第6回 情報セキュリティEXPO

情報セキュリティ研究室 > 学会/セミナー報告 > 第6回 情報セキュリティEXPO
【会議名】第6回 情報セキュリティEXPO
【日時】2009年5月13日(水)〜5月15日(金)
【場所】東京ビックサイト(東京都江東区有明3-21-1)
【URL】http://www.ist-expo.jp/jp/conference/ 
【主催】情報セキュリティEXPO (IST) 事務局
【報告者】江藤研究員

		  
+++++++++++++++++++++++++++++++++++++++
5月13日(水)−基調講演 
+++++++++++++++++++++++++++++++++++++++
   <参加者:300名以上>
■「The New Security Agenda: Changing the Game」
    シマンテックCEO:エンリケ T.セーラム
    ・reputation based securityの必要性
    ・blacklistだけでなく、whitelistの併用

■「嵐に打ち勝ち、港へ」
    トレンドマイクロCEO:エバ・チェン      
  ・クラウドコンピューティングへのクライアントアーキテクチャの移行
    ・クラウド移行後のセキュリテイ、防御
   →相関関係を分析しダイナミックDBで管理の概念提示。これに挑戦、を宣言。

+++++++++++++++++++++++++++++++++++++++
5月13日(水)−技術PRセミナー
+++++++++++++++++++++++++++++++++++++++
■「ホワイトリストによる完全アクセス制御」
  潟鴻bクインターナショナル 代表取締役 岩清水廣行、シニアコンサルタント 田中廣行
  ・PC上での動作制限ソフト:
      Sanctuaryアプリケーションコントロール紹介
   ->ホワイトリスト(W.L)でアプリ制限
   (以下の、Q&Aはブース訪問時に、報告者が田中氏と実施した内容)
      Q.ホワイトリスト自体の改竄有無の確認方法は?
      A.動作チェック時にホワイトリスト及びそれ自体、対象アプリのハッシュ値チェックを実施 
      Q.Sanctuary自体への攻撃は?
      A.カーネル機能なので不可
  ・PC上での情報漏洩対策:
      Sanctuaryデバイスコントロール紹介
      ->暗号化されたデータだけを許容

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
5月14日(木)−専門セミナー:仮想化環境におけるセキュリティ
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
   <参加者:50名強>
■「仮想化環境のセキュリティ対策の考え方と課題」
   ヴイエムウェア潟eクノロジーアライアンス部長:森田徹治
  ・仮想化で実現するITインフラとセキュリティ
   :メリット
   1)サーバ統合によるコスト削減
   2)ビジネス俊敏性の向上
	3)可用性の向上
    ・仮想アプライアンス
      :従来アプリ:インストールが非スムーズ
    ->仮想アプライアンス:ユーザ、ベンダ双方にメリット
    :ディストリビューション、インストールが容易->市場拡大(予測)
      :共通フォーマット:OVF Open Virtual Format
      :スケーラビリティ(システム拡張)が容易。
    ・より強固な仮想化のセキュリティ
      :仮想アプライアンスに、Security VM
      :セキュリティソフトへのAPI提供、他仮想マシンの一括制御
    ・デスクトップの仮想化
      :シンクライアントがトレンド(処理はサーバ、データはDC) 
      :コスト削減、情報漏洩防止

■「仮想化環境の構築・運用におけるセキュリティ」
    NTTデータ技術開発本部部長 宮坂肇、同課長 宮本久仁男
    # 基本説明
    ・仮想化技術とは?
      物理的装置をプログラム上の仮想的な装置として、
      物理的実体として動作のように稼働させる技術
    ・最大の特徴は、カプセル化。仮想化マシンを1つのファイルと扱う
    ・容易な移行による、ハードウェア移行
    ・シンクライアントと組み合わせたセキュリティ進化
   # 仮想化とセキュリティ
    ・プログラム言語の抽象化
    ・ネットワークの汎化  
    ・OSの汎化
    # 分析と考察
    ・アーキテクチャ=>ハイパーバイザー型が主流>ホスト型
    # セキュリティ面の課題
    ・仮想化技術への攻撃、脆弱性に関わる課題
    ・仮想サーバや仮想マシンに対する攻撃と二次被害
    ・仮想化技術自体の脆弱性に起因するリスク
    ・仮想化環境の運用ルールに関わる課題
     -仮想化サーバ環境に適したセキュリティ運用ルールの設定
  ・仮想化環境に求められるセキュリティ
   -仮想化技術のセキュリティ
   -運用セキュリティ
   -その他(ソフトウェアの正当性保証、処理性能とのバランス)
    # 残存問題
    ・セキュリティパッチやアップデータが実施される仮想化製品の採用
    ・運尿後に発見される仮想化製品の静寂性への対応
    ・仮想化対応された設定製品の採用
    ・サーバ環境の移行後のSLA/コンプライアンス遵守

[所感]
   a)仮想化によりコスト削減、可用性向上等のメリットは理解。
   しかし、新たな技術により新たな脆弱性の可能性はあり、その対策が必要、
     という本質は変わらない。これは各講師が異口同音で強調されていた。
     我々研究者やベンダにすれば、研究・開発の対象ネタがある、と言える。

+++++++++++++++++++++++++++++++++++++++
5月14日(木)−技術PRセミナー
+++++++++++++++++++++++++++++++++++++++
   <参加者:150名強>・・・最大時、立ち見100名超
■「最新セキュリティ動向と対策」
  ソフォス
  ・セキュリティ脅威レポート2009 
      -4.5secに1件の新規感染のWebサイト出現
   -スパム配信国 worst3 2009/1Q
       1)米国, 2)伯国, 3)露国
   -より広範なPC感染。Apple MACへの攻撃増
   -laptopPC紛失/盗難インシデンド(例)
       1)EMEA    3300台/week
       2)US      1200台/week
       3)UK(TAX) 5000台/6months   
    ・対策(としての自社製品紹介)
      -sophoslabsというコンセプトに基づき、
       以下の3分野のシステムも統合提供
       :コンプライアンス及びシステム管理
       :エンドポイントプロテクション
       :インフォメーションセキュリティ

[所感]
   b)出展社も驚く、立ち見がでたセミナー。タイトルが興味引く内容だったためと推測。
   内容的には、九州大櫻井・堀研ゼミで発表・報告される等の既知の内容と比較して、
   特に新規性はない。配布資料"レポート2009"に関して上述のように、具体的数値情報が
     知的興味の点で参考となった。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
5月15日(金)−専門セミナー:ログデータによる復元と追跡
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
   <参加者:40名弱>
■「ネットワーク・フォレンジックによる攻撃解析とビジネスリスクの軽減」
   潟宴bク コンピュータセキュリティ研究所)所長 岩井博樹
  ・仮想化で実現するITインフラとセキュリティ
   :メリット
   1)サーバ統合によるコスト削減
   2)ビジネス俊敏性の向上
	3)可用性の向上
   1)事故前提環境構築の重要性
    ・ITコストの削減
     最初の槍玉がセキュリティ対策費用
    ・セキュリティ対策費用の再考
     予防策↓事故対策↑ 
    ・予防策・・・キリがない
    ・対応策(事故前提機能)
     -対応スピード、品質は組織ごとに異なる
    2)Cyber incident vs.computer forensics
    ・PC サーバのデータはある。
    ・ネットワークのデータ、双方を繋ぐデータがない 
    ・Computer Forensics の課題
      コンピュータ+ネットワーク
      課題1:ハードウェア、OSの技術進歩と解析技術のギャップ
      課題2:進化し続ける攻撃手法
      課題3:ネットワーク経由の侵害に関する解析技術の限界
    3)Network Forensics Analysis
    ・IDSとNFAT[NFA Tool]の違い
     -目的	:IDSは検知、NFATは解析
     -仕組み:IDSはパケット解析、NFATはストリーム解析	
     -NFAT:弱点:ポートで想定外プロトコルの場合、検知不可の場合有り
    ・NW Forensicへの期待
     -自己前提環境の構築
     -小インシデントの継続的発見で組織NWへのダメージ軽減
     -危険因子の排除:抑止力・・・導入の事実だけで
    ・解析方法はインシデントの種類により異なる
    ・システムのログはある。
    ★システムとシステム間のログを取得し、痕跡を点から線にすることが重要。
   (オンラインもオフラインも)
    ・「人」が関与する箇所は何らかのログを残すように対策を実施する
  4)まとめ
     -Digital Forensicsは事故前提社会においてのキーワード
     -Network Forensicsは他の解析技術同士を繋ぐ重要な役割を担う
     -セキュリティマネジメント・ライフサイクルの導入により
      企業内のセキュリティバランスを取る 
     -Network全体とTCAPによる各PCの情報(ex.操作/デバイス挿入)等を
      時系列でリンク付けする仕組み、ツール、が研究されている
  Q.コンピュータフォレンジックと比較して、ネットワークフォレンジックは
   個別対応が多く手法や理論確立されていないと認識するがどうお考えですか?
  A.その通り。国等によっても攻撃は異なり、一般化は困難と認識する。。
    攻撃は多様化しているが、NWフォレンジックとしては10年前と変わっていない。

■「PCフォレンジックによる復元と追跡"-民間企業における事実立証の実例-」
   潟fィアイティ 情報セキュリティ研究所)主席研究員 永田弘康]
    1)コンピュータフォレンジックスの概要
    ・情報の電子データ化
    ・情報価値の認識向上
    ・インシデント多様化、巧妙化
    ・顧客・親会社・監督官庁への説明責任(経緯を含めた状況説明が求められる)
    ・詳細/KEYWORD
     -追跡に必要な情報を確実に保全し、詳細調査、様々な要素から、
      過去に起きた事象を解明・立証する
     -トレンド:情報漏洩の特定だけでなく、説明責任のため、時系列による説明、
      損害賠償を前提とした証拠裏付け、過去事象の論理的裏付けが必要
   -従来の調査
      初期対応:各種記録取得:証跡、痕跡の汚染->初期対応でいかに保全するかが重要
     -フォレンジックの流れ
      保全
      解析(推論、筋立て)・・・データ膨大、各データは点。矛盾無いよう推論が重要。
      報告(証跡の可視化)
     -不用意な操作による証跡・痕跡の喪失
      Windows起動(システムファイル更新、デフラグ)、ファイル検索、ファイル参照
    2)初期対応
    ・初動:情報漏洩嫌疑の秘匿、同伴
    ・証拠物件の確保(PC,HDD,USB等)
    ・完全な複製(物理コピー):複製元ディスク->複製先ディスク(複製ディスクを調査解析)
    ・原本/原本からの複製であるための証拠写真 
    3)解析手法
    ・OS,アプリケーションの証跡、痕跡に関する情報が非公開
      ->証跡、痕跡から挙動を判断
    ・環境により証跡、痕跡が異なる
    <以下事例>
    ・独自形式ファイル(ウイルススキャンログ)
    ・解析のための事前検証作業が必要(どこに残る、どんな証跡、どのタイミングetc.)
    ・ファイルシステム
    ・タイムスタンプ
    ・証跡、痕跡の種類
    ・削除解析
    ・プリフェッチ:プログラム起動時に作成・更新されるログ[max 128
    ・Recent:ファイル、フォルダ、ネットワークリソースへのアクセス履歴
    ・復元ポイントに格納されるドライブファイルのドライブリスト
      :外部HDD接続の履歴(20-30)
    ・IE6キャッシュファイル:検索履歴
    ・IE6アクセス履歴:コンテンツアクセス履歴、検索履歴
    ・FWソフトログ:ブラウザアクセス履歴、入出力情報量
    ・データファイル内部のメタ情報:カメラのメーカ情報・製造番号、Zipファイル
    ・イベントログ解析
    ・レジストリ解析:USBデバイス情報[削除不可]、DHCP割当のIPアドレス、
      インストール痕跡、アカウント情報etc.
    4)解析実例
    ・事例割愛
    ・暴露ウイルス(Antinny)

[所感]
   c)「PCフォレンジック」は前半、教科書的で失望したが、後半、具体的なフォレンジック解析手法の
     具体的事例を用いての紹介があり、興味ある分野、かつ、具体的事例が多く面白い。
   d)終了後、「ネットワーク・フォレンジック」の岩田講師に直接質問した(前述)。
   ネットワーク・フォレンジック分野は未だ未解決問題や確立されていない対応が多く、
     "ネタ"はある事を確認できた。
   e)今回のEXPOの中で、最も興味が掻き立てられたセミナーであった。しかし、他セミナーと比較して
   参加者は若干少ない。フォレンジック分野は、まだまだ関心が低い証左であろうか?

+++++++++++++++++++++++++++++++++++++++
5月13日(水)〜15日(金)−ブース訪問
+++++++++++++++++++++++++++++++++++++++

【5月13日(水)】
□ OakIS社 (NEC北陸ソフトウェア):
   ネットワークフォレンジクサーバ:NetEvidence AX
   ・TCP/IP上のプロトコル(SMTP,http,telnet,ftp)対象
   ・パケットモニタし、そのログから動作を再現
  ・顧客100社以上。
   ・500-700万の中規模から小規模(300万)へシフト
     Q.暗号化されたら検索機能は有効か?
     A.データの再現は可能。暗号化データの解析は別技術。
     Q.証拠保全の機能は?
     A.パケットログの生成単位で日付情報も含め、ハッシュ値管理

□ ネットエージェント社:
   Packet Black Hole / One Point Wall
   ・TCP/UDP上のプロトコル対象
   ・パケットモニタし、そのログから動作を再現
  ・顧客650社以上。
   ・300万クラスが多い
     Q.暗号化されたら検索機能は有効か?
     A.データの再現は可能。
     Q.証拠保全の機能は?
     A.パケットログの生成単位で日付情報も含め、ハッシュ値管理

□ エム・ティ・フィールドサービス社:
  コミュニケーションログレコーダー:inetSNAPs
   ・TCP/UDP上のプロトコル対象(と言っていた。カタログに無し)
   ・メール機能に注力(∵顧客要望が多い)。(他パケットもサポート)
  ・顧客60社。専門家向けではなく、総務・人事部門等。
  ・以前はネットエージェン社の代理店。顧客要望で自社開発。
     Q.暗号化されたら検索機能は有効か?
     A.データの再現は可能。
     Q.証拠保全の機能は?
     A.パケットログの生成単位で日付情報も含め、ハッシュ値管理

[所感]
   f)"ネットワークフォレンジックサーバ"的な3社の製品を見学。
     パケットデータをモニタ、ログし、操作及びデータ復元はほぼ同様。
     暗号化と証拠保全の回答も同じでほぼ同機能。
   差分は、対象のプロトコル範囲、注力対象、Web画面表示。
   g)社内をメインとし、不正アクセス防止、内部統制、抑止効果のメリットを強調。
     外部からの攻撃観点のフォレンジック機能は特に見当たらない。もしくは意識されていない。
  h)いずれの社にても、裁判等で証拠活用の事例はない、とも聞いた。
     まだ日本では事例はないか、事例・必要性が具現化していない状況。

□ ソフォス社: セキュリティ・アンド・データプロテクション
□ Sky社:SKYSEA ClinetView
□ ウィーズ・システム社:WEEDS Trace Series
 他
[所感]
   i)いずれも、PCの操作履歴、データ追跡等のアプリケーション。
    技術的には、従来からの言われている必要機能が実現されていることを認識した。
   j)社会的ニーズがあるということだが、社員や利用者を不正対象とみなす環境、性悪説の考えが
     ベースとも言え、被対象者でもある身からすると気が重く感じる。
     抑止力を狙った機能、と考えたい。  

【5月14日(木)】
□ AOSテクノロジーズ社:
   携帯電話データのフォレンジックツール
   ・元々データ復旧の技術を持つ。これをベースに実現。
     (PC版向けも既に実現済み)
   ・ベンダ毎に異なる構成/フォーマットからバイナリ/Hexデータ復元。
     メールや通話情報の証拠保全。削除データも復元可能。
  ・要望受けて個別対応、基本料金20万円。
  ・浮気調査等で既に需要/証拠提示の実績あり。
□ PC KIDS社:
   PCの論理障害、物理障害のHD,tape,USB,DVDからのデータ復元
  ・米国訴訟向けのe-Discovery対応可能
□ VSS社: 米社の日本法人
   VSSモニタリング ネットワークタップ製品
   ・IP addr./protocol種別/port番号等によるパケットフィルタ機能
  ・複数物理ポート/複数検出条件等のパケットアグリゲーション機能
  ・キャリア/プロバイダ/開発検証に用途
   ・ISITを説明したら、必要ならば数週間の貸与可能、との話有り
□ フォーティーンフォティ技術研究所: 
   パターンファイルに依存しないウイルス対策ソフト
   ・攻撃パターン/プログラム動作/リソース動作をDB化し比較/検出
   ・他社と異なり、DB化した技術の特許出願中、を強調 
   ・Winny流出ファイルの流出元検出の技術有り

[所感]
   k)"フォレンジック"がPC/携帯のデータ復旧とその証拠保全に限定
     されている状況を認識した。基本的に全データを蓄積し、必要に
     より復元、表示する機能。

□ ディー・オー・エス社:IT資産管理ソフト SystemSupportbest1
□ マクニカネットワークス社: DataCenterService
□ OA通信サービス社:SaaS/ASP型VPNサービス
□ ラネクシー社:MyLogStar, DeviceLock, BitDefender
□ カベルスキーラブスジャパン社:オールインワンセキュリティ製品
 他

[所感]
   l)いずれも、PCの操作履歴、データ追跡等のアプリケーション。
   【5月13日】訪問の他社と比較して、大きな新発見はなし。

【5月15日(金)】
□ サイバーソリューションズ社:
   SaaS型メール&コミュニケーションシステム
   ・SaaS型というが、メールシステムのアウトソース+セキュリティ
     +アーカイブ&監査機能、等。
     証拠保全といいつつ暗号化等の保全方法はない、という点が納得できない。

 <以下、グリーンID EXPO./データストレージ EXPO.の見学>
□ ネットワールド社:
   低価格NASサーバ NetApp FAS2020A
□ Visual Processing Japan社:
   ストレージ仮想化ソリューション poolIt
□ 日立: 
   ストレージソリューション Universal Strage Platform
□ テクマトリックス社:
  ファイルストレージ仮想化SW ARX
□ ノックス社: *技術商社 
   ファイルサーバアクセス監査、アクセスコントロール統合
  管理ツール "DatAdvantage"
   ・ディレクトリ/ファイル単位でアクセス監視、履歴管理
   ・グループ/ユーザ単位でデータアクセス管理、履歴管理
□ CTC
   クラウドコンピューティング事例:自社の業務環境 e@Works
 他

[所感]
   m)データストレージは、"仮想化","省エネ","簡易化"で殆どのブース
     が大同小異。2-6)は米ベンチャーのソフトだがユニークに感じた。
     CTC社は既に4年前に自社内クラウド化済み、と強調していたが、
    当時はシンクライアントとしての実現であり、少々言い過ぎの印象を受けた。

[全体所感]
   n) 基調講演は300名超、各専門セミナーも50名以上、かつ展示会場は通路に人が溢れ、
   この不況下でも情報セキュリティ分野への関心の高さが窺われた。
  o) 但し、ほぼ日本企業のみで海外は韓国数社程度。国際評価や携帯電話と同様に、
   日本の国際的位置付けの低下と技術のガラパゴス化がないかが懸念される。
  p) 展示内容及び専門セミナーから、コンピュータ・PCフォレンジックと比較して、
   ネットワーク・フォレンジックは未開拓分野や課題が多く、研究対象有りを認識した。
  q) 参加出張の機会を与えていただいたことに、感謝致します。

ページトップへ戻る

Copyright © 2009 Institute of Systems, Information Technologies and Nanotechnologies. All Rights Reserved.