E N D
事例でみる最新のWebサイト安全対策~ 改ざん・不正アクセスの脅威から顧客を守れ ~ 株式会社セキュアブレイン 執行役員 マーケティングディレクター 中田 太 サイバネットシステム株式会社 IT事業部 営業部 グループマネージャー 三浦 正裕
本日のアジェンダ • 企業にとってのセキュリティ危機 • 企業Webサイトを取り巻く状況 • 脅威の手口、最新情報 • フィッシング・不正アクセス・情報盗難・Web改ざん • Webを攻撃された際の被害について • ソリューション紹介 • Web改ざんの早期発見サービス gred • 製品概要 • 導入事例 • 携帯電話を利用した認証サービス PhoneFactor • 製品概要 • 導入事例 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
サイバネットシステム株式会社 所在地 : 東京都千代田区 設立 : 1985年4月 資本金 : 9億9,500万円 東京証券取引所第一部上場 事業内容 ホストアクセス・ネットワークセキュリティ、 クライアント・セキュリティ、IT資産管理、 PC業務・パフォーマンス改善等のソフトウエ ア・サービスの販売および制御設計、構造 解析、光学設計、照明解析、電子回路設計 、熱流体解析、機構解析、音響解析、ナノデ バイス設計、生命工学解析、プリ・ポスト処 理、数式処 理、公差解析、シミュレーション 言語、汎用可視化処理、医療画像処理等、 多岐にわたるCAEソフトウエア、イノベーショ ン支援ソフトウェアの販売 講演会社のご紹介 株式会社 セキュアブレイン 所在地 : 東京都千代田区 設立 : 2004年10月 資本金 : 2億1,620万円 事業内容 セキュリティソフトウェアの開発・販売 主力製品 SaaS型セキュリティサービス:gred Security Service フィッシング詐欺対策ソリューション:PhishWall オンライン詐欺対策ソフトウェア:Internet SagiWall マルウェア自動解析システム:Zero Hour Response System ボット検出システム セキュリティコンサルティングサービス 新しいセキュリティ脅威に関する委託研究(官公庁を中心に展開) 不正プログラム解析技術者研修 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
企業にとってのセキュリティ危機 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
企業Webサイトを取り巻く状況 個人情報 閲覧・個人情報 不正アクセス ユーザ・顧客 ID・パスワード 機密情報 閲覧・感染 個人情報 パスワード クラッキング Webサイト 閲覧。感染 改ざん フィッシングサイト Webサーバ 悪質なWebサーバ 不正アクセス改ざん Webサーバ © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
ID・パスワード認証の危険性 不正アクセスの構図 • 盗んだID・パスワードを悪用して、企業のウェブサイトに別の企業のフィッシングサイトを構築 閲覧・個人情報 ユーザ・顧客 ② ⑤ 閲覧・感染 個人情報 Webサーバ ④ フィッシングサイト ⑥ ① 改ざん・ウイルス 個人情報 ID・パスワード ③ © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
フィッシング・不正アクセスのニュース • 2010/9/1 :アマゾンの利用者を狙ったフィッシング • 2010/8/31 :PlayOnLineを騙るフィッシング • 2010/8/27 :GREEを騙るフィッシング • 2010/8/25 :フィッシングの個人情報偽造パスポート -闇市場で販売 • 2010/8/24 :SNSオンライン詐欺が拡大の兆し • 2010/8/19 :電子渡航認証(ESTA)に詐欺サイト • 2010/8/19 :オンラインサポートを装うフィッシング詐欺 • 2010/8/11 :MasterCardを騙るフィッシング • 2010/8/6 :しごとネット(兵庫県)不正アクセス © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
サイバー犯罪の検挙状況 • フィッシングが関連する「ネットワーク利用犯罪」は昨年の同時期より増加 • フィッシングサイトの出現に規則性は無い。 • URLが多いということは、仕掛ける側の活動が活発化しているということ。 ※平成22年9月フィッシング対策協議会 ※平成22年9月警察庁 広報資料 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
改ざん - 企業ウェブサイト被害”負の連鎖” フィッシングサイトの作成 ウェブ改ざん”Gumblar” 二次被害・予測困難 一次被害者:企業 二次被害者:顧客 ウェブ改ざん被害長期化 改ざんコードを削除・修正 同様の手口で再び改ざん 新たな情報搾取 三次被害者:信用を失った企業 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
1月のニュースでは大変な騒ぎだったけど・・・1月のニュースでは大変な騒ぎだったけど・・・ 最近ニュースが少ない気がする。 改ざんされたという被害も聞かない。 被害は沈静化に向かっているのでは? いいえ、被害は拡大しています。 2010年6月 2010年1月~2月の1.5倍の検知数 2010年1月~2月の検知数 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
いまだ減らない改ざん報告の一例 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
Webを攻撃された際の被害について 被害コストは? • 算出困難 • 被害個所特定 • 被害規模の特定 • 修復にかかる時間 • 修復の為の人員 • システムの再構築 • 環境の修復 • 業務停止に関わる補てん • お詫び(レター、ウェブ) • 取引停止 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
ソリューション紹介ウェブ改ざん対策、フィッシング/不正アクセス対策ソリューション紹介ウェブ改ざん対策、フィッシング/不正アクセス対策
Web改ざんの早期発見サービス gred Security Service • 御社ウェブサイトの安全性を常に監視します • 4回~24回/1日、ウェブが改ざんされていないかをチェックします • 改ざんを検知すると、そのページを瞬時に安全なページに差し替えます • クロスドメインの検知 • gred証明書 • SaaS型サービス、24時間/365日安全を監視します © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
gred Security Service メリットと実績 • 1,500社以上の導入実績:金融機関11社で導入実績あり • ホスティングおよびレンタルサーバ事業社(7社)でメニュー化の実績 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
gred Security Service 導入事例 【お客様の課題】 • セキュリティの最新動向が掴みきれない • 無差別な攻撃、攻撃手法の変化、急激な被害の拡大 • 企業サイトのがターゲットに • 多数の異なるドメインとのリンク • 導入・運用管理コストの増大 • 「100%改ざんされない!」とは言い切れない © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
gred Security Service導入事例 クレジットカード会社 – ウェブ改ざん対策 自社サイト内 自社のウェブサイトを閲覧する顧客の安全性向上が目的 クロスドメイン 検知機能で監視 異なるドメインへのリンク © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
導入時のポイント • セキュリティの最新動向への迅速な対応 • 攻撃の進化、無差別化により防ぎきれない • 防ぐ+いち早く検知する = より安全な防御 • 他の製品(アプライアンス等)も検討したが、コストが高い • SaaS型 • 導入コスト・人的コスト・運用コストの抑制 • ウェブサイトへの負荷を最小限に • ベンダーに対しての信頼感(サポート・開発力・情報) © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
より安全なWebの運営の為に フィッシング詐欺 不正アクセス パスワードクラック Webサーバ 不正な改ざん © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
フィッシング / 不正アクセス対策 認証ソリューション PhoneFactor (フォンファクター) PhoneFactorによる認証の流れ Webサービス認証時にかかってくる電話に応答するだけで認証完了 21 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
フィッシング / 不正アクセス対策 認証ソリューション PhoneFactor (フォンファクター) デモンストレーションをご覧ください 22 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
フィッシング / 不正アクセス対策 認証ソリューション PhoneFactor (フォンファクター) • 携帯電話(固定電話)を利用する認証サービス • 多要素認証 • 「ユーザIDとパスワード」に加え携帯電話で本人確認 • 二経路認証 • ユーザID・パスワードの送信はインターネット経由 • 本人確認は電話網経由 • すべての電話が利用可能 • 携帯電話・iPhone・スマートフォン・固定電話 • 携帯メール・ブラウザではないので操作が簡単 23 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
フィッシング / 不正アクセス対策 認証ソリューション PhoneFactor (フォンファクター) • なぜフィッシング / 不正アクセスに有効なのか? • 多要素認証 • 二つ以上の異なる要素を使って本人確認を行い、セキュリティレベルを高める 24 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
フィッシング / 不正アクセス対策 認証ソリューション PhoneFactor (フォンファクター) • なぜフィッシング / 不正アクセスに有効なのか? • 二経路認証 • ID・パスワードの送信経路と異なる経路(=電話網)を利用して本人確認を行う 25 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
フィッシング / 不正アクセス対策 認証ソリューション PhoneFactor (フォンファクター) • なぜフィッシング / 不正アクセスに有効なのか? • 偽のオンラインサービスにユーザIDと暗証を入力 • 利用していたショッピングサイトからIDとパスワードが流出 • PCがウィルスに感染してしまいIDとパスワードが漏えい • ID・パスワードの盗み見 • 認証用の携帯電話を紛失 • 多要素 + 二経路 = PhoneFactor 26 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
PhoneFactor特長 • 電話を利用することによる特長 • トークンやICカードなど認証デバイス不要 • 携帯電話・固定電話に対応 • グローバル対応 • 声紋認証にも対応 • ユーザ教育不要 • 自動ロールオーバー • ワンタイムバイパス • クラウドベースサービスによる特長 • 認証サーバ設置不要 • サービスレベル99.97%以上 • SAS70 Type1に準拠 27 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
PhoneFactor導入事例 • 米国のオンライン銀行 • サービス利用時の本人確認手段としてPhoneFactorを採用 • 不正アクセスのフラウドアラート機能を活用し、リスク判定システムとの連携やアカウントロックなど顧客保護のシステムを実現 • 米国のネット広告投稿サービス • 広告投稿利用時の本人確認手段としてPhoneFactorを採用 • Phishingにつながる広告や偽広告投稿からユーザを保護するために、PhoneFactorを採用 28 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
PhoneFactor適用例 • Webサービス • Web開発環境に応じたSDKを用意 • 認証以外に本人確認用途にも • Citrix Xen Desktop • Citrix Access Gatewayに対応 • iPad / スマートフォン • iPadの認証強化に • 各種シンクライアント / VDI環境 • リモートアクセスVPN
PhoneFactor社紹介 • 名 称:PhoneFactor Inc. (http://www.phonefactor.com/) • 本 社:米国カンザス州 • 設 立:2001年 • 事業概要: • 米国における複数要素認証サービスのリーディングプロバイダー 2010 and 2008 SC Magazine Awards Finalistfor Best Multi- and Second-factor Solution 2010 Network Products Guide Product Innovation Award 2009 FutureNow ListTop 10 Technology Company to Watch in 2008 30 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
ご紹介まとめ フィッシング・不正アクセス対策認証サービス Web改ざんの早期発見サービス Webサーバの不正な改ざんを予防 フィッシング・不正アクセスから ユーザの認証プロセスを保護 より安全なWebサービスの運営の為に 31 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
ご清聴ありがとうございました。 gred Security Service ・ PhoneFactorのお問い合わせは サイバネットシステム株式会社IT事業部 営業部 TEL : 03-5297-3478FAX : 03-5297-3646EML : phonefactor@cybernet.co.jp http://www.cybernet.co.jp/phonefactorぜひ、ブース(A-13)にお立ち寄りください! 32 © 2010 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.