寺子屋未満

3月28日に開催された、第21回北海道情報セキュリティ勉強会（せきゅぽろ）に参加しました。
今回はトレンドマイクロ株式会社の方をお招きし、クラウドのセキュリティについて・企業のサイバー攻撃対策について講演されました。

クラウド/仮想環境を取り巻く脅威とその対策 – 中村俊一さん

あらためて、クラウドとは何か

最近、当たり前のように（テレビCMでも）「クラウド」という単語を聞くようになりました。
その「クラウド」とは何なのか。
中村さんは次のように定義されていました。

遠隔にある自分のリソースに対して様々なデバイスからインターネット経由でアクセスしそのリソースを操作・共有すること

私たちのようなプログラマの開発現場だけではなく、クラウド技術は生活に根付いています。
生活に根付いた例としてIoT(Internet of Things)の話をされていました。

IoTといえば（私は未だになんと読めばいいのかわからない。アイ・オー・ティー?）、札幌でも「IoTあるじゃん北海道支部」というコミュニティがあり、気になっています。
次の勉強会は5月20日（IoTあるじゃん北海道支部勉強会 #2）なので、参加してみようと思います。

クラウドが主に使われるようになったことで、ITの利用形態は「パーソナルな環境にリソースをおく」形から「中央のリソースを共有する」形態に変化してきています。
まさに、歴史は繰り返されるといった感じです。

エンタープライズクラウド – AWS

エンタープライズで使用されるクラウドとして、今回はAWSについて話してくださいました。
エンタープライズのサーバーを物理サーバーからクラウドに置き換えることによって、ラッキングや設置作業がいらなくなり、リソースだけにお金を払って使うことになります。これにより、設置された物理サーバーの管理（ハード障害や天災）コストは軽減されます。
本当にここはメリットだなあと思います。
正直なところ、価格的なコストは長期運用を考えると変わらないのではないか（場合によっては割高になる場合もあるのでは）と思うのですが、導入・運用のしやすさはクラウドに軍配があがりますね。
実際に、WordPressを公開する環境を立ち上げるデモをしてくださいましたが、本当にあっという間。（もちろん、実際は素の状態から様々な対策を施す必要がありますが。）
「物理的な機材調達がいらないので、すぐにサーバーを立てることができる」のを目の当たりにしました。

クラウド／仮想環境を取り巻く脅威

クラウドの心配事1位は「情報漏えいなどのセキュリティ」です。
サーバーであることには変わりがないですが、クラウドの場合どのようなことに気をつけなければならないか。

中村さんはセキュリティの例えとして「一軒家」と「マンション」をあげていました。
一軒家の場合、外から泥棒が入らないよう対策をする必要がある。
マンションの場合、共用玄関はオートロックなど管理会社が管理してくれているが、内部の安全は自分で管理しなければならない。
この例えが自分の中ですごくしっくりきました。

企業におけるインシデントレスポンス – 平原伸昭さん

平原さんのお話を聞くのは、たぶん2回目（前回もせきゅぽろ、月寒公民館だったような…）です。
今回は、企業がサイバー攻撃にあった時どう気がつくか、どう対応するかについてのお話です。

不正プログラムを起因とする標的型攻撃の場合、次のようなライフサイクルで対応を行うそうです。

1. [Detection – 検出] 不正なプロセスの特定
2. [Analysis – 分析] 発見した不審プロセスや感染が疑われる端末の調査（影響資産や範囲）
   – 新たな検出があれば また1.から繰り返す
3. [Containment Eraducation – 封じ込めと根絶] 削除、ブロックなどの対策
4. [Recovery – 復旧] セキュリティパッチの適用、データリストア
5. [Post-Incident Activity – 事象後の学習] 攻撃の全貌を明らかにする
   – 喉元過ぎれば…でやらないことが多いけどとても大事
6. [Preparation – 準備] 事件後の学習から準備を行う

企業がお客様（エンドユーザー・消費者）へ説明・報告するのは、このライフサイクルでいうと、どのフェイズに達した時に行うことが多いのだろう。3か4なのか、6なのか。

己を知り、敵を知れば百戦危うからず

検出でもっとも大事なポイントは「何を持って不審だと判断するか」。
不審な状態に気がつく一番の近道は、正しい状態がどういうものなのかを理解していること。”物が散乱した汚部屋では泥棒にも気がつかない”という話を思い出しました。
普段どれだけ意識して正しい状態を管理しているかどいうのが重要。

注意して把握しておくこととしてあげられたのは次の7つ。

• プロセスイメージ名
• 実行パス
• 親プロセス
• プロセス数
• プロセスの引数
• プロセスの起動時間
• プロセスの実行ユーザー

正しい状態を把握しておくと、専門的なことがわからなくても気がつけることがたくさんあります。

• プロセス名のミススペル
• 実行パスがtempフォルダ
• 親プロセスがすでにいない
• やたらsvchost.exe が多い lsass.exeが複数ある
• コンピューター起動時間からだいぶ経過してから起動しているプロセスがある
• システムプロセス名だがユーザー権限で起動している

普段、マシンがハングアップしたときくらいしかプロセス見ないからなあ。
一度きちんと、どんなプロセスが動いていて、どれが正しい状態なのか把握しておくと良いかもしれない。

それにしても、人間の脳内補完機能恐ろしい。
怪しいプロセスを探す、という例題を幾つか出してくださったのですが、スペルミスは勝手に頭で直してしまう。
この辺、文書のレビューに通ずる物を感じました。

“分析”できるようになるまでの道のり

分析フェーズでは悪意のあるプログラムの動きを解析していくわけですが、敵も解析できないよう様々な工夫をしています。

• [難易度1] 何も考えずに実行できる
  – 幸運
• [難易度2] 従来からのアンチデバッグ機能がある
  – デバッグ（解析）されているかどうかを検知する
  – Sleep関数をたくさん使う
  – 仮想環境で動いているかを確認している
  – APIを隠している
  – 調査ツールが動作しているかを確認している
  – パックしている
• [難易度3] 最近のアンチデバッグ機能
  – 実行できる条件が厳しい（引数、ユーザー名、ホスト名、DNSサフィックス名が攻撃先情報と（いずれか・すべて）一致しないと動かない）
• [難易度4] その他
  – 動かない
  – コンポーネントファイルが必要

これらに対処する一番良い方法は、出来る限り問題が発生した環境にOS,各種名前などを合わせることなそうです。
そのために必須のツールなどについても説明してくれました。

今回のお話はでは「正しい状態を把握していくことの重要性」がインパクトありました。
自分のマシンですら正しい状態を把握しきれていないなあ…

今回も良い講演と美味しいおやつで良い時間を過ごせました。
ありがとうございました！