ITセキュリティセンター 役員一覧を更新しました。 http://www.itsc.or.jp/ コラムを掲載しました。 http://www.itsc.or.jp/topics/ 標的型サイバー攻撃」を掲載しました。]]> 標的型サイバー攻撃 http://www.itsc.or.jp/   2011年8月に経済産業省から「サイバーセキュリティと経済研究会報告書 中間とりまとめ」(以下「報告書」)が公表されました。情報技術の多様化と利用形態の進展に伴い情報資産だけでなく物的な経済資産の保護が重要な課題になっています。また最近のサイバー攻撃も顕著になり情報セキュリティを取り巻く環境が変化しています。このため幅広い関係者から成るサイバーセキュリティと経済研究会を発足させたもので、報告書はその中間とりまとめです。

  ここでの検討事項は大別して、脅威の深刻さが増している「標的型サイバー攻撃」、外部ネットワークとの接続により脅威が現実化した「制御システムのセキュリティ」、及び企業の経営層の情報セキュリティに対する関心を高める見地から「情報セキュリティ人材の育成」の3テーマであり、それぞれについて新しい政策を提示しています。報告書ではそのほかに、情報システムのセキュリティ対策の一斉的な向上を図るために2011年4月に「ITセキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」(以下「認証製品分野リスト」)を公表した事や同制度に基づくプロテクションプロファイルの整備についても触れています。以下では報告書から最近事例が多くなっている標的型サイバー攻撃についてご紹介しますが、OSやファイアウォール等の情報システムの基盤となる製品については「認証製品分野リスト」に記載されているCC認証製品を採用する事がサイバー攻撃に対抗するための必須条件になります。

  これまでの不正プログラムによる攻撃は自己顕示等の目的による不特定多数ユーザーに対する攻撃が多かったのですが、数年前から特定目標に対して行われる標的型サイバー攻撃が認識され始めました。標的型サイバー攻撃の特徴は以下のとおりです。

A) 攻撃対象と業務上関係のある組織等を装ってメールを送信し、添付ファイルに情報を窃取するプログラムを埋め込む手法を用いています。これはメールの件名等に時事ネタや守秘情報であることなどの関心を抱かせる事項を記載したり送信元を信頼性のある実在の組織としたりするもので、図1のように官公庁や独立行政法人を装った送信元が目立ちます。また、図2のように添付されたウイルスを正常なファイルに見せかけたり、図3のようにAdobe Reader等のソフトウエアの脆弱性を利用したりする方法が使われています。

詐称された送信元

図1 詐称された送信元メールアドレスの主体の属性(2008年4月から2011年6月にIPAに届けられたもの)(出所「サイバーセキュリティと経済研究会報告書 中間とりまとめ」)

標的型メール

図2 標的型メールで使われた添付ファイルの種別(2008年4月から2011年6月にIPAに届けられたもの)(出所「サイバーセキュリティと経済研究会報告書 中間とりまとめ」)

標的型攻撃

図3 標的型攻撃に悪用された脆弱性があったソフトウエア(2008年4月から2011年6月にIPAに届けられたもの)(出所「サイバーセキュリティと経済研究会報告書 中間とりまとめ」)

B) 攻撃者が攻撃対象のIT システム中の脆弱性を直接突くことにより、内部システムに侵入する手法を用いる場合もあります。標的型サイバー攻撃の特徴は少数の標的に対して攻撃を行うことが多いので攻撃方法の情報共有が難しく、不正プログラムの検知・防止が遅れる場合があるためこのような攻撃が有効になります。

C) 攻撃者は機密情報が格納されているサーバの特定や当該サーバの管理者権限の奪取を試行します。裏の侵入経路(バックドア)をダウンロードして管理者権限を取得します。

D) 攻撃者は情報窃取に成功した後にログ等の攻撃の痕跡を消去します。

  なお、上記の説明は「標的型サイバー攻撃の事例分析と対策レポート」(情報処理推進機構)を参考にして補足してあります。また標的型サイバー攻撃の詳細な事項については<参照>にあげた資料をご覧ください。

  個々のユーザーによる標的型サイバー攻撃の防止・軽減対策としては、不正プログラムに特徴的な振る舞いを監視し検出する機能を持つ対策ソフトを用いる対策、不正プログラムに感染したとしても不正プログラムが行う外部通信を阻止する事により被害を軽減する対策、重要情報の分散管理や暗号化等の管理面での対策が検討されています。

  標的型サイバー攻撃は文書作成・閲覧ソフト等の汎用ソフトウエアの脆弱性を利用している事や攻撃方法が公知にならない範囲で使いまわされている事を糸口にして、被害情報を共有する事による防止対策が検討されています。ユーザーとベンダーが情報共有する事によって、公知ではない攻撃方法を素早く知ることにより他の攻撃を防ぐ可能性が高くなるし、標的型サイバー攻撃の分析能力が向上する事が期待できるためです。ただし、情報共有に関しては機微な情報を共有する事の困難さや、標的型サイバー攻撃を受けたことを開示する困難さ、情報共有によるメリットが明確ではない事等の困難さが予想されます。そこで情報共有に関する課題を整理してその方向性として、公的機関が支援する形で、情報セキュリティ企業、ITユーザー企業、が参加して情報共有を試行するパイロットプロジェクトを実施して情報共有の有効性の検証、ルール整備、コスト精査等を行うことを提言しています(図4参照)。

  これをうけて「早期警戒のための情報共有による攻撃の検知と回避」及び「標的型サイバー攻撃の実体調査と共有情報による早期対策の推進」を目的とした「サイバー情報共有イニシアティブ(J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan)」が発足しています。

パートナーシップ

図4 パートナーシップの構成要素(出所「サイバーセキュリティと経済研究会報告書 中間とりまとめ」)

≪参照≫

経済産業省

情報処理推進機構

]]> コラムを掲載しました http://www.itsc.or.jp/topics/ 北米暗号試験の認証製品」を掲載しました。]]> 北米暗号試験の認証製品 http://www.itsc.or.jp/   ITSCは米国とカナダが共同実施している暗号モジュール/暗号アルゴリズム検証プログラム(CMVP/CAVP)の試験機関として暗号モジュール/暗号アルゴリズム試験を実施しています。また、日本の暗号モジュール試験及び認証制度(JCMVP)の暗号モジュール試験機関にも認定されています。ここでは2011年末までのCMVP/CAVPの認証状況についてまとめました。なお以下の図はいずれもCMVP/CAVPで公開している認証済リストを基にしてITSCが作図しました。

  図1に示すように暗号モジュール認証件数は毎年急激に増加しています。2009年はやや減少しましたが2010年には230件程度に達しています。2011年は減少していますが、後で示すように暗号モジュール試験の前提となる暗号アルゴリズム試験の認証件数が2011年に急増しているので2012年には暗号モジュール試験の認証件数が増加することが予想されます。認証件数は累計では1650件を超えています。

暗号モジュール認証件数(CMVP)

図1 暗号モジュール認証件数(CMVP)

  暗号モジュール試験は4つのモジュールタイプがありますが、認証件数累計ではハードウエア68%、ソフトウエア29%、ファームウエア3%、ハイブリッド0.3%となっています。図2と図3にハードウエアとソフトウエアの暗号モジュール認証件数を示します。ソフトウエア、ハードウエアとも多少の増減がありますが毎年増大しています。暗号モジュール試験は試験の内容によってlevel1からlevel4に分類されていますが、ソフトウエアはlevel1が多く全体の約88%になります。ハードウエアはlevel2が全体の約59%、level3が約27%となっています。

ソフトウエアの暗号モジュール認証件数(CMVP)

図2 ソフトウエアの暗号モジュール認証件数(CMVP)

ハードウエアの暗号モジュール認証件数(CMVP)

図3 ハードウエアの暗号モジュール認証件数(CMVP)

  図4に申請者の国別の暗号モジュール認証件数を示しますが、米国企業の認証件数が最多で約82%、カナダ企業の認証件数が約6%となっています。米国とカナダはCMVP/CAVPを共同運営しているので合わせて約87%と大半を占めています。その他の国ではフランス、イスラエルなどが続いていて合計でおよそ13%となっています。日本企業の申請件数は累計20件弱で全体の約1%です。

申請者の国別の暗号モジュール認証件数(CMVP)

図4 申請者の国別の暗号モジュール認証件数(CMVP)

  図5に申請者別の暗号モジュール認証件数を示しますが(企業名は略称、以下同様)、20件以上認証取得した企業は13社ありこれらの認証総計は全体の約40%となっています。このうちSafeNet、Cisco、nCipherは100件程度の認証件数になっています。申請企業の総数は360社以上ですので、少数の企業が多くの認証を取得している一方で多数の企業がこの制度で認証を得ていることになります。

申請者別の暗号モジュール認証件数(CMVP)

図5 申請者別の暗号モジュール認証件数(CMVP)

  暗号アルゴリズム試験は暗号モジュールに含まれる暗号アルゴリズムの機能を試験するものです。一つの暗号モジュールには複数の暗号アルゴリズムが含まれることが多いので暗号アルゴリズム認証件数は暗号モジュール認証件数の数倍になります。図6に示すように暗号アルゴリズム認証件数は毎年増大しており、ここ数年では毎年1000件以上になり2011年は1900件近くになっています。累計では9400件を超えています。図7に2011年の暗号アルゴリズム別のCAVP認証件数割合を示しますが、多い方からAES、SHS、HMAC、RSA、TripleDES、RNG、DSA、DRBG、ECDSA、KASの順になっています。

暗号アルゴリズム認証件数(CAVP)

図6 暗号アルゴリズム認証件数(CAVP)

暗号アルゴリズム認証件数割合(CAVP)

図7 2011年のセキュリティ機能別の暗号アルゴリズム認証件数割合(CAVP)

≪参照≫

関連サイト

ITSCの解説とパンフレット

ITSCコラム

]]> 情報基盤強化税制の利用状況 http://www.itsc.or.jp/   経済産業省では税制上の優遇措置を利用する事によるIT投資の促進を行っています。表1に示すようにこの優遇税制は現在までにいくつかの形態を経ており(表1の税制を総称して、以下「情報基盤強化税制」と呼ぶ)、平成18年からの特徴は“情報セキュリティの確保のためにISO/IEC15408に基づいて評価・認証されたOS等及び関連するサーバ等が対象”となったことです。平成22年度からは中小企業を対象とした制度になっています。ITSCはITセキュリティ評価及び認証制度において上記対象製品を評価する評価機関ですので、情報基盤の強化とともにCC認証製品の普及によるITセキュリティの向上を期待するものです。

  情報基盤強化税制は対象となる企業が個別に減税申告をするものなので、この税制による情報基盤整備状況と減税対象CC認証製品の普及度は把握しにくい面がありますが、平成23年10月に経済産業省から公表された「平成22年情報処理実態調査報告書」(以下「実態調査報告書」と呼ぶ)の中に情報基盤強化税制に関する調査結果が記載されており、普及の概要を知ることができます。

表1 情報基盤強化税制に関する変遷

1.IT投資促進税制:平成15年1月1日~平成18年3月31日
1)大企業を含めすべての企業・業種が対象。
2)ソフトウエア(初めて対象となった)とハードウエアが対象

2.産業競争力のための情報基盤強化税制:平成18年4月1日~平成22年3月31日
1)情報セキュリティの確保のためにISO/IEC15408に基づいて評価・認証されたOS等及び関連するサーバ等が対象
2)全ての企業が対象

3.産業競争力のための中小企業情報基盤強化税制:平成22年4月1日~平成24年3月31日
1)情報セキュリティの確保のためにISO/IEC15408に基づいて評価・認証されたOS等及び関連するサーバ等が対象
2)資本金1億円以下の中小企業が対象

  実態調査報告書は平成21年度の実績ですので表1の「2.2)全ての企業が対象」となる調査結果です。調査に回答した企業4,599社のうち情報基盤強化税制を利用した企業は157社となっています。図1に資本金別の利用額と利用した企業数、図2に1社当たりの資本金別の利用額を示します。ここで利用額とは減税方法の選択により控除、繰越、特別償却を含めた合計額になっています。情報基盤強化税制全体の利用金額ではありませんが、調査結果の利用総額は108億3300万円になっています。このうち資本金100億円以上の企業の利用実績は77億2300万円であり、利用総額の71%となっていてこの調査では大企業の利用が多かったことがわかります。1社当たりの利用額では資本金100億円以上の大企業ではおよそ1億4000万円になっていますが、資本金5億円以下の企業でも1社当たり数百万円の利用がありIT投資の中ではそれなりの効果があったものと推測されます。

税制の利用額(合計)

図1 情報基盤強化税制の利用額(合計)(経済産業省「平成22年情報処理実態調査」データを用いてITSCが作成) 

税制の利用額(1社)

図2 情報基盤強化税制の利用額(1社当たり) (経済産業省「平成22年情報処理実態調査」データを用いてITSCが作成)

  図3は情報基盤強化税制の利用によるIT投資の増加を調べたもので、“情報基盤強化税制は、貴社のIT投資をどの程度増加させた(または今後増加させる)と思いますか?”という調査設問に対する回答結果です。0~5%とあまり利用していないと回答した企業が78%と大半を占めていますが、10%程度以上の利用があった企業が10%ほどあります。また、図4は情報基盤強化税制がIT投資活動に与える影響を調査したもので、“情報基盤強化税制の利用により、貴社の投資活動にはどのような影響が出たと思いますか?(複数回答可)”という調査設問に対する回答結果です。図4に記載されているように「戦略的IT投資」、「IT投資の進捗を早める」、「高機能なシステム導入」を合計して約34%の企業が減税された資金をITに投資したと回答していますので、情報基盤整備は一定の効果をあげていると推測できます。

このように情報基盤強化税制により情報基盤整備は進んでいると考えられますが、セキュリティ対策の普及についてはここでは明確な結果は得られていないようです。情報基盤整備とともにITセキュリティの基盤であるCC認証製品の普及が望まれるところです。

IT投資効果_EAL

図3 情報基盤強化税制によるIT投資拡大効果の大きさ(経済産業省「平成22年情報処理実態調査」データを用いてITSCが作成)

IT投資活動_EAL

図4 情報基盤強化税制がIT投資活動に与える影響(経済産業省「平成22年情報処理実態調査」データを用いてITSCが作成)

≪参照≫

経済産業省

国税庁

情報処理推進機構

]]> コラムを掲載しました http://www.itsc.or.jp/topics/ 情報基盤強化税制の利用状況」を掲載しました。]]> コラムを掲載しました http://www.itsc.or.jp/topics/ 韓国の認証製品の集計(2011年)」を掲載しました。]]> 韓国のCC認証製品の集計(2011年) http://www.itsc.or.jp/   韓国のITセキュリティ評価認証制度の認証製品リストは韓国評価認証制度(Korea Evaluation and Certification Scheme:KECS)を管理しているITセキュリティ認証センター(IT Security Certification Center:ITSCC)のホームページで閲覧できます。ここでは2011年12月時点でのITセキュリティ認証センターのホームページで公開されている2011年12月までの認証製品についてご紹介します。

  認証件数は2011年12月現在で累計51件です。図1のように2005年以来毎年ほぼ10件程度の認証がありますが2009年と2011年は少なくなっています。PP(Protection Profile)の認証件数が累計36件に達しており、日本でのPP認証件数が2件であるのと対照的です。PPはAnti-spam、Biometrics、ePassport、FW、IDS、IPS等々多岐にわたっています。PP適合の認証案件数も累計9件になっていますが、このうち韓国で認証されたPPによる適合認証は7件です。

韓国認証件数_EAL

図1 韓国の認証件数

  図2に製品種別ごとの認証件数を示しますが、IPS、MFP、e-Passport等が目立ちます。日本で認証件数が多いMFP(韓国の分類ではDigital Multifunction PrinterおよびMultifunction Printer)は9件ありますがこのうち8件は2010年にSamsungが取得したものです。IPSはLG、NOWCOMなど6社が、e-Passport はLG、Samsungなど4社が取得しています。

韓国認証件数_製品種別

図2 製品種別ごとの認証件数

  図3に申請者別の認証件数を示します。14企業が認証を取得していますが、Samsungが最多で17件です。SamsungはDigital Multifunction Printerを始めとしてスマートカードやファイアウォール等様々な製品で認証を取得しています。

韓国認証件数_申請者

図3 申請者別の認証件数

≪参照≫

IT Security Certification Center(ITSCC)

]]> 時評に記事を寄稿 http://www.itsc.or.jp/ 「時評」に記事を寄稿しました。]]>