情報セキュリティ基盤論 2013脅威・攻撃に対抗する技術 8....
TRANSCRIPT
情報セキュリティ基盤論 2013 工学系研究科講義科目
佐藤周行
SIGMAXYZ
三井物産セキュアディレクション
情報セキュリティ基盤論
共立出版, 2010 ISBN: 9784320122574
情報セキュリティの現代の「標準体系」のつもりでかいています
授業は、この内容をベースにして行ないます (+アドバンストな内容)
教科書
「情報」をセキュアに扱うことができること
情報の機密性(アクセス権をコントロールできる)
情報の完全性(内容をコントロールできる)
情報の可用性(アクセスが保証される)
+アルファ(真正性、責任追跡性、否認防止、信頼性)
ISO 27000シリーズ (この番号は重要)
情報セキュリティとは
I リスクの分析と評価 1. リスクの動向と変遷 2. 情報セキュリティリスク管理 II コンテンツの電子化・ネット化・クラウド化 3. コンテンツの電子化・ネット化・クラウド化 4. コンテンツマネジメント III 具体的な脅威・脆弱性 5. 脅威・脆弱性の変遷と動向 6. ネットの脅威とネットハックの実際 IV 情報セキュリティリスクへの対応 7. 暗号と電子認証 8. アイデンティティ管理 V 情報セキュリティと社会制度 9. セキュリティ監査と成熟度モデル 10. 法律問題とeコンプライアンス 11. 社会制度
教科書の目次
クラシックな情報セキュリティの図式
会社
攻撃(資産を盗む)
脆弱性 脅威の分析(リスク分析) → 次のアクションへ
社会制度による規制、保護
ビジネス
2010年から今までに何が起こっているか? クラウドサービスの一般化
国内・国外
ICTインフラ巨大企業の大躍進 Amazon, Google,
Facebook,
オンラインの世界での「アイデンティティ」
組織が与える「アカウント」から、ICTインフラ企業が提供する「アカウント」への移行
仕事のやり方が変わる(BYOD…)
Advanced Topics?
2010年から今まで起こっていること(続き)
攻撃の手法のますますの高度化
Targetted attack, persistent attack等、本質的に対応不可能なものも。
Stuxnet, flame, gaussなど、経済犯、愉快犯でないものも。
恒常化する個人の権利侵害
「同意」に名を借りた個人情報の強制的引き渡し
電気通信事業者にのっかって「通信の秘密」を犯すサービスを行うことが可能に。
2010年から今まで起こっていること(続き)
技術的には必死の対応が続けられている
セキュリティベンダー
統制・規制・法制度 (control, regulation, legislation) の整備のこころみ
オンライントラストの構築
EUデータ保護指令、アメリカ「消費者の権利章典」
Cross border問題の認識と調整
現代的な情報セキュリティの図式
会社
攻撃(資産を盗む)
社会制度による規制、保護
ビジネス
uncontrollable
ICT巨大インフラ企業
クラウドは情報セキュリティ的に何が問題か
クラシックなリスク分析の手法の限界
ICTインフラの巨大企業は情報セキュリティ的に何が問題か
「アイデンティティ」を握っている
統制が基本的に効かない
個人の権利はどう守られるべきなのか
ネット上のプライバシー
現代的な問題への対応
企業X
運用 管理
技術
企業リスク マネジメント
企業Y
運用 管理
技術
企業リスク マネジメント
……
現代社会における情報セキュリティの背景
情報セキュリティ基盤
“社会”のセキュリティ基盤 ~本質的解決に向けた “あるべき姿”~
脅威・攻撃に対抗する技術 8. ネットワークとシステムにおけるセキュリティ技術
9.暗号と電子認証
社会制度の整備 10. eコンプライアンス 11. 社会制度と国民ID
“会社”のセキュリティ基盤 ~組織が採用している現実解~
運用上の管理 6.アイデンティティ管理とID管理
7.成熟度モデルとセキュリティ監査
採用される技術 5. 企業で使われる 情報セキュリティ技術
企業リスクマネジメント 4.情報セキュリティリスク管理
情報セキュリティ上の脅威とハッキング技術 3.脅威の変遷とインシデントの動向
IT技術の発展とその課題 1.クラウド化、ソーシャル化への変遷
2.現代社会におけるサービス提供企業の課題
2013/04/03 講義の構成
個人 (消費者、サービスのエンドユーザ、国民等)
“基盤”を通じたサービスの利用
No. 講義日 タイトル 教科書での対応章
(0) 4/10 ガイダンス -
1 4/17 クラウド化、ソーシャル化への変遷 3. コンテンツの変遷と動向(電子化、ネット化、クラウド化、ソーシャル化)
2 4/24 現代社会におけるサービス提供企業の課題 1. リスクの動向と変遷 4. クラウド化、ソーシャル化時代の課題
3 5/8 脅威の変遷とインシデントの動向 5. 脅威・脆弱性の変遷と動向 6. ネットの脅威とネットハックの実際
4 5/15 情報セキュリティリスク管理 2. 情報セキュリティリスク管理
5 5/22 企業で使われる情報セキュリティ技術 新規
6 5/29 アイデンティティ管理とID管理 8. アイデンティティ管理とID管理
7 6/5 成熟度モデルとセキュリティ監査 9. セキュリティ監査と成熟度モデル
8 6/12 ネットワークとシステムにおけるセキュリティ技術 新規
9 6/19 暗号と電子認証 7. 暗号と電子認証
10 6/26 eコンプライアンス 10. 法律問題とeコンプライアンス
11 7/3 社会制度と国民ID 11. 社会制度
(12) 7/10 まとめとレポート問題解説 -
スケジュール
サービスレベルとして、何が規定されるべきか?
現在では手探り
大手のクラウドベンダーでは、サービスレベルは主に「稼働率」と定義されている
SLA Cloudで検索をかけてみよう
セキュリティに関してのサービスレベルを規定するところはほとんどない
対アタック耐性等
クラウドの問題(SLA)
組織の資産をクラウドに移してしまうと、その資産を守ってくれる保証はどこにあるか?
従来は、組織の統制可能なところに置くことで資産を保護していた → stakeholderへの説明責任
物理的手法、人的手法、ネットワークセキュリティ、ソフトウェアシステムセキュリティ、認証 (情報セキュリティの中心的な課題だった)
組織を対象としたリスク管理方法がそのままでは通用しない
Private Cloudという解は現在疑問視されている
SLAはpublic cloudをどこまでコントロールできるか(記述できないものはコントロールできない)
クラウドの問題(SLA)
クラウドベンダーの裁判管轄権が問題になることがある
クラウドベンダーがアメリカにサーバを持っているとき、アメリカの法律が適用される
クラウドベンダーがアメリカに本社を持っているとき、アメリカの法律が適用されることがある
ビジネスにとって致命的になる場合がある
令状なしの押収等(クラウドサービスが止まった事例あり)
クラウドの問題(cross border)
アメリカの法制度をヨーロッパの一部が問題視
Patriot Act により、令状なしの押収その他が可能
FISAA (Foreign Intelligence Surveillance Amendments Act)
外国人の動向調査(リアルタイム、政治的な信条はもちろん含む)が可能に。裁判所の(秘密の)許可さえあればOK。
プライバシーについては米欧で非常に大きな差がある(きっと埋められない)
クラウドの問題(cross border)
ICTインフラには以下が含まれる キャリア(NTT, KDDI, …)
セキュリティ(Norton, Symantec, PKI CA vendors,…)
サービス(Google, Amazon, 楽天, CCC, …)
ソーシャルネットワーク(Facebook, LINE, …)
…
インフラ企業に求められる社会的責任(規制)について、整備が進んでいないことが多い Cross borderの問題
プライバシー等、本質的な問題への対処
巨大ICTインフラ企業
Googleアカウント、Amazonアカウントで、様々なサービスが受けられる ネット上のアイデンティティを提供する形
Gmailのメールアドレスを受け入れるところ多数
Facebookのアカウントで、様々なサービスが受けられるようになっている Facebookのアカウントですべてが済む?
ネット上の活動がインフラ企業の掌の上で行われるようになった
Social Identities
今までは、 組織の与えたアイデンティティ(ID, mail address)で、組織の一員として活動(organizational identities)
サービス提供者は、各々アカウントを与えることで、ユーザを囲い込んでいたので、social identitiesが問題になることはなかった
SSO技術(OpenID, SAML等)の進展による利便性の提供は本来喜ぶべきことであるが…
広告主を集める
自サイトのユーザの行動履歴を解析する
解析の結果、効果が高いと思われる利用者に広告を出す
Social Identity系インフラ企業のビジネスモデル
ネットの広告の世界では「Personalized Ad」は効果的なものと信じられている
Google等はこれを積極的に採用している
広告主は個人のプライバシーを侵害しないが、インフラ企業が何をやっているかについては議論の対象になる
Personalizationのためのさまざまな手法 3rd Party Tracking, Spyware, …
ここで、「個人」対「Social Identity系インフラ企業」の力の差は歴然
「同意」があるからやってもよいかというと、それは少し問題がある。 プライバシー上の問題として認識されている
アメリカでは消費者の権利として宣言 “Do Not Track” 規制作りが進んでいるようにみえる
http://www.w3.org/TR/tracking-dnt/
しかし、→は本質的にどこを向いているかについて注意 消費者の責任について言及(力の差が歴然なのに)
2012年10月のIE10 に関する論争 W8のIE10でDNT:1をデフォルトにすると発表
Yahooが「それを無視する」と発表 ApacheがIE10のDNTフラグを無視するパッチを発表(現在はコメントアウトされている)
個人が「アイデンティティに関する情報」を提供すればそれに応じてサービスを提供するというのが、関係する企業の基本的なビジネスモデルになっている Personalizationのためには、自分の情報を「納得したうえで」企業に提供する必要がある
企業は「提供された情報」に応じてサービスを提供する。 Googleアカウントでログインした状態で検索をすることは、もちろんこの一例 Gmailの利用もこの一例
プライバシー情報を利用・活用するための適正なビジネスモデルが必要になる かたくなに情報提供を拒否することはネット上の生活を便利にしない 提供情報についての「同意」の意味理解が重要 取得した情報をどう利用するかについての理解
「ビッグデータの活用」や「名寄せ技術の高度化」など、従来の理解を超えた動きが活発化しているのは事実
「守る」という観点と利活用という観点
個人は、個人情報の取り扱いについて利用する側の「同意」をとれることになっているが
個人情報の取り扱いについて利用者は何に同意しているのか?
個人情報取り扱い規則、プライバシーポリシーその他、関係する規則を読んだことがあるか?
読みやすい内容、分量の文章か?
Standard Label等の工夫
「同意」について
4. 共同利用者の範囲及び管理責任者 当社の連結対象会社及び持分法適用会社 ポイントプログラム参加企業(TSUTAYA加盟店を含みます)
本条第2項の項目を本条第3項の利用目的のために共同利用することに関し、個人データの管理について責任を有する事業者は当社とします。
もともと、個人情報を利用するものは、あらかじめ提示すべきであるという考えが有力 しかし、会社の合併、処理委託先の変更等で動的に変更されることは十分考えられる そこで、「個人情報保護法」では、以下の条文がある
4 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第 三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部 を委託する場合 二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される 個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理に ついて責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り 得る状態に置いているとき。
今話題のCCC
これらの問題は、インフラ企業が消費者と直接向き合うことによって顕在化してきた。
企業がもつ情報資産を対象にした情報セキュリティの技術は以前にもまして重要になってきた 関係者は「組織」「企業」 ネットの技術動向が刻々と変わる 新たな種類のインシデントが次々と発生 不確かな状況下で決定を下さなければならない
この情報資産は守るべきものか、守るとしたらどのくらいのコストをかけるべきか?はたして安心するまで守れるのか?
リスク分析、リスク管理の手法
クラシックな情報セキュリティの重要性
注意:リスク分析は、組織のセキュリティレベルをあげるために行うわけではない 問題:この情報はなぜ価値があるのか?誰が価値を認めるのか?誰が守れと言うのか?
個人を越えた「組織」の存在 組織が個人の行動を制御するための何か
「組織の意思」を全体に徹底させるための何か
情報セキュリティポリシー等 情報の価値は組織が決める
決定:何らかの決定をして、組織を前に動かす(セキュリティを高める。リスクを受容する。情報資産を廃棄する。…) 方法論としては管理工学 一般的には「Solution」と称して様々な技術を導入することになる
リスクとは?
リスク = F(資産価値, 脆弱性, 脅威)
リスクを評価するさまざまな手法(特に定性分析)
脆弱性と脅威については、コンピュータセキュリティとネットワークセキュリティの観点からの解析が必須
組織における情報セキュリティに関係する一連の分析・評価の流れを定式化 ISO27001 (ISMS) ISO27002 (Best Practice)
管理工学的な手法による管理 PDCAサイクル
リスク分析 「リスク」は、ここでは専門用語です(例年、期末レポートで素人解釈をする人が一定数みられる)
リスク
IPA(情報処理推進機構)の「10大脅威」(http://www.ipa.go.jp/security/vuln/documents/10threats2013.pdf)によれば
1. クライアントソフトの脆弱性をついた攻撃 2. 標的型諜報攻撃の脅威 3. スマートデバイスを狙った悪意あるアプリの横行 4. ウイルスを使った遠隔操作 5. 金銭窃取を目的としたウイルスの横行 6. 予期せぬ業務停止 7. ウェブサイトを狙った攻撃 8. パスワード流出の脅威 9. 内部犯行 10. フィッシング詐欺
リスクを決める脆弱性や脅威の分析
特徴として(今まで述べたように)
クラシックな、組織単位の情報セキュリティ対策(リスク分析を経た内部統制)が落ち着く中、
クラウド、ICT巨大インフラ企業などがグローバルに活動するようになり、クラシックな対策では間に合わなくなった環境で
個人を対象にした情報セキュリティ(インフラ企業の社会的責任)
組織を対象にした情報セキュリティ(組織の内部統制を中心とした対策)
が求められている
情報セキュリティ対策
他のセキュリティ技術(ネットワークセキュリティ、システムセキュリティ)の導入
暗号技術の応用として居続けられる暗号化、電子署名、認証他の技術
リスクへの対応ができる⇒今度は利便性を求めて攻めていける
「個々のアカウントの権限をコントロールできるようになったから、ゲストアカウントを発行できる」
「SAML等、安全なプロトコルが導入できるから、組織内外にSSOを導入する」
「…」
リスクへの対応
技術的な対応の他に、社会的に基盤を作る動きも着実に進行している 「セキュリティの品質はこれこれの認定制度で第三者が保証しましょう」 プライバシーマーク ISMS トラストフレームワーク
認定制度と監査(評価)制度 会計監査の技術、制度 情報システム監査 セキュリティ監査
リスクへの対応
企業X
運用 管理
技術
企業リスク マネジメント
企業Y
運用 管理
技術
企業リスク マネジメント
……
現代社会における情報セキュリティの背景
情報セキュリティ基盤
“社会”のセキュリティ基盤 ~本質的解決に向けた “あるべき姿”~
脅威・攻撃に対抗する技術 8. ネットワークとシステムにおけるセキュリティ技術
9.暗号と電子認証
社会制度の整備 10. eコンプライアンス 11. 社会制度と国民ID
“会社”のセキュリティ基盤 ~組織が採用している現実解~
運用上の管理 6.アイデンティティ管理とID管理
7.成熟度モデルとセキュリティ監査
採用される技術 5. 企業で使われる 情報セキュリティ技術
企業リスクマネジメント 4.情報セキュリティリスク管理
情報セキュリティ上の脅威とハッキング技術 3.脅威の変遷とインシデントの動向
IT技術の発展とその課題 1.クラウド化、ソーシャル化への変遷
2.現代社会におけるサービス提供企業の課題
2013/04/03 講義の構成(再掲)
個人 (消費者、サービスのエンドユーザ、国民等)
“基盤”を通じたサービスの利用
授業は教科書の内容+アドバンストトピックスになります
教科書の内容をきちんと理解することが単位をとることに直結します
評価は学期末のレポートでします
言語は日本語か英語
評価
Webページはここです http://www-sato.cc.u-tokyo.ac.jp/PKI-project/SecInf.html
必要な教材(スライド)その他はWebページにアップロードします
レポートの提出やスライドの整理には、朝日ネットのE-LearningシステムであるMANABAを使います http://u-tokyo.manaba.jp/ct/
E-Learningサポート
MANABAを利用するにはアカウントが必要です
以下までメールしてください。送り元のメールアドレスをIDとしたアカウントを作成します
講師紹介
Any Question?
最後に