Create a gist now

Instantly share code, notes, and snippets.

Embed
What would you like to do?

第2回Webシステムアーキテクチャ研究会

セキュリティ研究事始め

発表者

  • 阿部 博
  • https://hirolovesbeer.github.io/
  • 所属
  • 株式会社レピダム 研究員
  • 情報通信研究機構 協力研究員
  • 北陸先端科学技術大学院大学 博士後期課程 4年
  • Interop Tokyo ShowNet NOCメンバー(2015年〜)

はじめに

企業、または学生がセキュリティ研究を始める場合に、現状セキュリティ研究のターゲットが広範囲におよびどこから手をつけていいのか判断することが難しい。 また、現状はそもそもセキュリティーベンダー主体で高度な製品開発が行われており、研究対象として選択した分野が既に製品化されている場合も多い。 そこで、本発表では企業や学生がこれからセキュリティ研究を開始する場合に、どこをターゲットにするか研究の種となりうる情報をシェアすることを目的とする。

堅牢なWebシステムを構築するには多くの手法がある。 サーバ自体をセキュリティ対策を施して堅牢化することはもちろん、それ以外の外部的な対策も多数存在する。 大きくセキュリティ対策と言っても、ネットワーク、サーバ、個人端末と「どこ」を守るかによってターゲットが大きく異なる。本研究会は、はてな社やペパボ社のメンバーが主となり開催されており、本発表ではWebサービスを提供する企業を主にセキュリティ対策を考えていくこととする。また、Webサービス企業のみならず、手法として新しい知見を幅広くシェアすることにより、各社エンジニアが広範囲にサービスを設計・構築する場合に、堅牢なシステムやネットワークを組み上げることが可能とする知識の共有を目的とする。

アプローチ

本発表では、セキュリテェイ対策として、ミクロな視点、マクロな視点、部分的切り取り、エンドユーザ視点、可視化等多数の観点からアプローチを進める。全ての手法を実施する必要はないが、サービスの提供手法により効果的な方法を選択したり、そもそもユーザ自身が攻撃者になりかねない状況を防ぐ為の手法に関する情報のシェアも目的とする。

トップダウン

  • DDoS対策

    • DOTS

      DOTSは、DDoS Open Threat Signalingの略で、DDoS防御を依頼するフォーマットを標準化するプロトコルである。IETF (Internet Engineering Task Force)にて策定中。「このIPアドレスを攻撃から守って!」というメッセージを送るためのプロトコル。 OSS実装として、go-dotsが存在し、gobgpと連携して動的にフィルタを挿入することができる。

    • BGP Flowspec

      RFC5575で標準化されたBGP Flowspec。マッチしたパケットに対して許可、拒否、リダイレクトのアクションが取れる。フロー経路を生成して、BGPルータに伝搬していくイメージ。対応ルータが必要。ShowNetではFunction Poolのサービスチェーンに利用される。

  • Firewall

    Accept/Deny/Reject等アクション指定が可能で通信の通過の可否を制御する。 最近では振る舞い検知をするものも多い。振る舞い検知により標的型攻撃に対応するものが昨今のトレンド。

ボトムアップ

  • EPS (End Point Security)

    • アンチウイルス(ルールベース)
      • ルールベースなのでスキャンとマッチングが必要。ルールの更新も必要であり、昔から存在するセキュリティ製品。
    • 未知の脅威を阻止
      • 振る舞いをクラウド上でビックデータ解析や機械学習を用いて解析し、ルールにマッチしない未知の脅威を見つけ出す。ここ数年のトレンド。
  • 標的型攻撃対策

    • aaa
  • バイナリ解析

    • 実際に動作するマルウェアの動作を解析する。マルウェアによっては仮想環境上で動作を停止するものも多く、そのようなものにも対応する解析基盤を準備する場合もある。また、マルウェア自身がモジュールをダウンロードし常にアップデートしていくようなものも存在するので、動作を解析するにはアセンブリ言語の高度な知識が必要となる場合が多い。

観測

  • ハニーポット

    攻撃者が本当にターゲットを攻撃するようにサーバやネットワーク、プロセスを擬態した環境。 OSS実装も多数存在する。攻撃のトレンド分析が可能となる。

  • Sandbox

    実際に攻撃者に侵入をさせ、マルウェアを設置させ、そのマルウェアの動作を観測する環境。 OSS実装も存在する。Sandboxでマルウェアを確保し、バイナリ解析を行うパターンが多い。

  • センサー

    広範囲なネットワークに設置し、ポートスキャンやssh/telnet/その他プロトコルによる攻撃を観測する。実際に使われているネットワークレンジと、利用されていないダークネットに対するスキャンも含めデータ収集を行う。

クラウド型DNSセキュリティ

  • Cisco Umbrella

DNS名前解決により、悪意のあるサイトを判別する。 DNSの名前解決を利用しているので、TCPプロトコルに依存せずに悪意を持ったサイトに接続することを未然に防ぎ、安全な通信を行うことが可能。アンチウィルスソフトと連携することにより、ユーザの環境自体を包含的に防御し、攻撃者になる可能性を低める。ウィルスやbotに感染したクライアントをC&Cサーバへと到達させない手法の一つとなる。

可視化

  • Nirvana 改

    • 標的型攻撃に対抗するための統合分析プラットフォーム
    • 組織の末端までセンサを設置しトラヒック観測・分析
    • セキュリティ機器からの膨大なアラート管理を効率化
      • セキュリティオーケストレーション
    • どこからどこへとパケットが流れたかを可視化する
  • ProtectWise

    • センサーで情報を収集しクラウドへと送信。 パケット本体だけでなく、ヘッダ情報やNetFlowなども選択的に組み合わせて監視。データは、プロテクトワイズのクラウド基盤上でシグネチャのマッチング、振る舞い分析、ヒューリスティック分析、機械学習など、複数の手法を組み合わせて解析され、リアルタイムに可視化される。この分析された情報から、侵入を早期に検知し、さらにフォレンジックに活用できる。

機械学習

  • Network Machine Learning(https://www.nml.ai/ja)
    • 研究概要

      本研究は、増加するサイバー攻撃に対抗するために、攻撃の兆候をリアルタイムに分析することで発生し得る攻撃とその深刻度、影響範囲を予測することを目指します。これにより、今まで担当者の属人的な能力にて担われていたセキュリティ事案に対する対応を、人工知能を用いてサポートします。さらに、本研究にて機械学習を用いたサイバー攻撃分析の手法と知見を確立し、そのデータと手法をオープンデータとして公開することを目指します

オープンデータ

  • MWS(マルウェア対策研究人材育成ワークショップ)
    • サイバークリーンセンター ハニーポットで収集しているボット観測データ、 研究者コミュニティから提供されたデータを「研究用データセット」として活用するワークショップです

共同研究

  • with 東京電機大学 稲村先生
  • レピダム社と連携しハニーポットを複数箇所に設置しデータを解析する研究を進める。
  • 複数箇所でのセンサー設置を目指すため、センサーの設置先を募集中(共同研究という枠で)

まとめ

本発表では、Webサービスアーキテクチャを防御する多数のセキュリティ手法を複数切り口で紹介した。 サーバを守る以外のセキュリティ対策が存在することを意識し、Webシステムを構築する必要がある。 また身近なユーザが攻撃者にならないよう努力を行うことが、エンジニアとしての啓蒙として必要なことであり、社内から攻撃者がでないよう社内設備を堅牢かすることも重要なタスクであり、その行いが外部のサービスを健全利用するために必要な一歩となる。

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment