Comments
Transcript
「セキュリティー、コンプライアンスの今とこれから」 渋谷テクニカルナイト 日本アイ・ビー・エム(株)
2010年11月24日 渋谷テクニカルナイト 「セキュリティー、コンプライアンスの今とこれから」 日本アイ・ビー・エム(株) セキュリティー・エバンジェリスト 大西克美 © 2010 IBM Corporation IBM Smarter Planet 2 それは、安全・安心の上にある世界です 無断転用・再利用は禁止致します © 2010 IBM Corporation 今、起こっている脅威とは?(2010上半期 X-Force Reportより速報) アプリケーション & プロセス 報告された脆弱性は過去最高の 36% 増を記録 - 公開された悪用事例が大幅に増えたことと、 ソフトウェア・ベンダーによるセキュリティー脆弱性の識別・軽減のための取組みによる 公開された脆弱性の 55% 超が Web アプリケーションの脆弱性である 2010 年上半期末の時点で、公開された全脆弱性の 55% にベンダーからパッチが提供されていない PDF の攻撃が依然として脅威の大きな割合を占める。特に 2010 年 4 月は PDF 攻撃が最も増加 この月のイベント数は 2010 年上半期の平均より 37% 高くなっている Zeus ボットネットのツールキットが組織に損害を与え続ける。2010 年はじめに Zeus ボットネット・キットの 新バージョン (Zeus 2.0) が発生 匿名プロキシー Web サイトが 2007 年から 4 倍増 高度で継続的な脅威となるのが、十分に防御されたネットワークを標的として侵入する攻撃者グループ 攻撃者は新たな手法により悪質なトラフィックを隠蔽 / マスクして、セキュリティー・テクノロジー を回避 仮想化の脆弱性の 35% がハイパーバイザーに影響 インターネットの 7.2% が「社会的に」許容されない、好ましくない、完全に悪意的である ブラジル、米国、インドで世界のスパムの 1/4 以上を占める 大多数のスパム (90% 超) は依然として URL スパム (メッセージに含まれる URL をクリックすることで スパムのコンテンツを表示) とされる よく知られている / 信頼されているドメイン名を使用する URL スパムの数が増加を続ける。 上位スパム・ドメインは中国 (.cn) からロシア (.ru) へと遷移 金融フィッシング詐欺のターゲットの 2/3 以上 (66.8%) の拠点は北米。残りの 32% はヨーロッパ データ & 情報 ネットワーク / サーバー / エンドポイント ユーザー & ID ・フィッシング詐欺に代表される金融犯罪が継続して発生しています ・機密情報を搾取する攻撃は増加傾向にあります 3 詳細資料は以下のサイトから入手可能です http://www.ibm.com/services/us/iss/xforce/trendreports/ 無断転用・再利用は禁止致します © 2010 IBM Corporation 今日ご説明する内容 2010 Global IT Risk Study セキュリティーに係わる4つのキーワード Cloud Compliance Cost Complexity IBMセキュリティー・フレームワーク 4 無断転用・再利用は禁止致します © 2010 IBM Corporation 2010 Global IT Risk Study 5 無断転用・再利用は禁止致します © 2010 IBM Corporation 2010 Global IT Risk Study IT マネージャーがリスク緩和のために何をしているかを把握するために IBM は世界各地の 560 社を調査 地域 中東・アフリカ 8% 企業規模 アジア太平洋 22% 50 ~ 100 億ドル 12% 5 億ドル未満 37% 東欧 6% 5 ~ 10 億ドル 14% ラテンアメリカ 4% 北米 29% 10 ~ 50 億ドル 15% 西欧 32% 100 億ドル超 22% 業界 その他 9% IT & テクノロジー 25% 通信 10% 流通 10% 金融 20% 製造 12% 6 公共 14% 無断転用・再利用は禁止致します © 2010 IBM Corporation 2010 Global IT Risk Study 結果 全社的な一般的なリスク分野で、今後 3 年以内に自分が最も関与すると感じる分野はどれですか? (最大3選択) 事業戦略とブランドは、回答者が 一層の関与を期待する二つの新 分野である インフラから関心が移る理由には 二つの要因がある – 現在のインフラ中心の関心は、現 在のリスク管理のプロセスと手続 きを安定化または「固定」する企 業が増えるにつれて、ほかの分 野に移る可能性がある – インフラ支援に責任が移るにつれ て、インフラの責任は仕入先また はパートナーに移る可能性があ る。この移行によりビジネスの弾 性と継続性に対する関心を高め ることができる インフラストラクチャー (アプリケーション、 ネットワーク、データ) 45% 情報 42% 45% 57% ビジネスの弾性と継続性 40% 41% コンプライアンス (報告書、監査など) 35% 37% セキュリティー 34% 36% 28% 31% 事業戦略 財務 (収益、信用、 キャッシュ・フローなど) ブランド (顧客サービス、 マーケティングなど) 16% 19% 6% 10% 現在 3 年後 役割の拡大に加えて、回答者は自身が社内のリスク分野に幅広く関与することを期待している 7 無断転用・再利用は禁止致します © 2010 IBM Corporation 2010 Global IT Risk Study 結果 貴社の 2010 年の IT リスク管理予算についてお答えください。リスク管理の支出はどうなりましたか? 2010 年のリスク管理支出 大幅に増加 14% 若干増加 39% 36% 現状維持 航空宇宙・防衛 若干減少 大幅に減少 わからない 「リスクを放置したことによるコストを経営陣 に明確に説明しているにもかかわらず、IT リスクに対処する資金の確保はますます困 難になっています。」 6% 2% 3% 経済的な課題を抱えながらも、ほとんどの組織はリスク管理費を維持または増加させている 8 無断転用・再利用は禁止致します © 2010 IBM Corporation 2010 Global IT Risk Study 結果 以下の技術とツールは貴社にとってどの程度のリスクですか? 64% ソーシャル・ネット ワーキング・ツール モバイル・ プラットフォーム 21% 15% . クラウド・ コンピューティング 「従業員のモバイル機器との データの流れをコントロールし て安全にデータを格納できる のかという点に懸念を抱いて います」 54% 27% 19% 42% 35% 製造業 24% 26% 仮想化 31% 「クラウド・コンピューティングは 視野に入れていますが、自前 のローカル・ネットワークのセ キュリティーも未だに完全では ありません」 43% サービス指向 アーキテクチャー 極めてリスクが高い / リスク が高い 25% 42% 34% 多少リスクがある ほとんどリスクがない / まったくリスクがない 医療 評価対象の5つのテクノロジーのうち、リスクの懸念が大きいのはソーシャル・ネットワーキング、モバ イル・プラットフォーム、クラウド・コンピューティングである 9 無断転用・再利用は禁止致します © 2010 IBM Corporation セキュリティーに係わる4つのキーワード 10 無断転用・再利用は禁止致します © 2010 IBM Corporation セキュリティーに係わる4つのキーワード Cloud (クラウド) Compliance(コンプライアンス) 法律整備、市場変化に 伴い、セキュリティー対 策や監査対策が企業に 求められる 戦略的な投資分野であるが、セキュリティーの課 題が大きな障壁である 次世代コンピュータ環境のキーワード Complexity(複雑なITシステム) Cost(コスト) セキュリティ対策や運 用に必要なコストが増 大している 80%の投資が止血対 策に使用されている IT予算の70%が保守・運用、TCO削減の厳命 11 ISO27000、日本版SOX法、情報漏洩対策 IT環境の変化、技術革新の高速化、攻撃の多 様化がITシステムを複雑化する 縦割りのITシステム、アーキテクチャの欠如 無断転用・再利用は禁止致します © 2010 IBM Corporation Cloud (クラウド) クラウド・コンピューティングに関する最大のリスクは何であるとお考えですか? (最大2つ選択) クラウド・コンピューティングに関連したリスク データ保護とプライバシーは、ク ラウド・コンピューティングを検討 または導入している企業にとって 第一のリスク懸念である – 77% はプライバシーの保護が難 しくなると考えている 半数以上の回答者が事業継続 の議論にクラウド・コンピューティ ングを取り上げている – 44% がプライベート・クラウドは 従来の IT サービスよりリスクが 高いと感じている 機密データの第三者へ の引渡し 61% データ侵害または 紛失の脅威 50% 企業ネットワークの セキュリティーの弱体化 稼働時間または 事業継続 23% 16% クラウド・コンピューティング 業者の財務力 11% アプリケーションを カスタマイズできないこと 10% クラウド・コンピューティングはリスク管理の新しいソリューションとして認識されているが、いくつかの 懸念が存在する 12 無断転用・再利用は禁止致します © 2010 IBM Corporation 何故、Cloudが危険だと思われるのか? 現行環境 クラウド環境 ? ? ? 自社で管理されている サーバーはXという場所にある データはサーバーY, Zに 保管されている 適切にバックアップされている 管理者がアクセス権を管理している 稼働時間は十分である 監査がきちんとなされている. 自社のセキュリティーチームが関与している ? ? ? 誰が管理するのか? サーバーはどこにあるのか? データはどこに保管されて いるか? 誰がバックアップを取るのか? 誰がアクセス権を持っているか? 弾力性はあるか? どのように監査するのか? どのように自社のセキィリティ チームが関与するのか? クラウド環境に対する漠然とした不安、感覚的な不安 クラウド事業者の具体的なセキュリティー・サービス内容が不明瞭 この 時 は 方 考え す で れ 代遅 クラウド事業者のセキュリティー・サービスレベルが業界標準に適合しているか? 例) CSA (Cloud Security Alliance) のControlsに適合しているか? 13 無断転用・再利用は禁止致します © 2010 IBM Corporation 13 参考)IBM SaaSソリューションのセキュリティー対策 Lotus Live が提供するセキュリティー・サービスの内容 14 無断転用・再利用は禁止致します © 2010 IBM Corporation クラウド・コンピューティングの利用は時期尚早でしょうか? 自社内の管理レベルを再考してください → セキュリティー要員(設計・運用)は十分ですか? → セキュリティー対策は十分ですか? → 計画的でしょうか? → 高度な攻撃に対する準備はできていますか? → 業界の標準、ガイドラインを満たしていますか? 監査レポート、脆弱性診断、暗号化、職務分掌など ⇒パブリック・クラウド・サービスを活用する方が 「安全」、「安心」、「コスト削減」かもしれません 15 無断転用・再利用は禁止致します © 2010 IBM Corporation クラウド・セキュリティー・コンサルティング サービス ソリューション・アウトライン 適所の見極め マクロ設計 あるべき姿 Fit-Gap ロードマップ ソリューション紹介 マイクロ設計・構築 設計・実装 運用 運用 クラウド・ビジネス・コンサルティング クラウドを検討 されるお客様 クラウド事業戦略立案コンサルティング(事業者) クラウド適用戦略立案コンサルティング Entry Point 1 包括的なクラウド 適用計画を作成 する必要がある クラウドに向いた業務 があるか知りたい Entry Point 2 クラウドにおける セキュリティーの 課題を解決したい 16 各種製品・サービス クラウド・テクノロジー・コンサルティング クラウド・インフラストラクチャー・ストラテジー&デザイン クラウド適合度 簡易分析セッション (無償) お客様社内で クラウド構築・使用 についてのある程度 の戦略が既に立て られている クラウド・セキュリティー・コンサルティング ①クラウド・セキュリティー ロードマップ策定 ②クラウド・セキュリティー アセスメント 無断転用・再利用は禁止致します © 2010 IBM Corporation ソリューション紹介 ID 連携:Tivoli Federated identity Manager 通常のWebSSOやSAML等の認証連携プロトコルを組み合わせることで、企 業内・企業間の統合的なシングルサインオン環境を構築することが可能 自社内環境 支社環境 プライベート クラウド Web SSO TFIM TFIM Web SSO グループ企業内環境 SAML/OpenID等 Web SSO TFIM SAML/OpenID等 TFIM Web SSO AD SPNEGO SSO 17 Tivoli Tivoli Federated Federated Identity Identity Manager Manager 無断転用・再利用は禁止致します © 2010 IBM Corporation ソリューション紹介 ID 連携:Tivoli Federated identity Manager VSPはVmware VMsafe™ APIを通して特権レベルでハイパーバイザーと連携し、仮想化環境 全体のセキュリティを保護します。 X-Force Virtual Patch技術を仮想ネットワークに適用 VM間通信の保護、外部からVMに対する通信の保護 X-Force Web Application Protection IBM Virtual Server Security for VMware 仮想マシン Webサーバー 仮想マシン ホスト・デスクトップ 仮想マシン Webアプリケーション アプリケーション アプリケーション アプリケーション OS OS ポリシー 仮想リソースの負荷軽減と仮想化セキュリティの両立 ゲストOSにはAgent不用、1つのVSSで仮想環境全 ての脅威を保護 レスポンス 検知エンジン 1000110000 1011101010 強化OS OS 仮想化環境全体への脅威波及を防止 仮想マシン・アンチルートキット by X-Force & IBM Research 仮想環境におけるコンプライアンスの準拠 VM自動ディスカバリ、仮想ネットワークアクセス制御 (vNAC)、仮想環境内の監査, VMotionへの対応 18 Rootkit検知 ファイアウォール VMsafe IPS(不正侵入防御) 仮想ネットワーク アクセス制御 ハイパーバイザー ハードウェア 無断転用・再利用は禁止致します © 2010 IBM Corporation クラウド環境を利用した二次流出防止ソリューション ソリューション紹介 SSE (Self controllable Security Engine) ソリューション IBMデータセンター ヘルプデスク 管理者からの 問合受付 運用担当 y制御ポリシー yユーザー管理 y有効期限 yアクセスログ yシステム運用 yサービスレベルの監視 24時間365日サービス提供 インターネット経由でhttps通信 インターネット経由でhttps通信 取引先 送信者 ランチャー ランチャー コンソール コンソール ファイル配信 SSEファイル(XXX.sse) 送信者手順 1. コンソールを立ち上げ 2. ファイル制御ポリシーを設定 3. 暗号化パッケージ作成 4. パッケージを送付 19 (例) •Ms-Excel •Ms-PowerPoint •Ms-Word •Adobe Acrobat •CATIA V5 •Notepad •保存 •印刷 •貼り付け •画面コピー OK/NG OK/NG OK/NG OK/NG 利用者手順 1. ランチャーを立ち上げ 2. パッケージの開封・編集 3. パッケージの再パック (*) SSEコンソールおよびSSEランチャーの導入は初回のみ必要です。 無断転用・再利用は禁止致します © 2010 IBM Corporation Compliance (コンプライアンス) 企業が果たすべきコンプライアンス要件 – 法律関連、業界のガイドライン・標準 – 個人情報保護法、日本版SOX法 – 金融庁FISCガイドライン、PCIDSS、ISMS など 一般利用者の期待 「安全・安心」 – 提供した個人情報は適切に管理されている(情報漏洩なんて起こらない) – インターネット上での売買は安心である(まして、金融情報は安全に管理されている) – 企業のWebサイトは安全である(ウィルスに感染するなんて思っていない) – 企業が送ってくるメールは信用できる(変なサイトに誘導なんてされない) ⇒「安全・安心」を担保=コンプライアンス要件の一つ コンプライアンス違反の影響 – 監督省庁からの指導 • 生命保険会社のケース: 金融庁からの業務改善命令 – 情報漏洩に伴う損害(金銭的損失) • 大手証券会社のケース: 1万円/人のお詫び金 ⇒ブランドイメージの低下 20 無断転用・再利用は禁止致します © 2010 IBM Corporation ソリューション紹介 ログ・イベント管理ソリューション TSIEM (Tivoli Security Information and Event Manager) ソリューション TSIEMは、以下のようなログ収集・分析に関する悩みを解決に導きます。 ログファイルが様々プラットフォームやアプリケーションなどに分散していて、後からログ分析を行いにくい。 取得したログはフォーマットもデータ項目も統一されておらず、システム横断的なログの分析・レポート化が難しい。 ログの分析には、各製品に精通したスキルが必要で、問題解決に多大なワークロードが必要であり、迅速な対応が難しい。 内部ユーザー、特に特権ユーザーがポリシー違反や特殊な処理を行った履歴をレポート化できるようにしたい。 TSIEMソリューションとは: Tivoli Security Information and Event Managerは、システム インフラ全体から継続的かつ自動的に収集したログを、管理 者が理解しやすいように分類・標準化し、共通のインター フェースでの表示・分析・レポート化を実現します。 TSIEMの主な機能: ログ収集・保管機能 TSIEMソリューションを導入することにより: ログを収集・集中保管し、レポーティング作業を効率化します。 重要なサーバーやデータベースへのアクセス状況のレポーティン グを効率化し、 「いつ」「誰が」「何をしたか」等の調査を円滑かつ 迅速に行うことを支援します。 あらかじめ設定したポリシーとの比較分析により、ポリシー違反と その重要度が一目瞭然となります。 ログ出力 (各コンポーネント) 様々なイベントソースからログデータを自動収集し、圧縮して保管 します。収集したログを画面から検索したり、ログ収集状況をレ ポート化します。 ログ分析機能 W7メソドロジー(who, what, on what, when, where, where to, where from )によりログフォーマットを標準化することによりシス テム横断的なログ分析を可能にします。ポリシーに基づいて膨大 なログエントリーを評価しセキュリティー・インシデントの早期検 出・調査時の作業を効率化します。 レポーティング機能 ログの分析結果や統計/傾向分析のレポート化が可能です。また、 ISO27001、BaselⅡ、HIPAA、GLBA、SOX、PCI DSS などのコ ンプライアンス管理モジュールを提供できます。 21 サーバー(OS) --------------- データベース --------------- •収集 •正規化 •分析 •レポート 画面表示と ドリルダウン レポート出力 アプリケーション ネットワーク ----------------------------- ログの検索、抽出 TSIEM アラート(警告) 無断転用・再利用は禁止致します © 2010 IBM Corporation Compliance (コンプライアンス) 参考) PCIDSS要件 安全なネットワークの構築と維持 1 データを保護するためにファイア・ウォールを導入し、最適な設定を維持すること システムまたはソフトウェアの出荷時の初期設定値(セキュリティーに関する設定値)をそ 2 のまま利用しないこと カード会員データの保護 3 保存されたデータを安全に保護すること 公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化す 4 ること 脆弱性管理プログラムの整備 5 アンチウイルス・ソフトウェアを利用し、定期的にソフトを更新すること 6 安全性の高いシステムとアプリケーションを開発し、保守すること 強固なアクセス制御手法の導入 7 データアクセスを業務上の必要範囲内に制限すること 8 コンピュータにアクセスする際、利用者毎に識別IDを割り当てること 9 カード会員情報にアクセスする際、物理的なアクセスを制限すること ネットワークの定期的な監視およびテスト 10 ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること 11 セキュリティー・システムおよび管理手順を定期的にテストすること 情報セキュリティーポリシーの整備 12 情報セキュリティーに関するポリシーを整備すること 付録A 共有ホスティング・プロバイダ向けのPCI DSS追加要件 22 無断転用・再利用は禁止致します © 2010 IBM Corporation Cost (コスト) セキュリティ対策のROIを算出するためには、考えられるコスト改善効果を財務 指標として算出することが必要になります。 コスト改善効果の例: 直接的効果:明確または正確な効果であり、すぐ に実現されるもの – IT基盤管理、運用管理、ヘルプデスクのコスト削減 – 従業員の生産性向上 間接的効果:明確でない、または、「柔らかい」効 果であり、実現されるかもしれないもの – セキュリティリスクの低減及び事件発生時のコストの 回避 – コンプライアンスの向上 – ブランドイメージ、競争力の向上または保護 – ビジネス拡大、イノベーションの促進 間接的効果は、直接的効果と比較して長期的効果 をもたらすが、算出が難しい 23 「パスワード管理を簡素化するシングル・ サイン・オンの実現により、ヘルプデスクの 功とを50%削減する。」 「開発サイクルにソースコードに対するセキュリ ティ診断を組み込むことで、アプリケーション開 発期間の30%が短縮される。」 「従業員のデスクトップPCを全て暗号化すること で、情報漏えいを70%削減できる。昨年は情報 漏えいの事後処理に10億円費やした。」 無断転用・再利用は禁止致します © 2010 IBM Corporation コスト改善効果 例 実際にコスト改善効果を算出する場合は、各企業固有のビジネス特性、現在のセキュリティの状況、 セキュリティを差別化要素とする戦略などを考慮する必要があります。 ITコストの削減 生産性向上 セキュリティ違反リスクの 低減 コンプライアンスの実効 性向上 信用の保護・向上 ビジネス拡大の促進 IPSやファイアウォールなどのセキュリティソリューションを24時間7日間で管理するのに必要な要員の 60%以上の削減 複数のアクセス制御または認証システムを一つの基盤に統合し、インフラコスト及び管理コストを50%削 減する 複数のアプリケーションに跨るアカウント管理の時間を80%削減する パスワードリセットのためのヘルプデスクのコストを70%削減する 業務アプリケーションへのログオン・アクセスにかかる時間を一日当たり20分削減する パスワードリセットの回数を、正社員一人当たり一ヶ月に3回削減する アプリケーションセキュリティ確保のための工数を2人月削減する 情報漏えいインシデントの割合を70%減少させる 現在発生している罰金及びペナルティの95%を回避する 顧客情報の紛失に伴うコストを回避する (1件当たり2万円) アプリケーション停止に伴う売上損失のリスクを70%削減する コンプライアンスのための監視・報告プロセスを自動化することで50%の工数削減を行う 監査違反を1年当たり60%削減する 競合他社に勝つために、製品を市場投入するまでの期間を4週間短くする 信用低下のリスクを75%低減する 顧客からの注文処理を自動化する安全なポータルを提供し、1ヶ月3000の新規アカウントを開設する オンラインまたはモバイルのサービス販売のチャネル利用を10%増加させる 数値はあくまでも例示であり、IBMが保証するものではありません 24 無断転用・再利用は禁止致します © 2010 IBM Corporation ID及びアクセス管理サービスにおけるROIの例 前提条件 ヘルプデスクのコスト削減及び従業員の生産性向上を考える 従業員1人当たり年間6回パスワードリセットを行う パスワードリセット1回につき、$25のヘルプデスクコストを要する 従業員はパスワードリセット1回について15分費やす。従業員の平均時間単価は$80 ESSOソリューションの実装費用は1従業員当たり初年度$150 (ソフトウェアライセンス費用、構築 費用、研修、保守費用を含む) – ESSOソリューションの年間保守費用は、初年度以降$90. – – – – – ROI分析 – 従業員1人当たりのパスワードリセットに要する年間費用は、$25 X 6 + $80 x ¼ x 6 = $270. – 回収期間 = 6.67 ヶ月 (= ($150 / $270) X 12 ヶ月) – 初年度のROI = 180% (= $270 / $150) – 次年度以降の年間ROI = 300% (= $270 / $90) 数値はあくまでも例示であり、IBMが保証するものではありません 25 無断転用・再利用は禁止致します © 2010 IBM Corporation エンドポイントのライフサイクルとセキュリティー統合管理 ソリューション紹介 BIGFIX 異機種混在の大量のエンドポイント、デバイスに対して統合された ライフサイクルとセキュリティー管理を提供します。 機能 System Lifecycle Management ソフトウェア配布、アセット管理、各種デバイスのエンドポ イントのライフサイクル管理 Security Configuration & Vulnerability Management デバイスの構成、セキュリティーパッチの配布、異機種 混在のエンドポイントに共通のポリシーでの管理を提供 Endpoint Protection アンチウィルス、Malware対策、Firewallの設定など、外 部からの攻撃に対するデータ保護 特徴 BigFixサーバ アセット情報 パッチ配布、 セキュリティー設定 エンドポイント • 様々なエンドポイントの状態をリアルタイムで統合監視 • 25万台以上のエンドポイントを1台の管理サーバーで管理 • エンドポイントに対して、一つのエージェントで複数の機能を提供 デスクトップ、ラップトップ 26 無断転用・再利用は禁止致します © 2010 IBM Corporation Complexity (複雑性) 不足しているのはルール?手続き?技術? どこが強い?どこが弱い? 10 11 順守 事業継続 管理 9 情報セキュ リティインシ デント管理 8 情報システム 7 の取得,開発 アクセス 及び保守 制御 守られるセキュリティのレベル 保護すべき資産は、どこにある? リスクは、どこにある? どこまで対策ができている? 4 物理的及び 環境的セキュリティ 3 人的資源の セキュリティ 横断的な検討、中長期的な検討は十分か? 5 資産の管理 情報セキュリティ リティ セキュ 織 組織 めの組 のた 外敵だけでなく、内部犯行対策は十分か? セキュリティ 基本方針 2 通信及び 運用の管理 6 1 ISO27000のアセスメント 体系的・網羅的な枠組みが必要 機密データ 機密データ 重要サービス 27 重要サービス 無断転用・再利用は禁止致します © 2010 IBM Corporation ソリューション紹介 セキュリティー・コンサルティング・サービス IBMのアセスメントアプローチ IBMのアセスメントアプローチ 技術面からのアセスメント 情報システムへの情報流出対策として実装 されている仕組み、機能をチェックするにより 技術面の問題点を抽出する。 現実を把握し、 管理面からのアセスメント 自社の情報セキュリティー・レベルを理解する。 資料・現地調査やインタビューにより情報シ 原因を分析し、解決の方向性、 ステム管理に関する規程整備状況や遵守 優先順位を導く。 状況、意識などの問題点を抽出する 実装技術 セキュリティパッチ適用状況 パスワード品質、ID登録状況 技術的面での問題有無 利用者・管理者のセキュリティー意識 規程整備状況、ルール遵守状況 管理プロセス上の問題有無 組織・人的・物理的面の問題有無 マネジメント テクノロジー 9 技術面からの 9 管理面からの アセスメント アセスメント 情報システム/セキュリティを支える二本の柱 2.情報セキュリティ 1.情報セキュリティ 基本方針 情報セキュリティに関する マネジメントの方針を示し、 責任を表明する 8 重大な過失や災害などの 影響に対応して重要なビジ ネスプロセスの継続を図る 計画を用意する 5 物理的及び 環境的セキュリティ 10.事業継続 管理 4 11.順守 情報セキュリティ方針や標 準に対する遵守状況を確 認し、規則違反や義務不 履行、法律上の犯罪など を防ぐ 7 アクセス 制御 6 通信及び 運用の管理 情報セキュリティに関する事 故・事象に対して、連絡や対 応、是正措置などの手順を 整備する 人的資源の セキュリティ 7.アクセス 制御 重要情報資産に対する アクセスを管理する 資産の管理 28 9 情報セキュリティ 2 9.情報セキュリティ 3 インシデント管理 情報セキュリティ のための組織 セキュリティ 基本方針 コンピュータやネットワーク資 源が安全な方法で管理運 用されていることを確認する 4.人的資源 のセキュリティ 情報セキュリティの責任 を定義し、権限分離を 実施した上で、ユーザ 教育を実施する 10 情報システム のための組織 情報セキュリティの役割の配置 5.物理的及び 11 事業継続 インシデント の取得,開発 や、組織をまたがる情報セキュリ 環境的セキュリティ 管理 ティの実現の調整における管理 管理 及び保守 順守 物理的な保護エリアの管理 の枠組を示す 8.情報システムの や、情報システムに対する 3.資産の管理 取得、開発及び保守 管理等を実施する 守られるセキュリティのレベル 情報資産を重要度に応じて システムに、適切な情報 分類し、適切な機密保護を セキュリティ機能を組み込 6.通信及び 1 確立し、維持する み、安全に維持管理する 運用の管理 無断転用・再利用は禁止致します © 2010 IBM Corporation IBMセキュリティー・フレームワーク 29 無断転用・再利用は禁止致します © 2010 IBM Corporation IBMセキュリティー・フレームワーク IBM セキュリティー・フレームワーク ふさわしい人物が、適切な資産、適切な時間にア ふさわしい人物が、適切な資産、適切な時間にア クセスすることを保証する。 クセスすることを保証する。 セキュリティー・ガバナンス リスク・マネジメント 、 コンプライアンス 重要データの移動、保管のライフサイクルにおけ 重要データの移動、保管のライフサイクルにおけ る保護 る保護 人とアイデンティティー 人とアイデンティティー データ・情報 データ・情報 アプリケーション・プロセス アプリケーション・プロセス ネットワーク・サーバー・エンドポイント ネットワーク・サーバー・エンドポイント アプリケーションとビジネス・サービスのセキュリ アプリケーションとビジネス・サービスのセキュリ ティーを確証する ティーを確証する システム・インフラストラクチャーに対して、脅威に システム・インフラストラクチャーに対して、脅威に 先んじて対策しておく。 先んじて対策しておく。 物理インフラストラクチャー 物理インフラストラクチャー 共通ポリシー・イベント対応・レポーティング プロフェッショナル サービス 30 マネージド サービス 物理的な空間にて、人や物に起きるイベントを保 物理的な空間にて、人や物に起きるイベントを保 証する為に、増強するデジタル制御を活用する。 証する為に、増強するデジタル制御を活用する。 ハードウェア ソフトウェア 無断転用・再利用は禁止致します © 2010 IBM Corporation 参考:IBMセキュリティー・フレームワークにおけるソリューション IBM セキュリティー・ガバナンス/リスク・マネジメント/コンプライアンス・サービス、PCI DSS総合支援サービス セキュリティーエリア ID・権限管理、 セキュリティー ポリシー管理、 セキュリティー 教育 Tivoli Identity Manager Tivoli Access Manager for e-business IBM Tivoli Access Manager for Enterprise Single Sign-On Tivoli Federated Identity Manager IBM Tivoli Access Manager for Operating Systems IBM WebSphere Datapower IBM ISS Identity and Access Management Services - Total Authentication Solution IBM Education Service データ・情報 コンテンツ・セ キュリティー、暗 号化、ログ管理、 アクセス制御 IBM Fidelis XPS IBM クライアント・セキュリティー・ソリューション IBM Proventia Network Mail Security IBM Optim IBM InfoSphere Guardium Tivoli Key Lifecycle Manager IBM InfoSphere eDiscovery Manager IBM Security Server Protection Tivoli Security Information and Event Manager IBM Eメール・セキュリティー管理サービス IBM WebSphere DataPower アプリケーション・ プロセス アクセス制御、 脆弱性監査、ポ リシー管理 IBM Webセキュリティー診断サービス IBM Rational AppScan IBM WebSphere Datapower Tivoli Security Policy Manager Tivoli Access Manager for e-business ネットワーク・ サーバー・ エンドポイント アクセス制御、 不正侵入防御、 ウィルス対策、 脆弱性監査 IBM Proventia Network Enterprise Scanner IBM Security Network IPS IBM Security Network Intrusion Prevention System 仮想アプライアンス IBM Desktop Endpoint Security IBM Security Virtual Server Protection for VMware IBM Proventia Network Multi-Function Security Tivoli Access Manager for Operating Systems IBM インフラ・セキュリティー診断サービス 物理インフラ ストラクチャー 入退室管理、ビ デオ監視 IBM IB-ACCESS IBM IB-CCTV IBM Managed Security Services IBM Smart Surveillance Solution 人と アイデンティティー 31 IBM ソリューション例 対策 無断転用・再利用は禁止致します © 2010 IBM Corporation IBM が "Best security company" を受賞! Best security company Winner: IBM www.ibm.com/security セキュアな企業インフラを支援、50年業界のリーダー IBM has been an industry leader for nearly 50 years, helping CxOs and IT professionals secure their corporate infrastructures with solutions that go beyond just collections of niche products. IBM's customers rely on the planet's most secure databases, applications, operating systems, storage and servers. IBM offers comprehensive security solutions and services addressing compliance, applications, data, identity and access management, networks, threat prevention, systems security, email, encryption, virtualization and cloud security. IBMのセキュリティー・ポートフォリオをベースとした、IBM Through an end-to-end approach to security across people and identity, data, applications, infrastructure, compliance and the physical セキュリティー・ケーパビリティーは業界トップ infrastructure, IBM's security capabilities are among the top in the industry. With multiple leadership awards in market presence and technology innovation, IBM is able to offer more than 120 security products and the experience of over 15,000 researchers, developers and SMEs focused on security initiatives. 120以上のセキュリティー製品と15,000人以上のセキュリ ティー研究者及び開発者 IBM clients gain the benefit of integrated, security solutions that reduce the cost and complexity of managing security solutions from multiple vendors. IBM's world-class security support services provide the technical and operational expertise needed to maximize security investment. By providing a global network of support centers to assist customers worldwide, often in their native language, IBM partners with its customers around the clock to solve any implementation and technical issues. 殆どのセキュリティー・エリアに対する包括的なソリューショ ンとサービスを提供 This support is available regardless of client location or implementation method of hardware, software and/or managed security services. IBM provides a variety of support levels – from self-help to tiered levels – enabling customers to choose the one that best meets their needs. IBM is recognized for its outstanding customer support and consistently high customer satisfaction. The company has staked a firm claim in the security marketplace and emerged as a market leader capable of meeting any global organization's security needs through an integrated, diverse and flexible portfolio of products and services across key industries. ワールド・ワイドのセキュリティー・サポート・サービス With a strong, deep and broad security portfolio, IBM is in a strong position, able to leverage its considerable assets and reputation and provide innovative technologies and intellectual property that address both today's vulnerabilities and newly emerging threats. 32 無断転用・再利用は禁止致します © 2010 IBM Corporation © IBM Corporation 2010. All Rights Reserved. ワークショップ、セッション、および資料は、IBMまたはセッション発表者によって準備され、それぞれ独自の見解を反映したものです。それらは情報提供の目的 のみで提供されており、いかなる参加者に対しても法律的またはその他の指導や助言を意図したものではなく、またそのような結果を生むものでもありません。 本プレゼンテーションに含まれている情報については、完全性と正確性を帰するよう努力しましたが、「現状のまま」提供され、明示または暗示にかかわらずい かなる保証も伴わないものとします。本プレゼンテーションまたはその他の資料の使用によって、あるいはその他の関連によって、いかなる損害が生じた場合も、 IBMは責任を負わないものとします。 本プレゼンテーションに含まれている内容は、IBMまたはそのサプライヤーやライセンス交付者からいかなる保証または 表明を引きだすことを意図したものでも、IBMソフトウェアの使用を規定する適用ライセンス契約の条項を変更することを意図したものでもなく、またそのような 結果を生むものでもありません。 本プレゼンテーションでIBM製品、プログラム、またはサービスに言及していても、IBMが営業活動を行っているすべての国でそれらが使用可能であることを暗 示するものではありません。本プレゼンテーションで言及している製品リリース日付や製品機能は、市場機会またはその他の要因に基づいてIBM独自の決定 権をもっていつでも変更できるものとし、いかなる方法においても将来の製品または機能が使用可能になると確約することを意図したものではありません。本資 料に含まれている内容は、参加者が開始する活動によって特定の販売、売上高の向上、またはその他の結果が生じると述べる、または暗示することを意図し たものでも、またそのような結果を生むものでもありません。 パフォーマンスは、管理された環境において標準的なIBMベンチマークを使用した測定と予測に基づいています。ユーザーが経験する実際のスループットやパ フォーマンスは、ユーザーのジョブ・ストリームにおけるマルチプログラミングの量、入出力構成、ストレージ構成、および処理されるワークロードなどの考慮事 項を含む、数多くの要因に応じて変化します。したがって、個々のユーザーがここで述べられているものと同様の結果を得られると確約するものではありません。 記述されているすべてのお客様事例は、それらのお客様がどのようにIBM製品を使用したか、またそれらのお客様が達成した結果の実例として示されたもので す。実際の環境コストおよびパフォーマンス特性は、お客様ごとに異なる場合があります。 IBM、IBM ロゴ、 ibm.com、Tivoliおよび AIX、DB2、Domino、LotusNotes、Notes、System Z、z/OSは、世界の多くの国で登録されたInternational Business Machines Corp.の商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。 現時点での IBM の商標リストについては、http://www.ibm.com/legal/copytrade.shtmlをご覧ください。 Windows, Windows NT および Windowsロゴは Microsoft Corporationの米国およびその他の国における商標です。 Linuxは、Linus Torvaldsの米国およびその他の国における登録商標です。 UNIXはThe Open Groupの米国およびその他の国における登録商標です。 他の会社名、製品名およびサービス名等はそれぞれ各社の商標。 33 無断転用・再利用は禁止致します © 2010 IBM Corporation