IPA 情報セキュリティ EXPO サイバー脅威の正しい怖がり方と考え方 ~ イノベーション x セキュリティ ~ 2018 年 5 月本日のポイント 1 皆さんの新しい技術革新価値創造を応援したい 2 データの利活用を促進するためにセキュリティ 3 セキュリティ投資のモチベーショ

(1)

サイバー脅威の

正しい怖がり方と考え方

～イノベーション x セキュリティ～

2018年5月

情報処理推進機構

セキュリティセンター

研究員

佳山こうせつ

IPAブース@情報セキュリティEXPO

【本日のポイント】

①皆さんの新しい技術革新・価値創造を応援したい

②データの利活用を促進するためにセキュリティ

③セキュリティ投資のモチベーションへ

(2)

自己紹介



主な業務

◦

①人材育成

◦

②インシデントレスポンス業務

◦

③対策手法の情報発信

_{(出口対策・内部対策)}

◦

④若者たちとの共創

◦

⑤アドバイザリー



所属

◦

①富士通株式会社セキュリティマイスター

◦

②独立行政法人情報処理推進機構研究員

◦

③東京電機大学サイバーセキュリティ研究所研究員

中央大学外部講師、名古屋工業大学外部講師

◦

④

SECCON実行委員、セキュリティキャンプ地域WG主査、

SecHack365実行委員

◦

⑤総務省公衆無線

_{LANセキュリティ分科会専門委員}

(3)

3 作成：IPA『脅威と対策研究会』

「高度標的型攻撃」対策に向けたシステム設

計ガイド（第４版）の公開（’14.9.30）

https://www.ipa.go.jp/security/vuln/newattack.html

(4)

テクニカルウォッチの公開

（’14.3.28）

4

4 「攻撃者に狙われる設計・運用上の弱点についてのレポート」

～標的型攻撃におけるシステム運用・設計10の落とし穴～



10の落とし穴



メールチェックとサーバ運用管理端末が同一



分離できていないネットワーク



止められないファイル共有サービス



初期キッティングで配布さえれるローカルAdmin



使いこなせないWindowsセキュリティログ



パッチ配布のためのDomain Admin



ファイアウォールのフィルタリングルール形骸化



不足している認証プロキシログの活用とログ分析



なんでも通すCONNECTメソッド



放置される長期間のhttpセッション

攻撃に対して意外な弱点となっているシステム設計例を10点挙

げ、運用（背景）と対策の考え方を解説

内容を補完

テクニカル

ウォッチ

’13.8.29公開

(5)

5 ・情報が漏れないことに着眼した対策

・侵入を許しても取られない

・内部の拡散に着眼した対策

・侵入を許しても影響を局所化(受容範囲に)

2011年11月

2013年8月

2014年9月

2011年8月

対策に向けたシステム設計ガイドの歴史

出典：https://www.ipa.go.jp/files/000052614.pdf

もう

(6)



内部侵入後の挙動



プロキシサーバを介した外部との不信な通信



組織全体への拡大

侵入を前提とした対策の課題

～内部システムの防御は業務システムの設計と運用を中心に～

6 主に、設計上、運

用上の弱点が狙わ

れる

イントラ

ネット

主に、脆弱性が狙わ

れる

(7)

つながる時代

通信

農業

官庁

自治体

位置情報

放送

家庭

(家電)

電気・ガス

水道

交通

物流

医療

製造

航空管制システム 列車運行システム 物流配送システム 医療介護システム 生産管理システム GPS 緊急速報システム スマートメーター スマートメーター 上水道システム _{生育管理システム} _{タブレット・スマホ} 住民情報システム 電子申請システム

リアル空間

_{出典：富士通セキュリティフォーラム}

サイバー空間

変わらない考

え方

(8)



情報システムを取巻く状況を紐解く



ネットワークの多様化



データワークフローから見る全体設計



まとめ

8

(9)

200

9

201

0

201

1

201

2

201

3

201

4

201

5

201

6

201

7 2018

妨

大統領府など

(7.7大乱,韓国)

情

石油，エネルギー産業

(Night Doragon)

情

Google

(Operation Aurola, 米)

妨

核施設(Stuxnet )

情

RSA(米)

妨

農協銀行(韓国)

情

化学, 防衛産業

(Nitro, 米)

妨

銀行, 放送局(韓国)

情

三菱重工

海外

日本

情

衆議院. 参議院会館

情

JAXA

情

特許庁

情

財務省

情

農林水産省

情

外務省

情

JAXA

情

JAEA

高速増殖炉

「もんじゅ」

情

日本年金機構

情

JTB

妨

San Francisco

Metro System

Hacked(米)

妨

Twitterなどの

アクセス妨害(世界)

妨

Mirai

bot

情

NSA

(スノーデンリーク, 米)

情

Hacking team

Hacked(伊)

9 サイバー脅威の変遷

～時系列に並べてみる～

情

妨

米大統

領選(米)

妨

WannaCry(世界)

妨

Googleによる

大規模障害

妨

WannaCry

妨

Googleによる

大規模障害

(世界)

(10)

サイバー脅威の変遷

～やるべき対策が多く積みあがり複雑化した時代へ～

主

な

対

策

の

軸

足

10 コンピュータウイルス（マルウェア）対策

不正アクセス対策

情報漏えい対策

内部統制対応

出口対策

緊急対応体制

内部対策

ウイルス蔓延事案

省庁サイト改ざん

個人情報保護法施行

粉飾決算事案

サイバー空間をめぐる攻防

防衛産業を狙ったサイバー攻撃

止まないサイバー攻撃と被害報道

人材育成

経営

箱ものセキュリティ製品だけでは限界

某機構を狙った事案により、意思決定の重要性が改めて認識

(11)

つながる時代

通信

農業

官庁

自治体

位置情報

放送

家庭

(家電)

電気・ガス

水道

交通

物流

医療

製造

航空管制システム 列車運行システム 物流配送システム 医療介護システム 生産管理システム GPS 緊急速報システム スマートメーター スマートメーター 上水道システム _{生育管理システム} _{タブレット・スマホ} 住民情報システム 電子申請システム

リアル空間

_{出典：富士通セキュリティフォーラム}

サイバー空間

(12)

セキュリティに投資する意義

～つながる時代の弊害であり、つなげて価値創造するためにセキュリティ～



セキュリティファーストでは問題の本質が見えづらい

12 巧妙な

ウイルス感染

つながる

ことで新しい価値を創造するために、

邪魔されないセキュアな土台が不可欠

新しい価値創造

の弊害

(13)



情報システムを取巻く状況を紐解く



ネットワークの多様化



データワークフローから見る全体設計



まとめ

13

(14)

NW1：イントラ型

14 攻撃者

プロキシ

Web

アプリ

ファイル

サーバ

ログ管・運管、

バックアップ

セキュリティ

製品

一般職員

OA端末

管理

_端末

【設計ポイント⑤】

ダッシュボード

機能

【設計ポイント①、③】

入口・出口対策

データ

ベース

認証基盤

【設計ポイント②、④】

エンドポイント・内部対策

(15)

NW2：イントラ x クラウド型

15 攻撃者

Web

アプリ

ファイル

サーバ

ログ管・運管、

バックアップ

一般職員

OA端末

管理

_端末

【設計ポイント⑤】

ダッシュボード

機能

データ

ベース

認証基盤

クラウドサービス

プロキシ

【設計ポイント①、③】

入口・出口対策

【設計ポイント②、④】

エンドポイント・内部対策

(16)

NW3：イントラ x クラウド x IoT 型

16 攻撃者

Web

アプリ

ファイル

サーバ

ログ管・運管、

バックアップ

一般職員

OA端末

管理

_端末

【設計ポイント⑤】

ダッシュボード

機能

データ

ベース

認証基盤

クラウドサービス

プロキシ

【設計ポイント①、③】

入口・出口対策

IoT

【設計ポイント②、④】

エンドポイント・内部対策

(17)



情報システムを取巻く状況を紐解く



ネットワークの多様化



データワークフローから見る全体設計



まとめ

17

(18)

全体設計対策の考え方

1)入口対策、エンドポイント対策、出口対策、内部対策

でバランスのとれた全体設計を検討する

２）攻撃者が歩く経路を狭めることが、

監視すべきポイントの最適化に繋がる

18 ポイント

変わらない考

え方

(19)

ポイント1)システム全体でバランス

の取れた全体設計を考える



攻撃シナリオと対応機器の概要

19

スパムフィルタ SPF 次世代サンドボックス型ファイアウォールメールサーバインターネットファイアウォール IP S/ ID S 次世代ウェブアプリケーションファイアウォールウェブサーバウェブ改ざん検知ウイルス対策ソフトゼロデイ対策ソフトウェブプロキシサーバウェブフィルタリング次世代型ネットワーク振る舞い検知型　 FW /ID S/ IP S 業務端末運用管理端末内部センサー認証サーバファイルサーバ DBサーバ監視サーバネットワーク機器 1 計画立案 2 ○ ○ ○ 3 4 5 △ △ ○ □ △ ○ 6 ○ △ ○ 7 ○ ○ ○ △ △ □ □ 8 9 端末内のシステム情報を収集 △ ○ □ □ 10 攻撃ツールのダウンロード ○ △ ○ ○ ○ □ □ 11 周辺端末調査 △ □ □ ○ 12 ○ □ □ ○ 13 ○ □ □ ○ ○ ○ 14 ○ □ □ 15 ○ ○ □ □ 16 □ □ ○ 【凡例】　○：攻撃検知（主観測）　△：攻撃検知(補助）　□：ログ取得機器セキュリティ製品業務機器リモートコマンド実行端末情報の収集 C&Cサーバ準備標的型メール作成エンドポイント対策他端末への不正アクセス入口対策内部対策ターゲット周辺の調査ウェブサイト改ざん、水飲み場サイト構築 No. 　　　　　　対応機器攻撃手口バックドア開設・リモートコントロールの確立後攻撃準備標的型メール受信水飲み場サイトアクセス初期潜入基盤構築段階内部侵入・調査バックドア開設目的遂行情報窃取情報破壊出口対策

サイバー脅威の

正しい怖がり方と考え方

～イノベーション x セキュリティ～

2018年5月

情報処理推進機構

セキュリティセンター

研究員

佳山こうせつ

IPAブース@情報セキュリティEXPO

【本日のポイント】

①皆さんの新しい技術革新・価値創造を応援したい

②データの利活用を促進するためにセキュリティ

③セキュリティ投資のモチベーションへ

自己紹介



主な業務

◦

①人材育成

◦

②インシデントレスポンス業務

◦

③対策手法の情報発信

(出口対策・内部対策)

◦

④若者たちとの共創

◦

⑤アドバイザリー



所属

◦

①富士通株式会社 セキュリティマイスター

◦

②独立行政法人情報処理推進機構 研究員

◦

③東京電機大学サイバーセキュリティ研究所 研究員

中央大学外部講師、名古屋工業大学外部講師

◦

④

SECCON実行委員、セキュリティキャンプ地域WG主査、

SecHack365実行委員

◦

⑤総務省 公衆無線

LANセキュリティ分科会専門委員

3

作成：IPA『脅威と対策研究会』

「高度標的型攻撃」対策に向けたシステム設

計ガイド（第４版）の公開（’14.9.30）

https://www.ipa.go.jp/security/vuln/newattack.html

テクニカルウォッチの公開

（’14.3.28）

4

4

「攻撃者に狙われる設計・運用上の弱点についてのレポート」

～標的型攻撃におけるシステム運用・設計10の落とし穴～



10の落とし穴



メールチェックとサーバ運用管理端末が同一



分離できていないネットワーク



止められないファイル共有サービス



初期キッティングで配布さえれるローカルAdmin



使いこなせないWindowsセキュリティログ



パッチ配布のためのDomain Admin



ファイアウォールのフィルタリングルール形骸化



不足している認証プロキシログの活用とログ分析



なんでも通すCONNECTメソッド



放置される長期間のhttpセッション

攻撃に対して意外な弱点となっているシステム設計例を10点挙

げ、運用（背景）と対策の考え方を解説

内容を補完

テクニカル

_{(出口対策・内部対策)}

①富士通株式会社セキュリティマイスター

②独立行政法人情報処理推進機構研究員

③東京電機大学サイバーセキュリティ研究所研究員

⑤総務省公衆無線

_{LANセキュリティ分科会専門委員}

_{出典：富士通セキュリティフォーラム}