security days 2016「セキュリティ対策の転換点」
TRANSCRIPT
![Page 1: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/1.jpg)
セキュリティ対策の転換点
立命館大学情報理工学部 上原哲太郎
![Page 2: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/2.jpg)
情報システム担当の悩み情報漏洩は許されない!インシデントはあってはならない! 情報システムは組織のインフラトラブルは即業務の停止に
ITによる業務の効率化を
UnderPressure!
ITシステムのコスト圧縮を
![Page 3: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/3.jpg)
常に火消しに追われる我々
標的型攻撃情報漏洩紛失事故
ランサムウェア情報の持ち出し
![Page 4: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/4.jpg)
事故原因を「人」から見る愉快犯→思想犯 目的を持つ外部犯技術誇示目的
最近はメインは「金銭」「諜報」の模様
思想信条の表現怨恨 金銭目的破壊工作・諜報
内部の事故ミス・ポリシー違反
目的を持つ内部犯怨恨 金銭目的
![Page 5: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/5.jpg)
やはり内部不正は怖い 大規模で深刻な漏洩は内部不正が多い
宇治市住民基本台帳漏洩事件 (1999)教育事業者から DB持出転売事件 (2014) : 委託先 ISPからの DB持出・脅迫事件 (2004) : 元従業員 証券会社顧客 DB持出事件 (2009) : 正社員堺市 DB漏洩事件( 2015) : 正職員 その他原因が分からないものも多数
漏洩情報の悪用目的が明確だと大量漏洩につながる
![Page 6: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/6.jpg)
2014~ 15年の主な事件( IPA報告書より)不正競争防止法改正で刑事事件化しやすくなったが抑止効果は十分ではない
![Page 7: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/7.jpg)
内部不正の原因? IPA「内部不正による情報セキュリティインシデント実態調査」 2016.3
過失:故意=6:4 過失というより悪用意図のないカジュアルな違反
USBメモリ 5割、メール 3割 しかし中小企業ではほぼ USB禁止されてない
経営者は技術的・物理的対策を重視するが内部不正経験者は監視と罰則が有効と回答 内部不正経験者はその半数が「シス管」
うち 6割が「兼務シス管」
![Page 8: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/8.jpg)
まずは人的対策を IPA内部不正防止ガイドライン( 3版) 犯行を難しくする 捕まるリスクを高める 犯行の見返りを減らす 犯行の誘因を減らす 犯罪の弁明をさせない
![Page 9: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/9.jpg)
データベースセキュリティコンソーシアム「データベース内部不正対策ガイドライン」
DB管理者を中心に「誘因」「抑制」「運用」に分けてリスクポイントを分析対策を記述
![Page 10: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/10.jpg)
サイバー攻撃は相変わらずメールが中心 たまにWeb 年金機構も某旅行代理店もメールが発端初期攻撃は脆弱性利用ではない 単純な不正アクセス、特に
Webアプリケーションの脆弱性を突く例が相対的に目立たなくなっている印象 少しは脆弱性が減ってる?
一方、近年はランサムウェアが…
![Page 11: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/11.jpg)
このパターンは相変わらず…LAN
内部サーバFile,DB,Apps…
外部サーバWeb,Mail,DNS…
DMZ Internet
踏み台基盤構築
情報収集→初期侵入→基盤構築→内部調査→攻撃先特定→目的実行
初期侵入
目的実行
![Page 12: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/12.jpg)
年金機構事件だって似たような構図
基幹系年金データ
情報系共用サーバ
情報提供 NWシステム
データの移送
標的型メール攻撃
情報の流出
何が問題か?
GSOC
![Page 13: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/13.jpg)
「監視」を中心とした対策:IPA「高度標的型攻撃」対策ガイド
ポイントは「侵入されないこと」ではなく「侵入されたことを 発見しやすい」「侵入されても被害が 大きくなりにくい」システムにすること監視体制構築が課題
![Page 14: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/14.jpg)
メール対策しろと言われても標的型メール対策してね!
ご無体な!いくら防衛しても標的型メールは届く !
どんなに訓練しても誰かがメールを開く!マルウェア対策していたって標的型なら防げない!
どこか良いツールを探してきて!でも予算は限られてるからね!
![Page 15: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/15.jpg)
さすがにメールは限界ではないか? メールに対するさまざまな対策はあるが…
発信者認証 (DKIM/SPF, DMARC, S/MIME) 普及に課題・ UI変更や教育も課題
メール向けマルウェア対策 特にサンドボックス製品のコストが課題
添付ファイル「無害化」 コスト・作業効率の問題
メールを使わない方が実は楽では? ファイルのクラウドストレージを介した交換
事実上の発信者認証の徹底 別のメッセージング手段の確保
![Page 16: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/16.jpg)
年金機構事件を受けた自治体情報セキュリティ「強靭化」 3つの柱
連絡報告体制の整備 CSIRTの整備
ネットワークの系統分離 特にインターネットと業務系の分離
自治体情報セキュリティクラウドの整備 サーバを外に出す SOCサービスの導入
![Page 17: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/17.jpg)
セキュリティクラウド
「あるべき姿」と されるもの
住基ネット接続系
文書管理施設予約・・・
LG-WAN接続系
インターネット系
Webメール
議会録提供・・
ファイアウォールまたは未接続
LGWAN
FW/文書交換システム等
住基ネット
FW/GWサーバ
FW
住基 CS
LGWANASPへ
インターネット
ファイアウォール
SOC監視
住民のマイナンバー 職員のマイナンバー
ここの切断がどこまで出来るか?特にメールの移送問題が!
LGWANASP
![Page 18: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/18.jpg)
こんな声をいっぱい聴く羽目に
ネットを切り離されると仕事にならない!強靭化を決めた人たちは現場を知らなさすぎる!
![Page 19: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/19.jpg)
We know! 仕事に甚大な影響があるのは百も承知だが、他に手はないのではないか?
自治体に十分な監視体制はとれるか?インシデントレスポンスは迅速にできるか?住民を納得させられるのか?? 現状、外部からの攻撃はほとんどが「バイナリを実行させる」ことで成立バイナリを混入可能なファイルを下手に扱わないことが最大の対策 でもそれでは「仕事にならない?」
![Page 20: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/20.jpg)
出てきたいろんなソリューション 仮想 PCの活用
インターネット系に置いた仮想 PCを画面転送型で業務系から遠隔利用しネットの情報を閲覧 ファイル「無害化」
インターネット系のファイルを業務系に取り込む際に一度ファイルを変換してマルウェアのリスクを限りなく減らす
![Page 21: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/21.jpg)
この方向に未来はあるのか 監視を強化して「事故前提」にするのはあらゆる組織に適用可能な方向ではない 「分離して安全」にすると業務効率が下がる セキュリティにコストをかけても「業務が効率化」しているのか問わないと何のために情報システムを入れるのか?コスト低減ベネフィット リスク= Σ( L×P)
L:損失 P:発生確率
![Page 22: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/22.jpg)
今までを振り返りつつ考えると…セキュリティ対策=現行業務システム+対策製品できるだけ業務変更を小さくしたい現場の声を尊重
…でもそろそろ限界なのでは?コストばかり増大
どうせ業務への影響は無視できない同じ我慢してもらうなら、やるべきは…
![Page 23: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/23.jpg)
メールの「添付ファイル」に頼った業務フローを見直す 添付ファイルは現場レベルでワークフローを構築しやすい だが、それが大きなリスクを生んでいる
メールは送信者が確認できない メールは暗号化できない
PW付 zipなど「勝手暗号化」がかえってセキュリティ対策を殺してしまうジレンマ これらの対策は存在するが普及が課題
それならば定型化した業務は「認証のしっかりしたWeb App」に移した方が効率化とセキュリティ対策が両立できるのでは?
![Page 24: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/24.jpg)
パソコン以外で仕事をするタブレット OSの安全さを利用するパソコンタブレット
マルウェア対策のコストが桁違い!本当に PCでないと出来ない仕事は
Web化で減ったはず
![Page 25: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/25.jpg)
本当にそれは必要か、を問う添付ファイルつきメールは業者との連絡に必須で…基幹システムに決裁システムがあってそこにネットからの文書を添付しないと…
メールじゃなくてファイル授受サーバをクラウド上に作れば?
本当に docファイルじゃないとだめなの?決裁のためなら画像で十分じゃ?
現場から「業務情報化」のアイデアは出ない!業務の現状を分析して「セキュアな方法」を提示
![Page 26: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/26.jpg)
本当に必要なのは何か? 情報システム全体を最初からセキュリティ対策しておくのはもちろんのこととして・・・ 「仕事のやり方」を変えて効率化を
いつまで情報機器を清書機にするのかいつまで「印鑑文化」を維持するのか セキュリティ対策で「業務効率が常に下がる」のは本末転倒「結果的に業務効率が上がる」ことを示し「業務のやり方を変える」ことを現場に受け入れさせられるかが勝負では?!
![Page 27: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/27.jpg)
標的はシステムではなく「人」人にデータを食わせるWebとメール 脆弱性管理はしっかりやる(当然!) その上で、現状狙われているのは「人」に不定型なデータを拾わせる機会本当にそのデータを人手で扱わせるのは必要なのかもう一度問い直そう
CSVを落として列を加えてコピペして一部手で直して再度 Upload…
データ選択クリックおわり!
![Page 28: Security days 2016「セキュリティ対策の転換点」](https://reader035.vdocuments.site/reader035/viewer/2022081414/5887f4101a28ab7d5c8b68c7/html5/thumbnails/28.jpg)
今後はこれを比較しよう
業務改善システム化コストセキュリティ対策コスト
セキュリティのために仕事をするのではなく仕事のために ITを使い、そこにセキュリティを見いだす
28業務の「セキュリティ・バイ・デザイン」を!