目 次 状 況 認 識 のための セキュリティアプライアンス 笠 原 ( 九 大 )* 武 蔵 ( 熊 大 ) 須 永 ( 富 士 通 SSL) *リーダー SS 研 セキュリティマネジメントWG セキュリティアプライアンスグループ セキュリティアプライアンスの 必 要 性 技 術 的 紹 介 ファイアウォール IDS/IPS( 侵 入 検 知 システム 侵 入 防 止 システム) WAF(Web Application Firewall) 利 用 例 としてのP2P 対 策 導 入 管 理 運 用 まとめ 付 録 : セキュリティアンケートについて 1 2 セキュリティアプライアンスの 必 要 性 セキュリティアプライアンスの 必 要 性 組 織 内 のインシデントについて 知 る 必 要 がある インシデントへの 対 応 が 必 要 になる その 技 術 的 解 =セキュリティアプライアンス パケット トラフィックに 対 する 監 視 カメラ 防 火 壁 検 問 のようなもの 3 4 状 況 認 識 (Situation Awareness) 状 況 を 認 識 しなければ 適 切 に 対 処 できない SNMPによる 流 量 記 録 ではおおざっぱすぎる tcpdumpによる 生 パケットでは 細 かすぎる 機 器 の 導 入 により 見 えてくる 物 がある ポート 番 号 ではわからない 利 用 傾 向 ウィルスの 活 動 踏 み 台 の 発 見 機 器 の 設 定 ミス 等 々 リスク 分 析 が 可 能 になり 次 の 一 手 への 資 料 になる インシデント 予 防 と 対 応 インシデント 予 防 策 としてのアプライアンス ファイアウォールによる 可 能 性 の 絞 り 込 み IDSによる 傾 向 分 析 早 期 発 見 IPSによるリアルタイム 遮 断 等 監 視 されている 事 による 利 用 者 への 抑 止 力 インシデント 発 生 時 の 対 応 ファイアウォールによる 緊 急 回 避 IDSによる 類 似 トラフィックの 発 見 WAFによるパッチ 等 アリバイ 証 明 ログによって 組 織 外 の 事 件 に 対 する 潔 白 を 証 明 する 機 器 がないと 手 も 足 も 出 ない 場 合 がある 5 6
技 術 的 紹 介 ファイアウォール 7 8 ファイアウォール 通 信 を 特 定 の 基 準 (ポリシー)に 基 づき 選 別 する 仕 組 み ネットワーク 型 ネットワーク 上 に 設 置 内 と 外 を 区 別 する ホスト 型 ホストに 導 入 ネットワークからの 攻 撃 等 を 防 ぐ ネットワーク 型 ファイアウォール 扱 うプロトコル 階 層 による 区 別 パケット 単 位 IPアドレス ポート 番 号 などヘッダ 情 報 による 選 別 静 的 フィルタ 動 的 フィルタ ステートフル( 状 態 保 持 型 ) 主 にTCPの 状 態 遷 移 を 認 識 し 正 当 なセッションを 識 別 セッション アプリケーション 単 位 セッションを 再 構 築 し 高 次 プロトコルを 認 識 して 制 御 ポート 番 号 に 依 存 しないアプリケーション 制 御 例 ポートが 固 定 されていないP2P 通 信 を 帯 域 制 限 特 定 のURLへのHTTPアクセスを 遮 断 9 10 NATとファイアウォール ここで 言 うNATはNAPT(Network Address Port Translation)のこと 内 側 のプライベートアドレス 空 間 を 外 側 の 少 数 のグロー バルアドレスに 変 換 し 通 信 可 能 とする 技 術 同 じアドレスを 使 う 異 なる 通 信 を 区 別 するため ポート 番 号 を 変 換 し 変 換 表 を 維 持 する 変 換 表 にない 通 信 を 遮 断 するため 自 動 的 にステート フルフィルタとなる 簡 易 的 な 一 方 通 行 のファイアウォール 高 機 能 なファイアウォールの 置 き 換 えになるものでは ない プロキシ(proxy) サーバとクライアントの 間 にあって 通 信 を 代 理 仲 介 する 仕 組 み 通 常 クライアント 側 に 置 かれ クライアントがサー バの 代 わりとして 接 続 する サーバからはクライアントに クライアントからはサー バに 見 える プロキシの 両 側 のネットワークを 不 連 続 にできる 11 12
プロキシの 種 類 トランスポート 層 ゲートウェイ アプリケーションによらず 通 信 を 代 理 で 仲 介 SOCKSが 代 表 的 実 装 プロトコルに 依 存 しないプロキシ 動 作 クライアント 側 の 対 応 が 必 要 アプリケーション 層 ゲートウェイ 特 定 のプロトコルに 特 化 ウェブプロキシが 代 表 的 代 理 だけでなく 通 信 内 容 の 検 査 も 可 能 WAF( 後 述 ) 可 用 性 と 負 荷 分 散 パケット 単 位 の 静 的 フィルタではきめ 細 やか で 十 分 な 制 御 ができない 動 的 ステートフルフィルタ アプリケーション 層 での 制 御 は 高 層 になるほど 負 荷 が 高 い 状 態 をもつと 障 害 発 生 時 に 切 り 替 えが 困 難 負 荷 分 散 も 難 しい セッション 単 位 で 振 り 分 ける 仕 組 みが 必 要 になる 13 14 ファイアウォールの 限 界 境 界 線 の 曖 昧 さ 可 搬 型 PCによる 物 理 的 乗 り 越 え VPN 技 術 による 論 理 的 乗 り 越 え 許 可 している 通 信 による 攻 撃 メールやウェブによるウィルス 侵 入 等 記 述 できない 制 限 パケットフィルタではポート 固 定 でないプロトコルを 制 限 する 記 述 ができない など 他 の 防 御 機 構 と 組 み 合 わせる 必 要 がある 15 アプリケーションとの 相 性 ファイアウォール 導 入 により 影 響 を 受 けるア プリケーションがある H.323 などのマルチメディア 系 e-learning 系 グリッド 系 一 般 的 でないポートを 利 用 するもの 利 用 者 はファイアウォールで 何 が 制 限 されている かわからない 個 別 対 応 が 必 要 な 場 合 がある 16 ホスト 型 ファイアウォール ホストに 導 入 し ネットワークインターフェイス から 出 入 りするパケットを 選 別 ホスト 内 部 の 情 報 を 利 用 した 細 かい 制 御 が 可 能 接 続 ネットワークによるフィルタ 設 定 の 切 り 替 え プロセスの 動 作 状 況 を 反 映 したフィルタ 設 定 実 行 ファイル 単 位 でのネットワーク 利 用 許 可 不 許 可 パケットの 正 規 化 プロトコル 違 反 パケットの 破 棄 修 正 プロトコル 実 装 の 差 違 を 吸 収 しOS 推 定 を 妨 害 17 主 要 OSでの 搭 載 状 況 Windows XP/Vista には 標 準 搭 載 XPはホストから 出 るパケットを 制 御 できない Vistaではより 細 かい 設 定 が 可 能 となった 2000には 機 能 はあるがGUIはない MacOS X 標 準 搭 載 Linux iptables など 標 準 で 利 用 可 能 適 切 に 設 定 されているかどうかという 問 題 デフォルト 設 定 が 良 くないと 機 能 を 切 られたりする 18
侵 入 検 知 システム 侵 入 防 止 システム IDS: Intrusion Detection System IPS: Intrusion Prevention System ( 侵 入 検 知 システム 侵 入 防 止 システム) ネットワーク 型 悪 意 のあると 思 われる 通 信 を 検 出 し 警 報 を 発 したり 遮 断 したりする 仕 組 み 誤 用 検 知 異 常 検 知 ホスト 型 ホスト 上 で 悪 意 のあると 思 われる 活 動 を 検 出 し 警 報 を 発 したりする 仕 組 み ファイル 改 ざん 検 出 ログ 監 視 プロセス 挙 動 監 視 19 20 ネットワーク 型 ネットワーク 上 の 通 信 ( 流 量 内 容 等 )を 監 視 し 侵 入 等 を 検 知 誤 用 (abuse) 検 知 シグニチャ 型 とも 呼 ぶ パケット 内 容 を 高 速 に 走 査 既 知 のパターン(シグニチャ)に 合 致 すると 警 報 誤 検 出 の 多 さが 課 題 暗 号 化 通 信 に 無 力 未 知 の 攻 撃 に 弱 い 異 常 (anomaly) 検 知 平 常 の 通 信 状 態 を 学 習 平 常 状 態 からの 外 れ 値 を 検 知 し 警 報 平 常 状 態 の 学 習 が 難 しい 異 常 値 の 原 因 がわかりにくいことがある IDS( 侵 入 検 知 )とIPS( 侵 入 防 止 ) IDSは 横 で 通 信 を 見 ているだけ 監 視 カメラに 相 当 する それ 自 身 に 侵 入 を 防 御 する 機 能 はない 偽 のRSTパケットを 送 信 ファイアウォールのフィルタ ルールを 変 更 するといった 実 装 はある IPSは 通 信 経 路 上 で 動 作 ファイアウォールに 類 似 必 要 に 応 じて 通 信 を 遮 断 する 21 22 実 装 Snort http://www.snort.org/ オープンソースのIDS/IPS 検 知 ルールの 購 読 に 有 料 版 と 無 料 版 がある Snortベースの 商 用 アプライアンスもある ホスト 型 ホストに 導 入 し システムの 状 態 を 監 視 監 査 ファイルの 改 ざん 検 出 実 行 ファイルの 置 き 換 え ログの 改 ざん 攻 撃 らしい 通 信 パケットの 検 知 遮 断 ログから 特 定 の 文 字 列 を 検 出 システムコール 呼 出 傾 向 からの 異 常 検 知 等 々 23 24
実 装 Tripwire http://sourceforge.net/projects/tripwire/ 主 にファイルの 改 ざんを 監 視 OSSEC http://www.ossec.net/ ログ 解 析 システムの 完 全 性 チェック レジストリ 監 視 rootkit 検 知 等 デスクトップOS 用 セキュリティ 製 品 でウィルス 検 査 ファイアウォールとともに 統 合 されてきている 25 UTM: Unified Threat Management 統 合 脅 威 管 理 ファイアウォール アンチウィルス IPS コンテン ツフィルタ 等 のネットワークセキュリティ 機 能 を 統 一 管 理 すること また 統 合 された 機 器 利 点 低 い 導 入 管 理 コスト 欠 点 低 い 自 由 度 耐 故 障 性 26 Web Application Firewall WAF (Web Application Firewall) ウェブ 通 信 に 特 化 したファイアウォール ウェブサーバの 手 前 に 設 置 クライアントからの 要 求 やサーバからの 応 答 内 容 を 検 査 ポリシーに 合 致 しない 通 信 を 遮 断 危 険 な 要 求 や 応 答 内 容 を 安 全 なものに 変 換 レガシーなアプリケーションを 修 正 せずに 防 御 リバースプロキシ の 一 種 通 常 のプロキシはクライアントの 代 理 リバースプロキシはサーバの 代 理 27 28 WAFの 機 能 ウェブサーバ サービスへの 様 々な 攻 撃 を 検 出 し 防 止 する SQLインジェクション クロスサイトスクリプティング OSコマンドインジェクション クッキー 改 ざん 入 力 フォームのhidden 属 性 改 ざん クレジットカード 番 号 漏 洩 バッファオーバーフロー 不 正 なページ 遷 移 ディレクトリトラバーサル エラーページ HTTPヘッダからの 情 報 漏 洩 表 示 ファイルタイプの 規 制 文 字 コード 変 換 によるフィルタ 回 避 等 々 利 用 例 としてのP2P 対 策 29 30
P2Pとは Peer to Peer モデル 計 算 機 ネットワークの 形 態 の 一 つ クライアント サーバモデルの 対 義 語 ネットワークに 参 加 するホストが 明 確 なクライアン トやサーバという 区 別 をもたず クライアントと サーバの 両 方 の 機 能 を 兼 ね 備 えた 同 等 もしくは 類 似 した 役 割 を 担 う 具 体 的 な 応 用 例 ファイル 共 有 情 報 共 有 メッセンジャー 音 声 通 信 CDN(Contents Delivery Network) P2Pモデルを 応 用 したソフトウェアを 指 すこと もある 31 32 何 が 問 題 か P2P 自 体 は 単 なる 通 信 技 術 応 用 としてのファイル 交 換 ネットワーク 使 われ 方 で 問 題 が 発 生 している ポートの 固 定 されたサーバ クライアントモデ ルより 通 信 状 況 を 把 握 しにくい 状 況 把 握 利 用 制 限 のためにはセキュリティ アプライアンスの 導 入 が 必 要 な 場 合 も 33 違 法 ファイル 共 有 CDやDVDを 吸 い 出 したファイルの 違 法 流 通 音 楽 映 画 ゲーム 等 々 効 率 化 のための 機 能 による 問 題 キャッシュ 機 能 ダウンロード 中 ファイルの 他 ホス トへの 公 開 など 利 用 者 が 意 識 せずとも 違 法 ファイル 流 通 に 荷 担 権 利 者 から 組 織 等 に 警 告 法 律 問 題 に 発 展 の 危 険 性 もある 34 情 報 漏 洩 P2Pを 利 用 した 情 報 漏 洩 ウィルスの 存 在 マイドキュメント 等 を 固 めてP2P 網 に 放 流 P2P 網 には 一 般 にファイルを 削 除 する 手 段 が 提 供 されて いない いったん 放 流 されると 回 復 が 困 難 P2Pが 悪 いと 言 うより 利 用 者 の 管 理 が 問 題 P2Pで 流 通 するファイルは 感 染 危 険 度 が 高 い ウィルス 感 染 の 危 険 性 が 高 い 環 境 で 秘 密 情 報 を 扱 うのが 問 題 家 族 の 共 用 PCに 知 らないうちに 入 っていた といった 事 例 も 35 制 限 するか 否 か P2Pソフトウェアの 利 用 自 身 は 違 法 ではない 利 用 の 仕 方 によるリスクをはらんでいる 現 実 問 題 としての 事 件 事 故 ウイルス 感 染 情 報 漏 洩 権 利 団 体 からのクレーム トラフィックの 増 大 最 終 的 には 組 織 ごとの 判 断 になる 問 題 が 起 きてから 慌 てないように 準 備 なぜ 制 限 しているのかの 説 明 根 拠 も 必 要 36
どう 規 制 するか 規 則 広 報 など 人 的 な 手 段 による 努 力 目 標 トラフィックの 監 視 セキュリティアプライアンスによる 監 視 流 量 制 限 等 可 能 な 製 品 もある 商 用 監 視 サービスの 利 用 フィルタ 流 量 制 限 セキュリティアプライアンスによる 対 応 主 要 なポートのフィルタ ポート 番 号 を 変 更 されると 抜 けられる 37 利 用 者 への 対 応 技 術 は 悪 くない 使 う 人 間 が 悪 い 広 報 教 育 に 頼 らざるを 得 ない 部 分 外 国 人 対 応 国 によって 著 作 権 に 対 する 感 覚 が 異 なる 単 純 に 言 葉 の 問 題 で 規 則 が 周 知 されない 規 制 の 際 に 留 学 生 や 外 国 人 研 究 者 による P2Pの 利 用 に 少 し 注 意 が 必 要 38 導 入 管 理 運 用 管 理 的 側 面 について コストの 問 題 初 期 導 入 コスト 維 持 管 理 コスト 運 用 ポリシー 盗 聴 と 同 等 のことが 可 能 になる 内 容 を 見 ての 遮 断 は 検 閲 になりかねない 機 器 そのもの ならびに 機 器 の 生 成 するログへ のアクセス 権 限 が 重 要 な 問 題 となる 39 40 どこにどう 入 れるか? 安 い 物 ではないため 予 算 とのトレードオフ 導 入 コストと 並 んで 維 持 コストが 高 い 物 が 多 い 一 般 的 な 選 択 肢 対 外 ルータの 近 傍 インターネットからの 防 御 主 要 なスイッチに 付 随 内 部 から 内 部 への 攻 撃 なども 監 視 防 御 主 要 なサーバの 近 傍 機 密 度 の 高 いネットワークへの 入 り 口 ( 中 への 防 御 ) 事 務 系 ネットワーク 病 院 系 等 信 頼 度 の 低 いネットワークへの 入 り 口 ( 外 への 防 御 ) 学 生 寮 教 育 システム 共 用 ネットワークなど 41 ネットワーク 設 計 との 関 係 監 視 しやすいネットワーク 設 計 が 必 要? 主 要 トラフィックの 流 れを 想 定 し 効 率 的 なフィルタ 監 視 ポイントを 設 定 IDSの 場 合 ポートミラーやスプリッタの 設 置 を 考 える 必 要 がある 10GbE のミラーリングや 分 岐 は 容 易 でない UTM 等 それ 自 体 がボトルネックになりかねない ネットワークの 更 新 時 にまとめて 設 計 できるとい いのではないか 導 入 後 の 状 況 把 握 により 新 たな 機 器 が 必 要 とされ る 場 合 もある 42
更 新 計 画 機 器 の 更 新 を 視 野 に 入 れた 計 画 が 必 要 陳 腐 化 トラフィックの 増 加 ネットワークの 更 新 による 速 度 向 上 インターフェイスの 変 化 保 守 切 れ データベースの 更 新 されないアプライアンスは 無 用 の 長 物 互 換 性 新 種 のサービス プロトコルへの 対 応 例 : IPv6 特 定 サービスとの 非 互 換 性 例 : H.323( 遠 隔 会 議 の 主 要 プロトコル)など ログ 管 理 これらの 機 器 は 通 常 大 量 のログを 生 成 する 管 理 ポリシーが 必 要 どこに 保 存 するか syslogサーバ 外 付 けストレージ 等 どれくらいの 期 間 保 存 するか インシデント 発 生 時 は 過 去 にさかのぼる 必 要 がある 持 っていると 官 憲 に 出 さないといけなくなる 可 能 性 はある 閲 覧 権 限 の 規 定 インシデント 発 生 時 のみ 詳 細 閲 覧 可 CISOの 許 可 等 統 計 解 析 問 題 物 量 があるので 人 手 も 時 間 もかかる アウトソースも 視 野 に 入 れて 検 討 が 必 要 43 44 導 入 前 の 準 備 ( 理 想 論?) 運 用 ポリシーを 決 める ポリシーが 決 まらないとコスト 計 算 ができない コストを 計 算 する これに 従 って 導 入 規 模 等 を 決 める 構 成 員 の 同 意 を 得 る セキュリティポリシーに 入 れる 雇 用 契 約 時 に 宣 誓 書 で 遵 守 させる etc 実 際 は 機 器 を 入 れてから 考 える 場 合 が 多 い まとめ セキュリティアプライアンスは 組 織 内 ネット ワークの 状 況 把 握 に 重 要 な 役 割 初 期 コスト+ 維 持 コストがかかる お 金 人 手 手 間 有 用 だが 導 入 には 覚 悟 が 必 要 ただ 漫 然 と 入 れると 高 価 な 宝 の 持 ち 腐 れ 45 46 付 録 : セキュリティアンケートについて セキュリティアプライアンスに 関 する 事 例 調 査 機 器 の 傾 向 導 入 の 動 機 運 用 / 管 理 の 実 情 P2P 対 策 の 現 状 十 分 な 情 報 を 得 るため 一 部 の 機 関 に 協 力 をお 願 いした 47