講義システムのセキュリティ技術検査 1

講義７

情報セキュリティ（２）

講義

１ セキュリティ技術検査の必要性

１

ＳＯＮＹの個人情報漏えい事故の原因

ハッカーに

システム（アプリケーション）の脆弱性

をつかれ、

システム内部に侵入された。

２ ハッカーの立場でシステムやネットワークに脆弱性が

ないか技術検査する。

３ 技術検査用のツールが多数公開されている。

ハッキングスキルの高い技術者がマニュアルでハッキング

検査をするケースもある。

２ システムのセキュリティ技術検査

１ 現在、システムの脆弱性を検査するために、多くの組織で

セキュリティ技術検査が活用され、脆弱性の是正に有効な

効果を上げている。

２ 標準的な検査は以下の４種類である。

リモート侵入検査

オンサイト侵入検査

サーバ設定検査

ウェブアプリケーション検査

３ ４種類の技術検査

監査 監査内容 検出する脆弱性 リモート 侵入検査 インターネット経由で 模擬攻撃する検査 ＤＭＺに対するインターネット 経由攻撃に関する脆弱性 オンサイト 侵入検査 内部ネットワークから 模擬攻撃する検査 インターネット経由の監査では 検出できない脆弱性 内部攻撃に関する脆弱性 サーバ設定検査 サーバ設定等、直接 サーバを確認する検査 サーバの脆弱な管理状態 ウェブ アプリケーション 検査 ウェブアプリケーション に特化した検査 ホームページに対する 攻撃に関する脆弱性

４ 技術検査の概要

１ リモート侵入 検査 ２ オンサイト侵入 検査 ４ ウェブアプリケーション 検査 公開IP 内部IP 診断機 診断機 ウェブアプリケーション _{３ サーバ設定検査} インターネット ファイアウォール 対象ネットワークＤＭＺ

５ オンサイト侵入検査（内部ネットワークからの侵入検査）

リモート侵入検査 オンサイト侵入検査 利点 ○距離に依存せず、効率的な 検査作業が実施可能 ○外部（インターネット経由） からの攻撃に対するネット ワーク全体としての脆弱性 検査が可能 ○サーバ固有のセキュリティ 脆弱性の検査が可能 制約 △接続経路、特にファイヤ ウォールやルータに依存し た検査結果となる △サーバ室内でしか検査を行う ことができない。

６ 侵入検査（リモート侵入監査、オンサイト侵入監査）ツール

1 侵入検査における代表的検査ツール Ｑｕａｌｙｓ社のＱｕａｌｙｓｇｕａｒｄ ＩＢＭ社のＩｎｔｅｒｎｅｔＳｃａｎｎｅｒ ２ 検査用ＰＣから検査パケットを検査対象のサーバに送信し、そのレスポンス 内容から脆弱性の有無を検査する。 検査ＰＣ (リモート） 検査ＰＣ (オンサイト） 検査対象 レスポンス 検査パケット

７ リモート侵入検査（インターネット経由の侵入検査）

リモート侵入監査の構成イメージ ②リモート侵入 検査 ③オンサイト侵入 検査 ①ウェブアプリケーション 検査 公開IP 内部IP 診断機 診断機 ウェブアプリケーション _{④サーバ設定検査} インターネット ファイアウォール 対象ネットワーク 外部から 攻撃可能か？

８ オンサイト侵入検査（内部ネットワークからの侵入検査）

オンサイト侵入検査の構成イメージ ②リモート侵入 検査 ③オンサイト侵入 検査 ①ウェブアプリケーション 検査 公開IP 内部IP 診断機 診断機 ウェブアプリケーション _{④サーバ設定検査} インターネット ファイアウォール 対象ネットワーク リモートから確認 できない脆弱性は ないか？

９ 侵入検査（リモート侵入検査、オンサイト侵入検査）項目

項番 検査項目 １ ポートスキャン調査・バナー調査 ２ Web、Mail、DNS等各種サーバに係わる脆弱性調査 ３ RPCに係わる脆弱性調査 ４ リモートアクセスに係わる脆弱性調査 ５ 各種OSに係わる脆弱性調査 ６ 不正プログラムの調査 ７ 危険なCGIの検出 ８ デフォルトアカウント調査

１０ サーバ設定検査手法

【検査手法】 脆弱な管理状態にあるログインＩＤの存在や、ウィルス対策ソフトウェアの導 入、バージョンチェック等の調査を実施する。サーバ設定監査ではサーバを 直接確認しなければ調査できない項目について検査する。 【検査項目】 項番 検査項目の例 １ パッチプログラムの適用状況 ２ 不正プログラムの検出 ３ 脆弱な管理状態にあるログインID ４ OSのセキュリティ設定(スクリーンセーバー設定、パーソナルファ イアウォール） ５ ウィルス対策ソフトウェアの導入と最新版の適用状況

１１ サーバ設定検査

サーバ設定検査のイメージ ②リモート侵入 検査 ③オンサイト侵入 検査 ①ウェブアプリケーション 検査 公開IP 内部IP 診断機 診断機 ウェブアプリケーション _{④サーバ設定検査} インターネット ファイアウォール 対象ネットワーク 侵入検査で確認できない脆 弱性はないか？

１２ ウェブアプリケーション検査

侵入検査は、ネットワーク層等の低階層の技術を使って、侵入の可能性を追 求するが、アプリケーション層で稼働するウェブアプリケーションに対する攻撃 が増加している。インターネットに公開しているウェブサーバの安全性を確認 するために、ウェブアプリケーションに対する脆弱性検査をインターネット経由 で実施する。検査対象のＵＲＬとページは、事前に決定する。 侵入検査 対応領域 ウェブアプリケーション検査 対応領域 物理層 ネットワーク層 データリンク層 トランスポート層 セッション層 プレゼンテーション層 アプリケーション層

１３ ウェブアプリケーション検査

②リモート侵入 検査 ③オンサイト侵入 検査 ①ウェブアプリケーション 検査 公開IP 内部IP 診断機 診断機 ウェブアプリケーション _{④サーバ設定検査} インターネット ファイアウォール お客様ネットワーク ホームページへ攻撃可 能か？ ウェブアプリケーション検査の構成イメージ

１４ ウェブアプリケーション検査項目

１ クロスサイトスクリプティングの脆弱性 悪意のスクリプトコードを利用者のブラウザへ 送信される恐れがある。 ２ SQLインジェクションの脆弱性 内部で発行されるSQLクエリを不正に操作さ れ、情報の漏洩、改ざん等の恐れがある。 ３ 認証周りの不備 正規の認証手続をとらずに認証後のページへ アクセスされる恐れがある。 ４ セッション管理の不備 セッション管理が正しく行われていない場合、 正規利用者になりすまされる恐れがある。 ５ クロスサイト・リクエストフォージェリの脆弱性 正規利用者が意図しないリクエストをウェブア プリケーションに送信され、登録情報を変更さ れる恐れがある。 ６ ディレクトリトラバーサルの脆弱性 非公開のコンテンツを不正に閲覧、ダウン ロードされる恐れがある。 ７ OSコマンドインジェクションの脆弱性 任意のOSコマンドを実行される恐れがある。 ８ HTTPﾚｽﾎﾟﾝｽﾍｯﾀﾞの分割の脆弱性 フィッシング詐欺に悪用される恐れがある。 ９ アクセス制御の不備・欠落 上位権限が必要なコンテンツにアクセスされ、 情報が漏洩する恐れがある。 １０ 意図しないリダイレクト フィッシング詐欺に悪用される恐れがある。 １１ ディレクトリ・リスティングの脆弱性 内部情報が漏洩する恐れがある。

公開IP インターネット ファイア ウォール 不正ＳＱＬ文のテスト入力 ＳＱＬデータベースの 不正アクセステスト ウェブアプリケーションの 脆弱性を利用して テスト的に不正操作

１５ ＳＱＬインジェクションのテスト（１）

公開IP ＤＭＺ 検査員

下の例のような不正入力パターンをテスト入力して不正操作ができるか確認

0001‘ OR 1=1 -- と入力・・・

strSQL =

“ SELECT * FROM OrderDetail WHERE OrderID =‘0001‘ OR 1=1 - - ‘ “;

すべてのデータを 取得できてしまう!! True True ‘ を無効に

１５ ＳＱＬインジェクションのテスト（２）

受注データ表示画面 顧客ＩＤ 表示

１６ ウェブアプリケーション検査ツール

ウェブアプリケーション検査では、ＩＢＭ社の監査ツール「Rational AppScan」 を使用する。本ツールがインストールされた監査用ＰＣから、監査対象のウェ ブアプリケーションに対して擬似攻撃パケットを送信し、ウェブアプリケーショ ンのレスポンス内容から脆弱性の有無を判断する。擬似攻撃を実施するた め、監査対象のウェブアプリケーションに影響が発生する可能性がある。 検査対象 擬似攻撃パケット 検査PC レスポンス

講義

１ ＦＩＳＭＡプロジェクトにおける自動化

セキュリティ対策の自動化のＮＩＳＴガイドライン

NIST SP 800-126 Rev.1 (Februrary,2011)

The Technical Specification for SCAP

SCAP

: Security Content Automation Protocol

NIST SP 800-117 Ver.1 (July,2010)

Guide to Adopting and Using SCAP

２ セキュリティ管理の自動化の例

ウィルス対策ソフト

Ｗｉｎｄｏｗｓアップデート

ＩＳＭＳ構築支援ツール

サーバ設定検査ツール

脆弱性検査ツール

‐Ｗｅｂアプリケーション脆弱性検査

‐ネットワーク侵入検査ツール

３ ＦＩＳＭＡフレームワークの自動化の考え方

ＦＩＳＭＡ関連の膨大な標準やガイドラインを実装し、

リスクアセスメントフレームワークを運用するためには

自動化(

Automation

)が必要不可欠

フレームワーク全体

を可能な限り自動化する

自動化ツールも標準化する

報告書作成より

継続的監視

ＳＣＡＰ

が中心の標準

監査の自動化

４ 自動化の効果

評価の手作業

正確性の向上

効率の向上

コスト削減

監査の自動化

評価の自動化

NIST SPシリーズガイドライン

５ ＳＣＡＰによるセキュリティ自動化

XCCDF ＯＶＡＬ SCAPツール ＯＶＡＬ _Windowsの ＰＷ設定 自動チェック IA-5 パスワードの 最低文字数設定 例えば８桁以上 チェックリスト ＸＭＬ方式で記述 参照ガイドライン 定義データ 設定値 チェック方法 ＣＰＥ，ＣＶＥ， ＣＶＳＳ ＣＣＥ レポート

対応

６ ＳＣＡＰの規格

１ Common

Platform

Enumeration (C

P

E)

製品識別子を規定

２ Common

Vulnerabilities

and Exposures (C

V

E)

脆弱性識別子を規定

３ Common

Vulnerability Scoring

System

(C

VS

S)

脆弱性評価を規定

４ Common

Configuration

Enumeration

(C

C

E)

設定項目識別子を規定

５ Extensible

Configuration Checklist

Description Format

(X

CC

DF)

チェックリストの記述仕様

６ Open Vulnerability and Assessment Language (O

VA

L)

７ リスクマネジメントフレームワークの自動化

Step1 CATEGORIZE Information Systems Step6 MONITOR Security Controls Step5 AUTHORIZE Information Systems Step2 SELECT Security Controls Step3 IMPLEMENT Security Controls Step4 ASSESS Security Controls Organizational Inputs Architecture Description

Risk Management Strategy

セキュリティ設定の実装 セキュリティ管理策の

セキュリティ設定の評価 セキュリティ設定変更

８ ＳＣＡＰの実装例

ＦＤＣＣ（Federal Desktop Core Configuration）

デスクトップのセキュリティ確保の自動化と標準化

 Windowsソフトウェアの共通セキュリティ設定

 手作業から設定自動化へ

 米国政府機関のＣＩＯに適用義務（２００８年２月）

 ＮＩＳＴ，Ｍｉｃｒｏｓｏｆｔ等が協力して作成

 ＳＣＡＰのチェックリストを使用

Windows Vista のチェックリスト：

FDCC Windows Vista

９ ＩＰＡのＭｙＪＶＮ（１）

ＩＰＡ：http://www.ipa.go.jp/security/vuln/documents/2009/200911_myjvn_vc.html

ＩＰＡの脆弱性対策自動化フレームワーク－ＭｙＪＶＮ

国際性（

ＳＣＡＰフレームワーク

）と国内向け脆弱性対策情報

データベースとしての地域性を両立

ＭｙＪＶＮバージョンチェッカ

利用者のＰＣにインストールされているソフトウェア製品の

バージョンが最新であるか自動チェックするツール

ＭｙＪＶＮセキュリティ設定チェッカー

利用者のＰＣの設定をチェックリストに基づき自動チェック

するツール

例）パスワードの最低文字数、パスワードの有効期限 等

９ ＩＰＡのＭｙＪＶＮ（２）

講義

１ スマートフォンのセキュリティ（１）

１ スマートフォンはパソコン並の情報処理能力を持ち、インターネットを介して アプリケーションソフトを取り込める。 国内では１１年度の出荷が２０００万台を超え携帯電話の半数以上を占める とされる。 ２ パソコンではセキュリティソフトが普及し、情報システム部門などがＬＡＮを 通じて組織内の端末のコンピューターウイルス感染を常時監視している。 ３ スマートフォンではこうした対策がほとんど採られておらず、手軽な配信の 仕組みが不正ソフトの侵入経路に悪用され、個人情報の流出や、サーバー 側を含めたシステム障害につながる懸念が強まっている。 パソコンのように大量のデータを蓄積できるため、業務用に利用した場合、 情報流出のリスクもある。 １ 日本経済新聞記事（２０１１年５月１６日）

４ スマートフォンはすでにサイバー攻撃の標的になっている。昨年末から 今春にかけ、アンドロイド端末に入り込み外部から操作したり、情報を盗 み出したりする複数の不正ソフトが中国を中心に広がっている。 英語版や日本語版も出回り、世界的にまん延する危険がある。 ５ 不正ソフトは普通のアプリケーションを装ったゲームなどに組み込まれて おり、「パソコンほど苦労せず端末に侵入できる」（シマンテック）という。 ６ 専門家の間ではパソコンに代わるネットの入り口になりつつあるスマート フォンの安全対策の遅れを懸念する声が高まっている。

１ スマートフォンのセキュリティ（２）

１ ＮＴＴドコモやＫＤＤＩ、セキュリティーソフトの米シマンテックなど内外の通信・ ＩＴ（情報技術）大手約４０社がスマートフォン（高機能携帯電話）の安全対策 で連携する。 ２ １０月までに不正ソフトの防御法などをまとめる。２０１１年のスマートフォンの 世界出荷は４億２千万台でパソコンを超える見通しだが、パソコンに比べ安 全対策は遅れている。 ３ スマートフォンを介して企業の基幹システムがサイバー攻撃を受ける危険も あり、防御網の構築が課題になっている。 ４ ２５日に「日本スマートフォンセキュリティフォーラム」を設立。 パソコン向けセキュリティソフトを手掛ける米シマンテック、トレンドマイクロ、 通信機器の米シスコシステムズなど内外の４０社以上が参加する。 ５ スマートフォン向け基本ソフト（ＯＳ)の「アンドロイド」を開発したグーグルも 協力し、アップルのスマートフォン「ｉＰｈｏｎｅ」を販売するソフトバンクも参加 する見通しである。

１ スマートフォンのセキュリティ（３）

・ウイルス対策 ・アプリ利用の制限 ・ＵＲＬフィルタリング ケータイの「セキュリティ」＋ＰＣの「セキュリティ」がスマートフォンセキュリティ に必要 ケータイ視点 PC視点 ケータイの「セキュリティ」 ＋ＰＣの「セキュリティ」が 求められるように！ ・パスワードロック ・リモートロック ・リモートデータ削除 ・ＧＰＳ ・パスワードポリシー ・ＵＲＬフィルタリング ケータイとＰＣの融合

２ スマートフォンのセキュリティ対策

３ スマートフォンのアンチウィルスソフトウェアの例

http://www.mcafee.com/japan/about/prelease/pr_10b.asp?pr=10/12/09-1

McAfee Inc.の日本法人、マカフィー

株式会社は、Android OS を搭載した

スマートフォンを防護するセキュリティ

ソリューション

McAfee VirusScan

®

Mobile for Android

テクノロジを日本

市場において提供を開始することを

２０１０年１２月９日発表した。

４ スマートフォンのセキュリティガイドライン（１）

スマートフォンの安全な利活用のすすめ

～スマートフォン利用ガイドライン～ β版

１ スマートフォンの利用におけるセキュリティ上の課題

①デバイスの設計に起因する課題

②脆弱性管理における課題

③業務利用における課題

④スマートフォンの可用性に関する課題

⑤スマートフォンを廃棄する際の課題

ＪＮＳＡ：http://www.jnsa.org/result/2010/smap_guideline_Beta.pdf

４ スマートフォンのセキュリティガイドライン（２）

スマートフォンの安全な利活用のすすめ ～スマートフォン利用ガイドライン～ β版 ２ スマートフォンの安全な利用方法（チェックリスト方式） ＩＴ管理者が考慮すべき事項とスマートフォン利用者が考慮すべき事項 ①スマートフォン導入時のセキュリティ対策項目 ②スマートフォンに関するセキュリティ機能確認項目 ③ネットワークにスマートフォンを接続させる際のセキュリティ対策項目 ④スマートフォンにおけるアプリケーション利用に関する考え方 ⑤スマートフォンで利用するアプリケーションに関するセキュリティ対策項目 ⑥スマートフォンの可用性を維持・向上させるためのセキュリティ対策項目 ⑦スマートフォン紛失時のセキュリティ対策項目 ⑧スマートフォン廃棄時のセキュリティ対策項目 ⑨スマートフォン利用時の脆弱性対策項目 ⑩スマートフォン上でデータを扱う際の留意事項 ⑪スマートフォンの不適切な利用がないことの確認