講義システムのセキュリティ技術検査 1

講義 7 情報セキュリティ (2) 工業システム概論

講義システムのセキュリティ技術検査 1

1 セキュリティ技術検査の必要性 1 SONYの個人情報漏えい事故の原因ハッカーにシステム ( アプリケーション ) の脆弱性をつかれ システム内部に侵入された 2 ハッカーの立場でシステムやネットワークに脆弱性が ないか技術検査する 3 技術検査用のツールが多数公開されている ハッキングスキルの高い技術者がマニュアルでハッキング 検査をするケースもある 2

2 システムのセキュリティ技術検査 1 現在 システムの脆弱性を検査するために 多くの組織でセキュリティ技術検査が活用され 脆弱性の是正に有効な効果を上げている 2 標準的な検査は以下の 4 種類である リモート侵入検査オンサイト侵入検査サーバ設定検査ウェブアプリケーション検査 3

3 4 種類の技術検査 監査監査内容検出する脆弱性 リモート侵入検査 インターネット経由で模擬攻撃する検査 DMZ に対するインターネット経由攻撃に関する脆弱性 オンサイト侵入検査 サーバ設定検査 内部ネットワークから模擬攻撃する検査 サーバ設定等 直接サーバを確認する検査 インターネット経由の監査では検出できない脆弱性内部攻撃に関する脆弱性 サーバの脆弱な管理状態 ウェブアプリケーション検査 ウェブアプリケーションに特化した検査 ホームページに対する攻撃に関する脆弱性 4

4 技術検査の概要 1 リモート侵入検査 対象ネットワーク DMZ 公開 IP 2 オンサイト侵入検査 内部 IP 診断機 診断機 インターネット ファイアウォール 4 ウェブアプリケーション検査 ウェブアプリケーション 3 サーバ設定検査 5

5 オンサイト侵入検査 ( 内部ネットワークからの侵入検査 ) 利点 リモート侵入検査 距離に依存せず 効率的な検査作業が実施可能 外部 ( インターネット経由 ) からの攻撃に対するネットワーク全体としての脆弱性検査が可能 オンサイト侵入検査 サーバ固有のセキュリティ脆弱性の検査が可能 制約 接続経路 特にファイヤウォールやルータに依存した検査結果となる サーバ室内でしか検査を行うことができない 6

6 侵入検査 ( リモート侵入監査 オンサイト侵入監査 ) ツール 1 侵入検査における代表的検査ツール Qualys 社のQualysguard IBM 社のInternetScanner 2 検査用 PCから検査パケットを検査対象のサーバに送信し そのレスポンス内容から脆弱性の有無を検査する 検査パケット レスポンス 検査 PC ( リモート ) 検査 PC 検査対象 ( オンサイト ) 7

7 リモート侵入検査 ( インターネット経由の侵入検査 ) リモート侵入監査の構成イメージ 外部から攻撃可能か? 2 リモート侵入検査 対象ネットワーク 公開 IP 3 オンサイト侵入検査 内部 IP 診断機 診断機 インターネット ファイアウォール 1 ウェブアプリケーション検査 ウェブアプリケーション 4 サーバ設定検査 8

8 オンサイト侵入検査 ( 内部ネットワークからの侵入検査 ) オンサイト侵入検査の構成イメージ 2 リモート侵入検査 対象ネットワーク 公開 IP リモートから確認できない脆弱性はないか? 3 オンサイト侵入検査 内部 IP 診断機 診断機 インターネット ファイアウォール 1 ウェブアプリケーション検査 ウェブアプリケーション 4 サーバ設定検査 9

9 侵入検査 ( リモート侵入検査 オンサイト侵入検査 ) 項目 項番 検査項目 1 ポートスキャン調査 バナー調査 2 Web Mail DNS 等各種サーバに係わる脆弱性調査 3 RPCに係わる脆弱性調査 4 リモートアクセスに係わる脆弱性調査 5 各種 OSに係わる脆弱性調査 6 不正プログラムの調査 7 危険なCGIの検出 8 デフォルトアカウント調査 10

10 サーバ設定検査手法 検査手法 脆弱な管理状態にあるログインIDの存在や ウィルス対策ソフトウェアの導入 バージョンチェック等の調査を実施する サーバ設定監査ではサーバを直接確認しなければ調査できない項目について検査する 検査項目 項番 検査項目の例 1 パッチプログラムの適用状況 2 不正プログラムの検出 3 脆弱な管理状態にあるログイン ID 4 OS のセキュリティ設定 ( スクリーンセーバー設定 パーソナルファイアウォール ) 5 ウィルス対策ソフトウェアの導入と最新版の適用状況 11

11 サーバ設定検査 サーバ設定検査のイメージ 2 リモート侵入検査 対象ネットワーク 公開 IP 3 オンサイト侵入検査 内部 IP 診断機 診断機 インターネット ファイアウォール 1 ウェブアプリケーション検査 侵入検査で確認できない脆弱性はないか? ウェブアプリケーション 4 サーバ設定検査 12

12 ウェブアプリケーション検査 侵入検査は ネットワーク層等の低階層の技術を使って 侵入の可能性を追求するが アプリケーション層で稼働するウェブアプリケーションに対する攻撃が増加している インターネットに公開しているウェブサーバの安全性を確認するために ウェブアプリケーションに対する脆弱性検査をインターネット経由で実施する 検査対象のURLとページは 事前に決定する アプリケーション層 プレゼンテーション層 セッション層 ウェブアプリケーション検査 対応領域 トランスポート層 ネットワーク層 データリンク層 物理層 侵入検査 対応領域 13

13 ウェブアプリケーション検査 ウェブアプリケーション検査の構成イメージ 2 リモート侵入検査 お客様ネットワーク 公開 IP 3 オンサイト侵入検査 内部 IP 診断機 診断機 インターネット ファイアウォール 1 ウェブアプリケーション検査 ホームページへ攻撃可能か? ウェブアプリケーション 4 サーバ設定検査 14

14 ウェブアプリケーション検査項目 1 クロスサイトスクリプティングの脆弱性 2 SQL インジェクションの脆弱性 3 認証周りの不備 4 セッション管理の不備 5 クロスサイト リクエストフォージェリの脆弱性 6 ディレクトリトラバーサルの脆弱性 悪意のスクリプトコードを利用者のブラウザへ送信される恐れがある 内部で発行される SQL クエリを不正に操作され 情報の漏洩 改ざん等の恐れがある 正規の認証手続をとらずに認証後のページへアクセスされる恐れがある セッション管理が正しく行われていない場合 正規利用者になりすまされる恐れがある 正規利用者が意図しないリクエストをウェブアプリケーションに送信され 登録情報を変更される恐れがある 非公開のコンテンツを不正に閲覧 ダウンロードされる恐れがある 7 OS コマンドインジェクションの脆弱性任意の OS コマンドを実行される恐れがある 8 HTTP レスホ ンスヘッタ の分割の脆弱性フィッシング詐欺に悪用される恐れがある 9 アクセス制御の不備 欠落 上位権限が必要なコンテンツにアクセスされ 情報が漏洩する恐れがある 10 意図しないリダイレクトフィッシング詐欺に悪用される恐れがある 11 ディレクトリ リスティングの脆弱性内部情報が漏洩する恐れがある 15

15 SQL インジェクションのテスト (1) インターネット 公開 IP 検査員 DMZ 公開 IP SQL データベースの 不正アクセステスト 不正 SQL 文のテスト入力 ファイアウォール ウェブアプリケーションの 脆弱性を利用して テスト的に不正操作 16

15 SQL インジェクションのテスト (2) 下の例のような不正入力パターンをテスト入力して不正操作ができるか確認 受注データ表示画面 顧客 ID 表示 0001 OR 1=1 -- と入力 strsql = SELECT * FROM OrderDetail WHERE OrderID = 0001 OR 1=1 - - ; True を無効に すべてのデータを取得できてしまう!! True 17

16 ウェブアプリケーション検査ツール ウェブアプリケーション検査では IBM 社の監査ツール Rational AppScan を使用する 本ツールがインストールされた監査用 PCから 監査対象のウェブアプリケーションに対して擬似攻撃パケットを送信し ウェブアプリケーションのレスポンス内容から脆弱性の有無を判断する 擬似攻撃を実施するため 監査対象のウェブアプリケーションに影響が発生する可能性がある 擬似攻撃パケット 検査 PC レスポンス 検査対象 18

講義セキュリティ対策の自動化 19

1 FISMA プロジェクトにおける自動化 NIST ホームページ : http://www.nist.gov/itl/csd/ セキュリティ対策の自動化の NIST ガイドライン NIST SP 800-126 Rev.1 (Februrary,2011) The Technical Specification for SCAP SCAP: Security Content Automation Protocol NIST SP 800-117 Ver.1 (July,2010) Guide to Adopting and Using SCAP 20

2 セキュリティ管理の自動化の例 ウィルス対策ソフト Windows アップデート ISMS 構築支援ツール サーバ設定検査ツール 脆弱性検査ツール Web アプリケーション脆弱性検査 ネットワーク侵入検査ツール 21

3 FISMA フレームワークの自動化の考え方 FISMA 関連の膨大な標準やガイドラインを実装し リスクアセスメントフレームワークを運用するためには 自動化 (Automation) が必要不可欠 フレームワーク全体を可能な限り自動化する 自動化ツールも標準化する 報告書作成より継続的監視 SCAP が中心の標準 22

4 自動化の効果 評価の手作業 正確性の向上効率の向上コスト削減 評価の自動化 監査の自動化 23

5 SCAP によるセキュリティ自動化 チェックリスト XML 方式で記述 参照ガイドライン定義データ設定値チェック方法 CPE,CVE, CVSS CCE NIST SP シリーズガイドライン XCCDF SCAP ツール IA-5 パスワードの最低文字数設定例えば 8 桁以上 対応レポート OVAL OVAL Windows の PW 設定自動チェック 24

6 SCAP の規格 1 Common Platform Enumeration (CPE) 製品識別子を規定 2 Common Vulnerabilities and Exposures (CVE) 脆弱性識別子を規定 3 Common Vulnerability Scoring System (CVSS) 脆弱性評価を規定 4 Common Configuration Enumeration (CCE) 設定項目識別子を規定 5 Extensible Configuration Checklist Description Format (XCCDF) チェックリストの記述仕様 6 Open Vulnerability and Assessment Language (OVAL) 脆弱性 / 設定項目のチェック技術 25

7 リスクマネジメントフレームワークの自動化 Risk Management Strategy Architecture Description Organizational Inputs セキュリティ設定変更の継続監視 Step6 MONITOR Security Controls Step1 CATEGORIZE Information Systems Step2 SELECT Security Controls Step5 AUTHORIZE Information Systems セキュリティ管理策のセキュリティ設定の評価 Step4 ASSESS Security Controls セキュリティ設定の実装 Step3 IMPLEMENT Security Controls 26

8 SCAP の実装例 FDCC(Federal Desktop Core Configuration) デスクトップのセキュリティ確保の自動化と標準化 Windowsソフトウェアの共通セキュリティ設定 手作業から設定自動化へ 米国政府機関のCIOに適用義務 (2008 年 2 月 ) NIST,Microsoft 等が協力して作成 SCAPのチェックリストを使用 Windows Vista のチェックリスト : FDCC Windows Vista 27

9 IPA の MyJVN(1) IPA:http://www.ipa.go.jp/security/vuln/documents/2009/200911_myjvn_vc.html IPA の脆弱性対策自動化フレームワーク -MyJVN 国際性 (SCAP フレームワーク ) と国内向け脆弱性対策情報データベースとしての地域性を両立 MyJVN バージョンチェッカ利用者の PC にインストールされているソフトウェア製品のバージョンが最新であるか自動チェックするツール MyJVN セキュリティ設定チェッカー利用者の PC の設定をチェックリストに基づき自動チェックするツール例 ) パスワードの最低文字数 パスワードの有効期限等 28

9 IPA の MyJVN(2) IPA:http://www.ipa.go.jp/security/vuln/documents/2009/200911_myjvn_vc.html 29

講義スマートフォンのセキュリティ対策 30

1 スマートフォンのセキュリティ (1) 1 日本経済新聞記事 (2011 年 5 月 16 日 ) 1 スマートフォンはパソコン並の情報処理能力を持ち インターネットを介してアプリケーションソフトを取り込める 国内では11 年度の出荷が2000 万台を超え携帯電話の半数以上を占めるとされる 2 パソコンではセキュリティソフトが普及し 情報システム部門などがLANを通じて組織内の端末のコンピューターウイルス感染を常時監視している 3 スマートフォンではこうした対策がほとんど採られておらず 手軽な配信の仕組みが不正ソフトの侵入経路に悪用され 個人情報の流出や サーバー側を含めたシステム障害につながる懸念が強まっている パソコンのように大量のデータを蓄積できるため 業務用に利用した場合 情報流出のリスクもある 31

1 スマートフォンのセキュリティ (2) 4 スマートフォンはすでにサイバー攻撃の標的になっている 昨年末から今春にかけ アンドロイド端末に入り込み外部から操作したり 情報を盗み出したりする複数の不正ソフトが中国を中心に広がっている 英語版や日本語版も出回り 世界的にまん延する危険がある 5 不正ソフトは普通のアプリケーションを装ったゲームなどに組み込まれて おり パソコンほど苦労せず端末に侵入できる ( シマンテック ) という 6 専門家の間ではパソコンに代わるネットの入り口になりつつあるスマート フォンの安全対策の遅れを懸念する声が高まっている 32

1 スマートフォンのセキュリティ (3) 1 NTTドコモやKDDI セキュリティーソフトの米シマンテックなど内外の通信 IT( 情報技術 ) 大手約 40 社がスマートフォン ( 高機能携帯電話 ) の安全対策で連携する 2 10 月までに不正ソフトの防御法などをまとめる 2011 年のスマートフォンの世界出荷は4 億 2 千万台でパソコンを超える見通しだが パソコンに比べ安全対策は遅れている 3 スマートフォンを介して企業の基幹システムがサイバー攻撃を受ける危険もあり 防御網の構築が課題になっている 4 25 日に 日本スマートフォンセキュリティフォーラム を設立 パソコン向けセキュリティソフトを手掛ける米シマンテック トレンドマイクロ 通信機器の米シスコシステムズなど内外の40 社以上が参加する 5 スマートフォン向け基本ソフト (OS) の アンドロイド を開発したグーグルも協力し アップルのスマートフォン iphone を販売するソフトバンクも参加する見通しである 33

2 スマートフォンのセキュリティ対策 ケータイの セキュリティ +PC の セキュリティ がスマートフォンセキュリティに必要 ケータイ視点 ケータイと PC の融合 PC 視点 パスワードロック リモートロック リモートデータ削除 GPS パスワードポリシー URL フィルタリング ケータイの セキュリティ +PC の セキュリティ が求められるように! ウイルス対策 アプリ利用の制限 URL フィルタリング 34

3 スマートフォンのアンチウィルスソフトウェアの例 http://www.mcafee.com/japan/about/prelease/pr_10b.asp?pr=10/12/09-1 McAfee Inc. の日本法人 マカフィー 株式会社は Android OS を搭載した スマートフォンを防護するセキュリティソリューション McAfee VirusScan Mobile for Android テクノロジを日本 市場において提供を開始することを 2010 年 12 月 9 日発表した 35

4 スマートフォンのセキュリティガイドライン (1) JNSA:http://www.jnsa.org/result/2010/smap_guideline_Beta.pdf スマートフォンの安全な利活用のすすめ ~スマートフォン利用ガイドライン~ β 版 1 スマートフォンの利用におけるセキュリティ上の課題 1デバイスの設計に起因する課題 2 脆弱性管理における課題 3 業務利用における課題 4スマートフォンの可用性に関する課題 5スマートフォンを廃棄する際の課題 36

4 スマートフォンのセキュリティガイドライン (2) スマートフォンの安全な利活用のすすめ ~ スマートフォン利用ガイドライン ~ β 版 2 スマートフォンの安全な利用方法 ( チェックリスト方式 ) IT 管理者が考慮すべき事項とスマートフォン利用者が考慮すべき事項 1 スマートフォン導入時のセキュリティ対策項目 2 スマートフォンに関するセキュリティ機能確認項目 3 ネットワークにスマートフォンを接続させる際のセキュリティ対策項目 4 スマートフォンにおけるアプリケーション利用に関する考え方 5 スマートフォンで利用するアプリケーションに関するセキュリティ対策項目 6 スマートフォンの可用性を維持 向上させるためのセキュリティ対策項目 7 スマートフォン紛失時のセキュリティ対策項目 8 スマートフォン廃棄時のセキュリティ対策項目 9 スマートフォン利用時の脆弱性対策項目 10 スマートフォン上でデータを扱う際の留意事項 11 スマートフォンの不適切な利用がないことの確認 37