Threat Modeling 本
Chapter 13
Web and Cloud Threats
渡辺 露文( @tsuyu23 )
Web とクラウドの脅威
● Web およびクラウド向けの脅威モデリング
○ 他の用途向けの脅威モデリングによく似ている
○ Web およびクラウド独特の繰り返される脅威がある
❏Web およびクラウドの脅威
❏Web の脅威
❏Web サイトの脅威
❏Web ブラウザおよびプラグインの脅威
❏クラウドの脅威
❏クラウドプロバイダの脅威
❏モバイルの脅威
Web の脅威
❏Web はプロトコルおよび⾔語のシンプルかつパワフル
なセットで構成されている
❏Web はソフトウェアである
❏他の多くのソフトウェアのように、 STRIDE およびアタ
ックツリーといった手法が Web 技術にもうまく作用
する
Web サイトの脅威①
❏パブリックな Web サイトは、世界中から投げかけられ
る大量の詮索に悩まされる
❏典型的な STRIDE はすべて適用できる
❏これに加えて Web 固有の攻撃がある
❏Web ページに含まれる JavaScript やフォームに形作られた SQL など
❏これ↑も信頼境界である
Web サイトの脅威②
❏ SQL インジェクションや XSS などの脅威の可能性を減ら
すために、開発時にパターンやライブラリ、フレームワ
ークを利用するが、それだけでは足りない
❏あなたのサイトが脆弱となる独特の脅威を見つけなけ
ればいけない
広告
広告プロバイダがコンテンツを設定
Web サイトの脅威③
❏ サーバへのデータの流れを表す DFD は必要不可欠
❏クライアントサイドの DFD も良い方法
❏セキュリティアップデートに関する依存性のリストを作成する上で役 に立つ
Web ブラウザおよびプラグインの脅威
① ❏Web ブラウザは、インターネットへの第一のポータ
ルとなった
❏時には、攻撃に対する自動化された防御の最終ラインと
なる
❏ブラウザのセキュリティを拡張するプラグインやアドオ
ンは、より少なく、より共通でなくなってきている
❏Java と Flash という広く展開されたプラグインが深刻かつ進行中のセ キュリティ問題に悩まされているため
❏iPhone から Flash を排除した Apple 社の意向も理由
Web ブラウザおよびプラグインの脅威
② ❏脅威を見つけるいずれの構成要素も、 Web ブラウザ
に適用できる
❏例として、 STRIDE の脅威はすべて Web ブラウザに適用される
❏フィッシングもしくは他の目的の Web ページのなりすまし、クロスタ ブ改ざんおよび他のサーバのファイルを伴う改ざんがある
❏CSS スニッフィングを経由したブラウザ履歴の情報開示があり、同様の 例は各 STRIDE の脅威それぞれに存在する
❏Web ブラウザおよび Web サイト設計者向けの非常に特
定の攻撃ライブラリが利用できる
Web ブラウザおよびプラグインの脅威
③ ❏ブラウザのプラグインを作る際に考えるべき 2 つのユニ
ークな要素
❏ブラウザのセキュリティモデル
❏ブラウザのプライバシーモデル
❏オートアップデートは重要かつ、安全に行われなければ
ならず、これを実現すべき
ブラウザセキュリティモデル①
❏同一生成元ポリシー、ページ間の境界、新しいウィンド
ウのオープン可否、ウィンドウサイズの変更可否などを
含む
❏接続に悪意があることを覚えておく必要がある
❏Web サーバ上に置かれたあなたのコンポーネントは攻撃者の制御下に 置かれる可能性があり、その際、攻撃者は悪意あるコンテンツをあな たのプラグインに送り、追加システムを危うくすることができる
❏同様に、あなたのプラグインは、上書きもしくはプロキシを通すこと によって、サーバコンポーネントを攻撃するかもしれない
ブラウザセキュリティモデル②
❏今、ブラウザセキュリティモデルは複雑であり、書くべ
きではないと、何人かの専門家は言った
❏ブラウザプラグインは、暗号のように、エキスパートと侵入テストが 必要とされる領域である
❏ブラウザメーカーがこれを修正し、プラグインモデルの理解を簡単に することを提案し、プラグインをインストールする人が危険に晒され ないように展開できるようになるができれば、素晴らしい
ブラウザプライバシーモデル
❏ブラウザが行っていないことは行ってはいけない
❏ブラウザには存在しない方法の追跡や監視を許してはいけない
❏ブラウザから提供されるものと同様に、最小のアクセス許可であるこ とを確認しなければならない
自動アップデート
確実に実現べきこと
❏簡単にバグレポートができること
❏ブラウザの自動アップデート機構であなたのアップデ
ートが機能すること
❏あなたのセキュリティ更新プロセスが、新たなもしく
は変更された UI や、新しいライセンス、同様にアッ
プデートの障害となることを、セキュリティアップデ
ートのトレードオフとして生じないこと
クラウドテナントの脅威①
❏IT システムをクラウドへ移行しようとするとき、新しい
攻撃者(脅威)が現れる
❏クラウドプロバイダの内部の人間
❏クラウドシステムの仲間のテナント
❏クラウドのテナント
❏あなたもクラウドプロバイダのテナントの一つ
❏攻撃者はテナントになる、もしくはテナントに侵入している
テナント
クラウド基盤(クラウドプロバイダ) テナント テナント …
攻撃者
クラウドテナントの脅威②
❏法的脅威のセット
❏複雑性および/もしくは労力を追加するもの、もしくはコンプライア ンスの保証を減らすもの
❏および、サードパーティへ与えられたデータに関する異なる法的標準
❏上記 2 つのハイブリッドな脅威として、フォレンジックレスポンスへ の脅威がある
クラウド内部の脅威①
❏データや運用をクラウドへ移すときには、信頼境界を追
加します
❏クラウド運用者の従業員及び契約者が、あなたのデータと共に内側にいます
❏クラウド運用者があなたのデータにアクセスできること
は避けられない
❏彼らが意図的にあなたを攻撃するかもしれない
❏攻撃の犠牲になったり
❏うっかりソフトウェアの設定を誤ったり
クラウド内部の脅威②
❏この脅威を軽減する方法
❏契約❏ 最近は契約によるアプローチがほとんど
❏ 簡単かつ、ほとんどのリスクにとっては契約で十分
❏暗号化❏ 暗号化によるアプローチ
❏SaaS よりクラウドストレージシステムで使いやすい
❏ きちんと暗号化され、完全性が保護され、認証されたデータは、どこに格納して も安全性が損なわれることは非常に少ない
同居するテナントの脅威①
❏IaaS と PaaS に存在
❏プロバイダ/テナントの信頼境界がテナントにデータセンター内での 任意のコード実行を許可するため
❏IaaS では、コードを実行する権限は、実質的には無制限である
❏PaaS では、実行すると見受けられるコードは、はるかに限定されてい る
❏クラウドテナントへの二次脅威
❏プラットフォームソフトウェアが 慎重に構成されない限り、攻撃者が 侵入したテナントとは別のテナントを攻撃できる脆弱性が生じる
❏ 権限昇格の攻撃に抵抗するように
❏ 攻撃を発見、確定することを優先させる
同居するテナントの脅威②
❏クラウド環境下でのテナントの同居で気をつけること
❏あなたの競争相手、または IT 部門のない誰かと同じ単一のファイアウ ォールの内側にいるかもしれない
❏cloudapp.net や s3.amazonaws.com のように、そのまま同じドメイン 上にあるかもしれない
❏クラウド事業者の他のテナントへの攻撃が、飛び石の
ように、あなたのシステムにも攻撃するかもしれない
❏別のテナントがその仮想マシンの外に脱走し、あなたのマシンへのア クセスを試みるかもしれない
❏攻撃者はネットワークやストレージにアクセスすることができるかも
法令遵守に対する脅威
❏物理的なセキュリティを含むスタック全体で従う必要が
ある
❏PCI や HIPPA❏PCI のアセスメントされるアプリケーションを持つためには、クラ ウドプロバイダーが PCI のアセスメントに準拠することが求めれら れる
❏監査およびログ取得に問題が発生することがある
❏すべてのクラウド運用者が API へのアクセスログや Web コンソールを提供 するわけではない
❏⇒ 必要なログが取得できないこともある
法的な脅威
❏クラウドにデータを移動する際の主な新しい法的脅威
は、法律に関係するもの(法的差し押さえ等)
❏あなたの情報について知る能力を下げる
❏あなたの情報について召喚や礼状といった法的要求を行おうとするも の❏ クラウド事業者によっては法的な請求に応じてしまう
❏ プライバシー、セキュリティ、および信頼性に関連する合意を交渉する必 要もあります
❏ EU や類似するプライバシー体制の元で収集したプライバシー情報の移転に は対処が必要
❏ EU 、ヨーロッパ諸国から米国への個人情報の移転:セーフハーバー協定
フォレンジックの結果に対する脅威
❏侵入に遭った後、あなたの VM はクラウドプロバイダ
によってシャットダウンされるかもしれない
❏あなたは完全なスナップショットまたは十分に大規模な
システムをインスタンス化していてもよいです。
❏しかし、もっとも重要なことは、防御できる保管の鎖を持てないこと
雑多な脅威
❏一部のクラウドプロバイダーは仮想マシンイメージを簡
単に使えるように、親切な他人からアップロードされた
イメージを提供している
❏このアップロードされたイメージは、安全ではないかも
しれない
クラウドプロバイダの脅威
❏プロバイダーを標的とするテナントの悪意のある振る舞
い
❏テナントがプロバイダをハックするような企て❏ブラックリスト作成のようなテナントの振る舞い
テナントの振る舞いにより生じる脅威
❏テナントが発生させる脅威
❏スパム、著作権侵害…
❏アカウントが自由で、本質的に匿名であるケースに増大する
❏これらはなりすまし、改ざん、情報開示などよりも明確ではない
❏明確でないため、これらの脅威の管理は、古典的なセキ
ュリティ違反より難しい
モバイルの脅威①
❏モバイルデバイスへの脅威は、コンピュータへの脅威
に似ている
❏例えば、デバイス上でコードを実行する誰かがあなたのファイルを読 めるかもしれないし、あなたの認証データを利用できるかもしれない 等
❏モバイルデバイスの追加的脅威
❏増加したデバイス紛失の可能性
❏デバイス管理の難しさ
❏セキュリティアップデートと競合するビジネスモデル
モバイルの脅威②
❏ デバイス紛失に対処する主な方法
❏
デバイスワイプ❏ 本来削除できないデータも削除してしまうかもしれない
❏データワイプ
❏ デバイスに暗号化したデータを送信しておき、そのデータのアクセスに必要な鍵のみ を送信することで管理対象データのみを削除できる
❏デバイスとその物理的な枠組みは、信頼境界を注意深く
考えないといけない
❏すべての通信が改ざん、 DoS 、情報開示であると仮定するような
モバイルの脅威③
❏多くの無線通信事業者は、デバイスへのパッチ配布能力
を脅かされている
❏任意のパッチ適用が、塞がれたデバイスとサポートコストを脅かして
❏モバイルデバイスが、セキュリティアップデートで修正されるセキュいる リティ問題に対して脆弱であることを意味する
まとめ①
❏Web は他のソフトウェアのように脅威モデルで表せる
❏Web 固有の脅威もある
❏XSS や SQL インジェクション
❏Web ブラウザとプラグインは脅威モデルを持つ
❏セキュリティとプライバシー両方をカバーする
まとめ②
❏ クラウドテナントは、クラウドプロバイダにおけるイン
サイダーおよび共同利用者による脅威の部類に入る
❏コンプライアンスおよび法的脅威に対する脅威の多様性
もある
❏クラウド利用者は説明しなければいけない❏クラウドプロバイダーが懸念すべき事項
❏テナントがテナントを攻撃することがある
❏テナントが他を攻撃することがある
まとめ③
❏ラップトップ、タブレット、スマートフォンを含むモバ
イルコンピュータは、他のコンピュータにとても似てい
る
❏デバイスをなくす頻度が遥かに高いことを除いて❏いくつかのモバイルデバイスはロックされている
❏コンプライアンスウェアを導入しづらくし、可能であれば、脅威モデ ルをデバイス使用者を含めた人を対象に変更する