Embed Size (px)
DESCRIPTION
ここ何年か、Dropbox、Evernote、サイボウズLive、Facebook、LINEなど、こういったサービスを使わない日はありません。どこの国にいても誰とでもファイル共有はできるし、情報共有もできる。仕事がとても捗っています。 「クラウド」と一括りで呼ばれるこれらは、インターネットの向こう側にあるネットワークやサーバー、ストレージ、アプリケーションなどのサービスを提供してもらい、リソースを共有するサービスです。 便利な一面ばかりが取り上げられますが、セキュリティは大丈夫なのでしょうか。私の預けた情報は見られてないの?ファイルが盗まれたりしてないの?など、心配になりませんか? 実はクラウドはセキュリティ的には○○を共有するサービスなのです。○○を知ることで、セキュリティを保ちながら、便利に使いこなしましょう。
Citation preview
クラウドは ○○を共有するサービス
第32回WebSig会議
「便利さと、怖さと、心強さと~戦う会社のための 社内セキュリティ2013年のスタンダードとは!?」 2013/3/9 株式会社トライコーダ 上野宣
1 (C)2013 Tricorder Co. Ltd.
上野 宣(うえの せん) • 株式会社トライコーダ 代表取締役
– 奈良先端科学技術大学院大学で情報セキュリティを専攻の後、eコマース開発ベンチャーで上場などを経て株式会社トライコーダを設立
– 主な事業は情報セキュリティ教育、脆弱性診断、コンサルティング
– 独立行政法人 情報処理推進機構(IPA) 研究員 – 情報セキュリティ専門誌 ScanNetSecurity 編集長 – OWASP Japan 代表
主な著書・連載など – 今夜わかるTCP/IP、今夜わかるHTTP
めんどうくさいWebセキュリティ、他多数 – @IT、HackerJapanなどで連載中
2 (C)2013 Tricorder Co. Ltd.
(C)2013 Tricorder Co. Ltd. 3
TOPIC
クラウドにおける 脅威を知ろう
まとめ
クラウドは ○○を共有
クラウドを 安全に使うには
クラウドはリソースの共有 • インフラ • ハードウェア • ストレージ • ソフトウェア etc...
• メリットはスケーラビリティ、柔軟性、従量課金、リソースのセルフプロビジョニングなど
(C)2013 Tricorder Co. Ltd. 4
生産性を高めるツールは みんな使いたい • Dropbox、Evernote、サイボウズLive、Googleドキュメントなど
• Facebook、LINE、Skypeなど • スマホ、タブレットなど
• より安く、より便利に!
(C)2013 Tricorder Co. Ltd. 5
セキュリティはトレードオフ • コスト • 利便性 • リスク
• コストが安くなって、便利になると?
(C)2013 Tricorder Co. Ltd. 6
【トレードオフ】 trade-off 何かを求めれば、何かを犠牲にする二律背反の関係
セキュリティ的にクラウドは ○○を共有するサービス • ○○=リスク
• クラウドサービス事業者とのリスク共有 • セキュリティにおけるリスク – 危険に遭う可能性、損をする可能性 – 経済のリスクと違い不確実性ではない
7 (C)2013 Tricorder Co. Ltd.
(C)2013 Tricorder Co. Ltd. 8
TOPIC
クラウドにおける 脅威を知ろう
まとめ
クラウドは ○○を共有
クラウドを 安全に使うには
クラウドにおける脅威
1. 第三者の存在 2. 手が届かない 3. 法的な問題
(C)2013 Tricorder Co. Ltd. 9
クラウドにおける脅威 1.第三者の存在 • サービス事業者という第三者からサービスを受けている – データの所有者は誰? – サービスレベルは? – 重要情報が漏えいした際の責任は? – クラウド事業者が倒産したら? – 管理者はいい人?
(C)2013 Tricorder Co. Ltd. 10
クラウドにおける脅威
1. 第三者の存在 2. 手が届かない 3. 法的な問題
(C)2013 Tricorder Co. Ltd. 11
クラウドにおける脅威 2.手が届かない • 「場所」という特性がない – ネットワークセキュリティの問題 – 漏えい、改ざん、可用性 – 仮想化技術による問題も
(C)2013 Tricorder Co. Ltd. 12
クラウドにおける脅威
1. 第三者の存在 2. 手が届かない 3. 法的な問題
(C)2013 Tricorder Co. Ltd. 13
クラウドにおける脅威 3.法的な問題 • データはどこの国にあるのか? – データの物理的な所在地の法律が影響 – データ保護、プライバシー – 開示義務、国家保安
(C)2013 Tricorder Co. Ltd. 14
(C)2013 Tricorder Co. Ltd. 15
TOPIC
クラウドにおける 脅威を知ろう
まとめ
クラウドは ○○を共有
クラウドを 安全に使うには
安全に使うには • ユーザーの注意深さだけではセキュリティの確保はできない
• “自動化”が必要
(C)2013 Tricorder Co. Ltd. 16
安全に使うには
1. サービスを知る 2. 技術的な対策をする 3. 法的なことを知る
(C)2013 Tricorder Co. Ltd. 17
安全に使うには 1.サービスを知る • サービス事業者は誰か? • サービスの質は?
• そんなの知らないし、信用できるかもわからない
• リスクを緩和しなければならない – まずはどんなリスクがあるかを知っておく必要がある
(C)2013 Tricorder Co. Ltd. 18
リスクを緩和する戦略 (1) • リスク前提 – 潜在的なリスクを受け入れて運用を続ける – リスクを低下させて許容範囲内に納める
• リスクの回避 – 機能の一部をあきらめる – システムを停止する
• リスクの限定 – 影響を一定レベルに抑制する手段を実装する – インシデントの検知、サポート体制を整えるなど
(C)2013 Tricorder Co. Ltd. 19
リスクを緩和する戦略 (2) • リスク計画 – 優先順位、実装状況などリスク緩和プランを策定してリスク管理を行う(事前合意を得ておく)
• 調査と事実認定 – 脆弱性や欠陥の存在を認め、修正する手段を調査し、損失リスクを低く抑える
– アップデートや脆弱性の修正 • リスクの委譲 – 保険に加入、損失を補うことができる他のオプション(資産を増やすなど)
(C)2013 Tricorder Co. Ltd. 20
ちなみに、 セキュリティ研究者の仕事は • コストが安くなって、便利になっても、セキュリティを保つようにすること
• トレードオフの関係性を小さくすること
(C)2013 Tricorder Co. Ltd. 21
安全に使うには
1. サービスを知る 2. 技術的な対策をする 3. 法的なことを知る
(C)2013 Tricorder Co. Ltd. 22
安全に使うには 2.技術的な対策をする • 実は従来からの技術的手法と同様 – 第三者にデータを預けるときと同様 – 暗号化、鍵管理、認証、データの分離
(C)2013 Tricorder Co. Ltd. 23
個人レベルの対策も必須 • パスワード管理 – 他のサービスと使い回しをしない
• 漏えいしたパスワードによる攻撃が流行っている – 長い文字列(8文字以上)、推測しにくいもの
• 事業者がパスワードをどう扱っているかわからない – パスワード管理ツールの利用なども
• パスワード管理を自分のリスクに • マスターパスワード管理にコストを掛ける • マルチプラットフォームのアプリも(KeePassとか)
(C)2013 Tricorder Co. Ltd. 24
個人レベルの対策も必須 • 暗号化 – 暗号化した仮想ディスク
• TrueCrypt、PGP Diskなど – アプリケーションによる暗号化
• PDF、オフィスソフトのパスワード • パスワード付きZIP
– サービスが提供する暗号化機能 • Evernoteのテキスト暗号化
• できれば自動的に暗号化される仕組みを – 手動の暗号化は忘れる
(C)2013 Tricorder Co. Ltd. 25
サービス事業者の対策も必須 • Googleは2011年と比較してアカウントハイジャックを99.7%減 – 120の変数によるリスク分析
• 新たな国からのサインインなど – 二要素認証
• 携帯電話番号、SMS、第2メールアドレス – 秘密の質問
(C)2013 Tricorder Co. Ltd. 26
Official Blog: An update on our war against account hijackers http://googleblog.blogspot.ch/2013/02/an-update-on-our-war-against-account.html
秘密の質問は秘密なのか? • “登録済みメールアドレス”に送信するための認証として使う – 秘密の質問の答えは秘密情報ではないことも – メール受信にはPOPの認証があるので、攻撃者が秘密の質問に答えても読むのは困難
– “メールを読めること”が本人確認 – 秘密の質問に答えるだけで、パスワードが変更されたり、表示されるのはダメ
(C)2013 Tricorder Co. Ltd. 27
流行りのセキュリティ対策 • パスワードのハッシュ化+salt(+ストレッチング)
• 二要素認証、二段階認証 • 全面HTTPS化
(C)2013 Tricorder Co. Ltd. 28
Evernoteのパスワード変更しましたか? • 2013年3月3日ユーザー情報漏えい • 全ユーザーのパスワード強制リセット
(C)2013 Tricorder Co. Ltd. 29
http://blog.evernote.com/jp/2013/03/03/12428
Evernoteから漏えいした情報 • メールアドレス、ID • MD5ハッシュ+salt
• MD5ハッシュ+salt と SHA-1(saltなし)だったら、どっちがいい?
(C)2013 Tricorder Co. Ltd. 30
暗号化されたパスワードの解読 レインボーテーブル
平文 ハッシュ値(MD5) a 0cc175b9c0f1b6a831c399e269772661 b 92eb5ffee6ae2fec3ad71c777531578f ... aa 4124bc0a9335c27f086f24ba207a4912 ... abc 900150983cd24fb0d6963f7d28e17f72 ...
レインボーテーブルからハッシュ値を検索して平文を導き出す
レインボーテーブル:あらかじめ用意しておいた平文とハッシュ値の対応表
(C)2013 Tricorder Co. Ltd. 31
安全に使うには
1. サービスを知る 2. 技術的な対策をする 3. 法的なことを知る
(C)2013 Tricorder Co. Ltd. 32
安全に使うには 3.法的なことを知る • 契約条件、サービスレベルアグリーメント(SLA)を知る
• データの独立性 • データのアクセスに対する規定 – クラウド事業者従業員からのアクセス
• データの所有権 • 法的遵守事項 • 円滑な契約終了がなされるか – データの消去
(C)2013 Tricorder Co. Ltd. 33
(C)2013 Tricorder Co. Ltd. 34
TOPIC
クラウドにおける 脅威を知ろう
まとめ
クラウドは ○○を共有
クラウドを 安全に使うには
安全に使うためのポイント • クラウドはリスクを共有するサービス – 第三者のサービスだと知る
• リスクの緩和戦略を立てよう – もし、そのデータが漏えいしたらどうする? – 自分でできる技術的な対策
• パスワード管理 • 暗号化、自動的にできるものがいい
(C)2013 Tricorder Co. Ltd. 35
ご清聴 ありがとう ございました Thank you!
(C)2013 Tricorder Co. Ltd. 36
OWASP Japan Local Chapter Mtg. 5th • 2013年3月14日(木) 19時~ • http://atnd.org/events/37631
(C)2013 Tricorder Co. Ltd. 37
【上野宣】ウェブアプリケーションリスクドキュメント「OWASP Top Ten」RC1 2013版レビュー 【Paul Scott (OWASP Houston)】 超訳「Cloud時代のさまざまなスタイルのWAFのはなし」 【福本・岡田・ほか】OWASP Global AppSec 2013より、アツい(?) ウェブセキュリティトピックサマリー
