Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

2

Share

Download to read offline

正しく恐れるクラウドのセキュリティ

Download to read offline

cybozu.com conference 2015 講演資料

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

正しく恐れるクラウドのセキュリティ

  1. 1. 正しく恐れるクラウドのセキュリティ サイボウズ株式会社 執行役員 運用本部長 山本泰宇
  2. 2. 自己紹介 ▌サイボウズでの経歴 2005年 ガルーン2開発責任者 2006年 開発本部長 2008年 最高技術責任者 2010年 cybozu.com 開発責任者 2014年 運用本部長(現任) ▌運用本部 社内の情報システムを管理する情報システム部と、 自社クラウドサービスを管理するサービス運用部からなる組織
  3. 3. 内容 ▌近年のセキュリティ事件 ▌脅威はどこにあるか ▌対策の基本方針 ▌具体的な対策 サイボウズが実施する対策 お客様にお勧めする対策 ▌まとめ ▌質疑応答
  4. 4. 近年の セキュリティ事件
  5. 5. アカウント乗っ取り事件の多発 ▌Line, Twitter, Facebook 等々のア カウント乗っ取りが多発 ▌複数のサービスで共通のパスワードを 使っているユーザーが狙われる 「Stop! パスワード使いまわし」 https://www.jpcert.or.jp/pr/2014/pr140004.html ▌対策として、各社で二要素認証の実 装が進んだ 出典:http://matome.naver.jp/odai/2140265486676813001
  6. 6. サービスデスクにソーシャルエンジニアリング ▌2012年8月 ▌Apple と Amazon に電話をか けてアカウント乗っ取りに必要な情 報を入手 ▌サービスデスクの管理システムに 目をつけたもの 出典:http://fladdict.net/blog/2012/08/icloud-hack.html
  7. 7. エドワード・スノーデン事件 ▌2013年6月 ▌アメリカ国家安全保障局の機密 情報が大量流出 ▌関係者による内部犯行 ▌データセンター間専用線の盗聴 等も明らかになった 出典:http://www.afpbb.com/articles/-/2950073?pid=10897395
  8. 8. 年金機構からの大規模流出 ▌2015年5月 ▌125万件の個人情報が流出 ▌ウィルス付きメールを開封 ▌対応が遅れて被害が拡大 事前のルール整備が重要 出典:Wikipedia
  9. 9. SSL/TLS への相次ぐ攻撃 ▌2011年9月 BEAST攻撃 ▌2012年9月 CRIME攻撃 ▌2014年9月 POODLE攻撃 (SSLv3 廃止) ▌2015年2月 RC4利用禁止 (RFC7465) ▌2015年10月 SHA-1 Freestart Collision ▌… ▌SSL/TLS を常に最新のものに アップデートする体制が必要 出典:https://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html
  10. 10. 基盤ソフトウェアの脆弱性 ▌2014年4月 Struts 任意コード実行 ▌2014年4月 OpenSSL ▌2014年9月 Bash ShellShock ▌ゼロデイが相次いだ 脆弱性の改修方法が明確で ない状態で攻撃される状況 ▌Heartbleed は対策が遅れた 企業で情報流出の被害 公表が 4月7日 攻撃が 4月11日 ▌対応できないサイトの一時閉鎖 というケースもあった 出典:http://heartbleed.com/
  11. 11. ascii.jp への DDoS 攻撃 ▌2015年10月 ▌Anonymous による DDoS ▌6日以上の期間アクセス不能 ▌ASCII が狙われた理由が不明 出典:http://japanese.engadget.com/2015/10/22/ascii-jp-ddos-anonymous-it-ascii-jp/ 出典:http://it.srad.jp/comments.pl?sid=670583&cid=2907221
  12. 12. 脅威はどこにあるか
  13. 13. cybozu.com リスクマップ サービスデスク クラウド オペレーター サイボウズ株式会社 インターネット cybozu.com データセンター 専用線網 お客様 ソーシャルエンジニアリング 盗聴 ウィルスメール DDoS 内部犯行 盗聴 窃盗 ゼロデイ
  14. 14. 分析 ▌攻撃経路 インターネット 専用線 サポートデスク(電話) 内部犯行・侵入 ユーザーサイド ▌すべての経路に攻撃の可能性はある アクセスしやすい経路への攻撃は、種類・回数が多い アクセスしにくい経路だからといって、攻撃されないわけではない
  15. 15. 対策の基本方針
  16. 16. 原則 ▌インシデントは必ず発生する ゼロデイ攻撃や DDoS の完全防御は困難 ▌インシデント対策の目的は、被害の最小化 発生の予防、頻度の低下 発生時の早期検出、被害最小化 ▌リスクは変動する SHA-1 の危殆化等、外部環境の変化でリスクも変わる 常に情報を収集し、対策し続ける体制が必要
  17. 17. 方針 ▌インシデントの発生を前提に備える CSIRT (Computer Security Incident Response Team) 侵入検知・防止システムや全操作履歴の保管 ▌システムにアクセスできる人と権限を最小化する 多くの人がかかわるほど脆弱になる プログラムにも必要以上の権限を与えない ▌常に情報を収集し、対策を更新する 新たな攻撃手法やゼロデイ脆弱性を日々監視 自社だけでなく、他社や善意の第三者と協力して対応
  18. 18. 原則と方針 ▌原則 インシデントは必ず発生する インシデント対策の目的は、 被害の最小化 リスクは変動する ▌方針 インシデントの発生を前提に備える システムにアクセスできる 人と権限を最小化する 常に情報を収集し、対策を更新する
  19. 19. サイボウズのセキュリティ体制 セキュリティ研究者 日本シーサート協議会 IPA・JPCERT/CC セキュリティ監査会社 Cy-SIRT 事務局 ISMS 事務局 (内部統制) セキュリティ委員会 運用本部 開発本部 Cy-SIRT (CSIRT)
  20. 20. 具体的な対策
  21. 21. 対策カテゴリー 物理対策 ネットワーク対策 ソフトウェア対策 人的対策 監査 製品機能
  22. 22. 物理:データセンター ▌FISC(金融情報システムセンター) 安全対策基準に準拠 ▌設備 生体認証 マントラップ 監視カメラ … 出典:http://itpro.nikkeibp.co.jp/atcl/column/14/346926/072200305/
  23. 23. 物理:サイボウズオフィス ▌重要操作をする要員・端末を物理的に隔離 ▌ネットワークも専用のものを用意 ▌重要ゾーンは監視カメラで24時間監視・記録 ▌重要ゾーンは写真撮影不可
  24. 24. 物理:ストレージ暗号化 ▌HDDには暗号化したデータを保存 aes-xts-plain64 + 512bit 鍵 ▌サーバーやHDDを盗んでも、データの解読は不可能 ▌ストレージ暗号化は順次展開中 2017年中には完了を予定 それまではHDDを物理破壊して廃棄
  25. 25. ネットワーク:インターネットからの隔離 ▌重要業務端末はインターネットから隔離 Web はもちろん、メールも届かない 他の社内ネットワークからも切り離された 独立ネットワーク オペレーターはインターネット用端末と 重要業務端末を使い分け
  26. 26. ネットワーク:SSL/TLS ▌Qualys SSL Labs A+ (最高評価) ▌最新のSSL/TLS技術を追求  HTTP Strict Transport Security (HSTS)  Perfect Forward Secrecy (PFS)  SHA-2 証明書  … 出典:https://www.ssllabs.com/
  27. 27. ネットワーク:拠点間専用線の暗号化 ▌通信データを IPSec で暗号化 ▌専用線の盗聴を防止
  28. 28. ネットワーク:DDoS 防御 ▌完全な DDoS 対策は困難 目をつけられないようにするのが一番という噂も… ▌バックボーン業者と連携して DDoS 防御機構を用意 一定の効果を期待
  29. 29. ネットワーク:ファイアウォール/WAF ▌通常のファイアウォールに加え、 HTTPトラフィックをモニタして攻撃をブロック可能 (Web Application Firewall / WAF) ▌自社製 L7 ロードバランサーにてルール追加 ▌Struts の脆弱性対応時に活用
  30. 30. ソフトウェア:緊急更新 ▌毎日脆弱性・ゼロデイ情報を確認 JPCERT/CC 等数多くの情報ソースを参照 ▌緊急性の高い脆弱性の場合、即座にシステムを更新 ベンダのパッチが間に合わない場合、 独自にパッチを展開する体制を整備 アプライアンスサーバー等のブラックボックスはほとんどない ▌実績 OpenSSL Heartbleed は認知から2時間半で対応完了 Struts も認知から2時間半で前述の暫定対応 その後も新たな攻撃パターンがでるたびに即時更新
  31. 31. ソフトウェア:定期更新 ▌緊急性が低い脆弱性も確実に潰すため、 毎月定期的にパッチを適用 ▌製品が依存している各種ライブラリも、 定期的に更新
  32. 32. ソフトウェア:強制アクセス制御 ▌強制アクセス制御とは: 明示的な許可のない動作以外禁止するOSの仕組み 例えば、許可されないファイルは絶対に開けない ▌ソフトウェアの未知の不具合に対して極めて有効 未知の不具合をつくゼロデイ攻撃を防止できる 侵入検知・防止システム(IDS/IPS)としても働く ▌インターネットから入るデータを扱うソフトウェアに対して 強制アクセス制御を適用している
  33. 33. ソフトウェア:外部 JavaScript の禁止 ▌外部 JavaScript の埋め込みは本質的に危険 代表例:Google Analytics 悪用されると、データを不正に操作可能 ▌インターネット接続の規制が厳しい会社ではブロックされる 製品が依存していると不具合になる 同様の理由で CDN も使いずらい ▌ログインが必要なWebサイトでは一切埋め込みを禁止
  34. 34. 人:内部犯行の特徴 ▌内部不正者のタイプ ▌期待できる対策への回答 タイプ 割合 一般従業員 85% 財務・会計スタッフ 22% 経営幹部・上級管理職 11% ヘルプデスク 4% システム管理者 3% ソフトウェア開発者 2% 不明・その他 2% 出典:IPA 「組織内部者の不正行為によるインシデント調査」報告書 対策 割合 操作の証拠が残る 54.2% アクセスが監視される 37.5% 同僚が処罰されたことがある 36.2% IDやパスワードの厳格管理 31.6% 罰則規定の強化 31.4% 管理者以外の操作が不能 29.2% … …
  35. 35. 人:アクセス権限の最小化 ▌データセンターへのアクセスはごく少数の正社員のみ ▌サポート用の権限も細分化して必要最小限を付与 「試用期限の延長のみ」など
  36. 36. 人:全操作履歴の保存 ▌オペレーターの操作はすべて記録・保存 内部犯行以外でも、オペミスの確認などに活用 注:イメージです
  37. 37. 監査:外部業者による定期セキュリティ監査 ▌サイバーディフェンス研究所様に 定期的に製品・ネットワークのセ キュリティ検査を依頼 出典:https://www.cyberdefense.jp/client/cybozu.html
  38. 38. 監査:ISMS 認証 ▌ISMS (ISO/IEC 27001:2013) 認証を取得 ▌毎年、認証機関の監査あり 出典:http://www.isms.jipdec.or.jp/lst/ind/CR_IS_x0020_577142.html
  39. 39. 監査:情報公開 ▌詳細な情報を Web で公開 https://www.cybozu.com/jp/productsecurity/ ▌コンテンツ  脆弱性情報  セキュリティチェックシート  第三者監査結果
  40. 40. お客様に お勧めする対策
  41. 41. 製品機能:サブドメインとログイン画面 ▌お客様毎に異なるサブドメイン Same-Origin-Policy IPアドレス制限 ログイン画面のカスタマイズ ▌ログイン画面 画像・会社名を変更可能 フィッシングサイト対策にどうぞ
  42. 42. 製品機能:ストアでできる設定
  43. 43. 製品機能:ストアでできる設定 ▌IPアドレス制限 特定のIPアドレス以外からのアクセスを禁止 BASIC認証やセキュアアクセスと組み合わせ可能 ▌Basic認証 全ユーザーで共通するパスワードを設定 退職者がでる都度変更するべき ▌セキュアアクセス(有償オプション) ユーザーごとのクライアント証明書を発行 いつでも失効・再発行可能なので運用が楽
  44. 44. 製品機能:パスワードポリシーとアカウントロックアウト ▌お勧め設定 パスワードは10文字以上 16文字以上なら一層安心 アカウントロックアウトを有効に ロックアウト解除は15分 ▌パスワードの使いまわしは厳禁!
  45. 45. 製品機能:監査ログ ▌重要レベルのログをメール送信 アカウントロックアウト等にいち 早く気づける ▌ログが多い場合、書き出し形式を XLSX から CSV (UTF-8)に Excel で開けないので…
  46. 46. まとめ
  47. 47. まとめ ▌クラウドシステムには様々なセキュリティリスクがある アカウント乗っ取り、盗聴、ウィルス、DDoS、etc. ▌cybozu.com では原則と基本方針を定めて対策している 方針に基づき、各種対策を導入 完璧なセキュリティは存在しないと考え、日々改善 ▌お客様が設定可能なセキュリティオプション サブドメインのアクセス制御 ユーザーのパスワード管理
  48. 48. 再掲:原則と方針 ▌原則 インシデントは必ず発生する インシデント対策の目的は、 被害の最小化 リスクは変動する ▌方針 インシデントの発生を前提に備える システムにアクセスできる 人と権限を最小化する 常に情報を収集し、対策を更新する
  49. 49. 質疑応答
  • eisakuterao

    May. 2, 2018
  • satorutakeuchi18

    Apr. 27, 2018

cybozu.com conference 2015 講演資料

Views

Total views

8,146

On Slideshare

0

From embeds

0

Number of embeds

7,164

Actions

Downloads

5

Shares

0

Comments

0

Likes

2

×