More Related Content
Similar to 正しく恐れるクラウドのセキュリティ (20)
正しく恐れるクラウドのセキュリティ
- 5. アカウント乗っ取り事件の多発
▌Line, Twitter, Facebook 等々のア
カウント乗っ取りが多発
▌複数のサービスで共通のパスワードを
使っているユーザーが狙われる
「Stop! パスワード使いまわし」
https://www.jpcert.or.jp/pr/2014/pr140004.html
▌対策として、各社で二要素認証の実
装が進んだ
出典:http://matome.naver.jp/odai/2140265486676813001
- 9. SSL/TLS への相次ぐ攻撃
▌2011年9月 BEAST攻撃
▌2012年9月 CRIME攻撃
▌2014年9月 POODLE攻撃 (SSLv3 廃止)
▌2015年2月 RC4利用禁止 (RFC7465)
▌2015年10月 SHA-1 Freestart Collision
▌…
▌SSL/TLS を常に最新のものに
アップデートする体制が必要
出典:https://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html
- 11. ascii.jp への DDoS 攻撃
▌2015年10月
▌Anonymous による DDoS
▌6日以上の期間アクセス不能
▌ASCII が狙われた理由が不明
出典:http://japanese.engadget.com/2015/10/22/ascii-jp-ddos-anonymous-it-ascii-jp/
出典:http://it.srad.jp/comments.pl?sid=670583&cid=2907221
- 26. ネットワーク:SSL/TLS
▌Qualys SSL Labs A+
(最高評価)
▌最新のSSL/TLS技術を追求
HTTP Strict Transport Security
(HSTS)
Perfect Forward Secrecy (PFS)
SHA-2 証明書
…
出典:https://www.ssllabs.com/
- 33. ソフトウェア:外部 JavaScript の禁止
▌外部 JavaScript の埋め込みは本質的に危険
代表例:Google Analytics
悪用されると、データを不正に操作可能
▌インターネット接続の規制が厳しい会社ではブロックされる
製品が依存していると不具合になる
同様の理由で CDN も使いずらい
▌ログインが必要なWebサイトでは一切埋め込みを禁止
- 34. 人:内部犯行の特徴
▌内部不正者のタイプ ▌期待できる対策への回答
タイプ 割合
一般従業員 85%
財務・会計スタッフ 22%
経営幹部・上級管理職 11%
ヘルプデスク 4%
システム管理者 3%
ソフトウェア開発者 2%
不明・その他 2%
出典:IPA 「組織内部者の不正行為によるインシデント調査」報告書
対策 割合
操作の証拠が残る 54.2%
アクセスが監視される 37.5%
同僚が処罰されたことがある 36.2%
IDやパスワードの厳格管理 31.6%
罰則規定の強化 31.4%
管理者以外の操作が不能 29.2%
… …
Editor's Notes
- サイボウズで運用本部長を務めている山本と申します。
本日は「正しく恐れるクラウドのセキュリティ」と題して、cybozu.comなどのクラウドシステムを安全に運用する方法を解説いたします。
- まず初めに自己紹介から。
サイボウズでは10年以上働いております。開発者とマネージャーの両方を務めてきましたが、
昨年からは運用本部長に就いています。こちらはいわゆる情シスと、自社クラウドサービスの運用とを任されています。
私は情シス部長も兼務しておりますので、クラウドサービスの提供側と利用者側の両面でセキュリティ対策をしています。
- 今日お話しする内容はこちらです。
まず、近年のセキュリティ事件についていくつか事例をご紹介します。
次に、cybozu.comのシステムのどこにリスクがあるかを分析し、
セキュリティ対策の原則と基本方針を解説します。
その後、具体的な対策を紹介したあと、お客様に気を付けていただきたいこともお話しします。
最後に時間があれば、質疑応答も受け付けたいと思います。
- では、近年のセキュリティ事件を振り返ってみましょう。
- まずは日々頻発しているアカウントの乗っ取りが挙げられます。
・手口としては複数のサービスで。。。
・去年は JPCERTにて Stop ...キャンペーンも実施されていました。
・対策として... のですが、二要素認証を有効にしなければ効果はないので、安全に使うには必ず有効にしましょう。
サイボウズでも業務利用するクラウドサービスでは二要素認証を利用するルールになっています。
- 次に紹介するのは、Appleと Amazonに電話をかけて、Gmailのアカウントを乗っ取り、
最終的には T witter のアカウントを乗っ取った手口です。サービスデスクの本人確認
が簡素なのをついたソーシャルエンジニアリングという手法ですね。
サービスデスクというのは多少のシステム権限を持つものなので、こういう攻撃にも
注意が必要ということです。
- 次は 2013年に発生したエドワード・スノーデン事件です。
世界的な大事件でしたが、アメリカの政府機関である NSA職員による内部犯行で大量の機密データが流出したものです。
政府機関といえど、内部犯行の抑止は難しいことを示したと。
また、NSAが Googleのデータセンター間の専用線を盗聴していることも
明らかになったりしました。
- お次は日本の、年金機構からの個人情報流出事件です。
こちらは外部からのウィルス付きメールを開封して、対応が遅れるまに被害が拡大したものです。
今はメールも感染源としては、ポピュラーな手段になっていますね。
- 次は SSL/TLSというプロトコルへの攻撃です。SSLというのは、インターネットの通信を安全にする
仕組みですが、これが破れると通信内容が盗聴されたりします。
2011年9月のBEAST攻撃や、2014年9月のPOODLE攻撃など、次々と新たな攻撃が
考え出されてきました。そのたびにブラウザやWebサーバーを更新して対策してくる
必要があったわけです。
- 広く使われているオープンソースソフトウェアの脆弱性も攻撃に利用されています。
2014年にはJavaのミドルウェアのStrutsや SSL実装のOpenSSL、あるいはBash
といったソフトウェアに重大な脆弱性がみつかっています。これらは改修方法が広まる前に
攻撃が開始される、いわゆるゼロデイという状況が相次ぎました。
ゼロデイには一刻も早い対応が必要になるわけですが、OpenSSL の Hearbleed 脆弱性
の際は、速やかに対応できなかった一部の企業で情報漏えいの被害が出ました。
・4日間対策できなかったら被害を受けたと
・対策ができない場合、サイトを一時閉鎖するところもありました
- 最後の事例ですが、これはつい先日、ascii.jpというサイトが DDoS攻撃というのを
受けて6日間つながらなくなっています。その後毎日新聞や東京オリンピックのサイトも
同じ攻撃を受けています。
DDoSというのは、世界中のコンピューターを悪用して過剰な通信で狙った
Webサイトをつながらなくするという攻撃です。性質が悪いのは、しかけるのは
中学生でもできると言われているんですが、防ぐのは大変難しいんですね。
asciiの場合、anonymousが狙ったという話がありますが、狙う動機も曖昧で、
対応は非常に難しいですね。
- さて、一通り事例を見てきましたが、クラウドサービスにはどのような脅威があるかまとめてみます。
- これは cybozu.comのシステムとその周辺を図にしたものです。
cybozu.comのデータセンターがあって、それに専用線でつながっている
サイボウズのオフィスや、インターネットでつながっているお客様のオフィス
があります。これを悪い人が攻撃してきます。
まず最初に、インターネットというのはオープンなネットワークですから、盗聴が容易です。
なんの対策もないと、通信が盗聴されると。また先ほど解説した DDoSで cybozu.com
につながらないようにしたり、ウィルスメールをサイボウズの社員に送って侵入したり、
サービスデスクに電話をかけてだましたり、あるいは政府みたいなところですと専用線を
盗聴したり、またサーバーや廃棄したハードディスクを盗んだり、ゼロデイな脆弱性を
ついて侵入したりする可能性があります。
また、サイボウズの社員の内部犯行や、あるいはお客様での内部犯行もあるかもしれません。
- これらを分析しますと、攻撃経路はこのようにいろいろあるわけです。
どの経路も攻撃される可能性はありますが、アクセスしやすい経路、まあ
インターネットですね、は攻撃の種類や回数が多いといえます。
- 以上の事例や分析を踏まえまして、サイボウズではセキュリティ対策の原則と方針を定めています。
- まず原則ですが、大きく3つあります。
一つ目が「インシデントは必ず...」なぜかというと、ゼロデイやDDoS のように完全に防御するのは困難なものがあるからです。
二つ目が「...」完全に防ぐってことではなく、発生を前提に、頻度を減らしたり早期に検出したりすることで、被害を最小化すると。
3つ目が「...」事例で紹介したように、次々と新しい攻撃がでてきます。なので情報を収集して、対策を更新し続ける必要があると。
- この原則を踏まえた対策の基本方針がこの3つとなります。
一つ目が「... 」
- この原則と方針をまとめると、こうなります。原則に対応して、方針が決まっているのが分かるかと思います。
- で、実際にセキュリティ対策を検討したり実施したりする体制はこうなっています。
まずセキュリティ委員会というのがあって、全社的なセキュリティルールを議論する場となっています。
次に、サイボウズのCSIRTなので、Cy-SIRTというのですが、Cy-SIRTという組織があります。
Cy-SIRTは対外的な窓口になっていて、 社外のセキュリティ関係機関や、研究者の人と日ごろから
情報交換しています。また、ISMSというセキュリティの 認証のために、ISMS事務局があり、定期的に
監査を受けています。これに開発本部や運用本部が加わって、 全社的なセキュリティ体制となります。
- それでは、具体的な対策をいくつか紹介していきます。
- 対策もばらばら紹介するとわかりにくいので、6つのカテゴリーにわけて紹介していきます。
まず物理対策、これは窃盗や物理的な侵入の対策ですね。
次にネットワークの盗聴などの対策、ソフトウェアの脆弱性などの対策、
内部犯行などへの対策、セキュリティがしっかりしているかの監査、
そして製品機能での対策です。
- ここまでがサイボウズの対策ですが、ここからはお客様にお勧めする対策となります。
- 最後になりますが、監査ログという機能を紹介します。
- 本当に最後になりますが、ぜひこれは覚えて帰っていただきたいということで、原則と方針について再掲します。
この原則と方針はサイボウズに限らず、広く通用する考えだと思いますので、心にとめていただければ幸いです。
以上となります。
- それでは、残りの時間でご質問あれば回答したいと思います。
ご質問ある方は挙手を願います。