ユーザが知っておくべきクラウドセキュリティのポイント · – クラウド・コンピューティング社会の基盤に関する研究会報告書 •総務省

独立行政法人情報処理推進機構

技術本部セキュリティセンター

河野省二

ユーザが知っておくべきクラウドセキュリティのポイント

2012年2月24日 1

Copyright © 2012 IPA

アジェンダ

• クラウドセキュリティ – クラウドコンピューティングで何が変わったのか – クラウドサービスのリスクマネジメント – クラウドサービスをセキュリティ向上に役立てる

• IPAの紹介 – IPAのセキュリティに関する取り組み – セキュリティ関連資料の紹介 – セキュリティ関連ツールの紹介

2012年2月24日 2


クラウドコンピューティングでなにが変わったのか？

クラウドセキュリティをまじめに考えてみる

2012年2月24日 3


リスクマネジメントの基本から

• クラウドセキュリティの前に・・・ – そもそも「リスクマネジメントの基本」に忠実に判断するべきではないだろうか

– 「データがどこにあるのかわからないのが気持ち悪い」というのは不安であって、科学的なリスクではない

• クラウドサービス利用で何が変わったのか – 変化を正しく把握できなければリスクアセスメントができない

– クラウドサービスを利用するメリットがわからなければリスク評価ができない

2012年2月24日 4


クラウドコンピューティグの特徴

• まずはクラウドコンピューティングの特徴から変化を知ることにしましょう

• NIST SO-800-145の定義では – オンデマンドセルフサービス（On-demand self-service） – 広範囲なネットワークからのアクセス（Broad network

access） – リソースの共有（Resource pooling） – 迅速な対応（Rapid elasticity） – 従量課金制（Measured Service）

2012年2月24日 5


メリット

• システム調達までに時間がかからない

• クレジットカード一つで立ち上げることができる

リスク

• 管理用アカウントを奪取されることで、システムのオン・オフやシステムの拡張・縮小などを行われてしまう

2012年2月24日 6

On-demand self-service


メリット

• どこからでもシステムを利用することができる

• 様々なデバイスを想定したシステム構築を検討できる

リスク

• 新たなデバイスへの対応 – スマートフォン、タブレット、携

帯など

• 管理外のネットワークからの利用 – 公衆ネットワークからのアク

セスの制御 – アクセス履歴の管理ができな

い

2012年2月24日 7

Broad network access


メリット

• 共有によるシステム調達のコストダウン – 初期投資、運用費用

リスク

• 他者とのデータの混在 – ハードウェアレベルでのセ

キュリティができない – データ管理の状況が把握で

きない

• 個別ログの取得が困難 – システムが共有されているた

めにログも共有のものとなることがある

2012年2月24日 8

Resource pooling


メリット

• 柔軟なプロビジョニング – 追加投資を自由に行うことが

できる

リスク

• 予算超過 – 不適切な利用や攻撃によっ

て、予算以上にシステムが利用されてしまう

2012年2月24日 9

Rapid elasticity


メリット

• システムの利用状況の見える化 – 誰がどれだけシステムを利

用しているのかを知ることができる

– 事業計画に応じたシステム利用となっているかを確認することができる

リスク

• 特にない – が、不要なシステムやサービ

スが露見し、企画担当者が経営陣から叱責されるかもしれません・・・

2012年2月24日 10

Measured Service


それぞれの組織にとっては？

• ここで例示したのは一般的な内容です – リスクアセスメントはみなさんの組織や団体における事業目的や計画、環境によって異なります

– クラウドサービス利用のメリットとそれに伴うリスクを正しく把握して、適切なリスクマネジメントを実施して下さい

• 中小企業のみなさんのためにIPAではクラウドサービス利用のチェックシートを作成しました – 中小企業のためのクラウドサービス安全利用の手引き – クラウド事業者による情報開示の参照ガイド

2012年2月24日 11


中小企業のためのクラウドサービス安全利用の手引き

2012年2月24日 12

http://www.ipa.go.jp/security/cloud/tebiki_guide.html


クラウドサービス利用のための情報セキュリティマネジメントガイドライン

2012年2月24日 13

http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html


その他のガイドラインなど

• 経済産業省 – クラウドサービス利用のための情報セキュリティマネジメントガイドライン

– ＳａａＳ向けＳＬＡガイドライン

• IPA – クラウド・コンピューティング社会の基盤に関する研究会報告書

• 総務省 – スマート・クラウド研究会

報告書 – ASP・SaaS における情報

セキュリティ対策ガイドライン

– 地方公共団体におけるASP･SaaS導入活用ガイドライン

• 海外 – Cloud Security Alliance – ENISA – NIST SP800-

144,145,146

2012年2月24日 14


クラウドサービスをセキュリティ向上に役立てる

クラウドサービス利用でセキュリティ向上

2012年2月24日 15


電子メールの添付書類の罠

2012年2月24日 16

課長が部門の5人にエクセル

で管理表を送付しました。社

員がこれらに記入してメール

に添付して課長に返信した場

合、添付書類は全部でいくつ

になったでしょうか？


では、計算してみましょう・・・

2012年2月24日 17

課長のPC 課長のメーラー部下のメーラー部下のPC

1

2 3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

25

26

27

28

29


メールに添付せずにファイル交換を・・・

• メールへの添付による脆弱性の増加 – 情報資産が増えれば管理コストが増大し、さらに管理ミスや管理漏れが発生する可能性も増加する

– データオーナー（情報主体）が管理できない情報資産が増加する • メールで送った情報は取り戻せない •ファイルはアクセス権を伴って流れていく

• アクセス権のあるデータ管理をするために – 情報の一元化とライフタイムにわたるアクセス管理 – 定期的なバックアップと資産管理 – クラウドサービスではこのような機能を有しているものが多数あります

2012年2月24日 18


アカウンタビリティを明確にすることで・・・

• クラウドの特徴である「Measured Service」はITサービス利用のアカウンタビリティの確保に役立ちます – アカウンタビリティ（課金）もMeasured Service（従量課

金）ももともとはユーザの利用状況を明確にするための機能である

– ユーザが何をしているのかを把握できる機能があるクラウドをID管理の基盤とすることで、中小企業であれば低コストでITの内部統制を実現することができる

• クラウド利用におけるセキュリティ上のメリットを理解することが重要

2012年2月24日 19


アンチウイルスソリューションでは・・・

• クラウド型（ソーシャル型）のアンチウイルスソリューションなら、ゼロデイ攻撃にも対抗できる可能性がある – 自社だけでインターネット全体のウイルスの感染状況を把握するのは難しい

– 情報を出し合う形で統計情報を共有する（ソーシャルな）ソリューションは未知のウイルス検知にも役立つだろう

• 標的型攻撃？それとも広範囲なウイルス感染？ – 標的型かどうかを判断するためにも他社の情報を入手する必要がある。多くの情報を集めて判断するクラウド型（ソーシャル型）ソリューションはメリットが大きい

2012年2月24日 20


スマートフォンのリスクアセスメント

• スマートフォンもガラパゴス化している – Androidのバージョンに関係なく、各社で様々な独自アプリをROMベースで提供している •システムの機能を拡張したり、課金用のアプリがプリインストールされていたりする

• クラウドサービスはウェブブラウザだけで利用していない – 多くのクラウドサービスはAPIを提供しており、これを利用

したアプリケーションがたくさんある。単にスマートフォンのプラットフォームだけではなく、サービスAPIやアプリベースでのリスクアセスメントが必要になる

2012年2月24日 21


IPAの取り組みのご紹介

IPAは中小企業に役立つセキュリティを提供しています

2012年2月24日 22


IPAセキュリティセンターのホームページ

• IPAセキュリティセン

ターでは様々な情報をホームページで公開しています – 5分間チェック – 対策のしおり – 脆弱性体験学習ツール – 脆弱性対策情報収集ツール MyJVN

– 情報セキュリティ白書など

2012年2月24日 23


対策のしおり

• 対策のしおり – ウイルス対策 – スパイウェア対策 – ボット対策 – 不正アクセス対策 – 情報漏えい対策 – 電子メール利用時の危険対策

– スマートフォンの利用など

2012年2月24日 24


脆弱性体験学習ツール - AppGoat

• AppGoat – 開発経験の浅い初心者か

ら上級者までが利用できる実習形式で体系的に学べるツール • 脆弱性の発見方法 • 対策

– 利用者は、学習テーマ毎に用意された演習問題に対して、対策手法の学習を対話的に実施 • 埋め込まれた脆弱性の発見

• プログラミング上の問題点の把握

2012年2月24日 25


MyJVN 脆弱性情報データベース

• MyJVN – セキュリティ上問題となるＰＣ

やサーバの脆弱性の対策を促進するために、対策情報を効率的に収集したり、簡単な操作で最新情報に基づいたチェックを行うことができる仕組み

• MyJVN が提供するセキュリティチェック機能 – お使いのＰＣやサーバにイン

ストールされたソフトウェア製品やシステムの設定が、危険な状態になっていないか

– ウイルス対策ソフトとあわせて利用することにより有効なセキュリティ対策が可能

2012年2月24日 26


情報セキュリティ白書

• 第I部 - 情報セキュリティの概況と分析 – 序章 2010年度の情報セ

キュリティの概況（トピックス10）

– 1章情報セキュリティインシデント・脆弱性の現状と対策

– 2章情報セキュリティを支える基盤

– 3章情報セキュリティ産業の動向

– 4章個別テーマ

• 第II部 - 2011年版10大脅威『進化する攻撃…その対策で十分ですか？』

2012年2月24日 27


お問い合わせは・・・

2012年2月24日 28

独立行政法人情報処理推進機構セキュリティセンター

〒113-6591 東京都文京区本駒込２－２８－８

文京グリーンコートセンターオフィス１６階ＴＥＬ０３（５９７８）７５０８／ＦＡＸ０３（５９７８）７５１８

電子メール [email protected] ＵＲＬ http://www.ipa.go.jp/security/

Documents

ユーザが知っておくべき クラウドセキュリティのポイント · – クラウド・コンピューティ ング社会の基盤に関す る研究会 報告書 •総務省

ユーザが知っておくべきクラウドセキュリティのポイント · – クラウド・コンピューティング社会の基盤に関する研究会報告書 •総務省