情報漏えい対策 ソリューション 「Blue Coat Security Analytics Platform」

2015年7月15日

NECネッツエスアイ株式会社

Agenda

■マイナンバー導入に伴う情報漏えい対策強化ポイント

■Blue Coat SAP 活用例

■SSLの復号について

■SOCマネージドサービス

■まとめ

マイナンバー導入に伴う情報漏えい対策強化ポイント

4 © NEC Corporation 2015 NEC Group Internal Use Only

マイナンバー導入に伴う情報漏えい対策強化ポイント

平成27年10月 住民票を有する全国民にマイナンバーを通知

平成28年1月 社会保障、税、災害対策の分野で活用開始

国や地方公共団体で、年金・雇用保険・医療保険の手続、生活保護・児童手当その他福祉の給付、確定申告などの税の手続などで、利用されます

※出展：マイナちゃんのマイナンバー解説 http://www.cas.go.jp/jp/seisaku/bangoseido/gaiyou.html

マイナンバー制度とは

マイナンバーは 12桁の数字です

5 © NEC Corporation 2015 NEC Group Internal Use Only

マイナンバー導入に伴う情報漏えい対策強化ポイント

民間企業も税や社会保険の手続でマイナンバーを取り扱います。

・従業員の健康保険や厚生年金の加入手続を行う

・従業員の給料から源泉徴収して税金を納める

・証券会社や保険会社等の金融機関では、 利金・配当金・保険金等の税務処理を行う など

平成２８年1月の法施行までに、全企業で制度対応が必要になります

1.社内準備（経営システムの見直し、体制整備、教育など） 2.従業員・顧客から番号収集・管理 3.法定調書への番号記載

民間企業におけるマイナンバー

6 © NEC Corporation 2015 NEC Group Internal Use Only

マイナンバー導入に伴う情報漏えい対策強化ポイント

マイナンバー法の注意点

マイナンバーは、個人情報保護のために、その管理にあたっては、安全管理措置などが義務付けられます。 ●安全管理措置（番号法第12条、33条、34条、個人情報保護法第20条、21条）

個人番号関係事務実施者又は個人番号利用事務実施者である事業者は、 個人番号及び特定個人情報（以下「特定個人情報等」という）の漏洩、 滅失又は毀損の防止等、特定個人情報等の管理のために、必要かつ適切 な安全管理措置を講じなければならない。

※出展：特定個人情報の適正な取扱いに関するガイドライン（事業者編）

http://www.ppc.go.jp/files/pdf/261211guideline2.pdf

●罰則 ・最大で4年以下の懲役もしくは200万円以下の罰金（直罰規定）

・従業員等の違反行為に対して、その法人にも罰金刑が科される

マイナンバーに対するセキュリティ対策は必須！

7 © NEC Corporation 2015 NEC Group Internal Use Only

マイナンバー導入に伴う情報漏えい対策強化ポイント

マイナンバーに対するセキュリティ対策

マイナンバーの取り扱いに関するガイドラインには、以下の講ずべき 安全管理措置の内容が記載されています。

A 基本方針の策定

B 取扱い規定等の策定

C 組織的安全管理措置 →データの利用・取得状況等の 記録 が必要

D 人的安全管理措置

E 物理的安全管理措置

F 技術的安全管理措置 →システムとして 防御・分析 が必要

また、「特定個人情報保護評価(番号法第26条、27条)」として以下の ように記載されています。 特定個人情報の漏えいその他の事態を発生させる リスクを分析 し、 そのようなリスクを軽減するための適切な措置を講ずる

※出展：特定個人情報の適正な取扱いに関するガイドライン（事業者編） http://www.ppc.go.jp/files/pdf/261211guideline2.pdf

上記ガイドラインが求める「記録」「防御･分析（リスクを分析）」に対応するには ネットワークフォレンジックソリューションが最適であり、同ソリューション製品の

マーケットシェアＮｏ.１製品である Blue Coat SAP 導入を推奨いたします

8 © NEC Corporation 2015 NEC Group Internal Use Only

マイナンバー導入に伴う情報漏えい対策強化ポイント

弊社が考えるマイナンバー導入後イメージとセキュリティ対策

人事給与 システムなど

マイナンバー 管理システム

データ ベース

社内から 利用する 社員

社内ネットワーク

インターネット

インターネット上の Webサーバ

(危険がいっぱい)

システムとして防御・分析

防御･分析(リスクを分析)

記録 分析

防御

公開Web サーバ

社外から利用する社員

DMZ ネットワーク

セキュリティ デバイス群

データの利用・取得状況等の記録 記 録

マイナンバー データ保管

■情報漏えいリスクポイントとセキュリティ対策の考え方 インターネットに接続可能な 社内の端末 や 公開Webサーバ は常に脅威に晒されているため、情報漏えいのリスクが存在します。そのリスクポイントで、標的型攻撃やマルウェア感染、SQLインジェクション攻撃などの脅威の有無を分析し、脅威を防ぐポリシーをセキュリティデバイスに反映することで、セキュリティの強化を行います。

9 © NEC Corporation 2015 NEC Group Internal Use Only

ネットワーク上に流れるトラフィックをキャプチャ

して保存するネットワークフォレンジック製品

マイナンバー導入に伴う情報漏えい対策強化ポイント

Blue Coat SAP（Security Analytics Platform）とは

記録

防御･分析

リスクを 分析

取りこぼしのない証跡管理 最大10Gbpsまで取りこぼしなくパケットをキャプチャ（保存） 条件に該当するパケットをコピーし、外部へ転送（証跡提供） ⇒万が一のインシデント発生時にも過去に遡り通信内容の再現が可能

充実した分析機能 プロトコル･ファイル形式･時間･IPアドレス等様々な条件を元に高速で 検索しデータを追跡、更に2000以上のアプリケーションを識別（分類） ⇒IPSやサンドボックス等セキュリティ機器との連携による潜在的脅威の 分析、及び分析結果をポリシーとしてセキュリティ機器に反映して防御

脅威情報DB連携による潜在的脅威可視化 Blue Coat GIN(高精度脅威情報DB)と連携したレピュテーションにより 危険性の高い通信先･通信内容を検出 ⇒情報漏洩のきっかけになる通信の可視化することで対策可能に！

10 © NEC Corporation 2015 NEC Group Internal Use Only

①特定個人情報のやり 取りを記録

②標的型攻撃や脆弱性 を付く攻撃を含む 通信を記録

マイナンバー導入に伴う情報漏えい対策強化ポイント

ガイドライン要求事項とSAP製品機能とのマッピング

Blue Coat Security Analytics Platform を導入することで マイナンバー導入に伴う情報漏えい対策の強化が可能！

記録 防御･分析（リスクの分析①）

IPS等のセキュリティ機器と連携してアラートの詳細分析を実施 →分析結果をポリシーに 反映して防御に活用

製品での対応

課題

C 組織的安全管理措置

データの利用・取得 状況等の記録が必要

F 技術的安全管理措置

システムとして 防御･分析が必要

リスクを分析

リスクを分析し、リスクを軽減するための適切な措置が必要

リスクの分析②

Blue Coat SAP独自の高精度脅威 情報DBと連携し脅威の可視化強化 ※オプション

Blue Coat SAP 活用例

12 © NEC Corporation 2015 NEC Group Internal Use Only

Blue Coat SAP 活用例

記録 – 取りこぼしのない証跡管理

公開Web サーバ

人事給与 システムなど

マイナンバー 管理システム

データ ベース

マイナンバー データ保管

社内から 利用する 社員

インターネット 社外から利用する社員

DMZ ネットワーク

社内ネットワーク

インターネット上の Webサーバ

(危険がいっぱい)

記録 分析

防御

■複数ポイント同時のキャプチャが可能、10Gbpsまで対応

■キャプチャポイント毎の分析・解析が可能、全てのキャプチャデータをマージした解析も可能

■フィルタリングして取得したいパケットのみをキャプチャ（L4レベルでフィルタ可能）

記録

Blue Coat SAP

13 © NEC Corporation 2015 NEC Group Internal Use Only

Blue Coat SAP 活用例

公開Web サーバ

マイナンバー 管理システム

データ ベース

マイナンバー データ保管

社内から 利用する 社員

インターネット

攻撃者

IPS

SandBox

分析 – 充実した分析機能

IPSやSandBox等の ログだけでは、明確な 被害状況が把握できない

キャプチャ

キャプチャ

Blue Coat SAP

パケット情報から、いつ、どこで、何が起きたのかを把握可能 SAPでは様々な角度から分析できるメニューが揃っており、 迅速かつ明確に被害状況を特定可能

アラート検知

アラート検知

源泉徴収

14 © NEC Corporation 2015 NEC Group Internal Use Only

Blue Coat SAP 活用例

分析 – 充実した分析機能

▌次項から、SQLインジェクション攻撃を検知した際にSAPを活用してどのように分析を行い防御につなげるのかをご説明いたします

公開Web サーバ

インターネット IPS

不正なSQLコマンドを送信

Blue Coat SAP

個人情報漏えい

源泉徴収

マイナンバー 管理システム

データ ベース

マイナンバー データ保管

攻撃者

※SQLインジェクション攻撃とは Webサイトの検索入力欄などで、Webサイト側が想定しないデータベース操作コマンド（SQLコマンド）を実行することにより、データベースシステムを不正に操作する攻撃方法

15 © NEC Corporation 2015 NEC Group Internal Use Only

Blue Coat SAP 活用例

▌IPSにてSQLインジェクション攻撃を検知。しかし、IPSのアラート画面では攻撃が成功した（情報が漏えいした）のかどうかが分からない

公開Web サーバ

データ ベース

インターネット 攻撃者

IPS Blue Coat SAP

マイナンバー 管理システム

源泉徴収

16 © NEC Corporation 2015 NEC Group Internal Use Only

▌IPSで検知した攻撃元のIPアドレスを用いて、SAPで検索対象を絞ります

Blue Coat SAP 活用例

▌絞った通信内容のパケットを確認します

公開Web サーバ

データ ベース

インターネット 攻撃者

IPS

マイナンバー 管理システム

源泉徴収

Blue Coat SAP

17 © NEC Corporation 2015 NEC Group Internal Use Only

▌攻撃元IPアドレスから、サーバに対して不正なSQLコマンドが送信されていることがわかります

Blue Coat SAP 活用例

公開Web サーバ

データ ベース

インターネット 攻撃者

IPS

マイナンバー 管理システム

源泉徴収

Blue Coat SAP

18 © NEC Corporation 2015 NEC Group Internal Use Only

▌プレビュー機能で実際に攻撃者が閲覧したページを再現します

Blue Coat SAP 活用例

不正なSQLコマンドにより、閲覧出来てはいけない情報（個人情報を含む、IDとPASSWORD）が 攻撃者に閲覧されていた ＝ 漏洩していた！

公開Web サーバ

データ ベース

インターネット 攻撃者

IPS

マイナンバー 管理システム

源泉徴収

Blue Coat SAP

19 © NEC Corporation 2015 NEC Group Internal Use Only

Blue Coat SAP 活用例

▌他にも同攻撃者からの攻撃が無いか、同IPからの通信内容を確認します

漏洩したID・PASSWORD情報によりWEBサービスにログインされ、さらに個人情報を閲覧された＝漏えいした2次被害までも確認

公開Web サーバ

データ ベース

インターネット 攻撃者

IPS

マイナンバー 管理システム

源泉徴収

Blue Coat SAP 分析結果

20 © NEC Corporation 2015 NEC Group Internal Use Only

▌SAPで分析した結果をそのままにするのではなく、IPS（セキュリティ機器）に反映することが必要です。

Blue Coat SAP 活用例

攻撃手法、攻撃元IPアドレスをブロックポリシーとして反映

セキュリティ強化のサイクルを確立し、 よりセキュリティを強固なものにすることが大切

公開Web サーバ

データ ベース

インターネット 攻撃者

IPS Blue Coat SAP

マイナンバー 管理システム

源泉徴収

分析結果 ポリシー

21 © NEC Corporation 2015 NEC Group Internal Use Only

Blue Coat SAP 活用例

事例では、IPS等のセキュリティデバイスのアラートをトリガーにしてSAPにて分析を行っていたが、SAP上でも脅威情報DBを基にした レピュテーション機能を利用することで、より高精度にリスクを分析。

Blue Coat SAPでは、オプションであるThreat Bladeを利用すること によって、Blue Coat SAP独自の高精度の脅威情報DBと連携し、 脅威の可視化を強化。

Threat Bladeは、Web／Mail／Fileの観点でレピュテーションを実施。

リスク分析 - 脅威情報DBとのレピュテーション機能

HTTP, HTTPSに対応

不正なIPアドレス、URL

との通信を検知

不正なコンテンツを検知

SMTP, POP3に対応

不正なメールを検知

FTP, SMBに対応

不正なファイルを検知

22 © NEC Corporation 2015 NEC Group Internal Use Only

また、Threat Bladeは、Blue Coat社の既存技術であるWebPulse機能を基にした Global Intelligence Network（GIN）システムと連携し、他製品にはないセキュリティに特化した検知機能を有しています。

Blue Coat SAP 活用例

リスク分析 - 脅威情報DBとのレピュテーション機能

GINシステム

全世界7500万ユーザの情報を共有 5億以上/１日 のWebリクエストを処理 55ヶ国語に対応 未知のURLをリアルタイム解析 サンドボックス20以上の脅威検出エンジン ホワイトハッカーによる動的解析 高い確率でC&Cサーバを検知

Blue Coat SAP

Threat Bladeを利用することで 分析機能を強化可能

SSLトラフィックの復号について

24 © NEC Corporation 2015 NEC Group Internal Use Only

SSLトラフィックの復号について

▌SSLトラフィックは暗号化された状態

そのままではBlue Coat SAPでトラフィックを

保存しても、無意味（分析もできない）

完全な証跡保存・分析には

SSLトラフィックを復号する必要がある

暗号化されたトラフィックの分析

25 © NEC Corporation 2015 NEC Group Internal Use Only

SSLトラフィックの復号について

SSLトラフィックは、クラウドコンピューティングの

利用増などに伴い、急増している。

多くのネットワークでは40％がSSLトラフィック

特定のネットワークでは70％とも言われている。

ネットワークフォレンジックでは、SSL暗号化された

トラフィックは保管はできても分析はできない。

証跡を管理するには、全てのデータが読み取れる形で

保管されている必要があり、SSLトラフィックの復号は必須。

近年SSL暗号化 通信は急増傾向

SSLトラフィック復号の必要性

26 © NEC Corporation 2015 NEC Group Internal Use Only

SSLトラフィックの復号について

Blue Coat SSL/VA（SSL Visibility Appliance） は、

SSLトラフィックを復号する専用アプライアンスです。

復号した通信は、接続した機器に転送します。

インターネット

社内ネットワーク

Web サーバ

Blue Coat SSL/VA

ユーザ

既存機器で ノーチェックだった 通信が検査可能に

コピー 復号 @:/~;fasdfas@:abc/21plpl

:;l-u・・・・

abcdefghijklmnopqrstuvw

xyz・・・・

@:/~;fasdfas@:abc/21plpl:

;l-u・・・・

SSL復号装置(Blue Coat SSL Visibility Appliance)

Forensic IPS

Firewall Sandbox

・ ・

27 © NEC Corporation 2015 NEC Group Internal Use Only

SSLトラフィックの復号について

Blue Coat SSL/VA は、 フォレンジックソリューションには不可欠

Blue Coat SSL/VA の導入効果

・SSLトラフィックを復号し、Blue Coat SAPに 保管することで、完全に記録

・同様に欠損の無い完全な過去データを基にした 漏れの無い分析（リスク分析） ・復号したデータは複製して他の既設セキュリティ機器に 送ることが出来るため、既存セキュリティ対策の強化も実現

SOCマネージドサービス

29 © NEC Corporation 2015 NEC Group Internal Use Only

SOCマネージドサービス

設備に対する運用の課題

①特定個人情報のやり 取りを記録

記録 防御･分析（リスクの分析①） リスクの分析②

②標的型攻撃や脆弱性 を付く攻撃を含む 通信を記録

IPS等のセキュリティ機器と連携してアラートの詳細分析を実施 →分析結果をポリシーに 反映して防御に活用

Blue Coat SAP独自の高精度脅威 情報DBと連携し脅威の可視化強化 ※オプション

製品での対応

設備は整えたが・・・

①特定個人情報のやり 取りを記録

記録 防御･分析（リスクの分析①） リスクの分析②

②標的型攻撃や脆弱性 を付く攻撃を含む 通信を記録

IPS等のセキュリティ機器と連携してアラートの詳細分析を実施 →分析結果をポリシーに 反映して防御に活用

Blue Coat SAP独自の高精度脅威 情報DBと連携し脅威の可視化強化 ※オプション

製品での対応

各企業単独での調達は困難

外部サービスの利用等アウトソーシングが理想

C S I R T

S O C

監視オペレータ アナリスト

組織・体制・仕組み 専門知識・ノウハウ

30 © NEC Corporation 2015 NEC Group Internal Use Only

SOCマネージドサービス

▌弊社ではSOC／Managed Security Serviceメニューが充実

IDS/IPSや次世代FW、サンドボックスなどのアラート監視サービス

分析には、SOCマネージドサービスが必要不可欠

IPS SandBox

アナリスト

監視オペレータ

Proxy

NESIC SOCサービス

ＮＥＣネッツエスアイのマネージドサービスで SAPの分析機能を有効活用

監視・運用

※トラフィック分析サービスは ２０１５年下期リリース予定

セキュリティ 対策実施

SSL/VA SAP トラフィック分析

既存サービス

新サービス

連携

お客様

お客様

通報

分析結果 を報告

まとめ

32 © NEC Corporation 2015 NEC Group Internal Use Only

まとめ

●マイナンバー導入に伴い情報漏えい対策強化は必須

●ガイドラインの要求事項はBlue Coat製品だけで 満たすことができる

●番号通知まで2ヶ月弱、運用開始まで約半年

●NECネッツエスアイなら 導入から運用まで

一貫してお客様をサポート

対応はお早めに！

お問い合わせはNECネッツエスアイまで！