ac.nikkeibp.co.jp

もともとセキュリティ対策は好きですが、仕事でやることになりそうだったので、ちょうどいいタイミングで来たお誘いメールに乗りました。

情報セキュリティ戦略セミナー

これから我々は何をすべきか？

• ニュースになっている標的型攻撃のほとんどは標的型攻撃ではない。
  • 特定の業界、特定のシステムに対する攻撃を世間では標的型攻撃と呼んでいる。
  • 本来は特定の組織を狙ったもの。（外交機密情報の入手など）

• 狙われたら侵入を防ぐ事は難しい。

• ウイルスの実行と検知にタイムラグがあり、空白の期間が存在する。

• デロイトトーマツでも、ランサムウェアに感染することはある。
  • 多くの場合はバックアップから復元することで被害を回避できている。

●セキュリティアーキテクチャの構築

• 多くの企業の悩み

  • 「やらなければならない」ことをベンダーやコンサルは言う。
  • いろいろな人から話も聞いてるし、勉強もしている。時間も予算も人も限られているので「やらなくてよい」ことを言ってくれる方が有益だ。

• ありがちな課題

  • セキュリティ製品を入れているが、機能をよく理解しておらず、できている／できていないことを理解していない。
  • 管理的対策に偏り、技術的な対策が不十分。
    • パスワードは10文字以上、というのならルールではなくシステム側でチェックすべき。
  • 外部からの攻撃対策としての境界防御に重点を置きすぎ、中に入られると無防備。多層防御に移行していくべき。

• セキュリティ人材を活躍させる環境を作るCISOの存在が必要！

  • 一企業でセキュリティ人材を育成することは難しい。社会全体で育成できる環境にする必要がある。

• 予防的対策と発見的対策のバランスが重要

  • 目的は損害を”ミニマム”にすること。0にするのは無理。

●名ばかりCSIRT

作ったはいいが…

• 手順の未整備
• 知識不足
• 情報不足
• 経験不足 に陥りがち。

●PDCA＋Intelligenceで改善していこう

• P：不確定要素が多いときは計画よりも試行錯誤
• D：対策はできるかぎり自動化
• C：自ら気付く、監査等で気付く、事故から学ぶ
• A：責任問題の前に、「改善」に集中

●結論としては王道をきっちりすること

セキュリティ対策に近道はない

• 原理原則に従って粛々と。
• 攻撃に対する知識を理解する
• 新しい技術を検証し、積極的に活用していく。

全くそのとおりであると思える内容でした。 足場を固めるためにグループ全体で人の育成を考えたいと思います。

エンドポイントでの最新サイバー対策 ～アンチウイルスのその次に～

防御トレンドとしては境界防御の強化が進んだが、ウイルス検知率は6〜7割にとどまる

境界ですべてを防ぐのは難しい

• マルウェアの進化
  • アンチサンドボックス。一定期間経過後に動き出すなど。
  • 仲間を呼ぶ。

見直されるエンドポイントセキュリティ

• プロセス1つ1つまで確認
• 暗号解除後
• PCの処理能力向上

→NWベンダーもエンドポイントセキュリティを提供し始めた

●NGAV（次世代型アンチウイルス）

• シグネチャによらないマルウェア防御（振舞い検知）
• 新種のマルウェアも検知／防御が可能
• 頻繁な更新不要
• 抜けたら抜けっぱなし、という面も…

製品例：Cylance、FFR yarai

●EDR（Endpoint Detection and Response）

• 水際ですべては防げないという思想
• EP内部での動きを記録／分析
• 影響範囲、原因特定が容易

製品例：CiscoAMP、FalconHost、DigitalGuardian

FalconHostは製品の他、監視チーム側でもチェック。

企業での導入事例はDigitalGuardianが多い。

●DLP（Data Loss Prevention）

• データ自体を見張って漏洩を防ぐ
• 重要情報は自動的に保護対象に
• 外部からの攻撃、内部不正共に対応可能

注意

• 攻撃自体は見ていない
• 十分なチューニングと継続的な運用が必要

●1100人のITプロフェッショナルに聞きました。

• 61％：FW、AVなどは有効と考える。
• 69％：防衛線が破られた場合に、データを安全に保つ自信がない。 との答え。

JBサービスでは10月からOPTiSecureというサービスを始めるそうなので、そちらも調べてみたい。

機械学習とセキュリティ

●データ種類数が爆発する時代

• 種類、亜種が多い。
• 既存のものとかなり異なる新種が頻繁に生み出される。
• 抽象化されたとしてもシグネチャで対応できない。対応が頻繁かつ大量の作業になる。
• ヒューリスティック(自己学習的)モデルが求められる。

●アルゴリズム大量発生

• サポートベクターマシン(SVM)
• ランダムフォレスト
• Soft Confidence-Weighted →理論上はSVM最強？

機械学習による攻撃検知（SVMの研究例）

• SQL Injection Detection with Cpmposite Kernel inSupport Vector Machine 2012/4
• SQL Injection attack Detection using SVM 2012

分離できなければ、超平面→超曲面に次元をあげればいいじゃん？（反則

SVMの弱点

• 大量のデータを用意してもほぼすべて咀嚼できる。
  • 計算量が多いので、再計算が大変
• 適切なパラメータを設定できれば高精度
  • 不適切なら精度がなまくら

線形分類は以下のページを見ては？との言葉。

http://kazoo04.hatenablog.com/entry/2012/12/20/000000

●機械学習全般の弱点

• 何を特徴量とするのかがわからない
  • 攻撃側にも知られるけど、わかっていいの？
  • 暗号のアルゴリズムと同等で、世界中からよってたかって叩くという検証プロセスが必要では？

●SQLインジェクション攻撃

• 王道的対策があるのに被害が絶えない
• 攻撃事例は単純な仕掛けにやられている
• WAFは？

ということで、mod_securityのお話。

• シグネチャも用意されている
  • 攻撃検知は抜群
  • ただし、正常な入力データでも誤検知があった…

●SQLインジェクションの特徴

• SQL文の構成要素とほとんど同じ
• 攻撃は記号で始まることが多数
• 命令語、予約語は種類が少ない
• 並びのパターンも少ない

●SQL文は記号ありき

• 半角スペース、シングルクォート、セミコロン、右カッコ、左カッコがトップ5

しかし、誤検知、すり抜けなどが頻繁に発生。

→攻撃データの記号分布と正常データの記号分布を比べると割とうまく検出できるようになった！

結局は

• 強力な特徴で幅広い部分をカバー
• 残りを埋める別な特徴を考える

●まとめ

• 機械学習を使うべき時代
• アルゴリズムはだいぶ出そろってきた。
• 特徴が命
• 良質なデータセットが命

ほぼSQLインジェクションの話しか覚えてませんw

まだマルウェア対策を「未知」、「既知」で区別していますか？ ～次世代マルウェア対策製品 CylancePROTECTのご紹介～

• マルウェアはサイバー攻撃の最初の段階。
• ネットワークセキュリティ対策、パターンマッチング方式で多層防御しても未知のマルウェアは防げない。

●ポイント

• 侵入を前提とした対策
• エンドポイントで確実に対策
• 未知のマルウェアに対応した製品の利用
• 未知／亜種／既知、はアンチウイルスベンダーの都合。
  • どれもセキュリティリスクは同じ。

●特長1：アルゴリズム

• 正常なファイル
• 正常なプログラム
• マルウェア群

あわせて、容量8TB、700万のファイルで学習させました。

USでのデモでは、99％以上の検知率だったそうな。

www.cylance.com

●特長2：パターンファイルに頼らない検知

• パターン配信のタイムラグなく、迅速に対応。

パターンファイル形式では…

• ベンダーがマルウェアを捕まえる。
• ベンダーがパターンファイルを作成する
• 社内管理者がパターンファイルを配信する

というタイムラグが発生する。

★第2部

CylanceはA10 や Bluecoat にも組み込まれていますとのお話の後でデモ。

内容：未知／既知など取り混ぜて、50個のマルウェアを用意してサーバから端末にコピー、実行した際の検知率を比較

• Trend Micro
  • コピーした段階で22個検知
  • 残念ながら実行時にも検知漏れがあり、ランサムウェアが発動…
• Symantec
  • コピーした段階で22個検知
  • 残念ながら実行時にも検知漏れがあり、ランサムウェアが発動…
• Cylance
  • 実行時にはすべて、マルウェアであると検知して起動させなかった。
  • コピーした段階ではCPU負荷を考慮して即時スキャンはしないが、CPU負荷が低くなったところでスキャンを開始し、最終的に50個すべてが削除された。

Cylance はちょっと検討してみようかと思わせてくれるプロダクトでした。

増え続けるクラウド、社内システムをSSO＋アクセス制御でセキュリティ強化

http://www.infocom-smart.jp/solution/onelogin/

のお話。

iPhoneでプレゼンしてる最中に電話かかってきてましたw

• パスワードポリシーなどのルールにシステムが追いつかない。
• ヘルプデスクの半分はパスワード忘れ。

あまり興味のあるセッションではなかった。

「CSIRT」体制の継続的維持と効果的な運用のために

今日一番のお目当ての話。

2015年に経産省が「サイバーセキュリティ経営ガイドライン」を策定

• サイバーセキュリティは経営者の責任である。
• 「ダメージコントロール」という視点が重要
  • マイナスを最小限にとどめた場合にはそれをプラスとして評価することが必要。
  • 一刻も早く発見
  • 一刻も早く決断

ウイルスに感染した、といって叱るだけではいけない。気付いて早急に申告すればそれはプラス。隠したらマイナス、でよいのではないだろうか。

●CSIRTの位置付け 形態

• 専門組織
• 兼務（仮想組織）
• 個人が運用（一人CSIRT）

現状はスキルのある個人が対応しているのと、コストセンターに置くと肩身が狭いので、兼務の形態で導入したいと考えた。 コンプライアンス部門よりはITの有スキル者を集めた組織としたい。

●デュアルシステムの体制

• 通常の業務は指揮統制型の階層組織でよいが、有事の体制は別途、キーパーソンを直接つなぐように組んでおいた方がよい。

●セキュリティインフラ

• 情報管理規定体系として、CSIRT設置を明文化。
  • ”仮想”組織を認知させる

• まずは

  • 重大インシデント発生の通報／対応体制を規定
  • 「重大インシデント」とは？を規定

• "報告"、"指示"によって「責任」が移転する。

  • 隠す必要は無い、ということを徹底させる。
• 運用／SOCメンバーをCSIRTに加えて、縦割りではなくレイヤー化して対応することで初動を早くする。

●ログの活用と分析

• メールサーバ
• FW
• PROXY
• DNS
• 認証サーバ

技術は社外から調達可能だが、サービスの責任は自社。「会社を守る」という意志が必要との言葉。

●政府からCSIRT構築の要請

• 政府調達の際に、「調達先がCSIRTを整備する／していること」を契約書に盛り込む案がある。

現在、自分の所属する組織が抱えている問題の解決に対して、非常に有益なセッションでした。

これだけで今日来たかいがあった。