Internet Week 2002 報告

1. 不正アクセスの手法から考える監視技術
   • [1.1] 第一章 『不正アクセス手法とセキュリティ監視』
   • [1.2] 第二章 『セキュリティ監視の肝』
   • [1.3] 第三章 『セキュリティ監視の目的』
   • [1.4] 第四章 『セキュリティ監視の実際』
   • [1.5] 第五章 『インシデントレスポンスチームの役割』
   • [1.6] 第六章 『インシデント・レスポンス概要』

以下は, 実際にセミナーで講演された第一章〜第六章の要点を まとめたものである.

[1.1] 第一章 『不正アクセス手法とセキュリティ監視』

第一章では不正アクセスやセキュリティ対策, 検知方法といったものを 以下の表のように系統的に分類, 整理した.

手法のカテゴリとセキュリティ機能の関係

手法(脆弱性)	説明	抑 止	予 防	防 御	検 知	回 復
実装上の弱点を利用	OS, サービスアプリ ユーザアプリのセキュリティホールや設定ミス等	△	◎	○	◎	※
運用上の弱点の利用	安易なパスワード パスワード等が漏れている ウィルス等	△	◎	○	◎	※
技術仕様上の弱点を利用	Flood系攻撃 ICMP, UDP 等成りすまし SMTP 成りすまし	×	×	×	◎	※
権限を乱用	業務上の目的以外に権限を行使 顧客情報の横流しなど	◎	×	×	◎	※

機能

セキュリティ対策5大機能

概要
抑止	脅威の発生そのものを押え込む.	寄せつけない!!
予防	脅威が発生しても ダメージとならないように脆弱性を無くし	頑丈な扉 強固な鍵
防御	脅威が発生しても ダメージを受けないように防御する	電気ショック 応酬・撃退
検知	脅威の発生もしくはダメージの発生を検知	被害を見付ける 侵入者を見付ける
回復	ダメージから回復する	復旧 対処

検知方法

検知方法	説明
ネットワーク型 IDS	ネットワーク上に IDS を配置し, ネットワーク上を流れるパケットを監視する. これを一つネットワークセグメント内に配置することで, そのネットワークセグメントを流れるパケット全てを監視可能である.
ホスト型 IDS	IDS をあるホストにインストールし, そのホストがやりとりするパケットを監視する. 当然, そのホスト以外がやりとりしているパケットの監視は出来ない.
ホストログ	ホスト内で行われた作業を記録しているログ. アノマリ検知などに利用される.
ファイアウォール	ファイアウォールを通過するパケットを監視する.

※ IDS …	『Intrusion Detection System』 の略で, 日本語に訳せば 『侵入 検知 システム』である. 役割はその名の示す通り, 外部からの侵入に対する通知 を行うシステムである. 詳しい説明は 5分で絶対に分かる IDS (@IT) などの資料を参考にしてもらいたい.
※ アノマリ …	アルファベットで書くと『anomaly』 の略で, 日本語に訳せば 『変則』や『不規則』といった意味である. 例えば, 毎日朝09:00に出勤して夜17:00に退社するような A さんがいたとして, この A さんが夜中の 01:00 に会社のサーバで なんらかの作業を行うのは明らかに不自然である. こういった不自然な事態を『アノマリ』と言い, これを検出することも セキュリティ検知方法の一つとして有効である.
※ ファイアウォール …	組織内部のローカルなネットワーク (Intranet) と, その外部に広がるInternetとの間に、外部からの不正なアクセスを 防ぐ目的で設置されるルータやホスト, またはその機能的役割のこと. より一般的に言えば「信頼できる出来るネットワーク」と 「信頼できないネットワーク」間のアクセス制御をおこなうことである. 詳しい説明は 5分で絶対に分かる ファイアウォール (@IT) などの資料を参考にしてもらいたい.

種類

検知する攻撃の種類

例
攻撃検知	ポートスキャン, 不正ログイン, DoS 攻撃
侵入検知	アカウント乗っ取り, ウィルス感染, バックドア

---

[1.2] 第二章 『セキュティ監視の肝』

第二章では, 実際に如何にしてセキュリティ監視を行うのが 最も効果的であるのかについて述べる.

セキュリティ監視と言えば ネットワーク型IDS が想像される ことが多い. 実際に, ただネットワーク型IDSを導入して 「セキュリティ監視してます!!」という場合は多い.

しかし, ただネットワーク型IDSでは誤報も多く, 一つ一つの警告の重要度がわからないこともあり, 効果的な対処が出来ない場合が多い.

よって, IDS等の導入を考える前に以下の 2 点を行うことが 効果的なセキュリティ監視につながる.

1. 意味のあるネットワーク分断 (セグメンテーション)
2. セグメントの特性に合わせたログ設定
   (特にファイアウォールやサーバのログ設定)

A. 意味あるネットワーク分断 (セグメンテーション)

主にファイアウォールを用いてネットワークを小部屋(セグメント)に 分断する. これは以下のような要素によって分断できる.

要素

例
人	お客さま, 社員, 経営者, 管理者, 攻撃者...
情報カテゴリ	関係者以外機密情報, 社外秘情報, 顧客情報, 公開情報
機能 (サービス)	一般向け, 特定のお客さま向け, 社員向け
適用できる規則	就業規則, 社内ポリシー, 評価基準
物理的条件	物理的セキュリティ状態

このような分断を行うことにより, セキュリティ監視を効率的に 行うことが出来るようになる. (詳しいことは以下参照).

B. セグメントの特性に合わせたログ設定

上記で分断したセグメントごとにログに対するポリシーを決める. これにより, 効果的なセキュリティ監査ができるようになる.

例

• 外部(Internet)から直接アクセスされるセグメントでは, 基本的に不正アクセス(ポートスキャン等)に対しては 警告を出さない. (何度も繰り返される場合には対策を講じるようにする必要はある).
• 内部セグメントから外部(Internet)に対しての不正アクセスが ある場合には即座に警告を出す.
• 基本的にログ自体は全て保管しておく. (何かあった時の調査用).

なお, これらが効果的に機能するためには, セグメントごとの ネットワークポリシーがちゃんと決まっている必要があるので注意.

---

[1.3] 第三章 『セキュティ監視の目的』

ここまでは「いかに効率的にセキュリティ監視を行うか」といったことに ついて述べた. 以下では「セキュリティ監視」からもう少し広げて「セキュリティ対策」 に関して考えてみる.

「セキュリティ対策」≠守ること

セキュリティ対策というとすぐに思い付くのは「守ること」であろう. アプリケーションの脆弱性の除去やファイアウォール, ウィルス対策やアクセス制限といったものが具体的な策として 挙げられるだろう.

しかし, 実際には完全に防御することは不可能であり, 必ずなんらかの事件は起こり得る. そのため, ただ「守る」ことに終始しても労力が莫大にかかるだけで 良い結果は得られない.

→ 事件が起こった後のことも考えることが重要!!

セキュリティ対策 = 「リスク」の管理

上記の理由から, なんらかの危険な事態に陥った時のことも考える必要がある. 具体的には以下の 2 点をおこなう必要がある.

1. 事態の深刻度を分析
2. 事件発生後の回復方法(レスポンス)の準備

A. 事態の深刻度を分析

まず, どういった事態が深刻であり, どういった事態が軽微かを 分析しておく必要がある. これによって対策のバランスをとることが可能になる. 逆にこれを行わないと事態の深刻度に応じた対応がとれず, 非常に深刻な事態を見過ごしたり, 軽微で些細な事態に振り回されることになる.

例

例えば企業の場合,

• 自社の重要情報漏洩, WEBページの改竄, ウィルスによる社内ネットワークの影響

よりも

• 個人情報漏洩, 顧客情報漏洩, 外部へのウィルスのバラ撒き

といったことを深刻な事態として扱うべき.

なぜなら, 自社に関することは自己責任でリカバリーが可能だが, 他人に迷惑をかけたことに関してはリカバリーが不可能であり, 社会的信用を失うことにもつながるからである.

B. 事件発生後の回復方法(レスポンス)の準備

どんなに安全性を高めても事件は起こり得る. そのことを考慮すると, 事件に対してどういった対応をとるのかということも重要である. また, 回復にどれだけのコストがかかるのかということを考慮すると 自ずと深刻度の軽重がわかってくるはずである. 実際に回復方法までを考慮して始めて「セキュリティ対策」と言える.

---

[1.4] 第四章 『セキュティ監視の実際』

セミナーでは, 第四章で実際にログの内容を紹介された. 具体的にはポートスキャンや CodeRed によるアクセスによって どのようなログが残るかといったことが示されたが, ここでは割愛する.

---

[1.5] 第五章 『インシデントレスポンスチームの役割』

「インシデントレスポンスチーム」とはコンピュータセキュリティインシデント (以下, インシデント) が発生した際にその対応を行うグループである. 具体的な活動は以下の 4 点である.

1. 責任者に対する宣言レベルの提言
   (インシデントの深刻度がどれくらいであるのかを判断し, 責任者が宣言するインシデントのレベルを提言する.)
2. 晒されている脅威の提示
3. 状況分析結果
4. 各部門や関係機関に対する調整・指示

なお, インシデントレスポンスチームが取り扱う コンピュータセキュリティインシデントには以下のような特徴がある.

1. サイバー空間にて操作され, 顕著化はサイバー空間に限らない
2. 操作が困難
   • 攻撃者の匿名性が強い
   • 国境等の, 境界が基本的に存在しない
   • 技術の脆弱性と急激な進歩
3. 脅威の把握が困難
   • 発生しているインシデントの影響度合の判断を行う為には, 様々な観点と技術力が必要
     → 手法や侵入ルートの特定や推定
     → 被害範囲や影響範囲の特定や推定

---

[1.6] 第六章 『インシデント・レスポンス概要』

コンピュータセキュリティインシデントに対する A) レスポンスの原則と B) 具体的な例を挙げる.

A. インシデントレスポンスの大原則

1. どういう状態が危機的状態であるか, 明確であること.
   危機管理体制の一環として明確に組み込まれ, 責任者が明確であること.
   責任者が迅速に決断し宣言をおこなえること
   
   
2. どういう状態が危険であるか, 明確であること
   危険管理体制の一環として明確に組み込まれ, 責任者が明確であること.
   想定しているリスクが顕在化した場合に, 危機として対処すべきことが明確であること.
   
   
3. 教育と訓練
   インシデントレスポンスは一部の関係者のみが実施するものではない.
   各レイヤにおける意識の向上と, 対処能力養成が重要.
   
   

B. 具体例 インシデント・カテゴリ

1. インシデントのカテゴリ

説明
被害や犯罪が顕在化している	改竄, 情報漏洩 他(内, 外)を攻撃 停止, 誤作動など
侵入されているが被害はまだ	侵入されているが被害発生はまだ (まだ, 間に合う)
侵入されてもおかしくない (被害が出てもおかしくない)	脆弱性がある状態で運用 強烈なウィルス発生情報・攻撃情報 ※ 風評・外部からの指摘に関して要注意
実害の無い 調査行動や攻撃	通常 IDS 等で検知する攻撃や調査
規則やポリシーの違反行為	業務上の目的以外に権限を行使 顧客情報の横流し等
アノマリ行動	権限の行使状態のアノマリ

インシデント検知カテゴリ

2. インシデント検知のカテゴリ

説明
自己の監視で検知	自組織の監視で検知
内部通報	自組織の人間が(たまたま)検知
外部通報(一般非公開)	他組織の人間が通知し, 個別に通知・連絡
外部通報(一般公開)	他組織の人間が検知し, 公開しながら通知・連絡
報道	TV, 新聞, ネットニュースなどの報道

3. 検知可能なインシデントのカテゴリ

インシデント・カテゴリ	検知方法
	自己監視	内部通報	外部通知	報道
被害や犯罪が顕在化している	○	○	○	○
侵入されているが被害はまだ	○	△	×	×
侵入されてもおかしくない	○	○	○	○
実害の無い調査行動や攻撃	○	×	×	×
規則やポリシーの違反行為	○	○	×	×
アノマリ行動	○	○	×	×

※ 赤色の部分は対応を誤ると社会的に危険なので要注意.

インシデント・カテゴリ

4. インシデントのカテゴリと基本レスポンス(基本対応方法)

基本レスポンス
被害や犯罪が顕在化している	応急処置 → 緊急対応 → 本格対応
侵入されているが被害はまだ	応急処置 → 緊急対応 → 本格対応
侵入されてもおかしくない	緊急対応 → 緊急予防対策もしくは警戒体制
実害の無い調査行動や攻撃	傾向分析 → 予防対策
規則やポリシーの違反行為	抑止対策
アノマリ行動	抑止, あるいは防御対策

• 参考資料
• Internet Week 2002 T13 『不正アクセスの手法から考える監視技術 〜雑音の除去と行動分析からリアルタイムプロテクションまで〜』 配布資料

• Internet Week のサイト
• Internet Week Web Site