講義7
情報セキュリティ(2)
講義
1 セキュリティ技術検査の必要性
1
SONYの個人情報漏えい事故の原因
ハッカーに
システム(アプリケーション)の脆弱性
をつかれ、
システム内部に侵入された。
2 ハッカーの立場でシステムやネットワークに脆弱性が
ないか技術検査する。
3 技術検査用のツールが多数公開されている。
ハッキングスキルの高い技術者がマニュアルでハッキング
検査をするケースもある。
2 システムのセキュリティ技術検査
1 現在、システムの脆弱性を検査するために、多くの組織で
セキュリティ技術検査が活用され、脆弱性の是正に有効な
効果を上げている。
2 標準的な検査は以下の4種類である。
リモート侵入検査
オンサイト侵入検査
サーバ設定検査
ウェブアプリケーション検査
3 4種類の技術検査
監査 監査内容 検出する脆弱性 リモート 侵入検査 インターネット経由で 模擬攻撃する検査 DMZに対するインターネット 経由攻撃に関する脆弱性 オンサイト 侵入検査 内部ネットワークから 模擬攻撃する検査 インターネット経由の監査では 検出できない脆弱性 内部攻撃に関する脆弱性 サーバ設定検査 サーバ設定等、直接 サーバを確認する検査 サーバの脆弱な管理状態 ウェブ アプリケーション 検査 ウェブアプリケーション に特化した検査 ホームページに対する 攻撃に関する脆弱性4 技術検査の概要
1 リモート侵入 検査 2 オンサイト侵入 検査 4 ウェブアプリケーション 検査 公開IP 内部IP 診断機 診断機 ウェブアプリケーション 3 サーバ設定検査 インターネット ファイアウォール 対象ネットワークDMZ5 オンサイト侵入検査(内部ネットワークからの侵入検査)
リモート侵入検査 オンサイト侵入検査 利点 ○距離に依存せず、効率的な 検査作業が実施可能 ○外部(インターネット経由) からの攻撃に対するネット ワーク全体としての脆弱性 検査が可能 ○サーバ固有のセキュリティ 脆弱性の検査が可能 制約 △接続経路、特にファイヤ ウォールやルータに依存し た検査結果となる △サーバ室内でしか検査を行う ことができない。6 侵入検査(リモート侵入監査、オンサイト侵入監査)ツール
1 侵入検査における代表的検査ツール Qualys社のQualysguard IBM社のInternetScanner 2 検査用PCから検査パケットを検査対象のサーバに送信し、そのレスポンス 内容から脆弱性の有無を検査する。 検査PC (リモート) 検査PC (オンサイト) 検査対象 レスポンス 検査パケット7 リモート侵入検査(インターネット経由の侵入検査)
リモート侵入監査の構成イメージ ②リモート侵入 検査 ③オンサイト侵入 検査 ①ウェブアプリケーション 検査 公開IP 内部IP 診断機 診断機 ウェブアプリケーション ④サーバ設定検査 インターネット ファイアウォール 対象ネットワーク 外部から 攻撃可能か?8 オンサイト侵入検査(内部ネットワークからの侵入検査)
オンサイト侵入検査の構成イメージ ②リモート侵入 検査 ③オンサイト侵入 検査 ①ウェブアプリケーション 検査 公開IP 内部IP 診断機 診断機 ウェブアプリケーション ④サーバ設定検査 インターネット ファイアウォール 対象ネットワーク リモートから確認 できない脆弱性は ないか?9 侵入検査(リモート侵入検査、オンサイト侵入検査)項目
項番 検査項目 1 ポートスキャン調査・バナー調査 2 Web、Mail、DNS等各種サーバに係わる脆弱性調査 3 RPCに係わる脆弱性調査 4 リモートアクセスに係わる脆弱性調査 5 各種OSに係わる脆弱性調査 6 不正プログラムの調査 7 危険なCGIの検出 8 デフォルトアカウント調査10 サーバ設定検査手法
【検査手法】 脆弱な管理状態にあるログインIDの存在や、ウィルス対策ソフトウェアの導 入、バージョンチェック等の調査を実施する。サーバ設定監査ではサーバを 直接確認しなければ調査できない項目について検査する。 【検査項目】 項番 検査項目の例 1 パッチプログラムの適用状況 2 不正プログラムの検出 3 脆弱な管理状態にあるログインID 4 OSのセキュリティ設定(スクリーンセーバー設定、パーソナルファ イアウォール) 5 ウィルス対策ソフトウェアの導入と最新版の適用状況11 サーバ設定検査
サーバ設定検査のイメージ ②リモート侵入 検査 ③オンサイト侵入 検査 ①ウェブアプリケーション 検査 公開IP 内部IP 診断機 診断機 ウェブアプリケーション ④サーバ設定検査 インターネット ファイアウォール 対象ネットワーク 侵入検査で確認できない脆 弱性はないか?12 ウェブアプリケーション検査
侵入検査は、ネットワーク層等の低階層の技術を使って、侵入の可能性を追 求するが、アプリケーション層で稼働するウェブアプリケーションに対する攻撃 が増加している。インターネットに公開しているウェブサーバの安全性を確認 するために、ウェブアプリケーションに対する脆弱性検査をインターネット経由 で実施する。検査対象のURLとページは、事前に決定する。 侵入検査 対応領域 ウェブアプリケーション検査 対応領域 物理層 ネットワーク層 データリンク層 トランスポート層 セッション層 プレゼンテーション層 アプリケーション層13 ウェブアプリケーション検査
②リモート侵入 検査 ③オンサイト侵入 検査 ①ウェブアプリケーション 検査 公開IP 内部IP 診断機 診断機 ウェブアプリケーション ④サーバ設定検査 インターネット ファイアウォール お客様ネットワーク ホームページへ攻撃可 能か? ウェブアプリケーション検査の構成イメージ14 ウェブアプリケーション検査項目
1 クロスサイトスクリプティングの脆弱性 悪意のスクリプトコードを利用者のブラウザへ 送信される恐れがある。 2 SQLインジェクションの脆弱性 内部で発行されるSQLクエリを不正に操作さ れ、情報の漏洩、改ざん等の恐れがある。 3 認証周りの不備 正規の認証手続をとらずに認証後のページへ アクセスされる恐れがある。 4 セッション管理の不備 セッション管理が正しく行われていない場合、 正規利用者になりすまされる恐れがある。 5 クロスサイト・リクエストフォージェリの脆弱性 正規利用者が意図しないリクエストをウェブア プリケーションに送信され、登録情報を変更さ れる恐れがある。 6 ディレクトリトラバーサルの脆弱性 非公開のコンテンツを不正に閲覧、ダウン ロードされる恐れがある。 7 OSコマンドインジェクションの脆弱性 任意のOSコマンドを実行される恐れがある。 8 HTTPレスポンスヘッダの分割の脆弱性 フィッシング詐欺に悪用される恐れがある。 9 アクセス制御の不備・欠落 上位権限が必要なコンテンツにアクセスされ、 情報が漏洩する恐れがある。 10 意図しないリダイレクト フィッシング詐欺に悪用される恐れがある。 11 ディレクトリ・リスティングの脆弱性 内部情報が漏洩する恐れがある。公開IP インターネット ファイア ウォール 不正SQL文のテスト入力 SQLデータベースの 不正アクセステスト ウェブアプリケーションの 脆弱性を利用して テスト的に不正操作
15 SQLインジェクションのテスト(1)
公開IP DMZ 検査員下の例のような不正入力パターンをテスト入力して不正操作ができるか確認
0001‘ OR 1=1 -- と入力・・・
strSQL =
“ SELECT * FROM OrderDetail WHERE OrderID =‘0001‘ OR 1=1 - - ‘ “;
すべてのデータを 取得できてしまう!! True True ‘ を無効に
15 SQLインジェクションのテスト(2)
受注データ表示画面 顧客ID 表示16 ウェブアプリケーション検査ツール
ウェブアプリケーション検査では、IBM社の監査ツール「Rational AppScan」 を使用する。本ツールがインストールされた監査用PCから、監査対象のウェ ブアプリケーションに対して擬似攻撃パケットを送信し、ウェブアプリケーショ ンのレスポンス内容から脆弱性の有無を判断する。擬似攻撃を実施するた め、監査対象のウェブアプリケーションに影響が発生する可能性がある。 検査対象 擬似攻撃パケット 検査PC レスポンス講義
1 FISMAプロジェクトにおける自動化
セキュリティ対策の自動化のNISTガイドライン
NIST SP 800-126 Rev.1 (Februrary,2011)
The Technical Specification for SCAP
SCAP
: Security Content Automation Protocol
NIST SP 800-117 Ver.1 (July,2010)
Guide to Adopting and Using SCAP
2 セキュリティ管理の自動化の例
ウィルス対策ソフト
Windowsアップデート
ISMS構築支援ツール
サーバ設定検査ツール
脆弱性検査ツール
‐Webアプリケーション脆弱性検査
‐ネットワーク侵入検査ツール
3 FISMAフレームワークの自動化の考え方
FISMA関連の膨大な標準やガイドラインを実装し、
リスクアセスメントフレームワークを運用するためには
自動化(
Automation
)が必要不可欠
フレームワーク全体
を可能な限り自動化する
自動化ツールも標準化する
報告書作成より
継続的監視
SCAP
が中心の標準
監査の自動化
4 自動化の効果
評価の手作業
正確性の向上
効率の向上
コスト削減
監査の自動化
評価の自動化
NIST SPシリーズガイドライン
5 SCAPによるセキュリティ自動化
XCCDF OVAL SCAPツール OVAL Windowsの PW設定 自動チェック IA-5 パスワードの 最低文字数設定 例えば8桁以上 チェックリスト XML方式で記述 参照ガイドライン 定義データ 設定値 チェック方法 CPE,CVE, CVSS CCE レポート対応
6 SCAPの規格
1 Common
Platform
Enumeration (C
P
E)
製品識別子を規定
2 Common
Vulnerabilities
and Exposures (C
V
E)
脆弱性識別子を規定
3 Common
Vulnerability Scoring
System
(C
VS
S)
脆弱性評価を規定
4 Common
Configuration
Enumeration
(C
C
E)
設定項目識別子を規定
5 Extensible
Configuration Checklist
Description Format
(X
CC
DF)
チェックリストの記述仕様
6 Open Vulnerability and Assessment Language (O
VA
L)
7 リスクマネジメントフレームワークの自動化
Step1 CATEGORIZE Information Systems Step6 MONITOR Security Controls Step5 AUTHORIZE Information Systems Step2 SELECT Security Controls Step3 IMPLEMENT Security Controls Step4 ASSESS Security Controls Organizational Inputs Architecture DescriptionRisk Management Strategy
セキュリティ設定の実装 セキュリティ管理策の
セキュリティ設定の評価 セキュリティ設定変更
8 SCAPの実装例
FDCC(Federal Desktop Core Configuration)
デスクトップのセキュリティ確保の自動化と標準化
Windowsソフトウェアの共通セキュリティ設定
手作業から設定自動化へ
米国政府機関のCIOに適用義務(2008年2月)
NIST,Microsoft等が協力して作成
SCAPのチェックリストを使用
Windows Vista のチェックリスト:
FDCC Windows Vista
9 IPAのMyJVN(1)
IPA:http://www.ipa.go.jp/security/vuln/documents/2009/200911_myjvn_vc.htmlIPAの脆弱性対策自動化フレームワーク-MyJVN
国際性(
SCAPフレームワーク
)と国内向け脆弱性対策情報
データベースとしての地域性を両立
MyJVNバージョンチェッカ
利用者のPCにインストールされているソフトウェア製品の
バージョンが最新であるか自動チェックするツール
MyJVNセキュリティ設定チェッカー
利用者のPCの設定をチェックリストに基づき自動チェック
するツール
例)パスワードの最低文字数、パスワードの有効期限 等
9 IPAのMyJVN(2)
講義
1 スマートフォンのセキュリティ(1)
1 スマートフォンはパソコン並の情報処理能力を持ち、インターネットを介して アプリケーションソフトを取り込める。 国内では11年度の出荷が2000万台を超え携帯電話の半数以上を占める とされる。 2 パソコンではセキュリティソフトが普及し、情報システム部門などがLANを 通じて組織内の端末のコンピューターウイルス感染を常時監視している。 3 スマートフォンではこうした対策がほとんど採られておらず、手軽な配信の 仕組みが不正ソフトの侵入経路に悪用され、個人情報の流出や、サーバー 側を含めたシステム障害につながる懸念が強まっている。 パソコンのように大量のデータを蓄積できるため、業務用に利用した場合、 情報流出のリスクもある。 1 日本経済新聞記事(2011年5月16日)4 スマートフォンはすでにサイバー攻撃の標的になっている。昨年末から 今春にかけ、アンドロイド端末に入り込み外部から操作したり、情報を盗 み出したりする複数の不正ソフトが中国を中心に広がっている。 英語版や日本語版も出回り、世界的にまん延する危険がある。 5 不正ソフトは普通のアプリケーションを装ったゲームなどに組み込まれて おり、「パソコンほど苦労せず端末に侵入できる」(シマンテック)という。 6 専門家の間ではパソコンに代わるネットの入り口になりつつあるスマート フォンの安全対策の遅れを懸念する声が高まっている。
1 スマートフォンのセキュリティ(2)
1 NTTドコモやKDDI、セキュリティーソフトの米シマンテックなど内外の通信・ IT(情報技術)大手約40社がスマートフォン(高機能携帯電話)の安全対策 で連携する。 2 10月までに不正ソフトの防御法などをまとめる。2011年のスマートフォンの 世界出荷は4億2千万台でパソコンを超える見通しだが、パソコンに比べ安 全対策は遅れている。 3 スマートフォンを介して企業の基幹システムがサイバー攻撃を受ける危険も あり、防御網の構築が課題になっている。 4 25日に「日本スマートフォンセキュリティフォーラム」を設立。 パソコン向けセキュリティソフトを手掛ける米シマンテック、トレンドマイクロ、 通信機器の米シスコシステムズなど内外の40社以上が参加する。 5 スマートフォン向け基本ソフト(OS)の「アンドロイド」を開発したグーグルも 協力し、アップルのスマートフォン「iPhone」を販売するソフトバンクも参加 する見通しである。
1 スマートフォンのセキュリティ(3)
・ウイルス対策 ・アプリ利用の制限 ・URLフィルタリング ケータイの「セキュリティ」+PCの「セキュリティ」がスマートフォンセキュリティ に必要 ケータイ視点 PC視点 ケータイの「セキュリティ」 +PCの「セキュリティ」が 求められるように! ・パスワードロック ・リモートロック ・リモートデータ削除 ・GPS ・パスワードポリシー ・URLフィルタリング ケータイとPCの融合