なめらかなセキュリティを目指して/Toward The Coherently Fittable Security

Cd3d2cb2dadf5488935fe0ddaea7938a?s=47 monochromegane
September 19, 2019

なめらかなセキュリティを目指して/Toward The Coherently Fittable Security

2019.09.19 第47回 情報処理学会 インターネットと運用技術研究会
https://www.ipsj.or.jp/kenkyukai/event/iot47spt35.html

Cd3d2cb2dadf5488935fe0ddaea7938a?s=128

monochromegane

September 19, 2019
Tweet

Transcript

  1. Toward The Coherently Fittable Security ࡾ୐ ༔հ(GMOϖύϘגࣜձࣾ ϖύϘݚڀॴ), Ѩ෦ ത(ίίϯגࣜձࣾ

    ٕज़ݚڀࣨ), ܀ྛ ݈ଠ࿠(ϖύϘݚڀॴ) 2019.09.19 ୈ47ճ ৘ใॲཧֶձ Πϯλʔωοτͱӡ༻ٕज़ݚڀձ ͳΊΒ͔ͳηΩϡϦςΟΛ໨ࢦͯ͠
  2. 1. എܠ 2. ͳΊΒ͔ͳηΩϡϦςΟ 3. ͳΊΒ͔ͳηΩϡϦςΟͷ࣮ݱʹ޲͚ͨ෦෼ݚڀ 4. ߟ࡯ͱ·ͱΊ 2 ໨࣍

  3. 1. എܠ

  4. ηΩϡϦςΟରࡦͷӡ༻ͱ՝୊

  5. • ར༻ऀʹͱͬͯɼηΩϡϦςΟࢪࡦಋೖʹΑΔ໘౗͕૿͑རศੑ͕ଛͳΘΕΔ • ଟཁૉೝূͷಋೖ΍ΞΫηε੍ݶʢ௚઀తͳ੍໿ʣ • IDS/IPSʹΑΔޡݕग़΁ͷରԠʢؒ઀తͳӨڹʣ 5 ηΩϡϦςΟରࡦͷӡ༻ͱ՝୊ᶃ: རศੑͷ௿Լ

  6. • ৽ͨͳڴҖʹରͯ͠ɼ৽͍͠ࢪࡦΛಋೖ͢ΔɼϧʔϧΛݟ௚͠ݫ͘͢͠ΔͳͲɼ ࡍݶͳ͘෺ྔΛཁٻ͢Δ • Ұ౓ڧԽͨ͠ηΩϡϦςΟରࡦ͸ɼηΩϡϦςΟ্ͷڴҖ͕ऑ·ͬͨͱͯ͠΋ ܧଓ͞Εෆཁͳίετͷ૿Ճʹܨ͕Δ܏޲ʹ͋Δɽ 6 ηΩϡϦςΟରࡦͷӡ༻ͱ՝୊ᶄ: ίετͷ૿Ճ

  7. • རศੑɾίετͱηΩϡϦςΟ͸τϨʔυΦϑ • ঢ়گ΍ݸʑਓʹΑͬͯඞཁͳηΩϡϦςΟରࡦ͸ҟͳΔ • ৴པͰ͖Δؔ܎ऀʹର͢ΔηΩϡϦςΟରࡦͷ෦෼తͳ؇࿨ • ݸผ͔ͭৄࡉͳݖݶ؅ཧ͸ӡ༻ෛՙ͕ߴ͍ • WebαʔϏεͷΑ͏ͳෆಛఆଟ਺ͷར༻ऀΛલఏͱ͢Δ৘ใγεςϜͰ

    ͸Ұ཯ͷݖݶ؅ཧ΁ 7 ηΩϡϦςΟରࡦͷӡ༻ͱ՝୊: ᶃᶄ΁ͷΞϓϩʔν ॊೈͳηΩϡϦςΟରࡦΛӡ༻ෛՙΛ૿େ͢Δ͜ͱͳ͘ߦ͍͍ͨ
  8. • ৘ใγεςϜͷ։ൃӡ༻ऀʹͱͬͯ͸ɼ؅ཧ͢΂͖ϧʔϧ΍؂ࢹ͢΂͖ϩάɼ ηΩϡϦςΟΠϯγσϯτ΁ͷରԠͳͲηΩϡϦςΟΛڧԽ͢Δҝʹ΍Δ΂͖ ͜ͱ͕૿Ճɽ • ֤ηΩϡϦςΟରࡦͷ࿈ܞ • ֤ηΩϡϦςΟରࡦΛԣஅͨ͠ϩάͷ෼ੳ • ֤ηΩϡϦςΟରࡦͷ࠷৽Խ

    8 ηΩϡϦςΟରࡦͷӡ༻ͱ՝୊ᶅ: ӡ༻ෛՙͷ૿େ
  9. • ࿈ܞ΍ԣஅͷ՝୊͸౷߹؅ཧʹΑΔলྗԽ • ෳ਺ͷηΩϡϦςΟରࡦΛ౷߹͢ΔUTM • ֤छϩάͷҰݩ؅ཧɾ෼ੳΛߦ͏SIEM • ࠷৽Խͷ՝୊͸ύον΍γάωνϟͷࣗಈߋ৽ʹΑ࣮ͬͯݱ • ҰํͰɼFirewallͷϙϦγʔ΍WAFͷύλʔϯͱ͍ͬͨಋೖઌͷ؀ڥ΍

    WebαʔϏεͷಛੑʹґଘ͢Δ΋ͷ͸มߋʹ௥ै͢Δ࢓૊Έ͕ඞཁ 9 ηΩϡϦςΟରࡦͷӡ༻ͱ՝୊: ᶅ΁ͷΞϓϩʔν ޮ཰తͳηΩϡϦςΟରࡦͷͨΊҡ࣋؅ཧΛࣗಈԽ͍ͨ͠
  10. ݚڀͷ໨త

  11. • ৘ใηΩϡϦςΟʹؔ͢ΔΠϯγσϯτͷൃੜස౓΍ࣾձతӨڹ͸೥ʑ֦େ • ଟ༷Խ͢ΔαΠόʔ߈ܸʹରԠ͢ΔͨΊɼଟ૚๷ޚ͕ओྲྀͱͳΔ • ڧݻͳηΩϡϦςΟͱͷτϨʔυΦϑͰ͋Δརศੑͷ௿Լɾίετ΍ӡ༻ෛՙ ͷ૿େΛղফ͠ɼܧଓՄೳͳηΩϡϦςΟରࡦͷ࢓૊ΈΛ࡞Δ͜ͱ͕৘ใγε ςϜͷ։ൃӡ༻ऀʹͱͬͯॏཁ 11 ݚڀͷ໨త

  12. ͜ΕΒΛ࣮ݱ͢ΔͨΊͷ࢓૊ΈΛʮͳΊΒ͔ͳηΩϡϦςΟʯͱͯ͠ఏҊ 12 ఏҊͷࠎࢠ ᶃ ඞཁͳ࣌ʹඞཁ࠷খݶͷηΩϡϦςΟΛఏڙ → ঢ়گ΍ݸʑਓʹ࠷దԽ͢Δ͜ͱͰརศੑͷҡ࣋ɾෆཁͳίετൃੜͷճආ ᶄ ࠷దͳαʔϏεΛࣗಈతʹఏڙ →

    ঢ়گ΍ݸʑਓͷ೺Ѳ΍࠷దԽ͕ࣗಈతʹߦΘΕΔ͜ͱͰӡ༻ෛՙΛ௿ݮ
  13. ͳΊΒ͔ͳγεςϜ

  14. • ৘ใγεςϜͷ͜ͱΛ͍͏ͷΈͳΒͣɼޓ͍ʹӨڹΛٴ΅͠߹͏ܧଓతͳؔ܎ ʹ͋Δར༻ऀʢϢʔβ͓Αͼ։ൃӡ༻ऀʣͱ৘ใγεςϜͱ͔ΒͳΔ૯ମͱ͠ ͯͷγεςϜ 14 ͳΊΒ͔ͳγεςϜ ग़ॴ܀ྛ݈ଠ࿠ ࡾ୐༔հ দຊ྄հ ͳΊΒ͔ͳγεςϜΛ໨ࢦͯ͠

    ϚϧνϝσΟΞɺ෼ࢄɺڠௐͱϞόΠϧʢ%*$0.0ʣγϯϙδ΢Ϝ # +VM
  15. • ཁ݅ʢ1ʣɿར༻ऀͱ৘ใγεςϜͱ͕ܧଓతͳؔ܎ΛऔΓ࣋ͭաఔʹ͓͍ ͯɼར༻ऀͦΕͧΕʹݻ༗ͷίϯςΩετΛݟग़ͨ͠Γɼ৽ͨͳίϯςΩετ Λ૑ग़ͨ͠ΓͰ͖Δ͜ͱ • ཁ݅ʢ2ʣɿཁ݅ʢ1ʣΛɼར༻ऀʹΑΔ໌ࣔతͳૢ࡞Λ՝͢͜ͱͳ࣮͘ݱͰ ͖Δ͜ͱ • ཁ݅ʢ3ʣɿཁ݅ʢ1ʣ͓Αͼʢ2ʣʹΑͬͯಘΒΕͨίϯςΩετʹجͮ ͖ɼ৘ใγεςϜ͕ར༻ऀʹରͯ͠࠷దͳαʔϏεΛࣗಈతʹఏڙͰ͖Δ͜ͱ

    15 ͳΊΒ͔ͳγεςϜ ग़ॴ܀ྛ݈ଠ࿠ ࡾ୐༔հ দຊ྄հ ͳΊΒ͔ͳγεςϜΛ໨ࢦͯ͠ ϚϧνϝσΟΞɺ෼ࢄɺڠௐͱϞόΠϧʢ%*$0.0ʣγϯϙδ΢Ϝ # +VM
  16. 2. ͳΊΒ͔ͳηΩϡϦςΟ

  17. • ڧݻͳηΩϡϦςΟΛ࣮ݱ͢ΔηΩϡϦςΟରࡦͷͨΊʹ͸ɼརศੑ΍ίετ ͷ໘Ͱͷॊೈੑͱɼӡ༻ͷ໘Ͱͷޮ཰తͳҡ࣋؅ཧΛཱ͕྆ඞཁ • ʮͳΊΒ͔ͳγεςϜʯͷཁ݅Λຬͨ͢͜ͱͰ͜ΕΛղܾ͢Δ 17 ͳΊΒ͔ͳγεςϜʹΑΔηΩϡϦςΟͷ࣮ݱ ᶃ ݸʑਓʹ߹Θͤͨඞཁ࠷খݶͷηΩϡϦςΟରࡦʹΑͬͯॊೈੑΛ֬อ →

    ͳΊΒ͔ͳγεςϜʹ͓͚Δཁ݅ʢ3ʣ ᶄ ར༻ऀͱηΩϡϦςΟγεςϜͷؔ܎ੑΛࣗಈ͔ͭܧଓతʹݕग़ɽݸผԽΛ ؚΉηΩϡϦςΟରࡦΛޮ཰తʹҡ࣋؅ཧ → ͳΊΒ͔ͳγεςϜʹ͓͚Δཁ݅ʢ1ʣͱʢ2ʣ
  18. 18 ͳΊΒ͔ͳηΩϡϦςΟ ग़ॴʮϖύϘݚڀॴʯºʮίίϯٕज़ݚڀࣨʯʮͳΊΒ͔ͳηΩϡϦςΟʯͷ࣮ݱʹ޲͚ͨڞಉݚڀ੒Ռͱͯ͠࿦จ͓ΑͼΦʔϓϯιʔειϑτ΢ΣΞΛൃද γεςϜͷར༻΍ӡ༻ʹ͓͚Δ͞·͟·ͳোนʢΰπΰ πʣΛऔΓআ͖ɺݸʑਓʹ߹ΘͤͨʢύʔιφϥΠζ͠ ͨʣηΩϡϦςΟΛඞཁͳ࣌ʹඞཁ࠷খݶͷػೳͱͯ͠ ఏڙ͢Δ͜ͱͰɺརศੑΛଛͳΘͣɺ͔ͭϓϥΠόγʔ ৘ใ΋कΓͳ͕ΒηΩϡϦςΟΛ࣮ݱ͢Δ࢓૊Έɻ l z

  19. 19

  20. • ৘ใγεςϜͷڥքɼ͢ͳΘͪϢʔβ΋͘͠͸։ൃӡ༻ऀͱίΞαʔϏεͷத ؒʹҐஔ͢Δ • ར༻ऀଆͷEdgeͰ͸ཁٻʹର͢ΔηΩϡϦςΟݕূΛߦ͏ • ཁٻʹର͢ΔηΩϡϦςΟཁ݅ͷબ୒͸ݸਓ·ͨ͸ݸʑʹ࠷దԽ • ։ൃऀଆͷEdgeͰ͸ίΞαʔϏεʹର͢ΔηΩϡϦςΟཁ݅Λड͚෇͚ɼ۩ ମɾݸผͷϧʔϧͷࣗಈੜ੒΍ৼΓ෼͚Λߦ͏ɽ

    • ηΩϡϦςΟΦʔέετϨʔλͱͷ࿈ܞ 20 Edge
  21. 21 ηΩϡϦςΟΦʔέετϨʔλ ϩάऩूɾݕࡧ จ຺ղੳ ϧʔϧద༻ ηΩϡϦςΟΦʔέετϨʔλ ৘ใγεςϜͱϢʔβͱͷ΍ΓͱΓʹؔ͢Δ๲େͳϩάΛऩ ू͠ɺඞཁʹԠͯ͡ݕࡧͰ͖ΔػೳΛఏڙ ཁٻΛ࣌ܥྻʹଊ͑Δ͜ͱͰจ຺Λ೺Ѳ͠ɺͦͷ಺༰΍ม Խʹରͯ͠ద੾ͳϥϕϦϯάͱܖػΛ༩͑Δ

    จ຺ղੳ͔ΒಘΒΕͨϥϕϦϯά΍ܖػʹج͍ͮͯɺ࠷ద͔ ͭඞཁ࠷খݶ౓ͷηΩϡϦςΟΛఏڙ͢ΔαʔϏεΛߏ੒ ཁٻจ຺ʹରͯ͠ɺͦͷ࣌ʑʹඞཁ࠷খݶ౓ͷηΩϡϦςΟ ͷఏڙΛҡ࣋͢Δ࢓૊ΈɻԼهͷίϯϙωϯτ͔ΒͳΔɻ
  22. 3. ͳΊΒ͔ͳηΩϡϦςΟͷ ࣮ݱʹ޲͚ͨ෦෼ݚڀ

  23. SQLΫΤϦͷϗϫΠτϦετࣗಈ࡞੒

  24. • ͳΊΒ͔ͳηΩϡϦςΟʹݶΒͣɼҰൠతͳηΩϡϦςΟରࡦͰ͸ɼอޢର৅ ͷ৘ใγεςϜʹ௥ैͯ͠ɼηΩϡϦςΟཁ݅Λߋ৽͢Δඞཁ͕͋Δɽ • ఏҊγεςϜͰ͸ɼݸʑਓʹ߹ΘͤͨηΩϡϦςΟΛඞཁͳ࣌ʹඞཁ࠷খݶͷ ػೳͱͯ͠ఏڙ͢ΔͨΊʹηΩϡϦςΟཁ݅͸ଟ༷Խ͢Δɽ • ͜ΕΒΛӡ༻ෛՙΛߴΊͣʹղܾ͢Δʹ͸ɼηΩϡϦςΟཁ݅ͷߋ৽ΛਓखΛ հͣ͞ʹߦ͑Δ࢓૊Έ͕ඞཁͱͳΔɽ 24

    ӡ༻໘Ͱͷޮ཰తͳҡ࣋؅ཧ
  25. SQLΫΤϦͷϗϫΠτϦετࣗಈ࡞੒ 25 ໺ଜ޸໋ Ѩ෦ത ੁ໺఩ ྗ෢݈࣍ দຊ྄հ 8FCΞϓϦέʔγϣϯςετΛ༻͍ͨ42-ΫΤϦͷϗϫΠτϦετࣗಈ࡞੒ख๏ Πϯλʔωοτͱӡ༻ٕज़γϯϙδ΢Ϝ࿦จू WPMVNF

    QBHFTr OPW • WebΞϓϦέʔγϣϯͷࣗಈςετ࣌ʹൃߦ͞ ΕΔΫΤϦΛߏ଄Խ͠ɼσʔλϕʔεFirewallͷ ϗϫΠτϦετͱͯ͠ར༻ • ఏҊγεςϜͰ͸ɼ։ൃӡ༻ऀଆͷEdgeʹର͠ ͯWebΞϓϦέʔγϣϯͷࣗಈςετ͕ొ࿥͞ Εɼੜ੒͞ΕͨϗϫΠτϦετΛηΩϡϦςΟ ཁ݅ͱͯ͠ߋ৽
  26. ଟ༷Խ͢ΔηΩϡϦςΟཁ݅ͷࣗಈੜ੒ 26 ҰൠϢʔβ 6TFS"ཁٻ༻ͷ*' 6TFS#ཁٻ༻ͷ*' 0QT"ͷηΩϡϦςΟཁٻ 0QT" ϢʔβγεςϜ܈ ӡ༻։ൃऀγεςϜ ৘ใγεςϜ

    ݸผͷཁٻ ʢจ຺ʣ ηΩϡϦςΟ ΦʔέετϨʔλ ಛݖϢʔβ  ΞϓϦέʔγϣϯͷࣗಈςετ͔ΒηΩϡϦςΟཁٻΛࣗಈ ੜ੒<>  ࠓޙɺϢʔβཁٻͷจ຺ʹԠͯ͡ɺͷηΩϡϦςΟཁٻΛ ద༻͠Θ͚Δʢ͋Δ42-จΛಛݖϢʔβʹ͸ڐՄ͢Δ౳ʣऔ Γ૊ΈΛߦ͏ ໺ଜ޸໋ Ѩ෦ത ੁ໺఩ ྗ෢݈࣍ দຊ྄հ 8FCΞϓϦέʔγϣϯςετΛ༻͍ͨ42-ΫΤϦͷϗϫΠτϦετࣗಈ࡞੒ख๏ Πϯλʔωοτͱӡ༻ٕज़γϯϙδ΢Ϝ࿦จू WPMVNF QBHFTr OPW
  27. Hayabusa

  28. 28 طଘݚڀ: Hayabusa Ѩ෦ത ౡܚҰ ٶຊେี ؔ୩༐࢘ ੴݪ஌༸ Ԭా࿨໵ தଜྒྷ

    দӜ஌࢙ ࣰాཅҰ ࣌ؒ࣠ݕࡧʹ࠷దԽͨ͠εέʔϧΞ΢τՄೳͳߴ଎ϩάݕࡧΤϯδϯͷ࣮ݱͱධՁ ৘ใॲཧֶձ࿦จࢽ ר߸ QBHFT NBS • ͳΊΒ͔ͳηΩϡϦςΟʹݶΒͣɼҰൠతͳηΩϡϦςΟରࡦͰ͸ɼϩάΛҰ ՕॴʹूΊɼूதॲཧΛߦ͏৔߹͕ଟ͍ • େྔͷϩάΛऩू͔ͭ͠ॲཧ͢ΔͨΊͷࣄલݚڀͱͯ͠ɼHayabusaΛ։ൃ • ධՁ࣮ݧͰ͸ɼ144ԯߦͷsyslogσʔλ΁ͷશจݕࡧ͕໿7ඵͰ׬ྃ
  29. • ϚΠΫϩηΩϡϦςΟαʔϏε͕࣮ߦ͞ΕΔEdgeࣗମʹେྔͷϩά͕஝ੵ͞ ΕΔɼ͔ͭEdgeͷ਺͸๲େʢ1ສʙʣ • ϩάΛूதతʹॲཧͤ͞Δʹ͸ɺϩάͷసૹ஗Ԇ΍ଳҬͷѹഭ͕ݒ೦͞ΕΔ • EdgeͰͷ෼ࢄॲཧ • EdgeͷதͰࣗ཯తʹॲཧΛ׬݁ͤ͞Δ •

    EdgeͷதͰඞཁͳσʔλͷΈूܭͯ͠ɺΦʔέετϨʔλʹ఻ୡ 29 EdgeΛ૝ఆͨ͠ϩάॲཧ
  30. Scalable Edge Log Processing 30 • ϩάॲཧΛEdge΁دͤΔ • EdgeͰͷϩά஝ੵ •

    EdgeͰͷϩάॲཧͷ׬݁ʢࣗݾ׬݁ or ݁ ՌͷΈ֎෦΁సૹʣ • αʔϏεσΟεΧόϦʔͷԠ༻ • EdgeͰಈ͘ϚΠΫϩαʔϏεͷϩάΛऩ ूɾॲཧ • ͦͷͨΊͷϚΠΫϩαʔϏε΁ͷ࠷దԽϧʔ ςΟϯά
  31. Kaburaya

  32. • Edge͕ಁաతʹৼΔ෣͏ͨΊʹ͸ύϑΥʔϚϯε͕ॏཁ • ҰํͰɼݸਓԽʹΑͬͯEdge਺͕૿Ճ͢ΔͨΊɼࢿݯࡃ഑ͷ࠷దԽ͕ٻΊΒ ΕΔɽ • ಉ༷ʹɼݸਓԽʹ൐͍֤Edgeͷଟ༷ੑ͕૿ͨ͢ΊɼखಈͰͷνϡʔχϯά͸ ࠔ೉ͱͳΔɽ 32 Edgeʹ͓͚ΔࢿݯεέδϡʔϦϯάͷඞཁੑ

  33. 33 Edgeʹ͓͚ΔࢿݯεέδϡʔϦϯάͷඞཁੑ &EHF ϚΠΫϩηΩϡϦςΟαʔϏε࣮ߦͷฒྻԽ ֤ϚΠΫϩηΩϡϦςΟαʔϏεͷ࣮ߦج൫ͷΦʔτεέʔϦϯά • ύϑΥʔϚϯε޲্ʹ͸ϚΠΫϩηΩϡϦςΟαʔ Ϗε࣮ߦͷฒྻԽ΍࣮ߦج൫ͷεέʔϦϯά͕༗ޮ • ͜ΕΒΛෛՙ΍ࢿݯ੍໿Λߟྀͯ͠࠷దԽ͍ͨ͠

    QSPDFTTͰෳ਺ϚΠΫϩηΩϡϦςΟαʔ Ϗε͕࣮ߦ͞ΕΔ৔߹ͳͲ ֤ϚΠΫϩηΩϡϦςΟαʔϏε͕ίϯς φͰఏڙ͞ΕΔ৔߹ͳͲ ⁞ ⁞  
  34. • ϑΟʔυόοΫ੍ޚΛ༻͍ͯɼର৅ͷλεΫͷಛੑΛࣄલʹ஌Δ͜ͱͳ͘ɼ ൓Ԡత͔ͭܧଓతʹ࠷దͳฒߦ਺ΛٻΊΔ • ఏҊγεςϜͰ͸ɼݸผԽ͞ΕͨηΩϡϦςΟݕূ಺༰ͱॲཧ࣌ؒΛࣄલ ʹ஌Δ͜ͱͳ͘ɼ࠷దͳ૊Έ߹ΘͤΛ࣮ߦ࣌ʹࣗಈͰಋ͘ Kaburaya 34 :VTVLF.JZBLF 0QUJNJ[BUJPOGPS/VNCFSPGHPSPVUJOFT6TJOH'FFECBDL$POUSPM

    (PQIFS$PO.BSSJPUU.BSRVJT4BO%JFHP.BSJOB $BMJGPSOJB +VMZ
  35. 4. ߟ࡯ͱ·ͱΊ

  36. • ͳΊΒ͔ͳγεςϜͷཁ݅ʹج͖ͮηΩϡϦςΟରࡦͷݸਓ΁ͷ࠷దԽΛࣗಈ͔ ͭܧଓతʹߦ͏ηΩϡϦςΟγεςϜΛఏҊ • EdgeͰͷϩάऩूɾݕࡧͷ؍఺͔ΒHayabusaͷ֦ு • ޮ཰తͳҡ࣋؅ཧʹඞཁͳηΩϡϦςΟఆٛͷࣗಈੜ੒ • ݸผԽ͞Εͨଟ༷ͳ؀ڥʹ͓͚ΔΦʔτεέʔϦϯάͷ࠷దԽ •

    ࠓޙ͸ίϯςΩετղੳͱηΩϡϦςΟରࡦͷϚονϯάͷ࣮ݱͱEdgeͷ෺ཧత ͳ഑ஔ΍ܦ࿏બ୒ʹؔ͢Δݕ౼ΛਐΊΔ • ෳ਺ͷ৘ใγεςϜΛԣஅ͢Δ؀ڥΛલఏͱͨ͠EdgeͷઃܭΛ௨࣮ͯ͠༻ੑͷ ߴ͍γεςϜΛ࣮ݱ͢Δ 36 ߟ࡯ͱ·ͱΊ
  37. None