ここ何年か、Dropbox、Evernote、サイボウズLive、Facebook、LINEなど、こういったサービスを使わない日はありません。どこの国にいても誰とでもファイル共有はできるし、情報共有もできる。仕事がとても捗っています。 「クラウド」と一括りで呼ばれるこれらは、インターネットの向こう側にあるネットワークやサーバー、ストレージ、アプリケーションなどのサービスを提供してもらい、リソースを共有するサービスです。 便利な一面ばかりが取り上げられますが、セキュリティは大丈夫なのでしょうか。私の預けた情報は見られてないの？ファイルが盗まれたりしてないの？など、心配になりませんか？ 実はクラウドはセキュリティ的には○○を共有するサービスなのです。○○を知ることで、セキュリティを保ちながら、便利に使いこなしましょう。

1. クラウドは
○○を共有するサービス
第32回WebSig会議
「便利さと、怖さと、心強さと∼戦う会社のための
社内セキュリティ2013年のスタンダードとは!?」
2013/3/9
株式会社トライコーダ 上野宣
(C)2013 Tricorder Co. Ltd. 1

2. 上野 宣（うえの せん）
• 株式会社トライコーダ 代表取締役
– 奈良先端科学技術大学院大学で情報セキュリティを専攻の後、eコマー
ス開発ベンチャーで上場などを経て株式会社トライコーダを設立
– 主な事業は情報セキュリティ教育、脆弱性診断、コンサルティング
– 独立行政法人 情報処理推進機構(IPA) 研究員
– 情報セキュリティ専門誌 ScanNetSecurity 編集長
– OWASP Japan 代表
主な著書・連載など
– 今夜わかるTCP/IP、今夜わかるHTTP
めんどうくさいWebセキュリティ、他多数
– ＠IT、HackerJapanなどで連載中
(C)2013 Tricorder Co. Ltd. 2

3. クラウドは
○○を共有
TOPIC
クラウドを
安全に使うには
クラウドにおける
脅威を知ろう
まとめ
(C)2013 Tricorder Co. Ltd. 3

4. クラウドはリソースの共有
• インフラ
• ハードウェア
• ストレージ
• ソフトウェア etc...
• メリットはスケーラビリティ、柔軟性、従
量課金、リソースのセルフプロビジョニン
グなど
(C)2013 Tricorder Co. Ltd. 4

5. 生産性を高めるツールは
みんな使いたい
• Dropbox、Evernote、サイボウズLive、
Googleドキュメントなど
• Facebook、LINE、Skypeなど
• スマホ、タブレットなど
• より安く、より便利に！
(C)2013 Tricorder Co. Ltd. 5

6. セキュリティはトレードオフ
• コスト
• 利便性
• リスク
• コストが安くなって、便利になると？
【トレードオフ】 trade-off
何かを求めれば、何かを犠牲にする二律背反の関係
(C)2013 Tricorder Co. Ltd. 6

7. セキュリティ的にクラウドは
○○を共有するサービス
• ○○＝リスク
• クラウドサービス事業者とのリスク共有
• セキュリティにおけるリスク
– 危険に遭う可能性、損をする可能性
– 経済のリスクと違い不確実性ではない
(C)2013 Tricorder Co. Ltd. 7

8. クラウドは
○○を共有
TOPIC
クラウドを
安全に使うには
クラウドにおける
脅威を知ろう
まとめ
(C)2013 Tricorder Co. Ltd. 8

9. クラウドにおける脅威
1. 第三者の存在
2. 手が届かない
3. 法的な問題
(C)2013 Tricorder Co. Ltd. 9

10. クラウドにおける脅威
１．第三者の存在
• サービス事業者という第三者からサービ
スを受けている
– データの所有者は誰？
– サービスレベルは？
– 重要情報が漏えいした際の責任は？
– クラウド事業者が倒産したら？
– 管理者はいい人？
(C)2013 Tricorder Co. Ltd. 10

11. クラウドにおける脅威
1. 第三者の存在
2. 手が届かない
3. 法的な問題
(C)2013 Tricorder Co. Ltd. 11

12. クラウドにおける脅威
２．手が届かない
• 「場所」という特性がない
– ネットワークセキュリティの問題
– 漏えい、改ざん、可用性
– 仮想化技術による問題も
(C)2013 Tricorder Co. Ltd. 12

13. クラウドにおける脅威
1. 第三者の存在
2. 手が届かない
3. 法的な問題
(C)2013 Tricorder Co. Ltd. 13

14. クラウドにおける脅威
３．法的な問題
• データはどこの国にあるのか？
– データの物理的な所在地の法律が影響
– データ保護、プライバシー
– 開示義務、国家保安
(C)2013 Tricorder Co. Ltd. 14

15. クラウドは
○○を共有
TOPIC
クラウドを
安全に使うには
クラウドにおける
脅威を知ろう
まとめ
(C)2013 Tricorder Co. Ltd. 15

16. 安全に使うには
• ユーザーの注意深さだけではセキュリティ
の確保はできない
• 自動化 が必要
(C)2013 Tricorder Co. Ltd. 16

17. 安全に使うには
1. サービスを知る
2. 技術的な対策をする
3. 法的なことを知る
(C)2013 Tricorder Co. Ltd. 17

18. 安全に使うには
１．サービスを知る
• サービス事業者は誰か？
• サービスの質は？
• そんなの知らないし、信用できるかもわ
からない
• リスクを緩和しなければならない
– まずはどんなリスクがあるかを知っておく必
要がある
(C)2013 Tricorder Co. Ltd. 18

19. リスクを緩和する戦略 (1)
• リスク前提
– 潜在的なリスクを受け入れて運用を続ける
– リスクを低下させて許容範囲内に納める
• リスクの回避
– 機能の一部をあきらめる
– システムを停止する
• リスクの限定
– 影響を一定レベルに抑制する手段を実装する
– インシデントの検知、サポート体制を整えるなど
(C)2013 Tricorder Co. Ltd. 19

20. リスクを緩和する戦略 (2)
• リスク計画
– 優先順位、実装状況などリスク緩和プランを策定
してリスク管理を行う（事前合意を得ておく）
• 調査と事実認定
– 脆弱性や欠陥の存在を認め、修正する手段を調査
し、損失リスクを低く抑える
– アップデートや脆弱性の修正
• リスクの委譲
– 保険に加入、損失を補うことができる他のオプ
ション（資産を増やすなど）
(C)2013 Tricorder Co. Ltd. 20

21. ちなみに、
セキュリティ研究者の仕事は
• コストが安くなって、便利になっても、セ
キュリティを保つようにすること
• トレードオフの関係性を小さくすること
(C)2013 Tricorder Co. Ltd. 21

22. 安全に使うには
1. サービスを知る
2. 技術的な対策をする
3. 法的なことを知る
(C)2013 Tricorder Co. Ltd. 22

23. 安全に使うには
２．技術的な対策をする
• 実は従来からの技術的手法と同様
– 第三者にデータを預けるときと同様
– 暗号化、鍵管理、認証、データの分離
(C)2013 Tricorder Co. Ltd. 23

24. 個人レベルの対策も必須
• パスワード管理
– 他のサービスと使い回しをしない
• 漏えいしたパスワードによる攻撃が流行っている
– 長い文字列(8文字以上)、推測しにくいもの
• 事業者がパスワードをどう扱っているかわからない
– パスワード管理ツールの利用なども
• パスワード管理を自分のリスクに
• マスターパスワード管理にコストを掛ける
• マルチプラットフォームのアプリも(KeePassとか)
(C)2013 Tricorder Co. Ltd. 24

25. 個人レベルの対策も必須
• 暗号化
– 暗号化した仮想ディスク
• TrueCrypt、PGP Diskなど
– アプリケーションによる暗号化
• PDF、オフィスソフトのパスワード
• パスワード付きZIP
– サービスが提供する暗号化機能
• Evernoteのテキスト暗号化
• できれば自動的に暗号化される仕組みを
– 手動の暗号化は忘れる
(C)2013 Tricorder Co. Ltd. 25

26. サービス事業者の対策も必須
• Googleは2011年と比較してアカウントハ
イジャックを99.7%減
– 120の変数によるリスク分析
• 新たな国からのサインインなど
– 二要素認証
• 携帯電話番号、SMS、第2メールアドレス
– 秘密の質問
Official Blog: An update on our war against account hijackers
http://googleblog.blogspot.ch/2013/02/an-update-on-our-war-against-account.html
(C)2013 Tricorder Co. Ltd. 26

27. 秘密の質問は秘密なのか？
• 登録済みメールアドレス に送信するため
の認証として使う
– 秘密の質問の答えは秘密情報ではないことも
– メール受信にはPOPの認証があるので、攻撃
者が秘密の質問に答えても読むのは困難
– メールを読めること が本人確認
– 秘密の質問に答えるだけで、パスワードが変
更されたり、表示されるのはダメ
(C)2013 Tricorder Co. Ltd. 27

28. 流行りのセキュリティ対策
• パスワードのハッシュ化＋salt（＋スト
レッチング）
• 二要素認証、二段階認証
• 全面HTTPS化
(C)2013 Tricorder Co. Ltd. 28

29. Evernoteのパスワード変更しまし
たか？
• 2013年3月3日ユーザー情報漏えい
• 全ユーザーのパスワード強制リセット
http://blog.evernote.com/jp/2013/03/03/12428
(C)2013 Tricorder Co. Ltd. 29

30. Evernoteから漏えいした情報
• メールアドレス、ID
• MD5ハッシュ＋salt
• MD5ハッシュ+salt と SHA-1(saltなし)
だったら、どっちがいい？
(C)2013 Tricorder Co. Ltd. 30

31. 暗号化されたパスワードの解読
レインボーテーブル
レインボーテーブルからハッシュ値を検索して平文を導き出す
平文 ハッシュ値（MD5）
a 0cc175b9c0f1b6a831c399e269772661
b 92eb5ffee6ae2fec3ad71c777531578f
...
aa 4124bc0a9335c27f086f24ba207a4912
...
abc 900150983cd24fb0d6963f7d28e17f72
...
レインボーテーブル：あらかじめ用意しておいた平文とハッシュ値の対応表
(C)2013 Tricorder Co. Ltd. 31

32. 安全に使うには
1. サービスを知る
2. 技術的な対策をする
3. 法的なことを知る
(C)2013 Tricorder Co. Ltd. 32

33. 安全に使うには
３．法的なことを知る
• 契約条件、サービスレベルアグリーメント
(SLA)を知る
• データの独立性
• データのアクセスに対する規定
– クラウド事業者従業員からのアクセス
• データの所有権
• 法的遵守事項
• 円滑な契約終了がなされるか
– データの消去
(C)2013 Tricorder Co. Ltd. 33

34. クラウドは
○○を共有
TOPIC
クラウドを
安全に使うには
クラウドにおける
脅威を知ろう
まとめ
(C)2013 Tricorder Co. Ltd. 34

35. 安全に使うためのポイント
• クラウドはリスクを共有するサービス
– 第三者のサービスだと知る
• リスクの緩和戦略を立てよう
– もし、そのデータが漏えいしたらどうする？
– 自分でできる技術的な対策
• パスワード管理
• 暗号化、自動的にできるものがいい
(C)2013 Tricorder Co. Ltd. 35

36. ご清聴
ありがとう
ございました
Thank you!
(C)2013 Tricorder Co. Ltd. 36

37. OWASP Japan
Local Chapter Mtg. 5th
• 2013年3月14日(木) 19時∼
• http://atnd.org/events/37631
【上野宣】ウェブアプリケーションリスクドキュメ
ント「OWASP Top Ten」RC1 2013版レビュー
【Paul Scott (OWASP Houston)】 超訳「Cloud
時代のさまざまなスタイルのWAFのはなし」
【福本・岡田・ほか】OWASP Global AppSec
2013より、アツい(?) ウェブセキュリティトピック
サマリー (C)2013 Tricorder Co. Ltd. 37