3月21日
第二回 情報セキュリティマネジメントSummit
~知の終結でサイバー攻撃と内部犯行に立ち向かう
を午前中だけきいてきたのでメモメモ
■みずほフィナンシャルグループのサイバーセキュリティへの取り組み
経営の重要課題として、サイバーリスクにいかに取り組んでいるか
・自己紹介
1.みずほの紹介
・みずほフィナンシャルグループの概要
・拠点展開 47都道府県、店舗約800、ATM5万以上、世界120拠点
2・サーバー攻撃はトップリスク
・世界経済フォーラム The Global Riskc Report 2017
サイバーセキュリティはトップクラスのリスクファクター
・Allianz Risk Barometer
サイバーセキュリティ3位
多くの国でサイバーインシデントはトップリスク
・サイバー攻撃は世界全体で深刻な脅威
サイバー攻撃の戦線拡大:ボットネット:テラバイト
相互接続の弱いところ標的
サイバー戦争
・サイバーセキュリティ経営ガイドライン
3.みずほのサイバーセキュリティの取り組み
・サイバーセキュリティを経営レベルで考え、進めるには、どのようにしたらよいでしょう?
・みずほにおける取り組みの経緯
ワーキングを作った→点検
サイバーセキュリティチーム CIRT
不正送金対策も
データマネジメント 衣替え
プロアクティブな体制強化
・サイバー攻撃への対応体制
データマネジメント部
サイバーセキュリティチーム
みずほCIRT
↑
↓
主要グループ
↑
↓
関係子会社
・経営課題としてのサイバーセキュリティのすすめかた
サイバーセキュリティは企業が対処すべき多くのリスクのなかの1つ
①必要な機能の全体像を把握する
→標準フレームワークの活用 NIST CSF、FFIEC CAT
標準フレームワークを用いた第三者評価・ベストプラクティスとの比較
経産省ガイドラインもいい
②自社としての機能を定義する
機能の全体像
平時からやること
対策
できているもの、できていないもの、外でやったほうがいいもの
③ビジョン・目標・基本方針を定める
サイバーセキュリティ戦略
みずほのビジョン
サイバーセキュリティビジョン・目標
基本方針
5つ(プロアクティブ、レジリエンス)
④アクションプランを具体化する
サイバーセキュリティ重点施策
⑤社内のプロセスに組み込む
ルールとプロセス
弊社のサイバーセキュリティ業務の一部をご紹介します
・ポイントは
小さくてもよいので、まず、できることからはじめてみる
平時の業務も重要です(情報収集・警戒活動)
・サイバー攻撃から守るべきものは?
サイバーーリスクアセスメントレポート
例:Struts2の脆弱性→どこで使っているかわかるように
・SOCによるモニタリング業務
過去ログ調査。アラート監視→ダッシュボード監視
・インテリジェンス業務
人間系からはじめてみる
・フォレンジック業務 Cyber AIR3 Force
マルウェア解析
機械学習を含め検討
弱いところが狙われる
・金融機関への主なサイバー攻撃
金融機関への直接攻撃
お客様からの間接攻撃
・バングラディシュ中央銀行不正送金事案
SWIFT:クローズド→マルウェアを利用したAPT攻撃
・インターネットバンキング不正送金発生状況
メガバンクが狙われた→地域金融機関へ広がる
・不正送金被害のグローバル推移
・インターネットバンキングをめぐる犯罪者との攻防戦
いたちごっこ
・不正送金対応例 トランザクション認証 メガバンク初
ワンタイムパスワード
自助を前提にこうじょ、きょうじょ
・関係機関との連携体制
金融ISAC(あいざっく):2014年10月に発足
・これからのサイバーセキュリティ
東京2020対応
IoTセキュリティ
セキュア・バイ・デザイン
・政府主導のサイバーセキュリティ対策
重要インフラの情報セキュリティ対策に係る第四次行動計画
まとめ
・IoT時代の発展に向け、サイバー空間のセキュリティ確保は必須条件
↓
みずほグループは志を持って
サイバー空間の安心・安全と持続的発展に取り組んでまいります
■ワークスタイル変革を加速させる
クライアントセキュリティソリューション
~テレワークの推進には、今すぐに万全な情報漏えい対策を!~
富士通クライアントコンピューティング
・労働環境に関する国の動向
労働者を取り巻く環境の変化
男性正規労働者を中心とした長時間労働
ワークライフコンフリクトへの増大
・社会環境の変化でワークスタイル変革に期待が高まる
労働力確保、生産性向上、高付加価値創出が必要
・テレワーク導入の状況
テレワーク導入企業の8割は効率を実感。6割はモバイルワーク
・富士通のワークスタイル変革 実践事例
富士通事例:どこでも安全な仕事環境
16年より国内従業員PCを仮想化、セキュリティを向上
・動画
・17年4月からテレワーク制度を正式導入
誰もが働きやすい、魅力的な会社に
生産性向上、時間の有効利用
多様な人材が活躍できる職場環境
BCP
ワークスタイル変革を加速するクライアントセキュリティソリューション
・テレワークの注目 2点
就業管理規則
セキュリティ
・ワークスタイル変革と機密情報の漏洩
オフィス内のセキュリティ対策
・情報漏えい事故の主な原因
・パスワード運用の厳格化と利用者の実態
利用者へのパスワード使いまわしアンケート
プライベートのパスワードを仕事でも利用
・不正アクセスを誘発するパスワード管理の実態
パスワードのお設定や管理の甘さが不正アクセスの標的に
パスワードさけのアクセス管理では・・
・情報漏えいの脅威
情報漏洩事故は経営リスクにつながります
経済的な損失
社会的信用の失墜
・ワークスタイル変革実現に向けて
安全性の要求を高めている
ぽりしーの厳格運用
パスワードの複雑化
USB持ち出し禁止
利用者:
心理的負担が増大
事後対策
→利用者に優しく、リスク最小化
・ワークスタイル変革実現におけるモバイル端末の課題と対策
オフィス外での安全なモバイル端末の利用
VDI
WindowsPC
認証:手のひら静脈認証
データ持ち出し PASERI
ひみつ:CREARSURE
利用者に対策
・対策1:秘密分散方式ソフトウェア PASERI For RC
データは暗号化デバイスではなく、秘密分散で安全に持ち出す
秘密分散法=PASERI
PASERI For PC
導入のメリット:安全、簡単操作、管理工数の削減
・対策2:リスクを最小限にする対策(情報漏えい対策)
モバイル新クライアントたいまつ
FUTRO(ふゅーろ)
・シンクライアント端末メリット
端末にデータ残さない
・モバイルシンクライアント端末 FUTRO
ばんぜんのセキュリティ
生態認証による本人確認の強化
データの抜き取りを防止
長時間駆動と軽量コンパクトを実現
対策3 リスクを最小限にする
CLEARSURE
・モバイルPCにおけるセキュリティ対策
電源の状態にかかわらず
CLEARSURE 3G/LTEの仕組み
シャットダウンされていても、遠隔地から確認できる
→BIOSと通信モジュールで行う
スマートフォンからロックできる
GPS情報の提供
・対策4 利用者に優しい対策
認証ソフトウェア、認証サーバー
ビデオ
リスト型アカウントハッキング
認証ソフトウェア SMARTACCESSの商品体系
お客様の環境・規模に応じてご提供
SMARTACCESSはセキュリティと利便性を両立した人に優しいソリューションです
SMARTACCESS/Virtual
Secure Login Box:ユーザーの認証情報を一元管理89万8千円(標準)
離席対策「Sense You Technology Biz」
カフェや交通機関での短時間の離席時対策
・ワークスタイル変革への業務への広がり
オフィス
営業
現場
事例:
生態認証で「セキュリティ強化」と「利便性」を両立
VDI(仮想化)+生態認証で営業事務の効率化を実現
ペーパーレス化の実現と情報漏えいの危険を防止
・最後に
人に優しいクライアントセキュリティで
お客様のワークスタイル変革をお手伝いします!
第二回 情報セキュリティマネジメントSummit
~知の終結でサイバー攻撃と内部犯行に立ち向かう
を午前中だけきいてきたのでメモメモ
■みずほフィナンシャルグループのサイバーセキュリティへの取り組み
経営の重要課題として、サイバーリスクにいかに取り組んでいるか
・自己紹介
1.みずほの紹介
・みずほフィナンシャルグループの概要
・拠点展開 47都道府県、店舗約800、ATM5万以上、世界120拠点
2・サーバー攻撃はトップリスク
・世界経済フォーラム The Global Riskc Report 2017
サイバーセキュリティはトップクラスのリスクファクター
・Allianz Risk Barometer
サイバーセキュリティ3位
多くの国でサイバーインシデントはトップリスク
・サイバー攻撃は世界全体で深刻な脅威
サイバー攻撃の戦線拡大:ボットネット:テラバイト
相互接続の弱いところ標的
サイバー戦争
・サイバーセキュリティ経営ガイドライン
3.みずほのサイバーセキュリティの取り組み
・サイバーセキュリティを経営レベルで考え、進めるには、どのようにしたらよいでしょう?
・みずほにおける取り組みの経緯
ワーキングを作った→点検
サイバーセキュリティチーム CIRT
不正送金対策も
データマネジメント 衣替え
プロアクティブな体制強化
・サイバー攻撃への対応体制
データマネジメント部
サイバーセキュリティチーム
みずほCIRT
↑
↓
主要グループ
↑
↓
関係子会社
・経営課題としてのサイバーセキュリティのすすめかた
サイバーセキュリティは企業が対処すべき多くのリスクのなかの1つ
①必要な機能の全体像を把握する
→標準フレームワークの活用 NIST CSF、FFIEC CAT
標準フレームワークを用いた第三者評価・ベストプラクティスとの比較
経産省ガイドラインもいい
②自社としての機能を定義する
機能の全体像
平時からやること
対策
できているもの、できていないもの、外でやったほうがいいもの
③ビジョン・目標・基本方針を定める
サイバーセキュリティ戦略
みずほのビジョン
サイバーセキュリティビジョン・目標
基本方針
5つ(プロアクティブ、レジリエンス)
④アクションプランを具体化する
サイバーセキュリティ重点施策
⑤社内のプロセスに組み込む
ルールとプロセス
弊社のサイバーセキュリティ業務の一部をご紹介します
・ポイントは
小さくてもよいので、まず、できることからはじめてみる
平時の業務も重要です(情報収集・警戒活動)
・サイバー攻撃から守るべきものは?
サイバーーリスクアセスメントレポート
例:Struts2の脆弱性→どこで使っているかわかるように
・SOCによるモニタリング業務
過去ログ調査。アラート監視→ダッシュボード監視
・インテリジェンス業務
人間系からはじめてみる
・フォレンジック業務 Cyber AIR3 Force
マルウェア解析
機械学習を含め検討
弱いところが狙われる
・金融機関への主なサイバー攻撃
金融機関への直接攻撃
お客様からの間接攻撃
・バングラディシュ中央銀行不正送金事案
SWIFT:クローズド→マルウェアを利用したAPT攻撃
・インターネットバンキング不正送金発生状況
メガバンクが狙われた→地域金融機関へ広がる
・不正送金被害のグローバル推移
・インターネットバンキングをめぐる犯罪者との攻防戦
いたちごっこ
・不正送金対応例 トランザクション認証 メガバンク初
ワンタイムパスワード
自助を前提にこうじょ、きょうじょ
・関係機関との連携体制
金融ISAC(あいざっく):2014年10月に発足
・これからのサイバーセキュリティ
東京2020対応
IoTセキュリティ
セキュア・バイ・デザイン
・政府主導のサイバーセキュリティ対策
重要インフラの情報セキュリティ対策に係る第四次行動計画
まとめ
・IoT時代の発展に向け、サイバー空間のセキュリティ確保は必須条件
↓
みずほグループは志を持って
サイバー空間の安心・安全と持続的発展に取り組んでまいります
■ワークスタイル変革を加速させる
クライアントセキュリティソリューション
~テレワークの推進には、今すぐに万全な情報漏えい対策を!~
富士通クライアントコンピューティング
・労働環境に関する国の動向
労働者を取り巻く環境の変化
男性正規労働者を中心とした長時間労働
ワークライフコンフリクトへの増大
・社会環境の変化でワークスタイル変革に期待が高まる
労働力確保、生産性向上、高付加価値創出が必要
・テレワーク導入の状況
テレワーク導入企業の8割は効率を実感。6割はモバイルワーク
・富士通のワークスタイル変革 実践事例
富士通事例:どこでも安全な仕事環境
16年より国内従業員PCを仮想化、セキュリティを向上
・動画
・17年4月からテレワーク制度を正式導入
誰もが働きやすい、魅力的な会社に
生産性向上、時間の有効利用
多様な人材が活躍できる職場環境
BCP
ワークスタイル変革を加速するクライアントセキュリティソリューション
・テレワークの注目 2点
就業管理規則
セキュリティ
・ワークスタイル変革と機密情報の漏洩
オフィス内のセキュリティ対策
・情報漏えい事故の主な原因
・パスワード運用の厳格化と利用者の実態
利用者へのパスワード使いまわしアンケート
プライベートのパスワードを仕事でも利用
・不正アクセスを誘発するパスワード管理の実態
パスワードのお設定や管理の甘さが不正アクセスの標的に
パスワードさけのアクセス管理では・・
・情報漏えいの脅威
情報漏洩事故は経営リスクにつながります
経済的な損失
社会的信用の失墜
・ワークスタイル変革実現に向けて
安全性の要求を高めている
ぽりしーの厳格運用
パスワードの複雑化
USB持ち出し禁止
利用者:
心理的負担が増大
事後対策
→利用者に優しく、リスク最小化
・ワークスタイル変革実現におけるモバイル端末の課題と対策
オフィス外での安全なモバイル端末の利用
VDI
WindowsPC
認証:手のひら静脈認証
データ持ち出し PASERI
ひみつ:CREARSURE
利用者に対策
・対策1:秘密分散方式ソフトウェア PASERI For RC
データは暗号化デバイスではなく、秘密分散で安全に持ち出す
秘密分散法=PASERI
PASERI For PC
導入のメリット:安全、簡単操作、管理工数の削減
・対策2:リスクを最小限にする対策(情報漏えい対策)
モバイル新クライアントたいまつ
FUTRO(ふゅーろ)
・シンクライアント端末メリット
端末にデータ残さない
・モバイルシンクライアント端末 FUTRO
ばんぜんのセキュリティ
生態認証による本人確認の強化
データの抜き取りを防止
長時間駆動と軽量コンパクトを実現
対策3 リスクを最小限にする
CLEARSURE
・モバイルPCにおけるセキュリティ対策
電源の状態にかかわらず
CLEARSURE 3G/LTEの仕組み
シャットダウンされていても、遠隔地から確認できる
→BIOSと通信モジュールで行う
スマートフォンからロックできる
GPS情報の提供
・対策4 利用者に優しい対策
認証ソフトウェア、認証サーバー
ビデオ
リスト型アカウントハッキング
認証ソフトウェア SMARTACCESSの商品体系
お客様の環境・規模に応じてご提供
SMARTACCESSはセキュリティと利便性を両立した人に優しいソリューションです
SMARTACCESS/Virtual
Secure Login Box:ユーザーの認証情報を一元管理89万8千円(標準)
離席対策「Sense You Technology Biz」
カフェや交通機関での短時間の離席時対策
・ワークスタイル変革への業務への広がり
オフィス
営業
現場
事例:
生態認証で「セキュリティ強化」と「利便性」を両立
VDI(仮想化)+生態認証で営業事務の効率化を実現
ペーパーレス化の実現と情報漏えいの危険を防止
・最後に
人に優しいクライアントセキュリティで
お客様のワークスタイル変革をお手伝いします!
アクセス
トータル
ランキング
