2016.10.3 Security Days 大阪での講演資料

1. セキュリティ対策の転換点
立命館大学
情報理工学部
上原哲太郎

2. 情報システム担当の悩み
情報漏洩は
許されない！
インシデントは
あってはならない！
情報システムは
組織のインフラ
トラブルは即
業務の停止に
ITによる
業務の
効率化を
Under
Pressure!
ITシステ
ムのコス
ト圧縮を

3. 常に火消しに追われる我々
標的型
攻撃
情報漏洩
紛失事故
ランサム
ウェア
情報の
持ち出し

4. 事故原因を「人」から見る
愉快犯→思想犯 目的を持つ外部犯
技術誇示目的
最近はメインは「金銭」「諜報」の模様
思想信条の表現
怨恨 金銭目的
破壊工作・諜報
内部の事故
ミス・ポリシー違反
目的を持つ内部犯
怨恨 金銭目的

5. やはり内部不正は怖い
 大規模で深刻な漏洩は内部不正が多い
 宇治市住民基本台帳漏洩事件(1999)
教育事業者からDB持出転売事件(2014) : 委託先
 ISPからのDB持出・脅迫事件(2004) : 元従業員
 証券会社顧客DB持出事件(2009) : 正社員
堺市DB漏洩事件（2015）: 正職員
 その他原因が分からないものも多数
 漏洩情報の悪用目的が明確だと
大量漏洩につながる

6. 2014～15年の主な事件
（IPA報告書より）
不正競争
防止法改正で
刑事事件化
しやすく
なったが
抑止効果は
十分ではない

7. 内部不正の原因？
 IPA「内部不正による情報セキュリティ
インシデント実態調査」2016.3
 過失：故意＝６：４
 過失というより悪用意図のないカジュアルな違反
 USBメモリ5割、メール3割
 しかし中小企業ではほぼUSB禁止されてない
 経営者は技術的・物理的対策を重視するが
内部不正経験者は監視と罰則が有効と回答
 内部不正経験者はその半数が「シス管」
 うち6割が「兼務シス管」

8. まずは人的対策を
 IPA内部不正防止
ガイドライン（3版）
 犯行を難しくする
 捕まるリスクを高める
 犯行の見返りを減らす
 犯行の誘因を減らす
 犯罪の弁明をさせない

9. データベースセキュリティコンソーシアム
「データベース内部不正対策ガイドライン」
DB管理者を中心に
「誘因」「抑制」
「運用」に分けて
リスクポイントを分析
対策を記述

10. サイバー攻撃は相変わらず
メールが中心 たまにWeb
 年金機構も某旅行代理店もメールが発端
初期攻撃は脆弱性利用ではない
 単純な不正アクセス、特に
Webアプリケーションの脆弱性を突く例が
相対的に目立たなくなっている印象
 少しは脆弱性が減ってる？
 一方、近年はランサムウェアが…

11. このパターンは相変わらず…
LAN
内部サーバ
File,DB,Apps…
外部サーバ
Web,Mail,DNS…
DMZ Internet
踏み台
基盤
構築
情報収集→初期侵入→基盤構築→内部調査→攻撃先特定→目的実行
初期侵入
目的
実行

12. 年金機構事件だって似たような構図
基幹系
年金データ
情報系
共用サーバ
情報提供NWシステム
データの移送
標的型
メール
攻撃
情報の流出
何が問題か？
GSOC

13. 「監視」を中心とした対策：
IPA「高度標的型攻撃」対策ガイド
ポイントは
「侵入されないこと」
ではなく
「侵入されたことを
発見しやすい」
「侵入されても被害が
大きくなりにくい」
システムにすること
監視体制構築が課題

14. メール対策しろと言われても
標的型メール
対策してね！
ご無体な！
いくら防衛しても
標的型メールは届く!
どんなに訓練しても
誰かがメールを開く！
マルウェア対策
していたって
標的型なら防げない！
どこか良い
ツールを
探してきて！
でも予算は
限られてる
からね！

15. さすがにメールは限界ではないか？
 メールに対するさまざまな対策はあるが…
 発信者認証(DKIM/SPF, DMARC, S/MIME)
 普及に課題・UI変更や教育も課題
 メール向けマルウェア対策
 特にサンドボックス製品のコストが課題
 添付ファイル「無害化」
 コスト・作業効率の問題
 メールを使わない方が実は楽では？
 ファイルのクラウドストレージを介した交換
 事実上の発信者認証の徹底
 別のメッセージング手段の確保

16. 年金機構事件を受けた
自治体情報セキュリティ「強靭化」
 ３つの柱
 連絡報告体制の整備
 CSIRTの整備
 ネットワークの系統分離
 特にインターネットと業務系の分離
 自治体情報セキュリティクラウドの整備
 サーバを外に出す
 SOCサービスの導入

17. セ
キ
ュ
リ
テ
ィ
ク
ラ
ウ
ド
「あるべき姿」と
されるもの
住基ネット接続系
文書管理
施設予約
・・・
LG-WAN接続系
インターネット系
Web
メール
議会録
提供・・
フ
ァ
イ
ア
ウ
ォ
ー
ル
ま
た
は
未
接
続
LGWAN
FW/文書交換
システム等
住基ネット
FW／GWサーバ
FW
住基CS
LGWAN
ASPへ
イ
ン
タ
ー
ネ
ッ
ト
ファイアウォール
SOC監視
住民の
マイナンバー 職員の
マイナンバー
ここの切断が
どこまで出来るか？
特にメールの移送問題が！
LGWAN
ASP

18. こんな声をいっぱい聴く羽目に
ネットを切り離されると
仕事にならない！
強靭化を決めた人たちは
現場を知らなさすぎる！

19. We know!
 仕事に甚大な影響があるのは百も承知だが、
他に手はないのではないか？
 自治体に十分な監視体制はとれるか？
インシデントレスポンスは迅速にできるか？
住民を納得させられるのか？？
 現状、外部からの攻撃はほとんどが
「バイナリを実行させる」ことで成立
バイナリを混入可能なファイルを
下手に扱わないことが最大の対策
 でもそれでは「仕事にならない？」

20. 出てきたいろんなソリューション
 仮想PCの活用
 インターネット系に置いた仮想PCを
画面転送型で業務系から遠隔利用し
ネットの情報を閲覧
 ファイル「無害化」
 インターネット系のファイルを業務系に
取り込む際に一度ファイルを変換して
マルウェアのリスクを限りなく減らす

21. この方向に未来はあるのか
 監視を強化して「事故前提」にするのは
あらゆる組織に適用可能な方向ではない
 「分離して安全」にすると業務効率が下がる
 セキュリティにコストをかけても
「業務が効率化」しているのか問わないと
何のために情報システムを入れるのか？
コスト低減
ベネフィット
リスク＝Σ（L×P）
L:損失 P：発生確率

22. 今までを振り返りつつ考えると…
セキュリティ対策
＝現行業務システム
＋対策製品
できるだけ
業務変更を
小さくしたい
現場の声を尊重
…でもそろそろ
限界なのでは？
コストばかり増大
どうせ業務への
影響は無視できない
同じ我慢してもらう
なら、やるべきは…

23. メールの「添付ファイル」に頼った
業務フローを見直す
 添付ファイルは現場レベルで
ワークフローを構築しやすい
 だが、それが大きなリスクを生んでいる
 メールは送信者が確認できない
 メールは暗号化できない
 PW付zipなど「勝手暗号化」がかえって
セキュリティ対策を殺してしまうジレンマ
 これらの対策は存在するが普及が課題
 それならば定型化した業務は
「認証のしっかりしたWeb App」に
移した方が効率化とセキュリティ対策が
両立できるのでは？

24. パソコン以外で仕事をする
タブレットOSの安全さを利用する
パソコンタブレット
マルウェア対策の
コストが桁違い！
本当にPCでないと
出来ない仕事は
Web化で減ったはず

25. 本当にそれは必要か、を問う
添付ファイルつき
メールは業者との
連絡に必須で…
基幹システムに
決裁システムがあって
そこにネットからの
文書を添付しないと…
メールじゃなくて
ファイル授受サーバを
クラウド上に作れば？
本当にdocファイル
じゃないとだめなの？
決裁のためなら
画像で十分じゃ？
現場から「業務情報化」のアイデアは出ない！
業務の現状を分析して「セキュアな方法」を提示

26. 本当に必要なのは何か？
 情報システム全体を
最初からセキュリティ対策しておくのは
もちろんのこととして・・・
 「仕事のやり方」を変えて効率化を
 いつまで情報機器を清書機にするのか
いつまで「印鑑文化」を維持するのか
 セキュリティ対策で
「業務効率が常に下がる」のは本末転倒
「結果的に業務効率が上がる」ことを示し
「業務のやり方を変える」ことを
現場に受け入れさせられるかが勝負では？！

27. 標的はシステムではなく「人」
人にデータを食わせるWebとメール
 脆弱性管理はしっかりやる（当然！）
 その上で、現状狙われているのは
「人」に不定型なデータを拾わせる機会
本当にそのデータを人手で扱わせるのは
必要なのかもう一度問い直そう
CSVを落として
列を加えて
コピペして
一部手で直して
再度Upload…
データ選択
クリック
おわり！

28. 今後はこれを比較しよう
業務改善
システム化
コスト
セキュリティ
対策コスト
セキュリティのために仕事をするのではなく
仕事のためにITを使い、そこにセキュリティを見いだす
28業務の「セキュリティ・バイ・デザイン」を！