情報セキュリティ脅威の変貌に対する思い個人情報保護法(2003) iso/iec...
TRANSCRIPT
NEC BIGLOBE1
情報セキュリティ脅威の変貌に対する思い
2010年10月28日
NECビッグローブ(株)代表取締役社長
飯塚 久夫
NEC BIGLOBE2
深刻化するセキュリティ対策
“犯罪のビジネス化!! !”
コンピュータウイルスを使った犯罪の大規模化と犯罪組織によるビジネス化が増大
個人情報やアカウント情報(ID/PW)が売買され、ボットを感染させる組織と、それを使って脅迫や詐欺を実行する組織の分業化も進行
NEC BIGLOBE3
攻撃のポイントとねらい
ISPの場合、自身への攻撃だけでなく顧客の被害予防も期待されている
攻撃ポイント ねらい
管理不備のサーバ(セキュリティホール、弱いPW、設定ミスなど)
攻撃の中継サイト化(踏み台化)
Webアプリのぜい弱性(SQLインジェクションなど)
個人情報、カード番号の搾取
標的型攻撃 管理者権限、機密情報の奪取
DoS攻撃( 近はDNSサーバも攻撃対象)
企業恐喝、業務妨害(請負攻撃)
ユーザPC(ユーザアプリのぜい弱性、USBメモリ媒介ウイルス)
ボット化、アカウント情報奪取なりすまし被害、サイト改ざん
NEC BIGLOBE4
(例)ボット感染通知システム
The Internet
BIGLOBE
ビッグローブのセキュリティサービス取組み例
フレッツ網
マネジメントサーバ
BIGLOBE
ユーザID
アドレス情報
感染ログ
制御情報
Radius
感染ユーザ
【警告】ボットに感染しています
以下URLで対処くださいhttp://bot-taisaku.jp
一般ユーザ
リダイレクト
Honeypot
不正アクセス防御
詐欺サイト接続防止
今やインターネットを流通する電子メールの8割以上がスパム(迷惑)メール
技術を誇示する愉快犯から金銭搾取を狙う犯罪への移行はますます進む
不正に入手した情報が売買される闇市場規模は既に米国では6兆円!いずれ日本も!?
優先制御機能を積極活用してセキュリティサービス強化
NEC BIGLOBE5
ISPを取り巻く昨今のセキュリティ事情
NEC BIGLOBE6
Gumblarの脅威と対応
NEC BIGLOBE7
Gumblarとは?
攻撃者サイト正規サイト(改ざん)
①アクセス
ABCへようこそ PDF
Flash
③ダウンロード(感染)
<script>・・・・・・・・・</script>
感染 ID/PW漏えい~改ざん
管理対象Web
②誘導 ②FTPログイン(コンテンツ管理)
⑤FTPログイン(改ざん)
①通信を監視③ID/PW盗聴
コンテンツ管理者
④ID/PW通知
攻撃者サイトへ誘導し、ウイルスをダウンロードさせる攻撃
コンテンツ管理者
アカウント情報(ID/PW)を奪取、さらなる攻撃に悪用
・被害対応工数増・損害賠償の発生・ブランド失墜・機会損失
NEC BIGLOBE8
ビッグローブの対応
・ 証拠保全、影響確認、原因特定、再発防止、顧客対応の適正実施の推進
改ざん発見時の対処策定
危険性が高いサーバのリスク低減
・ 対象の特定(ANYからFTP可能なサーバ)
・ FTPサービスの停止、FTPアクセス制御
・ 顧客要件の場合顧客への注意喚起+低減策の提案
コンテンツ管理者のウイルス対策強化
・ コンテンツ管理委託先やパートナー企業に対して問診+対策依頼
・ 定期確認プロセスの確立
顧客問い合わせへの適切な対応
・ Gumblarに関する正しい情報の共有
・ 対策内容の情報共有
NEC BIGLOBE9
2009年 2010年
Gumblar改ざん被害件数の推移
FTPアクセスを国内に制限
FTPアクセスを国内に制限
※対象はBIGLOBEの個人HP。ユーザ申告等で検出されたものをカウント(改ざん発生時ではない)。
イベントドリブン対応
イベントドリブン対応
被害急増対応工数も増大
被害急増対応工数も増大
NEC BIGLOBE10
DNSサービスのセキュリティ
NEC BIGLOBE11
ISPにおけるDNSサービスと脅威
ISPのDNSサービス
DNSコンテンツ DNSキャッシュ
法人などの独自ドメイン提供自主サービスのドメイン
顧客(個人・法人)のDNS参照
脅威と対策
脅威 対策
キャッシュ汚染攻撃(名前解決結果の改ざん、罠サイトへの誘導)
オープンリゾルバの撲滅DNSSEC
DoS攻撃(ドメイン参照不可、ネット利用不可)
オープンリゾルバの撲滅DNSサーバ増強(耐性強化)
利用シーンの拡大・高度化(DNSSEC、メール発信者認証、児ポ対策による負荷上昇や運用コスト増)
DNSサーバ増強運用ツールの整備
NEC BIGLOBE12
ビッグローブのオープンリゾルバ対策効果
不正クエリ
フィルタドロップ数
12/9 12/12 12/10 12/11
フィルタ適用フィルタ適用
不正クエリ:「.」のNSレコードまたはDNSサーバ自身のIPアドレスの逆引き
中国をフィルタしたときの前後のグラフ。フィルタ適用でドロップ数がいったん増えた後減少に転じている。対策によって攻撃者にとって使えないサーバと見なされて、彼らの管理リストから外されたのではないかと推測。
NEC BIGLOBE13
IP電話のセキュリティ
NEC BIGLOBE14
IP電話サービスの不正利用
海外有料サービスを利用して金銭取得
The Internet 電話網
海外有料サービス
SIPサーバ ゲートウェイ
搾取したID/PW
利用料として高額請求
正規ユーザ
事業者毎サービスモデルが異なる それぞれで対策検討ユーザのID/PW参照・変更停止、SIPサーバのアクセス制御など
①あの手この手で正規ユーザのID/PWを入手
②入手ID/PWでSIPログイン③海外有料サービスをコール④利用料は正規ユーザに請求⑤情報料は攻撃者の手へ
④
① ② ③
⑤
NEC BIGLOBE15
クラウドのセキュリティ
NEC BIGLOBE16
クラウドにおけるセキュリティの考え方
個人や組織のデータやシステムの外部委託が促進される
サービスレベルを事前確認できるかどうかがポイントに
出所:経産省「クラウドサービスレベルのチェックリスト」を基に変更
アプリケーション運用 サービス終了時の事前通知、サービス停止に対する対処ディザスタリカバリ、重大障害時の代替手段アップグレード方針
システム監視基準、監視間隔、通知プロセス、通知時間
ログの取得、トレーサビリティの確保
処理の応答時間、同時接続利用者数、提供リソースの上限
サポート 障害等対応時間帯(時差も考慮)、サポート言語
データ管理 バックアップ(方法、タイミング、保存期間、世代数)
データ消去方式、データ保護のための暗号化・アクセス制御データ漏えい・破壊時の補償/保険、データのロケーション
解約時のデータポータビリティ
セキュリティ 公的認証取得、APの第三者評価、ウイルス対策
セキュリティインシデント発生時の対応
NEC BIGLOBE17
攻撃者のクラウド利用
安定したリソースを安価に利用可能→攻撃者にも魅力
攻撃者の利用防止、攻撃利用の検知が課題
• 暗号解読• パスワードクラック• ボットネットのコントロールサーバ• 攻撃ASP販売など
先行する海外クラウド事業者で既に悪用の実績あり! ! !
NEC BIGLOBE18
PCI DSS
NEC BIGLOBE19
カード情報保護のグローバル標準への対応
第三者視点でのお墨付きの一つISMS、Pマーク、安全安心マーク、・・・
具体的なセキュリティ実装を要求
ISPの多くはクレジットカードの「加盟店」会員向けのクレジットカード決済業務が対象
IaaS/PaaS/SaaS顧客がPCI DSS
準拠する場合の対応は課題PCI DSSは関連するシステムにも対応を要求
システム連携チェーンとして対応が必要になり得る
ビッグローブは6月に加盟店としてPCI DSS認定取得!!!
NEC BIGLOBE20
暗号の2010年問題
NEC BIGLOBE21
暗号の2010年問題
計算機の性能向上により一部暗号の解読リスクが増大
既存システムにおいて暗号方式の変更が必要に
暗号の種類 危殆化対象 推奨方式
共通鍵暗号 2-key Triple DES AES
公開鍵暗号鍵長1024bit RSA鍵長1024bit DSA鍵長160bit ECDSA
鍵長2048bit 以上鍵長2048bit 以上鍵長224bit 以上
ハッシュ関数 SHA-1SHA224SHA256SHA512
NEC BIGLOBE22
ISPとしての対応
(一般論)再署名などの対応が課題(幸い?)ISPとしてはあまり関係ない
ISPではSSL・TLS通信で影響が考えられるCA発行のSSL証明書の仕様変更が開始
未対応クライアントあり(古い機種の携帯電話)
影響確認中
NEC BIGLOBE23
IPv6
NEC BIGLOBE24
(BIGLOBE)2010年度末までに全サービスIPv6対応予定(デュアルスタック化)
セキュリティのベストプラクティス不在
セキュリティ製品の対応も不十分
代替策で対応(コスト増)
代替策なしのおそれ
徐々に解決?
動向を注視、タイムリに対応していく必要性
業界としての連携、ベストプラクティス策定
T-ISAC-Jなど
NEC BIGLOBE25
Androidなどの新携帯端末
NEC BIGLOBE26
位置情報とプライバシ問題
機器認証
紛失・盗難リスクへの対策端末自体にもセキュリティ機能を
リモートから制御(ポリシー強制、端末・データロック、データ消去等)
データ暗号化、ローカルに持たせない
NEC BIGLOBE27
情報セキュリティに対する
新たな取り組みの必要性
(以下4枚の出展:テレコムISAC)
NEC BIGLOBE28
情報セキュリティに係る脅威と問題の変質
目立つ大規模なサイバー攻撃日本官公庁サーバへの攻撃NIMDA、Code Red、SQL Slammer、Blaster/Sobig F 情報管理体制強化動向のトリガー
個人情報保護法(2003)ISO/IEC 27001(2005)JSOX法(2006)
Botnet脅威の拡大
組織内情報管理体制構築の普及サイバー攻撃(脅威)の見えない化大規模サイバー攻撃の潜在化
大規模サイバー脅威の再発(再表面化)韓国7.7大乱(2009)エストニア、グルジアへのサイバー攻撃
脅威変質に追従するためには、対処戦略の考え方に変化が求められる
NEC BIGLOBE29
守るべきもの
情報管理分野
③システムファクタ
④管理等ファクタ
サイバ攻撃分野
(人的、設備的、規則的等)
脅威とリスクは組織の外から 脅威とリスクは組織の内から
組織機能ビジネス信頼 等
戦略変化のきざし:CNDとIA仕分け
パターン分野②「情報搾取課題」
パターン分野①「攻撃課題」
パターン分野③「情報管理(漏洩)課題」
最新脅威対応
IA(情報保証)CND(サイバー攻撃防御)
日米政府動向: 情報セキュリティをCNDとIAに分けて考える。
米国の米国連邦政府のサイバーセキュリティ政策においても分けて考える動向
NISC(内閣官房情報セキュリティセンター)内でも情報セキュリティをCNDとIAとに分離した議論が進行中
【参考】ISO/IEC 270012005シリーズ、JIS Q 15001:2006では、一つの体系の中でまとめて(情報資産、サーバー防御、ネットワーク)見ていた。PCI DSS(2004年~)にて分離傾向が見られる。
ほぼ体制整備
CND(サイバー攻撃防御)とIA(情報保証)は別分野:業態も別
NEC BIGLOBE30
CNDをくくり出すことで整理すべき事項
ここのギャップは大きい
問題意識:国民を守る情報セキュリティ戦略抜粋「第2次情報セキュリティ基本計画」(平成21年2月2日)に基づき、官民の各主体によって取組が推進されてきたところである。他方で、「第2次情報セキュリティ基本計画」策定後、平成21年7月の米韓に対する大規模サイバー攻撃や大規模な個人情報漏えい事案の発生も後を絶たない・・・
日本におけるリアルの世界では、対抗手段・それを使う実施主体は(縦方向の)3つの階層で異なる。たとえば、治安維持装備品(ピストル)は民間サービス業は使用できない。武器兵器(戦闘機、ミサイル)は民間サービス業も警察も使用できない。CNDについてはどうか
主導主管庁 対抗手段 実行主体
平時活動分野
収益性に基づいた経済的競争領域として活動する分野
警察 治安維持装備品 警察庁 非競争領域分野
国 の安全を守る首相官邸が危機管理省庁と連携して対応する
武器兵器 警備警察 自衛隊
税金
民間資金
財務基盤資金調達先
武力攻撃事態 (緊急対処事態)
重要事項リアル世界における
国民の安全を守る
行動原理
業界主管官庁 防災・防災設備 民間サービス業
NEC BIGLOBE31
主導主管庁 対抗手段 実行主体 主導主管庁 対抗手段 実行主体
平時活動分野 平時活動分野
収益性に基づいた経済的競争領域として活動する分野
収益性に基づいた経済的競争領域として活動する分野
警察 治安維持装備品 警察庁 非競争領域分野 警察 T-ISAC-J? 通信事業者
非競争領域分野の有無?
国 の安全を守る首相官邸が危機管理省庁と連携して対応
武器兵器 警備警察 自衛隊
税金首相官邸が危機管理省庁と連携して対応
通信事業者
想定脅威軸足
大規模緊急事態
行動原理
CNDにおける
業界主管官庁 通信事業者民間資金
財務基盤資金調達先
武力攻撃事態 (緊急対処事態)
重要事項リアル世界における
国民の安全を守る
行動原理
業界主管官庁 防災・防災設備 民間サービス業
サイバ
ー
攻撃
IT障害
CNDの場合はどうか?
論点2対抗手段は全て同じ、異なる・・・どっち?
論点3実行主体は全て通信事業者、対抗手段ごとに異なる・・・どっち?
論点4非競争領域分野の有無
(すべて経済活動的な競争分野で実施)
T-ISAC-Jのミッションを位置づけたいPost CCCを位置づけたい
対策を
重視
脅威分析
を重視
論点1各場面での主導主管庁は?(確認)
論点5大規模事態の定義と発動の規定は?大規模事態の開始と終了の定義は?
NEC BIGLOBE32
テレコムISACの意義「健全なセキュリティは高邁なコラボレーションから!」
NEC BIGLOBE33
“公(おおやけ)”性の復権
・情報セキュリティ対策の行動科学的アプローチが益々重要!
・そのためにも「個人情報保護」についての、新たな論議が望まれる。
(例)
< 「緩話急題」 日本は個人情報途上国>『あふれる情報の中で、何を保護し、何を活用すべきなのか。規制の範囲がはっきりしなければ、活用できる範囲もわからない。プライバシー問題への対処は、IT分野の国際競争に勝ち抜くためにも、避けて通れない道だろう』
(読売新聞社会部次長 若江雅子 2010.9.3)
NEC BIGLOBE34
<「親は知らない」ネットの事前規制 議論を>
『事前チェックができないのは、憲法や電気通信事業法の「通信の秘密を侵してはならない」という規定のためだ。非常に大切な規定だが、ネット上で不特定多数に向けて発信する情報も、こうした「通信」にあたるのか、という点には異論もある。どこまでの事前規制なら法に触れないのか。議論が必要な時期に来ているのではないか』(KDDI社長兼会長 小野寺正 読売新聞 2010.10.6)
NEC BIGLOBE35
You Tube動画(384Kbps)1本(5分)視聴で生
じる転送量は14MByte
A) あるISPの調査では上位1%のユーザがトラヒックの51%以上を占有
B) 別なISPの調査では、上位3%のユーザがトラヒックの85%を占有
一部利用者によるトラヒックの占有(下り) (出典:JAIPA)
全ユーザの平均転送量は172MByte(上位1%を除くと84MByte)
一番多いユーザの転送量は67GByte(全ユーザ平均の380倍、上位1%を除くと771倍) ある県のPOI 約1万人の利用者の上位5%についてグラフ化
(全体だとグラフがほとんど下に張り付いてしまうため上位5%のみを抽出)
ISP Aにおける調査(24時間のユーザ毎の下り転送量) (P2P帯域制御後) 2007年10月
平均で380倍
の格差
単位:GByte
上位から500番目で約530MByte
POIはPoint of Interface: NTT東西地域IP網との
相互接続点
ISPからユーザにむけてのトラヒック
利用者全体の5% ここまででトラヒックの71%を占有
利用者全体の1% ここまででトラヒックの51%を占有
NEC BIGLOBE36
A) あるISPの調査では上位1%のユーザがトラヒックの83%以上を占有
一部利用者によるトラヒックの占有(上り) (出典:JAIPA)
全ユーザの平均転送量は120MByte(上位1%を除くと19MByte)
一番多いユーザの転送量は107GByte(全ユーザ平均の932倍、上位1%を除くと5753倍)
ISP Aにおける調査(24時間のユーザ毎の上り転送量) (P2P帯域制御後) 2007年10月
平均で932倍
の格差
単位:GByte
上位から500番目で約39M Byte
POIはPoint of Interface: NTT東西地域IP網との
相互接続点
ユーザからISPにむけてのトラヒック
利用者全体の1% ここまででトラヒックの83%を占有
ある県のPOI 約1万人の利用者の上位5%についてグラフ化(全体だとグラフがほとんど下に張り付いてしまうため上位5%のみを抽出)
平均すると常時10Mbps(コンテンツ
事業者向け料金では月額20万円程度)
例) 個人向け契約回線を利用して、動画コンテンツを提供している事業者?
NEC BIGLOBE37
後に私の主張(日本の情報関連産業活性化のために)
「通信の秘密」の原点(真の自由と公益)に立ち戻り、行き過ぎた「個人情報保護」を見直し、先進国の中でも日本が も遅れをとっている
国民IDを迅速に導入し、悪平等でなく、真に公平な社会を改めて実現することが、技術者のインセンティブ向上、世界の中における日本のIT産業復活、ひいては(今後益々増大する懸念のある)ネット犯罪抑制につながる!
NEC BIGLOBE38
<参考>BIGLOBE事業の概況
NEC BIGLOBE39
NECビッグローブ株式会社の概要
会社名
NECビッグローブ株式会社
設立日
2006年7月3日
資本金
103.5億円
従業員
約600名+500名
★会員数 約2200万人
5% 2.5%
5% 2.5%
7%
EC・コンテンツ事業
ネット金融関連事業
ブロードバンド広告事業
78%http://www.biglobe.co.jp
X% 株主出資比率
NEC BIGLOBE40
クラウドデバイス&サービス事業を開始
BIGLOBEならではの新コンセプト端末「クラウドデバイス」を提供
インターネット接続サービス、ポータルサービスと一体化した「クラウドデバイス」を中核に事業展開
クラウドデバイス見やすい画面
どこでも使える
直感的な操作感
簡単な通信設定
NEC BIGLOBE41
アプリ・コンテンツマーケットの開始
BIGLOBEBIGLOBEアプリ・コンテンツマーケットアプリ・コンテンツマーケット
コンテンツコンテンツ
世界中の販売者・世界中の販売者・開発者開発者(個人/法人)(個人/法人)
世界中の世界中のクラウドデバイス利用者クラウドデバイス利用者
アプリアプリ
マッチングマッチング
グローバルでオープンなマーケットプレイス
2010/12010/1サービス開始サービス開始
クラウドデバイスのプラットフォームとして、ポテンシャルの高いAndroid向けにサービスを提供
http://http://andronavi.comandronavi.com
ア ン ド ロ ナ ビ
NEC BIGLOBE42
BIGLOBEの事業ビジョン
「つながる歓び、つなげる喜び」
社会動向
技術動向
実感
知恵
知識
情報
楽しみや感動の実感
新たな知恵・価値の
創造
一人ひとりにあわせてつながる
安心・安全につながる
簡単・快適につながる
いつでもどこでもつながる
人や企業、知識の
出会いの場
事業ビジョン
(目指す姿)
お客さま一人ひとりの“かなえたい想い”を実現する
サービスパートナー
NEC BIGLOBE43