Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016...
Transcript of Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016...
![Page 1: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/1.jpg)
CSA Japan Summit 2016
IoTセキュリティレポートによる課題とセキュリティライフサイクルアプローチ
2016年5月24日日本ヒューレット・パッカード株式会社ITアシュアランス&セキュリティジャパンカントリーリード兼セキュリティエバンジェリスト増田 博史
![Page 2: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/2.jpg)
本日のAgenda(25分間)
1.世界の脅威動向
2.IoTセキュリティにおける主な課題と取り組み方(特にIoTエンドポイント/デバイス周り)
![Page 3: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/3.jpg)
3
1.世界の脅威動向
![Page 4: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/4.jpg)
よく聞く声(悩みや課題)
何を、どこまでやればいいのか?
IE/Heartbleed/shellshock等の脆弱性、ベネッセ内部犯行、オンライン不正送金、サイバーセキュリティ基本法、年金機構攻撃被害、マイナンバー、2020東京オリンピックetc.....
セキュリティは、やらなければいけないが・・・
![Page 5: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/5.jpg)
認識 予測 準備 対応
学習・共有
HPEが提唱する危機管理の考え方
![Page 6: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/6.jpg)
12兆円サイバー脅威のブラックマーケット年間市場規模(全世界)
Sources: 2 Ponemon Institute: Enterprise Security Benchmark Survey, November 2012
![Page 7: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/7.jpg)
攻撃者
動機
ハクティビズム
サイバー犯罪
国家/組織
テロリズム
金銭
知的財産
地政学的
信仰・信奉
社会・政治・環境等ブラックマーケット
増大する攻撃者たち
![Page 8: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/8.jpg)
5.退却
4.窃取
2.侵入1.リサーチ
ブラックマーケットと攻撃ライフサイクル
ハッキングによる侵入攻撃標的の調査
データの破壊や持ち出し
データの取得
金銭化
情報やデータの売買
$$$$$$$$$$$3.探索
内部環境のマップ作成
![Page 9: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/9.jpg)
ご参考:Economist.comによる米国のデータ侵害における調査結果(2015)
データ侵害のタイプで、2010年頃からハッキングが圧倒的に増えている
流出データの割合は、カード番号やソーシャルセキュリティナンバが約半数だが、他が増加中
![Page 10: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/10.jpg)
10
2. IoTセキュリティにおける主な課題と取り組み方(特にIoTエンドポイント/デバイス周り)
![Page 11: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/11.jpg)
IT
IoTの価値とリスク
OT+
サイバー フィジカル
=
価値・データ量・デバイス数
リスクConfidentialityIntegrityAvailability
Safety
![Page 12: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/12.jpg)
HPEが考えるIoTセキュリティのための3つの柱
Trusted Products
安全なハード/ソフト製品で構成される全体像
Process
データやシステムのフローユーザフロー
Security By Design
企画設計からフルライフサイクルのセキュリティ
Trusted Products
Process Security By Design
![Page 13: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/13.jpg)
IoTの主な機能ブロック
IoTプラットフォーム
仮想化
IoTクラウド/プラットフォーム
通信
エッジコンピューティング
IoTエンドポイント Dat
a,
Appl
icat
ions
, C
omm
unic
atio
n, U
sers展
示ブース/
別途ご紹介
本講演
![Page 14: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/14.jpg)
HPEのIoTセキュリティリサーチレポート
2014
IoTデバイスの70%に攻撃に対する脆弱性
IoTデバイスあたりでは平均25件の脆弱性
•デバイスの80%が、1234のような容易に推測できるパスワードを許容しています。•デバイスの80%が、プライバシー上の問題となりうる情報を収集している。(名前,Emailアドレス,自宅住所,生年月日,クレジットカード番号,健康情報等)•デバイスの70%が通信を暗号化していない。ソフトウェアアップデートの取得に暗号化を利用していないデバイスが60%存在した。
リサーチ対象:最も普及しているIoT端末10種(ス
マートテレビ、ウェブカメラ、サーモスタット(温度計)、リモート電源管理、スプリンクラー制御装置、ドアロック、住宅用警報機、ガレージ開閉機等)
![Page 15: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/15.jpg)
HPEがリードしたOWASP IoT Project/OWASP IoT Security Top 10https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project
HPEのDaniel MiesslerがOWASP Iotprojectのリーダーとして、OWASP IoT セキュリティTop10を発表しました。(2014)
IoTデバイスにおけるセキュリティ上の問題 - トップ101. 安全ではないWebインターフェイス2. 不十分な認証3. 安全ではないネットワークサービス4. 暗号化されていない通信5. プライバシーに関する懸念6. 安全ではないクラウドインターフェイス7. 安全ではないモバイルインターフェイス8. 不十分なセキュリティ設定機能9. 安全ではないソフトウェア10. 物理的なセキュリティ脆弱性
※IPA「「IoT開発におけるセキュリティ設計の手引き」がOWASP Top 10 IoT脆弱性を参照http://www.ipa.go.jp/security/iot/iotguide.html?utm_source=dlvr.it&utm_medium=twitter
![Page 16: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/16.jpg)
クラウドサービス型アプリケーションセキュリティサービスFortify on Demand の概要イメージ(for OWASP IoT)
or http://...
ソースコード/URLのアップロード ・ぜい弱性診断の実施
・診断結果の精査・レポートの作成
HPEエンジニア
動的解析(外部からのペネトレー
ションテスト)
静的解析(ソースコード・バイナリファイル
の解析)
Webやアプリケーション
・診断結果の参照・レポート出力
日本語ポータルサイト
修正/対応
お客様 HPE
![Page 17: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/17.jpg)
“IoTシステム”
連携
IoTの仕組み/フロー概要
外部利用者
データ収集・認識・分析
外部システム
装置・設備系、人間系への施策(ループバック)
データ活用者
自動リアルタイム分析と
迅速なリアクション
情報やサービス
インサイト
端末
セキュアで継続的変化に対応できる仕組みへのトランスフォーメーションが重要。
外部データ利用
参照
データ
装置
様々な”Things”
![Page 18: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/18.jpg)
暗号化は重要だが・・・中の監視ができないことやパフォーマンスの課題も。→ データのフォーマットを維持した暗号化および無害化(FPE/SST)
5361 9239 2408 62811234 5678 9012 3456FPE暗号
フォーマットを保った暗号化元データ
暗号化例:数字16桁の場合
NIST SP800-38G(AES Encryption FFX Mode)
復号可能
5361 9239 2408 62811234 5678 9012 3456トークン化
トークン化元データ
トークン化例:数字16桁の場合
Secure Stateless Tokenization(トークナイゼーション)
不可逆
Format-Preserving Encryption(フォーマット維持暗号化)
※9から17桁の数字のみ
![Page 19: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/19.jpg)
HPE Voltage SecureData FPE活用事例 – 高級車向け車載コンピュータ
車載コンピュータ
情報収集システム
車載コンピュータ支援 クラウドシステム
変換後データ変換前データ
Voltage
データベース
Comp ID: ATL20501245882GPS: $GPRMC,085120.307,A,3541.1493,N,13945.3994,E,000.0,240.3,181211,,,A*6ASpeed: 82 milePedal 1: 75Pedal 2: 00Pedal 3: 00Temperature: 71.6…..
Comp ID: DRM81473519365GPS: $XWTJA,247354.194,D,6173.2618,R,61472.4821,Y,372.1,752.4,363572,,,G*5FSpeed: 50 milePedal 1: 91Pedal 2: 47Pedal 3: 36Temperature: 20.4…..
データを匿名化する事でクラウド利用による外部攻撃のリスクを最小化します。
変換例1
情報収集システム
変換後データ
データベース
例2Voltage
変換変換後データ
![Page 20: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/20.jpg)
IoTシステム
セキュリティ
IoTインフラ
ご参考:IoTの仕組み - 主な機能ブロック
通信 分析リアルタイム分析とリアクション
ディープ分析
•機器•設備•人•・・・・・
監視・管理・運用自動化
外部システム連携
アプリケーション開発
•広域・限定域•有線・無線
外部システム連携、外部データ参照
外部利用者(データ、サービス)
セキュリティ
データ収集・認識
デバイス(データ感知)
•機器•設備•人•・・・・・
セキュリティ
データ
![Page 21: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/21.jpg)
Physical Security (PS)
Cyber Defense (CD)
Identity & Access
Management (IAM)
Infrastructure & Network
Security (INS)
Applications Security (AS)
Data Protection &
Privacy (DPP)
Converged Security (CS)
Resilient Workforce (RW)
Security & Operations Management (SOM)
Strategy,Leadership
& Governance(SLG)
Risk & ComplianceManagement (RCM)
Security ResilientArchitecture (SRA)
ご参考:HPEサイバーリファレンスアーキテクチャ概要Cyber Defense blueprint example
21
Actionable Sec & Threat Intelligence
Correlated events
Security Analytics
Context & Behavior Layer
Threat Intelligence &
Profiling
Digital Investigation &
Forensics
Intelligence Layer
Vulnerability Management
Threat Sources Layer
Security Information &
Event Management
Security Incident Response & Remediation Management
Forensic & Incident
Response Tooling
Operations Layer
Controls Layer
Strategic Layer
Asset Management
Containment, Clean-up, Eradication, Disruption, Remediation Physical
eventsIT
eventsOT
events
Blueprint: Maps domains and sub-domains into layers and identifies key flows between them
© Copyright 2016 Hewlett Packard Enterprise Development LP
![Page 22: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/22.jpg)
■サイバー脅威の急激な増大を認識し、IoTへ脅威が広がることを認識する。
■ライフサイクルの長さや、メンテナンスを鑑みて、IoTデバイスのアプリケーション診断などのOT周りは、すぐに始める。
■システム全体のアーキテクチャおよびフルライフサイクルによるトータルセキュリティモデルで考えていく。
まとめ
![Page 23: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/23.jpg)
Thank you!
23
![Page 24: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/24.jpg)
4.窃取
HPEのグローバルリーディングソリューションと包括アプローチ
• エンドポイントセキュリティ• リアルタイム相関分析(HPE ArcSight)
3. 早期検知
• HPEコンサルティングおよびサービス
5. 対応/回復
• データ暗号化(HPE Atalla/HPE Voltage)• データリカバリ(バックアップ/DR)
4. データ保護
5.退却 3.探索
2.侵入1.リサーチ
1. 脅威インテリジェンス
• HPEセキュリティリサーチ• Threat Centroal
• 境界(FW/IPS)、Web(HPE Fortify)• 認証(HPE IceWall, HPE Aruba ClearPass)
2. 侵入防御
![Page 25: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/25.jpg)
ご参考:HPEのIoTモデル構成例1エッジ環境
業務システム
外部サービス
ストリーム処理(CEP/リアルタイム)
ビッグデータ分析
行動履歴プッシュ広告
センサー
HEMSスマートメーター
機械学習
クラウド、モバイル、IoT 統合認証基盤(位置認証 / IoTデバイス認証 /本人認証・認可 / シングルサインオン / Federation etc.)
監視カメラ ストリーミング
MQTTメッセージ変換プロトコル変換
クラウド または オンプレミス
Predictive
Analytics
死活監視
Flume or
Fluentd
Kafka
ゲートウェイEdgeline EL20
802.11ac 無線LAN/ビーコン
SAS®
Visual Analytics
セキュリティ
CONFIDENTIAL 25
![Page 26: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/26.jpg)
HPEトータルセキュリティモデルにおける課題と対策ポイント
PeopleProcess
Technology
ポリシー
組織/教育
技術/ツール
ヒューマンプロセス
システムプロセス
統合ログ
SOC レスポンス(CSIRT)
運用 その他ユーザー
内部犯行外部攻撃
アウトソースサービス
ManagedSecurityService
ヘルプデスク
エグゼクティブ
内外の環境変化からポリシーの見直しの時期
人の脆弱性は?
スキルやリソース不足で自社だけでは困難
End to End脅威インテリジェンス
新しいポリシー、外部専門家を組み入れた人材(組織)、外部脅威インテリジェンスを活用する技術、のベストトライアングルによる次世代セキュリティモデルが必要。
ゼロデイ脆弱性は?
早期検知/対応は?
![Page 27: Title (46 pt. HP Simplified bold) · CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016. 年5月24日](https://reader034.fdocuments.net/reader034/viewer/2022050204/5f57f8aaa1e1f06a0730aa96/html5/thumbnails/27.jpg)
グローバルに広がる HPE のセキュリティ体制と経験
監理しているセキュリティ機器
180万以上
HPEが保護しているユーザアカウント
4700万
HPE MSS顧客
1000以上
HPEセキュリティ製品顧客
10000以上
HPEセキュリティ専門家
5000+
セキュリティオペレーションセンター
Texas
Virginia
Toronto
Costa Rica
GermanyUK
Bulgaria
India
Malaysia
Australia
Global SOC Regional SOC
10