Q&A
興味ある話題ですが、質問が漠然としすぎている上、多方面に渡りすぎていると思います。分割してみてはいかがですか?
以前、品川で開催されたセキュリティセミナーに参加したことがあるのですが、「サイバー空間におけるセキュリティが遅れている」と言っていました。
よくあるケースとそれに対処する方法を考察したいと思います。
case 1. 24時間365日稼働させるようなサーバーに対して既存の攻撃のためのセキュリティパッチの適用やハードウェアリソースの更新が難しい
お金があれば、確かに複数のサーバーを稼働させて冗長化すれば、更新させたいもののみを一時的停止可能かと思いますが、そうでない場合、これ以外と難しい問題ではないでしょうか?
technologyの進歩が速すぎるための副作用とも取れると思ます。
case 2. いかにもな文面のメールからやってくるウィルス
今話題の標的型攻撃ですね。
心理戦で来られるとなかなか対処が難しいと思われます。
メールが本物か偽物かを見分けるために「AI + サンドボックス」で対処するというアイディアを出していた方がいました。
メールに変わる新しいものを考えなくていけなんですかね・・・
case 3. ZERO DAY EXPLOIT
こいつですね。
未知の攻撃に対処する方法です。
すぐに思いつきそうなものだと、「人工知能を使用して人間よりも早くセキュリティの穴を見つけ、対処する」、「そもそもzero day exploitを作らせないようにコーディングする」
・・・
ちょっと無理そうですね。
以前、このような質問をしました。C/C++ 危険な書き方について
多くの基盤がC/C++で書かれていると思ます。実際、C/C++でセキュアなコードの実現ってかなり難しいのではないでしょうか?
case 4. 企業の方に危険性がある
これは・・・正直ユーザーが側にはどうしようもない場合があるかと思います。
android や windows 10ですね!
windows 10 危険
利便性の向上のためだと思いますが、ちょっと行きすぎているかな~~??と思うことがあります。
androidについては良いサイトが見つからなかったのですが、androidはOSのある一定のラインからアンチウィルスソフトによる監視ができないようになっているという情報を見かけたことがあります。
ウィルスがそれより下層に潜り込まれるとウィルスソフトが全く役に立たないそうです。
それから、よく噂を耳にするものにLINEがありますね・・・
ちょっとこちらは良くわかないんですが・・・
他にも様々な事例や攻撃手法があると思います。
これらの攻撃に対処するアイディアや方法といったものをなんでも良いので教えてください。
ちなみに、自分はZero Day Exploitに焦点を当てて勉強をしています。
セキュリティセミナーでは、case 2の標的型攻撃に焦点を当てていました。
確かに、多すぎますね。どれか1つでも結構です!!
内容は非常に興味深いのですが、Q&Aサイトの一つの質問とするには漠然としすぎて無理があると感じます。
そうですか!分割すると結構質問の数が増えてしまってなんかまとまりがない感じがあるんですよね。
ベストアンサーを求めている訳ではありません。ただセキュリティ関する情報がもっと必要だったので!
あ・・・削除ができないですね・・・どうしましょ・・・
もう少しこのまま様子を見ます。
回答2件
0
ド素人ですが、ちょっとコメントを。
case 1. セキュリティパッチの適用やハードウェアリソースの更新が難しい
一般的に常時稼働が求められるシステムは冗長化されているはずです。それができないほど小規模・低予算であれば、今日だとクラウドに任せるところでしょう。
case 3. ZERO DAY EXPLOIT
もちろんセキュリティ監査をしっかりやって事前にバグをつぶしておくことは大前提ですが、「みんなが気をつければガードレールやホームドアは要らない」とはなりませんので、未知の脆弱性そのものではなく攻撃を検知・遮断すること、さらに既知の脆弱性に素早く対処するという2点が重要だと思います。
攻撃の検知はセキュリティアプライアンスを間に挟んだり、各種ミドルウェアが提供しているセキュリティ機能を活用する等が考えられます。たとえばSQLインジェクションという攻撃がありますが、最近のデータベースシステムには開発・検証時に流れるSQL文を学習させておき、商用環境でそれとは異なるものが来たときに実行を阻止するという機能があります。このようにセキュリティは1つの壁に穴が空いていたり破られてもよいように何重にも対策を行うことが重要です。
次に素早い脆弱性対処。多くの攻撃は世に広まっているミドルウェアやライブラリの脆弱性を突いてきます。ここで問題なのは、それらの開発元からセキュリティパッチが提供されてから適用するまでの時間があいてしまうことです。
今年3月に Apache Struts2 の脆弱性を悪用した情報漏洩事件が立て続けに発生しましたよね。しかし今月に入っても国交省が20万件の個人情報を漏らしたというニュースが飛び込んできました。これは3ヶ月もセキュリティパッチ適用を放置した怠慢によって起きた事件です。もはやゼロデイでも何でもありません。
その放置する原因は、想像ですが主に体制と方針の2つがあると思います。
まずは運用体制が崩壊している or そもそも無いケース。官公庁系は特に酷く、そもそもサーバーやシステムの保守契約をしておらずエンジニアも抱えていないので 「パッチを当てられる人間がいない」、さらに予算もないため保守契約は来年度で・・・という悲惨な現場もあると聞きます。最低限の保守体制・費用を確保しておく必要があります。
次に方針。堅く技術も乏しい日本企業だと、検証して会議にかけて・・・と書類をたらい回しにして数日、下手すると数ヶ月という信じがたいリードタイムがかかることもあります。その根底には**「もしパッチを当ててサービスが止まったらどうしよう」**という不安があります。
ただすでに攻撃手法が確立し被害が広まっている状況において、下記2つの選択をどうリスク分析してもパッチを迅速に適用する方が望ましいのに、これができないんですね。単に頭が悪いのか、政治的な問題があるのかわかりませんが。
- 確率: "ほぼ確実に攻撃・侵入される" vs "サービスが止まるかもしれない"
- 損害: "機密情報・個人情報が漏洩する" vs "顧客にサービスを提供できない"
ですから何もしない前提に対し「だれの責任でパッチを適用するのか」ではなく、**パッチは即時適用する前提のもと「だれの責任でパッチ適用をペンディングするのか」**というポリシーを作っておくと良いのかなと思ったりします。
駄文失礼しました。
投稿2017/06/23 02:01
総合スコア3095
zero day ではなく、すでにセキュリティパッチが出回っているのにその攻撃にやられてしまうというのは問題ですよね・・・
このすでに発見済みの攻撃もしくはウィルスに対する対策とはそこまで難しいものなんですか・・・
セキュリティ関係は人手不足なのでしょうかね?
0
面白いものを入手しました。
1、これからのセキュリティは、侵入されないための壁を作ることに専念するのではなく、侵入されてもその攻撃を成立させない方に焦点を持っていくべきではないかとという意見があります。
つまり、侵入の方は許してもいいが実行を阻止する方に力を入れるべきだという事のようです。
2、それの実現方法で、技術的に面白いものを見つけました。
App Guard Enterprise
普通のプロセスとして動作するアプリケーションが他のアプリケーションの動作を限定させ、ウィルスなどの実行を防ぐというものらしいです。「本日説明を受けました。」
しかし、よく考えると変ですよね?
他のプロセスというものはメモリ空間が独立しており別のプロセスから他のプロセスに関与することは不可能なはずです。(ページ単位やMMUによって守られている)
にも関わらず、他のプロセス空間に関与し動作を抑制するなど本当に技術的に可能なのでしょうかね・・・?
気になりますね。
18年間1度も破られたことのないセキュリティソフトだそうです!
すごい!!
投稿2017/06/23 09:52
編集2017/06/23 10:05総合スコア651
あなたの回答
tips
プレビュー
