Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

正しく恐れるクラウドのセキュリティ

5,469 views

Published on

cybozu.com conference 2015 講演資料

Published in: Engineering
  • Be the first to comment

正しく恐れるクラウドのセキュリティ

  1. 1. 正しく恐れるクラウドのセキュリティ サイボウズ株式会社 執行役員 運用本部長 山本泰宇
  2. 2. 自己紹介 ▌サイボウズでの経歴 2005年 ガルーン2開発責任者 2006年 開発本部長 2008年 最高技術責任者 2010年 cybozu.com 開発責任者 2014年 運用本部長(現任) ▌運用本部 社内の情報システムを管理する情報システム部と、 自社クラウドサービスを管理するサービス運用部からなる組織
  3. 3. 内容 ▌近年のセキュリティ事件 ▌脅威はどこにあるか ▌対策の基本方針 ▌具体的な対策 サイボウズが実施する対策 お客様にお勧めする対策 ▌まとめ ▌質疑応答
  4. 4. 近年の セキュリティ事件
  5. 5. アカウント乗っ取り事件の多発 ▌Line, Twitter, Facebook 等々のア カウント乗っ取りが多発 ▌複数のサービスで共通のパスワードを 使っているユーザーが狙われる 「Stop! パスワード使いまわし」 https://www.jpcert.or.jp/pr/2014/pr140004.html ▌対策として、各社で二要素認証の実 装が進んだ 出典:http://matome.naver.jp/odai/2140265486676813001
  6. 6. サービスデスクにソーシャルエンジニアリング ▌2012年8月 ▌Apple と Amazon に電話をか けてアカウント乗っ取りに必要な情 報を入手 ▌サービスデスクの管理システムに 目をつけたもの 出典:http://fladdict.net/blog/2012/08/icloud-hack.html
  7. 7. エドワード・スノーデン事件 ▌2013年6月 ▌アメリカ国家安全保障局の機密 情報が大量流出 ▌関係者による内部犯行 ▌データセンター間専用線の盗聴 等も明らかになった 出典:http://www.afpbb.com/articles/-/2950073?pid=10897395
  8. 8. 年金機構からの大規模流出 ▌2015年5月 ▌125万件の個人情報が流出 ▌ウィルス付きメールを開封 ▌対応が遅れて被害が拡大 事前のルール整備が重要 出典:Wikipedia
  9. 9. SSL/TLS への相次ぐ攻撃 ▌2011年9月 BEAST攻撃 ▌2012年9月 CRIME攻撃 ▌2014年9月 POODLE攻撃 (SSLv3 廃止) ▌2015年2月 RC4利用禁止 (RFC7465) ▌2015年10月 SHA-1 Freestart Collision ▌… ▌SSL/TLS を常に最新のものに アップデートする体制が必要 出典:https://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html
  10. 10. 基盤ソフトウェアの脆弱性 ▌2014年4月 Struts 任意コード実行 ▌2014年4月 OpenSSL ▌2014年9月 Bash ShellShock ▌ゼロデイが相次いだ 脆弱性の改修方法が明確で ない状態で攻撃される状況 ▌Heartbleed は対策が遅れた 企業で情報流出の被害 公表が 4月7日 攻撃が 4月11日 ▌対応できないサイトの一時閉鎖 というケースもあった 出典:http://heartbleed.com/
  11. 11. ascii.jp への DDoS 攻撃 ▌2015年10月 ▌Anonymous による DDoS ▌6日以上の期間アクセス不能 ▌ASCII が狙われた理由が不明 出典:http://japanese.engadget.com/2015/10/22/ascii-jp-ddos-anonymous-it-ascii-jp/ 出典:http://it.srad.jp/comments.pl?sid=670583&cid=2907221
  12. 12. 脅威はどこにあるか
  13. 13. cybozu.com リスクマップ サービスデスク クラウド オペレーター サイボウズ株式会社 インターネット cybozu.com データセンター 専用線網 お客様 ソーシャルエンジニアリング 盗聴 ウィルスメール DDoS 内部犯行 盗聴 窃盗 ゼロデイ
  14. 14. 分析 ▌攻撃経路 インターネット 専用線 サポートデスク(電話) 内部犯行・侵入 ユーザーサイド ▌すべての経路に攻撃の可能性はある アクセスしやすい経路への攻撃は、種類・回数が多い アクセスしにくい経路だからといって、攻撃されないわけではない
  15. 15. 対策の基本方針
  16. 16. 原則 ▌インシデントは必ず発生する ゼロデイ攻撃や DDoS の完全防御は困難 ▌インシデント対策の目的は、被害の最小化 発生の予防、頻度の低下 発生時の早期検出、被害最小化 ▌リスクは変動する SHA-1 の危殆化等、外部環境の変化でリスクも変わる 常に情報を収集し、対策し続ける体制が必要
  17. 17. 方針 ▌インシデントの発生を前提に備える CSIRT (Computer Security Incident Response Team) 侵入検知・防止システムや全操作履歴の保管 ▌システムにアクセスできる人と権限を最小化する 多くの人がかかわるほど脆弱になる プログラムにも必要以上の権限を与えない ▌常に情報を収集し、対策を更新する 新たな攻撃手法やゼロデイ脆弱性を日々監視 自社だけでなく、他社や善意の第三者と協力して対応
  18. 18. 原則と方針 ▌原則 インシデントは必ず発生する インシデント対策の目的は、 被害の最小化 リスクは変動する ▌方針 インシデントの発生を前提に備える システムにアクセスできる 人と権限を最小化する 常に情報を収集し、対策を更新する
  19. 19. サイボウズのセキュリティ体制 セキュリティ研究者 日本シーサート協議会 IPA・JPCERT/CC セキュリティ監査会社 Cy-SIRT 事務局 ISMS 事務局 (内部統制) セキュリティ委員会 運用本部 開発本部 Cy-SIRT (CSIRT)
  20. 20. 具体的な対策
  21. 21. 対策カテゴリー 物理対策 ネットワーク対策 ソフトウェア対策 人的対策 監査 製品機能
  22. 22. 物理:データセンター ▌FISC(金融情報システムセンター) 安全対策基準に準拠 ▌設備 生体認証 マントラップ 監視カメラ … 出典:http://itpro.nikkeibp.co.jp/atcl/column/14/346926/072200305/
  23. 23. 物理:サイボウズオフィス ▌重要操作をする要員・端末を物理的に隔離 ▌ネットワークも専用のものを用意 ▌重要ゾーンは監視カメラで24時間監視・記録 ▌重要ゾーンは写真撮影不可
  24. 24. 物理:ストレージ暗号化 ▌HDDには暗号化したデータを保存 aes-xts-plain64 + 512bit 鍵 ▌サーバーやHDDを盗んでも、データの解読は不可能 ▌ストレージ暗号化は順次展開中 2017年中には完了を予定 それまではHDDを物理破壊して廃棄
  25. 25. ネットワーク:インターネットからの隔離 ▌重要業務端末はインターネットから隔離 Web はもちろん、メールも届かない 他の社内ネットワークからも切り離された 独立ネットワーク オペレーターはインターネット用端末と 重要業務端末を使い分け
  26. 26. ネットワーク:SSL/TLS ▌Qualys SSL Labs A+ (最高評価) ▌最新のSSL/TLS技術を追求  HTTP Strict Transport Security (HSTS)  Perfect Forward Secrecy (PFS)  SHA-2 証明書  … 出典:https://www.ssllabs.com/
  27. 27. ネットワーク:拠点間専用線の暗号化 ▌通信データを IPSec で暗号化 ▌専用線の盗聴を防止
  28. 28. ネットワーク:DDoS 防御 ▌完全な DDoS 対策は困難 目をつけられないようにするのが一番という噂も… ▌バックボーン業者と連携して DDoS 防御機構を用意 一定の効果を期待
  29. 29. ネットワーク:ファイアウォール/WAF ▌通常のファイアウォールに加え、 HTTPトラフィックをモニタして攻撃をブロック可能 (Web Application Firewall / WAF) ▌自社製 L7 ロードバランサーにてルール追加 ▌Struts の脆弱性対応時に活用
  30. 30. ソフトウェア:緊急更新 ▌毎日脆弱性・ゼロデイ情報を確認 JPCERT/CC 等数多くの情報ソースを参照 ▌緊急性の高い脆弱性の場合、即座にシステムを更新 ベンダのパッチが間に合わない場合、 独自にパッチを展開する体制を整備 アプライアンスサーバー等のブラックボックスはほとんどない ▌実績 OpenSSL Heartbleed は認知から2時間半で対応完了 Struts も認知から2時間半で前述の暫定対応 その後も新たな攻撃パターンがでるたびに即時更新
  31. 31. ソフトウェア:定期更新 ▌緊急性が低い脆弱性も確実に潰すため、 毎月定期的にパッチを適用 ▌製品が依存している各種ライブラリも、 定期的に更新
  32. 32. ソフトウェア:強制アクセス制御 ▌強制アクセス制御とは: 明示的な許可のない動作以外禁止するOSの仕組み 例えば、許可されないファイルは絶対に開けない ▌ソフトウェアの未知の不具合に対して極めて有効 未知の不具合をつくゼロデイ攻撃を防止できる 侵入検知・防止システム(IDS/IPS)としても働く ▌インターネットから入るデータを扱うソフトウェアに対して 強制アクセス制御を適用している
  33. 33. ソフトウェア:外部 JavaScript の禁止 ▌外部 JavaScript の埋め込みは本質的に危険 代表例:Google Analytics 悪用されると、データを不正に操作可能 ▌インターネット接続の規制が厳しい会社ではブロックされる 製品が依存していると不具合になる 同様の理由で CDN も使いずらい ▌ログインが必要なWebサイトでは一切埋め込みを禁止
  34. 34. 人:内部犯行の特徴 ▌内部不正者のタイプ ▌期待できる対策への回答 タイプ 割合 一般従業員 85% 財務・会計スタッフ 22% 経営幹部・上級管理職 11% ヘルプデスク 4% システム管理者 3% ソフトウェア開発者 2% 不明・その他 2% 出典:IPA 「組織内部者の不正行為によるインシデント調査」報告書 対策 割合 操作の証拠が残る 54.2% アクセスが監視される 37.5% 同僚が処罰されたことがある 36.2% IDやパスワードの厳格管理 31.6% 罰則規定の強化 31.4% 管理者以外の操作が不能 29.2% … …
  35. 35. 人:アクセス権限の最小化 ▌データセンターへのアクセスはごく少数の正社員のみ ▌サポート用の権限も細分化して必要最小限を付与 「試用期限の延長のみ」など
  36. 36. 人:全操作履歴の保存 ▌オペレーターの操作はすべて記録・保存 内部犯行以外でも、オペミスの確認などに活用 注:イメージです
  37. 37. 監査:外部業者による定期セキュリティ監査 ▌サイバーディフェンス研究所様に 定期的に製品・ネットワークのセ キュリティ検査を依頼 出典:https://www.cyberdefense.jp/client/cybozu.html
  38. 38. 監査:ISMS 認証 ▌ISMS (ISO/IEC 27001:2013) 認証を取得 ▌毎年、認証機関の監査あり 出典:http://www.isms.jipdec.or.jp/lst/ind/CR_IS_x0020_577142.html
  39. 39. 監査:情報公開 ▌詳細な情報を Web で公開 https://www.cybozu.com/jp/productsecurity/ ▌コンテンツ  脆弱性情報  セキュリティチェックシート  第三者監査結果
  40. 40. お客様に お勧めする対策
  41. 41. 製品機能:サブドメインとログイン画面 ▌お客様毎に異なるサブドメイン Same-Origin-Policy IPアドレス制限 ログイン画面のカスタマイズ ▌ログイン画面 画像・会社名を変更可能 フィッシングサイト対策にどうぞ
  42. 42. 製品機能:ストアでできる設定
  43. 43. 製品機能:ストアでできる設定 ▌IPアドレス制限 特定のIPアドレス以外からのアクセスを禁止 BASIC認証やセキュアアクセスと組み合わせ可能 ▌Basic認証 全ユーザーで共通するパスワードを設定 退職者がでる都度変更するべき ▌セキュアアクセス(有償オプション) ユーザーごとのクライアント証明書を発行 いつでも失効・再発行可能なので運用が楽
  44. 44. 製品機能:パスワードポリシーとアカウントロックアウト ▌お勧め設定 パスワードは10文字以上 16文字以上なら一層安心 アカウントロックアウトを有効に ロックアウト解除は15分 ▌パスワードの使いまわしは厳禁!
  45. 45. 製品機能:監査ログ ▌重要レベルのログをメール送信 アカウントロックアウト等にいち 早く気づける ▌ログが多い場合、書き出し形式を XLSX から CSV (UTF-8)に Excel で開けないので…
  46. 46. まとめ
  47. 47. まとめ ▌クラウドシステムには様々なセキュリティリスクがある アカウント乗っ取り、盗聴、ウィルス、DDoS、etc. ▌cybozu.com では原則と基本方針を定めて対策している 方針に基づき、各種対策を導入 完璧なセキュリティは存在しないと考え、日々改善 ▌お客様が設定可能なセキュリティオプション サブドメインのアクセス制御 ユーザーのパスワード管理
  48. 48. 再掲:原則と方針 ▌原則 インシデントは必ず発生する インシデント対策の目的は、 被害の最小化 リスクは変動する ▌方針 インシデントの発生を前提に備える システムにアクセスできる 人と権限を最小化する 常に情報を収集し、対策を更新する
  49. 49. 質疑応答

×