Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
独立行政法人 情報処理推進機構
技術本部セキュリティセンター
河野 省二
ユーザが知っておくべき クラウドセキュリティのポイント
2012年2月24日 1
Copyright © 2012 IPA
アジェンダ
• クラウドセキュリティ – クラウドコンピューティングで何が変わったのか – クラウドサービスのリスクマネジメント – クラウドサービスをセキュリティ向上に役立てる
• IPAの紹介 – IPAのセキュリティに関する取り組み – セキュリティ関連資料の紹介 – セキュリティ関連ツールの紹介
2012年2月24日 2
Copyright © 2012 IPA
クラウドコンピューティングで なにが変わったのか?
クラウドセキュリティをまじめに考えてみる
2012年2月24日 3
Copyright © 2012 IPA
リスクマネジメントの基本から
• クラウドセキュリティの前に・・・ – そもそも「リスクマネジメントの基本」に忠実に判断するべきではないだろうか
– 「データがどこにあるのかわからないのが気持ち悪い」というのは不安であって、科学的なリスクではない
• クラウドサービス利用で何が変わったのか – 変化を正しく把握できなければリスクアセスメントができない
– クラウドサービスを利用するメリットがわからなければリスク評価ができない
2012年2月24日 4
Copyright © 2012 IPA
クラウドコンピューティグの特徴
• まずはクラウドコンピューティングの特徴から変化を知ることにしましょう
• NIST SO-800-145の定義では – オンデマンドセルフサービス (On-demand self-service) – 広範囲なネットワークからのアクセス (Broad network
access) – リソースの共有 (Resource pooling) – 迅速な対応 (Rapid elasticity) – 従量課金制 (Measured Service)
2012年2月24日 5
Copyright © 2012 IPA
メリット
• システム調達までに時間がかからない
• クレジットカード一つで立ち上げることができる
リスク
• 管理用アカウントを奪取されることで、システムのオン・オフやシステムの拡張・縮小などを行われてしまう
2012年2月24日 6
On-demand self-service
Copyright © 2012 IPA
メリット
• どこからでもシステムを利用することができる
• 様々なデバイスを想定したシステム構築を検討できる
リスク
• 新たなデバイスへの対応 – スマートフォン、タブレット、携
帯など
• 管理外のネットワークからの利用 – 公衆ネットワークからのアク
セスの制御 – アクセス履歴の管理ができな
い
2012年2月24日 7
Broad network access
Copyright © 2012 IPA
メリット
• 共有によるシステム調達のコストダウン – 初期投資、運用費用
リスク
• 他者とのデータの混在 – ハードウェアレベルでのセ
キュリティができない – データ管理の状況が把握で
きない
• 個別ログの取得が困難 – システムが共有されているた
めにログも共有のものとなることがある
2012年2月24日 8
Resource pooling
Copyright © 2012 IPA
メリット
• 柔軟なプロビジョニング – 追加投資を自由に行うことが
できる
リスク
• 予算超過 – 不適切な利用や攻撃によっ
て、予算以上にシステムが利用されてしまう
2012年2月24日 9
Rapid elasticity
Copyright © 2012 IPA
メリット
• システムの利用状況の見える化 – 誰がどれだけシステムを利
用しているのかを知ることができる
– 事業計画に応じたシステム利用となっているかを確認することができる
リスク
• 特にない – が、不要なシステムやサービ
スが露見し、企画担当者が経営陣から叱責されるかもしれません・・・
2012年2月24日 10
Measured Service
Copyright © 2012 IPA
それぞれの組織にとっては?
• ここで例示したのは一般的な内容です – リスクアセスメントはみなさんの組織や団体における事業目的や計画、環境によって異なります
– クラウドサービス利用のメリットとそれに伴うリスクを正しく把握して、適切なリスクマネジメントを実施して下さい
• 中小企業のみなさんのためにIPAではクラウドサービス利用のチェックシートを作成しました – 中小企業のためのクラウドサービス安全利用の手引き – クラウド事業者による情報開示の参照ガイド
2012年2月24日 11
Copyright © 2012 IPA
中小企業のための クラウドサービス安全利用の手引き
2012年2月24日 12
http://www.ipa.go.jp/security/cloud/tebiki_guide.html
Copyright © 2012 IPA
クラウドサービス利用のための 情報セキュリティマネジメントガイドライン
2012年2月24日 13
http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html
Copyright © 2012 IPA
その他のガイドラインなど
• 経済産業省 – クラウドサービス利用のための情報セキュリティマネジメントガイドライン
– SaaS向けSLAガイドライン
• IPA – クラウド・コンピューティング社会の基盤に関する研究会 報告書
• 総務省 – スマート・クラウド研究会
報告書 – ASP・SaaS における 情報
セキュリティ対策ガイドライン
– 地方公共団体におけるASP・SaaS導入活用ガイドライン
• 海外 – Cloud Security Alliance – ENISA – NIST SP800-
144,145,146
2012年2月24日 14
Copyright © 2012 IPA
クラウドサービスを セキュリティ向上に役立てる
クラウドサービス利用でセキュリティ向上
2012年2月24日 15
Copyright © 2012 IPA
電子メールの添付書類の罠
2012年2月24日 16
課長が部門の5人にエクセル
で管理表を送付しました。社
員がこれらに記入してメール
に添付して課長に返信した場
合、添付書類は全部でいくつ
になったでしょうか?
Copyright © 2012 IPA
では、計算してみましょう・・・
2012年2月24日 17
課長のPC 課長のメーラー 部下のメーラー 部下のPC
1
2 3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
25
26
27
28
29
Copyright © 2012 IPA
メールに添付せずにファイル交換を・・・
• メールへの添付による脆弱性の増加 – 情報資産が増えれば管理コストが増大し、さらに管理ミスや管理漏れが発生する可能性も増加する
– データオーナー(情報主体)が管理できない情報資産が増加する • メールで送った情報は取り戻せない •ファイルはアクセス権を伴って流れていく
• アクセス権のあるデータ管理をするために – 情報の一元化とライフタイムにわたるアクセス管理 – 定期的なバックアップと資産管理 – クラウドサービスではこのような機能を有しているものが多数あります
2012年2月24日 18
Copyright © 2012 IPA
アカウンタビリティを明確にすることで・・・
• クラウドの特徴である「Measured Service」はITサービス利用のアカウンタビリティの確保に役立ちます – アカウンタビリティ(課金)もMeasured Service(従量課
金)ももともとはユーザの利用状況を明確にするための機能である
– ユーザが何をしているのかを把握できる機能があるクラウドをID管理の基盤とすることで、中小企業であれば低コストでITの内部統制を実現することができる
• クラウド利用におけるセキュリティ上のメリットを理解することが重要
2012年2月24日 19
Copyright © 2012 IPA
アンチウイルスソリューションでは・・・
• クラウド型(ソーシャル型)のアンチウイルスソリューションなら、ゼロデイ攻撃にも対抗できる可能性がある – 自社だけでインターネット全体のウイルスの感染状況を把握するのは難しい
– 情報を出し合う形で統計情報を共有する(ソーシャルな)ソリューションは未知のウイルス検知にも役立つだろう
• 標的型攻撃?それとも広範囲なウイルス感染? – 標的型かどうかを判断するためにも他社の情報を入手する必要がある。多くの情報を集めて判断するクラウド型(ソーシャル型)ソリューションはメリットが大きい
2012年2月24日 20
Copyright © 2012 IPA
スマートフォンのリスクアセスメント
• スマートフォンもガラパゴス化している – Androidのバージョンに関係なく、各社で様々な独自アプリをROMベースで提供している •システムの機能を拡張したり、課金用のアプリがプリインストールされていたりする
• クラウドサービスはウェブブラウザだけで利用していない – 多くのクラウドサービスはAPIを提供しており、これを利用
したアプリケーションがたくさんある。単にスマートフォンのプラットフォームだけではなく、サービスAPIやアプリベースでのリスクアセスメントが必要になる
2012年2月24日 21
Copyright © 2012 IPA
IPAの取り組みのご紹介
IPAは中小企業に役立つセキュリティを提供しています
2012年2月24日 22
Copyright © 2012 IPA
IPAセキュリティセンターのホームページ
• IPAセキュリティセン
ターでは様々な情報をホームページで公開しています – 5分間チェック – 対策のしおり – 脆弱性体験学習ツール – 脆弱性対策情報収集ツール MyJVN
– 情報セキュリティ白書 など
2012年2月24日 23
Copyright © 2012 IPA
対策のしおり
• 対策のしおり – ウイルス対策 – スパイウェア対策 – ボット対策 – 不正アクセス対策 – 情報漏えい対策 – 電子メール利用時の危険対策
– スマートフォンの利用 など
2012年2月24日 24
Copyright © 2012 IPA
脆弱性体験学習ツール - AppGoat
• AppGoat – 開発経験の浅い初心者か
ら上級者までが利用できる実習形式で体系的に学べるツール • 脆弱性の発見方法 • 対策
– 利用者は、学習テーマ毎に用意された演習問題に対して、対策手法の学習を対話的に実施 • 埋め込まれた脆弱性の発見
• プログラミング上の問題点の把握
2012年2月24日 25
Copyright © 2012 IPA
MyJVN 脆弱性情報データベース
• MyJVN – セキュリティ上問題となるPC
やサーバの脆弱性の対策を促進するために、対策情報を効率的に収集したり、簡単な操作で最新情報に基づいたチェックを行うことができる仕組み
• MyJVN が提供するセキュリティチェック機能 – お使いのPCやサーバにイン
ストールされたソフトウェア製品やシステムの設定が、危険な状態になっていないか
– ウイルス対策ソフトとあわせて利用することにより有効なセキュリティ対策が可能
2012年2月24日 26
Copyright © 2012 IPA
情報セキュリティ白書
• 第I部 - 情報セキュリティの概況と分析 – 序章 2010年度の情報セ
キュリティの概況(トピックス10)
– 1章 情報セキュリティインシデント・脆弱性の現状と対策
– 2章 情報セキュリティを支える基盤
– 3章 情報セキュリティ産業の動向
– 4章 個別テーマ
• 第II部 - 2011年版10大脅威『進化する攻撃…その対策で十分ですか?』
2012年2月24日 27
Copyright © 2012 IPA
お問い合わせは・・・
2012年2月24日 28
独立行政法人 情報処理推進機構 セキュリティセンター
〒113-6591 東京都文京区本駒込2-28-8
文京グリーンコート センターオフィス16階 TEL 03(5978)7508/FAX 03(5978)7518
電子メール [email protected] URL http://www.ipa.go.jp/security/