering アプリケーション識別に基づいたアクセス制御機能 Anti-Spyware App-ID Botnet Report Anti-Virus File Blocking WildFire IPS 次世代FW – Botnetレポート • 既に侵入されている端末を検出可能 • • 端末毎に、次世代FWを通過するトラフィックを確認し、外部の攻撃者との定期的な通信がないかを毎日レポートセキュリティ機能のシグネチャにマッチしない通信でも、その宛先や頻度、通信内容から感染端末をあぶり出すマルウェアに感染した疑いの高い端末が行う通信の振る舞いを元に感染の可能性を判断命令 C&C通信 Zombie C&Cサーバ Internet Herder Botnet レポート脅威インテリジェンス “WildFire” 〜～サンドボックスによる未知のマルウェア対策〜～ 1. 2. 3. 4. サンドボックス上で実行 100以上の振る舞いをチェックマルウェア判定（善か悪か）シグネチャを自動生成ファイルファイル生成されたシグネチャを次世代FWに配信既知のマルウェアでないものを WFクラウドで解析し、未知のマルウェアか否かを判断 Anti-Virus機能で既知のマルウェアか否かをチェック既知のマルウェアであれば、その場でブロックファイルシグネチャ対策完了次世代エンドポイント ”Traps” 必要なのは、攻撃を「止める」エンドポイントプロテクション脆弱性を突く攻撃を阻止！未知のマルウェア実行を阻止！ Traps Advanced Endpoint Protection 攻撃者が行う、攻撃のための手法を阻害することで、攻撃を失敗に終わらせる、パターンファイルを用いない、まったく新しい考え方の、アドバンストエンドポイントプロテクションです。業界別の課題と提案 1. 製造・社会インフラ 2. 流流通 3. ⾦金金融製造業・社会インフラのシステムの特徴① エアギャップにより保護されている外部と悪意のある脅威のみに対処すればよいサードパーティサポート産業用制御システム業務ネットワーク産業用制御システムパートナーその他の工場/施設悪意のある内部関係者による攻撃意図せぬサイバーインシデント製造業・社会インフラのシステムの特徴② ICS等の特殊な業務プロトコル • ⾃自分たちだけがプロトコルを理理解でき第三者の攻撃はできない社会インフラや工場用に設計された、その業務でしか使わない特殊プロトコルの利用このプロトコルはこの工場専用だ！見たことの無いシステムなので手が出せない。。製造業・社会インフラ業の主なセキュリティ課題エアギャップ神話の崩壊 • 内部犯の増加 ICS業務に従事している社員や協力会社の社員が雇用主への不満からハッキング行為による設備破壊 • モバイルの応用インターネットに繋がっていないネットワークに、4G無線をつなげる。ルールとしてモバイルを禁止しても、保守業者や3rd Partyを買収または感染させて進入する手口も。業務プロトコルを狙った攻撃 Energetic Bear Stuxnet シーメンス製品内の脆弱性のエクスプロイト ICSソフトウェアにおけるトロイの木馬、 ICSプロトコルを使用 Black Energy 複数のICSベンダー製品のエクスプロイト流流通業のシステムの特徴ハイパー接続された流通バリューチェーン • 店舗とPOS、サプライヤー、データセンター店舗 POS端末 POSアプリゲストWiFi サプライヤー倉庫企業の機能価格設定/プロモーション販売/店舗ダッシュボード企業本社およびユーザーオンライン購入販売業者データセンター支払いプロセス/ クレジットカード処理流流通業のシステムの主なセキュリティ課題 ① SaaS 暗号化モビリティ + BYOD ソーシャル + コンシューマライゼーションクラウド +仮想化サイバー攻撃者にとって大きな機会流流通業のシステムの主なセキュリティ課題 ② ツールが多いため、どうしても不要な複雑さが生まれてしまう • 問題が解決されないのにパフォーマンスは低下 • ファイアウォールの「補完製品」ではトラフィックの可視性が不十分 • 複雑で購入と維持コストが高い • 十分な可視性が提供されないインターネット小売企業のインフラストラクチャ⾦金金融業のシステムの特徴イノベーション進展に伴うインターネット利用の拡大サイバー攻撃の高度化金融分野のサイバーセキュリティをめぐる状況金融関連の身近な被害 ■ネットバンキング不正送金被害額平成27年 30億円平成26年 27億円平成25年 14億円 ※警察庁HPよりサイバーテロの脅威(2020東京オリンピック) ■銀行を狙う攻撃「Carbanak APT」により、銀行員のPCから不正な資金流出を行わせる被害総額想定 10億ドル ※デロイトトーマツHPより⾦金金融業のシステムの課題① 金融庁は2015年４月にパブコメ公表し、金融検査マニュアル改訂。安全対策基準第８版追補改訂に反映７月にサイバーセキュリティ強化の方針発表金融庁 http://www.fsa.go.jp/news/26/20150421-‐1.html 「主要行等向けの総合的な監督指針」及び「金融検査マニュアル」等の一部改正（案）に対するパブリックコメントの結果等について金融庁金融分野におけるサイバーセキュリティ対策について http://www.fsa.go.jp/news/27/20150702-‐1.html ⾦金金融業の主なセキュリティ課題 ② 金融庁のパブリックコメント（一部抜粋) • サイバーセキュリティ事案の定義は、政府の「サイバーセキュリティ戦略」を参考。 • サイバーセキュリティ事案については、業界の影響度拡大を防止するためにも初動が重要であることから、著しく影響を及ぼすような重大事態に至らない場合であっても業務に影響がある場合や攻撃予告等、侵害の影響が出ていない場合も報告が必要。 • 例示に限定されるものではなく、例示以外の方法も含めて検討し、適切な対策を講じる必要がある。 • 多層防御は、情報通信技術を利用した対策だけではなく、物理的な対策や人的な対策を含めた防御戦略を示す。 • 不正侵入等の早期検知や情報漏えいや破壊等の被害の拡大を防止するには、入口、内部、出口の各段階において、それぞれ適切な対策を講じ、それを組み合わせた多層防御を講じることが有効である。⾦金金融業の主なセキュリティ課題 ③ 金融情報システム白書– 平成２７年度版 27年度版の重点ポイント・サイバー犯罪、攻撃対策強化・クラウドコンピューティング・事故・犯罪動向金融機関の情報システム部門（システム企画）ベストプラクティス！出典：金融情報システム白書（金融情報システムセンター(FISC)が金融情報システムの現状及び課題について過去１年間の最新の動向を盛り込んだ資料 https://www.fisc.or.jp/publication/disp_target_detail.php?pid=308）参考：監督指針 - サイバーセキュリティ管理 ① サイバーセキュリティについて、取締役会等は、サイバー攻撃が高度化・巧妙化していることを CSO任命・経営の関与踏まえ、サイバーセキュリティの重要性を認識し必要な態勢を整備しているか。 CSIRT 設置 ② サイバーセキュリティについて、組織体制の整備、社内規定の策定のほか、以下のようなサイ FS-ISAC参加バーセキュリティ管理態勢の整備を図っているか。 ③ サイバー攻撃に備えた、入口対策、内部対策、出口対策といった多段階のサイバーセキュリティ対策を組み合わせた多層防御を講じているか。 ④ サイバー攻撃を受けた場合に被害の拡大を防止するために、以下のような措置を高じているか。 DDoS対策 ⑤ システムの脆弱性について、OSの最新化やセキュリティパッチの適用など必要な対策を適時に資産管理ツール講じているか。 ⑥ サイバーセキュリティについて、ネットワークへの侵入検査や脆弱性診断等を活用するなど、セセキュリティ診断キュリティ水準の定期的な評価を実施し、セキュリティ対策の向上を図っているか。 ⑦ インターネット等の通信手段を利用した非対面の取引を行う場合には、III-‐3-‐8-‐2(2)によるセキュ特権ID リティの確保を講じているか。認証方式や不正防止策として、全国銀行協会の申し合わせ等には、以下のようなセキュリティ対策事例が記載されている。 ⑧ サイバー攻撃を想定したコンティンジェンシープランを策定し、訓練や見直しを実施しているか。セキュリティ体制構築また、必要に応じて業界横断的な演習に参加しているか。 ⑨ サイバーセキュリティに係る人材について、育成、拡充するための計画を策定し、実施している人材育成か。ゼロトラストモデル場所に関係なく、すべてのリソースにセキュアな方法でアクセスするアクセス制御を必要に応じて厳格に適用する信頼せずに検証するすべてのトラフィックを検査し、ログに記録するネットワーク設計を徹底的に行う出典: F orrester Research セキュリティプラットフォームでお客様を保護 WildFire 既知の脅威情報、シグネチャ情報を蓄積 TM 未知のマルウェア対策脅威防御 AUTOMATED Traps - エクスプロイト防御 Traps - マルウェア防御 NATIVELY INTEGRATED 次世代ファイアウォール EXTENSIBLE Palo Alto Networks YouTube Channel • URL https://www.youtube.com/channel/UCVyF1WpMZhle7DIA91UQ55w • コンテンツご紹介 • • • Lightboardシリーズ → 製品コンセプトや概念をLightboardを使って、分かりやすくご紹介します 30 Minitesシリーズ → 製品の詳細を30分使って解説します。デモンストレーション → 次世代FWやTrapsのデモンストレーションです。