Upload
shunji-konishi
View
951
Download
0
Embed Size (px)
DESCRIPTION
社内勉強会資料
Citation preview
セキュリティの考え方
2014/07/03 社内勉強会 株式会社FLECT
小西俊司
この文書の目的
� セキュリティについて考える時に何を基準にして考えれば良いかの指針を示す � と言いつつ自分で実践しているわけではない
� 具体的なセキュリティ対策には踏み込まない
※文中のセキュリティ対策に対する評価、感想はあくまで個人のものです。
用語の定義
� 脅威 � 脆弱性 � リスク
脅威 � システムや組織に損害を与える可能性のある原因 � 分類の仕方は色々ある
� 人為的/非人為的と意図的/偶発的のマトリクス � 内的要因/外的要因
意図的 偶発的
人為的 攻撃(盗聴、改ざん、なりすまし、ウィルス)、盗難、不正利用
誤操作、紛失、
非人為的 ー 故障、地震、火事、停電
脆弱性 � 脅威がつけ込むことのできる弱点 � 技術的な脆弱性の多くには名前がついている
� SQLインジェクション � XSS � セッションハイジャック
� 以下のようなものも脆弱性 � メールの通信が暗号化されていない � パスワード使い回し � 必要以上のアクセス権付与
リスク
� 脅威が現実になった時の損害・損失 � 資産価値 × 脅威 × 脆弱性の掛け算で算出される � つまりいずれかが0の場合はそこにリスクはない
� 脅威と脆弱性の関係は多対多
リスクの数値化
� 以下を数値化して掛け算 � 資産の重要性(5〜0) � 脅威の発生確率(高中低)
� 発生時の被害の大きさは資産の重要性に組み入れるのでここでは考慮しない
� 脆弱性の攻撃難易度(高中低) � 攻撃難易度と対策レベルに分離する場合もある
� リスクの高低はこの算出値で判断する
リスクマネジメント
� リスクの高いものから対策を行っていくこと � リスク値の低いものについては対策を行わないという選択もあり得る � これをリスク受容レベルと言う
身近なリスクマネジメント
� 企業に限らず個人でも当たり前にやっている � 外出時に鍵をかける � 地震に備えて非常食を買う � 電球を買い置きしておく
� 考え方が適用できる例はいくらでもある � たいていの人はほとんど無意識に(自分にとって) 適なリスクマネジメントを選択している
これもリスクマネジメント
� セキュリティについて考える時に何を基準にして考えれば良いかの指針を示す
� 具体的なセキュリティ対策には踏み込まない
※文中のセキュリティ対策に対する評価、感想はあくまで個人のものです。
セキュリティに関してうかつなことを言うと 強烈なマサカリが飛んでくるのでとても怖い。。。
対策の種類
� 事故を発生させないための対策 � 抑止 � 予防(事故の影響を小さくするための対策も含む)
� 事故の影響を小さくするための対策 � 検知 � 対応
抑止
� 脅威の発生源である人間を牽制することで脅威の発生を抑えようとする対策
� 非人為的脅威や過失に対しては効果がない � 例
� 法律や社内規則 � 監視カメラ � 操作ログ � 担当者を複数配置
予防
� 脆弱性そのものを減らす対策 � 例
� 鍵をかける � アクセス権の設定 � ウイルス対策ソフトの導入
� 排除できないケースもある � 秘匿情報に誰一人アクセスできないようにしたら業務が成り立たない
検知
� 事故の発生にいち早く気がつくための対策 � 検知が早ければ早いほど事故の損害は小さくできる
� 例 � ログ � エラー通知 � ポーリングによるシステム監視
対応
� 事故発生時の対応をあらかじめ考えておくこと � 実際の対応作業は事後だが、それを事前に準備しておくことがセキュリティ対策
� 例 � バックアップとの切り替え � 対応マニュアルの作成
費用対効果 � 有効な対策がわかっていてもコストの関係ですべてが実現できるとは限らない � 対策にかかる費用が事故発生時の損害額を上回るなら意味がない
� コストには日常の利便性喪失も含む � 損害には実際の金額だけではなくサービスの停止、顧客対応、企業の評判の影響も含む
� 逆に少ない費用で絶大な効果のある対策もたくさんある
リスク管理
� 事故の発生をすべて防ぐことはできない � 事故とその損害に対して 終的にどういうスタンスでのぞむかを決めておく � 低減 � 受容 � 移転 � 回避
低減
� リスクを減らそうと頑張る � なんらかの対策を実行することはすべて低減にあたる
受容
� 事故の発生を受け入れる � リスク値が低い場合は対策を行わず損害を受け入れるという選択もあり得る � 払い戻し等
� この場合でもあらかじめ、リスクを受容することを意識的に決めておくことは重要
移転
� 外部に資産やセキュリティ対策を委託する � クラウドの利用 � 保険 � クレジットカード情報は社内に保持しない
回避
� 資産の廃棄やサービスの停止 � あまりにも割にあわないことは止める
表にしてみる
� 対策は種別ごとに考える � 対応はすべてのリスクに対して考える � やってみたら意外と難しかった。。。(--
� 無理に全項目(数値)埋める必要はないかも
Webアプリの対策 � ちゃんと整理すると実はそんなにパターンは多くない
� とりあえず徳丸本だけは読んでおけ
� テンプレの活用 � http://www.jnsa.org/
active/houkoku/web_system.pdf
内部要因の対策
� ほとんどが人為的要因 � なので内部統制が必要
� 脅威のパターン � 無知 � 過失 � 故意
無知
� やってはいけないことを知らない � 対策
� 教育 � マニュアル作成
過失 � 誰もがやってしまう可能性がある
� メール誤送信 � アクセス権の設定ミス � ノートPC(スマホ)紛失
過失を防ぐためには「注意する」みたいなあいまいな対策ではなく「UIをわかりやすくする」等の具体的な対策が必要
故意
� 善人でも故意に不正を働くことがありうる � 不正のトライアングル理論
動機
機会 正当化
� 動機はコントロールすることができない
� 責任のある仕事に対しては正当化はおきにくい
� 機会を与える場合は必ず責任も与える
情報漏洩
� 守らなければならないのは情報そのものと会社の評判(信用) � 実は後者の方が大事
� SNSの台頭以降、個人情報の価値は相対的に下がっている � カード情報等本当にやばいモノは移管する
逆引きして評価する � ほとんどの場合リスク対策には定石がある � 対策を見れば、それがどういうリスク(脅威と脆弱性)に対して行われているものかがわかる
� リスクがわかればどういう対策が必要かがわかる � 対策だけが示されてそれを評価してみると。。。
� あれ??? � それをやるんだったらこっちもいるよ!!! と思うことがわりとよくある
USBメモリ禁止 � 脅威: ウイルス攻撃、データ持ち出し � 脆弱性: USBオートラン、アクセス権付与
� ウイルス攻撃を対象とするなら出自の明らかなUSBメモリは許可しても良いのでは?
� データ持ち出しを対象とするならDrobBoxやカメラもアウトでは?
添付ファイルのパスワード � 脅威:盗聴 � 脆弱性:SMTPリレー通信は平文
� 当然パスワードと添付ファイルは分けて送信する必要がある � 手間(コスト)が大きい � 誤操作やうっかりミスも多そう
� 今時メールに頼らずファイル共有する方法はたくさんあるのでそちらを使う方が良いのでは?
半年ごとにパスワード変更強制
� 脅威: 不正アクセス � 脆弱性: 辞書攻撃等
� パスワード、定期、変更でググると議論百出 � 銀行等パスワードを突破されたら即座に攻撃されるアカウントでは意味がない
� 定期変更によって余計なリスクを抱える場合も
� 二要素認証を使った方が良いのでは?
二要素認証
� パスワードとそれ以外の要素を認証に使う方法 � ワンタイムトークン � デバイス
� DropBoxやEvernoteも対応するなど 近急速に普及中
� パスワード使いまわしの対策にもなる
クラウドは実は優れた解 � データがpublicクラウド上
� 稼働率をコントロールできない
� というあたりだけが、クローズアップされがちだがちゃんと評価するとクラウドの方が優れている場合が多い
まとめ
� リスクは対策だけを見ずに対応する脅威と脆弱性に分解する
� 対策は抑止、予防、検知、対応のすべてについて検討する
� 技術、世間的評価は変動するので定期的に見直す
� 思考停止しない � だけど考えすぎない