2010 º Ø IPA /¡GAG GG =) Ⅰµ S 2010 º ØIPA p ` û _ GIG;GsGxGTG1GIGmGXG 13 Fþ f Fû Q#ÝFéG...
Transcript of 2010 º Ø IPA /¡GAG GG =) Ⅰµ S 2010 º ØIPA p ` û _ GIG;GsGxGTG1GIGmGXG 13 Fþ f Fû Q#ÝFéG...
2010 IPA
Ⅰ
Copyright © 2011 2010 IPA
http://www.ipa.go.jp/security/event/2010/isec-semi/kaisai.html
Ⅰ
�
�
�
Copyright © 2011 2010 IPA
�
� 200910
2
Ⅰ
1. 2010 102.
Copyright © 2011 2010 IPA 3
1. 2010 10
Copyright © 2011 2010 IPA
1.1 2010 101.2 1.3 101.4 10
Copyright © 2011 2010 IPA
1.4 101.5 10
5
� 1 2009
� 22009
2009200920092009年事例年事例年事例年事例
10101010大脅威大脅威大脅威大脅威
運営者運営者運営者運営者・・・・開発者向開発者向開発者向開発者向けけけけ:::: 経営者向経営者向経営者向経営者向けけけけ::::
2010201020102010年版年版年版年版 10101010大脅威大脅威大脅威大脅威
2010年版 10大脅威対象
1.1 2010 10
Copyright © 2011 2010 IPA
10
� 310
6
URL http://www.ipa.go.jp/security/vuln/10threats2010.html
運営者運営者運営者運営者・・・・開発者向開発者向開発者向開発者向けけけけ::::
リスク・リスク・リスク・リスク・影響影響影響影響・・・・対策対策対策対策
経営者向経営者向経営者向経営者向けけけけ::::
リスク・リスク・リスク・リスク・影響影響影響影響・・・・対策対策対策対策
1.2
�
�
①①①①
•
Copyright © 2011 2010 IPA
•
②②②②
•
③③③③
•
7
1.2
�
•
•
•
Copyright © 2011 2010 IPA
•
•
•
•
8
1.2
�
� 2009 9
70
•A
B
Copyright © 2011 2010 IPA
•
→
•
9
1.2
�
• →
•
•
Copyright © 2011 2010 IPA 10
• → →
• →
•
• → →
1.3 10
� 2009 IPA
� 10
順位順位順位順位 10101010大脅威大脅威大脅威大脅威
Copyright © 2011 2010 IPA 11
1位 変化を続けるウェブサイト改ざんの手口
2位 アップデートしていないクライアントソフト
3位 悪質なウイルスやボットの多目的化
4位 対策をしていないサーバ製品の脆弱性
5位 あわせて事後対応を!情報漏えい事件
6位 被害に気づけない標的型攻撃
7位 深刻なDDoS攻撃
8位 正規のアカウントを悪用される脅威
9位 クラウド・コンピューティングのセキュリティ問題
10位 インターネットインフラを支えるプロトコルの脆弱性
1
Copyright © 2011 2010 IPA 12
1
� SQL
SQL
�
Copyright © 2011 2010 IPA 13
FTP(File Transfer Protocol)FTP
SQL 2008 20092007
2010 2
1
�
•
•
Copyright © 2011 2010 IPA 14
FTP
�
(P43)(P44)
(P44)(P47)
(P47)
SQLSQLSQLSQL(P45)
(P46)
(P45)(P46)
2
Copyright © 2011 2010 IPA 15
2
• OS(Windows ) OS
•
Copyright © 2011 2010 IPA 16
IPA 2009
(42.5%)
2009 8 250 79.5Adobe Flash 83.5
Acrobat Adobe Reader
2
�
Copyright © 2011 2010 IPA 17
•
• DDoS
•
�
(P43)(P44)
(P44)
(P45)(P47)
(P47)
3
Copyright © 2011 2010 IPA 18
3
①
②
Copyright © 2011 2010 IPA 19
③
DDoS
④
①②③
⑤
�
3
2007 13 3 2008 90 2009 160
2007
�
1
Copyright © 2011 2010 IPA 20
�
(P43)(P44)
(P44)
(P45)(P47)
(P47)
4
Copyright © 2011 2010 IPA 21
4
①
Copyright © 2011 2010 IPA 22
②
• IPS
�
4
�
•
Copyright © 2011 2010 IPA 23
•
�
(P43)(P44)
(P44)
(P45) (P47))
(P47)
5
Copyright © 2011 2010 IPA 24
5
• SQL
•
•
Copyright © 2011 2010 IPA 25
•
•
•
•
5
ISP 2008 6 2009 5 1,583
• 18.3% 291 USB
�
Copyright © 2011 2010 IPA 26
�
•
•
�
(P43)(P44)
(P44)
(P47)(P47)
6
Copyright © 2011 2010 IPA 27
6�
�
2009 JPCERT/CC IT
• 2,600
•
Copyright © 2011 2010 IPA 28
• 1 45.4% → 2 14.0%
2009 1 5 663
(MS) Word, Excel, PowerPoint
• 2008 (1,968 ) MS 72% → 51%
Adobe Reader/Acrobat
• 2008 (1,968 ) Adobe 29% → 49%
6
�
•
•
•
Copyright © 2011 2010 IPA 29
•
�
(P43)(P44)
(P44)
(P45)(P47)
(P47)
7 DDoS
Copyright © 2011 2010 IPA 30
7 DDoS
DDoS( ) DoS ()
• DDoS 3
①
②
③ DDoS
Copyright © 2011 2010 IPA 31
③ DDoS
• 1 DoSDDoS
2009 7DDoS13
ASP
7 DDoS
�
• DDoS
•
• ISP DNS DDoSDNS
Copyright © 2011 2010 IPA 32
DNS
�(P43)
(P44)(P44)
(P47)(P47)
8
Copyright © 2011 2010 IPA 33
8
•
•
• SNS
•
Copyright © 2011 2010 IPA 34
• (ID )
•
•
2009 3
8
�
•
•
�
Copyright © 2011 2010 IPA 35
• ID
• ID
(P43)(P44)
(P44)
(P46)(P47)
(P47)
9
Copyright © 2011 2010 IPA 36
9
NIST
• SaaS Software as a Service
• PaaS Platform as a Service
• IaaS Infrastructure as a Service
Copyright © 2011 2010 IPA 37
• IaaS Infrastructure as a Service
9
�
SLA Service Level Agreement
Copyright © 2011 2010 IPA 38
�
(P43)(P44)
(P44)
(P47)(P47)
10
Copyright © 2011 2010 IPA 39
10
IP(Internet Protocol)DNS(Domain Name System)HTTP(HyperText Transfer Protocol)SMTP(Simple Mail Transfer Protocol)
POP3(Post Office Protocol)NTP(Network Time Protocol)SSL/TLS(Secure Sockets Layer/
Transport Layer Security)
Copyright © 2011 2010 IPA 40
2009
DNS BIND(Berkeley Internet Name Domain)(DoS)
TCP/IP (DoS)SSL/TLSNTP
10
�
• DNS
•
• ISP
Copyright © 2011 2010 IPA 41
•
�
(P43)(P44)
(P44)
(P45)(P47)
(P47)
1.4 10
対策のPDCAサイクル
経営者 システム
管理者
3.1 体制の整備・ルールの作成
3.2安全な運用のための企画・設計
3.3安全な運用のための契約
3.4サーバシステムへの対策3.5クライアントシステムへ
の対策3.6アカウント情報の管理・
運用
Copyright © 2011 2010 IPA 42
CA
システム
管理者 開発者
P
3.7セキュアプログラミング
3.8体制・ルール・システムの点検
システム
管理者
3.9体制・ルール・システムの見直し
D
経営者
システム
管理者
経営者
� [ ]
•
< >
•
•
•
1.4 10
••
•
Copyright © 2011 2010 IPA
•
•
< >
•
•
•
•
43
••
•
� [ ]
•
•
•
�
1.4 10
•••••
••••
Copyright © 2011 2010 IPA
� [ ]
•
•
•
•
•
44
� [ ]
•
•
�
• IDS/IPS WAF /
� IDS/IPS WAF
1.4 10
Copyright © 2011 2010 IPA
� IDS/IPS WAF
�
� [ ]
• OS
� IPA MyJVN
•
�
45
� [ ]
< >•
• IP
< >•
•
1.4 10
Copyright © 2011 2010 IPA
•
•
� [ ]
• IPA
•
�
�
46
� [ ]
•
�
�
� [ ]
•
1.4 10
Copyright © 2011 2010 IPA
•
•
•
•
47
1.5 10
56
3
2 PC
user
********user
********user
********
PC
A攻撃者は企業内部に顕在化している脅威を狙う
Copyright © 2011 2010 IPA 48
1
○○○○
○○○○○○○○
■■■■■■■■■■■■■■■■■■■■■■■■■■■■
■■■■■■
■■■■■■■■■■■■■■
■■■■■■■■■■■■■■■■■■■■
7 DDoS
8
4
9
10
2.
Copyright © 2011 2010 IPA
http://www.ipa.go.jp/security/vuln/vuln_contents/
� - -
http://www.ipa.go.jp/security/vuln/documents/website_security.pdf
� 4
Copyright © 2011 2010 IPA
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/
�
http://www.ipa.go.jp/security/vuln/vuln_TCPIP_Check.html
� TCP/IP V5.0
http://www.ipa.go.jp/security/vuln/documents/website_security.pdf
50
SQL
http://www.ipa.go.jp/security/vuln/documents/website_security_sql.pdf
� iLogScanner
�
MyJVN
http://jvndb.jvn.jp/apis/myjvn/#VCCHECK
Copyright © 2011 2010 IPA
http://www.ipa.go.jp/security/vuln/iLogScanner/
� iLogScanner
http://www.ipa.go.jp/security/ciadr/vuln_website_guide.pdf
�
http://www.ipa.go.jp/security/ciadr/vuln_announce_manual.pdf
�
51
�
http://www.ipa.go.jp/security/vuln/7incidents/
� 5
http://www.ipa.go.jp/security/manager/know/sme-guide/index.html
Copyright © 2011 2010 IPA 52
http://www.ipa.go.jp/security/manager/know/sme-guide/index.html
� 5
http://www.ipa.go.jp/security/vuln/5mins_point/index.html
�
�
http://www.ipa.go.jp/security/ciadr/
Copyright © 2011 2010 IPA
�
�
�
http://www.ipa.go.jp/security/fy18/reports/contents/
53
http://www.meti.go.jp/policy/netsecurity/is-kansa/
Copyright © 2011 2010 IPA 54
Copyright © 2011 2010 IPA
http://www.meti.go.jp/press/20070330012/20070330012.html 2007 3http://www.meti.go.jp/press/20080229015/20080229015.html 2008 2http://www.meti.go.jp/policy/it_policy/privacy/080229kaisei-guideline.pdf 2008 2
55
Copyright © 2011 2010 IPA 56http://www.ipa.go.jp/security/benchmark/
JVN Japan Vulnerability Notes JVN iPedia
JVNJVNhttp://jvn.jp/
Copyright © 2011 2010 IPA 57
JVN iPediahttp://jvndb.jvn.jp/
JVN iPedia
IPA/ISEChttp://www.ipa.go.jp/security/
Copyright © 2011 2010 IPA 58
★★★★
(IPA(IPA(IPA(IPA 10:0010:0010:0010:00----12:0012:0012:0012:00 13:3013:3013:3013:30----17:00)17:00)17:00)17:00)
EEEE----mailmailmailmail [email protected]@[email protected]@ipa.go.jp