データベース・フォレンジックと セキュリティ監視のポイント データベース

情報漏洩追跡セミナー 〜
データベース・フォレンジック
データベース・フォレンジックと
セキュリティ監視のポイント
株式会社ラック
[email protected]
http://www.lac.co.jp/security/
スピーカー
にし
もと
いつ
ろう
西本 逸郎
昭和33年
福岡県生まれ
昭和59年
3月
昭和59年
4月
昭和61年
10月
熊本大学工学部土木工学科中退
情報技術開発株式会社入社
株式会社ラック入社 一貫して通信系ソフトウェアやミドルウェアの開発に従事。
その後、ドイツのシーメンスニックスドルフ社と提携し、オープンPOS( Windows
POS)を世界に先駆け開発・実践投入。
堅牢なシステムを如何に作って維持していくかをテーマにセキュリティ対策という観点で邁進中。
情報セキュリティ対策をテーマにITイベント、セミナーなどでの講演や専門雑誌への執筆多数。
株式会社ラック JSOC事業本部 取締役本部長
特定非営利活動法人 日本ネットワークセキュリティ協会 理事
熊本大学 大学院自然科学研究科
2
1.情報セキュリティに関する動向
3
1) インターネットの国内普及状況 ①
総務省発行 平成15年版 情報通信白書より
http://www.johotsusintokei.soumu.go.jp/whitepaper/ja/h15/index.html
4
1) インターネットの国内普及状況 ②
総務省発行 平成15年版 情報通信白書より
http://www.johotsusintokei.soumu.go.jp/whitepaper/ja/h15/index.html
5
2) I Tの加速度的な発展
• 情報技術(IT)の急速な発展
– ネットワーク技術の進歩
• 高速、大容量回線 (ADSL、CATV接続)
– コンピュータ技術の進歩
• 高速処理能力、大容量ハードディスク、メモリ
• 価格の低下
– 利用形態の変化
• 24時間常時接続
– 社会生活基盤のシステム化、ネットワーク化
情報の高集積・高密度化の進行
同時にそれらの情報に対するネットワーク上の脅威の増加
6
3) 情報セキュリティに関する事件の報告件数推移
140000
114,855
120000
100000
件数
82,094
80000
60000
52,658
40000
21,756
※『 CERT/CC Statistics 1988-2003 』のページより
http://www.cert.org/stats/cert_stats.html
7
1Q
-3
Q
20
02
20
01
19
99
*
19
98
9,859
20
03
年
19
97
19
96
19
95
19
94
19
93
406
19
92
252
19
91
132
19
90
6
19
89
19
88
0
773 1,334 2,340 2,412 2,573 2,134 3,734
20
00
20000
4) ハイテク犯罪の検挙状況 ①
●警察庁「ハイテク犯罪の検挙事例」 より
http://www.npa.go.jp/hightech/
8
4) ハイテク犯罪の検挙状況 ② (詳細)
年
罪 名
不正アクセス禁止法違反
コンピュータ・電磁的記録対象犯罪
電子計算機使用詐欺
電磁的記録不正作出・毀棄
電子計算機損壊等業務妨害
ネットワーク利用犯罪
児童買春・児 児童買春
童ポルノ法違
反
児童ポルノ
青少年保護育成条例違反
詐
欺
わいせつ物頒布等
名 誉 毀 損
脅
迫
著 作 権 法 違 反
そ の 他
合
計
31
35
H14
H15
上半期 上半期 増 減
51
27
33
+6
44
33
9
2
63
48
11
4
30
18
8
4
18
12
5
1
31
19
9
3
+13
+7
+4
+2
484
8
712
117
958
268
443
114
468
105
+25
-9
113
2
53
154
30
17
29
78
559
128
10
103
103
42
40
28
141
810
140
70
112
109
27
33
31
168
1,039
64
25
59
55
13
18
16
79
488
55
49
44
39
26
21
20
109
532
-9
+24
-15
-16
+13
+3
+4
+30
+44
H12
H13
●警察庁「平成15年上半期のハイテク犯罪の検挙及び相談受理状況等について」より
http://www.npa.go.jp/hightech/
9
5) コンピュータウイルス被害の発生状況
※IPA(独立行政法人 情報処理推進機構)がまとめたウイルス発見届出件数より
http://www.ipa.go.jp/security/txt/2003/12.html
10
6) 政府の情報セキュリティへの取り組み ①
政府の情報セキュリティ確保のための対策
情報セキュリティポリシーに関するガイドライン
情報セキュリティポリシーに関するガイドライン (2000年7月18日)
(2000年7月18日)
電子政府の情報セキュリティ確保のためのアクションプラン
電子政府の情報セキュリティ確保のためのアクションプラン
(2001年10月10日)
(2001年10月10日)
重要インフラ防護のための対策
重要インフラのサイバーテロ対策に係る特別行動計画
重要インフラのサイバーテロ対策に係る特別行動計画
(2000年12月15日)
(2000年12月15日)
サイバーテロ対策に係る官民連絡・連携体制
サイバーテロ対策に係る官民連絡・連携体制 (2001年10月10日)
(2001年10月10日)
11
6) 政府の情報セキュリティへの取り組み ②
情報セキュリティに関する評価・認証制度の整備
情報セキュリティに関する評価・認証制度の整備
政府が利用するIT関連製品(ハードウェア/ソフトウェア/システム)の
政府が利用するIT関連製品(ハードウェア/ソフトウェア/システム)の
セキュリティ機能・品質をチェックすることを目的として、JIS
セキュリティ機能・品質をチェックすることを目的として、JISXX5070
5070
(ISO/IEC
(ISO/IEC15408)に基づく「情報セキュリティ評価・認証体制」の運用開
15408)に基づく「情報セキュリティ評価・認証体制」の運用開
始
始 (2001年4月)
(2001年4月)
情報システム安全対策実施事業所認定制度(安対制度)に代わり、国
情報システム安全対策実施事業所認定制度(安対制度)に代わり、国
際標準
際標準ISO/IEC
ISO/IEC17799をベースとした情報システムのセキュリティ管理
17799をベースとした情報システムのセキュリティ管理
に関する適合性を評価する「情報セキュリティマネジメントシステム
に関する適合性を評価する「情報セキュリティマネジメントシステム
(ISMS)適合性評価制度」の運用開始
(ISMS)適合性評価制度」の運用開始 (2001年4月)
(2001年4月)
情報セキュリティ監査制度運用開始
情報セキュリティ監査制度運用開始
(2003年4月1日)
(2003年4月1日)
個人情報保護法の成立
個人情報保護法の成立
(2003年5月23日)
(2003年5月23日)
12
2.最近の事件動向
13
1
) 最近の事件動向 個人情報漏洩 ①
1)
◆TBC(東京ビューティーセンター)を経営するコミーのWebサイトより、資料請求
やアンケートに回答した男女約3万8千件の個人情報が流出(’02年5月)
◆ローソンのカード会員情報(氏名と住所、生年月日、自宅・携帯電話番号)
56万人分が漏洩していることが発覚(’03年6月)
◆信販大手のアプラスで、約8万人分の顧客情報が複数のダイレクトメール会社
に流出していたことが発覚(’03年8月)
◆ファミリーマートのメールマガジン購読者18万人の個人情報が流出していたこと
が発覚(’03年10月)
◆インターネット接続サービス「ヤフーBB」の契約者情報約460万人分が流出
していたことが発覚(’04年2月)
◆中小企業向け業務ソフトウエアのオービックビジネスコンサルタントで、顧客情報
を保存した7325社分のフロッピーディスクが盗まれていたことが発覚(’04年2月)
悪意による内部犯行に加え、最近では設定ミス・操作ミス等によるホームページや
電子メールでの個人情報漏洩が激増している
14
1) 最近の事件動向 個人情報漏洩 ②
公表月
企業/団体名
2004年6月 埼玉りそな銀行
2004年6月 良品計画
流出・紛失を確認した件数
流出・紛失した情報の種類
(流出・紛失した可能性がある件数)
488件
氏名,住所,電話番号,取引状況など
クレジットカード番号、有効期限、利用代金、買い上げ
1124件
品目、支払い方法
2004年5月 大阪府警鶴見署
2004年5月 日本総合研究所
2004年5月 ゴールドウイン
顧客企業5社の情報とその従業員
1542人
48件
人事制度に関して助言事業を引き受けている相手企
業の業績や従業員の名前、性別、生年月日など
2004年3月 京都府警
11件
指名手配書や捜査報告書、鑑定嘱託書など。事件の
被害者ら20人の氏名や住所なども含む。
2004年3月 シティバンク
12万3690件
氏名や口座番号など顧客の1カ月分の取引明細情報
2004年3月 富士通エフ・アイ・ピー
約3000件
2004年3月 アッカ・ネットワークス
2004年3月 ジャパネットたかた
201件(140万件)
148件(66万件)
岩手県釜石市の国立療養所釜石病院の患者の氏名
や病歴
住所,氏名,電話番号,メール・アドレス
住所,氏名,電話番号,生年月日
2004年3月 トマト銀行
1651件
氏名,住所,電話番号,預金残高など
2004年2月
氏名、住所、電話番号、メールアドレス、注文内容
オービックビジネスコンサル
7325件
タント
2004年2月 三洋信販(株)
兵庫県姫路市立飾磨(しか
2004年5月
約300件
ま)高校
大阪府堺市立庭代台中学
2004年5月
166件
校
2004年5月 横浜市鶴見区保険年金課 68件
2004年5月 関西電力 旧長浜営業所
2004年5月 (株)ツノダ
183件
約3000件
調査書の内容(受験生の氏名や住所、出身中学校
名、中学での成績(9科目について5〜10段階評価)
や欠席理由など)
生徒の昨年度の全教科の中間、期末テストの点数一
覧や自宅の住所、電話番号、生年月日などの名簿
世帯主名や住所、国民健康保険料の未納額など
滋賀県内の製材所、幼稚園、保育園などの最大15か
月分の電気使用量や支払金額、関電との契約形態
約62万件
氏名,住所,電話番号,生年月日,職種(会社員、学
生、主婦等)
2004年5月 (株)カネボウ化粧品
1234件
氏名,住所,購入品履歴など
2004年5月 三菱マテリアル(株)
約1300件
2004年5月 住友信託銀行
2004年4月 台湾
41件
約1500万件(人口の3分の2に相当)
2004年4月 ソノコ
11件
2004年4月 日本電気
202件
2004年1月 大阪府警保安2課
2004年1月
約3万8000件
2004年4月 陸上自衛隊
2004年4月 日本信販(株)
2004年4月 コスモ石油(株)
9万9789件(22万件)
923,239件(220万件)
2004年4月 オリエントコーポレーション 305件
2004年3月 北海道警江別署地域課
2004年3月 山口銀行
2004年3月
8件
405件
奈良県三郷町の県立三室
約7400件
病院
2004年3月 東京都板橋北郵便局
270件
2004年3月 サントリー
7万5000件
451万7039件
コンピュータソフトウエア著
4件(1200件)
作権協会(ACCS)
2003年12月 NTTデータ
4312件
2004年1月
純金カードの顧客情報である住所,氏名,連絡先、注
文内容など
氏名と住所、電話番号、預金残高
銀行口座やクレジットカード番号など
クレジットカードの申込書と添付された健康保険証や
運転免許証、パスポートの写し
取引先の小売店のクレジットカードによる売り上げ情
報、利用者のクレジットカード番号と有効期限情報
2004年4月 栃木県済生会宇都宮病院 約150件
2004年4月 藍沢証券
スズキ」の系列販売会社4
社
2004年1月 ソフトバンクBB
氏名,メールアドレス
2004年5月 阪急交通社
1145件(約120万件)
顧客の氏名、住所、電話番号、株式や投信などの預
かり資産の金額など
第一普通科連隊重迫撃砲中隊(現在の第五中隊)の
隊員名簿や、教育訓練実施計画など約10種類の内部
資料。隊員の住所や性格なども。
NICOSカード会員の郵便番号,住所,氏名,電話番
号,性別,生年月日,カード番号
コスモ・ザ・カード「エコ」「ハウス」の郵便番号,住所,
氏名,電話番号,性別,生年月日,カード種別,発券
SS,カード番号,入会年月日,更新年月日,車検年
月,自動車登録番号(車番)の一部
氏名,住所,電話番号,決済口座など
現行犯人逮捕手続き書(被害者、容疑者らの住所、名
前、生年月日などが記載)、実況見分調書、捜査報告
書など
氏名、年齢、電話番号、預金額、貸出金残高など
血糖値測定器などを貸し付けている476人分の患者の
住所、氏名、電話番号と、6391人分の心臓疾患治療
を受けた人の名前や病院の職員名簿など
簡易保険の契約者の氏名や住所、生年月日、契約内
容など
氏名,住所,電話番号,性別、生まれ年,「ローヤル
ゼリー」「プロポリス」など、サンプルを希望する商品名
九州・沖縄8県の名簿とみられ、氏名、生年月日、住
所、性別、未婚・既婚の別、職場の連絡先など
府外捜査計画書など。出張計画や捜査事項のほか、
同法違反容疑事件の捜査対象者の氏名、住所、生年
月日など
顧客の自動車保険契約申込書(顧客の住所や生年月
日、車の型式、保険料などが記載)
住所,氏名,電話番号,メール・アドレス,サービス申
し込み日
住所,氏名,年齢,職業,相談内容
住所,氏名,電話番号,土地,建物の面積,査定方法
2003年12月 東武鉄道
(13万1742件)
住所,氏名など
2003年11月 ファミリーマート
535件(18万2870件)
住所,氏名,電話番号など
POINTの接続ID,氏名,電話番号,電子メール・アドレ
ス
2003年9月 パワードコム
3974件
2003年9月 武富士
75件
過去の返済記録や借入残高など
2003年8月 日本信販
2482件
利用者の住所、氏名、融資残高など
2003年8月 高知県立安芸病院
約240件
氏名、年齢、病名など
ジェーシービー
2003年8月 UFJカード
ららぽーと
6923件
スヌーピータウンメンバーズJCBカード」の顧客1453
人分のカード番号や氏名、住所などを記録したFD1
枚と、5470人分のカード利用日や金額を記録したFD2
枚
2003年8月 アプラス
7万9110件
住所,氏名,住居形態,年収区分など
2003年7月 リコー
62433件
北海道帯広市役所の戸籍情報
2003年7月 りそな銀行
約370件
2003年6月 ローソン
56万件
2003年7月
2002年8月
2002年8月
2002年7月
2002年7月
2002年7月
約1万1000件
1200件
5万件
1200件
2093件
1万7324件
2002年6月
2002年5月
2002年5月
2002年5月
2001年8月
2000年2月
1998年4月
1998年1月
1998年1月
1998年1月
1996年8月
15
社名、電話番号、担当者名など
UFJつばさ証券
金印
ブルドックソース
山芳製菓
アビバ
ケイ・オプティコム
メディアッティ・コミュニケー
ションズ
TBC
YKKアーキテクチュラルプ
ロダクツ
全日空ワールド
小田急百貨店
NTT東日本
宇治市
高島屋
テンプスタッフ
さくら銀行
全国信用情報センター
235件
3万7千件
約3万8千件
約1500件
38万2000件
1600件
21万7617件
約50万件
約9万件
約2万件
約83万件
ローソンパスカード会員の住所,氏名,電話番号,生
年月日,性別
氏名,メールアドレス,電話番号,問い合わせ内容
1) 最近の事件動向 個人情報漏洩 ③
1) 個人情報漏洩事件
被害者からの連絡
恐喝
掲示板など
内部からの持ち出し(論理的、物理的)
廃棄PC
公開サーバへの侵入
イントラネットへの侵入
当面は多発するのか?
2)個人情報漏洩の疑いがある事件
⇒個人情報格納車上あらし、運送時の紛失
⇒個人情報格納ノートPCの紛失・盗難
モバイルの高機能化・一般化
⇒個人情報格納サーバが侵入される
⇒個人情報格納サーバの脆弱性発覚
⇒個人情報が格納されているPCが
ウイルスに感染??
16
侵入者はスクリプトキディが多い
基本的に個人情報には興味を持たない
何故、このサーバで長期間にわたり個人情報を
持っておく必要があったのか?
情報 ≠資産
負債?になることもあり
2) 最近の事件動向 その他
1)キーボード入力などを記録し外部に送信する
プログラム(トロイの木馬:サイミー)
ユーザのキーボードやマウスなどの操作を記録して外部に送信す
るプログラムがインストールされてしまい、結果として機密情報な
どが漏洩している可能性
都度ファイル名が異なるなど、ウイルス対策ソフトでの検出が困難
愉快犯 ⇒ 悪質化
対規模に騒がれる ⇒ 静かに浸透
※ JPCERT/CCより
17
2) 最近の事件動向 その他
2)実際にあった例
1.「○×のサーバが侵入されました」
⇒ 「大丈夫!重要な情報は入っていないから」
2.「○×のサーバにバックドアが埋め込まれました」
⇒ 「大丈夫!そんなに大事なサーバで無いから」
18
2) 最近の事件動向 その他
3)実際にあった例
ある研究機関でトンネリングツールの使用を発見し通報
⇒ ある部署に出入りをしているシステム系の
協力会社の社員が使用
⇒ ファイアウォールがあり会社に接続できないために
使用した
⇒ 当該部署の管理者の発言
「仕事がやり辛かったのだろう」
19
3) 最近の事件動向 インシデント傾向
2003年JSOC監視 業種別インシデント傾向
2,500
Informational
2,000
1,500
1,000
500
0
100
Warning
2,009
1,319
1,070
477
6.6%
11.7%
5.3%
50
0
3
2
1
Critical
0
71
1.3%
56
0.002%
5.8%
117
70
0.1%
2.7%
910
961
7.1%
7.1%
65
68
1.1%
1.3%
0.73
0.91
3.21
0.95
3.2%
Emergency0.03
全体
0.09
#NA
0.00
官公庁
0.73
4.1%
0.03
社会サービス
20
5.0%
0.16
教育・研究
2.7%
#NA
0.02
0.00
サービス
製造
3.セキュリティとは?
21
1) セキュリティとは?
セキュリティとは、主体が客体にアクセスする上での
機密性(C)、完全性(I)、可用性(A)を守ることにある。
学問的には、、、
人
CIA
プログラム
アクセス
情報
アクセス
CIA
=安全
22
2) セキュリティとは?
予防策
脆弱性を減らす
コンピュータフォレンジックス
脆弱性
脅威
抑止策
脅威の発生を減らす
脆弱性
脅威が顕在
化した場合、
損失の発生
を許容する
領域
リスク
防御策
顕在化した脅威に作用して
損失の発生を防止・軽減する
情報セキュリティマネジメント
セキュリティポリシー
23
3) セキュリティとは?
一般的に前述のCIAを脅かすものとして、不正アクセスがあり、大きく分
けて以下の2種類が有ります。
1.無認可アクセス
通常、一般的に不正アクセスと混同され言われてことも多い
技術的な対策が概ね有効に機能する
2.権限の乱用
一般的には社内犯罪的に言われているもので、アクセスを許可してい
るので技術対策が難しく、防ぐ為には抑止対策が効果的
24
4) セキュリティとは?
■手法のカテゴリとセキュリティ機能の関係
説明
抑 予 防 検 回
止 防 御 知 復
所謂、OS、サービスアプリ
ユーザアプリの
セキュリティホールや設定ミス等
△ ◎ ○ ◎ ※
安易なパスワード
パスワード等が漏れている
ウィルス等
△ ○ ◎ ◎ ※
Flood系攻撃
ICMP、UDP等成りすまし
SMTP成りすまし等
× △ △ ◎ ※
業務上の目的以外に権限を行使
顧客情報の横流しなど
◎ × × ◎ ※
手法(脆弱性)
実装上の弱点を利用
無
認
可
ア
運用上の弱点を利用
ク
セ
ス 技術仕様上の弱点を利用
権限の乱用
何故、完璧に守れないのか?
25
5) セキュリティとは?
組織としてマネジメントすべき項目
① リスク ⇒ セキュリティリスクマネジメント
② 損失
⇒ インシデントレスポンス
インシデント
事業継続計画
セキュリティ リスク マネジメント
SRM
セキュリティポリシー
指針
何がどうなればダメなのか
その時にどうすべきなのか
インシデントレスポンス
緊急事態対応
情報収集
ダメージコントロール
リスク分析
セキュリティ対策
人的・物理的・技術的
損失予測
リスク
回復
損失
ポイント
インシデントマネジメント
26
4.現状
27
1) 現状
自動車以上に革命的と言われるIT
整備されている基盤は、どの程度?
IT社会 VS 自動車社会
現在の状況
1.PCの高速化・高機能化
1.エンジンの高性能化
2.ブロードバンドの浸透
2.高速道路・道路の整備
3.ネットワークとシステムの
3.自動車の一般化
完全な融合
自動車は100年かけて
ここまで来たが
28
2) 現状
いい車を
手に入れたが、、
ちゃんと止まりますか?
運転に際して
しっかり曲がりますか?
いざというとき
安全に
危険回避できますか?
シートベルト
エアバッグは?
運転席は?
安全な車のためには、、
お金もかかるし、、
お客様は安いほうが、、
性能が落ちるし、、
車は自由で楽しいものだ、、
脱出できますか?
保険?
29
3) 現状
自動車の安全技術
だけか?
安全な道路景観
安全な道路設計と保守
インフラ
交差点・信号 など
法制度
社会制度
道交法
公害対策
それでも多くの事故と人命が、、
渋滞による経済損失、、、
啓蒙と教育
取り締まり
ITは??
マナー など
それでも後戻りは出来ない
30
4) 現状
ところで、セキュリティって、、、
1.何をどこまでやればいいの?
2.最低、何をやればいいの?
31
5.現実的なアプローチ
32
1) 現実的なアプローチ ①
1.要求されている社会的責任
重要インフラ
⇒ 行政、金融、情報通信、電力、ガス、航空、鉄道
大企業など
⇒ 物理的被害(人命、火災など)
経済的損失(サプライチェイン、など)
最低限
2.コンプライアンス
管理してます
不正アクセス禁止法
著作権法
個人情報保護法・常識
1.管理項目の明確化
2.管理実施の証明 ⇒ 記録
実施項目の同意、実施事項
3.トレーサビリティ
4.違反者摘出と対応 ⇒ 抑止
3.自己被害防止
自分の要求レベル
33
1) 現実的なアプローチ ②
1.損害発生させないため
2.損害を最小化する
(ダメージコントロール)
脅威源
脆弱性
脅威
抑止策
予防策
防御策
権限乱用
対策の基本
無許可アクセス
対策の基本
≒ パッチ
インシデント発生
正直
やってられない
ゼロデイ
回復策
損失をミニマム化できる仕掛け
アクティブなセキュリティ対策
SRM
パッシブなセキュリティ対策
インシデントレスポンス
34
1) 現実的なアプローチ ③
脅威源
脆弱性
抑止策 予防策
安
アクティブなセキュリティ対策
全
脅威
損失
防御策
回復策
インシデント発生
パッシブなセキュリティ対策
セキュリティリスクマネジメント
インシデントレスポンス
教育
パッチ
Trusted
AV
AV
IPS
認証LAN、モバイル認証、検疫
隔離LAN
認証基盤
監視
フォレンジックス
監視(点検・警戒)
監視
35
安
心
1) 現実的なアプローチ ④
1.コンプライアンス確保
1)管理項目の明確化
方針の告知、セキュリティポリシー
2)管理実施の証明 ⇒ フォレンジックス
伝達実施と記録、教育実施と記録
ポリシー規定項目の実施と記録
⇒ グループウェアの有効活用
最低限
2.パッシブセキュリティ対策
1)トレーサビリティ ⇒ フォレンジックス 万一の時でも
2)セキュリティ監視 ⇒ フォレンジックス 最悪、こうできる
3)防御策中心の組み立て
3.アクティブセキュリティ対策
事件を
発生させないように
1)予防策
2)抑止策
36
2) コンピュータ・フォレンジックス ①
■ コンピュータフォレンジックス
デジタルの世界に於ける証拠確保の機構と発生事象の分析であり、
目的は組織防衛にあり、基本的に以下の項目を意識して通常は考える。
事故処理時に必ず意識すべき事であり、(法的にどこまで有効かどうかを含め)事故発生
前に考慮しておかなくてはならない。
① 事件発生後の調査
⇒ 一体何が起こったのか?
② 事件発生の検知
⇒ セキュリティ監視
③ 事件発生時に適切管理実施を第三者へ証明
⇒ やるべきことはやっていました
④ 加害者へ証明
⇒ あなたを訴えます
経営の観点で重要課題
⑤ 事件未発生を第三者へ証明 ⇒そういう事件は発生しておりません。
37
2) コンピュータ・フォレンジックス ②
① リスク顕在化後の調査
リスクが顕在化した時、速やかに回復や再発防止
を図るために、侵入ルートや手法の特定、被害範
囲の確認等の分析を行うために必要なログ等の確
保と分析の実施である。
一般的に意識しやすい分野 トレーサビリティ
38
2) コンピュータ・フォレンジックス ③
② リスク顕在化の検知
リアルタイムフォレンジックスと言っても良いが、所
謂セキュリティ監視であり、必要なログやアラートの
確保とリアルタイム分析がこれにあたる。
リスクが顕在化していないか、リスクが顕在化する
危険性はないかを分析・判断し、インシデントレスポ
ンスにつないでいく。
通常はファイアウォールやIDSのログやアラートを
分析することが多い。
39
2) コンピュータ・フォレンジックス ④
③ リスク顕在化時に適切な管理を実施していた
事を第三者へ証明
リスクが顕在化した場合、組織として法規違反など
の明確なペナルティを負う事が無いように、管理内
容とその監査証跡等の適切な確保である。
40
2) コンピュータ・フォレンジックス ⑤
④ リスク顕在化の加害者へ証明
リスクが顕在化した場合、加害者(場合よっては警
察や裁判所など)に対して、その行為と被害内容な
どを証明する為に、必要なログ等の証拠と分析結
果などの確保である。
41
2) コンピュータ・フォレンジックス ⑥
⑤ リスク未顕在化を第三者へ証明
リスクはあったが、顕在化していないことを特に潜
在被害者に対して証明するために必要なログ等の
証拠と分析結果などの確保である。
例えば、運用しているWEBサーバでクロスサイトス
クリプティングの問題が発見されたり、データベース
サーバにウイルスが侵入されたりしたが、情報漏え
いの事実はないと分析と証明できるために必要な
証拠を準備しておく事である。
42
2) コンピュータ・フォレンジックス ⑦
フォレンジックスの ① リスク顕在
目的 化後の調査
②リスク顕在
化の検知
リスクのカテゴリ
社会的責任
③リスク顕在
化時の適正管
理証明
④リスク顕在
化の加害者へ
証明
⑤リスク未顕
在化を第三者
へ証明
◎
◎
○
○
○
○
○
◎
◎
◎
○
◎
△
◎
△
法的責任
コンプライアンス
不祥事
自己責任
43
3) データベース・フォレンジック
1.記録 (が重要だといわれて、、、)
パフォーマンス問題 (データベース設計・構築技術者)
前提条件
アカウント管理
どこで組み入れるか ⇒ 稼動中? 最初から?
⇒ トレーサビリティ確保?
⇒ 適切管理証明?
⇒ 抑止?
2.監査
アカウント管理
プログラム、設定、運用
3.監視
権限の乱用を見つけるのは難しい。
⇒ アプローチ
無認可のアクセスにして監視する。
⇒ ポリシーとの連動
認証、コマンド、アクセス元、データ量
44
4) セキュリティ対策の位置づけ ①
これまでの
セキュリティ対策
これからの
セキュリティ対策
所謂 ハッカー
コンピュータウイルス
情報漏えい
コンピュータワーム
対策は
秘密
費用
対策は
公開
コンプライアンス
and
ビジネス
アドバンテージ
Or ビハインド
公開できるセキュリティ対策の実施が必須となる
45
4) セキュリティ対策の位置づけ ②
公開できるセキュリティ対策の実施が必須となる
対策内容を公開することがビジネスアドバンテージになると
考える企業が必ず出る
経営の観点での戦略的なセキュリティ対策の実施が
当たり前となる
システム管理者は、堂々と
抱えている経営リスクを分析・予測し
計画的に対策を実施できるような環境を作っていこう
46
まとめ
施
実
策
対
し
タ
ッ
ゲ
ー
ンス
ラ
バ
く
、賢
識
意
アクティブなセキュリティ対策
を
ト
事故を起こさないように
パッシブなセキュリティ対策
事故が起こっても
必要なインフラ
求める若しくは求められるセキュリティレベル
47
ご質問?
http://www.lac.co.jp/security/
お問い合わせ : [email protected]
48