サイバー脅威の 正しい怖がり方と考え方正しい怖がり方と考え方...
TRANSCRIPT
サイバー脅威の正しい怖がり方と考え方~イノベーション x セキュリティ~
2018年5月
情報処理推進機構
セキュリティセンター
研究員佳山こうせつ
IPAブース@情報セキュリティEXPO
【本日のポイント】①皆さんの新しい技術革新・価値創造を応援したい②データの利活用を促進するためにセキュリティ③セキュリティ投資のモチベーションへ
Copyright 2018 @ Kousetsu Kayama 1
自己紹介 主な業務◦ ①人材育成◦ ②インシデントレスポンス業務◦ ③対策手法の情報発信(出口対策・内部対策)◦ ④若者たちとの共創◦ ⑤アドバイザリー
所属◦ ①富士通株式会社 セキュリティマイスター◦ ②独立行政法人情報処理推進機構 研究員◦ ③東京電機大学サイバーセキュリティ研究所 研究員
中央大学外部講師、名古屋工業大学外部講師◦ ④SECCON実行委員、セキュリティキャンプ地域WG主査、
SecHack365実行委員◦ ⑤総務省 公衆無線LANセキュリティ分科会専門委員
Copyright 2018 @ Kousetsu Kayama 2
3
作成:IPA『脅威と対策研究会』
「高度標的型攻撃」対策に向けたシステム設計ガイド(第4版)の公開(’14.9.30)
https://www.ipa.go.jp/security/vuln/newattack.html
Copyright 2018 @ Kousetsu Kayama出典:https://www.ipa.go.jp/files/000052614.pdf
テクニカルウォッチの公開(’14.3.28)
44
「攻撃者に狙われる設計・運用上の弱点についてのレポート」
~標的型攻撃におけるシステム運用・設計10の落とし穴~
10の落とし穴 メールチェックとサーバ運用管理端末が同一 分離できていないネットワーク 止められないファイル共有サービス 初期キッティングで配布さえれるローカルAdmin 使いこなせないWindowsセキュリティログ パッチ配布のためのDomain Admin ファイアウォールのフィルタリングルール形骸化 不足している認証プロキシログの活用とログ分析 なんでも通すCONNECTメソッド 放置される長期間のhttpセッション
攻撃に対して意外な弱点となっているシステム設計例を10点挙げ、運用(背景)と対策の考え方を解説
内容を補完
テクニカルウォッチ
’13.8.29公開
Copyright 2018 @ Kousetsu Kayama出典:https://www.ipa.go.jp/files/000052614.pdf
5
・情報が漏れないことに着眼した対策・侵入を許しても取られない
・内部の拡散に着眼した対策・侵入を許しても影響を局所化(受容範囲に)
2011年11月 2013年8月 2014年9月2011年8月
対策に向けたシステム設計ガイドの歴史
Copyright 2018 @ Kousetsu Kayama出典:https://www.ipa.go.jp/files/000052614.pdf
もう古い?
内部侵入後の挙動
プロキシサーバを介した外部との不信な通信
組織全体への拡大
侵入を前提とした対策の課題~内部システムの防御は業務システムの設計と運用を中心に~
6
主に、設計上、運用上の弱点が狙われる
イントラネット
主に、脆弱性が狙われる
Copyright 2018 @ Kousetsu Kayama出典:https://www.ipa.go.jp/files/000052614.pdf
つながる時代
通信農業
官庁自治体
位置情報放送
家庭(家電)
電気・ガス水道
交通交通
物流
医療
製造
航空管制システム
列車運行システム 物流配送システム
医療介護システム
生産管理システム
GPS緊急速報システム
スマートメーター
スマートメーター上水道システム 生育管理システム タブレット・スマホ
住民情報システム電子申請システム
リアル空間出典:富士通セキュリティフォーラム
サイバー空間
Copyright 2018 @ Kousetsu Kayama 7
変わらない考え方
目次
情報システムを取巻く状況を紐解く
ネットワークの多様化
データワークフローから見る全体設計
まとめ
8Copyright 2018 @ Kousetsu Kayama
2009
2010
2011
2012
2013
2014
2015
2016
2017
2018
妨大統領府など
(7.7大乱,韓国)
情石油,エネルギー産業(Night Doragon)
情Google(Operation Aurola, 米)
妨
核施設(Stuxnet )
情RSA(米)
妨
農協銀行(韓国)
情化学, 防衛産業
(Nitro, 米)
妨
銀行, 放送局(韓国)
情
三菱重工
海外
日本情
衆議院. 参議院会館
情JAXA
情特許庁
情財務省
情農林水産省
情
外務省情
JAXA
情JAEA
高速増殖炉「もんじゅ」
情日本年金機構
情JTB
妨San Francisco Metro System Hacked(米)
妨
Twitterなどのアクセス妨害(世界)
妨
Miraibot
情
NSA(スノーデンリーク, 米)
情Hacking teamHacked(伊)
9
サイバー脅威の変遷~時系列に並べてみる~
情妨米大統
領選(米)
Copyright 2018 @ Kousetsu Kayama
妨
WannaCry(世界)
妨
Googleによる大規模障害
妨
WannaCry
妨
Googleによる大規模障害
(世界)
サイバー脅威の変遷~やるべき対策が多く積みあがり複雑化した時代へ~
主な対策の軸足
10
コンピュータウイルス(マルウェア)対策
不正アクセス対策
情報漏えい対策
内部統制対応
出口対策
緊急対応体制
内部対策
ウイルス蔓延事案省庁サイト改ざん
個人情報保護法施行粉飾決算事案
サイバー空間をめぐる攻防防衛産業を狙ったサイバー攻撃止まないサイバー攻撃と被害報道
人材育成
経営
箱ものセキュリティ製品だけでは限界某機構を狙った事案により、意思決定の重要性が改めて認識
Copyright 2018 @ Kousetsu Kayama
つながる
つながる時代
通信農業
官庁自治体
位置情報放送
家庭(家電)
電気・ガス水道
交通交通
物流
医療
製造
航空管制システム
列車運行システム 物流配送システム
医療介護システム
生産管理システム
GPS緊急速報システム
スマートメーター
スマートメーター上水道システム 生育管理システム タブレット・スマホ
住民情報システム電子申請システム
リアル空間出典:富士通セキュリティフォーラム
サイバー空間
Copyright 2018 @ Kousetsu Kayama 11
デモ
セキュリティに投資する意義~つながる時代の弊害であり、つなげて価値創造するためにセキュリティ~
セキュリティファーストでは問題の本質が見えづらい
12
巧妙なウイルス感染
つながることで新しい価値を創造するために、邪魔されないセキュアな土台が不可欠
新しい価値創造の弊害
Copyright 2018 @ Kousetsu Kayama出典:https://www.ipa.go.jp/files/000052614.pdf
目次
情報システムを取巻く状況を紐解く
ネットワークの多様化
データワークフローから見る全体設計
まとめ
13Copyright 2018 @ Kousetsu Kayama
NW1:イントラ 型
14
攻撃者
プロキシ Web アプリ
ファイルサーバ
ログ管・運管、バックアップ
セキュリティ製品
一般職員OA端末
管理端末
【設計ポイント⑤】ダッシュボード
機能
【設計ポイント①、③】入口・出口対策
データベース認証基盤
Copyright 2018 @ Kousetsu Kayama出典:https://www.ipa.go.jp/files/000052614.pdf
【設計ポイント②、④】エンドポイント・内部対策
NW2:イントラ x クラウド 型
15
攻撃者
Webアプリ
ファイルサーバ
ログ管・運管、バックアップ
一般職員OA端末
管理端末
【設計ポイント⑤】ダッシュボード
機能
データベース
認証基盤
Copyright 2018 @ Kousetsu Kayama出典:https://www.ipa.go.jp/files/000052614.pdf
クラウドサービス
プロキシ
【設計ポイント①、③】入口・出口対策
【設計ポイント②、④】エンドポイント・内部対策
NW3:イントラ x クラウド x IoT 型
16
攻撃者
Web
アプリ ファイルサーバ
ログ管・運管、バックアップ
一般職員OA端末
管理端末
【設計ポイント⑤】ダッシュボード
機能
データベース 認証基盤
Copyright 2018 @ Kousetsu Kayama出典:https://www.ipa.go.jp/files/000052614.pdf
クラウドサービス
プロキシ
【設計ポイント①、③】入口・出口対策
IoT
【設計ポイント②、④】エンドポイント・内部対策
目次
情報システムを取巻く状況を紐解く
ネットワークの多様化
データワークフローから見る全体設計
まとめ
17Copyright 2018 @ Kousetsu Kayama
全体設計対策の考え方
1)入口対策、エンドポイント対策、出口対策、内部対策でバランスのとれた全体設計を検討する
2)攻撃者が歩く経路を狭めることが、監視すべきポイントの最適化に繋がる
18
ポイント
Copyright 2018 @ Kousetsu Kayama出典:https://www.ipa.go.jp/files/000052614.pdf
変わらない考え方
ポイント1)システム全体でバランスの取れた全体設計を考える
攻撃シナリオと対応機器の概要
19
スパ
ムフ
ィルタ
SPF
次世
代サ
ンドボ
ックス
型フ
ァイア
ウォ
ール
メール
サー
バ
イン
ターネ
ットフ
ァイア
ウォ
ール
IPS/
IDS
次世
代 ウ
ェブア
プリケ
ーシ
ョンフ
ァイア
ウォ
ール
ウェブ
サー
バ
ウェブ
改ざ
ん検
知
ウイ
ルス
対策
ソフ
ト
ゼロ
デイ
対策
ソフ
ト
ウェブ
プロ
キシ
サー
バ
ウェブ
フィル
タリン
グ
次世
代型
ネット
ワー
ク振
る舞
い検
知型
FW/
IDS/
IPS
業務
端末
運用
管理
端末
内部
セン
サー
認証
サー
バ
ファイ
ルサ
ーバ
DBサ
ーバ
監視
サー
バ
ネット
ワー
ク機
器
1計画
立案
2 ○ ○ ○
3
4
5 △ △ ○ □ △ ○
6 ○ △ ○
7 ○ ○ ○ △ △ □ □
8
9端末内のシステム情報を収集
△ ○ □ □
10攻撃ツールのダウンロード
○ △ ○ ○ ○ □ □
11 周辺端末調査 △ □ □ ○
12 ○ □ □ ○
13 ○ □ □ ○ ○ ○
14 ○ □ □
15 ○ ○ □ □
16 □ □ ○
【凡例】 ○:攻撃検知(主観測) △:攻撃検知(補助) □:ログ取得機器 セキュリティ製品 業務機器
リモートコマンド実行
端末情報の収集
C&Cサーバ準備
標的型メール作成
エンドポイント対策
他端末への不正アクセス
入口対策 内部対策
ターゲット周辺の調査
ウェブサイト改ざん、水飲み場サイト構築
No. 対応機器
攻撃手口
バックドア開設・リモートコントロールの確立後
攻撃準備
標的型メール受信
水飲み場サイトアクセス
初期潜入
基盤構築段階
内部侵入・調査
バックドア開設
目的遂行
情報窃取
情報破壊
出口対策
システムの運用と設計中心の対策
P40
Copyright 2018 @ Kousetsu Kayama出典:https://www.ipa.go.jp/files/000052614.pdf
① ② ③ ④
ポイント2) 攻撃者が歩く経路を狭め監視ポイントを最適化
20
①防御・遮断策 ②監視強化策
攻撃回避を主眼とした設計策
攻撃シナリオをベースに対策
不正アクセス・PW窃取等を防止
早期発見を主眼とした設計策
攻撃者の足跡を発見
トラップを仕掛け、ログ監視強化
攻撃者が歩く経路を少なくする事で、監視強化にも繋がる
システムとセキュリティ機能が連携して、攻撃者の足跡を残す
P47
Copyright 2018 @ Kousetsu Kayama 20出典:https://www.ipa.go.jp/files/000052614.pdf
データワークフローから見る全体設計〜アーキテクチャ設計へ〜
21
入口
出口
内部
エンドポイント
情報受付
センシング端末
作業端末
データ提供
外部連携
Copyright 2018 @ Kousetsu Kayama
コントローラダッシュボードサービス
受付
メンテナンスネットワーク
データ蓄積・分析
目次
情報システムを取巻く状況を紐解く
ネットワークの多様化
データワークフローから見る全体設計
まとめ
22Copyright 2018 @ Kousetsu Kayama
データワークフローから見るセキュリティ全体設計~イノベーションのためのセキュリティ~
データワークフロー
ウイルス対策IoT
セキュリティ
23 Copyright 2016 Kousetsu KayamaCopyright 2018 @ Kousetsu Kayama
データワークフロー
データワークフロー
+セキュリティデザインと組織マネジメント
価値
アーキテクチャ
24 Copyright 2016 Kousetsu Kayama
データワークフローから見るセキュリティ全体設計~イノベーションのためのセキュリティ~
思考の再開
Copyright 2018 @ Kousetsu Kayama
Innovation Centric Security
守るセキュリティから繋げるセキュリティへ
イノベーションのためにセキュリティへ投資
25 Copyright 2018 @ Kousetsu Kayama