第11回情報セキュリティマネージャー ISACAカンファレンス in Tokyo「セキュリティリスクの変化とマネジメント」

 

聴講メモ

講演1.複眼的な取り組みが求められるサイバーレジリエンス

  • ITの世界ではスピードが違うものが出ている(レガシーが無くなるわけではなく、Fast ITが出てきている)

-SlowIT:ユーザーの声を取り組んでじっくり成熟させてきたオンプレや5Gなど

-FastIT:所謂クラウドサービス

  • FastITではトラブルは織り込み済みで、不具合は運用でカバーする。過剰品質はやらない。一つの会社が万能なものを作るのではなく、アジリティでやる

  • 「安全」という観点からは、レガシーもクラウドも関係ない

  • 日本のサイバーセキュリティは欧米と比較するとかなり遅れている(5年~10年)

  • マーケットに任せてもダメなので規制で進めていく

  • 欧米はインシデント報告義務があるが、日本は産業分野ごとに有無や濃淡が異なる。欧米はクロスセクターでやっているし上場企業全部でやっている

  • NIS2 Directive (ネットワーク情報セキュリティ指令)ではEU加盟各国で法制化が要求されている

  • インシデント発生時、欧米は24時間~4日以内での報告義務

  • 取締役会メンバーのサイバーセキュリティに関する専門知識(CISM、SISSP保持、etc)に関する情報開示の義務付け

  • EUのAI規制は域外適用

  • 今の世の中、クラウドを使っていない組織構成員はゼロ(オンライン名刺管理サービスもクラウド)

  • サイバーレジリエンスは回復不能(サービス提供不可/終了)にならないようにコントロールすることが重要

  • サイバーレジリエンスは世界経済フォーラムで言われているもので、IT専門家ではなく、世界の意識高い系の経営者が発信していることがポイント(⇒経営層への訴求ポイント)

  • 単一障害点(一本足打法)を作らない(Office365が使えなくなっても大丈夫か?Teamsが止まっても大丈夫か?Akamaiが止まっても大丈夫か?)
      
  • 近年は一本足打法の悪影響が目立つ(ベンダーロックインの誘惑が常にある。止まらないと謳っても止まる。Teamsはしょっちゅう障害。Akamaiは東京オリパラ開催日に障害。外資ベンダーは障害起こしても謝罪しない。外資と日本企業は停止に伴う受け止め方が全然違う。外資は「まいっか」で済むが、日本では大騒ぎになる。

  • マルチプラットフォームを駆使することは重要だが、ベンダーロックインの誘惑にあらがうのは大変。

  • お金の観点では一本足打法が安くなるので魅力的。経営サイドで一本足打法がヤバいことを言ってもらわないといけない

  • 山手線は止まっても他の会社の振り替え輸送ができる。クラウドの世界では何故同じことができないのか?

  • EUは選択肢を残すため(ロックインされないため)にLinuxに多額の投資を行っている

  • 単純さを求める勢力に拮抗する(ごった煮のCIO/CTOではなく、CISO、CDO等の細分化が必要)

  • 新技術が出てきたときに自社の最悪の事態想定をアップデートする

  • DXはデジタル総力戦
    -サプライチェーンxAI・ブロックチェーン
    -人材活用xインフラ仮想化・ゼロトラスト

  • 新技術の良い点・悪い点を予め押さえておくことが重要

  • Javaのように重厚長大だと思っていた宮殿の床が突然抜けるようなことが起きる時代、計画やサイクルも重要だが、アジリティは非常に重要

  • 神戸市は武漢ウイルスワクチン接種券アプリを1週間で作ったが、プロは1日で作れる。世の中はそれくらいのスピード感で動いている

  • 演習(欧米ではエクササイズ)により備えができる。繰り返すことが重要。演習をチームで実施してみると、常勝チームみたいなものは無く、チームワークで乗り切るところ、俗人的に対応するところがある。技術だけでもダメ、チームワークだけでもダメ

  • 進んだ組織だとGameDayと称して抜き打ちでインシデントを発生させる組織もある。

  • 日本は事故を隠蔽する傾向にあるがこれは背任行為。国内外では立ち入り検査が進んでいる

  • クラウドやレガシーが重なり合っているのがいまのIT。 オンプレだけとかクラウドだけとかではなく、相互依存性を意識しないとサイバーレジリエンスは絵空事になる。

  • 欧米は官僚がテクノロジーに詳しかったりする


講演2. サイバー犯罪の現状と対策におけるインテリジェンスの活用

  • Emotetは初期アクセスブローカー

  • 脅威フィルタリングの可視化は難しい

  • アセスメントの結果、脅威フィルタリングは想定ほど入り口でブロックできていない。日々10万件の脅威だと95%ブロックできても500件くらい対応が必要
    ⇒SOCメンバーが疲弊
     ⇒フィルタリングの強化が必要

  • ユーザーを教育するとユーザーがセンサー(何かあったときにセキュリティ部門にタレコミしてくれる)になる

  • 攻撃の傾向やトレンドについて、アンダーグラウンドにもトレンドがあり、どこかの攻撃者が日本の病院で大きな利益が得られた(=病院が身代金を払った)となると、他の攻撃者グループも日本の病院を狙うようになり、結果として日本の病院が狙われやすいというトレンドが形成される

  • BEC(ビジネスメール詐欺)はグローバル展開している企業が狙われやすい傾向にある。さらに海外拠点の人が狙われやすい。

  • AIを活用したBECやフィッシングは今後増えると考えておいた方が良い

  • 従業員にとってURLだけで不審か否かの見極めはかなり厳しい。その前の不審メールの見極めや、気になったらエスカレーションしやすい環境を整備することが重要

  • 外資企業では報告をしっかりしてくれた方に対して表彰を実施している


講演3.情報セキュリティマネージャーが知っておくべきクラウドセキュリティと社内普及

  • 現実の脅威と知覚された脅威は分けて考えなければならない

  • 10大脅威は昨年から大きく変わっていない
    ⇒今の対策が効果が無い?

  • クラウドに対する懸念が増えている

  • OWASPトップ10(3-4年で変わる):個別の脆弱性から大きな枠組みに変化。攻撃の仕方⇒設計や不備等の大きな感じ(攻撃の枠が増えてきた)

  • クラウドの脅威:CSAが出しているパンデミックイレブンが参考になる

  • クラウドのインシデントは利用者起因が増えている(使う側のセキュリティ対策)-管理不備、設定戻し忘れ、etc

  • 脅威者のやり口の知見がMITRE ATT&CK

  • MITRE ATT&CKのIaaS抜粋版がある

  • 攻撃者はクラウドに対してアカウントを何とか窃取しようとする

  • オンプレでもクラウドでも守る資産は変わらない。脅威と脆弱性が異なる

  • クラウドサービスは必ず利用者側の責任が発生する(お任せや丸投げは不可)

  • 責任共有モデル:CSAからクラウドコンピューティングの進化と新たな責任共有モデル

  • クラウドの棚卸について、申告ベースでは漏れがあるため、利用料支払い実績などからも追う(地道な活動の繰り返し)

  • 研修・勉強会・連絡会など、セキュリティ部門から現場に伝えたいことを情報発信する場を作るのが良い(現場とセキュリティ部門に距離がある)

  • Wikiサイトをつくるとよい

  • 現場からセキュリティに近づいてくるのは問題が起きたときやリリース直前等なので、セキュリティ部門から現場に歩み寄るのが良い

  • セキュリティ新機能が出たらシェアをし、反応が良ければ次回のガイドライン改定のネタにする

  • クラウドはプロバイダと利用者責任があるので、その責任範囲を把握する

  • クラウドセキュリティは認証・認可・ロギング、暗号化等、共通の考え方で行ける

  • 開発現場の理解を得るためには情報発信が必要

  • 社内のガイドライン適用率は3年かけて8割程度を達成


  • 総務省発行のガイドラインの有効性について、「総務省が・・・」ではなく、その裏にある参照文献の確認を行い、それが自組織にフィットするのかを抑えた方が良い。

  • 現場には脅威、根拠、ベストプラクティスを話す。「インシデントが起きたときにこれは防げました」等、地道に続ける。

参考資料②:OWASP Top 10

参考資料③:CVE(共通脆弱性識別子)

参考資料④:クラウドコンピューティングの重大脅威 – パンデミックイレブン

参考資料⑤:MITRE ATT&CK®

参考資料⑥:MITRE ATT&CK IaaS Matrix (公式IaaS抜粋版)

参考資料⑦:クラウドセキュリティの役割分担

参考資料⑧:新たな責任共有モデル

参考資料⑨:NIST CSF

参考資料⑩:CIS Controls

参考資料⑪:ISMS

参考資料⑫:PCI DSS

参考資料⑬:【解説】NIST サイバーセキュリティフレームワークの実践的な使い方

参考資料⑭:セキュリティフレームワークやナレッジを活用したセキュリティ対策の評価・分析手法

参考資料⑮:CIS Benchmarks

参考資料⑯:パブリッククラウドのCISベンチマーク準拠チェックサービス(AWS)

参考資料⑰:パブリッククラウドのCISベンチマーク準拠チェックサービス(Google)

参考資料⑱:パブリッククラウドのCISベンチマーク準拠チェックサービス(Azure)

参考資料⑲:パブリッククラウドのCISベンチマーク準拠チェックサービス(OCI)

【セキュリティ事件簿#2023-086】東邦化学工業株式会社 当社サーバーへの不正アクセスに関するお知らせ 2023年2月28日


当社サーバーに対する第三者による不正アクセスを受けたことを確認しましたのでお知らせいたします。

当社は、2023 年2月 26 日に、当社データセンターのサーバーに、第三者による不正アクセスを受けたことを確認しました。被害の拡大を防ぐため、速やかにサーバーの停止やネットワークの遮断などの対応を行いましたが、基幹システムや関連システムにも被害が及んでおります。現在、外部専門家の助言を受けながら、不正アクセスを受けた範囲と情報の特定、情報流出の有無などの調査を進めておりますが、全容を把握するまでには今しばらく時間を要する見込みです。当社といたしましては、被害の全容解明と速やかな復旧に向けて全力で取り組んでまいります。

この度は、関係各位に多大なるご心配、ご迷惑をおかけすることとなり、深くお詫び申
し上げます。

【セキュリティ事件簿#2023-085】NEC、設定ミスで資料請求者の個人情報を社外1,900人にお漏らし。


NECで2023年2月24日、同社の資料を請求した個人の情報が外部に流出していたことがITmedia NEWSの取材で分かった。人為的ミスにより、1人の情報が社外の約1900人に向けて送信されたという。

問題発生は24日の終業後。NECのサービスに関する資料をダウンロードした個人の氏名、勤務先、メールアドレス、資料名などの情報が外部に自動送信されていた。同社従業員が流出に気付いたのは週が明けて27日の朝。対象の1人には謝罪し、流出先の1900人には情報削除を要請した。

NECによると、同社の資料がダウンロードされた場合、本来であれば社内共有用のメーリングリストに資料請求者の名前などの情報を送信することになっているという。今回はヒューマンエラーによる設定ミスで、同社のセミナーなどに参加した人をまとめたメーリングリストに情報を送信したのが原因だった。

【セキュリティ事件簿#2023-084】株式会社トマト 弊社が運営する「トマトオンラインショップ」への不正アクセスによる 個人情報漏洩に関するお詫びとお知らせ 2023年2月28日


このたび、弊社が運営する「トマトオンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(14,256件)が漏洩した可能性があることが判明いたしました。

またそれに伴い、不正アクセスを行った第三者において「トマトオンラインショップ」内のデータ管理画面が閲覧可能な状態であったことにより上記クレジットカード情報を含め購入履歴等のデータ(62,575件)が漏洩した可能性があることがあわせて判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1経緯

2022年11月24日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、第三者調査機関による調査を開始いたしました。2022年12月26日、調査機関による調査が完了し、2021年1月22日~2022年10月3日の期間に「トマトオンラインショップ」で購入されたお客様のクレジットカード情報が漏洩したことと合わせ、不正アクセスを行った第三者において「トマトオンラインショップ」内のデータ管理画面が閲覧可能な状態であったことを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。

なお、「トマトオンラインショップ」につきましては2022年9月24日よりクレジットカード決済の受付を停止、リニューアル後の「日暮里トマトオンラインショップ」につきましても2022年11月30日よりクレジットカード決済の受付を停止しております。

2.個人情報漏洩状況

(1)原因

弊社が運営する「トマトオンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、不正ファイルの設置が行われたため。

(2)個人情報漏洩の可能性があるお客様

2021年1月22日~2022年10月3日の期間中に「トマトオンラインショップ」においてクレジットカード決済をされたお客様14,256名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

また、上記クレジットカード取引を含む1度でも「トマトオンラインショップ」での会員登録、購入をしたことのあるお客様62,575名(上記14,256名を含む)で、漏洩した可能性のある情報は以下のとおりです。
・氏名
・住所
・生年月日
・メールアドレス
・電話番号
・購入履歴

上記に該当する62,575名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022年11月24日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「日暮里トマトオンラインショップ」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年11月26日に報告済みであり、また、所轄警察署にも2023年1月16日被害相談をしており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2023-083】オアシス珈琲有限会社 弊社が運営する「「きれいなコーヒー」の通販|オアシス珈琲」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年2月28日


このたび、弊社が運営する「「きれいなコーヒー」の通販|オアシス珈琲」(以下、「当社通販サイト」といいます。)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(4,215 件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022 年 8 月 1 日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、同日弊社が運営する「当社通販サイト」でのクレジットカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2022 年 10 月 5 日、調査機関による調査が完了し、2021 年 9 月 21 日~2022 年 7 月 20 日の期間に「当社通販サイト」で購入されたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況
(1)原因
弊社が運営する「当社通販サイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様
2021 年 9 月 21 日~2022 年 7 月 20 日の期間中に「当社通販サイト」においてクレジットカード決済をされたお客様 3836 名で、漏洩した可能性のある情報は以下のとおりです。
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

上記に該当する 3836 名のお客様については、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022 年 8 月 1 日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびクレジットカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「当社通販サイト」の再開日につきましては、決定次第、改めてwebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2022 年 9 月 29 日に報告済みであり、また、所轄警察署にも 2022 年 10 月 10 日被害申告しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2023-082】慶応大学法学部の2年生が履修登録システムに不正アクセスし、他の学生の履修登録を消去


慶応大の学生が他の学生の履修登録システムに不正アクセスを繰り返し、履修登録を消去したなどとして、同大が停学3か月の処分をしていたことがわかった。処分は2023年2月20日付。履修登録を消されると単位が認定されなくなり、進級や卒業にも影響する可能性がある。

処分されたのは法学部の2年生。慶応大では、学生が受講する科目を一定期間にオンラインで申請する。この学生は、他の学生のアカウントでアクセスを繰り返し、履修科目を消去していたという。削除されたことに気づかなければ、出席しても単位が認められない恐れがあった。慶応大では、学生に向けた告示で「被害学生に多大な不利益をもたらし、プライバシーを侵害するもので、大学に学ぶ学生の本分に著しく反する行為」とした。

【セキュリティ事件簿#2023-081】神奈川県住宅供給公社 不正アクセスによる一部情報流出の可能性のお知らせとお詫びについて 2023年2月27日


当公社で利用しております富士通株式会社が提供するFENICSインターネットサービスにおいて、ネットワークを構成する一部機器が不正アクセスを受け、当該機器から外部に向けて不正な通信があった事実が判明しております。
(詳細につきましては、下記富士通株式会社のリンク先をご参照ください)

FENICSインターネットサービスに関するネットワーク機器からの不正な通信について(調査結果)
https://www.fujitsu.com/jp/services/infrastructure/network/news/2023/0220.html

調査の結果、不正な通信に当公社の情報が含まれているかは判明せず、また現時点において当公社以外のサービス利用者を含め、本件による情報の不正利用などの事実は確認されておりませんが、一定の期間においてメール送受信などにおける通信データの一部について、外部に流出した可能性を完全に否定することが出来ない状況であるとの判断に至りました。

なお調査の結果、不正な通信に当公社の情報が含まれているかは判明していないものの、不正アクセスを受けた機器に関しては、現在すでに同社において、必要な対策が講じられております。

また、可能性として、窃取されたと想定できるのはメールの送受信や一部インターネットサイトとの通信のみであり、当公社が保有するデータを保管するサーバー類へのアクセスはないことが確認できております。

関係者の皆様にご心配をおかけすることとなり、深くお詫び申し上げます。

今後、新たな事実が判明した場合や富士通株式会社から新たな情報提供があった場合は必要に応じて、公社ホームページでご報告させていただきます。

【セキュリティ事件簿#2022】国立大学法人室蘭工業大学 不正アクセスによる個人情報の漏えいの報告とお詫びについて 2023年2月27日


令和4年4月~7月にかけて、本学の教職員等4名が利用していたパソコンが不正アクセスを受け、その攻撃者の遠隔操作により本学メールサーバがSPAMメール等の送信に利用される事例が発生いたしました。

調査の結果、当該教職員等のメールサーバ内にある過去の送受信メールが攻撃者に閲覧された可能性があり、そのメールに553人分の個人情報が記載されていたことが判明いたしました。

なお、現時点において本件の個人情報が不正に使用された事実は確認されておりません。

個人情報が漏えいしたおそれのあるご本人へは、順次メールにて連絡を差し上げております。

なお、漏えいしたおそれのある個人情報が氏名のみで連絡先が含まれていない方及び本学で把握している連絡先が現在は使用されていない等の理由で個別に連絡ができない方には、このホームページでのお知らせをご本人への通知に代えさせていただきます。ご自身の個人情報が対象となっているか否かの確認をご希望の方は、以下のお問合せ先へご連絡いただきますようお願いいたします。

本学では、定期的にセキュリティ点検及び研修を実施しておりましたが、この事例の発生を受け、改めて全教職員及び学生向けにセキュリティ点検の実施及びシステムのセキュリティの強化を実施いたしました。

今回、このような問題が発生したことは、極めて重大なことであると受け止めており、関係の皆様に多大なご迷惑をおかけしたことを深くお詫び申し上げます。また、ご本人へのご報告が遅くなりましたことを重ねてお詫び申し上げます。

今後はこのようなことが起こらないよう、再発防止に努めてまいります。