教科書 情報セキュリティ基盤論 共立出版, 2010 ISBN: 情報セキュリティの現代の 標準体系 のつもりでかいていますが 書いた当時から今まで変化が急で内容が古くなりつつある

Transcription

1 情報セキュリティ基盤論 2016 工学系研究科講義科目 佐藤周行 SIGMAXYZ 三井物産セキュアディレクションソフトバンク

2 教科書 情報セキュリティ基盤論 共立出版, 2010 ISBN: 情報セキュリティの現代の 標準体系 のつもりでかいていますが 書いた当時から今まで変化が急で内容が古くなりつつある

3 情報セキュリティとは 情報 をセキュアに扱うことができること 守るに値する 情報 = 情報資産 を以下の基準で 情報の機密性 ( アクセス権をコントロールできる ) 情報の完全性 ( 内容をコントロールできる ) 情報の可用性 ( アクセスが保証される ) + アルファ ( 真正性 責任追跡性 否認防止 信頼性 ) 組織の統制とリスク管理 それに基づいたセキュリティ技術の採用によって可能だと考えられてきた

4 教科書の目次 I リスクの分析と評価 1. リスクの動向と変遷 2. 情報セキュリティリスク管理 II コンテンツの電子化 ネット化 クラウド化 3. コンテンツの電子化 ネット化 クラウド化 4. コンテンツマネジメント III 具体的な脅威 脆弱性 5. 脅威 脆弱性の変遷と動向 6. ネットの脅威とネットハックの実際 IV 情報セキュリティリスクへの対応 7. 暗号と電子認証 8. アイデンティティ管理 V 情報セキュリティと社会制度 9. セキュリティ監査と成熟度モデル 10. 法律問題と e コンプライアンス 11. 社会制度

5 クラシックな情報セキュリティの図式 会社 組織 攻撃 ( 資産を盗む ) ビジネス 社会制度による規制 保護 脆弱性脅威の分析 ( リスク分析 ) 次のアクションへ

6 Advanced Topics? 2010 年 ( クラシックな世界 ) から今までに何が起こっているか? クラウドサービスの一般化 国内 国外 端末 を握っているところが囲い込みに入っている (MS, Apple) グローバルな企業が 情報資産 を全部自社に囲い込んで FW 等でアクセス制御をする - やってられない ICT インフラ巨大企業の大躍進 Amazon, Google, Facebook, オンラインの世界での アイデンティティ 組織が与える アカウント から ICT インフラ企業が提供する アカウント への移行

7

8

9 2010 年から今まで起こっていること ( 続き ) 攻撃の手法のますますの高度化 Targetted attack, Advanced Persistent Threat 等 本質的に対応不可能なものも ( 年金機構 東大の事件 ) flame, gauss など 政治的意図 経済的意図のある攻撃が激化した 個人の端末の高度化や IoT の構築による情報ソースの多様化と詳細化 (BYOD) 恒常化する個人の権利侵害 同意 に名を借りた個人情報の強制的引き渡し 電気通信事業者にのっかって 通信の秘密 を犯すサービスを行うことが可能に

10

11 2010 年から今まで起こっていること ( 続き ) 情報資産の意識の変化 評判 (reputation) のビジネスに及ぼすインパクト サイバー空間 の意識 政府 民間の情報資産への攻撃 国単位の防御と攻撃 日本 : NISC( 内閣官房 ), サイバー防衛隊 ( 自衛隊 ) アメリカ : NSA/CSS, Cyber Command 中国 : 部隊等 攻撃側組織の存在

12 2010 年から今まで起こっていること ( 続き ) 技術的には必死の対応が続けられている セキュリティベンダーの努力 統制 規制 法制度 (control, regulation, legislation) の整備のこころみ オンライントラストの構築 EU データ保護規則 アメリカ 消費者の権利章典 の法制化 プライバシー保護強化 Cross border 問題の認識と調整

13 しかし もう守れない = 攻撃の高度化 メール ( 仕事に不可欠なツール ) やブラウザを使った攻撃 持続的 執拗な攻撃 身を隠す攻撃 組織の成熟していないところを狙うソーシャルな性格を持つ攻撃 攻撃が成功してしまうことを前提にした防禦 Security in Depth ( 多層防禦 ) Monitoring の重要性の強調

14 現代的な ICT サービスの図式 ICT 巨大インフラ企業 会社 ビジネス Reputation

15 現代的な問題への対応 クラウドは情報セキュリティ的に何が問題か クラシックなリスク分析の手法の限界 ICTインフラの巨大企業は情報セキュリティ的に何が問題か アイデンティティ を握っている 統制が基本的に効かない 政治的意図 経済的意図を持ったサイバー空間での犯罪にどう対処できるのか サイバーセキュリティ 個人の権利はどう守られるべきなのか IoTによる情報 ( 取得 ) ネットワークの構築 ネット上のプライバシー それでも情報産業は振興しなければならないのか 実は市場規模は大きい ( 後述 ) 防禦 に対してクラシックな理解はもはや有効ではない

16 講義の構成 2013/04/03 現代社会における情報セキュリティの背景 IT 技術の発展とその課題 1. クラウド化 ソーシャル化への変遷 2. 現代社会におけるサービス提供企業の課題 情報セキュリティ上の脅威とハッキング技術 3. 脅威の変遷とインシデントの動向 情報セキュリティ基盤 会社 のセキュリティ基盤 ~ 組織が採用している現実解 ~ 採用される技術 5. 企業で使われる情報セキュリティ技術 企業リスクマネジメント 4. 情報セキュリティリスク管理 運用上の管理 6. アイデンティティ管理と ID 管理 7. 成熟度モデルとセキュリティ監査 技術 企業 X 企業リスクマネジメント 社会 のセキュリティ基盤 ~ 本質的解決に向けた あるべき姿 ~ 脅威 攻撃に対抗する技術 8. ネットワークとシステムにおけるセキュリティ技術 9. 暗号と認証 社会制度の整備 10. e コンプライアンス パーソナルデータ 11. 社会制度とマイナンバー 運用管理 技術 企業 Y 企業リスクマネジメント 運用管理 基盤 を通じたサービスの利用 個人 ( 消費者 サービスのエンドユーザ 国民等 )

17 スケジュール No. 講義日タイトル (0) 4/5 ガイダンス 1 4/19 現代社会における情報セキュリティの背景 2 4/26 現代社会におけるサービス提供企業の課題 3 5/10 インシデント動向と攻撃者の技術 4 5/17 情報セキュリティリスク管理 5 5/24 企業で使われる情報セキュリティ技術 6 5/31 ネットワークとシステムにおけるセキュリティ技術 7 6/7 先進的な防禦方法と体制 8 6/14 アイデンティティ管理とID 管理 9 6/21 成熟度モデルとセキュリティ監査 10 6/28 E-コンプライアンスとサイバー基本法 11 7/5 セキュリティと社会制度 12 7/12 レポート問題解説

18 クラウドの問題 (SLA) サービスレベルとして 何が規定されるべきか? 大手のクラウドベンダーでは サービスレベルはいまだに主に 稼働率 と定義されている SLA Cloud で検索をかけてみよう セキュリティに関してのサービスレベルを規定するところはほとんどない 対アタック耐性等 現在 CSA によって CCM (Cloud Controls Matrix) が策定されている 認定制度 (STAR) も定められた

19 Audit Assurance & Compliance Business Continuity Management & Operational Resilience Change Control & Configuration Management Data Security & Information Lifecycle Management Datacenter Security Encryption & Key Management Governance and Risk Management Human Resources Identity & Access Management Infrastructure & Virtualization Security Interoperability & Portability Mobile Security Security Incident Management, E-Discovery & Cloud Forensics Supply Chain Management, Transparency and Accountability Threat and Vulnerability Management

20

21 クラウドの問題 (SLA) 組織の資産をクラウドに移してしまうと その資産を守ってくれる保証はどこにあるか? 従来は 組織の統制可能なところに置くことで資産を保護していた stakeholder への説明責任 物理的手法 人的手法 ネットワークセキュリティ ソフトウェアシステムセキュリティ 認証 ( 情報セキュリティの中心的な課題だった ) 組織を対象としたリスク管理方法を拡張して統制する SLA は public cloud をどこまでコントロールできるか ( 記述できないものはコントロールできない )

22 クラウドの問題 (cross border) クラウドベンダーの裁判管轄権が問題になることがある クラウドベンダーがアメリカにサーバを持っているとき アメリカの法律が適用される クラウドベンダーがアメリカに本社を持っているとき アメリカの法律が適用されることがある ビジネスにとって致命的になる場合がある 令状なしの押収等 ( クラウドサービスが止まった事例あり ) Snowden 事件の警鐘 それよりもっとひどい NSA のデータ監視の暴露 消費者に特に問題になるのは 消費者のデータ がどう扱われるか = プライバシー 規制のゆるいところへのデータ移転はきらわれる

23 クラウドの問題 (cross border) ヨーロッパは 忘れられる権利 を含む プライバシーに関する強い権利を個人に保証 外交手段として用いられる アメリカの ICT 巨大企業の牽制に使われることが多々ある アメリカの法制度をヨーロッパの一部が問題視 Patriot Act により 令状なしの押収その他が可能 FISAA (Foreign Intelligence Surveillance Amendments Act) 外国人の動向調査 ( リアルタイム 政治的な信条はもちろん含む ) が可能に 裁判所の ( 秘密の ) 許可さえあれば OK 民間企業のビジネスに関しては Safe Harbor Agreement で移転を承認 とうとうやり直し (2016 はじめ ) プライバシーについては米欧で非常に大きな差がある ( きっと埋められない ) 日本は完全に蚊帳の外

24 巨大 ICT インフラ企業 ICT インフラには以下が含まれる キャリア (NTT, KDDI, ) セキュリティ (Symantec, PKI CA vendors, ) サービス (Google, Amazon, 楽天, CCC, ) ソーシャルネットワーク (Facebook, LINE, ) インフラ企業に求められる社会的責任 ( 規制 ) について 整備が進んでいないことが多い Cross border の問題 プライバシー等 本質的な問題への対処

25 Social Identities Google アカウント Amazon アカウントで 様々なサービスが受けられる ネット上のアイデンティティを提供する形 Gmail のメールアドレスを受け入れるところ多数 Facebook のアカウントで 様々なサービスが受けられるようになっている Facebook のアカウントですべてが済む? ネット上の活動がインフラ企業の掌の上で行われるようになった

26

27 今までは 組織の与えたアイデンティティ (ID, mail address) で 組織の一員として活動 (organizational identities) サービス提供者は 各々アカウントを与えることで ユーザを囲い込んでいたので social identities が問題になることはなかった SSO 技術 (OpenID Connect, SAML 等 ) の進展による利便性の提供は本来喜ぶべきことであるが

28

29 Social Identity 系インフラ企業のビジネスモデル 広告主を集める 自サイトのユーザの行動履歴を解析する 解析の結果 効果が高いと思われる利用者に広告を出す ( ターゲット広告 )

30 ネットの広告の世界では Personalized Ad は効果的なものと信じられている Google や Facebook 等はこれを積極的に採用している 広告主は個人のプライバシーを侵害しないが インフラ企業が何をやっているかについては議論の対象になる Personalization のためのさまざまな手法 基本は本人属性や行動履歴 ( プロファイル情報 ) の収集と解析 オプトアウト ( 本人から中止の申し出が出ない限り許されていると思う ) 3 rd Party Tracking, Spyware, ここで 個人 対 Social Identity 系インフラ企業 の力の差は歴然 同意 があるからやってもよいかというと それは少し問題がある プライバシー上の問題として認識されている

31 ベースとなる技術 Ad Tracking 広告を出しておき 自サイトに来た顧客がどこから来たかの情報を蓄積 分析する 一般的な広告評価の手法の一つだが Google adjust 等 Spyware 利用者の閲覧履歴等の収集 解析をしたうえで 利用者に ( 購買意欲をかきたてるであろう ) 広告をターゲット広告として送りつける Adware 等

32 Privacy Eric Schmidt (ex-google) Google は あなたがどこにいるか 何をしようとしているのか だいたいわかる 事件が起きた時の特定の速さ 特定する人は 別に違法なデータ収集に手を染めているわけではない ( たぶん ) ネットに転がっている個人の Footprint は ほとんどの場合 個人を特定するのに十分な量ある ( 特定されたときに 狼狽するのはみっともない ) { 人 組織 } は 必要があれば特定する センサ系から得た情報の処理による DB の構築 (IoT ともビッグデータとも )

33 どの程度の経済規模か? IDC の市場予測 (2014/1/24 発表 ) によると : Big Data の市場規模は日本で 600 億円 /1 兆円 ( ビジネスアナリティクス規模 ) ところが 2015/8/12 では 2014 年ソフトウェア市場規模が 111 億円 (39.3% ) 2019 年度には 億円を予想 ビッグデータ に関係する産業の振興はすべてここに係ってくる 日本における 改正個人情報保護法 規制緩和 ( 適切な匿名化を施したうえでの市場流通を許容 ) 第三者委員会 ( プライバシーコミッショナー制度 ) による規制

34 アメリカでは消費者の権利として宣言 規制作りが進んでいるようにみえる 2015 年法制化第一号 FTC による強力な規制 しかし は本質的にどこを向いているかについて注意 消費者の責任について言及 ( 力の差が歴然なのに )( 非対称性 )

35 守る という観点と利活用という観点 個人が アイデンティティに関する情報 を提供すればそれに応じてサービスを提供するというのが 関係する企業の基本的なビジネスモデルになっている Personalizationのためには 自分の情報を 納得したうえで 企業に提供す る必要がある企業は 提供された情報 に応じてサービスを提供する Googleアカウントでログインした状態で検索をすることは もちろんこの一例 Gmailの利用もこの一例 プライバシー情報を利用 活用するための適正なビジネスモデルが必要になる かたくなに情報提供を拒否することはネット上の生活を便利にしない 提供情報についての 同意 の意味理解が重要 取得した情報をどう利用するかについての理解 ビッグデータの活用 や 名寄せ技術の高度化 など 従来の理解を超えた動きが活発化しているのは事実 割と大きな経済規模を持つ 本人が納得して同意することが必要

36 クラシックな情報セキュリティの重要性 これらの問題は インフラ企業が消費者と直接向き合うことによって顕在化してきた 企業がもつ情報資産を対象にした情報セキュリティの技術は以前にもまして重要になってきた 関係者は 組織 企業 ネットの技術動向が刻々と変わる 新たな種類のインシデントが次々と発生 不確かな状況下で決定を下さなければならない この情報資産は守るべきものか 守るとしたらどのくらいのコストをかけるべきか? はたして安心するまで守れるのか? リスク分析 リスク管理の手法

37 注意 : リスク分析は 組織のセキュリティレベルをあげるために行うわけではない問題 : この情報はなぜ価値があるのか? 誰が価値を認めるのか? 誰が守れと言うのか? 個人を越えた 組織 の存在組織が持つ価値観 - 評判も当然含まれる組織が個人の行動を制御するための何か 組織の意思 を全体に徹底させるための何か 情報セキュリティポリシー等情報の価値は組織が決める 決定 : 何らかの決定をして 組織を前に動かす ( セキュリティを高める リスクを受容する 情報資産を廃棄する ) 方法論としては管理工学一般的には Solution と称して様々な技術を導入することになる

38 リスク リスクとは? リスク = F( 資産価値, 脆弱性, 脅威 ) リスクを評価するさまざまな手法 ( 特に定性分析 ) 脆弱性と脅威については コンピュータセキュリティとネットワークセキュリティの観点からの解析が必須組織における情報セキュリティに関係する一連の分析 評価の流れを定式化 ISO27001 (ISMS) ISO27002 (Best Practice) 管理工学的な手法による管理 PDCAサイクル リスク分析 リスク は ここでは専門用語です ( 例年 期末レポートで素人解釈をする人が一定数みられる )

39 前提知識 リスク分析で考えることは次の 3 つ 資産価値 : その情報 ( サービス ) にはどのくらいの価値があるか? 脆弱性 : その情報 ( サービス ) を運用するときにどのような弱点があるか? FTP ではパスワードが平文で流れる 電子文書では コピーが自由で だれが書いたかの保証ができない 脅威 : その情報 ( サービス ) の脆弱性をついた攻撃にはなにがあるか? 盗聴して FTP のパスワードを抜く攻撃 電子領収書で コピーをして 少し改変して流通させる

40 前提知識 ( 続き ) 情報サービスの分野においてどのような脆弱性があるか? 脆弱性をついた脅威にどのようなものがあるか? この 2 つを理解することが リスク対応 の第一歩

41 リスクを決める脆弱性や脅威の分析 IPA( 情報処理推進機構 ) の 10 大脅威 ( ml ) によれば

42 個人 ( カッコ内は総合順位 ) 順位組織 ( カッコ内は総合順位 ) インターネットバンキングやクレジットカード情報の不正利用 (1 位 ) 1 位標的型攻撃による情報流出 (2 位 ) ランサムウェアを使った詐欺 恐喝 (3 位 ) 2 位内部不正による情報漏えい (8 位 ) 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ (7 位 ) 3 位ウェブサービスからの個人情報の窃取 (4 位 ) 巧妙 悪質化するワンクリック請求 (9 位 ) 4 位サービス妨害攻撃によるサービス停止 (-) ウェブサービスへの不正ログイン (5 位 ) 5 位ウェブサイトの改ざん (6 位 ) 匿名によるネット上の誹謗 中傷 (-) 6 位 対策情報の公開に伴い公知となる脆弱性の悪用増加 (10 位 ) ウェブサービスからの個人情報の窃取 (4 位 ) 7 位ランサムウェアを使った詐欺 恐喝 (3 位 ) 情報モラル不足によるサイバー犯罪の低年齢化 (-) 8 位 インターネットバンキングやクレジットカード情報の不正利用 (1 位 ) 職業倫理欠如による不適切な情報公開 (-) 9 位ウェブサービスへの不正ログイン (5 位 ) インターネットの広告機能を悪用した攻撃 (-) 10 位過失による情報漏えい (-)

43 防禦方法の再考 守りきるのは無理 ( 組織における個人の行動にまで攻撃の対象が広がった ) APT( 壁は崩れている ) 防禦方法の再考 多層的な防禦方法の採用 継続的なモニタリングの実施 体制の再構築 CSIRT

44 従来型の防禦 ネットワークセキュリティ Firewall 等での一部通信の制御と監視 内部 DMZ 外部への層化とそれぞれについての防禦 内部ネットワーク Web DMZ Firewall Internet router

45 従来型の防禦 ( 続 ) システムセキュリティ システムアップデート セキュリティアップデート アクセス制御とそのための技術 ( 論理的セキュリティ ) 権限設定 認証 認可 物理的セキュリティ

46 しかし メールや Web Browsing を通じて 敵は侵入してくる 組織内の人間の統制を完璧にすることはできない 破られても それを検知してできるだけ速く対策を取ることが求められている 監視 ( モニタリング ) と 即応態勢を取れる組織作り CSIRT, SOC (Security Operation Center)

47 リスクへの対応 情報セキュリティ対策 他のセキュリティ技術 ( ネットワークセキュリティ システムセキュリティ ) の導入 暗号技術の応用として居続けられる暗号化 電子署名 認証他の技術 リスクへの対応ができる 今度は利便性を求めて攻めていける 個々のアカウントの権限をコントロールできるようになったから ゲストアカウントを発行できる SAML 等 安全なプロトコルが導入できるから 組織内外に SSO を導入する

48 リスクへの対応 技術的な対応の他に 社会的に基盤を作る動きも着実に進行している セキュリティの品質はこれこれの認定制度で第三者が保証しましょう プライバシーマーク ISMS トラストフレームワーク 認定制度と監査 ( 評価 ) 制度 会計監査の技術 制度 情報システム監査 セキュリティ監査

49 講義の構成 2013/04/03 現代社会における情報セキュリティの背景 IT 技術の発展とその課題 1. 現代社会における情報セキュリティの背景 2. 現代社会におけるサービス提供企業の課題 情報セキュリティ上の脅威とハッキング技術 3. インシデントの動向と攻撃者の技術 情報セキュリティ基盤 会社 のセキュリティ基盤 ~ 組織が採用している現実解 ~ 採用される技術 5. 企業で使われる情報セキュリティ技術 企業リスクマネジメント 4. 情報セキュリティリスク管理 運用上の管理 8. アイデンティティ管理と ID 管理 9. 成熟度モデルとセキュリティ監査 技術 企業 X 企業リスクマネジメント 社会 のセキュリティ基盤 ~ 本質的解決に向けた あるべき姿 ~ 脅威 攻撃に対抗する技術 6. ネットワークとシステムにおけるセキュリティ技術 7. 先進的な防禦方法と体制 社会制度の整備 10. e コンプライアンスとサイバー基本法 11. セキュリティと社会制度 運用管理 技術 企業 Y 企業リスクマネジメント 運用管理 基盤 を通じたサービスの利用 個人 ( 消費者 サービスのエンドユーザ 国民等 )

50 評価 授業は教科書の内容をもとにしますが 主にアドバンストトピックスになります しかし それにもかかわらず教科書の内容をきちんと理解することが単位をとることに直結します 評価は学期末のレポートでします 言語は日本語か英語

51 E-Learning サポート Web ページはここです 必要な教材 ( スライド ) その他は Web ページにアップロードします レポートの提出やスライドの整理には 朝日ネットの E-Learning システムである MANABA を使います

52

53 MANABA を利用するにはアカウントが必要です 以下までメールしてください 送り元のメールアドレスを ID としたアカウントを作成します

54 最後に 講師紹介 Any Question?