技術コースの内容 1. 情報漏洩の傾向と原因分析 2. 不正アクセス 手口の解説と対策 3. 情報セキュリティ技術マップ 4. インシデント対応 2

132 

Loading....

Loading....

Loading....

Loading....

Loading....

全文

(1)

情報セキュリティセミナー 2005

(2)

1.

情報漏洩の傾向と原因分析

2.

不正アクセス・手口の解説と対策

3.

情報セキュリティ技術マップ

4.

インシデント対応

(3)

情報セキュリティセミナー 2005

(4)

情報漏洩の原因傾向

目立つノートPC置き忘れ

「モバイルPCの管理ルール、個人情報保護

法施行でも進展なし」

http://nikkeibp.jp/wcs/leaf/CID/onair/jp/ex03/3

84228

最近USBメモリも増えている

http://nikkeibp.jp/sj2005/special/09/

しかし、意外に多いのが・・・

(5)

漏洩原因について

JNSA(日本ネットワー

クセキュリティ協会)の

調査による分析

http://www.jnsa.org/ac

tive/2004/active2004_

1a.html

(6)

情報漏洩の原因は?

2.4%

46.7%

24.3%

4.4%

22.1%

内部犯罪、情報持ち出し、盗難

犯罪

非技術的

内容詳細

原因

要素

その他、不明

人為ミス

対策不足

人為ミス

その他、不明

その他

置き忘れ、目的外利用

非技術的

バグ、セキュリティホール、ウイルス、

不正アクセス

技術的

設定ミス、誤操作、管理ミス

技術的

出典: http://www.jnsa.org/active/2004/active2004_1a.html

(7)

漏洩の経路

紙が多い!

しかし、紙よりノートPC

の方が保持する情報

の量が多い=ビジネス

インパクトが大きい

http://www.jnsa.org/ac

tive/2004/active2004_

1a.html

(8)

原因傾向からわかること

紙媒体の管理の問題

「盗難」されてしまうものとは何か?

「紛失」「置き忘れ」されてしまうものとは何

(9)

原因傾向から考える対策

「盗難」対策

防犯対策(オフィスの保護)

機器、書類の持ち出し管理

盗まれた後中身を読まれないための対策

「紛失」「置き忘れ」対策

機器、書類の持ち出し管理

誰かの手にわたったあと、中身を読まれないた

めの対策

(10)

具体的な対策の中身

ルール制定、手順化による対策

「機器を持ち出すときには上長の承認を得て、管

理者が持ち出し簿に記録したのち、持ち出す」

ワイアで机にくくりつけるなどの防犯対策

コンピュータの中身を読みにくくする

暗号、認証強化(USBキーなど)

(11)

情報漏洩への技術的対策

予防的対策

アクセス制御、リソース制御などの強化

ファイルトレース(DRM=電子著作権保護管理

システムなど)

事後への備え

操作記録

通信記録

暗号化

(12)

操作記録、監視ソフトウエア

対象となるPCのほぼすべてがわかり、記録

可能であり、操作も可能である

事後に記録を解析するため?

心理的抑止効果?

USBのI/FやCD,DVDのI/Fの制限、制御が

できるものもある

漏洩予防

(13)

ファイルの追跡

デジタル著作権管理システム

ファイルコピー、送出などの制限

(14)

通信ログ

事後の証拠としての記録

監査に使う記録

膨大な量になる記録

リアルタイムの解析は絶望的?

単にログだけがあっても、特異点抽出が難し

(15)

暗号化

ファイルシステムの暗号化

ファイルの暗号化

各種媒体の防御、暗号化

(16)

バランス

ルールや手順化に頼りすぎるパターン

手間や煩雑さの増大

業務効率の悪化

技術的対策に頼りすぎるパターン

情報を処理しきれない

システム不全時に業務ができない

(17)

バランスを取るポイント

現在の業務フローを書き出す

セキュリティ面を改良する

ここで、手順が増えるのかどうか、増える場合に

それを技術的対策で代替できるのかどうかを考

え、検討する

組織の文化風土が重要

エラー処理を考える

増える手順、エラー処理を技術でどこまで補

完、サポートできるかがポイント

(18)

最近の傾向からの予測

データベースが狙われている

SQLインジェクション

問われる情報システム自体の安全性

アプリケーションの分野のセキュリティは、まだ対

応できていないところが多い

(19)

情報セキュリティセミナー 2005

(20)

不正アクセスとは何か

システムを利用する者が、その者に与えられた

権限によって許された行為以外の行為をネット

ワークを介して意図的に行うこと。

「コンピュータ不正アクセス対策基準」より。

(平成8年8月8日付け通商産業省 <現・経済産業省>告示第362号)

http://www.meti.go.jp/press/past/c60806a2.html

一般的な概念

法的な定義

参照: 不正アクセス行為の禁止等に関する法律

http://www.ipa.go.jp/security/ciadr/law199908.html

(21)

共通の不正アクセス対策

適切な ID・パスワードの設定、管理

脆弱性の解消

デフォルト設定からの変更

(22)

不正アクセス・最近の傾向

個人情報の略奪

が目的と思われる

ケースが多くなりつつある

(フィッシング、SQLインジェクションによる手口など)

ウェブアプリケーションの脆弱性

突いた攻撃が目立ってきた

(23)

情報システムの脆弱性対策への取り組み

∼情報セキュリティ早期警戒パートナーシップ∼

脆弱性関連

情報届出

対応状況の 集約,公表 日の調整等 報告された 脆弱性関連 情報の 内容の確認

対策方法

等公表

受付機関

受付機関

セキュリティ 対策推進 協議会 等

発見者

IPA

公表日の決定, 海外の調整機 関との連携等

JPCERT

/CC

調整機関

調整機関

脆弱性関連

情報通知

ユーザ

政府

企業

個人

脆弱性関連

情報届出

ウェブサイト

運営者

脆弱性関連情報通知

検証,対策実施

個人情報漏

洩時は事実

関係を公表

①製品開発者及びウェブサイト運営者による脆弱性対策を促進

②脆弱性関連情報の放置・危険な公表を抑制

【期待効果】

IPA, JPCERT/CC

対策情報ポータル (JVN)

(24)

ウェブアプリケーションの脆弱性届出状況

<ウェブアプリケーションの脆弱性

種類別

種類別

内訳>

(2004年7月から2005年6月末までの、合計

265

件の届出の内訳)

46%

8%

5%

5%

4%

3%

10%

2%

1%

1%

2%

2%

3%

1%

1%

1%

6%

クロスサイト・

スクリプティング

SQLインジェクション

DNS情報の設定不備

1位: クロスサイト・スクリプティング (46%)

2位: パス名パラメータの未チェック (10%)

3位: SQLインジェクション (8%)

4位: ファイルの誤った公開 (5%)

5位: 価格等の改ざん (5%)

出典:ソフトウエア等の脆弱性関連情報に関する届出状況

[2005年第2四半期(4月∼6月)]

http://www.ipa.go.jp/security/vuln/report/vuln2005q2.html

1位

2位

3位

4位

5位

(25)

ウェブアプリケーションの脆弱性届出状況

<ウェブアプリケーションの脆弱性

脅威

脅威

内訳>

32%

14%

14%

13%

8%

4%

2%

2%

1%

6%

2%

2%

出典:ソフトウエア等の脆弱性関連情報に関する届出状況

[2005年第2四半期(4月∼6月)]

http://www.ipa.go.jp/security/vuln/report/vuln2005q2.html

1位: Cookie情報の漏洩 (32%)

2位: サーバ内ファイルの漏洩 (14%)

3位: データの改ざん、消去 (14%)

4位: 本物サイト上への偽情報表示 (13%)

5位: 個人情報の漏洩 (8%)

1位

2位

3位

4位

5位

(26)

不正アクセス・手口の解説と対策

(27)

不正アクセス・手口の解説と対策(1)

クロスサイトスクリプティングとは?

利用者からの入力に対して、ウェブサーバ側で動的に

HTML等のページを生成する仕組みを設けている場合に、

セキュリティ上の問題となり得るもの

あるサイトに書かれているスクリプトが別のサイトへと

またがり(クロスして)転送され、最終的には利用者の

ブラウザ上で実行されることから、クロスサイト スクリプ

ティングと呼ばれる

(28)

不正アクセス・手口の解説と対策(1)

(29)

不正アクセス・手口の解説と対策(1)

脅威:クロスサイトスクリプティング脆弱性

影響

利用者のブラウザ上で、スクリプトが実行される

セッションIDを含むCookieの盗難

表示ページの改ざん

フィッシングの餌食に

ファイルの破壊

その他、悪意のあるスクリプトの実行

企業の信用失墜につながる

(30)

不正アクセス・手口の解説と対策(1)

脅威:クロスサイトスクリプティング脆弱性

対策

(開発時)

ユーザが入力可能な文字を厳密に定義

ページ生成時のメタキャラクタのエスケープ処理を行う

などのスクリプト無効化処理

(運用時)

ウェブアプリケーションファイアウォールの導入

(mod_security、Guardian@JUMPERZ.NET、CodeSeekerなど)

ウェブサーバやウェブアプリケーションベンダ情報を入手

し対処(ウェブサーバなどの欠陥修正)

(31)

不正アクセス・手口の解説と対策(1)

ページ生成時のメタキャラクタのエスケープ処理

動的生成されたページ中に意図しないタグが含まれないようにする

(例)

<A HREF=“abc”>

の「abc」部分を生成する時点では、文字「“」をエスケープ処理

(「&quot;」に置き換える)します。この他に、「<」は「&lt;」、「>」は

「&gt;」にエスケープします。

参考: ウェブサイトにおけるクロスサイト スクリプティング脆弱性に関する情報

http://www.ipa.go.jp/security/ciadr/20011023css.html

セキュア・プログラミング講座

(32)

不正アクセス・手口の解説と対策

(33)

不正アクセス・手口の解説と対策(2)

SQLインジェクションとは?

利用者から入力を受け付けるウェブアプリケーションが

データベースと連携してサービスを行っている場合に、

セキュリティ上の問題になり得るもの

データベースに対する問合せデータ中に、意図的に

SQL文を混ぜ込んでおき、データベース内部でそのSQL

コマンドを不正に実行させ、情報を盗み出したりシステム

に被害を及ぼしたりすること

※SQL (Structured Query Language)

リレーショナルデータベースマネジメントシステム(RDBMS)において、データの操作や

定義を行うための問合せ言語のこと。構造化問い合わせ言語とも言う。

(34)

不正アクセス・手口の解説と対策(2)

悪意を持つ人

一般利用者

ウェブサーバ

ウェブアプリ

データベース

ID john

ID john ’ or ‘A’=‘A

SELECT * FROM user

WHERE id= ‘john’ or ‘A’=‘A'

‘john’ or ‘A’=‘A’

SQLインジェクションとは?

「全て」を意味する

全てのレコード

user

johnのレコード

$SQL="SELECT * FROM user WHERE id='$ID' ";

SQL文例

SELECT * FROM user

WHERE id= ‘john'

‘john’

(35)

不正アクセス・手口の解説と対策(2)

脅威:SQLインジェクション

影響

データベース内で、管理者が意図しないSQL

コマンドを実行されてしまう

データベース内データの不正閲覧、

パスワード情報の盗難

データベースの改ざん、データ破壊

その他、コマンドの不正実行

(36)

不正アクセス・手口の解説と対策(2)

脅威:SQLインジェクション

対策

(開発時)

ユーザが入力可能な値を厳密に定義

不正入力値の無害化

準備済みSQL文の使用(バインドメカニズム)

(運用時)

エラーメッセージを出さない

ウェブアプリケーションが持つ権限の最小限化

ウェブアプリケーションのパスワードの秘匿

実行可能なコマンドの制限

アクセスログの取得および解析

ウェブアプリケーションファイアウォールの導入

(mod_security、Guardian@JUMPERZ.NET、CodeSeekerなど)

参考: セキュアプログラミング講座

http://www.ipa.go.jp/security/awareness/vendor/programming/index.html

(37)

不正アクセス・手口の解説と対策

(38)

不正アクセス・手口の解説と対策(2)

DNS情報の設定不備を突いた手口とは?

DNSサーバ運用を外部の業者等に委託したりした場合、

管理の誤りなどでドメイン登録情報とサーバ設定が一致

していない場合、セキュリティ上の問題となり得るもの

期限切れのドメイン名を第三者が正規の手続きで取得し、

アクセスしてきた利用者を偽サイトに誘導したりすること

※DNSキャッシュ汚染の問題とは別です

(39)

不正アクセス・手口の解説と対策(3)

DNS情報の設定不備を突いた手口とは?

DNSサーバ

DNSサーバ

一般利用者

www.example.jp

へアクセス

$ whois -h whois.jprs.jp example.jp Domain Information: [ドメイン情報] [Domain Name] EXAMPLE.JP [登録者名] John Smith

[Registrant] John Smith [Name Server] ns.example.jp [Name Server] foo.test

①問い合わせ

②foo.testを回答

Jpドメイン管理

testドメイン管理

③問い合わせ

④1.1.1.1を回答

example.jpドメイ

ンを持つ組織が

管理委託してい

foo.test

1.1.1.1

⑤問い

合わせ

⑥1.1.1.10を回答

1.1.1.10

⑦1.1.1.10

へアクセス

foo.testは1.1.1.1

foo.testは2.2.2.2

悪意を持つ人が

foo.testドメインを

取得してIPアドレス

変更

⑤’問い合わせ

⑥’2.2.2.10を回答

⑦’2.2.2.10へアクセス

④’2.2.2.2を回答

悪意を持つ人

悪意を持つ人

www.example.jp

DNSサーバ

foo.test

2.2.2.10

2.2.2.2

悪意を持つ人

(40)

不正アクセス・手口の解説と対策(3)

脅威:DNS情報の設定不備

影響

ドメインの乗っ取り(ドメインハイジャック)

偽サイトへの誘導

メールの盗み見

利用者個人情報の詐取(フィッシング)

利用者PCへの悪質なソフトウェアインストール

(41)

不正アクセス・手口の解説と対策(3)

脅威:DNS情報の設定不備

対策

ドメイン名が安全に運用されているか確認

DNS サーバの登録情報を確認

DNSサーバ管理を他社に委託している場合、

業者が正しくDNSサーバを運用しているか確認

参考: ドメイン名の登録と DNS サーバの設定に関する注意喚起

http://www.ipa.go.jp/security/vuln/20050627_dns.html

JPRSがDNSサーバの不適切な管理による危険性解消のための取り組みを開始

http://jprs.co.jp/press/050804.html

(42)

その他のウェブサイトの問題

パス・トラバーサルの問題

公開するべきではないファイルが公開されてしまっている

ショッピングサイト上の表記改ざんの問題

商品の値段や、商品名が書き換えられてしまう

オーバーフローの問題

長すぎる入力をされると、サーバやCGIに異常が発生する

セッション・ハイジャックの問題

第三者にセッションを乗っとられ、ログイン認証を回避される

ネットワーク盗聴の問題

暗号化されていない場合に、重要な情報が盗まれる

パスワード推測の問題

パスワードが推測可能な場合、認証を突破される

フィッシング詐欺につながる問題

オレオレ証明書や、ウェブサイトの脆弱性がフィッシングに利用される

参考: 消費者向け電子商取引サイトの運用における注意点

http://www.ipa.go.jp/security/vuln/20050304_ec_security.html

(43)

まとめ

ウェブサイトの脆弱性の悪用による被害を

回避するためには、以下の対策が必要です。

ウェブアプリケーションが稼動しているウェブ

サーバのセキュリティ対策

ウェブサーバが設置されているネットワーク

(ルータやファイアウォール)のセキュリティ対策

– ウェブアプリケーションのセキュリティ対策

参考: ウェブサイトのセキュリティ対策の再確認を ∼脆弱性対策のチェックポイント∼

http://www.ipa.go.jp/security/vuln/20050623_websecurity.html

(44)

ご参考

フリーのウェブアプリケーションファイアウォール情報

mod_security

http://www.modsecurity.org/

Guardian@JUMPERZ.NET

http://www.jumperz.net/index.php

CodeSeeker

http://sourceforge.net/project/showfiles.php?group_id=

64424&package_id=76046

(45)

情報セキュリティセミナー 2005

(46)

情報セキュリティ技術マップ

情報セキュリティ

ネットワークセキュリティ

建物や設備の物理

的なセキュリティ

(47)

情報セキュリティ技術マップ

(1)不正アクセス

対策

(3)資源・利用者

管理

(2)情報漏えい対策

(4)ログ管理

(48)

対策の基本

多重防御

の原則

(49)

(1)不正アクセス対策

ルータやファイアウォール

プロキシサーバ

IDS/IPS

リモートアクセス対策(暗号化)

サーバの要塞化(セキュアOS)

定期的な監査

ログ管理

(50)

企業内ネットワーク

仮想ネットワーク

リモートアクセス環境

DMZに置かれた

サーバ群

インターネット

IDS/IPS

通信の暗号化

サーバの

要塞化

ファイア

ウォール

無線LAN

(51)

ルータやファイアウォール

NATおよびIPマスカレード

パケットフィルタリング

ファイアウォールは、ルータより

も多様なアクセス制御が可能

アクセス履歴(ログ)の保存

Internet

内部ネットワーク

外からの通信

内部からの通信

(52)

プロキシサーバ

プロキシサーバ

通信の間に入ってクライアントを守る

キャッシュによる高速化

通信制限

ワクチンサーバ(ウイルスウォール)

メールサーバの多重化

ウイルスメールを遮断・無効化

(53)

IDS/IPS

IDS(Intrusion Detection System)

侵入検知システム

シグネチャの更新

ログの保存・分析

IPS(Intrusion Prevention System)

(54)

リモートアクセス対策(暗号化)

無線LANの利用

セキュリティ設定の実装

利用者制限

VPNの利用

IPSec/SSLによる暗号通信

SSH(Secure Shell)の利用

暗号化通信

(55)

サーバの要塞化

パケットフィルタリング

アクセス元のIP制限(アクセス

制限)

不要なサービスの停止(セキュ

アなサービス構成)

バッファオーバーフロー対策

OSのセキュリティ機能の利用

利用者制限

アクセス履歴(ログ)の保存

セキュアOSの利用

定期的なバックアップ

パケットフィルタリング

TCP/IPのアクセス制御

セキュアなサービス構成

不要なサービスの停止

運用管理上の対策

(56)

定期的な監査

完全性保護対策

壊されていないか

セキュリティ監査の実施

備えは十分か

脆弱性監査の実施

セキュリティホールはないか

(57)

(2)情報漏洩対策

メールの運用ルール

情報へのアクセス制限

スパイウェア・ウイルス対策

Webサーバの補強

情報の暗号化

(58)

メールの運用ルール

暗号化ツールの利用

メール運用ルールの徹底

添付の制限

宛先の制限

履歴の管理

ウイルス対策

メーラの脆弱性解消

(59)

情報へのアクセス制限

情報ベースのアクセス制限

最小権限の適用 (Admin/Root権限)

情報資産のコピー・転用の抑止

アクセス履歴(ログ)の保存

定期的なログ分析

(60)

スパイウェア・ウイルス対策

スパイウェアが原因の情報漏洩

管理ツールの誤検知を防止

(61)

Webサーバの補強

脆弱性の排除

OSの最新パッチの適用

アプリケーションのバージョンアップ

安全性保護対策(改ざん監視)

改ざんされていないことを監視

改ざん防止ツールの利用

(62)

情報の暗号化

電子化された情報資産の暗号化

利用者制限

暗号化による問題点もある

キーの紛失

エラー対策

(63)

(3)資源・利用者管理

クライアントの資源管理

利用者認証

利用者ごとのアクセス制限

外部サイトへのアクセス制限

外部記憶媒体の接続制限

利用できるアプリケーションの制限

入退出管理

(64)

クライアントの資源管理

検疫ネットワークの利用

資源管理ツールの利用

バージョン管理およびライセンス管理

パッチの一元管理ツールの利用

脆弱性監査ツールの利用

クライアントに情報資産を置かない方法

シンクライアントの利用

(65)

■検疫ネットワーク

検疫ネットワークと呼ばれるシステム環境には・・・

単純に企業内ネットワークに接続可能なコン

ピュータ機器を制御(制限)するもの

接続しようとするコンピュータ機器のセキュリティ

状態(脆弱性など)を確認してから、状態により

接続するもの

さらに、セキュリティ対策(パッチの適用など)を

自ら行ってから、接続するもの

など、いろいろな形態があるようですが、現状では、

非常に高価なものと言えます。

(66)

■パッチ配布/適用を自動化するツール

システム管理者は、組織内の個々コンピュータに、パッチを

適用し、かつウイルス対策ソフトを更新するという際限のな

い作業を続けています。

これらの問題を解決するために『パッチ配布/適用を自動化

するツール』があります。

また、組織内の個々コンピュータに、『パッチの適用が行わ

れているか検査するツール』もあります。

このようなツールを利用することで、システム管理者の負担

を軽減でき、かつセキュリティが高いレベルで維持できる可

能性があります。

『パッチ自動』『パッチ適用』

(67)

■脆弱性検査ツール・サービス

組織内の個々コンピュータ(クライアントおよびサーバー)の

脆弱性(セキュリティホール)を診断するツールやサービスが

あります。

Webアプリケーションの脆弱性を診断するツールやサービ

スがあります。

このようなツールを利用することで、システム管理者の負担

を軽減できる、かつセキュリティが高いレベルで維持できる

可能性があります。

『脆弱性検査』『セキュリティホール自動検出』

(68)

■改ざんを監視するツール・サービス

Webサーバーへの攻撃やWebコンテンツの改ざんを監視す

るツールやサービスがあります。

Webコンテンツの復旧まで実施してくれるツールもあります。

Webサーバーへの攻撃から、Webアプリケーションを守るた

めのツールもあります。

このようなツールを利用することで、システム管理者の負担

を軽減できる、かつセキュリティが高いレベルで維持できる

可能性があります。

『Web改ざん 監視』 『Web改ざん 対策』

(69)

■ツールの利用

パッチ管理

Microsoft Baseline Security Analyzer (HfNetChk)

http://www.microsoft.com/japan/technet/security/tools/tools/mbsahome.asp

Microsoft Software Update Services(SUS)

http://www.microsoft.com/japan/windows2000/windowsupdate/sus/default.asp

Solaris パッチの管理用ツール

http://docs.sun.com/db/doc/817-2462/6mi4fl28n?l=ja&a=view

脆弱性監査ツール

Nessus

http://www.nessus.org/

(70)

利用者認証

ID・パスワードの補強

ワンタイムパスワード

バイオ認証の利用

指紋・虹彩・静脈・筆跡・キーストローク

盲点もあるので注意

メモリデバイスによる認証

USBトークン

PKI(公開鍵基盤)

ICカードに電子証明書を格納

(71)

利用者ごとのアクセス制限

人ベースのアクセス制限

最小権限(権限の最小化)

利用できる情報資産を利用者ごとに制限

アクセス履歴(ログ)の保存

定期的なログ分析

(72)

外部サイトへのアクセス制限

利用できる外部サイト(URL)を制限

コンテンツフィルタリング

外部サイトへのアクセスができる環境を別に

作る

社内に物理的なセキュリティゾーンを作る

(73)

外部記憶媒体の接続制限

クライアントでのコピー抑止

社外持ち出し抑止

(74)

利用できるアプリケーションの制限

業務アプリケーションのみ利用可能

ライセンス管理

PtoP(ファイル交換等)の利用制限

フリーWebメールの利用制限

予想していない(通常でない)ネットワークの

出入口(通信)を塞ぐと言うこと

(75)

入退出管理

情報資産の運用区画の制限

運用区画への入退室制限と履歴収集

その他に・・・

コンピュータ機器の盗難防止

情報資源を収納するロッカー等の旋錠

机上の整理・整頓の徹底

離籍時のコンピュータロックの義務化

等々

(76)

(4)ログ管理

定期的なログ分析

ログ解析ツールの利用

(77)

ログ管理の留意点

必要な情報を収集するようにログを設定する

ログサーバで集中管理

ログを安全に保管する

ツールを利用して分析する

詳細な監査ログ

時計の同期(照合のため)

普段からチェックし正常値を把握しておく

(78)

ログ解析の考え方

ログに頼らなければならないのは、いつも

「事後」である

ログ解析は複数参照が基本

時刻あわせが必須

証拠としての力も考慮する

(79)

単純なDMZありの企業内ネットワーク

インターネット

ファイアウォール

DMZ

(80)

通信ログ収集(監視)の配備

インターネット

ここの通信の

ログ

ここの通信の

ログ

ここの通信の

ログ

(81)

ログの種類と性質

通信について限定的に

ネットワーク機器

怪しいアクセスを詳しく

IDS

誰にどう使われたか

サーバのソフトウエア

誰が使ったか、どんな使い方

をしたか

各コンピュータのOS

取ろうと思えば何でも

ファイアウォール

取れる内容

構成要素

(82)

ログ配備のポイント

重要な情報資産がある場所は詳しく

重要な情報資産へのアクセスは詳しく

詳しく取りたい場所は二重化も検討

イベントを追いかけたい場所はIDSなどの機

械的な手段を検討

(83)

まとめ

計画的に対策を確実に実施

ポリシーに基づいたセキュリティ機能の実装

継続的な改善によるセキュリティの維持

最小限のアクセスのみ許可する(最小権限)

多段階での防御をする(多重防御)

防御、検知、リアクション

(84)

情報セキュリティセミナー 2005

(85)

インシデント対応とは

インシデント

情報セキュリティ分野においては(Security incident)、

情報セキュリティリスクが発現,現実化した事象

サービス妨害(DoS)攻撃

システムへの侵入

サーバの不正中継

インシデント対応

インシデントの発生に際して、それを検知し、関係組織と連

絡をとり、被害の拡大を防ぐと共に、再発を防止するための

原因究明と改善を行う、一連の組織的活動

(86)

インシデント対応の流れ

平時における準備

インシデント発生時の対応

(87)

セキュリティポリシー等の中で手順を明記

インシデント発生時の体制、責任者、連絡先等

平時に行われていなければならないこと

定期的バックアップ

システムの通常状態の把握

外部情報収集と修正プログラムの適用

予行演習

代替サービスの準備(レンタルサーバなど)

技術的手段の準備

情報セキュリティ侵害の検知を支援するツール

バックアップ資源

平時におけるインシデント対応の準備

(88)

情報セキュリティ侵害を検出する(1)

検出・認識の方法

既知の侵害(パターン)を検出する:シグネチャ認識

異常な状態を認識する:アノマリ検出

他者からの連絡

ツールの利用

次に何をすべきか?

(89)

情報セキュリティ侵害を検出する(2)

ー 異常な状態を認識する

システム異常の例

(1)

レスポンスの異常な低下

(2)

システムエラーの発生

(3)

システムの異常停止

(4)

ファイルの改ざん

(5)

存在すべきファイルの抹消や不明なファイルの存在

(6)

ファイル利用量の急激な増減

(7)

本来稼動しているはずのサービスの停止

(8)

不明なプロセスの実行

(9)

本来利用できないはずのシステムユーザの利用

(90)

情報セキュリティ侵害を検出する(3)

ー ツールの利用

異常検出を極力自動化

例 (1)IDS(Intrusion Detection System):侵入検知システム

(2)Tripwireによる各種設定ファイルの改ざんチェック

(91)

情報セキュリティ侵害を検出する(4)

ー 次に何をすべきか?

インシデントの状態の保存

各種設定ファイル

ネットワークの接続状況

ログインユーザ

すべてのプロセス 等

該当インシデントの公開情報の調査

IPA/ISEC、JPCERT/CC等の利用

本当にインシデントかどうかの確認

時系列の記録の開始

(92)

インシデントに対応する(1)

インシデント対応手順の確認

報告する

組織体内部のコミュニケーション

あらかじめ定められた手順

関連組織とのコミュニケーション

参考資料:JPCERT/CC 技術メモ 関係サイトとの情報交換

http://www.jpcert.or.jp/ed/2002/ed020001.txt

(93)

インシデントに対応する(2)

暫定的対応と本格的対応

暫定的対応(

被害の拡大防止

):

ネットワークの遮断/システムの停止

本格的対応(

再発防止

):

原因の特定

クリーンなシステムの再構築

(

攻撃者にシステム特権を奪われたとき)

修正プログラムの適用

データの復旧

(94)

インシデント後

報告書

時系列記録の整理・報告

今回対応のよかった点/悪かった点

改善する

改善点をセキュリティポリシーや手順書に反映・

集約

技術的な改善

組織間コミュニケーションの改善

(95)

原因の追究

ログ解析により原因を追究する

セキュリティ検査によって原因を追究する

− 脆弱性検査

(96)

ログ解析の考え方

ログに頼らなければならないのは、いつも

「事後」である

ログ解析は複数参照が基本

時刻あわせが必須

証拠としての力も考慮する

(97)

ログの種類と性質

通信について限定的に

ネットワーク機器

怪しいアクセスを詳しく

IDS

誰にどう使われたか

サーバのソフトウエア

誰が使ったか、どんな使い方

をしたか

各コンピュータのOS

取ろうと思えば何でも

ファイアウォール

取れる内容

構成要素

(98)

事件、事故の検知とログ

インシデントの内容がわかっている場合

IDSが検知したものは、時刻特定までできる

他者による通知の場合は、異常を推測、特定し

なければならない

インシデントの内容がわからない場合

特異点をあぶりださなければならない

(99)

特異点のあぶりだし

IDSが特定してくれると楽

誤報は考慮する必要がある

トラフィックの異常をグラフ化して検知

IDSとは異なる思想

重要保護地点でのファイル差分

機械的なスキャンが可能

(100)

専門家(捜査機関含む)に調査を依頼す

る場合

証拠保全の考え方

「現場」を荒らさない!

「保全」しなければならない情報は何か

優先順位は?

(101)

証拠保全-(1)

刑事事件を視野に入れる場合は「証拠保全」

「証拠」となるデータを、可能な限りそのままの状態で捜

査機関にわたす

証拠保全=現場保全であり、不用意なログインを含め

てできるだけ操作をしないことが重要

ただし、被害拡大を防ぐための最低限の処置は行う

ルーティング変更

DNS変更、ファイアウォールのフィルタ等による通信遮断

物理的にネットワークを遮断するのは得策ではない

「物理的な遮断」を行うことでシステム内部の情報が変化

するおそれがあるため、「通信」の隔離の方が望ましい

(102)

証拠保全-(2)

標的だけを隔離する例

標的サーバへの通信、

標的サーバからの通

信だけを遮断し、標的

の状態を保全する

ただし、標的ではない

サーバも注意が必要

踏み台(標的サーバ)か

らの2次攻撃の可能性

有り

ルータ、

ファイアウォール

標的

サーバ

標的ではない

サーバ

(103)

証拠保全-(3)

刑事と民事

刑事事件は捜査機関に任せる

不正アクセス禁止法などは刑事なので、捜査機関が起

訴可能と判断すれば逮捕等に発展することが可能

捜査主体は当然捜査機関であり、被害者といえども口出

しできない

刑事事件の証拠は「原本(オリジナル)」である必要があ

るため、データが必要ならば手元に自分でコピーして置

いておく必要がある

民事は自分で証拠を集めて立証する

損害賠償を求める場合などは、損害程度、損害をうけた

証拠、相手を特定できる証拠などを集める必要がある

したがって、自分で証拠となりそうなものを解析する必要

がある(もちろん、業者への依頼という手もある)

(104)

まとめ:インシデント対応の作業手順

手順の確認

2.作業記録の作成

3.責任者、担当者への連絡

4.事実の確認

5.スナップショットの保存

6.ネットワーク接続やシステムの遮断もしくは停止

7.影響範囲の特定

8.渉外、関係サイトへの連絡

9.要因の特定

10.システムの復旧

11.再発防止策の実施

12.監視体制の強化

13.作業結果の報告

14.作業の評価、ポリシー・運用体制・運用手順の見直し

出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

(105)

個人情報漏洩時の対応手順

組織的安全管理措置

(5)事故又は違反への対処をする上で望まれる事項

事実関係、再発防止策等の公表、その他、以下の

項目等の実施

ア)事実調査

イ)影響範囲の特定

ウ)影響を受ける可能性のある本人及び主務大臣

等への報告

エ)原因の究明

オ)再発防止策の検討・実施

出典 経済産業省 個人情報の保護に関する法律についての 経済産業分野を対象とするガイドライン

http://www.meti.go.jp/feedback/downloadfiles/i41013fj.pdf

(106)

補足:不審なアクセスを検出した場合の対応

可能性

(a)攻撃対象の探索を意図したアクセス、または、アタックその

もの

(b)設定ミス、操作ミスによるアクセス

(c)システムの予想外の挙動によるアクセス

対応

(a)すべてのアタックについて防御に成功したと判断できない場

合には、念のためシステムの稼働状況を調査し、不審な点

がないか確認

出典

JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

(107)

補足:外部からインシデントについての連絡を

受けた場合

(1)サイト内での調整

広報、渉外、法務などからの対応が望まれる場合は、該当部署と調整

(2)事実関係の確認

・連絡元の主張する内容を

落ち付いて

確認

(対象サイト、アクセスの内容、日時等)

・自サイトの場合システムログ等による事実関係の確認

(事実の場合、影響度によってはネットワーク接続やシステムの遮断、

停止を優先するほうがよい場合も)

(3)連絡元への対応

・善意の連絡:事情説明、謝罪など礼を逸しない対応

・悪意の連絡:回答を避ける等の特別の対応も検討要

出典: JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

(108)

補足:侵入への対応

(1)

ネットワークの遮断、システムの停止

(2)

スナップショットの保存

(3)

被侵入システムにおける調査

(4)

他のシステムに対する影響の調査

(5)

侵入経路の特定

出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

(109)

補足:侵入への対応

-(1)

(1)

ネットワークの遮断、システムの停止

システム侵入

→・ログ改ざんのおそれ

・他システムへの攻撃元として悪用

・パケット盗聴プログラムの設置

・情報の持ち出し など

ネットワークの遮断やシステムの停止について

優先的に検討要

出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

(110)

補足:侵入への対応-(2)

(2)スナップショットの保存

・プロセスの稼働状況

・ネットワークの利用状況

・ファイルシステムの状況

(ファイルの最終参照時刻、 最終更新時刻、所有者、

アクセス権など)

出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

(111)

補足:侵入への対応-(3)

(3)被侵入システムにおける調査

正常な状態と比較し、 相違の有無を確認

改ざんの例:

・アカウント情報の追加、変更

・ユーザ認証機構の改ざん

・プログラムのインストール、起動

・セキュリティ上の弱点を含むソフトウェアへのダウングレード

・侵入者に関する情報を出力から除外するコマンドへの置換

改ざんされていないコマンドによる調査が重要

出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

(112)

補足:侵入への対応-(4)

(4)他のシステムに対する影響の調査

・攻撃用ツールの出力を保存したファイル

・侵入者による他システムへのTCP接続の痕跡

・ルータやファイアウォールのログ

出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

(113)

補足:侵入への対応

-(5)

(5)侵入経路の特定

弱点のチェック

・放置していたセキュリティ上の問題、弱点はなかったか

・パスワードファイルや設定ファイル類が盗まれた形跡はないか

・見破られやすいパスワードがなかったか

・HTTP や FTP など、公開しているサービスに設定の誤りが

なかったか などをチェック

出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

(114)

参考:侵入検知に関する資料

[1] Intruder Detection Checklist

http://www.cert.org/tech_tips/intruder_detection_checklist.html

[2] Steps for Recovering from a UNIX or NT System Compromise

http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

http://www.auscert.org.au/Information/Auscert_info/Papers/win-UNIX-system_compromise.html

[3] CIAC-2305 Unix Incident Guide: How to Detect an Intrusion

ftp://ciac.llnl.gov/pub/ciac/ciacdocs/ciac2305.pdf

ftp://ciac.llnl.gov/pub/ciac/ciacdocs/ciac2305.txt

[4] Windows NT Intruder Detection Checklist

http://www.auscert.org.au/Information/Auscert_info/Papers/win_intruder_

detection_checklist.html

(115)

情報セキュリティセミナー 2005

セキュリティ情報収集方法の紹介

(116)

(1)メールによる情報収集 [1/2]

企業内で利用しているハードウェアや市販の

ソフトウェアについては、ユーザ登録を行うこ

とで、脆弱性やパッチ(アップデート)の情報

がメール配信される場合があります。このよ

うなユーザ登録は行っておくべきでしょう。

また、これから紹介するようなメーリングリス

トに登録しておくことで、最新のセキュリティ

情報をいち早く得ることが出来ます。

(117)

(1)メールによる情報収集 [2/2]

Microsoftのメーリングリスト

マイクロソフト プロダクト セキュリティ 警告サービス

http://www.microsoft.com/japan/technet/security/bulletin/notify.asp

IPAのメーリングリスト

情報処理推進機構 新着情報メール配信

http://www.ipa.go.jp/about/mail/index.html

JPCERT/CCのメーリングリスト

JPCERT/CC メーリングリスト

http://www.jpcert.or.jp/announce.html

(118)
(119)

(2)Webからの脆弱性やパッチの情報 [1/4]

脆弱性情報を提供するサイトを定期的に参

照することで、それらの最新情報を収集する

ことが出来ます。

また、ハードウェアやソフトウェアのメーカー

サイトを定期的に参照することで、それらの

最新情報を収集することが出来ます。

経済産業省告示「ソフトウエア等脆弱性関連

情報取扱基準(*)」を受けて、日本国内の製

品開発者の脆弱性対応状況を公開するサイ

トとして、JVNがあります。

(120)

(2)Webからの脆弱性やパッチの情報 [2/4]

IPA/ISEC

http://www.ipa.go.jp/security/

JPCERT/CC

http://www.jpcert.or.jp

@police (警察庁/NPA)

http://www.cyberpolice.go.jp/

CERT/CC

http://www.cert.org/

http://www.cert.org/nav/index_main.html

Security Focus

http://www.securityfocus.com/

(121)

(2)Webからの脆弱性やパッチの情報 [3/4]

Microsoft

http://www.microsoft.com/japan/technet/security/(日本語版)

SUN

http://sunsolve.sun.com/pub-cgi/search.pl?mode=results&origin=advanced&range=20&so=date

&coll=fsalert&zone_32=category:security

Cisco

http://www.cisco.com/en/US/products/products_security_advisories

_listing.html

(122)

(2)Webからの脆弱性やパッチの情報 [4/4]

CheckPoint

http://www.checkpoint.co.jp/security/index.html(日本語版)

Oracle

http://otn.oracle.co.jp/security/(日本語版)

IBM

http://www-6.ibm.com/jp/software/lotus/techsupport/security.html

Apache

http://www.apache.jp/(日本語版)

HP

http://archives.neohapsis.com/archives/hp/

(123)

(2)Webからの脆弱性やパッチの情報収集

JVN

JVN は、"JP Vendor Status Notes" の略です。経済産業

省告示「ソフトウエア等脆弱性関連情報取扱基準(*)」を受け

て、日本国内の製品開発者の脆弱性対応状況を公開する

サイトとして、有限責任中間法人 JPCERT コーディネーショ

ンセンター (JPCERT/CC) と独立行政法人 情報処理推進

機構 (IPA) が共同で運営しています。

JVN では、JPCERT/CC が取り扱った脆弱性情報を公開し

ています。これらの脆弱性情報には、この枠組みに参加して

いる日本国内の製品開発者の対応状況も含まれております。

対応状況には、脆弱性に該当する製品の有無、回避策

(ワークアラウンド) や対策情報(パッチなど)も含まれます。

http://jvn.jp/

(124)
(125)

(3)Webからのコンピュータウイルス関連の情報収集 [1/2]

通常は、ウイルス対策ソフトを導入してあり、

かつ常に最新版のウイルス定義ファイルに

更新されていれば、かなりの確立でウイルス

を防ぐことが出来ますが、万が一感染してし

まった場合あるいは詳細の情報が必要な場

合には、ワクチンベンダーのサイトを参照す

ることで、それらの最新情報を収集すること

が出来ます。

(126)

(3)Webからのコンピュータウイルス関連の情報収集 [2/2]

トレンドマイクロ

http://www.trendmicro.co.jp/vinfo/

http://www.trendmicro.com/map/(Virus Map)

シマンテック

http://securityresponse.symantec.com/

http://www.symantec.com/region/jp/sarcj/index.html

McAfee

http://vil.nai.com/VIL/newly-discovered-viruses.asp

http://www.nai.com/japan/security/latest.asp

Sophos

http://www.sophos.co.jp/downloads/ide/

F-Secure

http://www.f-secure.co.jp/v-descs/index.html

(127)

(4)Webからの新種ワーム発生状況や

インターネット事情の情報収集 [1/2]

2003年のW32/MSBlasterおよび

W32/Welchiaの記憶は残っていると思いま

すが、最近はインターネットからの脆弱性を

狙った攻撃が増加しています。

このような、インターネットの状況を定期的に

情報公開しているサイトがあります。

これらのサイトを定期的に参照することで、

最新状況の情報収集をすることが出来ます。

(128)

(4)Webからの新種ワーム発生状況や

インターネット事情の情報収集 [2/2]

InternetStormCenter

http://isc.sans.org/

dshield.org

http://www.dshield.org/

X-Force Internet Threat Intelligence

https://gtoc.iss.net/

IPA/ISEC

http://www.ipa.go.jp/security/

JPCERT/CC

http://www.jpcert.or.jp/isdas/

@police (警察庁/NPA)

http://www.cyberpolice.go.jp/detect/observation.html

(129)

(5)Webからのインシデント事情の情報収集 [1/3]

セキュリティ情報となるか微妙ではあります

が、最近発生しているインシデント事故等の

ニュース報道は、それらを知ることで自分達

のセキュリティ対策が有効であるかの検証に

もなります。したがって、いろいろなWeb

ニュースを定期的に参照し、必要ならそれら

の情報を企業内で共有することで企業内要

員への啓蒙活動になると思われます。

(130)

(5)Webからのインシデント事情の情報収集 [2/3]

ITmedia

http://www.itmedia.co.jp/enterprise/security/index.html

http://www.itmedia.co.jp/news/

CNET Japan Tech News

http://japan.cnet.com/News/news.html

Mainichi

http://www.mainichi.co.jp/digital/

Impress

http://www.watch.impress.co.jp/internet/

Japan.Internet.Com

http://japan.internet.com/index.html

(131)

(5)Webからのインシデント事情の情報収集 [3/3]

Net Security

https://www.netsecurity.ne.jp/

日経IT Pro

http://itpro.nikkeibp.co.jp/

IDG Japan

http://www.idg.co.jp/headline/

MYCOM PCWEB

http://pcweb.mycom.co.jp/

Business Computer News

http://www.computernews.com/

(132)

(6)その他 [セキュリティ情報ポータルサービス]

セキュリティ情報を利用者の情報ポータルと

して提供するセキュリティ情報ポータルサー

ビスと呼ばれる有償サービスがあります。各

種の脆弱性情報やセキュリティに関する情報

を提供するものです。このようなサービスを

受けることで、情報収集を行うこともできます。

Updating...

参照

Updating...

関連した話題 :