cybozu.com conference 2015 講演資料

1. 正しく恐れるクラウドのセキュリティ
サイボウズ株式会社
執行役員 運用本部長
山本泰宇

2. 自己紹介
▌サイボウズでの経歴
2005年 ガルーン２開発責任者
2006年 開発本部長
2008年 最高技術責任者
2010年 cybozu.com 開発責任者
2014年 運用本部長（現任）
▌運用本部
社内の情報システムを管理する情報システム部と、
自社クラウドサービスを管理するサービス運用部からなる組織

3. 内容
▌近年のセキュリティ事件
▌脅威はどこにあるか
▌対策の基本方針
▌具体的な対策
サイボウズが実施する対策
お客様にお勧めする対策
▌まとめ
▌質疑応答

4. 近年の
セキュリティ事件

5. アカウント乗っ取り事件の多発
▌Line, Twitter, Facebook 等々のア
カウント乗っ取りが多発
▌複数のサービスで共通のパスワードを
使っているユーザーが狙われる
「Stop! パスワード使いまわし」
https://www.jpcert.or.jp/pr/2014/pr140004.html
▌対策として、各社で二要素認証の実
装が進んだ
出典：http://matome.naver.jp/odai/2140265486676813001

6. サービスデスクにソーシャルエンジニアリング
▌2012年8月
▌Apple と Amazon に電話をか
けてアカウント乗っ取りに必要な情
報を入手
▌サービスデスクの管理システムに
目をつけたもの
出典：http://fladdict.net/blog/2012/08/icloud-hack.html

7. エドワード・スノーデン事件
▌2013年６月
▌アメリカ国家安全保障局の機密
情報が大量流出
▌関係者による内部犯行
▌データセンター間専用線の盗聴
等も明らかになった
出典：http://www.afpbb.com/articles/-/2950073?pid=10897395

8. 年金機構からの大規模流出
▌2015年5月
▌125万件の個人情報が流出
▌ウィルス付きメールを開封
▌対応が遅れて被害が拡大
事前のルール整備が重要
出典：Wikipedia

9. SSL/TLS への相次ぐ攻撃
▌2011年9月 BEAST攻撃
▌2012年9月 CRIME攻撃
▌2014年9月 POODLE攻撃 (SSLv3 廃止)
▌2015年2月 RC4利用禁止 (RFC7465)
▌2015年10月 SHA-1 Freestart Collision
▌…
▌SSL/TLS を常に最新のものに
アップデートする体制が必要
出典：https://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html

10. 基盤ソフトウェアの脆弱性
▌2014年4月 Struts
任意コード実行
▌2014年4月 OpenSSL
▌2014年9月 Bash
ShellShock
▌ゼロデイが相次いだ
脆弱性の改修方法が明確で
ない状態で攻撃される状況
▌Heartbleed は対策が遅れた
企業で情報流出の被害
公表が 4月7日
攻撃が 4月11日
▌対応できないサイトの一時閉鎖
というケースもあった
出典：http://heartbleed.com/

11. ascii.jp への DDoS 攻撃
▌2015年10月
▌Anonymous による DDoS
▌６日以上の期間アクセス不能
▌ASCII が狙われた理由が不明
出典：http://japanese.engadget.com/2015/10/22/ascii-jp-ddos-anonymous-it-ascii-jp/
出典：http://it.srad.jp/comments.pl?sid=670583&cid=2907221

12. 脅威はどこにあるか

13. cybozu.com リスクマップ
サービスデスク
クラウド
オペレーター
サイボウズ株式会社
インターネット
cybozu.com データセンター
専用線網
お客様
ソーシャルエンジニアリング
盗聴
ウィルスメール DDoS
内部犯行
盗聴
窃盗
ゼロデイ

14. 分析
▌攻撃経路
インターネット
専用線
サポートデスク（電話）
内部犯行・侵入
ユーザーサイド
▌すべての経路に攻撃の可能性はある
アクセスしやすい経路への攻撃は、種類・回数が多い
アクセスしにくい経路だからといって、攻撃されないわけではない

15. 対策の基本方針

16. 原則
▌インシデントは必ず発生する
ゼロデイ攻撃や DDoS の完全防御は困難
▌インシデント対策の目的は、被害の最小化
発生の予防、頻度の低下
発生時の早期検出、被害最小化
▌リスクは変動する
SHA-1 の危殆化等、外部環境の変化でリスクも変わる
常に情報を収集し、対策し続ける体制が必要

17. 方針
▌インシデントの発生を前提に備える
CSIRT (Computer Security Incident Response Team)
侵入検知・防止システムや全操作履歴の保管
▌システムにアクセスできる人と権限を最小化する
多くの人がかかわるほど脆弱になる
プログラムにも必要以上の権限を与えない
▌常に情報を収集し、対策を更新する
新たな攻撃手法やゼロデイ脆弱性を日々監視
自社だけでなく、他社や善意の第三者と協力して対応

18. 原則と方針
▌原則
インシデントは必ず発生する
インシデント対策の目的は、
被害の最小化
リスクは変動する
▌方針
インシデントの発生を前提に備える
システムにアクセスできる
人と権限を最小化する
常に情報を収集し、対策を更新する

19. サイボウズのセキュリティ体制
セキュリティ研究者
日本シーサート協議会
IPA・JPCERT/CC
セキュリティ監査会社
Cy-SIRT 事務局
ISMS 事務局
(内部統制)
セキュリティ委員会
運用本部
開発本部
Cy-SIRT
(CSIRT)

20. 具体的な対策

21. 対策カテゴリー
物理対策 ネットワーク対策
ソフトウェア対策 人的対策
監査 製品機能

22. 物理：データセンター
▌FISC（金融情報システムセンター）
安全対策基準に準拠
▌設備
生体認証
マントラップ
監視カメラ
…
出典：http://itpro.nikkeibp.co.jp/atcl/column/14/346926/072200305/

23. 物理：サイボウズオフィス
▌重要操作をする要員・端末を物理的に隔離
▌ネットワークも専用のものを用意
▌重要ゾーンは監視カメラで２４時間監視・記録
▌重要ゾーンは写真撮影不可

24. 物理：ストレージ暗号化
▌HDDには暗号化したデータを保存
aes-xts-plain64 + 512bit 鍵
▌サーバーやHDDを盗んでも、データの解読は不可能
▌ストレージ暗号化は順次展開中
2017年中には完了を予定
それまではHDDを物理破壊して廃棄

25. ネットワーク：インターネットからの隔離
▌重要業務端末はインターネットから隔離
Web はもちろん、メールも届かない
他の社内ネットワークからも切り離された
独立ネットワーク
オペレーターはインターネット用端末と
重要業務端末を使い分け

26. ネットワーク：SSL/TLS
▌Qualys SSL Labs A+
(最高評価)
▌最新のSSL/TLS技術を追求
 HTTP Strict Transport Security
(HSTS)
 Perfect Forward Secrecy (PFS)
 SHA-2 証明書
 …
出典：https://www.ssllabs.com/

27. ネットワーク：拠点間専用線の暗号化
▌通信データを IPSec で暗号化
▌専用線の盗聴を防止

28. ネットワーク：DDoS 防御
▌完全な DDoS 対策は困難
目をつけられないようにするのが一番という噂も…
▌バックボーン業者と連携して DDoS 防御機構を用意
一定の効果を期待

29. ネットワーク：ファイアウォール/WAF
▌通常のファイアウォールに加え、
HTTPトラフィックをモニタして攻撃をブロック可能
（Web Application Firewall / WAF）
▌自社製 L7 ロードバランサーにてルール追加
▌Struts の脆弱性対応時に活用

30. ソフトウェア：緊急更新
▌毎日脆弱性・ゼロデイ情報を確認
JPCERT/CC 等数多くの情報ソースを参照
▌緊急性の高い脆弱性の場合、即座にシステムを更新
ベンダのパッチが間に合わない場合、
独自にパッチを展開する体制を整備
アプライアンスサーバー等のブラックボックスはほとんどない
▌実績
OpenSSL Heartbleed は認知から２時間半で対応完了
Struts も認知から２時間半で前述の暫定対応
その後も新たな攻撃パターンがでるたびに即時更新

31. ソフトウェア：定期更新
▌緊急性が低い脆弱性も確実に潰すため、
毎月定期的にパッチを適用
▌製品が依存している各種ライブラリも、
定期的に更新

32. ソフトウェア：強制アクセス制御
▌強制アクセス制御とは：
明示的な許可のない動作以外禁止するOSの仕組み
例えば、許可されないファイルは絶対に開けない
▌ソフトウェアの未知の不具合に対して極めて有効
未知の不具合をつくゼロデイ攻撃を防止できる
侵入検知・防止システム（IDS/IPS）としても働く
▌インターネットから入るデータを扱うソフトウェアに対して
強制アクセス制御を適用している

33. ソフトウェア：外部 JavaScript の禁止
▌外部 JavaScript の埋め込みは本質的に危険
代表例：Google Analytics
悪用されると、データを不正に操作可能
▌インターネット接続の規制が厳しい会社ではブロックされる
製品が依存していると不具合になる
同様の理由で CDN も使いずらい
▌ログインが必要なWebサイトでは一切埋め込みを禁止

34. 人：内部犯行の特徴
▌内部不正者のタイプ ▌期待できる対策への回答
タイプ 割合
一般従業員 85%
財務・会計スタッフ 22%
経営幹部・上級管理職 11%
ヘルプデスク 4%
システム管理者 3%
ソフトウェア開発者 2%
不明・その他 2%
出典：IPA 「組織内部者の不正行為によるインシデント調査」報告書
対策 割合
操作の証拠が残る 54.2%
アクセスが監視される 37.5%
同僚が処罰されたことがある 36.2%
IDやパスワードの厳格管理 31.6%
罰則規定の強化 31.4%
管理者以外の操作が不能 29.2%
… …

35. 人：アクセス権限の最小化
▌データセンターへのアクセスはごく少数の正社員のみ
▌サポート用の権限も細分化して必要最小限を付与
「試用期限の延長のみ」など

36. 人：全操作履歴の保存
▌オペレーターの操作はすべて記録・保存
内部犯行以外でも、オペミスの確認などに活用
注：イメージです

37. 監査：外部業者による定期セキュリティ監査
▌サイバーディフェンス研究所様に
定期的に製品・ネットワークのセ
キュリティ検査を依頼
出典：https://www.cyberdefense.jp/client/cybozu.html

38. 監査：ISMS 認証
▌ISMS (ISO/IEC
27001:2013) 認証を取得
▌毎年、認証機関の監査あり
出典：http://www.isms.jipdec.or.jp/lst/ind/CR_IS_x0020_577142.html

39. 監査：情報公開
▌詳細な情報を Web で公開
https://www.cybozu.com/jp/productsecurity/
▌コンテンツ
 脆弱性情報
 セキュリティチェックシート
 第三者監査結果

40. お客様に
お勧めする対策

41. 製品機能：サブドメインとログイン画面
▌お客様毎に異なるサブドメイン
Same-Origin-Policy
IPアドレス制限
ログイン画面のカスタマイズ
▌ログイン画面
画像・会社名を変更可能
フィッシングサイト対策にどうぞ

42. 製品機能：ストアでできる設定

43. 製品機能：ストアでできる設定
▌IPアドレス制限
特定のIPアドレス以外からのアクセスを禁止
BASIC認証やセキュアアクセスと組み合わせ可能
▌Basic認証
全ユーザーで共通するパスワードを設定
退職者がでる都度変更するべき
▌セキュアアクセス（有償オプション）
ユーザーごとのクライアント証明書を発行
いつでも失効・再発行可能なので運用が楽

44. 製品機能：パスワードポリシーとアカウントロックアウト
▌お勧め設定
パスワードは10文字以上
16文字以上なら一層安心
アカウントロックアウトを有効に
ロックアウト解除は15分
▌パスワードの使いまわしは厳禁！

45. 製品機能：監査ログ
▌重要レベルのログをメール送信
アカウントロックアウト等にいち
早く気づける
▌ログが多い場合、書き出し形式を
XLSX から CSV (UTF-8)に
Excel で開けないので…

46. まとめ

47. まとめ
▌クラウドシステムには様々なセキュリティリスクがある
アカウント乗っ取り、盗聴、ウィルス、DDoS、etc.
▌cybozu.com では原則と基本方針を定めて対策している
方針に基づき、各種対策を導入
完璧なセキュリティは存在しないと考え、日々改善
▌お客様が設定可能なセキュリティオプション
サブドメインのアクセス制御
ユーザーのパスワード管理

48. 再掲：原則と方針
▌原則
インシデントは必ず発生する
インシデント対策の目的は、
被害の最小化
リスクは変動する
▌方針
インシデントの発生を前提に備える
システムにアクセスできる
人と権限を最小化する
常に情報を収集し、対策を更新する

49. 質疑応答