ニューノーマルセキュリティ~進化するクラウド環境におけるデータセキュリティの勘所
•
1 j'aime•526 vues
企業のデジタルトランスフォーメーション(DX)基盤として、クラウド環境上にデータベースを新設・移植したり、運用管理効率化のために、アプリケーションコンテナやマイクロサービス、サーバーレスを導入したりするケースが増えています。それに合わせて、従来のオンプレミス型を前提とする認証/認可、暗号化・鍵管理、バックアップ管理といったデータセキュリティ対策の内容も変わりつつあります。本講演では、データ保護に関わるインシデント事例を紹介しながら、エンタープライズユーザーが最新のクラウドネイティブ基盤を利用する場合のデータセキュリティ管理の勘所について概説します。
Recommandé
Contenu connexe
Tendances
Tendances (18)
Similaire à ニューノーマルセキュリティ~進化するクラウド環境におけるデータセキュリティの勘所
Similaire à ニューノーマルセキュリティ~進化するクラウド環境におけるデータセキュリティの勘所 (20)
Plus de Eiji Sasahara, Ph.D., MBA 笹原英司
Plus de Eiji Sasahara, Ph.D., MBA 笹原英司 (20)
Dernier
Dernier (8)
ニューノーマルセキュリティ~進化するクラウド環境におけるデータセキュリティの勘所
- 1. @esasahara Cloud Security Alliance Application Containers and Microservices WG ニューノーマルセキュリティ~ 進化するクラウド環境における データセキュリティの勘所
- 3. 3
- 4. 4 AGENDA • 1.データ保護に関連するインシデント事例 • 2.クラウドインシデント対応準備とデータ保護 • 3.サーバーレスのセキュリティ脅威と対策 • 4. まとめ/Q&A
- 5. 5 AGENDA • 1.データ保護に関連するインシデント事例 • 1-1.多要素認証の不備が指摘されたインシデント事例 • 1-2.クラウドストレージへのデータ流出インシデント事例 • 1-3.APIの脆弱性に起因するインシデント事例 • 1-4.インサイダーを標的にしたサイバーインシデント事例
- 6. 6 1-1.多要素認証の不備が指摘されたインシデント事例(1) • 2021年4月14日、米国ニューヨーク州金融サービス局 (NYDFS)が、保険会社のサイバーセキュリティ規則違反に 関連して、制裁金300万米ドルを科したことを発表 • 個人情報を収集・利用して、生命保険、損害/医療保険、変額生命/ 変額年金保険を販売 • 2018年から2020年の間に4回サイバー侵害を受けたが、そのうち2回に ついて、サイバーセキュリティ規則で義務付けられたNYDFSへの報告を 怠っていたことが、当局の調査で発覚 • 顧客の大量の機微な個人データにアクセスする従業員や外部委託先の 電子メールアカウントに関連する不正アクセスが含まれていた • 規則で義務付けられた多要素認証(MFA) または同等レベルのアクセス 制御策を導入していなかったにも関わらず、遵守を偽っていた
- 7. 7 1-1.多要素認証の不備が指摘されたインシデント事例(2) ・ 出典:NYDFS「DFS SUPERINTENDENT LACEWELL ANNOUNCES CYBERSECURITY SETTLEMENT WITH LICENSED INSURANCE COMPANY」(2021年4月14日) https://www.dfs.ny.gov/reports_and_publications/press_releases/pr202104141 • 制裁金に加えて、NYDFSは、120日以内に、以下のような 救済策を提出するよう求める 包括的な書面によるサイバーセキュリティ・インシデント対応計画 包括的なサイバーセキュリティ・リスク評価 認可されたユーザーの活動をモニタリングし、認可されたユーザーに よる非公開情報(NPI)への不正アクセスや利用、改ざんを検知 するために設計された、リスクベースのポリシーや手順、制御 リスク評価からのリスクを反映して更新された、全従業員向けの サイバーセキュリティ・トレーニング教材
- 8. 8 1-2.クラウドストレージへのデータ流出インシデント事例(1) • 2021年3月19日、米国フロリダ州の精神科医療機関が、 電子メールによるマルウェア攻撃に起因するセキュリティ・ インシデントを確認し、米国保健福祉省(HHS)公民権室 (OCR)宛に通知 • 2021年3月16日、院内のコンピューター技術者が、システムの スローダウンを検知し、不正アクセス監査ログを通じて、何者かによる 不正アクセスがあり、データベースが複製されたことを確認 • データベースには、患者および職員の個人情報約85,000人分が 含まれる(精神疾患や中毒に関する記録や社会保障番号など) • HIPAA規則に従って、インシデントを医療規制当局に通知
- 9. 9 1-2.クラウドストレージへのデータ流出インシデント事例(2) • 出典:Docket Alarm「Case 2:21-cv-00250 | Florida Middle District Court」 (https://www.docketalarm.com/cases/Florida_Middle_District_Court/2--21-cv-00250/) • 監査ログ解析の結果より • ハッカーのコードがウクライナで生成された • 複製されたデータがパブリッククラウドサービス事業者のクラウド ストレージ上にアップロードされたことが確認された • サーバーへのアクセスは、同院の職員に付与されたパスワードのみで 可能だったが、電子メールを利用したフィッシング詐欺により、不正 アクセスを受けるに至った • 医療機関は、2021年3月23日、フロリダ中部地区連邦地方裁判所 フォートワース支部に対し、クラウドストレージ上に保存されたデータを 保全する一時的差止命令を求める申立を行い、3月25日、裁判所は 一時的差止命令を発出(2021年5月25日時点:係争中)
- 10. 10 1-3.APIの脆弱性に起因するインシデント事例(1) • 2021年4月29日、米国ロチェスター工科大学のセキュリティ 研究者が、信用情報機関のAPIツールに脆弱性が見つかった ことを報告 • Read about the vulnerability I found in @Experian where they sell the private credit information of most Americans, only requiring a name and an address ・出典: @BillDemirkapi (https://twitter.com/BillDemirkapi/status/1387514273904144384)
- 11. 11 1-3.APIの脆弱性に起因するインシデント事例(2) • 研究者が、学生ローン事業者のオンラインサイト上で検索している時、 個人の信用スコアを呼び出す信用情報機関のAPIツールに脆弱性が あることを発見 • 名前、住所、生年月日を入力し、ローン適格性が表示されるページの 背後にあるコードを見て、信用機関からFICO信用スコアを自動的に 参照する機能を持ったAPIツールを見れることを発見 • 認証なしに、APIツールにアクセスすることが可能であることを発見 • 生年月日のフィールドにすべて「0」を入力すると、個人の信用スコアを 引き出せることを発見 • 研究者から得られた脆弱性に関する情報を元に、セキュリティ専門ブロ ガーが実際に検証を実施し、同じ結果が得られることを確認 ・出典:Krebs on Security 「Experian API Exposed Credit Scores of Most Americans」(2021年4月28日) (https://krebsonsecurity.com/2021/04/experian-api-exposed-credit-scores-of-most-americans/)
- 12. 12 1-4.インサイダーを標的にしたサイバーインシデント事例(1) • 2021年3月18日、米国司法省が、電気自動車工場を標的 にしたサイバー攻撃未遂事件に関連して、ロシア国籍の容疑 者が罪を認めたことを発表 • 2020年7月15日から同年8月22日までの間、被告は、米国電気自動 車製造企業の従業員を雇用して、共謀者が提供するマルウェアを企業の コンピューターネットワークに転送しようと企てた • マルウェアがインストールされると、それを利用して、企業のコンピューター ネットワークからデータを抽出し、データを公開すると脅して、企業を恐喝 する計画を立てていた • 容疑者は、ロシアからカリフォルニア経由でネバダまで移動し、電気自動車 工場の従業員に対し、マルウェアを転送させたら、ビットコインで従業員に 報酬を支払うと持ちかけて、このハッキングスキームに参加するよう勧誘した
- 13. 13 1-4.インサイダーを標的にしたサイバーインシデント事例(2) • 従業員からの報告を受けた企業は、直ちに連邦捜査局(FBI)に接触し、 FBIは、スキームを阻止した • 2020年8月22日、容疑者はロサンゼルスで逮捕され、コンピューター詐 欺・不正利用防止法(CFAA)違反容疑で訴追される • 2021年3月18日、司法省は、このサイバー攻撃未遂事件に関連して、 容疑者が罪を認めたことを発表した ・出典:U.S. Department of Justice「Russian National Pleads Guilty to Conspiracy to Introduce Malware into a U.S. Company’s Computer Network」(2021年3月18日) https://www.justice.gov/opa/pr/russian-national-pleads-guilty-conspiracy-introduce-malware-us- company-s-computer-network
- 14. 14 AGENDA • 2.クラウドインシデント対応準備とデータ保護 • 2-1.クラウドインシデント対応フレームワーク • 2-2.クラウドインシデント対応と責任共有モデル • 2-3.クラウドインシデント対応計画
- 16. 16 2-1.クラウドインシデント対応フレームワーク(2) クラウドインシデント対応フレームワークの構成 フェーズ 概要 Ⅰ.準備および後に続くレビュー ・文書化 Ⅱ.検知および分析 ・誘導 ・インパクトを決定するためのインシデント分析 ・エビデンスの収集および処理 Ⅲ.抑制、根絶、復旧 ・抑制戦略の選択 ・根絶および復旧 Ⅳ.ポストモダン ・インシデント評価 ・インシデント終了報告書 ・インシデント証拠保存 調整・情報共有 ・調整 ・情報共有技術 ・詳細な情報共有 ・机上演習
- 17. 17 2-2.クラウドインシデント対応と責任共有モデル クラウドサービスプロバイダー(CSP)と クラウドサービスコンシューマー(CSC)の責任共有マトリックス CSPとCSCの間の契約書/SLAにおいて役割を明確化する 出典:Cloud Security Alliance Cloud Incident Response Working Group「Cloud Incident Response (CIR) Framework」(2021年4月21日)
- 19. 19 2-3.クラウドインシデント対応計画(2) Ⅰ.準備および後に続くレビュー:文書化 文書化して管理すべきインシデント関連情報 1. インシデントの現状 2. インシデントの概要 3. インシデントに関連する侵害インジケーター 4. 元のインシデントに関連する他のインシデント 5. このインシデントの処理者が講じた行動 6. 可能であれば証拠保全 7. インシデント関連のインパクト評価 8. 他の関与者のコンタクト情報 9. インシデント調査の間に収集した証拠の一覧表 10.インシデント処理者からのコメント 11.計画された次のステップ 12.適切な要員に対するインシデント記録へのアクセス制限 (規制/法令遵守を示す機微な情報やIPアドレス、脆弱性、営業機密情報を含む可能性があるため) 13.振り返り/教訓 (成功点、改善領域、回避点、アウトカムを改善するための新たな手順などの教訓を文書化する)
- 20. 20 AGENDA • 3.サーバーレスのセキュリティ脅威と対策 • 3-1.サーバーレスとは? • 3-2.サーバーレスのクラウドセキュリティ • 3-3.サーバレスアプリケーションの重大リスク
- 21. 21 3-1.サーバーレスとは?(1) • CSA 「2021年サーバーレスコンピューティング・セキュリティ」 (2021年公開予定) • サーバーレスコンピューティング: クラウドプロバイダーが計算処理におけるランタイム管理面の負荷を軽減し、 計算処理、ストレージ、ネットワークに関するすべての面を含む、物理的 または仮想的なマシンリソースの割当設定を動的に管理する、クラウド コンピューティング展開モデル。サーバーレスアプリケーションのオーナーは、 このようなタスクを管理する必要はない。 • Amazon: Lambda、Fargate、AWS Batch • Google: Cloud Functions、Knative、Cloud Run • Microsoft: Azure Functions、Azure Container Instances • Nimbella: OpenWhisk • IBM: OpenWhis など
- 22. 22 3-1.サーバーレスとは?(2) ・サーバーレスコンピューティングの責任共有モデル CaaS(Container as a Service) FaaS(Function as a Service) 出典:CSA「Serverless Computing Security in 2021」(in progress)
- 23. 23 3-1.サーバーレスとは?(3) • CaaS(Container as a Service) • クラウドサービスコンシューマー(CSC)の責任範囲 クライアントサイト 転送データ アプリケーション機能 ID/アクセス管理 クラウドサービス構成 コンテナ構築 出典:CSA「Serverless Computing Security in 2021」(in progress)
- 24. 24 3-1.サーバーレスとは?(4) ・FaaS(Function as a Service) • クラウドサービスコンシューマー(CSC)の責任範囲 クライアントサイト 転送データ アプリケーション機能 ID/アクセス管理 クラウドサービス構成 *コンテナ構築・管理は クラウドサービス プロバイダー(CSP)の 責任範囲 出典:CSA「Serverless Computing Security in 2021」(in progress)
- 25. 25 3-2.サーバーレスのクラウドセキュリティ(1) • CaaS(Container as a Service)アーキテクチャの概要 <セキュリティ関連機能> 認証 認可(権限付与) 脆弱性管理 監査フレームワーク 暗号化/鍵管理 クライアントマシン 出典:CSA「Serverless Computing Security in 2021」(in progress)
- 26. 26 3-2.サーバーレスのクラウドセキュリティ(2) • CaaSプラットフォーム共通の脅威 1.コンテナ化とオーケストレーションの脅威 • a. コンテナ化/オーケストレーションツールの脆弱性 • b. コンテナ化/オーケストレーションAPIの悪用 2.不適切に割り当てられた無制限/管理権限アクセス 3.不正アクセス 4.ポータル/コンソールの脆弱性 • その他の脅威 1.自動デプロイメントツールに対する/経由の攻撃 2.搾取されたコードのレポジトリ 3.搾取されたイメージのレポジトリ 4.不十分/安全でないロギング 5.安全でないシークレット管理 6.リソースの浪費 7.安全でないまたは意図しないデータのキャッシュ
- 27. 27 3-2.サーバーレスのクラウドセキュリティ(3) • FaaS(Function as a Service)アーキテクチャの概要 <セキュリティ関連機能> 認証 認可(権限付与) 脆弱性管理 監査フレームワーク 暗号化/鍵管理 ポリシー強制 同期呼び出し 非同期呼び出し 出典:CSA「Serverless Computing Security in 2021」(in progress)
- 28. 28 3-2.サーバーレスのクラウドセキュリティ(4) • サーバーレスアプリケーションの脅威 1.環境の構成ミス • a. ユーザーの構成管理ミス • b. ポートの露出 • c. 無効化/デフォルト構成 • d. 資格情報の露出 • e. 構成ドリフト 2.脆弱な依存関係 • a. サプライチェーンの脆弱性 • b. 脆弱なイメージ 3.組込型マルウェア 4.ランタイムの課題 • a. データのインジェクションとリモートからの実行 • b. 認証の不備 • c. 不適切なエラーや例外の処理
- 29. 29 3-3.サーバレスアプリケーションの重大リスク • CSA「サーバレスアプリケーションのための最も重大な12の リスク(2019年)」(2019年2月、日本語翻訳版あり) • SAS-1: 関数イベント・データインジェクション • SAS-2: 認証の不備 • SAS-3: セキュアでないサーバレス・デプロイの構成 • SAS-4: 関数への過剰な権限と役割の付与 • SAS-5: 不適切な機能のモニタリングとロギング • SAS-6: セキュアではないサードパーティ依存 • SAS-7: セキュアではないアプリケーションの秘匿領域 • SAS-8: サービス拒否(DoS)およびリソースの枯渇 • SAS-9: サーバレス機能実行フロー操作 • SAS-10: 不適切な例外処理と詳細なエラーメッセージ • SAS-11: 破棄された関数、クラウドリソース及びイベントトリガー • SAS-12: 交差実行データの永続性