「わが国のサイバーセキュリティ戦略」を聞いてきた

Email Security Conference 2014に行って来た！その内容をメモメモ。

まずは

わが国のサイバーセキュリティ戦略

講師：ＮＩＳＣの人

をメモメモ

---

近年のサイバー攻撃の特徴
・深刻化
・対象の広がり
・グローバル化

１．深刻化について
　５０８万件不正な通信
　重要インフラ攻撃：急激に増えている

２．広がり
　スマートフォン　不正サイト２０倍
　車　ハッキング可能→自動走行、車のセキュリティ
　スマートメーター　自動的に受け渡し
　　　２０２０年　２千７００万件
　　→ブラックアウトを狙ったサイバー攻撃

３．グローバル化
　　いろんな国から攻撃される：国内からは３％
　　韓国で銀行ＡＴＭ等をとめた→北朝鮮の仕業？
　　日本も同じ攻撃みつかる

ＩＴ先進国
　エストニア
　　２００７年ＤＯＳ攻撃　システム動かなくなる→技術水準が上がっている
　韓国
　　電子行政：２００９，１１，１３に攻撃を受けている

今年１月の世界経済フォーラム
３１のリスク
　発生率の高さ　サイバー攻撃　トップ５に
　しんこくさ　　重要インフラの故障　トップ５に
→社会そのものを破壊できる

社会システムの破壊に対して：国家安全保障戦略

オバマ：サイバー空間は第５のフィールド（陸・海・空・宇宙のつぎ）
国際的：サイバー空間で国が何処まで関与してよいか
　→国連：国連憲章は適用可能

日本におけるサイバーセキュリティの体制
　２００１　e-Japan戦略　ブロードバンドインフラ
　２００５　ＮＩＳＣできる
　２０１３　６月　e-Japan戦略
　２０１３　６月　（何度か改定の後）サイバーセキュリティ戦略
　
サイバーセキュリティ戦略
　情報セキュリティ戦略会議←ＮＩＣＴ

全体像
　ディフェンスを固める（政府機関、重要インフラ（通信、電力・・）、企業・個人）
　人を育てる
　技術力
　グローバルパートナーシップ

標的型メール
　Ｗｏｒｄファイル→実は実行ファイル
　英語でかかれたもの→最近は実際に使われたファイルを送ってくる
　　　
やり取り型
　議事録の確認→本物
　そのあと、再確認修正→Ｗｏｒｄファイル：実は実行ファイルで感染

ＮＩＣＴ注意喚起
　２４年度　４１５件
　２５年度　３８１件
→減った理由：２４年ばら撒き型、２５年は特定の人にピンポイント

標的型の流れ
　受信箱に届く
　リンクを踏んだりする→このときは、なにもおこらない
　のっとり範囲の拡大→５０～６０日、数年に及ぶものも
　バックドアをしかける

平成２５年度に添付メールどれくらい開くか調査
　　標的型　　　１６％
　　やり取り型　２０％
これまでは入り口対策→１～２割はひっかかる
→進入を早く感知、被害最小化

Ｗｅｂサイトを閲覧するだけで感染
　例：霞ヶ関からアクセスすると、不正サイトへ７省庁被害
　　　攻撃対象：組織　ゼロデイ利用
→定期的にネットワーク監視、相互の情報共有

対象
　引き続き入り口、出口
　内部対策→内部探索しづらい、トラップ
　セキュリティポリシー、統一基準

　標的型攻撃→機微情報を守る
　サプライチェーンリスクへの対策
　　→受託した会社：再委託→孫受け会社が悪さ
　　→孫受けまで含めて、国籍までチェック
　　　ガバナンスの責任能力

どれだけ大事なものか：大臣官房で決める→リスク評価
　　独立行政法人も

ＧＳＯＣ（ジーソック）２４時間調査
　　各省庁→ＮＩＳＣにあつめる→解析分析注意喚起
　
サイマット（６回出動）
　デーマット（緊急医療）のサイバー版
　研修する
　なんかあったら、担当者と一緒に対応

重要インフラ：１３の分野
　　→３つ追加：化学、クレジット、石油
　　ＮＩＳＣがファシリテーターで情報共有
　　シーレックス
　　→東京オリンピックでますます重要
　　制御のセキュリティ：独自ＯＳ→Linux,windows
　　　→攻撃対象になりやすい
　　外部ネットワーク接続

人材の育成
　　情報セキュリティ　２６．５万人
　　　→水準達しない１６万人
　　　　人も８万人
　　　→大学からの供給　年１０００人
　　ＩＴ業界　１０６万人
　　　→ＳＥ　８０万人
　　　→セキュリティの素養

経営層が分かってもらうことが重要
　　個人情報の漏洩→減っている
　　想定被害額→より深刻
　原因　サイバーの不正：５％　多くは誤操作だが
　　　　インシデントの深刻さは不正アクセス大
　→不正アクセスを受けると、被害大

セキュリティ投資
　分析している会社はセキュリティ投資する（相関関係）
　　分析の仕方が分からない：多い
　　セキュリティ対応：日本は情報システム部、他国は各部署協力して

アメリカ有価報告書
　任意でセキュリティリスクを記載：米証取で書き方をまとめている
　　　→今、金融庁と話している

とりくみ
１．ＣＹＤＥＲ
　　サイバー攻撃の演習、民間でも

２．情報処理技術者試験
　　情報セキュリティの比率２倍
　　新しい種目：セキュリティマネジメント
　　　→セキュリティポリシーが作れる人

新しく協議会を作る
研究開発戦略
　　医療健康、農業、橋のセキュリティをどう考えるか
　　　　→センサー・ビッグデータ

国際的
　途上国でネット立ち上がり→脅威
　日本とＡＳＥＡＮ　局長級会議　なかまづくり、２国間協議
　重要インフラガイドライン

まとまったものない
　　７月　白書、年次報告
　　ＮＩＳＣのホームページ

オリンピック
　　２０１２年　ロンドンオリンピック→２週間で、２億の攻撃あった
　　電力インフラ攻撃に対策
　　東京オリンピック　民間政府連携
　　ロンドンオリンピックは６年前から準備
　　　→東京は今月下旬から

　　　

「日本を取り巻くサイバー攻撃の現状」をきいてきた！

9月30日に情報セキュリティSummit2014に行って来た！その内容をメモメモ。の続き

日本を取り巻くサイバー攻撃の現状～安心・安全な企業活動のためのヒント～

をめもめも

---

・クラウドのセキュリティ
　危険性はある。

・２つの要素
　　ラック：あんまり話しない。
　　理由：いまこんなのあります→間に合わない
　　　　　日本でいきなりサイバー犯罪が起こるわけではない
　　　→世界の話：そこにヒント

　　たいへんだという会社→ほんとうにたいへん
　　　　→１年以上前からやられてる
　　　　→気づいてない
　　　　→でもしゃべると、怒られる

　　自衛隊

■はじめに

・現代社会はサイバー技術に依存
　・サイバー：コンピューター及びインターネット

・コンピューター
　まちがいバグ→脆弱性：
　　割り算a/b=c 攻撃者b=0をいれる。
　　プログラマが意図しなかった問題点

・インターネット
　　悪い人が作ることを想定していない
　　想像以上に安全ではない

→本質的にあぶない

最近
・標的型攻撃
・金銭目的のサイバー攻撃→警報が挙がらない社会
・動機の変化：お金→組織犯罪：分業

サイバー攻撃とその事例
・国家レベルのサイバー攻撃
　　２００７年４月　エストニア　大きな損害
　　２００８年８月　グルジア本当の戦争：サイバーで攻撃
　　　　→ほとんどの攻撃やられる
　　　　サイバー封鎖：海上封鎖のサイバー版→ゲートウェイを落とした
　　　　→日本が攻撃を受けたら？

ところで、クラウドですが・・・
　　セキュリティ：普通の会社がやるよりいいけど・・
　　クラウドの問題：内容を見られる→暗号かける

日本周辺の海底ケーブル網
　千葉と三重に集中

盗撮盗聴機能を持ったマルウェア

スタックスネット：産業制御システム
　　→クローズナシステムは安全というのは神話
シャムーン事件
　石油の
韓国同時多発サイバー攻撃→パッチのふり

サイバー攻撃の現状

東京急行：ソ連から飛んできた
　→電波収集：日本のレーダーにぶつけるためのジャミング
　　平和な時代に相手の弱点を調べておくことは軍隊の基本

サイバー上の東京急行が行われているのではないか？

多種多様の見えない攻撃にさらされている

■終わりに
・技術の進歩に社会は追いついていない
・相手の立場に立った防御
・いったい、お金いくらかけたら
　　→同業他社よりしっかりやっておく
　　→突破されることを前提に
　　→弱いところを作らない
　　→正面玄関からきたら、アウト

・王道はない

・人間が一番弱い

ＩＥ8でCharts.jsはうごかない

で、IEの互換性（IE７～IE１１）いろいろのつづき。

IE8にして、ちょっとこまったのは、Chart.js。
canvasをつかっているので、IE8はだめ・・・なんだけど、

IE8でCaanvasをつかえるようにするExplorerCanvasをつかっても、えらーがでる（ぐたいてきには、Chart.jsでmeasureText() メソッドがないエラー。IE9ではいったらしい）

う～ん、【jQuery】IEでも使えるグラフ描画ツールをみると、jQuery Google Chartsが使えそうなので、jQuery Google Chartsにしますかね・・・

ここ

jQuery Google Charts
http://keith-wood.name/gChart.html

の「Live Feeds」をみて、動的に動かす方法をお勉強したいとおもいます。

「標的型攻撃において企業に本当に必要なものは何か？」をきいてきた

9月30日に情報セキュリティSummit2014に行って来た！その内容をメモメモ。の続き

標的型攻撃において企業に本当に必要なものは何か？

講師：アーバーネットワークス　佐々木氏

をメモメモ

---

・アーバーネットワークスの紹介
　２０００年米国設立のセキュリティ会社
　　　→アナーバー：ミシガン大学の１人が創設者

・ゼロデイ攻撃と標的型攻撃
　１日目：脆弱性に対するパッチ公開
　→ゼロデイ：脆弱性が発見される前
　→悪意のある人が発見、攻撃

・ＯＳ、ソフトウェアの脆弱性
　　ＩＰＳ，ＦＷで検出不可

・インターネットを経由しない攻撃
　　ＵＳＢデバイスが落ちている

・最近のゼロデイ
　　Heartbleed:Updateすれば済むものではない

・業界内での不安
　　パスワードの漏洩→うちの会社では被害を受けていないか？

・サイバー攻撃／標的型攻撃は防げない

■セキュリティ分析に必要な情報と要素
ＳＩＥＭ（しーむ）
・いろんな企業で導入
　デバイスからのイベントログを収集し、相関分析
　　　→ポリシー策定が大変
　セキュリティインシデントに対して対応するためのツール
　導入に対するハードル

脆弱性診断
　・既知の脆弱性
　・ファジングによる脆弱性診断

ビッグデータアナリシス
　・トラフィックキャプチャデータ
　　過去の事象、新しい技術にも再利用可能

■トラフィクキャプチャによるセキュリティ分析ソリューション
ぷらべーる（プロテクション＋あべいらぶるの造語）
Pravail SA
　　・過去にゼロデイ攻撃にあっていたか
　　・FW,IPS,ACL等セキュリティポリシーの確認
　　・特定の通信の検索

・プレイバック
　　監視カメラ：新しいシグニチャ
　　キャプチャがあれば、過去に何が起きたか分かる

　　　フルキャプチャパフォーマンス
　　　データ保管サービス
　　　解析スピード

　Pravail

　必要なストレージの容量

　蓄積された過去のデータに対して再解析
　ＡＩＦ
　　Ｃ＆Ｃサーバー、フィッシングサイトの情報提供
　ＡＳＥＲＴ

Pravail SA クラウドサービス／オンプレミス（コレクター・コントローラー）
　バーチャルアプライアンス
　セキュリティインシデントが発見されたら
　　・パスワード変更など、顧客への通知
　　・セキュリティデバイスの動作確認
　　・セキュリティポリシーの見直し
　　・オペレーションポリシーの見直し
　　・パブリックアナウンス

Pravail SAデモ

セキュリティの考え方