セキュリティ入門 ( 情報保護編 )
TRANSCRIPT
セキュリティ 入門( 情報保護 編 )
2016/03/16 @mesosune
はじめに• IT エンジニア向けにセキュリティの入門として
情報保護の分野についてのところを軽めに説明します。– 一般的なエンジニアの思うところの
セキュリティってこういうもの に近いと思います。
• 今回はセキュリティ専門分野の用語を大量に使いますが、可能な限り セキュリティ 独自の用語を説明なしでは使用しません。
• 個人の立場で記載しており、どこかの企業を宣伝する意図はありません。
情報保護についてセキュリティエンジニアは何を守ろうとするか
情報とは?
守るべき情報とは - 情報資産とは
• 「資産価値のある情報」または「情報を保有する機材 ( 機器 ) 」– 資産価値のある情報とは失った場合に業務継続ができなくなったり、
他者が得たり使用した場合に何かしらの損失を被る ( リスクを持つ ) 「情報」• 情報のかかれた紙など、媒体 ( フロッピーディスク、 CD とか )• 情報システム• データ• サーバー、ネットワーク• ノウハウ、社会的信用
< 情報資産 >
?
企業によって守りたい情報資産は異なる
何か
セキュリティエンジニア
守ります
セキュリティの三原則• これらを満たすように考え、業務が満たすように遂行されていることを
確認 ( 立証 ) します。 ( セキュリティ入門編 参照 )• 三原則を損ねる要因が「脅威」と「脆弱性」、
三原則を損ねて起きうる損失またはその可能性が「リスク」となります。
完全性( Integrity )
機密性( Confidential )
可用性( Availability )
• 問題なく使用できること( 業務が 遂行できること )
• 対象の人物にのみ公開され、その他の人物には知りえない状態であること
• 意図せず改変されていないこと
脅威例
・情報の覗き見 ( 盗聴 )・情報が意図しない人が知れる状態( 漏えい )
・意図せず消去してしまう ( 紛失 )・勝手に変更される( 改ざん )・データの欠損
・機器故障・機器紛失・業務が 遂行できない事象
脅威例 脅威例
情報資産からみて外部からの要因 ( 脅威 )
セキュリティの脅威と脆弱性はリスク - 脅威と脆弱性の関係性
• 脅威・・・システム又は組織に危害を与える事故の潜在的原因• 脆弱性・・・脅威によって影響を受ける内在する弱さ• リスク・・・ある脅威が脆弱性を利用して損害を与える可能性
人が意識して起こす
人が偶発的に起こす
環境的に起きる
< 情報資産 >
情報システム、データ、サーバー、ネットワーク、ノウハウ、社会的信用
情報資産からみて内包する要因 ( 脆弱性
)ソフトウェアの欠陥
モラルの欠如
セキュリティの脅威と脆弱性はリスク - さまざまな脅威と脆弱性
脅威 脆弱性
人為的
環境
意図的
偶発的
盗聴
盗難
改ざん
操作ミス
事故
地震
台風 設備不備
倒壊
水没
プログラム上の攻撃される抜け道、穴( セキュリティホール )OS 上の攻撃される抜け道、穴( セキュリティホール )ネットワーク上の攻撃される抜け道、穴( セキュリティホール )
セキュリティの脅威と脆弱性はリスク - 対応の基本(リスク管理)
< 情報資産 >脆弱性
予防
脅威
脅威
脅威
防ぐ
検知 対策知る 対応する
情報資産からみて外部からの要因 ( 脅威 )
セキュリティの脅威と脆弱性
今回は「人が意識して起こす脅威」について話をすすめます
人が意識して起こす
人が偶発的に起こす
環境的に起きる
< 情報資産 >
情報システム、データ、サーバー、ネットワーク、ノウハウ、社会的信用
情報資産からみて内包する要因 ( 脆弱性
)ソフトウェアの欠陥
モラルの欠如
脅威を起こすような人とはどのような人物でしょうか
脆弱性をつき脅威を起こす人 = 攻撃者 といいます
攻撃する人とは - 一般的な攻撃者の目的
攻撃者
対象企業への恨み - 怨恨 - 愉快犯
対象企業 (国家 ) の持つ情報を狙う - 個人情報、開発中の情報 など
攻撃者自身の腕試し - 知ったことを試したい
困らせたい
データを奪いたい
すごいことがしたい
技術熟練度↓
高
低
金儲け目的=プロ
セミプロ
少
多
頻度↓
攻撃者
攻撃者
※お互いに関連性はない
と、言われがちですが、
最近はこのパターンに当てはまらないことも増えてきました。
なぜでしょうか?
情報の売買市場
攻撃者の市場
• 犯罪の支援活動を“商売”にする大規模な違法市場 (ブラックマーケット )の拡大により、侵入の試み件数が拡大しています。
脅威を作る人
脆弱性情報を知りたい
特定のデータが欲しい人
情報を盗む人
特定の個人情報が欲しい
侵入方法を見つける
特定の開発情報が欲しい
侵入を試みる人
売る
売る
売る
買う買う
買う
買う 年々、拡大しつづけている
リスク管理 ( リスクマネジメント ) においては最初の侵入方法を見つけさせないことが重要な対策と考えます
あらかじめ目的 (標的 ) が決まっていてその対象に対して何かしら試みることを標的型攻撃といいます ( そのままですね )
攻撃者の行動
• 攻撃者がサーバーに侵入する ( 不正な方法で入り込むことを試みる ) 場合、大きく分けて 2 つあります。
直接侵入する 直接侵入しない
侵入?
攻撃者の行動 (直接侵入する場合 ) - 攻撃者は攻撃前に確認する
直接侵入する場合、以下の順に試みます1. あいてるポートはないかな?:ポートスキャン2. 他の侵入口はないかな:脆弱性チェック
↓3. もっと何かできないかな?:見つけた脆弱性から侵入を試みる
↓4. 今度侵入するときにきづかれないように出入り口を作ろう : バックドア作成(次の侵入または大規模攻撃を行うための脆弱性をつくる ) ↓
5. 侵入経路がバレないようにする:ログ消去
確認攻撃者 攻撃対象
×ログどこかに
脆弱性はないかな?
バックドア
攻撃者の行動 (直接侵入しない場合 ) - 攻撃者は攻撃前に確認する
直接侵入しない場合、以下の順に試みます1. 気づかれず侵入するための出入り口 ( バックドア )付きのメールを
対象企業の人に送る、または、バックドア付きのソフトウェアをダウンロードさせる ↓
2. 開いた人の PC から侵入する:出来た脆弱性から侵入を試みる ↓
3. 以下直接侵入した時と同じ
攻撃対象
管理者バックドア
送付
侵入
攻撃者
情報漏えい対策では攻撃者の考えそうなことを見越して対策を行います。
いうなれば、孫子の彼を知り己を知れば百戦殆うからず
ということで、対策を考えてみましょう。
攻撃者の侵入に対応するには
対応例 ・侵入口を防ぐ
- 不要なポートを閉じる ( サービスを停止する )- ソフトウェア開発時に脆弱性を埋め込んでいないか確認する
- 使用 PC も更新やウイルス対策を行っているか確認する ・侵入されていないか確認する
- ポートスキャンされたことを知る- 不要なソフトウェアやコードがないか確認する- ログがおかしくなっていないか確認する
・侵入経路を調べて二度と侵入できないようにする - 事前に発見した時の手順を定めておく ( ルール作り )
攻撃者 攻撃対象
×ログ あれ!?
おかしい!
管理者
バックドア
あいまいにどう対応すべきか は書籍とか WEB でもたくさんあるが具体的な方法はないのはなぜ?
基本に戻りましょう
?
企業のセキュリティ対策の基礎
• セキュリティ対策において、問題が起きたときは、社内の対策基準に応じて対策するかを考えてから対策内容を決めることになっています。
※OSやミドルウェアの設定値の情報はWeb 上に公開としている方がいます。対策時の参考にしてください
基本方針(ポリ
シー)
社内規程および対策基準
( スタンダード )
各種実施手順( プロシージャ・マニュアル )
企業のセキュリティ対策の基礎 - 具体的には?
など。 緊急度や重要度により手法を変える等も含めて、 対策基準策定時に沿って具体的に検討します。
発見ウイルス削除
( 自動 ) 連絡
発見 連絡サービス停止
( 手動 )ウイルス削除
( 手動 )
たとえば
または
対策する際の課題
常に人が付いて確認しつづけることは難しい
監視するソフトウェアの導入を検討する
?
人がついて攻撃されるたびに確認するには限界がある
「守る対象」に行きつく前に侵入を監視するにも、人力で行うには限界があります。ソフトウェアに任せる範囲を明確にし、対応した監視ソフトの導入を検討します。
攻撃者は海外など時間や場所に囚われない
結局、「監視」とか「ウイルス対策」とかソフトウェアを導入するだけで解決する問題ですよね?
いいえ!違いますよ!
?
情報資産
一般的な監視ソフトやウイルス対策ソフトの仕組み
ホワイトリスト(無条件で通す対象のリスト )
ブラックリスト(通さない対象のリスト )
ホワイトリストにのっている
ホワイトリストもブラックリストにも載っていない
ブラックリストにのっている
通過
通過
ブロック
リストとの一致を確認する
情報資産
一般的な監視ソフトやウイルス対策ソフトの仕組み - 問題点
ホワイトリスト(無条件で通す対象のリスト )
ブラックリスト(通さない対象のリスト )
ホワイトリストにのっている
ホワイトリストもブラックリストにも載っていない
ブラックリストにのっている
通過
通過
ブロック
リストとの一致を確認する
攻撃が多くて更新が間に合わない
情報漏えい保護対策 のポイント
「多層」かつ「多重」に対策を検討します
OS の更新、暗号化、ウイルス対策ソフトを導入する、未知のソフトウェア起動を検知する、外部から ID を使用できなくする、社内のネットワークを分けファイヤーウォールを立てるなど、さまざまな対策を複合的に組み合わせて行うことを「多重防御」といいます。
OS
ソフトウェア
ネットワーク
ウイルス対策
OS 更新
暗号化
権限設定
多層多重
情報漏えい保護対策 のポイント - 多重防御 とは それぞれの利点 / 不利点を組み合わせること
• 対策例通過できない仕組み
( ルール作り )
外部に出させない仕組み( ルール作り )
情報欲しい
ネットワーク暗号化 ネットワーク
分離
監視ソフト導入
ファイヤーウオール導入
ウイルス対策ソフト導入
不要なポートを閉じる
ID管理の徹底
アクセス権制御
管理対象分離
OS 暗号化 情報 暗号化
対策する際の課題
対応をすると業務に支障をきたしてしまう
IT システムの活用など、「最小限」で「最大」の情報を守ることができる方法を検討する
?サーバーの処理が遅くなったり業務が止まってしまう
セキュリティに関係する業務だけで工数が大幅にとられてしまう
何を優先すべきかは”企業方針 (ポリシー )” に拠りますが、セキュリティの対策を講じることで、業務を遂行することができなくなることはなく、組み合わせを上手に講じることで解決できると考えます。
リスク管理においては侵入させない対策としての「確認行動における検知」→ 「確認行動のついでにデータを持ち出す」を重要視し警戒するためです
…あれ?「リスク管理 ( リスクマネジメント ) においては 最初の侵入方法を見つけさせないことが 重要な対策と考えます」
といっているのに侵入することが前提ですか?
?
リスク管理 ( リスクマネジメント ) には欠点がある!
最初の侵入方法を見つけさせないことが重要な対策と考える
つまり
先を予測して、すべてを事前に予防することが前提(至る前を重視し、起きた後を想定していない )
リスク管理 ( リスクマネジメント ) の欠点 - セキュリティの側面から
すべてを予測することができない⇒ 予防するための立案が追い付かない
攻撃者、攻撃手法の多種多様化攻撃頻度の上昇
従来のリスク管理では、色々な人が予防策を抜けることや、大量の人が脆弱性をついた時の想定がぬけおちてしまいます。( それが起きないようにすることを検討します )
すべて事前に予防することを目指す(至る前を重視し、起きた後を想定しない )
リスク管理 ( リスクマネジメント ) の欠点 - 業務の側面から
業務継続性 ( 可用性 ) に問題が出る
攻撃内容 の変異( データ破壊 を伴う )
従来のリスク管理では、防ぐことに注視しているため、実際の業務が被害を被る場合を検討しきれない。
すべて事前に予防することを目指す(至る前を重視し、起きた後を想定しない )
わっ!!従来のリスク管理が使えないとかせっかくやってきたのにどうしたらいいの!?
というのが今の多くの企業の今の状態です
!
危機が発生した場合に、その負の影響を最小限にするとともに、いち早く危機状態からの脱出・回復を図ること。
危機が発生したときに何をすればその被害や影響を最小化できるか(減災)、危機からの早期回復のためには何をすればよいかを検討の中心据える
セキュリティのリスクを災害と同じように扱う - リスク管理から危機管理へ
想定されるリスクが“起こらないように”、そのリスクの原因となる事象の防止策を検討し、実行に移すこと。
想定されるリスクを予め抑え込むことを検討の中心に据える
リスク管理 ( Risk Management )
危機管理 ( Crime Management )
危機管理 ( Crime Management ) とは - 対応の基本
< 情報資産 >
脆弱性
予防
脅威
脅威
脅威
防ぐ( 減らす )
検知 対策 回復
知る 二度と起きないようにする
業務ができるようにする
見た目はあまり変わりません。(8P 参照 )
図で記載するとあまり変わり映えがしません。なぜなら、
リスク管理 と 危機管理の違い - リスク管理 は 危機管理の一部
起きる前 起きた後発生
検知 対策 回復予防
リスク管理
危機管理
予防 + 回復することを前提として、システムを再検討する必要が出てくる
考えを変えるとすべてが変わる。
考え方が変わるとすべてがかわる
• 予防 + 回復することを前提として基本方針を変更すると、その基本方針にそった 対策基準、業務手順の変更などが発生する
基本方針(ポリ
シー)
社内規程および対策基準
( スタンダード )
各種実施手順( プロシージャ・マニュアル )
!
業務へのインパクトを計測しないと!
業務担当者
システムの構築そのものを変更する必要が出る可能性が
経営者
!方針を変更しないと!
変化する
今を知る
何をしたら良いの? - 脅威から今を知る
• 脅威はさまざまな視点をもたらします– 脅威を介してから今を知り変えていけるような組織づくり
から始めましょう
実際の業務について経営方針
脅 威
セキュリティ 入門( 情報保護 編 )は以上です
ここまでお読みいただきましてありがとうございました!
補足 : 侵入方法や 攻撃方法は ひとつではない 「彼を知り己を知れば百戦殆うからず 」
古典的手法
• 基本情報処理の教科書に載っているような方法
• 他国で流行した方法• 過去に流行した方法
最新の手法
• 誰もまだ見たことがない方法>
使用頻度
攻撃者は、古典的手法を使う場合が圧倒的に多く、最新の手法でも古典的手法への対策で十分に対応できることがあります。※日本初の攻撃手法というのは今のところありません
・基礎的な技術・他国で流行していること・過去に発生した攻撃(+情報に関する訴訟)
等 に注目しつづけることが大切です。