メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
===================================
    __
    /P▲         ◆ JPNIC News & Views vol.240【臨時号】2005.02.25 ◆
  _/NIC
===================================

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.240 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

JPNIC・JPCERT/CCセキュリティセミナー2004 ~For Advanced~「不正侵入の
実態と具体的対策」が2005年2月3日・4日に開催されました。JPNIC News &
Viewsでは、本セミナーでの講演内容のエッセンスを「UNIX系」編と「Windows」 
編の2号にわたってお届けします。

まず、本号では「UNIX系」編をお送りします。どうぞじっくりお読みください。


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ JPNIC・JPCERT/CCセキュリティセミナー2004 
     ~For Advanced~ 【不正侵入の実態と具体的対策】 開催報告 
  ┏━━━━━━━━━━━━━┓
  ┃2005年2月3日開催 UNIX系編 ┃
  ┗━━━━━━━━━━━━━┛ インターネット基盤企画部 根津 智子
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

  2005年2月3日・4日に東京・大手町サンケイプラザにて行った、JPNICと有限
責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)共催のセキュリ
ティセミナー「不正侵入の実態と具体的対策」についてご報告します。

  OS別に1日目を「UNIX DAY」、2日目を「Windows DAY」としました。両日と
もまず初めにインシデント対応のケーススタディを述べ、その後ログの管理方
法と解析方法を概説し、最後に不正侵入発見のポイントを述べるという構成で
セミナーを組み立てました。OS別に日を分けた理由には、同じオペレータでも
対応業務やどのような経歴を持つかによって使用するOSが違うのではないか、
と想定しての事でしたが、「不正侵入」というネットワーク技術者にとっては
身近でかつ切実な問題がテーマだったせいか、ほとんどの参加者が両日ともに
参加し、「苦手なものも勉強したい」という熱心さが感じられました。

  実際にセミナーを担当した講師から、講演内容のポイントを寄稿頂いていま
すので、本日は「UNIX系」編を、2月28日(月)には「Windows」編を、それぞれ
ご紹介し、開催報告にかえたいと思います。後日、以下のJPNICのWebサイトで
当日の講演は全てストリーミング配信する予定ですので、ご興味を持たれた方
は、是非ご利用ください。(資料は既に公開中です)

   ★JPNIC・JPCERT/CCセキュリティセミナー資料
     http://www.nic.ad.jp/ja/materials/security-seminar/

  ┏━━━━┓
─┃UNIX系 1┃────────────────────────────
  ┗━━━━┛
◆ケーススタディ(不正侵入の実態) … 主にUNIXシステムがターゲットとなっ
                                    た不正侵入について事例を紹介します。
               インタ-ネットセキュリティシステムズ株式会社   高橋正和 
───────────────────────────────────

  「Windowsは危険で、UNIXは安全」という神話があるように思います。

  しかし、改ざんされたホームページは、圧倒的にUNIXが多く、また、多くの
サイトが侵入を受けています。一方で、セキュリティコンサルタントとして、
脆弱性検査を行った経験では、脆弱なパスワードの設定や、ネットワーク構成
のミスなど、システムの脆弱性以前の問題を多数目にしてきました。また、最
近の不正アクセスの傾向では、ターゲットがシステムからアプリケーション
(Webサーバ、データベース、メール等)に移行しており、サイトを守るために
は、単にシステムレベルのセキュリティ対策を行うだけではなく、より総合的
な対策が必要とされるようになってきています。

  今回のセミナーでは、まず、UNIXにかかわる不正アクセスの事例と、SANS
Institute(ITセキュリティ教育を目的として1989年に設立された情報セキュリ
ティの研究・教育機関)から公表されている脆弱性TOP20からUNIXに関わる
TOP10を紹介し、次に、脆弱性検査を行った中で経験した、典型的な問題点を
紹介し、その対策について解説を行いました。


  ┏━━━━┓
─┃UNIX系 2┃────────────────────────────
  ┗━━━━┛
◆ログ管理・解析 … 不正侵入行為、DoSなど日常的な問題について具体的な
                    サーバソフトウェアについて挙動の実例を挙げ、ログの
                    内容、管理の方法について紹介しました
                                        株式会社ネットアーク 宮川雄一
───────────────────────────────────

  今回のセッションではオペレーターの方が日常当たり前のように取っている
ログについて、対応を含めた管理上の優先順位をつける方法を例示し、それを
実装するツールについても例示を行いました。

  UNIXの場合、サーバのログは特に意識をしなくても必要以上に取得されてい
るのが現状です。しかし、これをインシデント対応に役立てるべく適切に管理
するのは至難の業です。

  今回のセッションではログ管理を筋道立てて設計できるように、まずGMITS
(Guidelines for the Management for IT Security)のような評価指標をベー
スに現場の視点からリスクの優先順位付けを行い、その上で実際のログ取得、
管理設計にする際に重要になる運用負荷とのトレードオフについて解説しまし
た。また、オペレーションの現場とポリシーを策定する側の見方の違いを踏ま
えた上で全てを一覧にして整理することを提案しました。

  実装方法については、ログの取得、保存、管理、解析と通知、時刻同期とい
う分類を行い、代表的なツールを例示しました。上記の管理設計のそれぞれの
場面で使えるツールを網羅する為にあえて具体例は最小限にし、各ツールの特
性と情報の参照先のみを解説するようにしました。

  今後の皆様の幸せな運用の実現に、少しでもこれらの知識を役立てて頂けれ
ば幸いです。


  ┏━━━━┓
─┃UNIX系 3┃────────────────────────────
  ┗━━━━┛
◆不正侵入の発見 … ディスクの読み方、ディスクに特有の性質を紹介すると
                    ともに、総合的な分析の重要性、また、不正侵入の発見
                    を行うために重要な考え方を解説しました
                         株式会社アイアイジェイテクノロジー 加藤雅彦 
───────────────────────────────────

  皆さんはご自身で管理されているサーバが不正侵入の被害に遭われたことは
ありますか?うちはちゃんと対策してるからそんなこと無いよ、という方が大
半かもしれませんが、不幸にも不正侵入されてしまった方は侵入後にどのよう
に対応されているでしょうか?不正侵入が行われたらログを調べて再インストー
ル、という方も多いのではないでしょうか?

  しかし、重要なデータが入っているサーバが不正侵入された場合はログの調
査だけでは不十分です。どのようにして侵入されたのか、被害はどこまで及ん
でいるのか、また、どのデータがもっていかれたのかといったことを調査する
必要性に迫られます。本セッション前半ではそういった場合に、現場でどのよ
うに作業を進めるかを中心に解説いたしました。

  さらにセッションの中盤では、いったいどこまで調べれば「十分調べた」と
言えるのかをハードディスクの仕組みから考えて解説し、さらにネットワーク
ダンプやディスクダンプ、ログ解析を総合的に行うソフトウェアのご紹介など
を行いました。

  セッション後半は具体的な現場作業から少し離れて、不正を発見するために
は何をどのように考えるべきかという観点で、情報を有効に活用するための手
法としてのインテリジェンスサイクルのご紹介や、情報理論に基づいて情報セ
キュリティを考えてみるという提案を行いました。ISMS(情報セキュリティマ
ネジメントシステム)やプライバシーマークだけが情報セキュリティではあり
ません。情報セキュリティとはいったい何なのか?について、お考えいただく
きっかけに少しでもなればと思います。

  幅広く色々な話題を取り上げましたが、やはり不正侵入を発見するためには、
安定して運用されている環境と、環境の変化を検出する仕組みが必要です。セ
キュリティ事故は起こるもの、ということを前提に様々な対応を検討すること
が重要です。


     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       わからない用語については、【JPNIC用語集】をご参照ください。
             http://www.nic.ad.jp/ja/tech/glossary.html
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  :::::  http://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト ::::  http://www.nic.ad.jp/member/(PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
 JPNIC News & Views vol.240 【臨時号】 

 @ 発行         社団法人 日本ネットワークインフォメーションセンター
                 101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F 
 @ 問い合わせ先   jpnic-news@nic.ad.jp 
===================================
登録・削除・変更   http://www.nic.ad.jp/ja/mailmagazine/


■■◆                          @ Japan Network Information Center 
■■◆                                     @  http://www.nic.ad.jp/ 
■■

Copyright(C), 2005 Japan Network Information Center

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2021 Japan Network Information Center. All Rights Reserved.