Embed Size (px)
Citation preview
情報セキュリティ基盤論 2015 工学系研究科講義科目
佐藤周行
SIGMAXYZ
三井物産セキュアディレクション
情報セキュリティ基盤論
共立出版, 2010 ISBN: 9784320122574
情報セキュリティの現代の「標準体系」のつもりでかいていますが、若干古くなりつつある…
授業は、この内容をベースにして行ないます (+アドバンストな内容)
教科書
「情報」をセキュアに扱うことができること
情報の機密性(アクセス権をコントロールできる)
情報の完全性(内容をコントロールできる)
情報の可用性(アクセスが保証される)
+アルファ(真正性、責任追跡性、否認防止、信頼性)
ISO 27000シリーズ (この番号は重要)
情報セキュリティとは
I リスクの分析と評価 1. リスクの動向と変遷 2. 情報セキュリティリスク管理 II コンテンツの電子化・ネット化・クラウド化 3. コンテンツの電子化・ネット化・クラウド化 4. コンテンツマネジメント III 具体的な脅威・脆弱性 5. 脅威・脆弱性の変遷と動向 6. ネットの脅威とネットハックの実際 IV 情報セキュリティリスクへの対応 7. 暗号と電子認証 8. アイデンティティ管理 V 情報セキュリティと社会制度 9. セキュリティ監査と成熟度モデル 10. 法律問題とeコンプライアンス 11. 社会制度
教科書の目次
ここで、過去もっとも苛烈なレポート課題であった2013年度課題をみてみましょう
このような問題を一定の深さで理解し、論じることができるようになります(予定)
レポートテーマその1 ファーストサーバ
概要 2012年6月、ファーストサーバ社の運営するデータセンターにて顧客データが消失し、同社データセンターを利用していた約5700組織に、サーバデータが消失する等の影響を与えた
同社による事故調査報告書が公開されている http://www.firstserver.co.jp/news/2012/2012073101.html
発生した事象
作業者がデータを誤って消去したことによるシステム停止 (2次被害として)バックアップから復旧されたデータが、本来アクセス権のない他ユーザにも閲覧可脳な状態となった
最終的にはバックアップデータそのものも消去され、原状回復が不可能に
6
レポートテーマその1 ファーストサーバ
設問 1. システム変更を行う場合、変更管理(change control)とよばれる手続きを踏むのが内
部統制の立場からリスク対応の方法として一般的である。変更管理が何かを説明して、なぜこれが有効とされるかを解析せよ。この観点からファーストサーバーの管理の仕方を論ぜよ
2. 顧客情報資産はCIAの観点から適切な対策を実施していたか論ぜよ 3. クラウド型のサービスの利用の場合、SLAで保証を求めるのが一般的である。SLAとは
何か説明し、さらにそれに照らし、顧客の対応が適切であったか論ぜよ 4. クラウド利用のリスク対応としてSLAはどうあるべきか、顧客の立場から、従来一般的
であった業務委託契約と比較して論ぜよ
5. この件については、成熟度監査の定期的な実施が被害を軽くしたかもしれない。それはなぜか、当時のファーストサーバーの企業としての成熟度を評価した上で論ぜよ
6. あなたがクラウドサービスを利用する顧客企業の経営者であると想定し、自社のリソースをクラウド上で運用する際のリスク管理について、必要だと考える視点を挙げ論ぜよ
7
レポートテーマその2 DigiNotar(ディジノタール)
概要 オランダの認証局であるDigiNotarは、2011年6月ごろから不正侵入の被害にあっていた。一旦対策できたと思ったものの、8月に当該認証局の発行したgoogle.comドメイン等の不正な証明書が出回るようになった
結果として信頼を回復できず、9月には自己破産宣告 第三者による事故調査報告書が公開されている
http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/rapporten/2012/08/13/black-tulip-update/black-tulip-update.pdf
発生した事象
外部からは直接つながらないネットワークへの侵入(踏み台の利用)
システムログが改ざんされていることが判明。これにより、不正な証明書がどのくらい発行されたかも推測不能
(結果として)不正証明書が流通し、当該証明書関連するSSL暗号通信が傍受 (Man-In-The-Middle attack)可能な状態に
影響範囲があまりにも広すぎて、業務を継続できず破産
8
レポートテーマその2 DigiNotar(ディジノタール)
設問 1. DigiNotarは内部ネットワークが破られているが、それを検知するためにネッ
トワーク内のどこにIDS, log監査ツール等を設置すべきであったか論ぜよ 2. 当時の監査人はWTCA (WebTrust for CA) に基づいて準拠性監査を行って
いたはずである。準拠性監査が何かを説明するとともに、当時の監査が十分であったかを論ぜよ
3. 不正な証明書を利用した攻撃としてDNS poisoning+MITMが示唆されている。これらが何かを説明するとともに、どの程度まで成功したかの被害の推定とその理由を記せ
4. 上と関連し、PKIが社会インフラの一部として機能していることを、ブラウザベンダーの責任と共に論ぜよ
5. あなたがPKIを社会インフラとして成立させる役割を担っている立場に立ったと想定し、保証業務のアンカーとして機能すべき監査はどうあるべきか、現状の監査の品質とあわせて議論せよ
9
レポートテーマその3 サウンドハウス
概要 2008年3月、オンラインショッピングサイトを運営しているサウンドハウス社に対してクレジットカード会社等から、「カード情報が不正に使われている」と連絡あり。
調査の結果、SQLインジェクションにより、カード情報(最大)約12万件が外部に流出した可能性が判明した
同社による事故調査報告書が公開されている http://www.soundhouse.co.jp/shop/News.asp?NewsNo=1561
発生した事象
2006年~2007年ごろにおいて既にSQLについてぜい弱性が存在し、攻撃は発生していた模様。そのころにバックドアを仕組まれた可能性
サウンドハウス社としてはまったく気づいておらず、カード会社からの連絡により、事態を把握
漏えいした情報にはログインパスワード(暗号化なし)が含まれており、これをクレジットカード利用時のパスワードとして流用することでクレジットカードの不正決済が容易になった模様
最終的な被害者カード番号そのものは特定できず、最大件数として報告することとなった
10
レポートテーマその3 サウンドハウス
設問 1. 最初の攻撃にSQL injectionが使われたであろうことが言われている。これが何かを解説するとともに、対応策について論ぜよ
2. 顧客データのうち、代表的なものをCIAから分類し、適切に管理されていたか解析せよ
3. 他サイトでの二次被害の可能性を論じ、パスワードによる認証の脆弱性を論ぜよ
4. 当該企業の社内ネットワークを推測し、改善策を論ぜよ
5. あなたがeコマースサイトを開設する経営者であると想定し、当該サイトの運用に関連するリスク管理として重要と考えることを議論せよ
11
今年度は、これらの反省を活かし、課題を提示したうえで、必要な部分を含めて授業で触れていくスタイルをとります
ということで、課題発表は5/20(予定)
クラシックな情報セキュリティの図式
会社
攻撃(資産を盗む)
脆弱性 脅威の分析(リスク分析) → 次のアクションへ
社会制度による規制、保護
ビジネス
2010年から今までに何が起こっているか? クラウドサービスの一般化
国内・国外
「端末」を握っているところが囲い込みに入っている(MS, Apple)
ICTインフラ巨大企業の大躍進 Amazon, Google,
Facebook,
オンラインの世界での「アイデンティティ」
組織が与える「アカウント」から、ICTインフラ企業が提供する「アカウント」への移行
Advanced Topics?
2010年から今まで起こっていること(続き) 攻撃の手法のますますの高度化
Targetted attack, persistent attack等、本質的に対応不可能なものも (三菱重工の事件)。
Stuxnet, flame, gaussなど、政治的意図、経済的意図のある攻撃が激化した
個人の端末の高度化やIoTの構築による情報ソースの多様化と詳細化
恒常化する個人の権利侵害 「同意」に名を借りた個人情報の強制的引き渡し
電気通信事業者にのっかって「通信の秘密」を犯すサービスを行うことが可能に。
2010年から今まで起こっていること(続き)
「サイバー空間」の意識
政府・民間の情報資産への攻撃
国単位の防御と攻撃
日本: NISC(内閣官房), サイバー防衛隊(自衛隊)
アメリカ: NSA/CSS, Cyber Command
中国: 61398部隊等
攻撃側組織の存在
2010年から今まで起こっていること(続き)
技術的には必死の対応が続けられている
セキュリティベンダーの努力
統制・規制・法制度 (control, regulation, legislation) の整備のこころみ
オンライントラストの構築
EUデータ保護規則、アメリカ「消費者の権利章典」の法制化
Cross border問題の認識と調整
現代的な情報セキュリティの図式
会社
攻撃(資産を盗む)
社会制度による規制、保護
ビジネス
uncontrollable
ICT巨大インフラ企業
クラウドは情報セキュリティ的に何が問題か クラシックなリスク分析の手法の限界
ICTインフラの巨大企業は情報セキュリティ的に何が問題か 「アイデンティティ」を握っている 統制が基本的に効かない
政治的意図、経済的意図を持ったサイバー空間での犯罪にどう対処できるのか サイバーセキュリティ
個人の権利はどう守られるべきなのか IoTによる情報(取得)ネットワークの構築 ネット上のプライバシー
それでも情報産業は振興しなければならないのか 実は市場規模は大きい(後述)
これらの問題をすべて包含した形で「ビッグデータ」はある
現代的な問題への対応
企業X
運用 管理
技術
企業リスク マネジメント
企業Y
運用 管理
技術
企業リスク マネジメント
……
現代社会における情報セキュリティの背景
情報セキュリティ基盤
“社会”のセキュリティ基盤 ~本質的解決に向けた “あるべき姿”~
脅威・攻撃に対抗する技術 8. ネットワークとシステムにおけるセキュリティ技術
9.暗号と認証
社会制度の整備 10. eコンプライアンス・パーソナルデータ
11. 社会制度とマイナンバー
“会社”のセキュリティ基盤 ~組織が採用している現実解~
運用上の管理 6.アイデンティティ管理とID管理
7.成熟度モデルとセキュリティ監査
採用される技術 5. 企業で使われる 情報セキュリティ技術
企業リスクマネジメント 4.情報セキュリティリスク管理
情報セキュリティ上の脅威とハッキング技術 3.脅威の変遷とインシデントの動向
IT技術の発展とその課題 1.クラウド化、ソーシャル化への変遷
2.現代社会におけるサービス提供企業の課題
2013/04/03 講義の構成
個人 (消費者、サービスのエンドユーザ、国民等)
“基盤”を通じたサービスの利用
No. 講義日 タイトル 教科書での対応章
(0) 4/8 ガイダンス -
1 4/15 脅威の変遷とクラウド化、ソーシャル化への変遷 3. コンテンツの変遷と動向(電子化、ネット化、クラウド化、ソーシャル化)
2 4/22 現代社会におけるサービス提供企業の課題 1. リスクの動向と変遷 4. クラウド化、ソーシャル化時代の課題
3 5/13 eコンプライアンスとサイバー基本法 10. 法律問題とeコンプライアンス
4 5/20 レポート課題提示
5 5/27 情報セキュリティリスク管理 2. 情報セキュリティリスク管理
6 6/3 企業で使われる情報セキュリティ技術 新規
7 6/10 アイデンティティ管理とID管理 8. アイデンティティ管理とID管理
8 6/17 成熟度モデルとセキュリティ監査 9. セキュリティ監査と成熟度モデル
9 6/24 インシデントの動向と攻撃者の技術 5. 脅威・脆弱性の変遷と動向 6. ネットの脅威とネットハックの実際
10 7/1 ネットワークとシステムにおけるセキュリティ技術 新規
11 7/8 暗号と認証 7. 暗号と電子認証
12 7/15 社会制度とマイナンバー 11. 社会制度
7/15 レポート問題解説 -
スケジュール
サービスレベルとして、何が規定されるべきか? 現在では手探り
大手のクラウドベンダーでは、サービスレベルは主に「稼働率」と定義されている
SLA Cloudで検索をかけてみよう
セキュリティに関してのサービスレベルを規定するところはほとんどない
対アタック耐性等
現在、CSAによってCCM (Cloud Control Matrix)が策定されている
クラウドの問題(SLA)
Application & Interface Security
Audit Assurance & Compliance
Business Continuity Management & Operational Resilience
Change Control & Configuration Management
Data Security & Information Lifecycle Management
Datacenter Security
Encryption & Key Management
Governance and Risk Management
Human Resources
Identity & Access Management
Infrastructure & Virtualization Security
Interoperability & Portability
Mobile Security
Security Incident Management, E-Discovery & Cloud Forensics
Supply Chain Management, Transparency and Accountability
Threat and Vulnerability Management
組織の資産をクラウドに移してしまうと、その資産を守ってくれる保証はどこにあるか?
従来は、組織の統制可能なところに置くことで資産を保護していた → stakeholderへの説明責任
物理的手法、人的手法、ネットワークセキュリティ、ソフトウェアシステムセキュリティ、認証 (情報セキュリティの中心的な課題だった)
組織を対象としたリスク管理方法を拡張して統制する
SLAはpublic cloudをどこまでコントロールできるか(記述できないものはコントロールできない)
クラウドの問題(SLA)
クラウドベンダーの裁判管轄権が問題になることがある クラウドベンダーがアメリカにサーバを持っているとき、アメリカの法律が適用される
クラウドベンダーがアメリカに本社を持っているとき、アメリカの法律が適用されることがある
ビジネスにとって致命的になる場合がある 令状なしの押収等(クラウドサービスが止まった事例あり)
Snorden事件の警鐘
消費者に特に問題になるのは、「消費者のデータ」がどう扱われるか=プライバシー 規制のゆるいところへのデータ移転はきらわれる
クラウドの問題(cross border)
ヨーロッパは、「忘れられる権利」を含む、プライバシーに関する強い権利を個人に保証 外交手段として用いられることが多々ある アメリカのICT巨大企業の牽制に使われることが多々ある
アメリカの法制度をヨーロッパの一部が問題視 Patriot Act により、令状なしの押収その他が可能 FISAA (Foreign Intelligence Surveillance Amendments Act)
外国人の動向調査(リアルタイム、政治的な信条はもちろん含む)が可能に。裁判所の(秘密の)許可さえあればOK
民間企業のビジネスに関してはSafe Harbor Agreementで移転を承認
プライバシーについては米欧で非常に大きな差がある(きっと埋められない)
日本の影がうすいのが…
クラウドの問題(cross border)
ICTインフラには以下が含まれる キャリア(NTT, KDDI, …)
セキュリティ(Norton, Symantec, PKI CA vendors,…)
サービス(Google, Amazon, 楽天, CCC, …)
ソーシャルネットワーク(Facebook, LINE, …)
…
インフラ企業に求められる社会的責任(規制)について、整備が進んでいないことが多い Cross borderの問題
プライバシー等、本質的な問題への対処
巨大ICTインフラ企業
Googleアカウント、Amazonアカウントで、様々なサービスが受けられる ネット上のアイデンティティを提供する形
Gmailのメールアドレスを受け入れるところ多数
Facebookのアカウントで、様々なサービスが受けられるようになっている Facebookのアカウントですべてが済む?
ネット上の活動がインフラ企業の掌の上で行われるようになった
Social Identities
今までは、 組織の与えたアイデンティティ(ID, mail address)で、組織の一員として活動(organizational identities)
サービス提供者は、各々アカウントを与えることで、ユーザを囲い込んでいたので、social identitiesが問題になることはなかった
SSO技術(OpenID Connect, SAML等)の進展による利便性の提供は本来喜ぶべきことであるが…
広告主を集める
自サイトのユーザの行動履歴を解析する
解析の結果、効果が高いと思われる利用者に広告を出す
Social Identity系インフラ企業のビジネスモデル
ネットの広告の世界では「Personalized Ad」は効果的なものと信じられている
GoogleやFacebook等はこれを積極的に採用している
広告主は個人のプライバシーを侵害しないが、インフラ企業が何をやっているかについては議論の対象になる
Personalizationのためのさまざまな手法 基本は本人属性や行動履歴(プロファイル情報)の収集と解析
オプトアウト(本人から中止の申し出が出ない限り許されていると思う)
3rd Party Tracking, Spyware, …
ここで、「個人」対「Social Identity系インフラ企業」の力の差は歴然
「同意」があるからやってもよいかというと、それは少し問題がある。 プライバシー上の問題として認識されている
IDCの市場予測(2014/1/24発表)によると:
Big Dataの市場規模は日本で600億円/1兆円(ビジネスアナリティクス規模)
「ビッグデータ」に関係する産業の振興はすべてここに係ってくる
日本における「パーソナルデータの利活用に関する制度見直し方針」
個人情報保護法の改正による規制緩和
第三者委員会(プライバシーコミッショナー制度)による規制
どの程度の経済規模か?
アメリカでは消費者の権利として宣言
“Do Not Track”
規制作りが進んでいるようにみえる http://www.w3.org/TR/tracking-dnt/
しかし、→は本質的にどこを向いているかについて注意
消費者の責任について言及(力の差が歴然なのに)(非対称性)
権利宣言を反映した立法化がすすまない
2012年10月のIE10 に関する論争 W8のIE10でDNT:1をデフォルトにすると発表
Yahooが「それを無視する」と発表
ApacheがIE10のDNTフラグを無視するパッチを発表(現在はコメントアウトされている)
個人が「アイデンティティに関する情報」を提供すればそれに応じてサービスを提供するというのが、関係する企業の基本的なビジネスモデルになっている Personalizationのためには、自分の情報を「納得したうえで」企業に提供する必要がある
企業は「提供された情報」に応じてサービスを提供する。 Googleアカウントでログインした状態で検索をすることは、もちろんこの一例 Gmailの利用もこの一例
プライバシー情報を利用・活用するための適正なビジネスモデルが必要になる かたくなに情報提供を拒否することはネット上の生活を便利にしない 提供情報についての「同意」の意味理解が重要 取得した情報をどう利用するかについての理解
「ビッグデータの活用」や「名寄せ技術の高度化」など、従来の理解を超えた動きが活発化しているのは事実
割と大きな経済規模を持つ
本人が納得して同意することが必要
「守る」という観点と利活用という観点
これらの問題は、インフラ企業が消費者と直接向き合うことによって顕在化してきた。
企業がもつ情報資産を対象にした情報セキュリティの技術は以前にもまして重要になってきた 関係者は「組織」「企業」 ネットの技術動向が刻々と変わる 新たな種類のインシデントが次々と発生 不確かな状況下で決定を下さなければならない
この情報資産は守るべきものか、守るとしたらどのくらいのコストをかけるべきか?はたして安心するまで守れるのか?
リスク分析、リスク管理の手法
クラシックな情報セキュリティの重要性
注意:リスク分析は、組織のセキュリティレベルをあげるために行うわけではない
問題:この情報はなぜ価値があるのか?誰が価値を認めるのか?誰が守れと言うのか? 個人を越えた「組織」の存在 組織が個人の行動を制御するための何か
「組織の意思」を全体に徹底させるための何か
情報セキュリティポリシー等 情報の価値は組織が決める
決定:何らかの決定をして、組織を前に動かす(セキュリティを高める。リスクを受容する。情報資産を廃棄する。…) 方法論としては管理工学 一般的には「Solution」と称して様々な技術を導入することになる
リスクとは?
リスク = F(資産価値, 脆弱性, 脅威)
リスクを評価するさまざまな手法(特に定性分析)
脆弱性と脅威については、コンピュータセキュリティとネットワークセキュリティの観点からの解析が必須
組織における情報セキュリティに関係する一連の分析・評価の流れを定式化 ISO27001 (ISMS) ISO27002 (Best Practice)
管理工学的な手法による管理 PDCAサイクル
リスク分析 「リスク」は、ここでは専門用語です(例年、期末レポートで素人解釈をする人が一定数みられる)
リスク
リスク分析で考えることは次の3つ
資産価値:その情報(サービス)にはどのくらいの価値があるか?
脆弱性:その情報(サービス)を運用するときにどのような弱点があるか? FTPではパスワードが平文で流れる
電子文書では、コピーが自由で、だれが書いたかの保証ができない
…
脅威:その情報(サービス)の脆弱性をついた攻撃にはなにがあるか? 盗聴して、FTPのパスワードを抜く攻撃
電子領収書で、コピーをして、少し改変して流通させる
前提知識
情報サービスの分野においてどのような脆弱性があるか?
脆弱性をついた脅威にどのようなものがあるか?
この2つを理解することが「リスク対応」の第一歩
前提知識(続き)
IPA(情報処理推進機構)の「10大脅威」( http://www.ipa.go.jp/security/vuln/10threats2015.html )によれば
1. インターネットバンキングやクレジットカード情報の不正利用 2. 内部不正による情報漏えい 3. 標的型攻撃による諜報活動 4. ウェブサービスへの不正ログイン 5. ウェブサービスからの顧客情報の窃取 6. ハッカー集団によるサイバーテロ 7. ウェブサイトの改ざん 8. インターネット基盤技術の悪用 9. 脆弱性公表に伴う攻撃 10. 悪意のあるスマートフォンアプリ
リスクを決める脆弱性や脅威の分析
情報セキュリティ対策
他のセキュリティ技術(ネットワークセキュリティ、システムセキュリティ)の導入
暗号技術の応用として居続けられる暗号化、電子署名、認証他の技術
リスクへの対応ができる⇒今度は利便性を求めて攻めていける
「個々のアカウントの権限をコントロールできるようになったから、ゲストアカウントを発行できる」
「SAML等、安全なプロトコルが導入できるから、組織内外にSSOを導入する」
「…」
リスクへの対応
技術的な対応の他に、社会的に基盤を作る動きも着実に進行している 「セキュリティの品質はこれこれの認定制度で第三者が保証しましょう」 プライバシーマーク ISMS トラストフレームワーク
認定制度と監査(評価)制度 会計監査の技術、制度 情報システム監査 セキュリティ監査
リスクへの対応
企業X
運用 管理
技術
企業リスク マネジメント
企業Y
運用 管理
技術
企業リスク マネジメント
……
現代社会における情報セキュリティの背景
情報セキュリティ基盤
“社会”のセキュリティ基盤 ~本質的解決に向けた “あるべき姿”~
脅威・攻撃に対抗する技術 8. ネットワークとシステムにおけるセキュリティ技術
9.暗号と認証
社会制度の整備 10. eコンプライアンス・パーソナルデータ
11. 社会制度とマイナンバー
“会社”のセキュリティ基盤 ~組織が採用している現実解~
運用上の管理 6.アイデンティティ管理とID管理
7.成熟度モデルとセキュリティ監査
採用される技術 5. 企業で使われる 情報セキュリティ技術
企業リスクマネジメント 4.情報セキュリティリスク管理
情報セキュリティ上の脅威とハッキング技術 3.脅威の変遷とインシデントの動向
IT技術の発展とその課題 1.クラウド化、ソーシャル化への変遷
2.現代社会におけるサービス提供企業の課題
2013/04/03 講義の構成
個人 (消費者、サービスのエンドユーザ、国民等)
“基盤”を通じたサービスの利用
授業は教科書の内容+アドバンストトピックスになります
教科書の内容をきちんと理解することが単位をとることに直結します
評価は学期末のレポートでします
言語は日本語か英語
評価
Webページはここです http://www-sato.cc.u-tokyo.ac.jp/PKI-project/SecInf.html
必要な教材(スライド)その他はWebページにアップロードします
レポートの提出やスライドの整理には、朝日ネットのE-LearningシステムであるMANABAを使います http://u-tokyo.manaba.jp/ct/
E-Learningサポート
講師紹介
Any Question?
最後に
