...

A-1.

by user

on
Category: Documents
5

views

Report

Comments

Description

Transcript

A-1.
~タブレット活用元年から考えてみる
スマートフォンセキュリティ~
2012年5月24日
西本逸郎
日本スマートフォンセキュリティ協会 理事
Itsuro Nishimoto.
Copyright ©2012 Itsuro Nishimoto
一般社団法人 日本スマートフォンセキュリティ協会
年会費24万円
入会金12万円
年会費6万円
入会金3万円
□利用部会
□技術部会
□PR部会
業界を横断した関係者が会し、
セキュリティをカットに、
スマートフォンの普及を後押しする。
Itsuro Nishimoto.
1
Copyright ©2012 Itsuro Nishimoto
わたし
にし
もと
いつ
ろう
西本 逸郎
昭和33年
昭和59年3月
昭和59年4月
昭和61年10月
CISSP
ブログ どらいつ
検索
@dry2
福岡県北九州市生まれ
熊本大学工学部土木工学科中退
情報技術開発株式会社入社
株式会社ラック入社
通信系ソフトウェアやミドルウェアの開発に従事。1993年ドイツのシーメンスニックスドルフ社と提
携し、オープンPOS( WindowsPOS)を世界に先駆け開発・実践投入。2000年よりセキュリティ事
業に身を転じ、日本最大級のセキュリティセンターJSOCの構築と立ち上げを行う。
さらなるIT利活用を図る上での新たな脅威への研究や対策に邁進中。
情報セキュリティ対策をテーマに官庁、大学、その他公益法人、企業、各種ITイベント、セミナーなどでの講演、
新聞・雑誌などへの寄稿等多数
国・企業・メディアが決して語らない
サイバー戦争の真実
株式会社ラック 専務理事 セキュリティ事業統括
サイバー救急センター 調査員
一般社団法人 日本スマートフォンセキュリティ協会 理事、事務局長
特定非営利活動法人 日本ネットワークセキュリティ協会 理事
データベースセキュリティコンソーシアム 理事、事務局長
セキュリティキャンプ実施協議会 会長
著者 : 西本逸郎・三好尊信
定価: 1,050 円(税込)
ページ数: 208
初版発行: 2012-02
ISBN: 978-4-8061-4293-5
2009年度情報化月間 総務省 国際戦略局長表彰
内閣官房 情報セキュリティ政策会議普及啓発・人材育成専門委員会 委員
総務省 スマートフォン・クラウドセキュリティ研究会 委員
経済産業省 サイバーセキュリティと経済 研究会 委員
警察庁 総合セキュリティ対策会議委員
産業技術大学院大学 運営諮問委員
Itsuro Nishimoto.
2
2011年7月に、米国防省が「サイバー攻
撃は戦争行為だ」との見解を表明し、サイ
バー空間は陸・海・空・宇宙に続く第5の戦
場として規定されました。本書は、現在のサ
イバースペースを取り巻く環境を紹介し、世
界各国や大企業の攻防から私達個人のセ
キュリティーまでをわかりやすく解説します。
Copyright ©2012 Itsuro Nishimoto
質問です。(1)
あなたの会社は
クラウドを活用している?
Yes?
No?
スマートフォンを活用している?
Yes?
Itsuro Nishimoto.
No?
3
Copyright ©2012 Itsuro Nishimoto
質問です。(2)
あなたは
スマートフォンを活用している?
Yes?
No?
クラウドを活用している?
Yes?
Itsuro Nishimoto.
No?
4
Copyright ©2012 Itsuro Nishimoto
質問です。(3)
システム管理者のあなたは
私物スマホの業務使用を認めたい?
Yes?
No?
あなたは
私物スマホを業務でも使用したい?
Yes?
Itsuro Nishimoto.
No?
5
Copyright ©2012 Itsuro Nishimoto
以上のことから分かること。
組織での、
スマホやクラウド利用は、始まっている。
消費者は、
スマホやクラウド利用を、どんどん進めている。
組織は、
私物スマホの業務利用には消極的。
消費者は、
私物スマホの業務利用に積極的。
スマートな消費者と、しがらみの組織
Itsuro Nishimoto.
6
Copyright ©2012 Itsuro Nishimoto
中国 高速鉄道事故からの教訓
ITなど技術に高度依存した高速鉄道。
http://www3.nhk.or.jp/news/html/20110726/t10014451491000.html
開通当初からトラブルは多発。
面子を保とうとしたことで、
決定的な事故を誘発?
それでも、楽天的。
自分は事故に遭遇しないと思っている。
どれもこれも、人のことを笑えない。
http://www.asahi.com/international/update/0730/TKY2011
07300420.html
Itsuro Nishimoto.
7
Copyright ©2012 Itsuro Nishimoto
津波対策に学ぶ
やっぱり!セキュリティも同じ!
http://kyushu.yomiuri.co.jp/news/national/20110727-OYS1T00614.htm
1.想定を信じるな!
子供だけではなく、
→ 想定とは、アリバイ作りである。
子供が動いたこと
で多くの大人も救
2.最善を尽くせ! われたらしい。
→ 予算ではない。
3.率先せよ!
→ 気が付いた人から。
土木学会 Web版「行動する技術者たち」
http://itpro.nikkeibp.co.jp/article/Interview/20070409/267753/
「逃げない人を逃がすには」 群馬大学大学院教授 片田敏孝氏
http://www.jsce.or.jp/contents/engineers/backnum/bn12.shtml
Itsuro Nishimoto.
8
Copyright ©2012 Itsuro Nishimoto
「生命ビッグバン」と「情報ビッグバン」
平成23年 5月25日
東京電機大学 未来科学部 学部長
東京大学名誉教授
CISSP
JSSEC設立記念講演会
日本スマートフォンセキュリティフォーラム
5.43億年前
眼の誕生
10億年前
安田 浩先生のスライドから
カンブリア紀前
海底で眼無し動物は受け身で暮らしていた
全動物が眼を持つ
カンブリア紀後
全動物は眼を持った
500万年間
検索エンジン
(遠隔眼)の誕生
50年間
情報ビッグバン前
全人類が遠隔眼を駆
使するはず
情報ビッグバン後
5000年前
PC98等パソコン
の出始め
1980年
2030年
デジタルクラウド
の完成
スマートフォンの出
番
Itsuro Nishimoto.
9
Copyright ©2012 Itsuro Nishimoto
「能動的変化」がキーワード
カンブリア紀
トフラーが唱えた「第三の波」
第一の波 農耕の開始
第二の波 産業革命
→ ドラッカーの見立て
第三の波 脱工業化社会
→ カンブリア紀との対比
いずれにせよ、受動→能動への変化が
新しい時代を作ってきた。
Itsuro Nishimoto.
10
Copyright ©2012 Itsuro Nishimoto
スマートな社会への誘い
私の、へぼい理解
スマート社会=高度IT依存社会
いやいや
→ 高度ソフトウェア依存社会
では?
実現すると言われている5年~10年後までに
ソフトウェア依存社会を形成できますか?
60歳の方 → 65歳~70歳。 20歳の方 → 25歳~30歳。 うーん。
関連技術者の社会的評価。
成長力への期待 → 日本だけですか?
Itsuro Nishimoto.
11
Copyright ©2012 Itsuro Nishimoto
一方、電力 それは困った問題。
1.計画停電、大規模停電への備え。
2.節電によるメリットの明確化。
節電、電力戦略
3.電力の見方の転換。 仕入れ・原価と管理費
4.事業継続にはITシステムが欠かせない
或いは事業そのものでもある。
5.水は低きに流れる。
電力が必須のIT → いずこへ? システムと端末
Itsuro Nishimoto.
12
Copyright ©2012 Itsuro Nishimoto
成長の原動力のはず。実態は。
自宅での業務は禁止
1.データの持ち帰り禁止。
2.私物パソコンの業務利用禁止。
3.私物パソコンの持ち込み禁止。
ファイル共有ソフトでの事件多発。
個人情報保護法の観点。
→ こういう国ってどのくらい
存在しているのだろうか?
→ 既に私物は使用されている。
私物は解禁というより追認か!?
Itsuro Nishimoto.
13
Copyright ©2012 Itsuro Nishimoto
私物解禁をどう考えるか?
1.従業員からの要求
① スマホの急拡大! → 生活技術
② 多くを持ちたくない!
③ 能力の最適化! → 場所・時間
ライフスタイル
2.企業側の事情
① コストダウン! → システムのクラウド化
端末は?
電気代、オフィス代
② しがらみからの脱却
→ 行きすぎた対策・スマートに
Itsuro Nishimoto.
14
Copyright ©2012 Itsuro Nishimoto
スマートフォンの位置づけ
企業利用を考えると
紙と
鉛筆
パソコン
スマートフォン
1.現段階で、スマートフォンのスマートな活用。
携帯
スマホ
タブレット
→ 正直、無理がある。
2.コストダウンと安全性を考慮した活用が無難。
→ 業務専用タブレット(簡易PCの位置づけ)
3.その中でスマートな活用に慣れていく。
紐がある すぐ使えない
紐がない すぐ使える
→ 2年間程度
ダウンサイジング
スマートフォンとクラウドの進化と定着
オープンシステム
EUC・使いこなし
社会的合意の形成
4.1年後を目途に次の展開を計画する。
→ 今後のワークスタイル・ライフスタイル
コストの変動費化と削減の推進。
Itsuro Nishimoto.
15
Copyright ©2012 Itsuro Nishimoto
私物解禁をどうとらえるか?
組織中心の
ワークスペース
人中心の
ワークスペース
従業員
従業員
組織
従業員
クラウド
サービス
従業員
従業員
従業員
コミュニティ
クラウド
サービス
ワークスタイルやライフ
スタイルが変革している
のだなぁ。
さて、どうやって
利用するか?
Itsuro Nishimoto.
家族
友人
16
Copyright ©2012 Itsuro Nishimoto
組織とスマートフォン
三つの関係
1.マーケティングなどに活用したい。(使用するのは個人)
→ どんどん活用!新しいビジネスモデルなど。
2.個人が利活用を図りたい。 → 生活技術
→ 圧倒的な普及速度。
業務利用 → BYOD、条件は?
3.組織が利活用を図りたい。 → もろ刃の刃
→ 確実に、従来アプローチ 本音はあまりやりたくない。
→ タブレット活用は大いに目がある。
PCでは、うまく使いこなせなかった。
スマホで再度出会う、業務とプライベート。ラストチャンスかも。
Itsuro Nishimoto.
17
Copyright ©2012 Itsuro Nishimoto
組織とスマートフォン
+スマホで事業
ゴールドラッシュの様相
個人情報やプライバシーに関わる情報の収集や取り扱い
→ 手続き、説明責任などあまり考慮できていない例が
お茶目なのか!? (笑)
→ 結果、サービスはつぶされる。
→ 問題ないアプローチへの支援
Itsuro Nishimoto.
18
Copyright ©2012 Itsuro Nishimoto
何故スマートフォンとセキュリティなのか?
利用者
マーケット安心・安全な
(アプリやサービスの自由化)
サービス
プラットフォーマ
通信
メーカ
政府
ソフト開発など 事業者
Itsuro Nishimoto.
19
Copyright ©2012 Itsuro Nishimoto
ポイント
アプリケーション開発とその流通
サービス提供
誰でも
参入できるぞ!
自由化
突入。
→
と、言うことは
○ セキュリティもプライバシーの保護も、
○ エコ 通信帯域や電池の節約も、
○ 品質も信頼も
開発者次第 → サービス提供者の理解
抜かると、大変な目に遭遇
Itsuro Nishimoto.
20
Copyright ©2012 Itsuro Nishimoto
ポイント
1.アプリ
危険度の測定
= 利用機能×配布数×ブランド
危険な機能→ 連絡帳、通話履歴、位置情報、端末情報など
悪意度(攻撃性)
= 危険度-説明×わかりやすさ
2.スマート利用
→ リテラシー
3.BYOD
→ リスクの理解と許容 → 事故前提
管理責任と責任分解点
Itsuro Nishimoto.
21
Copyright ©2012 Itsuro Nishimoto
不正プログラムの権限取得
Type - Doroid Dream
Type-Geinimi
アプリケーション
元になるプログラム
若しくは
ダミー機能
付加された
不正プログラム
アプリケーション
元になるプログラム
若しくは
ダミー機能
そもそも
そういうことを
行うプログラム
攻撃プログラム
不正
プログラム
脆弱性を
攻撃
GPS
インター
ネット
個人 電話 端末
・・・・
情報 発信 情報
GPS
OS
Itsuro Nishimoto.
インター
ネット
個人 電話 端末
・・・・
情報 発信 情報
OS
22
不正
プログラム
Copyright ©2012 Itsuro Nishimoto
話題になったアプリ
引用: https://market.android.com/details?id=jp.karelog.gpsmanager&feature=search_result
謎と分かったこと
1.プライバシーに直接関係する機能を使用したプログラム
→ 誰でも作成することが出来る。マーケットに置けるか?
2.端末にアプリをインストールするときに認証を行わない。
→ iPhoneとAndroidの違い。
逆にiPhoneはマニフェスト確認は存在しない。
3.無許可でインストールする行為は違法なのか?
→ 不正アクセス禁止法 × ウイルス(不正指令電磁的記録)供用罪(刑事) ?
4.無許可でプライバシーを監視する行為は違法なのか?
→ 徘徊者や子供、特定犯罪前科者、夫婦、恋人、他人
→ プライバシー侵害(民事)
Itsuro Nishimoto.
23
Copyright ©2012 Itsuro Nishimoto
話題になったアプリ
うむうむ
引用 : https://market.android.com/details?id=com.lsdroid.cerberus
1.アプリ本体は、所謂端末管理ソフト
→ カレログよりも強烈!などと別のサイトで記載。
→ このアプリの真の狙いは分からないけど、アプリの配布と
その利用方法は、分離されていく方向なのかもしれない。
所謂、攻略本。 わざと隠れ機能やバグを作っておく??
2.不正指令電磁的記録(ウイルス)とは、機能そのものではない。
→ 結果として、当事者がそう思うかどうか。包丁?ダガーナイフ
ダメなものはダメ。
Itsuro Nishimoto.
24
Copyright ©2012 Itsuro Nishimoto
この事件は?
やった人間がとんでもないのは
当たり前の話
要は
めちゃくちゃ
怪しい
① マーケット管理
→ 危険なアプリ
→ 攻撃性を持ったアプリ
② 開発者の見極め
→ 悪意のある開発者
→ しょぼい開発者
が、しかし。
連絡帳に知り合いを登録している
という意識は重要。
聞いたこともない開発者
自分の身を守れば良いというものでもない。
http://blog.esuteru.com/archives/6103412.html
Itsuro Nishimoto.
25
Copyright ©2012 Itsuro Nishimoto
こういう事件
そういえば、
この観点には、記憶がある。
そうそう。
SNSでのアプリ!
① アプリが使用する権限、② 開発者などから、
→ ③危険性、④攻撃性を見極め、⑤ 開発者の狙いを知る能力
標的は自分?友達?悪意の有無?違法性?
迷惑行為?嵌め手?詐欺?
最低のリテラシーかも。 → 友達や職を無くす。
Itsuro Nishimoto.
26
Copyright ©2012 Itsuro Nishimoto
こういう事件
注目したいこと
1.ウイルス作成罪の適用
→ そういう目的で作っている
2.個人情報保護法の適用
→ 個人情報取扱事業者
3.許可・確認の取り方
→ インストール時・権限行使時
Itsuro Nishimoto.
27
Copyright ©2012 Itsuro Nishimoto
スマートフォンを取り巻く状況
1.アプリケーション 誰でも開発配布できる。
A. マルウェア 入る手段 → インストール or 受動的 or 開発環境
A-1. 攻撃アプリ(システム領域)
A-2. そういう機能のアプリ
A-3. 勝手アプリ(個人情報収集、広告など)
B. 危険機能使用アプリ
B-1. MDM(管理アプリ)
マーケットの
課題ともいえる。
B-2. 偽装アプリ
C. 正直アプリ
C-1. 所謂真っ当なアプリ
C-2. 真っ当な勝手アプリ
Itsuro Nishimoto.
28
Copyright ©2012 Itsuro Nishimoto
参考:アプリとそのインストール
結構問題
便利・無料
勝手アプリ
不正
アプリ
海賊版
興味
Web閲覧
書類閲覧
やっかいかも
そういうアプリ
目を離した隙
強制的に
自分で
インストール
騙され
無知
盗聴
盗撮
勝手に
インストール
ソフトの
欠陥
使い方によっては危険
やっかいかも
情報漏えい
他人が
インストール
居所
行動
端末管理
リテラシ
通話履歴
メール
脅威の構造を
考えないと。
一番
現実的
紛失
盗難
壊れる
邪魔する
Itsuro Nishimoto.
29
Copyright ©2012 Itsuro Nishimoto
スマートフォンを取り巻く状況
2.プラットフォーマ → 新インフラ
位置情報データベース
ライフログ、アプリの流通、システム基盤
→ 重要基盤の上乗せ
3.重要基盤の上乗せと従来の監督領域
プライバシーと位置情報
→ たがの外れた統制
縦割りでの追従が困難
他の分野でも出るかもしれない
→ 医療?教育?
Itsuro Nishimoto.
30
Copyright ©2012 Itsuro Nishimoto
セキュリティは未来の礎
挑戦無くして、
未来はない。
No Challenge No Future!
Future!
未来、持続、幸せ
例えば、24時間365日
意思決定可能な会社
安心・安全というと
ちょっと違うような気がする
Challenge!
Security!
挑戦、努力
仕掛け・考慮・リテラシー
マネジメント
セキュリティ無しで、
挑戦しますか?
No Security No Challenge!
Itsuro Nishimoto.
未来もないのに、
セキュリティやりますか?
No Future No Security!
プロフェッショナル
テクノロジー
31
Copyright ©2012 Itsuro Nishimoto
組み込まれるセキュリティ
どこに、どのように組み込まれのか考えてみる。
ビジネス
仕掛け・考慮
?
リテラシー
文化・競争力
基盤・技術
社会サービス
Itsuro Nishimoto.
条約・法令など
32
安心・安全
Copyright ©2012 Itsuro Nishimoto
ありがとうございました。
Any question ?
33
Fly UP