情報セキュリティ基盤論 2015

情報セキュリティ基盤論 2015
工学系研究科講義科目
佐藤周行
SIGMAXYZ
三井物産セキュアディレクション
教科書
情報セキュリティ基盤論
共立出版, 2010
ISBN: 9784320122574
情報セキュリティの現代の「標準体
系」のつもりでかいていますが、
若干古くなりつつある…
 授業は、この内容をベース
にして行ないます (+アド
バンストな内容)
情報セキュリティとは
 「情報」をセキュアに扱うことができること




情報の機密性(アクセス権をコントロールできる)
情報の完全性(内容をコントロールできる)
情報の可用性(アクセスが保証される)
+アルファ(真正性、責任追跡性、否認防止、信頼性)
 ISO 27000シリーズ (この番号は重要)
教科書の目次
I リスクの分析と評価
1. リスクの動向と変遷
2. 情報セキュリティリスク管理
II コンテンツの電子化・ネット化・クラウド化
3. コンテンツの電子化・ネット化・クラウド化
4. コンテンツマネジメント
III 具体的な脅威・脆弱性
5. 脅威・脆弱性の変遷と動向
6. ネットの脅威とネットハックの実際
IV 情報セキュリティリスクへの対応
7. 暗号と電子認証
8. アイデンティティ管理
V 情報セキュリティと社会制度
9. セキュリティ監査と成熟度モデル
10. 法律問題とeコンプライアンス
11. 社会制度
 ここで、過去もっとも苛烈なレポート課題であった2013年
度課題をみてみましょう
 このような問題を一定の深さで理解し、論じることがで
きるようになります(予定)
レポートテーマその1 ファーストサーバ
 概要
 2012年6月、ファーストサーバ社の運営するデータセンターにて顧客データ
が消失し、同社データセンターを利用していた約5700組織に、サーバデー
タが消失する等の影響を与えた
 同社による事故調査報告書が公開されている
http://www.firstserver.co.jp/news/2012/2012073101.html
 発生した事象
 作業者がデータを誤って消去したことによるシステム停止
 (2次被害として)バックアップから復旧されたデータが、本来アクセス権の
ない他ユーザにも閲覧可脳な状態となった
 最終的にはバックアップデータそのものも消去され、原状回復が不可能に
6
レポートテーマその1 ファーストサーバ
 設問
システム変更を行う場合、変更管理(change control)とよばれる手続きを踏むのが内
部統制の立場からリスク対応の方法として一般的である。変更管理が何かを説明し
て、なぜこれが有効とされるかを解析せよ。この観点からファーストサーバーの管理の
仕方を論ぜよ
2. 顧客情報資産はCIAの観点から適切な対策を実施していたか論ぜよ
3. クラウド型のサービスの利用の場合、SLAで保証を求めるのが一般的である。SLAとは
何か説明し、さらにそれに照らし、顧客の対応が適切であったか論ぜよ
4. クラウド利用のリスク対応としてSLAはどうあるべきか、顧客の立場から、従来一般的
であった業務委託契約と比較して論ぜよ
5. この件については、成熟度監査の定期的な実施が被害を軽くしたかもしれない。それ
はなぜか、当時のファーストサーバーの企業としての成熟度を評価した上で論ぜよ
6. あなたがクラウドサービスを利用する顧客企業の経営者であると想定し、自社のリ
ソースをクラウド上で運用する際のリスク管理について、必要だと考える視点を挙げ論
ぜよ
1.
7
レポートテーマその2 DigiNotar(ディジノタール)
 概要



オランダの認証局であるDigiNotarは、2011年6月ごろから不正侵入の被害にあっていた。
一旦対策できたと思ったものの、8月に当該認証局の発行したgoogle.comドメイン等の不正
な証明書が出回るようになった
結果として信頼を回復できず、9月には自己破産宣告
第三者による事故調査報告書が公開されている
http://www.rijksoverheid.nl/bestanden/documenten-enpublicaties/rapporten/2012/08/13/black-tulip-update/black-tulip-update.pdf
 発生した事象




8
外部からは直接つながらないネットワークへの侵入(踏み台の利用)
システムログが改ざんされていることが判明。これにより、不正な証明書がどのくらい発行さ
れたかも推測不能
(結果として)不正証明書が流通し、当該証明書関連するSSL暗号通信が傍受 (Man-InThe-Middle attack)可能な状態に
影響範囲があまりにも広すぎて、業務を継続できず破産
レポートテーマその2 DigiNotar(ディジノタール)
 設問
1. DigiNotarは内部ネットワークが破られているが、それを検知するためにネッ
トワーク内のどこにIDS, log監査ツール等を設置すべきであったか論ぜよ
2. 当時の監査人はWTCA (WebTrust for CA) に基づいて準拠性監査を行って
いたはずである。準拠性監査が何かを説明するとともに、当時の監査が十
分であったかを論ぜよ
3. 不正な証明書を利用した攻撃としてDNS poisoning+MITMが示唆されてい
る。これらが何かを説明するとともに、どの程度まで成功したかの被害の推
定とその理由を記せ
4. 上と関連し、PKIが社会インフラの一部として機能していることを、ブラウザ
ベンダーの責任と共に論ぜよ
5. あなたがPKIを社会インフラとして成立させる役割を担っている立場に立っ
たと想定し、保証業務のアンカーとして機能すべき監査はどうあるべきか、
現状の監査の品質とあわせて議論せよ
9
レポートテーマその3 サウンドハウス
 概要



2008年3月、オンラインショッピングサイトを運営しているサウンドハウス社に対してクレジット
カード会社等から、「カード情報が不正に使われている」と連絡あり。
調査の結果、SQLインジェクションにより、カード情報(最大)約12万件が外部に流出した可
能性が判明した
同社による事故調査報告書が公開されている
http://www.soundhouse.co.jp/shop/News.asp?NewsNo=1561
 発生した事象




10
2006年~2007年ごろにおいて既にSQLについてぜい弱性が存在し、攻撃は発生していた
模様。そのころにバックドアを仕組まれた可能性
サウンドハウス社としてはまったく気づいておらず、カード会社からの連絡により、事態を把
握
漏えいした情報にはログインパスワード(暗号化なし)が含まれており、これをクレジットカード
利用時のパスワードとして流用することでクレジットカードの不正決済が容易になった模様
最終的な被害者カード番号そのものは特定できず、最大件数として報告することとなった
レポートテーマその3 サウンドハウス
 設問
1. 最初の攻撃にSQL injectionが使われたであろうことが言われて
いる。これが何かを解説するとともに、対応策について論ぜよ
2. 顧客データのうち、代表的なものをCIAから分類し、適切に管理
されていたか解析せよ
3. 他サイトでの二次被害の可能性を論じ、パスワードによる認証の
脆弱性を論ぜよ
4. 当該企業の社内ネットワークを推測し、改善策を論ぜよ
5. あなたがeコマースサイトを開設する経営者であると想定し、当
該サイトの運用に関連するリスク管理として重要と考えることを
議論せよ
11
 今年度は、これらの反省を活かし、課題を提示したうえ
で、必要な部分を含めて授業で触れていくスタイルをと
ります
 ということで、課題発表は5/20(予定)
クラシックな情報セキュリティの図式
会社
攻撃(資産を盗む)
ビジネス
社会制度による規制、保護
脆弱性
脅威の分析(リスク分析)
→ 次のアクションへ
Advanced Topics?
 2010年から今までに何が起こっているか?
 クラウドサービスの一般化
 国内・国外
 「端末」を握っているところが囲い込みに入っている(MS, Apple)
 ICTインフラ巨大企業の大躍進
 Amazon, Google,
 Facebook,
 オンラインの世界での「アイデンティティ」
 組織が与える「アカウント」から、ICTインフラ企業が提供する「ア
カウント」への移行
 2010年から今まで起こっていること(続き)
 攻撃の手法のますますの高度化
 Targetted attack, persistent attack等、本質的に対応不可能な
ものも (三菱重工の事件)。
 Stuxnet, flame, gaussなど、政治的意図、経済的意図のある攻
撃が激化した
 個人の端末の高度化やIoTの構築による情報ソースの多様化と
詳細化
 恒常化する個人の権利侵害
 「同意」に名を借りた個人情報の強制的引き渡し
 電気通信事業者にのっかって「通信の秘密」を犯すサービスを
行うことが可能に。
 2010年から今まで起こっていること(続き)
 「サイバー空間」の意識
 政府・民間の情報資産への攻撃
 国単位の防御と攻撃
 日本: NISC(内閣官房), サイバー防衛隊(自衛隊)
 アメリカ: NSA/CSS, Cyber Command
 中国: 61398部隊等
 攻撃側組織の存在
 2010年から今まで起こっていること(続き)
 技術的には必死の対応が続けられている
 セキュリティベンダーの努力
 統制・規制・法制度 (control, regulation, legislation) の整
備のこころみ
 オンライントラストの構築
 EUデータ保護規則、アメリカ「消費者の権利章典」の法制化
 Cross border問題の認識と調整
現代的な情報セキュリティの図式
ICT巨大インフラ企業
uncontrollable
会社
攻撃(資産を盗む)
ビジネス
社会制度による規制、保護
現代的な問題への対応
 クラウドは情報セキュリティ的に何が問題か
 クラシックなリスク分析の手法の限界
 ICTインフラの巨大企業は情報セキュリティ的に何が問題か
 「アイデンティティ」を握っている
 統制が基本的に効かない
 政治的意図、経済的意図を持ったサイバー空間での犯罪にどう対処
できるのか
 サイバーセキュリティ
 個人の権利はどう守られるべきなのか
 IoTによる情報(取得)ネットワークの構築
 ネット上のプライバシー
 それでも情報産業は振興しなければならないのか
 実は市場規模は大きい(後述)
 これらの問題をすべて包含した形で「ビッグデータ」はある
2013/04/03
講義の構成
現代社会における情報セキュリティの背景
IT技術の発展とその課題
1.クラウド化、ソーシャル化への変遷
2.現代社会におけるサービス提供企業の課題
情報セキュリティ上の脅威とハッキング技術
3.脅威の変遷とインシデントの動向
情
報
セ
キ
ュ
リ
テ
ィ
基
盤
“会社”のセキュリティ基盤 ~組織が採用している現実解~
企業X
企業Y
企業リスクマネジメント
4.情報セキュリティリスク管理
企業リスク
マネジメント
企業リスク
マネジメント
……
採用される技術
5. 企業で使われる
情報セキュリティ技術
運用上の管理
6.アイデンティティ管理とID管理
7.成熟度モデルとセキュリティ監査
技術
運用
管理
技術
運用
管理
“社会”のセキュリティ基盤 ~本質的解決に向けた “あるべき姿”~
脅威・攻撃に対抗する技術
8. ネットワークとシステムにおけるセキュリティ技術
9.暗号と認証
社会制度の整備
10. eコンプライアンス・パーソナルデータ
11. 社会制度とマイナンバー
個人 (消費者、サービスのエンドユーザ、国民等)
“基盤”を通じた
サービスの利用
スケジュール
No.
講義日
タイトル
教科書での対応章
(0)
4/8
ガイダンス
-
1
4/15
脅威の変遷とクラウド化、ソーシャル化への変遷
3. コンテンツの変遷と動向(電子化、ネット化、クラウド化、
ソーシャル化)
2
4/22
現代社会におけるサービス提供企業の課題
1. リスクの動向と変遷
4. クラウド化、ソーシャル化時代の課題
3
5/13
eコンプライアンスとサイバー基本法
10. 法律問題とeコンプライアンス
4
5/20
レポート課題提示
5
5/27
情報セキュリティリスク管理
2. 情報セキュリティリスク管理
6
6/3
企業で使われる情報セキュリティ技術
新規
7
6/10
アイデンティティ管理とID管理
8. アイデンティティ管理とID管理
8
6/17
成熟度モデルとセキュリティ監査
9. セキュリティ監査と成熟度モデル
9
6/24
インシデントの動向と攻撃者の技術
5. 脅威・脆弱性の変遷と動向
6. ネットの脅威とネットハックの実際
10
7/1
ネットワークとシステムにおけるセキュリティ技術
新規
11
7/8
暗号と認証
7. 暗号と電子認証
12
7/15
社会制度とマイナンバー
11. 社会制度
7/15
レポート問題解説
-
クラウドの問題(SLA)
 サービスレベルとして、何が規定されるべきか?
 現在では手探り
 大手のクラウドベンダーでは、サービスレベルは主に「稼働率」
と定義されている
 SLA Cloudで検索をかけてみよう
 セキュリティに関してのサービスレベルを規定するところはほと
んどない
 対アタック耐性等
 現在、CSAによってCCM (Cloud Control Matrix)が策定され
ている
Application & Interface Security
Audit Assurance & Compliance
Business Continuity Management & Operational Resilience
Change Control & Configuration Management
Data Security & Information Lifecycle Management
Datacenter Security
Encryption & Key Management
Governance and Risk Management
Human Resources
Identity & Access Management
Infrastructure & Virtualization Security
Interoperability & Portability
Mobile Security
Security Incident Management, E-Discovery & Cloud Forensics
Supply Chain Management, Transparency and Accountability
Threat and Vulnerability Management
クラウドの問題(SLA)
 組織の資産をクラウドに移してしまうと、その資産を
守ってくれる保証はどこにあるか?
 従来は、組織の統制可能なところに置くことで資産を保護
していた → stakeholderへの説明責任
 物理的手法、人的手法、ネットワークセキュリティ、ソフトウェ
アシステムセキュリティ、認証 (情報セキュリティの中心的な
課題だった)
 組織を対象としたリスク管理方法を拡張して統制する
 SLAはpublic cloudをどこまでコントロールできるか(記述で
きないものはコントロールできない)
クラウドの問題(cross border)
 クラウドベンダーの裁判管轄権が問題になることがある
 クラウドベンダーがアメリカにサーバを持っているとき、アメリカ
の法律が適用される
 クラウドベンダーがアメリカに本社を持っているとき、アメリカの
法律が適用されることがある
 ビジネスにとって致命的になる場合がある
 令状なしの押収等(クラウドサービスが止まった事例あり)
 Snorden事件の警鐘
 消費者に特に問題になるのは、「消費者のデータ」がどう扱
われるか=プライバシー
 規制のゆるいところへのデータ移転はきらわれる
クラウドの問題(cross border)
 ヨーロッパは、「忘れられる権利」を含む、プライバシーに関する強
い権利を個人に保証
 外交手段として用いられることが多々ある
 アメリカのICT巨大企業の牽制に使われることが多々ある
 アメリカの法制度をヨーロッパの一部が問題視
 Patriot Act により、令状なしの押収その他が可能
 FISAA (Foreign Intelligence Surveillance Amendments Act)
 外国人の動向調査(リアルタイム、政治的な信条はもちろん含む)が可
能に。裁判所の(秘密の)許可さえあればOK
 民間企業のビジネスに関してはSafe Harbor Agreementで移転を
承認
 プライバシーについては米欧で非常に大きな差がある(きっと埋め
られない)
 日本の影がうすいのが…
巨大ICTインフラ企業
 ICTインフラには以下が含まれる





キャリア(NTT, KDDI, …)
セキュリティ(Norton, Symantec, PKI CA vendors,…)
サービス(Google, Amazon, 楽天, CCC, …)
ソーシャルネットワーク(Facebook, LINE, …)
…
 インフラ企業に求められる社会的責任(規制)について、整
備が進んでいないことが多い
 Cross borderの問題
 プライバシー等、本質的な問題への対処
Social Identities
 Googleアカウント、Amazonアカウントで、様々なサービ
スが受けられる
 ネット上のアイデンティティを提供する形
 Gmailのメールアドレスを受け入れるところ多数
 Facebookのアカウントで、様々なサービスが受けられる
ようになっている
 Facebookのアカウントですべてが済む?
 ネット上の活動がインフラ企業の掌の上で行われるよう
になった
 今までは、
 組織の与えたアイデンティティ(ID, mail address)で、組織
の一員として活動(organizational identities)
 サービス提供者は、各々アカウントを与えることで、ユー
ザを囲い込んでいたので、social identitiesが問題になる
ことはなかった
 SSO技術(OpenID Connect, SAML等)の進展による利
便性の提供は本来喜ぶべきことであるが…
Social Identity系インフラ企業のビジネスモデル
 広告主を集める
 自サイトのユーザの行
動履歴を解析する
 解析の結果、効果が高
いと思われる利用者に
広告を出す
 ネットの広告の世界では「Personalized Ad」は効果的なものと信じ
られている
 GoogleやFacebook等はこれを積極的に採用している
 広告主は個人のプライバシーを侵害しないが、インフラ企業が何
をやっているかについては議論の対象になる
 Personalizationのためのさまざまな手法
 基本は本人属性や行動履歴(プロファイル情報)の収集と解析
 オプトアウト(本人から中止の申し出が出ない限り許されていると思
う)
 3rd Party Tracking, Spyware, …
 ここで、「個人」対「Social Identity系インフラ企業」の力の差は歴然
 「同意」があるからやってもよいかというと、それは少し問題がある。
 プライバシー上の問題として認識されている
どの程度の経済規模か?
 IDCの市場予測(2014/1/24発表)によると:
 Big Dataの市場規模は日本で600億円/1兆円(ビジネスアナリ
ティクス規模)
 「ビッグデータ」に関係する産業の振興はすべてここに係って
くる
 日本における「パーソナルデータの利活用に関する制度見
直し方針」
 個人情報保護法の改正による規制緩和
 第三者委員会(プライバシーコミッショナー制度)による規制
 アメリカでは消費者の権利として宣言
 “Do Not Track”
 規制作りが進んでいるようにみえる
 http://www.w3.org/TR/tracking-dnt/
 しかし、→は本質的にどこを向いているかに
ついて注意
 消費者の責任について言及(力の差が歴然
なのに)(非対称性)
 権利宣言を反映した立法化がすすまない
 2012年10月のIE10 に関する論争
 W8のIE10でDNT:1をデフォルトにすると発表
 Yahooが「それを無視する」と発表
 ApacheがIE10のDNTフラグを無視するパッチ
を発表(現在はコメントアウトされている)
「守る」という観点と利活用という観点
 個人が「アイデンティティに関する情報」を提供すればそれに応じて
サービスを提供するというのが、関係する企業の基本的なビジネスモ
デルになっている
 Personalizationのためには、自分の情報を「納得したうえで」企業に提供す
る必要がある
 企業は「提供された情報」に応じてサービスを提供する。
 Googleアカウントでログインした状態で検索をすることは、もちろんこの一例
 Gmailの利用もこの一例
 プライバシー情報を利用・活用するための適正なビジネスモデルが必要に
なる
 かたくなに情報提供を拒否することはネット上の生活を便利にしない
 提供情報についての「同意」の意味理解が重要
 取得した情報をどう利用するかについての理解
 「ビッグデータの活用」や「名寄せ技術の高度化」など、従来の理解を超えた動きが
活発化しているのは事実
 割と大きな経済規模を持つ
 本人が納得して同意することが必要
クラシックな情報セキュリティの重要性
 これらの問題は、インフラ企業が消費者と直接向き合うこと
によって顕在化してきた。
 企業がもつ情報資産を対象にした情報セキュリティの技術
は以前にもまして重要になってきた




関係者は「組織」「企業」
ネットの技術動向が刻々と変わる
新たな種類のインシデントが次々と発生
不確かな状況下で決定を下さなければならない
 この情報資産は守るべきものか、守るとしたらどのくらいのコスト
をかけるべきか?はたして安心するまで守れるのか?
 リスク分析、リスク管理の手法
 注意:リスク分析は、組織のセキュリティレベルをあげるために行うわけではな
い
 問題:この情報はなぜ価値があるのか?誰が価値を認めるのか?誰が守れと
言うのか?
 個人を越えた「組織」の存在
 組織が個人の行動を制御するための何か
 「組織の意思」を全体に徹底させるための何か
 情報セキュリティポリシー等
 情報の価値は組織が決める
 決定:何らかの決定をして、組織を前に動かす(セキュリティを高める。リスクを
受容する。情報資産を廃棄する。…)
 方法論としては管理工学
 一般的には「Solution」と称して様々な技術を導入することになる
リスク
 リスクとは?
 リスク = F(資産価値, 脆弱性, 脅威)
 リスクを評価するさまざまな手法(特に定性分析)
 脆弱性と脅威については、コンピュータセキュリティとネットワークセキュリ
ティの観点からの解析が必須
 組織における情報セキュリティに関係する一連の分析・評価の流れを定式化
 ISO27001 (ISMS)
 ISO27002 (Best Practice)
 管理工学的な手法による管理
 PDCAサイクル
 リスク分析
 「リスク」は、ここでは専門用語です(例年、期末レポートで素人解釈をする人
が一定数みられる)
前提知識
 リスク分析で考えることは次の3つ
 資産価値:その情報(サービス)にはどのくらいの価値があるか?
 脆弱性:その情報(サービス)を運用するときにどのような弱点があ
るか?
 FTPではパスワードが平文で流れる
 電子文書では、コピーが自由で、だれが書いたかの保証ができない
 …
 脅威:その情報(サービス)の脆弱性をついた攻撃にはなにがある
か?
 盗聴して、FTPのパスワードを抜く攻撃
 電子領収書で、コピーをして、少し改変して流通させる
前提知識(続き)
 情報サービスの分野においてどのような脆弱性がある
か?
 脆弱性をついた脅威にどのようなものがあるか?
 この2つを理解することが「リスク対応」の第一歩
リスクを決める脆弱性や脅威の分析
 IPA(情報処理推進機構)の「10大脅威」
( http://www.ipa.go.jp/security/vuln/10threats2015.html )によれば
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
インターネットバンキングやクレジットカード情報の不正利用
内部不正による情報漏えい
標的型攻撃による諜報活動
ウェブサービスへの不正ログイン
ウェブサービスからの顧客情報の窃取
ハッカー集団によるサイバーテロ
ウェブサイトの改ざん
インターネット基盤技術の悪用
脆弱性公表に伴う攻撃
悪意のあるスマートフォンアプリ
リスクへの対応
 情報セキュリティ対策
 他のセキュリティ技術(ネットワークセキュリティ、システムセキュリ
ティ)の導入
 暗号技術の応用として居続けられる暗号化、電子署名、認証他の
技術
 リスクへの対応ができる⇒今度は利便性を求めて攻めていける
 「個々のアカウントの権限をコントロールできるようになったから、ゲ
ストアカウントを発行できる」
 「SAML等、安全なプロトコルが導入できるから、組織内外にSSOを
導入する」
 「…」
リスクへの対応
 技術的な対応の他に、社会的に基盤を作る動きも着実に進
行している
 「セキュリティの品質はこれこれの認定制度で第三者が保証し
ましょう」
 プライバシーマーク
 ISMS
 トラストフレームワーク
 認定制度と監査(評価)制度
 会計監査の技術、制度
 情報システム監査
 セキュリティ監査
2013/04/03
講義の構成
現代社会における情報セキュリティの背景
IT技術の発展とその課題
1.クラウド化、ソーシャル化への変遷
2.現代社会におけるサービス提供企業の課題
情報セキュリティ上の脅威とハッキング技術
3.脅威の変遷とインシデントの動向
情
報
セ
キ
ュ
リ
テ
ィ
基
盤
“会社”のセキュリティ基盤 ~組織が採用している現実解~
企業X
企業Y
企業リスクマネジメント
4.情報セキュリティリスク管理
企業リスク
マネジメント
企業リスク
マネジメント
……
採用される技術
5. 企業で使われる
情報セキュリティ技術
運用上の管理
6.アイデンティティ管理とID管理
7.成熟度モデルとセキュリティ監査
技術
運用
管理
技術
運用
管理
“社会”のセキュリティ基盤 ~本質的解決に向けた “あるべき姿”~
脅威・攻撃に対抗する技術
8. ネットワークとシステムにおけるセキュリティ技術
9.暗号と認証
社会制度の整備
10. eコンプライアンス・パーソナルデータ
11. 社会制度とマイナンバー
個人 (消費者、サービスのエンドユーザ、国民等)
“基盤”を通じた
サービスの利用
評価
 授業は教科書の内容+アドバンストトピックスになります
 教科書の内容をきちんと理解することが単位をとること
に直結します
 評価は学期末のレポートでします
 言語は日本語か英語
E-Learningサポート
 Webページはここです
http://www-sato.cc.u-tokyo.ac.jp/PKI-project/SecInf.html
 必要な教材(スライド)その他はWebページにアップロードします
 レポートの提出やスライドの整理には、朝日ネットのE-Learningシ
ステムであるMANABAを使います
http://u-tokyo.manaba.jp/ct/
最後に
 講師紹介
 Any Question?