150828大学のセキュリティ

大学のセキュリティ
～事故前提から始めよう～
立命館大学
情報理工学部
上原哲太郎

本日お伝えしたいこと
 まずは「内部不正」と「ミス」に備えよう
 ベネッセ事件が残した教訓はなにか
 サイバー攻撃による「事故」は防げない
 年金機構事件が残した教訓はなにか
 大学の特殊事情はある
一方で大学故の優位性もある
 「これをしておけば大丈夫」なんてない
 これをやっておかねば炎上する、があるだけ

ベネッセ事件の大きな構図
連絡先
など
顧客
名簿
サービス
利用者や
アンケート
回答者
ベネッセの社内情報システム
管理
端末
不正な
持ち出し
ベネッセ
システム管理子会社
（シンフォーム）
（元）社員
開発
管理
委託
業務
委託
業務受託
システム会社
名簿業者
名簿業者
名簿流出
名簿
競合する
通信教育
事業者
流出
名簿
ダイレクト
メール
利用
送付
流出
名簿
流出
名簿
データベース

ベネッセ事件の雑感
 内部犯行については
システムのわずかな隙も命取り
 しかもシステム管理権限を持つと…
 個人情報は「本当に」金になる
 家族構成と年齢がわかった住所録だけで
十分な小遣い稼ぎになる
 しかし世間の騒ぎ方はピンボケ
 漏えい当事者が最初に心配するべきなのは？

ベネッセの事後対応
 LACと共同で情報管理
専門会社を設立
 徹底したゾーニング
 第三者委員会による
定期的監査

それでも大きなインパクト
 5次に渡る集団訴訟
 1次訴訟1700人
 最終的に万人単位？
 会員数減少
 365万人→270万人

年金機構事件の大きな構図
LAC「日本年金機構の情報漏えい事件から、我々が得られる教訓」より

年金機構事件雑感
 個人情報漏洩「だけ」が騒ぎになる不幸
 「個人識別情報」だから事件化に
 防ぐべきは悪用守るべきはプライバシー
 今回の攻撃は「高度標的型」ではない
正しい備えがあれば防げていた
 今回GSOCが発見できたのは既知だったから
 相変わらずの「業務IT化」への無理解
 現場で業務が「回ってしまっている」ことへの
甘えが根底にある

機構は何を反省するべきか
 IT投資の不足
 基幹系だけで業務が完結すべきところ
システム側の機能不足で処理できないため
情報側に移して処理する
エンドユーザコンピューティング（EUC）常態化
 EUCを「情報系」で行う危険の認知が不足
 不可避ならEUCだけの閉鎖環境を作るべき
 インシデントレスポンス体制の不足
 事件を前提にしたシステム構成になってない
 GSOCからの連絡後にリスク判断が出来ていない

詫び状の出来が…
 来たのが遅いのに
情報量がない（6/26着）
 被害者の最大の関心である
「年金の支払い」に
影響がない旨が
書かれてない
 年金払込情報や
銀行口座情報が
どうだったかが
書かれてない
 どんなリスクがあるか
今後何に気をつけるべきか
わからない

現在進行形で貴重な資料が残る
 第三者による報告書が3種類
 機構自体の第三者報告書
 厚生労働省の報告書
 内閣官房サイバーセキュリティセンター
（NISC）の報告書
 民間からも「教訓と対策」が多く出る
 カルペルスキー社
 マクニカ社
 LAC社（具体的な対策がある）

2011年頃から我が国において
重要機関における事故が続く
 2011年9月三菱重工へのサイバー攻撃
 防衛関連機密が狙われたとみられる
 2011年10～11月衆参両院へのサイバー攻撃
 標的型メール攻撃を用いてサーバに侵入
議員のメールが盗み見されるなどの被害
 2012年1月 JAXAでウィルス感染発覚
 NASA関連技術を含む重要機密が漏洩
 2012年7月財務省でウィルス感染発覚
 過去2年にわたって継続的に情報漏えい？
 2013年1月農水省へのサイバー攻撃
 内部文書124点（うち機密性2が85点）流出
TPP交渉に関わる記録など漏洩
 2014年は（あまり報道されなかったが）
ほぼ常時政府機関でのインシデントがある状態

多様化する攻撃者像
愉快犯→思想犯明確な目的
技術誇示目的
さらに外部か内部かなど…
思想信条の表現
「集団暴走」
怨恨
金銭目的
破壊工作・諜報

限界が来た「境界線防衛モデル」
情報系LAN
内部サーバ
File,DB,Apps…
外部サーバ
Web,Mail,DNS…
DMZ Internet
境界線を設定し、境界を越えるデータを
制限/検疫して「安全な世界」を脅威から
守る…しかし今や「境界線」は作れない
汚れた世界
安全な世界?
情報系LAN
基幹系LAN

Many, too many
組織内
データセンター
＆クラウド
テレワーク
ノマドワーク
持ち出し
データ
関係組織
委託業者
契約
職員

危機感がないトップが無戦略だと
リスクを拡大させる
ITはよくわからんので
全部キミに
任せた！
セキュリティ？
頑張ってね！
セキュリティ監査？
予算ないから
テキトーで！
個人情報保護
しっかりね！
ご無体な！
ITはもはや
業務の根幹を担う
そこにトップが
主体的に関わらずに
マネジメントが
成立するだろうか？
ちゃんと動いて
アタリマエ事故が
起きたらキミのせい

問題の所在はどこか
 ITが戦略に「正しく」組み込まれていない
 ITの業務への使われ方が本質的でない
 ワープロを清書ツール、Excelをそろばんの代替
メールを郵便の代替として使っている
 本質は業務における「データフロー」の最適化
 それが整理されないので情報管理ができず
リスクポイントばかりが増えてゆく
 まずは業務をITに合わせ見直し効率化
それがリスクの所在を顕在化させ
効率のよい守りに繋がってゆく

さらに、大学という組織の特殊性
一般事務
○ガバナンス
△重要情報
教務
△ガバナンス
◎重要情報
研究
×ガバナンス
？重要情報
学生教員職員
ルールに従う
時に官僚的
「お客様」だったり
構成員だったり
組織の一員だったり
個人事業主的だったり

何をするべきなのか
 時代に合わせ業務を見直しながら
「堅牢で効率的なシステムを作ること」
 敵に先んじるために
「あらかじめ情報を集めること」
 それでも事故は起きるため
「被害が拡大する前に発見する体制を整備」
 起きてしまった事故に対し
「速やかに適切に対応すること」
 最後はヒトの問題になる
「責任ある体制を整えること」

まずは入り口を固める
 「IDS/IPS（侵入検知/防御）」
「次世代ファイアウォール」は
使いこなせなければ効果は薄い
 多くの攻撃は「メール」と「Web」が入口
 電子メールと業務の関係の見直し
 外部Webアクセスと業務との関係の見直し
 両者が必要なら、それをPCで行う限り
マルウェア感染は前提にしなくてはならない
 次に狙われるのがデータの流入経路

「入れないようにする」のは困難
 多層防御多段階防御はもう常識
 入口対策＋出口対策＋「真ん中対策」
 攻撃の各段階で可能な限り
攻撃者の手を縛る「意地悪セキュリティ」
初期侵入から目的達成までは
時間がかかっているはず
時間を稼げる対策をして
その間に発見することを期待

IPA「高度標的型攻撃」対策ガイド
このところ
ほぼ毎年改訂されてきた
システム設計ガイドの集大成
ポイントは
「侵入されないこと」
ではなく
「侵入されたことを
発見しやすい」
「侵入されても被害が
大きくなりにくい」
こと

IPA高度標的型攻撃対策ポイント
 「次世代ファイアウォール」やIDS/IPS、
「サンドボックス」などの入口対策に
期待しない
 ひたすら内部を「複雑」にして
侵入した敵（マルウェア）が
目的達成しようとあれこれ「不審な」
動きをするのを捕らえる
 ファイアウォールやProxyのログを徹底活用
 特に「内部から外部」への参照ログを活用

侵入→基盤構築→目的達成
情報系
内部サーバ
File,DB,Apps…
外部サーバ
Web,Mail,DNS…
DMZ Internet
踏み台
基盤
構築
基幹系
攻撃は段階的に行われるのを利用し
最後の目的達成以前に検知する

攻撃の各段階
計画立案：目標を定め，目標に関する情報を得る段階
攻撃準備：踏み台取得・侵入ツール作成の段階
初期侵入：標的型メールなどで侵入に成功した段階
基盤構築：バックドア開設・システム構成取得の段階
内部侵入調査：他端末侵入・サーバ侵入・管理者権限取得・調査
目的遂行：窃取する情報や破壊するシステムを特定実行
再侵入：バックドアを通じ再侵入してさらに目的を達する
入口対策で対応
真ん中対策と
出口対策で対
応
入口対策で対応

IPA対策ガイドにおける
システム対策リスト（一部）
 設定変更で
可能な対策
を中心に具
体的に列挙
 コストは
最小で
済むはず
 監視体制が
重要

IPA「内部不正防止ガイドライン」
 「情報の管理」
 格付け
所在の確認
管理者の任命と委任
 監視体制の構築
 人的にも技術的にも
 内部通報制度の
確立など

インシデントレスポンスは
どうあるべきか
 組織内体制の整備（CSIRT）が必要
 シーサート（CSIRT: Computer Security Incident
Response Team）とは、コンピュータセキュリ
ティにかかるインシデントに対処するための組織
の総称です。インシデント関連情報、脆弱性情報、
攻撃予兆情報を常に収集、分析し、対応方針や手
順の策定などの活動をします。（日本シーサート
協議会HPより）
 IRは技術だけでは不十分
 システム停止などの対処は業務インパクト大
現場だけでは判断が出来ない
 法的対応には法務部門等とのリンクが不可欠

インシデント対応計画の策定法
 イメージとしては「火災時の計画」
 ただ、「消火」と「再発防止」まで自分でやる
必要
インシデント
発生
監視結果
内部通報
外部通報
明らかな
災害
CISO
連絡
担当
渉外
担当
システム
担当
広報
内部統制
顧客対応
マスコミ対応
警察対応
応急措置
原因究明
仮復旧
原状復帰
再発防止
報告作成

システム設計における
「フォレンジック的思考のススメ」
 デジタル・フォレンジックとは？
 Forensic:Websterによると・・・
the application of scientific knowledge to legal problems; especially :
scientific analysis of physical evidence (as from a crime scene)
 例：Forensic Medicine : 「法医学」
 事故や不正発生時に、関連した情報システムから、
事故・不正の『証拠』を集めて分析し、
法的問題の解決に役立てるための一連の技術や手法
 世間ではしばしば「法的問題に役立てる」が無視される
 システムを「フォレンジック対応」で設計運用
＝ユーザの操作履歴を記録して事故発生に備える
外部攻撃でも内部犯行でも「履歴（ログ）取得と保全」が
なされていないと事後対応が困難になるが、真正性は？

01011101
10101101
111101・・・
被害現場
鑑識警察
検察
裁判官
被疑者
？？
Forensically
sounds?
犯罪・不正
情報解析警察
検察

システム管理者にとっての
デジタルフォレンジック
平時の対応緊急時の対応
情報システム
管理者
システム管理者
又は外部の専門家
分析・
整理
された
証拠
管理者や
専門家へ：
原因究明と
再発防止
被害拡大抑止
弁護士等へ：
法的交渉や
民事訴訟
捜査機関へ：
刑事訴訟
信頼できる認証基盤の確立
通信や操作記録の収集・保管
記録やログの消去改竄抑止
ログや記録の定常的検査に
よるインシデント発見など…
電磁的証拠の保全と収集・解析
収集過程と解析結果の文書化
証拠改竄・毀損の有無の確認・立証
証拠保全後のシステムの速やかな回復
など…
法的対応
従来のインシデント
レスポンス
事件・事故の
発生
インシデントや訴訟係争の
発生／情報漏えい・
内部不正の発覚など

初期対応のあり方の例として
 「証拠保全ガイドライン」
デジタル・フォレンジック
研究会技術分科会WG編
 事故発生時にどのように
「現状保全」するか

セキュリティのカナメ：
大学の情報セキュリティポリシー
 H12年7月政府の「情報セキュリティポリシー
に関するガイドライン」で大枠が決定
 H14年3月「大学における情報セキュリティポリ
シーの考え方」
 H17年12月「政府機関の情報セキュリティ対策
のための統一基準」を受けてサンプルが作ら
れる
 H19年2月「高等教育機関の情報セキュリティ対策
のためのサンプル規程集」
 その後、政府機関統一基準は改訂を繰り返す
 「高等教育機関の～サンプル規程集」も追随

H12年7月
情報セキュリティポリシーに関するガイドライン
政府機関はセキュリティポリシーを策定運用する義務
H17年9月
政府機関の情報セキュリティ対策の強化に関する基本方針
政府機関はセキュリティポリシーを統一基準に順ずるよう見直す義務
政府側
H14年3月
大学における情報セキュリティ
ポリシーの考え方
各大学への策定要請（国立大は義務）
省庁別
ポリシー
省庁別
ポリシー
省庁別
ポリシー
H17年12月
政府機関の情報セキュリティ対策のための統一基準
大学側
省庁別ポリシー見直し
PDCAサイクル
H18年9月
政府機関統一基準適用個別マニュアル群（実施手順書雛形）
H19年2月
高等教育機関の情報セキュリティ対策のための
サンプル規程集（大学向けポリシーの雛形）
H19年6月
政府機関の情報セキュリティ対策のための統一基準（第二版）
7大学+NII
H15年1月
高等教育機関に
おけるネットワーク
運用ガイドライン
情報系3学会
→IEICE
大学の
ポリシー
大学の
ポリシー
大学の
ポリシー
PDCA
NIIが主導・実態は統一基準＋IEICEガイドライン
H19年10月
サンプル規程集の追加・見直し
60p
32p
約300p
大学ポリシー見直
し
64p
H24年4月
政府機関の情報セキュリティ対策のための統一基準群（H24版）
PDCAサイクル
約600p
76p
H25年7月
サンプル規程集(2013年版)
PDCAサイクル
H26年5月
政府機関の情報セキュリティ対策のための統一基準群（H26版）

大学での情報セキュリティーポリシーは
機能しているか
 政府統一基準はほぼ毎年変更
 サンプル規定集は少し遅れて変更
 各大学のレベルではどうか
 PDCAが機能するためには組織にメスが必要
 国公立に比べて私学は…？
 そもそも大学はより
「セキュア」になったか？
 変化する外的要因に対し
リスクの見直しは出来ているか？？？

かつてのリスク要因
 「踏み台」
 サーバ乗っ取り
→他への攻撃
SPAMばらまき
 Bot植え付け
 学生の「悪さ」
 著作権違反事案など
 「個人情報漏洩」
 多くは事故
（紛失＆盗難）
 被害実態はとにかく
報道＆世論は
漏洩件数に敏感
→ブランド毀損を
避けるために
対策が必要
結局、あまり直接的被害ではなかった…

今はサイバー犯罪は「金になる」
 2013年「リスト型アカウント攻撃」の急増
 ネットバンキング等を狙った不正送金激増
 2012年 64件 4800万円
2013年 1315件 14億円
2014年 1876件 29億円
 特に法人向け口座が狙われる
 マルウェアの高度化
 詐欺手口の多様化
 SNSアカウント乗っ取りによる詐欺など

いま大学が本当に恐れるべきは…
 「サイバー諜報」
 不正アクセスや
マルウェアを
きっかけにした
高度な諜報戦
 攻撃の高度化により
従来の対策では
検知が困難に
 「内部犯罪」
 業務の電算化が進み
効率化と引き替えに
リスクは高まる
 定員外職員の増加
アウトソーシング増加
ロイヤリティに頼った
人的セキュリティは無理
どんな情報でも換金出来る時代になり
潜在的脅威は高まっているはず…？

セ
キ
ュ
リ
テ
ィ
「セキュリティ」と
「リスク」は表裏一体
 セキュリティを高めるのが「セキュリティマネジメント」
→それにより「リスク」が軽減する
これに事故（インシデント）発生時対応を加えて
「リスクコントロール」を実現する
40
安全
Safety
安心
Trustworthy
信頼
Dependablity
リスク
Risk

リスクを評価し対応する
リスクアセスメント
リスクの
把握・特定
リスクの
分析・評価
リスク対応
（リスクマネジメント）
リスク
許容
リスク低減
(技術・運用等)受容
可能？
リスク回避
（業務見直し等）
リスク移転
（保険等）
NO
YES
岡村久道「これでわかった会社
の内部統制」など

リスクの大きさ・確率と対応の関係
L
（
被
害
）
P （発生確率）
リスク
許容
リスク低減
(技術・運用等)
リスク回避
（業務見直し等）
リスク移転
（保険等）
佐々木良一：「ITリスクの考え方」より

ITリスクの特殊性
 ITが生む利便性は比較的見えやすいが
同時に持ち込むリスクはなかなか見えない
 運用コストや情報セキュリティ上の危機の見えにくさ
 ITは複雑な技術：評価が難しい
 たとえ利便性が見えても、必要性や費用対効果の即断は困難
 ITによるインシデントは発生確率が
外的要因に激しく左右される
 脆弱性の発見、攻撃法の流行、見えない「攻撃者の意思」
 攻撃力は「資金」や「マンパワー」ではなく
純粋に「技術」で決まる
 ITでは「生産者責任」がなかなか取られない歴史的経緯
 いくらバグを出しても免責されるソフトウェア会社
43

経営層やシステム管理者に
求められる常識・・・
 ITによる効率化は危機も呼び込むことになる
 業者はリスクには責任を負わない・負えない
→事故発生時の被害は経営層が評価すべき
→業務単位のリスク評価は経営層の責任
 リスク対策の勘所は「運用現場」にこそ見えている
→細部のリスク対策は現場から上に上げるべき
→システム担当者はシステムを常に把握せよ
丸投げ厳禁！
 事故の発生確率は0にできない
 だからこそ事故の
予防策だけではなく
事後対策も重要
44

リスク評価はトップダウン
リスク対策はボトムアップ
学長
情報・情報機器
教員・職員
重要業務の
リスク評価
重要情報の
リスク対策

トップダウンのメリット
 重要な情報（機密）の保護にはコストがかかる
 リソースの配分に権限がある人は
細部のどこに重要な「情報」があるか
理解が及ばない
 一方、重要な「業務」は把握しやすい
リスクも想像が及びやすい
 決定の迅速化、対策のメリハリ
 但し適切なリソース配分には
結局細部のリスク評価が欠かせないことに注意
 それを現場から「リスク対策案」とともに吸い上げる

役割分担
 CISO:権限を与え、対策を指示し、責任を負う
 緊急時の分限の範囲は予め決めておくべき
 システム管理者は普段からCISOと仲良く♪
 信頼関係が必要予算が必要な場合「お願い」も必要
 必要に応じてCISOを普段から「教育」しておく
 渉外担当：情報を一元化
 勝手にそれぞれが応対すると混乱を招く
（特にマスコミ相手）
 情報公開が遅れても批判の矢面だから専従は必須
 ただし独断で動いてはいけない
 システム担当
 実際のトラブルシューター
 必要に応じてCISOや渉外に情報をあげる

おわりに
 ITに関するトップの無理解が
潜在的脅威を膨らませる
 業務効率化とセキュリティは
決して相反しない！
 一番なおざりなのは業務の効率的IT化
 セキュリティ対策の重点は事前の予防より
事後の早期発見と拡大防止に移っている
 そのためにも今から意識改革を

必要なリソース
 IPAがいくつもよい資料を作っています
 https://www.ipa.go.jp/security/vuln/newattac
k.html
 インシデントレスポンスについては
米国NIST SP800-61をIPAが日本語訳
 https://www.ipa.go.jp/security/publications/nis
t/
 デジタルフォレンジック研究会が
証拠保全についてガイドライン
 http://www.digitalforensic.jp/
 ただしこれはかなりシビアな（外部の専門家によ
る調査が入るような）状況が想定されている

攻撃に関しては年金機構に関する
各種報道が貴重な資料
 日経コンピュータ：ラッコの眼
～サイバーセキュリティ最前線～
「標的型攻撃対策指南書」を読み解く
 LAC取締役西本逸郎氏による
LAC対策指南書解説
 日経コンピュータ：マイナンバー前夜、
自治体を襲うサイバー攻撃
 長野県上田市の標的型攻撃メール事案
大変参考になる

150828大学のセキュリティ

Recommended

Recommended

More Related Content

What's hot

What's hot (12)

Viewers also liked

Viewers also liked (8)

Similar to 150828大学のセキュリティ

Similar to 150828大学のセキュリティ (12)

More from UEHARA, Tetsutaro

More from UEHARA, Tetsutaro (17)

Recently uploaded

Recently uploaded (6)

150828大学のセキュリティ