SS研ICTフォーラム2016 分科会レポート
セキュリティ観点からのネートワーク管理と運用
〜そのグローバルIPアドレス、誰が、何に使っているか分っていますか?
サイエンティフィック・システム研究会(SS研)のICTフォーラム2016が2016年8月23日に汐留シティセンター 6階 富士通株式会社 プレゼンテーションルームにおいて開催された。
本会合は"セキュリティ観点からのネットワーク管理と運用〜そのグローバルIPアドレス、誰が、何に使っているか分っていますか?"をテーマに、セキュリティ対策を先駆けて実施している各大学・組織による、ネットワークの管理やセキュリティへの取り組み、IoTセキュリティのガイドラインやガイドラインを踏まえた上での対策についての充実した講演で構成されている。本会合はSS研会員以外の方にも公開され、発表および質疑応答も含めUstreamにおいて配信が行われた。
はじめに筑波大学の佐藤聡氏のあいさつに続き計4件の発表が行われ、最後に国立情報学研究所の高倉弘喜氏のあいさつで閉会となった。また会合終了後には懇親会が行われた。
■「つながった機器」と「インシデント」
鹿野 恵祐(一般社団法人 JPCERTコーディネーションセンター)
最初の発表は「「つながった機器」と「インシデント」」と題する一般社団法人 JPCERTコーディネーションセンターの鹿野恵祐氏による講演である。
JPCERT/CCでは主にインターネットの利用者、セキュリティ管理者、ソフトウェア製品開発者を対象としてサイバーセキュリティの普及・啓発を日々行っている。定点観測システムTSUBAMEは日本だけではなく主にアジアを中心にJPCERT/CCのような組織と連携し運用され、情報の収集や分析に活用されている。
TSUBAMEが観測したパケットにより発見されたインシデント事例として、日本の国立大学の制御機器の制御画面がインターネットからアクセス可能となっていたものや、Linuxボードが攻撃の踏み台とされていたものがある。このようなインシデントは、デフォルトパスワードの変更を行わなかったことやリモート管理用にTelnetをサポートしていたこと、LAN内で利用するべき機器をWANに接続していたことが原因であった。Telnetのポート23を対象としたパケット数は2016年5月下旬から急激に増加し、観測されたパケット数の中では一番多いということがわかっている。攻撃者がサーチエンジンを利用し、攻撃する機器を探索するといった行為も多数確認されている。
JPCERT/CCではインシデントの対応を適切に行えるように、Webサイトの管理者に連絡をする際に利用するWHOISの更新や、ログの取得と1年以上のログの保存を呼びかけている。インシデントの発生を防ぐために、機器をインターネットに接続する前にWANとLANのどちらに接続するのか、アンチウィルスソフトがインストールされているのかを確認し、ファイアウォールやフィルタリングの設定に注意することが重要である。
■京都大学のネットワークとその管理について
斉藤 康己(京都大学)
2件目の発表は「京都大学のネットワークとその管理について」と題する京都大学の斉藤康己氏による講演である。
京都大学のネットワークKUINSは1988年に運用が開始され、現在はユーザ数が約34,000人、無線LANアクセスポイントが約2,100、情報コンセント数が約32,000という巨大な規模となっている。KUINSはプライベートネットワークやVLANを大いに活用し、インシデント発生時に影響範囲を限定することが可能である。一方で、VLANの多用により管理の複雑化や人為的ミスの増加を招いている。それぞれの機器に、グローバルIPアドレスが割り当てられたネットワークはKUINS-II、プライベートIPアドレスが割り当てられたネットワークはKUINS-IIIと呼ばれる。
KUINS運用当初はそれぞれの機器がグローバルIPアドレスを割り当てられていたが、インシデントの増加を受けKUINS-IIIを導入し、16,000個ほどあったグローバルIPアドレスを1年で約2,000個に減少させた。これに伴い重大なインシデントの件数も減少した。
京都大学の全学情報システムの管理や運用などを担う情報基盤部門は12名の構成員で構成されており、そのうちの6名がKUINSの管理に携わっている。IDSの監視は外部委託しており、特に対策が必要だと思われるパケットが見つかったときにのみ通知されるため、実際に京都大学に通知される数は月毎で100件ほどとなっている。
KUINSに接続されている機器はKUINSDBを用いて管理している。KUINSDBはデータベース機能を備えているだけではなく、VLANに関する利用申請や設定変更などをある程度自動的に行うことができ、巨大な数のVLANの管理や負担金の計算を行うことを可能にしている。
KUINSに接続されたグローバルIPアドレスを持つ機器は、DMZのような役割を担うネットワーク以外の場所にも存在し、そのような機器の集約が課題となっている。またSingle Point of Failureの解消、無線LAN接続サービスのKUINS-Airから研究室VLANへ直接入る仕組みの構築、IP電話の導入が今後の課題として挙げられる。
■地方の中小規模大学である鳥取大学におけるセキュリティへの取り組みと課題について
大森 幹之(鳥取大学)
3件目の発表は「地方の中小規模大学である鳥取大学におけるセキュリティへの取り組みと課題について」と題する鳥取大学の大森幹之氏による講演である。
鳥取大学のネットワークTUINSは1GbpsでSINETに繋がっており、5つの仮想的なファイアウォールを挟んで研究系、教育系、事務系、ゲスト系、病院系のネットワークに繋がっている。ほとんどの機器はプライベートIPアドレスを使用しNAT/NAPTを行いインターネットにアクセスしているが、事務系の機器はグローバルIPアドレスを使用している。鳥取大学では学外から学内だけでなく、学内から学外に関しても通信可能とするポートを厳しく制限し、学外から学内への通信を可能にするには申請が必要である。
総合メディア基盤センターは全学CSIRTの役割を担う部署で、業者の常駐はなく構成員計15名でネットワークの管理やインシデント対応など様々な業務を行っている。総合メディア基盤センターは、インシデントの通報を受け取ると部局毎に設置された該当する部局CSIRTに連絡を行い対応を促す。部局CSIRTで解決できない問題が生じた際などには必要に応じて総合メディア基盤センターが支援している。
鳥取大学が抱える課題として、インシデント発生時に個人情報漏洩の有無を問われる際の対応が鳥取大学で行える範囲を超えつつあるということが挙げられる。他にもインシデント発生時の該当PCを同定するのが困難なこと、限られた情報関連経費により充分な設備を設けることができないことなど多くの課題がある。
中小規模大学であることはデメリットだけではなくメリットもある。鳥取大学のキャンパスは自転車で5分以内に各部局の建物に到着ができるためインシデント発生時に迅速な対応が可能である。各部局とのコミュニケーションを容易に行えることや、個人へのインシデント対応を総合メディア基盤センターが全て対応できることもメリットとして挙げられる。
鳥取大学はセキュリティへの取り組みとして二要素認証とShibbolethを組み合わせた学外アクセスを提供している。電子メールに関してはウイルス対策ソフトの適用やウイルスの可能性が高い添付ファイルの自動検出を行っている。Cuckooのサンドボックスや実機を使用したウイルスの振る舞いの調査を行い、インシデントの原因の特定に利用している。
■Internet of "Insecure" Things との戦いに備えて
森川 郁也(株式会社 富士通研究所)
4件目の発表は「Internet of "Insecure" Things との戦いに備えて」と題する株式会社富士通研究所の森川郁也氏による講演である。
従来のインターネットは人間が実世界への攻撃の緩衝材となっていたが、IoTにおいては攻撃が自動化・効率化され直接実世界に攻撃が届くと考えられているため、IoTのセキュリティは非常に重要な問題である。IoTのセキュリティの問題や脆弱性の原因は、セキュリティへの意識が低いケースから対策が難しいケースまで幅広く存在する。
IoTのセキュリティにおける問題や脆弱性が報告されてきたことを受け、IoTセキュリティのガイドラインが多数登場している。IoT推進コンソーシアム・総務省・経産省の発行したガイドラインは一般ユーザや開発者などに対象読者を分け要点をまとめている。GSM Associationの発行したガイドラインはややモバイルネットワークに偏った記述もあるがIoT全体についてよく書かれており、検討手順や技術手段にも触れた内容となっている。JNSAの発行したガイドラインはスライド形式となっているため図が多く、話題や具体例が豊富である。
IoTセキュリティのガイドラインを踏まえた上で、攻撃者がデバイスに接触しやすいことや脆弱性対策が難しいことなどを考えると、設計・開発時からセキュア化やプライバシー保護を考え、デバイスに適切な保護を導入することが重要である。富士通グループではセキュア開発プロセスを行っており、脅威分析やセキュリティアーキテクトと呼ばれる制度を導入したセキュリティ対応プロセスを掲載した情報セキュリティ報告書を公開している。テスト段階ではセキュリティ検証としてファジングと呼ばれる、ファズデータを評価対象に入力し状態変化を監視する手法を利用している。
富士通研究所は東大との共同研究としてGUTP(東大グリーンICTプロジェクト)を行っており、小型機器では暗号処理の負担が大きいことや証明書の管理が煩雑であるという声を受けIDベース暗号をTLSへ応用する実験を行っている。
以上
SS研facebookページへ