Comments
Description
Transcript
A-1.
~タブレット活用元年から考えてみる スマートフォンセキュリティ~ 2012年5月24日 西本逸郎 日本スマートフォンセキュリティ協会 理事 Itsuro Nishimoto. Copyright ©2012 Itsuro Nishimoto 一般社団法人 日本スマートフォンセキュリティ協会 年会費24万円 入会金12万円 年会費6万円 入会金3万円 □利用部会 □技術部会 □PR部会 業界を横断した関係者が会し、 セキュリティをカットに、 スマートフォンの普及を後押しする。 Itsuro Nishimoto. 1 Copyright ©2012 Itsuro Nishimoto わたし にし もと いつ ろう 西本 逸郎 昭和33年 昭和59年3月 昭和59年4月 昭和61年10月 CISSP ブログ どらいつ 検索 @dry2 福岡県北九州市生まれ 熊本大学工学部土木工学科中退 情報技術開発株式会社入社 株式会社ラック入社 通信系ソフトウェアやミドルウェアの開発に従事。1993年ドイツのシーメンスニックスドルフ社と提 携し、オープンPOS( WindowsPOS)を世界に先駆け開発・実践投入。2000年よりセキュリティ事 業に身を転じ、日本最大級のセキュリティセンターJSOCの構築と立ち上げを行う。 さらなるIT利活用を図る上での新たな脅威への研究や対策に邁進中。 情報セキュリティ対策をテーマに官庁、大学、その他公益法人、企業、各種ITイベント、セミナーなどでの講演、 新聞・雑誌などへの寄稿等多数 国・企業・メディアが決して語らない サイバー戦争の真実 株式会社ラック 専務理事 セキュリティ事業統括 サイバー救急センター 調査員 一般社団法人 日本スマートフォンセキュリティ協会 理事、事務局長 特定非営利活動法人 日本ネットワークセキュリティ協会 理事 データベースセキュリティコンソーシアム 理事、事務局長 セキュリティキャンプ実施協議会 会長 著者 : 西本逸郎・三好尊信 定価: 1,050 円(税込) ページ数: 208 初版発行: 2012-02 ISBN: 978-4-8061-4293-5 2009年度情報化月間 総務省 国際戦略局長表彰 内閣官房 情報セキュリティ政策会議普及啓発・人材育成専門委員会 委員 総務省 スマートフォン・クラウドセキュリティ研究会 委員 経済産業省 サイバーセキュリティと経済 研究会 委員 警察庁 総合セキュリティ対策会議委員 産業技術大学院大学 運営諮問委員 Itsuro Nishimoto. 2 2011年7月に、米国防省が「サイバー攻 撃は戦争行為だ」との見解を表明し、サイ バー空間は陸・海・空・宇宙に続く第5の戦 場として規定されました。本書は、現在のサ イバースペースを取り巻く環境を紹介し、世 界各国や大企業の攻防から私達個人のセ キュリティーまでをわかりやすく解説します。 Copyright ©2012 Itsuro Nishimoto 質問です。(1) あなたの会社は クラウドを活用している? Yes? No? スマートフォンを活用している? Yes? Itsuro Nishimoto. No? 3 Copyright ©2012 Itsuro Nishimoto 質問です。(2) あなたは スマートフォンを活用している? Yes? No? クラウドを活用している? Yes? Itsuro Nishimoto. No? 4 Copyright ©2012 Itsuro Nishimoto 質問です。(3) システム管理者のあなたは 私物スマホの業務使用を認めたい? Yes? No? あなたは 私物スマホを業務でも使用したい? Yes? Itsuro Nishimoto. No? 5 Copyright ©2012 Itsuro Nishimoto 以上のことから分かること。 組織での、 スマホやクラウド利用は、始まっている。 消費者は、 スマホやクラウド利用を、どんどん進めている。 組織は、 私物スマホの業務利用には消極的。 消費者は、 私物スマホの業務利用に積極的。 スマートな消費者と、しがらみの組織 Itsuro Nishimoto. 6 Copyright ©2012 Itsuro Nishimoto 中国 高速鉄道事故からの教訓 ITなど技術に高度依存した高速鉄道。 http://www3.nhk.or.jp/news/html/20110726/t10014451491000.html 開通当初からトラブルは多発。 面子を保とうとしたことで、 決定的な事故を誘発? それでも、楽天的。 自分は事故に遭遇しないと思っている。 どれもこれも、人のことを笑えない。 http://www.asahi.com/international/update/0730/TKY2011 07300420.html Itsuro Nishimoto. 7 Copyright ©2012 Itsuro Nishimoto 津波対策に学ぶ やっぱり!セキュリティも同じ! http://kyushu.yomiuri.co.jp/news/national/20110727-OYS1T00614.htm 1.想定を信じるな! 子供だけではなく、 → 想定とは、アリバイ作りである。 子供が動いたこと で多くの大人も救 2.最善を尽くせ! われたらしい。 → 予算ではない。 3.率先せよ! → 気が付いた人から。 土木学会 Web版「行動する技術者たち」 http://itpro.nikkeibp.co.jp/article/Interview/20070409/267753/ 「逃げない人を逃がすには」 群馬大学大学院教授 片田敏孝氏 http://www.jsce.or.jp/contents/engineers/backnum/bn12.shtml Itsuro Nishimoto. 8 Copyright ©2012 Itsuro Nishimoto 「生命ビッグバン」と「情報ビッグバン」 平成23年 5月25日 東京電機大学 未来科学部 学部長 東京大学名誉教授 CISSP JSSEC設立記念講演会 日本スマートフォンセキュリティフォーラム 5.43億年前 眼の誕生 10億年前 安田 浩先生のスライドから カンブリア紀前 海底で眼無し動物は受け身で暮らしていた 全動物が眼を持つ カンブリア紀後 全動物は眼を持った 500万年間 検索エンジン (遠隔眼)の誕生 50年間 情報ビッグバン前 全人類が遠隔眼を駆 使するはず 情報ビッグバン後 5000年前 PC98等パソコン の出始め 1980年 2030年 デジタルクラウド の完成 スマートフォンの出 番 Itsuro Nishimoto. 9 Copyright ©2012 Itsuro Nishimoto 「能動的変化」がキーワード カンブリア紀 トフラーが唱えた「第三の波」 第一の波 農耕の開始 第二の波 産業革命 → ドラッカーの見立て 第三の波 脱工業化社会 → カンブリア紀との対比 いずれにせよ、受動→能動への変化が 新しい時代を作ってきた。 Itsuro Nishimoto. 10 Copyright ©2012 Itsuro Nishimoto スマートな社会への誘い 私の、へぼい理解 スマート社会=高度IT依存社会 いやいや → 高度ソフトウェア依存社会 では? 実現すると言われている5年~10年後までに ソフトウェア依存社会を形成できますか? 60歳の方 → 65歳~70歳。 20歳の方 → 25歳~30歳。 うーん。 関連技術者の社会的評価。 成長力への期待 → 日本だけですか? Itsuro Nishimoto. 11 Copyright ©2012 Itsuro Nishimoto 一方、電力 それは困った問題。 1.計画停電、大規模停電への備え。 2.節電によるメリットの明確化。 節電、電力戦略 3.電力の見方の転換。 仕入れ・原価と管理費 4.事業継続にはITシステムが欠かせない 或いは事業そのものでもある。 5.水は低きに流れる。 電力が必須のIT → いずこへ? システムと端末 Itsuro Nishimoto. 12 Copyright ©2012 Itsuro Nishimoto 成長の原動力のはず。実態は。 自宅での業務は禁止 1.データの持ち帰り禁止。 2.私物パソコンの業務利用禁止。 3.私物パソコンの持ち込み禁止。 ファイル共有ソフトでの事件多発。 個人情報保護法の観点。 → こういう国ってどのくらい 存在しているのだろうか? → 既に私物は使用されている。 私物は解禁というより追認か!? Itsuro Nishimoto. 13 Copyright ©2012 Itsuro Nishimoto 私物解禁をどう考えるか? 1.従業員からの要求 ① スマホの急拡大! → 生活技術 ② 多くを持ちたくない! ③ 能力の最適化! → 場所・時間 ライフスタイル 2.企業側の事情 ① コストダウン! → システムのクラウド化 端末は? 電気代、オフィス代 ② しがらみからの脱却 → 行きすぎた対策・スマートに Itsuro Nishimoto. 14 Copyright ©2012 Itsuro Nishimoto スマートフォンの位置づけ 企業利用を考えると 紙と 鉛筆 パソコン スマートフォン 1.現段階で、スマートフォンのスマートな活用。 携帯 スマホ タブレット → 正直、無理がある。 2.コストダウンと安全性を考慮した活用が無難。 → 業務専用タブレット(簡易PCの位置づけ) 3.その中でスマートな活用に慣れていく。 紐がある すぐ使えない 紐がない すぐ使える → 2年間程度 ダウンサイジング スマートフォンとクラウドの進化と定着 オープンシステム EUC・使いこなし 社会的合意の形成 4.1年後を目途に次の展開を計画する。 → 今後のワークスタイル・ライフスタイル コストの変動費化と削減の推進。 Itsuro Nishimoto. 15 Copyright ©2012 Itsuro Nishimoto 私物解禁をどうとらえるか? 組織中心の ワークスペース 人中心の ワークスペース 従業員 従業員 組織 従業員 クラウド サービス 従業員 従業員 従業員 コミュニティ クラウド サービス ワークスタイルやライフ スタイルが変革している のだなぁ。 さて、どうやって 利用するか? Itsuro Nishimoto. 家族 友人 16 Copyright ©2012 Itsuro Nishimoto 組織とスマートフォン 三つの関係 1.マーケティングなどに活用したい。(使用するのは個人) → どんどん活用!新しいビジネスモデルなど。 2.個人が利活用を図りたい。 → 生活技術 → 圧倒的な普及速度。 業務利用 → BYOD、条件は? 3.組織が利活用を図りたい。 → もろ刃の刃 → 確実に、従来アプローチ 本音はあまりやりたくない。 → タブレット活用は大いに目がある。 PCでは、うまく使いこなせなかった。 スマホで再度出会う、業務とプライベート。ラストチャンスかも。 Itsuro Nishimoto. 17 Copyright ©2012 Itsuro Nishimoto 組織とスマートフォン +スマホで事業 ゴールドラッシュの様相 個人情報やプライバシーに関わる情報の収集や取り扱い → 手続き、説明責任などあまり考慮できていない例が お茶目なのか!? (笑) → 結果、サービスはつぶされる。 → 問題ないアプローチへの支援 Itsuro Nishimoto. 18 Copyright ©2012 Itsuro Nishimoto 何故スマートフォンとセキュリティなのか? 利用者 マーケット安心・安全な (アプリやサービスの自由化) サービス プラットフォーマ 通信 メーカ 政府 ソフト開発など 事業者 Itsuro Nishimoto. 19 Copyright ©2012 Itsuro Nishimoto ポイント アプリケーション開発とその流通 サービス提供 誰でも 参入できるぞ! 自由化 突入。 → と、言うことは ○ セキュリティもプライバシーの保護も、 ○ エコ 通信帯域や電池の節約も、 ○ 品質も信頼も 開発者次第 → サービス提供者の理解 抜かると、大変な目に遭遇 Itsuro Nishimoto. 20 Copyright ©2012 Itsuro Nishimoto ポイント 1.アプリ 危険度の測定 = 利用機能×配布数×ブランド 危険な機能→ 連絡帳、通話履歴、位置情報、端末情報など 悪意度(攻撃性) = 危険度-説明×わかりやすさ 2.スマート利用 → リテラシー 3.BYOD → リスクの理解と許容 → 事故前提 管理責任と責任分解点 Itsuro Nishimoto. 21 Copyright ©2012 Itsuro Nishimoto 不正プログラムの権限取得 Type - Doroid Dream Type-Geinimi アプリケーション 元になるプログラム 若しくは ダミー機能 付加された 不正プログラム アプリケーション 元になるプログラム 若しくは ダミー機能 そもそも そういうことを 行うプログラム 攻撃プログラム 不正 プログラム 脆弱性を 攻撃 GPS インター ネット 個人 電話 端末 ・・・・ 情報 発信 情報 GPS OS Itsuro Nishimoto. インター ネット 個人 電話 端末 ・・・・ 情報 発信 情報 OS 22 不正 プログラム Copyright ©2012 Itsuro Nishimoto 話題になったアプリ 引用: https://market.android.com/details?id=jp.karelog.gpsmanager&feature=search_result 謎と分かったこと 1.プライバシーに直接関係する機能を使用したプログラム → 誰でも作成することが出来る。マーケットに置けるか? 2.端末にアプリをインストールするときに認証を行わない。 → iPhoneとAndroidの違い。 逆にiPhoneはマニフェスト確認は存在しない。 3.無許可でインストールする行為は違法なのか? → 不正アクセス禁止法 × ウイルス(不正指令電磁的記録)供用罪(刑事) ? 4.無許可でプライバシーを監視する行為は違法なのか? → 徘徊者や子供、特定犯罪前科者、夫婦、恋人、他人 → プライバシー侵害(民事) Itsuro Nishimoto. 23 Copyright ©2012 Itsuro Nishimoto 話題になったアプリ うむうむ 引用 : https://market.android.com/details?id=com.lsdroid.cerberus 1.アプリ本体は、所謂端末管理ソフト → カレログよりも強烈!などと別のサイトで記載。 → このアプリの真の狙いは分からないけど、アプリの配布と その利用方法は、分離されていく方向なのかもしれない。 所謂、攻略本。 わざと隠れ機能やバグを作っておく?? 2.不正指令電磁的記録(ウイルス)とは、機能そのものではない。 → 結果として、当事者がそう思うかどうか。包丁?ダガーナイフ ダメなものはダメ。 Itsuro Nishimoto. 24 Copyright ©2012 Itsuro Nishimoto この事件は? やった人間がとんでもないのは 当たり前の話 要は めちゃくちゃ 怪しい ① マーケット管理 → 危険なアプリ → 攻撃性を持ったアプリ ② 開発者の見極め → 悪意のある開発者 → しょぼい開発者 が、しかし。 連絡帳に知り合いを登録している という意識は重要。 聞いたこともない開発者 自分の身を守れば良いというものでもない。 http://blog.esuteru.com/archives/6103412.html Itsuro Nishimoto. 25 Copyright ©2012 Itsuro Nishimoto こういう事件 そういえば、 この観点には、記憶がある。 そうそう。 SNSでのアプリ! ① アプリが使用する権限、② 開発者などから、 → ③危険性、④攻撃性を見極め、⑤ 開発者の狙いを知る能力 標的は自分?友達?悪意の有無?違法性? 迷惑行為?嵌め手?詐欺? 最低のリテラシーかも。 → 友達や職を無くす。 Itsuro Nishimoto. 26 Copyright ©2012 Itsuro Nishimoto こういう事件 注目したいこと 1.ウイルス作成罪の適用 → そういう目的で作っている 2.個人情報保護法の適用 → 個人情報取扱事業者 3.許可・確認の取り方 → インストール時・権限行使時 Itsuro Nishimoto. 27 Copyright ©2012 Itsuro Nishimoto スマートフォンを取り巻く状況 1.アプリケーション 誰でも開発配布できる。 A. マルウェア 入る手段 → インストール or 受動的 or 開発環境 A-1. 攻撃アプリ(システム領域) A-2. そういう機能のアプリ A-3. 勝手アプリ(個人情報収集、広告など) B. 危険機能使用アプリ B-1. MDM(管理アプリ) マーケットの 課題ともいえる。 B-2. 偽装アプリ C. 正直アプリ C-1. 所謂真っ当なアプリ C-2. 真っ当な勝手アプリ Itsuro Nishimoto. 28 Copyright ©2012 Itsuro Nishimoto 参考:アプリとそのインストール 結構問題 便利・無料 勝手アプリ 不正 アプリ 海賊版 興味 Web閲覧 書類閲覧 やっかいかも そういうアプリ 目を離した隙 強制的に 自分で インストール 騙され 無知 盗聴 盗撮 勝手に インストール ソフトの 欠陥 使い方によっては危険 やっかいかも 情報漏えい 他人が インストール 居所 行動 端末管理 リテラシ 通話履歴 メール 脅威の構造を 考えないと。 一番 現実的 紛失 盗難 壊れる 邪魔する Itsuro Nishimoto. 29 Copyright ©2012 Itsuro Nishimoto スマートフォンを取り巻く状況 2.プラットフォーマ → 新インフラ 位置情報データベース ライフログ、アプリの流通、システム基盤 → 重要基盤の上乗せ 3.重要基盤の上乗せと従来の監督領域 プライバシーと位置情報 → たがの外れた統制 縦割りでの追従が困難 他の分野でも出るかもしれない → 医療?教育? Itsuro Nishimoto. 30 Copyright ©2012 Itsuro Nishimoto セキュリティは未来の礎 挑戦無くして、 未来はない。 No Challenge No Future! Future! 未来、持続、幸せ 例えば、24時間365日 意思決定可能な会社 安心・安全というと ちょっと違うような気がする Challenge! Security! 挑戦、努力 仕掛け・考慮・リテラシー マネジメント セキュリティ無しで、 挑戦しますか? No Security No Challenge! Itsuro Nishimoto. 未来もないのに、 セキュリティやりますか? No Future No Security! プロフェッショナル テクノロジー 31 Copyright ©2012 Itsuro Nishimoto 組み込まれるセキュリティ どこに、どのように組み込まれのか考えてみる。 ビジネス 仕掛け・考慮 ? リテラシー 文化・競争力 基盤・技術 社会サービス Itsuro Nishimoto. 条約・法令など 32 安心・安全 Copyright ©2012 Itsuro Nishimoto ありがとうございました。 Any question ? 33