Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
伊藤忠商事の
サイバーセキュリティ対策
自己紹介
▪ 佐藤元彦
▪ 伊藤忠商事株式会社
IT企画部 ITCCERT 上級サイバーセキュリティ分析官
▪ 国立大学法人 千葉大学
運営基盤機構 情報環境部門 准教授
▪ 文部科学省 サイバーセキュリティアドバイザー
▪ JPCERT/CC...
Background
▪ それなりに長い間、この業界で色々と働いています
▪ 脆弱性検査(NW・Webアプリ)
▪ 情報セキュリティ監査・システム監査
▪ インシデントレスポンス(複数の政府機関・民間事案をクローズ)
▪ セキュリティコンサルテ...
現在は
▪ 伊藤忠商事のIT企画部内のITCCERTにて、CSIRTの業務に専
門職として携わっています
• インテリジェンスリサーチ(プロアク
ティブ対応)
• インシデントハンドリング / インシ
デントレスポンス
• セキュリティ機器のア...
本トラックは
▪ 本トラックでは、
CSIRTや情報セキュリティ実務を担当される方
向けに、
『伊藤忠商事のサイバーセキュリティ』
の取り組み内容を紹介いたします。
▪ 実務担当者向けということで、
各製品や用語の解説は行いません。予めご諒承く...
伊藤忠商事の仕事
▪ 商社 ->海外と国内でモノを売ったり買ったりして儲けているんでしょ?
▪ その通りです。ただし、単純な売買だけではありません。本当に様々な仕
事をしています。
▪ 自社の説明を英語でする時、Global Trading C...
生活のすべてに関わる商社
▪ [ファミリーマート]でサンドイッチを買う
▪ 決済システムは[伊藤忠テクノソリュー
ションズ]が構築している
▪ サンドイッチを店舗まで運んできたのは
[日本アクセス]
->その物流システムの構築は。。。の
ループ...
しょせんそんな会社ってさ。。。
▪ そんな商社 / ユーザ企業のサイバーセキュリティ部隊のイメージ像?
▪ ISMSを下敷きにしたマネジメント
▪ 役割が回ってきたよくわかっていない担当者
▪ あれするなこれするなを決めるだけ
▪ 現場が言うこ...
実はこんなCSIRT専用ルームがあります
▪ ユーザ企業では珍しいかもしれません
9
ITCCERTの守備範囲
▪ 本社のサイバーセキュリティの確保を行っています。海外やグループ
会社とはネットワークを共有しておらず、それぞれ独自にセキュリティ
対策を行っています。(平日 09:00~17:00対応です)
▪ ただし、ITCCE...
伊藤忠を狙うサイバー攻撃
▪ 標的型攻撃
PCの乗っ取り&情報窃取
▪ 日本語マルウェアメール
汎用マルウェア (情報窃取マルウェア)
ランサムウエア (身代金要求型マルウェア)
▪ BEC
ビジネスメール詐欺 (メールを介した金銭詐欺)
11
標的型攻撃
▪ 標的型攻撃メールの例
12
年金機構事案の攻撃グループは伊藤忠も攻撃していた
標的型攻撃
▪ 標的型攻撃メールの例
13
◼ 2007年2月の伊藤忠に向けた標的型攻撃メール(Tick+と推定)
◼ 10年以上前からサイバー攻撃犯に狙われている!!
被害も発生
▪ 2015年にはサイバー攻撃の被害を公表
▪ 当社を「狙った」攻撃
14
汎用マルウェア
▪ Emotetに代表されるような最
終的な目的が明確ではないマ
ルウェアが届きます
▪ AgentTesla、Remcos、
AveMaria RATなどのマル
ウェアで日本語文面のものも
接到したりしています
15
毎日大量の攻撃メールが届く
16
■itochu.co.jpで観測している攻撃メールの件名例
○件名:FUGATO ITALIA | Sales Management Envio del Comprobante factura Digital
...
ランサムウェア攻撃
▪ 不審メールを開封した後に、システムが攻略され、重要なサーバが
暗号化される
▪ 対応や、無事なサーバに対する攻撃防止の意味も含め、システム
停止 = 業務停止
17
ランサムウェア攻撃
▪ 事務所のサーバのRDP(リモートデスクトップ)機能がインターネットからアクセス
可能だった
▪ 攻撃者は管理者アカウントに対し、パスワードブルートフォース攻撃を実施
▪ その結果、不正ログインされ、すべてのユーザのアカウ...
BEC
▪ BECとは、「Business Email Compromise」の頭字語で、日
本では「ビジネスメール詐欺」と訳されている。
▪ 通常のビジネスメールのやり取りに割り込んできて、巧妙に細工した
メールのやりとりにより、企業の担当者...
BECは早期から観測
▪ 2014年から観測しており、様々
な場で警告をあげていた
20
そのメールは詐欺だ! 手口が「進化」、対策は3つ
2018/1/16 日本経済新聞
https://www.nikkei.com/article/DGXM...
このような環境で意識していること
▪ リアクティブではなくプロアクティブの対応を
▪ 被害を発生させないよう、先回りして対処する
▪ なぜか?
▪ 攻撃を検知したらすぐに対処しないと手遅れの時代になってしまったから
です。
▪ これから、伊藤忠...
マルウェア対応
<スパムフィルタ>
▪ まず最初のゲートは「スパムフィルタ」です
▪ 通常のスパムフィルタの機能のまま使わず、多くの自主ルールを導
入しています。
▪ まずは、マルウェアに特化させたスパムフィルタの設定の幾つかを紹
介します。
23
スパムフィルタのチューニング(1)
▪ 危険な拡張子の添付ファイルをスパ
ムフィルタで隔離
▪ 明らかにビジネス上使われないマル
ウェアに使われやすいファイルを指定
24
拡張子 等しい "wsf"
または 拡張子 等しい "com"
または ...
スパムフィルタのチューニング(2)
▪ 危険な拡張子の添付ファイルには件名に”Virus Suspected”とい
う警告を付けて注意を促す
25
拡張子 等しい "386"
または 拡張子 等しい "3gr"
または 拡張子 等しい "add...
スパムフィルタのチューニング(3)
▪ フリーメールリスト 795件 に当てはま
るドメインからのメールには、件名
に”Sent from Freemail”という警告
を付けて注意を促す
26
<サンドボックス>
▪ スパムフィルタを通ったメールはサンドボックスに到達
▪ サンドボックスで添付ファイルは分析され、異常であった場合の結果
はsyslogに送信され、splunkに渡され定期的に検知された不審
メールの分析結果が定期的に手元...
即応するサンドボックス分析結果
▪ サンドボックスで異常された添付ファイルの送信元がグループ会社の
アドレスだった場合、即応のための警告メールが飛び、その組織から
メールが送られていないかすぐにメールヘッダをオペレータが確認する。
※グループ会...
分析するサンドボックス分析結果
▪ サンドボックスで異常された添付ファイルの送信元が.co.jp
や.go.jpだった場合、件名で警告メールが飛び、取引先等でない
かオペレータが確認する。
※もし乗っ取られている場合は直接通知したり、JPCER...
<メールサーバ>
▪ メールサーバ(O365)ではウイルススキャンを行い、パターンにマッチ
した場合は.txtに置き換える措置を行う
▪ この結果は定期的に分析しており、サンドボックスでは検知されず
サーバで置き換えられたマルウェアは調査をして...
<マルウェア分析>
▪ 着信しているマルウェアメールやス
パムフィルタで隔離された不審
メールの中で、特徴的なもの(日
本語)のものなどは解析して、通
信先を抽出し、プロキシで制限
可能かを確認。もし、未知の通
信先であった場合は、接到量に
応...
<プロキシ>
▪ プロキシには複数の仕掛けをして、異常通信を防止したり、プロキ
シのログを分析して異常を見張っています
▪ マルウェアに特有のUserAgent
▪ マルウェアに特有のファイルパス
▪ マルウェアに特有の動作
などを分析の結果や...
プロキシ 異常検知例
▪ プロキシで異常を検知する例の一つとして、グローバルIPを照会す
るサイトへのアクセス検知があります
▪ 一部のマルウェアが、このようなサイトへのアクセスを試みることから
検知対象として、発生原因を特定しています。
33
プロキシ Emotet対策
▪ Emotetに関してはペイロードの取得先が変更しやすく、通信の制
御が困難です。
▪ そのため、毎日、EmotetのC2を確認し、新規に追加された通信
先があれば、制限を行う作業を行っています。
34
https...
プロキシ ウイルススキャン
▪ プロキシにウイルス対策ソフトを導入して、ダウンロードされるファイル
のスキャンを実施しています
▪ また、その結果はリアルタイムで通知され、原因確認をオペレータが
行います
35
プロキシの隠し認証機能
▪ 認証を利用者には求めていませんが、シングルサインオンと連携させ、
プロキシに利用者の認証情報が渡るようにしてあります
▪ 認証情報は、splunkのユーザデータのテーブルと紐づけられ、異常
通信があった際の警告メール...
<ファイアウォール>
▪ ファイアウォールのログも分析していますが、特にマルウェアに特化した通
信としては、port 587 への通信をリアルタイムで監視しています
▪ これは、日本語による攻撃メールもたまに攻撃者が使うメール経由で情
報を盗み...
端末の設定変更 .js
▪ 幾つかの不要な拡張子はメモ帳に紐づけています
38
動作してしまう
動作しない
端末の設定変更 .iso .img
▪ 最近増加しつつある.iso, .imgのファイルはマウントできないように
レジストリ変更を実施
39
端末ウイルス対策ソフト
▪ リアルタイムスキャン・起動時のシステムスキャン・週に一回のフルス
キャンが行われ、検知データはすべてメールで届き、対処を検討し
ます
▪ どのような確認ポイントかというと。。。
40
確認ポイント : AVの結果の精査
▪ 以下のような検出名のマルウェアには注意
▪ Downloader -> 他のマルウェアを呼び込む
▪ Backdoor -> 外部から通信可能にする
▪ PlugX, PoisonIvy, emdivi,...
確認ポイント : AVの結果の精査
▪ 以下のパスからの検出にも注意
▪ C:¥Windows の中 (動いているかも)
▪ C:¥Program Files の中 (動いているかも)
▪ D:¥の中 外部記憶媒体? 持ち込まれた元が感染してい...
確認ポイント : AVの結果の精査
▪ ウイルス対策ソフトで消されたから安心、といえるのは「リアルタイム
検索の結果だけ」です。
▪ 定期スキャンで検知されたマルウェアは、過去には未知だった、侵
入した、動いていた危険なマルウェアかもしれません...
端末システムログ
▪ 当社の端末にはソリトン社のInfotrace MarkIIが導入されており、
端末のシステムイベントをリアルタイムで収集し、splunkがそれを分
析しています。
▪ マルウェアが使う特定のコマンドや、デコイに含まれるpo...
Powershellの検知例
45
多層の防御と検知ルール
▪ このように多層の防御策をマルウェアにあわせて作っています
▪ さらに幾つかの管理策を混ぜてマルウェアへの対応を行っています
46
接到させない
異常に気付かせる
開封させない
駆除をする
駆除結果を確認する
異常開封...
標的型攻撃・システム侵入型
ランサムウェア対応
標的型攻撃・システム侵入型ランサムウェア
▪ これらの攻撃者の特徴は、システム内の「横移動」です。
▪ 横移動が行われたり、管理者の権限を奪取しようとしたり、情報を
持ち出そうとしたり、攻撃者に特徴的な動作に対して防止・監視の
設定を行っていま...
<プロキシ>
▪ 侵入した攻撃者は最近は、通常のリモートデスクトップソフトウェア
を遠隔操作用に使うことが多いため、リモートデスクットップの通信
先をそもそもカテゴリで制限しています
▪ TeamViewer, Splashtop, Softe...
<プロキシ>
▪ 大容量送信の監視
▪ Mazeの攻撃者は盗んだ情報をMegaというアップローダに投入す
ることが多いようですが、そのようなクラウドストレージに対する情報
のアップロードを監視しています。
▪ 取引先からのデータ受信のためにサイ...
<ファイアウォール>
▪ 例えばDMZからイントラネットへの通信が発生するとリアルタイムで
警告があがるなど、FWのポリシーに反する異常な通信はルールでリ
アルタイムでキャッチし確認を行っています。
51
<端末システムログ>
▪ 攻撃者が環境調査に使う
ようなコマンドでかつ、通常
の利用では使わないコマンド
を列挙し、キャッチしています。
▪ Tasklist /v
▪ Netstat –na
▪ などを見つけ出します
52
<端末システムログ>
▪ 攻撃者がよく使うpsexecなどのツールは当然ですが検知対象に
なっています
▪ Pwdumpやmimikatzなどのダンプツールは、dllなどの形式も含
め、さらにはリネームされて使われても共通で生成されるであろう結...
<端末システムログ>
▪ 攻撃者は入手したファイルをrar形式でファイル圧縮することが多く、
一般の利用者はrar形式でファイル圧縮をすることは少ないため、
rar.exeの存在や、コマンド実行の確認を監視しています。
▪ このようなコマンドは...
<端末システムログ>
▪ キーボードのロケール変換のキャッチ
▪ 海外の攻撃者の場合、日本のキーボードと記号配列が異なるため、
侵入した端末のキーボードレイアウトを自国のものに変更することが
あります。
▪ このような「異常」も監視しています。...
<端末ローカルアドミンの個別化>
▪ 端末のローカルアドミンは端末ごとに異なる値を設定してキッティン
グしています。
▪ そのため、横展開をする際に、感染端末から入手したローカルアドミ
ンのパスワードでは、その他の端末にはログインできないように...
メモリ分析
▪ 台湾のTeamT5が開発した
ThreatSonarという製品を一週
間に一回サーバも含む全端末で動
作させ、標的型攻撃に使われるマ
ルウェアや異常な動作をするファイル
の検知を行っています
▪ ファイルレスのマルウェアや、異常...
<AD要塞化>
▪ 標的型攻撃やシステム侵入型ランサムウェアは、まずシステムの管
理者権限を狙うことが多いため、ADを要塞化し、監視ルールをひ
いています
▪ 基本的に管理接続を管理者端末からしかアクセスできないようにし
たり、RDPのポートを...
管理者権限のはく奪と管理OUの監視
▪ 管理者のAdministratorは存在していますが、ドメインアドミンとし
ての権限を絞っています。
▪ そのため、通常の感覚でAdministratorを乗っ取ったとしても、た
だの一般ユーザの権限しか...
<ATA>
▪ ADのIDSとして動作するMicrosoftのATAを導入して、ADへの
異常な動きを常に監視しています。
▪ 少しクセの強い製品ですが、ATAだけでしかとれない異常動作の
検知を目的としています。
60
サーバシステムログ
▪ ADに限らず異常なシステムイベントを監視しています
▪ イベントログの消去
▪ スタートアップへの登録
▪ タスクの登録
など、サーバで行われた場合はそれらの動きをキャッチして、アラートを
あげています
61
サーバのウイルススキャン
▪ 端末だけでなくサーバにもウイルススキャンソフトを導入して、リアルタ
イムスキャンと、毎日のシステムスキャン、そして一週間に一回のフル
スキャンを実行して異常がないか確認をしています。
62
RedTeam演習
▪ さらに、昨年度は社内の端末を踏み台にしたRedTeam演習を外
部業者に委託して行い、横展開や行動でログとしてとれた点、とれ
なかった点などを洗い出し、再度、監視項目の見直しをかけました。
▪ 何が検知されて何が検知され...
BEC対応
<スパムフィルタ>
▪ BECのメールで、特に返信を装ったメールは通常のメール文面を
使っているため、スパムフィルタ等では異常と判断されません。
▪ ただし、BECのメールを長年見ているなかで、一部のBEC攻撃者
が使ってくる手法に特徴があるこ...
スパムフィルタのチューニング(1)
▪ 返信型BECをキャッチする一つの
方法
▪ フリーメールであるmail.comから
のメールを監視する
▪ 二年間監視して正しいメールは
一通のみ、スパムやマルウェア付き
メールがほとんどで、そして2通の...
スパムフィルタのチューニング(2)
▪ もう一つの特徴として、フリーメールを
悪用する際に、.jp@hotmailのよ
うに、騙る会社のメールアドレスをアカ
ウント名として付属させるケースが何
件か確認されました。
▪ そのため、幾つかの国のト...
O365 ログイン監視
▪ メールはO365を使用していますが、ログイン
に関してはシングルサインオンの仕組みを使っ
ています。そのため、シングルサインオンのログ
を確認し、一日のうちログインの成功・失敗
に関わらず二か国以上からのアクセスがあ...
O365 設定監視
▪ BECの攻撃者がメールアカウントに不正ログインした際に、メール内容を
外部に転送させる設定をすることが多くあります。
▪ そのような設定をされてもメールが外部送信されないように、通常のフォ
ワード設定は停止させ、メールの...
異常警告ツール(1)
▪ 全社にCERTがBECの特徴に
反応するように開発を依頼し
たツールを導入
▪ BECでは差出人アドレスを騙っ
て、Reply-toを設定している
ことが多いことに着目
▪ 「返信先が差出人アドレスと異
なる」際に警告...
異常警告ツール(2)
▪ BECの攻撃者は似通ったフ
リーメールアトレスを使うことが
多いことに着目
▪ 「フリーメールからの受信・フリー
メールへの送信」の際に警告が
あがる
71
教育
▪ もちろん、このような詐欺メールが来ることに対する従業員教育が
行われており、社員全員がBECに関するメールに特化したeラーニ
ングを受講しています。(グループ会社にも展開)
72
設計と実装と運用と改善
このような設計と運用を常に行っています
▪ 代表的な部分をお伝えしましたが、数百のルールが整備されており、
該当するイベントがあるとメールによりアラートが飛び、その結果を
CERTのメンバーが確認する、という運用をしています。
▪ コアのログ分...
製品選定と検証
▪ 全体政策を作るため、積極的に製品情報は集め、かつ、検証を
行ってその効果を確認しています。
▪ 今、どの脅威に弱いのか、何が足りないのか、効率的な運用でない
ところはどこか、を検討しつつ、次の当社に何が必要なのか、そして、
...
アセスメント
▪ 独自にサイバー攻撃管理策を確認するチェックリストを作成
76
グループ会社支援
グループ会社向けに当社の取り組みの一部を提供
78
毎週メールマガジンを出してセキュリティ情報を共有
▪ 通算390号を発行
79
緊急の注意喚起も行う
▪ グループへも積極的に情報共有
80
グループ会社向けワークショップ
▪ 複数の会社の情報システムから参加者を募り実践ワークショップを
実施
81
その他にも
▪ 漏洩した他社サービスの情報の中に、自グループのものが含まれて
いないか分析したり、shodan等を使って攻撃の徴候が見られた
バージョンの製品を使っているグループ会社がいないか確認をしたり、
直接的な支援を行わない分、グループ会...
おわりに
システム運用と協調した対応を実施
▪ アラートがセキュリティ
に関わるものなのか、
システム障害によるも
のなのか、ITCCERT
は、システム構築・運
用部門と多くのメン
バーを兼任して担当
しています (専任分
析官2名、専任オペ
レータ5...
今のセキュリティに必要な三要素
▪速度対応 : 攻撃速度に対応した防衛速度
▪全方位対応 : 複数のエントリポイント
▪物量対応 : 複数の観測点・大量の攻撃
▪->リアルタイムのログ収集と処理で実現
85
今すべての組織に必要なもの
▪ 基礎の見直し(弱いところがないように)
▪ 詳細なログを集めるための仕組み
▪ そのログを分析するモニタリングの仕組み
▪ モニタリングをするためには、そもそもの設計で正常と異常が定義されていなけ
れば、モニタリ...
まとめ
▪ 当社は自ら学び・自ら作り・自ら発信し、そして、周りから学び、周
りから助けられて一歩ずつ進んできました。
▪ ほぼ何も仕組みがないところから、五年のまだまだこれからのCERT
です。
▪ 五年でこれくらいできるのか、五年もかかったの...
ご視聴ありがとうございま
した
motohiko-sato@itochu.co.jp
@58_158_177_102
Prochain SlideShare
Chargement dans…5
×

6

Partager

Télécharger pour lire hors ligne

FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)

Télécharger pour lire hors ligne

FUJITSUファミリ会 2020 秋季大会のオンラインセミナー
「「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)」
で使用したスライド

Livres associés

Gratuit avec un essai de 30 jours de Scribd

Tout voir

FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)

  1. 1. 伊藤忠商事の サイバーセキュリティ対策
  2. 2. 自己紹介 ▪ 佐藤元彦 ▪ 伊藤忠商事株式会社 IT企画部 ITCCERT 上級サイバーセキュリティ分析官 ▪ 国立大学法人 千葉大学 運営基盤機構 情報環境部門 准教授 ▪ 文部科学省 サイバーセキュリティアドバイザー ▪ JPCERT/CC専門委員 ▪ JASA特任研究員 2
  3. 3. Background ▪ それなりに長い間、この業界で色々と働いています ▪ 脆弱性検査(NW・Webアプリ) ▪ 情報セキュリティ監査・システム監査 ▪ インシデントレスポンス(複数の政府機関・民間事案をクローズ) ▪ セキュリティコンサルティング(方針策定・規程作り・体制整備・リスク分析) ▪ 政府の基準作り(情報セキュリティ管理基準・クラウドセキュリティ管理基準等) ▪ ISO SC27国内委員 ▪ その他、情報セキュリティに関わる仕事(もちろん営業活動も) 3
  4. 4. 現在は ▪ 伊藤忠商事のIT企画部内のITCCERTにて、CSIRTの業務に専 門職として携わっています • インテリジェンスリサーチ(プロアク ティブ対応) • インシデントハンドリング / インシ デントレスポンス • セキュリティ機器のアラート・ログ のモニタリング • 脆弱性検査(簡易なもの) • 教育・ワークショップ • グループ会社向け講演 • 内部不正対応(フォレンジクス 含む) • マルウェア分析(簡易なもの) • セキュリティ監査・システム監査 • マネジメント層向け報告作成 • その他ビジネスも含めセキュリティ に関わる相談にも対応 4
  5. 5. 本トラックは ▪ 本トラックでは、 CSIRTや情報セキュリティ実務を担当される方 向けに、 『伊藤忠商事のサイバーセキュリティ』 の取り組み内容を紹介いたします。 ▪ 実務担当者向けということで、 各製品や用語の解説は行いません。予めご諒承ください。 5
  6. 6. 伊藤忠商事の仕事 ▪ 商社 ->海外と国内でモノを売ったり買ったりして儲けているんでしょ? ▪ その通りです。ただし、単純な売買だけではありません。本当に様々な仕 事をしています。 ▪ 自社の説明を英語でする時、Global Trading Companyというよりも、 Conglomerate Companyと説明したほうが的確なように感じていま す ▪ たとえば、コンビニでサンドイッチを買ったとき。。。 6
  7. 7. 生活のすべてに関わる商社 ▪ [ファミリーマート]でサンドイッチを買う ▪ 決済システムは[伊藤忠テクノソリュー ションズ]が構築している ▪ サンドイッチを店舗まで運んできたのは [日本アクセス] ->その物流システムの構築は。。。の ループ ▪ サンドイッチの包材は[伊藤忠リーテイル リンク] ->その原料は。。。のループ ▪ サンドイッチの具材のタマゴは[伊藤忠飼 料] ->そのヒヨコは[iヒヨコ] ->その飼料は[日本ニュートリション] ->さらに。。。のループ ▪ 店員さんの制服は[ユニコ] ->その生地は。。。のループ ▪ ゴミ出しする時のゴミ袋は[日本サニパッ ク] 7 川上・川中から川下まで (それどころか支流まで) 一気通貫のビジネスモデル
  8. 8. しょせんそんな会社ってさ。。。 ▪ そんな商社 / ユーザ企業のサイバーセキュリティ部隊のイメージ像? ▪ ISMSを下敷きにしたマネジメント ▪ 役割が回ってきたよくわかっていない担当者 ▪ あれするなこれするなを決めるだけ ▪ 現場が言うことを聞かないといつも愚痴ってる ▪ とりあえず(高い)製品ばっかり買っている ▪ でも運用は子会社か委託先に丸投げ ▪ 飲んでばかり? <- 商社のイメージ 8
  9. 9. 実はこんなCSIRT専用ルームがあります ▪ ユーザ企業では珍しいかもしれません 9
  10. 10. ITCCERTの守備範囲 ▪ 本社のサイバーセキュリティの確保を行っています。海外やグループ 会社とはネットワークを共有しておらず、それぞれ独自にセキュリティ 対策を行っています。(平日 09:00~17:00対応です) ▪ ただし、ITCCERTは横断組織として、海外拠点やグループ会社か らの要請に応じてサイバーセキュリティ確保のための対応を行ったり、 情報提供やグループ会社向けセキュリティ支援プログラムなどを提 供したりしています。 10
  11. 11. 伊藤忠を狙うサイバー攻撃 ▪ 標的型攻撃 PCの乗っ取り&情報窃取 ▪ 日本語マルウェアメール 汎用マルウェア (情報窃取マルウェア) ランサムウエア (身代金要求型マルウェア) ▪ BEC ビジネスメール詐欺 (メールを介した金銭詐欺) 11
  12. 12. 標的型攻撃 ▪ 標的型攻撃メールの例 12 年金機構事案の攻撃グループは伊藤忠も攻撃していた
  13. 13. 標的型攻撃 ▪ 標的型攻撃メールの例 13 ◼ 2007年2月の伊藤忠に向けた標的型攻撃メール(Tick+と推定) ◼ 10年以上前からサイバー攻撃犯に狙われている!!
  14. 14. 被害も発生 ▪ 2015年にはサイバー攻撃の被害を公表 ▪ 当社を「狙った」攻撃 14
  15. 15. 汎用マルウェア ▪ Emotetに代表されるような最 終的な目的が明確ではないマ ルウェアが届きます ▪ AgentTesla、Remcos、 AveMaria RATなどのマル ウェアで日本語文面のものも 接到したりしています 15
  16. 16. 毎日大量の攻撃メールが届く 16 ■itochu.co.jpで観測している攻撃メールの件名例 ○件名:FUGATO ITALIA | Sales Management Envio del Comprobante factura Digital ○件名:Request for quotation - URGENT ○件名:REQUESTS FOR QUTATION (2 REQUESTS) ○件名:ATTACH PO ○件名:RE:PDAQuery - 180397-10-23-18 PortAgency Appointment ○件名:RFQ - OCEAN SAPPHIRE @ Port of INCHEON ○件名:Urgent Swift Confirmation ○件名:MATCONPO-4131/04/19 ○件名:URGENT P.O. # 40 ○件名:Proof of Payment ○件名:FW: Fwd: MT103-SINGLE CUSTOMER CREDITTRANSFER PAYMENT : ○件名:FW: PO No. 9700152041Buyer: Prathik Macha ○件名:(STS) Bunker Notification.. ○件名:[DAEWOO E&C_SUBIC CFPP PJ_Philippin] Request for Quotation_Control Valve & PRV
  17. 17. ランサムウェア攻撃 ▪ 不審メールを開封した後に、システムが攻略され、重要なサーバが 暗号化される ▪ 対応や、無事なサーバに対する攻撃防止の意味も含め、システム 停止 = 業務停止 17
  18. 18. ランサムウェア攻撃 ▪ 事務所のサーバのRDP(リモートデスクトップ)機能がインターネットからアクセス 可能だった ▪ 攻撃者は管理者アカウントに対し、パスワードブルートフォース攻撃を実施 ▪ その結果、不正ログインされ、すべてのユーザのアカウント情報が盗まれ、さらに サーバにランサムウェアが仕掛けられ、身代金を要求された 18
  19. 19. BEC ▪ BECとは、「Business Email Compromise」の頭字語で、日 本では「ビジネスメール詐欺」と訳されている。 ▪ 通常のビジネスメールのやり取りに割り込んできて、巧妙に細工した メールのやりとりにより、企業の担当者を騙し、攻撃者の用意した 口座へ送金させる詐欺。 ▪ また、社長などを騙って、緊急の振込要請が届くこともあり。 19
  20. 20. BECは早期から観測 ▪ 2014年から観測しており、様々 な場で警告をあげていた 20 そのメールは詐欺だ! 手口が「進化」、対策は3つ 2018/1/16 日本経済新聞 https://www.nikkei.com/article/DGXMZO25037790V21C17 A2000000/
  21. 21. このような環境で意識していること ▪ リアクティブではなくプロアクティブの対応を ▪ 被害を発生させないよう、先回りして対処する ▪ なぜか? ▪ 攻撃を検知したらすぐに対処しないと手遅れの時代になってしまったから です。 ▪ これから、伊藤忠商事で行っている多層防御とリアルタイム検知の仕組 みを紹介します 21
  22. 22. マルウェア対応
  23. 23. <スパムフィルタ> ▪ まず最初のゲートは「スパムフィルタ」です ▪ 通常のスパムフィルタの機能のまま使わず、多くの自主ルールを導 入しています。 ▪ まずは、マルウェアに特化させたスパムフィルタの設定の幾つかを紹 介します。 23
  24. 24. スパムフィルタのチューニング(1) ▪ 危険な拡張子の添付ファイルをスパ ムフィルタで隔離 ▪ 明らかにビジネス上使われないマル ウェアに使われやすいファイルを指定 24 拡張子 等しい "wsf" または 拡張子 等しい "com" または 拡張子 等しい "pif" または 拡張子 等しい "scr" または 拡張子 等しい "chm" または 拡張子 等しい "cmd" または 拡張子 等しい "vbs" または 拡張子 等しい "js" または 拡張子 等しい "jse" または 拡張子 等しい "swf" または 拡張子 等しい "iso" または 拡張子 等しい "img"
  25. 25. スパムフィルタのチューニング(2) ▪ 危険な拡張子の添付ファイルには件名に”Virus Suspected”とい う警告を付けて注意を促す 25 拡張子 等しい "386" または 拡張子 等しい "3gr" または 拡張子 等しい "add" または 拡張子 等しい "ade" または 拡張子 等しい "asp" または 拡張子 等しい "bas" または 拡張子 等しい "bat" または 拡張子 等しい "chm" または 拡張子 等しい "cmd" または 拡張子 等しい "com" または 拡張子 等しい "cpl" または 拡張子 等しい "crt" または 拡張子 等しい "dbx" または 拡張子 等しい "dll" または 拡張子 等しい "exe" または 拡張子 等しい "fon" または 拡張子 等しい "hlp" または 拡張子 等しい "hta" または 拡張子 等しい "inf" または 拡張子 等しい "ins" または 拡張子 等しい "isp" または 拡張子 等しい "js" または 拡張子 等しい "jse" または 拡張子 等しい "lnk" または 拡張子 等しい "mdb" または 拡張子 等しい "mde" または 拡張子 等しい "msc" または 拡張子 等しい "msi" または 拡張子 等しい "msp" または 拡張子 等しい "mst" または 拡張子 等しい "ocx" または 拡張子 等しい "pcd" または 拡張子 等しい "pif" または 拡張子 等しい "reg" または 拡張子 等しい "scr" または 拡張子 等しい "sct" または 拡張子 等しい "shs" または 拡張子 等しい "shb" または 拡張子 等しい "url" または 拡張子 等しい "vb" または 拡張子 等しい "vbe" または 拡張子 等しい "vbs" または 拡張子 等しい "vxd" または 拡張子 等しい "wsc" または 拡張子 等しい "wsf" または 拡張子 等しい "wsh" または 拡張子 等しい "jar" または 拡張子 等しい "cab" または 拡張子 等しい "svg" または 拡張子 等しい "pps" または 拡張子 等しい "ppsx" または 拡張子 等しい "slk" または 拡張子 等しい "iqy" または 拡張子 等しい "xlam" または 元の拡張子 等しい "pps" または 元の拡張子 等しい "ppsx" または 拡張子 等しい "iso" または 拡張子 等しい "img" または 拡張子 等しい "swf"
  26. 26. スパムフィルタのチューニング(3) ▪ フリーメールリスト 795件 に当てはま るドメインからのメールには、件名 に”Sent from Freemail”という警告 を付けて注意を促す 26
  27. 27. <サンドボックス> ▪ スパムフィルタを通ったメールはサンドボックスに到達 ▪ サンドボックスで添付ファイルは分析され、異常であった場合の結果 はsyslogに送信され、splunkに渡され定期的に検知された不審 メールの分析結果が定期的に手元に届く 27
  28. 28. 即応するサンドボックス分析結果 ▪ サンドボックスで異常された添付ファイルの送信元がグループ会社の アドレスだった場合、即応のための警告メールが飛び、その組織から メールが送られていないかすぐにメールヘッダをオペレータが確認する。 ※グループ会社メールアカウント乗っ取りの早期発見のため 28
  29. 29. 分析するサンドボックス分析結果 ▪ サンドボックスで異常された添付ファイルの送信元が.co.jp や.go.jpだった場合、件名で警告メールが飛び、取引先等でない かオペレータが確認する。 ※もし乗っ取られている場合は直接通知したり、JPCERT/CCに コーディネーションを依頼 29
  30. 30. <メールサーバ> ▪ メールサーバ(O365)ではウイルススキャンを行い、パターンにマッチ した場合は.txtに置き換える措置を行う ▪ この結果は定期的に分析しており、サンドボックスでは検知されず サーバで置き換えられたマルウェアは調査をして、サンドボックスベン ダーにフィードバックを行う ▪ 危険ファイルの置き換え 30
  31. 31. <マルウェア分析> ▪ 着信しているマルウェアメールやス パムフィルタで隔離された不審 メールの中で、特徴的なもの(日 本語)のものなどは解析して、通 信先を抽出し、プロキシで制限 可能かを確認。もし、未知の通 信先であった場合は、接到量に 応じてブラックリストに投入したり、 ベンダーにフィードバックをしたりし て、対応を実施する。 31
  32. 32. <プロキシ> ▪ プロキシには複数の仕掛けをして、異常通信を防止したり、プロキ シのログを分析して異常を見張っています ▪ マルウェアに特有のUserAgent ▪ マルウェアに特有のファイルパス ▪ マルウェアに特有の動作 などを分析の結果や、各社のホワイトペーパーから分析し設定して います 32
  33. 33. プロキシ 異常検知例 ▪ プロキシで異常を検知する例の一つとして、グローバルIPを照会す るサイトへのアクセス検知があります ▪ 一部のマルウェアが、このようなサイトへのアクセスを試みることから 検知対象として、発生原因を特定しています。 33
  34. 34. プロキシ Emotet対策 ▪ Emotetに関してはペイロードの取得先が変更しやすく、通信の制 御が困難です。 ▪ そのため、毎日、EmotetのC2を確認し、新規に追加された通信 先があれば、制限を行う作業を行っています。 34 https://paste.cryptolaemus.com/
  35. 35. プロキシ ウイルススキャン ▪ プロキシにウイルス対策ソフトを導入して、ダウンロードされるファイル のスキャンを実施しています ▪ また、その結果はリアルタイムで通知され、原因確認をオペレータが 行います 35
  36. 36. プロキシの隠し認証機能 ▪ 認証を利用者には求めていませんが、シングルサインオンと連携させ、 プロキシに利用者の認証情報が渡るようにしてあります ▪ 認証情報は、splunkのユーザデータのテーブルと紐づけられ、異常 通信があった際の警告メールには、その通信を行った利用者の名 前と所属と連絡先が自動的に記載されるようになっています 36
  37. 37. <ファイアウォール> ▪ ファイアウォールのログも分析していますが、特にマルウェアに特化した通 信としては、port 587 への通信をリアルタイムで監視しています ▪ これは、日本語による攻撃メールもたまに攻撃者が使うメール経由で情 報を盗み出すAgentTeslaがプロキシを経由せず直接外のメールサーバ に繋ぎに行くことから作られた検知ルールです ▪ このように流行っているマルウェアの特性にあわせて開封時に検知があが る仕組みが作られています 37
  38. 38. 端末の設定変更 .js ▪ 幾つかの不要な拡張子はメモ帳に紐づけています 38 動作してしまう 動作しない
  39. 39. 端末の設定変更 .iso .img ▪ 最近増加しつつある.iso, .imgのファイルはマウントできないように レジストリ変更を実施 39
  40. 40. 端末ウイルス対策ソフト ▪ リアルタイムスキャン・起動時のシステムスキャン・週に一回のフルス キャンが行われ、検知データはすべてメールで届き、対処を検討し ます ▪ どのような確認ポイントかというと。。。 40
  41. 41. 確認ポイント : AVの結果の精査 ▪ 以下のような検出名のマルウェアには注意 ▪ Downloader -> 他のマルウェアを呼び込む ▪ Backdoor -> 外部から通信可能にする ▪ PlugX, PoisonIvy, emdivi, **RAT -> 有名なマルウェア名のもの・遠隔操作 ▪ Infostealer -> 認証情報などを外部送信する ▪ Keylogger -> タイプした内容を外部送信する ▪ pwdump -> パスワードを解析する ▪ ELIRKS と asurex … 41
  42. 42. 確認ポイント : AVの結果の精査 ▪ 以下のパスからの検出にも注意 ▪ C:¥Windows の中 (動いているかも) ▪ C:¥Program Files の中 (動いているかも) ▪ D:¥の中 外部記憶媒体? 持ち込まれた元が感染しているかも? ▪ また、ソフトウェアによってレジストリやプロセスで検出することも。これらは特に 注意!! 42
  43. 43. 確認ポイント : AVの結果の精査 ▪ ウイルス対策ソフトで消されたから安心、といえるのは「リアルタイム 検索の結果だけ」です。 ▪ 定期スキャンで検知されたマルウェアは、過去には未知だった、侵 入した、動いていた危険なマルウェアかもしれません。 ▪ 追跡が必要です!! 43
  44. 44. 端末システムログ ▪ 当社の端末にはソリトン社のInfotrace MarkIIが導入されており、 端末のシステムイベントをリアルタイムで収集し、splunkがそれを分 析しています。 ▪ マルウェアが使う特定のコマンドや、デコイに含まれるpowershellの 動作をキャッチし、その動作があった場合はすぐに確認を行います 44
  45. 45. Powershellの検知例 45
  46. 46. 多層の防御と検知ルール ▪ このように多層の防御策をマルウェアにあわせて作っています ▪ さらに幾つかの管理策を混ぜてマルウェアへの対応を行っています 46 接到させない 異常に気付かせる 開封させない 駆除をする 駆除結果を確認する 異常開封を検知する C2に通信させない 異常通信を確認する
  47. 47. 標的型攻撃・システム侵入型 ランサムウェア対応
  48. 48. 標的型攻撃・システム侵入型ランサムウェア ▪ これらの攻撃者の特徴は、システム内の「横移動」です。 ▪ 横移動が行われたり、管理者の権限を奪取しようとしたり、情報を 持ち出そうとしたり、攻撃者に特徴的な動作に対して防止・監視の 設定を行っています。 48
  49. 49. <プロキシ> ▪ 侵入した攻撃者は最近は、通常のリモートデスクトップソフトウェア を遠隔操作用に使うことが多いため、リモートデスクットップの通信 先をそもそもカテゴリで制限しています ▪ TeamViewer, Splashtop, Softetherなどのツールは通信を許 さないようにプロキシで制限をかけて、監視しています 49
  50. 50. <プロキシ> ▪ 大容量送信の監視 ▪ Mazeの攻撃者は盗んだ情報をMegaというアップローダに投入す ることが多いようですが、そのようなクラウドストレージに対する情報 のアップロードを監視しています。 ▪ 取引先からのデータ受信のためにサイト自体のアクセスを停止させ ることはできませんが、送信に関しては一定量のサイズのアップロー ドを監視して、確認しています。 50
  51. 51. <ファイアウォール> ▪ 例えばDMZからイントラネットへの通信が発生するとリアルタイムで 警告があがるなど、FWのポリシーに反する異常な通信はルールでリ アルタイムでキャッチし確認を行っています。 51
  52. 52. <端末システムログ> ▪ 攻撃者が環境調査に使う ようなコマンドでかつ、通常 の利用では使わないコマンド を列挙し、キャッチしています。 ▪ Tasklist /v ▪ Netstat –na ▪ などを見つけ出します 52
  53. 53. <端末システムログ> ▪ 攻撃者がよく使うpsexecなどのツールは当然ですが検知対象に なっています ▪ Pwdumpやmimikatzなどのダンプツールは、dllなどの形式も含 め、さらにはリネームされて使われても共通で生成されるであろう結 果ファイル名も含めて検知対象になっています。 53
  54. 54. <端末システムログ> ▪ 攻撃者は入手したファイルをrar形式でファイル圧縮することが多く、 一般の利用者はrar形式でファイル圧縮をすることは少ないため、 rar.exeの存在や、コマンド実行の確認を監視しています。 ▪ このようなコマンドは、実際に検証環境に攻撃者を呼び込んで観 察したり、セキュリティベンダーのホワイトペーパーや、JPCERT/CC・ IPAのレポートなどを参照して監視リストを作り、実運用環境でのノ イズと勘案して監視コマンドを設定しています。 54
  55. 55. <端末システムログ> ▪ キーボードのロケール変換のキャッチ ▪ 海外の攻撃者の場合、日本のキーボードと記号配列が異なるため、 侵入した端末のキーボードレイアウトを自国のものに変更することが あります。 ▪ このような「異常」も監視しています。 55
  56. 56. <端末ローカルアドミンの個別化> ▪ 端末のローカルアドミンは端末ごとに異なる値を設定してキッティン グしています。 ▪ そのため、横展開をする際に、感染端末から入手したローカルアドミ ンのパスワードでは、その他の端末にはログインできないようになって います。 56
  57. 57. メモリ分析 ▪ 台湾のTeamT5が開発した ThreatSonarという製品を一週 間に一回サーバも含む全端末で動 作させ、標的型攻撃に使われるマ ルウェアや異常な動作をするファイル の検知を行っています ▪ ファイルレスのマルウェアや、異常な 署名を持つ実行ファイルなどを洗い 出す独特の製品で、インシデント対 応の際にも高い能力を発揮するソ フトウェアです 57
  58. 58. <AD要塞化> ▪ 標的型攻撃やシステム侵入型ランサムウェアは、まずシステムの管 理者権限を狙うことが多いため、ADを要塞化し、監視ルールをひ いています ▪ 基本的に管理接続を管理者端末からしかアクセスできないようにし たり、RDPのポートを規程の番号から変更し、通常の RDP(3389)によるアクセスが発生した場合には異常発生として確 認をする仕組みが導入されています。 58
  59. 59. 管理者権限のはく奪と管理OUの監視 ▪ 管理者のAdministratorは存在していますが、ドメインアドミンとし ての権限を絞っています。 ▪ そのため、通常の感覚でAdministratorを乗っ取ったとしても、た だの一般ユーザの権限しか持っておらず、かつ、 Administrator の動作自体が監視されています。 ▪ また、管理者OUに所属するアカウントはログインの失敗によりメー ルが運用チームとITCCERTに届き、ログイン失敗を誰がしたのかす ぐに報告する運用ができています。 59
  60. 60. <ATA> ▪ ADのIDSとして動作するMicrosoftのATAを導入して、ADへの 異常な動きを常に監視しています。 ▪ 少しクセの強い製品ですが、ATAだけでしかとれない異常動作の 検知を目的としています。 60
  61. 61. サーバシステムログ ▪ ADに限らず異常なシステムイベントを監視しています ▪ イベントログの消去 ▪ スタートアップへの登録 ▪ タスクの登録 など、サーバで行われた場合はそれらの動きをキャッチして、アラートを あげています 61
  62. 62. サーバのウイルススキャン ▪ 端末だけでなくサーバにもウイルススキャンソフトを導入して、リアルタ イムスキャンと、毎日のシステムスキャン、そして一週間に一回のフル スキャンを実行して異常がないか確認をしています。 62
  63. 63. RedTeam演習 ▪ さらに、昨年度は社内の端末を踏み台にしたRedTeam演習を外 部業者に委託して行い、横展開や行動でログとしてとれた点、とれ なかった点などを洗い出し、再度、監視項目の見直しをかけました。 ▪ 何が検知されて何が検知されないのか、検知されないものを検知 するにはどうしたらよいか、というような観点で自分たちのアラートをあ まり多くせず、効果的に出るように常にチューニングを続けています。 63
  64. 64. BEC対応
  65. 65. <スパムフィルタ> ▪ BECのメールで、特に返信を装ったメールは通常のメール文面を 使っているため、スパムフィルタ等では異常と判断されません。 ▪ ただし、BECのメールを長年見ているなかで、一部のBEC攻撃者 が使ってくる手法に特徴があることが分かってきたため、それらのメー ルが来たらわかるような仕掛けをスパムフィルタに投入して監視を実 施しています。 65
  66. 66. スパムフィルタのチューニング(1) ▪ 返信型BECをキャッチする一つの 方法 ▪ フリーメールであるmail.comから のメールを監視する ▪ 二年間監視して正しいメールは 一通のみ、スパムやマルウェア付き メールがほとんどで、そして2通の BEC企図メールのキャッチに成功 しました 66
  67. 67. スパムフィルタのチューニング(2) ▪ もう一つの特徴として、フリーメールを 悪用する際に、.jp@hotmailのよ うに、騙る会社のメールアドレスをアカ ウント名として付属させるケースが何 件か確認されました。 ▪ そのため、幾つかの国のトップレベルド メインとフリーメールの組み合わせの メールはアラートがあがりCERTで確 認する仕組みができあがっています。 67 ((メッセージ属性"from"正規表現に一致 "^.*¥.jp¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.cn¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.us¥@.*$" または メッセージ属性"from"正規表現に一致"0." または メッセージ属性"from"正規表現に一致"^.*¥.uk¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.au¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.ca¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.sg¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.my¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.th¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.id¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.in¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.hk¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.ph¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.tw¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.com¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.net¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.kr¥@.*$")
  68. 68. O365 ログイン監視 ▪ メールはO365を使用していますが、ログイン に関してはシングルサインオンの仕組みを使っ ています。そのため、シングルサインオンのログ を確認し、一日のうちログインの成功・失敗 に関わらず二か国以上からのアクセスがあっ たアカウントを監視しています。 ▪ 回数・地理的条件・IP・UserAgentなどか ら、不正ログインの可能性が高いものは本 人に確認を行います。 68
  69. 69. O365 設定監視 ▪ BECの攻撃者がメールアカウントに不正ログインした際に、メール内容を 外部に転送させる設定をすることが多くあります。 ▪ そのような設定をされてもメールが外部送信されないように、通常のフォ ワード設定は停止させ、メールのフィルタルールの設定でもメールの外部 送信を許さないよう設定しています。 ▪ さらに、四半期に一回powershellを使って全社員の転送設定を確認 し、(転送効果はなくても)本人が意図しないメールルールが設定されて いないか確認をしています。 69
  70. 70. 異常警告ツール(1) ▪ 全社にCERTがBECの特徴に 反応するように開発を依頼し たツールを導入 ▪ BECでは差出人アドレスを騙っ て、Reply-toを設定している ことが多いことに着目 ▪ 「返信先が差出人アドレスと異 なる」際に警告があがる 70
  71. 71. 異常警告ツール(2) ▪ BECの攻撃者は似通ったフ リーメールアトレスを使うことが 多いことに着目 ▪ 「フリーメールからの受信・フリー メールへの送信」の際に警告が あがる 71
  72. 72. 教育 ▪ もちろん、このような詐欺メールが来ることに対する従業員教育が 行われており、社員全員がBECに関するメールに特化したeラーニ ングを受講しています。(グループ会社にも展開) 72
  73. 73. 設計と実装と運用と改善
  74. 74. このような設計と運用を常に行っています ▪ 代表的な部分をお伝えしましたが、数百のルールが整備されており、 該当するイベントがあるとメールによりアラートが飛び、その結果を CERTのメンバーが確認する、という運用をしています。 ▪ コアのログ分析の仕組みはSplunkで行い、端末・サーバからのログ はInfotrace Mark II で取得しています。また、プロキシ・ファイア ウォール・サンドボックスのログや、BOXやO365などのクラウドログも 取り込み、自分たちの手でアラートを作り、運用し、見直しています。
  75. 75. 製品選定と検証 ▪ 全体政策を作るため、積極的に製品情報は集め、かつ、検証を 行ってその効果を確認しています。 ▪ 今、どの脅威に弱いのか、何が足りないのか、効率的な運用でない ところはどこか、を検討しつつ、次の当社に何が必要なのか、そして、 もう効果の無くなった製品・運用はないのかを見直しています
  76. 76. アセスメント ▪ 独自にサイバー攻撃管理策を確認するチェックリストを作成 76
  77. 77. グループ会社支援
  78. 78. グループ会社向けに当社の取り組みの一部を提供 78
  79. 79. 毎週メールマガジンを出してセキュリティ情報を共有 ▪ 通算390号を発行 79
  80. 80. 緊急の注意喚起も行う ▪ グループへも積極的に情報共有 80
  81. 81. グループ会社向けワークショップ ▪ 複数の会社の情報システムから参加者を募り実践ワークショップを 実施 81
  82. 82. その他にも ▪ 漏洩した他社サービスの情報の中に、自グループのものが含まれて いないか分析したり、shodan等を使って攻撃の徴候が見られた バージョンの製品を使っているグループ会社がいないか確認をしたり、 直接的な支援を行わない分、グループ会社全体のセキュリティの底 上げをするような活動を行っています。 ▪ もちろん、インシデントが発生した際の緊急対応もITCCERTで行 い、応急措置を実施しています。 82
  83. 83. おわりに
  84. 84. システム運用と協調した対応を実施 ▪ アラートがセキュリティ に関わるものなのか、 システム障害によるも のなのか、ITCCERT は、システム構築・運 用部門と多くのメン バーを兼任して担当 しています (専任分 析官2名、専任オペ レータ5.5名) 84
  85. 85. 今のセキュリティに必要な三要素 ▪速度対応 : 攻撃速度に対応した防衛速度 ▪全方位対応 : 複数のエントリポイント ▪物量対応 : 複数の観測点・大量の攻撃 ▪->リアルタイムのログ収集と処理で実現 85
  86. 86. 今すべての組織に必要なもの ▪ 基礎の見直し(弱いところがないように) ▪ 詳細なログを集めるための仕組み ▪ そのログを分析するモニタリングの仕組み ▪ モニタリングをするためには、そもそもの設計で正常と異常が定義されていなけ れば、モニタリングはできない。 ▪ まずは基礎の部分を固め、次にモニタリングの仕組みを検討してみてください。 ▪ 外部SOCは? 残念ながら外部SOCの分析結果を待っている間に被害拡 大するようなスピード感です。。。 86
  87. 87. まとめ ▪ 当社は自ら学び・自ら作り・自ら発信し、そして、周りから学び、周 りから助けられて一歩ずつ進んできました。 ▪ ほぼ何も仕組みがないところから、五年のまだまだこれからのCERT です。 ▪ 五年でこれくらいできるのか、五年もかかったのか、捉え方は色々と あるかもしれませんが、当社でいろいろ検討してきた内容が、今、 何かセキュリティで困っている担当者の方の助けに少しでもなれば 幸いです。
  88. 88. ご視聴ありがとうございま した motohiko-sato@itochu.co.jp @58_158_177_102
  • ssuserecb5b4

    Jul. 31, 2021
  • yasuhirogotou

    May. 16, 2021
  • KatoAkinori

    Jan. 31, 2021
  • ozawaken

    Jan. 3, 2021
  • ssuser0b51e2

    Nov. 14, 2020
  • Yas256

    Oct. 9, 2020

FUJITSUファミリ会 2020 秋季大会のオンラインセミナー 「「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)」 で使用したスライド

Vues

Nombre de vues

1 643

Sur Slideshare

0

À partir des intégrations

0

Nombre d'intégrations

111

Actions

Téléchargements

21

Partages

0

Commentaires

0

Mentions J'aime

6

×