東京薬科大学研究紀要第 21 号 関係する通信であるかどうかを, 過去の不正アクセスの通信パターン ( シグナチャデータベース ) に基づいて判定し, 必要に応じて隔離または破棄する. OSI 参照モデルの視点から見れば, 低階層のレイヤ 3 ( ネットワーク層 ) またはレイヤ 4 ( トランスポ

Similar documents
プレゼンテーション

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

PowerPoint プレゼンテーション

Cisco1812-J販促ツール 競合比較資料 (作成イメージ)

1.indd

PowerPoint Presentation

なぜIDSIPSは必要なのか?(v1.1).ppt

製品概要

Proventia xls

NW_FG_P1_rgb

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

報道関係者各位 2016 年 5 月 10 日 テクマトリックス株式会社 ネットワークセキュリティ事業部 次世代型メールセキュリティソリューション Proofpoint の取り扱いを開始 最新のサンドボックステクノロジーで標的型攻撃メールを可視化 テクマトリックス株式会社 ( 本社 : 東京都港区

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

Office 365/G Suiteご利用時の構成例

/ 11

サービス内容 サービス内容 アルファメールダイレクトのサービス内容 機能 対応環境についてご案内します 基本サービス 管理者機能 アルファメールダイレクトをご利用になる前に まず管理者の方がメールアドレスの登録や 必要な設定を行います すべての設定は ホームページ上の専用フォームから行います < 主

incidentcase_0507

v6

_mokuji_2nd.indd

<4D F736F F F696E74202D D352E8ED093E08AC28BAB835A834C A BAD89BB82CC8CE492F188C42E707074>


人類の誕生と進化

<4D F736F F D B838B8A7597A3424F DEC837D836A B5F E315F E646F63>

マルウェアレポート 2017年12月度版

Sample 5

Microsoft Word - Emsisoft-Anti-Malware-PressRelease docx

仕様書 1. 件名 福岡女子大学情報セキュリティ対策強化に係る機器調達及び構築業務一式 2. 背景及び目的近年 サイバー攻撃による事件が急激に増加しており その攻撃も年々巧妙化している 外部からの不正アクセス データの改ざんや窃取 あるいは情報システムの破壊や利用妨害など増えてきている また 組織内

PowerPoint プレゼンテーション

Trend Micro Cloud App Security ご紹介資料

KSforWindowsServerのご紹介

Prezentace aplikace PowerPoint

マルウェアレポート 2018年2月度版

マルウェアレポート 2018年1月度版

<4D F736F F D2081A F815B A838A815B83588CB48E862E646F63>

アルファメールプラチナのについてご案内します この度は アルファメールプラチナをお申し込みいただきまして 誠にありがとうございます 本冊子は アルファメールプラチナをご利用いただく方 ( 一般利用者 ) 向けの内容で構成されております お客様のご利用環境によってはご紹介した画面や操作とは異なる場合が

Template Word Document

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

SQLインジェクション・ワームに関する現状と推奨する対策案

PowerPoint プレゼンテーション

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

Microsoft PowerPoint - 入門編:IPSとIDS、FW、AVの違い(v1.1).ppt

マイナンバー対策マニュアル(技術的安全管理措置)

OP2

Office365迷惑メール対策について

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

PowerPoint Presentation

中小企業向け サイバーセキュリティ対策の極意

MPサーバ設置構成例

各 位 平成 18 年 2 月 15 日神奈川県横須賀市小川町 14 番地ー 1 株式会社ネットワークバリューコンポネンツ代表取締役渡部進 ( コード番号 :3394 東証マザーズ ) 問合わせ先取締役アドミニストレーション部マネージャー寺田賢太郎 TEL 台湾 BroadW

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

1. はじめに 本書は Wind ows10 がインストールされたPC を大量に準備する際のいくつかの手順について 検証した結果をまとめたものになります 本書の情報は 2018 年 3 月時点のものです 本書に掲載されている内容は 弊社の検証環境での結果であり すべての環境下で動作することを保証する

タイトルを1~2行で入力 (長文の場合はフォントサイズを縮小)

マルウェアレポート 2017年9月度版

Powered BLUE メールプラス

MYNOS-2015 年 3 月号 - 兼松株式会社様への次世代ファイアウォール導入事例 Palo Alto Networks 製品によるネットワーク運用事例 次世代ファイアウォールとは 従来型ファイアウォールの特徴であるポート番号 IP アドレスの組み合わせによる制御から進

仕 様 書

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

PowerPoint プレゼンテーション

2 Copyright(C) MISEC

OSI(Open Systems Interconnection)参照モデル

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

マルウェアレポート 2017年10月度版

サイバー攻撃の現状

前提情報

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

Microsoft Word - sp224_2d.doc

設定画面から ネットワーク設定 をタップします 管理者パスワード をタップします 管理者パスワードを入力して管理者としてログインします 管理者パスワードを入力して管理者としてログインします IPv4 設定 の IPv4 アドレス の値を確認します ネットワーク設定 をタップします もしくは ホーム画

ネットワーク管理規程 1 趣旨 対象者 対象システム 遵守事項 設置基準 導入時の遵守事項 共通の遵守事項 インターネット接続環境における導入時遵守事項 社

MSSGuideline ver. 1.0

情報共有の流れと目的 情報共有の基本的な流れ 参加組織 攻撃を検知 IPA へ情報提供 目的 IPA 分析 加工 ( 匿名化など ) 情報共有 結果の共有 1 類似攻撃の早期検知と被害の回避 2 攻撃に対する防御の実施 3 今後想定される攻撃への対策検討 標的型攻撃メールを当面の主対象として運用中

マルウェアレポート 2018年3月度版

Web Gateway資料(EWS比較付)

サービス内容 サービス内容 アルファメールプレミアのサービス内容についてご案内します このたびは アルファメールプレミアをお申し込みいただきまして 誠にありがとうございます 本冊子は アルファメールプレミアをご利用いただく方 ( 一般利用者 ) 向けの内容で構成されております お客様のご利用環境によ

1012  ボットネットおよびボットコードセットの耐性解析

サイバー空間をめぐる 脅威の情勢について

ACTIVEプロジェクトの取り組み

Microsoft PowerPoint - ã…Šã…¬ã…fiㅥㅼ盋_MVISONCloud製åfi†ç´¹ä»‰.pptx

フィッシング対策協議会(じ)

第5回_ネットワークの基本的な構成、ネットワークの脆弱性とリスク_pptx

JSOCマネージド・セキュリティ・サービス(MSS) インシデントご報告・セキュリティ動向

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

/

Imperva Incapsula Web サイト セキュリティ データシート クラウドを利用したアプリケーション セキュリティ クラウドベースの Web サイト セキュリティ ソリューションである Imperva Incapsula は 業界をリードする WAF 技術に加え 強力な二要素認証および

スライド 1

スライド 1

中継サーバを用いたセキュアな遠隔支援システム

<4D F736F F D F96C B838B91CE8DF491808DEC837D836A B76312E342E646F63>

平成23年度 情報基盤にかかる業務報告

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

月次報告書 (2009 年 1 月分 ) フィッシング情報届出状況 2009 年 2 月 20 日

今月の呼びかけ 添付資料 ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられました このウイルスには パソコン利用者がファイルの見た目 ( 主に拡張子

2. 留意事項利用する際には再度 メーリングリスト利用手引き をよく理解してから 利用してください また メーリングリストを管理画面にログインする際には ユーザ ID を必要としません これは管理者を定期的に変更して継続してメーリングリストを運営 管理することや 複数人で共同してメーリングリストを運

目次 1. はじめに SSL 通信を使用する上での課題 SSL アクセラレーターによる解決 SSL アクセラレーターの導入例 SSL アクセラレーターの効果... 6 富士通の SSL アクセラレーター装置のラインナップ... 8

indd

CD-ROM 版をご使用の場合 インストールガイド CD-ROM ドライブ \doc\ インストールガイド.pdf 基本操作ガイド CD-ROM ドライブ \doc\ 基本操作ガイド.pdf 設定ガイド CD-ROM ドライブ \doc\ 設定ガイド.pdf ダウンロード版をご使用の場合 インストー

<4D F736F F D2089E696CA8F4390B35F B838B CA816A>

IIS RealSecure Network Sensor 6.5 IDS, IBM Proventia G200 IDS/IPS, FortiNetwork FortiGate-310B, FortiGate-620B UTM, BivioNetwork Bivio 7512 DPI Nokia

NOSiDEパンフレット

Transcription:

TYCOON 1 2 1,2 2 Windows 95 Web 1995 20 21 TYCOON ToYaku COmputer Open Network 2016 8 2017 6 TYCOON Firewall 1 TYCOON 2018 1 TYCOON 2-1 IPS LAN 2007 8 IPS Intrusion Prevention System ASA-5520 Cisco TYCOON IPS IDS Intrusion Detection System 1 2-61 -

東京薬科大学研究紀要第 21 号 関係する通信であるかどうかを, 過去の不正アクセスの通信パターン ( シグナチャデータベース ) に基づいて判定し, 必要に応じて隔離または破棄する. OSI 参照モデルの視点から見れば, 低階層のレイヤ 3 ( ネットワーク層 ) またはレイヤ 4 ( トランスポート層 ) における通信パターンを, 高階層 ( レイヤ ) における通信の種別とは無関係に解析することになる. それゆえシグナチャのパターンが似ている場合, 誤検知に繋がるような判定を行う可能性もある. また IPS よる検知は基本的にデータベースに依存するので, 新種の不正アクセスを検知することはできない. この 2 つの欠点を補う新技術がそれぞれ WAF( Web Application Firewall) とサンドボックス ( sandbox: 砂場 ) であり, これらの仕様を持つファイアウォールは 次世代ファイアウォール と呼ばれる. 2-2. 次世代ファイアウォールの特徴レイヤ 3 およびレイヤ 4 で通信制御を行う従来のファイアウォールはパケットフィルタ型と呼ばれ, 通過するパケットがどのようなアプリケーションのものであるか,IDS などで推測するしか方法はなかった. しかしコンピュータ機器の処理能力の向上により, レイヤ 7 ( アプリケーション層 ) において通信を制御できるアプリケーションゲートウェイ型のファイアウォールが登場し, 監視している通信がどのようなアプリケーション (HTTP や SSH など ) に結びついたものなのかを特定できるようになった. またそれに伴い, 通信の内容 ( コンテンツ ) の識別も可能となり, 不正アクセスの判定をより正確に推測できるようになった. これらの能力を利用したファイアウォールが WAF であり, 豊富な実績を持つ IPS と併用することで, イントラネットへの不正アクセス防御効果も向上する. しかし WAF も IPS の場合と同様に, 未知 ( 新種 ) の不正アクセスに対しては全く無防備である. 特に特定の組織内の情報を狙って行われる標的型攻撃 ( Targeted threat) は, その個別性から, データベースに登録されていない不正アクセスのパターンやマルウェアを使って行われる場合が多い. このような不正アクセスに対してサンドボックスが有効であるとされる. サンドボックスは, 通信に含まれるスクリプトやプログラムなどを安全に保護された領域 ( 砂場 ) で動作させることにより, システムが不正に操作されないかチェックする仕組みである. このデータベースを必要としない不正アクセス検知システムは, 研究的視点からも大変魅力的な技術ではあるが, 導入のためのコストが高いことがデメリットとして挙げられる. また最近は 砂場 であることを検知して, 平静を装うマルウェアも出現しているので, サンドボックスを導入したからと言って, 絶対に安全であるとは言えない. 2-3. TYCOON における次世代ファイアウォールの導入前述のように,2007 年 8 月に TYCOON に導入したアプライアンス型ファイアウ - 62 -

強化された TYCOON のセキュリティと今後の課題 ォール ASA-5520( Cisco 社 ) は,IPS によるセキュリティ監視は行うものの, 次世代ファイアウォールとしての機能は装備していなかった. そのため近年急増する新種の不正アクセスの脅威からの防御を想定すると, 技術的に十分な仕様を備えているとは言い難かった. また 2014 年 8 月に,TYCOON から WIDE( WIDE プロジェクト ;100Mbps) 経由したインターネット回線に加え,SINET( 学術情報ネットワーク ;1Gbps) を経由した回線も並列冗長化して開通させたことから, 同年 9 月以降の TYCOON からインターネットへの通信量が増加した. それに伴い, ファイアウォールにおける CPU の最大負荷がそれまでの 40% 程度から 60% 程度へと増大し ( 図 2 ), 古い技術仕様で構成される機器 (ASA-5520) に大きな負荷がかかるようになった. そのためファイアウォールにおける通信データの処理が, インターネット通信速度のボトルネックとなった. ( 図 2 ) 旧ファイアウォールにおける CPU 負荷 (%) の最大値 ( 青色 ) と 1 日の平均値 ( 桃色 ). 2013 年 11 月下旬 2014 年 11 月下旬のデータによる. さらに機器の導入から 9 年が経過していたこともあり, ハードウェア自体の老朽化も目立つようになってきた. そこで 2016 年 8 月, 冗長化された 2 台のファイアウォールを, 高性能かつ高機能な次世代型ファイアウォール (PA-3020,Palo Alto 社 ) へ更新した.Palo Alto 社のファイアウォール (PA シリーズ ) は, 既に TYCOON 内の 2 つの独立ネットワーク ( 事務系ネットワークと CBT ルームネットワーク ) で導入されており, 十分な通信性能と耐久性が確認されていた. PA-3020 の導入により, ファイアウォールにおける通信データの受け渡し速度 ( スループット ) は, スペック値にして ASA-5520 の 450Mbps から 1Gbps に強化された. また PA-3020 はアプリケーションゲートウェイ型のファイアウォールで - 63 -

東京薬科大学研究紀要第 21 号 あるため,WAF やサンドボックスも搭載可能である. 計画当初はこれらの新機能を全て搭載することも検討されたが, 次世代型は総じて導入および保守費用が大変高いため, 費用対効果を考慮し, 最終的には搭載するセキュリティ監視 防御機能を ( 表 1) のように限定した. ただしサンドボックスや URL フィルタなど, 未導入のオプションを将来において追加することはライセンス ( 費用 ) の問題だけであり, 後日, 必要に応じて搭載することは可能である. オプション搭載機能 用途説明 導入 T h r e a t p r e v e n t i o n s u b s c r i p t i o n ウイルス, スパイウェアからの脅威防御,IPS G l o b a l P r o t e c t G a t e w a y VPN 通信における不正侵入防御 P A N D B U R L f i l t e r i n g 不正な Web サイトに対する URL フィルタ W i l d F i r e 未知のマルウェアを検証 検知 (sandbox) ( 表 1) 新ファイアウォール (PA-3020) の機能とオプション機能の導入状況 一方,( 表 1) の URL フィルタについては, 学問の自由を重んじる大学では必ずしも歓迎される仕様ではなく, むしろ Web サイトへの不必要なフィルタが, 教育 研究の邪魔になる可能性さえある. 本当に必要とされるのは, 電子メールを媒介としたフィッシング詐欺 ( メール本文に表示した URL へのリンクを使い, ユーザを不正な Web サイト誘導し, 個人情報を盗む犯罪 ) への対策としての URL フィルタであろう. ちょうど 2015 年頃より, 本学のユーザ宛に届く電子メールにはフィッシングを目的とした標的型攻撃メールが増加しており, そのための対策を講ずることも情報教育研究センターの急務であった. 3. SPAM フィルタからメールゲートウェイへ 3-1. 電子メールを侵入経路とした PC クライアント攻撃 IBM は全世界 8 拠点にセキリティ オペレーション センター ( SOC) を設置し, セキュリティ イベント情報を収集している. その中で東京に設置された Tokyo SOC における 2017 年上半期の情報分析レポート [1] によれば, クライアント PC へのマルウェアによる攻撃の経路の 93.5% は, 電子メールによるものであるという. この傾向は 2016 年上半期からほぼ変わっていないが, メールに添付されたマルウェアの種別は大きく変化している. 特に組織内メールを装うために, 日本語のファイル名を持つマルウェアを添付したフィッシング詐欺が増えている. 前節で紹介した新ファイアウォール PA-3020 にも, こうしたフィッシングメールを防ぐための URL フィルタがオプションとして提示されているが, それよりも SMTP( Simple Mail Transfer Protocol) によるメール送受信そのものを中継するメールゲートウェイにおいて, マルウェアやフィッシングメールをチェックした方が, より細やかな判別 対応ができると考えられる. - 64 -

強化された TYCOON のセキュリティと今後の課題 3-2. TYCOON におけるメールゲートウェイの更新と強化本学には,SPAM( 迷惑メール ) をメールゲートウェイにて除去する SPAM フィルタ装置が 2008 年 4 月より導入されていた. この SPAM フィルタ装置として Ironport 社の製品 ( 現 Cisco 社の ESA) を選定し,8 年間 ( 最初の 4 年間は型式 C350, 2012 年 5 月に C370 へ更新 ) 利用していた. その性能は非常に高く,SPAM の誤検知率は世界で最も低いと言われており, 大変信頼のおける製品であった. しかし導入および維持コストが非常に高いことから, ウイルスやスパイウェアからの脅威防御オプションについては契約を行わず, メールサーバ (Zimbra) 内でウイルスチェックを行っていた. そのため本学のユーザを狙ったフィッシングメールの増加が顕著になってきた 2016 年上半期から,Ironport の持つレピュテーション機能 ( 不審なメールを送信するメールサーバのリストを元に行う SPAM フィルタリング ) 以外にフィッシングメールを削除する手段が無くなってしまった. そこで 2017 年 6 月に更新を予定していた SPAM フィルタ装置の後継機種として, メールに添付されたウイルスやスパイウェア, 本文に記載されたフィッシング URL を個別に削除することができ, なおかつ導入と維持のコストを大幅に下げることのできる Fortinet 社のメールゲートウェイ (Fortimail 400E) に更新した. この製品は, SPAM フィルタとしては Ironport に比べて 1 ランク精度が落ちるものの, 大変安価であり, メールゲートウェイにおける最新の脅威防御に必要な機能がほぼ全て搭載されている. ただし残念ながら前述のサンドボックスについては別売りであり, ほぼ倍の導入コストが必要となるため, 今回は導入を見送った. また SPAM メールである判断基準については, ユーザ側でパラメータを詳細に設定することができるが, 同時にその調整に時間と手間がかかる. ( 図 3 ) 新メールゲートウェイで解析された本学における受信メールの状況.SPAM の判定 で最も適用された方法は, 送信元の IP アドレスによる判定である. - 65 -

東京薬科大学研究紀要第 21 号 ( 図 3 ) に 2017 年 6 月から 2018 年 1 月中旬までに, 本学メールシステムに届いた受信メールの解析結果を示す. 届いたメールの 44.45% は SPAM かウイルスメールであると判定されている. 前回,SPAM フィルタ装置を更新した 2012 年 5 月では,96.5% の受信メールが SPAM であると判定されていたことを考えると, メールを介した不正アクセスが本学でも 迷惑 な総当たり手段から 巧妙 に仕組まれた標的型に切り替わっている様子が伺える. 4. 今後の課題 : プライバシーと自由な社会インターネットの世界において, これからも更に 巧妙 な手口を使い, 個人情報を盗もうとする犯罪が増加することは確実であろう. 加えて AI( 人工知能 ) の急速な進化が, その 巧妙 さを助長していくことは想像に難くない. 逆に不正アクセスを防ぐ技術にも,AI が導入されていくであろう. こうした いたちごっこ のような人間社会の闘争は, 人間が自らの個人情報を放棄しない限り, ずっと続くのかもしれない. しかしその闘争を最新の ICT 技術が補佐してくれることはあっても, それを過信して個人情報を丸々委ねてしまうことは, 本来は主体的に入出力を制御すべきプライバシーの放棄に繋がるのではないかと考える. そうなると実体の定かでないクラウド ( 既に AI も組み込まれているかもしれない ) のようなものに, 便利, 手間要らず という理由で個人情報を無垢に預けてしまうことは, 危険極まりない行為と言える. インターネットからプライバシーを守るためには, 最終的にはユーザ自身が不正アクセスの 巧妙 さに騙されないよう, 日頃から不正アクセスに関する情報に気を配り, 論理的かつ冷静に ICT 機器を操作するしか方法はない. しかしそうなると, 我々もそれに疲れ果てるかもしれない. 実際, 個人情報の漏洩事件は日常茶飯事のことであり, 刺激的なニュースではなくなっている. 逆にビックデータの活用が経済を活性化させると言い, 個人情報が合法的に吸い上げられることを黙認させる風潮がみられるのではないか. NSA( 米国家安全保証局 ) による個人情報収集の手口 (PRISM 計画 ) を告発したエドワード スノーデン氏は, 大量監視社会 に関するインタビューで次のように述べている : 隠すものがないなら 恐れることはない というのは第二次世界大戦時のナチスのプロパガンダから来ています これは 問題点をずらした考えです プライバシーというものは 隠すための何かではありません 守るための何かです 人々が違ったままでいられる 人々が自分自身の考えを持てる開かれた社会 自由な社会を守るためのものです [ 2 ]. 参考文献 [1] https://www.ibm.com/blogs/tokyo- soc/tokyo_soc_report2017_h1/( 2018.1.18 確認 ) [ 2 ] 軍司泰史, スノーデンが語る 共謀罪 後の日本, 岩波ブックレット (2017) - 66 -

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック