エンカレッジ・テクノロジ講演資料（4.5MB）

内部不正対策と標的型攻撃の両面に効く
特権IDの管理手法
2016年7月13日
エンカレッジ・テクノロジ株式会社
代表取締役専務兼 CTO
丸山良弘
ENCOURAGE TECHNOLOGIES
本セッションの内容
エンカレッジ・テクノロジ会社紹介
昨今の情報漏えい事件の傾向
内部不正対策の考え方
標的型攻撃における内部対策の考え方
特権ID＆証跡管理ソリューションのご紹介
まとめ
Copyright © Encourage Technologies Co., Ltd.
2
エンカレッジ・テクノロジ会社紹介
昨今の情報漏えい事件の傾向
内部不正対策の考え方
標的型攻撃における内部対策の考え方
特権ID＆証跡管理ソリューションのご紹介
まとめ
Copyright © Encourage Technologies Co., Ltd.
3
会社概要
設
立：
資本金：
所在地：
事業内容：
上場市場：
代表者：
2002年11月1日
5億738万円（2016年6月末現在）
東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町7F
コンピュータシステムソフトの開発・保守並びに販売
コンピュータ運用管理に関するコンサルティング
コンピュータ運用管理BPOサービス
東京証券取引所マザーズ（証券コード 3682）
代表取締役社長石井進也
Value & Satisfaction
お客様の視点で新たな価値を創造し、満足いただける製品とサービスを提供します。
Happiness
社員と会社の目的を一致させ、物心一体の幸福を追求します。
Compliance
国内外の法令と企業倫理を遵守し、誠実かつ公平に業務を遂行します。
Copyright © Encourage Technologies Co., Ltd.
4
お客様一覧
弊社ソフトウェアは累計で480社以上のお客様にご採用されています
IHI運搬機械株式会社
あいおいニッセイ同和損害保険株式会社
藍澤證券株式会社
株式会社アイネス
株式会社アイネット
アイフル株式会社
アイレット株式会社
アニコム損害保険株式会社
飯田信用金庫
いちよし証券株式会社
株式会社インテック
SMBC日興証券株式会社
SMBCファイナンスサービス株式会社
SCSK株式会社
NECネッツエスアイ株式会社
NTTコムウェア株式会社
株式会社NTTソルコ
株式会社NTTデータ
株式会社NTTデータSMS
株式会社NTTドコモ
Copyright © Encourage Technologies Co., Ltd.
オリックス・システム株式会社
オリンパス株式会社
カブドットコム証券株式会社
川口信用金庫
関西電力株式会社
キヤノンITソリューションズ株式会社
株式会社山陰合同銀行
湘南信用金庫
株式会社新生銀行
シンプレクス株式会社
株式会社スカイアーチネットワークス
スバルシステムサービス株式会社
ソニー銀行株式会社
ソフトバンク株式会社
第一生命保険株式会社
TIS株式会社
株式会社ディー・エヌ・エー
東京海上日動システムズ株式会社
株式会社東京証券取引所
株式会社東京スター銀行
五十音順敬略称
東濃信用金庫
ドコモ・システムズ株式会社
ニッセイ情報テクノロジー株式会社
株式会社ニッセイコム
株式会社日本総研情報サービス
日本電気株式会社
日本電信電話株式会社
日本ユニシス株式会社
沼津信用金庫
ネットワンシステムズ株式会社
浜松信用金庫
富士通株式会社
ポケットカード株式会社
株式会社みずほ銀行
三井住友アセットマネジメント株式会社
三井生命保険株式会社
三井ダイレクト損害保険株式会社
三菱総研DCS株式会社
三菱電機インフォメーションシステムズ株式会社
三菱UFJ信託銀行株式会社
5
弊社主要パートナー様
Copyright © Encourage Technologies Co., Ltd.
6
エンカレッジ・テクノロジ会社紹介
昨今の情報漏えい事件の傾向
内部不正対策の考え方
標的型攻撃における内部対策の考え方
特権ID＆証跡管理ソリューションのご紹介
まとめ
Copyright © Encourage Technologies Co., Ltd.
7
相次ぐ情報漏えい事件
銀行の共同システムの運用孫請会社社員が偽
造カードを作成し、顧客口座から不正に現金
約2,000万円を引き出し（2012年）
地方銀行のATM保守ベンダー社員がキャッ
シュカードを偽造し現金
約2,400万円を着服（2014年）
通信教育大手のシステム管理再委託先の派遣
社員が個人情報約3,500万件を持ち出し名簿
業者に販売（2014年）
医師紹介サービス企業のシステム管理担当元従業員
が、役員宛てのメールを自分のプライベートアドレ
スへ自動転送させるようにサーバーを設定し、医
師・看護師の個人情報を持ち出し（2014年）
株主向けポイント制度を複数の上場企業向けに
運営する事業者が、内部不正により株主の個人
情報を漏えい（2015年）
8
昨年の情報セキュリティインシデント統計トップ10
内部者による不正行為と標的型攻撃などのマルウェアによる不正アクセスが大半を占める。
No.
漏えい人数
業種
原因
1
101万4653人
公務（他に分類されるものを除く）
不正アクセス
2
69万4217人
金融業、保険業
管理ミス
3
68万人
公務（他に分類されるものを除く）
不正な情報持ち出し
4
26万7000
情報通信業
不正アクセス
5
20万9999
卸売業、小売業
不正アクセス
6
18万人
公務（他に分類されるものを除く）
不正な情報持ち出し
7
14万2000人
公務（他に分類されるものを除く）
内部犯罪・内部不正行為
8
13万1096人
卸売業、小売業
不正アクセス
9
11万4400人
医療、福祉
盗難
10
10万7368人
製造業
不正アクセス
引用：特定非営利活動法人日本ネットワークセキュリティ協会「2015年情報セキュリティインシデントに関する調査報告書」
Copyright © Encourage Technologies Co., Ltd.
9
企業における内部不正の実態～内部不正の分類～
内部不正経験者へのヒアリング結果
– 「うっかりミスや不注意によるルール
違反や規定違反」(66.5%)が最も多い。
内部不正の分類としては、「顧客情報等
の職務で知りえた情報の持ち出し」
(58.5%)、「個人情報を売買するなど職
務で知りえた情報の目的外利用」
（40.5%）、「システムの破壊・改ざ
ん」（36.5%）
内部不正による情報セキュリティインシデント実態調査－調査報告書－独立行政法人情報処理推進機構（IPA)
Copyright © Encourage Technologies Co., Ltd.
2016年3月
10
企業における内部不正の実態～内部不正の理由～
内部不正の理由の約6割は故意が認めら
れない“うっかり”
– 内部不正経験者に行為の理由を聞いたと
ころ、“うっかり違反”と“ルールを知ら
なかった”が合計58.0%。
一方、42.0%は故意で、“業務が忙しく、
終わらせるために持ち出す必要があっ
た”が16.0%、“処遇や待遇に不満があっ
た”が11.0%など。
内部不正による情報セキュリティインシデント実態調査－調査報告書－独立行政法人情報処理推進機構（IPA)
Copyright © Encourage Technologies Co., Ltd.
2016年3月
11
企業における内部不正の実態～内部不正の職種～
内部不正経験者の約5割がシステム管理者
– 内部不正経験者の職務の51.0%がシステム管理者
（兼務を含む）。
– システム管理者は社内システムに精通し、高い
アクセス権限（特権ID）を有することが多い
経営者等が重要視していない対策が内部不正行為
の抑止に有効
– 内部不正経験者と経営者・システム管理者とで、
有効と考える内部不正対策の違いが顕著だった
のは“罰則規定を強化する”、“監視体制を強化す
る”こと。
内部不正による情報セキュリティインシデント実態調査－調査報告書－独立行政法人情報処理推進機構（IPA)
Copyright © Encourage Technologies Co., Ltd.
2016年3月
12
エンカレッジ・テクノロジ会社紹介
昨今の情報漏えい事件の傾向
内部不正対策の考え方
標的型攻撃における内部対策の考え方
特権ID＆証跡管理ソリューションのご紹介
まとめ
Copyright © Encourage Technologies Co., Ltd.
13
特権IDによる内部不正のリスク
リスク
ITシステム
未承認の担当者
管理作業
特権IDによるアクセス
承認された
システム管理者
リスク
認証サーバー
ファイルサーバー
人事系システム
顧客系システム
・・・
リスク①
– 未承認の担当者がシステム管理権限でアクセスする
リスク②
– 承認された担当者がシステム管理権限でアクセスし、承認された操作以外の不正操作をする
Copyright © Encourage Technologies Co., Ltd.
14
特権IDに係る安全対策のポイント①
システム管理権限の分散
– アカウント管理者、システム管理担当、ア
クセスや操作ログに対する権限を分離する。
アクセス履歴
正当な承認を得た
システム管理作業
承認プロセスなどの相互牽制
– システム管理担当者が単独で重要システム
にアクセスしたり、情報を持ち出したりで
きないようにする。
アクセス履歴の分析
– アクセス履歴に対して、正当な承認を得た
アクセス、未承認のアクセス、アプリ間の
アクセス（監視やデータ転送など）を分類
して異常がないことを逐次チェックする。
データ転送/監視など
のアクセス
不正が疑われる
アクセス
ポイント①：この部分が分析できているかどうか？
分析が自動化されないと実質運用不可能
Copyright © Encourage Technologies Co., Ltd.
15
特権IDに係る安全対策のポイント②
システム管理作業内容承認プロセス
– 予定された作業内容を複数の責任者が
チェックし承認するプロセス
システム管理作業の操作記録
– 作業内容の証跡を記録する
予定された作業内容との差異をチェック
– 予定された作業内容の範囲を逸脱した不正
操作がないことを確認する
予定された
作業内容
承認
操作記録
アクセス履歴
正当な承認を得た
システム管理作業
データ転送/監視など
のアクセス
ポイント②：不正操作が行われていないか？
承認・記録・確認がプロセス化されないと
実質運用不可能
不正が疑われる
アクセス
確認
Copyright © Encourage Technologies Co., Ltd.
16
昨年の情報セキュリティインシデント統計トップ10
内部者による不正行為と標的型攻撃などのマルウェアによる不正アクセスが大半を占める。
No.
漏えい人数
業種
原因
1
101万4653人
公務（他に分類されるものを除く）
不正アクセス
2
69万4217人
金融業、保険業
管理ミス
3
68万人
公務（他に分類されるものを除く）
不正な情報持ち出し
4
26万7000
情報通信業
不正アクセス
5
20万9999
卸売業、小売業
不正アクセス
6
18万人
公務（他に分類されるものを除く）
不正な情報持ち出し
7
14万2000人
公務（他に分類されるものを除く）
内部犯罪・内部不正行為
8
13万1096人
卸売業、小売業
不正アクセス
9
11万4400人
医療、福祉
盗難
10
10万7368人
製造業
不正アクセス
引用：特定非営利活動法人日本ネットワークセキュリティ協会「2015年情報セキュリティインシデントに関する調査報告書」
Copyright © Encourage Technologies Co., Ltd.
17
エンカレッジ・テクノロジ会社紹介
昨今の情報漏えい事件の傾向
内部不正対策の考え方
標的型攻撃における内部対策の考え方
特権ID＆証跡管理ソリューションのご紹介
まとめ
Copyright © Encourage Technologies Co., Ltd.
18
外部不正侵入（標的型攻撃）と特権ID
入口/出口対策
内部対策
ITシステム
未承認の担当者
管理作業
特権IDによるアクセス
承認された
システム管理者
侵入
攻撃拠点
リスク
内部潜入
Copyright © Encourage Technologies Co., Ltd.
リスク
認証サーバー
ファイルサーバー
人事系システム
顧客系システム
・・・
業務システム/サーバーへの侵入
多層防御の考え方が必要
19
標的型攻撃の手口
内部潜入
・マルウェア感染
手口の巧妙化、新
攻撃手法の出現で
完全な防御は難し
いのが現状
Copyright © Encourage Technologies Co., Ltd.
攻撃拠点構築
内部侵入
・コネクトバック通信
・ネットワーク環境探索
・パスワードの窃盗
・業務システム/
サーバーへの侵入
目的遂行
・データ外部送信
・データの改ざん・破壊
侵害の拡大を食い止めるには、①早期の発見と遮断、②管理者アカウントな
どの強力な特権IDのパスワードハッシュの窃盗を食い止めること
20
標的型攻撃の内部対策ポイント
①使用箇所、使用経路の限定
– ネットワークセグメント間のアクセス制御をおこなわず自由に接続できる環境は、容易に目的の
サーバーに到達可能であるため、業務要件やセキュリティ要件に基づいて厳しく経路制御する必
要あり
②管理者権限の細分化
– すべての権限を持つDomain Admins等に属する管理者アカウントの使用を最小化し、複数のシス
テム管理者アカウントに権限を細分化する
③ユーザー端末とシステム管理端末の分離
– WebやEメールの参照など日常の業務を行う端末から、強力な特権を必要とするシステム管理やメ
ンテナンス作業を行うと、パスワードを窃盗されるリスクが高まる
④システム管理端末で使用するパスワードの保護
– システム管理端末で使用した特権アカウントのパスワードは、使用後に異なるシステム管理端末
から逐次パスワード変更を行う。
Copyright © Encourage Technologies Co., Ltd.
21
対策すべき危険なシーン
日常EメールやWebを閲覧する端末
からシステム管理を行う
– 日常使用する端末は、EメールやWeb
を閲覧することでウィルスやマル
ウェア感染の可能性が懸念される。
– その端末からシステム管理作業を行
うと、標的型攻撃を受けた際にパス
ワードを簡単に窃盗されてしまう。
– 特権IDを攻撃者に盗まれると、内部
深く侵入を許してしまう可能性が高
い。
インターネット
Webブラウザ/Eメール
ポイント：ユーザー端末とシステム管理端末を分離する
日常使用するアカウントに管理権限を付与している場合はさらに深刻
Copyright © Encourage Technologies Co., Ltd.
システム管理作業
22
内部対策不備による情報漏えいリスク
使用箇所、使用経路を限定せず特権IDを使用すると、マルウェア感染したPCを介して認証情報
等が漏えいするリスクが増加
委託先ベンダー
マルウェアに感染したPC
悪意のある攻撃者
システム運用者
執務ネットワーク
システム運用者
内部対策ポイント
①使用箇所、使用経路の限定
②管理者権限の細分化
③ユーザー端末とシステム管理端末の分離
④システム管理端末で使用するパスワードの保護
Copyright © Encourage Technologies Co., Ltd.
マルウェアに感染したPC
システム運用者
24
昨年の情報セキュリティインシデント統計トップ10
内部者による不正行為と標的型攻撃などのマルウェアによる不正アクセスが大半を占める。
No.
漏えい人数
業種
原因
1
101万4653人
公務（他に分類されるものを除く）
不正アクセス
2
69万4217人
金融業、保険業
管理ミス
3
68万人
公務（他に分類されるものを除く）
不正な情報持ち出し
4
26万7000
情報通信業
不正アクセス
5
20万9999
卸売業、小売業
不正アクセス
6
18万人
公務（他に分類されるものを除く）
不正な情報持ち出し
7
14万2000人
公務（他に分類されるものを除く）
内部犯罪・内部不正行為
8
13万1096人
卸売業、小売業
不正アクセス
9
11万4400人
医療、福祉
盗難
10
10万7368人
製造業
不正アクセス
引用：特定非営利活動法人日本ネットワークセキュリティ協会「2015年情報セキュリティインシデントに関する調査報告書」
Copyright © Encourage Technologies Co., Ltd.
25
エンカレッジ・テクノロジ会社紹介
昨今の情報漏えい事件の傾向
内部不正対策の考え方
標的型攻撃における内部対策の考え方
特権ID＆証跡管理ソリューションのご紹介
まとめ
Copyright © Encourage Technologies Co., Ltd.
26
規模に応じた２つのパッケージ
小規模システムに最適な
オールインワンパッケージ
ESS AdminGate VA
✔ ゲートウェイ型仮想アプライアンスでインストール等不要
✔ アクセス制御、アクセス者の識別、アクセス内容の記録、
不正アクセス防止、情報漏えい対策等の技術的安全管理要
件を網羅
Copyright © Encourage Technologies Co., Ltd.
大規模なシステムまでをカバーする
システム保守運用の安全対策ソリューション
ESS AdminControl＋ESS REC
機能単位の専門ソフトウェアで構成され、複雑で大規模なシステム
にも適用可能なソリューション
✔特権ID管理：アクセス制御と不正アクセス防止
✔証跡：アクセス内容のリアルタイムの監視と記録、違反操作検知
27
主要機能
特権IDの使用内容の管理
システム操作監視/証跡（ログの取得と点検）
ログ解析の専門知識がなくても、容易に点検が
可能となるよう、操作内容を動画やテキストで
記録。
許可されない操作が実行された場合に即時にア
ラートが上がる検知機能※1を装備。
ファイル持出制御機能（情報漏えい対策）
※2
サーバーからファイルを作業者単独で持ち出せ
ないよう持ち出しファイルを制御。
持ち出しファイルにマイナンバーや個人情報が
含まれていないか検査し、アラートを表示。
特権IDの管理
特権IDアクセス管理機能（アクセス制御）
ワークフローを用いた事前申請に基づく特権ID
の貸与でアクセス制御を実現。
特権IDのパスワードを隠ぺいし、漏えいリスク
を低減。
許可されないアクセス、異常なアクセス経路の
有無の点検が可能。
特権ID使用者識別機能(アクセス者の識別）
特権IDとその使用者の個人を紐づける独自技術
により、特権IDを共有して利用する場合でも、
使用者を識別するとともに、許可されないユー
ザーによる不正使用を防止。
※1 ESS AdminGateではLinuxコマンド操作のみに対応、ESS AdminControl/ESS RECではWindows、UNIXにも対応します。
※2 ESS AdminGateのみに提供される機能です。
Copyright © Encourage Technologies Co., Ltd.
28
パスワードを隠ぺいしたまま作業者に貸与
ESS AdminGate VAを利用した環境では、作業者は一旦ESS AdminGateコントローラーにアクセスします。ゲートウェイ上で
作業者個人のIDで認証されると、承認されたアクセス先のみが表示されます。接続先を選択すると、ESS AdminGateコント
ローラーがアクセス対象のサーバーへ認証代行を行い自動で接続されます。
ESS AdminGate VA
ESS AdminControl＋ESS REC
承認された日時・ユー
ザーのみアクセス許可
承認
申請
使用者の個人特定
ポイント：管理特権IDを隠ぺいしているためパスワードは奪取できない
Copyright © Encourage Technologies Co., Ltd.
29
操作内容の記録
操作内容をすべて記録
・・・・・
ESS AdminGate VA
Copyright © Encourage Technologies Co., Ltd.
ESS AdminControl＋ESS REC
30
動画による操作証跡の効果
ESS AdminControl＋ESS REC
テキストログに比べ、高い抑止効果
テキストログでは見えない操作者の
意図・思惑がわかる
ヒューマンインターフェイスの観点で
原因を究明し、再発防止が講じやすい
ESS RECの再生ツール（REC Player）で動画形式の操作記録を再生し再現。
Copyright © Encourage Technologies Co., Ltd.
31
操作内容の閲覧・チェック
ESS AdminGate VA
保存された操作記録データは、監査権限を持つユーザーに限りブラウザ上で再生/閲覧が可能です。
SSH接続は、コマンド入出力をテキスト情報として閲覧可能
OK
Copyright © Encourage Technologies Co., Ltd.
WindowsのRDPによる操作は、ブラウザ上で動画として再生
して閲覧可能
OK
32
ファイルの入出力を管理する機能
ESS AdminGateの管理下に置かれたサーバーに対するファイルの持ち込み、サーバーからの持ち出しは、ワークフ
ローを介して管理者によるチェックが必要になります。
検査結果を
責任者に通知
アップロードされた
ファイルを検査
責任者による
ファイルチェック
ESS AdminGate VA
持ち出しファイル
アップロード
責任者の確認後に
ファイルダウンロード可能
EAGを介したアクセスにおい
て直接ファイル転送は不可
※ファイル持ち出しの制御を完全に機能させるためには、ESS AdminGateを介さず管理対象サーバーへアク
セスできないよう、ネットワークを構成するなどの対処が必要です。
Copyright © Encourage Technologies Co., Ltd.
33
特権IDの不正使用検出
管理対象ノードからログイン履歴を定期的に収集し照合することで、ESS AdminGate VAを経由していない不正なアク
セスの有無を見出し、レポートとして出力します。これにより、外部からの侵入者を含め承認を得ていない不正なアクセスを
早期に発見できます。
ログイン突合レポート
不正アクセス
2014/11/6 17:45:03 xxx.xxx.xxx.xxx user004
2014/11/6 17:00:11 xxx.xxx.xxx.xxx user001
2014/11/6 17:05:01 xxx.xxx.xxx.xxx user002
2014/11/6 17:45:03 xxx.xxx.xxx.xxx user004
2014/11/6 18:01:03 xxx.xxx.xxx.xxx user005
……………………………………………………………
……………………………………………………………
……………………………………………………………
……………………………………………………………
照合
2014/11/6 17:00:11 xxx.xxx.xxx.xxx user001
2014/11/6 17:05:01 xxx.xxx.xxx.xxx user002
2014/11/6 18:01:03 xxx.xxx.xxx.xxx user005
……………………………………………………………
……………………………………………………………
……………………………………………………………
……………………………………………………………
……………………………………………………………
ESS AdminGate VA ESS AdminControl＋ESS REC
承認を得た
正規アクセス
Copyright © Encourage Technologies Co., Ltd.
34
エンカレッジ・テクノロジ会社紹介
昨今の情報漏えい事件の傾向
内部不正対策の考え方
標的型攻撃における内部対策の考え方
特権ID＆証跡管理ソリューションのご紹介
まとめ
Copyright © Encourage Technologies Co., Ltd.
35
まとめ
内部不正対策と標的型攻撃対策の両面において、特権ID管理は大変重要です。
内部不正対策では、特権ID管理だけでなく、特権IDを使用して何をしたかを管理することが
重要です。
標的型攻撃対策では、入口対策だけでなく潜入後の早期の発見と遮断、管理特権IDの奪取を
食い止める内部対策が重要です。
–
–
–
–
–
–
EメールやWebを参照する執務端末とシステム管理端末の分離
特権IDの管理権限分散
特権ID使用の承認プロセスによる相互牽制
システム管理作業の操作記録
予定されたシステム管理作業との差異をチェック
アクセス履歴の分析
Copyright © Encourage Technologies Co., Ltd.
36
展示ブースのご案内
エンカレッジ・テクノロジブースへ是非お越しください
弊社展示ブースで、ご紹介した弊社製品の実機デモがご覧いただけます。
弊社製品について、技術者より詳細のご説明を差し上げます。
Copyright © Encourage Technologies Co., Ltd.
37
Copyright © Encourage Technologies Co., Ltd.
38

Download Report