情報漏洩追跡セミナー 〜 データベース・フォレンジック データベース・フォレンジックと セキュリティ監視のポイント 株式会社ラック [email protected] http://www.lac.co.jp/security/ スピーカー にし もと いつ ろう 西本 逸郎 昭和33年 福岡県生まれ 昭和59年 3月 昭和59年 4月 昭和61年 10月 熊本大学工学部土木工学科中退 情報技術開発株式会社入社 株式会社ラック入社 一貫して通信系ソフトウェアやミドルウェアの開発に従事。 その後、ドイツのシーメンスニックスドルフ社と提携し、オープンPOS( Windows POS)を世界に先駆け開発・実践投入。 堅牢なシステムを如何に作って維持していくかをテーマにセキュリティ対策という観点で邁進中。 情報セキュリティ対策をテーマにITイベント、セミナーなどでの講演や専門雑誌への執筆多数。 株式会社ラック JSOC事業本部 取締役本部長 特定非営利活動法人 日本ネットワークセキュリティ協会 理事 熊本大学 大学院自然科学研究科 2 1.情報セキュリティに関する動向 3 1) インターネットの国内普及状況 ① 総務省発行 平成15年版 情報通信白書より http://www.johotsusintokei.soumu.go.jp/whitepaper/ja/h15/index.html 4 1) インターネットの国内普及状況 ② 総務省発行 平成15年版 情報通信白書より http://www.johotsusintokei.soumu.go.jp/whitepaper/ja/h15/index.html 5 2) I Tの加速度的な発展 • 情報技術(IT)の急速な発展 – ネットワーク技術の進歩 • 高速、大容量回線 (ADSL、CATV接続) – コンピュータ技術の進歩 • 高速処理能力、大容量ハードディスク、メモリ • 価格の低下 – 利用形態の変化 • 24時間常時接続 – 社会生活基盤のシステム化、ネットワーク化 情報の高集積・高密度化の進行 同時にそれらの情報に対するネットワーク上の脅威の増加 6 3) 情報セキュリティに関する事件の報告件数推移 140000 114,855 120000 100000 件数 82,094 80000 60000 52,658 40000 21,756 ※『 CERT/CC Statistics 1988-2003 』のページより http://www.cert.org/stats/cert_stats.html 7 1Q -3 Q 20 02 20 01 19 99 * 19 98 9,859 20 03 年 19 97 19 96 19 95 19 94 19 93 406 19 92 252 19 91 132 19 90 6 19 89 19 88 0 773 1,334 2,340 2,412 2,573 2,134 3,734 20 00 20000 4) ハイテク犯罪の検挙状況 ① ●警察庁「ハイテク犯罪の検挙事例」 より http://www.npa.go.jp/hightech/ 8 4) ハイテク犯罪の検挙状況 ② (詳細) 年 罪 名 不正アクセス禁止法違反 コンピュータ・電磁的記録対象犯罪 電子計算機使用詐欺 電磁的記録不正作出・毀棄 電子計算機損壊等業務妨害 ネットワーク利用犯罪 児童買春・児 児童買春 童ポルノ法違 反 児童ポルノ 青少年保護育成条例違反 詐 欺 わいせつ物頒布等 名 誉 毀 損 脅 迫 著 作 権 法 違 反 そ の 他 合 計 31 35 H14 H15 上半期 上半期 増 減 51 27 33 +6 44 33 9 2 63 48 11 4 30 18 8 4 18 12 5 1 31 19 9 3 +13 +7 +4 +2 484 8 712 117 958 268 443 114 468 105 +25 -9 113 2 53 154 30 17 29 78 559 128 10 103 103 42 40 28 141 810 140 70 112 109 27 33 31 168 1,039 64 25 59 55 13 18 16 79 488 55 49 44 39 26 21 20 109 532 -9 +24 -15 -16 +13 +3 +4 +30 +44 H12 H13 ●警察庁「平成15年上半期のハイテク犯罪の検挙及び相談受理状況等について」より http://www.npa.go.jp/hightech/ 9 5) コンピュータウイルス被害の発生状況 ※IPA(独立行政法人 情報処理推進機構)がまとめたウイルス発見届出件数より http://www.ipa.go.jp/security/txt/2003/12.html 10 6) 政府の情報セキュリティへの取り組み ① 政府の情報セキュリティ確保のための対策 情報セキュリティポリシーに関するガイドライン 情報セキュリティポリシーに関するガイドライン (2000年7月18日) (2000年7月18日) 電子政府の情報セキュリティ確保のためのアクションプラン 電子政府の情報セキュリティ確保のためのアクションプラン (2001年10月10日) (2001年10月10日) 重要インフラ防護のための対策 重要インフラのサイバーテロ対策に係る特別行動計画 重要インフラのサイバーテロ対策に係る特別行動計画 (2000年12月15日) (2000年12月15日) サイバーテロ対策に係る官民連絡・連携体制 サイバーテロ対策に係る官民連絡・連携体制 (2001年10月10日) (2001年10月10日) 11 6) 政府の情報セキュリティへの取り組み ② 情報セキュリティに関する評価・認証制度の整備 情報セキュリティに関する評価・認証制度の整備 政府が利用するIT関連製品(ハードウェア/ソフトウェア/システム)の 政府が利用するIT関連製品(ハードウェア/ソフトウェア/システム)の セキュリティ機能・品質をチェックすることを目的として、JIS セキュリティ機能・品質をチェックすることを目的として、JISXX5070 5070 (ISO/IEC (ISO/IEC15408)に基づく「情報セキュリティ評価・認証体制」の運用開 15408)に基づく「情報セキュリティ評価・認証体制」の運用開 始 始 (2001年4月) (2001年4月) 情報システム安全対策実施事業所認定制度(安対制度)に代わり、国 情報システム安全対策実施事業所認定制度(安対制度)に代わり、国 際標準 際標準ISO/IEC ISO/IEC17799をベースとした情報システムのセキュリティ管理 17799をベースとした情報システムのセキュリティ管理 に関する適合性を評価する「情報セキュリティマネジメントシステム に関する適合性を評価する「情報セキュリティマネジメントシステム (ISMS)適合性評価制度」の運用開始 (ISMS)適合性評価制度」の運用開始 (2001年4月) (2001年4月) 情報セキュリティ監査制度運用開始 情報セキュリティ監査制度運用開始 (2003年4月1日) (2003年4月1日) 個人情報保護法の成立 個人情報保護法の成立 (2003年5月23日) (2003年5月23日) 12 2.最近の事件動向 13 1 ) 最近の事件動向 個人情報漏洩 ① 1) ◆TBC(東京ビューティーセンター)を経営するコミーのWebサイトより、資料請求 やアンケートに回答した男女約3万8千件の個人情報が流出(’02年5月) ◆ローソンのカード会員情報(氏名と住所、生年月日、自宅・携帯電話番号) 56万人分が漏洩していることが発覚(’03年6月) ◆信販大手のアプラスで、約8万人分の顧客情報が複数のダイレクトメール会社 に流出していたことが発覚(’03年8月) ◆ファミリーマートのメールマガジン購読者18万人の個人情報が流出していたこと が発覚(’03年10月) ◆インターネット接続サービス「ヤフーBB」の契約者情報約460万人分が流出 していたことが発覚(’04年2月) ◆中小企業向け業務ソフトウエアのオービックビジネスコンサルタントで、顧客情報 を保存した7325社分のフロッピーディスクが盗まれていたことが発覚(’04年2月) 悪意による内部犯行に加え、最近では設定ミス・操作ミス等によるホームページや 電子メールでの個人情報漏洩が激増している 14 1) 最近の事件動向 個人情報漏洩 ② 公表月 企業/団体名 2004年6月 埼玉りそな銀行 2004年6月 良品計画 流出・紛失を確認した件数 流出・紛失した情報の種類 (流出・紛失した可能性がある件数) 488件 氏名,住所,電話番号,取引状況など クレジットカード番号、有効期限、利用代金、買い上げ 1124件 品目、支払い方法 2004年5月 大阪府警鶴見署 2004年5月 日本総合研究所 2004年5月 ゴールドウイン 顧客企業5社の情報とその従業員 1542人 48件 人事制度に関して助言事業を引き受けている相手企 業の業績や従業員の名前、性別、生年月日など 2004年3月 京都府警 11件 指名手配書や捜査報告書、鑑定嘱託書など。事件の 被害者ら20人の氏名や住所なども含む。 2004年3月 シティバンク 12万3690件 氏名や口座番号など顧客の1カ月分の取引明細情報 2004年3月 富士通エフ・アイ・ピー 約3000件 2004年3月 アッカ・ネットワークス 2004年3月 ジャパネットたかた 201件(140万件) 148件(66万件) 岩手県釜石市の国立療養所釜石病院の患者の氏名 や病歴 住所,氏名,電話番号,メール・アドレス 住所,氏名,電話番号,生年月日 2004年3月 トマト銀行 1651件 氏名,住所,電話番号,預金残高など 2004年2月 氏名、住所、電話番号、メールアドレス、注文内容 オービックビジネスコンサル 7325件 タント 2004年2月 三洋信販(株) 兵庫県姫路市立飾磨(しか 2004年5月 約300件 ま)高校 大阪府堺市立庭代台中学 2004年5月 166件 校 2004年5月 横浜市鶴見区保険年金課 68件 2004年5月 関西電力 旧長浜営業所 2004年5月 (株)ツノダ 183件 約3000件 調査書の内容(受験生の氏名や住所、出身中学校 名、中学での成績(9科目について5〜10段階評価) や欠席理由など) 生徒の昨年度の全教科の中間、期末テストの点数一 覧や自宅の住所、電話番号、生年月日などの名簿 世帯主名や住所、国民健康保険料の未納額など 滋賀県内の製材所、幼稚園、保育園などの最大15か 月分の電気使用量や支払金額、関電との契約形態 約62万件 氏名,住所,電話番号,生年月日,職種(会社員、学 生、主婦等) 2004年5月 (株)カネボウ化粧品 1234件 氏名,住所,購入品履歴など 2004年5月 三菱マテリアル(株) 約1300件 2004年5月 住友信託銀行 2004年4月 台湾 41件 約1500万件(人口の3分の2に相当) 2004年4月 ソノコ 11件 2004年4月 日本電気 202件 2004年1月 大阪府警保安2課 2004年1月 約3万8000件 2004年4月 陸上自衛隊 2004年4月 日本信販(株) 2004年4月 コスモ石油(株) 9万9789件(22万件) 923,239件(220万件) 2004年4月 オリエントコーポレーション 305件 2004年3月 北海道警江別署地域課 2004年3月 山口銀行 2004年3月 8件 405件 奈良県三郷町の県立三室 約7400件 病院 2004年3月 東京都板橋北郵便局 270件 2004年3月 サントリー 7万5000件 451万7039件 コンピュータソフトウエア著 4件(1200件) 作権協会(ACCS) 2003年12月 NTTデータ 4312件 2004年1月 純金カードの顧客情報である住所,氏名,連絡先、注 文内容など 氏名と住所、電話番号、預金残高 銀行口座やクレジットカード番号など クレジットカードの申込書と添付された健康保険証や 運転免許証、パスポートの写し 取引先の小売店のクレジットカードによる売り上げ情 報、利用者のクレジットカード番号と有効期限情報 2004年4月 栃木県済生会宇都宮病院 約150件 2004年4月 藍沢証券 スズキ」の系列販売会社4 社 2004年1月 ソフトバンクBB 氏名,メールアドレス 2004年5月 阪急交通社 1145件(約120万件) 顧客の氏名、住所、電話番号、株式や投信などの預 かり資産の金額など 第一普通科連隊重迫撃砲中隊(現在の第五中隊)の 隊員名簿や、教育訓練実施計画など約10種類の内部 資料。隊員の住所や性格なども。 NICOSカード会員の郵便番号,住所,氏名,電話番 号,性別,生年月日,カード番号 コスモ・ザ・カード「エコ」「ハウス」の郵便番号,住所, 氏名,電話番号,性別,生年月日,カード種別,発券 SS,カード番号,入会年月日,更新年月日,車検年 月,自動車登録番号(車番)の一部 氏名,住所,電話番号,決済口座など 現行犯人逮捕手続き書(被害者、容疑者らの住所、名 前、生年月日などが記載)、実況見分調書、捜査報告 書など 氏名、年齢、電話番号、預金額、貸出金残高など 血糖値測定器などを貸し付けている476人分の患者の 住所、氏名、電話番号と、6391人分の心臓疾患治療 を受けた人の名前や病院の職員名簿など 簡易保険の契約者の氏名や住所、生年月日、契約内 容など 氏名,住所,電話番号,性別、生まれ年,「ローヤル ゼリー」「プロポリス」など、サンプルを希望する商品名 九州・沖縄8県の名簿とみられ、氏名、生年月日、住 所、性別、未婚・既婚の別、職場の連絡先など 府外捜査計画書など。出張計画や捜査事項のほか、 同法違反容疑事件の捜査対象者の氏名、住所、生年 月日など 顧客の自動車保険契約申込書(顧客の住所や生年月 日、車の型式、保険料などが記載) 住所,氏名,電話番号,メール・アドレス,サービス申 し込み日 住所,氏名,年齢,職業,相談内容 住所,氏名,電話番号,土地,建物の面積,査定方法 2003年12月 東武鉄道 (13万1742件) 住所,氏名など 2003年11月 ファミリーマート 535件(18万2870件) 住所,氏名,電話番号など POINTの接続ID,氏名,電話番号,電子メール・アドレ ス 2003年9月 パワードコム 3974件 2003年9月 武富士 75件 過去の返済記録や借入残高など 2003年8月 日本信販 2482件 利用者の住所、氏名、融資残高など 2003年8月 高知県立安芸病院 約240件 氏名、年齢、病名など ジェーシービー 2003年8月 UFJカード ららぽーと 6923件 スヌーピータウンメンバーズJCBカード」の顧客1453 人分のカード番号や氏名、住所などを記録したFD1 枚と、5470人分のカード利用日や金額を記録したFD2 枚 2003年8月 アプラス 7万9110件 住所,氏名,住居形態,年収区分など 2003年7月 リコー 62433件 北海道帯広市役所の戸籍情報 2003年7月 りそな銀行 約370件 2003年6月 ローソン 56万件 2003年7月 2002年8月 2002年8月 2002年7月 2002年7月 2002年7月 約1万1000件 1200件 5万件 1200件 2093件 1万7324件 2002年6月 2002年5月 2002年5月 2002年5月 2001年8月 2000年2月 1998年4月 1998年1月 1998年1月 1998年1月 1996年8月 15 社名、電話番号、担当者名など UFJつばさ証券 金印 ブルドックソース 山芳製菓 アビバ ケイ・オプティコム メディアッティ・コミュニケー ションズ TBC YKKアーキテクチュラルプ ロダクツ 全日空ワールド 小田急百貨店 NTT東日本 宇治市 高島屋 テンプスタッフ さくら銀行 全国信用情報センター 235件 3万7千件 約3万8千件 約1500件 38万2000件 1600件 21万7617件 約50万件 約9万件 約2万件 約83万件 ローソンパスカード会員の住所,氏名,電話番号,生 年月日,性別 氏名,メールアドレス,電話番号,問い合わせ内容 1) 最近の事件動向 個人情報漏洩 ③ 1) 個人情報漏洩事件 被害者からの連絡 恐喝 掲示板など 内部からの持ち出し(論理的、物理的) 廃棄PC 公開サーバへの侵入 イントラネットへの侵入 当面は多発するのか? 2)個人情報漏洩の疑いがある事件 ⇒個人情報格納車上あらし、運送時の紛失 ⇒個人情報格納ノートPCの紛失・盗難 モバイルの高機能化・一般化 ⇒個人情報格納サーバが侵入される ⇒個人情報格納サーバの脆弱性発覚 ⇒個人情報が格納されているPCが ウイルスに感染?? 16 侵入者はスクリプトキディが多い 基本的に個人情報には興味を持たない 何故、このサーバで長期間にわたり個人情報を 持っておく必要があったのか? 情報 ≠資産 負債?になることもあり 2) 最近の事件動向 その他 1)キーボード入力などを記録し外部に送信する プログラム(トロイの木馬:サイミー) ユーザのキーボードやマウスなどの操作を記録して外部に送信す るプログラムがインストールされてしまい、結果として機密情報な どが漏洩している可能性 都度ファイル名が異なるなど、ウイルス対策ソフトでの検出が困難 愉快犯 ⇒ 悪質化 対規模に騒がれる ⇒ 静かに浸透 ※ JPCERT/CCより 17 2) 最近の事件動向 その他 2)実際にあった例 1.「○×のサーバが侵入されました」 ⇒ 「大丈夫!重要な情報は入っていないから」 2.「○×のサーバにバックドアが埋め込まれました」 ⇒ 「大丈夫!そんなに大事なサーバで無いから」 18 2) 最近の事件動向 その他 3)実際にあった例 ある研究機関でトンネリングツールの使用を発見し通報 ⇒ ある部署に出入りをしているシステム系の 協力会社の社員が使用 ⇒ ファイアウォールがあり会社に接続できないために 使用した ⇒ 当該部署の管理者の発言 「仕事がやり辛かったのだろう」 19 3) 最近の事件動向 インシデント傾向 2003年JSOC監視 業種別インシデント傾向 2,500 Informational 2,000 1,500 1,000 500 0 100 Warning 2,009 1,319 1,070 477 6.6% 11.7% 5.3% 50 0 3 2 1 Critical 0 71 1.3% 56 0.002% 5.8% 117 70 0.1% 2.7% 910 961 7.1% 7.1% 65 68 1.1% 1.3% 0.73 0.91 3.21 0.95 3.2% Emergency0.03 全体 0.09 #NA 0.00 官公庁 0.73 4.1% 0.03 社会サービス 20 5.0% 0.16 教育・研究 2.7% #NA 0.02 0.00 サービス 製造 3.セキュリティとは? 21 1) セキュリティとは? セキュリティとは、主体が客体にアクセスする上での 機密性(C)、完全性(I)、可用性(A)を守ることにある。 学問的には、、、 人 CIA プログラム アクセス 情報 アクセス CIA =安全 22 2) セキュリティとは? 予防策 脆弱性を減らす コンピュータフォレンジックス 脆弱性 脅威 抑止策 脅威の発生を減らす 脆弱性 脅威が顕在 化した場合、 損失の発生 を許容する 領域 リスク 防御策 顕在化した脅威に作用して 損失の発生を防止・軽減する 情報セキュリティマネジメント セキュリティポリシー 23 3) セキュリティとは? 一般的に前述のCIAを脅かすものとして、不正アクセスがあり、大きく分 けて以下の2種類が有ります。 1.無認可アクセス 通常、一般的に不正アクセスと混同され言われてことも多い 技術的な対策が概ね有効に機能する 2.権限の乱用 一般的には社内犯罪的に言われているもので、アクセスを許可してい るので技術対策が難しく、防ぐ為には抑止対策が効果的 24 4) セキュリティとは? ■手法のカテゴリとセキュリティ機能の関係 説明 抑 予 防 検 回 止 防 御 知 復 所謂、OS、サービスアプリ ユーザアプリの セキュリティホールや設定ミス等 △ ◎ ○ ◎ ※ 安易なパスワード パスワード等が漏れている ウィルス等 △ ○ ◎ ◎ ※ Flood系攻撃 ICMP、UDP等成りすまし SMTP成りすまし等 × △ △ ◎ ※ 業務上の目的以外に権限を行使 顧客情報の横流しなど ◎ × × ◎ ※ 手法(脆弱性) 実装上の弱点を利用 無 認 可 ア 運用上の弱点を利用 ク セ ス 技術仕様上の弱点を利用 権限の乱用 何故、完璧に守れないのか? 25 5) セキュリティとは? 組織としてマネジメントすべき項目 ① リスク ⇒ セキュリティリスクマネジメント ② 損失 ⇒ インシデントレスポンス インシデント 事業継続計画 セキュリティ リスク マネジメント SRM セキュリティポリシー 指針 何がどうなればダメなのか その時にどうすべきなのか インシデントレスポンス 緊急事態対応 情報収集 ダメージコントロール リスク分析 セキュリティ対策 人的・物理的・技術的 損失予測 リスク 回復 損失 ポイント インシデントマネジメント 26 4.現状 27 1) 現状 自動車以上に革命的と言われるIT 整備されている基盤は、どの程度? IT社会 VS 自動車社会 現在の状況 1.PCの高速化・高機能化 1.エンジンの高性能化 2.ブロードバンドの浸透 2.高速道路・道路の整備 3.ネットワークとシステムの 3.自動車の一般化 完全な融合 自動車は100年かけて ここまで来たが 28 2) 現状 いい車を 手に入れたが、、 ちゃんと止まりますか? 運転に際して しっかり曲がりますか? いざというとき 安全に 危険回避できますか? シートベルト エアバッグは? 運転席は? 安全な車のためには、、 お金もかかるし、、 お客様は安いほうが、、 性能が落ちるし、、 車は自由で楽しいものだ、、 脱出できますか? 保険? 29 3) 現状 自動車の安全技術 だけか? 安全な道路景観 安全な道路設計と保守 インフラ 交差点・信号 など 法制度 社会制度 道交法 公害対策 それでも多くの事故と人命が、、 渋滞による経済損失、、、 啓蒙と教育 取り締まり ITは?? マナー など それでも後戻りは出来ない 30 4) 現状 ところで、セキュリティって、、、 1.何をどこまでやればいいの? 2.最低、何をやればいいの? 31 5.現実的なアプローチ 32 1) 現実的なアプローチ ① 1.要求されている社会的責任 重要インフラ ⇒ 行政、金融、情報通信、電力、ガス、航空、鉄道 大企業など ⇒ 物理的被害(人命、火災など) 経済的損失(サプライチェイン、など) 最低限 2.コンプライアンス 管理してます 不正アクセス禁止法 著作権法 個人情報保護法・常識 1.管理項目の明確化 2.管理実施の証明 ⇒ 記録 実施項目の同意、実施事項 3.トレーサビリティ 4.違反者摘出と対応 ⇒ 抑止 3.自己被害防止 自分の要求レベル 33 1) 現実的なアプローチ ② 1.損害発生させないため 2.損害を最小化する (ダメージコントロール) 脅威源 脆弱性 脅威 抑止策 予防策 防御策 権限乱用 対策の基本 無許可アクセス 対策の基本 ≒ パッチ インシデント発生 正直 やってられない ゼロデイ 回復策 損失をミニマム化できる仕掛け アクティブなセキュリティ対策 SRM パッシブなセキュリティ対策 インシデントレスポンス 34 1) 現実的なアプローチ ③ 脅威源 脆弱性 抑止策 予防策 安 アクティブなセキュリティ対策 全 脅威 損失 防御策 回復策 インシデント発生 パッシブなセキュリティ対策 セキュリティリスクマネジメント インシデントレスポンス 教育 パッチ Trusted AV AV IPS 認証LAN、モバイル認証、検疫 隔離LAN 認証基盤 監視 フォレンジックス 監視(点検・警戒) 監視 35 安 心 1) 現実的なアプローチ ④ 1.コンプライアンス確保 1)管理項目の明確化 方針の告知、セキュリティポリシー 2)管理実施の証明 ⇒ フォレンジックス 伝達実施と記録、教育実施と記録 ポリシー規定項目の実施と記録 ⇒ グループウェアの有効活用 最低限 2.パッシブセキュリティ対策 1)トレーサビリティ ⇒ フォレンジックス 万一の時でも 2)セキュリティ監視 ⇒ フォレンジックス 最悪、こうできる 3)防御策中心の組み立て 3.アクティブセキュリティ対策 事件を 発生させないように 1)予防策 2)抑止策 36 2) コンピュータ・フォレンジックス ① ■ コンピュータフォレンジックス デジタルの世界に於ける証拠確保の機構と発生事象の分析であり、 目的は組織防衛にあり、基本的に以下の項目を意識して通常は考える。 事故処理時に必ず意識すべき事であり、(法的にどこまで有効かどうかを含め)事故発生 前に考慮しておかなくてはならない。 ① 事件発生後の調査 ⇒ 一体何が起こったのか? ② 事件発生の検知 ⇒ セキュリティ監視 ③ 事件発生時に適切管理実施を第三者へ証明 ⇒ やるべきことはやっていました ④ 加害者へ証明 ⇒ あなたを訴えます 経営の観点で重要課題 ⑤ 事件未発生を第三者へ証明 ⇒そういう事件は発生しておりません。 37 2) コンピュータ・フォレンジックス ② ① リスク顕在化後の調査 リスクが顕在化した時、速やかに回復や再発防止 を図るために、侵入ルートや手法の特定、被害範 囲の確認等の分析を行うために必要なログ等の確 保と分析の実施である。 一般的に意識しやすい分野 トレーサビリティ 38 2) コンピュータ・フォレンジックス ③ ② リスク顕在化の検知 リアルタイムフォレンジックスと言っても良いが、所 謂セキュリティ監視であり、必要なログやアラートの 確保とリアルタイム分析がこれにあたる。 リスクが顕在化していないか、リスクが顕在化する 危険性はないかを分析・判断し、インシデントレスポ ンスにつないでいく。 通常はファイアウォールやIDSのログやアラートを 分析することが多い。 39 2) コンピュータ・フォレンジックス ④ ③ リスク顕在化時に適切な管理を実施していた 事を第三者へ証明 リスクが顕在化した場合、組織として法規違反など の明確なペナルティを負う事が無いように、管理内 容とその監査証跡等の適切な確保である。 40 2) コンピュータ・フォレンジックス ⑤ ④ リスク顕在化の加害者へ証明 リスクが顕在化した場合、加害者(場合よっては警 察や裁判所など)に対して、その行為と被害内容な どを証明する為に、必要なログ等の証拠と分析結 果などの確保である。 41 2) コンピュータ・フォレンジックス ⑥ ⑤ リスク未顕在化を第三者へ証明 リスクはあったが、顕在化していないことを特に潜 在被害者に対して証明するために必要なログ等の 証拠と分析結果などの確保である。 例えば、運用しているWEBサーバでクロスサイトス クリプティングの問題が発見されたり、データベース サーバにウイルスが侵入されたりしたが、情報漏え いの事実はないと分析と証明できるために必要な 証拠を準備しておく事である。 42 2) コンピュータ・フォレンジックス ⑦ フォレンジックスの ① リスク顕在 目的 化後の調査 ②リスク顕在 化の検知 リスクのカテゴリ 社会的責任 ③リスク顕在 化時の適正管 理証明 ④リスク顕在 化の加害者へ 証明 ⑤リスク未顕 在化を第三者 へ証明 ◎ ◎ ○ ○ ○ ○ ○ ◎ ◎ ◎ ○ ◎ △ ◎ △ 法的責任 コンプライアンス 不祥事 自己責任 43 3) データベース・フォレンジック 1.記録 (が重要だといわれて、、、) パフォーマンス問題 (データベース設計・構築技術者) 前提条件 アカウント管理 どこで組み入れるか ⇒ 稼動中? 最初から? ⇒ トレーサビリティ確保? ⇒ 適切管理証明? ⇒ 抑止? 2.監査 アカウント管理 プログラム、設定、運用 3.監視 権限の乱用を見つけるのは難しい。 ⇒ アプローチ 無認可のアクセスにして監視する。 ⇒ ポリシーとの連動 認証、コマンド、アクセス元、データ量 44 4) セキュリティ対策の位置づけ ① これまでの セキュリティ対策 これからの セキュリティ対策 所謂 ハッカー コンピュータウイルス 情報漏えい コンピュータワーム 対策は 秘密 費用 対策は 公開 コンプライアンス and ビジネス アドバンテージ Or ビハインド 公開できるセキュリティ対策の実施が必須となる 45 4) セキュリティ対策の位置づけ ② 公開できるセキュリティ対策の実施が必須となる 対策内容を公開することがビジネスアドバンテージになると 考える企業が必ず出る 経営の観点での戦略的なセキュリティ対策の実施が 当たり前となる システム管理者は、堂々と 抱えている経営リスクを分析・予測し 計画的に対策を実施できるような環境を作っていこう 46 まとめ 施 実 策 対 し タ ッ ゲ ー ンス ラ バ く 、賢 識 意 アクティブなセキュリティ対策 を ト 事故を起こさないように パッシブなセキュリティ対策 事故が起こっても 必要なインフラ 求める若しくは求められるセキュリティレベル 47 ご質問? http://www.lac.co.jp/security/ お問い合わせ : [email protected] 48
© Copyright 2024 Paperzz