IPA 情報セキュリティセミナー 情報セキュリティ対策技術コース

とりあえず、めもってた内容そのまま。

(1)情報漏えいの傾向と原因分析
  ■モバイルpcのセキュリティ対策が進んでいない→アクセスコントロールがされていない
                         モバイルがどういう扱いが必要なのか、業務フローを見直す
   防犯対策:オフィスの出入りの管理、制服を着るだけで入れませんか?
   盗まれたものを読まれない対策:暗号化してるから安全?複合化の鍵は一緒に盗まれてませんか?
                  ファイルをゴミ箱から空にしただけでデータが消えたと思っていませんか?
                  →盗まれたけど大丈夫!とは、なかなか対策を説明しにくい
  ■ルールと手順にリスク分析、リスクヘッジが含まれているのか?
   例)機器を持ち出すときには上長の承認を得て、管理者が持ち出し簿に記録した後に持ち出す
    ・上長がいない場合は?
    ・管理者がいない場合は?
    ・持ち出し簿を紛失した場合は?
  ■予防的対策:漏洩されない、不正アクセスされないための対策
         外部媒体へのアクセスは許可なのか?→バックアップ以外にCD、DVD必要?ネットワークがあるなら不要
         ファイルがどこに存在しているのか?(DRM)
  ■事後対策:操作記録、通信記録、暗号化して読みにくくしておく
        暗号化
        ・ファイルシステムの暗号化
        ・ファイルの暗号化
        ・各種媒体の防御、暗号化
        →鍵がどこにあるのか? 一緒にあったら意味が無い
        →EFS(Microsoft製品)の場合、ファイルシステム内に鍵がある 暗号化を気休めにしていませんか?
        ※ 鍵は別の場所に置く 別のCD、別のUSBキー等

  ■監視ソフトウェアはある意味スパイウェア的→見られていると思う、心理的抑止効果(無茶な使用をしない:怪しいサイトを見る等)
                        見れることのできるサイトを限定しておくなどの使用法
   監視ソフトウェアが吐き出す通信記録/操作記録の扱いをどのように活用していくのかを考える必要がある。
  ■バランス:会社の色合いや予算が出てくる
        努力目標を立てすぎで、守ることを期待しすぎている
        ソフトウェアに依存しすぎている ソフトを入れたから大丈夫!...ホントに?
  ■ポイント
   ・業務フローの書き出し
   ・上長の承認をもらう→フロー化してしまう

(2)不正アクセス:手口の解説と対策
  不正アクセスは認証されていないアクセスを行うこと

  本当にわかりにくいパスワードになっていますか? パスワードクラッキングツールを使用すると8文字英数字だと数日
  【TIPS】初頭文字を記号にしてしまう→ばれにくい
  脆弱性の解消:サーバーにパッチを当てましょう
  デフォルト設定からの変更:不要な通信ポートは閉じているか?不要なプロセスは殺しているか?

  ■クロスサイトスクリプティング
   怪しいサイトに行かない(そこで、スクリプトを仕込まれる)
   原因:Webアプリ側で記号の処理をできていない ’ ” ;等
   企業の信用失墜につながる! 不正な取引に利用される、管理下の個人情報の漏洩
   対策例:リバースサーバー風にウェブアプリケーションファイアウォールなどの導入
  ■SQLインジェクション
   まっとうなWEBアプリケーションは’を処理するので大丈夫...だけど
   SQLインジェクションのアクセスの特徴:一時(短時間)に同様のエラーが吐き出されている場合、狙われている可能性、まさに今!
   対策例:XSSと同じ
  ■DNS情報の設定不備を突いた手口
   似たような名前ドメイン保有しておく、保有者を把握しておく
   サーバ内部の設定をきちんとしておく
   DNSSec=認証付でやり取りをする仕組み 少しは信頼性があがる なかなか導入が進まないが...
  ■そのほかの手口
   オレオレ証明書 フィッシング詐欺につながる
   hiddenタグを使用してデータのやり取りをしていないか?<金額等の書き換えなど
  ■ウェブアプリケーションのセキュリティ対策
   書籍を鵜呑みにしない

(3)情報セキュリティ技術マップ
  対策の基本は多重防御:一重だった場合の破られた場合の対策が必要
  ■不正アクセス対策
   ・ルータやファイアーウォール
   ・IDS/IPS 進入検知
   ・リモートアクセス対策(家で仕事しないというのも対策)
   ・セキュアOS
  ■ルータやファイアウォール
   パケットフィルタリングにより、不要な通信を外部に漏らさない
   アクセスログの保存は大切 ネットワークフォレンシックスの観点から
  ■プロキシサーバの役割
   ウィルスウォールの構築 Web経由感染のウィルスの対策
   社内の不要な情報を開示しない
  ■IDS/IPS
   運用が問題 24時間体制にどのように社内で対応していくのか?
   警告の行き先、何かあったときの後処理など
   運用開始時は誤報が多い→警告レベルのチューニングが必要
  ■リモートアクセス(無線LAN)の暗号化
   無線LANの電波の到達距離は社内だけではない!
   暗号通信を行うことによるセキュア化
   IPSec/SSLによるやり取りで、相手の身元を確かめる
    →パスワードだけのセキュア化では不足
  ■サーバの要塞化
   バッファオーバフローを抑止するためのライブラリ
   OS自身にバッファオーバフローを抑止する機能がある
   セキュアOSの利点 利用者制限がすごい
    ・管理者アカウントを色々な分野ごとに細分化されている
    ・奪われたアカウントによってできる内容が限られている
   ポリシのテンプレートが少ないので、一からの構築になる
  ■定期的な監査
   どのファイルをどこまで変えましたか?など、完全保護対策でわかるので、引継ぎのときにも役立つ場合がある
   脆弱性監査の実施 1台数十万 自前ツールなど

  情報漏えい対策
  ■メール運用のルール
   ウィルス対策
    ウィルス対策ソフトを入れる
    メールを閲覧するユーザのアカウントをAdministrator権限を与えない
    →インストールできないようにしてしまうとよい
  ■情報へのアクセス制限
   ログ分析って大変
   最小権限の適用
  ■スパイウェア/ウィルス/ぼっと対策
   産業スパイ系の人たちが、会社内の情報を抜くために利用するのが増えている
   ウィルス作成の有償サポートなども存在する→特定の企業を狙っている
  ■Webサーバの補強
   改ざん監視ソリューションを導入しておく
  ■暗号化
   キーの紛失、エラー対策 がポイント
   ISMS認証でも暗号化を入れると要件が増える
   紛失したときのリカバリはどうするの?ISMSの資料に書かれているので目を通すとよい

  資源利用者管理
  ■クライアント側の不要なプロセスの殺す基準
   一般的な感覚で(ファイル共有しないなら共有サービスを稼動させない、印刷しないならプリンタサービスを起動しない等)
  ■検疫ネットワーク
   会社のポリシー(入ってるソフトや設定などの守らせる仕組)をチェックするための検疫
   運用上のポイントは?
   会社として、ユーザの端末はどういう形であるべきか?という基準が大前提
  ■脆弱性監査ツールの利用
  ■ポート何が開いているのか?   SkypeやMessenger等
  ■シンクライアントの利用
   データはどうやって運用するのか?
   サーバが必要?アクセス管理は?等を考えていく必要がある
  ■パッチ適用を自動化するツール
   管理サイドでの周知徹底を促すのは難しい場合、ツールの導入で徹底を促す
  ■脆弱性検査ツール・サービス
   Webアプリケーションの脆弱性を診断するツールやサービス→高い! 一画面あたり数十万
  ■改ざん監視ツール・サービス
   Webアプリケーションが運用されている場合の改ざん検知は難しい→動的な場合(ユーザごとに画面が異なる等)は特に...
  ■利用者認証
   強いパスワード...覚えられない
   メモしたらいい。財布など別の場所に保管すれば良いでしょう
   グミ指大丈夫?PCに指紋ついてますよね<指紋認証
   USBトークンを無くしたらどうするのか? → 鍵分離
   PKI                  → 鍵分離
  ■利用者ごとのアクセス制限
   記録をとること。 正常時のアクセスと、不正時のアクセスの比較
   Windowsの基本的なセキュリティ監査を有効にするだけで、あとあと利用できる→デフォルトではほぼ利用されていない
  ■外部サイトへのアクセス制限
   基幹ネットワークと外部とのやり取りを行うネットワークは分けるほうが好ましい
  ■ネットワークのトラフィック監視
  ■入退室管理
   制限するだけではなく、記録をとる → 内部犯行的な情報漏えいは休日、夜間
                      記録が抑止につながる
  ■ログ管理
   留意点:必要なログを収集するように設定する
       ログサーバーでログの改ざん防止、分析活用等(CD-ROMに定期的に書き出す等)
       時刻同期は基本中の基本 ログ把握ができない
   解析の考え方:解析はインシデント発生時の前後
          ログ解析の複数参照が基本→時刻同期が必須(例:ファイアウォール、サーバー等)
   証拠能力は?改ざんされていないという立証をいかにするか
   ・通信のログをとりましょう(パケットレベルで)
   ・拒否した通信より、通過した通信を!
   ・共有アカウントは駄目 個別で

(4)インシデント対応
  インシデントの検知は大事
  ■インシデント対応の基準
   手順書が必要:非常事態ほど大事
          オペレーションを記述するのではなく、典型的な事例ごとに作成する
          体制・責任者・連絡先は必須
          判断材料など、連絡フローの中から必要なものを列挙しておく
          サービス継続をするための必要な内容は何か?
          代替手段の準備
          技術的手段の準備
   平常時を把握しておく サービス提供内容など
   予行演習など
   検知ツール
  ■情報セキュリティ侵害検出の方法
   IDS(シグネチャ認識)では未知の手段は検出できない
   アノマリ検出→平常時との違いで異常な状態を認識する(例:通信量のグラフを作成し、閾値を超えると管理者にメール等)
  ■不正アクセスを受けたときに...
   インシデント状態の保存
   本当にインシデントなのかどうか? なんか、異常→ただのシステムエラーでは?
   内部報告、外部報告のフローが大切
   再発防止には原因特定が必須→原因がわからない場合は、クリーンなシステムを再構築など
   報告書:裁判沙汰への対応 ただし、時系列が必要
  ■不正アクセスの原因追及
   検査手順の確立!
   事前にどんな記録をとっているのかにかかわってくる
   記録がないと解析できない
  ■専門家に頼む場合
   証拠保全(保全する内容 システムの中身、メモリの中身、ディスクの中身)
   あらかじめ、証拠保全が可能な状態のネットワーク構成をしておく
   ネットワークから切断するくらいなら、電源を落とす
   システムの中身、メモリの中身、ディスクの中身を他のサーバに転送するなど
  ■自分で調べるための準備
   OS内の管理ツールを使用するしかないので、汚染されていない管理ツール(CDに焼く)を利用
  作業記録が大切!

他にも纏めをされているページ。うちのよりわかりやすい可能性が 藁