高専機構CSIRT
高専機構
CSIRTと一緒に
安心安全な
ICTを目指そう!!
高専機構 情報戦略推進本部 情報セキュリティ部門 csirt@kosen-k.go.jp 平成30年度 高専フォーラム @名古屋大学 2018/8/21(火) 1今日の内容
• 最近の情報セキュリティの動向
– 情報セキュリティ10大脅威
– 高専機構のインシデント等の状況
• Azure Information Protection(AIP)
– AIPとは、サインイン方法、設定等 – 注意事項
• 情報セキュリティ対策と情報セキュリティイン シデント対応
高専機構CSIRT
最近の情報セキュリティの動向
情報セキュリティ
10大脅威2018
• (独)情報処理推進機構[IPA]の 解説資料 • 「10大脅威選考会」約100名の 投票により、情報システムを取 巻く脅威を順位付けして解説 • 2017年に発生したセキュリティ 事故や攻撃の状況高専機構CSIRT
2017年の状況を基にした10大脅威
5 (独)情報処理推進機構「情報セキュリティ10大脅威 2018」https://www.ipa.go.jp/security/vuln/10threats2018.html 2018版で 上昇サイバー空間をめぐる脅威の情勢等
警察庁「サイバー空間に関する統計等」
高専機構CSIRT
高専機構のインシデント等の状況
7 平成29年度のトップ3 ・マルウェア・ランサムウェア感染 ・Webサイト改ざん ・サポート詐欺、アカウント乗っ取り 10 19 13 47 24 15 0 5 10 15 20 25 30 35 40 45 50 H25年度 H26年度 H27年度 H28年度 H29年度 H30年度 [2018/8/14現在]高専機構
CSIRTの対応件数
(2017年度,月別)
0 1 2 3 4 5 6 2017 年 4 月 2017 年 5 月 2017 年 6 月 2017 年 7 月 2017 年 8 月 2017 年 9 月 年 10 月 年 11 月 年 12 月 2018 年 1 月 2018 年 2 月 2018 年 3 月高専機構CSIRT
高専機構
CSIRTの対応件数
(2018年度,月別)
9 0 1 2 3 4 5 6 2018 年 4 月 2018 年 5 月 2018 年 6 月 2018 年 7 月 2018 年 8 月 2018 年 9 月 2018 年 10 月 2018 年 11 月 2018 年 12 月 2019 年 1 月 2019 年 2 月 2019 年 3 月高専機構のインシデント例
1
• メール誤送信 – 内部関係者へ資料を添付した際に、宛先に想 定していない外部企業の方が1名含まれてい た – 先方からの連絡で発覚 – 資料内の個人情報はWeb上で公表されてい る情報高専機構CSIRT
高専機構のインシデント例
2
• メール誤送信 – 学内関係者に送るメールを、学内とは関係の ない第3者のアドレスが含まれた状態で誤って 送信 – 添付ファイル(PDF)があり、一部の、教職員氏 名、顔写真、携帯番号、メールアドレス、学内 電話番号 11高専機構のインシデント例
3
• メール誤送信 – 教員が学生に連絡する際に誤って個人情報 を含む情報へのリンクを送信した – 当該教員が日常の学生指導を通じて記録して いる、学生に関する情報の一部 – 記者会見、web掲載高専機構CSIRT
高専機構のインシデント例
4?
• メール誤送信 – メーリングリストを誤って送信先に指定してし まい送信してしまう(しかも!Cc: 文科省) – 添付ファイルはパスワードの保護なし! – 本文中で高専名を間違える 13高専機構CSIRT
高専機構のインシデント例
3
– 個人で利用しているGoogleのスプレッドシート にて学生の行動等を管理 – リンクを知っている人なら誰でも閲覧可能 15高専機構のインシデント例
3
もし、A高専のg-Suiteのアカウントを利用してい たら・・・
高専機構CSIRT
高専機構のインシデント例
3
結果・・・文部科学省から再発防止策として
高専機構CSIRT
高専機構のインシデント例
3
• 各種パスワードの付け方について – パスワード付きZIP – Word読み取りパスワード – Excel読み取りパスワード – パスワード付きPDF 19高専機構のインシデント例
3
• 個別パスワードで管理するデメリット – GPGPUを使った高速なパスワード解析 – (学内)共通パスワード流出の危険 – ファイル毎にパスワード設定の手間 – パスワード管理の手間高専機構CSIRT
Azure Information Protection
(
AIP)
AIPとは(Microsoftより)
• 秘密度に基づくデータの分類 • データを常に保護する • 可視性と制御の追加 • 他のユーザーとのより安全なコラボレー ション • 使いやすさ • デプロイと管理の柔軟性高専機構CSIRT
よくわからん!!
AIPとは(オレ的解釈)
• Office365のアカウントで保護 • PCのHDD等に入ったデータを保護できる • 渡す相手のOffice365アカウントを知るこ とができると、そのアカウントで制御可能 • Officeソフトだけでなく、PDFやTXT等も保 護できる (見るには、要AIP Viewer)高専機構CSIRT
AIPとは(オレ的解釈)
• Office365のグループでも制限可能! 学校全員「[email protected]」 教職員全員「[email protected]」 学生全員「[email protected]」 25AIPとは(オレ的解釈)
• 要保護情報は教職員だけ編集・閲覧に! 教職員全員「[email protected]」 ZIPやOfficeの読み取りパスワードの場合、パスワード流出 の恐れがあるが、AIPだとOffice365の個人アカウント管理 だけしていればいい!高専機構CSIRT
AIPインストール方法
AIPサインイン方法
• インストール後、Officeのメニュー下に出 てくる「サインイン」をクリックします。
高専機構CSIRT
AIPサインイン方法
• Microsoft AIPのサインイン画面が出ます ので、Office365のアカウントでサインイン します。 29AIP保護の設定方法
• Officeのメニューに「保護」がありますの で、そこの「カスタム アクセス許可」をク リック
高専機構CSIRT
AIP保護の設定方法
• Microsoft Azure Information Protection の設定画面が出ます
AIP保護の設定方法
• 「カスタム アクセス許可で保護する」の チェックを入れてアクセス許可の選択
AIP保護の設定方法
• 「カスタム アクセス許可が適用されました」 で完了。(上書き保存してください。)
高専機構CSIRT
AIP保護の設定方法
• AIPの設定を行なった時点で、このPCの
OfficeではIRM(Information Rights Management)
が組み込まれます。
※IRMとは、OfficeソフトをOffice365のアカウントで管理 ※するものと思ってください。AIPでデータ保護を行なった ※OfficeソフトもIRMを使って暗号化を解除します。
高専機構CSIRT
保護されたファイルを見るとき
高専機構CSIRT
ん?!
AIPっているの?
AIPまとめてデータ保護
• 色んなファイルが入ったフォルダをまとめ てデータ保護できます
高専機構CSIRT
AIPまとめてデータ保護
• フォルダを右クリックし「分類して保護する」 でまとめてデータ保護できます
AIPまとめてデータ保護
• 保護したフォルダの中を見ると全てのファ イルが保護された状態になってます
高専機構CSIRT
AIP便利でしょ?!
Officeで見る場合
• 一度もデータ保護されたファイルを見たこ とがない場合、IRMが組み込まれます。
高専機構CSIRT
Officeで見る場合
• Officeにサインインしていない場合は、サ インインするために「ユーザーの変更」
Officeで見る場合
• Office365のアカウントでサインインしま す。
高専機構CSIRT
Officeで見る場合
• 権限があっていれば見ることが出来ます!
Officeで見る場合
• 一度サインインしたら、IRMが覚えてるの でサインアウトしても問題ありません。
高専機構CSIRT
ネットワーク接続がないとき
• 見ることができるデータ保護ファイル – 自分でデータ保護設定したファイル – 一度ネットワーク接続時に見たファイル • 見ることができないデータ保護ファイル – 他人がデータ保護設定したファイルで見たこと ないファイル 49 当日のみ確認高専機構CSIRT
注意事項
• PC等でAIPやIRMで保護されたファイルを 見た場合、AIPやIRMでのサインイン情報 が残ってしまいます。 • 他人のPC等で見た場合は必ずサインアウ トしてください。 51AIPのサインアウト方法
• Officeのサインアウトを行なっても、AIPの サインアウトは出来ません。
C:¥Users¥(ユーザー名)¥AppData¥Local¥Microsoft¥MSIP¥ TokenCache
高専機構CSIRT
AIPのサインアウト方法
• ただし、AIPをサインアウトしてもIRMがサ インインだとOfficeファイルは見れます!
IRMのサインアウト方法
• Officeのサインアウトを行なっても、IRMの サインアウトは出来ません。
C:¥Users¥(ユーザー名)¥AppData¥Local¥Microsoft¥MSIPC のフォルダを削除してください。
高専機構CSIRT
IRMのサインアウト方法
• ただし、IRMをサインアウトしてもAIPがサ インインだと右クリックから権限を変更でき るため、権限解除してファイルが見られて しまいます! 55注意事項
下記フォルダごと消してしまってもかまいません! %LOCALAPPDATA%¥Local¥Microsoft¥MSIP %LOCALAPPDATA%¥Local¥Microsoft¥MSIPC
高専機構CSIRT
AIPのアドオンのオンオフ
Officeのオプション内にあるアドインの設定で管理
AIPが利用できない時
• AIPの利用には
「Enterprise Mobility + Security E3」 のライセンスが必要です。
高専機構CSIRT
情報セキュリティ対策と
情報セキュリティインシデント対応
マルウェア対策の限界
• 既知のマルウェアには極めて有効 – ほぼ検出可能!! ←必須 • 未知のマルウェアを検出できない可能性 – ふるまい検知の限界 – 攻撃者しか知らない脆弱性(ゼロデイ)の問題 – 誰かが引っ掛からないと発見できない • 定期フルスキャンも有効 – リアルタイムスキャンだけでは不十分高専機構CSIRT
情報セキュリティ対策
(基本)
• OS・アプリ・セキュリティ対策を最新に – サイバー攻撃で侵入されるリスクを減らす • セキュリティホールを狙ってます • ID・パスワードはしっかり管理 – なりすましを防止 • 正当なユーザとして活動させない • 怪しいサイト・メールを見分ける – サイバー攻撃のきっかけを知る • どんな攻撃が流行っているのか情報収集も必要 61情報セキュリティインシデント予防
• ウィルス対策ソフトウェアの未検知 • ユーザの認識・意識・行動 入口対策の限界・感染することを前提 • ユーザの意識向上 • 感染時の速やかな被害拡大防止!!高専機構CSIRT
みんなで守る情報セキュリティ
被害にあった
!!と思ったら
【すぐやる三箇条】
• すぐにネットワークから切り離す – LANケーブルを抜く・無線LANをOFFに • 電源は落とさず、現状保全が鉄則! – ログイン状態やファイルもそのままで • 校内の情報セキュリティインシデント担当 者に連絡を 63情報セキュリティインシデント対応手順
• 高専機構・各高専で制定 – 情報セキュリティインシデント対応手順 – 情報セキュリティインシデント発生時における 対応 – 情報セキュリティインシデント発生時の連絡及 び対応(全体フロー) – 情報セキュリティインシデント対応手順(フロー 図)簡易版高専機構CSIRT
対応手順
(簡易フロー図)
65
高専機構
CSIRT今後の活動と
まとめ
高専機構CSIRT
高専機構
CSIRTって??
• CSIRT
⇒Computer Security Incident Response Team
• コンピュータのセキュリティの脅威となる出来
事に対応するチームらしい…(-_-;
• でも、インシデントって起きない方がいいよ
ね。(^^;
予防的な高専機構
CSIRT活動
• 情報セキュリティe-Learning • 標的型メール訓練 • トップセミナー・情報担当者研修 • 情報セキュリティ研修支援 • 情報セキュリティ監査 • セキュリティポリシー・関連規程類の改訂 • 各高専・外部セキュリティ組織と連携 • 高専機構CSIRTとしての情報提供高専機構CSIRT
CSIRTの本質
• 情報セキュリティインシデントの予防 – システム的な対策 – ユーザへの啓発活動 • インシデント発生時のレスポンス – 短時間での収束 – 再発防止 69 • 高専機構CSIRTは警察より消防 – 高専機構CSIRTは仲間です!!(^^)b 高専機構CSIRT Web https://csirt.kosen-k.go.jp/ 組織・ユーザの 理解が重要!!高専機構CSIRT
