Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

クラウド事業者のためのクラウドセキュリティ(公開用)

クラウド事業者のためのクラウド向けのセキュリティについて。

  • Login to see the comments

クラウド事業者のためのクラウドセキュリティ(公開用)

  1. 1. クラウド事業者のためのクラウド セキュリティ(公開用) ネットエージェント株式会社 杉浦 隆幸
  2. 2. 目次 • データ保存に関して • リスト型攻撃について • プライバシー • 脆弱性に対する対応
  3. 3. データ保存 • データをクラウドに保存 ↓ • データを盗まれる可能性 ↓ • データを悪用される可能性
  4. 4. クラウド上に価値のあるデータを置い ていて盗まれたケース • http://flexcoin.com/ • 896 BTC (約6000万円相当 2014/03/05時点) 盗まれた。事業停止。
  5. 5. 表から侵入されて会社更生法申請 • Mt. Gox • 750000 BTC = 500億円相当 盗まれた。 • サイトのソースコードや賃貸契約書なども流 出 ← 社長のPCに侵入された可能性大
  6. 6. 非公開スライド
  7. 7. 非公開スライド
  8. 8. クレジットカード番号 • カード番号・有効期限・名前・セキュリティコー ド – 漏れると問題になり決済が停止されるなど – これらを保存せずに実装したほうが良い • 知らないふりをしていても、クレジットカード会 社から問い合わせがある場合もあるので注 意
  9. 9. 個人情報 • ID、名前、メールアドレスなど • 漏れたら謝る必要がある • ユーザ数の減少につながる
  10. 10. パスワード • ハッシュ化していても弱い方法の場合は、容 易に高速に何割か解読される。 • ↓ • リスト型攻撃されるケースも有る – Torを使えば足がつかない
  11. 11. データを他のクラウド事業者のスト レージに保存 • Amazon S3 – S3用の機密性セキュリティ対策が必要 • アクセス制限 • データ暗号化(要キーの管理) • Amazon AWS上のシステム用のセキュリティ 対策 – リバースプロキシの弱点をつかれて(AWSのコン トロールを奪われたケースも)
  12. 12. データ保存に対する対策 • 脆弱性診断が有効 – やられる前にWebサイトの脆弱性を調べておくこ と。 – 対応にはコストがかかる – 多少の時間をかけて修正可能 • やられた後の対策では – 事業再開まで時間がかかり売上減少
  13. 13. リスト型攻撃 • メールアドレス=ID +パスワードの運用 – メールアドレスがIDとなっていると、ほかのサイト でも使いまわしているパスワードをつかっている ケースが多い。 • 漏洩した、ほかのサイトで入手したメールアド レス+パスワードでログインをトライ – ユーザが同じであった場合 高確率で成功する
  14. 14. リスト型攻撃 • 攻撃の特徴 – 同じIPアドレスから何度ももしくは一定回数ログイ ン試行しIPアドレスを変えてログイン試行 – Torからアクセス • 攻撃の価値 – Amazonギフト券に変換できる – 何かしらの現金化が可能
  15. 15. パスワード解析の速度 • SHA1ハッシュの解読速度は? – 27.333G c/s AMDの RADEON R2 290X GPU8枚刺 しの速度
  16. 16. パスワードのみではすでに守れない • 容易なパスワードはハッシュ化していてもあっ という間に解読される。 • ユーザにほかのサイトと同じパスワードにし ないとか求めても無理 • 複雑なパスワードを要求しても桁数が多すぎ て覚えてもらえない -> セキュアにするとサー ビスが使われなくなる。 • パスワードの強度は10年で約 1/100 になる。
  17. 17. 非公開スライド
  18. 18. リスト型攻撃対策 • リスト型攻撃の緩和策をWAFで実現 – 何度もログイン試行するIPアドレスをとめる • WAFやクラウドWAFで対応 – リスト型攻撃対応のWAFを導入する
  19. 19. OAuthに対応する • 認証は自前で持たない • ユーザ数 増 • 開発工数 減 • 自分で認証機能を持たない(コストダウン) • パスワードの責任や再発行を他に押し付けられる • 自前でIDを持たないデメリット – IDで紐付けた拡張がしにくくなる
  20. 20. プライバシー • 個人識別方法 – ブラウザ(ID+Pass->Cookie) – スマホ(Android_ID,IMEI,IMSI,ICCID,電話番 号,Google アカウント) スマホの場合はプライバシーポリシーも従来型で は対応できない。個人情報となっていない識別情 報などの取り扱いが必要とされ法改正される見込 み。
  21. 21. プライバシーポリシー • いままでは、事業者のポリシーのみで入力情 報やWebアクセス程度を想定。 • スマホの場合は、アプリごとにポリシーが必 要になってきている。 • 自動生成ツールもある
  22. 22. プライバシーポリシー自動生成 • http://www.kddilabs.jp/tech/public-tech/appgen.html
  23. 23. 総務省による スマートフォン・プライバシー・イニシアチブ • スマートフォン利用におけるプライバシーあり 方を提言
  24. 24. http://www.jssec.org/event/20140206/03-1_app_policy.pdf
  25. 25. 脆弱性に対する対応 • IPAからの脆弱性報告をどうするか? – 誰が報告しているのか? • 情報セキュリティ業界関係者 • 大学生 • その他
  26. 26. 非公開スライド
  27. 27. 無視する (コストが掛からない) • 外部からの侵入等は容易な状態が続く • 脆弱性のインパクトも理解できないままにな る • いつか大事件になる可能性もある
  28. 28. 利用する (コストがかかる) • 早期に脆弱性を修正する • 容易に入れる状態ではなくなっていく
  29. 29. 積極的に利用する(報奨金制度) • 米Yahoo $150~$15,000ドルの報奨金 • サイボウズ 期間限定 総額300万円 • mixi 期間限定 5~100万円 • Google $500~$20,000 • IPA 無料 • 相場的にXSSで5万円以上、DBが抜ける場合は 100万円ぐらい – $25を出していたら批判を受けた(米Yahoo)
  30. 30. 脆弱性情報買い取り企業に販売する といくら? 報奨金より高い事が多い

×