Embed Size (px)
Citation preview
高専機構CSIRT
高専機構CSIRTと一緒に安心安全なICTを目指そう!!
高専機構 情報戦略推進本部 情報セキュリティ部門
csirt@kosen-k.go.jp
平成30年度 高専フォーラム
@名古屋大学
2018/8/21(火)
1
高専機構CSIRT
今日の内容• 最近の情報セキュリティの動向
– 情報セキュリティ10大脅威
– 高専機構のインシデント等の状況
• Azure Information Protection(AIP)– AIPとは、サインイン方法、設定等
– 注意事項
• 情報セキュリティ対策と情報セキュリティインシデント対応
• 高専機構CSIRT今後の活動とまとめ
2
高専機構CSIRT
最近の情報セキュリティの動向
3
高専機構CSIRT
情報セキュリティ10大脅威2018
• (独)情報処理推進機構[IPA]の解説資料
• 「10大脅威選考会」約100名の
投票により、情報システムを取巻く脅威を順位付けして解説
• 2017年に発生したセキュリティ事故や攻撃の状況
4
(独)情報処理推進機構「情報セキュリティ10大脅威 2018」https://www.ipa.go.jp/security/vuln/10threats2018.html
高専機構CSIRT
2017年の状況を基にした10大脅威
5(独)情報処理推進機構「情報セキュリティ10大脅威 2018」 https://www.ipa.go.jp/security/vuln/10threats2018.html
2018版で上昇
高専機構CSIRT
サイバー空間をめぐる脅威の情勢等
6
警察庁「サイバー空間に関する統計等」https://www.npa.go.jp/publications/statistics/cybersecurity/index.html「平成29年中におけるサイバー空間をめぐる脅威の情勢等について」https://www.npa.go.jp/publications/statistics/cybersecurity/data/H29_cyber_jousei.pdf
高専機構CSIRT
高専機構のインシデント等の状況
7
平成29年度のトップ3・マルウェア・ランサムウェア感染・Webサイト改ざん・サポート詐欺、アカウント乗っ取り
10
19
13
47
24
15
05
101520253035404550
H25年度 H26年度 H27年度 H28年度 H29年度 H30年度
[2018/8/14現在]
高専機構CSIRT
高専機構CSIRTの対応件数(2017年度,月別)
8
0
1
2
3
4
5
620
17年
4月
2017
年5月
2017
年6月
2017
年7月
2017
年8月
2017
年9月
2017
年10
月
2017
年11
月
2017
年12
月
2018
年1月
2018
年2月
2018
年3月
高専機構CSIRT
高専機構CSIRTの対応件数(2018年度,月別)
9
0
1
2
3
4
5
620
18年
4月
2018
年5月
2018
年6月
2018
年7月
2018
年8月
2018
年9月
2018
年10
月
2018
年11
月
2018
年12
月
2019
年1月
2019
年2月
2019
年3月
高専機構CSIRT
高専機構のインシデント例1
• メール誤送信
– 内部関係者へ資料を添付した際に、宛先に想定していない外部企業の方が1名含まれていた
– 先方からの連絡で発覚
– 資料内の個人情報はWeb上で公表されている情報
10
高専機構CSIRT
高専機構のインシデント例2
• メール誤送信
– 学内関係者に送るメールを、学内とは関係のない第3者のアドレスが含まれた状態で誤って送信
– 添付ファイル(PDF)があり、一部の、教職員氏
名、顔写真、携帯番号、メールアドレス、学内電話番号
11
高専機構CSIRT
高専機構のインシデント例3
• メール誤送信
– 教員が学生に連絡する際に誤って個人情報を含む情報へのリンクを送信した
– 当該教員が日常の学生指導を通じて記録している、学生に関する情報の一部
– 記者会見、web掲載
12
高専機構CSIRT
高専機構のインシデント例4?
• メール誤送信
– メーリングリストを誤って送信先に指定してしまい送信してしまう(しかも!Cc: 文科省)
– 添付ファイルはパスワードの保護なし!
– 本文中で高専名を間違える
13
高専機構CSIRT
高専機構のインシデント例3
14
高専機構CSIRT
高専機構のインシデント例3
– 個人で利用しているGoogleのスプレッドシートにて学生の行動等を管理
– リンクを知っている人なら誰でも閲覧可能
15
高専機構CSIRT
高専機構のインシデント例3
もし、A高専のg-Suiteのアカウントを利用していたら・・・
16
高専機構CSIRT
高専機構のインシデント例3
結果・・・文部科学省から再発防止策として
17
高専機構CSIRT
高専機構のインシデント例3
18
高専機構CSIRT
高専機構のインシデント例3
• 各種パスワードの付け方について
– パスワード付きZIP– Word読み取りパスワード
– Excel読み取りパスワード
– パスワード付きPDF
19
高専機構CSIRT
高専機構のインシデント例3
• 個別パスワードで管理するデメリット
– GPGPUを使った高速なパスワード解析
– (学内)共通パスワード流出の危険
– ファイル毎にパスワード設定の手間
– パスワード管理の手間
20
高専機構CSIRT
Azure Information Protection(AIP)
21
高専機構CSIRT
AIPとは(Microsoftより)
• 秘密度に基づくデータの分類
• データを常に保護する
• 可視性と制御の追加
• 他のユーザーとのより安全なコラボレーション
• 使いやすさ
• デプロイと管理の柔軟性
22
高専機構CSIRT
よくわからん!!
23
高専機構CSIRT
AIPとは(オレ的解釈)
• Office365のアカウントで保護
• PCのHDD等に入ったデータを保護できる
• 渡す相手のOffice365アカウントを知ることができると、そのアカウントで制御可能
• Officeソフトだけでなく、PDFやTXT等も保護できる (見るには、要AIP Viewer)
24
高専機構CSIRT
AIPとは(オレ的解釈)
• Office365のグループでも制限可能!
学校全員「[email protected]」教職員全員「[email protected]」学生全員「[email protected]」
25
高専機構CSIRT
AIPとは(オレ的解釈)
• 要保護情報は教職員だけ編集・閲覧に!
教職員全員「[email protected]」
ZIPやOfficeの読み取りパスワードの場合、パスワード流出の恐れがあるが、AIPだとOffice365の個人アカウント管理だけしていればいい!
26
高専機構CSIRT
AIPインストール方法
27
高専機構CSIRT
AIPサインイン方法
• インストール後、Officeのメニュー下に出てくる「サインイン」をクリックします。
28
「Azure Information Protectionサービスにサインインする必要があります」と書かれてます。
高専機構CSIRT
AIPサインイン方法
• Microsoft AIPのサインイン画面が出ますので、Office365のアカウントでサインインします。
29
高専機構CSIRT
AIP保護の設定方法
• Officeのメニューに「保護」がありますの
で、そこの「カスタム アクセス許可」をクリック
30
高専機構CSIRT
AIP保護の設定方法
• Microsoft Azure Information Protectionの設定画面が出ます
31
高専機構CSIRT
AIP保護の設定方法
• 「カスタム アクセス許可で保護する」のチェックを入れてアクセス許可の選択
32
高専機構CSIRT
AIP保護の設定方法
• 「カスタム アクセス許可が適用されました」で完了。(上書き保存してください。)
34
高専機構CSIRT
AIP保護の設定方法
• AIPの設定を行なった時点で、このPCのOfficeではIRM(Information Rights Management)が組み込まれます。
※IRMとは、OfficeソフトをOffice365のアカウントで管理
※するものと思ってください。AIPでデータ保護を行なった
※OfficeソフトもIRMを使って暗号化を解除します。
35
高専機構CSIRT
データ保護設定するとき
36
高専機構CSIRT
保護されたファイルを見るとき
37
高専機構CSIRT
保護されたファイルを見るとき
38
高専機構CSIRT
ん?!AIPっているの?
39
高専機構CSIRT
AIPまとめてデータ保護
• 色んなファイルが入ったフォルダをまとめてデータ保護できます
40
高専機構CSIRT
AIPまとめてデータ保護
• フォルダを右クリックし「分類して保護する」でまとめてデータ保護できます
41
高専機構CSIRT
AIPまとめてデータ保護
• 保護したフォルダの中を見ると全てのファイルが保護された状態になってます
42
高専機構CSIRT
AIP便利でしょ?!
43
高専機構CSIRT
Officeで見る場合
• 一度もデータ保護されたファイルを見たことがない場合、IRMが組み込まれます。
44
高専機構CSIRT
Officeで見る場合
• Officeにサインインしていない場合は、サインインするために「ユーザーの変更」
45
高専機構CSIRT
Officeで見る場合
• Office365のアカウントでサインインします。
46
高専機構CSIRT
Officeで見る場合
• 権限があっていれば見ることが出来ます!
47
高専機構CSIRT
Officeで見る場合
• 一度サインインしたら、IRMが覚えてるのでサインアウトしても問題ありません。
48
高専機構CSIRT
ネットワーク接続がないとき
• 見ることができるデータ保護ファイル
– 自分でデータ保護設定したファイル
– 一度ネットワーク接続時に見たファイル
• 見ることができないデータ保護ファイル
– 他人がデータ保護設定したファイルで見たことないファイル
49
当日のみ確認
高専機構CSIRT
注意事項
50
高専機構CSIRT
注意事項
• PC等でAIPやIRMで保護されたファイルを見た場合、AIPやIRMでのサインイン情報が残ってしまいます。
• 他人のPC等で見た場合は必ずサインアウトしてください。
51
高専機構CSIRT
AIPのサインアウト方法
• Officeのサインアウトを行なっても、AIPのサインアウトは出来ません。
C:¥Users¥(ユーザー名)¥AppData¥Local¥Microsoft¥MSIP¥ TokenCache
を削除してください。
52
高専機構CSIRT
AIPのサインアウト方法
• ただし、AIPをサインアウトしてもIRMがサインインだとOfficeファイルは見れます!
53
高専機構CSIRT
IRMのサインアウト方法
• Officeのサインアウトを行なっても、IRMのサインアウトは出来ません。
C:¥Users¥(ユーザー名)¥AppData¥Local¥Microsoft¥MSIPC
のフォルダを削除してください。
54
高専機構CSIRT
IRMのサインアウト方法
• ただし、IRMをサインアウトしてもAIPがサ
インインだと右クリックから権限を変更できるため、権限解除してファイルが見られてしまいます!
55
高専機構CSIRT
注意事項
下記フォルダごと消してしまってもかまいません!
%LOCALAPPDATA%¥Local¥Microsoft¥MSIP%LOCALAPPDATA%¥Local¥Microsoft¥MSIPC
出張用PCとかでも出張前に消した方がいいかも?
56
高専機構CSIRT
AIPのアドオンのオンオフ
Officeのオプション内にあるアドインの設定で管理
57
高専機構CSIRT
AIPが利用できない時
• AIPの利用には
「Enterprise Mobility + Security E3」のライセンスが必要です。
58
高専機構CSIRT
情報セキュリティ対策と情報セキュリティインシデント対応
59
高専機構CSIRT
マルウェア対策の限界
• 既知のマルウェアには極めて有効
– ほぼ検出可能!! ←必須
• 未知のマルウェアを検出できない可能性
– ふるまい検知の限界
– 攻撃者しか知らない脆弱性(ゼロデイ)の問題
– 誰かが引っ掛からないと発見できない
• 定期フルスキャンも有効
– リアルタイムスキャンだけでは不十分
60
高専機構CSIRT
情報セキュリティ対策(基本)
• OS・アプリ・セキュリティ対策を最新に
– サイバー攻撃で侵入されるリスクを減らす
• セキュリティホールを狙ってます
• ID・パスワードはしっかり管理
– なりすましを防止
• 正当なユーザとして活動させない
• 怪しいサイト・メールを見分ける
– サイバー攻撃のきっかけを知る
• どんな攻撃が流行っているのか情報収集も必要
61
高専機構CSIRT
情報セキュリティインシデント予防
• ウィルス対策ソフトウェアの未検知
• ユーザの認識・意識・行動
62
入口対策の限界・感染することを前提• ユーザの意識向上• 感染時の速やかな被害拡大防止!!
高専機構CSIRT
みんなで守る情報セキュリティ被害にあった!!と思ったら
【すぐやる三箇条】
• すぐにネットワークから切り離す
– LANケーブルを抜く・無線LANをOFFに• 電源は落とさず、現状保全が鉄則!
– ログイン状態やファイルもそのままで
• 校内の情報セキュリティインシデント担当者に連絡を
63
高専機構CSIRT
情報セキュリティインシデント対応手順
• 高専機構・各高専で制定
– 情報セキュリティインシデント対応手順
– 情報セキュリティインシデント発生時における対応
– 情報セキュリティインシデント発生時の連絡及び対応(全体フロー)
– 情報セキュリティインシデント対応手順(フロー図)簡易版
高専機構CSIRT Webにも掲載
https://csirt.kosen-k.go.jp/
64
高専機構CSIRT
対応手順(簡易フロー図)
65全ユーザが認識しておくことが重要!!
高専機構CSIRT
高専機構CSIRT今後の活動とまとめ
66
高専機構CSIRT
高専機構CSIRTって??
• CSIRT⇒Computer Security Incident Response Team
• コンピュータのセキュリティの脅威となる出来事に対応するチームらしい…(-_-;
• でも、インシデントって起きない方がいいよね。(^^;
67
高専機構CSIRT
予防的な高専機構CSIRT活動
• 情報セキュリティe-Learning• 標的型メール訓練
• トップセミナー・情報担当者研修
• 情報セキュリティ研修支援
• 情報セキュリティ監査
• セキュリティポリシー・関連規程類の改訂
• 各高専・外部セキュリティ組織と連携
• 高専機構CSIRTとしての情報提供
...等々、全ユーザに行き渡るように!!68
高専機構CSIRT
CSIRTの本質
• 情報セキュリティインシデントの予防
– システム的な対策
– ユーザへの啓発活動
• インシデント発生時のレスポンス
– 短時間での収束
– 再発防止
69
• 高専機構CSIRTは警察より消防
– 高専機構CSIRTは仲間です!!(^^)b高専機構CSIRT Web
https://csirt.kosen-k.go.jp/
組織・ユーザの理解が重要!!
高専機構CSIRT
日本シーサート協議会
70
http://www.nca.gr.jp/
高専機構CSIRT
学術系CSIRTネットワーク
71
高専機構CSIRT
まとめ
• AIPを使えば、要保護情報の保護設定が楽にできるかも!
• 情報セキュリティインシデントが発生しないことは大事だが、発生した時には連絡を!
• 学校の構成員・高専機構の構成員すべてのセキュリティ意識の向上を!
72
