Office 365/Google Apps掀起的雲端辦公室時代:

日本經驗看台灣的雲端資訊安全趨勢

2016/03/08

中込　剛 Go Nakakomi

Have experience of Info Security for 15 years-Email Security Software PM-manager of Information Security Office Bureau-Lead to apply for ISO27001 for 8 years and adopt cloud services

HDE Global Business Development manager

In charge of Taiwan & Hong Kong HDE cloud security market

Speakers

陳廷瑀Sunny

台灣人HDE 台灣區 雲端安全產品經理

HDE公司名稱 HDE, Inc. (HDE)

執行董事 小椋 一宏 代表董事，總經理

宮本 和明 代表董事, 副總經理

永留 義己 董事, 副總經理

公司成立 1996年11月

員工數 130人

總公司 東京都渋谷区南平台町16番28号

公司電話 +81-3-6415-3660

傳真 +81-3-6415-3661

雲端安全服務

提供多一層安全防護

HDE One 使用者

1,200,000 使用者

1,600 企業

Data of December, 2015

HDE One 市佔率

4 ConsecutiveYears

連續四年日本No.1!

From “Cloud Security Service for Google Apps, Office 365 Market Report 2015” by MIC Research Institute Ltd.

亞洲與台灣，皆有HDE One客戶！

雲端 安全IAAS

PAAS

SAAS

DDOSFireWallAPT

DLPAccess controlBYOD security

Agenda

● 日本資安與雲端發展

● 台灣雲端趨勢與潛在資安威脅

● HDE One雲端資安策略

How is Cloudand Security

in Japan?

7,140

Source: The ISO Survey of Management System Standard Certifications (http://www.iso.org/iso/iso-survey_2014.zip)

ISO/IEC 27001 Certificates Number in Japan 2013

ISO/IEC 27001 is the best-known standard for an information security management system (ISMS)

Source: The ISO Survey of Management System Standard Certifications (http://www.iso.org/iso/iso-survey_2014.zip)

Japan

India

China

7,140

1,931

1,710

Why?

Reason 1Law and Regulations

Personal Information Protection Actenforced in 2005 requiring to protect personal information

Financial Instruments and Exchange Actenforced in 2008 requiring for internal control

Reason 2News and Media

Many news of data leakage

costing companiesduring 2007-2010

Source: Information Security Report 2015 by NRI Secure Technologies, Ltd.

2013 2014 2015

26.1%31.4%

34.3%

Percentage of companies increased investment for security compare to last year

Reasons of increasing investment for security

Recognize the necessity of security by knowing other companies cases

155.3%

232.0%

321.5%

Required due to modification of laws and regulations

Top-down order from manager by manager's awareness of security necessity

2011

The Nikkei 2011.3.12

Migration to Cloud

Risk of Transportation

Stop

Risk of Electricity Stop

IT system in the officeis

NOT Safe

Source: http://cloud.watch.impress.co.jp/docs/news/20110628_456633.html Source: http://cloud.watch.impress.co.jp/docs/news/20160225_745384.html

Cloud Market Size by IDC Japan

2011.06 2016.02

261 Billion JPY on 2015255 Billion JPY by 2015increasing 60 Billion JPY from previous prediction before earthquake

Predicted Actual

Situation in Japan

High concern on information

security

High motivation of migrating to

cloud

High interest on cloud security

Market Size of SaaS Security Software of 2015 by IDC Japan

“Since the needs for cloud-based solution works for Microsoft Office 365 and Azure Active Directory is increasing, demands for SaaS security solution is predicted to be expand.”

Source: http://www.idcjapan.co.jp/Press/Current/20160120Apr.html

14.2 Billion JPY(15.3% growth from 2014)

2017年年底，日本大企業60%會採

用公有雲的Email服務，其中大部

分都是用Microsoft或是Google2015的日本使用者在用雲端郵件

2014年Gartner調查

日本雲端使用

Source: Information Security Report 2015 by NRI Secure Technologies, Ltd.

35.2%

2014年，台灣企業8.9%採用公有雲的Email服務，2015年成長到16%

2015年，iThome CIO大調查

台灣雲端使用

2015年公共雲採用率比較

2014 2015

雲端企業郵件服務

雲端Office/線上文書服務

資安雲

16.0%

9.1%

4.8%

8.9%

8.6%

3.1%

企業增加 1% 的雲端服務，資料外洩的機率就上升 3%A Ponemon Institute survey on the "cloud multiplier effect,"

commissioned by Netskope, 2014

因為失去客戶的信賴銷售量減少

和相關人報告，和道歉的作業

高費用損害賠償的發生風險（訴訟風險）

信賴度低（品牌名聲降低）

為了防止再度發生的作業和費用等 客戶停止合作

情報泄露的影響

雲端風險

確認外洩PC和被害者確認

被害人道歉信件

電話聯絡，道歉

向公司外相關機構報告

繼續確認是否有持續的情報泄露

社會信賴低下

社外關係機構的報告

信賴低下造成的市場低下

競爭優勢的減少

事後處理費用名聲受害

發生一件資料外洩事件就會花費企業9313萬日元＝2700萬台幣

※出展：2014年情報セキュリティインシデントに関する報告 [2014.07.14]

4.1%

1

2

3

日本ネットワークセキュリティ協会調べ

資訊外洩事件發生率

寄錯信件

手機/PC遺失

SNS資訊外洩 3.3%

11.8%

雲端資安

1

2

3

Cloud Security Spotlight Report, 2015 by Information Security Community on LinkedIn

最大的雲端安全威脅

未授權的存取

竊取帳號

惡意的內部行為

63%

61%

43%

雲端資安

雲端帶來的隨時隨地可以工作的工作模式改變

有這麼多風險，企業是如何看待？

the third annual Trends in Cloud Encryption Study from the Ponemon Institute, 2014

IaaS/Paas

Saas

企業+供應商共同責任

19%

Nearly50%

供應商責任

Miore than

50%

22%

雲端資安

1

2

3

資訊外洩事件發生率

寄錯信件

手機/PC遺失

SNS資訊外洩

1

2

3

Cloud Security Spotlight Report, 2015 by Information Security Community on LinkedIn

未授權的存取

竊取帳號

惡意的內部行為

最大的雲端安全威脅

-ISO27001的雲端存取等增修: 2014年ISO的取得成長數日本是

全世界第一，台灣是東亞與太平洋地區第三

-各業界個資法的對應

-台灣營業保護法的對應

從日本看台灣趨勢：

➔ 雲端服務發展快速

➔ 資安重視

企業該如何對應？

企業該如何對應？

未授權存取 / 和帳號竊取

方便性

可以一次登錄多種服務

裝置限制

公司內

公司外

允許存取

禁止存取

公司外

IP限制允許存取

從家裡

允許OTP存取

OTP

安全性

IT管理者

未授權存取

裝置手機等BYOD的遺失

企業該如何對應？

Data同步型

Data非同步型

MDM

Remote Access(Sync)

BYOD對應常見的方案

BYOD

Remote Access

DaaS

安全瀏覽器App

株式会社富士キャメラ総研　 2014

同步型

非同步型

MDM

Remote Access(Sync)

BYOD對應常見的方案

BYOD

Remote Access

DaaS

安全瀏覽器App

Remote wipe實際為不執行 （65%)

Data同步型

Data非同步型

MDM

Remote Access(Sync)

BYOD對應常見的方案

BYOD

Remote Access

DaaS

安全瀏覽器App

株式会社富士キャメラ総研　 2014

主要非針對手機等行動裝置

複雜的作業執行

同步型

Data非同步型

BYOD對應常見的方案

BYOD安全瀏覽器App

株式会社富士キャメラ総研　 2014

百萬

Secure Browser 銷售與預測成長圖

HDE 安全瀏覽器(APP)

主要用途：-可以設定公司手機才可以存取-可以認證私人智慧型手機存取 -因為MDM導入難度高, HDE App用QR Code簡單導入使用-個人手機內不留下資料

● 輕鬆且安全確認信件和Schedule!● 在智慧型裝置中，不會留下資料（無法下載）

簡單達成管理BYOD!

HDE 安全瀏覽器(PC)

● 輕鬆且安全確認信件和Schedule!● 在智慧型裝置中，不會留下資料（無法下

載） 沒有任何資料在裝置！● 裝置必須進行認證 在自己家中的PC：

-遠端工作達成-家中PC不會殘留公司資料

帶出公司的的共有PC:-公司不能帶出個人PC，-前位使用者的資料不會殘留在PC中

智慧型手機版

PC版

PC版

以Google Chrome的Application 提供

雲端Email的DLP

企業該如何對應？

郵件資料外洩防護（DLP）

電子郵件歸檔（Email Archiving)

電子郵件許可寄送

取消傳送

電子郵件內容過濾

大容量郵件傳輸 /企業檔案安全傳輸平台

自動附件密碼

延遲取消傳送

寄錯人

錯誤附件

在寄信前可刪除

「啊！！email寫錯了！」 「（驚）！！沒有附件！」

透過公司內先寄出，公司暫時保存信件的功能，ＣＣ的同事可以幫忙確認信件，及時刪除。

電子郵件內容過濾/許可寄送

依照自己設定的安全準則，系統自動監視 E-mail➔ 有超過50個地址，或是40筆電話◆ 會不會是個人資訊？

➔ 附件的檔案中「機密」等文字出現時◆ 會不會資訊洩漏？

➔ To, 或CC時，超過10個以上的email◆ 是否應該改為BCC？

➔ email地址在自己公司之外的Domain超過3個以上◆ 會不會記錯email了？

刪除 提醒自己

上司許可 BCC轉寄

可以設定不同處理方式

自動附件密碼

員工遵守公司安全準則!

寄附件至外部Domain時，當檔名為英文，自動設密碼並壓縮檔案，並自動寄送第二封信告知密碼。

防範email夾帶檔案的資料泄露ex:不經意轉寄附件等

IT管理者

電子郵件歸檔（Email Archiving)

所有的信件皆保存，無法修改和刪除。可以多方面的檢索，立即找到 email

彈性的檢索標準，更有效率地搜尋

檢索標準 ● 寄收時間範圍● 電子郵件標頭 (From/To/CC, Envelope From/To)● 主題/信件內容/附件內容

邏輯設定● AND/OR/NOT

Archive搜索例子：● 政府法規對應● 想得知是否有情報洩漏● 檢視此專案的信件● 確認離職者的信件● 想再寄送不小心刪除的信件

大容量郵件傳輸 /企業檔案安全傳輸平台

➔ 想要寄送大容量的檔案，但是.....◆ 上傳檔案有容量限制◆ 運用其他服務又有安全考量

➔ 想寄送雲端email系統上不可以使用的檔案 (exe, jsp等等)

由於Gmail 或是Exchange Online 都有25MB容量的限制，HDE One 可以傳送25MB以上到2GB容量的檔案。

上傳存取 & 下載

● 通知下載:可以知道收信方是否下載

● 檔案加密後暫存

HDE One 簡介

存取控制

● 存取控制● 單一登入

Single Sign-On(SSO)

BYOD安全防護

● 安全瀏覽器

郵件資料外洩防護

● 取消傳送 / 電子郵件許可寄送 ● 電子郵件內容過濾

● 自動附件密碼

● 大容量郵件傳輸 / 企業檔案安全

傳輸平台

HDE One Case

“We might not have adopted Office 365 if it was not HDE One.”

“HDE One provided secure usage environment of Office 365.”

“HDE One helps us to protect important personal data.”

雲端資安趨勢與HDE One

雲端服務成長

資安議題重視

法規遵循

Thanks for your attention 請幫我們填問卷，並在門口換取貼紙到攤位11領取帆船巧克力！