サイバー脅威の
正しい怖がり方と考え方
~イノベーション x セキュリティ~
2018年5月
情報処理推進機構
セキュリティセンター
研究員
佳山こうせつ
IPAブース@情報セキュリティEXPO
【本日のポイント】
①皆さんの新しい技術革新・価値創造を応援したい
②データの利活用を促進するためにセキュリティ
③セキュリティ投資のモチベーションへ
自己紹介
主な業務
◦
①人材育成
◦
②インシデントレスポンス業務
◦
③対策手法の情報発信
(出口対策・内部対策)
◦
④若者たちとの共創
◦
⑤アドバイザリー
所属
◦
①富士通株式会社 セキュリティマイスター
◦
②独立行政法人情報処理推進機構 研究員
◦
③東京電機大学サイバーセキュリティ研究所 研究員
中央大学外部講師、名古屋工業大学外部講師
◦
④
SECCON実行委員、セキュリティキャンプ地域WG主査、
SecHack365実行委員
◦
⑤総務省 公衆無線
LANセキュリティ分科会専門委員
3
作成:IPA『脅威と対策研究会』
「高度標的型攻撃」対策に向けたシステム設
計ガイド(第4版)の公開(’14.9.30)
https://www.ipa.go.jp/security/vuln/newattack.html
Copyright 2018 @ Kousetsu Kayama
テクニカルウォッチの公開
(’14.3.28)
4
4
「攻撃者に狙われる設計・運用上の弱点についてのレポート」
~標的型攻撃におけるシステム運用・設計10の落とし穴~
10の落とし穴
メールチェックとサーバ運用管理端末が同一
分離できていないネットワーク
止められないファイル共有サービス
初期キッティングで配布さえれるローカルAdmin
使いこなせないWindowsセキュリティログ
パッチ配布のためのDomain Admin
ファイアウォールのフィルタリングルール形骸化
不足している認証プロキシログの活用とログ分析
なんでも通すCONNECTメソッド
放置される長期間のhttpセッション
攻撃に対して意外な弱点となっているシステム設計例を10点挙
げ、運用(背景)と対策の考え方を解説
内容を補完
テクニカル
ウォッチ
’13.8.29公開
Copyright 2018 @ Kousetsu Kayama
5
・情報が漏れないことに着眼した対策
・侵入を許しても取られない
・内部の拡散に着眼した対策
・侵入を許しても影響を局所化(受容範囲に)
2011年11月
2013年8月
2014年9月
2011年8月
対策に向けたシステム設計ガイドの歴史
Copyright 2018 @ Kousetsu Kayama
出典:https://www.ipa.go.jp/files/000052614.pdf
もう
内部侵入後の挙動
プロキシサーバを介した外部との不信な通信
組織全体への拡大
侵入を前提とした対策の課題
~内部システムの防御は業務システムの設計と運用を中心に~
6
主に、設計上、運
用上の弱点が狙わ
れる
イントラ
ネット
主に、脆弱性が狙わ
れる
Copyright 2018 @ Kousetsu Kayama
つながる時代
通信
農業
官庁
自治体
位置情報
放送
家庭
(家電)
電気・ガス
水道
交通
交通
物流
医療
製造
航空管制システム 列車運行システム 物流配送システム 医療介護システム 生産管理システム GPS 緊急速報システム スマートメーター スマートメーター 上水道システム 生育管理システム タブレット・スマホ 住民情報システム 電子申請システムリアル空間
出典:富士通セキュリティフォーラム
サイバー空間
Copyright 2018 @ Kousetsu Kayama 7
変わらない考
え方
目次
情報システムを取巻く状況を紐解く
ネットワークの多様化
データワークフローから見る全体設計
まとめ
8
200
9
201
0
201
1
201
2
201
3
201
4
201
5
201
6
201
7
2018
妨
大統領府など
(7.7大乱,韓国)
情
石油,エネルギー産業
(Night Doragon)
情
(Operation Aurola, 米)
妨
核施設(Stuxnet )
情
RSA(米)
妨
農協銀行(韓国)
情
化学, 防衛産業
(Nitro, 米)
妨
銀行, 放送局(韓国)
情
三菱重工
海外
日本
情
衆議院. 参議院会館
情
JAXA
情
特許庁
情
財務省
情
農林水産省
情
外務省
情
JAXA
情
JAEA
高速増殖炉
「もんじゅ」
情
日本年金機構
情
JTB
妨
San Francisco
Metro System
Hacked(米)
妨
Twitterなどの
アクセス妨害(世界)
妨
Mirai
bot
情
NSA
(スノーデンリーク, 米)
情
Hacking team
Hacked(伊)
9
サイバー脅威の変遷
~時系列に並べてみる~
情
妨
米大統
領選(米)
Copyright 2018 @ Kousetsu Kayama
妨
WannaCry(世界)
妨
Googleによる
大規模障害
妨
WannaCry
妨
Googleによる
大規模障害
(世界)
サイバー脅威の変遷
~やるべき対策が多く積みあがり複雑化した時代へ~
主
な
対
策
の
軸
足
10
コンピュータウイルス(マルウェア)対策
不正アクセス対策
情報漏えい対策
内部統制対応
出口対策
緊急対応体制
内部対策
ウイルス蔓延事案
省庁サイト改ざん
個人情報保護法施行
粉飾決算事案
サイバー空間をめぐる攻防
防衛産業を狙ったサイバー攻撃
止まないサイバー攻撃と被害報道
人材育成
経営
箱ものセキュリティ製品だけでは限界
某機構を狙った事案により、意思決定の重要性が改めて認識
Copyright 2018 @ Kousetsu Kayama
つながる時代
通信
農業
官庁
自治体
位置情報
放送
家庭
(家電)
電気・ガス
水道
交通
交通
物流
医療
製造
航空管制システム 列車運行システム 物流配送システム 医療介護システム 生産管理システム GPS 緊急速報システム スマートメーター スマートメーター 上水道システム 生育管理システム タブレット・スマホ 住民情報システム 電子申請システムリアル空間
出典:富士通セキュリティフォーラム
サイバー空間
Copyright 2018 @ Kousetsu Kayama 11
セキュリティに投資する意義
~つながる時代の弊害であり、つなげて価値創造するためにセキュリティ~
セキュリティファーストでは問題の本質が見えづらい
12
巧妙な
ウイルス感染
つながる
ことで新しい価値を創造するために、
邪魔されないセキュアな土台が不可欠
新しい価値創造
の弊害
Copyright 2018 @ Kousetsu Kayama
目次
情報システムを取巻く状況を紐解く
ネットワークの多様化
データワークフローから見る全体設計
まとめ
13
NW1:イントラ 型
14 攻撃者プロキシ
Web
アプリ
ファイル
サーバ
ログ管・運管、
バックアップ
セキュリティ
製品
一般職員
OA端末
管理
端末
【設計ポイント⑤】
ダッシュボード
機能
【設計ポイント①、③】
入口・出口対策
データ
ベース
認証基盤
Copyright 2018 @ Kousetsu Kayama
出典:https://www.ipa.go.jp/files/000052614.pdf
【設計ポイント②、④】
エンドポイント・内部対策
NW2:イントラ x クラウド 型
15 攻撃者Web
アプリ
ファイル
サーバ
ログ管・運管、
バックアップ
一般職員
OA端末
管理
端末
【設計ポイント⑤】
ダッシュボード
機能
データ
ベース
認証基盤
Copyright 2018 @ Kousetsu Kayama
出典:https://www.ipa.go.jp/files/000052614.pdf
クラウドサービス
プロキシ
【設計ポイント①、③】
入口・出口対策
【設計ポイント②、④】
エンドポイント・内部対策
NW3:イントラ x クラウド x IoT 型
16 攻撃者Web
アプリ
ファイル
サーバ
ログ管・運管、
バックアップ
一般職員
OA端末
管理
端末
【設計ポイント⑤】
ダッシュボード
機能
データ
ベース
認証基盤
Copyright 2018 @ Kousetsu Kayama
出典:https://www.ipa.go.jp/files/000052614.pdf
クラウドサービス
プロキシ
【設計ポイント①、③】
入口・出口対策
IoT
【設計ポイント②、④】
エンドポイント・内部対策
目次
情報システムを取巻く状況を紐解く
ネットワークの多様化
データワークフローから見る全体設計
まとめ
17
全体設計対策の考え方
1)入口対策、エンドポイント対策、出口対策、内部対策
でバランスのとれた全体設計を検討する
2)攻撃者が歩く経路を狭めることが、
監視すべきポイントの最適化に繋がる
18
ポイント
Copyright 2018 @ Kousetsu Kayama
出典:https://www.ipa.go.jp/files/000052614.pdf
変わらない考
え方
ポイント1)システム全体でバランス
の取れた全体設計を考える
攻撃シナリオと対応機器の概要
19
ス パム フ ィルタ SPF 次世代サン ドボ ック ス 型 フ ァイ ア ウ ォ ー ル メール サ ーバ イン ター ネ ット フ ァイア ウ ォ ール IP S/ ID S 次世代 ウ ェブ ア プ リケ ー シ ョン フ ァイ ア ウ ォ ー ル ウ ェブ サ ーバ ウ ェブ 改ざ ん 検知 ウ イ ルス 対策ソ フ ト ゼ ロ デ イ 対策ソ フ ト ウ ェブ プ ロ キシ サ ーバ ウ ェブ フ ィル タリ ング 次世代型ネ ット ワ ー ク 振る 舞い 検知型 FW /ID S/ IP S 業務端末 運用管理端末 内部セ ン サー 認証サー バ フ ァイ ルサー バ DBサ ー バ 監視サー バ ネ ット ワ ー ク 機 器 1 計 画 立 案 2 ○ ○ ○ 3 4 5 △ △ ○ □ △ ○ 6 ○ △ ○ 7 ○ ○ ○ △ △ □ □ 8 9 端末内のシステム 情報を収集 △ ○ □ □ 10 攻撃ツールの ダウンロード ○ △ ○ ○ ○ □ □ 11 周辺端末調査 △ □ □ ○ 12 ○ □ □ ○ 13 ○ □ □ ○ ○ ○ 14 ○ □ □ 15 ○ ○ □ □ 16 □ □ ○ 【凡例】 ○:攻撃検知(主観測) △:攻撃検知(補助) □:ログ取得機器 セキュリティ製品 業務機器 リモートコマンド実行 端末情報の収集 C&Cサーバ準備 標的型メール作成 エンドポイント 対策 他端末への不正アクセ ス 入口対策 内部対策 ターゲット周辺の調査 ウェブサイト改ざん、 水飲み場サイト構築 No. 対応機器 攻撃手口 バックドア開設・リモートコ ントロールの確立後 攻 撃 準 備 標的型メール受信 水飲み場サイトアクセス 初 期 潜 入 基 盤 構 築 段 階 内 部 侵 入 ・ 調 査 バックドア開設 目 的 遂 行 情報窃取 情報破壊 出口対策システムの運用と設計
中心の対策
P40
Copyright 2018 @ Kousetsu Kayama
出典:https://www.ipa.go.jp/files/000052614.pdf
ポイント2)
攻撃者が歩く経路を狭め
監視ポイントを最適化
20
①防御・遮断策
②監視強化策
攻撃回避を主眼とした設計策
攻撃シナリオをベースに対策
不正アクセス・PW窃取等を防止
早期発見を主眼とした設計策
攻撃者の足跡を発見
トラップを仕掛け、ログ監視強化
攻撃者が歩く経路を少なくする事で、監視
強化にも繋がる
システムとセキュリティ機能が連携して、攻
撃者の足跡を残す
P47
Copyright 2018 @ Kousetsu Kayama 20
データワークフローから見る全体設計
〜アーキテクチャ設計へ〜
21入口
出口
内部
エンドポイント
情報受付
センシング
端末
作業端末
データ提供
外部連携
Copyright 2018 @ Kousetsu Kayama