技術コースの内容 1. 情報漏洩の傾向と原因分析 2. 不正アクセス 手口の解説と対策 3. 情報セキュリティ技術マップ 4. インシデント対応 2

Transcription

1 情報セキュリティセミナー 2005 情報セキュリティ対策技術コース Copyright 2005 独立行政法人情報処理推進機構 情報セキュリティセミナー -AdvancedITSecuritySeminar2005-

2 技術コースの内容 1. 情報漏洩の傾向と原因分析 2. 不正アクセス 手口の解説と対策 3. 情報セキュリティ技術マップ 4. インシデント対応 2

3 情報セキュリティセミナー 2005 情報漏洩の傾向と原因分析 Copyright 2005 独立行政法人情報処理推進機構 情報セキュリティセミナー -AdvancedITSecuritySeminar2005-3

4 情報漏洩の原因傾向 目立つノート PC 置き忘れ モバイル PC の管理ルール 個人情報保護法施行でも進展なし 最近 USB メモリも増えている しかし 意外に多いのが 4

5 漏洩原因について JNSA( 日本ネットワークセキュリティ協会 ) の調査による分析 tive/2004/active2004_ 1a.html 5

6 情報漏洩の原因は? 要素 原因 % 内容詳細 技術的 人為ミス 22.1% 設定ミス 誤操作 管理ミス 技術的 対策不足 4.4% バグ セキュリティホール ウイルス 不正アクセス 非技術的 人為ミス 24.3% 置き忘れ 目的外利用 非技術的 犯罪 46.7% 内部犯罪 情報持ち出し 盗難 その他その他 不明 2.4% その他 不明 出典 : 6

7 漏洩の経路 紙が多い! しかし 紙よりノート PC の方が保持する情報の量が多い = ビジネスインパクトが大きい tive/2004/active2004_ 1a.html 7

8 原因傾向からわかること 紙媒体の管理の問題 盗難 されてしまうものとは何か? 紛失 置き忘れ されてしまうものとは何か? 8

9 原因傾向から考える対策 盗難 対策 防犯対策 ( オフィスの保護 ) 機器 書類の持ち出し管理 盗まれた後中身を読まれないための対策 紛失 置き忘れ 対策 機器 書類の持ち出し管理 誰かの手にわたったあと 中身を読まれないための対策 9

10 具体的な対策の中身 ルール制定 手順化による対策 機器を持ち出すときには上長の承認を得て 管理者が持ち出し簿に記録したのち 持ち出す ワイアで机にくくりつけるなどの防犯対策 コンピュータの中身を読みにくくする 暗号 認証強化 (USB キーなど ) 10

11 情報漏洩への技術的対策 予防的対策 アクセス制御 リソース制御などの強化 ファイルトレース (DRM= 電子著作権保護管理システムなど ) 事後への備え 操作記録 通信記録 暗号化 11

12 操作記録 監視ソフトウエア 対象となる PC のほぼすべてがわかり 記録可能であり 操作も可能である 事後に記録を解析するため? 心理的抑止効果? USB の I/F や CD,DVD の I/F の制限 制御ができるものもある 漏洩予防 12

13 ファイルの追跡 デジタル著作権管理システム ファイルコピー 送出などの制限 通信記録と同様 多量の記録が残る 13

14 通信ログ 事後の証拠としての記録 監査に使う記録 膨大な量になる記録 リアルタイムの解析は絶望的? 単にログだけがあっても 特異点抽出が難しい 14

15 暗号化 ファイルシステムの暗号化 ファイルの暗号化 各種媒体の防御 暗号化 暗号化の場合 鍵管理 リカバリーがポイント 15

16 バランス ルールや手順化に頼りすぎるパターン 手間や煩雑さの増大 業務効率の悪化 技術的対策に頼りすぎるパターン 情報を処理しきれない システム不全時に業務ができない 16

17 バランスを取るポイント 現在の業務フローを書き出す セキュリティ面を改良する ここで 手順が増えるのかどうか 増える場合にそれを技術的対策で代替できるのかどうかを考え 検討する 組織の文化風土が重要 エラー処理を考える 増える手順 エラー処理を技術でどこまで補完 サポートできるかがポイント 17

18 最近の傾向からの予測 データベースが狙われている SQL インジェクション 問われる情報システム自体の安全性 アプリケーションの分野のセキュリティは まだ対応できていないところが多い 18

19 情報セキュリティセミナー 2005 不正アクセス 手口の解説と対策 Copyright 2005 独立行政法人情報処理推進機構 情報セキュリティセミナー -AdvancedITSecuritySeminar

20 不正アクセスとは何か 一般的な概念 システムを利用する者が その者に与えられた権限によって許された行為以外の行為をネットワークを介して意図的に行うこと 法的な定義 コンピュータ不正アクセス対策基準 より ( 平成 8 年 8 月 8 日付け通商産業省 < 現 経済産業省 > 告示第 362 号 ) 参照 : 不正アクセス行為の禁止等に関する法律 20

21 共通の不正アクセス対策 適切な ID パスワードの設定 管理 脆弱性の解消 デフォルト設定からの変更 不要なサービスの停止 削除 21

22 不正アクセス 最近の傾向 ウェブアプリケーションの脆弱性を 突いた攻撃が目立ってきた 個人情報の略奪が目的と思われる ケースが多くなりつつある ( フィッシング SQL インジェクションによる手口など ) 22

23 フトウエア製品の脆弱性個人ソ情報システムの脆弱性対策への取り組み ~ 情報セキュリティ早期警戒パートナーシップ ~ 発見者 情報届出 IPA 受付機関受付機関 報告された脆弱性関連情報の内容の確認 脆弱性関連情報通知 JPCERT /CC 調整機関調整機関 対応状況の集約, 公表公表日の決定, 日の調整等海外の調整機関との連携等 IPA, JPCERT/CC 対策情報ポータル (JVN) システム導入支援者製品開発者脆弱性関連 セキュリティ対策推進協議会等 対策方法等公表 ユーザ 政府 企業 ウェブサイトの脆弱性脆弱性関連情報届出 脆弱性関連情報通知 ウェブサイト運営者 検証, 対策実施 個人情報漏洩時は事実関係を公表 1 製品開発者及びウェブサイト運営者による脆弱性対策を促進 期待効果 2 脆弱性関連情報の放置 危険な公表を抑制 3 個人情報等重要情報の流出や重要システムの停止を予防 出典 : ソフトウエア等脆弱性関連情報取扱基準とガイドラインの概要説明 ( 脆弱性関連情報取り扱い説明会資料, 経済産業省 ) より 23

24 ウェブアプリケーションの脆弱性届出状況 <ウェブアプリケーションの脆弱性種類別種類別内訳 > DNS 情報の設定不備 1% 1% 1% 1% 2% 2% 3% 3% 4% 5% 1% 2% 5 位 5% 4 位 8% 3 位 SQL インジェクション 2 位 6% クロスサイト スクリプティング 1 位 10% 46% 1 位 : クロスサイト スクリプティング (46%) 2 位 : パス名パラメータの未チェック (10%) 3 位 : SQL インジェクション (8%) 4 位 : ファイルの誤った公開 (5%) 5 位 : 価格等の改ざん (5%) 出典 : ソフトウエア等の脆弱性関連情報に関する届出状況 [2005 年第 2 四半期 (4 月 ~6 月 )] (2004 年 7 月から 2005 年 6 月末までの 合計 265 件の届出の内訳 ) 24

25 ウェブアプリケーションの脆弱性届出状況 <ウェブアプリケーションの脆弱性脅威脅威別内訳 > 2% 2% 2% 2% 4% 8% 5 位 1% 6% 1 位 32% 1 位 : Cookie 情報の漏洩 (32%) 2 位 : サーバ内ファイルの漏洩 (14%) 3 位 : データの改ざん 消去 (14%) 4 位 : 本物サイト上への偽情報表示 (13%) 5 位 : 個人情報の漏洩 (8%) 13% 4 位 3 位 14% 2 位 14% 出典 : ソフトウエア等の脆弱性関連情報に関する届出状況 [2005 年第 2 四半期 (4 月 ~6 月 )] (2004 年 7 月から 2005 年 6 月末までの 合計 265 件の届出の内訳 ) 25

26 不正アクセス 手口の解説と対策 (1) クロスサイトスクリプティング 26

27 不正アクセス 手口の解説と対策 (1) クロスサイトスクリプティングとは? 利用者からの入力に対して ウェブサーバ側で動的に HTML 等のページを生成する仕組みを設けている場合に セキュリティ上の問題となり得るもの あるサイトに書かれているスクリプトが別のサイトへとまたがり ( クロスして ) 転送され 最終的には利用者のブラウザ上で実行されることから クロスサイトスクリプティングと呼ばれる 27

28 不正アクセス 手口の解説と対策 (1) クロスサイトスクリプティングとは? スクリプトを排除しない欠陥 28

29 不正アクセス 手口の解説と対策 (1) 脅威 : クロスサイトスクリプティング脆弱性 影響 利用者のブラウザ上で スクリプトが実行される セッション ID を含む Cookie の盗難 表示ページの改ざん フィッシングの餌食に ファイルの破壊 その他 悪意のあるスクリプトの実行 企業の信用失墜につながる 29

30 不正アクセス 手口の解説と対策 (1) 脅威 : クロスサイトスクリプティング脆弱性 対策 ( 開発時 ) ユーザが入力可能な文字を厳密に定義 ページ生成時のメタキャラクタのエスケープ処理を行うなどのスクリプト無効化処理 ( 運用時 ) ウェブアプリケーションファイアウォールの導入 (mod_security Guardian@JUMPERZ.NET CodeSeeker など ) ウェブサーバやウェブアプリケーションベンダ情報を入手し対処 ( ウェブサーバなどの欠陥修正 ) 30

31 不正アクセス 手口の解説と対策 (1) ページ生成時のメタキャラクタのエスケープ処理 動的生成されたページ中に意図しないタグが含まれないようにする ( 例 ) <A HREF= abc > の abc 部分を生成する時点では 文字 をエスケープ処理 ( " に置き換える ) します この他に < は < > は > にエスケープします 参考 : ウェブサイトにおけるクロスサイトスクリプティング脆弱性に関する情報 セキュア プログラミング講座 31

32 不正アクセス 手口の解説と対策 (2) SQL インジェクション 32

33 不正アクセス 手口の解説と対策 (2) SQL インジェクションとは? 利用者から入力を受け付けるウェブアプリケーションがデータベースと連携してサービスを行っている場合に セキュリティ上の問題になり得るもの データベースに対する問合せデータ中に 意図的に SQL 文を混ぜ込んでおき データベース内部でその SQL コマンドを不正に実行させ 情報を盗み出したりシステムに被害を及ぼしたりすること SQL (Structured Query Language) リレーショナルデータベースマネジメントシステム (RDBMS) において データの操作や定義を行うための問合せ言語のこと 構造化問い合わせ言語とも言う 33

34 不正アクセス 手口の解説と対策 (2) SQL インジェクションとは? SQL 文例 $SQL="SELECT * FROM user WHERE id='$id' "; 一般利用者 ID john john のレコード SELECT * FROM user WHERE id= john' john user ID john or A = A 全てのレコード ウェブサーバ + ウェブアプリ データベース SELECT * FROM user WHERE id= john or A = A' john or A = A 悪意を持つ人 全て を意味する 34

35 不正アクセス 手口の解説と対策 (2) 脅威 :SQL インジェクション 影響 データベース内で 管理者が意図しない SQL コマンドを実行されてしまう データベース内データの不正閲覧 パスワード情報の盗難 データベースの改ざん データ破壊 その他 コマンドの不正実行 35

36 不正アクセス 手口の解説と対策 (2) 脅威 :SQL インジェクション 対策 ( 開発時 ) ユーザが入力可能な値を厳密に定義 不正入力値の無害化 準備済み SQL 文の使用 ( バインドメカニズム ) ( 運用時 ) エラーメッセージを出さない ウェブアプリケーションが持つ権限の最小限化 ウェブアプリケーションのパスワードの秘匿 実行可能なコマンドの制限 アクセスログの取得および解析 ウェブアプリケーションファイアウォールの導入 (mod_security Guardian@JUMPERZ.NET CodeSeeker など ) 参考 : セキュアプログラミング講座 36

37 不正アクセス 手口の解説と対策 (3) DNS 情報の設定不備を突いた手口 37

38 不正アクセス 手口の解説と対策 (2) DNS 情報の設定不備を突いた手口とは? DNS サーバ運用を外部の業者等に委託したりした場合 管理の誤りなどでドメイン登録情報とサーバ設定が一致していない場合 セキュリティ上の問題となり得るもの 期限切れのドメイン名を第三者が正規の手続きで取得し アクセスしてきた利用者を偽サイトに誘導したりすること DNS キャッシュ汚染の問題とは別です 38

39 不正アクセス 手口の解説と対策 (3) DNS 情報の設定不備を突いた手口とは? へアクセス 1 問い合わせ 5 問い合わせ Jp ドメイン管理 DNSサーバ 2foo.testを回答 foo.test DNS サーバ example.jp ドメインを持つ組織が管理委託している DNS サーバ $ whois -h whois.jprs.jp example.jp Domain Information: [ ドメイン情報 ] [Domain Name] EXAMPLE.JP [ 登録者名 ] John Smith [Registrant] John Smith [Name Server] ns.example.jp [Name Server] foo.test 3 問い合わせ testドメイン管理 悪意を持つ人が foo.testは foo.testドメインを 取得して IPアドレス を回答 foo.testは 変更 を回答 DNSサーバ 5 問い合わせ一般利用者 を回答 へアクセス を回答 へアクセス 悪意を持つ人が用意したサーバ 悪意を持つ人 foo.test DNS サーバ 偽 悪意を持つ人

40 不正アクセス 手口の解説と対策 (3) 脅威 :DNS 情報の設定不備 影響 ドメインの乗っ取り ( ドメインハイジャック ) 偽サイトへの誘導 メールの盗み見 利用者個人情報の詐取 ( フィッシング ) 利用者 PC への悪質なソフトウェアインストール 40

41 不正アクセス 手口の解説と対策 (3) 脅威 :DNS 情報の設定不備 対策 ドメイン名が安全に運用されているか確認 DNS サーバの登録情報を確認 DNS サーバ管理を他社に委託している場合 業者が正しく DNS サーバを運用しているか確認 参考 : ドメイン名の登録と DNS サーバの設定に関する注意喚起 JPRS が DNS サーバの不適切な管理による危険性解消のための取り組みを開始 41

42 その他のウェブサイトの問題 パス トラバーサルの問題 公開するべきではないファイルが公開されてしまっている ショッピングサイト上の表記改ざんの問題 商品の値段や 商品名が書き換えられてしまう オーバーフローの問題 長すぎる入力をされると サーバや CGI に異常が発生する セッション ハイジャックの問題 第三者にセッションを乗っとられ ログイン認証を回避される ネットワーク盗聴の問題 暗号化されていない場合に 重要な情報が盗まれる パスワード推測の問題 パスワードが推測可能な場合 認証を突破される フィッシング詐欺につながる問題 オレオレ証明書や ウェブサイトの脆弱性がフィッシングに利用される 参考 : 消費者向け電子商取引サイトの運用における注意点 42

43 まとめ ウェブサイトの脆弱性の悪用による被害を回避するためには 以下の対策が必要です ウェブアプリケーションが稼動しているウェブサーバのセキュリティ対策 ウェブサーバが設置されているネットワーク ( ルータやファイアウォール ) のセキュリティ対策 ウェブアプリケーションのセキュリティ対策 参考 : ウェブサイトのセキュリティ対策の再確認を ~ 脆弱性対策のチェックポイント ~ 43

44 ご参考 フリーのウェブアプリケーションファイアウォール情報 mod_security CodeSeeker &package_id=

45 情報セキュリティセミナー 2005 情報セキュリティ技術マップ Copyright 2005 独立行政法人情報処理推進機構 情報セキュリティセミナー -AdvancedITSecuritySeminar

46 情報セキュリティ技術マップ 情報セキュリティ ネットワークセキュリティ 建物や設備の物理的なセキュリティ 46

47 情報セキュリティ技術マップ (2) 情報漏えい対策 (4) ログ管理 (1) 不正アクセス 対策 (3) 資源 利用者 管理 47

48 対策の基本 多重防御の原則 最小権限の原則 48

49 (1) 不正アクセス対策 ルータやファイアウォール プロキシサーバ IDS/IPS リモートアクセス対策 ( 暗号化 ) サーバの要塞化 ( セキュア OS) 定期的な監査 ログ管理 49

50 企業内ネットワーク リモートアクセス環境 インターネット DMZ に置かれたサーバ群 ファイアウォール 仮想ネットワーク IDS/IPS 通信の暗号化 無線 LAN サーバの要塞化 50

51 ルータやファイアウォール NAT および IP マスカレード パケットフィルタリング ファイアウォールは ルータよりも多様なアクセス制御が可能 アクセス履歴 ( ログ ) の保存 外からの通信 Internet 内部からの通信 内部ネットワーク 51

52 プロキシサーバ プロキシサーバ 通信の間に入ってクライアントを守る キャッシュによる高速化 通信制限 ワクチンサーバ ( ウイルスウォール ) メールサーバの多重化 ウイルスメールを遮断 無効化 52

53 IDS/IPS IDS(Intrusion Detection System) 侵入検知システム シグネチャの更新 ログの保存 分析 IPS(Intrusion Prevention System) 侵入防止システム 53

54 リモートアクセス対策 ( 暗号化 ) 無線 LAN の利用 セキュリティ設定の実装 利用者制限 VPN の利用 IPSec/SSL による暗号通信 SSH(Secure Shell) の利用 暗号化通信 54

55 サーバの要塞化 パケットフィルタリング アクセス元の IP 制限 ( アクセス制限 ) 不要なサービスの停止 ( セキュアなサービス構成 ) バッファオーバーフロー対策 OS のセキュリティ機能の利用 利用者制限 アクセス履歴 ( ログ ) の保存 セキュア OS の利用 定期的なバックアップ 運用管理上の対策 セキュアなサービス構成不要なサービスの停止 TCP/IPのアクセス制御パケットフィルタリング 55

56 定期的な監査 完全性保護対策 壊されていないか セキュリティ監査の実施 備えは十分か 脆弱性監査の実施 セキュリティホールはないか 56

57 (2) 情報漏洩対策 メールの運用ルール 情報へのアクセス制限 スパイウェア ウイルス対策 Web サーバの補強 情報の暗号化 57

58 メールの運用ルール 暗号化ツールの利用 メール運用ルールの徹底 添付の制限 宛先の制限 履歴の管理 ウイルス対策 メーラの脆弱性解消 58

59 情報へのアクセス制限 情報ベースのアクセス制限 最小権限の適用 (Admin/Root 権限 ) 情報資産のコピー 転用の抑止 アクセス履歴 ( ログ ) の保存 定期的なログ分析 59

60 スパイウェア ウイルス対策 スパイウェアが原因の情報漏洩 管理ツールの誤検知を防止 ウイルスによる情報漏洩 60

61 Web サーバの補強 脆弱性の排除 OS の最新パッチの適用 アプリケーションのバージョンアップ 安全性保護対策 ( 改ざん監視 ) 改ざんされていないことを監視 改ざん防止ツールの利用 61

62 情報の暗号化 電子化された情報資産の暗号化 利用者制限 暗号化による問題点もある キーの紛失 エラー対策 62

63 (3) 資源 利用者管理 クライアントの資源管理 利用者認証 利用者ごとのアクセス制限 外部サイトへのアクセス制限 外部記憶媒体の接続制限 利用できるアプリケーションの制限 入退出管理 63

64 クライアントの資源管理 検疫ネットワークの利用 資源管理ツールの利用 バージョン管理およびライセンス管理 パッチの一元管理ツールの利用 脆弱性監査ツールの利用 クライアントに情報資産を置かない方法 シンクライアントの利用 64

65 検疫ネットワーク 検疫ネットワークと呼ばれるシステム環境には 単純に企業内ネットワークに接続可能なコンピュータ機器を制御 ( 制限 ) するもの 接続しようとするコンピュータ機器のセキュリティ状態 ( 脆弱性など ) を確認してから 状態により接続するもの さらに セキュリティ対策 ( パッチの適用など ) を自ら行ってから 接続するものなど いろいろな形態があるようですが 現状では 非常に高価なものと言えます 65

66 パッチ配布 / 適用を自動化するツール システム管理者は 組織内の個々コンピュータに パッチを適用し かつウイルス対策ソフトを更新するという際限のない作業を続けています これらの問題を解決するために パッチ配布 / 適用を自動化するツール があります また 組織内の個々コンピュータに パッチの適用が行われているか検査するツール もあります このようなツールを利用することで システム管理者の負担を軽減でき かつセキュリティが高いレベルで維持できる可能性があります パッチ自動 パッチ適用 66

67 脆弱性検査ツール サービス 組織内の個々コンピュータ ( クライアントおよびサーバー ) の脆弱性 ( セキュリティホール ) を診断するツールやサービスがあります Web アプリケーションの脆弱性を診断するツールやサービスがあります このようなツールを利用することで システム管理者の負担を軽減できる かつセキュリティが高いレベルで維持できる可能性があります 脆弱性検査 セキュリティホール自動検出 67

68 改ざんを監視するツール サービス Web サーバーへの攻撃や Web コンテンツの改ざんを監視するツールやサービスがあります Web コンテンツの復旧まで実施してくれるツールもあります Web サーバーへの攻撃から Web アプリケーションを守るためのツールもあります このようなツールを利用することで システム管理者の負担を軽減できる かつセキュリティが高いレベルで維持できる可能性があります Web 改ざん監視 Web 改ざん対策 68

69 ツールの利用 パッチ管理 Microsoft Baseline Security Analyzer (HfNetChk) Microsoft Software Update Services(SUS) Solaris パッチの管理用ツール 脆弱性監査ツール Nessus SARA (Security Auditor's Research Assistant) 69

70 利用者認証 ID パスワードの補強 ワンタイムパスワード バイオ認証の利用 指紋 虹彩 静脈 筆跡 キーストローク 盲点もあるので注意 メモリデバイスによる認証 USB トークン PKI( 公開鍵基盤 ) IC カードに電子証明書を格納 70

71 利用者ごとのアクセス制限 人ベースのアクセス制限 最小権限 ( 権限の最小化 ) 利用できる情報資産を利用者ごとに制限 アクセス履歴 ( ログ ) の保存 定期的なログ分析 71

72 外部サイトへのアクセス制限 利用できる外部サイト (URL) を制限 コンテンツフィルタリング 外部サイトへのアクセスができる環境を別に作る 社内に物理的なセキュリティゾーンを作る 72

73 外部記憶媒体の接続制限 クライアントでのコピー抑止 社外持ち出し抑止 印刷出力制限 73

74 利用できるアプリケーションの制限 業務アプリケーションのみ利用可能 ライセンス管理 PtoP( ファイル交換等 ) の利用制限 フリー Web メールの利用制限 予想していない ( 通常でない ) ネットワークの出入口 ( 通信 ) を塞ぐと言うこと 74

75 入退出管理 情報資産の運用区画の制限 運用区画への入退室制限と履歴収集 その他に コンピュータ機器の盗難防止 情報資源を収納するロッカー等の旋錠 机上の整理 整頓の徹底 離籍時のコンピュータロックの義務化 等々 75

76 (4) ログ管理 定期的なログ分析 ログ解析ツールの利用 適切なフィードバック 76

77 ログ管理の留意点 必要な情報を収集するようにログを設定する ログサーバで集中管理 ログを安全に保管する ツールを利用して分析する 詳細な監査ログ 時計の同期 ( 照合のため ) 普段からチェックし正常値を把握しておく 77

78 ログ解析の考え方 ログに頼らなければならないのは いつも 事後 である ログ解析は複数参照が基本 時刻あわせが必須 証拠としての力も考慮する 78

79 単純な DMZ ありの企業内ネットワーク インターネット ファイアウォール DMZ サーバ群 79

80 通信ログ収集 ( 監視 ) の配備 インターネット ここの通信のログ ここの通信のログ ここの通信のログ 80

81 ログの種類と性質 構成要素ファイアウォール各コンピュータの OS サーバのソフトウエア IDS ネットワーク機器 取れる内容 取ろうと思えば何でも 誰が使ったか どんな使い方をしたか 誰にどう使われたか 怪しいアクセスを詳しく 通信について限定的に 81

82 ログ配備のポイント 重要な情報資産がある場所は詳しく 重要な情報資産へのアクセスは詳しく 詳しく取りたい場所は二重化も検討 イベントを追いかけたい場所は IDS などの機械的な手段を検討 82

83 まとめ 計画的に対策を確実に実施 ポリシーに基づいたセキュリティ機能の実装 継続的な改善によるセキュリティの維持 最小限のアクセスのみ許可する ( 最小権限 ) 多段階での防御をする ( 多重防御 ) 防御 検知 リアクション 83

84 情報セキュリティセミナー 2005 インシデント対応 Copyright 2005 独立行政法人情報処理推進機構 情報セキュリティセミナー -AdvancedITSecuritySeminar

85 インシデント対応とは インシデント情報セキュリティ分野においては (Security incident) 情報セキュリティリスクが発現, 現実化した事象 サービス妨害 (DoS) 攻撃 システムへの侵入 サーバの不正中継 インシデント対応インシデントの発生に際して それを検知し 関係組織と連絡をとり 被害の拡大を防ぐと共に 再発を防止するための原因究明と改善を行う 一連の組織的活動 等 85

86 インシデント対応の流れ 平時における準備 インシデント発生時の対応 インシデント発生後の対応 86

87 平時におけるインシデント対応の準備 セキュリティポリシー等の中で手順を明記インシデント発生時の体制 責任者 連絡先等 平時に行われていなければならないこと 定期的バックアップ システムの通常状態の把握 外部情報収集と修正プログラムの適用 予行演習 代替サービスの準備 ( レンタルサーバなど ) 技術的手段の準備 情報セキュリティ侵害の検知を支援するツール バックアップ資源 87

88 情報セキュリティ侵害を検出する (1) 検出 認識の方法 既知の侵害 ( パターン ) を検出する : シグネチャ認識 異常な状態を認識する : アノマリ検出 他者からの連絡 ツールの利用 次に何をすべきか? 88

89 情報セキュリティ侵害を検出する (2) ー異常な状態を認識する システム異常の例 (1) レスポンスの異常な低下 (2) システムエラーの発生 (3) システムの異常停止 (4) ファイルの改ざん (5) 存在すべきファイルの抹消や不明なファイルの存在 (6) ファイル利用量の急激な増減 (7) 本来稼動しているはずのサービスの停止 (8) 不明なプロセスの実行 (9) 本来利用できないはずのシステムユーザの利用 89

90 情報セキュリティ侵害を検出する (3) ーツールの利用 異常検出を極力自動化 例 (1)IDS(Intrusion Detection System): 侵入検知システム (2)Tripwire による各種設定ファイルの改ざんチェック 当該ファイルのハッシュ値の比較 ( 正常時と異常時 ) 90

91 情報セキュリティ侵害を検出する (4) ー次に何をすべきか? インシデントの状態の保存 各種設定ファイル ネットワークの接続状況 ログインユーザ すべてのプロセス等 該当インシデントの公開情報の調査 IPA/ISEC JPCERT/CC 等の利用 本当にインシデントかどうかの確認 時系列の記録の開始 91

92 インシデントに対応する (1) インシデント対応手順の確認 報告する 組織体内部のコミュニケーションあらかじめ定められた手順 関連組織とのコミュニケーション参考資料 :JPCERT/CC 技術メモ関係サイトとの情報交換 92

93 インシデントに対応する (2) 暫定的対応と本格的対応 暫定的対応 ( 被害の拡大防止 ): ネットワークの遮断 / システムの停止 本格的対応 ( 再発防止 ): 原因の特定 クリーンなシステムの再構築 ( 攻撃者にシステム特権を奪われたとき ) 修正プログラムの適用 データの復旧 93

94 インシデント後 報告書 時系列記録の整理 報告 今回対応のよかった点 / 悪かった点 改善する 改善点をセキュリティポリシーや手順書に反映 集約 技術的な改善 組織間コミュニケーションの改善 94

95 原因の追究 ログ解析により原因を追究する セキュリティ検査によって原因を追究する - 脆弱性検査 検査手順の確立 95

96 ログ解析の考え方 ログに頼らなければならないのは いつも 事後 である ログ解析は複数参照が基本 時刻あわせが必須 証拠としての力も考慮する 96

97 ログの種類と性質 構成要素ファイアウォール各コンピュータの OS サーバのソフトウエア IDS ネットワーク機器 取れる内容 取ろうと思えば何でも 誰が使ったか どんな使い方をしたか 誰にどう使われたか 怪しいアクセスを詳しく 通信について限定的に 97

98 事件 事故の検知とログ インシデントの内容がわかっている場合 IDS が検知したものは 時刻特定までできる 他者による通知の場合は 異常を推測 特定しなければならない インシデントの内容がわからない場合 特異点をあぶりださなければならない 98

99 特異点のあぶりだし IDS が特定してくれると楽 誤報は考慮する必要がある トラフィックの異常をグラフ化して検知 IDS とは異なる思想 重要保護地点でのファイル差分 機械的なスキャンが可能 99

100 専門家 ( 捜査機関含む ) に調査を依頼する場合 証拠保全の考え方 現場 を荒らさない! 保全 しなければならない情報は何か 優先順位は? 100

101 証拠保全 -(1) 刑事事件を視野に入れる場合は 証拠保全 証拠 となるデータを 可能な限りそのままの状態で捜査機関にわたす 証拠保全 = 現場保全であり 不用意なログインを含めてできるだけ操作をしないことが重要 ただし 被害拡大を防ぐための最低限の処置は行う ルーティング変更 DNS 変更 ファイアウォールのフィルタ等による通信遮断 物理的にネットワークを遮断するのは得策ではない 物理的な遮断 を行うことでシステム内部の情報が変化するおそれがあるため 通信 の隔離の方が望ましい 101

102 証拠保全 -(2) 標的だけを隔離する例 標的サーバへの通信 標的サーバからの通信だけを遮断し 標的の状態を保全する ただし 標的ではないサーバも注意が必要 踏み台 ( 標的サーバ ) からの 2 次攻撃の可能性有り ルータ ファイアウォール 標的サーバ 標的ではないサーバ 102

103 証拠保全 -(3) 刑事と民事 刑事事件は捜査機関に任せる 不正アクセス禁止法などは刑事なので 捜査機関が起訴可能と判断すれば逮捕等に発展することが可能 捜査主体は当然捜査機関であり 被害者といえども口出しできない 刑事事件の証拠は 原本 ( オリジナル ) である必要があるため データが必要ならば手元に自分でコピーして置いておく必要がある 民事は自分で証拠を集めて立証する 損害賠償を求める場合などは 損害程度 損害をうけた証拠 相手を特定できる証拠などを集める必要がある したがって 自分で証拠となりそうなものを解析する必要がある ( もちろん 業者への依頼という手もある ) 103

104 まとめ : インシデント対応の作業手順 1. 手順の確認 2. 作業記録の作成 3. 責任者 担当者への連絡 4. 事実の確認 5. スナップショットの保存 6. ネットワーク接続やシステムの遮断もしくは停止 7. 影響範囲の特定 8. 渉外 関係サイトへの連絡 9. 要因の特定 10. システムの復旧 11. 再発防止策の実施 12. 監視体制の強化 13. 作業結果の報告 14. 作業の評価 ポリシー 運用体制 運用手順の見直し 出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応 104

105 個人情報漏洩時の対応手順 組織的安全管理措置 (5) 事故又は違反への対処をする上で望まれる事項 事実関係 再発防止策等の公表 その他 以下の項目等の実施 ア ) 事実調査 イ ) 影響範囲の特定 ウ ) 影響を受ける可能性のある本人及び主務大臣等への報告 エ ) 原因の究明 オ ) 再発防止策の検討 実施 出典経済産業省個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン 105

106 補足 : 不審なアクセスを検出した場合の対応 可能性 (a) 攻撃対象の探索を意図したアクセス または アタックそのもの (b) 設定ミス 操作ミスによるアクセス (c) システムの予想外の挙動によるアクセス 対応 (a) すべてのアタックについて防御に成功したと判断できない場合には 念のためシステムの稼働状況を調査し 不審な点がないか確認 出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応 106

107 補足 : 外部からインシデントについての連絡を受けた場合 (1) サイト内での調整広報 渉外 法務などからの対応が望まれる場合は 該当部署と調整 (2) 事実関係の確認 連絡元の主張する内容を落ち付いて確認 ( 対象サイト アクセスの内容 日時等 ) 自サイトの場合システムログ等による事実関係の確認 ( 事実の場合 影響度によってはネットワーク接続やシステムの遮断 停止を優先するほうがよい場合も ) (3) 連絡元への対応 善意の連絡 : 事情説明 謝罪など礼を逸しない対応 悪意の連絡 : 回答を避ける等の特別の対応も検討要 出典 : JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応 107

108 補足 : 侵入への対応 (1) ネットワークの遮断 システムの停止 (2) スナップショットの保存 (3) 被侵入システムにおける調査 (4) 他のシステムに対する影響の調査 (5) 侵入経路の特定 出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応 108

109 補足 : 侵入への対応 -(1) (1) ネットワークの遮断 システムの停止システム侵入 ログ改ざんのおそれ 他システムへの攻撃元として悪用 パケット盗聴プログラムの設置 情報の持ち出しなどネットワークの遮断やシステムの停止について優先的に検討要 出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応 109

110 補足 : 侵入への対応 -(2) (2) スナップショットの保存 プロセスの稼働状況 ネットワークの利用状況 ファイルシステムの状況 ( ファイルの最終参照時刻 最終更新時刻 所有者 アクセス権など ) 出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応 110

111 補足 : 侵入への対応 -(3) (3) 被侵入システムにおける調査正常な状態と比較し 相違の有無を確認改ざんの例 : アカウント情報の追加 変更 ユーザ認証機構の改ざん プログラムのインストール 起動 セキュリティ上の弱点を含むソフトウェアへのダウングレード 侵入者に関する情報を出力から除外するコマンドへの置換 改ざんされていないコマンドによる調査が重要 出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応 111

112 補足 : 侵入への対応 -(4) (4) 他のシステムに対する影響の調査 攻撃用ツールの出力を保存したファイル 侵入者による他システムへの TCP 接続の痕跡 ルータやファイアウォールのログ 出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応 112

113 補足 : 侵入への対応 -(5) (5) 侵入経路の特定弱点のチェック 放置していたセキュリティ上の問題 弱点はなかったか パスワードファイルや設定ファイル類が盗まれた形跡はないか 見破られやすいパスワードがなかったか HTTP や FTP など 公開しているサービスに設定の誤りが なかったかなどをチェック 出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応 113

114 参考 : 侵入検知に関する資料 [1] Intruder Detection Checklist [2] Steps for Recovering from a UNIX or NT System Compromise [3] CIAC-2305 Unix Incident Guide: How to Detect an Intrusion ftp://ciac.llnl.gov/pub/ciac/ciacdocs/ciac2305.pdf ftp://ciac.llnl.gov/pub/ciac/ciacdocs/ciac2305.txt [4] Windows NT Intruder Detection Checklist detection_checklist.html 114

115 情報セキュリティセミナー 2005 セキュリティ情報収集方法の紹介 参考までに Copyright 2005 独立行政法人情報処理推進機構 情報セキュリティセミナー -AdvancedITSecuritySeminar

116 (1) メールによる情報収集 [1/2] 企業内で利用しているハードウェアや市販のソフトウェアについては ユーザ登録を行うことで 脆弱性やパッチ ( アップデート ) の情報がメール配信される場合があります このようなユーザ登録は行っておくべきでしょう また これから紹介するようなメーリングリストに登録しておくことで 最新のセキュリティ情報をいち早く得ることが出来ます 116

117 (1) メールによる情報収集 [2/2] Microsoft のメーリングリストマイクロソフトプロダクトセキュリティ警告サービス IPA のメーリングリスト情報処理推進機構新着情報メール配信 JPCERT/CC のメーリングリスト JPCERT/CC メーリングリスト 117

118 118

119 (2)Web からの脆弱性やパッチの情報 [1/4] 脆弱性情報を提供するサイトを定期的に参照することで それらの最新情報を収集することが出来ます また ハードウェアやソフトウェアのメーカーサイトを定期的に参照することで それらの最新情報を収集することが出来ます 経済産業省告示 ソフトウエア等脆弱性関連情報取扱基準 (*) を受けて 日本国内の製品開発者の脆弱性対応状況を公開するサイトとして JVN があります 119

120 (2)Web からの脆弱性やパッチの情報 [2/4] IPA/ISEC JPCERT/CC ( 警察庁 /NPA) CERT/CC Security Focus 120

121 (2)Web からの脆弱性やパッチの情報 [3/4] Microsoft 日本語版 ) SUN &coll=fsalert&zone_32=category:security Cisco _listing.html 121

122 (2)Web からの脆弱性やパッチの情報 [4/4] CheckPoint 日本語版 ) Oracle 日本語版 ) IBM Apache 日本語版 ) HP 122

123 (2)Web からの脆弱性やパッチの情報収集 JVN JVN は "JP Vendor Status Notes" の略です 経済産業省告示 ソフトウエア等脆弱性関連情報取扱基準 (*) を受けて 日本国内の製品開発者の脆弱性対応状況を公開するサイトとして 有限責任中間法人 JPCERT コーディネーションセンター (JPCERT/CC) と独立行政法人情報処理推進機構 (IPA) が共同で運営しています JVN では JPCERT/CC が取り扱った脆弱性情報を公開しています これらの脆弱性情報には この枠組みに参加している日本国内の製品開発者の対応状況も含まれております 対応状況には 脆弱性に該当する製品の有無 回避策 ( ワークアラウンド ) や対策情報 ( パッチなど ) も含まれます 123

124 124

125 (3)Web からのコンピュータウイルス関連の情報収集 [1/2] 通常は ウイルス対策ソフトを導入してあり かつ常に最新版のウイルス定義ファイルに更新されていれば かなりの確立でウイルスを防ぐことが出来ますが 万が一感染してしまった場合あるいは詳細の情報が必要な場合には ワクチンベンダーのサイトを参照することで それらの最新情報を収集することが出来ます 125

126 (3)Web からのコンピュータウイルス関連の情報収集 [2/2] トレンドマイクロ Map) シマンテック McAfee Sophos F-Secure 126

127 (4)Web からの新種ワーム発生状況やインターネット事情の情報収集 [1/2] 2003 年の W32/MSBlaster および W32/Welchia の記憶は残っていると思いますが 最近はインターネットからの脆弱性を狙った攻撃が増加しています このような インターネットの状況を定期的に情報公開しているサイトがあります これらのサイトを定期的に参照することで 最新状況の情報収集をすることが出来ます 127

128 (4)Web からの新種ワーム発生状況やインターネット事情の情報収集 [2/2] InternetStormCenter dshield.org X-Force Internet Threat Intelligence IPA/ISEC JPCERT/CC ( 警察庁 /NPA) 128

129 (5)Web からのインシデント事情の情報収集 [1/3] セキュリティ情報となるか微妙ではありますが 最近発生しているインシデント事故等のニュース報道は それらを知ることで自分達のセキュリティ対策が有効であるかの検証にもなります したがって いろいろな Web ニュースを定期的に参照し 必要ならそれらの情報を企業内で共有することで企業内要員への啓蒙活動になると思われます 129

130 (5)Web からのインシデント事情の情報収集 [2/3] ITmedia CNET Japan Tech News Mainichi Impress Japan.Internet.Com 130

131 (5)Web からのインシデント事情の情報収集 [3/3] Net Security 日経 IT Pro IDG Japan MYCOM PCWEB Business Computer News 131

132 (6) その他 [ セキュリティ情報ポータルサービス ] セキュリティ情報を利用者の情報ポータルとして提供するセキュリティ情報ポータルサービスと呼ばれる有償サービスがあります 各種の脆弱性情報やセキュリティに関する情報を提供するものです このようなサービスを受けることで 情報収集を行うこともできます 132