Information Sharing of OSS vulnerabilities

Transcript

1. 社内における 脆弱性対策情報共有 2016年2月27日 SCSK株式会社 R&Dセンター OSS戦略企画室 鰈崎義之

2. 自己紹介 ～私はだれ？～ 氏名 鰈崎 義之（かれざき よしゆき） 会社 SCSK株式会社 所属 R&Dセンター

   OSS戦略企画室 現在の業務 OSS活用促進のため、社内外に向けた様々な施策に 従事する傍ら、黎明期から使い続けているJavaの勉 強会を主催し若手社員の洗脳を図る。 社内への脆弱性情報提供チームでの 活動も担当 2016/2/29 2

3. OSSへの取り組み概要 オープンソースソフトウェア（OSS）は、今やITの世界をリードし、また社会インフラを 支える IT基盤の不可決な要素となっています。その一方で、企業システムへのOSS導入に際 して、依然として情報不足、サポートへの不安といった懸念が先行しがちであるのも事実です。 SCSKでは、開発技術と利用技術との両面からOSSの振興・活用促進に努めています。 利用技術 開発技術 OSS選抜のスクリーニング 「OSS

   Radar Scope ®」 OSS採用のための 技術調査・検証・導入支援 OSS利用のシステム構築 OSSユーザーのための勉強会 ＜OSS X Users Meeting＞ 技術調査レポート公開 コミュニティへの貢献・活動 Linux Kernel 軽量ruby Xen,KVM, QEMU Zabbix ※ 一部抜粋 OpenStack OpenFlow 自社製品OSS版の提供・開発 （PrimeCloudController） 商用版OSSの販売・サポート http://www.scsk.jp/product/oss/ 2016/2/29 3

4. OSS Radar Scope® とは ▪OSS Radar Scope® とは ・OSSの客観的データを用いてSCSK独自の算出方法で評価し、結果を「レーダーチャート」と 「ランキング」で表示したものです。

   その評価方法もサイトにて公開しています。 （公開先URL ： http://radar.oss.scsk.info /） ▪目的 ・ビジネスユースでのOSS選定をサポートすること。 そのため、常に最新情報を提供しています。 ▪開発に至った背景 ・弊社内の開発部門でOSSを選定して利用したが、 利用中にトラブルや障害が発生した。 ↓ 当部門にトラブルの問合せが増加したため、 「物差しのようなツール」が必要ではないか？ と検討し、Radar Scope® を開発しました。 ※詳細は弊社サイト「オープンソースソフトウェアへの取組み」もご参照ください。 （公開先URL：http://www.scsk.jp/product/oss/） 2016/2/29 4

5. SIerによる体系的な脆弱性情報共有の 取り組み事例を期待されていますか？ 2016/2/29 5 このセッションで…

6. Agenda SEVENの取り組み 他の重要な取り組み まとめ

7. SEVENの取り組み えっ？SEVENってなに？

8. SEVEN誕生前夜 ~2014春 • 脆弱性対策に対するリスクの高まり ₋ 2014年7月 Oracleクリティカルパッチアップデートに関する注意喚起 ₋ 2014年5月 Microsoft

   Internet Explorer未修正の脆弱性に関する注意喚起 ₋ 2014年4月 OpenSSL、2014年4月 Apache Strutsの脆弱性に関する注意喚起 ₋ 他にも多数の注意喚起が行われていた • 当時は関連部署が個別に対応しており抜け／漏 れの可能性があった… ₋ コーポレートシステム部 社内システム、標準PCに関する脆弱性対応 ₋ 先進開発部 取扱ソフト脆弱性対応モジュール提供等 ₋ セキュリティソリューション部 顧客向けソリューション提供 ₋ R&DセンターOSS戦略企画室 OSSに関する脆弱性情報提供・注意喚起 • 社内に向けて一貫した脆弱性情報提供が行える体制が 必要 2016/2/29 8

9. 専門チームによる脆弱性情報の提供 • 社内に向けた脆弱性情報提供チームの構築 • 前述部門のメンバーを中心としたバーチャルなチームを組織し、社内に向けた 脆弱性情報の提供と問い合わせ対応を実施する • 略称：SEVEN(SCSK Experts for

   Vulnerability Emergency Notice) • 目的 • SCSK社員に対して、コンピュータ・システムに関する脆弱性情報を 体系的に提供することで、対応の抜け／漏れを防ぎリスクを低減する。 • 活動内容 • 社内ポータルにおける脆弱性情報の発信 • メールによる脆弱性に関する問い合わせ対応（対応策の提供） • 必要に応じて各事業部門に対する対応依頼 ※それぞれの脆弱性に対する対応（対顧客を含む）は、各事業部門の判断で実施 していただく。 2016/2/29 9

10. 社内への脆弱性情報提供体制 SEVEN 社内事業部門 JPCERT/CC 社外CSIRTなど • 脆弱性情報提供・注意喚起 • 脆弱性に関する社内からの問い合わせ対応 •

    脆弱性対応の実施 • 必要に応じて自部門内での対応とりまとめ 情報提供 注意喚起（重要度により対応依頼） 技術支援 問い合わせ 社外調整 OSS戦略企画室 セキュリティ ソリューション部 コーポレート システム部 先進開発部 各関連部署の選抜メンバーで構成 2016/2/29 10

11. 脆弱性情報の発信 • 社内ポータルによる脆弱性情報の発信 • 注意喚起（通常レベル） • IPA脆弱性対策情報において警告以上(CVSS7.0以上)、 JPCERT/CCで注意喚起されたものを発信文書（その他） で社内へ情報提供する •

    http://www.ipa.go.jp/security/vuln/documents/index.html • http://www.jpcert.or.jp/at/2014.html • 注意喚起（重要レベル） • SEVEN内で重要度が高いと判断したものは、発信文書 （通知・依頼）として別途発信する • 発信内容に関しては、MLやYammer(チャット)でチームメン バーで議論 ※発信とともに、各部門統括部長および希望者へ別途メールでも通知を実施 2016/2/29 11

12. チーム内情報交換の様子 アンテナの感度が高いSSの方々の タレコミで始まることが多い

13. SEVENからの情報発信実績 •2014年度 •23件(うち脆弱性情報21件) 番号 日付 内容 1 2014/8/4 ソフトウェア脆弱性情報提供チーム発足のお知らせ 2

    2014/8/20 注意喚起「ウェブサイトの改ざん回避のために早急な対策を」 3 2014/8/20 Advance-Flow における SQL インジェクションの脆弱性の注意喚起 4 2014/9/2 Google Chrome における 複数の脆弱性の注意喚起 5 2014/9/8 Mozilla Firefoxにおける複数の脆弱性の注意喚起 6 2014/9/18 Adobe Reader および Acrobatの脆弱性の注意喚起について 7 2014/9/26 GNU bash の脆弱性に関する注意喚起 8 2014/10/2 (更新)GNU bash の脆弱性に関する注意喚起 9 2014/10/17 Oracle Java SE のクリティカルパッチアップデート（定例）に関する注意喚起 10 2014/10/20 SSL 3.0の脆弱性(POODLE)についての情報提供 11 2014/10/20 SEVENからの情報発信方法強化のお知らせ 12 2014/10/23 Drupal（コンテンツ管理システム）の脆弱性に関する注意喚起について 13 2014/11/7 登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起について 14 2014/11/12 複数のサイボウズ製品にバッファオーバーフローの脆弱性の対策について 15 2014/12/10 ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2014-8500) に関する注意喚起 16 2014/12/24 Active Directory のドメイン管理者アカウントの不正使用に関する注意喚起 17 2014/12/24 TCP 8080番ポートへのスキャンの増加に関する注意喚起 18 2014/12/24 Network Time Protocol daemon (ntpd) に複数の脆弱性 19 2014/12/26 複数のブロードバンドルータに、脆弱性が存在するバージョンの Allegro RomPager を使用している問題 20 2015/1/21 Oracle Java の脆弱性対策について(CVE-2014-6601等) 21 2015/1/28 Linux glibcライブラリの脆弱性(GHOST)に関する注意喚起 22 2015/2/18 『SEVEN 脆弱性対策セミナー』のご案内 23 2015/3/13 SSL/TLSの実装による問題(FREAK攻撃)についての情報提供 2016/2/29 13

14. SEVENからの情報発信実績 •2015年度 •19件(うち脆弱性情報17件） 番号 日付 内容 1 2015/4/17 IISの脆弱性(MS15-034)に関する注意喚起 2

    2015/4/17 JBoss RichFaces において任意の Java コードが実行される脆弱性 3 2015/4/28 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 4 2015/4/28 「Lhaplus」において任意のコードを実行される脆弱性対策について 5 2015/5/27 「mt-phpincgi」において任意の PHP コードが実行可能な脆弱性対策について 6 2015/5/27 ランサムウエア感染に関する注意喚起 7 2015/7/17 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 8 2015/7/29 ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-5477) に関する注意喚起 9 2015/9/3 ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-5896) に関する注意喚起 10 2015/9/15 『SEVEN 脆弱性対策セミナー』のご案内 11 2015/10/23 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 12 2015/11/12 Commons Collectionsライブラリ、SpringFramework、Groovyの脆弱性に関する早期警戒情報 13 2015/12/15 Joomlaにおけるリモートから任意コード実行される脆弱性に関する注意喚起 14 2015/12/16 ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-8000) に関する注意喚起 15 2015/12/18 Juniper Networks「ScreenOS」の複数の脆弱性 (CVE-2015-7754、CVE-2015-7755) に関する注意喚起 16 2016/1/21 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 17 2016/1/21 ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-8704) に関する注意喚起 18 2016/2/16 『SEVEN 脆弱性対策セミナー』のご案内 19 2016/2/23 glibc ライブラリの脆弱性 (CVE-2015-7547) に関する注意喚起 2016/2/29 14

15. 脆弱性対策に関する駆け込み寺 • メールによる脆弱性に関する問合せの受付 • 発信した脆弱性情報について、個別の対応方法を知りたい • 顧客先から脆弱性に関する相談を受けたけど、どのように 回答すればいいか？ • この脆弱性に関しては、まだ発信しないの？

    • メールのトラフィックは平均1通／日くらい • 事業部門から、幅広くご利用いただいております • 発信した脆弱性情報に関する対応方法が大半 • 「◦◦の脆弱性はまだ？」というタレコミを元に動く事も … 2016/2/29 15

16. 啓発セミナーの開催 •社員の脆弱性対策への意識向上 •SEVENの活動を宣伝 •半年に一回程度、実施 2016/2/29 16

17. 啓発セミナーの開催 •社員の脆弱性対策への意識向上 •SEVENの活動を宣伝 •半年に一回程度、実施 2016/2/29 17 脆弱性対策もれで開発会社に損害賠償判決！？ - 開発者と発注者が知っておくべき脆弱性 –

    脆弱性対策におけるコーポレートシステム部の取り組み SEVEN活動の紹介 2015年3月実施セミナー タイトル

18. 啓発セミナーの開催 •社員の脆弱性対策への意識向上 •SEVENの活動を宣伝 •半年に一回程度、実施 2016/2/29 18 脆弱性対策もれで開発会社に損害賠償判決！？ - 開発者と発注者が知っておくべき脆弱性 –

    基盤インテグレーション事業本部 グローバルセキュリティソリューション部 境 稔 脆弱性対策におけるコーポレートシステム部の取り組み コーポレートシステム本部 コーポレートシステム部 山田 邦彦 SEVEN活動の紹介 Ｒ＆Ｄセンター ＯＳＳ戦略企画室 鰈崎 義之 OWASPご紹介 Lastline SOC対応事例 脆弱性対策の効果的な進め方 2015年3月実施セミナー タイトル

19. 啓発セミナーの開催 •社員の脆弱性対策への意識向上 •SEVENの活動を宣伝 •半年に一回程度、実施 2016/2/29 19 脆弱性対策もれで開発会社に損害賠償判決！？ - 開発者と発注者が知っておくべき脆弱性 –

    基盤インテグレーション事業本部 グローバルセキュリティソリューション部 境 稔 脆弱性対策におけるコーポレートシステム部の取り組み コーポレートシステム本部 コーポレートシステム部 山田 邦彦 SEVEN活動の紹介 Ｒ＆Ｄセンター ＯＳＳ戦略企画室 鰈崎 義之 OWASPご紹介 Lastline SOC対応事例 ｎｅｔＸデータセンター事業本部 セキュリティサービス部 手塚 信之 脆弱性対策の効果的な進め方 ３月には外部講師を招聘して 開催予定！

20. 他の重要な取り組み こちらの方が全社としては重要

21. コーポレートシステム部 •脆弱性情報の注意喚起と対応依頼 • MSセキュリティパッチ • Adobe製品アップデート • 注意喚起に関してはSEVENと棲み分け •外部公開サーバに対する脆弱性診断 •

    プラットフォーム脆弱性診断 • Webアプリケーション脆弱性診断 2016/2/29 21

22. 全社ネットワークのセキュリティ監視 セキュリティ監視とは セキュリティ機器のログ収集・分析により、異常や不正の検知及び対応を行うのがセキュリティ監視業務です。 社内ネットワークの防御策がきちんと機能しているか確認する監視カメラ・センサーの役割を担っています。 VPN G/W IDS（侵入検知） Firewall Proxy/ Web

    Filter 社内ネットワーク 基幹系サーバ Internet NW系ログの収集 定点観測 リアルタイム監視 レポート生成 経験的分析 ヒアリング調査 セキュリティ監視業務 ログ監視ツール 防御策 Firewall Web Filter AntiVirus ･･･ 社内ネットワーク 検知 モニタリング 異常検知 ･･･ 対応 詳細調査 設定是正 障害報告 ･･･ セキュリティ監視業務 ・制御すり抜け、例外ユーザ ・不審な挙動、アノマリ（いつもと何かが違う･･･） ・トラフィック・ログ解析 ・Webフィルタ設定修正 ・インシデント対応支援 など ・ある程度有効に機能 ・完璧な制御は不可能 2016/2/29 22

23. 監視品質向上の取り組み ・監視基盤をリプレースし、監視範囲の拡大及び検知精度の向上を実現 ⇒疑わしいイベントを関連付けて分析し、異常や不正を検知しやすくする プロキシのログ F/Wのログ IDSのログ サーバのログ ポートスキャン検知 不正ポート通信拒否 拒否

    拒否 許可 ログイン失敗 失敗 失敗 成功 不審サイトへのアクセ ス 成功 データアクセス 外部へのデータ送信 ブルートフォース検知 マルウェア感染？ 不正アクセス？ 情報漏洩？ ウイルス検知履歴 削除失敗、感染 不審サイトへのアクセ ス 拡大 インシデントの予兆を検知し早期に対応することにより、被害を最小限に抑える 全社ネットワークのセキュリティ監視 2016/2/29 23

24. 監視体制強化およびシステム概要 セキュリティ監視基盤 SS部SOCチーム Database AD/LDAP Switch(Flow) DNS / DHCP Servers

    / App log Proxy IDS / IPS FW アナリスト ①ログを収集し、アラート発見、 自動通知 ②アラート分析後、事象・ 推奨アクションを通知 ③通知を元に、事象発生元の調査を実施 CSIRT ④インシデント報告 ・インシデント検知、内容確認 ・調査、対応策検討、提示、対策支援 ・セキュリティ対策問合せ対応 ⑤同様のインシデント発生防止の対応策を実施 コポシスSOCチーム 2016/2/29 24

25. Lastlineによる監視基盤の強化 標的型攻撃に使われる高度なマルウェアを高精度に検知し、 セキュリティインシデントによる被害を防ぎます。 Hosted (クラウド版) On-Premise (オンプレミス版) 分析用データが外部に出ても良い 安価に標的型攻撃対策を実施したい 分析用データは一切社外に

    出したくない 特長１： Full System Emulation によるサンドボックス分析 CPU、メモリを含むハード ウェア全体をエミューレート することで、分析を回避する 高度なマルウェアの挙動を 高精度に検知 特長２： クラウド型、オンプレミス型から選択できる柔軟な構成 25 2016/2/29

26. おわりに

27. 今後の取り組み •SEVENを双方向のコミュニティに •社内啓発 ₋ お客様体質の改善 ₋ その他 • OWASP Dependency

    Checkはいい ₋開発者全員に使わせたい 2016/2/29 27

28. みなさんにお聞きしたいこと •EOLになったOSSどうしてますか？ ₋Struts1 ₋Seasar2 ₋etc 2016/2/29 28

29. 清聴感謝！