Transcript Document

事例に学ぶセキュリティの大切さ
ヤフー株式会社
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
自己紹介
戸田薫
ヤフー株式会社 システム統括本部
東京都出身
2005年 4月
2006年 4月
2007年 7月
2010年 7月
2014年 10月
ヤフー株式会社入社 システム統括部配属
ソーシャルネット事業部 開発部
システム統括部 セキュリティプラットフォーム
R&D統括本部 セキュリティプラットフォーム リーダー
システム統括本部 セキュリティテクノロジー部 部長
現在に至る
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
自己紹介
小林 聖
ヤフー株式会社 システム統括本部
京都府出身
2008年
4月
2014年 10月
ヤフー株式会社入社
システム統括部
セキュリティプラットフォーム配属
システム統括本部 セキュリティテクノロジー部
サイバーディフェンス リーダー 現在に至る
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
ヤフー株式会社について
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
1996年
Yahoo! JAPAN
誕生
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
100種類を超えるYahoo! JAPANのサービス
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
VOLUME
7900万
1日
ユニーク
ブラウザ
2015年1-3月の平均
出展：弊社独自の調査による結果
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
VOLUME
619億
1ヶ月
PV
2015年1-3月の平均
出展：弊社独自の調査による結果
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
多種多様なプロジェクト
社食
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
事例に学ぶセキュリティの大切さ
• なぜセキュリティは大切か
• 事例を元にユーザとして意識して
ほしいこと
• Yahoo! JAPANにおけるセキュリ
ティ対策
なぜセキュリティは大切か
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
セキュリティとは？
• そもそもセキュリティって何？
• 身体や財産などを危険から守り、安全な状態に保つ
• 例えば
• お金を銀行に預けたり、金庫で保管する
• 家に鍵をかける
• 防犯カメラで監視
• 空港でX線装置や金属探知機で持ち物検査
インターネットで何でもできる時代
• ネットショッピング
• SNSで写真や動画を投稿
• ネットバンキングを利用してお金の振り込み
\
http://akerun.com
ネットでもセキュリティ対策が必要
• 犯罪者は色々な手段を使って、個人情報やお金を盗もうとします
• 企業はもちろん個人もセキュリティ対策が必要
• 例えば
• 個人情報の閲覧や決済などはログイン必須
• ウィルススキャンソフトで不審なプログラムを検出
身近なところで事件が起きている
• アカウント乗っ取り
身近なところで事件が起きている
• PC遠隔操作
• 誤認逮捕
身近なところで事件が起きている
• 写真の位置情報
気をつけないと
• 個人情報の漏洩
• クレジットカードの不正利用
• 自分自身がいつの間にか加害
者に
事例を元に
ユーザとして意識してほしいこと
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
 フィッシング
 パスワード
 ソフトウェアのアップデート
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
フィッシングとは
• 正規のWebサイトやメールを装って個人情報を窃取しよう
とする行為
ヤフーもフィッシングに利用されている
スクリーンのみのご提供となります。
注意すべきポイント
注意すべきポイント
メールでID・パスワード、個人情報の
入力を求めるものは注意！
注意すべきポイント
From : ■■■@yahoo.co.jp
Date : Thu 28 Jan 2014 14:53:59 +0900(JST)
To : ●●●@yahoo.co.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Yahoo! Auctionsよりご案内です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
いつもYahoo! Auctionをご利用頂きありがとうございます。
http://□□□. □□□□. □□□□/yahoo-actions.co.jp/index.htm
よりお客様の会員情報の更新をお願いします。
更新を行われない場合出品制限等の不具合を起こす場合も
ありますのでご協力お願い致します。
※こちらのメールは自動送信メールとなっておりますので、
そのままご返信いただきましてもお答えいたしかねます。
注意すべきポイント
From : ■■■@yahoo.co.jp
Date : Thu 28 Jan 2014 14:53:59 +0900(JST)
To : ●●●@yahoo.co.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Yahoo! Auctionsよりご案内です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
いつもYahoo! Auctionをご利用頂きありがとうございます。
http://□□□. □□□□. □□□□/yahoo-actions.co.jp/index.htm
よりお客様の会員情報の更新をお願いします。
更新を行われない場合出品制限等の不具合を起こす場合も
ドメインやURLパスが正規サイトっぽい
ありますのでご協力お願い致します。 http://auction.yahoo.co.jp.foo.bar/
http://foo.bar/auction-yahoo.co.jp/
※こちらのメールは自動送信メールとなっておりますので、
そのままご返信いただきましてもお答えいたしかねます。
注意すべきポイント
注意すべきポイント
HTMLメールでURLの飛び先が
表示と異なる
注意すべきポイント
注意すべきポイント
暗号化通信されないページで個人情報
を入力すべきでない
注意すべきポイント
注意すべきポイント
アカウントを乗っ取り、友人を装ってフィッシ
ングサイトに誘導するケース
 フィッシング
 パスワード
 ソフトウェアのアップデート
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
認証とは
• 簡単に言うと、自分が本当に自分かを証明すること
• 例えば
• IDとパスワード
• 銀行のカードとパスワード
• 指紋認証
何のランキングでしょう
RANK
RANK
1
123456
6
123456789
2
password
7
1234
3
12345
8
baseball
4
12345678
9
dragon
5
qwerty
10
football
http://splashdata.com/press/worst-passwords-of-2014.htm
何のランキングでしょう
よく使われるパスワードTOP10
RANK
RANK
1
123456
6
123456789
2
password
7
1234
3
12345
8
baseball
4
12345678
9
dragon
5
qwerty
10
football
http://splashdata.com/press/worst-passwords-of-2014.htm
簡単なパスワードはすぐに破られる
123456
12345
123456789
password
iloveyou
matthew
princess
1234567
12345678
abc123
nicole
whatever
daniel
babygirl
monkey
lovely
jessica
dragon
654321
michael
qwerty
111111
ashley
jonathan
000000
iloveu
michelle
tigger
sunshine
computer
chocolate
password1
soccer
anthony
friends
family
purple
butterfly
angel
jordan
liverpool
forever
justin
123123
fuckyou
loveme
football
danielle
secret
joshua
bubbles
superman
1234567890
robert
hannah
amanda
loveyou
pretty
andrew
eminem
basketball
angels
flower
tweety
hello
playboy
elizabeth
charlie
hottie
tinkerbell
samantha
chelsea
barbie
lovers
jasmine
brandon
teamo
666666
shadow
melissa
簡単なパスワードはすぐに破られる
123456
12345
123456789
password
iloveyou
matthew
princess
1234567
12345678
abc123
nicole
whatever
daniel
babygirl
monkey
lovely
jessica
dragon
654321
michael
qwerty
111111
ashley
jonathan
000000
iloveu
michelle
tigger
sunshine
computer
chocolate
password1
soccer
anthony
friends
family
hannah
amanda
loveyou
pretty
andrew
eminem
basketball
angels
flower
tweety
hello
playboy
elizabeth
charlie
hottie
tinkerbell
samantha
chelsea
barbie
lovers
jasmine
brandon
teamo
666666
shadow
melissa
パスワードクラッキングツールで保持している
purple
butterfly
angel
jordan
liverpool
forever
justin
123123
fuckyou
loveme
football
danielle
パスワードリスト
secret
joshua
bubbles
superman
1234567890 robert
パスワードの使い回し
• 複数サイトでパスワードを使い回すのは危険
• 別サイトで入手したID・パスワードのリストを使って不正
ログインを試行する
→リスト型攻撃
二要素認証
• 下記3種類の認証のうち2つを利用
• パスワード (知識認証)
• ICカード・トークン(所有物認証)
• 指紋・虹彩(生体認証)
• ヤフーではID・パスワード + ワンタイムパスワードを利
用した二要素認証を行っている
見直してみよう
• パスワードを見直そう
• シンプルなパスワード
• 身近な情報
• 使い回し
• 二要素認証を使ってみよう
• 下記サイトでパスワードが安全かチェック！
http://www.ipa.go.jp/chocotto/pw.html
 フィッシング
 パスワード
 ソフトウェアのアップデート
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
アップデートを実施していますか？
• アップデートは新規機能の追加だけではない
• バグや脆弱性の対応によるアップデート
アップデートを放置してると
• マルウェア感染し、パソコンの制御を他人に乗っ取られる
• 個人情報の窃取
• どこかの国のホームページに大量アクセス
• 某掲示板に爆破予告
• セキュリティ対策ソフトの導入だけでは安全とは言い切れ
ない
• ゼロディ攻撃
常に最新のソフトウェアを使い続けよう
• 脆弱性はなくなりません
• 利用者は常に最新バージョンを利用していく事が重要です
• Windows XP利用している人はいますせんか？
• サポートが打ち切られたものを
利用し続けるのは危険
• 何か穴が見つかっても修正されない
http://windows.microsoft.com/ja-jp/windows/end-support-help
デモ
• マルウェア感染すると何ができてしまうのか？
Yahoo! JAPANにおける
セキュリティ対策
みなさんができる対策
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
ログイン3兄弟 + 2
ログイン3兄弟 + 2
•ログインテーマ
事前
•シークレットID
ログイン •ワンタイムパスワード
•ログインアラート
事後
•ログイン履歴
ログイン3兄弟 + 2: ログインテーマ
テーマの
設定はこ
こ！
もうフィッシングにだまされ
ない！
ログイン3兄弟 + 2: ワンタイムパスワード
記憶: パスワード
所有: ワンタイム
パスワード
ログイン3兄弟 + 2: ワンタイムパスワード
ログイン3兄弟 + 2: シークレットID
Yahoo! JAPAN ID
メールアドレスだから人
に教える
シークレットID
ログイン専用の人に教え
ないID
ログイン3兄弟 + 2: ログインアラート
不正な
ログインを
検知
ログイン3兄弟 + 2: ログイン履歴
ログイン3兄弟 + 2: まとめ
フィッシング
対策
のっとり対策
気づき
• ログインテーマ
• シークレットID
• ワンタイムパスワード
• ログインアラート
• ログイン履歴
Yahoo! JAPANにおける
セキュリティ対策
社内での取り組み
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
 考え方
 ソフトウェアのアップデート
 防御
 監視
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
なにを守るのか?
お客様
パートナー
会社
守るべき情報を明らかにする (例)
機密性
項目
レベル3
パスワード
クレジットカード番号
レベル2
住所
レベル1
メールアドレス
どうやって守るのか?
•
•
•
•
侵入されない
入ってもなにもできない
すぐに気づける
事態を迅速に収拾する
入られないようにするには?
• 最新のソフトウェア
• 設定
• バグを作り込まない
最新を追い続けるために
• ソフトウェアの情報
• アップデートの基準
• ソフトウェアの利用状況の可視化
脆弱性対応による影響
• テスト
• 互換性
サービスのソフトウェアの管理(脆弱性管理)
スクリーンのみのご提供となります。
業務端末のソフトウェアの管理(脆弱性管理)
スクリーンのみのご提供となります。
多層防御
インターネッ
ト
監視
Dos対策
踏み台+OTP
プロダクションネット
ワーク
社内ネットワーク
監視、ウィルス対策ソフト
,etc
監視
暗号化
セキュアルーム
セキュアネットワーク
監視
スクリーンのみのご提供となります。
監視
• いろいろな機器を監視
• セキュリティ監視
チームが対応
Yahoo! JAPANの
セキュリティ体制
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
セキュリティの組織など
CISO
最高情報セキュリティ責任者
CISO-Board
CISO代行
セキュリティ
セキュリティ
セキュリティ
戦略室
テクノロジー部
推進
ルールと監視
技術
運用
セキュリティ技術部門
企画
認証
防御
セキュリティ
テクノロジー部
検査
監視
ユーザ属性
データベース
セキュリティの体制
まとめ
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止
自衛のメリット
• 事件にまきこまれない
• 家族や友人
まとめ
• 自分のIDは自分しか
守れません
• 道具は使いましょう！
ご静聴
ありがとう
ございました
Copyright (C) 2015 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止