10 年にわたる精力的なセキュリティ研究と、数年にわたるリスク管理者としての経験を通じて、カールステン・ノールは情報セキュリティに関する議論を進める中で、もっといい結果が残せたのではないかと考えるようになった。 世間では、非の打ち所のない IT セキュリティ対策を講じることが、企業の規模に依らずその企業にとって最も重要なものであると確信されている。我々はシステムの可用性やブランドに対する高評価を確保するため、詐欺行為を回避するため、そして情報の機密性を保持するためにセキュリティを必要としている。 浅はかな考えで採用された防御策は、生産性、イノベーションの可能性、そして組織の幸福度にすら、それぞれ大きな外部性を持つ。行き過ぎたセキュリティ対策は、不充分なセキュリティ対策よりも悪いものなのだろうか？ 今回の講演では、現代のセキュリティの研究での様々な実例を通じて、セキュリティとイノベーションの間に発生するドレードオフの関係について取り扱う。講演では、いくつかのハッキングの研究は、多くの人に最善にセキュリティを提供することによって、および、脅威を広く広め過ぎることによって、非生産的であることへの気づきを提供する。 --- カールステン・ノールKarsten Nohl カールステン・ノールは 2006 年からセキュリティレベルの格差について幅広く講演している。彼は共同研究者と共に、モバイル通信や支払いに利用されるような世間で幅広く使用されている情報基盤における欠陥を発見してきた。アジアの 4G とデジタルサービスのプロバイダ、ベルリンの Security Research Labs の主任研究員、新たな IT 脅威の分析に特化したリスクマネジメントのシンクタンクにおける業務を通じて、カールステンは顧客の独自システムのセキュリティ評価に取り組み、セキュリティとイノベーションの間で発生するトレードオフの関係に強い興味を抱くようになった。ラインラントからあまり遠くないハイデルベルグで電気工学を学び、2008 年にヴァージニア大学で博士号を修めた。

1. SRLabs Template v12
セキュリティはどれくらいが適量か？
Dr. Karsten Nohl <nohl@srlabs.de>

2. この講演で得られること
2
1. セキュリティ研究者と実践者からどの防御が
効果的で不必要なものは何かを学べる
2. セキュリティとイノベーションの間で発生する
トレードオフのより深い理解
3. 効果的なセキュリティ対策(完璧にはならな
いが)の展開方法のアイディア

3. 3
vs.
セキュリティ
のプロは
自分のことを
どのように
見ているのか

4. 4
製品のセキュリティ 情報セキュリティ
顧客へのハッキングリスク
を取り除く
あなたのシステムをハッキ
ングから守る
セキュリティはどれくらいが適量か？
について2種類の範囲での質問をします。
A B

5. アジェンダ
5
1 セキュリティ研究者* は極端な立場
を取る
2 多くの企業は 極端な立場のみに反応する
3 セキュリティコミュニティはリスクではなく脆弱性と戦って
いる
情報セキュリティ
製品のセキュリティ
* メディアで報道されているとおり
A
B

6. iOSセキュリティにとってはひどい年でしょ？
6
ペガサス
マルウェア
FBIの
ハードウェア
ハッキング
世界の86%以上のiPhoneがテキストだけ
でハッキングされ得る
FBIはiPhoneをクラックする
のに130万ドルを使った
－このハッカーはたった
100ドルだ

7. あなたのiPhoneがハッキングされることはそうない
7
- 10億の iOS デバイス
が脆弱な可能性
+ たったひとつだけ (!)
感染が確認された
+ Appleは10日でパッ
チを提供した
- 現在ハッキングは公
的には低価格で利用
可能である
+ ハードウェアアクセス
のみで可能
+ 最も古い22% の
iPhonesに対してのみ
有効 (5c以前, 2016
年 3月)
Source for graph: http://info.localytics.com/blog/how-will-apples-newest-iphone-impact-mobile-engagement
ペガサス
マルウェア
FBIの
ハードウェア
ハッキング

8. アジェンダ
8
1 セキュリティ研究者は極端な立場を取る
2 多くの企業は 極端な立場のみに反
応する
3 セキュリティコミュニティはリスクではなく脆弱性と戦って
いる
製品のセキュリティ
A

9. 9
すべてのAndroid デバイス (%)
18
3527
20
Android 6 5 4.4 4.3 ( および、その他)
vs.
ハッキングされたデバイス (%)
1 7
50
42~2%
ハッキン
グされた
ハッキン
グされて
いない
いくつかのAndroidがハッキングされている; それは時代遅れ
Source: developer.android.com/about/dashboards/index.html , https://blog.checkpoint.com/wp-content/uploads/2016/07/HummingBad-Research-report_FINAL-62916.pdf,

10. 10
iOSの感染率 Android の感染率 Windows の感染率
<0.1%
~2%
(<0.2% アップデートされているデバイス) 20-40%
モバイルは本当にセキュリティの一番の関心事になるだろうか

11. 11
実例
vs.
典型的な企業のセキュリティ優先度
1. iOS のセキュリティソフトを購入
する
2. Android デバイスを禁止する
…
10. Windowsセキュリティに関して
創造的ではない何かをする。
例えば、アンチウイルスソフト
をアップグレードするなど
実際のエンドポイントのインシデント
1. Windows
2. Windows
3. ソーシャルエンジニアリング
4. Windows
…
100.Android
企業のセキュリティの優先度は
実際のインシデント順になっていない

12. アジェンダ
12
1 セキュリティ研究者は極端な立場を取る
2 多くの企業は 極端な立場のみに反応する
3 セキュリティコミュニティはリスクでは
なく脆弱性と戦っている
製品のセキュリティ
A

13. 13
標的型の
マルウェア
BadUSB
脆弱性 攻撃者の動機 被害 リスク
マルウェア
の問題を
解決する
前に、イン
ターネット
に接続され
ているコン
ピュータを
BadUSB
から守るこ
とに関して
悩まないで
ください
USBファームウェ
アからPCを感染
させる
ローカル攻撃の
伝播
(システム
による)
メールの添付フ
ァイルや悪意の
あるWebサイト
によりWindows
を感染させる
リモート感染 (システム
による)
低 中 高
最も対策の必要がありそうな脅威に時間を割くのが一番良い

14. 次の大きなハッキング分野:
車？
14
ハッカーは高速道路で遠隔操作
によりシープを止めることができ
る － 私が乗っている状態で
ジープをハックした者たちが再び現れ、自
動車ハッキングがさらに悪い結果をもた
らすことを証明した

15. セキュリティの警告は安全性を遅らせ、最終的には人を殺すかも
しれない
15
0
1
2
3
4
5
1970 1980 1990 2000 2010 2020
1億マイル毎の自動車事故による死者数 [米国]
エアバッグ
アダプティブクルーズコントロール
ABS
ESC(横滑り防止装置)
 車の構成要素すべてのハッキングリスクをテスト
していたら、導入を遅らせてしまう
 セキュリティデザインやテストによる3ヶ月はより多
くの人を路上で殺すことを意味する
 200,000 以上の人が今後10年間で亡くなる
自動運転?
Source: https://en.m.wikipedia.org/wiki/List_of_motor_vehicle_deaths_in_U.S._by_year

16. アジェンダ
16
1 みんながセキュリティルールを破る
(でも基本話題にしない)
2 人気のないセキュリティ制御は効果が少ない
さらに悪いことにイノベーションを妨げる
3 セキュリティ、もしくは仕事のためのイノベーションは
ユーザーに親切な解決策が必要
4
脅威のモニタリングはユーザーに親切
モチベーションや生産性、イノベーションそして、セキュ
リティを向上させる
製品のセキュリティ
情報セキュリティ
B
A

17. 行動を制限しようとする防御は容易に迂回されてしまう
17
通常の迂回
SkypeはトラフィックをWebプロキシ
を通じてトンネリングし、一定時間ご
とにサーバのアドレスを変える
通常の “防御” 実践
それ以外の全てをブロック
法人ユーザー
インターネット
✗
プロキシサーバを通じてWeb
ブラウジングの通信を通す

18. 大きなハッキングは『仕事をしなければいけない』人からの防御の
迂回によるものが多い
18
ハッキングの事例
ターゲットは3億の顧客のクレジット
カードデータを失った
根本的な原因
メンテナンスの目的で、ターゲットのネッ
トワークにトンネリングするリモートアク
セスツールを、業者がインストールした
ターゲットのCEOは巨大なデータ漏
洩を受けて辞任する

19. アジェンダ
19
1 みんながセキュリティルールを破る
2 人気のないセキュリティ制御は効果が少ない
更に悪いことにイノベーションを妨げる
3 セキュリティもしくは仕事のためのイノベーションは
ユーザーに親切な解決策が必要
4
脅威のモニタリングはユーザーに親切
モチベーションや生産性、イノベーションそして、セキュ
リティを向上させる
情報セキュリティ
B

20. 20

21. ケーススタディ – 典型的な エンタープライズ/SOAバスは古典的な
ネットワークセキュリティ技術を回避する
21
アプリレベルのハッキングを防止しない低いレイヤレベルの防御は図示さ
れていません: ファイアウォール、IPS、プロキシ、 SSL ゲートウェイ
サービス
バス
認証サーバ
重要な
データベース
ユーザーリクエストはバスの重要なサービスまで行くことが多い
外部と内部の
ユーザー
Web
アプリケーション
ファイアウォール
(管理がされてい
ない)
アプリケーション
サーバ
App
App

22. 多くの場合、行動を制限しようとする防御の迂回は全体的にプラスである
22
vs. 行動を制限するようなセキュリ
ティは何十億も失うことになる
 “10億を生むアイディア”
は革新的な技術で遊ん
でいる創造的な人から
育つ。それはセキュリテ
ィが目指すところとは正
反対
 Microsoftは自社のポリ
シーが許可しないであろ
う技術のスカイプを買収
するのに90億米国ドルを
支払った
 ドイツの“Datenschutz(デ
ータ・プライバシー)” 対
シリコンバレーの利益
トレードオフ機能 被害への弾性ができるまで投資をする=
漸進的な防御の努力を増やす
セキュリティは何百万ドルもの損失を救う
領域 インシデントの例 コスト
一年あたりの有効なコスト額
発生率
破壊的な
ダメージ
 Scadaのハッキングは工場に被害をも
たらす
10m
収入低下
 大きな政府の契約は終わらない 50m
イメージ へ
の衝撃
 ハッキングのインパクトを相殺するため
に大きな販売キャンペーンが必要
 小さなハッキングのインパクトを相殺す
るため小さい販売キャンペーンが必要
15m
1.5m
競争力への
ダメージ
 知的財産の盗難 (特許, 設計書)
 詳細な交渉の盗難 (M&A, 長期契約)
5m
2m
2%
1%
1%
10%
10%
10%
<2m
トレードオフ機能
イノベーションが実を結ぶこ
とができるレベルまで守る

23. 少なすぎや多すぎる防御はイノベーションを妨げる
23
被害
防御への努力
イノベーションの可能性
インシデントは
恐怖(不安)を広める
制限はイノベーション
の勢いを殺す
(Geißelung(むちうち),
Panik(パニック))

24. アジェンダ
24
1 みんながセキュリティルールを破る
2 人気のないセキュリティ制御は効果が少ない
更に悪いことにイノベーションを妨げる
3 セキュリティもしくは仕事のためのイノベーショ
ンは ユーザーに親切な解決策が必要
4
脅威のモニタリングはユーザーに親切
モチベーションや生産性、イノベーションそして、セキュ
リティを向上させる
情報セキュリティ
B

25. 多くの場合代替となる制限の少ない防御は存在する
25
 多くの複雑なパスワード
 Webプロキシのブロックリスト
 ユーザーへ管理者権限を与えない
 法人携帯 (Blackberrys)
 終わらないペネトレーションテスト
 セキュリティポリシー
 DLP
行動を制限する防御
 スマートフォンでのシングルサインオン
 SSL ターミネーション と モニタリング
 プロセスモニタリング
 ActiveSyncを使ったBYODとVPN
(もしくは可能であればAndroidは使わない)
 バグ報奨金プログラム
 啓発活動
 検知もしくは単純により多くの信頼を得る
イノベーションに親切な代替
制限の代替が存在しない場合、 綿密なリスクの
監視によってリスクが顕在化するまでは制限を
切ることが可能

26. アジェンダ
26
1 みんながセキュリティルールを破る
2 人気のないセキュリティ制御は効果が少ない
更に悪いことにイノベーションを妨げる
3 セキュリティもしくは仕事のためのイノベーションは
ユーザーに親切な解決策が必要
4
脅威のモニタリングはユーザーに親切
モチベーションや生産性、イノベーションそして、
セキュリティを向上させる
情報セキュリティ
B

27. 森 か 木か？ (セキュリティモニタリングは難しい！)
27

28. SOC の立ち上げはトップダウンでのみ早い結果を提供します
ボトムアップ –データから始まる トップダウン – 脅威から始まる
18 ヶ月 ユースケースによるが、日の単位
フォレンジックのようにインシ
デントを調査
一番関連のある脅威から
必要に応じた
ユースケースを作成
現在のユースケースに
必要なデータのみを収集
 より進んだユースケースを追加
 アラームを生成
 データに慣れ親しむ
 より多くのソースを統合
 できるだけのデータを収集
 シンプルなユースケースを作成
28
vs

29. まとめ
29
2
3
4
Questions?
Karsten Nohl <nohl@srlabs.de>
最大のリスク-コストのトレードオフは制限と
イノベーションの可能性の間にある
多くの場合、制限的な選択に代わってイノ
ベーションに親切な代替が存在する
リスクは監視し、管理しなければならない :
“全てから守る” はイノベーションを殺す, そ
れによって 守る対象そのものを殺してしま
う
1 私たちはハッカーの動機を忘れ、リスクで
はなく、脆弱性を追っている