技術コースの内容 1. 情報漏洩の傾向と原因分析 2. 不正アクセス 手口の解説と対策 3. 情報セキュリティ技術マップ 4. インシデント対応 2

情報セキュリティセミナー 2005

1.

情報漏洩の傾向と原因分析

2.

不正アクセス・手口の解説と対策

3.

情報セキュリティ技術マップ

4.

インシデント対応

情報セキュリティセミナー 2005

情報漏洩の原因傾向

•

目立つノートPC置き忘れ

•

「モバイルPCの管理ルール、個人情報保護

法施行でも進展なし」

–

http://nikkeibp.jp/wcs/leaf/CID/onair/jp/ex03/3

84228

•

最近USBメモリも増えている

–

http://nikkeibp.jp/sj2005/special/09/

•

しかし、意外に多いのが・・・

漏洩原因について

•

JNSA（日本ネットワー

クセキュリティ協会）の

調査による分析

–

http://www.jnsa.org/ac

tive/2004/active2004_

1a.html

情報漏洩の原因は？

2.4%

46.7%

24.3%

4.4%

22.1%

％

内部犯罪、情報持ち出し、盗難

犯罪

非技術的

内容詳細

原因

要素

その他、不明

人為ミス

対策不足

人為ミス

その他、不明

その他

置き忘れ、目的外利用

非技術的

バグ、セキュリティホール、ウイルス、

不正アクセス

技術的

設定ミス、誤操作、管理ミス

技術的

出典： http://www.jnsa.org/active/2004/active2004_1a.html

漏洩の経路

•

紙が多い！

•

しかし、紙よりノートPC

の方が保持する情報

の量が多い＝ビジネス

インパクトが大きい

–

http://www.jnsa.org/ac

tive/2004/active2004_

1a.html

原因傾向からわかること

•

紙媒体の管理の問題

•

「盗難」されてしまうものとは何か？

•

「紛失」「置き忘れ」されてしまうものとは何

原因傾向から考える対策

•

「盗難」対策

–

防犯対策（オフィスの保護）

–

機器、書類の持ち出し管理

–

盗まれた後中身を読まれないための対策

•

「紛失」「置き忘れ」対策

–

機器、書類の持ち出し管理

–

誰かの手にわたったあと、中身を読まれないた

めの対策

具体的な対策の中身

•

ルール制定、手順化による対策

–

「機器を持ち出すときには上長の承認を得て、管

理者が持ち出し簿に記録したのち、持ち出す」

•

ワイアで机にくくりつけるなどの防犯対策

•

コンピュータの中身を読みにくくする

–

暗号、認証強化（USBキーなど）

情報漏洩への技術的対策

•

予防的対策

–

アクセス制御、リソース制御などの強化

–

ファイルトレース（DRM＝電子著作権保護管理

システムなど）

•

事後への備え

–

操作記録

–

通信記録

–

暗号化

操作記録、監視ソフトウエア

•

対象となるPCのほぼすべてがわかり、記録

可能であり、操作も可能である

–

事後に記録を解析するため？

–

心理的抑止効果？

•

USBのI/FやCD,DVDのI/Fの制限、制御が

できるものもある

–

漏洩予防

ファイルの追跡

•

デジタル著作権管理システム

•

ファイルコピー、送出などの制限

通信ログ

•

事後の証拠としての記録

•

監査に使う記録

•

膨大な量になる記録

–

リアルタイムの解析は絶望的？

•

単にログだけがあっても、特異点抽出が難し

い

暗号化

•

ファイルシステムの暗号化

•

ファイルの暗号化

•

各種媒体の防御、暗号化

バランス

•

ルールや手順化に頼りすぎるパターン

–

手間や煩雑さの増大

–

業務効率の悪化

•

技術的対策に頼りすぎるパターン

–

情報を処理しきれない

–

システム不全時に業務ができない

バランスを取るポイント

•

現在の業務フローを書き出す

•

セキュリティ面を改良する

–

ここで、手順が増えるのかどうか、増える場合に

それを技術的対策で代替できるのかどうかを考

え、検討する

–

組織の文化風土が重要

•

エラー処理を考える

•

増える手順、エラー処理を技術でどこまで補

完、サポートできるかがポイント

最近の傾向からの予測

•

データベースが狙われている

–

SQLインジェクション

•

問われる情報システム自体の安全性

–

アプリケーションの分野のセキュリティは、まだ対

応できていないところが多い

情報セキュリティセミナー 2005

不正アクセスとは何か

システムを利用する者が、その者に与えられた

権限によって許された行為以外の行為をネット

ワークを介して意図的に行うこと。

「コンピュータ不正アクセス対策基準」より。

（平成8年8月8日付け通商産業省 <現･経済産業省>告示第362号）

http://www.meti.go.jp/press/past/c60806a2.html

一般的な概念

法的な定義

参照： 不正アクセス行為の禁止等に関する法律

http://www.ipa.go.jp/security/ciadr/law199908.html

共通の不正アクセス対策

適切な ＩＤ・パスワードの設定、管理

脆弱性の解消

デフォルト設定からの変更

不正アクセス・最近の傾向

個人情報の略奪

が目的と思われる

ケースが多くなりつつある

(フィッシング、SQLインジェクションによる手口など)

ウェブアプリケーションの脆弱性

を

突いた攻撃が目立ってきた

情報システムの脆弱性対策への取り組み

∼情報セキュリティ早期警戒パートナーシップ∼

製

品

開

発

者

脆弱性関連

情報届出

シ

ス

テ

ム

導

入

支

援

者

対策方法

等公表

【

【

受付機関

受付機関

】

】

発見者

IPA

JPCERT

/CC

【

【

調整機関

調整機関

】

】

脆弱性関連

情報通知

ユーザ

政府

企業

個人

ソ

フ

ト

ウ

エ

ア

製

品

の

脆

弱

性

ウ

ェ

ブ

サ

イ

ト

の

脆

弱

性

脆弱性関連

情報届出

ウェブサイト

運営者

脆弱性関連情報通知

個人情報漏

洩時は事実

関係を公表

①製品開発者及びウェブサイト運営者による脆弱性対策を促進

②脆弱性関連情報の放置・危険な公表を抑制

【期待効果】

IPA, JPCERT/CC

ウェブアプリケーションの脆弱性届出状況

＜ウェブアプリケーションの脆弱性

種類別

種類別

内訳＞

（2004年7月から2005年6月末までの、合計

265

件の届出の内訳）

46%

8%

5%

5%

4%

3%

10%

2%

1%

1%

2%

2%

3%

1%

1%

1%

6%

クロスサイト・

スクリプティング

SQLインジェクション

DNS情報の設定不備

1位： クロスサイト・スクリプティング (46%)

2位： パス名パラメータの未チェック (10%)

3位： SQLインジェクション (8%)

4位： ファイルの誤った公開 (5%)

5位： 価格等の改ざん (5%)

出典：ソフトウエア等の脆弱性関連情報に関する届出状況

[2005年第2四半期（4月∼6月）]

http://www.ipa.go.jp/security/vuln/report/vuln2005q2.html

1位

2位

3位

4位

5位

ウェブアプリケーションの脆弱性届出状況

＜ウェブアプリケーションの脆弱性

脅威

脅威

別

別

内訳＞

32%

14%

14%

13%

8%

4%

2%

2%

1%

6%

2%

2%

出典：ソフトウエア等の脆弱性関連情報に関する届出状況

[2005年第2四半期（4月∼6月）]

http://www.ipa.go.jp/security/vuln/report/vuln2005q2.html

1位： Cookie情報の漏洩 (32%)

2位： サーバ内ファイルの漏洩 (14%)

3位： データの改ざん、消去 (14%)

4位： 本物サイト上への偽情報表示 (13%)

5位： 個人情報の漏洩 (8%)

1位

2位

3位

4位

5位

不正アクセス・手口の解説と対策

不正アクセス・手口の解説と対策（1）

•

クロスサイトスクリプティングとは？

–

利用者からの入力に対して、ウェブサーバ側で動的に

HTML等のページを生成する仕組みを設けている場合に、

セキュリティ上の問題となり得るもの

–

あるサイトに書かれているスクリプトが別のサイトへと

またがり（クロスして）転送され、最終的には利用者の

ブラウザ上で実行されることから、クロスサイト スクリプ

ティングと呼ばれる

不正アクセス・手口の解説と対策（1）

不正アクセス・手口の解説と対策（1）

•

脅威：クロスサイトスクリプティング脆弱性

•

影響

–

利用者のブラウザ上で、スクリプトが実行される

•

セッションIDを含むCookieの盗難

•

表示ページの改ざん

•

フィッシングの餌食に

•

ファイルの破壊

•

その他、悪意のあるスクリプトの実行

企業の信用失墜につながる

不正アクセス・手口の解説と対策（1）

•

脅威：クロスサイトスクリプティング脆弱性

•

対策

(開発時)

–

ユーザが入力可能な文字を厳密に定義

–

ページ生成時のメタキャラクタのエスケープ処理を行う

などのスクリプト無効化処理

(運用時)

–

ウェブアプリケーションファイアウォールの導入

（mod_security、Guardian@JUMPERZ.NET、CodeSeekerなど）

–

ウェブサーバやウェブアプリケーションベンダ情報を入手

し対処（ウェブサーバなどの欠陥修正）

不正アクセス・手口の解説と対策（1）

•

ページ生成時のメタキャラクタのエスケープ処理

–

動的生成されたページ中に意図しないタグが含まれないようにする

(例)

<A HREF=“abc”>

の「abc」部分を生成する時点では、文字「“」をエスケープ処理

（「&quot;」に置き換える）します。この他に、「<」は「&lt;」、「>」は

「&gt;」にエスケープします。

参考： ウェブサイトにおけるクロスサイト スクリプティング脆弱性に関する情報

http://www.ipa.go.jp/security/ciadr/20011023css.html

セキュア・プログラミング講座

不正アクセス・手口の解説と対策

不正アクセス・手口の解説と対策（2）

•

SQLインジェクションとは？

–

利用者から入力を受け付けるウェブアプリケーションが

データベースと連携してサービスを行っている場合に、

セキュリティ上の問題になり得るもの

–

データベースに対する問合せデータ中に、意図的に

SQL文を混ぜ込んでおき、データベース内部でそのSQL

コマンドを不正に実行させ、情報を盗み出したりシステム

に被害を及ぼしたりすること

※SQL (Structured Query Language)

リレーショナルデータベースマネジメントシステム(RDBMS)において、データの操作や

定義を行うための問合せ言語のこと。構造化問い合わせ言語とも言う。

不正アクセス・手口の解説と対策（2）

悪意を持つ人

一般利用者

ウェブサーバ

ウェブアプリ

データベース

ID john

ID john ’ or ‘A’=‘A

SELECT * FROM user

WHERE id= ‘john’ or ‘A’=‘A'

‘john’ or ‘A’=‘A’

•

SQLインジェクションとは？

「全て」を意味する

全てのレコード

user

johnのレコード

$SQL="SELECT * FROM user WHERE id='$ID' ";

SQL文例

SELECT * FROM user

WHERE id= ‘john'

_‘john’

不正アクセス・手口の解説と対策（2）

•

脅威：SQLインジェクション

•

影響

–

データベース内で、管理者が意図しないSQL

コマンドを実行されてしまう

•

データベース内データの不正閲覧、

パスワード情報の盗難

•

データベースの改ざん、データ破壊

•

その他、コマンドの不正実行

不正アクセス・手口の解説と対策（2）

•

脅威：SQLインジェクション

•

対策

(開発時)

–

ユーザが入力可能な値を厳密に定義

–

不正入力値の無害化

–

準備済みSQL文の使用(バインドメカニズム)

(運用時)

–

エラーメッセージを出さない

–

ウェブアプリケーションが持つ権限の最小限化

–

ウェブアプリケーションのパスワードの秘匿

–

実行可能なコマンドの制限

–

アクセスログの取得および解析

–

ウェブアプリケーションファイアウォールの導入

（mod_security、Guardian@JUMPERZ.NET、CodeSeekerなど）

参考： セキュアプログラミング講座

http://www.ipa.go.jp/security/awareness/vendor/programming/index.html

不正アクセス・手口の解説と対策

不正アクセス・手口の解説と対策（2）

•

DNS情報の設定不備を突いた手口とは？

–

DNSサーバ運用を外部の業者等に委託したりした場合、

管理の誤りなどでドメイン登録情報とサーバ設定が一致

していない場合、セキュリティ上の問題となり得るもの

–

期限切れのドメイン名を第三者が正規の手続きで取得し、

アクセスしてきた利用者を偽サイトに誘導したりすること

※DNSキャッシュ汚染の問題とは別です

不正アクセス・手口の解説と対策（3）

•

DNS情報の設定不備を突いた手口とは？

DNSサーバ

DNSサーバ

一般利用者

www.example.jp

へアクセス

$ whois -h whois.jprs.jp example.jp Domain Information: [ドメイン情報] [Domain Name] EXAMPLE.JP [登録者名] John Smith

[Registrant] John Smith [Name Server] ns.example.jp [Name Server] foo.test

①問い合わせ

②foo.testを回答

Jpドメイン管理

testドメイン管理

③問い合わせ

④1.1.1.1を回答

example.jpドメイ

ンを持つ組織が

管理委託してい

foo.test

1.1.1.1

⑤問い

合わせ

⑥1.1.1.10を回答

1.1.1.10

⑦1.1.1.10

へアクセス

foo.testは1.1.1.1

foo.testは2.2.2.2

悪意を持つ人が

foo.testドメインを

取得してIPアドレス

変更

⑤’問い合わせ

⑥’2.2.2.10を回答

⑦’2.2.2.10へアクセス

④’2.2.2.2を回答

悪意を持つ人

悪意を持つ人

www.example.jp

DNSサーバ

foo.test

2.2.2.10

2.2.2.2

偽

悪意を持つ人

不正アクセス・手口の解説と対策（3）

•

脅威：DNS情報の設定不備

•

影響

–

ドメインの乗っ取り（ドメインハイジャック）

–

偽サイトへの誘導

–

メールの盗み見

–

利用者個人情報の詐取（フィッシング）

–

利用者PCへの悪質なソフトウェアインストール

不正アクセス・手口の解説と対策（3）

•

脅威：DNS情報の設定不備

•

対策

–

ドメイン名が安全に運用されているか確認

–

DNS サーバの登録情報を確認

–

DNSサーバ管理を他社に委託している場合、

業者が正しくDNSサーバを運用しているか確認

参考： ドメイン名の登録と DNS サーバの設定に関する注意喚起

http://www.ipa.go.jp/security/vuln/20050627_dns.html

JPRSがDNSサーバの不適切な管理による危険性解消のための取り組みを開始

http://jprs.co.jp/press/050804.html

その他のウェブサイトの問題

•

パス・トラバーサルの問題

–

公開するべきではないファイルが公開されてしまっている

•

ショッピングサイト上の表記改ざんの問題

–

商品の値段や、商品名が書き換えられてしまう

•

オーバーフローの問題

–

長すぎる入力をされると、サーバやCGIに異常が発生する

•

セッション・ハイジャックの問題

–

第三者にセッションを乗っとられ、ログイン認証を回避される

•

ネットワーク盗聴の問題

–

暗号化されていない場合に、重要な情報が盗まれる

•

パスワード推測の問題

–

パスワードが推測可能な場合、認証を突破される

•

フィッシング詐欺につながる問題

–

オレオレ証明書や、ウェブサイトの脆弱性がフィッシングに利用される

参考： 消費者向け電子商取引サイトの運用における注意点

http://www.ipa.go.jp/security/vuln/20050304_ec_security.html

まとめ

•

ウェブサイトの脆弱性の悪用による被害を

回避するためには、以下の対策が必要です。

–

ウェブアプリケーションが稼動しているウェブ

サーバのセキュリティ対策

–

ウェブサーバが設置されているネットワーク

（ルータやファイアウォール）のセキュリティ対策

– ウェブアプリケーションのセキュリティ対策

参考： ウェブサイトのセキュリティ対策の再確認を ∼脆弱性対策のチェックポイント∼

http://www.ipa.go.jp/security/vuln/20050623_websecurity.html

ご参考

•

フリーのウェブアプリケーションファイアウォール情報

–

mod_security

http://www.modsecurity.org/

–

Guardian@JUMPERZ.NET

http://www.jumperz.net/index.php

–

CodeSeeker

http://sourceforge.net/project/showfiles.php?group_id=

64424&package_id=76046

情報セキュリティセミナー 2005

情報セキュリティ技術マップ

情報セキュリティ

ネットワークセキュリティ

建物や設備の物理

的なセキュリティ

情報セキュリティ技術マップ

(1)不正アクセス

対策

(3)資源･利用者

管理

(2)情報漏えい対策

(4)ログ管理

対策の基本

•

多重防御

の原則

(1)不正アクセス対策

•

ルータやファイアウォール

•

プロキシサーバ

•

IDS/IPS

•

リモートアクセス対策(暗号化)

•

サーバの要塞化(セキュアOS)

•

定期的な監査

•

ログ管理

企業内ネットワーク

仮想ネットワーク

リモートアクセス環境

DMZに置かれた

サーバ群

インターネット

IDS/IPS

通信の暗号化

サーバの

要塞化

ファイア

ウォール

無線LAN

ルータやファイアウォール

•

NATおよびIPマスカレード

•

パケットフィルタリング

–

ファイアウォールは、ルータより

も多様なアクセス制御が可能

•

アクセス履歴（ログ）の保存

Internet

内部ネットワーク

外からの通信

内部からの通信

プロキシサーバ

•

プロキシサーバ

–

通信の間に入ってクライアントを守る

–

キャッシュによる高速化

–

通信制限

•

ワクチンサーバ（ウイルスウォール）

–

メールサーバの多重化

–

ウイルスメールを遮断・無効化

IDS/IPS

•

IDS(Intrusion Detection System）

侵入検知システム

–

シグネチャの更新

–

ログの保存・分析

•

IPS（Intrusion Prevention System）

リモートアクセス対策(暗号化)

•

無線LANの利用

–

セキュリティ設定の実装

–

利用者制限

•

VPNの利用

–

IPSec/SSLによる暗号通信

•

SSH（Secure Shell)の利用

–

暗号化通信

サーバの要塞化

•

パケットフィルタリング

•

アクセス元のIP制限（アクセス

制限）

•

不要なサービスの停止（セキュ

アなサービス構成）

•

バッファオーバーフロー対策

•

OSのセキュリティ機能の利用

•

利用者制限

•

アクセス履歴（ログ）の保存

•

セキュアOSの利用

•

定期的なバックアップ

パケットフィルタリング

TCP/IPのアクセス制御

セキュアなサービス構成

不要なサービスの停止

運用管理上の対策

定期的な監査

•

完全性保護対策

–

壊されていないか

•

セキュリティ監査の実施

–

備えは十分か

•

脆弱性監査の実施

–

セキュリティホールはないか

(2)情報漏洩対策

•

メールの運用ルール

•

情報へのアクセス制限

•

スパイウェア・ウイルス対策

•

Webサーバの補強

•

情報の暗号化

メールの運用ルール

•

暗号化ツールの利用

•

メール運用ルールの徹底

–

添付の制限

–

宛先の制限

–

履歴の管理

•

ウイルス対策

•

メーラの脆弱性解消

情報へのアクセス制限

•

情報ベースのアクセス制限

–

最小権限の適用 (Admin/Root権限）

–

情報資産のコピー･転用の抑止

–

アクセス履歴（ログ）の保存

–

定期的なログ分析

スパイウェア・ウイルス対策

•

スパイウェアが原因の情報漏洩

•

管理ツールの誤検知を防止

Webサーバの補強

•

脆弱性の排除

–

OSの最新パッチの適用

–

アプリケーションのバージョンアップ

•

安全性保護対策（改ざん監視）

–

改ざんされていないことを監視

–

改ざん防止ツールの利用

情報の暗号化

•

電子化された情報資産の暗号化

•

利用者制限

暗号化による問題点もある

キーの紛失

エラー対策

(3)資源･利用者管理

•

クライアントの資源管理

•

利用者認証

•

利用者ごとのアクセス制限

•

外部サイトへのアクセス制限

•

外部記憶媒体の接続制限

•

利用できるアプリケーションの制限

•

入退出管理

クライアントの資源管理

•

検疫ネットワークの利用

•

資源管理ツールの利用

–

バージョン管理およびライセンス管理

•

パッチの一元管理ツールの利用

•

脆弱性監査ツールの利用

•

クライアントに情報資産を置かない方法

–

シンクライアントの利用

■検疫ネットワーク

検疫ネットワークと呼ばれるシステム環境には・・・

•

単純に企業内ネットワークに接続可能なコン

ピュータ機器を制御（制限）するもの

•

接続しようとするコンピュータ機器のセキュリティ

状態（脆弱性など）を確認してから、状態により

接続するもの

•

さらに、セキュリティ対策（パッチの適用など）を

自ら行ってから、接続するもの

など、いろいろな形態があるようですが、現状では、

非常に高価なものと言えます。

■パッチ配布/適用を自動化するツール

•

システム管理者は、組織内の個々コンピュータに、パッチを

適用し、かつウイルス対策ソフトを更新するという際限のな

い作業を続けています。

•

これらの問題を解決するために『パッチ配布/適用を自動化

するツール』があります。

•

また、組織内の個々コンピュータに、『パッチの適用が行わ

れているか検査するツール』もあります。

•

このようなツールを利用することで、システム管理者の負担

を軽減でき、かつセキュリティが高いレベルで維持できる可

能性があります。

『パッチ自動』『パッチ適用』

■脆弱性検査ツール・サービス

•

組織内の個々コンピュータ（クライアントおよびサーバー）の

脆弱性（セキュリティホール)を診断するツールやサービスが

あります。

•

Webアプリケーションの脆弱性を診断するツールやサービ

スがあります。

•

このようなツールを利用することで、システム管理者の負担

を軽減できる、かつセキュリティが高いレベルで維持できる

可能性があります。

『脆弱性検査』『セキュリティホール自動検出』

■改ざんを監視するツール・サービス

•

Webサーバーへの攻撃やWebコンテンツの改ざんを監視す

るツールやサービスがあります。

•

Webコンテンツの復旧まで実施してくれるツールもあります。

•

Webサーバーへの攻撃から、Webアプリケーションを守るた

めのツールもあります。

•

このようなツールを利用することで、システム管理者の負担

を軽減できる、かつセキュリティが高いレベルで維持できる

可能性があります。

『Web改ざん 監視』 『Web改ざん 対策』

■ツールの利用

パッチ管理

Microsoft Baseline Security Analyzer (HfNetChk)

http://www.microsoft.com/japan/technet/security/tools/tools/mbsahome.asp

Microsoft Software Update Services(SUS)

http://www.microsoft.com/japan/windows2000/windowsupdate/sus/default.asp

Solaris パッチの管理用ツール

http://docs.sun.com/db/doc/817-2462/6mi4fl28n?l=ja&a=view

脆弱性監査ツール

Nessus

http://www.nessus.org/

利用者認証

•

ID・パスワードの補強

–

ワンタイムパスワード

•

バイオ認証の利用

–

指紋・虹彩･静脈・筆跡・キーストローク

盲点もあるので注意

•

メモリデバイスによる認証

–

USBトークン

•

PKI(公開鍵基盤)

–

ＩＣカードに電子証明書を格納

利用者ごとのアクセス制限

•

人ベースのアクセス制限

–

最小権限（権限の最小化）

–

利用できる情報資産を利用者ごとに制限

–

アクセス履歴（ログ）の保存

–

定期的なログ分析

外部サイトへのアクセス制限

•

利用できる外部サイト(URL)を制限

–

コンテンツフィルタリング

•

外部サイトへのアクセスができる環境を別に

作る

–

社内に物理的なセキュリティゾーンを作る

外部記憶媒体の接続制限

•

クライアントでのコピー抑止

•

社外持ち出し抑止

利用できるアプリケーションの制限

•

業務アプリケーションのみ利用可能

–

ライセンス管理

•

PtoP（ファイル交換等）の利用制限

•

フリーWebメールの利用制限

予想していない（通常でない）ネットワークの

出入口（通信）を塞ぐと言うこと

入退出管理

•

情報資産の運用区画の制限

•

運用区画への入退室制限と履歴収集

•

その他に･･･

コンピュータ機器の盗難防止

情報資源を収納するロッカー等の旋錠

机上の整理・整頓の徹底

離籍時のコンピュータロックの義務化

等々

(4)ログ管理

•

定期的なログ分析

•

ログ解析ツールの利用

ログ管理の留意点

•

必要な情報を収集するようにログを設定する

•

ログサーバで集中管理

•

ログを安全に保管する

•

ツールを利用して分析する

•

詳細な監査ログ

•

時計の同期（照合のため）

•

普段からチェックし正常値を把握しておく

ログ解析の考え方

•

ログに頼らなければならないのは、いつも

「事後」である

•

ログ解析は複数参照が基本

–

時刻あわせが必須

•

証拠としての力も考慮する

単純なDMZありの企業内ネットワーク

インターネット

ファイアウォール

DMZ

通信ログ収集(監視)の配備

インターネット

ここの通信の

ログ

ここの通信の

ログ

ここの通信の

ログ

ログの種類と性質

通信について限定的に

ネットワーク機器

怪しいアクセスを詳しく

IDS

誰にどう使われたか

サーバのソフトウエア

誰が使ったか、どんな使い方

をしたか

各コンピュータのOS

取ろうと思えば何でも

ファイアウォール

取れる内容

構成要素

ログ配備のポイント

•

重要な情報資産がある場所は詳しく

•

重要な情報資産へのアクセスは詳しく

•

詳しく取りたい場所は二重化も検討

•

イベントを追いかけたい場所はIDSなどの機

械的な手段を検討

まとめ

•

計画的に対策を確実に実施

•

ポリシーに基づいたセキュリティ機能の実装

•

継続的な改善によるセキュリティの維持

•

最小限のアクセスのみ許可する（最小権限）

•

多段階での防御をする（多重防御）

•

防御、検知、リアクション

情報セキュリティセミナー 2005

インシデント対応とは

•

インシデント

情報セキュリティ分野においては(Security incident)、

情報セキュリティリスクが発現，現実化した事象

•

サービス妨害（DoS)攻撃

•

システムへの侵入

•

サーバの不正中継

等

•

インシデント対応

インシデントの発生に際して、それを検知し、関係組織と連

絡をとり、被害の拡大を防ぐと共に、再発を防止するための

原因究明と改善を行う、一連の組織的活動

インシデント対応の流れ

平時における準備

インシデント発生時の対応

•

セキュリティポリシー等の中で手順を明記

インシデント発生時の体制、責任者、連絡先等

•

平時に行われていなければならないこと

–

定期的バックアップ

–

システムの通常状態の把握

–

外部情報収集と修正プログラムの適用

–

予行演習

–

代替サービスの準備（レンタルサーバなど）

•

技術的手段の準備

–

情報セキュリティ侵害の検知を支援するツール

–

バックアップ資源

平時におけるインシデント対応の準備

情報セキュリティ侵害を検出する(1)

•

検出・認識の方法

–

既知の侵害（パターン）を検出する：シグネチャ認識

–

異常な状態を認識する：アノマリ検出

–

他者からの連絡

•

ツールの利用

•

次に何をすべきか？

情報セキュリティ侵害を検出する(2)

ｰ 異常な状態を認識する

システム異常の例

(1)

レスポンスの異常な低下

(2)

システムエラーの発生

(3)

システムの異常停止

(4)

ファイルの改ざん

(5)

存在すべきファイルの抹消や不明なファイルの存在

(6)

ファイル利用量の急激な増減

(7)

本来稼動しているはずのサービスの停止

(8)

不明なプロセスの実行

(9)

本来利用できないはずのシステムユーザの利用

情報セキュリティ侵害を検出する(3)

ｰ ツールの利用

異常検出を極力自動化

例 (1)IDS（Intrusion Detection System）：侵入検知システム

(2)Tripwireによる各種設定ファイルの改ざんチェック

情報セキュリティ侵害を検出する(4)

ｰ 次に何をすべきか？

•

インシデントの状態の保存

–

各種設定ファイル

–

ネットワークの接続状況

–

ログインユーザ

–

すべてのプロセス 等

•

該当インシデントの公開情報の調査

IPA/ISEC、JPCERT/CC等の利用

•

本当にインシデントかどうかの確認

•

時系列の記録の開始

インシデントに対応する(1)

•

インシデント対応手順の確認

•

報告する

–

組織体内部のコミュニケーション

あらかじめ定められた手順

–

関連組織とのコミュニケーション

参考資料：JPCERT/CC 技術メモ 関係サイトとの情報交換

http://www.jpcert.or.jp/ed/2002/ed020001.txt

インシデントに対応する(2)

•

暫定的対応と本格的対応

–

暫定的対応（

被害の拡大防止

）：

•

ネットワークの遮断／システムの停止

–

本格的対応（

再発防止

）：

•

原因の特定

•

クリーンなシステムの再構築

(

攻撃者にシステム特権を奪われたとき)

•

修正プログラムの適用

•

データの復旧

インシデント後

•

報告書

–

時系列記録の整理・報告

–

今回対応のよかった点／悪かった点

•

改善する

–

改善点をセキュリティポリシーや手順書に反映・

集約

–

技術的な改善

–

組織間コミュニケーションの改善

原因の追究

•

ログ解析により原因を追究する

•

セキュリティ検査によって原因を追究する

− 脆弱性検査

ログ解析の考え方

•

ログに頼らなければならないのは、いつも

「事後」である

•

ログ解析は複数参照が基本

–

時刻あわせが必須

•

証拠としての力も考慮する

ログの種類と性質

通信について限定的に

ネットワーク機器

怪しいアクセスを詳しく

IDS

誰にどう使われたか

サーバのソフトウエア

誰が使ったか、どんな使い方

をしたか

各コンピュータのOS

取ろうと思えば何でも

ファイアウォール

取れる内容

構成要素

事件、事故の検知とログ

•

インシデントの内容がわかっている場合

–

IDSが検知したものは、時刻特定までできる

–

他者による通知の場合は、異常を推測、特定し

なければならない

•

インシデントの内容がわからない場合

–

特異点をあぶりださなければならない

特異点のあぶりだし

•

IDSが特定してくれると楽

–

誤報は考慮する必要がある

•

トラフィックの異常をグラフ化して検知

–

IDSとは異なる思想

•

重要保護地点でのファイル差分

–

機械的なスキャンが可能

専門家（捜査機関含む）に調査を依頼す

る場合

•

証拠保全の考え方

–

「現場」を荒らさない！

–

「保全」しなければならない情報は何か

–

優先順位は？

証拠保全-(1)

•

刑事事件を視野に入れる場合は「証拠保全」

–

「証拠」となるデータを、可能な限りそのままの状態で捜

査機関にわたす

–

証拠保全＝現場保全であり、不用意なログインを含め

てできるだけ操作をしないことが重要

–

ただし、被害拡大を防ぐための最低限の処置は行う

•

ルーティング変更

•

DNS変更、ファイアウォールのフィルタ等による通信遮断

–

物理的にネットワークを遮断するのは得策ではない

•

「物理的な遮断」を行うことでシステム内部の情報が変化

するおそれがあるため、「通信」の隔離の方が望ましい

証拠保全-(2)

標的だけを隔離する例

•

標的サーバへの通信、

標的サーバからの通

信だけを遮断し、標的

の状態を保全する

•

ただし、標的ではない

サーバも注意が必要

–

踏み台（標的サーバ）か

らの２次攻撃の可能性

有り

ルータ、

ファイアウォール

標的

サーバ

標的ではない

サーバ

証拠保全-(3)

刑事と民事

•

刑事事件は捜査機関に任せる

–

不正アクセス禁止法などは刑事なので、捜査機関が起

訴可能と判断すれば逮捕等に発展することが可能

–

捜査主体は当然捜査機関であり、被害者といえども口出

しできない

–

刑事事件の証拠は「原本（オリジナル）」である必要があ

るため、データが必要ならば手元に自分でコピーして置

いておく必要がある

•

民事は自分で証拠を集めて立証する

–

損害賠償を求める場合などは、損害程度、損害をうけた

証拠、相手を特定できる証拠などを集める必要がある

–

したがって、自分で証拠となりそうなものを解析する必要

がある（もちろん、業者への依頼という手もある）

まとめ：インシデント対応の作業手順

１

．

手順の確認

２．作業記録の作成

３．責任者、担当者への連絡

４．事実の確認

５．スナップショットの保存

６．ネットワーク接続やシステムの遮断もしくは停止

７．影響範囲の特定

８．渉外、関係サイトへの連絡

９．要因の特定

１０．システムの復旧

１１．再発防止策の実施

１２．監視体制の強化

１３．作業結果の報告

１４．作業の評価、ポリシー・運用体制・運用手順の見直し

出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

個人情報漏洩時の対応手順

組織的安全管理措置

（5）事故又は違反への対処をする上で望まれる事項

•

事実関係、再発防止策等の公表、その他、以下の

項目等の実施

•

ア）事実調査

•

イ）影響範囲の特定

•

ウ）影響を受ける可能性のある本人及び主務大臣

等への報告

•

エ）原因の究明

•

オ）再発防止策の検討・実施

出典 経済産業省 個人情報の保護に関する法律についての 経済産業分野を対象とするガイドライン

http://www.meti.go.jp/feedback/downloadfiles/i41013fj.pdf

補足：不審なアクセスを検出した場合の対応

•

可能性

(a)攻撃対象の探索を意図したアクセス、または、アタックその

もの

(b)設定ミス、操作ミスによるアクセス

(c)システムの予想外の挙動によるアクセス

•

対応

(a)すべてのアタックについて防御に成功したと判断できない場

合には、念のためシステムの稼働状況を調査し、不審な点

がないか確認

出典

JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

補足：外部からインシデントについての連絡を

受けた場合

(1)サイト内での調整

広報、渉外、法務などからの対応が望まれる場合は、該当部署と調整

(2)事実関係の確認

・連絡元の主張する内容を

落ち付いて

確認

（対象サイト、アクセスの内容、日時等)

・自サイトの場合システムログ等による事実関係の確認

（事実の場合、影響度によってはネットワーク接続やシステムの遮断、

停止を優先するほうがよい場合も）

(3)連絡元への対応

・善意の連絡：事情説明、謝罪など礼を逸しない対応

・悪意の連絡：回答を避ける等の特別の対応も検討要

出典: JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

補足：侵入への対応

(1)

ネットワークの遮断、システムの停止

(2)

スナップショットの保存

(3)

被侵入システムにおける調査

(4)

他のシステムに対する影響の調査

(5)

侵入経路の特定

出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

補足：侵入への対応

_-(1)

(1)

ネットワークの遮断、システムの停止

システム侵入

→・ログ改ざんのおそれ

・他システムへの攻撃元として悪用

・パケット盗聴プログラムの設置

・情報の持ち出し など

ネットワークの遮断やシステムの停止について

優先的に検討要

出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

補足：侵入への対応-(2)

(2)スナップショットの保存

・プロセスの稼働状況

・ネットワークの利用状況

・ファイルシステムの状況

（ファイルの最終参照時刻、 最終更新時刻、所有者、

アクセス権など)

出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

補足：侵入への対応-(3)

(3)被侵入システムにおける調査

正常な状態と比較し、 相違の有無を確認

改ざんの例：

・アカウント情報の追加、変更

・ユーザ認証機構の改ざん

・プログラムのインストール、起動

・セキュリティ上の弱点を含むソフトウェアへのダウングレード

・侵入者に関する情報を出力から除外するコマンドへの置換

改ざんされていないコマンドによる調査が重要

出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

補足：侵入への対応-(4)

(4)他のシステムに対する影響の調査

・攻撃用ツールの出力を保存したファイル

・侵入者による他システムへのTCP接続の痕跡

・ルータやファイアウォールのログ

出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

補足：侵入への対応

_-(5)

(5)侵入経路の特定

弱点のチェック

・放置していたセキュリティ上の問題、弱点はなかったか

・パスワードファイルや設定ファイル類が盗まれた形跡はないか

・見破られやすいパスワードがなかったか

・HTTP や FTP など、公開しているサービスに設定の誤りが

なかったか などをチェック

出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

参考：侵入検知に関する資料

[1] Intruder Detection Checklist

http://www.cert.org/tech_tips/intruder_detection_checklist.html

[2] Steps for Recovering from a UNIX or NT System Compromise

http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

http://www.auscert.org.au/Information/Auscert_info/Papers/win-UNIX-system_compromise.html

[3] CIAC-2305 Unix Incident Guide: How to Detect an Intrusion

ftp://ciac.llnl.gov/pub/ciac/ciacdocs/ciac2305.pdf

ftp://ciac.llnl.gov/pub/ciac/ciacdocs/ciac2305.txt

[4] Windows NT Intruder Detection Checklist

http://www.auscert.org.au/Information/Auscert_info/Papers/win_intruder_

detection_checklist.html

情報セキュリティセミナー 2005

セキュリティ情報収集方法の紹介

(1)メールによる情報収集 [1/2]

•

企業内で利用しているハードウェアや市販の

ソフトウェアについては、ユーザ登録を行うこ

とで、脆弱性やパッチ（アップデート）の情報

がメール配信される場合があります。このよ

うなユーザ登録は行っておくべきでしょう。

•

また、これから紹介するようなメーリングリス

トに登録しておくことで、最新のセキュリティ

情報をいち早く得ることが出来ます。

(1)メールによる情報収集 [2/2]

•

Microsoftのメーリングリスト

マイクロソフト プロダクト セキュリティ 警告サービス

http://www.microsoft.com/japan/technet/security/bulletin/notify.asp

•

IPAのメーリングリスト

情報処理推進機構 新着情報メール配信

http://www.ipa.go.jp/about/mail/index.html

•

JPCERT/CCのメーリングリスト

JPCERT/CC メーリングリスト

http://www.jpcert.or.jp/announce.html

(2)Webからの脆弱性やパッチの情報 [1/4]

•

脆弱性情報を提供するサイトを定期的に参

照することで、それらの最新情報を収集する

ことが出来ます。

•

また、ハードウェアやソフトウェアのメーカー

サイトを定期的に参照することで、それらの

最新情報を収集することが出来ます。

•

経済産業省告示「ソフトウエア等脆弱性関連

情報取扱基準(*)」を受けて、日本国内の製

品開発者の脆弱性対応状況を公開するサイ

トとして、JVNがあります。

(2)Webからの脆弱性やパッチの情報 [2/4]

•

IPA/ISEC

http://www.ipa.go.jp/security/

•

JPCERT/CC

http://www.jpcert.or.jp

•

@police (警察庁/NPA)

http://www.cyberpolice.go.jp/

•

CERT/CC

http://www.cert.org/

http://www.cert.org/nav/index_main.html

•

Security Focus

http://www.securityfocus.com/

(2)Webからの脆弱性やパッチの情報 [3/4]

•

Microsoft

http://www.microsoft.com/japan/technet/security/（日本語版）

•

SUN

http://sunsolve.sun.com/pub-cgi/search.pl?mode=results&origin=advanced&range=20&so=date

&coll=fsalert&zone_32=category:security

•

Cisco

http://www.cisco.com/en/US/products/products_security_advisories

_listing.html

(2)Webからの脆弱性やパッチの情報 [4/4]

•

CheckPoint

http://www.checkpoint.co.jp/security/index.html（日本語版）

•

Oracle

http://otn.oracle.co.jp/security/（日本語版）

•

IBM

http://www-6.ibm.com/jp/software/lotus/techsupport/security.html

•

Apache

http://www.apache.jp/（日本語版）

•

HP

http://archives.neohapsis.com/archives/hp/

(2)Webからの脆弱性やパッチの情報収集

•

JVN

JVN は、"JP Vendor Status Notes" の略です。経済産業

省告示「ソフトウエア等脆弱性関連情報取扱基準(*)」を受け

て、日本国内の製品開発者の脆弱性対応状況を公開する

サイトとして、有限責任中間法人 JPCERT コーディネーショ

ンセンター (JPCERT/CC) と独立行政法人 情報処理推進

機構 (IPA) が共同で運営しています。

JVN では、JPCERT/CC が取り扱った脆弱性情報を公開し

ています。これらの脆弱性情報には、この枠組みに参加して

いる日本国内の製品開発者の対応状況も含まれております。

対応状況には、脆弱性に該当する製品の有無、回避策

(ワークアラウンド) や対策情報(パッチなど)も含まれます。

http://jvn.jp/

(3)Webからのコンピュータウイルス関連の情報収集 [1/2]

•

通常は、ウイルス対策ソフトを導入してあり、

かつ常に最新版のウイルス定義ファイルに

更新されていれば、かなりの確立でウイルス

を防ぐことが出来ますが、万が一感染してし

まった場合あるいは詳細の情報が必要な場

合には、ワクチンベンダーのサイトを参照す

ることで、それらの最新情報を収集すること

が出来ます。

(3)Webからのコンピュータウイルス関連の情報収集 [2/2]

•

トレンドマイクロ

http://www.trendmicro.co.jp/vinfo/

http://www.trendmicro.com/map/（Virus Map）

•

シマンテック

http://securityresponse.symantec.com/

http://www.symantec.com/region/jp/sarcj/index.html

•

McAfee

http://vil.nai.com/VIL/newly-discovered-viruses.asp

http://www.nai.com/japan/security/latest.asp

•

Sophos

http://www.sophos.co.jp/downloads/ide/

•

F-Secure

http://www.f-secure.co.jp/v-descs/index.html

(4)Webからの新種ワーム発生状況や

インターネット事情の情報収集 [1/2]

•

2003年のW32/MSBlasterおよび

W32/Welchiaの記憶は残っていると思いま

すが、最近はインターネットからの脆弱性を

狙った攻撃が増加しています。

このような、インターネットの状況を定期的に

情報公開しているサイトがあります。

これらのサイトを定期的に参照することで、

最新状況の情報収集をすることが出来ます。

(4)Webからの新種ワーム発生状況や

インターネット事情の情報収集 [2/2]

•

InternetStormCenter

http://isc.sans.org/

•

dshield.org

http://www.dshield.org/

•

X-Force Internet Threat Intelligence

https://gtoc.iss.net/

•

IPA/ISEC

http://www.ipa.go.jp/security/

•

JPCERT/CC

http://www.jpcert.or.jp/isdas/

•

@police (警察庁/NPA)

http://www.cyberpolice.go.jp/detect/observation.html

(5)Webからのインシデント事情の情報収集 [1/3]

•

セキュリティ情報となるか微妙ではあります

が、最近発生しているインシデント事故等の

ニュース報道は、それらを知ることで自分達

のセキュリティ対策が有効であるかの検証に

もなります。したがって、いろいろなWeb

ニュースを定期的に参照し、必要ならそれら

の情報を企業内で共有することで企業内要

員への啓蒙活動になると思われます。

(5)Webからのインシデント事情の情報収集 [2/3]

•

ITmedia

http://www.itmedia.co.jp/enterprise/security/index.html

http://www.itmedia.co.jp/news/

•

CNET Japan Tech News

http://japan.cnet.com/News/news.html

•

Mainichi

http://www.mainichi.co.jp/digital/

•

Impress

http://www.watch.impress.co.jp/internet/

•

Japan.Internet.Com

http://japan.internet.com/index.html

(5)Webからのインシデント事情の情報収集 [3/3]

•

Net Security

https://www.netsecurity.ne.jp/

•

日経IT Pro

http://itpro.nikkeibp.co.jp/

•

IDG Japan

http://www.idg.co.jp/headline/

•

MYCOM PCWEB

http://pcweb.mycom.co.jp/

•

Business Computer News

http://www.computernews.com/

(6)その他 [セキュリティ情報ポータルサービス]

•

セキュリティ情報を利用者の情報ポータルと

して提供するセキュリティ情報ポータルサー

ビスと呼ばれる有償サービスがあります。各

種の脆弱性情報やセキュリティに関する情報

を提供するものです。このようなサービスを

受けることで、情報収集を行うこともできます。