情報セキュリティ基盤論 2016
工学系研究科講義科目
佐藤周行 SIGMAXYZ 三井物産セキュアディレクション ソフトバンク情報セキュリティ基盤論
共立出版,
2010
ISBN: 9784320122574
情報セキュリティの現代の「標準体
系」のつもりでかいていますが、
書いた当時から今まで変化が急
で内容が古くなりつつある…
教科書
「情報」をセキュアに扱うことができること
守るに値する「情報」=「情報資産」を以下の基準で。
情報の機密性(アクセス権をコントロールできる)
情報の完全性(内容をコントロールできる)
情報の可用性(アクセスが保証される)
+アルファ(真正性、責任追跡性、否認防止、信頼性)
組織の統制とリスク管理、それに基づいたセキュリティ
技術の採用によって可能だと考えられてきた
情報セキュリティとは
I リスクの分析と評価 1. リスクの動向と変遷 2. 情報セキュリティリスク管理 II コンテンツの電子化・ネット化・クラウド化 3. コンテンツの電子化・ネット化・クラウド化 4. コンテンツマネジメント III 具体的な脅威・脆弱性 5. 脅威・脆弱性の変遷と動向 6. ネットの脅威とネットハックの実際 IV 情報セキュリティリスクへの対応 7. 暗号と電子認証 8. アイデンティティ管理 V 情報セキュリティと社会制度 9. セキュリティ監査と成熟度モデル 10. 法律問題とeコンプライアンス 11. 社会制度
教科書の目次
クラシックな情報セキュリティの図式
会社、組織 攻撃(資産を盗む) 脆弱性 脅威の分析(リスク分析) → 次のアクションへ 社会制度による規制、保護 ビジネス 2010年(クラシックな世界)から今までに何が起こっているか? クラウドサービスの一般化 国内・国外 「端末」を握っているところが囲い込みに入っている(MS, Apple) グローバルな企業が「情報資産」を全部自社に囲い込んで、FW等でア クセス制御をする - やってられない ICTインフラ巨大企業の大躍進 Amazon, Google, Facebook, オンラインの世界での「アイデンティティ」 組織が与える「アカウント」から、ICTインフラ企業が提供する「アカウン ト」への移行
Advanced Topics?
2010年から今まで起こっていること(続き)
攻撃の手法のますますの高度化
Targetted attack, Advanced Persistent Threat等、本質的に対 応不可能なものも (年金機構、東大の事件)。 flame, gaussなど、政治的意図、経済的意図のある攻撃が激化 した 個人の端末の高度化やIoTの構築による情報ソースの多様化と 詳細化 (BYOD) 恒常化する個人の権利侵害 「同意」に名を借りた個人情報の強制的引き渡し 電気通信事業者にのっかって「通信の秘密」を犯すサービスを 行うことが可能に。
2010年から今まで起こっていること(続き)
情報資産の意識の変化
「評判」 (reputation)のビジネスに及ぼすインパクト
「サイバー空間」の意識
政府・民間の情報資産への攻撃 国単位の防御と攻撃 日本: NISC(内閣官房), サイバー防衛隊(自衛隊) アメリカ: NSA/CSS, Cyber Command
中国: 61398部隊等
2010年から今まで起こっていること(続き)
技術的には必死の対応が続けられている
セキュリティベンダーの努力
統制・規制・法制度 (control, regulation, legislation) の整
備のこころみ
オンライントラストの構築
EUデータ保護規則、アメリカ「消費者の権利章典」の法制化
プライバシー保護強化
しかし、もう守れない = 攻撃の高度化
メール(仕事に不可欠なツール)やブラウザを使った攻撃
持続的、執拗な攻撃。身を隠す攻撃
組織の成熟していないところを狙うソーシャルな性格を持
つ攻撃
…
攻撃が成功してしまうことを前提にした防禦
Security in Depth (多層防禦)
Monitoringの重要性の強調
現代的なICTサービスの図式
会社
ビジネス ICT巨大インフラ企業
クラウドは情報セキュリティ的に何が問題か クラシックなリスク分析の手法の限界 ICTインフラの巨大企業は情報セキュリティ的に何が問題か 「アイデンティティ」を握っている 統制が基本的に効かない 政治的意図、経済的意図を持ったサイバー空間での犯罪にどう対処 できるのか サイバーセキュリティ 個人の権利はどう守られるべきなのか IoTによる情報(取得)ネットワークの構築 ネット上のプライバシー それでも情報産業は振興しなければならないのか 実は市場規模は大きい(後述) 「防禦」に対してクラシックな理解はもはや有効ではない
現代的な問題への対応
企業X 運用 管理 技術 企業リスク マネジメント 企業Y 運用 管理 技術 企業リスク マネジメント …… 現代社会における情報セキュリティの背景
情
報
セ
キ
ュ
リ
テ
ィ
基
盤
“社会”のセキュリティ基盤 ~本質的解決に向けた “あるべき姿”~ 脅威・攻撃に対抗する技術 8. ネットワークとシステムにおけるセキュリティ技術 9.暗号と認証 社会制度の整備 10. eコンプライアンス・パーソナルデータ 11. 社会制度とマイナンバー “会社”のセキュリティ基盤 ~組織が採用している現実解~ 運用上の管理 6.アイデンティティ管理とID管理 7.成熟度モデルとセキュリティ監査 採用される技術 5. 企業で使われる 情報セキュリティ技術 企業リスクマネジメント 4.情報セキュリティリスク管理 情報セキュリティ上の脅威とハッキング技術 3.脅威の変遷とインシデントの動向 IT技術の発展とその課題 1.クラウド化、ソーシャル化への変遷 2.現代社会におけるサービス提供企業の課題 2013/04/03 講義の構成 個人 (消費者、サービスのエンドユーザ、国民等) “基盤”を通じた サービスの利用No. 講義日 タイトル (0) 4/5 ガイダンス 1 4/19 現代社会における情報セキュリティの背景 2 4/26 現代社会におけるサービス提供企業の課題 3 5/10 インシデント動向と攻撃者の技術 4 5/17 情報セキュリティリスク管理 5 5/24 企業で使われる情報セキュリティ技術 6 5/31 ネットワークとシステムにおけるセキュリティ技術 7 6/7 先進的な防禦方法と体制 8 6/14 アイデンティティ管理とID管理 9 6/21 成熟度モデルとセキュリティ監査 10 6/28 E-コンプライアンスとサイバー基本法 11 7/5 セキュリティと社会制度 12 7/12 レポート問題解説 スケジュール
サービスレベルとして、何が規定されるべきか?
大手のクラウドベンダーでは、サービスレベルはいまだに主に 「稼働率」と定義されている SLA Cloudで検索をかけてみよう セキュリティに関してのサービスレベルを規定するところはほと んどない 対アタック耐性等
現在、CSAによってCCM (Cloud Controls Matrix)が策定され
ている
認定制度(STAR)も定められた
Audit Assurance & Compliance
Business Continuity Management & Operational Resilience Change Control & Configuration Management
Data Security & Information Lifecycle Management Datacenter Security
Encryption & Key Management Governance and Risk Management Human Resources
Identity & Access Management
Infrastructure & Virtualization Security Interoperability & Portability
Mobile Security
Security Incident Management, E-Discovery & Cloud Forensics Supply Chain Management, Transparency and Accountability Threat and Vulnerability Management
組織の資産をクラウドに移してしまうと、その資産を
守ってくれる保証はどこにあるか?
従来は、組織の統制可能なところに置くことで資産を保護
していた → stakeholderへの説明責任
物理的手法、人的手法、ネットワークセキュリティ、ソフトウェ アシステムセキュリティ、認証 (情報セキュリティの中心的な 課題だった)
組織を対象としたリスク管理方法を拡張して統制する
SLAはpublic cloudをどこまでコントロールできるか(記述で
きないものはコントロールできない)
クラウドの問題(SLA)
クラウドベンダーの裁判管轄権が問題になることがある クラウドベンダーがアメリカにサーバを持っているとき、アメリカの法 律が適用される クラウドベンダーがアメリカに本社を持っているとき、アメリカの法律 が適用されることがある ビジネスにとって致命的になる場合がある 令状なしの押収等(クラウドサービスが止まった事例あり) Snowden事件の警鐘 それよりもっとひどいNSAのデータ監視の暴露 消費者に特に問題になるのは、「消費者のデータ」がどう扱われる か=プライバシー 規制のゆるいところへのデータ移転はきらわれる
クラウドの問題(cross border)
ヨーロッパは、「忘れられる権利」を含む、プライバシーに関する強 い権利を個人に保証 外交手段として用いられる アメリカのICT巨大企業の牽制に使われることが多々ある アメリカの法制度をヨーロッパの一部が問題視 Patriot Act により、令状なしの押収その他が可能
FISAA (Foreign Intelligence Surveillance Amendments Act)
外国人の動向調査(リアルタイム、政治的な信条はもちろん含む)が可
能に。裁判所の(秘密の)許可さえあればOK
民間企業のビジネスに関してはSafe Harbor Agreementで移転を 承認 とうとうやり直し(2016はじめ)
プライバシーについては米欧で非常に大きな差がある(きっと埋め
られない)
日本は完全に蚊帳の外
ICTインフラには以下が含まれる
キャリア(NTT, KDDI, …)
セキュリティ(Symantec, PKI CA vendors,…) サービス(Google, Amazon, 楽天, CCC, …) ソーシャルネットワーク(Facebook, LINE, …) …
インフラ企業に求められる社会的責任(規制)について、整
備が進んでいないことが多い
Cross borderの問題 プライバシー等、本質的な問題への対処巨大ICTインフラ企業
Googleアカウント、Amazonアカウントで、様々なサービ
スが受けられる
ネット上のアイデンティティを提供する形
Gmailのメールアドレスを受け入れるところ多数
Facebookのアカウントで、様々なサービスが受けられる
ようになっている
Facebookのアカウントですべてが済む?
ネット上の活動がインフラ企業の掌の上で行われるよう
になった
Social Identities
今までは、
組織の与えたアイデンティティ(ID, mail address)で、組織
の一員として活動(organizational identities)
サービス提供者は、各々アカウントを与えることで、ユー
ザを囲い込んでいたので、social identitiesが問題になる
ことはなかった
SSO技術(OpenID Connect, SAML等)の進展による利
便性の提供は本来喜ぶべきことであるが…
広告主を集める
自サイトのユーザの行
動履歴を解析する
解析の結果、効果が高
いと思われる利用者に
広告を出す(ターゲット
広告)
Social Identity系インフラ企業のビジネスモデル
ネットの広告の世界では「Personalized Ad」は効果的なものと信じ られている GoogleやFacebook等はこれを積極的に採用している 広告主は個人のプライバシーを侵害しないが、インフラ企業が何 をやっているかについては議論の対象になる Personalizationのためのさまざまな手法 基本は本人属性や行動履歴(プロファイル情報)の収集と解析 オプトアウト(本人から中止の申し出が出ない限り許されていると思 う)
3rd Party Tracking, Spyware, …
ここで、「個人」対「Social Identity系インフラ企業」の力の差は歴然
「同意」があるからやってもよいかというと、それは少し問題がある。
Ad Tracking
広告を出しておき、自サイトに来た顧客がどこから来たかの情 報を蓄積・分析する 一般的な広告評価の手法の一つだが… Google adjust等
Spyware
利用者の閲覧履歴等の収集・解析をしたうえで 利用者に(購買意欲をかきたてるであろう)広告をターゲット広 告として送りつける Adware等ベースとなる技術
Eric Schmidt (ex-Google) 「Googleは、あなたがどこにいるか、何をしようとしているのか、だい たいわかる」 事件が起きた時の特定の速さ 特定する人は、別に違法なデータ収集に手を染めているわけでは ない(たぶん) ネットに転がっている個人のFootprintは、ほとんどの場合、個人を 特定するのに十分な量ある(特定されたときに、狼狽するのはみっ ともない) {人|組織}は、必要があれば特定する センサ系から得た情報の処理によるDBの構築(IoTともビッグデー タとも)
Privacy
IDCの市場予測(2014/1/24発表)によると:
Big Dataの市場規模は日本で600億円/1兆円(ビジネスアナリ ティクス規模)
ところが2015/8/12では
2014年ソフトウェア市場規模が111億円(39.3%↑)、2019年度に は470.6億円を予想…
「ビッグデータ」に関係する産業の振興はすべてここに係って
くる
日本における「改正個人情報保護法」
規制緩和(適切な匿名化を施したうえでの市場流通を許容) 第三者委員会(プライバシーコミッショナー制度)による規制どの程度の経済規模か?
アメリカでは消費者の権利として宣
言
規制作りが進んでいるようにみえる
2015年法制化第一号
FTCによる強力な規制
しかし、→は本質的にどこを向いてい
るかについて注意
消費者の責任について言及(力の差
が歴然なのに)(非対称性)
個人が「アイデンティティに関する情報」を提供すればそれに応じて サービスを提供するというのが、関係する企業の基本的なビジネスモ デルになっている Personalizationのためには、自分の情報を「納得したうえで」企業に提供す る必要がある 企業は「提供された情報」に応じてサービスを提供する。 Googleアカウントでログインした状態で検索をすることは、もちろんこの一例 Gmailの利用もこの一例 プライバシー情報を利用・活用するための適正なビジネスモデルが必要に なる かたくなに情報提供を拒否することはネット上の生活を便利にしない 提供情報についての「同意」の意味理解が重要 取得した情報をどう利用するかについての理解 「ビッグデータの活用」や「名寄せ技術の高度化」など、従来の理解を超えた動きが 活発化しているのは事実 割と大きな経済規模を持つ 本人が納得して同意することが必要
「守る」という観点と利活用という観点
これらの問題は、インフラ企業が消費者と直接向き合うこと
によって顕在化してきた。
企業がもつ情報資産を対象にした情報セキュリティの技術
は以前にもまして重要になってきた
関係者は「組織」「企業」 ネットの技術動向が刻々と変わる 新たな種類のインシデントが次々と発生 不確かな状況下で決定を下さなければならない この情報資産は守るべきものか、守るとしたらどのくらいのコスト をかけるべきか?はたして安心するまで守れるのか?
リスク分析、リスク管理の手法
クラシックな情報セキュリティの重要性
注意:リスク分析は、組織のセキュリティレベルをあげるために行うわけではな い 問題:この情報はなぜ価値があるのか?誰が価値を認めるのか?誰が守れと 言うのか? 個人を越えた「組織」の存在 組織が持つ価値観 - 評判も当然含まれる 組織が個人の行動を制御するための何か 「組織の意思」を全体に徹底させるための何か 情報セキュリティポリシー等 情報の価値は組織が決める 決定:何らかの決定をして、組織を前に動かす(セキュリティを高める。リスクを 受容する。情報資産を廃棄する。…) 方法論としては管理工学 一般的には「Solution」と称して様々な技術を導入することになる
リスクとは? リスク =
F
(資産価値, 脆弱性, 脅威) リスクを評価するさまざまな手法(特に定性分析) 脆弱性と脅威については、コンピュータセキュリティとネットワークセキュリ ティの観点からの解析が必須 組織における情報セキュリティに関係する一連の分析・評価の流れを定式化 ISO27001 (ISMS) ISO27002 (Best Practice)
管理工学的
な手法による管理 PDCAサイクル
リスク分析
「リスク」は、ここでは専門用語です(例年、期末レポートで素人解釈をする人 が一定数みられる)リスク
リスク分析で考えることは次の3つ 資産価値:その情報(サービス)にはどのくらいの価値があるか? 脆弱性:その情報(サービス)を運用するときにどのような弱点があ るか? FTPではパスワードが平文で流れる 電子文書では、コピーが自由で、だれが書いたかの保証ができない … 脅威:その情報(サービス)の脆弱性をついた攻撃にはなにがある か? 盗聴して、FTPのパスワードを抜く攻撃 電子領収書で、コピーをして、少し改変して流通させる
前提知識
情報サービスの分野においてどのような脆弱性がある
か?
脆弱性をついた脅威にどのようなものがあるか?
この2つを理解することが「リスク対応」の第一歩
IPA(情報処理推進機構)の「10大脅威」
( http://www.ipa.go.jp/security/vuln/10threats2016.ht
ml )によれば
個人(カッコ内は総合順位) 順位 組織(カッコ内は総合順位) インターネットバンキングやクレジットカード情報の不正利 用(1位) 1位 標的型攻撃による情報流出(2位) ランサムウェアを使った詐欺・恐喝(3位) 2位 内部不正による情報漏えい(8位) 審査をすり抜け公式マーケットに紛れ込んだスマートフォ ンアプリ(7位) 3位 ウェブサービスからの個人情報の窃取(4位) 巧妙・悪質化するワンクリック請求(9位) 4位 サービス妨害攻撃によるサービス停止(-) ウェブサービスへの不正ログイン(5位) 5位 ウェブサイトの改ざん(6位) 匿名によるネット上の誹謗・中傷(-) 6位 対策情報の公開に伴い公知となる脆弱性の悪用増加(10位) ウェブサービスからの個人情報の窃取(4位) 7位 ランサムウェアを使った詐欺・恐喝(3位) 情報モラル不足によるサイバー犯罪の低年齢化(-) 8位 インターネットバンキングやクレジットカード情報の不正利用(1位) 職業倫理欠如による不適切な情報公開(-) 9位 ウェブサービスへの不正ログイン(5位) インターネットの広告機能を悪用した攻撃(-) 10位 過失による情報漏えい(-)
守りきるのは無理(組織における個人の行動にまで攻
撃の対象が広がった)
APT(壁は崩れている)
防禦方法の再考
多層的な防禦方法の採用
継続的なモニタリングの実施
体制の再構築
CSIRT
防禦方法の再考
ネットワークセキュリティ
Firewall等での一部通信の制御と監視
内部、DMZ、外部への層化とそれぞれについての防禦
従来型の防禦
Internet router Firewall Web DMZ 内部ネットワーク
システムセキュリティ
システムアップデート
セキュリティアップデート
アクセス制御とそのための技術(論理的セキュリティ)
権限設定 認証・認可
物理的セキュリティ
従来型の防禦(続)
メールやWeb Browsingを通じて、敵は侵入してくる
組織内の人間の統制を完璧にすることはできない
破られても、それを検知してできるだけ速く対策を取るこ
とが求められている
監視(モニタリング)と、即応態勢を取れる組織作り
CSIRT, SOC (Security Operation Center)
情報セキュリティ対策 他のセキュリティ技術(ネットワークセキュリティ、システムセキュリ ティ)の導入 暗号技術の応用として居続けられる暗号化、電子署名、認証他の 技術 リスクへの対応ができる⇒今度は利便性を求めて攻めていける 「個々のアカウントの権限をコントロールできるようになったから、ゲ ストアカウントを発行できる」 「SAML等、安全なプロトコルが導入できるから、組織内外にSSOを 導入する」 「…」
リスクへの対応
技術的な対応の他に、社会的に基盤を作る動きも着実に進
行している
「セキュリティの品質はこれこれの認定制度で第三者が保証し ましょう」 プライバシーマーク ISMS トラストフレームワーク 認定制度と監査(評価)制度 会計監査の技術、制度 情報システム監査 セキュリティ監査リスクへの対応
企業X 運用 管理 技術 企業リスク マネジメント 企業Y 運用 管理 技術 企業リスク マネジメント …… 現代社会における情報セキュリティの背景
