中小企業だからこそBYODを考えてみる(JNSA NSF2012 in KANSAI)に参加してきたので垂れ流し
竹森さんの資料はNPO日本ネットワークセキュリティ協会で公開されると仰っていたのでわくわくしながら待っています。
感想
全般的な感想としては、高倉先生のお話が、ちょうど今話題の遠隔操作話では個人PCが遠隔操作で悪用されているんだけど、企業が同じように狙われたらどういうことが起こるのか?が非常にわかりやすく、人間の心理って注意しても注意しきれないなぁと思ったりしました。売り込みにくるセールスの人とかの「これを導入すれば○○完璧」はあてにならないなぁとか。コーヒーメーカーの脆弱性話は実は米国では先に発表されていたので、日本国内での発表が遅かったのは被害がようやっと出たからではないかという話に、やはり、国内情報だけをウォッチしてたらダメだなと思ったので、もう少し努力しないと...
パネルディスカッションは色々な立場から話が伺えてよかったかな。Microsoft社やKDDIといった大手&提供会社の視点と神戸のIT企業視点ではやはり違いがあるし、ここで聞いた話の後にNHNの全部受け入れますよ!はさらに衝撃だったり、さすがだなぁと思ったり。
最後のPayPal Hereは、クレジットカード持たない私には使えないんだけど(PayPalアカウント作れないし)、勉強会や懇親会の受付で使用しても面白いんじゃないかなって思った。
基調講演 凶悪化するサーバ攻撃の実態とその被害緩和手法:高倉先生
今までのセキュリティ対策の話
・境界防御
ネットワーク階層化、入り口対策でどこかでひっかかるだろうという対策
それぞれの階層に対策をしていても基本的に同じ機能
検知パターンを生成するためにはウィルスが検体として提供されることが前提
1秒間に数個の亜種/新種 → アンチウィルス対策に引っ掛からないもの
↓
自動解析をして、一番似ているものを探す
→ベンダー間で名前の調整を行うので亜種だからと言って挙動が同じではない
アンチウィルスベンダー側の思惑としては、
何をするウィルスかわかんないけど駆除されたとユーザが言われるより○○の亜種と言われたほうが安心してもらえる
大学で多いのはゲーム系のアイテムを盗むウィルスが多い
ゲームしてたら速攻大学内ではゲームを削除させてるので挙動しないはず?
ゲームのアイテム盗む=ファイルを盗む=ゲームのファイルだけが盗まれるわけじゃないよね <=ギャップ
でも、アンチウィルスベンダーのサイトにはゲームのグッズデータを盗むと書かれている
機能を転用すればどんなファイルでも盗めちゃうよね
・APT攻撃って・・・
軍事作戦名のようなもの
2003年ぐらいから10年越しでずっと起きてる
2007年には米国国防省が命名→サイバー上のアクションを含めた軍事行動
APTは隠語のようなもの
中小企業にAPTは直接関係なくてもぽいものはくるよね
・この箱買えばAPT大丈夫!って言うベンダーも居る(高倉先生の名前が持ってきた資料の巻末にあるよね?的な営業も)
巷のAPT対策は境界型防御の延長上→今までのマルウェアやbotを検知しますよという感じ
内部のインシデントは権限があるユーザから9:00-17:00の間に、ユーザが作業している時間帯に悪さをする
→不審アクセスと検知できる?
BYODがバックドアを作る場合も
・初期段階攻撃手法
電子メール→狙われるのは人事担当や広報担当 覚えがない人から受け取る仕事をしている人が対象にされる
参考:RSAセキュリティにAPT攻撃、SecurIDの有効性に打撃 - Engadget Japanese
Webサイトクリック
USBメモリ→制御系で起こっている 展示会で見積書入りUSBが配布されているその中にマルウェア
SNS→知り合い経由 TwitterやFb 狙ってる本人の周りから攻めて仕掛けて侵食していく
VirusTotalの話
去年の7月に東京電力に詰めていた人の個人プロバイダ宛に「3/30放射線量状況」を知らせる添付ファイル(Doc)
43種の検知パターンで確認可能なVirusTotalで受信翌日食わせて検知 0社
→ Microsoftに送信 7月のパッチで更新
参考:
・東日本大震災に乗じた標的型攻撃メールによるサイバー攻撃の分析・調査報告書(PDF)
・脆弱性を利用した新たなる脅威の分析による調査〜大震災に乗じたサイバー攻撃及び制御システムを狙った攻撃(Stuxnet)を分析(PDF)
特定の個人や会社を狙うのは簡単 使っているウィルス対策ソフトがわかればいい アンチウィルスソフトの購入に身分証明書はいらないし1週間限定の体験版もある
通り抜けたら?
・無効化しているけれど、動いているふりをさせる
・アカウント情報等企業秘密にかかわる場所へたどり着くための情報収集
・RAT(リモートコントロールを行うツール)
・外から新しいマルウェアをRAT経由で挿入
内部浸食
・認証Serverを攻撃し中継基地へ←認証Serverはアップデートが大変でしていないことも多いので攻撃対象になりやすい
・社内情報を盗み、正規ユーザによる機密情報アクセス
・内部標的型と同じ仕組み
正規メール受信5分後に修正メール→普通はあけるよね
不自然さがあまりない
一回入ってしまうと疑われにくい方法で侵食
・APT華麗な脱出方法
DMZに機密ファイルが移動されてそこから出ていく
社内ネットワークのルータやServerを乗っ取る
事前に認証Serverを攻撃し、社内管理者のアカウント/PWを奪取し痕跡を消去 → 起こったログに起こってないログを追記する 真実はどこ?
・基地化できるデバイスが増えた
プリンタ、スキャナ、プロジェクタ、情報家電(テレビでレコーダをネットワーク経由で制御)、温度センサー(ネット経由で天気情報を入手)
→ OSはLinux、FreeBSD、Windows
アプリはPC用を流用
PCと同じレベルで守れる?
温度センサーは社内ネットワークにつながっている 契約業者がオフィスからエアコンの状況をチェックして外部から制御可能
参考:エネルギー管理:電力不足を草の根による節電で解消へ、家庭のエアコンをインターネットで一斉に制御 - スマートジャパン
→存在がばれなきゃ大丈夫でしょ?っていう業者もいる
機器内の組み込みOSが何かは公開されているし、ネットワークつないだらすぐに攻撃さてるよね
アンチウィルス搭載のテレビは価格が高い <<後で調べる
→下手したら10年ぐらいアップデートされない=いい中継基地
コーヒーメーカーの話 → 珈琲の濃度が変更される、任意のプログラムが実行される(コーヒーメーカーから攻撃される)
参考:ニュース - 狙われる「情報家電」、コーヒーメーカーにも“危険な脆弱性”:ITpro、コーヒーメーカーにもセキュリティ脆弱性の時代:海外速報部ログ:ITmedia オルタナティブ・ブログ
可搬メモリもCPU内蔵 → SDカードでネットワークの話 中はLinux 10年前のPCスペックでWiFi搭載 ファームウェアも公開されている5000円のSDカード1枚でサーバ
参考:telnetでログインできるSDメモリーカード | スラッシュドット・ジャパン Linux
↓
悪い人がPCにSDカード差し込み WiFi経由でマルウェア仕込む 情報流出 というストーリーも・・・
・IPv6活用
社内はv4のみ使用 v6対応の機器を使用して社内ネットワークに v6網構築 → 本来ないはずのネットワーク経由で情報流出
→セキュリティ機器の監視対象外なのですり抜けまくり
・スマホ高性能化
BYODによるインシデント v6アドレスの乗っ取り 管理権限を取ったiPhoneがマルウェア感染してキャンパスネットワークの通信を抜こうとしている
・新たなセキュリティ対策
頑張りましょうは効かない
誰かが踏むと侵食する→人事担当に開くなは無理
・保護対象データの外部到達性
→今までと違う被害想定が必要 守り方を変える必要がある
持ち込み機器のログ保全は困難
→どこまで侵入を許すか、どこで食い止めるか、情報を持ち出されないためにはどうするか?
・対策見直し
社内通信はここを通るのは間違いない? 迂回経路は?
IPアドレス体系 うちはこのアドレスしか使ってないという見方をしない
ログは消されるし改ざんされる
証拠保全が大事
→一発で抜けるのは困難なのでありえない外部パスを通ろうとしたモノを怪しむ
ありとあらゆるログの取得は無理 99.9999999%は正しいログ 解析システムのコスト増
年間運用費が数百億円
どうやってログの量を減らしていくのか?
→ネットワークを分ける スイッチ買ってVLAN分ける
無線LANもESSID 部門ごとにミックスしないネットワーク
→ 監視コスト減
ログの定期的検査
解析ツール必須!!!!
ネットワークの設定を定期的にバックアップを取りチェック
Windowsアップデートを真面目にやってもServerのアップデートは真面目にやってないところが多い
Apache+MySQL+PHP+WordPress アップデートしようとしたらOSも ハードウェアも
参考:ニュース - 東大など国内5大学のサーバーから情報漏洩、ハッカー集団が犯行声名残す:ITpro
5年前後で見直しを書ける運用を
DNS BIND10→Python3.1→OS→・・・ハード買い直し
流行ものに飛びつかない
地方公共団体情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)
参考:
「保証期間」を設け追加費用なしでの修正を盛り込む:Webアプリに絞った脆弱性対策の要求仕様モデル、LASDECが公開 - @IT
高木浩光氏による「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」のポイント解説 - Togetter
自治体ですら言い始めている
中小企業も使用期限や運用、保守を考えて導入する必要がある
・目的
社内に入ること ぎりぎりのラインまで受け入れて何をたくらんでいるのか?をつかむことのほうが大事かもしれない
パネルディスカッション ちゃんとBYODを考えてみる
パネリスト 竹森さん、香山さん、近藤さん
モデレータ 嶋倉さん
BYODのDeviceって何があるの?手帳もあるよね
どこで使おうとしてるの?
何に使おうとしてるの?
メリットデメリットの話→情報セキュリティチェックシートを交えて考える
近藤さんの話 神戸デジタルラボ
150名弱のシステム開発会社
取り扱うのは顧客情報
業務使用PCは会社から貸与
スマホなども必要に応じて貸与
開発は社内のみ、持ち込み端末使用は禁止 鞄内やポケットは黙認
気付けばグループウェアや承認行為がWeb化→基本は社内PCのみ 社外からでも使ってよくなった
香山さんの話 Microsoft
テレワーク 女性の感性を取り入れないといけない
・ビジネス上の目標として
女性の感性を経営に取り入れるなども柱になっており
育児・介護などプライベートな課題も含めて働き方を
多様にする必要があります。
在宅勤務可能となる環境などはそれにあたる。
2008年から上司の承認を得れれば完全在宅勤務可
2012/3/19が飛び石連休だったので全社員テレワークの日にしてみた
嶋倉さん
日本企業は日本時間だけだけど
グローバル企業は日本時間だけじゃダメ→BYODをやらざるを得ない?
BYODがなぜ進まないのか?
→私物はセキュリティが担保出来ない 守りたいのはデバイス?データ?
管理する側の懸念事項は具体的に何?
近藤さん
基本Webベースで使えるものはBYODはOK スケジュール管理や顧客管理を閲覧 若干の入力もOK
社外で使いたいニーズ 提案資料を作りたい 社内データを持ち出して加工したい→自宅パソコンに保存した場合の漏洩危険性を考えて保存不可
最終的にはシンクライアント化という話は出てくるが150人弱の規模ではコスト的に非現実的
香川さん
管理者としての立場では
2500人の人間を統計的に見てみると、ヒアリングベースだけでなくシステムの動作確認などを行う
・MSの品川本社地区で働く2500人は、40:60で自席外で働く人の方が多い。
割合の多い方の生産性をあげることが経営的にもカギ。
資産価値の高い重点分野にエビデンスの高い監査手法
(ヒアリングではなく、動作確認など)を取り入れるのと考え方は似ているかもしれない
→Microsoftでは環境を標準化してリース切れに気付くのは10年後とか
WindowsXPはネットワーク接続不可能になっている
ホワイトリスト型の対策をしているので ○と○と○を守ればOK みたいな
ブラックリスト型だと ●と●と●はやっちゃダメ→抜け道を考えるので好ましくない?
嶋倉さん
Androidタブレットとか最近は多い
しゃしゃってやるのが格好いいから使いたいという偉い人もいる
技術的に見てAndroidどうなの?
竹森さん << 資料は後日WebサイトでDL可能になります
BYIDのリスク分析 個人スマホを社則で縛るのはナンセンス
本音はコスト削減で安全も維持したい
BYODは社則で縛れる?
→社員スマホの通信費の一部を負担する代わりに社員に依頼できそうな規則を交渉
依頼できること
・パスワードロック/パターンロック
・USBデバックOFF
→落とした時に内部にあるデータを簡単に取り出せなくなる
・MDMの導入:法人領域のみ管理することを了承→月額300円程度で作れる
依頼できないこと
・購入OS/端末指定
・アプリの脅威
・セキュリティ対策ソフト
・Jailbreakツールやハッキング対象
・法人NW設計
・社内でのテザリング防止
・リモートワイプの禁止
オープンOSのパッチ→パッチ配布は端末ベンダに一任
OSベンダ主導のパッチ→パッチは迅速
プライバシー保護型OS
情報収集モジュール 無料アプリの45% が情報を外部送信
→PC:Android=400:1 カスペルスキー2011統計 後で見るカスペルスキー調査、第3四半期はAndroid標的の攻撃増加 - ケータイ Watch
マルウェア感染は非公式Marketにある
OSベンダ管理型マーケットはマーケット内にマルウェアは発生しにくい
リスクウェアの話→広告がほとんど→アドレス帳読み取らせてね→8割の無料アプリにモジュールが組み込まれている
↓
マーケット上に無料は気持ち悪いアプリしかない
セキュリティベンダーも区別しにくい
脆弱性を持つアプリ << 資料公開めっちゃ楽しみ
テザリング使用で会社のネットワークを介せず外部に外に情報送信
嶋倉さん
私物も社給も怖さ話一緒
竹森さん
社用だとアプリケーション導入をコントロールできる
使い方でリスクが増すのがスマホ
嶋倉さん
コントロールできるかどうか?がポイント
香山さん
MSの3つの区分
・マネージドデバイス 会社が管理
・アプルーブドデバイス 会社色に染まる個人持ち
・エニーデバイス 何の管理もされてない
近藤さん
正直コントロールしきれない
ここまでは個人にお願いできても、ここから先は無理みたいな
個人の利用者は全部自分の管理下に置きたい
ホワイトリストでこれだけやってればおkってのがあれば使っていけるかも
あれはダメ是もだめだと難しい
嶋倉さん
開発会社だと、ある程度分かっているけど
一般の会社でわかってない人が多いと難しいかも
どうやって解決できるの?
会場質問
端末の持ち込み、スマホやタブレットの持ち込みに付随するサービス
エバーノートとか
ここまでは良くてここまではダメってどうやって区別するの?
竹森さん
アドレス帳をそのまま抜くと問題あるので、画像で抜くアプリもあった
ファイルバックアップのたびにネット上にあげるクラウドは今後ますます増える
どうその会社を信じるか?
嶋倉さん
アプリさえ入れなければ大丈夫なのかな?
対策に向けてのポイント
私物と社給の対策はどこまでコントロールできるのか?
私物でも仕事に使うなら責任あるんじゃない?利用者の意識が変わる
データsecurityをどうするの?
パブリックとプライベートの切り替えができるMDMはあるけどせめぎあい
何が会社の情報?どこまでコントロールできる?
竹森さん
リスク低減対策例
・WiFiスポットを社内で探しましょうプロジェクト WiFiAnalyzer を使ってバックドアにつながるネットワークをつぶす
・KDDI3LM Security 業務利用と個人利用のアプリを別管理、一部ワイプ等可能 << あとで調べる
・スマートフォンはサンドボックス
一つのアプリで問題が起きてもほかのアプリに影響しない
→業務用のデータに影響がなければいい
・ARM(Android)+TPMのセキュアブート
社員にお願いできそうなこと
・パスワードロック、USB接続OFF、root権限ダッシュしない、アドレス帳にお客さん情報入れない、リモートロック、MDM可能なら、正規マーケットからのみ
・電話の発着信は許可してもアドレス帳は×
・スマホはキーロガー作りにくい→パスワード入力型Webメール
・業務アプリはWebでパスワード入力型に
・デフォルト安全なOSに限定する
・AndroidはMDM契約 → できるのはauだけwww<営業トークです
参考:KDDI 3LM Security | モバイルソリューション | KDDI株式会社
許容できるリスク
社員の合意レベル
↓
システム構成+業務内容 などを考慮すべき
嶋倉さん
リスクをどう認識してどこまで自分たちでわかったうえでコントロール・受容するのか?
近藤さん
リスク分析で発生頻度が小さくて影響度が多いものもある
最終的に中になったものを許容できるか?
香山さん
リスク分析で「中」はグレーゾーン
技術がシステム化されているかどうかが大事
人が頑張るで「中」はダメ スローガン的な
リバースプロキシで接続してメールを見る
VPNは使用しないとか
区役所では野良WiFiがいっぱい→このAPならいいよってしておけばテザリングも起きないんじゃないかな
竹森さん
社内LANにある業務システムには入れる
MDM入れてください
ログ取れるアプリを入れるよって言って、入れたふりしたら慎重になるかも
OSによって安全度も違う
近藤さん
技術会社なのでリテラシは高いと思いがちだがそうでもないので勉強会をしている
誤ったやり方のチェック体制を考えていかないといけない
香川さん
ここまで深く議論するケースがない
発生する頻度はよりスマホのほうが紛失しやすい
複数回パスコード間違えると消えるとか
OSやデバイスに依存するけど暗号化が望まれる
落としちゃった というベーシックな部分を守る
私有物BYODで電話したらなんでお金払うの
→社内はIP電話 電話代かからないよね
会場質問
システム的な対策もあるけど
人はフレキシブル
どこまでやるか?最悪なことを考えている
人間的なことは考えないの?
竹森さん
スマホはMDMがあって最終的に人は信じられないので証拠保全アプリを配って見る
落とす、悪意
ログを取りたいけどとりたい、取ってるふりはどうだろう
香山さん
スマホから見れるのはメールだけ
MSで大事なのはOSやアプリのソースコード
触るためには専用アプリや専用機器が必要になっている
リバースプロキシだとVPNより線引きしやすい
嶋倉さん
スマホでDLするファイルは暗号化しておくとみられたからと言ってどうこうじゃない
近藤さん
Webで使えるかどうかが線引き
閲覧できても保存はダメ
嶋倉さん
富士通もスマホでは条件付きでBYODを認めている
フェニックスでセキュアブラウザをインストールしておくと社内にアクセスできる
参考:携帯ブラウザ接続サービス FENICS? ユニバーサルコネクト : 富士通
キャッシュにもデータを残さない
ブラウザで触れる範囲
社内にアクセスしてきたものは社内側でアクセスログを採ればいい
竹森さん
仮装マシーン 1台に2台の機能を どこまでニーズがあるのか?
KDDIは聞きたい
アプリケーションに割り当てられた権限を診ればいい
私が質問してみた
楽しいアプリはアドレス帳抜くんですけど
入れちゃったにどうしたらいいですか?
竹森さん
専用のアドレス帳アプリケーションみたいなものを入れれば大丈夫
アプリケーションの中でアドレス帳を仕分けするのは無理
Webアプリでアドレスを管理してそっち側で使えばいいかも
私が質問してみた
社内にサイボウズ入れて、サイボウズにWeb経由でアクセスして電話帳を使用するみないたのが安全という感じですか?
竹森さん
そんな感じ。
会場の人
どこのスマホがいいの?
竹森さん
スマホではリスクウェアがある
社員の使い方によっては会社にとってリスクがある→無料アプリの8割あるよ
近藤さん
スマホには問題視していなくて、タブレット系が今後増えていく
いかに使いがってよく切り返していけるのか?
利用者がぱぱっと切り替えて使っていけるの?
竹森さん
簡単に切り替えれる企画を検討している
スマートフォンアプリ提供事業者におけるBYOD制度:NHN増村さん
LINEを出しているので社内でスマホを使うなとは言えない
他社サービスでも使ってより良いものを提案を
一人スマホ購入ごとに2万円支援の福利厚生制度
スマホでNo.1目指すなら支援が必要という経営の意思決定
社内WiFiも充実 スマホがいつでもどこでも社内で利用できる
テスト用に貸与されている700数台はテスト用にだけ使用されている
Commの話
全スマート機器をWiFiに接続可能
・ゲスト用WiFi→グローバルにしか出れない
・社員用WiFi→社内だけ
セグメント別ポリシー→申請をちゃんとすればいい
運用→ワークフロー申請をしないと社内WiFiもファイルサーバも利用できない:識別番号の申請が必要
社内の申請で社内WiFi利用 300人で450台 テスト用は+700台
メールもスケジューラーも識別番号の申請をしないと見れない 350人
全ては社員番号で管理している為、退職したら全部使えない ただし、Max1ヶ月はメールは可能に(誓約書使用) 外資系ゆえの割り切りかも
リモートワイプ強制しないと就業規則上の罰則 紛失届発効後数日でワイプ 自己責任・紛失しないこと
リテラシー高くないとうちの会社では働かない
リテラシーが怪しい人には個別に注意
中途採用が多いけど、エンジニアはリテラシが高い
海外エンジニアも日本で働いているけど、公用語は日本語
制度面では人を信じるが多い
入社時には研修・座学・1月後にe-learnig 日本語&韓国語
年1回のe-learning 上長の責任
社内規定にリスクマネジメント規程 リスクは部門長が担う 経営は助けない 外資っぽい
→ガイドにのっとって運用する
ビジネスの流れを止めない為にスピードを出す
リスク管理部門は事業の邪魔をしちゃいけない、事業成長支援をしないといけない
社長に「securityだけじゃごはんをたべれない、バランスを考えて全社にいい形で」
エンターテイメントの会社なので、リスク教育も楽しく
ビジネスの成長を止めないsecurity
ぜひ、LINE使ってください お客さんの声を聞いてよりよくしていきます
PayPalHere スマとフォンの新たな可能性:PayPal
PayPalの会社概要
PayPalHere 希望小売価格1260円
オフラインペイメント(対面決済)の世界に拡大するPayPalのサービス
簡易レジ機能
iOSのみ現在は対応
Androidは随時対応予定→日本のAndroidが独自カスタマイズされまくっていて結構大変 2.2以上をサポートする予定
PayPal Hereは店舗用
→小型店舗がカードを通常利用するより現金が手元に入るのが早い
Softbankと提携したことによりSoftbankショップで10-20分程度で本人確認
+40円というトランザクション固定費がなくなった
→喫茶店など小売業者も導入しやすい フリーマーケットとか
まとめの話
後で追記
