...

1 イスラエルにおけるファイル保護技術に関する動向調査報告書概要

by user

on
Category: Documents
13

views

Report

Comments

Transcript

1 イスラエルにおけるファイル保護技術に関する動向調査報告書概要
イスラエルにおけるファイル保護技術に関する動向調査報告書概要
1
依頼内容
イスラエルでは、ビジネスの様々な場面でファイル保護技術が使用されている。特に、医療
や金融等の分野では、重要な情報を秘匿するための有効な手段として、ファイル保護技術が広
く普及している。そこで、イスラエルにおけるファイル保護技術(ファイル回復、鍵回復等を
含む)の現状について調査を実施する。
○ 調査項目
イスラエルにおける:
① ファイル保護技術の動向(政府機関、研究機関、民間企業等の動向)。
② 開発・導入されている技術動向(ファイル回復、不正削除対策等を含む)。
③ ファイル保護技術に関して、政府機関が推進しているプログラムや政策。
④ この分野において策定・採用されている標準の有無及び内容。
2
報告書概要
(1) イスラエルの企業等で利用されているファイル保護技術(1 章)
○ イスラエルの産業界が直面する脅威
・組織の内外からファイルに対して攻撃が来る可能性あり
・ファイルを攻撃する主な手がかり(脆弱性)
・脆弱な認証・・・データベース等へのアクセス可能性を探索
・自動記録の脆弱性・・・監査ポリシーの脆弱性を突く攻撃を受ける可能性
・バックアップデータ露出・・・攻撃の対象であることを忘れてはならない
・データベースプラットフォームの脆弱性・・・OS の脆弱性も攻撃の対象である
・正当な権限の悪用・・・業務を超える権限の付与は、内部犯行に繋がる
・特権昇格・・・脆弱性を突いて権利者権限を奪取する
・DoS・・・正当なユーザによるアクセスを阻害する攻撃
(2) 保護するための技術の動向(2 章)
○ 1 章で列挙したファイル攻撃の手がかりに対する解決策
・強力な認証・・・多重認証(トークン、認証書、生体情報等の組み合わせ)
高価な場合、パスワード等の文字数を長くする等
・認証の保護・・・ログイン検知、認証評価による認証の強度の維持
・ディレクトリ統合・・ディレクトリインフラを利用して、ログイン情報を統一的に管理
・ログイン失敗検知・・・失敗許容回数及び時間の設定
1
・パスワードポリシー評価・・・パスワードに関する規定の強度を評価
・ミラー技術・・・ファイルの複製を遠隔地に置く技術、低速度の接続で利用される
・オンライン/オフライン保護・・・データ運搬中の保護も必要
・侵入予防技術・・・侵入検知・予防システムを利用してネットワーク機器を保護
・Endpoint Security・・・あらゆるセキュリティ製品を統合して保護を強化できる
・仮想セキュリティプラットフォーム技術・・・主に ISP 向け、大規模環境向け
最大 250 のネットワーク機器を管理可能
・報告管理・・・管理者が管理しやすいように、セキュリティポリシーの有効性を報告
(3) 対策・保護ツール(3 章)
○ ファイル保護を提供する企業及び技術の紹介(企業名、主な開発技術)
・リカバリーと削除防止分野
企業名
主な開発技術
NetZ
主として災害対策・回復に係るセキュリティ製品・サービスを提供
SecureOL
攻撃されても被害を出さない技術・サービスを仮想化により提供
DataMills
バックアップ世代を自動管理し、迅速な復元が可能な技術
Repliweb
様々なネットワーク環境におけるファイル複製、コンテンツ同期技術
Covertix
組織内外で文書ファイル等の動向を追跡、監視、管理する技術を提供
XOsoft
企業の情報資産の複製管理、迅速な回復を実現する製品を開発
Hexalock
デジタルコンテンツの違法複製防止ソリューションを提供
・保護的セキュリティ分野
企業名
主な開発技術
Finjan
企業ネットワークの web ゲートウェイを保護する技術
ControlGuard
企業のファイル・データの保護、複製・移動禁止等
Sentrigo
ファイルやデータベースを監視し、保護する技術を開発
Hackstrick
機密ファイルの転送状況を監視、不正使用・産業スパイ対策
Bsafe
IBM 製品のためのネットワーク・ファイル保護技術
Information
Systems
Gita Technologies
通信の保護、ネットワーク保護、信号解析等に特化した技術
・著作権侵害対策分野
企業名
主な開発技術
CheckPoint
主としてビジネス相互間の安全な仮想ネットワークを提供
San-Disk
パスワードで保護できる USB ドライブを開発・提供
2
Aladdin
開発者向けのソフトウェア保護ツールを提供
Cyber Ark
仮想 WAN 構築、安全なファイル共有技術、ファイル保護技術を
提供
Algoritmic
Firewall の分析・評価、ポリシーとの整合性を報告
Research
Applicure
企業の Web を、外部からの攻撃や悪用から保護するソリューシ
ョン
Imperva Israel
Web アプリやデータベース等を統合的に保護する Firewall を開
発
Innovia R&D
生体情報の蓄積を必要としない生体認証ソリューションを開発
(4) ビジネス業界におけるファイル保護現状調査(4 章)
○ 企業や大学におけるファイル保護技術の導入状況について調査
○ 質問項目及び回答例
①
質問項目
回答例
使用するファイル保護技
導入しているが、企業の特色に合わせて改良する場合
術
が多く、開発者自身も侵入できないようになってい
る。
②
重要視する項目(メッセ
ウイルス対策、Firewall は概ね導入。人事データの保
ージ、削除防止、ファイ
護が主要。バックアップ。
ル回復、オン・オフライ
ン保護等)
③
これらの技術の選択・決
IT 部門、データベース管理者、ネットワーク管理者等。
定者
④
⑤
ISO 標準への準拠考慮の
大企業は ISO 標準に準拠するよう法律で規定。殆どの
有無
企業で ISO 準拠を要求。
イスラエル国産と海外産
国産製品への拘りは特にない。
製品
⑥
導入した技術の信頼性評
評価は頻繁に行われている。
価の頻度、新たな技術の
導入検討の有無
⑦
組織として侵入報告書の
侵入事案に関する報告書は作成しているが、開示はし
作成有無
ない。
3
⑧
侵入事案が起きた場合の
事件発生の場合、Regulation 357 の規定に基づいて
規定
対処する。Regulation 357 は、ファイル・データの
保護に関する規定。
⑨
職員が自宅から仕事をす
金融機関等、重要な情報を扱う組織では、自宅からの
る場合の規定
仕事を禁止。その他の企業では VPN を導入。複製す
る場合は、暗号化したディスクに保管。
⑩
職場の PC を紛失した場
殆どの企業では、重要な情報は内部に留めている。
合に備えて、その内部に
あるデータは保護されて
いるか
○ Israel Institute of Technology(Technion)での、情報セキュリティの規則例:
① ファイルとデータ機密保護管理(Management of file and data security)
② 情 報 セ キ ュ リ テ ィ リ ス ク の 特 性 分 類 と 評 価 ( Classification of properties and
evaluating information security risks)
③ 情 報 セ キ ュ リ テ ィ リ ス ク 調 査 と 制 御 さ れ た 侵 入 テ ス ト の 導 入 ( Conducting
Information Security Risks Surveys and controlled penetration tests)
④ 攻撃とウイルスに対する防御(Protection from attacks and viruses)
⑤ バックアップ情報の保護(Backup protection)
⑥ 組織外の機微なファイルと情報の抽出処理(Process of letting out sensitive files and
information outside of the organization)
⑦ フ ァ イ ル と 情 報 漏 洩 に 対 す る 対 処 ( Reaction to security events of file and
information breach)
⑧ 暗号化システム
⑨ 職員のインターネット接続(Connecting employees to the Internet)
⑩ オンラインサービスと渉外(Online services and commerce).
特に、ファイルの保護に関しては、
・ポリシー
:ファイル保護に関する一般的手続きとガイドライン
・規則
:様々なユーザに対する義務的な規則
・ウイルス対策ソフト
:配布とアップデート管理
・Firewall
:組織内に設置された Firewall の管理
を行っている。
4
(5) イスラエル政府のファイル保護(5 章)
イスラエルでは、ここ数年で、政府レベルの文書やファイリング形式が電子化され、地方自
治体への浸透が進みつつある。又、市民への情報提供や申請フォーマットの提供するためのウ
ェブサイトや、イスラエルの市民の便宜のために、各部局の専用サイトが同様に開設され、統
一的なエントリー窓口からリンクが張られている。そのため、政府のサービスによって提供さ
れる個人情報のプライバシーおよびセキュリティを保証することが要求されている。主要な政
府ウェブサイトにおいて、サイト上の個人情報を含むファイルに関する安全性の管理責任は、
政府レベルにあり、首相府および財務省の管理に委ねられている。以下のようなシステムがそ
の例である。
○ Tehila(財務省主管のプロジェクト)
・1997 年に開始、インターネットを活用して、市民サービスを充実させる目的
・セキュリティを強化したインターネットインフラを政府機関に提供
・e 政府のインフラを提供
・政府機関の Web サイトを運営
・2008 年中、約 90,000 件の攻撃が試みられている
・メールサーバは一日平均 85,000 通(約 30GB)、最大 550,000 通のメールを処理
・一日当たり 100 回のウイルス攻撃を受け、約 80,000 通の有害メッセージを受信
・毎週、約 51,000 件の攻撃が政府機関の Web サイトで受けている
○ Shoham(政府機関に対するオンライン支払いサービス)
・2001 年∼2002 年に掛けて開発され、20 サービスを提供(徴税、罰金、免許更新等)
・2002 年中、約 2 億 5 千万シェケル(約 55 億円)の決済が行われた
○ Tamar
・政府データベース接続のための電子署名を利用したセキュリティシステム
又、「電子政府」構造について技術的に記述し、かつ、「電子政府」プログラムの実現に必
要なセキュリティ機能を詳述するための 5 階層モデルが開発されている。
・Layer 1:政府内通信基盤(Inter-governmental communication infrastructure)
・Layer 2:共通アプリケーション層(Horizontal applications)
・Layer 3:市民アクセス基盤(Infrastructure for the citizen)
・Layer 4:市民アプリケーション層(Applications for citizen service)
・Layer 5:支援と普及(Support and assimilation)
又、Tehila 開発プロジェクトの一環としてイスラエル CERT(www.cert.gov.il)が、2005
年に設立されている。イスラエル CERT の役割は、
・政府機関に対するセキュリティ助言の提供
・ファイルや情報侵害事案への対応を実施
5
・CERT の Web サイトでは、政府機関への攻撃の状況を示す電子地図を公表
・ハード/ソフトで発見された欠陥、脆弱性、バグ等に関する情報を危険度と共に掲示、開
発者のサイト、解決策についても提供
・情報保護、データ保護、ファイル保護に関する報告書、記事を掲載
(6) イスラエルにおけるファイル保護関連法(6 章)
○ The Protection of Privacy Law(プライバシー保護法)
・1981 年制定、イスラエル市民のプライバシー保護を謳う法律
・個人情報を収集する個人・企業は、集める事の許可を各個人から受ける必要があり、収
集した情報を保護しなければならない(違反者は 5 年以下の懲役)
・データベースから情報の削除を要請する権利を市民に与えている
○ The Anti Spam Law(スパム規制法)
・Communication Law を 2008 年 5 月に改正、email、fax、SMS 等のスパムを規制
○ The Right of the Patient’s Law(患者の権利保護法)
・1996 年制定、患者の医療記録を機密情報と定義
・医療記録をどのように保護すべきか、病院職員(退職後も含む)の規制方法を規定
・医療記録の病院間転送方法についても規定
(7) イスラエルにおけるファイル保護の標準化(7 章)
ファイル保護に関連する国際標準は ISO 17799、ISO 27001 の 2 つが存在し、イスラエル
もこの標準に準拠している。
(8) 保存中及び転送中のファイル保護(8 章)
○ 転送中又は保存されたファイルを保護するための技術とシステムを紹介
・認証と認可(必須の基本サービス)
・機密性と完全性(暗号化、デジタル署名、メッセージ認証)
・可用性(暗号化、バックアプの作成等)
・監査及び侵入検知(ログの管理、アクセス管理)
○ USB - 可搬型記録媒体
・情報漏洩のリスクを低減させるための方策
・個人所有の記憶媒体に関する組織のポリシーの明確化
・組織所有の記憶媒体を使わせる
・装置が完全に暗号化されていることを確認する
・セキュリティ機構を回避できないことを確認する
6
・装置に記録されたデータの監査証跡を保持する
・記憶媒体に保存されているデータの回復を可能にする
・可搬記憶媒体の使用を管理できる体制をつくる
・ファイルに対する攻撃の種類
・Brute Force 攻撃(パスワードや暗号鍵を推定する手法)
・Parallel 攻撃(複数のコンピュータで並行して実施する Brute Force 攻撃)
・Cold Boot 攻撃(揮発性メモリの中身を素早く抜き取って解析する手法)
・Malicious コード(USB の利用に際して実行され、暗号化機構を無効化できる)
○ 保存されたハードコピー及び電子ファイルの保護
・法律により、ファイルの重要度の分類方法を規定
・ファイルの保存方法、保存すべき期間、削除方法等規定
・保存を外注する場合についても規定
○ 携帯電話機及び PDA のファイル保護
・携帯電話が進化して、PC に似た存在となり、セキュリティを考慮する必要性が増大
・紛失、盗難の可能性も高い
・スパムについては、通常の e-mail に加え、音声通話、SMS も対象に加えられる
・将来的には、携帯デバイス用のウイルス対策ソフト、Firewall も開発される
(9) Bluetooth のファイル保護(9 章)
○ Bluetooth 技術は、主に近距離の通信で利用される
・携帯デバイス、PDA、デスクトップ PC、モバイル PC、プリンター、デジカメ等で利用
・Bluetooth 通信の信号漏れは防止できない(ファイル盗聴の可能性)
・セキュリティ機構は、ユーザがしている PIN に依存
○ Bluetooth E0 Cipher の暗号分析
・Dr. Yanvi Shaked と Dr. Avishai Wool(Technion)による研究を紹介
・Binary Decision Diagrams(BDD)は暗号化機構としてストリーム暗号(E0)を利用
・復号にも、同じストリーム暗号(E0)が利用される
・このストリーム暗号(E0)に対する攻撃について研究した
(10) ファイル保護にまつわる主なニュース記事(10 章)
○ イスラエルの新聞に掲載されたファイル保護に関する記事を紹介
○ 2006 年 7 月 27 日(The People, Daily Mail Edition)
・政府機関のコンピュータに対する攻撃が、ここ数ヶ月で 8%増加、一日当たり 40,000
∼79,000 件にのぼる。主な攻撃手法は、DoS 攻撃と政府ファイルの破壊。被害は無し。
7
○ 2008 年 7 月 14 日(The Internet News)
・イスラエルの大手銀行サイトに、複数の人間が侵入しようとした。目的は、
「business risk」
と呼ばれるファイルを盗むことであり、銀行の預金者が自身の負債に関する情報を削除
するのが狙いと見られる。内部犯行の可能性もあり。
○ その他、計 6 件紹介
(11) イスラエルの大学や研究機関で実施されている研究(11 章)(概要のみ)
○ Real-Time Implementation for Digital Watermarking in Audio Signals Using
Perceptual Masking
・Dr. Tal Mizrahi、Dr. Eran Borenstein 他(Technion)による研究
・ファイルの認証及びオリジナル性を保護するのに役立つ研究である
・デジタル透かし技術は、デジタル信号(音声、画像等)に情報を埋め込む技術
・著作権侵害防止には最も有効なシステムの1つ
○ Condor Local File System Sandbox High Level Design Document
・Dr. Kfir Karmon 他(Technion)による研究
・Condor は Technion 社が開発した、コンピュータの処理能力を向上させ、評価するシス
テムである
○ Un-Trusted Storage
・Dr. Amir Shenhav 他(テルアビブ大学)による研究
・保存管理の外注を実現し、ファイルアクセスの効率性を高めることが目的
・公開鍵暗号を利用
○ Terror on the Internet
・Dr. Ela Oppenhimer(Bar Ilan 大学)による研究
・テロとインターネットを結びつける情報戦争について考察
・サイバーテロと政治的・国家的危機の因果関係について考察
・情報戦争戦略は、攻撃にも防御にも利用することが可能
○ Struggle with Information Warfare and Possible Damage to Civil Rights
・Dr. Harel Menishri(Bar Ilan 大学)による研究
・テロの恐怖に怯える近代国家(米国を例とする)におけるファイル保護について研究
・テロリストは、インターネットを悪用して、情報インフラシステムやファイルに対して
攻撃を仕掛ける可能性がある
8
Fly UP