日本におけるサイバー復旧の現状 ~サイバー復旧意 …...dell emc cyber recovery...
TRANSCRIPT
© Copyright 2018 Dell Inc.1
Dell EMC Cyber Recovery Index 2018
日本におけるサイバー復旧の現状 ~サイバー復旧意識調査より
デル・テクノロジーズ株式会社 DPS事業本部
© Copyright 2018 Dell Inc.2
• 日本企業におけるサイバー脅威に対するセキュリティ対策の現状をヒアリング
• 昨今激化するサイバー脅威の変貌による意識や対策の変化を明確化
• 同時に、最新のサイバー脅威対策:「サイバー復旧」に関する意識と優先度を確認
調査の目的:Dell EMC CYBER RECOVERY INDEX 2018
© Copyright 2018 Dell Inc.2
© Copyright 2018 Dell Inc.3
調査期間 2018年4月中旬~2018年5月下旬
調査概要
◼ 日本における「サイバー復旧」の意識・成熟度調査をおこなうため、
大手企業(従業員規模1,000名以上)の責任者
クラスに対し、電話によるインタビューを実施
調査対象
◼ 企業内のサイバー脅威対策・リスク管理における
責任者および意思決定者
✓ 従業員数1000名以上の民間企業
✓ 金融、製造、流通サービス、社会インフラ、学校法人など
調査ポイント◼ 企業におけるセキュリティ対策全般の意識・状況
◼ サイバー脅威の変貌を踏まえた施策変更
◼ サイバー攻撃後を想定した対策(サイバー復旧)の意識や有無
サイバー復旧に関する日本企業の意識調査
Dell EMC CYBER RECOVERY INDEX 2018
© Copyright 2018 Dell Inc.3
© Copyright 2018 Dell Inc.4
Dell EMC CYBER RECOVERY INDEX 2018 サイバー脅威の変貌が与える変化
© Copyright 2018 Dell Inc.4
© Copyright 2018 Dell Inc.5
目前に迫る新たな脅威
• 2016年※:国内におけるデータ損失原因の約3割が内外からの侵入により発生
• 2016年11月:サンフランシスコ市営鉄道MUNIがランサムウェアによる全データ暗号化にて3日間運賃課金不可能に
• 2017年5月:ランサムウェア「WannaCry」が世界150ヶ国を同時襲撃。日本企業でも数多くの被害が露見
※出典:EMC Global Data Protection Index 2106 http://japan.emc.com/about/news/press/japan/2016/20160722-1.htm
© Copyright 2018 Dell Inc.5
© Copyright 2018 Dell Inc.6
激変するサイバー脅威新たなサイバー脅威がもたらす被害と影響範囲の変化
• 激化するサイバー被害 • あまねく狙われる重要ターゲット
グローバル海運会社大手2社:NotPetyaマルウェアにより、2億6,400万米ドルの総コストおよび3億ドルの収益の損失を伴い、数週間の運用遅延と混乱に苦しむ。
グローバル大手製薬企業:主要な生産管理システムおよび作業者
エンドポイントデバイスに影響を及ぼすランサムウェアにより、製薬事業の全面的な混乱を経験。
グローバル大手食品企業:NotPetyaマルウェアがいくつかの工場コンピュータシステムに感染後、生産が完全に停止。被害は約1.4億米ドルと測定される。
© Copyright 2018 Dell Inc.
小売オーダー管理、インベントリ、
フルフィルメント
専門サービス(法律、コンサルティング)
ドキュメント管理、時間制報酬請求
政府機関/公的機関 課税台帳、免許情報、訴訟事件表
医療 電子医療記録、医療システム
公共事業スマート メーターデータ、
産業用システムとのインターフェイス
金融サービス顧客のアカウントおよび保有ポジ
ション情報、取引システム、財務
6
© Copyright 2018 Dell Inc.7
何が変わってきたのか?サイバー攻撃がもたらす脅威の変貌
• 従来の脅威– サイバー窃盗:一部情報の瞬間的な搾取と流用
– サイバー攻撃:一部情報の改竄によるビジネス妨害
• 昨今の脅威– サイバー破壊:本番・災対・バックアップデータの完全破壊
– サイバー恐喝:データの捕縛(暗号化など)と身代金要求
機密情報を窃盗
システムを改竄
データを破壊
身代金要求
© Copyright 2018 Dell Inc.7
© Copyright 2018 Dell Inc.8
サイバー脅威の変貌が復旧にもたらす影響
何が変わってきたのか?
1
サイバー窃盗・攻撃• 侵入後、本番データへアクセス• データの複製を入手• 本番システム上のデータを変更
2
サイバー破壊・恐喝• 侵入後にインフラ全体を掌握• 復旧できないようバックアップや
DR/遠隔地データを破壊・捕縛
• バックアップやDR/遠隔地データ掌握後、または同タイミングで本番データを破壊・捕縛
3
データレプリケーション
バックアップデータ
3
2
1
本番データ
企業内ネットワーク
災害対策遠隔地保管データ
破壊暗号化
破壊暗号化
破壊暗号化
© Copyright 2018 Dell Inc.8
© Copyright 2018 Dell Inc.9
9
激変するサイバー脅威への対応
“管轄当局は、施設が包括的かつ実証済みのビジネス回復力および継続計画を適切に実施しているかどうかを評価する必要があります”
“...本番環境データが攻撃に晒された際、レプリケーションされたバックアップデータが破損・破壊されないよう、必要なステップを講じておく必要がある
…エア・ギャップ型バックアップアーキテクチャであれば、サイバー攻撃への露呈を制限し、攻撃が開始される前のある時点へデータの復元が可能になる”
- FFIEC, Appendix J, 2/6/15
“金融機関は、次の手順を踏むことを検討する必要があります...最重要システムに対するハード・バックアップ、エア・ギャップ、クリティカル・システムの物理的セグメンテーションなどを”
アメリカ連邦準備制度(US Federal Reserve)
欧州銀行監督局(European
Banking Authority)
アメリカ連邦金融検査協議会(US Federal Institutions Examination Council)
欧米では被害後のビジネス・データ復旧機能確保を求める傾向に
© Copyright 2018 Dell Inc.9
© Copyright 2018 Dell Inc.10
激変するサイバー脅威への対応日本でも変わりつつあるサイバー脅威対策のガイドライン
経済産業省商務情報政策局サイバーセキュリティ課サイバーセキュリティ経営ガイドラインの改訂ポイントサイバーセキュリティ経営ガイドラインの改訂ポイント(PDF形式) (平成29年11月16日公開)
• 2016年は「バックアップ」が再脚光 • 2017年に「復旧機能」の重要性が明文化
© Copyright 2018 Dell Inc.
出典:IPA(情報処理推進機構)ウェブサイト・「ランサムウェア感染被害に備えて定期的なバックアップを」 https://www.ipa.go.jp/security/txt/2016/01outline.html・ランサムウェアの脅威と対策 https://www.ipa.go.jp/files/000055582.pdf・IPAテクニカルウォッチ「ランサムウェアの脅威と対策」 https://www.ipa.go.jp/security/technicalwatch/20170123.html
10
© Copyright 2018 Dell Inc.11
Dell EMC CYBER RECOVERY INDEX 2018
日本における「サイバー復旧」の現状
© Copyright 2018 Dell Inc.11
© Copyright 2018 Dell Inc.12
Dell EMC CYBER RECOVERY INDEX 2018意識調査のポイント
• 企業におけるセキュリティ対策全般の意識・状況– 現在のサイバーセキュリティ対策(体制、実装機能、その他)
– サイバーセキュリティ対策における優先度や投資状況
• サイバー脅威の変貌を踏まえた施策変更– 昨今の脅威変貌が与える意識レベルでの変化
– 昨今の脅威変貌が与える施策(方針・投資)レベルでの変化
• サイバー攻撃後を想定した対策の意識や有無– 「サイバー復旧」自体の認知度
– 「サイバー復旧」に相当する施策の実行有無、および実行している施策の内容
– 「サイバー復旧」に対する優先度や投資状況
© Copyright 2018 Dell Inc.12
© Copyright 2018 Dell Inc.13
日本の企業におけるセキュリティ対策全般の意識・状況
いま日本の企業が注力するセキュリティ対策は?
• セキュリティ対策の重要度
-約84%の企業が投資対象と考えている分野・領域であると回答
- 定常的に何かしらの対策・投資をしている
企業は全体の約8%-約16%の企業は投資に非積極的
• セキュリティ専門部署の有無
-約26%が企業内にセキュリティ対策の専門チームを設け、うち約15%がインシデント対応チーム(CSIRT)を配備
-約74%が専門チームは設けていないと回答
15%
11%
74%
セキュリティ専門部署の有無
CSIRT:19
セキュリティ専任部門/チーム:13
なし:92
7% 1%
39%
37%
14%
2% セキュリティ対策の重要度
a. 高:毎年投資している:8
b. 高:毎年予備予算がある:1
c. 中:必要な投資であれば積極的:46
d. 中:予算があれば投資したい:43
e. 低:優先度低い:16
f. 低:投資の必要なし:3
© Copyright 2018 Dell Inc.13
© Copyright 2018 Dell Inc.14
日本の企業におけるセキュリティ対策全般の意識・状況
いま日本の企業が注力するセキュリティ対策は?
• NIST CSF*1が提唱する5つの機能別で意識・状況を確認
• 多くの企業が「防御」に対する優先意識と対策投資に偏重
• 最も対策投資が行われていない機能は「復旧」、次いで「検知」
• 優先意識と対策投資にギャップが見られるのは:リスク・危機管理にあたる機能(「特定」と「復旧」) 0% 20% 40% 60% 80%
その他:Other
復旧:Recover (RC)
対応:Respond (RS)
検知:Detect (DE)
防御:Protect (PR)
特定:Idetify (ID)
セキュリティ機能の優先度と実装度合
優先課題 機能実装*1: 米国国立標準技術研究所(National Institute of Standards and Technology) サイバーセキュリティフレームワーク(Cybersecurity Framework)https://www.nist.gov/cyberframework
© Copyright 2018 Dell Inc.14
© Copyright 2018 Dell Inc.15
サイバー脅威の変貌を踏まえた施策の移り変わり
サイバー脅威の変貌により何かが変わったか?
24%
76%
方針変更や優先度の変更(あり/なし)
あり:Yesなし:No
• 全体で50%以上の企業がサイバー
セキュリティの強化や投資への意欲に変化ありと回答
• うち2割強が実際の方針・優先度に
変化があったと回答
• ただし、優先度・予算規模に明確な変更があったと回答した企業は全体
の約10%• 変更に際し、「攻撃後の復旧」を想定した新たな対策検討があった、と答え
た企業は約20%未満© Copyright 2018 Dell Inc.15
© Copyright 2018 Dell Inc.16
サイバー攻撃後を想定した対策(「サイバー復旧」)の意識や有無
「サイバー復旧」に対する認知度
あり:Yes20%
無し:No80%
• 攻撃後の復旧を想定した施策の導入、および欧米諸国で導入が進む「サイバー復旧」自体の認知度は、ともに
全体の約20%が「あり」と回答
日本における「サイバー復旧」の浸透・成熟度
19%
81%あり:Yesなし:No
20%
80%
攻撃後の復旧を想定した施策の有無
「サイバー復旧」自体の認知度
© Copyright 2018 Dell Inc.16
© Copyright 2018 Dell Inc.17
サイバー攻撃後を想定した対策(「サイバー復旧」)の意識や有無
「サイバー復旧」に対する認知度
• ただし、「あり:Yes」と答えた企業の内• 約75%は以下のような認識
# バックアップがあるので対策済# DRサイトで復旧できるから問題ない# テープから戻せるから十分 …… など
• 「サイバー復旧」への定常対策・投資は
対策全般(約8%)と比べ約1%と下回る1%
6%
38%
29%
9%
14%
3% サイバー復旧への投資の必要性
a. 高:IT投資予定:1
c. 中:将来的に検討したい:9
d. 中:定期的に情報収集したい:59
e. 低:優先度低い:45
f. 低:投資の必要なし:14
g. まだ判断できない:21
h. その他:4
あり:Yes20%
無し:No80%
日本における「サイバー復旧」の浸透・成熟度
© Copyright 2018 Dell Inc.17
© Copyright 2018 Dell Inc.18
まとめサイバー復旧に関する日本企業の意識調査
• 日本における現在の投資はかなり「防御:Protect」に集中しており、「復旧」に対する認知度は約20%
• 昨今の欧米におけるサイバー被害などにより、意思決定者の意識や意欲に変化がみられるも、実際の対策・投資へはまだ結びついていない
• サイバー復旧の施策は「バックアップ」や「既存DR」の応用に留まり、欧米で実装されているレベルに達するには追加のコンペリング(動機)要素が必要と推測される
© Copyright 2018 Dell Inc.18
© Copyright 2018 Dell Inc.19
変貌するサイバー脅威による被害リスクを低減するには
Dell EMCの考察・提案
昨今のサイバー脅威
は従来の対策で
準備されてきた
「防御」策を突破し、
企業のビジネス
データ無能化を
その最大の標的とし、
企業に甚大な被害を
与える
その脅威被害からの
復旧手段を確保する
には、従来のBCPで想定していた脅威・
課題:自然災害や
システム不具合とは
異なるアプローチで
IT BCPを検討する必要がある
ビジネスデータ復旧
における最後の砦
であるバックアップデ
ータの保全性を、サ
イバー脅威から
より遠ざける高度化
をすることが、
サイバー復旧におけ
る有効な施策となる
© Copyright 2018 Dell Inc.19
© Copyright 2018 Dell Inc.20
サイバー被害リスクを下げるためのバックアップ
重要なデータを悪意ある「破壊」「改ざん」「捕縛
(暗号化)」から守るにはバックアップの仕組みに
• 重要なデータにアクセス可能な人(権限)を、
悪意ある行為から隔離
• 重要なデータそのものを悪意ある行為から
隔離
を追加実装し、攻撃後に重要なデータが確実に
復旧できる仕組みを担保することが必要
© Copyright 2018 Dell Inc.20
© Copyright 2018 Dell Inc.21
CYBER RECOVERY SOLUTION:攻撃後を考えたデータ保護対策データ「破壊」「捕縛」脅威に対応
1バックアップ・ストレージの高度化• 確実なリストアを行うためのデータ保全• 格納データの暗号化• 格納データに対する、改竄防止とアクセス権の分離・分掌
2エアギャップ・レプリケーションで隔離• 「エアギャプ」によるネットワーク隔離• 隔離データを転送する時のみネットワークを自動再接続し、データをレプリケーション
• 重複排除レプリケーションにより、接続時間を極小化
• レプリケーション終了後、ネットワークを自動で再遮断
3隔離されたデータを使った分析• 隔離後のデータを活用し、侵害の兆候やデータ感染の有無を確認
• 隔離後のデータを活用し、被害時の復旧テストを再現ホストで実施
Air Gap(エアギャップ)
企業内ネットワーク
データ転送時のみ接続
バックアップデータ
本番データ
2
3
隔離する重要データ
企業内ネットワークから隔離された空間
防御高度化
されたデータ
再現ホスト
保護 リカバリ
隔離した重要データ
1
© Copyright 2018 Dell Inc.21