Comments
Description
Transcript
ITセキュリティーから ビジネス主導型セキュリティーへ
ITセキュリティーから ビジネス主導型セキュリティーへ 日本アイ・ビー・エム株式会社 渡辺 芳明 技術理事、CISSP © 2008 IBM Corporation 2008年現在でのセキュリティーの現状 防御側がハッカーにおされ気味というのが実情 – 注意していてもボットは入り込んでくるという前提で、情報漏洩対策を講じる 覚悟が必要 パタンファイル更新だけでは対応出来ないものが増加 – Webから感染するマルウェアの過半数は未知のもの。 (ハッキング・ツールで作成した攻撃コード、標的型攻撃、ゼロデイ攻撃) – 不正侵入につながるような脆弱性が発見されるソフトウェアが増加。 (Acrobat、Flash player、ファイル圧縮ソフト、VMWare、等) – 攻撃方法の複雑化 (受動的攻撃、シーケンシャルマルウェア、アンチフォレンジック機能、 攻撃コードの暗号化や難読化、DNS汚染) – 特定の人間を対象にした標的型攻撃が増加 (メール、Webサイトからのフィッシング等) 参考:「近年の標的型攻撃に関する調査研究」 2008年3月 情報処理研究機構セキュリティセンター 総務省 次世代の情報セキュリティ政策に関する研究会 (http://www.soumu.go.jp/joho_tsusin/policyreports/chousa/next_generation/pdf/071205_2_si2-3.pdf) © 2008 IBM Corporation 最近の典型的な攻撃シナリオ 改ざん 攻撃者が用意 したサイト リダイレクト 閲覧 強制的な参照 リダイレクト 企業内イントラネット マルウェアが伝播 マルウェア配布サーバ マルウェア ダウンロード © 2008 IBM Corporation セキュリティー防御側の事情 セキュリティーを守るための投資は行っている – 防火壁、ネットワークのゾーニングと非武装地帯設置 – サーバ、クライアントのウィルス対策 – 情報漏洩防止のための使用制限、モニタ用ソフトの導入 現状 – 利用部門: セキュリティーを理由にしてPCの使用制限が多くなり不満 – 運用部門: 運用の手間は大変。多量のログを十分に検査出来ない – 企画部門: 現在の投資で今後の事故を防止出来るという事を説明できない 今の状況で十分か? – 本当は不安があるが、今までの投資を無駄には出来ない – 新しい分野への追加投資が、必要になるかもしれないという不安 – 新しい脅威に対応出来ているか不安 © 2008 IBM Corporation セキュリティーのあるべき姿 セキュリティーを、ビジネスプロセス及び必須インフラ の一部としてシステム構築時から組み込んでおく。 さもないと、新たな種類の課題が発生するたびに一か らやりなおしになる。 セキュリティー設計・セキュリティー機能を追加するための費用増加分 シジフォス:大きな岩を山の上に運んでも、 また岩は麓まで転げ落ちてしまう セキュリティー事件発生による追加対応策にかかる費用 追加対策のために必要となる継続的運用費追加分 費用 セキュリティーに配慮しないで 作ったシステム セキュリティーを配慮して作ったシステム 設計 構築 運用 © 2008 IBM Corporation セキュリティー上の問題と組織の規模 セキュリティー上の問題は、その組織で一番意識の低い人間が引き起こす 大規模な組織では、放置しておくと、小規模の組織よりも問題が起こりやすい 人数 規制をしすぎると、注意力の高い層は 使いにくさで生産性を低下させ、創造 力の高い層のモラルも低下する セキュリティー上の 問題は、セキュリティ に対する意識が最も 低い所で起こる。 セキュリティー対策 は、この層の底上げ を図るための対策で あるとも言える。 意識・注意力の低い層 は、考えられないような 問題を起こす事あり 私はいつも注意 しているのに、 最近面倒くさい 制限が増えた のはイヤね。 0 50 100 セキュリティに対する意識・注意力の高さ(偏差値) 小規模の組織で起こるセキュリティー上の問題 大規模な組織で起こるセキュリティー上の問題 © 2008 IBM Corporation 底上げするためのセキュリティー上の対策 教育により意識の底上げを図る ISMS/プライバシーマーク取得 従業員の研修 利用者を層別し個別最適対策を講じる 意識の低い層への浸透が重要 セキュリティ機能の強制を行う 限定的モニタ機能等 ファイルへのアクセス禁止等 PCのハードニング等 この部分をどうやって 底上げするか? 効果は高いが費用もかかる 認証強化(生体認証・ICカードの使用) PCへのファイル格納禁止、ファイル暗号化 パスワード統合、シングルサインオン © 2008 IBM Corporation 内部の利用者に対するセキュリティー対策: PC利用者の作業形態により、最適な対応策が変わります デスクワーク型 非定型処理型 固定した場所で定められた 業務を遂行。 定型的業務よりも、頭脳労 働的な非定型業務が多い。 情報の作成・検索・編集等、 操作内容は多種多様、メー ル等での情報交換も多い。 業務で定められた方式に従 い、情報の表示・データ入力 等を行う。 定型的な業務処理が多いが、 ワープロ・表計算等を行う事 もある。 作業場所は、自席、外出先、 自宅、出張先等多様。 外勤型 外回りが主で、作業場所は社外が多い。 情報の使い方は固定的なものが多く、 情報の表示・データ入力等、固定的な 使い方が多いが、外出先で使用出来る ように、情報を持ち歩く必要有。 PCを基にした専用端末を使用する事も ある。 © 2008 IBM Corporation 内部の利用者は、 パタン別の対応策を組み合わせる事が大切 非定型処理型 デスクワーク型 外勤型 シンクライアント 通信機能が確 保できる場合 情報自体に防御 機能を持たせる アクセス管理 PC設定状態の監視 業務固有形式情報 PC/ファイル操作の制限・記録 PC盗難・紛失対策 (暗号化等) © 2008 IBM Corporation IBMが考えるセキュリティー全体像 ガバナンスとリスク管理 ガバナンスとリスク管理 リスク管理とコンプライアンスをサポートする組織化されたフレームワーク リスク管理とコンプライアンスをサポートする組織化されたフレームワーク セキュリティー・フレームワーク 脅威の軽減とビジネス遂行 IDとアクセス管理 ポリシー 内部統制 監査 IDは、社内外の人間の動きを測定するため の軸となる 信頼できるIDの必要性が増大 情報の全ライフライクルにまたがったセキュ リティー保護が必要 情報セキュリティー 個人情報保護、コンプライアンスから来る要 件の遵守 アプリケーション・セキュリティー アプリへの攻撃に対抗するためにアプリの 全ライフサイクルでの保護が必要 ネットワーク・サーバ・接続点の防御 物理セキュリティー 中央集中制御、整合性を持たせるためのポ リシー強制 装置、サーバ、アプライアンスを包括した ネットワーク・セキュリティー ネットワークへの接続点の強化が急務 共通のポリシ、事象対応、報告 マネージド サービス プロフェッショナル ハードウェア サービス ソフトウェア 物理セキュリティーとITセキュリティーの融 合化 人海戦術からディジタル化、自動化へ © 2008 IBM Corporation ガバナンスとリスク管理 漏れの無いセキュリティーを実現するための必須機能 – ポリシー • 実現性があるセキュリティー・ポリシーを定める事が重要。 • 実施されないポリシーは意味がない。ITは、ポリシーを強制する事が出来る。 – 内部統制(コンプライアンス) • 内部統制においては、ITで行うべき事、IT以外の所(事務規定等)で行うべき事 を区別し、適切にこれらを組み合わせる事が重要。 • ITは、ポリシーの強制を手助けする事が出来る。 – 監査(アカウンタビリティ) • ITは、監査に必要な情報を耐監査性を保った形で生成・保持する事が出来る。 © 2008 IBM Corporation セキュリティーポリシーの実施手順への展開 業務手続、運用上のポリシーは 牽制効果・不正検出には効果 があるが、事故を防止する事は 出来ない(錯誤、誤解、確信犯) 基本方針 (ポリシー) 詳細化 対策基準・規定 実施手順 紙の上のポリシーは、セ キュリティー事故のため の歯止めとしては効果が 弱い(確信犯は防げない) 詳細化 業務手続へ の組み込み 機械処理に よる強制 機械処理によるポリ シー強制は、確信犯・ 錯誤・誤解に対して効 果があるが、機械処 理出来る形への翻訳 の困難性あり 業務手続で防御すべきもの、機械処理で防御すべきものの選定が重要 © 2008 IBM Corporation 情報漏えい防止;情報漏えいが行われる場所と対策 Proventia®製品群 Rational WatchFire AppScan® ハッカーが不正侵入 Tape Encryption and Key Management ダウンロードした情報 の不正使用 バックアップ情報等の 不正持出し Enterprise Content Protection 誤操作による情報の 漏洩 記録メディアの不正持 出し、盗難 暴露ウィルスによる 情報漏えい Antivirus Software, Patch Management 正規ユーザーによる意 図的な情報窃盗・漏洩 Activity Compliance Monitoring and Reporting パソコンの盗難・紛失 Endpoint Data Protection © 2008 IBM Corporation 情報セキュリティー:情報漏えい防止 – 1/2 万能薬は無い、複数の技術を適材適所で組み合わせて防止する必要がある – 防止技術同士の競合による不具合の可能性に配慮 – 利用者管理の二重化・三重化による運用管理の手間の増大 運用管理が出来ないと、防御は崩れる – 例外として許可したものがいつまでも残る。 組織変更に対応できず、古い権限がいつまでも残る。 急がば回れ。漏えい防止対策は小手先、基礎になる情報管理・利用者管理・ ビジネスプロセスに手をつけないといつまでも後手に回る – 情報の機密区分設定・運用がしっかりしているだけでも、情報漏えい防止策 は容易になる。 – 組織の職務、従業員の職務が明確に定義されていると、情報漏えい防止策 は効果的になる。 © 2008 IBM Corporation 情報セキュリティー:情報漏えい防止 – 2/2 つながっていない所からは情報は漏れない、つながっている所の防御を 行う – PCの業務外使用、外部Web接続、外部とのネットワーク接続、メール送 受信、ファイル受け渡し、等 情報漏えい防止のために業務遂行に制限を加える事の是非を検討する 必要あり – 仕事がやりにくくなると、まじめな人間ほど抜け道を探しはじめる。想定 していない使い方を素人がすると新たな情報漏えいの道を作る事になる – 従業員の仕事の内容により、情報漏えい防止策は異なる。 (研究者、商品企画担当者、事務職、等) – 仕事に制限を加える事によるモラルの低下に注意 (生産性低下はもちろんだが…) © 2008 IBM Corporation 長期的に有効な情報セキュリティー 通常想定する作業範囲 情報保護製品 導入 アクセス権限 更新運用 プロビジョニング機能 権限付与ワークフロー機能 情報保護ポリ シー策定 利用者権限に 関する運用実装 永続的にセキュリティーを確保する ために必要な作業範囲 ¾組織変更 ¾人事異動 ¾職掌変更 ¾外部要因 © 2008 IBM Corporation アプリケーション・セキュリティー 業務アプリケーションの書き方に起因するセキュリティー・ホール – プログラム設計時に予期していない入力を行われると、プログラムが予期しない 動きを行う • 利用者情報の盗難・漏洩 • データベースに対する想定外のアクセスが行われ、データの漏洩・破壊につながる 一旦攻撃されてしまうと、対応策はアプリケーション・プログラムの書き換えしか無い ので対応に時間がかかる – オンライン・ショッピング・サイトの長期閉鎖に至った例もあり • システム作成時からの対応が必要 入力情報の精査を行う – サニタイジング(危険な文字を取り除く作業) – クライアントから入力された情報は信用しない アプリからセキュリティ機能を分離する – 入力データチェック用レイヤの新設(アプリケーション・ファイアウォール) © 2008 IBM Corporation ネットワーク及びアプリケーション・セキュリティー ネットワーク、OS、各種サーバの 脆弱性を突いた攻撃を検出し防 止する (IPS/IDS) Webアプリケーション Webサーバに対する要求発生時 の入力データ検査 (Application Firewall) 入力データを検査し、サニ タイジング(危険な文字の取 り除き)を行う データベース サーバが持つ脆弱性の検査機能 Webサーバを検査し、脆弱性を指摘する クロスサイトスクリプティング HTTPレスポンス分割 Hiddenフィールドの不正操作 SQLインジェクション OSコマンドインジェクション 強制ブラウズ © 2008 IBM Corporation ウィルスに対する防御方式:パタンファイルだけでは不十分 ISS X-Forceによる脅威の防御方式 Content Filtering 2000万件以上のURLを保持した DBにより、メールとWebアクセス に対するフィルタリングを実施しま す。. Shellcode Heuristics SCH (Shellcode Heuristics) は、 実行プログラム以外に隠されたシェ ルコードを、推論エンジンを使用し て検出します SPAM Vuln POC Web PAM PAM (Protocol Analysis Module) によるプロトコル分 析を行い、侵入を検知します。下位層からアプリケー ション層までの、全てのレイヤのプロトコルを同時に解 析することにより、2000以上の異常をリアルタイムに検 出します。 SCH BOEP BOEP (Buffer-Overflow Exploit Protection)は、バッファ・オー バーフローを使用した攻撃(ゼロ デイ攻撃を含む)を検出し、防御 します。 Code Exec MAL VPS VPS (Virus Prevention System)は、単なる パタンマッチではなく、悪意を持った行動を監 視する事により、ウィルスを検出します。 © 2008 IBM Corporation 人間とアイデンティティ 人間がコンピュータを使用する時、どの資格でアクセスする? – IDアーキクチャ:利用者の人格をどうするか • 通常は、一人の人間が、複数の人格(ユーザID)を使い分ける • 複数の人間が、一つの人格となる事(ユーザIDの共用)は避けるべき。ただし、社内なら良い が、自社の管理の行き届かない所まで、個人別管理を行うべきか? – 認証:利用者の資格検査 – 認可:資源に対するアクセス権限管理 – プロビジョニング:アクセス管理情報の伝播 企業システムの使用者の複雑化 – 外部の人間が、企業の根幹の作業にたずさわっている – 関連会社・取引先からの企業システムの使用 – 社員以外の人間の利用者管理、ID管理を企業で出来るか? © 2008 IBM Corporation IDで識別すべきものは状況によって異なる 一つのドメイン(管理領域)の中ではエンティ ティのアイデンティティは明確 • 一つの名前で、一つのエンティティを混乱なく 指示出来る 山田巡査部長 - 勤務先: ミドリ市花町交番 - 勤務暦:10年 • エンティティの属性は明確 ドメインが異なると、アイデンティティが不明確になる パパ 家族ドメイン しんちゃん のおじさん 近所の子供ドメイン おまわりさん 社会ドメイン © 2008 IBM Corporation フェデレーション時における利用者IDの変換 両ドメイン間で合意した 中間的表現のID 要求側ドメイン内で理解できるID サーバ側ドメイン内で理解できるID Webサービス ゲートウェー Webサービス 要求アプリ インターネット Webサービス ゲートウェー SOAP要求 ローカルID SOAP要求 SOAP要求 ローカルID トークン ローカルID ローカルID ローカルID ローカルID トークン ID変換機能 - IDマッピング - 属性マッピング - トークン管理 - アクセス権限管理 Webサービス 処理アプリ トークン ローカルID ID変換機能 - IDマッピング - 属性マッピング - トークン管理 - アクセス権限管理 利用者 • ID変換、属性変換 • 利用者資格証明(credential)による利用者真性性の保障 • 複数利用者の、同一IDへのマッピング(要求側ドメインでの利用者IDは属性として渡す) © 2008 IBM Corporation プロビジョニング機能の例 入力段階 外部からのバッチ入力情報 人事マスター 管理者・担当者 ID情報管理機能 保持段階 CSVファイル Etc. ID情報収集機能 メタ・ディレクトリ ID情報配布・公開機能 セルフサービス機能 手動入力 利用者 配布段階 業務アプリ 電話帳 メール システム C/Sアプリ (SAP等) Web認証基盤 (シングルサインオン) 組織外へ の提供 © 2008 IBM Corporation 統合認証: 利用者認証の段階 シングルサインオン アカウントの共有 一人一アカウント 複数ID/複数パスワード 単一パスワード (単一利用者ID) • シングルサインオン製品導入 監査性の問題 事故発生時の追及が困難 パスワード漏洩 パスワード品質 • 利用者IDアーキテクチャ策定 • 個別利用者の把握 • パスワード変更方式確定・実装 • 業務で使用する利用者ID変更 • 個別アカウント発行 • 業務で対応不可の場合、ID変換 • アカウント登録・廃止処理 • 業務へのID(及び属性情報)伝達 (プロビジョニング機能の実装) • デスクトップSSO製品 © 2008 IBM Corporation 認証認可の考え方 認証機能 URIレベルの認可機能 利用者識別 認証情報 業務処理 利用者識別 認証情報 利用資格 認証ポリシー 基本ポリシー 資源レベルの認可機能 認可ポリシー 認可機能 認可情報 資源 (DB等) 統合認可機能 認可情報 © 2008 IBM Corporation セキュリティー・メソドロジの例: TJSM ステップ1: ステップ2: ステップ3: ステップ4: ステップ5: 守るべき資源の洗い出し リスク評価 セキュリティー要件の 定義 セキュリティー・アーキテク チャの定義 セキュリティー・オペレーショナ ル・モデルの設計 Actor/Risk リスク評価 IT要件 セキュリティー標準・規定 Asset profile Data Store 物理モデル リスクへの対抗手段の検討 脅威・脆弱性 システムモデル#1 ○○○システム 実装箇所 FTPサーバ (UNIX) リスク 評価 結果 ◎ 防 低 検 復 止 減 知 旧 対抗策 利用者の識別と認証 システムプロセス/データ種別 実装内容 システムサービス (FTPサーバ・TELNET) ○ 強固なパスワードルールを策定し、システム設定でルールを強制する システムサービス (TELNET) 実装箇所 リスク 評価 結果 防 低 検 復 対抗策 システムサービス 止 減 知 旧 (FTPサーバ) 実装箇所 ◎ Configuration APPL/Systems Data Flow 対抗手段 データアクセス制御 FTPサーバ (UNIX) ◎ ゾーニング ◎ ハードニング ◎ 評価 結果 ○ ◎ ○ データアクセス制御 ○ ○ システムアクセス制御 ゾーニング ハードニング 統合化(インフラ化)の方向性 N/A N/A N/A 統合化(インフラ化)の方向性 N/A 統合化(インフラ化)の方向性 TelnetからSSHに移行し、識別及び認証データを暗号化する。 N/A OSのアクセス制御機能を使用し、ファイルに対するアクセス制御を実施する。 N/A システムサービス 強固なパスワードルールを策定し、システム設定でルールを強制する (FTPサーバ・TELNET) ◎ ○ データアクセス制御 ◎ ○ ゾーニング ○ ◎ 保管データ(ファイル) ハードニング N/A セキュリティドメインコンセプトに基づき全 FTPからSFTPに移行し、識別及び認証データを暗号化する。 N/A ゾーニングコンセプトに基づくマシンの配置(Blueゾーンセグメントへの配置) 社ネットワークとしてネットワークのゾーニ システムサービス TelnetからSSHに移行し、識別及び認証データを暗号化する。 N/A ングを実施 (TELNET) システムサービス TCPWrapper等を使用してシステムへのネットワークを経由したアクセスを許可する端末 ○ N/A システムサービス (FTPサーバ・TELNET) をIPアドレスやポート番号単位で制限する。 脆弱性情報の収集・分析とセキュリティ修正プログラムの適用 システムサービス (FTPサーバ・TELNET) FTPからSFTPに移行し、識別及び認証データを暗号化する。 (FTPサーバ) システムアクセス制御 ○ ◎ システムサービス (TELNET) ○ システムサービス システムサービス (FTPサーバ) (FTPサーバ・TELNET) ◎ ◎ システムモデル#1 ○○○システム 止 減 知 旧 保管データ (ファイル) 利用者の識別と認証 ○ 保管データ保護 TelnetからSSHに移行し、識別及び認証データを暗号化する。 システムプロセス/データ種別 実装内容 FTPからSFTPに移行し、識別及び認証データを暗号化する。 システムモデル#1 ○○○システム システムサービス ○ 強固なパスワードルールを策定し、システム設定でルールを強制する システムサービス TCPWrapper等を使用してシステムへのネットワークを経由したアクセスを許可する端末 (FTPサーバ・TELNET) N/A 防 低 検 復 をIPアドレスやポート番号単位で制限する。 (FTPサーバ・TELNET) 対抗策 システムプロセス/データ種別 実装内容 FTPサーバ ◎ 利用者の識別と認証 (UNIX) ○ システムアクセス制御 ○ リスク N/A 保管データ OSのアクセス制御機能を使用し、ファイルに対するアクセス制御を実施する。 N/A (ファイル) 不要なサービスの起動停止 システムサービス TCPWrapper等を使用してシステムへのネットワークを経由したアクセスを許可する端末 ○ N/A (FTPサーバ・TELNET) をIPアドレスやポート番号単位で制限する。 クライアントPCについてセキュリティ設定 セキュリティドメインコンセプトに基づき全 の統合管理ソリューションを採用する。 システムサービス ゾーニングコンセプトに基づくマシンの配置(Blueゾーンセグメントへの配置) 社ネットワークとしてネットワークのゾーニ システムファイルに対するアクセス許可が適切に行われているか確認する(SUID/SGID (FTPサーバ・TELNET) 保管データ ングを実施 されたファイルの検索/UMASK値の確認) OSのアクセス制御機能を使用し、ファイルに対するアクセス制御を実施する。 ○ N/A (ファイル) システムサービス 脆弱性情報の収集・分析とセキュリティ修正プログラムの適用 (FTPサーバ・TELNET) システムサービス 不要な初期アカウントの削除 ○ ゾーニングコンセプトに基づくマシンの配置(Blueゾーンセグメントへの配置) (FTPサーバ・TELNET) 不要なサービスの起動停止 OSの暗号化機能を使用してファイルを暗号化する。 N/A システムサービス 脆弱性情報の収集・分析とセキュリティ修正プログラムの適用 (FTPサーバ・TELNET) ○ セキュリティドメインコンセプトに基づき全 社ネットワークとしてネットワークのゾーニ ングを実施 クライアントPCについてセキュリティ設定 の統合管理ソリューションを採用する。 システムファイルに対するアクセス許可が適切に行われているか確認する(SUID/SGID されたファイルの検索/UMASK値の確認) サーバに対する物理的アクセスを制限する。 部門サーバをマシンルームへ集約 不要なサービスの起動停止 不要な初期アカウントの削除 システムファイルに対するアクセス許可が適切に行われているか確認する(SUID/SGID されたファイルの検索/UMASK値の確認) ◎ 保管データ保護 ◎ ○ 保管データ保護 保管データ(ファイル) ○ 保管データ(ファイル) クライアントPCについてセキュリティ設定 の統合管理ソリューションを採用する。 OSの暗号化機能を使用してファイルを暗号化する。 不要な初期アカウントの削除 N/A サーバに対する物理的アクセスを制限する。 OSの暗号化機能を使用してファイルを暗号化する。 部門サーバをマシンルームへ集約 N/A サーバに対する物理的アクセスを制限する。 部門サーバをマシンルームへ集約 Guideline for GMITS Act/Regulation 実装計画 Interview/ Workshop IT要件 現行システム の評価 フィット・ギャップ分析 © 2008 IBM Corporation ご清聴ありがとうございました。 © 2008 IBM Corporation