- 大学教育現場におけるセキュリティ対策の考え方 - 株式会社ラックサイバーリスク総合研究所最高技術責任者西本逸郎 Copyright 2010 LittleeArthCorporationCo earth.,., Ltd

- 大学教育現場におけるセキュリティ対策の考え方 - 株式会社ラックサイバーリスク総合研究所最高技術責任者西本逸郎 itsuro@laccojp http://wwwlaccojp/ 2010 LittleeArthCorporationCo earth,, Ltd 株式会社ラック IT を活用し企業のリスク管理を支援する次代と経営を拓くセキュリティプランナー 1986 年株式会社ラックは設立されました Little earth Corporation という社名には ITの進展で地球が相対的に小さくなっていく中で ITを基盤に国や企業の発展を支えていこうという理念がこめられています独立系セキュリティベンダーとして 15 年近くの豊富な実績がお客様の信頼の証です JSOC( 下記参照 ) サイバーリスク総合研究所サイバーリスク総合研究所サイバー救急センターサイバー救急センターの配備が特徴です商号設立資本金株式会社ラック LAC:Little earth Corporation Co, Ltd 1986 年 ( 昭和 61 年 )9 月 11 億 5,942 万 6,500 円株主ラックホールディングス株式会社 (100%) 代表代表取締役社長執行役員社長齋藤理売上高 5,138 百万円 (24 期 :2009 年 03 月期 ) 決算期 2,342 百万円 (23 期 :2008 年 03 月期 ) 23 期は決算期変更による 3 ケ月変則決算です 7,154 百万円 (22 期 :2007 年 12 月期 ) 3 月末日本社 102-0093 東京都千代田区平河町 2-16-1 平河町森タワー 03-6757-0111( 代表 ) 03-6757-0113 ( 営業窓口 ) 名古屋オフィス 460-0008 名古屋市中区栄 3-15-27 名古屋プラザビル 9F 米国ニューヨークオフィス USLAC 韓国ソウル子会社 CSLAC Cyber Security LAC Co,Ltd 中国上海子会社 LAC CHINA 上海楽客網絡技術有限公司 http://wwwlaccojp/ sales@laccojp Twitter @lac_security JSOC (Japan Security Operation Center) YouTube laccotv JSOCはラックが運営する情報セキュリティに関するオペレーションセンターです高度な分析システムや堅牢な設備を誇り 24 時間 365 日運営高度な分析官とインシデント対応技術者を配置しています 2000 年の九州沖縄サミットの運用監視を皮切りに日本の各分野でのトップ企業などを中心に高レベルのセキュリティが要求されるお客様にその高品質なサービスを提供しています従業員数 352 名 (2010 年 4 月現在 ) 認定資格経済産業省情報セキュリティ監査企業登録情報セキュリティマネジメントシステム (ISO/IEC 27001) 認証取得 (JSOC) プライバシーマーク認定取得 1 1 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 1

わたしにしもといつろう西本逸郎 CISSP 昭和 33 年福岡県北九州市生まれ昭和 59 年 3 月熊本大学工学部土木工学科中退昭和 59 年 4 月情報技術開発株式会社入社昭和 61 年 10 月株式会社ラック入社通信系ソフトウェアやミドルウェアの開発に従事 1993 年ドイツのシーメンスニックスドルフ社と提携しオープン POS( WindowsPOS) ) を世界に先駆け開発実践投入 2000 年よりセキュリティ事業に身を転じ日本最大級のセキュリティセンター JSOC の構築と立ち上げを行うさらなる IT 利活用を図る上での新たな脅威への研究や対策に邁進中情報セキュリティ対策をテーマに官庁大学その他公益法人企業各種 IT イベントセミナーなどでの講演新聞雑誌などへの寄稿等多数株式会社ラック取締役常務執行役員最高技術責任者サイバーリスク総合研究所サイバー救急センター特定非営利活動法人日本ネットワークセキュリティ協会理事データベースセキュリティコンソーシアム理事事務局長経済産業省電子商取引等に関する法的問題検討会委員 (2007 年 ~) IPA セキュリティ & プログラミングキャンプ実行委員 (2007 年 ~2009 年 ) ( 財 ) 日本情報処理開発協会リスク管理統制対応評価検討委員 2009 年度情報化月間総務省情報通信 2008 年 ~) 国際戦略局長表彰連載コラムセキュリティー表ウラ検索西本逸郎のセキュリティー表ウラ http://itnikkeicojp/security/column/nishimoto_securityaspx ブログどらいつ検索ツイッター http://twittercom/dry2 2 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 1 最近の緊急対応 3 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 2

サイバー救急センター出動状況 2009 2008 年 2009 年 10 月上旬まで他侵入 6% 6% 情報漏洩 DOS 21% 15% 情報窃取改ざん 25% 27% 情報漏洩他 20% 4% 改ざん 7% DoS 15% 情報窃取 32% 侵入 22% 4 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd サイバー救急センター出動状況 2009 攻撃者の変化 5 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 3

サイバー救急センター出動状況 2009 FYI 最近のカード情報窃取正当な利用者も利用者も攻撃者攻撃者も接点はも接点は検索エンジンどういう検索キーワードで自サイトを訪れたのか? 訪問目的? SEO 対策はセキュリティの観点でも極めて重要利用者に興味を持たせ攻撃者に興味を持たせない SEO 対策みんな脆弱性をなくそうとかあらゆる脅威から防ごうとかいうけどその前に見た目が勝負! 6 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 2 大学関係インシデント JSOC 監視と 119 から 7 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 4

JSOC での観測と 119 実績から 1 ワームやボットなどよる通信はたいてい見ることができる 2SQL インジェクションでの情報窃取もよく見かける 3 そう言えば Moodle という Web アプリの脆弱性への攻撃 4 そうそう内部からの SSH スキャン内部から外部に対して 22/tcp のスキャンが発生 13 他者へ攻撃 Jailbreak された iphone 他者からの指摘で発覚 5 ノーガードプリンタ 14 フィッシング詐欺外部から内部のプリンタポートへ接続可能昔は 6IIS20/IIS30 デフォルトインストール状態のサーバ 7NCSA HTTPd も 8Web サーバがウイルス (Aliz Aliz) 置き場に 9DDoS エージェントと SSH バックドア 10 外部の POP サーバに攻撃して root 権限を奪取してしまった 11 デフォルトパスワードのブロードバンドルーター 12 外部から Softether 接続 8 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd JSOC での観測と 119 実績からいろいろあるが個々の話をしても仕方ない発生したインシデントでは事の大小はわからないどこで? 誰が? どんな目的で? あと組織の存在価値 9 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 5

3 学内ネットの種類と特徴 10 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 分類学内ネットシステム一般論 IT 活用リテラシ向上と情報セキュリティの教育的意義 IT リテラシ教育ポリシーインフラネットワーク戦略研究対象 ( ラボネット ) ネットワークそのものを対象対象としたとした研究研究などサービス戦略学内社会基盤 ( 情報サービスサービス系 ) いわゆるキャンパスサービス保健求人関係求人関係図書図書掲示板 ( アルバイト紹介紹介インターンインターン学生寮 ) その他 ISP 事業 ( 研究基盤インフラサービス ) 学校運営基盤 ( 基幹系 ) いわゆる学校運営基盤学校運営基盤システム販売管理 ( 予算経理 ) 顧客管理 ( 学生 ) サービス管理 ( 履修時間割時間割成績成績出欠 ) などなど研究を行うためのネットワークやシステムメール Web ホスティングストレージ他 11 CIO 戦略法律上の問題基本なんでもあり先進的研究攻撃マルウェア危険行動サービスネットそこそこのセキュリティ合理性利便性誰に責任基幹システムしっかりしたセキュリティ合理性誰の責任? 極めて重要この部分で推進する意識が多くのところで欠落しているのでは? 法律上の問題基盤レベルのセキュリティ 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 6

4 取り組むべき課題環境変化 12 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 備えるべき二大環境変化 1 クラウドここ一年だろうか自分たちの活用スマホから 2 スマートフォンこれはこの半年くらいでしょうか? 自分たちの活用個人から 13 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 7

備えるべき二大環境変化紙と携帯鉛筆スマホパソコンタブレット総務省経産省 14 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd クラウド活用一般的なクラウド活用は個人と中小企業から 15 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 8

クラウド活用は個人と中小企業からすでに大企業の中でも ( 勝手に ) 使用している例も多い仮想ストレージサービス Webメールなど無料のものも数多くある恐らく大半の組織では違反行為だがコピースマート X コピー会社 http://wwwlaccojp/info/rrics_report/csl20091221html 企業のインターネット利用実態調査から考察する情報漏えいリスクの可能性について 16 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd ボトムアップのクラウド活用に組織は? どうする? 選択肢 1 禁止するいたちごっこやっても一時的 2 黙認するあり得ない 3 すべて許可する ( 受け入れる ) 決断 4 安全なやり方を用意する必然 17 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 9

基本的な方向性は決まっていますか? 1 スマホ利用に関するポリシー使用に関すること使用アプリに関すること WL? BL リテラシ向上の目標設定と実施策 2 クラウド活用に関するポリシーまずはスマホとの組み合わせ方どういう業務やプロセスデータの取り扱い法的対応 18 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 5 クラウド活用の心構え 19 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 10

クラウドの定義クラウドの定義は様々どれが正解などはたぶん存在しない組織により生き残り方は異なる恐らく生き残った組織が正しく生き残ったクラウドが正しいただ一般論は存在するその組織にとって正しいかどうかは別として # 最初から規制や利用者からの要求でつまらなくならなければ良いが # あっ! 所詮それも自然淘汰か 20 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd クラウドが着目される理由クラウドに走る理由 ( 個人的な意見 ) 0 短期的には経費カット 1 経費の流動化 2 事業の自由度確保 3 トータルコストの削減 4 必然 ( スマートフォンタブレットスマート X) 成功へのハードルを低く機動力を最大限に継続的ダメージを最小限に生き抜いていくことその為には我々は環境適応し続けなければならない将来役に立つかもしれないけど重たい荷物はいらない 21 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 11

知らなければならない事実と覚悟仮想は想は仮想であり想であり実物ではない VPN 広域イーサ ( 仮想的イーサ ) VLAN 仮想サーバ仮想デスクトップ仮想ドライブストレージ仮想アプリ仮想サイトなどクラウドを支える基本テクノロジー仮想化この仮想がついたサービスは四次元的な攻撃や事故が発生しうるある面サービス提供者は神様に成り得るためその信頼度が極めて重要重要インフラのサービスがどのようなものか検証してみるのも良いかもしれない行政電気ガス水道金融通信航空鉄道医療物流高利用率選択肢の有る無し SLA の有る無し無し法律等での法律等での縛りの有る縛りの有る無し無し重要インフラ指定のプロセスや内容 22 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 事件から言えること外部からの犯罪 1Web 改ざん 2USB メモリ 3 標的型メールあとサービス妨害アカウント内部犯罪 1 情報システム部門 2 上司のパソコンの面倒を見ている部下 3 協力会社 ( 特にオフショア開発運用 ) あと役員の競合丸投げ 23 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 12

クラウド社会を想起させる事件 16 万人分約 1,300 万通のメールを消失 2007 年ヤフーメールサービス 400 万サイト以上ホスティングサービス停止一部データを消失した可能性 2009 年ヤフージオシティーズスマートフォンサービス連絡先スケジュールサービス利用の鉄則 ToDo 写真などを消失! 2009 年米国 Sidekickというスマートフォン大規模な障害オンラインストレージ数時間にわたりサービス停止 2008 年米国アマゾンS3 仮想サーバサービス数時間にわたりサービス停止 2009 年米国アマゾンEC2 大規模 SaaS 1 時間程度サービス停止 2010 年セールスフォースドットコム 2005 年には数時間程度大規模 SaaS 数時間程度サービス停止 2009 年米グーグルapp engine こんなこともあろうかと 2008 年米グーグル gmail SLA 999% 年間 8 時間 24 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd クラウド活用の原則丸投げを受け止めるクラウドは? クラウドとして存在しえない丸投げは通用しない自己責任 25 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 13

何のためのセキュリティか? ちなみに有名なディズニーランド 4 つの行動原則ってご存知でしょうか? 1 安全性 (Safety Safety) お客様の安全を守る安らぎの提供 2 礼節 (Courtesy Courtesy) 気遣いおもてなしお客様の安全を 3 成果 (Show Show) 考慮しないプロは感動有り得ないプロとして 4 効率 (Efficiency Efficiency) プロとしての大前提 26 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 新しい社会への課題枝葉末節にとらわれてはいけないどうなるのか? どうなっているのか? を理解すること最終的には経営判断場合によっては経営者の決断が必要にもかかわらずセキュリティ上の課題を経営上の課題に繋げることの出来る人が少なすぎる我々セキュリティ屋もセキュリティ家へ進化しなければならない 27 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 14

クラウド型サービス提供方法サービス内容自社アウトソースハード OS DBMS 開発環境アプリ PaaS SaaS IaaS 契約ベース自由度高い機動力低い所有高額 ASP クラウド自己責任自由度低い機動力高い使用低額 28 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd クラウドサービスのセキュリティ 1IaaS PaaS の場合かなりコントロールできるはずうまく活用すれば接続部分を除けばほとんどハード無しで IT 環境を利用することが可能となる個人情報保護法の運用上の課題個人情報をクラウドに乗せられるのか? 廃棄の部分に課題がある 29 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 15

クラウドサービスのセキュリティ 2SaaS の場合基本的にはコントロールすることはできないベンダーを見極め評価する必要があるちゃんと利用するには対抗できるリテラシーが必要 3 いずれの場合も従量課金使用量? 使用期間? 使用量の場合のメリットとリスク 30 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd クラウドサービスのセキュリティどこのベンダーも導入も導入を決めたいを決めたい ( 仕事がほしい ) 対応しますやらせます努力しますそれ対応して本当にクラウドとしてやっていける? どこも枯れたベンダーはない早く限界利益を超えたい環境に適応できる嘘なのか? どこもあるボリュームを超えないとペイしないあるところまで行き着かないとそれなりのサービスは出来ないはず 31 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 16

クラウドサービスのセキュリティベンダーを育てよう自分自身も成長する中で付き合うベンダーを決めて育てる相互に発展する信頼モデル今後は真の意味での Win-Win の関係が重要になるそれを自組織の体力に合わせて推進ベンダーへの過剰なサービス要求は天に唾の危険性も自組織がどこに向かいどういう運営をしたいのか考慮した付き合いを戦略的に 32 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd スマートフォンは楽しい? Jailbreak( 脱獄 ) と Drive by download Jailbreakとは直訳すると脱獄とい Safari この機構はう意味の英単語である通常の Drive by Downloadに悪用可能の脆弱 iphoneまたはipod touchにインストー性を悪ルできるインストールは基本的に攻撃コード用 1 シングルタスク or マルチタスク 2 App 権限昇格の図れるアプリと脆弱性 Store と呼ばれるAppleが認可し 3 たアプリケーションを販売している窓実施後の恒久性口で入手したアプリケーションのみであるが Jailbreakツールは App / のシンボリックリンクとスマート Store では公開されていないサード Xはブラックボックスなだけに万一の事態把握や現象解明が出来ないして /var/root/mediaを http://wwwjailbreakmecom/ 可能性が高い通常使用しているスマートパーティアプリをインストール可能に X 機器の通信相手やその内容が妥当作成であるか調べあげることは大変難しい要はサイトにアクセスさせしまたアプリのインストーラを追加す脆弱性をつくPDFを落としるようにファームウェアを書き換える [1] PDF 中に仕込んだコードを実行犯人にとって電話を制御できる時点で金銭的に直結さらにいわゆる Privilege escalation( ( 特そのコードでIOSPC の脆弱性をつきよりパーソナル権昇格 ) の一種であるパーミッションを変更してな機器だけに遠隔制御された場合のインパクトはプライバシーの面でも強烈権限昇格 (Jailbreak) し必要なファイファイルシステムへの完全ルなどをインストールするなアクセスを入手 ~ ウィキペディアより http://communitywebsensecom/blogs/securitylabs/archive/2010/08/06/technical-analysis- スマートは着実に進化 ( 高機能化 ) し普及している犯人の動機も高まっている on-iphone-jailbreakingaspx 33 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 17

スマホの課題 Jailbreak ( 脱獄 ) 1 脱獄者の法的問題特定の目的下で合法の判断 ( 米国 ) 2 脱獄者の生息地学校 wifi で持ち込み大企業でも観測される 3 現状発生している脅威大したことはない 34 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd Jailbreak ( 脱獄 ) とスマートフォンの乗っ取り ( 感染 ) 4 どうやってリモートから制御? 1) SSH など 2) PC のボットと同様 3) SMS を悪用する 35 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 18

Jailbreak ( 脱獄 ) とスマートフォンの乗っ取り ( 感染 ) 5 このボット化したスマホと如何に対峙するか 1) PC のボットと同様の脅威 2) 課金可能なダイアル発信 3) 電話 DoS 4) スパイ行為 5) 使用できなくなる 6) 暴露 7) VoIP ゲート 36 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd Jailbreak ( 脱獄 ) とスマートフォンの乗っ取り ( 感染 ) 6 想定すべき規模以前の PC でのボット感染率は 2%~25% 日本国内で 500 万台のスマホが存在存在とすると 10 万 ~12 万台このままだと PC より増えてしまう危険性もあるスマホはそのビジはそのビジネスモデルによりウイルス対スモデルによりウイルス対策が難しい恐らくベンダーはらくベンダーは絶対死守死守すべきすべきエネミエネミーライン + 大量の感染が発生する可能可能性 37 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 19

6 攻撃を受けたら 38 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd サイバー攻撃を受けたらセキュリティインシデントは罪深いことなのか? 事業継続被害者保護情報共有あってはならぬこと無謬性硬直事故前提の対応力正しい経営判断コミュニケーション 39 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 20

サイバー攻撃を受けたら 1 現状把握何が発生しているのか? 単一事象? 複合事象? 単一レイヤ? 多レイヤ? 同時多発? 見分けられるのか? 誰が困るのか? サービス業者監督利用者誰に聞くのか? 誰を信じるか? 第一報は? 誰にどのレベルの情報で? 2 攻撃者の目的金銭妨害恐怖煽動目くらまし信用失墜日本の機密性に関する生真面目さが標的に?? 3 対策事業継続? 証拠の保全訓練止められる? 回避できる? 緩和できる? 何を攻撃? 被害? 40 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd サイバー攻撃を受けたら 4 関係者利用者事業関係者関係省庁メディア 5 対応 PR 公表何を? 誰に? どんな影響があり何をしろというのか? 公表こそ一番という無責任社会サービスとしての責任よく聞く言葉二度と同じことを繰り返せないので停止一般企業では最後の手段そんなもの? 6 想定しておいていいこと 1) DDoS どのレイヤで? IPやTCP だけじゃない 2) 改ざん情報流出破壊 3) 流言飛語脅迫電話偽の通報成りすまし 41 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 21

最後にクラウドへの適応はある面従来の相互依存社会 ( 所謂ガラパゴス国家 ) の破壊と捉えることができるどうせやるなら環境適応をはかりつつ生き残りを模索したい 42 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 最後に文学系経済系政治系法律系工学系理学系医学薬学系いずれにせよ IT リテラシを高めセキュリティ文化を植え込んでいくのは極めて重要なこと専門教育の第一歩は IT リテラシと最低限のセキュリティ文化を身につけるところから 43 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 22

ありがとうございました Any question? 世界トップレベルのセキュリティノウハウで日本のスタイルを支える株式会社ラック http://wwwlaccojp/ sales@laccojp 44 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 23