浜松商工会議所主催、 IPA(独立行政法人情報処理推進機構) による情報セキュリティセミナーが2012年1月25日、26日と二日に渡って開催され 受講した際の初日文のレポートを投稿したのが本ブログ昨日1月26日の記事 情報セキュリティセミナー~2011年度マネジメントコース入門編 になります。 本記事はその続編として26日の技術コース標準編についてマネジメントコース入門編と同様 テキストに添ったものと言うよりは情報セキュリティ専門家としての 臨場感溢れる講師の直接の発声の端々に顕現する現状をレポートします。
なお、本ブログには2010年度の情報セキュリティセミナーについて 稿を起こしておりますので興味のある方はご参考下さい。
- 情報セキュリティセミナー(2010年09月28日)
- 情報セキュリティセミナー(マネジメントコース入門編1)(2010年10月1日)
- 情報セキュリティセミナー(マネジメントコース入門編2)(2010年10月1日)
- 情報セキュリティセミナー(技術コース標準編1)(2010年10月2日)
- 情報セキュリティセミナー(技術コース標準編2)(2010年10月2日)
技術コース講義について
マネジメントコースでは技術面よりも人的な面に視点を置いてのレクチャーでしたが 勿論技術コース標準編では技術面に重点が置かれます。 対象とする受講者は中小企業などでセキュリティ管理に携わる方で 企業に於ける情報セキュリティの脅威及び技術面からの対策に関して理解を深めたい方とされています。 午前中はIPAに依り編成された 2011年版10大脅威 を中心に話が進められました。 10大脅威については2005年から続けて編成されており2011年度で7回目となります。 なお2011年度版の内容は以下の様になっています。
- 「人」が起こしてしまう情報漏洩
- 止まらない!Webサイトを経由した攻撃
- 定番ソフトウェアの脆弱性を狙った攻撃
- 狙われだしたスマートフォン
- 複数の攻撃を組み合わせた「新しいタイプの攻撃」
- セキュリティ対策不備がもたらすトラブル
- 携帯電話向けウェブサイトのセキュリティ
- 攻撃に気づけない標的型攻撃
- クラウドコンピューティングのセキュリティ
- ミニブログサービスやSNSの利用者を狙った攻撃
ビジネスに与える影響の変化
25日マネジメントコースにも言われたことでまたこれは昨今の常識でしょう。 従来とは比較にならないくらい情報セキュリティの於ける問題の発生が 営む事業に与える悪影響が大きくなって来ました。 昔の影響と言えば講師の喩えられたように 自社ポスターへの落書き程度の印象だった感があります。 今や情報漏洩、システム停止に因る機会損失、自社Webを通した利用者への直接被害、果ては恐喝迄、 耳にするのも恐ろしげな事態のオンパレードです。
従来は攻撃は悪戯程度のものや 攻撃者の本の気紛れに拠るものもが多くありました。 しかし現在は攻撃者は暦とした経済行為として 有態に言えば儲けが出るから、商売として攻撃を実施します。 そして攻撃方法は洗練され発見し難くなっている上に、 パッケージ化されてハッカー程にITに詳しくない人間にも実行可能なものとなって来ています。 こう見ると攻撃の性質は全く異なっていることが分かります。
攻撃にあらずともマネジメントコースにもあったように事業に著しい悪影響を齎す情報漏洩は 内部の管理ミスやご操作からも発生します。 外に内にと組織としては何処から手を付けていいものか迷ってしまいます。 内部的には講師の出された事例としてIBM社のものがあり、 ソーシャルメディアへの書き込みポリシーが明文化されていて効果を発揮しているとのことです。 本ブログにも
- ソーシャルメディアポリシーまたはガイドライン(2011年8月15日)
- ソーシャルメディアポリシー策定に苦労する各組織(2011年9月26日)
攻撃の性質の根本的変化
従来より知られるなかなか対応し難いDDoS攻撃などは現在も引き続き発生しますが、 近年攻撃も傾向の変ってきた様子が覗えるようです。 10大脅威には定番ソフトウェアの脆弱性を狙った攻撃と記されているものが相当し、 IT専門家よりは一般のPC利用者を、 OSよりは一般アプリケーションを、 狙うタイプの攻撃が増えているのは正しく経済原則に因るものでしょう。
従来狙われていたサーバーなどは近年だんだんとセキュリティー対策がなされて 攻撃者には狙い難いものとなってきており、情報搾取、攻撃の踏み台を達成した際の 費用対効果としては割の良いものではなくなって来ています。 さすれば対策の行き届かない方面を狙った方が効果的、得策と考えるのは理の当然でしょう。 なんとなれば攻撃者は従来の知的好奇心を満足させる割合の高いと思われるハッカーではなく、 経済原則に則った商売人が仕掛けるものとなって来ているからです。
ここ最近ではwebブラウザを狙った攻撃が多いとのことで注意が必要です。 特にマイクロソフト社のインターネットエクスプローラー、通称IEは 他のブラウザと異なりブラウズ以外の機能が多く、穴も生じ易いため狙い目となります。 総じて一般利用者にPCのアップデートを怠るケースが多いためこれも狙われる原因となります。
またIPAから提示されたデータには 脆弱性が発見されるのはAdobe製品
- Flash Player
- Acrobat Reader
- Acrobat
またデータとしてソフトウェアに於ける脆弱性発見件数が サーバーソフト(代表例IIS)よりアプリケーション(代表例Word)へ2000年代中盤を境に逆転しています。 2006年からはWordの件数が著しく伸びています。 これは以前はアプリケーションソフトが堅牢だったという意味ではなく 攻撃対象として浮かび上がってきた結果と言うことが出来るでしょう。
実装とデモ、技術的解説
10大脅威2位のWebサイトを通じた攻撃について 実際にWebアプリケーションを攻撃する実装を施したWebサイトを用いてデモが行われました。 先ずは直接的攻撃の代表たる2008年に流行した SQLインジェクション です。 次に間接的攻撃の代表たる クロスサイトスクリプティング が実際に講師のWebブラウザ上で再現されました。 矢張りこの部分は百聞は一見に如かず、 情報セキュリティセミナーへの来場が必要とされる処です。
上のデモ及び次項目に言及する2009年に流行したガンブラー、 これらが2010年、2011年も引き続き発生多発しているIPAデータも提示されます。 中にも特筆すべきは ディレクトリトラバーサル の割合が高いことでしょう。
上記の攻撃からWebアプリケーションを守るためのソフトウェアとして web application firewall(WAF) があります。 AppShield (Sanctum)など商用製品もありますがその効果は高いものの 数百万からの費用が掛かるとのお話しですので中小企業に於いては敷居が高いものとなり勝ちです。 費用的には掛からないオープンソースである mod_security(Apacheのモジュール)のようなソフトウェアもありますが 此方は専門的知識が必要となりますので決して導入は簡単ではありません。 中小企業などでは利用の際には 普段付き合いのあるHP制作会社等に依頼すれば良いでしょう。
ガンブラーで見る組織的対応
なかなか想像出来にくいこともあって いざ自社が情報セキュリティ事故にあってみれば 狼狽して何も出来なくなる、動きが取れなくなることが多いそうです。 従って事前に備えを怠り無くしておう必要があります。 具体的には対応体制•手順準備を確り用意しておくことです。 上にも出た2009年に大いに流行したガンブラーを考えることは 事件対応への様々な教訓を含んでいるので効果的とのことでレクチャーがなされました。情報セキュリティ事故への対応をインシデントレスポンスと称し重要な事案とされます。 組織的対応の事前準備なしでの実践は難しいことが説明されます。
例えばガンブラーとはウイルスではなく、ウィルスを感染させようとする一連の手口、 攻撃手法を意味し、これを取り違えるだけでインシデントレスポンスは無駄を産みます。 多くの事故では顧客への対応が大きな懸念事項となります。 時間を無駄には出来ません。 事故前後に於けるタイムライン、即ち起きたことを時系列で整理しておくことはその意味で重要です。 これが確り出来れば事故の範囲も或る程度絞られ、 お客さんに注意事項を警告出来、事後処理の難易度も或る程度下がるでしょう。
一旦事故が発生すれば、 知識の有る人意外が対象サーバーに手を出すことは控えるべきです。 Webサーバーを切り離して出来れば、講師の言われるには凍らしておきたいくらいのものだとのことです。 しかる後、専門家に依頼するべきで、 その専門家とはセキュリティーサービスベンダーであり、 ことに因っては然るべき設備を整えた警察となります。
事故の早期発見には日頃から検出に努めることが重要で 2010年度の同セミナーでも提示された iLogScanner の利用やファイルの差分を出してくれるツール(diff、DF、Windiff、HiWinDiff) の利用はお勧めであるとのことでした。
両講師の同じく言及される内容
25日、26日と二日に渡った情報セキュリティセミナーでは 講師は一日づつ異なる講師の方が担当されました。 共にIPAに籍を置かれる研究員の方ですので 両名が同様に言及される発言は非常に興味深いものがあります。 なんとなればセキュリティ専門家の間で共有される内容であるからです。
一つには 出口対策 があります。 いみじくも去年2010年度の講師の方も仰っていたのは 専門家としての己の保有するPCとてウィルスに感染していないとは言えない、なる発言がありました。 両講師の主張には現今最早ウィルスが入るのは最早防ぎようがない、 入ってから広がらないようにどうするかが重要であると専門家の間にも言われ始めているということでうs。 即ち、入り口では防げない、によって出口で防ぐしかなかろう、という趣旨です。
もう一つは 標的型攻撃 についてです。 このタイプの攻撃は従来の絨毯爆撃で千三つで引っ掛かるものが出ればいいと言うものではなく、 予め明確にターゲットを定めた上でターゲットに沿った手法で攻撃するものです。 スパムメールと言う大量にばら撒かれる概念からピンポイントで狙う攻撃へと移り変わって来ているのです。 例えば所属団体や社会的立場に依っては無視出来ないメールも出て来ます。 その際に添付ファイルを絶対に開かないと言えるでしょうか? このタイプは専門化同士でも絶対に餌食にならないという自信はないと互いに囁かれているそうです。
最後はウィルスに関して、身近なものではないにも関わらず 大変な脅威を実際に肌身に感じられるもので戦慄さえ覚えさせられます。 そのウィルスの名を Stuxnet(スタックスネット) と言い原子炉の制御系の数値を改竄してしまうもので シーメンス 社を狙ったもののようです。 全く極々専門家に依る行為であることは間違いなく、 実際に2010年7月にはイランの原子力施設を狙った攻撃も発生しており 某大国の陰謀ではないかと実しやかに囁かれてもいます。 其処まで大掛かりでなくとも今やネットワークに繋がっていない 制御系のコンピュータも全く安全とは言えず危険を孕んでいることになります。
情報セキュリティセミナーについて
上記以外にも
- 4位の狙われだしたスマートフォンに於いては 日本ではiOSと並んで2強のanndoroiOSでは各社カスタマイズされて提供されていることに因り 対策のパワーも分散され脆弱性へ対応し難い面があり、 余りユーザーに出来ることはなく、Windowsの辿った歴史と似ていること、など
- 5位の複数の攻撃を組み合わせた「新しいタイプの攻撃」に於いては IPAがAPTと名付ける処の例えは悪いかも知れないが アップルのiPhoneの様に古い手法でも上手く組み合わせパッケージ化したことで 効果的となる攻撃、新たなソーシャルエンジニアリングが登場して来ていること
- 6位のセキュリティ対策不備がもたらすトラブルに於いては webをビジネスに用いているならばその分セキュリティ対策を確りその分講じるべきであること、 それがBCP(事業継続計画)に繋がること
- 7位の携帯電話向けウェブサイトのセキュリティに於いては 認知科学的に画面が小さいとリスクに気付く確率が落ちるへの指摘され、 また携帯IDは秘匿情報ではないことに注意
- 9位のクラウドコンピューティングのセキュリティに於いては 今やサーバーが何処にあるか分からないことに因り 一旦ことが起こればいきなり国際犯罪の様相を呈すこと
マネジメントコース記事と繰り返しになりますが自主的に負担を負ってIPAに向けて 受講者に取ってこのように有用な知見を得られるべきセミナーを開催する意向を示す手を挙げてくれた 浜松商工会議所には感謝の意を表したいと思います。
最後に独立行政法人として仕分けの憂き目に遇うIPA、即ち情報処理推進機構ですが このような有用な事業はこれからの情報化社会にますます必要なものです。 行政には是非短慮短絡的な政策の為されないように願いたく切に思います。