Chapter 8 2 Defensive Tactics and Technologies PAD担当分

Panasonic Advanced Technology Development Co. Ltd.

Chapter 8

Defensive Tactics and Technologies ^{Chapter 8}

Defensive Tactics and Technologies

2016/6/9

パナソニック アドバンストテクノロジー

( _{株 )}

1

守るための戦術と技術

 _{8 章の位置付け}

• これまでのところ、ダイアグラムや STRIDE を使用してソフ

トウェアをモデル化することを学んだ。

• 脅威モデリングプロセスの次のステップは、あなたが見つ

けたすべての脅威に対処することです。

• この章では、脅威を軽減する標準的な戦術と技術をカ

バーしています。

大久保先生 ご担当部分

Panasonic Advanced Technology Development Co. Ltd.

脅威を緩和するための戦術と技術 (1)

 Authentication: Mitigating Spoofing

3

大久保先生 ご担当部分

脅威を緩和するための戦術と技術 (2)

 Integrity: Mitigating Tampering

大久保先生 ご担当部分

Panasonic Advanced Technology Development Co. Ltd.

脅威を緩和するための戦術と技術 (3)

 Non-Repudiation: Mitigating Repudiation

5

大久保先生 ご担当部分

脅威を緩和するための戦術と技術 (4) - 機密性：情報漏えいの緩和

 _戦術

① システムの境界内 ： ACL が使える

② システムの境界外 ： 暗号を使う必要がある

• _{守りたいレベルと技術}

• 通信の内容のみ保護 ： 暗号で十分

• 誰が通信しているか頻度を隠す ： 暗号化織り交ぜたネットワークや、オニオンネットワーク

• 通信が行われている事実を完全に隠す： ステガノグラフィー

 _実装

• データのへの全アクセスが制御可能なら ACL が使える。

• そうでなければデータまたはコンテナのいずれかを暗号化が必要

• 暗号化されたデータの完全性は制御されないことに注意 ( 例： CEO との給与の交換 )

 _運用保証

• すでに運用しているシステムであっても、 ACL やサンドボックスを追加することが可能

• ネットワークについては SSH/SSL トンネリング /IPSec を使うこともできる

 _技術

• ファイル保護： ACL 、暗号化、適切な鍵管理 ネットワークデータ保護：暗号化、適切 な鍵管理

• 通信ヘッダや通信の事実の保護： Mix network, オニオンルーティング、ステガノグラフ ィー

• _Note: 「適切な鍵管理」は、重要な技術ではないが、それが満たされていることが重要

※ オニオンネットワー ク： 接続経路を匿名化 する通信ソフトウェ ア。例： Tor( トーア )

※ オニオンネットワー ク： 接続経路を匿名化 する通信ソフトウェ ア。例： Tor( トーア )

Panasonic Advanced Technology Development Co. Ltd.

脅威を緩和するための戦術と技術 (5) - 可用性：サービス拒否の緩和

 _戦術

• サービス拒否攻撃はリソース (CPU/ メモリ /HDD) の枯渇により引き起こされる

① brute force DDoS 攻撃など

② clever 攻撃者は少量の作業 例： SSLv2 サーバへの接続はサーバ側の処理が重いことを利 用

 _実装

• 攻撃者が利用可能なリソースを把握し、ユーザごとにリソースを制限する方法を探す

• 信頼境界の外側にあるシステムは制御できないことを理解する

 _運用保証

• Brute force 対策：簡単！ リソースが枯渇しないよう多くのリソースを確保するか、 1 つ の腐ったりんごのせいで他が腐らないように隔離する ( 例：クオータ、特定ソースからのト ラフィックをフィルタリング )

• Clever 攻撃対策：一般に実装で解決すべきで運用では解決できない

 _技術

• ACL 、フィルタリング技術、クオータ、高可用性設計、追加可能な帯域幅を用意、クラウド

7 サービス

脅威を緩和するための戦術と技術 (6) - オーソライゼーション：権限昇格の緩和

 _戦術

• オブジェクト同士のアクセスについて制御可能な参照モニタを持つ (setuid プログラムの 数を制限 )

• 攻撃界面 (Attack Surface) を限定すると問題を扱いやすい

• プログラムは小さな単位で実行し、ユーザ入力は慎重にチェックする

• サンドボックス化が有効

 _実装

• 攻撃界面を限定し、攻撃界面で受け取る入力を明確化

• 明確化した入力と一致しないものは、細かいチェックをせずに、即拒絶する。クリーン アップもしない。

 _運用保証

① プログラムを、管理者権限でなく、一般・限定ユーザとして実行する（権限昇格対策で はないが「最小特権の原則」に基づく）

② 可能な限りサンドボックスを使う

 _技術

• ACL 、ロールベースアクセス制御、クレームベースアクセス制御、 Windows 特権、 Unix の sudo 、サンドボックス、 MOICE 、入力の検証

Panasonic Advanced Technology Development Co. Ltd.

脅威を緩和するための戦術と技術 (7) - 戦術と技術の罠

ここまでの技術と戦略に沿って作業する際、目移りして時間を

浪費してしまう２つのポイントがあるので注意

1. リスク管理

本セクションの戦略・技術は、脅威の対策への取り掛かりとしては良

いものである。これらを使いこなせれば、リスク管理より簡単に対策

を行う事が可能。

2. 脅威のカテゴライズ

脅威のカテゴライズに捕らわれて本セクションの内容を疎かにしない

ことが重要。脅威に対処するための最善の方法を見つけることに集中

すること。

( チームはファイルのパーミッションを修正・変更するよりも、カテ

ゴライズに関する議論でより多くの時間を費やしがち )

9

パターンを使って脅威に対処する

 書籍 “ A Pattern Language“ で、建築家の Christopher

Alexander は、都市設計のパターンの概念を紹介した

(Alexander, 1977)

 パターンとは、繰り返し発生する問題の解決方法を専門家がどのように捉

えているかの表現方法であり、ソフトウェアにも適用されている

 本章では、セキュリティ問題に対処するセキュリティパターンのいくつか

について説明する。

 しかし、実際には、これらのパターンは普及していない。

この理由は明らかではないが、普及していない理由を学ぶことで得られる

恩恵がある。

 非専門家でも脅威を見つけられるセキュリティパターンが良いパターン。

Panasonic Advanced Technology Development Co. Ltd.

パターンを使って脅威に対処する (1) 標準的なデプロイ手段を使う

 大規模な組織の運用グループは、たいていシステムをデプロ

イする際の標準的な方法を持っている

 言い換えると、緩和可能な脅威の種類を文書化し、その文書

を組織の研修で使用できるということ。これを使いましょう

。

 例えば、組織の標準的なデータセンターでは、「 DDoS に対す

る防御」を持っているし、「ネットワーク情報漏えいがリス

クカテゴリ 1 ～ 3 のリスクとして受容された」といった状態

を定義することができる。

11

パターンを使って脅威に対処する (2) - CAPEC を使う

 CAPEC(MITRE 社がメンテしている、攻撃パターンの列挙・分

類 ) は、攻撃パターンの集まりだが、ほとんどのパターンに

「防御」方法も含まれているので、これを使う

 本章では、主に STRIDE によって脅威を系統立てたが、もし C

APEC を使うのであれば、各々の CAPAEC パターンの「ソリュー

ションと軽減策」セクションで脅威への対処方法が記載され

ている

 CAPEC は、脅威データとして信頼できる情報源である

Panasonic Advanced Technology Development Co. Ltd.

プライバシー脅威の緩和

 プライバシー脅威に対処するのに、以下の３つの方法

がある

1. 情報収集を避ける（最小化）

2. 暗号の使用

3. データの使われ方の制御（コンプライアンスとポ

リシー）

13

プライバシー脅威の緩和 (1) – 最小化

 情報の収集と保持を最小化する事がリスク低減につながるが

、同時に実用性を排除する事にもなる

 過去 10 年でプライバシー情報に関する扱いが劇的に変化して

おり、一部の法学者が有害廃棄物と同じように扱うような状

況にまで至っている

 Holly Towle は、有害廃棄物、または個人を識別可能なデー

タを扱うための 10 の原則を提言している

Holly Towle _{の 10 原則}

1. 必要が無いなら触れないこと

2. 触れる必要がある場合、どのように

触れるかを学ぶこと。ミスは致命的

・または重大なダメージとなる

3. それを運ぶ ( 転送する ) ため、通常

の方法を用いないこと

4. 専門の業者に扱ってもらうようにす

5. る 一部でも保管はしないこと

6. 保管が必要な場合は、流出を避け、

アクセス制限をすること

7. 不審な匂い (odors) や、その他危険

な兆候に警戒すること

8. ( 問題が発生した場合は ) 関連する

人々や期間に報告が ( 必ず ) 流出する

9. 廃棄する場合は、特殊な手段を用い

ること

10. あなたが気にするか否かに関わら

ず、対策費用または訴えられる準備

Panasonic Advanced Technology Development Co. Ltd.

プライバシー脅威の緩和 (2)

 プライバシー脅威への対処に使える暗号技術

なにをどう守りたいかでどの技術を使うか選ぶ必要がある

15

暗号技術 用途・効果

ハッシュ・暗号化 覗き見防止

鍵分割システム 鍵漏洩時のリスク低減

個人情報検索 ファイルサーバ内の個人情報を抽出する手法。処理負荷が重

い。

ディファレンシャル

・

プライバシー

( 訳注 ) ハッシングやノイズ・インジェクションを用いるこ

とで、個人情報を、完全に匿名性を保ったまま解析する手法

合成と合成系システ

ム トラフィック分析を防止し、メッセージの送信者・受信者の

追跡を不可能にする

ブラインディング 暗号鍵を隠蔽するための各種操作。暗号鍵を監視される脅威

に有効

プライバシー脅威の緩和 (3) コンプライアンスとポリシー

 プライバシー情報を収集・保存する場合、組織においてそれらの

情報に対する、なんらかの制御が必要となる

 これらの制御は、ポリシーまたは技術的なものであり、ビジネス

または規制、あるいはその両方のニーズを満たす事が出来る

 これらのアプローチは、前述の戦術・ツールように歯切れの良い

ものではないが、最小化・暗号を適用できる範囲においては簡単

でより効果的なものである

 ポリシーがシステム全体に適用されている事を確認する必要があ

り、そこで戦術や技術のレベルになる。

 本書でカバーしているプライバシー脅威の軽減方法は、適切な法

的アドバイスに変わるものではない

 多くの場合で組織は、莫大な費用をかけて、有毒廃棄物として扱

うべき情報を収集し、保護する事が義務付けられている

Panasonic Advanced Technology Development Co. Ltd.

サマリー

 脅威に対処する最善の策は、標準的かつ十分にテストされた機能や製品を

使用する事である

 これら戦術と技術は、 STRIDE の各々の脅威に対処可能であり、開発・運

用の両面で利用可能である

 認証技術は、なりすましの脅威を軽減し、コンピュータやデータ、人を認

証する事ができる

 改ざん検出技術は、改ざんの脅威を軽減し、ファイルやネットワーク接

続の完全性保証に使用できる

 否認防止技術は、詐欺を含む否認を軽減する

 不正防止技術は、検証サービスや顧客履歴の使用を含む。また、ログに関

する保証を高め得る様々な暗号技術や運用上の対策がある。

 情報漏えいの脅威は、機密保持技術によって対処され、最も簡単にファ

イル・ネットワークに適用できる。しかし、ファイル名や通信の事実を保

護する事も重要である

17

サマリー

 サービス拒否の防止は、利用可能なリソースに関して限界がない事の保

証を含む。

 特権の昇格の防止には、 ACL やサンドボックスが使える。

 パターンは戦術や技術の集合で、自然なアプローチである。

 プライバシー脅威の軽減は、情報の収集を最小限にし、暗号化を適用す

るのが良い。しかし、利用可能な戦術・技術には限界があるので、時には

コンプライアンス・ポリシーに立ち返る必要がある。

 次の章では、脅威に対処する方法間のトレードオフについて学ぶ。