家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

セキュリティポリシーモデルについて(Bell-LaPadula、Biba Integrity、Chinese Wall等)

セキュリティモデルとして挙げられる「Bell-LaPadula」や「Biba Integrity」について調べたことをまとめます。

「オペレーティングシステムのアクセスコントロール機能におけるセキュリティポリシーモデル」
発行機関:情報処理推進機構
発行年月日:2012年9月27日

https://www.ipa.go.jp/files/000002266.pdf

 

上記資料は、IPAがシステム管理者を対象に参考情報を公開している「情報セキュリティ対策実践情報」に掲載されています。

www.ipa.go.jp

 

OSのアクセスコントロールと課題
OSの課題として、特権ユーザがシステム全体を支配できることが問題とされています。これは、一旦特権ユーザの権限が不正に奪われてしまうと、システムのセキュリティを確保できないことが理由となります。セキュアOSでは、上記問題点を改善するために、強制的アクセスコントロール機能を実装します。

 

セキュアOSとは
* セキュアOSとは「強制アクセス制御」「最小特権」の機能を満たしているOSを指している。
* セキュアOSとしては「Trusted Solaris」や「SELinux」等がある。
* Trusted Solarisは米国家安全保障局で策定されたセキュリティ評価基準に定義されている規約を満たしたTrusted OSを実装したOSである。
* SELinuxは米国の NSAが中心になって開発した,Linuxカーネルの セキュリティ拡張モジュールで、多くのLinuxディストリビューションに組み込まれている。

強制アクセス制御とは(Mandatory Access Control:MAC)
Linuxでは、ファイルやディレクトリに対するアクセス権として「所有者」、「グループ」、「その他のユーザ」の3種類の設定を行い、所有者によってアクセス権が自由に設定できます。(Discretionary Access Control:任意アクセス制御、一般的なWindows OSも同様)
セキュアOSでは、アクセス権の設定を所有者が行うのではなく、設定ファイルで一元管理することにより、システム管理者がシステム全体のアクセス権の設定状態を管理します。

最小特権とは
Linuxではrootユーザがシステムに関する全ての権限を所有しているため、root権限を不正なユーザに取られた場合、システム全体を自由に操作されてしまいます。

セキュアOSでは、root権限を廃止し複数のユーザに権限を分割して割り当てることにより、アカウントやサービスには最低限の権限が付与されるため、ユーザ権限を不正なユーザに取られた場合でも、システムへの影響を低減します。

f:id:iestudy:20190820233954p:plain

セキュアOSの特徴

 

ossforum.jp

セキュアOSではアクセスコントロールを実現するために、以下の2つの機能を実装します。

 

リファレンスモニタ (Reference Monitor)
システム上の全データに対するアクセスをコントロールする

セキュリティポリシーモデル
リファレンスモニタを正確に機能させるためには、
「どの主体が、どの対象物を、どのように操作できるのか」(=セキュリティポリシー)を定義します。
セキュリティポリシーには、大きく2つの分類があります

 

セキュリティポリシーの分類

多層的なセキュリティポリシーモデル
多層的なセキュリティポリシーモデルは、米国軍などで適用されるもので、情報に階層を付けて、階層間のアクセスを制限します。
このモデルはデータに異なる重要度が設定されているような場合に適しています。このモデルに分類されるセキュリティポリシーには、Bell-LaPadula、Biba Integrity等があります。

f:id:iestudy:20190820234128p:plain

多層的セキュリティポリシーのイメージ


多元的なセキュリティポリシーモデル
多元的なセキュリティポリシーモデルは、情報の重要度を順序付けるのではなく、コンパートメントと呼ばれる小さな部屋に区切り、情報へのアクセスをコントロールするモデルです。
このモデルにおいては、多層的セキュリティポリシーモデルのように、階層的な情報をコントロールするのではなく、コンパートメント間の横方向の情報フローがコントロールされます。

 

f:id:iestudy:20190820234207p:plain

多元的セキュリティポリシーのイメージ

 

f:id:iestudy:20190820235009p:plain

セキュリティポリシーモデルの位置づけ

 

Bell-LaPadula モデル

  • 1973年に米国空軍の要請によりDavid Bell、Len LaPadulaが提案
  • 情報の不適切な開示の有無を検証することが可能
  • 情報が下へ流れない (守秘性) 
シンプルセキュリティ属性 (Simplesecurity property) どのサブジェクトも高位のデータを読んではならない。NRU (no read up)
スター属性 (*-property) どのサブジェクトも低位にデータを書き込んではならない。NWD (no write down)

 

Biba Integrity モデル(Low Water-Mark Model)

  • 1975年にBibaが情報の不適切な修正を防ぐためのモデルを提案
  • 情報が上へ流れない (完全性) 
シンプルインテグリティ属性(Simple integrity property) サブジェクトは、下位のデータに限り修正することができる。
インテグリティスター属性(Integrity *-property) もしサブジェクトが、同じインテグリティ・レベルのオブジェクトへの読み込み権限を持っていれば、そのサブジェクトは上位のオブジェクトに限り修正することができる。

https://www.jnsa.org/result/2007/edu/materials/071111/tebiki2007.pdf

 

Chinese Wall モデル
Chinese Wallモデルでは、「関心事の衝突」を情報保護の基本としています。
具体的には、競合する会社の情報があった場合に、その両方の企業の情報にアクセス可能な状況を作らないようにします。

 

その他OSのセキュリティに関する資料
電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究報告書

https://www.nisc.go.jp/inquiry/pdf/secure_os_2004.pdf

 

OSのセキュリティ機能等に関する調査研究

https://www.nisc.go.jp/inquiry/pdf/secure_os_features.pdf

 

GDPRの概要

General Data Protection Regulation
制定機関:欧州議会および欧州理事会
制定年月日:2016年4月27日(2018年5月25日より施行)

参考
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN


日本語訳

https://www.jipdec.or.jp/archives/publications/J0005075

 

概要
2018年5月25日よりEU域内の個人データ保護を規定する法として、GDPR(General Data Protection Regulation)が施行されました。GDPRは、1995年から適用されている「EUデータ保護指令(Data Protection Directive 95)」に代わるものです。
GDPRでは、欧州経済領域内(EEA:European Economic Area)に住む人の「個人データ」について、「処理」「移転」を規制しています。

「個人データ」とは
「個人データ」はEEA内に在籍する個人に関する情報と定義されます。

  • 名前
  • 位置データ
  • メールアドレス
  • クレジットカード情報
  • IPアドレス
  • 身体、精神、文化、経済に関する要素 等

「処理」とは
「処理」とは、「個人データ」に対して行われるすべての操作と定義されます。

  • メールアドレスの収集
  • クレジットカードの情報保管
  • 連絡先情報の変更
  • 業務評価の閲覧
  • 名前等の個人情報を一覧で管理する 等

「移転」とは
「移転」とは第三者に個人データを閲覧可能にするための行為と定義されます。

  • 個人データを含んだ文書を郵便またはメールで送付
  • 従業員情報をEEA域外の拠点で閲覧

GDPRの章立て

第 1 章 総則1
第 1 条 対象事項と目的
第 2 条 実体的範囲
第 3 条 地理的範囲
第 4 条 定義

第 2 章 諸原則
第 5 条 個人データの取扱いに関する原則
第 6 条 適法な取扱い
第 7 条 同意の条件
第 8 条 情報社会サービスに関する子どもの同意に対して適用される条件
第 9 条 特別な種類の個人データの取扱い
第 10 条 有罪判決及び犯罪に係る個人データの取扱い
第 11 条 識別を要求しない取扱い

第 3 章 データ主体の権利
第 1 節 透明性及び手続
第 12 条 データ主体の権利行使のための透明性のある情報、通知及び手続
第 2 節 情報及び個人データへのアクセス
第 13 条 データ主体から個人データを収集する場合に提供される情報
第 14 条 データ主体から個人データを取得しない場合に提供される情報
第 15 条 データ主体のアクセス権
第 3 節 訂正及び消去
第 16 条 訂正の権利
第 17 条 消去の権利(忘れられる権利)
第 18 条 取扱い制限の権利
第 19 条 個人データの訂正若しくは消去又は取扱いの制限に関する通知義務
第 20 条 データポータビリティーの権利
第 4 節 異議を唱える権利及び個人に対する自動化された意思決定
第 21 条 異議を唱える権利
第 22 条 プロファイリングを含む自動化された個人意思決定
第 5 節 制限
第 23 条 制限

第 4 章 管理者及び取扱者
第 1 節 一般的義務
第 24 条 管理者の責任
第 25 条 データ保護バイデザイン及びデータ保護バイデフォルト
第 26 条 共同管理者
第 27 条 EU 域内に拠点のない管理者又は取扱者の代理人
第 28 条 取扱者
第 29 条 管理者又は取扱者の権限下での取扱い
第 30 条 取扱い活動の記録
第 31 条 監督機関との協力
第 2 節 個人データの保護
第 32 条 取扱いの保護
第 33 条 個人データ侵害の監督機関への通知
第 34 条 データ主体への個人データ侵害の通知
第 3 節 データ保護影響評価及び事前協議
第 35 条 データ保護影響評価
第 36 条 事前協議
第 4 節 データ保護オフィサー
第 37 条 データ保護オフィサーの指名
第 38 条 データ保護オフィサーの地位
第 39 条 データ保護オフィサーの業務
第 5 節 行動規範及び認証
第 40 条 行動規範
第 41 条 承認された行動規範の監視
第 42 条 認証
第 43 条 認証機関
第 5 章 第三国又は国際機関への個人データ移転
第 44 条 移転に関する一般原則
第 45 条 十分性決定に基づく移転
第 46 条 適切な保護措置に従った移転
第 47 条 拘束的企業準則
第 48 条 EU 法によって認められていない移転又は開示
第 49 条 特定の状況における例外
第 50 条 個人データ保護に関する国際協力

第 6 章 独立監督機関
第 1 節 独立的地位
第 51 条 監督機関
第 52 条 独立性
第 53 条 監督機関のメンバーに関する一般的条件
第 54 条 監督機関の設置規則
第 2 節 管轄、業務及び権限
第 55 条 管轄
第 56 条 主監督機関の管轄
第 57 条 業務
第 58 条 権限
第 59 条 活動報告

第 7 章 協力及び一貫性
第 1 節 協力
第 60 条 主監督機関とその他関係監督機関との協力
第 61 条 相互支援
第 62 条 監督機関の共同作業
第 2 節 一貫性
第 63 条 一貫性メカニズム
第 64 条 欧州データ保護会議の意見89
第 65 条 欧州データ保護会議による紛争解決
第 66 条 緊急手続
第 67 条 情報の交換
第 3 節 欧州データ保護会議
第 68 条 欧州データ保護会議
第 69 条 独立性
第 70 条 欧州データ保護会議の業務
第 71 条 報告
第 72 条 手続
第 73 条 議長
第 74 条 議長の業務
第 75 条 事務局
第 76 条 機密性

第 8 章 救済、法的責任及び制裁
第 77 条 監督機関への不服申立ての権利
第 78 条 監督機関に対する効果的な司法救済の権利
第 79 条 管理者又は取扱者に対する効果的な司法救済
第 80 条 データ主体の代理人
第 81 条 訴訟の一時停止
第 82 条 賠償請求権及び法的責任
第 83 条 制裁金の一般条件
第 84 条 罰則

第 9 章 特別な取扱い状況に関する条項
第 85 条 取扱いと表現及び情報の自由
第 86 条 取扱いと公式文書へのパブリックアクセス
第 87 条 取扱いと国民識別番号
第 88 条 職場における取扱い
第 89 条 公共の利益における保管目的、科学的若しくは歴史的研究の目的又は統計目的のための取扱いに関する保護措置及び例外
第 90 条 守秘義務
第 91 条 教会及び宗教組織の既存のデータ保護規則

第 10 章 委任行為及び実施行為
第 92 条 委任の行使
第 93 条 委員会の手続

第 11 章 最終条GDPR
第 95 条 欧州指令2002/58/ECとの関係
第 96 条 事前に締結されていた条約との関係
第 97 条 欧州委員会報告
第 98 条 データ保護に関するその他EU法の見直し
第 99 条 施行及び適用

GDPRで制裁を受けた事例 

www.secure-sketch.com

 

セキュリティポリシーとは

セキュリティポリシーとは
一般的にセキュリティポリシーとは、組織の情報資産を適切に保護するための統一方針のことを指します。
セキュリティポリシーでは保護すべき情報資産の特定や、保護の目的、及び責任の所在等が明らかにされます。
セキュリティポリシーをもとに、より具体的な内容を記載する基準や、規程、手順等が整備されます。

 

f:id:iestudy:20190814194015p:plain

セキュリティポリシーの位置づけ

www.ipa.go.jp

 

経済産業省が発表した「サイバーセキュリティ経営ガイドライン」にもあるように、組織のセキュリティ対策については、経営者が主導して推進することが求められています。組織においてセキュリティの基本方針となる「セキュリティポリシー」は経営においても重要なものとなっています。

「サイバーセキュリティ経営ガイドライン」の概要 - 家studyをつづって

 

セキュリティポリシーとコンプライアンス
コンプライアンス(法令遵守)は、組織が活動を行う際の前提となります。
セキュリティポリシーは、法令や規制に準拠している必要があります。例えば、個人情報の保護に関する主な法規としては「個人情報の保護に関する法律」がありますが、金融機関等においては、「個人情報の保護に関する法律」の具体的な要求事項を示した、金融庁「金融分野における個人情報保護に関するガイドライン」に準拠する必要があります。

https://www.fsa.go.jp/common/law/kj-hogo/01.pdf

 

セキュリティポリシーを策定することによる効果

  • 情報資産の特定、明確化
  • 情報資産を保護するためのセキュリティ対策基準の明確化
  • 社員の行動基準の明確化
  • 情報資産の管理者、責任の明確化

www.soumu.go.jp

 

セキュリティポリシー策定の基本的なアプローチ

  1. セキュリティポリシーの策定
  2. 情報資産の洗い出し
  3. 情報資産に対するリスクアセスメント
  4. セキュリティスタンダードの策定
  5. 策定したセキュリティポリシーをレビューし、承認を受ける

セキュリティポリシーの策定には、組織の状況を踏まえたうえで対応する必要があります。例えば、 既にいくつかの情報保護規程がある場合、それらを見直し、不足を補いながらセキュリティスタンダードとするようなアプローチ方法も考えられます。
上記の場合では、スタンダードの整備を行っていくなかで会社の基本方針として記述しておくべき重要な内容や基本的事項を抽出していき、最終的にそれらをセキュリティポリシー(基本方針)としてまとめるという策定するという方法もとることができます。

 

セキュリティポリシー記載内容の例
・経営者の意思
・情報資産について
 - 情報資産の定義と分類
 - 情報資産の利用方法
 - 情報システムのセキュリティ対策基準
・セキュリティ管理体制について
 - 全社、各部門のセキュリティ管理体制
 - セキュリティの監査体制
・社員の義務について
 - セキュリティ教育
 - 罰則
・外部委託に関して
 - 契約の締結
 - 安全対策の確認
・コンプライアンスについて

  

セキュリティスタンダードの項目例

大分類 内容
組織体制

セキュリティ管理体制の明確化

全社のセキュリティ管理

部門のセキュリティ管理

情報システムの管理

情報システムの管理者

開発・運用管理

オペレーション管理

ソフトウェア管理

ハードウェア管理

ドキュメント管理

資源管理・廃棄

障害管理

要員管理

物理的な管理

設置場所に関するルール

サーバー等設置場所の入退館、入退室管理

論理的な管理

アクセスルール

不正アクセス検知策

特権IDの運用

ユーザー管理

ユーザーの権利と義務の明文化

ユーザー登録ルール及び使用ルールの明確化

教育・啓蒙

コンプライアンス 関連する法令
例外の規定

例外を認めるケース

例外扱いの手順

監査 監査への対応
違反時の対応 罰則
事故等の報告義務 事故等の報告
重大な災害への対応

コンティンジェンシープラン

バックアップセンター

ネットワークの管理

ネットワークの管理と運用

ネットワークの障害対策

ネットワークの監視

不正アクセス対策

データ保護(暗号化・改ざん対策)

外部接続管理

プロバイダの選定基準

電子メール Web閲覧

インターネットの監視

情報公開のルール

アウトソーシング(外部委託)

アウトソーシング先の選定基準

アウトソーシング先の管理

 

その他参考にさせていただいた情報

www.jnsa.org

 

www.kantei.go.jp

 

http://www.cec.or.jp/seculib/handbook/17ghjbs3.pdf

ビジネスメール詐欺の定義(Business Email Compromise:BEC)

ビジネスメール詐欺「BEC」に関する事例と注意喚起(続報)
発行機関:情報処理推進機構
発行年月日:2018年8月27日

www.ipa.go.jp

 

J-CSIPについて

J-CSIPは、公的機関であるIPAを情報の中継点として、参加組織間でサイバー攻撃に関する情報共有を行い、対策に繋げていく取り組みです。IPAと各参加組織(あるいは参加組織を束ねる業界団体)間で秘密保持契約(NDA)を締結するなどして、参加組織およびそのグループ企業において検知されたサイバー攻撃等の情報をIPAに提供いただき、情報提供元に関する情報や機微情報の匿名化を行った上で、参加組織間での情報共有を行っています。

J-CSIPはIPAが情報の集約点となり、サイバー攻撃等の情報を参加組織間で共有する取り組みです。

 

レポートの概要

IPAは、J-CSIPの情報共有の活動で得られた情報をもとに、ビジネスメール詐欺(BEC)に関する注意喚起を行っています。
このレポートではビジネスメール詐欺を定義し、5つのパターンを紹介したうえで、実際に発生したBECについて解説しています。

 

ビジネスメール詐欺の定義

ビジネスメール詐欺(Business E-mail Compromise:BEC)とは、巧妙な騙しの手口を駆使した、偽の電子メールを組織・企業に送り付け、従業員を騙して送金取引に係る資金を詐取するといった、金銭的な被害をもたらすサイバー攻撃です。詐欺行為の準備として、企業内の従業員などの情報が狙われたり、情報を窃取するウイルスが悪用されることもあります。BEC は、「ビジネスメール詐欺」以外にも、「ビジネス電子メール詐欺」や「外国送金詐欺」などとも呼ばれています(本書ではビジネスメール詐欺と呼びます)。

  

ビジネスメール詐欺の攻撃パターン

タイプ 概要 具体例
タイプ 1 取引先との請求書の偽装

取引のメールの最中に割り込み、

偽の請求書(振込先)を送る

タイプ 2 経営者等へのなりすまし

経営者を騙り、偽の振り込み先に

振り込ませる

タイプ 3 窃取メールアカウントの悪用

メールアカウントを乗っ取り、

取引先に対して詐欺を行う

タイプ 4 社外の権威ある第三者へのなりすまし

社長から指示を受けた弁護士といった人物に

なりすまし、振り込ませる

タイプ 5 詐欺の準備行為と思われる情報の詐取

経営層や人事部になりすまし、

今後の詐欺に利用するため、

社内の従業員の情報を詐取する

 

ビジネスメール詐欺への対策

  • 取引先とのメール以外の方法での確認
  • 社内規程の整備
  • 普段とは異なるメールに注意
  • 不審と感じた場合の組織内外での情報共有
  • ウイルス・不正アクセス対策
  • 電子署名の付与
  • 類似ドメインの調査

 

社内規定による整備に関して、トレンドマイクロの調査においても、割合としては少ないですが不正送金を防げた理由として挙げられています。

f:id:iestudy:20190809160911p:plain

BECの被害を未然に防げた理由

「ビジネスメール詐欺に関する実態調査 2018」を発表 | トレンドマイクロ

 

日本国内で話題になったBECの事例

1.日本で不正な送金を引き出し、逮捕者が出た事例

被害にあった企業:セントクリストファー・ネビス

攻撃の発生日時:2016年9月

www.asahi.com

 

2.JALで発生したBEC

被害にあった企業:日本航空株式会社(JAL)

攻撃の発生日時:2017年8月24日(1回目の振り込み)

www.asahi.com

 

3.D&Gで発生したBEC

被害にあった企業:ドルチェ&ガッバーナ

攻撃の発生日時:2017年11月2日

www.dailyshincho.jp

 

DXとは何か ‐「DXレポート」の概要-

DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~
発行機関:経済産業省
発行年月日:2018年9月7日

www.meti.go.jp

 

DXとは何か
DX(Digital Transformation)はガイドラインでは以下のように定義されています。

企業が外部エコシステム(顧客、市場)の破壊的な変化に対応しつつ、内部エコシステム(組織、文化、従業員)の変革を牽引しながら、第3のプラットフォーム(クラウド、モビリティ、ビッグデータ/アナリティクス、ソーシャル技術)を利用して、新しい製品やサービス、新しいビジネス・モデルを通して、ネットとリアルの両面での顧客エクスペリエンスの変革を図ることで価値を創出し、競争上の優位性を確立すること

これは、新たなデジタル技術(AI、RPA、IOT、クラウドサービス、ビックデータ、5G等)を活用して、新たな製品やサービス、ビジネスモデルをうみだし、市場の要望等に柔軟に対応し、デジタルの世界における競争力を高めることを表します。

 

概要
DXを推進していく上で、現在使用しているシステムが課題となる場合があります。
複雑化・老朽化・ブラックボックス化した既存システムある場合、そのシステムが足かせとなり、大量のデータを活用しきれない、そのシステムにかかる人件費等の弊害が発生し、2025年までに予想される経済損失は、最大12兆円/年と言われています。(2025年の崖)

DXでは、2025年までに集中的に複雑化・老朽化・ブラックボックス化した既存システムを刷新しつつ、新たなデジタル技術を活用して新しいビジネス・モデルを創出することにより、2030年にGDP130兆円超を目標としています。このレポートでは、DXの推進にかかる課題と対応策をまとめて公開しています。


DX推進にかかる課題
A) 既存システムの問題点を把握し、いかに克服していくか、経営層が描き切れていないおそれ

B) 既存システム刷新に際し、各関係者が果たすべき役割を担えていないおそれ
• 経営トップ自らの強いコミットがない(→現場の抵抗を抑えられない)
• 情報システム部門がベンダーの提案を鵜呑みにしがち
• 事業部門はオーナーシップをとらず、できたものに不満を言う

C) 既存システムの刷新は、長期間にわたり、大きなコストがかかり、経営者にとってはリスクもあり

D) ユーザ企業とベンダー企業の新たな関係の構築が必要
• ベンダー企業に丸投げとなり、責任はベンダー企業が負うケースが多い
• 要件定義が不明確で、契約上のトラブルにもなりやすい
• DXの取組を経て、ユーザ企業、ベンダー企業のあるべき姿が変化
• アジャイル開発等、これまでの契約モデルで対応しきれないものあり

E) DX人材の不足
• ユーザ企業で、ITで何ができるかを理解できる人材等が不足
• ベンダー企業でも、既存システムの維持・保守に人員・資金が割かれ、クラウド上のアプリ開発等の競争領域にシフトしきれていない

 

対応策

1.「見える化」指標、中立的な診断スキームの構築
経営者自らが、ITシステムの現状と問題点を把握し、適切にガバナンスできるようにする。
• 「見える化」指標の策定
-技術的負債の度合い、データ活用のしやすさ等の情報資産の現状
-既存システム刷新のための体制や実行プロセスの現状
• 中立的で簡易な診断スキームの構築

2.「DX推進システムガイドライン」の策定
• 既存システムの刷新や新たなデジタル技術を活用するに当たっての「体制のあり
方」、「実行プロセス」等を提示
• 経営者、取締役会、株主等のチェック・リストとして活用
→ コーポレートガバナンスのガイダンスや「攻めのIT経営銘柄」とも連動

www.meti.go.jp

 

3.DX実現に向けたITシステム構築におけるコスト・リスク低減のための対応策
• 刷新後のシステムが実現すべきゴールイメージ(変化に迅速に追従できるシステム
に)の共有(ガイドラインでチェック)
• 不要なシステムは廃棄し、刷新前に軽量化(ガイドラインでチェック)
• 刷新におけるマイクロサービス等の活用を実証(細分化により大規模・長期に伴う
リスクを回避)
• 協調領域における共通プラットフォームの構築(割り勘効果)(実証)
• コネクテッド・インダストリーズ税制(2020年度まで)

4.ユーザ企業・ベンダー企業間の新たな関係
• システム再構築やアジャイル開発に適した契約ガイドラインの見直し
• 技術研究組合の活用検討(アプリケーション提供型への活用など)
• モデル契約にトラブル後の対応としてADRの活用を促進

5.DX人材の育成・確保
• 既存システムの維持・保守業務から解放し、DX分野に人材シフト
• アジャイル開発の実践による事業部門人材のIT人材化
• スキル標準、講座認定制度による人材育成

 

日本と海外の企業におけるセキュリティマネジメント状況の差

企業における情報セキュリティ実態調査2019
発行機関:NRIセキュアテクノロジー株式会社
発行年月日:2019年7月18日

www.nri.com

 

概要

日本および海外企業の情報セキュリティに関する取り組みの実態を把握することを目的とし、NRIセキュアテクノロジーズでは各企業に対してアンケート調査を行い、その結果を公開しています。このレポートではアメリカ、シンガポール、日本の3か国、計2800社以上の企業を対象とした調査結果を公開しています。

 

1.デジタルセキュリティ
アメリカ、シンガポールでの取り組みが進む一方で、日本は取り組んでいないという企業が半分を占めていました。また、日本企業においては、DXによるセキュリティの要求事項は変わっていないと回答する企業が多数を占めています。

 

2.セキュリティマネジメント
日本企業に関して、CISOの設置やGDPRへの対応に関して遅れが目立つ状況が明らかになりました。

 

3.セキュリティ人材
日本ではセキュリティ人材の不足が叫ばれています。特に「セキュリティ戦略・企画を策定する人」に関して、人材が不足している結果が示されています。

 

4.セキュリティ対策
セキュリティ対策の実施に関して、契機の違いが示されています。
アメリカ、シンガポールでは、セキュリティ対策実施の契機は経営層の指示であるのに対し、日本では、自社のセキュリティインシデントが契機となっています。

 

5.脅威・事故
セキュリティインシデントの内訳として、アメリカ、シンガポールは外部からのサイバー攻撃の割合が多いのに対し、日本ではメール誤送信等のヒューマンエラーが多く割合を占める結果が示されています。

 

「2.セキュリティマネジメント」に関しては、日本と海外とで大きく差が出ていました。

 

CISOの設置企業

f:id:iestudy:20190805224241p:plain

CISOの設置状況

日本ではCISOの設置企業数が5割程度にとどまっています。

 

セキュリティ予算に占める新規対策にかける費用の割合

セキュリティ対策において、新規対策への取り組みに日本と海外とで差が見れました。

f:id:iestudy:20190805225036p:plain

セキュリティ対策の実施状況

 

サイバー保険の加入状況

サイバー保険の加入に関しては、海外企業が積極的なことがわかります。5.脅威・事故でもあったように、海外企業ではセキュリティインシデントに関して、外部からのサイバー攻撃の方が割合が高いことも、上記の要因の一つだと思います。

f:id:iestudy:20190805225128p:plain

サイバー保険の加入状況

また、ガイドラインの活用に関して、日本ではガイドラインを活用していないと回答する企業の割合が多いという結果が示されています。

f:id:iestudy:20190805225215p:plain

参考:ガイドラインの活用状況

 

2019年1~3月のEメールによる脅威動向

Eメール脅威レポート
発行機関:ファイア・アイ株式会社
発行年月日:2019年7月23日

https://www.fireeye.jp/company/press-releases/2019/new-fireeye-email-threat-report-reveals-increase-in-social-engin.html

概要
ファイア・アイでは2019年1月から3月に検知した攻撃メールを分析した結果を「Eメール脅威レポート」として公開しています。

2019年第1四半期の統計から見えてきたもの(抜粋)

  • URLを用いて不正コンテンツをダウンロードさせる手法が主流となっている
  • 第1四半期のフィッシング攻撃件数は、前四半期と比較して17%増加した
  • 第1四半期はなりすまし攻撃が増加し、第2四半期も引き続き増加するものと見られる
  • CEO詐欺がサイバー犯罪者の資金源となっており、新たな2つの手法が出現している
  • 社会的信用を脅かす恐喝攻撃が、2018年から2019年第1四半期まで継続している
  • 有償無償を問わず、ファイル共有サービスを悪用した不正コードの配布が行われている
  • 不正なコンテンツの配信に、入れ子式のEメールが用いられている

 

サービスを騙ったフィッシングメールの動向
Microsoftを騙ったメールが多く確認されています。

f:id:iestudy:20190805221024p:plain

なりすまされたサービス


クラウドストレージを悪用した攻撃
マルウェアをメールに添付して送るのではなく、Dropboxなどのファイル共有サイトにマルウェアをアップロードし、そこから標的とするユーザに対してファイル共有の通知を送ることで、メールやWebのフィルタリングを回避する攻撃です。

f:id:iestudy:20190805221113p:plain

悪用されたストレージサービス


入れ子式のEメール
攻撃メールに、別のメールファイルを添付した攻撃です。添付されたメールにはフィッシングサイト等のURLが記載されています。

 

f:id:iestudy:20190805222730p:plain

攻撃メールのイメージ

f:id:iestudy:20190805222830p:plain

添付されるメールファイル