GTM-MML4VXJ
Skip to main content

つながる社会を支えるセキュリティ


2019年4月号 (Vol. 70, No. 2)

雑誌FUJITSU 2019-4

いまや,社会生活や経済活動の多くがサイバー空間上で行われ,私たちは様々な恩恵を得る一方,サイバー攻撃という新たな脅威に直面しています。
本特集号では,富士通が考える「つながる社会を支えるセキュリティ」について,技術,サービス,ビジネスインフラ,人材育成などの面からご紹介します。

目次 関連情報

目次

巻頭言

つながる社会を支えるセキュリティ特集に寄せて (513 KB)
執行役員常務 斎藤 淳一, p.1

総括

つながる社会を支える富士通のサイバーセキュリティへの取り組み (812 KB)
向井 健太郎, p.2-9
クラウド,ビッグデータ,AI(人工知能),IoTといった革新的なデジタルテクノロジーが今や身近なものとなり,社会のデジタル化が加速している。人やモノといったあらゆるものがデータとつながることで形成される「つながる社会」は,社会・経済システムの構造とその在り方にまで影響を及ぼし,我々の日常を劇的に変えている。デジタル革新が紡ぎ出すつながる社会によって,お客様のビジネス環境やビジネスそのもののデジタル化がとどまるところなく進展している。これらにより,利便性が高まる一方で,我々の生活を脅かすような新たな脅威が生まれ,身近に迫っており,システムやデータを守るサイバーセキュリティは欠かせない状況になっている。こうした状況を踏まえて,サイバーセキュリティは富士通の事業の根幹を支える生命線であり,お客様から信頼される能力を保有し続けることは富士通の使命であると認識している。
本稿では,我々を取り巻く環境と,つながる社会を支える富士通のサイバーセキュリティへの取り組みについて述べる。

つながる社会を支えるソリューション

お客様のICT環境を守るグローバルマネージドセキュリティサービス (732 KB)
川原 勝広, 内藤 久裕, p.10-15
近年,セキュリティ攻撃の増加に伴って,攻撃の手口も複雑化・巧妙化しており,早期検知するためにはセキュリティの監視が重要である。富士通は,お客様のセキュリティマネジメントの運用をワンストップで行うFUJITSU Security Solutionグローバルマネージドセキュリティサービス(以下,GMSS)を提供している。GMSSの特長は,高度なスキルを有する専門のセキュリティアナリストが最新のセキュリティ動向とお客様のICT環境の特徴を把握した上でアラート内容を精査し,問題発生時には対処方法を提示し暫定対処から恒久対処までサポートする点である。加えて自社開発による富士通独自の技術と世界中のセキュリティベンダーの先進技術を組み合わせて高いレベルで脅威を検知できるプラットフォームを構築している。
本稿では,GMSSの特長,適用領域,およびサイバーセキュリティ監視の最新技術動向について述べる。
高度脅威分析センターとセキュリティ監視の将来 (1.02 MB )
Paul McEvatt, p.16-31(英語原文p.24-31)
データと人々の生活が密接につながることでデジタル社会が形成され,インターネットを介してやり取りされるデータやトランザクション処理が絶えず増加している。デジタル社会では,現実社会と仮想空間の境界線が曖昧になり,サイバー攻撃による被害が増加している。このような状況の中,全てのビジネスにおいて必要不可欠となるのがサイバー攻撃を検知するセキュリティ監視である。通常,セキュリティ監視はセキュリティオペレーションセンター(SOC)の管理下で行う。しかし,増え続けるサイバー攻撃に対応し,後手に回らないようにするためには,組織全体の継続的なイノベーションが必要である。
本稿では,SOCにおけるインシデント対応を改善するための革新的なアプローチ,あるいは効果的なセキュリティ監視を支える新しいモデルとして,セキュリティの自動化およびオーケストレーションを実現するATC(高度脅威分析センター)による対応について述べる。
Outcome-basedアプローチを活用したサプライチェーンのセキュリティ対策 (710 KB) 関連情報
福田 有希, 河村 勇, 窪田 好宏, 綿口 吉郎, p.32-38
近年,サプライチェーンのセキュリティ対策が不十分な企業や組織を狙ったサイバー攻撃の増加や,各国独自のセキュリティ規格制定によって,企業や組織におけるセキュリティ対策の負担が増加している。従来のサプライチェーンのセキュリティ対策では,この負担増加に対応できているとは言い難い。このような状況に対して,富士通は一部のセキュリティ規格の制定元や標準化団体などで利用が広がりつつある「Outcome-basedアプローチ」を活用することで,サプライチェーンのセキュリティ対策に貢献できると考えている。本アプローチは,セキュリティ対策で達成される結果のみを要求事項として記載し,その達成方法である具体的なセキュリティ対策の選択は対策元に委ねて進めていく。これにより,サプライチェーンに関わる委託元・委託先双方の負担軽減などのメリットが得られると考えている。
本稿では,本アプローチの導入方法やメリットについて紹介する。
システムのライフサイクル全体でセキュリティを確保するセキュアSI (740 KB)
内田 祐介, 小村 昌弘, 三輪 稔則, p.39-44
近年,サイバー攻撃は増加傾向にあり,お客様にセキュアなシステムを提供するシステムインテグレーターの責務はますます大きくなっている。この責務を果たすためには,企画・要件定義から運用・保守にわたるシステムインテグレーション(SI)全体にセキュリティを取り入れる必要がある。そこで,富士通は「セキュアSI」に取り組んでいる。セキュアSIとは,品質の保証を目的としたこれまでのSIに,セキュリティの確保を加えるものである。このセキュアSIを実践できる人材を発掘・育成して,セキュリティマイスターとして認定し,お客様のプロジェクトへの貢献を目指している。
本稿では,セキュアSIの具体的な取り組みについて述べる。
サイバー攻撃の脅威から社会インフラを守るリスクアセスメントコンサルティング手法 (722 KB) 関連情報
山口 貴詩, p.45-49
昨今のサイバー攻撃の増加により,企業は多様かつ広範なセキュリティ対策を余儀なくされている。特に,電力,通信,交通,金融などの社会インフラサービスが万一停止した場合,社会への影響は極めて大きくなる。したがって,社会インフラ事業者は,自社の重要なセキュリティリスクに対して優先度を判断しながら確実に対策を講じていくことが必要になる。この課題に対して,富士通総研では効率的かつ効果的にリスク対応するためのリスクアセスメントコンサルティング手法を開発した。本手法は,まず重要な事業やサービスを特定し,対象となる情報システムや制御システムといった情報資産に関わるサイバー攻撃などの脅威やセキュリティの脆弱性を踏まえた独自のリスク分析を行う。その分析結果に基づいて企業内の重要課題を明確にした上で,セキュリティ対策を順位付けして対応することによって,投資の合理性を確保できる。
本稿では,主に社会インフラサービスを担う事業者を対象とした,本手法の考え方やアプローチについて述べる。
未来の社会発展を支えるサイバーセキュリティ人材の育成 (791 KB)
奥原 雅之, 佳山 こうせつ, 三村 智彦, 鈴木 拓也, p.50-55
これからの社会の発展を支える高度な技術を持ったセキュリティ技術者の育成は,国内外を問わず重要な課題となっている。このような人材を確保・育成していくためには,企業の枠を越えて産業界・公的機関・教育機関などと幅広く協調できる,エコシステムの形成が求められる。これまで,富士通は様々な組織と連携したセキュリティ技術者育成の活動を行ってきた。その事例として,九州大学における富士通スペシャリスト育成研究部門の設置,産業横断サイバーセキュリティ人材育成検討会のセキュリティ人材定義作業への参画,および愛媛大学・愛媛県警と共同で開催したハンズオンセミナーなどがある。
本稿では,これら組織との連携によるセキュリティ技術者育成に対する三つの取り組みと,その成果について述べる。
ダークウェブ上から脅威情報を調査するサービス (715 KB)
河本 聡, 川原 勝広, p.56-60
特殊なブラウザなどを使用しなければアクセスできないダークウェブでは,犯罪組織が違法な売買を目的として利用しているケースがある。そのため,ダークウェブ上でやり取りされている自組織の情報を把握し,脅威を未然もしくは早期に対処することが重要である。しかし,専門の調査官でない要員がダークウェブにアクセスして,調査することは技術的・心理的観点で困難である。このような状況を受け,富士通ではダークウェブを含むインターネット上から漏えいした機密情報,偽アカウント,攻撃の兆候などをお客様に代わって調査するFUJITSU Security Solution サイバー脅威プロアクティブ分析 ダークウェブ調査サービスの提供を開始した。本サービスの特長は,ダークウェブを含むインターネットの深い階層までを調査対象とし,発見した脅威についてサイバーセキュリティ専門のアナリストが分析し,被害の発生可能性をスコア付けする点である。
本稿では,本サービスの背景,特長,調査実施の流れ,および検出できる内容について述べる。

つながる社会を支える技術

セキュリティ技術の最新研究動向 (732 KB)
津田 宏, 鎌倉 健, p.61-66
「21世紀の新たなオイル」と言われるデータを中心に,デジタル共創が進んでいる。一方,IoTの活用で激化が予想されるサイバー攻撃,パーソナルデータに関する規制への対応,AI(人工知能)に与えるデータの信頼性の確保など,新たなリスクも生まれている。セキュリティ技術は,人,データ,システムの信頼性(トラスト)を支える技術として期待が大きい。富士通研究所は,お客様のあらゆるビジネスの安心・安全を支えるために,認証・認可,データセキュリティ,サイバーセキュリティを三本柱に研究開発を進めている。
本稿では,まず富士通研究所で取り組んでいるセキュリティ技術を概説する。次に最新研究トピックスとして,ブロックチェーンを用いたデータの信頼性を担保する技術について述べる。
ブロックチェーンを安全につなげるセキュリティ技術「コネクションチェーン」 (785 KB)
藤本 真吾, 小暮 淳, p.67-73
仮想通貨の管理に使用されているブロックチェーンは,非中央集権的な運用によって複数のブロックチェーン参加者間の安全な取引を可能にする分散台帳技術として,多方面で活用が期待されている。ブロックチェーンの価値を高めるためには様々なブロックチェーンの連携が必要となるが,アプリレベルの連携ではシステム運用者による不正な操作が発生し得るなど,透明性が確保できない。また,このような一連の操作を実行した際に発生するエラーへの対処も必要になる。これらの問題に対して,富士通研究所では異なるブロックチェーンを安全に連携して動作させるためのセキュリティ技術として「コネクションチェーン」を開発した。
本稿では,コネクションチェーンの特長と試作システムを紹介する。
生体データの保護や管理を容易にできる生体認証技術 (736 KB) 関連情報
山田 茂史, 青木 隆浩, 下山 武司, 森 樹久, p.74-79
近年,国内における改正個人情報保護法(2017年5月施行)やEU一般データ保護規則(2018年5月施行)などの法律の改正によって,個人データを安全に管理するニーズが高まっており,生体認証に利用する生体データもその対象となっている。生体データの活用に当たっては,生体データの保護を強化しながら容易にデータを取り扱えるようにする生体データ保護技術が注目されている。しかし,本技術は生体データの漏えいに対するセキュリティと生体認証としての認証精度の両立が難しいといった課題がある。これに対して,富士通研究所では強みである手のひら静脈認証技術を用いて,静脈パターンの変形にロバストな生体データ保護技術を開発した。本技術は,生体データの保護や管理を容易にできるため,システム側での生体データの集中管理が必要な手ぶら認証を利用した本人認証サービスの拡大への貢献が期待できる。
本稿では,手のひら静脈認証技術とIDを入力せずに生体データのみで認証を行う手ぶら認証などの活用事例について述べる。
システムに潜む未知の脆弱性を検出するセキュリティテスト技術 (927 KB) 関連情報
兒島 尚, 坂口 昌隆, 大津 昭彦, 永井 和哉, p.80-86
様々なサイバー攻撃が活発になっている中で,ソフトウェア製品の脆弱性の報告数も年々増加の一途をたどっている。また,製品やシステムに潜む脆弱性の存在は,サイバー攻撃を受ける大きな要因となっており,攻撃に先んじた脆弱性対策の整備が急務となっている。富士通研究所は,攻撃者の視点やマインドを取り入れたファジングと呼ばれるテスト手法に着目し,未知の脆弱性を事前に検出するセキュリティテスト技術を開発した。本技術は,より短時間で脆弱性を検出できるテストデータを生成する「最適テストデータ生成」や,未知のプロトコルを自動的に解析して適切に評価する「プロトコル自動順応」といった機能を備えている。また,近年増加するIoT製品にも対応している。富士通では,製品・システムの出荷前検証に本技術を活用しており,組織的なセキュリティ品質の強化に役立てている。
本稿では,セキュリティテスト技術の機能について述べる。
サイバー攻撃に対応するセキュリティマイスター育成のためのサイバーレンジCYBERIUM (872 KB) 関連情報
原 和宏, p.87-92
今日,お客様のシステムは,常にサイバー攻撃の脅威にさらされている。このような時代においてお客様の業務を守るためには,お客様のシステムがサイバー攻撃に遭ったときに被害を最小限に抑えられる対応力が鍵となる。富士通では,サイバー攻撃への対応力を備えた人材であるセキュリティマイスターを育成することで,この課題に対応している。サイバー攻撃への対応力を向上させるためには,仮想空間で擬似的にサイバー攻撃を体験できるサイバーレンジを用いた訓練が適している。しかし,既存のサイバーレンジでは,多様なシステムを再現することと,全国各地のSEがオンデマンドで利用することが難しかった。そこで,仮想環境で多様なシステムを再現し,オンラインで時間や場所にとらわれずに学習できるサイバーレンジ,CYBERIUM(サイベリウム)を開発した。
本稿では,CYBERIUMの有用性について述べる。
自動車車両を安全に保つOTAソフトウェア更新のセキュリティ技術 (748 KB)
阿部 保彦, 小谷 誠剛, 窪田 英一郎, p.93-98
近年の自動車車両(以下,車両)は,安全に関わる基本的な機能である走る,曲がる,止まるを実現するための装置をはじめとして,多くの装置が電子化されソフトウェアで制御されている。更に,Connected Carの増加や,自動運転の実用化などにより,重大な事故を引き起こすサイバー攻撃のリスクが高まっている。セキュリティ対策ソフトウェアの更新は,販売後の車両に対して短期間でかつ安価に更新することが求められる。富士通は,無線通信を使って安全かつ少ない通信量でソフトウェアを更新するOTA(Over The Air)ソフトウェア更新システムを開発した。本システムによってセキュリティ対策を進化させ,サイバー攻撃に対抗する。本システムの特徴は,正規契約された車両に正当なソフトウェアを配布するための認証・デジタル署名技術を採用し,更に遠隔で更新を行うために正しく更新されたことを保証するAccountability技術の搭載である。また,差分更新技術を適用することで,通信量の削減も可能にしている。
本稿では,高度化するサイバー攻撃に対抗し進化するセキュリティ対策を支えるOTAソフトウェア更新システムを紹介する。
GTM-TTVHKKG