- 大学教育現場におけるセキュリティ対策の考え方 - 株式会社ラックサイバーリスク総合研究所最高技術責任者西本逸郎 itsuro@laccojp http://wwwlaccojp/ 2010 LittleeArthCorporationCo earth,, Ltd 株式会社ラック IT を活用し企業のリスク管理を支援する 次代と経営を拓くセキュリティプランナー 1986 年 株式会社ラックは設立されました Little earth Corporation という社名には ITの進展で地球が相対的に小さくなっていく中で ITを基盤に国や企業の発展を支えていこうという理念がこめられています 独立系セキュリティベンダーとして 15 年近くの豊富な実績がお客様の信頼の証です JSOC( 下記参照 ) サイバーリスク総合研究所サイバーリスク総合研究所 サイバー救急センターサイバー救急センターの配備が特徴です 商号 設立 資本金 株式会社ラック LAC:Little earth Corporation Co, Ltd 1986 年 ( 昭和 61 年 )9 月 11 億 5,942 万 6,500 円 株主ラックホールディングス株式会社 (100%) 代表 代表取締役社長執行役員社長齋藤理 売上高 5,138 百万円 (24 期 :2009 年 03 月期 ) 決算期 2,342 百万円 (23 期 :2008 年 03 月期 ) 23 期は決算期変更による 3 ケ月変則決算です 7,154 百万円 (22 期 :2007 年 12 月期 ) 3 月末日 本社 102-0093 東京都千代田区平河町 2-16-1 平河町森タワー 03-6757-0111( 代表 ) 03-6757-0113 ( 営業窓口 ) 名古屋オフィス 460-0008 名古屋市中区栄 3-15-27 名古屋プラザビル 9F 米国ニューヨークオフィス USLAC 韓国ソウル子会社 CSLAC Cyber Security LAC Co,Ltd 中国上海子会社 LAC CHINA 上海楽客網絡技術有限公司 http://wwwlaccojp/ sales@laccojp Twitter @lac_security JSOC (Japan Security Operation Center) YouTube laccotv JSOCは ラックが運営する情報セキュリティに関するオペレーションセンターです 高度な分析システムや堅牢な設備を誇り 24 時間 365 日運営 高度な分析官とインシデント対応技術者を配置しています 2000 年の九州 沖縄サミットの運用 監視を皮切りに 日本の各分野でのトップ企業などを中心に 高レベルのセキュリティが要求されるお客様にその高品質なサービスを提供しています 従業員数 352 名 (2010 年 4 月現在 ) 認定資格 経済産業省情報セキュリティ監査企業登録情報セキュリティマネジメントシステム (ISO/IEC 27001) 認証取得 (JSOC) プライバシーマーク認定取得 1 1 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 1
わたし にし もと いつ ろう 西本逸郎 CISSP 昭和 33 年福岡県北九州市生まれ昭和 59 年 3 月熊本大学工学部土木工学科中退昭和 59 年 4 月情報技術開発株式会社入社昭和 61 年 10 月株式会社ラック入社通信系ソフトウェアやミドルウェアの開発に従事 1993 年ドイツのシーメンスニックスドルフ社と提携し オープン POS( WindowsPOS) ) を世界に先駆け開発 実践投入 2000 年よりセキュリティ事業に身を転じ 日本最大級のセキュリティセンター JSOC の構築と立ち上げを行う さらなる IT 利活用を図る上での新たな脅威への研究や対策に邁進中 情報セキュリティ対策をテーマに官庁 大学 その他公益法人 企業 各種 IT イベント セミナーなどでの講演 新聞 雑誌などへの寄稿等多数 株式会社ラック取締役常務執行役員最高技術責任者サイバーリスク総合研究所サイバー救急センター特定非営利活動法人日本ネットワークセキュリティ協会理事データベースセキュリティコンソーシアム理事 事務局長 経済産業省電子商取引等に関する法的問題検討会委員 (2007 年 ~) IPA セキュリティ & プログラミングキャンプ実行委員 (2007 年 ~2009 年 ) ( 財 ) 日本情報処理開発協会リスク管理統制対応評価検討委員 2009 年度情報化月間総務省情報通信 2008 年 ~) 国際戦略局長表彰 連載 コラムセキュリティー表ウラ検索西本逸郎のセキュリティー表ウラ http://itnikkeicojp/security/column/nishimoto_securityaspx ブログどらいつ検索ツイッター http://twittercom/dry2 2 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 1 最近の緊急対応 3 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 2
サイバー救急センター出動状況 2009 2008 年 2009 年 10 月上旬まで 他侵入 6% 6% 情報漏洩 DOS 21% 15% 情報窃取改ざん 25% 27% 情報漏洩他 20% 4% 改ざん 7% DoS 15% 情報窃取 32% 侵入 22% 4 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd サイバー救急センター出動状況 2009 攻撃者の変化 5 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 3
サイバー救急センター出動状況 2009 FYI 最近のカード情報窃取 正当な利用者も利用者も攻撃者攻撃者も接点はも接点は検索エンジンどういう検索キーワードで 自サイトを訪れたのか? 訪問目的? SEO 対策は セキュリティの観点でも極めて重要 利用者に興味を持たせ 攻撃者に興味を持たせない SEO 対策 みんな 脆弱性をなくそうとかあらゆる脅威から防ごうとかいうけど その前に 見た目が勝負! 6 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 2 大学関係インシデント JSOC 監視と 119 から 7 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 4
JSOC での観測と 119 実績から 1 ワームやボットなどよる通信はたいてい見ることができる 2SQL インジェクションでの情報窃取もよく見かける 3 そう言えば Moodle という Web アプリの脆弱性への攻撃 4 そうそう 内部からの SSH スキャン 内部から外部に対して 22/tcp のスキャンが発生 13 他者へ攻撃 Jailbreak された iphone 他者からの指摘で発覚 5 ノーガードプリンタ 14 フィッシング詐欺 外部から内部のプリンタポートへ接続可能 昔は 6IIS20/IIS30 デフォルトインストール状態のサーバ 7NCSA HTTPd も 8Web サーバがウイルス (Aliz Aliz) 置き場に 9DDoS エージェントと SSH バックドア 10 外部の POP サーバに攻撃して root 権限を奪取してしまった 11 デフォルトパスワードのブロードバンドルーター 12 外部から Softether 接続 8 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd JSOC での観測と 119 実績から いろいろあるが 個々の話をしても仕方ない 発生したインシデントでは事の大小はわからない どこで? 誰が? どんな目的で? あと 組織の存在価値 9 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 5
3 学内ネットの種類と特徴 10 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 分類学内ネット システム一般論 IT 活用リテラシ向上と情報セキュリティの教育的意義 IT リテラシ教育ポリシー インフラネットワーク戦略 研究対象 ( ラボネット ) ネットワークそのものを対象対象としたとした研究研究など サービス戦略 学内社会基盤 ( 情報サービスサービス系 ) いわゆるキャンパスサービス保健 求人関係求人関係 図書図書 掲示板 ( アルバイト紹介紹介 インターンインターン 学生寮 ) その他 ISP 事業 ( 研究基盤 インフラサービス ) 学校運営基盤 ( 基幹系 ) いわゆる 学校運営基盤学校運営基盤システム販売管理 ( 予算 経理 ) 顧客管理 ( 学生 ) サービス管理 ( 履修 時間割時間割 成績成績 出欠 ) などなど 研究を行うためのネットワークやシステム メール Web ホスティング ストレージ 他 11 CIO 戦略 法律上の問題基本なんでもあり先進的研究攻撃 マルウェア危険行動サービスネットそこそこのセキュリティ合理性 利便性誰に責任基幹システムしっかりしたセキュリティ合理性誰の責任? 極めて重要この部分で推進する意識が多くのところで欠落しているのでは? 法律上の問題基盤レベルのセキュリティ 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 6
4 取り組むべき課題 環境変化 12 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 備えるべき 二大環境変化 1 クラウド ここ一年だろうか 自分たちの活用 スマホから 2 スマートフォン これは この半年くらいでしょうか? 自分たちの活用 個人から 13 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 7
備えるべき 二大環境変化 紙と携帯鉛筆 スマホ パソコンタブレット 総務省 経産省 14 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd クラウド活用 一般的なクラウド活用は個人と中小企業から 15 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 8
クラウド活用は個人と中小企業から すでに 大企業の中でも ( 勝手に ) 使用している例も多い 仮想ストレージサービス Webメールなど無料のものも数多くある 恐らく大半の組織では違反行為だが コピー スマート X コピー 会社 http://wwwlaccojp/info/rrics_report/csl20091221html 企業のインターネット利用実態調査から考察する情報漏えいリスクの可能性について 16 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd ボトムアップのクラウド活用に組織は? どうする? 選択肢 1 禁止する いたちごっこ やっても一時的 2 黙認する あり得ない 3 すべて許可する ( 受け入れる ) 決断 4 安全なやり方を用意する 必然 17 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 9
基本的な方向性は決まっていますか? 1 スマホ利用に関するポリシー使用に関すること使用アプリに関すること WL? BL リテラシ向上の目標設定と実施策 2 クラウド活用に関するポリシーまずは スマホとの組み合わせ方 どういう業務やプロセスデータの取り扱い 法的対応 18 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 5 クラウド活用の心構え 19 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 10
クラウドの定義 クラウドの定義は様々 どれが正解などは たぶん存在しない 組織により生き残り方は異なる 恐らく 生き残った組織が正しく 生き残ったクラウドが正しい ただ 一般論は存在する その組織にとって正しいかどうかは別として # 最初から規制や利用者からの要求でつまらなくならなければ良いが # あっ! 所詮 それも自然淘汰か 20 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd クラウドが着目される理由 クラウドに走る理由 ( 個人的な意見 ) 0 短期的には経費カット 1 経費の流動化 2 事業の自由度確保 3 トータルコストの削減 4 必然 ( スマートフォン タブレット スマート X) 成功へのハードルを低く 機動力を最大限に 継続的ダメージを最小限に 生き抜いていくこと その為には我々は環境適応し続けなければならない 将来役に立つかもしれないけど 重たい荷物はいらない 21 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 11
知らなければならない事実と覚悟 仮想は 想は 仮想であり 想であり 実物ではない VPN 広域イーサ ( 仮想的イーサ ) VLAN 仮想サーバ 仮想デスクトップ 仮想ドライブ ストレージ 仮想アプリ 仮想サイト など クラウドを支える基本テクノロジー 仮想化 この 仮想 がついたサービスは 四次元的な攻撃や事故が発生しうる ある面 サービス提供者は 神様 に成り得るため その信頼度が極めて重要 重要インフラのサービスがどのようなものか検証してみるのも良いかもしれない 行政 電気 ガス 水道 金融 通信 航空 鉄道 医療 物流 高利用率 選択肢の有る無し SLA の有る無し 無し 法律等での法律等での縛りの有る縛りの有る無し無し 重要インフラ指定のプロセスや内容 22 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 事件から言えること 外部からの犯罪 1Web 改ざん 2USB メモリ 3 標的型メールあと サービス妨害 アカウント 内部犯罪 1 情報システム部門 2 上司のパソコンの面倒を見ている部下 3 協力会社 ( 特にオフショア開発 運用 ) あと 役員の競合 丸投げ 23 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 12
クラウド社会を想起させる事件 16 万人分 約 1,300 万通のメールを消失 2007 年ヤフーメールサービス 400 万サイト以上ホスティングサービス停止 一部データを消失した可能性 2009 年ヤフージオシティーズスマートフォンサービス 連絡先 スケジュール サービス利用の鉄則 ToDo 写真などを消失! 2009 年米国 Sidekickというスマートフォン大規模な障害 オンラインストレージ数時間にわたりサービス停止 2008 年米国アマゾンS3 仮想サーバサービス数時間にわたりサービス停止 2009 年米国アマゾンEC2 大規模 SaaS 1 時間程度サービス停止 2010 年セールスフォースドットコム 2005 年には数時間程度大規模 SaaS 数時間程度サービス停止 2009 年米グーグルapp engine こんなこともあろうかと 2008 年米グーグル gmail SLA 999% 年間 8 時間 24 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd クラウド活用の原則 丸投げを受け止めるクラウドは? クラウドとして存在しえない 丸投げは通用しない 自己責任 25 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 13
何のためのセキュリティか? ちなみに有名な ディズニーランド 4 つの行動原則って ご存知でしょうか? 1 安全性 (Safety Safety) お客様の安全を守る 安らぎの提供 2 礼節 (Courtesy Courtesy) 気遣い おもてなし お客様の安全を 3 成果 (Show Show) 考慮しないプロは感動 有り得ない プロとして 4 効率 (Efficiency Efficiency) プロとしての大前提 26 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 新しい社会への課題 枝葉末節にとらわれてはいけない どうなるのか? どうなっているのか? を理解すること 最終的には経営判断 場合によっては経営者の決断が必要にもかかわらず セキュリティ上の課題を 経営上の課題に繋げることの出来る人が少なすぎる 我々セキュリティ屋も セキュリティ家へ進化しなければならない 27 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 14
クラウド型サービス 提供方法 サービス内容 自社 アウトソース ハード OS DBMS 開発環境アプリ PaaS SaaS IaaS 契約ベース自由度高い機動力低い所有高額 ASP クラウド 自己責任自由度低い機動力高い使用低額 28 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd クラウドサービスのセキュリティ 1IaaS PaaS の場合かなり コントロールできるはず うまく活用すれば 接続部分を除けば ほとんどハード無しで IT 環境を利用することが可能となる 個人情報保護法の運用上の課題 個人情報をクラウドに乗せられるのか? 廃棄の部分に課題がある 29 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 15
クラウドサービスのセキュリティ 2SaaS の場合基本的には コントロールすることはできない ベンダーを見極め 評価する必要がある ちゃんと利用するには 対抗できるリテラシーが必要 3 いずれの場合も 従量課金 使用量? 使用期間? 使用量の場合のメリットとリスク 30 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd クラウドサービスのセキュリティ どこのベンダーも導入も導入を決めたいを決めたい ( 仕事がほしい ) 対応します やらせます 努力します それ 対応して本当にクラウドとしてやっていける? どこも 枯れたベンダーはない 早く限界利益を超えたい 環境に適応できる 嘘 なのか? どこも あるボリュームを超えないとペイしない あるところまで行き着かないと それなりのサービスは出来ないはず 31 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 16
クラウドサービスのセキュリティ ベンダーを育てよう 自分自身も成長する中で 付き合うベンダーを決めて 育てる 相互に発展する信頼モデル 今後は真の意味での Win-Win の関係が重要になる それを自組織の体力に合わせて推進ベンダーへの過剰なサービス要求は 天に唾 の危険性も 自組織がどこに向かい どういう運営をしたいのか 考慮した付き合いを戦略的に 32 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd スマートフォンは楽しい? Jailbreak( 脱獄 ) と Drive by download Jailbreakとは 直訳すると 脱獄 とい Safari この機構は う意味の英単語である 通常の Drive by Downloadに悪用可能 の脆弱 iphoneまたはipod touchにインストー性を悪ルできるインストールは 基本的に攻撃コード用 1 シングルタスク or マルチタスク 2 App 権限昇格の図れるアプリと脆弱性 Store と呼ばれるAppleが認可し 3 たアプリケーションを販売している窓実施後の恒久性口で入手したアプリケーションのみであるが Jailbreakツールは App / のシンボリックリンクとスマート Store では公開されていないサード Xは ブラックボックスなだけに万一の事態把握や現象解明が出来ないして /var/root/mediaを http://wwwjailbreakmecom/ 可能性が高い 通常使用しているスマートパーティアプリをインストール可能に X 機器の通信相手やその内容が妥当作成であるか調べあげることは大変難しい 要はサイトにアクセスさせ し またアプリのインストーラを追加す脆弱性をつくPDFを落とし るようにファームウェアを書き換える [1] PDF 中に仕込んだコードを実行 犯人にとって 電話を制御できる時点で金銭的に直結 さらに いわゆる Privilege escalation( ( 特そのコードでIOSPC の脆弱性をつきよりパーソナル権昇格 ) の一種である パーミッションを変更してな機器だけに 遠隔制御された場合のインパクトは プライバシーの面でも強烈 権限昇格 (Jailbreak) し 必要なファイファイルシステムへの完全ルなどをインストールする なアクセスを入手 ~ ウィキペディアより http://communitywebsensecom/blogs/securitylabs/archive/2010/08/06/technical-analysis- スマートは着実に進化 ( 高機能化 ) し普及している 犯人の動機も高まっている on-iphone-jailbreakingaspx 33 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 17
スマホの課題 Jailbreak ( 脱獄 ) 1 脱獄者の法的問題特定の目的下で合法の判断 ( 米国 ) 2 脱獄者の生息地学校 wifi で持ち込み 大企業でも観測される 3 現状発生している脅威大したことはない 34 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd Jailbreak ( 脱獄 ) とスマートフォンの乗っ取り ( 感染 ) 4 どうやってリモートから制御? 1) SSH など 2) PC のボットと同様 3) SMS を悪用する 35 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 18
Jailbreak ( 脱獄 ) とスマートフォンの乗っ取り ( 感染 ) 5 このボット化したスマホと如何に対峙するか 1) PC のボットと同様の脅威 2) 課金可能なダイアル発信 3) 電話 DoS 4) スパイ行為 5) 使用できなくなる 6) 暴露 7) VoIP ゲート 36 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd Jailbreak ( 脱獄 ) とスマートフォンの乗っ取り ( 感染 ) 6 想定すべき規模以前の PC でのボット感染率は 2%~25% 日本国内で 500 万台のスマホが存在存在とすると 10 万 ~12 万台このままだと PC より 増えてしまう危険性もある スマホはそのビジはそのビジネスモデルにより ウイルス対スモデルにより ウイルス対策が難しい 恐らく ベンダーはらく ベンダーは絶対死守死守すべきすべきエネミエネミーライン + 大量の感染が発生する可能可能性 37 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 19
6 攻撃を受けたら 38 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd サイバー攻撃を受けたら セキュリティインシデントは罪深いことなのか? 事業継続 被害者保護 情報共有 あってはならぬこと 無謬性 硬直事故前提の対応力 正しい経営判断 コミュニケーション 39 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 20
サイバー攻撃を受けたら 1 現状把握 何が発生しているのか? 単一事象? 複合事象? 単一レイヤ? 多レイヤ? 同時多発? 見分けられるのか? 誰が困るのか? サービス業者 監督 利用者誰に聞くのか? 誰を信じるか? 第一報は? 誰にどのレベルの情報で? 2 攻撃者の目的 金銭 妨害 恐怖 煽動 目くらまし 信用失墜 日本の機密性に関する生真面目さが標的に?? 3 対策事業継続? 証拠の保全 訓練止められる? 回避できる? 緩和できる? 何を攻撃? 被害? 40 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd サイバー攻撃を受けたら 4 関係者利用者 事業関係者 関係省庁 メディア 5 対応 PR 公表 何を? 誰に? どんな影響があり 何をしろというのか? 公表こそ一番という無責任 社会サービスとしての責任 よく聞く言葉 二度と同じことを繰り返せないので 停止 一般企業では 最後の手段 そんなもの? 6 想定しておいていいこと 1) DDoS どのレイヤで? IPやTCP だけじゃない 2) 改ざん 情報流出 破壊 3) 流言飛語 脅迫電話 偽の通報 成りすまし 41 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 21
最後に クラウドへの適応は ある面 従来の相互依存社会 ( 所謂 ガラパゴス国家 ) の破壊と 捉えることができる どうせやるなら 環境適応をはかりつつ 生き残りを 模索したい 42 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 最後に 文学系 経済系 政治系 法律系 工学系 理学系 医学 薬学系いずれにせよ IT リテラシを高めセキュリティ文化を植え込んでいくのは極めて重要なこと 専門教育の第一歩は IT リテラシと最低限のセキュリティ文化を身につけるところから 43 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 22
ありがとうございました Any question? 世界トップレベルのセキュリティノウハウで 日本のスタイルを支える 株式会社ラック http://wwwlaccojp/ sales@laccojp 44 2010 LittleeArthCorporationCo earth, Ltd 2010 LittleeArthCorporationCo earth, Ltd 23