數學科教師共備手冊 - nhmath.comœ‹中共備手冊/13 二次函數.pdf · 教學共備. memo. 一、 共備模式 (一) 單元共備單. 此模式為. 教師們透過單元共備單之反思、核心概念
第32回Websig会議「クラウドは○○を共有するサービス」
description
Transcript of 第32回Websig会議「クラウドは○○を共有するサービス」
![Page 1: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/1.jpg)
クラウドは ○○を共有するサービス
第32回WebSig会議
「便利さと、怖さと、心強さと~戦う会社のための 社内セキュリティ2013年のスタンダードとは!?」 2013/3/9 株式会社トライコーダ 上野宣
1 (C)2013 Tricorder Co. Ltd.
![Page 2: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/2.jpg)
上野 宣(うえの せん) • 株式会社トライコーダ 代表取締役
– 奈良先端科学技術大学院大学で情報セキュリティを専攻の後、eコマース開発ベンチャーで上場などを経て株式会社トライコーダを設立
– 主な事業は情報セキュリティ教育、脆弱性診断、コンサルティング
– 独立行政法人 情報処理推進機構(IPA) 研究員 – 情報セキュリティ専門誌 ScanNetSecurity 編集長 – OWASP Japan 代表
主な著書・連載など – 今夜わかるTCP/IP、今夜わかるHTTP
めんどうくさいWebセキュリティ、他多数 – @IT、HackerJapanなどで連載中
2 (C)2013 Tricorder Co. Ltd.
![Page 3: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/3.jpg)
(C)2013 Tricorder Co. Ltd. 3
TOPIC
クラウドにおける 脅威を知ろう
まとめ
クラウドは ○○を共有
クラウドを 安全に使うには
![Page 4: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/4.jpg)
クラウドはリソースの共有 • インフラ • ハードウェア • ストレージ • ソフトウェア etc...
• メリットはスケーラビリティ、柔軟性、従量課金、リソースのセルフプロビジョニングなど
(C)2013 Tricorder Co. Ltd. 4
![Page 5: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/5.jpg)
生産性を高めるツールは みんな使いたい • Dropbox、Evernote、サイボウズLive、Googleドキュメントなど
• Facebook、LINE、Skypeなど • スマホ、タブレットなど
• より安く、より便利に!
(C)2013 Tricorder Co. Ltd. 5
![Page 6: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/6.jpg)
セキュリティはトレードオフ • コスト • 利便性 • リスク
• コストが安くなって、便利になると?
(C)2013 Tricorder Co. Ltd. 6
【トレードオフ】 trade-off 何かを求めれば、何かを犠牲にする二律背反の関係
![Page 7: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/7.jpg)
セキュリティ的にクラウドは ○○を共有するサービス • ○○=リスク
• クラウドサービス事業者とのリスク共有 • セキュリティにおけるリスク – 危険に遭う可能性、損をする可能性 – 経済のリスクと違い不確実性ではない
7 (C)2013 Tricorder Co. Ltd.
![Page 8: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/8.jpg)
(C)2013 Tricorder Co. Ltd. 8
TOPIC
クラウドにおける 脅威を知ろう
まとめ
クラウドは ○○を共有
クラウドを 安全に使うには
![Page 9: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/9.jpg)
クラウドにおける脅威
1. 第三者の存在 2. 手が届かない 3. 法的な問題
(C)2013 Tricorder Co. Ltd. 9
![Page 10: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/10.jpg)
クラウドにおける脅威 1.第三者の存在 • サービス事業者という第三者からサービスを受けている – データの所有者は誰? – サービスレベルは? – 重要情報が漏えいした際の責任は? – クラウド事業者が倒産したら? – 管理者はいい人?
(C)2013 Tricorder Co. Ltd. 10
![Page 11: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/11.jpg)
クラウドにおける脅威
1. 第三者の存在 2. 手が届かない 3. 法的な問題
(C)2013 Tricorder Co. Ltd. 11
![Page 12: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/12.jpg)
クラウドにおける脅威 2.手が届かない • 「場所」という特性がない – ネットワークセキュリティの問題 – 漏えい、改ざん、可用性 – 仮想化技術による問題も
(C)2013 Tricorder Co. Ltd. 12
![Page 13: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/13.jpg)
クラウドにおける脅威
1. 第三者の存在 2. 手が届かない 3. 法的な問題
(C)2013 Tricorder Co. Ltd. 13
![Page 14: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/14.jpg)
クラウドにおける脅威 3.法的な問題 • データはどこの国にあるのか? – データの物理的な所在地の法律が影響 – データ保護、プライバシー – 開示義務、国家保安
(C)2013 Tricorder Co. Ltd. 14
![Page 15: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/15.jpg)
(C)2013 Tricorder Co. Ltd. 15
TOPIC
クラウドにおける 脅威を知ろう
まとめ
クラウドは ○○を共有
クラウドを 安全に使うには
![Page 16: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/16.jpg)
安全に使うには • ユーザーの注意深さだけではセキュリティの確保はできない
• “自動化”が必要
(C)2013 Tricorder Co. Ltd. 16
![Page 17: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/17.jpg)
安全に使うには
1. サービスを知る 2. 技術的な対策をする 3. 法的なことを知る
(C)2013 Tricorder Co. Ltd. 17
![Page 18: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/18.jpg)
安全に使うには 1.サービスを知る • サービス事業者は誰か? • サービスの質は?
• そんなの知らないし、信用できるかもわからない
• リスクを緩和しなければならない – まずはどんなリスクがあるかを知っておく必要がある
(C)2013 Tricorder Co. Ltd. 18
![Page 19: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/19.jpg)
リスクを緩和する戦略 (1) • リスク前提 – 潜在的なリスクを受け入れて運用を続ける – リスクを低下させて許容範囲内に納める
• リスクの回避 – 機能の一部をあきらめる – システムを停止する
• リスクの限定 – 影響を一定レベルに抑制する手段を実装する – インシデントの検知、サポート体制を整えるなど
(C)2013 Tricorder Co. Ltd. 19
![Page 20: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/20.jpg)
リスクを緩和する戦略 (2) • リスク計画 – 優先順位、実装状況などリスク緩和プランを策定してリスク管理を行う(事前合意を得ておく)
• 調査と事実認定 – 脆弱性や欠陥の存在を認め、修正する手段を調査し、損失リスクを低く抑える
– アップデートや脆弱性の修正 • リスクの委譲 – 保険に加入、損失を補うことができる他のオプション(資産を増やすなど)
(C)2013 Tricorder Co. Ltd. 20
![Page 21: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/21.jpg)
ちなみに、 セキュリティ研究者の仕事は • コストが安くなって、便利になっても、セキュリティを保つようにすること
• トレードオフの関係性を小さくすること
(C)2013 Tricorder Co. Ltd. 21
![Page 22: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/22.jpg)
安全に使うには
1. サービスを知る 2. 技術的な対策をする 3. 法的なことを知る
(C)2013 Tricorder Co. Ltd. 22
![Page 23: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/23.jpg)
安全に使うには 2.技術的な対策をする • 実は従来からの技術的手法と同様 – 第三者にデータを預けるときと同様 – 暗号化、鍵管理、認証、データの分離
(C)2013 Tricorder Co. Ltd. 23
![Page 24: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/24.jpg)
個人レベルの対策も必須 • パスワード管理 – 他のサービスと使い回しをしない
• 漏えいしたパスワードによる攻撃が流行っている – 長い文字列(8文字以上)、推測しにくいもの
• 事業者がパスワードをどう扱っているかわからない – パスワード管理ツールの利用なども
• パスワード管理を自分のリスクに • マスターパスワード管理にコストを掛ける • マルチプラットフォームのアプリも(KeePassとか)
(C)2013 Tricorder Co. Ltd. 24
![Page 25: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/25.jpg)
個人レベルの対策も必須 • 暗号化 – 暗号化した仮想ディスク
• TrueCrypt、PGP Diskなど – アプリケーションによる暗号化
• PDF、オフィスソフトのパスワード • パスワード付きZIP
– サービスが提供する暗号化機能 • Evernoteのテキスト暗号化
• できれば自動的に暗号化される仕組みを – 手動の暗号化は忘れる
(C)2013 Tricorder Co. Ltd. 25
![Page 26: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/26.jpg)
サービス事業者の対策も必須 • Googleは2011年と比較してアカウントハイジャックを99.7%減 – 120の変数によるリスク分析
• 新たな国からのサインインなど – 二要素認証
• 携帯電話番号、SMS、第2メールアドレス – 秘密の質問
(C)2013 Tricorder Co. Ltd. 26
Official Blog: An update on our war against account hijackers http://googleblog.blogspot.ch/2013/02/an-update-on-our-war-against-account.html
![Page 27: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/27.jpg)
秘密の質問は秘密なのか? • “登録済みメールアドレス”に送信するための認証として使う – 秘密の質問の答えは秘密情報ではないことも – メール受信にはPOPの認証があるので、攻撃者が秘密の質問に答えても読むのは困難
– “メールを読めること”が本人確認 – 秘密の質問に答えるだけで、パスワードが変更されたり、表示されるのはダメ
(C)2013 Tricorder Co. Ltd. 27
![Page 28: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/28.jpg)
流行りのセキュリティ対策 • パスワードのハッシュ化+salt(+ストレッチング)
• 二要素認証、二段階認証 • 全面HTTPS化
(C)2013 Tricorder Co. Ltd. 28
![Page 29: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/29.jpg)
Evernoteのパスワード変更しましたか? • 2013年3月3日ユーザー情報漏えい • 全ユーザーのパスワード強制リセット
(C)2013 Tricorder Co. Ltd. 29
http://blog.evernote.com/jp/2013/03/03/12428
![Page 30: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/30.jpg)
Evernoteから漏えいした情報 • メールアドレス、ID • MD5ハッシュ+salt
• MD5ハッシュ+salt と SHA-1(saltなし)だったら、どっちがいい?
(C)2013 Tricorder Co. Ltd. 30
![Page 31: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/31.jpg)
暗号化されたパスワードの解読 レインボーテーブル
平文 ハッシュ値(MD5) a 0cc175b9c0f1b6a831c399e269772661 b 92eb5ffee6ae2fec3ad71c777531578f ... aa 4124bc0a9335c27f086f24ba207a4912 ... abc 900150983cd24fb0d6963f7d28e17f72 ...
レインボーテーブルからハッシュ値を検索して平文を導き出す
レインボーテーブル:あらかじめ用意しておいた平文とハッシュ値の対応表
(C)2013 Tricorder Co. Ltd. 31
![Page 32: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/32.jpg)
安全に使うには
1. サービスを知る 2. 技術的な対策をする 3. 法的なことを知る
(C)2013 Tricorder Co. Ltd. 32
![Page 33: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/33.jpg)
安全に使うには 3.法的なことを知る • 契約条件、サービスレベルアグリーメント(SLA)を知る
• データの独立性 • データのアクセスに対する規定 – クラウド事業者従業員からのアクセス
• データの所有権 • 法的遵守事項 • 円滑な契約終了がなされるか – データの消去
(C)2013 Tricorder Co. Ltd. 33
![Page 34: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/34.jpg)
(C)2013 Tricorder Co. Ltd. 34
TOPIC
クラウドにおける 脅威を知ろう
まとめ
クラウドは ○○を共有
クラウドを 安全に使うには
![Page 35: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/35.jpg)
安全に使うためのポイント • クラウドはリスクを共有するサービス – 第三者のサービスだと知る
• リスクの緩和戦略を立てよう – もし、そのデータが漏えいしたらどうする? – 自分でできる技術的な対策
• パスワード管理 • 暗号化、自動的にできるものがいい
(C)2013 Tricorder Co. Ltd. 35
![Page 36: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/36.jpg)
ご清聴 ありがとう ございました Thank you!
(C)2013 Tricorder Co. Ltd. 36
![Page 37: 第32回Websig会議「クラウドは○○を共有するサービス」](https://reader033.fdocuments.in/reader033/viewer/2022052908/5595a0b31a28ab05448b46aa/html5/thumbnails/37.jpg)
OWASP Japan Local Chapter Mtg. 5th • 2013年3月14日(木) 19時~ • http://atnd.org/events/37631
(C)2013 Tricorder Co. Ltd. 37
【上野宣】ウェブアプリケーションリスクドキュメント「OWASP Top Ten」RC1 2013版レビュー 【Paul Scott (OWASP Houston)】 超訳「Cloud時代のさまざまなスタイルのWAFのはなし」 【福本・岡田・ほか】OWASP Global AppSec 2013より、アツい(?) ウェブセキュリティトピックサマリー