2014-ShowNet-Security

Transcript

1. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team セキュリティについて考えよう あなたにとって何が脅威ですか？

2. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team 何を守りますか？何から守りますか？ セキュリティについて考えよう；あなたにとって何が脅威ですか？

   セキュリティを考える。 これは、守るべき資産と脅威を明らかにすることから始まります。 守るべき資産 脅威

3. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team 脅威は組織の外部にも、組織の内部にも。 セキュリティについて考えよう；あなたにとって何が脅威ですか？

   ◼ 組織の外部から • 無差別に拡散する攻撃 • ターゲットを絞った攻撃 • 業務を妨害する攻撃 ◼ 組織の内部に • SNSに機密情報を書込み • ラップトップPCを紛失 • 従業員不正 Copyright © INTEROP TOKYO 2014 ShowNet NOC Team

4. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team 組織の外から；サイバー攻撃＝ビジネスです。 セキュリティについて考えよう；あなたにとって何が脅威ですか？

   ◼ その情報、いくらの価値ですか？ 利益が出る限り、執拗に攻撃してきます。 • 収益＝窃取できる情報の価値 • 費用＝あたらしい攻撃の開発費 ◼ その筋の“プロ”がそろっています 高度なハッカーやソーシャルエンジニアリ ングのプロを傭兵として雇うなど、組織化 が進んでいます。

5. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team 組織の外から；知らないうちに遠隔操作されているかもしれません。 セキュリティについて考えよう；あなたにとって何が脅威ですか？

   ShowNet デモ メールや USBメモリ 悪意のある Webサーバ 最初の エクスプロイト マルウェアの ダウンロード マルウェア 配布サイト 遠隔操作 C&C サーバ はじめは小さなエクスプロイットが、 ついには遠隔操作に。潜伏して実行 されるため、検出は 困難です。

6. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team 組織の外から：あなたの業務はクリックひとつで止めることができます。 セキュリティについて考えよう；あなたにとって何が脅威ですか？

   日常業務を正常に実施できること。 攻撃者にとってはそれさえも利益を得る 源泉です。 • 株価操縦による売り抜け • 業務と引換に身代金を要求 正体不明の 大量の通信が発生 サーバがダウン、業務停止

7. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team 組織の内側に：故意に過失に、組織内のリスクもさまざまです。 セキュリティについて考えよう；あなたにとって何が脅威ですか？

   情報へのアクセス権限があるから こそのリスクがあります。 • SNSへの投稿 • 転送サービスによる漏えい • 情報の入ったPCの紛失 組織内だからこそ見えにくいリス クになりがちです。 SNSへの 投稿 パソコンの紛失 オンライン ストレージへの アップロード

8. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team 脅威を把握したら、さあ守ろう！

9. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team 既知の攻撃 ファイアウォール；容易で安価な既知の攻撃をシャットアウト！

   脅威を把握したら、さあ守ろう！ ◼ まだまだ既知の攻撃が主流 ある調査によれば、対処法が知られて いる既知の攻撃が全体の90%以上を占 めています。 ◼ FWで効果的に対応 既知の攻撃はFWを導入することで、 安価かつ効果的な対応することができ ます。 ShowNet 未知の攻撃

10. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team サンドボックス；未知のマルウェアやコールバックも解析して防御！ 脅威を把握したら、さあ守ろう！

    ◼ サンドボックスで未知の脅威に対応 本気で狙われたら、未知の攻撃は時間の問題。手 遅れになる前にサンドボックスの検討を。 ◼ 「実際に動かす」という発想 サンドボックスは怪しいソフトウェアなどを、OS やアプリケーション上で実際に動かして挙動をみ るアプローチ。だから、未知の脅威に対応できる のです。 ShowNet

11. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team 次世代ファイアウォール；アプリ単位、ユーザ単位で制御 脅威を把握したら、さあ守ろう！

    ◼ NGFWでより細かな制御を実現 「広報部門担当者だけFacebookへの ポストを許可したい」 こんな粒度での制御を可能にします。 ◼ 使用状況の可視化も 誰がどのようなアプリを使っている か視覚化。従業員管理だけでなく、 投資の判断にも利用できます。 ShowNet 広報部門 その他の部門 SNSへの 投稿

12. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team DDoS対策；攻撃トラフィックをドロップ、通信をきれいに！ 脅威を把握したら、さあ守ろう！

    ◼ 正常な通信を止めない DDoS対策機器は通信の内容を 吟味して不要なものだけをス トップ。通常の通信はすいす いです。 ShowNet DDoSのさなかにも、 通常の通信が含まれて います。

13. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team リスクに応じた多層防御が重要です。 脅威を把握したら、さあ守ろう！

    想定する脅威の種類によって 複数の技術とアプライアンスを組み合わせ、 防御の有効性を向上させましょう。 ウィルス対策ソフトウェア サンドボックス ファイアウォール 次世代FW/IPS Copyright © INTEROP TOKYO 2014 ShowNet NOC Team ShowNet デモ

14. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team アプライアンスの導入で終わりではありません！ 脅威を把握したら、さあ守ろう！

    セキュリティは人馬一体を目指した運用体制の構築が重要です。 ◼ 継続的な監視体制 警告を適時に把握するまでが対策です。 ◼ 定期的なリスク見直し体制 時々刻々と変化するセキュリティ脅威。 対策も定期的に見直す必要があります。 • 設定値の見直し • 追加のアプライアンス調達

15. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team 明日のセキュリティ ダメージコントロールに注目！

16. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team ダメージコントロールの重要性が高まっています。 明日のセキュリティ；ダメージコントロールに注目！

    境界防衛の突破が不可避な時代に対する備えが必要です。 ◼ 本気で狙われると防ぎきれない サイバー攻撃は安価であり、常に攻撃者が有利です。 ◼ ダメージを最小限にする仕組み 境界防衛が突破されることを想定して、損害を軽減 するための仕組みを構築することが重要です。 • 侵入の早期検出・発見 • 可及的速やかな収拾と証拠保全

17. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team 早期発見。そのために総合的なログ解析の導入を検討しましょう。 明日のセキュリティ；ダメージコントロールに注目！

    ◼ ダメコンは早期発見から 早く見つければ、被害が広まる前に 対応を始めることができます。 ◼ SIEMに注目してください！ 潜伏する攻撃者を発見するためには、 さまざまな痕跡を関連付けて分析す る必要があります。 さまざまなログを関連付けて分析す るSIEM関連製品の動向、要チェッ クです！ 侵入 損害額 発見 終息 対応開始 時刻 侵入の深度 侵入 時刻 侵入の深度 発見 終息 損害額 対応開始 早 期 発 見

18. Copyright © INTEROP TOKYO 2014 ShowNet NOC Team 早期収拾。そのために日頃からインシデントに備えましょう。 明日のセキュリティ；ダメージコントロールに注目！

    ◼ 早期の収拾は日頃の備えから 企業内CSIRTの構築など、イン シデント発生時の手順があれば 混乱しません。 ◼ 証拠保全が重要になります！ 法的に有効な証拠として記録を 残せば、事後処理が有利です。 今後のデジタルフォレンジック、 ネットワークフォレンジックの 関連製品に注目です！ 侵入 損害額 発見 終息 対応開始 時刻 侵入の深度 侵入 損害額 発見 終息 対応開始 時刻 侵入の深度 早 期 収 拾