日々の事柄に関する雑記帳。


攻撃側臨機応変
法律もルール無も無視
サイバー攻撃の高度化と成功を最優先
防御側対策が後手
法律とルールの範囲内で対抗
予算の執行サイクルに合わせた製品、サービス導入
  • インテリジェンス
    • 知性、知能
  • サイバー脅威インテリジェンス
    • 様々な情報源から断片的なデータを集める
    • 文脈の繋がった情報にする
    • 総合的分析
    • 次に取るべき行動に関する意思決定の判断材料
  1. 大きな視野に立って、サイバー攻撃や攻撃者という脅威についての全体像を示す
  2. 技術的な対策や、検討すべき事業戦略上の留意点を示す
第1章サイバー攻撃事例
第2章攻撃者の実像
第3章守る側の態勢
第4章サイバー攻撃インテリジェンス
第5章多層防御、リスクの可視化

第1章

サイバー攻撃被害額に含まれるもの
  • データの破壊
  • 盗まれたお金の額
  • 生産性の低下
  • 知的財産や個人情報
  • 横領
  • 通常業務の中断
  • サイバー攻撃に関する調査
  • 侵入されたシステム、データの復旧や削除費用
  • 風評被害

攻撃元を断定した具体的証拠を公開するトレードオフ
公開する今後の攻撃が巧妙化し、検知困難となるリスク
公開しないでっちあげと、攻撃元から非難されるリスク
説得のある情報を公開できず、周囲の理解を得られないリスク

ビジネスメール詐欺を防ぐポイント

事前対策多層防御
パスワード対策
外部、内部からの受信メールを区別して表示
財務関係者への研修
送金承認プロセスの見直し
メール受信対策電話確認
いつもと異なる兆候の確認
-\メールアドレス
-フォント
事後の被害確認サイバー脅威インテリジェンス・サービス
-盗まれた情報がダークウェブで売られていないか確認

財務関係者への研修→サイバー攻撃の手口を知らせる
送金承認プロセスの見直し→多額の送金には複数名による承認が必要
詐欺メールを受信した=攻撃者は内部データを盗み、相手が信じて送金するタイミングを把握している
  • 経営幹部のメールが乗っ取られているリスク
  • メール詐欺以外への転用リスク(メールアドレス、パスワードなどのリスト販売)

ランサムウェア被害を防ぐポイント

  • バックアップ
  • ランサムウェアの被害が及ばない場所でのバックアップ・データ保管

エストニア

IT化促進の理由
  • たとえ国土が物理的に奪われても、オンライン上で政府が存続し、国民のデータにアクセスできる限り、国の機能を維持できると信じる。
  • 天然資源が少ない
  • 1500以上の島に人口が分散している

虚偽情報の拡散

post-truth
Word of the Year 2016
世論の形成において、客観的な事実よりも、個人の感情に訴える言論の方がたとえ虚偽であっても強い影響力を持つ

対策
  • SNSへ二要素認証を導入する。
  • 公式アカウント、公式webサイトなど複数の情報源を確認する。
  • プロパガンダ用アカウントを、公的機関・研究機関が監視、情報共有する。
  • 偽情報、偽アカウント対処方針を、SNS運営企業が確立する。

第2章

サイバーセキュリティ上の脅威
外部組織テロリスト
イデオロギー型
犯罪者集団
ダークウェブのフォーラム
国家
情報機関
外注先の民間人(国家の代理)
個人いたずらする人
自己顕示する人
金銭目的の人
内部不満、不注意を持った社員、外注先
うっかりミスをする社員
無知

第3章

CSIRT
Computer Security Incident Response Team
サイバー攻撃の被害が出たときの駆け付け救助隊
SOCSecurity Operation Centerサイバー攻撃を監視し、検知したらCSIRTに知らせる
UTM
Unified Threat Management
統合脅威管理
サイバーセキュリティ対策を統合して提供する
シグネチャウイルスの技術的特徴に関する情報

CSIRT

  • サイバー攻撃について報告を受ける。
  • サイバー攻撃を調査する。
  • サイバー攻撃によるダメージを局所化する。
  • サイバー攻撃によるダメージを受けたシステムを回復する。
  • サイバー攻撃の再発を防止する。
  • サイバーセキュリティ施策を検討、実施する。
システムの脆弱性やサイバー攻撃について緊急連絡を取りたい人たちに対し、通報先を明確化できる
通報先=CSIRT

4つの段階
  1. 検知
  2. 対応優先度の決定
  3. サイバー攻撃への処置
  4. 詳細分析
サイバー攻撃の被害調査への協力に各部署、各社員が全面的に協力し、なおかつ正直に申告しやすい環境づくりが経営層に求められます。

SOC

  • サイバー攻撃、その情報を監視する。
  • サイバー攻撃を検知する。
  • CSIRTに通報する。
外部SOC
  • 顧客の代理として運用管理しているサイバーセキュリティ製品からの情報だけを把握できる。
  • 顧客サーバー、業務を含む被害の全体像は分からない。

コミュニケーション手段
  • レポート
  • 報告会
  • 顧客向けポータルサイト

一般企業が取り得る方法
  • 自社CSIRTが製品を購入し、運用する。
  • サイバーセキュリティ・サービス企業がSOCサービスとして提供する。
  • 製品を購入し、外部SOCに運用、監視してもらう。

管理人/副管理人のみ編集できます