Copyright 2016 FUJITSU LIMITED
富⼠通が提供するセキュリティサービス
2016年9⽉2⽇株式会社 富⼠通システムズ・イースト森永 景介
0
標的型攻撃とは?
Copyright 2016 FUJITSU LIMITED
最近のセキュリティ事故事例2015年~2016年7⽉現在に発⽣した、主なサイバー攻撃
15年6⽉ 商⼯会議所のパソコンがマルウェアに感染。個⼈情報、約1万件以上が外部へ流出した可能性(6/11)地⽅⾃治体に対して標的型攻撃。社内ネットワークが感染。インターネットを⼀次遮断。(6/12)
7⽉ 某玩具メーカのWebサイトに不正アクセス。会員の個⼈情報約10万件が流出。(7/6)洋菓⼦メーカのWebサイトにSQLインジェクション攻撃。会員情報21万件が流出。(7/28)
9⽉ 某通販4サイトに不正アクセス。13万件以上のクレジットカードを含む個⼈情報が漏洩(9/15)12⽉ 某商業施設のオンラインチケット購⼊システムに不正アクセス。2432名の個⼈情報が漏洩 (12/1)
16年1⽉ 某⼤学に不正アクセス。約11万件の個⼈・企業情報が流出(1/13)某ホテル業でマルウェア感染。2015/8/13~12/8にかけてクレジットカード情報が漏洩(1/14)
3⽉ 某⾷品業の通販サイトに不正アクセス。2012/10/12~2016/2/3に利⽤した顧客のクレジットカードを含む最⼤8万件の個⼈情報が流出(3/7)
4⽉ 某放送業のホームページに不正アクセス(コマンドインジェクション)。43万件の個⼈情報流出。(4/20)某放送業のWebサーバに不正アクセス(コマンドインジェクション)。64万件の個⼈情報流出。(4/21)某⾳楽業の公式サイトに不正アクセス(コマンドインジェクション)。35万件の個⼈情報流出(4末)
6⽉ 某旅⾏関連業に標的型攻撃。793万⼈の個⼈情報が流出(6/14)某出版業通販サイトに不正アクセス。1.5万件の個⼈情報流出(6/22)某学校教育ネットワークに不正アクセス。約1万⼈分の⽣徒の個⼈情報流出(6/27)
7⽉ 地⽅⾃治体運営のレジャー関連施設のHPが不正アクセス。個⼈情報868件流出(7/7)
Copyright 2016 FUJITSU LIMITED2
⼀般従業員
代表的な標的型攻撃の⼿⼝①
① 標的型メールを送信
標的型攻撃メール
機密情報流出
③ 乗っ取られたPC経由で他のPCやサーバに侵⼊④ 攻撃者の指⽰で
機密情報を外部に送信
メールはファイアウォールでは防御できない
機密情報
② 標的となった従業員のPCに感染
攻撃者 本当の狙い
感染の拡⼤
ターゲットを定めて、⽐較的セキュリティの弱い従業員のパソコンを踏み台に攻撃を仕掛けてくる
標的型メール攻撃
C&Cサーバ:command and control server
C&Cサーバ
Copyright 2016 FUJITSU LIMITED3
【第⼆段階】
攻撃者
開発者
バックドアを設置
秘密情報を転送
機密情報窃取システム破壊
マルウェアと通信
秘
攻撃者
⼀般のWEBサイト
攻撃コードを埋め込む
開発者
普段から業務でアクセス
CMSなどの脆弱性を利⽤
表⾯上変化がないので気づかない! Javaなどの
未知の脆弱性を利⽤閲覧しただけでマルウェア
がインストールされる
【第⼀段階】あのサイトなら開発者が
頻繁に訪問するはず
ハッキング
CMS:コンテンツ管理システム
代表的な標的型攻撃の⼿⼝②攻撃ターゲットの社員がよく⾒る
Webサイトにワナを仕掛けて待ち伏せる⽔飲み場
攻撃
Copyright 2016 FUJITSU LIMITED4
⽇々⽣み出されているマルウェア
【解説】現在1⽇に作成されるマルウェアの数は100万種といわれています。ウィルス対策ソフトウェアベンダーが⽇々⼊⼿する検体数は、20万〜30万/⽇となっており、現在も爆発的に増加しています。
右のグラフはマカフィーLabが公開している、四半期毎に発⾒されたマルウェア数を集計したものです。四半期毎に新たに検出されるマルウェアの数が右肩上がりで増え続けていることが分かります。
マルウェアの巧妙化
33171分毎に出現するマルウェア数*Source: McAfee Labs 脅威レポート 2015年第2四半期
http://www.mcafee.com/jp/resources/reports/rp-quarterly-threats-aug-2015.pdf
60%難読化・パッキング(対策製品の検知を逃れるための巧妙な細⼯)
されているマルウェアの割合
不正侵⼊されることを前提とした対策・多層防御(複数のセキュリティ製品を多層的に配置し、検知率を上げる⼿法)・発⾒的コントロール(リスクの発⽣に気が付ける仕組み)
Copyright 2016 FUJITSU LIMITED5
標的型攻撃対策の課題
Copyright 2016 FUJITSU LIMITED
防げなかった攻撃についても各種センサーやシステムが侵⼊の痕跡を膨⼤な量のアラートやログのどこかに
記録している
「防御」する対策の限界
サイバー攻撃時代に求められる“新しい対策”従来⼗分と
考えていた対策
ブルートフォース
DNSキャッシュ汚染
バッファオーバーフロー
クロスサイトスクリプティング
SQLインジェクション
セッションハイジャック
脆弱性を狙ったゼロデイ攻撃
未知ウイルスによる攻撃
流れを断ち切る多層防御で
流れを断ち切る
さらに新たな⼿⼝による想定外の攻撃さらに
新たな⼿⼝
標的型サイバー攻撃
⼊⼝対策
内部対策出⼝対策
セキュリティインテリジェンスによる“予⾒”が重要
Copyright 2016 FUJITSU LIMITED7
セキュリティ運⽤負荷の問題
検知能⼒を増強
迅速な対応は不可能「情報セキュリティの技術が
新しい」対応可能な⼈員に限界
「セキュリティ担当が限定」新しい攻撃への対応が困難
「突然の発⽣への対応」
⼈的リソースが⾜りず、迅速・確実な運⽤ができない
分析すべき情報量が激増
⾼度なサイバー攻撃に対抗するため新たなテクノロジーが⽣み出されますが、それを駆使して対抗するためには、特に運⽤管理者の量・質が拡充される必要があります。
しかし、セキュリティ運⽤管理者の育成が追い付いていないのが現状です。
Copyright 2016 FUJITSU LIMITED8
標的型攻撃の現状とお客様の課題
Point 3⾼コストと⼈材不⾜
最新のセキュリティシステムは例外なく⾼コストです。導⼊すると、多くのインシデントがあがり、その中から、侵⼊の形跡を⾒つける必要があります。セキュリティ技術者は、従来以上に⼀層⾼度なセキュリティ運⽤を求められますが、そのような⼈材は慢性的に不⾜しています。
Point 2防御する対策
の限界
既存の技術では、攻撃を防ぐことが出来ない。最新技術は、その攻撃に合わせて⾼度化するが、検知のみとなる。誤検知も多いため、セキュリティに関するインテリジェンスが必要になっている。
激化と巧妙化
Point 1サイバー攻撃の激化と巧妙化
標的型メール攻撃に⾒られるように、サイバー攻撃がセキュリティの網の⽬を縫うように侵⼊されています。年々その攻撃の⼿法は巧妙化されてきており、対策を⼗分にしていると⾒られた企業も脅威に晒されています。
Copyright 2016 FUJITSU LIMITED9
富⼠通の標的型攻撃対策ソリューション
Copyright 2016 FUJITSU LIMITED
標的型攻撃対策ソリューションの特⻑
ラインナップ コンセプト おすすめするお客様標的型攻撃対策Light(梅)
侵⼊されても、外部に流出しないように、出⼝で防御する。取るべき対策の最初のポイント。
コスト低事前のPOC等で社内ネットワーク上に、不正な通信等が検出されなかったお客様向け。
標的型攻撃対策Standard(⽵)
出⼝での防御に加え、社内ネットワークにおいても検知(防御)する。
コスト中社内に重要情報を多く管理しており、出⼝より⼿前の対策でいち早く検知したいお客様向け。
標的型攻撃対策MAX(松)
⼊⼝、出⼝、社内ネットワークに加えて、端末にも対策をうち、専⾨家による運⽤により、いち早く不正アクセスを防ぐ。
コスト中〜⾮常に重要な情報(個⼈情報、機密情報)を数多く管理しているお客様向け。
お客様の課題・現状・コストに⾒合うソリューションをご提供
Copyright 2016 FUJITSU LIMITED11
標的型攻撃ソリューションイメージ
Copyright 2016 FUJITSU LIMITED
Internet
侵⼊フ
ズ
拡散・諜報活動
㊙1.⼊⼝対策
2.端末対策 3.社内ネットワーク対策
5.情報セキュリティの運⽤
情報漏洩フ
ズ
Proof Point
McAfee TIE・ATD iNetSec IntraWall
⽵インターネットからの電⼦メールをSPAM、既知や未知のマルウェア等を検知、駆除する。
怪しい実⾏ファイルを検出し、チェック。⿊と判断されるとパターンファイルを⾃動作成し、社内NWから駆除する。
社内ネットワーク上の不正な振る舞い(諜報活動)を検知。
SIEMマネジメントサービス
松
梅 McAfee Web GatewayC&Cへの不正なデータのアップロードを検知し、防御する。
⽵
⽵松4.出⼝対策
Operator
IncidentManager
SIEM
各セキュリティ製品の統合監視とログの相関分析を実施し、社内の異常をいち早く検知。継続したチューニングにより、新たな脅威へも迅速な対応を実現する。
12
標的型攻撃対策ソリューションが採⽤する製品
Copyright 2016 FUJITSU LIMITED
対策ポイント 採⽤プロダクト 主な特⻑ 梅 ⽵ 松出⼝対策 McAfee Web
GatewayとATD(インテルセキュリティ)
・1台でプロキシの全機能を搭載・McAfeeの世界最⼤規模のブラックリスト「GTI」と連携したレピュテーション技術
・様々な振る舞いを検出するGAMエンジンを搭載・サンドボックス(ATD)と連携し、ダウンロードファイルを判別
◯ ◯ ◯
⼊⼝対策 Proof Point(プルーフポイント)
・SPAM、既知のウィルスチェックが可能・サンドボックスによる未知のマルウェアの検出が可能・Office365,GoogleAppsに対応・クラウド型は、SLAを準備
- ◯ ◯
社内NW対策 iNetSec IntraWall(PFU)
・端末間の通信から、マルウェアによる不正な意図を持った振る舞いをリアルタイムに検知
・標的型攻撃に共通する通信の振る舞いを判定するため、既知のマルウェアの亜種や、未知のマルウェアの検知にも有効
・マルウェア活動を検知後、管理者へ検知結果を直ちに通知
- ◯ ◯
端末対策 McAfee TIEとATD(インテルセキュリティ)
・PCが実⾏するファイルを⾃動検知・サンドボックス(ATD)と連携して実⾏ファイルの⽩⿊を判別・当該ファイルを検知するパターンファイルを⾃動作成・パターンファイルを社内に展開、社内ネットワークから駆除が可能
- - ◯
対策の優先度やコストに合わせてプロダクトを選定
13
セキュリティ製品の特⻑
Copyright 2016 FUJITSU LIMITED
McAfee Web Gateway
Internet
McAfee Web Gateway
ユーザWebアクセス
GTI連携
このイメージは、現在表示できません。
スキャンエンジン
GTI
⼊⼝・出⼝対策のプロキシとして有効に機能
Webサイト
URL フィルタリングとウイルス対策のシグネチャを回避する⾮常に⾼度なマルウェアや標的型攻撃を阻⽌
SSL を含むすべてのWebトラフィックに対応し、業界最⾼の検出率でゼロデイ マルウェアをプロアクティブに検出
サンドボックス無しでも、マカフィー社独⾃の検出エンジン「GAMエンジン」により、ゼロデイ攻撃の⼤半(95%)を防御
インターネット上にあるMcAfee GTIと連携、膨⼤な情報を活⽤して安全性を向上
ATD連携
McAfee ATD(サンドボックス) さらにサンドボックス製品(McAfee ATD)と連携することで、検出⼒が向上
(99%以上)し、インシデント対応の時間の短縮と運⽤性を向上
梅
Copyright 2016 FUJITSU LIMITED15
McAfee Advanced Threat Defense
サンドボックスの⼀歩先⾏く標的型攻撃対策製品 シグネチャレスのエミュレーション、サンドボックスなど複数の検知テクノロジーを組み合わせ、
既知と未知のマルウェアに対応 他のMcAfee製品と連携して検知情報を共有し、素早い遮断で被害を最⼩化
TIE連携
McAfee TIE
McAfee TIEと連携することで、脅威を情報を即座に展開、マルウェアの拡散を抑⽌ 他のMcAfee製品とも連携し、サンドボックス機能の統合により多重投資を抑制
梅
McAfee Web Gateway
MWG連携
松
McAfee ATD
ダウンセレクタ
AVシグネチャ
ファイルレピュテーションエミュレーション
先進的なサンドボックス技術
静的コード解析
動的解析(サンドボックス)
GTIMcAfee Advanced Threat Defense
Copyright 2016 FUJITSU LIMITED16
McAfee Threat Intelligence Exchange
Internet
McAfee Threat Intelligence Exchange
ファイルの実⾏GTI連携
GTI
未知のマルウェア情報を⾃動⽣成し、社内へ展開 数⽇〜数か⽉かかる脅威の検出から封じ込めまで、わずか数ミリ秒で実現 社内のネットワーク上で検出された未確認ファイルを評価し、その結果をすべてのシステムへ
リアルタイムに配信 インターネット上にあるMcAfee GTIと連携、膨⼤な情報を活⽤して安全性を向上
ATD連携
McAfee ATD(サンドボックス) サンドボックス製品(McAfee ATD)と連携することで、脅威をより効率的に検出、
インシデント対応の時間の短縮と運⽤性を向上
松
脅威情報の展開
安全性評価評価エンジン
Copyright 2016 FUJITSU LIMITED17
McAfee Global Threat Intelligence
Copyright 2016 FUJITSU LIMITED
McAfeeが提供する世界最⼤級の脅威情報データベース
• マルウェア :毎⽉ 25億件のマルウェア レピュテーション クエリ• 電⼦メール :毎⽉200億件のメール レピュテーション クエリ• Web :毎⽉750億のWeb レピュテーション クエリ• ボットネット/C&C :毎⽉ 20億件のIP レピュテーション クエリ• 侵⼊/攻撃 :毎⽉ 3億件のIPS攻撃• ネット接続 :毎⽉ 1億件のネット接続 クエリ
合計 : 1000億クエリ以上
Queries
Nodes
• マルウェア : 4000万のエンドポイント• 電⼦メール : 3000万ノード• Web : 4500万のエンドポイント、ゲートウェイ ユーザ• 侵⼊ : 400万ノード
合計 :1億ノード以上、120カ国
脅威情報がタイムリーに提供されるため、脅威の発⽣源や既知かどうかに関係なく、組織とユーザーを保護
レピュテーションベースの脅威情報を利⽤することで、攻撃の可能性を事前に察知、被害を未然に防ぐことが可能
18
標的型攻撃対策の運⽤
Copyright 2016 FUJITSU LIMITED
標的型攻撃ソリューションに含まれる運⽤サービス
Copyright 2016 FUJITSU LIMITED
標的型攻撃対策レベル
アナリストによる分析サービス
共通作業①(全サービス共通)
共通作業②(⽵、松共通) 個別作業
梅 隔週1回 ・インシデント管理・分析レポートの作成・アラートメール転送・導⼊デバイスのログの取り込み
・分析スクリプトの追加
・導⼊機器のポリシーチューニング
ー・ネットワークトラフィック解析(年1回)・ログ分析(年1回)
⽵ アラーム通報時(平⽇9時~
17時)
・脆弱性情報の提供
・ネットワークセキュリティ診断
・既存導⼊デバイスのログの取り込み
松 24時間365⽇ ・マルウェアの解析・既存セキュリティ機器のポリシーチューニング
・グローバル対応※各ポイントでの対策、運⽤サービスレベルのカスタマイズは可能です。
各対策レベルに合わせた運⽤サービスもご提供
20
標的型攻撃ソリューション運⽤サービスの概要
Copyright 2016 FUJITSU LIMITED
リスクベース監視・分析・リスクシナリオの作成・SIEMによる監視/分析・深掘調査・2次対応
セキュリティシステムの維持/管理・修正プログラムの適⽤・パッチ適⽤・インシデント管理・資産管理
脆弱性管理・診断・脆弱性診断・セキュリティ診断・セキュリティ監査・標的型メール訓練・ペネストレーションテスト
不測の事態の対応・マルウェアの駆除・情報漏洩対応
機密情報
セキュリティ対策
4つの機能を継続的に実施し安全性を確保
21
セキュリティ運⽤とは?
Copyright 2016 FUJITSU LIMITED
CSIRT(緊急対応組織)とは
昨今のサイバー攻撃は、攻撃者が明確な⽬的をもってターゲットを選定し、⽬的を達成するまで繰り返し⾼度かつ巧妙な攻撃を仕掛けてくる。
• 従来の情報セキュリティ担当の責務• 情報セキュリティマネジメントの構築• FirewallやIDS/IPS等による脅威への対策 (予防策の実現)• セキュリティの運⽤(診断や監視など)
+• これから求められる責務
(CSIRT : Computer Security Incident Response Team)• ⾼度な脅威源(国家レベル含む)の正しい理解• 現在受けている攻撃の背景の分析とリスクの推定• 緊急を要する場⾯での正しい決断(業務停⽌、ネットワーク切り離し)• 被害拡⼤の防⽌、「次の攻撃」の推測
Copyright 2016 FUJITSU LIMITED
経営レベルの意思決定を⽀援できるリスク管理の専⾨組織が必要
想定できる脅威に対応し、有事に備えるための組織
23
CSIRT(緊急対応組織)とは
Copyright 2016 FUJITSU LIMITED
ログ集約サーバ
ログ分析サーバ
セキュリティログ
・状況監視・エラー監視・問合せ受付・状況確認・エスカレーション
smtpサーバ DNSサーバF/W IDS/ADS WAF Webサーバ
SOC(Security Operation Center)
CSIRT
認証サーバ
・情報収集・詳細分析・フォレンジック・解析・対処決定
ルーター
解析⽤システム
セキュリティ関連ログ
運⽤監視サーバ
運⽤ログ
・死活監視・性能監視
性能・構成関連ログ
NOC(Network Operations Center )
セキュリティインシデント報告を受取り、調査、対応活動を実施
24
事故発⽣を抑制
事業継続
被害を極限化
早期復旧
インシデントハンドリングの実務を担う体制
Copyright 2016 FUJITSU LIMITED
インシデントマネジメント
脆弱性対応(バッチ適⽤など)
事象分析
普及啓発
その他インシデント関連業務
(予⾏演習など)
注意喚起
情報セキュリティの緊急対応の位置付け
インシデントハンドリング
①検知
連絡受付②
トリアージ③
インシデントレスポンス
④報告
情報公開
CSIRT
危機管理の機能(インシデントマネジメント)
緊急対応の4つの機能(インシデントハンドリング)
リスク管理
セキ
リテ
インシデント
発⽣
収束
危機管理
緊急対応
危機管理(インシデントマネジメント)とは 企業経営や事業活動、ブランドに重⼤な損失をもたらす、もしくは社会⼀般に重⼤な影響を及ぼすと
予想される事態が発⽣した場合に損失を最⼩限にするための活動出典:H27.11.26「経営リスクと情報セキュリティ〜CSIRT:緊急対応体制が必要な理由〜」
予防策(事前対策)
事中対策
事後対策
情報セキュリティ
対策
事中対策を実施することがCSIRTの役割
25
インシデントハンドリングの4つの機能
Copyright 2016 FUJITSU LIMITED
4つの機能 概要
①検知/連絡受付 事象の検知 セキュリティ監視機能によるインシデントの検知・通報
連絡の受付 利⽤者、管理者からのインシデントの連絡窓⼝
②事実確認と判断(トリアージ)
事実の確認 モニタリングで得られた情報の整理・ログ等の確認により事実を確認
対応の判断 事実の分析と事前に決められている対応の優先度の判断基準を照らし合わせて対応の優先度を決定
➂インシデントレスポンス
分析 インシデント事象の詳細分析
対処 インシデントの被害を局所化(局限化)するための対処の実施
エスカレーション リスク管理体制に従ったエスカレーション
連携 関係者(関連部署,外部関係者)との情報連携
④報告/情報公開 報告 利害関係者へのリスク・インシデントの影響、原因分析、対応状況等の報告・外部公開
情報公開
出典:H27.11.26「経営リスクと情報セキュリティ〜CSIRT:緊急対応体制が必要な理由〜」
セキュリティインシデント発⽣時、問題解決を⾏い収束させる
26
インシデントハンドリングの運⽤フロー(例)
Copyright 2016 FUJITSU LIMITED
時の流れ
インシデント発⾒者/関係者
連絡担当窓⼝ 経営層 CSIRT IT関連部署 外部専⾨
組織顧客/
主務官庁/関係者
発⾒した事象を連絡
連絡受領 連絡受領
トリアージ
回答
注意喚起
情報収集
事象の分析
回答
回答
技術対応が難しい場合
技術対応が可能な場合
対応計画 対応計画 対応計画
対応実施 対応実施 対応実施
⽀援情報提供
プレスリリ
スなど
検知/
連絡受付
トリア
ジ
インシデントレスポンス
連絡
事象共有
事象共有
回答
依頼
終了
終了
事象報告
終了
連携 連携
連携 連携
報告/
情報公開
対応の必要がない場合対応の必要がない場合
出典:H27.11.26「インシデントハンドリングマニュアル」27
富⼠通がご提供するセキュリティ運⽤サービス
Copyright 2016 FUJITSU LIMITED
Copyright 2016 FUJITSU LIMITED
SIEMマネジメントサービス
SOC/CSIRTの⼀部の役割もサービスとしてご提供グループ 役割名称 業務内容 担当
情報共有 POC(社外) NCA、FIRST、CSIRT、警察、監督官庁、等々との情報連携 お客様
POC(社内) 法務、渉外、IT部⾨、広報、各事業部、等々との情報連携 お客様IT部⾨との連携 適格で要領を得た⽂書の作成 SOC(⼀部オプション)
リーガルアドバイザー(法務関連)
コンプライアンス、法的内容とシステム間の翻訳 お客様(法務部⾨)
ノーティフィケーション(情報共有係)
各関連部署との連絡ハブ、情報発信 SOC
情報収集・分析
リサーチャー、キュレーター(情報収集)
定例業務。インシデントの情報収集、各種情報に対する分析、国際情勢の把握
SOC(⼀部オプション)
脆弱性検査、診断 NW、OS、セキュアプログラミングの検査、診断 SOC(オプション)
脆弱性分析、評価 NW、OS、セキュアプログラミング診断結果の評価 お客様(導⼊ベンダー)
セルフアセスメント(リスク分析担当)
平時のリスクアセスメント。有事の際の脆弱性の分析、影響の調査 「情報収集」参照
ソリューションアナリスト(製品情報収集)
ソリューションマップ作成、FiT&Gap分析、リスク評価、有事の際の有効性評価
お客様(情シス部⾨)
日本シーサート評議会作成「CSIRT人材の定義と確保(ver1.0)」P6より抜粋
29
Copyright 2016 FUJITSU LIMITED
SIEMマネジメントサービス(つづき)
グループ 役割名称 業務内容 担当インシデント対応 コマンダー
(現場責任者)全体統括。意思決定。社内PoC。役員、CISO、または経営層との情報連携
お客様(情シス部⾨:SOCがバックアップ)
インシデント管理(インシデント取りまとめ)
インシデントの対応状況の把握。コマンダーへの報告。対応履歴把握。
SOC
インシデントハンドラー(インシデント現場監督)
インシデント現場監督。セキュリティベンダーとの連携 お客様(情シス部⾨)
インベスティゲーター(トラブル対応)
社内捜査に必要な論理的思考、分析⼒、社内システム理解⼒を使った内偵
お客様(情シス部⾨)+SOC
トリアージ(優先決定) 事象に対する優先順位の決定。 SOCフォレンジクス(詳細解析)
証拠保全、システム的な鑑識、⾜跡追跡。マルウェア解析。
SOC(⼀部オプション)
社内教育 教育、啓発 教育、啓発社内のリテラシー向上、底上げ。 お客様(情シス部⾨)MSS業務 セキュリティ監視 セキュリティシステムから出⼒されたログの監視 SOC
設定変更 セキュリティシステムのポリシーチューニング お客様(情シス部⾨)
日本シーサート評議会作成「CSIRT人材の定義と確保(ver1.0)」P6より抜粋
SOC/CSIRTの⼀部の役割もサービスとしてご提供
30
Copyright 2016 FUJITSU LIMITED
SIEMマネジメントサービスのイメージ分析シナリオ・スクリプト
統合管理モニター
FEAST アナリストチーム(SOC)
SIEM
社内システム/ネットワーク
定期的にモニタリング
情シス部⾨
連携
連携
隔週で⾒直し
経営層/CISO
適⽤ 常時500程度のシナリオを維持
お客様
維持管理
CSIRTチーム
31
FUJITSU CLOUD SERVICE K5認証サービス
Copyright 2016 FUJITSU LIMITED
Copyright 2016 FUJITSU LIMITED
はじめに 〜認証統合の要は「4つのA」〜
認証統合は「4A」を軸にした検討が必要です
■認証(Authentication)⼈間・機器・プログラム等のものが想定通りのものであることを、他のものが確認すること、またはその機能。
■認可(Authorization)認証を受けた⼈間・機器・プログラム等のものに対して、機器・プログラム・データに対するアクセスを許可すること、またはその機能。
■管理(Administration)認証や認可を⾏うための利⽤者情報、機器情報等やアクセス制御情報を保有し利⽤・変更を可能にすること、またはその機能。
■監査&監査証跡(Audit & Audit Trail)機器・プログラム・データに対してアクセスした記録や履歴を保存し、そのアクセスの正当性をチェックや監査すること、またはその機能。
4A
33
認証(Authentication)
識別特性 認証⽅式の具体例 メリット デメリット1.記憶 ・⽂字列パスワード
・PIN(暗証番号)○導⼊・運⽤コストが安価○わかりやすい
●紛失・盗難に気づきにくい●簡単だと推測しやすい●複雑だと覚えにくい(忘却しやすい)
2.所持品 ・ICカード・証明書・トークン・機器に組み込まれたデータ
○悪⽤が困難○紛失・盗難に気づきやすい○モノを持っている安⼼感
●導⼊・運⽤コストが⾼価●紛失・盗難しやすい●壊れる
3.⾝体的特徴
・静脈・指紋・虹彩
○紛失・盗難されない○なりすましが困難
●⾼価●プライバシー●⼈によっては利⽤できない●誤検知の場合もある●ケガ等により損なわれる
Copyright 2016 FUJITSU LIMITED
⼈や機器の真正性を確認
234836
認証方式の識別特性とメリット・デメリット
34
ロール職位、資格、所属する組織や職責を⽰すものです。組織内における仕事や役割を表す⽤語を定義します。ロールの定義にしたがって必要な認可が割り当てられます。
Copyright 2016 FUJITSU LIMITED
認可(Authorization)
例 組織、所属を基準にロールを定義
・部⻑会議(参照・更新)・⼈事広報(参照)・給与情報(参照)・営業⽀援システム(参照・更新・決裁)
アクセス可能なコンテンツ
営業部⻑
認証された⼈や機器にアクセス権限(ロール)を付与
開発部ポータル
⼈事広報
営業⽀援システム
給与情報
部⻑会議
所属で区分したロール開発部
営業部
職位で区分したロール役員
部⻑
社員種別のロール派遣社員正社員
35
ライフサイクル管理社員の⼊社、退職、所属異動、休職、復職など、アカウント情報の登録から削除までの管理機能です。
⾮正規従業員の管理⼈事情報に登録されない、現場裁量にて採⽤される⾮正規従業員などのアカウント情報管理も適切に運⽤できる必要があります。
⼤規模異動処理への対応国内企業に特有の年度初めの⼤規模⼈事異動などにおいて、アカウント情報を迅速に対応させる必要があります。
Copyright 2016 FUJITSU LIMITED
管理(Administration)
引継期間
⼊社 旧所属
新所属 削除
所属異動
休職 復職 退職
⼈事データの流れアカウント情報のライフサイクル管理の⼀例
引継期間
⼈や機器のライフサイクルを正しく管理
アカウントロック
36
監査と証跡(Audit & Audit Trail)
Copyright 2016 FUJITSU LIMITED
いつ、だれが、だれの情報を操作したか いつ、だれが、どの端末にログインしたか いつ、だれが、どの端末でログインに失敗したか
3A(認証・認可・管理)
アクセスが許可されていない⼈や機器を排除
Audit & Audit Trail(監査と証跡)
許可されている⼈や機器による不正利⽤の検出
監査
「監査と証跡」により、3Aがより⼀層効果的に機能
セキュリティ管理者など
記録される情報例
37
■認証(Authentication)・SSO機能・ワンタイムパスワード・⽣体認証
■認可(Authorization)
(システムに依存するため業務アプリ側での対応)
■管理(Administration)・ID管理機能連携(今後提供)
■監査&監査証跡(Audit & Audit Trail)・監査ログ取得機能連携(今後提供)
4A
Copyright 2016 FUJITSU LIMITED
K5 認証サービスでの機能提供範囲
認証要素4つのうち、3要素を提供
38
Copyright 2016 FUJITSU LIMITED
K5 認証サービスとは –認証統合の課題-
クラウド時代において、利便性を損なわずに本⼈と証明できるパブリッククラウドサービスが必要となっている
認証サービスで課題解決!
K5 認証サービスの導⼊により、認証統合に関する様々な課題を解決します。
パスワードの管理が⾯倒、流出時のリスクが⼤きい
ワークスタイル変⾰に伴ったモバイル等のポータビリティを活かす
セキュアな認証が必要
複数システムへの認証が不便
外部クラウドサービス利⽤を視野に⼊れた認証⽅式の確⽴
簡単、迅速に実現できる柔軟性の⾼い認証が必要
複数の認証システムの運⽤・保守コストの増⼤
39
K5 認証サービス
Copyright 2016 FUJITSU LIMITED
認証サービスとは –サービス概要-Webアプリケーションに対して多様な認証機能をスピーディーに組み込みできるPaaSサービスです。本サービスにより、セキュリティ強化と利便性向上を実現します。
12345
個別システム(Webアプリケーション)
<認証サービスイメージ>
Office365
Salesforce
GoogleApps
SaaSアプリ
外部クラウドサービス
ID管理機能(外部機能)
監査ログ取得機能(外部機能)
監査ログ
⼈事DB
Webアプリケーション
SSO
多要素認証
ID・ロール
監査ログファイル取得
管理・運⽤
管理者・運⽤者
利⽤者
ログイン
取込
登録 取得分析
監査ログ取得機能連携(今後提供)
認証ログ
ID管理機能連携(今後提供)
ID・ロール
40
富⼠通の⽣体認証(⼿のひら静脈・指紋)の利⽤により、安全な認証システムの構築が可能になります。
セキュリティリスクの低減
認証サービスの特徴
標準規約に沿った認証⽅式(SAML,OpenID Connect 1.0)の採⽤により、他のクラウドサービスと連携、SSOシステムの構築が可能になります。
利便性の向上(シングルサインオン(SSO))
セキュリティ監査に必要となるアクセスログ(証跡ログ)の取得機能と連携予定です。
監査と証跡(今後提供)
社内業務アプリケーションのID情報と認証サービスのID情報を⼀元管理する機能と連携予定です。
ID管理(今後提供)
Copyright 2016 FUJITSU LIMITED41
Copyright 2016 FUJITSU LIMITED
社内仮想デスクトップサービスから順次適⽤ 富⼠通では、K5 PaaSの認証機能であるSecureAuthentication(SA)を活⽤した、
「富⼠通本⼈認証サービス」を開発中。 2016年度下期、社内仮想デスクトップサービスの認証に適⽤予定(下図参照) その後順次適⽤範囲を拡⼤する計画
富⼠通社内システムへの適⽤ 富⼠通株式会社 IT戦略本部
ActiveDirectory
仮想デスクトップ環境(VDI)
VDI Pool(Windows)
・・・
富⼠通本⼈認証サービス(SA活⽤)
ユーザ環境
VDIクライアント
⽣体認証・ワンタイムパスワード
クライアント
③⽣体認証(またはワンタイムパスワード)
④認証結果を保持しVDI接続
②富⼠通本⼈認証サービスへリダイレクト
ブラウザ
⑥仮想デスクトップへログオン
VDIサーバー
【図:仮想デスクトップ環境への適⽤イメージ】
⑤認証結果のAD検証VDIポータル
①ポータルにアクセス
42
Copyright 2016 FUJITSU LIMITED
お問い合わせ先 総合受付 お問い合わせ窓⼝
株式会社富⼠通システムズ・イーストソリューション販売推進部外線:03-6712-3830E-mail:[email protected]
43
44