セキュリティサービス - KEK研究情報Web

3 セキュリティサービス
(KEK セキュアネットワークシステム)
金子 敏明、苅田 幸雄、湯浅 富久子、鈴木 聡、村上 直、
広瀬 均、柿原 春美、西口 三夫、中村 貞次、橋本 清治
3.1 KEK セキュアネットワークシステムへの移行
2002 年度に開始された KEK SecureNET は、2009 年 2 月に 6 年間の運用を経て新システム
KEK セキュアネットワークシステムの一部として更新された。ここでは、KEK SecureNET の
2008 年度の運用状況と新システムへの移行について述べる。
3.1.1 KEK DMZ ネットワーククラスタの運用
2002 年度より機構外部と双方向の通信が必要な機器のために DMZ ネットワーククラスタ
を運用している。DMZ ネットワーククラスタは、冗長化された二台のファイアウォール装置
で構成されているが、新システムにおいても同様の構成をとっている。ただし新システム
では、ファイアウォール装置の能力が向上したため、二台の冗長性構成をアクティブ・ス
タンバイとした。新システムへの移行時においても DMZ ネットワーククラスタは継続して
運用された。2008 年度には DMZ に接続されている機器の総数は約 301 台(2008 年 12 月の時
点)となった。2008 年度における機器の登録及びアクセス許可申請件数を図 1 に示した。
図 1 2008 年度月別 DMZ ネットワークへの登録及びアクセス許可申請件数
41
3.1.2 常時セキュリティ診断システム
2008年12月31現在、DMZネットワーククラスタ (以下DMZ) では301台の機器にそれぞれ最
大3名のDMZ機器管理者 (以下管理者) が登録されている。管理者の合計は113名である。計
算科学センターでは、各々の管理者による日々のセキュリティ維持業務や、情報セキュリ
ティ管理部会による年度毎のセキュリティ監査の支援などのために、常時セキュリティ診
断システムnCircle IP360 (以下nCircle) およびウェブサイトDMZ User’s Portalを運用
している(図2)。nCircleは、ネットワーク機器のレンタル化に伴い2009年3月に最新機種へ
の更新を実施し、同時診断可能数などの能力が向上した。
nCircle は 2005 年 10 月に運用開始され、対象機器のスキャンを行う診断装置 3 台と診
断結果を蓄積・解析する管理装置から構成される。3 台の診断装置は機構外ネットワーク
(wan)・DMZ クラスタネットワーク(dmz)・機構内ネットワーク(lan) に配置され、機構内外
のネットワークからの攻撃への耐性を診断できる。機器の脆弱性は項目化および点数化さ
れ、1000 点以上の点数を持つ脆弱性は危険とされる。また nCircle は、各 DMZ 機器に対し
て週 1 回自動的にセキュリティ診断を実施しその診断データを蓄積している。計算科学セ
ンターでは 2007 年度より、1000 点以上の脆弱性リストを該当する管理者にメールで通知す
るサービスを、週 1 回実施している。
計算科学センターでは全ての DMZ 機器管理者に nCircle アカウントを発行している。管
理者は、自らが管理する機器についてセキュリティ診断の結果を pdf レポートとして受け
取ることができる。また、必要なときに随時診断を実施することもできる。
ウェブサイト DMZ User’s Portal は、nCircle ほか各システムと連動し、DMZ セキュリ
ティに関する各サービスを提供している(図 2)。全ての DMZ 機器管理者にアカウントが与え
られ、管理者が保持する機器の診断・pdf レポートの取得・脆弱性一覧の閲覧を簡便な操作
で実施できるようになっている。
2005 年より年 1 度、情報セキュリティ管理部会によって DMZ セキュリティ監査が実施さ
れている。2008 年度についても、セキュリティ監査(レポート提出)実施方針(資料 1)に基
づいた監査が実施された。監査で DMZ 機器管理者は、セキュリティ監査の提出期間内に適
切なセキュリティ対策を実施の上 nCircle の pdf レポートなどを診断レポートとして提出
した。wan からの診断結果については、検出された脆弱性項目ごとに点数が 1000 点未満で
あることが求められた。dmz, lan については個別の運用事情を考慮の上 DMZ 機器管理者へ
のヒアリングが実施された。2008 年度の提出期間は 2008 年 12 月 1 日~2009 年 1 月 23 日
だった。監査結果を付録 A に示す。
計算科学センターでは管理者への広報、診断結果のとりまとめなどの実務を担当した。
DMZ User’s Portal を用いて、管理者が管理する機器の把握、レポート作成、レポート提
出を円滑に行えるサービスを提供した (図 2)。
42
• nCircleAPI
nCircle IP360
nCircle
IP360
nCircle IP360 が提供
各機能をAPI化
–
–
–
User inf
infoo
User
XMLRPC
ホスト診断操作が可能
ユーザ情報・ホスト情報等の
ユーザ情報・ホスト情報等の
取得編集が可能
(※編集不能な情報が多い)
(※編集不能な情報が多い)
nCircle API
nCircle
APIで提供されない
で提供されない
機能を実装
–
nCircle
のhtml
htmlををparse
parseして
し
nCircle の
必要データを取得
て必要データを取得
DMZ User’s
のの
formDMZ
User’sPortal
Portal
form-data
を nCircle
にフィ
data を nCircle
にフィットする
形に変換後、nCircle に投げ
ットする形に変換後、nCircle
に投げる
る
User Info
Info Sync
Sync
•• User
nCircleのユーザDBを
RDBと同期
User info
User
Sync Script
Sync
Script
同期結果をExcel
–– 同期結果をExcel
で出力
で出力
nCircleAPI
nCircleAPI
html
nCircle hacking
•• nCircle
hacking
–
Sync log
Sync
log
(Excel XML)
(Excel
XML)
(XMLRPC)
(XMLRPC)
RDBMS
RDBMS
Send
Send
form-data
form-data
html
html
Proxy
Proxy
parse html to
parse
retrieve data
retrieve
User info
User inf o
Portal
Portal
Module
Module
DBDBPowder
Powder
MailParser
Parser
Mail
Parser
•• Mail Parser
ユーザのホスト申請
メールをparseし、
メールをparseし、
DBPowderに格納
DBPowderに格納
–– 管理者がチェッ
管理者がチェッ
クし最終データ
となる
•• 1000点以上の
脆弱性メール配信
監査レポート作成
•• 監査レポート作成
•• 一部自動化
各種ウェブ画面
•• 各種ウェブ画面
•• レポート提出状況一覧
1000点以上脆弱性一覧
•• 1000点以上脆弱性一覧
セキュリティ
マネージャ
••
••
••
••
脆弱性一覧表示
脆弱性一覧表示
診断実行
診断実行
診断レポート提出
診断レポート提出
Outboundアクセス制御
Hosts
Hosts
-- apply
apply
-- modify
-- removal
removal
DMZ管理者
DMZ管理者
DMZ
Portal
DMZUser’s
User’s Portal
図 2 常時セキュリティ診断システム 全体図
資料 1)2008 年度
セキュリティ監査(レポート提出)
実施方針
1) KEK 情報セキュリティポリシー実施手順書 3.9 項に基づき、DMZ ホストのセキュリティ
監査を実施する。
全監査対象ホストは 2) に示す提出期間内に、3) 以降に示すいずれかのレポートを必
ず提出しなければならない。いずれのレポートも提出できない場合には、当該ホスト
の利用を廃止する。
監査実施のための技術的内容については、計算科学センターに協力を依頼するもので
ある。
2) 提出期間:2008 年 12 月 1 日~2009 年 1 月 23 日
3) 監査対象:2008 年 12 月 31 日時点で DMZ ホストとして登録されている全ホスト。各ホ
ストは以下の 3 種類に分類される。
・診断可能ホスト・・・nCircle 診断機器が検出するホスト
・休眠ホスト
・・・DMZ ネットワークに接続していないホスト(*1)
・診断不能ホスト・・・診断可能ホスト・休眠ホスト以外の全ホスト(*2)
43
4) 休眠ホスト以外の全監査対象ホストは、提出期間内に最低1度、通常の運用条件で DMZ
ネットワークに接続し nCircle 診断機器で診断を実施の上、診断レポートを所定のウ
ェブページ DMZ User’s Portal から提出すること(*3)。診断元 nCircle 診断機器は、
dpwan とする(*4)。
5) 診断レポート提出にあたっては、1000 点以上の脆弱性の全てに対処済みであること。
発見された脆弱性が nCircle 診断機器の誤検知による場合は、その旨を記述した補足
レポートを添付のこと。
6) 診断不能ホストは監査の際、ネットワークの利用実態があるかどうかが調査される。
DMZ User’s Portal が該当ホストを認識可能な場合は、診断不能証明書が発行される
ので、それを提出すること。
診断不能証明書を取得できない場合は、ネットワーク利用実態を記したレポートを提
出すること。
7) 休眠ホストは、DMZ ネットワークに接続していない理由を補足レポートに記載し提出す
ること。
例)機器の故障
8) 休眠ホストは、7)の補足レポートが提出されると、機構外部との通信が停止される。
DMZ ネットワークへ再度接続し、診断レポートを提出しセキュリティ監査を受けること
で、機構外部との通信は再開される。尚、接続再開なしに2期連続休眠ホストとなる
ことはできない。その際は、当該ホストの利用はセキュリティ管理部会によって廃止
される。
9) dmz, lan からの診断内容など、提出レポート以外の情報から著しい脆弱性が明らかに
なった場合は、セキュリティ管理部会より改善勧告が出されることがある。
10)診断内容についてセキュリティマネージャから問い合わせを受けたときは、協力する
こと
11)内容が不明な場合の問い合わせ先は、以下のとおりである。
実施方針一般:セキュリティマネージャ
技術的内容 :計算科学センターコンサルト([email protected])
(*1)【例】ホストが故障しているなど
(*2) nCircle 診断機器が検出できないホストで休眠ホスト以外のもの。
【例】特定ホスト以外にアクセス制限をかけているホストなど
(*3) ネットワークに常時接続ではないホストについても、期間中に最低1度、ネッ
トワークに接続した状態で診断を実施し、レポートを提出すること
(*4) 機構外に対する脆弱性の監査を目的としている
3.1.3 VPN(Virtual Private Network)サーバ運用報告
機構外から機構内ネットワークへのリモートアクセス手段として、機構職員及び共同利用
者に対して VPN によるリモートアクセスサービスを提供している。2008 年度は機構ネット
ワークの更新に伴い VPN サーバが新しい機種へと更新され、これに加えて新しい接続方式
44
用の VPN サーバが導入された。これまではユーザ端末に VPN 専用クライアントソフトをイ
ンストールし、そのソフトを使用して VPN 接続を行う接続方式(IPSec-VPN)を提供してきた。
ユーザへの利便性を高めるために、IPSec-VPN 方式に加えて、VPN 専用クライアントを必要
とせず Web ブラウザを使用して VPN 接続を行う接続方式(SSL-VPN)も提供することとした。
これによりユーザは、ユーザ端末やネットワーク環境に合わせて IPSec-VPN と SSL-VPN の
二つの接続方式を選ぶことができるようになる。2009 年 3 月末までの登録者数は職員が 498
名、共同利用者が 154 名、特定クラスタ接続 VPN 利用者が 9 名の合計 661 名となっている。
図 3 に月別のアクセス統計を示した。平均アクセス件数が 9084 件と前年より若干増加して
11000
10000
9000
8000
7000
6000
5000
4000
3000
2000
1000
0
20
07
年
4月
20
07
年
5月
20
07
年
6月
20
07
年
7月
20
07
年
8月
20
07
年
9月
20
07
年
10
月
20
07
年
11
月
20
07
年
12
月
20
08
年
1月
20
08
年
2月
20
08
年
3月
利用数
おり利用状況は順調に推移している。
年月
図 3 月別延べアクセス件数
3.1.4 不正アクセス検知装置運用報告
機構内と機構外のコンピュータネットワーク通信においてセキュリティ向上の為に、不
正アクセス検知装置(IDS : Intrusion Detection System)の運用を行っている。セキュ
リティインシデントは日夜問わず発生することから 24 時間 IDS を監視することが必須で、
2005 年 11 月からセキュリティ監視支援業者のリモート監視サービスと協力し行っている。
セキュリティインシデント
2008 年度のセキュリティインシデント発生件数は 48 件と過去の件数から比べても 2005
年の 102 件に次ぐワースト第 2 位となった。このインシデントの殆どがウィルス感染で中
でも 2009 年 1 月 22 日から多数発生したウィルス感染は総数 38 件あった。このウィルス感
染では、2009 年 1 月 14 日に Microsoft より公開された MS09-001 の脆弱性パッチを適用し
ていないホストが脆弱性を突かれ、
ウィルス感染をネットワークポート 445/tcp で伝搬し、
Downloader なるファイルを移植された。インターネットからボットやワームに感染するも
45
のも多く見られた。セキュリティグループ及び運用管理室全員で IDS のアラートと機構内
部のウィルス検知装置から感染ホストをリストアップし、ホスト管理者へ電話とメールで
連絡し、対処を依頼した。
他のウィルス感染については、USB メモリ経由や偽セキュリティソフト AntiVirus2009
をダウンロードするよう要請するものも見つかっている。
今年度教訓となったことは、ウィルス感染を防ぐにはウィルス対策ソフトが入っていて
も Windows Update 及び Microsoft Update は必須で、ウィルスによってはウィルス対策ソ
フトの定義ファイルが最新であってもウィルス感染する可能性がある、ということであっ
た。
50
㻘㻓
45
㻗㻘
40
㻗㻓
35
㻖㻘
30
㻖㻓
25
㻕㻘
ウィルス/ワーム
䜪䜧䝯䜽㻒䝳䞀䝤
20
㻕㻓
15
㻔㻘
10
㻔㻓
㻘5
㻓0
Apr- 㻰㼄㼜㻐
May- 㻭㼘㼑㻐
Jun- 㻭㼘㼏㻐
Jul- 㻤㼘㼊㻐
Aug- 㻶㼈㼓㻐
Sep- 㻲㼆㼗㻐
Oct- 㻱㼒㼙㻐
Nov- 㻧㼈㼆㻐
Dec- 㻭㼄㼑㻐
Jan- 㻩㼈㼅㻐
Feb- 㻰㼄㼕㻐
Mar㻤㼓㼕㻐
08
08
08
08
08
08
08
08
08
09
09
09
㻓㻛
㻓㻛
㻓㻛
㻓㻛
㻓㻛
㻓㻛
㻓㻛
㻓㻛
㻓㻛
㻓㻜
㻓㻜
㻓㻜
図4
2008 年度セキュリティインデント発生件数
セキュリティインシデントの通報と検知
2008 年度は、セキュリティ監視支援業者がセキュリティインシデントの可能性が高いと
判断した緊急連絡は 10 件であった。セキュリティグループではインシデントの経緯と IDS
のログをまとめ当該ホスト管理者へ調査依頼した。調査の結果、7 件はウィルス感染による
セキュリティインシデントと判明し、残る 3 件について被害は無かった。インシデントの
内容については、HTTP 経由で/etc/passwd の取得、SQL インジェクション、クロスサイト
スクリプティングであったが、/etc/passwd については要求に失敗、SQL インジェクション
については、共通計算機システムで導入している WAF(Web Application Firewall)で阻止、
クロスサイトスクリプティングはホスト管理者が試験的に行ったものと分かっている。
46
ホスト管理者から通報があったものは、USB 感染で動作が異常になったものやウィルス
対策ソフトが検知したもので計 7 件発生している。これらのインシデントは IDS のアラー
トで検知されなかった。
4月
1
監視支援からの通報
5月
6月
8月
9月
1
10月
1
ホスト管理者からの通報
表1
7月
1
11月
1
1
12月
3
1月
3
1
2月
3
3月
1
計
10
7
2008 年度セキュリティインシデント通報件数
P2P ファイル交換ソフトの遮断
機構は、ファイル交換ソフトを利用する著作権侵害について外部機関より警告を受けた
ことで 2008 年 12 月 26 日から P2P ファイル交換ソフトによる通信を遮断することを決めた。
これを受け、IDS で P2P の Signature Winny, Bittorrent, Kazaa, eDonkey を遮断した。
IDS リプレース
KEK セキュアネットワークシステムの導入に伴い、IDS を CiscoSecureIDS からマカフィ
IntruSheild に機種を変更し、導入を行った。
1,800,000
1,600,000
1,400,000
内部 <-> 外部
හ㒂
㻟㻐㻡 አ㒂
1,200,000
1,000,000
800,000
600,000
400,000
外部 <-> DMZ
አ㒂
㻟㻐㻡 㻧㻰㻽
200,000
0
Apr- May- Jun- Jul- Aug- Sep- Oct- Nov- Dec- Jan- Feb- Mar08
08
08
08
08
08
08
08
08
09
09
09
図5
2008 年度 IDS ログ件数
47
3.2 その他のサービス
3.2.1 アンチウィルスソフトウェアの配布
2001 年度より Windows 用、Macintosh 用など各種のアンチウィルスソフトウェアの配布を行
っている。このうち、Windows 用のものはサーバ・クライアント形態で、集中管理サーバ
(Corporate Edition)と利用者に配布するクライアントソフトウェアからなっている。配布状
況の詳細を付録 B に示した。集中管理の場合、クライアントソフトウェアを導入後はウィルス定
義ファイルの更新やウィルススキャンを管理サーバが制御できるので利用者の手間が少ないと
いう利点がある。一方、週一回のウィルススキャンの曜日や時間を自由に設定したいという利用
者からの希望には対応できないため、より柔軟な運用が課題となっている。
3.2.2 認証サービス
Web サーバ証明書発行活動(KEK LRA 活動)
国立情報学研究所(以下、NII)の学術情報ネットワーク運営・連携本部認証作業部会が進
める「サーバ証明書の発行・導入の啓発・評価研究プロジェクト」に KEK もプロジェクト
開始当初から参加している。これにより DMZ ネットワークに接続されている機器等におい
て Web サーバ証明書を必要とする場合には、サーバ機器管理者が所定の発行申請手続を経
れば、NII オープンドメイン認証局が発行する証明書を利用することができる。計算科学セ
ンターはオープンドメイン認証局の LRA(Local Registration Authority)として発行手続き
の業務を担っている。主な業務は、申請者の本人性・実在性の確認、サーバ機器の実在性・
管理責任の確認、CSR(Certificate Signing Request)の受付と NII への送付、証明書の受
け取りと申請者への送付などである。これらの業務を効率良く行うために Web インターフ
ェイスを開発して使用している。2009 年 2 月 23 日に NII が主催した UPKI シンポジウムに
おいて、「KEK におけるセキュアな認証基盤の構築活動」の一つとしてポスター発表を行っ
た。表 2 に 2009 年 3 月末までの発行状況を示した。
発行申請数
30
CSR 受付数
30
証明書発行枚数
30
失効申請数
表2
4
2008 年度 Web サーバ証明書発行状況(件数)
認証サーバの運用
リモートアクセス(VPN/電話回線)および eduroam 接続時のユーザ認証のために Radius
サーバを運用している。2009 年 3 月末の登録者数は、それぞれ 661 名(VPN/電話回線)と 9
48
名(eduroam)であった。
3.2.3 広報・啓発活動
2008年7月16日に高度情報利用推進室と計算科学センターの共催でセキュリティセミナーを開
催した。講師はJPCERT/CCの小宮山功一朗氏、講演題目は「コミュニケーションの変化がもた
らす光と影、〜人が主役の情報セキュリティ〜」であった。約60名の参加があった。講演資
料は情報セキュリティのページ、http://www.kek.jp/intra-j/security/index.htmlからダ
ウンロードできる。
図 6 セキュリティセミナー広報用ポスター
例年、新人教員を対象に機構の教員研修会が開催されているが、2008年度も年7月24日に
行われ、機構のセキュリティについて講師を引き受けた(講師:橋本清治)。
49
口頭発表およびポスター発表
(1) “ホスト脆弱性診断システム 07年度運用報告+α”, 村上 直, 第12回
共同利用機関におけるセキュリティワークショップ, 2008年9月29 -30日, 自然
科学研究機構岡崎コンファレンスセンター(OCC), 愛知
(2) “UPKIオープンドメイン認証局サーバ証明書発行プロジェクトとKEKの取り
組み”, 橋本清治、湯浅富久子, 第12回共同利用機関におけるセキュリティ
ワークショップ, 2008年9月29 -30日, 自然科学研究機構岡崎コンファレンスセ
ンター(OCC), 愛知
(3) Tadashi Murakami, Fukuko Yuasa, Toshiaki Kaneko, "Vulnerability
Management by the Integration of Security Resources and Devices with
DBPowder ", Grid Camp and HEPiX Fall 2008, Oct. 2008.
(4) Kiyoharu Hashimoto, " Activity for construction of secure
infrastructure in KEK " Grid Camp and HEPiX Fall 2008, Oct. 2008.
(5) 柴田章博,村上直,“インターネット接続の揺らぎのDFA解析,” 第14回
交通流のシミュレーションシンポジウム,2008年11月.
(6) 橋本清治、湯浅富久子, 「KEKにおけるセキュアな認証基盤の構築活動」、
UPKIシンポジウム2009 (ポスター発表)、一橋記念講堂、2009年2月23日。
50