なめらかなセキュリティを目指して/Toward The Coherently Fittable Security

Transcript

1. Toward The Coherently Fittable Security ࡾ୐ ༔հ(GMOϖύϘגࣜձࣾ ϖύϘݚڀॴ), Ѩ෦ ത(ίίϯגࣜձࣾ

   ٕज़ݚڀࣨ), ܀ྛ ݈ଠ࿠(ϖύϘݚڀॴ) 2019.09.19 ୈ47ճ ৘ใॲཧֶձ Πϯλʔωοτͱӡ༻ٕज़ݚڀձ ͳΊΒ͔ͳηΩϡϦςΟΛ໨ࢦͯ͠

2. 1. എܠ 2. ͳΊΒ͔ͳηΩϡϦςΟ 3. ͳΊΒ͔ͳηΩϡϦςΟͷ࣮ݱʹ޲͚ͨ෦෼ݚڀ 4. ߟ࡯ͱ·ͱΊ 2 ໨࣍

3. 1. എܠ

4. ηΩϡϦςΟରࡦͷӡ༻ͱ՝୊

5. • ར༻ऀʹͱͬͯɼηΩϡϦςΟࢪࡦಋೖʹΑΔ໘౗͕૿͑རศੑ͕ଛͳΘΕΔ • ଟཁૉೝূͷಋೖ΍ΞΫηε੍ݶʢ௚઀తͳ੍໿ʣ • IDS/IPSʹΑΔޡݕग़΁ͷରԠʢؒ઀తͳӨڹʣ 5 ηΩϡϦςΟରࡦͷӡ༻ͱ՝୊ᶃ: རศੑͷ௿Լ

6. • ৽ͨͳڴҖʹରͯ͠ɼ৽͍͠ࢪࡦΛಋೖ͢ΔɼϧʔϧΛݟ௚͠ݫ͘͢͠ΔͳͲɼ ࡍݶͳ͘෺ྔΛཁٻ͢Δ • Ұ౓ڧԽͨ͠ηΩϡϦςΟରࡦ͸ɼηΩϡϦςΟ্ͷڴҖ͕ऑ·ͬͨͱͯ͠΋ ܧଓ͞Εෆཁͳίετͷ૿Ճʹܨ͕Δ܏޲ʹ͋Δɽ 6 ηΩϡϦςΟରࡦͷӡ༻ͱ՝୊ᶄ: ίετͷ૿Ճ

7. • རศੑɾίετͱηΩϡϦςΟ͸τϨʔυΦϑ • ঢ়گ΍ݸʑਓʹΑͬͯඞཁͳηΩϡϦςΟରࡦ͸ҟͳΔ • ৴པͰ͖Δؔ܎ऀʹର͢ΔηΩϡϦςΟରࡦͷ෦෼తͳ؇࿨ • ݸผ͔ͭৄࡉͳݖݶ؅ཧ͸ӡ༻ෛՙ͕ߴ͍ • WebαʔϏεͷΑ͏ͳෆಛఆଟ਺ͷར༻ऀΛલఏͱ͢Δ৘ใγεςϜͰ

   ͸Ұ཯ͷݖݶ؅ཧ΁ 7 ηΩϡϦςΟରࡦͷӡ༻ͱ՝୊: ᶃᶄ΁ͷΞϓϩʔν ॊೈͳηΩϡϦςΟରࡦΛӡ༻ෛՙΛ૿େ͢Δ͜ͱͳ͘ߦ͍͍ͨ

8. • ৘ใγεςϜͷ։ൃӡ༻ऀʹͱͬͯ͸ɼ؅ཧ͢΂͖ϧʔϧ΍؂ࢹ͢΂͖ϩάɼ ηΩϡϦςΟΠϯγσϯτ΁ͷରԠͳͲηΩϡϦςΟΛڧԽ͢Δҝʹ΍Δ΂͖ ͜ͱ͕૿Ճɽ • ֤ηΩϡϦςΟରࡦͷ࿈ܞ • ֤ηΩϡϦςΟରࡦΛԣஅͨ͠ϩάͷ෼ੳ • ֤ηΩϡϦςΟରࡦͷ࠷৽Խ

   8 ηΩϡϦςΟରࡦͷӡ༻ͱ՝୊ᶅ: ӡ༻ෛՙͷ૿େ

9. • ࿈ܞ΍ԣஅͷ՝୊͸౷߹؅ཧʹΑΔলྗԽ • ෳ਺ͷηΩϡϦςΟରࡦΛ౷߹͢ΔUTM • ֤छϩάͷҰݩ؅ཧɾ෼ੳΛߦ͏SIEM • ࠷৽Խͷ՝୊͸ύον΍γάωνϟͷࣗಈߋ৽ʹΑ࣮ͬͯݱ • ҰํͰɼFirewallͷϙϦγʔ΍WAFͷύλʔϯͱ͍ͬͨಋೖઌͷ؀ڥ΍

   WebαʔϏεͷಛੑʹґଘ͢Δ΋ͷ͸มߋʹ௥ै͢Δ࢓૊Έ͕ඞཁ 9 ηΩϡϦςΟରࡦͷӡ༻ͱ՝୊: ᶅ΁ͷΞϓϩʔν ޮ཰తͳηΩϡϦςΟରࡦͷͨΊҡ࣋؅ཧΛࣗಈԽ͍ͨ͠

10. ݚڀͷ໨త

11. • ৘ใηΩϡϦςΟʹؔ͢ΔΠϯγσϯτͷൃੜස౓΍ࣾձతӨڹ͸೥ʑ֦େ • ଟ༷Խ͢ΔαΠόʔ߈ܸʹରԠ͢ΔͨΊɼଟ૚๷ޚ͕ओྲྀͱͳΔ • ڧݻͳηΩϡϦςΟͱͷτϨʔυΦϑͰ͋Δརศੑͷ௿Լɾίετ΍ӡ༻ෛՙ ͷ૿େΛղফ͠ɼܧଓՄೳͳηΩϡϦςΟରࡦͷ࢓૊ΈΛ࡞Δ͜ͱ͕৘ใγε ςϜͷ։ൃӡ༻ऀʹͱͬͯॏཁ 11 ݚڀͷ໨త

12. ͜ΕΒΛ࣮ݱ͢ΔͨΊͷ࢓૊ΈΛʮͳΊΒ͔ͳηΩϡϦςΟʯͱͯ͠ఏҊ 12 ఏҊͷࠎࢠ ᶃ ඞཁͳ࣌ʹඞཁ࠷খݶͷηΩϡϦςΟΛఏڙ → ঢ়گ΍ݸʑਓʹ࠷దԽ͢Δ͜ͱͰརศੑͷҡ࣋ɾෆཁͳίετൃੜͷճආ ᶄ ࠷దͳαʔϏεΛࣗಈతʹఏڙ →

    ঢ়گ΍ݸʑਓͷ೺Ѳ΍࠷దԽ͕ࣗಈతʹߦΘΕΔ͜ͱͰӡ༻ෛՙΛ௿ݮ

13. ͳΊΒ͔ͳγεςϜ

14. • ৘ใγεςϜͷ͜ͱΛ͍͏ͷΈͳΒͣɼޓ͍ʹӨڹΛٴ΅͠߹͏ܧଓతͳؔ܎ ʹ͋Δར༻ऀʢϢʔβ͓Αͼ։ൃӡ༻ऀʣͱ৘ใγεςϜͱ͔ΒͳΔ૯ମͱ͠ ͯͷγεςϜ 14 ͳΊΒ͔ͳγεςϜ ग़ॴ
    ܀ྛ
    ݈ଠ࿠
    ࡾ୐
    ༔հ
    দຊ
    ྄հ
    ͳΊΒ͔ͳγεςϜΛ໨ࢦͯ͠

    
    ϚϧνϝσΟΞɺ෼ࢄɺڠௐͱϞόΠϧʢ%*$0.0ʣγϯϙδ΢Ϝ
    #
    +VM
    

15. • ཁ݅ʢ1ʣɿར༻ऀͱ৘ใγεςϜͱ͕ܧଓతͳؔ܎ΛऔΓ࣋ͭաఔʹ͓͍ ͯɼར༻ऀͦΕͧΕʹݻ༗ͷίϯςΩετΛݟग़ͨ͠Γɼ৽ͨͳίϯςΩετ Λ૑ग़ͨ͠ΓͰ͖Δ͜ͱ • ཁ݅ʢ2ʣɿཁ݅ʢ1ʣΛɼར༻ऀʹΑΔ໌ࣔతͳૢ࡞Λ՝͢͜ͱͳ࣮͘ݱͰ ͖Δ͜ͱ • ཁ݅ʢ3ʣɿཁ݅ʢ1ʣ͓Αͼʢ2ʣʹΑͬͯಘΒΕͨίϯςΩετʹجͮ ͖ɼ৘ใγεςϜ͕ར༻ऀʹରͯ͠࠷దͳαʔϏεΛࣗಈతʹఏڙͰ͖Δ͜ͱ

    15 ͳΊΒ͔ͳγεςϜ ग़ॴ
    ܀ྛ
    ݈ଠ࿠
    ࡾ୐
    ༔հ
    দຊ
    ྄հ
    ͳΊΒ͔ͳγεςϜΛ໨ࢦͯ͠
    ϚϧνϝσΟΞɺ෼ࢄɺڠௐͱϞόΠϧʢ%*$0.0ʣγϯϙδ΢Ϝ
    #
    +VM
    

16. 2. ͳΊΒ͔ͳηΩϡϦςΟ

17. • ڧݻͳηΩϡϦςΟΛ࣮ݱ͢ΔηΩϡϦςΟରࡦͷͨΊʹ͸ɼརศੑ΍ίετ ͷ໘Ͱͷॊೈੑͱɼӡ༻ͷ໘Ͱͷޮ཰తͳҡ࣋؅ཧΛཱ͕྆ඞཁ • ʮͳΊΒ͔ͳγεςϜʯͷཁ݅Λຬͨ͢͜ͱͰ͜ΕΛղܾ͢Δ 17 ͳΊΒ͔ͳγεςϜʹΑΔηΩϡϦςΟͷ࣮ݱ ᶃ ݸʑਓʹ߹Θͤͨඞཁ࠷খݶͷηΩϡϦςΟରࡦʹΑͬͯॊೈੑΛ֬อ →

    ͳΊΒ͔ͳγεςϜʹ͓͚Δཁ݅ʢ3ʣ ᶄ ར༻ऀͱηΩϡϦςΟγεςϜͷؔ܎ੑΛࣗಈ͔ͭܧଓతʹݕग़ɽݸผԽΛ ؚΉηΩϡϦςΟରࡦΛޮ཰తʹҡ࣋؅ཧ → ͳΊΒ͔ͳγεςϜʹ͓͚Δཁ݅ʢ1ʣͱʢ2ʣ

18. 18 ͳΊΒ͔ͳηΩϡϦςΟ ग़ॴ
    ʮϖύϘݚڀॴʯ
    º
    ʮίίϯٕज़ݚڀࣨʯʮͳΊΒ͔ͳηΩϡϦςΟʯͷ࣮ݱʹ޲͚ͨڞಉݚڀ੒Ռͱͯ͠࿦จ͓ΑͼΦʔϓϯιʔειϑτ΢ΣΞΛൃද γεςϜͷར༻΍ӡ༻ʹ͓͚Δ͞·͟·ͳোนʢΰπΰ πʣΛऔΓআ͖ɺݸʑਓʹ߹ΘͤͨʢύʔιφϥΠζ͠ ͨʣηΩϡϦςΟΛඞཁͳ࣌ʹඞཁ࠷খݶͷػೳͱͯ͠ ఏڙ͢Δ͜ͱͰɺརศੑΛଛͳΘͣɺ͔ͭϓϥΠόγʔ ৘ใ΋कΓͳ͕ΒηΩϡϦςΟΛ࣮ݱ͢Δ࢓૊Έɻ l z

19. 19

20. • ৘ใγεςϜͷڥքɼ͢ͳΘͪϢʔβ΋͘͠͸։ൃӡ༻ऀͱίΞαʔϏεͷத ؒʹҐஔ͢Δ • ར༻ऀଆͷEdgeͰ͸ཁٻʹର͢ΔηΩϡϦςΟݕূΛߦ͏ • ཁٻʹର͢ΔηΩϡϦςΟཁ݅ͷબ୒͸ݸਓ·ͨ͸ݸʑʹ࠷దԽ • ։ൃऀଆͷEdgeͰ͸ίΞαʔϏεʹର͢ΔηΩϡϦςΟཁ݅Λड͚෇͚ɼ۩ ମɾݸผͷϧʔϧͷࣗಈੜ੒΍ৼΓ෼͚Λߦ͏ɽ

    • ηΩϡϦςΟΦʔέετϨʔλͱͷ࿈ܞ 20 Edge

21. 21 ηΩϡϦςΟΦʔέετϨʔλ ϩάऩूɾݕࡧ จ຺ղੳ ϧʔϧద༻ ηΩϡϦςΟΦʔέετϨʔλ ৘ใγεςϜͱϢʔβͱͷ΍ΓͱΓʹؔ͢Δ๲େͳϩάΛऩ ू͠ɺඞཁʹԠͯ͡ݕࡧͰ͖ΔػೳΛఏڙ ཁٻΛ࣌ܥྻʹଊ͑Δ͜ͱͰจ຺Λ೺Ѳ͠ɺͦͷ಺༰΍ม Խʹରͯ͠ద੾ͳϥϕϦϯάͱܖػΛ༩͑Δ

    จ຺ղੳ͔ΒಘΒΕͨϥϕϦϯά΍ܖػʹج͍ͮͯɺ࠷ద͔ ͭඞཁ࠷খݶ౓ͷηΩϡϦςΟΛఏڙ͢ΔαʔϏεΛߏ੒ ཁٻจ຺ʹରͯ͠ɺͦͷ࣌ʑʹඞཁ࠷খݶ౓ͷηΩϡϦςΟ ͷఏڙΛҡ࣋͢Δ࢓૊ΈɻԼهͷίϯϙωϯτ͔ΒͳΔɻ

22. 3. ͳΊΒ͔ͳηΩϡϦςΟͷ ࣮ݱʹ޲͚ͨ෦෼ݚڀ

23. SQLΫΤϦͷϗϫΠτϦετࣗಈ࡞੒

24. • ͳΊΒ͔ͳηΩϡϦςΟʹݶΒͣɼҰൠతͳηΩϡϦςΟରࡦͰ͸ɼอޢର৅ ͷ৘ใγεςϜʹ௥ैͯ͠ɼηΩϡϦςΟཁ݅Λߋ৽͢Δඞཁ͕͋Δɽ • ఏҊγεςϜͰ͸ɼݸʑਓʹ߹ΘͤͨηΩϡϦςΟΛඞཁͳ࣌ʹඞཁ࠷খݶͷ ػೳͱͯ͠ఏڙ͢ΔͨΊʹηΩϡϦςΟཁ݅͸ଟ༷Խ͢Δɽ • ͜ΕΒΛӡ༻ෛՙΛߴΊͣʹղܾ͢Δʹ͸ɼηΩϡϦςΟཁ݅ͷߋ৽ΛਓखΛ հͣ͞ʹߦ͑Δ࢓૊Έ͕ඞཁͱͳΔɽ 24

    ӡ༻໘Ͱͷޮ཰తͳҡ࣋؅ཧ

25. SQLΫΤϦͷϗϫΠτϦετࣗಈ࡞੒ 25 
    ໺ଜ
    ޸໋
    Ѩ෦
    ത
    ੁ໺
    ఩
    ྗ෢
    ݈࣍
    দຊ
    ྄հ
    8FCΞϓϦέʔγϣϯςετΛ༻͍ͨ42-ΫΤϦͷϗϫΠτϦετࣗಈ࡞੒ख๏
    Πϯλʔωοτͱӡ༻ٕज़γϯϙδ΢Ϝ
    
    ࿦จू
    WPMVNF
    

    
    QBHFT
    r
    OPW
     • WebΞϓϦέʔγϣϯͷࣗಈςετ࣌ʹൃߦ͞ ΕΔΫΤϦΛߏ଄Խ͠ɼσʔλϕʔεFirewallͷ ϗϫΠτϦετͱͯ͠ར༻ • ఏҊγεςϜͰ͸ɼ։ൃӡ༻ऀଆͷEdgeʹର͠ ͯWebΞϓϦέʔγϣϯͷࣗಈςετ͕ొ࿥͞ Εɼੜ੒͞ΕͨϗϫΠτϦετΛηΩϡϦςΟ ཁ݅ͱͯ͠ߋ৽

26. ଟ༷Խ͢ΔηΩϡϦςΟཁ݅ͷࣗಈੜ੒ 26 ҰൠϢʔβ 6TFS
    "ཁٻ༻ͷ*' 6TFS
    #ཁٻ༻ͷ*' 0QT
    "ͷηΩϡϦςΟཁٻ 0QT
    " ϢʔβγεςϜ܈ ӡ༻։ൃऀγεςϜ ৘ใγεςϜ

    ݸผͷཁٻ ʢจ຺ʣ ηΩϡϦςΟ
    ΦʔέετϨʔλ ಛݖϢʔβ  ΞϓϦέʔγϣϯͷࣗಈςετ͔ΒηΩϡϦςΟཁٻΛࣗಈ ੜ੒
    <>
     ࠓޙɺϢʔβཁٻͷจ຺ʹԠͯ͡ɺͷηΩϡϦςΟཁٻΛ ద༻͠Θ͚Δʢ͋Δ42-จΛಛݖϢʔβʹ͸ڐՄ͢Δ౳ʣऔ Γ૊ΈΛߦ͏ 
    ໺ଜ
    ޸໋
    Ѩ෦
    ത
    ੁ໺
    ఩
    ྗ෢
    ݈࣍
    দຊ
    ྄հ
    8FCΞϓϦέʔγϣϯςετΛ༻͍ͨ42-ΫΤϦͷϗϫΠτϦετࣗಈ࡞੒ख๏
    Πϯλʔωοτͱӡ༻ٕज़γϯϙδ΢Ϝ
    
    ࿦จू
    WPMVNF
    
    QBHFT
    r
    OPW
    

27. Hayabusa

28. 28 طଘݚڀ: Hayabusa Ѩ෦ത
    ౡܚҰ
    ٶຊେี
    ؔ୩༐࢘
    ੴݪ஌༸
    Ԭా࿨໵
    தଜྒྷ

    
    দӜ஌࢙
    ࣰాཅҰ
    
    ࣌ؒ࣠ݕࡧʹ࠷దԽͨ͠εέʔϧΞ΢τՄೳͳߴ଎ϩάݕࡧΤϯδϯͷ࣮ݱͱධՁ
    
    ৘ใॲཧֶձ࿦จࢽ
    ר߸
    QBHFT
    
    NBS
     • ͳΊΒ͔ͳηΩϡϦςΟʹݶΒͣɼҰൠతͳηΩϡϦςΟରࡦͰ͸ɼϩάΛҰ ՕॴʹूΊɼूதॲཧΛߦ͏৔߹͕ଟ͍ • େྔͷϩάΛऩू͔ͭ͠ॲཧ͢ΔͨΊͷࣄલݚڀͱͯ͠ɼHayabusaΛ։ൃ • ධՁ࣮ݧͰ͸ɼ144ԯߦͷsyslogσʔλ΁ͷશจݕࡧ͕໿7ඵͰ׬ྃ

29. • ϚΠΫϩηΩϡϦςΟαʔϏε͕࣮ߦ͞ΕΔEdgeࣗମʹେྔͷϩά͕஝ੵ͞ ΕΔɼ͔ͭEdgeͷ਺͸๲େʢ1ສʙʣ • ϩάΛूதతʹॲཧͤ͞Δʹ͸ɺϩάͷసૹ஗Ԇ΍ଳҬͷѹഭ͕ݒ೦͞ΕΔ • EdgeͰͷ෼ࢄॲཧ • EdgeͷதͰࣗ཯తʹॲཧΛ׬݁ͤ͞Δ •

    EdgeͷதͰඞཁͳσʔλͷΈूܭͯ͠ɺΦʔέετϨʔλʹ఻ୡ 29 EdgeΛ૝ఆͨ͠ϩάॲཧ

30. Scalable Edge Log Processing 30 • ϩάॲཧΛEdge΁دͤΔ • EdgeͰͷϩά஝ੵ •

    EdgeͰͷϩάॲཧͷ׬݁ʢࣗݾ׬݁ or ݁ ՌͷΈ֎෦΁సૹʣ • αʔϏεσΟεΧόϦʔͷԠ༻ • EdgeͰಈ͘ϚΠΫϩαʔϏεͷϩάΛऩ ूɾॲཧ • ͦͷͨΊͷϚΠΫϩαʔϏε΁ͷ࠷దԽϧʔ ςΟϯά

31. Kaburaya

32. • Edge͕ಁաతʹৼΔ෣͏ͨΊʹ͸ύϑΥʔϚϯε͕ॏཁ • ҰํͰɼݸਓԽʹΑͬͯEdge਺͕૿Ճ͢ΔͨΊɼࢿݯࡃ഑ͷ࠷దԽ͕ٻΊΒ ΕΔɽ • ಉ༷ʹɼݸਓԽʹ൐͍֤Edgeͷଟ༷ੑ͕૿ͨ͢ΊɼखಈͰͷνϡʔχϯά͸ ࠔ೉ͱͳΔɽ 32 Edgeʹ͓͚ΔࢿݯεέδϡʔϦϯάͷඞཁੑ

33. 33 Edgeʹ͓͚ΔࢿݯεέδϡʔϦϯάͷඞཁੑ &EHF ϚΠΫϩηΩϡϦςΟαʔϏε࣮ߦͷฒྻԽ ֤ϚΠΫϩηΩϡϦςΟαʔϏεͷ࣮ߦج൫ͷΦʔτεέʔϦϯά • ύϑΥʔϚϯε޲্ʹ͸ϚΠΫϩηΩϡϦςΟαʔ Ϗε࣮ߦͷฒྻԽ΍࣮ߦج൫ͷεέʔϦϯά͕༗ޮ • ͜ΕΒΛෛՙ΍ࢿݯ੍໿Λߟྀͯ͠࠷దԽ͍ͨ͠

    QSPDFTTͰෳ਺ϚΠΫϩηΩϡϦςΟαʔ Ϗε͕࣮ߦ͞ΕΔ৔߹ͳͲ ֤ϚΠΫϩηΩϡϦςΟαʔϏε͕ίϯς φͰఏڙ͞ΕΔ৔߹ͳͲ ⁞ ⁞  

34. • ϑΟʔυόοΫ੍ޚΛ༻͍ͯɼର৅ͷλεΫͷಛੑΛࣄલʹ஌Δ͜ͱͳ͘ɼ ൓Ԡత͔ͭܧଓతʹ࠷దͳฒߦ਺ΛٻΊΔ • ఏҊγεςϜͰ͸ɼݸผԽ͞ΕͨηΩϡϦςΟݕূ಺༰ͱॲཧ࣌ؒΛࣄલ ʹ஌Δ͜ͱͳ͘ɼ࠷దͳ૊Έ߹ΘͤΛ࣮ߦ࣌ʹࣗಈͰಋ͘ Kaburaya 34 :VTVLF
    .JZBLF
    0QUJNJ[BUJPO
    GPS
    /VNCFS
    PG
    HPSPVUJOFT
    6TJOH
    'FFECBDL
    $POUSPM

    
    (PQIFS$PO
    .BSSJPUU
    .BSRVJT
    4BO
    %JFHP
    .BSJOB
    $BMJGPSOJB
    +VMZ
    

35. 4. ߟ࡯ͱ·ͱΊ

36. • ͳΊΒ͔ͳγεςϜͷཁ݅ʹج͖ͮηΩϡϦςΟରࡦͷݸਓ΁ͷ࠷దԽΛࣗಈ͔ ͭܧଓతʹߦ͏ηΩϡϦςΟγεςϜΛఏҊ • EdgeͰͷϩάऩूɾݕࡧͷ؍఺͔ΒHayabusaͷ֦ு • ޮ཰తͳҡ࣋؅ཧʹඞཁͳηΩϡϦςΟఆٛͷࣗಈੜ੒ • ݸผԽ͞Εͨଟ༷ͳ؀ڥʹ͓͚ΔΦʔτεέʔϦϯάͷ࠷దԽ •

    ࠓޙ͸ίϯςΩετղੳͱηΩϡϦςΟରࡦͷϚονϯάͷ࣮ݱͱEdgeͷ෺ཧత ͳ഑ஔ΍ܦ࿏બ୒ʹؔ͢Δݕ౼ΛਐΊΔ • ෳ਺ͷ৘ใγεςϜΛԣஅ͢Δ؀ڥΛલఏͱͨ͠EdgeͷઃܭΛ௨࣮ͯ͠༻ੑͷ ߴ͍γεςϜΛ࣮ݱ͢Δ 36 ߟ࡯ͱ·ͱΊ
37. None