セキュリティ対策の最適解



今日、とあるガートナーのレポートを目にする機会があったのだが、「セキュリティ対策をどこまでやるか」に対する面白いアプローチがあった。

そのアプローチとは、
1.セキュリティ対策ができていない「二流以下の企業」から、必要最低限の対策を検討する
2.セキュリティ対策ができている「一流企業」から、次の一手を検討する

というものであった。
答えがない領域に対して答えを求めていくアプローチとしてとても面白いと思った。

せっかくなので、レポートの中から、セキュリティ対策ができていない「二流以下の企業」向けの推奨セキュリティ対策をまとめていきたい。

ちなみに、「二流以下の企業向けの推奨セキュリティ対策」とは、「40%以上の企業で実施済みのセキュリティ対策」のことである。

・ポリシーやガイドラインの整備

・教育 (標的型メールの教育や訓練等)

・認証、アクセス権管理

・ネットワーク設計の見直し (セグメンテーションやアウトバウンドの不審な通信への対応
等)

・エンドポイントセキュリティの基本実装 (パターンマッチング型のアンチウイルスソフト導入等)

・サーバやPCへのパッチ適用 (OSだけでなくアプリも)

・セキュアWebゲートウェイ

・セキュアメールゲートウェイ

【参考資料】
サイバーセキュリティの最適解を探る(非公開)

[インシデント]株式会社ソニー・ミュージックマーケティング



■株式会社ソニー・ミュージックマーケティング
[企業情報]
業種:情報・通信業(音楽ソフトの製造・販売・音楽配信)
資本金:4億8000万円
従業員数:150人
企業URL http://www.sme.co.jp/sme/corporate/smm.html
被害URL https://fortunemusic.jp/

[インシデント発生日]
2018年7月12日

[インシデント概要]
7月12日14時から16時にかけて、サイトのリニューアルにともなうメンテナンスの影響により、システム障害が発生。期間中に同サイトへログインし、商品一覧ページから直接マイページへ移動した場合、ログアウトするまでの間、他顧客としてログインした状態になった。

[被害/影響]
 他のお客様にマイページを閲覧された可能性がある方:64名
 他のお客様のマイページを閲覧した可能性がある方:116名

[原因]
サービス提供時間中のシステム変更作業および、変更作業中の障害発生(オペミス?)

[プレスリリース]
【重要】forTUNE musicシステム障害に関するお詫び

[コメント]
システム運用におけるべき論でいえば、サービス提供時間外にメンテナンスウィンドウを定期的に設定し、その時間で作業をするのがベスト。
メンテナンスウィンドウ内であれば、ミスがあってもリカバリできるが、今回のようにサービス提供中にメンテナンス作業を実施して失敗すると、余計な仕事が増える結果となる。
余計な仕事が増えるだけならよいが、下手するとブランドイメージも傷をつけることとなる。

国立研究開発法人 産業技術総合研究所でのセキュリティインシデント~クラウドサービスで認証突破される~


■国立研究開発法人 産業技術総合研究所

[組織情報]
組織形態:国立研究開発法人(国立研究開発法人産業技術総合研究所法により「鉱工業の科学技術に関する研究及び開発等の業務を総合的に行うことにより、産業技術の向上及びその成果の普及を図り、もって経済及び産業の発展並びに鉱物資源及びエネルギーの安定的かつ効率的な供給の確保に資すること」を目的とする。)

予算:969億85百万円(2010年度決算)

従業員数:2,949人

URL http://www.aist.go.jp/

[インシデント発生日]
2018年2月6日

[インシデント概要]
産総研の主たる情報システムである
 ・クラウドサービスを利用するメールシステム(⇒Office365)
 ・独自に構築する内部システム

の双方に順次不正なアクセスが行われ、
 ①職員のログイン ID の窃取
 ②パスワード試行攻撃によるパスワード探知
 ③職員のログイン ID・パスワードを用いた、内部システムへの不正侵入
 ④内部システムのサーバの「踏み台」化
 ⑤メールシステム及び内部システムの複数のサーバに保管したファイルの窃取又は閲覧
といった一連の不正行為が行われた。

[規模]
下記が外部へ漏えい又は閲覧された可能性。
 ・未公表の研究情報 120 件
 ・共同研究契約等に関する情報 約 200 件
 ・個人情報を含む文書 約 4700 件
 ・全職員の氏名・所属
 ・143 アカウント分の電子メール及び添付文書

[原因]
メールシステム(Office365)へのブルートフォース攻撃によるアカウント情報搾取?

※個人的な見解は「クラウドメールサービスのセキュリティ設定不備」

[プレスリリース・参考資料]
20180213弊所に対する不正なアクセスに関する事案について
20180720「産総研の情報システムに対する不正なアクセスに関する報告」について
【参考】導入事例:産業技術総合研究所様(Microsoft Office 365)

[コメント]
メールシステム(Office365)への不正なアクセスを皮切りに内部ネットワークに侵入されたという、少し釈然としない原因。


何が釈然としないかって、悪意のある第三者がメールシステムに対して不正ログインの試みが可能な点。

普通メール環境をクラウドに持っていったら、セキュリティ強化の観点でアクセス元IPの制御はするはず。少なくとも自分が過去に関わってきている会社は全てそうしてる。

それをしていなければこのような事態が起きることは想像に難くない。
(各ユーザーの認証に二段階認証とかを用いていれば別だが)

あと、プレスリリースで自組織の環境を明かすのもNG。

悪意のある第三者に不正アクセスをさせるためのヒントを与えているようなもの。

元ソニー社長の中鉢さんが理事長されている組織なのでぜひ頑張ってほしい。

セキュリティはPDCAよりOODA? いえ、OPDAです!!



PDCA(Plan Do Check Action)は非常に有名なメソッドですね。

PDCAは特に情報システムで構築して運用フェーズに入って改善して・・・みたいな感じで、もともとITインフラ運用が長かった自分もお気に入りのメソッドです。

なので、セキュリティもPDCAで強化できると考えていたのですが、PDCAはなかなか難しいと感じることがあります。

IT運用の場合、例えば障害が発生すると、その対応を通じて再発防止策を打つことで、類似の障害は起きなくなります。ITシステム自体はコンポーネントが有限なのでPDCAサイクルを通じた品質強化を行っていくと、非常に高いレベルのサービスレベルの実現が可能となります。

一方、サイバーセキュリティは基本的に再現性がなく、あるインシデントを受けて改善策を打っても、次に来るインシデントには前回打った施策が役に立たないなんてことがたくさんあります。

IT運用の場合、必ず管理システムのコンポーネントのどこかが壊れるわけで、極端な話、その範囲は有限なのですが、サイバーセキュリティは毎回新しい攻撃が発生するため、範囲は無限になります。

前置きが長くなりましたが、OODAループというものがあります。
OODAループとは、「Observe - Orient - Decide - Act」の4つの頭文字から名付けられ、アメリカ空軍の大佐が提唱した意思決定のメソッドの1つです。もともとはアメリカ海軍で戦闘時の判断を最適にするための理論として生まれたものだそうです。



情報収集してそこから分析して対策を打つ流れにSOC(Security Operation Center)に近いものを感じます。

一方で、個人的に整理がつかなかったのが、OrientとDecide。
「方向付け」と「意思決定」の位置づけというか、関係というかが、分かったようで分からない感じ。

あ、OPDA(Observe - Plan - Decide - Act)ってすると個人的にすっきりするかも。

情報収集して、(分析&)対策検討し、意思決定を経て対策を打つ。

セキュリティ強化のメソッドにもPlanは必要です!!

【参考】
OODA vs. PDCA 継続的なセキュリティ強化にはどちらが有効?

いくらクラウドがセキュリティに強いからって、利用者側の管理が駄目なら情報漏洩します。



IPAから「ウェブサイト開設等における運営形態の選定方法に関する手引き」がリリースされています。

クラウド活用が順調に広まってきていますが、IaaS、PaaS、SaaS等いろいろな種類のクラウドサービスがあり、各サービスで提供者と利用者の役割分担や責任分界点が変わってきます。

この資料ではオンプレも含めたクラウドサービスは下記の通り。
ちなみに一番上が最も利用者の役割分担と責任分担と自由度が小さい形態。
逆に下に行くほど利用者の役割分担と責任分担と自由度が大きい形態。

・モール(楽天市場とかAmazonとか)
・ASP、SaaS(Salesforce、Gsuite、Office365とか)
・PaaS、レンタルサーバ(AwS、Azure、Zenlogicとか)
・IaaS
・ハウジング
・オンプレミス

んで、なかなかよくまとめられていると感じたのが下記の図


クラウド移行後も利用者の責任となる部分がきれいに整理されています。
個人的には業務セキュリティ対策の中にアカウント管理も入れておいてほしかったかな。

クラウドが日本よりも進んでいる海外ではクラウド環境ゆえのインシデントが起きています。

まずSaaS。Office365やGsuiteに移行したのはいいが、利用者側の特権アカウントの管理がずさんで、乗っ取られてしまい、全ユーザーのメール情報が漏洩してしまう事件が起きています。特権アカウントの管理は結構ずさんになりがちですが、定期的なパスワード変更や二要素認証などを導入して管理強化を図る必要があります。

次にPaaS。これまでオンプレであった場合、インターネットとの間にF/Wを設置するので、サーバ担当がオペミスしてもF/Wで何とかなっていましたが、PaaSになるとF/Wもサーバもマウス操作で簡単に変更できてしまいます。そのため、例えばAwSのS3で設定ミスって内部情報をインターネットに向けて公開してましたって事件が起きています。
直近ではホンダのインド法人Honda Cars Indiaで、AwSのS3の設定ミスって5万人分の個人情報をインターネットに向けて公開しちゃってた事件があります。

クラウドが普及して一見ITの知識は不要になるように見えても、ITの知識とリテラシーを備えた人材はユーザー企業でも確保しておく必要があります。

【関連資料】
ウェブサイト開設等における運営形態の選定方法に関する手引き(IPA)
ホンダの海外法人が5万人分を超える顧客情報をクラウド上で公開していた
Honda leaked personal information from its Honda Connect App
Honda India Left Details of 50,000 Customers Exposed on an AWS S3 Server

Windowsプロトコル「SMB」の脆弱性を悪用する攻撃



ESET社からマルウェアレポートが出たのだが、SMBの脆弱性を突いた攻撃が多発しているらしい。これ、MS17-010という2017年3月にリリースされたパッチを適用することで対策ができるのだが、攻撃検知数が増加するということは、いまだにパッチを当てていないPCが多数存在するということだろうか?



これ、そもそもはNSA(アメリカ国家安全保障局)が開発したとされる脆弱性攻撃ツール群が、Shadow Brokersというハッカー集団によって盗まれた事に端を発しています。
盗まれたツール群の中にEternalBlueとDoublePulsarと呼ばれるツールがあり、これらのツールが悪用されて今回の脆弱性やWannaCryと呼ばれるランサムウェアの大流行に繋がっています。



蛇足ですが、マルウェアは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称ですが、NSAの様な当局が作成した脆弱性攻撃ツールはガバメントマルウェアとか言ったりもします。


ちなみに、根本対策はパッチ適用ですが、確かSMB1.0の無効化も効果あったと思います。

【出展】
2018年6月 マルウェアレポート



情報処理安全確保支援士について(その1)



情報処理安全確保支援士についてちょっと気になったのでメモ。

情報処理安全確保支援士ってサイバーセキュリティ分野初の士業ということだけれども、今回はこの「士業」という部分が気になったので書き連ねます。

Wikipedia先生を参考に想像するに、
「士業」の言葉をたどっていくとサムライ(武士)にたどり着く模様。
日本の近代国家創成期に職能資格を取得したのは、基礎教育を受けた武士が多く、そこから「〇〇士」という呼称が広がったのかと。
現代では「-士」だけに限らず、「-師」との名称がある資格も含むことがあるため、「士師業」「師士業」などとも呼ばれている。

ちなみに士業(資格)には2パターンあります。
1.無資格者の実施が禁止されている業務を行うことが許可される業務独占資格
2.その名称を用いて業務を行うことが許される名称独占資格

1.で容易に想像がつく例は医師や弁護士ですな。

情報処理安全確保支援士は2.に分類され、名称独占資格ということになります。

ちなみに個人的には情報処理安全確保支援士がIT業界初の士業と思い込んでいましたが、IT業界には既に技術士という資格が存在しています(自分一応大学からITに関わっていたけど、初めて知った・・・)。ちなみに技術士は文部科学省管轄となりますが、情報処理安全確保支援士は経済産業省管轄となります。

気が向いたら資格の意義とか、類似の資格とか、もう少し整理していきます。

[インシデント]株式会社葵

■株式会社葵
[企業情報]
業種:サービス業(インターネット学習塾の経営、中学生・高校生を対象とする進学塾の運営、eラーニングシステム・アプリの開発)
資本金:1億6900万円
従業員数:39人
企業URL http://corporate.aoi-zemi.com/

[インシデント発生日]
2018年6月27日

[インシデント概要]
同社が利用するスペインTypeform社が運営するアンケートシステムが不正アクセスを受け、「スマホ学習塾 アオイゼミ」で実施したアンケートの一部回答(具体的には2017年5月8日から2018年3月9日にかけて回答されたのべ5461件のデータ)が外部に流出。流出データにはユーザーID、デバイス情報などのほか、141件のレコードに生徒や保護者の氏名、電話番号、メールアドレスなど131人分の情報が含まれていた。

[規模]
141 件

[原因]
Typeform社による不正アクセスの検知(根本原因は不明)

[プレスリリース]
お客様情報の流出に関するお詫びとお知らせ
(参考)Typeform社の声明

[コメント]
SaaSって、セキュリティ面も含めてサービスを担保してもらっているのに、サイバー攻撃を受けて情報漏洩されてしまっては、SaaSの価値がなくなってしまう気がする。
SaaSベンダーのセキュリティ事故が多発するようであれば、企業はクラウドからオンプレに逆流する流れをとるであろう。SaaSベンダーには特に真剣にセキュリティ対策に取り組んでもらいたい。
株式会社葵は今回完全な被害者になると想定されるが、今後の対策としては、このようなセキュリティ事故を起こしたSaaSはやめ、別のもっとセキュリティ対策がしっかりされたSaaSベンダーに乗り換えるべきであろう。

[ニュース]ファーストサーバで長期障害

 



概要は上記リンク参照。

この会社、2012年にもオペミスによるデータ消失事件起こしているんだよね。

今回の障害もメンテナンス開始のアナウンスは直前だったというし、メンテナンス終了は予定を大幅に超過しているというし、前回の事件に引き続き顧客軽視甚だしい感じ。というか、安かろう悪かろうのサービスなので、利用者側はそのリスクを認識したうえで使わなければならない。

安物買いの銭失いとはまさにこのこと。

[インシデント]株式会社フレーバーライフ社


■株式会社フレーバーライフ社
[企業情報]
業種:卸売業・小売業
資本金:1,000万円
従業員数:28人
企業URL http://www.flavorlife.com/

[インシデント発生日]
2018年6月28日

[インシデント概要]
不正アクセスによる個人情報(氏名、性別、生年月日、住所、電話番号、メールアドレス、パスワード、利用履歴、お問い合わせなどお客様から受信したメール)流出。
クレカ情報の流出は無し

[規模]
11,156 件

[原因]
問い合わせ等のお客様からの入力ができるコンテンツからと推測

[プレスリリース]
【重要】弊社提携外部サーバーへの不正侵入及び情報流出に関するお詫び
弊社提携外部サーバーへの不正侵入及び情報流出に関するお詫び
弊社提携外部サーバーへの不正侵入について(第二報)

[コメント]
詳細が分からないが、サイト構築時やその後の定期的な脆弱性診断をやっていなかったのだろう。クレジットカード情報の流出がなかった点は不幸中の幸い。