Security days 2016「セキュリティ対策の転換点」

セキュリティ対策の転換点

立命館大学情報理工学部　上原哲太郎

情報システム担当の悩み情報漏洩は許されない！インシデントはあってはならない！ 情報システムは組織のインフラトラブルは即業務の停止に

ITによる業務の効率化を

UnderPressure!

ITシステムのコスト圧縮を

常に火消しに追われる我々

標的型攻撃情報漏洩紛失事故

ランサムウェア情報の持ち出し

事故原因を「人」から見る愉快犯→思想犯 目的を持つ外部犯技術誇示目的

最近はメインは「金銭」「諜報」の模様

思想信条の表現怨恨 金銭目的破壊工作・諜報

内部の事故ミス・ポリシー違反

目的を持つ内部犯怨恨 金銭目的

やはり内部不正は怖い 大規模で深刻な漏洩は内部不正が多い

宇治市住民基本台帳漏洩事件 (1999)教育事業者から DB持出転売事件 (2014) : 委託先 ISPからの DB持出・脅迫事件 (2004) : 元従業員 証券会社顧客 DB持出事件 (2009) : 正社員堺市 DB漏洩事件（ 2015） : 正職員 その他原因が分からないものも多数

漏洩情報の悪用目的が明確だと大量漏洩につながる

2014～ 15年の主な事件（ IPA報告書より）不正競争防止法改正で刑事事件化しやすくなったが抑止効果は十分ではない

内部不正の原因？ IPA「内部不正による情報セキュリティインシデント実態調査」 2016.3

過失：故意＝６：４ 過失というより悪用意図のないカジュアルな違反

USBメモリ 5割、メール 3割 しかし中小企業ではほぼ USB禁止されてない

経営者は技術的・物理的対策を重視するが内部不正経験者は監視と罰則が有効と回答 内部不正経験者はその半数が「シス管」

うち 6割が「兼務シス管」

まずは人的対策を IPA内部不正防止ガイドライン（ 3版） 犯行を難しくする 捕まるリスクを高める 犯行の見返りを減らす 犯行の誘因を減らす 犯罪の弁明をさせない

データベースセキュリティコンソーシアム「データベース内部不正対策ガイドライン」

DB管理者を中心に「誘因」「抑制」「運用」に分けてリスクポイントを分析対策を記述

サイバー攻撃は相変わらずメールが中心　たまにWeb 年金機構も某旅行代理店もメールが発端初期攻撃は脆弱性利用ではない 単純な不正アクセス、特に

Webアプリケーションの脆弱性を突く例が相対的に目立たなくなっている印象 少しは脆弱性が減ってる？

一方、近年はランサムウェアが…

このパターンは相変わらず…LAN

内部サーバFile,DB,Apps…

外部サーバWeb,Mail,DNS…

DMZ Internet

踏み台基盤構築

情報収集→初期侵入→基盤構築→内部調査→攻撃先特定→目的実行

初期侵入

目的実行

年金機構事件だって似たような構図

基幹系年金データ

情報系共用サーバ

情報提供 NWシステム

データの移送

標的型メール攻撃

情報の流出

何が問題か？

GSOC

「監視」を中心とした対策：IPA「高度標的型攻撃」対策ガイド

ポイントは「侵入されないこと」ではなく「侵入されたことを　　発見しやすい」「侵入されても被害が　大きくなりにくい」システムにすること監視体制構築が課題

メール対策しろと言われても標的型メール対策してね！

ご無体な！いくら防衛しても標的型メールは届く !

どんなに訓練しても誰かがメールを開く！マルウェア対策していたって標的型なら防げない！

どこか良いツールを探してきて！でも予算は限られてるからね！

さすがにメールは限界ではないか？ メールに対するさまざまな対策はあるが…

発信者認証 (DKIM/SPF, DMARC, S/MIME) 普及に課題・ UI変更や教育も課題

メール向けマルウェア対策 特にサンドボックス製品のコストが課題

添付ファイル「無害化」 コスト・作業効率の問題

メールを使わない方が実は楽では？ ファイルのクラウドストレージを介した交換

事実上の発信者認証の徹底 別のメッセージング手段の確保

年金機構事件を受けた自治体情報セキュリティ「強靭化」 ３つの柱

連絡報告体制の整備 CSIRTの整備

ネットワークの系統分離 特にインターネットと業務系の分離

自治体情報セキュリティクラウドの整備 サーバを外に出す SOCサービスの導入

セキュリティクラウド

「あるべき姿」と　されるもの

住基ネット接続系

文書管理施設予約・・・

LG-WAN接続系

インターネット系

Webメール

議会録提供・・

ファイアウォールまたは未接続

LGWAN

FW/文書交換システム等

住基ネット

FW／GWサーバ

FW

住基 CS

LGWANASPへ

インターネット

ファイアウォール

SOC監視

住民のマイナンバー 職員のマイナンバー

ここの切断がどこまで出来るか？特にメールの移送問題が！

LGWANASP

こんな声をいっぱい聴く羽目に

ネットを切り離されると仕事にならない！強靭化を決めた人たちは現場を知らなさすぎる！

We know! 仕事に甚大な影響があるのは百も承知だが、他に手はないのではないか？

自治体に十分な監視体制はとれるか？インシデントレスポンスは迅速にできるか？住民を納得させられるのか？？ 現状、外部からの攻撃はほとんどが「バイナリを実行させる」ことで成立バイナリを混入可能なファイルを下手に扱わないことが最大の対策 でもそれでは「仕事にならない？」

出てきたいろんなソリューション 仮想 PCの活用

インターネット系に置いた仮想 PCを画面転送型で業務系から遠隔利用しネットの情報を閲覧 ファイル「無害化」

インターネット系のファイルを業務系に取り込む際に一度ファイルを変換してマルウェアのリスクを限りなく減らす

この方向に未来はあるのか 監視を強化して「事故前提」にするのはあらゆる組織に適用可能な方向ではない 「分離して安全」にすると業務効率が下がる セキュリティにコストをかけても「業務が効率化」しているのか問わないと何のために情報システムを入れるのか？コスト低減ベネフィット リスク＝ Σ（ L×P）

L:損失　 P：発生確率

今までを振り返りつつ考えると…セキュリティ対策＝現行業務システム＋対策製品できるだけ業務変更を小さくしたい現場の声を尊重

…でもそろそろ限界なのでは？コストばかり増大

どうせ業務への影響は無視できない同じ我慢してもらうなら、やるべきは…

メールの「添付ファイル」に頼った業務フローを見直す 添付ファイルは現場レベルでワークフローを構築しやすい だが、それが大きなリスクを生んでいる

メールは送信者が確認できない メールは暗号化できない

PW付 zipなど「勝手暗号化」がかえってセキュリティ対策を殺してしまうジレンマ これらの対策は存在するが普及が課題

それならば定型化した業務は「認証のしっかりしたWeb App」に移した方が効率化とセキュリティ対策が両立できるのでは？

パソコン以外で仕事をするタブレット OSの安全さを利用するパソコンタブレット

マルウェア対策のコストが桁違い！本当に PCでないと出来ない仕事は

Web化で減ったはず

本当にそれは必要か、を問う添付ファイルつきメールは業者との連絡に必須で…基幹システムに決裁システムがあってそこにネットからの文書を添付しないと…

メールじゃなくてファイル授受サーバをクラウド上に作れば？

本当に docファイルじゃないとだめなの？決裁のためなら画像で十分じゃ？

現場から「業務情報化」のアイデアは出ない！業務の現状を分析して「セキュアな方法」を提示

本当に必要なのは何か？ 情報システム全体を最初からセキュリティ対策しておくのはもちろんのこととして・・・ 「仕事のやり方」を変えて効率化を

いつまで情報機器を清書機にするのかいつまで「印鑑文化」を維持するのか セキュリティ対策で「業務効率が常に下がる」のは本末転倒「結果的に業務効率が上がる」ことを示し「業務のやり方を変える」ことを現場に受け入れさせられるかが勝負では？！

標的はシステムではなく「人」人にデータを食わせるWebとメール 脆弱性管理はしっかりやる（当然！） その上で、現状狙われているのは「人」に不定型なデータを拾わせる機会本当にそのデータを人手で扱わせるのは必要なのかもう一度問い直そう

CSVを落として列を加えてコピペして一部手で直して再度 Upload…

データ選択クリックおわり！

今後はこれを比較しよう

業務改善システム化コストセキュリティ対策コスト

セキュリティのために仕事をするのではなく仕事のために ITを使い、そこにセキュリティを見いだす

28業務の「セキュリティ・バイ・デザイン」を！