だから情報は狙われる――これからの情報漏えい対策とは「100%は防げない」を前提としたセキュリティ対策に行ってきた。
- 日時:2012年6月19日(火)10:00〜16:45
- 会場:青山ダイヤモンドホール ダイヤモンドルーム(1F)
- 主催:アイティメディア株式会社 @IT編集部
- 協賛:日本ベリサイン(株)、フォーティネットジャパン(株)、(株)ソリトンシステムズ、トレンドマイクロ(株)、チェック・ポイント・ソフトウェア・テクノロジーズ(株)、キヤノンITソリューションズ(株)
【概要(Webより)】:この1年余りで、サイバー攻撃の質が変化したことにお気づきでしょうか? 手に入りやすそうな情報を漫然と狙う代わりに、組織内の情報や機密情報、あるいはそれらを奪う足がかりとなる情報を盗み取るため、標的型攻撃に代表される巧妙かつ執拗な攻撃が増加しています。 一方で、私たちを取り巻く環境の変化も、新しいリスクを生み出しています。情報交換やコミュニケーションに有用なソーシャルネットワークサービスやスマートフォンが、情報漏えいの糸口となりかねないのです。 このように、これまでとはまったく異なるルールの「攻撃」と「リスク」が横行する中、企業にとって重要な情報を保護する手段、そして万一攻撃を受けてしまった場合でもそれを速やかに発見し、被害を最小限に抑える手段を探ります。
高橋睦美@IT編集部の挨拶:セキュリティ対策のヒントを1個でも2個でも持って帰っていただければ幸いです。
人間力で備えよ! これからの情報漏えい
盗難や紛失、アプリケーションの脆弱性といった古典的な経路に加え、最近では標的型攻撃や産業スパイ/軍事スパイによる情報漏えいへの懸念が高まっている。これまで想定もしなかったような形で、情報漏えいが発生する可能性があるのだ。そんな時に頼りになるのは、基本的な対策に加え、やはりシステム運用に携わる「人間」の力。いざというときに慌てず、最善の策を打つために人間力を鍛える方法について説明します。
攻撃の進化
情報は金になる
- 人間、この弱き生き物:ミスをする、リスクを認識しない、借金する、欲望に弱い、この情報は売れる?って思う、俺には起こらない、と思う(偉い人に多い)。
- 情報を引き出す:買収等、欲望の利用、(強弱)脅迫、ICTを援用して盗む、「公開」情報を収集、名寄せ
- 引き出して何をしたいのか:標的型攻撃の偽装、ソーシャルエンジニアリング的手法への利用、さらなる脅迫の材料
- 情報収集コストが低下:ハッカー(クラッカー)と知り合いでなくてもICTの利用(人と知り合うリスクを避ける)、洗練されたツール、解析ノウハウの一般化、各種偽装の一般化(迷惑メール経験値←洗練されてきた)
- 人間に運ばせる:隔離されたネットワークも安全ではない?、人間は不便さを知恵で解消しようとする(ショートカットするので対策が無駄になる)、人間は制約を作る人間の上を行く(本当のアイディアは攻撃にある)、意識せずに持ち出せる
- 繋がっていれば送り出せる:出口対策の対象ルート、勝手にWiFi(のらAP等)、モバイルルーター、スマフォ、正規ルート&性器条件での通信。…監視できるのか?
ハクティビズム
- 主義のために攻撃:必然的に派手になる(笑)、より有名なところからより大量に、サボっていることがばれる(サボっているところが多い)、DDOSなどで派手に使用不能に、愉快犯と同じ
- ツール化されていない知見の共有:こんなやり方もあるのか、こんな穴があるのか、こんなに弱いのか。→攻撃側の増強
- 弱いパスワード:password,123456,12345678,qwerty,abc123,…
人間力
- 対峙する脅威:ハクティビズムの獲物になり個人情報漏洩などで社会的信用を落とす、標的型攻撃により機密を漏洩させられてしまう、DDOS攻撃によりWebを用いたサービスを不能にされてしまう
- 足りない対策まとめ:偽装メール・メッセージ検知力、怪しい文書ファイル検知力、怪しい成分除去力、危険見でないSNS(笑)、怪しくないアプリ(笑)or検知力、ヤバくないネットゲーム、ウイルス検知力、Webアプリ攻撃に対する防御力、DDOS対策
- 足りない対策リバイス:文書ファイルの便利成分の有害さ検知、有害なJavaScript(スクリプト)の検知、プラグイン・アドオン等の脆弱性対策、DDOS対策
- 心構え:起きうる事象を想定していても想定外は起きる、対策が足りていないところが当然ながらリスクになる、人間のセンサー感度を上げる、人間の対応力を上げる
- 人間のセンサー感度、対応力向上:ビジネス上の習慣をできる限り明文化(暗黙の了解はダメ)、異常事態に対峙する訓練(シミュレーション、議論と考察)、どういう事象となって顕在化するかという情報を共有する(手口情報の共有)、→誰に言うのかをはっきりさせておく
- 事例に学ぶ:事件を分析し情報共有、自社の場合でシミュレーション、組織的対応の阻害要因を洗い出す、不足する対策を洗い出す
- 組織的対応の事前整理:盗まれた情報のオーナーをケア、広報戦略、悪い情報もすべて出させる仕組み、情報を集中させる体制(誰が責任者なのか)
- 想定外への対応とは:シミュレーション含む経験値の高さ、ノウハウをバラして使えるか、可能性の積み上げリスクの複合的な提言、最後は人間力
結局、頼りになるのは人だから、個々人のレベルを上げるしかないのか? どのようにやるべきかの話はなかったような…。
ウェブサイトに潜む脆弱性の脅威に、担当者がすぐに行うべき対策
万が一、攻撃されてしまうとビジネスへの影響も大きいことから、ウェブサイトのリリース時検査だけでなく、新しく発生する脆弱性に対してもキャッチアップと対策が求められる。脆弱性の有無を確認するコストもかかり、社内へ説明することの難しさから敬遠されがちだが、脆弱性を攻撃される恐れに対して担当者はどのような対応が求められるのだろうか。
標的型攻撃対策 −マルウェアから情報を守る−
標的型攻撃に利用されるマルウェアから情報を守るためには、マルウェアに感染させないことが重要です。さらに100%はないという前提で考え、マルウェアの外部通信をさせない・外部通信に気づくことも必要になります。本セッションでは、従来の製品では防げないPCのマルウェア感染を防ぐZeronaと、マルウェアの外部通信を遮断・怪しい通信に気づくことのできるIronport WSAを紹介します。
Facebookのセキュリティを考える
シニア セキュリティ アナリスト 守屋 英一 氏
SNSが人々の間で急速に広まっています。マーケティングにSNSを利用する企業も増大し、オフィスなどでのSNSの利用も少なくありません。一方で個人情報漏えいやウイルス感染など、SNSのセキュリティに取り組む必要も出ています。そこで、このセミナーでは、Facebookを中心にリスクとその対策について講演させていただきます。
- 国内のFacebook利用者は、2012年2月1,350万人
- Facebookの利用開始時期は2011年が半数を占めている
- 個人情報を公開することに対しては、不安を持っているユーザは52%→60%と増加傾向
- 就職活動でSNSを利用する人の割合は47%で、転職でSNSを利用する人の割合の5倍であった
- 求職者のSNSを採用時に確認!
- 国内法の観点からSNSを利用した素行調査について:「(求職者等の)個人情報を収集する際には、本人から直接収集し、又は本人の同意の下で本人以外のものから収集する等適法かつ公正な手段によらなければならない」としている
- ソーシャル・ハラスメント:友達申請で困ったことがあるか?:Facebookの友達申請、女性の5割強が「困ったことがある」。理由は、「知らない人・面識のない人」「元カレ・元カノ」「家族」「嫌いな上司・昔の上司」「先輩」「嫌いな知人」など
- ソーシャルネットワーク上で発生するパワハラやセクハラ:すべての投稿に「いいね!」してくる、Facebookの投稿をリアルの会話につなげてくる、意味なく「メッセージ」を送ってくる、まったく面識のない自分の友達に「友達」申請する、投稿した写真をダウンロードしている、すべてのSNSでつながろうとする、意識されたい下心が見え見えの投稿をしてくる、自分の投稿に反応しろと圧力をかけてくる。←「ソーハラ」オヤジ扱い(被害)される8つの行動。
- 情報漏洩:韓国軍将兵のSNS利用による情報流出問題
- 産業スパイ:FacebookでNATO司令官の情報搾取(偽アカウント)
- 無害なページをクリックさせ秘密情報を露呈する技術
- SNSを悪用したマルウェアの感染
- 面識ある友人からのメッセージは2人に1人がURLを気にせずクリック
【質疑応答】
- <不適切な発言>の件で企業はどうしているか?:ガイドラインが作られていない企業が多い。使用させていいのかどうかを悩んでいる段階。就職活動で学生に使わせているのに、入社してから使わせないのはおかしい。書き込み内容以外にも技術的な面(メールアドレスをインポートしてお誘いメールが出る)等を含めて、現在ガイドラインをまとめようとしている。
- トラッキングはどのように考えているか? 脅威と考えているか?:プライバシーの問題がありなかなか難しい。トラッキングされていい広告が送られてくるのでOKの人もいる。若い人は脅威と思っている人は少ない。35歳以上の人は個人情報保護法等を懸念して、出すのをいやがっている。世代で違う。人によりけりなので、トラッキングできるかどうかの選択肢を与える機能があればいいと思う。
- 情報の値段でFacebookのアカウントの値段がTwitterより安いのはなぜか?:Facebookでは実名だけど偽装もあるし9億人もいるので飽和状態なので、値段が下がっている。
狙いは情報窃取? 進化する標的型攻撃と、今求められる対策とは
『狙いは情報搾取? 進化する標的型攻撃と、今求められる対策とは』 昨年来注目を集めている標的型攻撃(APT)。最終的には情報漏えいを引き起こすことからも対応が急がれています。さまざまなアプローチによる対策が提案される中、攻撃もまた、進化を続けています。本セッションでは、最新の標的型攻撃と、それに対する各アプローチを紹介しながら、今本当に求められる対策とは何かについて考えます。
- はじめに:標準型攻撃の目的とは?
- 標準型攻撃:最新手口:1. LuckyCat 2. IXESHE(アイスシ)
- イマドキの標準型攻撃手口から学ぶ、必要な対策
- トレンドマイクロソリューションのご案内
チェック・ポイントのマルチ・レイヤー・プロテクション 一歩先を行くセキュリティ、標的型攻撃対策
システム・エンジニアリング本部長 安藤 正之 氏
対策が急務な標的型攻撃などインターネットからやって来る脅威は日々ダイナミックに変化している。これらにはリアルタイムで対応し防御を行う必要がある。そこでクラウドで変化する脅威のデータベースを構築し、これをゲートウェイにて活用し最新の防御を速やかにしかもマルチレイヤーで実行するソリューションを提案する。
- 新しい脅威対策専用パッケージ
- 今日の脅威の状況
- 2011年 標的型攻撃が一般化
- 二つの脆弱性の源:人間とテクノロジー
- 様々な個所で攻撃が発生
- Check Pointの標的型対策ソリューション
クラウド時代におけるゲートウェイセキュリティの活用
部長 余頃 孔一 氏
キヤノンITソリューションズ(株) プロダクトソリューション事業本部
セキュリティソリューション事業部 UTMセキュリティ部 UTM営業課 課長 平野 正 氏
ボットネットや標的型攻撃などの脅威が複雑化・多様化する中、有効なネットワークセキュリティ対策としてUTM(複合脅威対策)が注目を集めています。UTM市場シェアNo.1を誇る『FortiGate』を活用したクラウドサービスによって、導入やメンテナンスの課題をどのように解決するのか、お客様の導入事例を交えて説明します。
インターネットセキュリティ最前線 2012夏
ラックのセキュリティ監視センターJSOCで日夜観測されているインシデントについて解説します。標的型攻撃、SQLインジェクションなどのインシデントが発生しており、大きな問題となっています。これらのインシデントの被害にあわないためにはシステムの運用が重要となります。いま、改めてシステム運用を見直し、行うべき対策について解説します。
- 最近起きていた事件:JAXAのウイルス感染、農林水産省の標的型メール事案、国際協力銀行のトロイの木馬型ウイルス感染、Vectorサーバの一部に異常発生、ハッカー集団AnonymousのDDoS攻撃、Macを狙った「FlashBack」、内閣府を騙った電子メール、「対北朝鮮措置」でウイルス感染、「the Movie」を名乗るAndroidアプリ、原子力安全基盤機構のPCがマルウェアに感染、ロジテックブロードバンドルータのセキュリティ脆弱性、などなど
- 見えてきた問題:多くにマルウェアがからんでいる(ウイルス、ボット、ワーム、トロイの木馬)
- マルウェア対策は運用がキモ(なかなか難しい?)
- やるべきこと:セキュリティ専門家のレベルアップ、IT専門家のレベルアップ、一般ユーザのレベルアップ
- まとめ:敵の狙いを理解する(狙われているところはどこか?弱いところはどこか?)、自分のシステムについて把握する(できることとできないこと)、守る方にも戦略が必要(モノが同じならヒトとジョウホウで差がでる)
話し方がうまいので、なかなか面白い講演だった。
感想
久しぶりにセキュリティ関連のセミナーに出席した。知らない専門用語が普通に使われているのに驚いた。1年ぐらいの間に色々と進歩したようだ。修行が足りんなぁ…。
その他
無料セミナーなのに「弁当」が出た。今までいくつが無料セミナーに出席してきたが、こんなのは初めてでビックリした。コーヒーブレークでも普通は紙コップだが、ここでは陶器のコーヒーカップとソーサーが用意されていた。スポンサーは金をいっぱい取られたに違いない。
