ゼロトラストアクセス制御のための行動的・認知的バイオメトリクスを用いたユーザ真正性検証手法

Transcript

1. 笹⽥ ⼤翔, 妙中 雄三, ⾨林 雄基 ゼロトラストアクセス制御機構のための ⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 奈良先端科学技術⼤学院⼤学 先端技術研究科

   ⽇本学術振興会 特別研究員 ネットワークシステム研究会＠海峡メッセ下関 [email protected]

2. 2 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 テレワークにおけるユーザ真正性 [IPA22] 情報セキュリティ10大脅威 2022, <https://www.ipa.go.jp/security/vuln/10threats2022.html>,

   最終閲覧日:2023/01/23 社員証 認証ゲート 社⽤PC 対⾯環境 テレワーク環境 端末共有 私⽤機器 認証共有 アカウントを操作するユーザが常に同⼀が前提となっているが テレワークでは操作者が不明確のため真正性検証が必要 ユーザ真正性が保証されない ユーザ真正性が保証される

3. 3 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 ゼロトラストアクセス制御 セキュリティ 製品 境界型防御 ゼロトラスト

   内部 拒否 内部脅威 内外 不信頼 許可 監視 監視 ゼロトラストでは全ユーザ・端末を不信頼としアクセスを監視 リクエスト毎に検証して遠隔からの安全かつ柔軟なデータ管理を実現 テレワークに適したゼロトラストアクセス制御の需要拡⼤

4. 4 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 ゼロトラストアクセス制御の先⾏研究[SMY++] クリック監視でユーザが内部者であることの検証は可能だが アカウント保持者本⼈であることの検証は不可 外部者の検出に向けたゼロトラストによるクリック回数の監視 クリック回数を監視

   クローラや外部者を検知 [SMY++] 笹⽥⼤翔, 増⽥祐⽃, 妙中雄三, & ⾨林雄基. (2021). ユーザ真正性を検証するゼロトラストアクセス制御機構の設計と試作. 電⼦情報通 信学会技術研究報告; 信学技報, 121(262), 56-61.

5. 5 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 ユーザ真正性検証の先⾏研究 Ø クリック回数や速度を認証継続時間の判定適⽤に向けて分析[ACR19] Ø 認証継続時間の判定にキーボードの打鍵分布や打鍵速度[MB16]

   [ACR19] S. Almalki, P. Chatterjee, and K. Roy, “Continuous Authentication Using Mouse Clickstream Data Analysis,” in International Conference on Security, Privacy and Anonymity in Computation, Communication and Storage, pp. 76–85, Springer, 2019. [MB16] S. Mondal and P. Bours, “Combining Keystroke and Mouse Dynamics for Continuous User Authentication and Identification,” in 2016 IEEE International Conference on Identity, Security and Behavior Analysis, pp. 1–8, IEEE, 2016. 認証サーバ アカウント ⼊⼒特徴 偽ユーザ判定 都度検証が前提とされていないため特徴の変動(認知)を考慮していない ⋯ ⼊⼒特徴 ユーザ識別

6. 6 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 研究⽬的 端末上で操作する挙動を捉えることでユーザ本⼈か否かを識別する ゼロトラストにおいてユーザ真正性を検証する仕組みの実現 ①ゼロトラストアクセス制御機構[SMY++] ②⾏動的・認知的バイオメトリクス設計

   [SMY++] 笹⽥⼤翔, 増⽥祐⽃, 妙中雄三, & ⾨林雄基. (2021). ユーザ真正性を検証するゼロトラストアクセス制御機構の設計と試作. 電⼦情報通 信学会技術研究報告; 信学技報, 121(262), 56-61. クリック⼊⼒ キー⼊⼒ ⾛査挙動 都度検証 本⼈識別 ユーザ真正性検証

7. 7 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 アクセスパタン ・網羅的アクセス ・推論的アクセス ・検索的アクセス ・局所的アクセス

   攻撃者が全く異なる組織に所属 全ファイル/フォルダを探索して到達 ファイル/フォルダ位置を正確に把握 無駄な⾛査をせず最短経路で到達 ファイルやフォルダを確認しながら⾛査 規則を類推して短い経路で到達 ファイル/フォルダ名を正確に把握 検索窓から最短経路で到達 攻撃者の事前知識に応じて4種類のデータアクセスパタンを定義

8. 8 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 ⾏動的・認知的バイオメトリクス 端末に特殊なドライバ・周辺機器をせずに⼀意に識別可能な特徴を使⽤ 監視エージェントを拡張機能としてアクセス端末に事前インストール ・クリック回数分布 ・⾛査速度

   ・キーボード打鍵速度 ・網羅的アクセス ・局所的アクセス ・推論的アクセス ・検索的アクセス

9. 9 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 ⾏動的・認知的バイオメトリクス 端末に特殊なドライバ・周辺機器をせずに⼀意に識別可能な特徴を使⽤ 監視エージェントを拡張機能としてアクセス端末に事前インストール ・クリック回数分布 ・⾛査速度

   ・キーボード打鍵速度 ・網羅的アクセス ・局所的アクセス ・推論的アクセス ・検索的アクセス

10. 10 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 クリック回数分布 [ROA13] R. Alves, O.

    Belo, and A. Louren o, “A Heuristic-Regression Approach to Crawler Pattern Identification on Clickstream Data,” [AO11] A. Lourenco and O. Belo, “Clickstream data warehousing for web crawlers profiling,” in Proceedings of the World Congress on Engineering, vol. 1, 2011. [IC09] I.-H. Ting, L. Clark, and C. Kimble, “Identifying web navigation behaviour and patterns automatically from clickstream data,” International Journal of Web Engineering and Technology, vol. 5, no. 4, pp. 398–426, 2009. 位置を知らない不正ユーザ 外部者は網羅的に⾛査するためクリック回数が極端に多い傾向[ROA13,AO11,IC09] ブラウザ拡張機能によるブラウザ内操作におけるクリックイベントを監視 ブラウザ操作 描画 クリック 位置を知っている正常ユーザ 実現⽅法 60sec 位置を知っているため クリックは最⼩回数 位置を知らないため クリックも探索的

11. 11 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 ファイル/フォルダ⾛査速度 ディレクトリの移動までにかかった時間を認知速度として監視 Web ページ上の同⼀ディレクトリにおける滞在時間を計測 認知速度はユーザの年齢や経験によって⼤きく異なるためユーザ識別可能

    位置を知っている正常ユーザ 位置を知らない不正ユーザ 実現⽅法 10sec 60sec 閲覧で時間を要する 閲覧しないので最短 内容を閲覧 経路を誤る 10sec

12. 12 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 キーボード打鍵速度 キーに対するキープレスからキーアップまでの経過時間をユーザ毎に計測 10秒間隔で打鍵にした⽂字数 からwpm(word/min)を取得 逐次監視は負荷が⼤きいので検索欄⼊⼒を検知した時のみロギング開始

    技量依存で平均打鍵速度や分散が異なり⼀意に識別可能 各タイムスタンプ 打鍵所要時間 各タイムスタンプ 打鍵所要時間 正常ユーザの打鍵速度 不正ユーザの打鍵速度 平均打鍵速度 平均打鍵速度 実現⽅法 5wpm 3wpm 2wpm 8wpm Aさん Bさん Cさん Dさん

13. 13 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 トラストアルゴリズムの設計 NIST SP800-207 で定義されている基準ベースの⽂脈型で設計 バイオメトリクスは事前計測結果とのユークリッド距離を算出

    距離が設定した閾値を超える場合にアクセス拒否 アクセス元IPは 内部か外部か アクセス時刻は 勤務時間内か クリック 回数分布 打鍵速度 分布 ⾛査速度 分布 内部 時間外 許可 距離<5.0 拒否 距離<3.5 距離<120 False False False True True True IPは内部 時間内 時間内 False True False False True

14. 14 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 バイオメトリクスの閾値 クリック回数 : [3,4,5,2,3,4,3] クリック回数

    : [10,13,14,15,13,10,15] 分散距離 > 5.0 12.4 アクセス拒否 事前計測を元に設定した距離に対する閾値をもとにアクセス許可/拒否判定 01 02 03 04 05 06 07 各タイムスタンプ クリック回数 分散:4.476 各タイムスタンプ 01 02 03 04 05 06 07 クリック回数 分散: 0.953 分散計算 分散計算 分散: 0.953

15. 15 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 評価実験 : 実装 PDP Python

    PEP(リバースプロキシ) Ngix Webメールサーバ RainLoop 財務管理サーバ iDempiere プロジェクト管理サーバ Redmine 仮想化基盤Docker上にネットワーク環境を構築してアクセス制御機構の検証

16. 16 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 評価実験 :アクセスパタンの事前計測 ・網羅的アクセス ・推論的アクセス ・局所的アクセス

    ・検索的アクセス 機密1.txt 機密2.txt ファイル名に関連性がなく 全て閲覧しないと到達不可 /User/Document/機密1.txt 事前にパス情報を与えて到達させる Document直下 ファイル名同⼠に関連性があり 推論することで到達可能 営業第三課.txt time_record_20230124.txt 名前情報を与えて到達させる 該当ファイルは ”time_record”を含む 営業第⼀課.txt 被験者4名それぞれが4種類のアクセスパタンを⼊れ替えて総当りの事前計測 機密ファイル内のフラグを⾒つけるまでファイル/フォルダ⾛査を実施

17. 17 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 アクセス制御結果 事前定義した4種類のアクセスパタンに対するアクセス制御の結果 真のユーザが⾃⾝のアカウントでアクセスする4パタンと 偽のユーザ3⼈がアクセスするパタンで検証 被験者2~4が被験者1の

    アカウントを操作 被験者1が被験者1の アカウントを操作

18. 18 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 アクセス制御結果 事前定義した4種類のアクセスパタンに対するアクセス制御の結果 真のユーザが⾃⾝のアカウントでアクセスする4パタンと 偽のユーザ3⼈がアクセスするパタンで検証 被験者2~4が被験者1の

    アカウントを操作 被験者1が被験者1の アカウントを操作

19. 19 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 評価実験 :オーバーヘッド計測 100mm sec Postman

    認証後処理を既存システムに導⼊する前後で遅延が⽣じると導⼊不可 Postmanで100mm秒間隔のリクエストした際の応答時間を計測 計算資源負荷はdocker stats を⽤いてコンテナ毎の負荷を測定

20. 20 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 応答時間・CPU使⽤率・メモリ使⽤量 各サーバで応答速度に遅延発⽣ ただし100ミリ秒以内 CPU使⽤率では有意差なし メモリ使⽤量も有意差なし

    How Loading Time Affects Your Bottom Line, https://neilpatel.com/blog/loading- time/?wide=1, 最終閲覧日2023年1月23日

21. 21 ユーザの真正性を検証するゼロトラストアクセス制御機構の設計と試作 電⼦情報通信学会NS研究会2021年11⽉研究会 ゼロトラストアクセス制御機構のための⾏動的・認知的バイオメトリクスを⽤いたユーザ真正性検証⼿法 ネットワークシステム研究会＠海峡メッセ下関 本研究のまとめ 研究⽬的 提案⼿法 問題提議 ゼロトラストにおいてユーザ真正性を検証する仕組みの実現

    テレワークでは操作者が不明確のため真正性検証が必要 今後の課題 ⾏動的・認知的な特徴を監視検証するバイオメトリクスの設計 クリック回数分布・打鍵速度分布・⾛査速度分布でユーザ真正性検証 閾値の以外のアプローチ検討 識別精度を向上させる 閾値の模索 ユーザラベル クリック回数 学習予測アプローチ ⾏動的バイオメトリクス 認知的バイオメトリクス 真正ユーザ