CSA Japan Summit 2014 クラウド時代のセキュリティ ~新しいリスクへの対応 日本ヒューレット・パッカード株式会社 テクノロジーコンサルティング統括本部 藤田政士 / May 23, 2014 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. アジェンダ 1.クラウド時代のセキュリティ ◆ ◆ 新しいIT利用とクラウド クラウド時代のセキュリティ課題 2.セキュリティ戦略の重要性 ◆ ◆ 2 © Copyright 2014 クラウド時代のセキュリティ戦略 経営課題としてのセキュリティ対応 3.新しい脅威への対応方法 ◆ ◆ リスク対応の見直し Proactiveなセキュリティ対応 4.まとめ ◆ ◆ Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 短期/中期/長期シナリオ 包括的なセキュリティ対策 1.クラウド時代のセキュリティ © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 1.0 ITの利用方式の変革:拡がり続ける ITの利用 企業の生産性向上から人の生活の向上、そして豊かな社会の実現に向けて変化 1960 1980 商用コンピュ―ターの進化 企業での利用 高度 成長 4 © Copyright 2014 メインフレーム オートメーション 2000 2020 New Style of IT PC・インターネット 企業+個人での利用 便利な 生活 E-コマース リアルタイム Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 企業+個人+社会+機器 次世代 の社会 モビリティ クラウド ソーシャル ビッグデータ 1.1 個人+企業+社会+機器 クラウドの必然性→Cloud Native Applicationの増加 つながるものの多さ (通信の増大→Internetとの親和性) ◆ ◆ ◆ いつでも、どこでも、個々人が利用 (Smart Device) 通信能力の向上、通信コストの低下 M2M (Machine to Machine)、IoT (Internet of Things) データ量の多さ (データの爆発→拡張性のあるリソース) ◆ 個人 x 機器 x サービス (PC:3億台、Smart Device 10憶台、センサ100億~) ■ 膨大なデータ(Big Data:2.5エクサ・バイト/Day、40ヶ月で倍) サービスの多様化 (サービス競争 →頻繁な新サービス導入) ◆ ◆ 5 © Copyright 2014 各種アプリ/ゲーム ソーシャル・サービス、オープン・データ Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 1.2 クラウド時代のセキュリティ IT利用の拡大(機器・場所・時間・目的)→セキュリティ・リスクの増大 果てしなく続く攻撃 ◆ なくならない脆弱性 ■ ◆ ■ 愉快犯から国レベルの攻撃者 年間8000件超の新たな脆弱性報告 (公式報告以外にBlack Marketも存在) 対策前に攻撃Toolが出現 時間差を突く攻撃(ゼロ・ディ攻撃) 防御対象の拡大 ■ ■ 6 ◆ 時間との戦い ■ ◆ 攻撃者の増大と目的の多様化 © Copyright 2014 個人/業務兼用利用(BYOD)機器の増大 (従来型の防御壁型対応が困難) 通信機能をもつすべての機器が対象 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. ■ ■ ■ 動機の多様化 (なんでもあり) 攻撃目標の拡大 (個人~国家) 攻撃手法の高度化 (執拗、悪質) →標的型攻撃、 APT(Advanced Persistent Threat) のっとり型(Ransomware) 1.3 クラウド時代の防御モデルの再検討 防御モデルとは 異なる種類のセキュリティ対策(防護壁)を 組み合わせ、ひとつの壁が破られても 他の壁で守るようにする(多層防御) 情報資産 (装置系) ④エンドポイント セキュリティ ③アクセス セキュリティ システム/データ特性にあわせ、 ②境界(NW) セキュリティ 最適な対策を実施する リソースが“外”にあるクラウドの 特性を理解して、防御モデルを 考慮する ①物理セキュリティ ⑤インシデント管理 7 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 1.4 クラウドサービスでのセキュリティ責任 クラウド利用においても利用側が責任を持つ分野(セキュリティ対応)が数多く存在 利用側責任範囲 提供側責任範囲 S a a S P a a S I a a S アウトバウンド 帯域幅 アウトバウンド ネットワーク SLA トラッキング Web アプリ • セキュリティ • スケーラビリティ • パフォーマンス • 可用性 Web アプリ・セキュリティ Web アプリ・パフォーマンス Web アプリ可用性 OSセキュリティ 3rd パーティ・ セキュリティ MW セキュリティ設定 © Copyright 2014 Webアプリ品質 End-user SLA プラットフォーム(PF) セキュリティ PFスケーラビリティ PF可用性 Web アプリ • セキュリティ • スケーラビリティ • パフォーマンス • 可用性 サービス利用のための管理対象 8 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. FW設定 負荷分散 NWセキュリティ 帯域 接続性 1.5 クラウドのセキュリティ考慮点 既存リスク+クラウド特有のリスクの存在 クラウドであっても当然、 セキュリティ・リスクは存在 ◆ Privateでも、Publicでもセキュリティ・リスクは 存在(IaaS) ■ ◆ クラウド特有の セキュリティ・リスクも存在 ◆ クラウド特有のセキュリティ問題 IaaSでは、OS以上のセキュリティ・リスクは 既存システムと同様のリスクが存在 PaaSでも、SaaSでもセキュリティ・リスクは存在 ■ 設定・作業ミスや、高度な攻撃に対し、 クラウド提供側の対応力をどこまで信用するか ■ ■ ■ ■ ■ ■ ■ 9 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. セキュリティに関するSLAの遵守 クラウド管理ツールの欠陥 マルチ・テナンシー 監査性 データの完全消去の保証 企業(サービス)の存続 その他 1.6 もう一つの課題:Hybrid下でのセキュリティ対応 既存ITと複数クラウドの利用→企業ITとしてどこまでセキュリティ対応の一元性・一貫性を確保するか E社 SaaS アプリ ミドル ウェア インフラ C社 PaaS 自社保有 A社 IaaS F社 SaaS D社 PaaS B社 IaaS セキュリティ管理機能をどこまで一元的に利用するか 10 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. G社 SaaS SaaS PaaS IaaS 1.7 クラウドサービスの利用領域と共通管理機能 分野A ITシステム 業務機能 分野B SaaS PaaS 様々なクラウドサービス IaaS を使って構築 ハウジング サービス 利用範囲 サービス 利用範囲 分野C サービス 利用範囲 エンドポイント管理 セキュリティ 管理機能 インシデント管理 (Metastructure) 境界セキュリティ(NW)管理 アクセス管理 物理セキュリティ管理 社内/外のクラウド・サービスの混在利用の場合、どこまで共通・一元管理を行うかが重要に 11 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 2.セキュリティ戦略の重要性 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 2.0 クラウド時代のセキュリティ戦略 新しい時代には、新しい考え方(戦略)が必要 固定的な“セキュリティ・ポリシー”や“規則(ルール)”では、常に変化する環境に対応できない。 →より、柔軟かつ包括的な“セキュリティ戦略”や“セキュリティ・フレームワーク”が必要 企業での利用 1960~1980年 個人+企業での利用 1980~2000年 個人+企業+社会+機器 2000~2020年 環境 利用は企業内 企業内、企業間 PC、Internetでの利用 企業内、企業間、Internet、Web、Smart Device、Cloud、Social、M2M、IoT セキュリティ アーキテクチャ 物理セキュリティ アクセス・セキュリティ 物理セキュリティ 境界セキュリティ(NW) アクセス・セキュリティ 物理セキュリティ 境界セキュリティ アクセス・セキュリティ エンドポイント・セキュリティ インシデント管理(ログ) (プロアクティブ防御) セキュリティ ガバナンス 戦略:特になし 規則:アクセス・ルール 対象:IT部門、IT利用者 戦略:(IT内戦略) 規則:ポリシー(ルール)、 セキュリティ教育 対象:全社員、パートナー 戦略:全社セキュリティ戦略 セキュリティ・フレームワーク 規則:ポリシー 対象:全社員、パートナー、 顧客を含むIT利用者 13 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 2.1 経営課題としてのリスク対応① 現在の ICT/Internet(Cyber Space)環境は・・・ 攻撃 防御 ICT(Internet)を利用する場合には、 常に攻撃への防御を考える ◆ ICTセキュリティ・リスクの無い会社はない! InternetやCloudの利用 →継続的なリスク対応が必要 →経営課題 ◆ 技術の進歩や攻撃手法の多様化が進み、 “これでOK”という防御策はない。常に、できる 限りのリスク対応を行っておく必要がある ■ ■ ■ 14 © Copyright 2014 対処療法ではなく、長期的視野でのリスク対応の 予算化が必要 ITに関するガバナンス/プロセスの見直しが必要 恒常的な組織(機能)による対応と 人材の育成が必要 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 2.2 経営課題としてのリスク対応② ゼロ・ディ攻撃の多発や標的型/APT攻撃は、既存のITにとっては、“想定外”の事件。 このような攻撃を想定していないシステムでの対応には膨大なコストがかかる。 (クラウドを導入しても、リスク対応費がUpしては意味がない) 平和な時代に作られたシステム群 (Cyberspaceはもはや“擬似戦争”状態) ◆ 悪意のある攻撃を受けるという前提 ではないため、防御が弱い 重要データが隔離/暗号化されていない 新たな脅威の登場と対象拡大 →長期的視野に立った IT利用戦略の立案が必要 ◆ システム/データ保全の概念が 大きく変化(特にクラウド利用時) 適切なSecurity Patchがなされていない ■ Updateするには膨大なテストが必要で そんな時間もお金もない 漏洩や破壊だけでなく、使用不能にする 攻撃が存在(DoS攻撃、乗っ取り) ■ セキュリティ対応を他人に委ねるリスク (不当なコピーや不完全消去) ■ 多重防御の考え方で、複数の防御策を講じる 装置系はIT部門の管轄外 15 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 2.3 “待ち”型、IT部門依存からの脱却 セキュリティを経営課題として全社対応する セキュリティ戦略 ◆ 対象を拡大し、ライフサイクルを踏まえたセキュリティ戦略の立案 ■ インシデント対応の繰り返し(待ち)ではなく、 中長期的かつ全社的な対応としてセキュリティ戦略を立案 ■ 広義の企業リスク対応(経営課題)として経営が関与 ガバナンス・プロセスと ◆ 全社での包括的なセキュリティ管理にはガバナンス強化が必要 ■ 企画・構想時からのセキュリティ・リスク評価プロセスの整備 アーキテクチャの整備 ■ インシデント対応体制の整備(IT~事業部) ◆ 全社的防御モデル(アーキテクチャ)の立案 ■ クラウドの利用を前提としたセキュリティ・アーキテクチャの立案 ■ 完全防御は不可能。どこかが破られても、他が補完する仕組みの構築 (多重・深層防御) 組織化、人材の育成、 ◆ 全社組織としての組織化と体制の整備 ■ 戦略/ガバナンス/プロセス/アーキテクチャ/オペレーション機能整備 予算化方式の確立 ■ 長期的展望(戦略)に従ったセキュリティ予算の確保 16 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 3.新しい脅威への対応方法 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 3.0 新しい脅威への対応方法 脅威の把握 (外部+内部) ◆ 攻撃者/動機/攻撃方法/リスクの把握 ■ 自社の置かれている環境の評価 ■ クラウド利用を含む、攻撃を受けた場合のBad Caseのシュミレーションと 発生率/損害額の評価(リスク評価) 脆弱性の把握 (技術+体制) ◆ 現状システム(防御モデル)とクラウド利用時の脆弱性の把握 ■ 物理/境界(Network)/アクセス/エンドポイント/モニタリングの構成 ■ 現状+クラウド利用時のインフラ/アプリケーションの脅威と脆弱性評価 ■ インシデント発生時の対応 (事業部門との連携、リハーサル、事後対策) 対策の立案と実施 (IT+全社) ◆ リソース(予算、人員、ツール) ■ 戦略/ガバナンス/プロセス/アーキテクチャ/オペレーション機能設置 ■ 長期的展望(戦略)に従った予算化と対策の実施 18 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 3.1 技術環境変化への対応 (クラウド特性の理解) クラウド利用に伴う、セキュリティ・リスクの評価 (Hybrid環境を想定) IaaSでは、物理セキュリティ以外は 従来型と変わらない対応が必要 ◆ ◆ 19 NWセキュリティやアクセス・セキュリ ティでは場合によっては“強化”が 必要(NW監視、アプライアンス対応、 ID連携等) Hybrid環境下での一元管理/個別管理 のメリット、デメリットを評価 © Copyright 2014 クラウド上に置く、システムやデータ の“保全”方式を再評価する ◆ サービス停止(遅延、DoS攻撃、乗っ取り)、 破壊・改ざん、漏洩リスクを評価する リスク=発生確率x発生時の被害額 ■ Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. データは特に、作成~削除までの 全ライフサイクルについて考慮 (参考:CSA v2.1 データセキュリティライフサイクル) 3.2 技術環境変化への対応 (クラウド特性の理解) クラウド利用に伴う、コンプライアンス・リスクの評価 (Hybrid環境を想定) パブリック・クラウドでは、 ゾーン指定を行わない限り、 どこにインスタンスが存在するか 分からない 20 ◆ 国によっては、データ等の移動を禁止 ◆ 国によっては、データ等の開示等が、 義務付けられている場合がある (テロ等に関係しているとみなされた 場合) © Copyright 2014 コンプライアンス対応のためには、 第三者機関の承認を得ることが 必要 ◆ 利用する、クラウド・サービスについて、 内部統制評価(SOX法)、カード情報の 取り扱い等の各種コンプライアンス要求 に合致しているかの確認が必要 ■ Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. データは暗号化(秘匿)だけでなく、 必要な時(要請時)にすぐに、探し 出せなければならない場合もある (米国:ディスカバリー法など) 3.3 クラウドコンピューティングに伴うリスク 日本の業者と契約しても、 個人データ サーバー/データが の法的な移動 制限 日本にあるとは 捜査権限 限らない・・・。 規制法(英) クラウド提供事業者側の 標準化が遅れている ケースが多い 予定外の メンテナンス 業者間のポータビリティ、 相互運用性がない データ保護 指令(EU) データの 窃取・喪失 通信回線の 不足 ワッセナー 協約 通信途絶、 速度低下 個人情報 保護法 他(加) インターネット 経由 データ規制捜 査権限法(中) 情報漏洩、 産業スパイ 運用ミス ハード/ソフト不具合 →アクセス不能、 データ喪失 広域停電 契約 賠償範囲が ユーザが 不十分 サーバー/データの 実際の所在地、運用 方法・形態を知るのは 難しい サービス提供業者の切り替えが困難 (利用継続性に疑問、ベンダーロックイン) 21 安易にデータを 移動させると 抵触する恐れ © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. サービス統合や、業者間のリソース融通等が難しい 愛国者法 (米) 公権力による サーバー差押え、 データ閲覧等 3.4 もう一つの対応策:プロアクティブ防御 「敵を知り、己を知れば、百戦危うからず」 セキュリティ攻撃の多様化、複雑化に 対応するためには、受け身ではなく 積極(攻撃)的な防御も必要 22 ◆ 攻撃者の攻撃パターンを想定し、 積極的な対応策をとる ◆ 罠をかけるという手法もありうる ◆ 当然、手間もお金もかかるため、 セキュリティ戦略等で、方向性を 定めておく必要がある © Copyright 2014 内部からのセキュリティ不正に関して も有効ではあるが、 適用には細心の注意が必要 ◆ 悪意とミスを見分けるのは、 ツールやシステムではなく人間であり、 インシデント発生時の対応を十分に 考慮しておく必要がある Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. ■ ハニー・トラップ(罠)をかける方式 を採用する場合には、前もって、 警告等の対応を行っておく必要が ある 3.5 サイバー・キル・チェーンの利用 偵察 武器化 エクスプロイ ト 配送 インストール C2 目的の実行 • • • 軍事作戦のキル・チェーンを、攻撃者の活動に当てはめたもの 右側にステップが移行するにつれ、攻撃が深化していく 2009年ロッキード・マーチン社のMike Clopper氏によって提唱された考え方 • 標的型攻撃など、「意図を持った」攻撃を軍事作戦になぞらえ、インシデント・レスポン スの考え方を提唱 C2:Command & Communication 23 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 3.6 攻撃の侵攻の例 各チエーン上で、関係付けられるふるまいを検知し、先手必勝で対応を行う 1 2 偵察 能動的調査 組織図 IPアドレス 武器化 攻撃ペイロード マルウェア デリバリー システム デリバリ スピア フィッシング ドライブバイ・ 3 ダウンロード サービス プロバイダ エクスプロイト 武器の アクティベート 足場の確定 サードパーティ コンプロマイズ インストール トロイの木馬 バックドア 固定チャンネル の確立 権限昇格 C2 対象への チャンネル確保 側面からの 活動 内部探査 目的の実行 攻撃の進行 固定チャンネル の追加 データ搾取 24 © Copyright 2014 ポートスキャン サービス プロバイダID 外部ホスト 実施される攻撃シーケンスに伴い 各種セキュリティ装置からの検知が推移 4 攻撃の流れを捉えることが重要 ユーザーID・ パスワード取得 固定チャンネル の維持 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 3.6 サイバー・キル・チェーン、その対応手法 検知 拒否 中断 緩和 偵察 Web分析 ファイアウォー ルACL 武器化 ネットワークIDS ネットワークIPS デリバリ 警戒ユーザー プロキシフィル ター ゲートウェイAV キューイング エクスプロイト ホストIDS パッチ DEP インストール ホストIDS chroot アンチウィルス C2 ネットワークIDS ファイアウォー ルACL ネットワークIPS 目的の実行 監査ログ 欺く ターピット DNSリダイレクト QoS ハニーポット 攻撃を受ける場合のパターンを予測、対応を準備し、積極的に守りを固める 25 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 4.まとめ © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 4.0 短期的対策、中期的対策、長期的対策 短期 セキュリティ・リスクの評価 ◆ クラウド利用を前提とした脅威と脆弱性の把握 (クラウド利用の可否、管理対象の範囲は適正か) ◆ 現状での対応レベルの確認 (何ができ、何ができていないか) 中期 アーキテクチャの見直し (整合化) (対応ロードマップ作成) ◆ ガバナンス/プロセス/アーキテクチャの見直し ◆ 脆弱点の徹底強化 長期 組織化と予算化 (経営課題としての取り組み) ◆ 事業部門を巻き込んだ組織・体制づくり (スキル・マトリックスとキャリアパス) ◆ 長期での対応予算の編成 ◆ 人材育成 27 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 4.1 包括的なセキュリティ対策のフレームワーク 予防 防止 検知 対応 アプリ 企画時のCheck 重要データの隔離 (ハッシュ化・暗号化) 各種テストの実施 異常検出 被害対象の把握 関連アプリのCheck インフラ 多層の防御 アーキテクチャ整合 バージョン最新化 構成情報の完全把握 異常検出 パターン予測 停止・切断・分離・隔離 迅速な再構成 プロセス 体制 標準の提示 レビューの実施 リスク評価 管理対象の拡大 (装置~機器~BYOD) 内部不正への牽制 24H/365D対応 兆候の把握 CSIRTによる対応 事業部門へのエスカ レーション方式確立 ガバナンス セキュリティ戦略立案 ベンダー契約の確認 ベンダーとの連携 予算化・組織化 現場からの声の収集 内部不正監視 有事体制の構築 ビジネス・イベントの考慮 セキュリティ監査 全社セキュリティ・ コミュニケーション確立 (広報、法務等) CSIRT: Computer Security Incident Response Team 28 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 4.2 まとめ これからの10年は、ITの利用方式が大きく 変化する10年であり、クラウドの利用がそ の主流になっていくと考えられる。 しかし、利用方式の拡大はセキュリティ・リ スクの増大そのものであり、IT部門だけが 対処療法的にセキュリティ対応を行ってい ては対応出来ない。 標的型やAPTの登場により、ITセキュリティ 対応は、全社レベルで継続的な対応を必 要とする企業リスクの経営課題となったと 考えるべきである。またクラウド利用ではIT 資産の“保全”の考えも再考が必要である。 29 © Copyright 2014 ITセキュリティ・リスクの評価は、 企業がおかれている環境や、 ITインフラやアプリケーションの構成 および、運用・利用方式により異なるが、 クラウド利用を前提とした 自社のITリスクを正しく理解し、 全社的かつ長期的な視野での 新しいITセキュリティ戦略を立案し 経営陣や事業部門、共通機能(広報、法 務等)を含めた全社的対応能力の 継続的な向上を目指すことが必要である。 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Thank you © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
© Copyright 2024