Webinar解説「アプリのアクセスを制御!クラウドベースの「ID認識型プロキシ」の仕組み」
解説: ISC2認定主任講師/株式会社ラック 安田 良明 氏 CISSP, SSSP |
Webinar開催日:2019年5月22日
スピーカー1: 金子 春信, CISSP, シニア・プロダクト・マーケティング・マネージャー; Akamai Technologies.
スピーカー2: 中西 一博, プロダクト・マーケティング・マネージャー, Akamai Technologies.
Webinar視聴のご視聴はこちら
みなさん、こんにちは。²認定講師の安田 良明です。2019年もやっと7月に入り、折り返し地点を迎えてホッとされている方、これから心機一転チャレンジをされる方、いろいろだと思いますが、僕はインシデント対応案件に愛されているようで、6月までに約30台の情報資産調査を行い、充実した日々を過ごしています。そんな中、第9回目に配信された²日本語Webinarのアーカイブ視聴を行いました。第9回目のWebinarでは、第8回目に解説いただいた「ID認識型プロキシ」について、さらに深く掘り下げた仕組みが解説されており、ID認識型プロキシのアーキテクチャ概要、認証・認可の仕組み、可用性の実現方式を理解することができました。また、ゼロトラストへのロードマップ※1とゼロトラスト・リファレンス・アーキテクチャ※2のご紹介があり、ゼロトラストを適用する際に必要となる戦略を8つの段階で整理することで、包括的なシステム設計をするために必要な考え方を身に着けることができました。ゼロトラストに向かうためには、VPN 、社内Wi-Fiやイーサネットの信頼前提のインフラを断ち切る準備段階が必要になりますが、これらのロードマップとアーキテクチャを参考にすることで、既存の業務とITをマネジメントしながら、ゼロトラストの環境を無理なく手に入れられることを学ぶことができました。
今回は、2019年5月22日に行われた 「Akamai Technologies 」様のWebinar「アプリのアクセスを制御!クラウドベースの「ID認識型プロキシ」の仕組み」の中で解説されている「悪意のあるコードから、公開されているアプリケーションを保護する方法」について、「ソフトウェア開発セキュリティ」のCISSP的な考え方にリンクさせながら解説を行ってみたいと思います。CISSPの8ドメインでは、特に「ソフトウェア開発セキュリティ」で紹介されている数々のCBK(共通知識分野)を実践することで、業務とITをサポートする費用対効果に優れた情報システムセキュリティの環境が手に入れられるようになります。特に、「ソフトウェア開発セキュリティ」においては、ユーザー(お客様や従業員等)が使用するアプリケーション環境を含めたセキュリティ管理策を実践することが共通知識として要求されておりますので、アプリケーション開発者側で考えなければならない知識について解説したいと思います。
はじめに、「ソフトウェア開発セキュリティ」を実践する際に重要な共通知識を理解しておく必要がありますので、第8回目のWebinarを視聴していない方は、是非、視聴していただきたいと思います。第8回目のWebinarで、中西様が、「Credential Stuffing」の脅威について解説されておりますが、その中で、IPA(情報処理推進機構)様が発表されているセキュリティ10大脅威 2019 を引用しながら、「インターネットサービスへの不正ログイン」が「個人の脅威」としてランキングされており、本来であれば、「組織の脅威」に含み、サイト運営者側が、ユーザーを積極的に守る必要があると言及しています。まさにこの考え方は、CISSPの共通知識に含まれており、情報システムセキュリティにおいては、人に依存する対応は毎回同じ結果を得られない可能性があるため、組織側が情報システム側でセキュリティ管理策を実装することが要求されます。また、CISSP は、ユーザーが業務を行う際に発生する脅威を脅威モデリングし、情報システム側で適切なセキュリティ設計を行うことで、ユーザーがインシデントに巻き込まれにくい環境を提供することを考える必要があります。余談ですが、「インターネットサービスへの不正ログイン」が個人の被害として続くようなサイトであれば、僕はそのサイトを使いたいと思わないので、本来、この脅威が、「組織の脅威」としてランクインしていないのは、どういうことか疑問に思いました。
それでは、中西様のwebinarで紹介されている、日本で発生した「フォームジャッキング」におけるクレジットカード情報の詐取を見ていきたいと思いますが、この一連の攻撃の流れでは、本来であれば、ECサイトで決済処理を行う場合、カード情報はECサイト上で保持せず、決済代行事業者サイトで決済情報を入力する必要がありますが、攻撃者が、正規のECサイトのWebサーバーを改ざんすることで、ECサイトのWebサーバー上に、本物そっくりの決済画面を表示することが可能なため、ユーザーが誤って本物そっくりの決済画面に決済情報を入力してしまうリスクが存在します。また、「フォームジャッキング」においては、ユーザーに違和感を持たせない工夫がされており、本物そっくりの決済画面に決済情報を入力した後の処理として、決済エラーを発生させた後、正規の決済代行事業者のサイトへリダイレクトし、正規の決済を完了させてしまう巧妙な仕組みが行われていると、中西様が解説しています。
このような、一連の決済システムにおける流れの中で、ユーザーの目の前に表示される複数の入力フォームに対して、ユーザーはどこまで自分のスキルで違和感を感じ取ることができるのでしょうか。僕は毎回、違和感を感じ取ることは、できないと思いますし、その違和感を感じ取ることを、CISSP/SSCPホルダーはユーザーに期待するべきではありません。理由は、すべてのユーザーの判断能力が同じではないため、偽物の決済画面に気付く人もいれば気付かない人もいます。また、その時は気付いたとしても、次の機会には気づけず、インシデントに巻き込まれてしまう可能性もあります。そのため、CISSP/SSCPホルダーは、「フォームジャッキング」が発生する攻撃手法を理解し、情報システム側でセキュリティ管理策を実装することで、すべてのユーザーが、透過的に繰り返しセキュリティ管理策の恩恵を受けることで、インシデントに巻き込まれにくい環境を実装していくことが必要になります。今回の事例では、ECサイトの例が紹介されておりましたが、「フォームジャッキング」は、Webサイトのフォームが存在すれば、どのような業種でも攻撃のターゲットになるため、グローバルでビジネスを展開し、オンライン決済をしている事業者は、このリスクについて、受容できるかどうかマネジメントをする必要があります。
次の事例として、ブラウザを狙ったクレジットカード情報スキミング(Magecart)の解説がありますが、この攻撃手法の特徴の1つとして、広告配信サービスを侵害し、スキミングコードを注入した後、eコマースサイトのリターゲティング広告を通してeコマースサイトのページ内にスキミングコードを読み込ませます。その後は、ユーザーがeコマースサイトのアクセスし、決済を行っている際にバックグラウンドでスキミングコードが実行され、Webフォームの入力情報が詐取されてしまいます。この仕組みについても、「フォームジャッキング」同様、ユーザー側で何かしら対応策があるかというと、違和感に気付けるかどうかしかありません。そのため、情報システム側で、スキミングコードを実行させない仕組みづくりを検討しておく必要があります。この管理策については、中西様がwebinarで紹介しておりますので、ご確認ください。
最後に、僕が、webinarで感じた、広告配信サービスを悪用したスキミングコードの配布の脅威の本質について、みなさんと状況を共有したいと思います。この攻撃事例は、サードパーティーサービスとなる広告配信サービスをEコマースサイトが連携していることから生じた、サイバーサプライチェーンによる攻撃として考えなくてはなりません。広告配信サービス以外にも、Webサイトを構築する際、外部サービスや外部API等との連携が行われているサイトは、インターネット上に数多く存在していますし、これから一層、モバイルやIoTデイバス含め増えていくと思います。そのため、Webサイト上だけではなく、モバイルやIoTデバイスで行われるサービス連携についても、ゼロトラストの考え方を取り入れ、連携するサービスを受け入れる場合に、何も持って信頼することができるのか、また、信頼した後は、どのような権限を実行させるのかを考える必要があります。Cloud First Strategy とzero trustという風潮から、今後も新しいサービスがインターネット上で相互接続され、最終的にどのような脅威に直面するか誰も正確に分析することはできませんので、積極的にサービス提供者が新しい脅威が差し迫っていないか動的に脅威分析を行い続け、もし提供しているサービスにおいて、リスクが受容できなくなった場合は、セキュリティ管理策を動的に追加実装できるようなソフトウェアを開発していくことが必要だと改めて考えさせられました。
いかがでしたでしょうか。今回は、「Akamai Technologies 」様のWebinar「アプリのアクセスを制御!クラウドベースの「ID認識型プロキシ」の仕組み」の中で紹介されていた「悪意のあるコードから、公開されているアプリケーションを保護する方法」をCISSPの共通知識分野に紐付けて考えてみました。Webinarでは、HTTPレスポンスヘッダによる防御策の紹介や「ID認識型プロキシ」の詳細な実装についても解説されていますので、是非、Webinarを視聴してみてください。
最後に、²が提供するWebinarは、²メンバーまたはそれ以外の方、どなたでも視聴することができますので、是非、みなさんの組織で有効活用していただきたいと思います。Webinarはオンライン視聴だけではなく、Webinarの講演資料やスポンサー様が公開しているホワイトペーパー等をオフラインで確認することもできますので、お時間があるときにWebinarのトピックを² CBK(共通知識分野)に紐付けて読み解いていくことが可能です。また、²メンバーでない方は、Webinarを通じて、グローバルスタンダードにおけるCBK(共通知識分野)に触れていただければと思います。さらに、興味がわきましたら、CISSPチャレンジセミナー、SSCP 1Day セミナー、² Nightにお越しいただけると嬉しいです。