2019年6月15〜16日のtwitterセキュリティクラスタ

クラウドサーバーのストレージ暗号化の必要性って?

[緩募]クラウドサーバー(awsなど)のストレージ暗号化の必要性を教えて下さい

可能な限りRTしてくれると嬉しいです

@shun0157 万が一データ引っこ抜かれてしまった場合の保険とかではないんですかね?

@szaking ありがとうございます!
それって物理的にって話ですよね??

@shun0157 どういう暗号化をしてるかは詳しく知らないのでどこまで防げるのかはすみませんが知りません
不正侵入されて正規の手順じゃない 方法でデータ抜かれてしまった場合の対処になってればいいんですけどね
なってるのかな?

@szaking んー、正規の手順じゃない方法でデータを抜くなんて事そもそも起こりえるのかな?と思ったんですよねー。
データセンターに直接人間が侵入してみたいな感じだとまぁ分かるのですが(ㆀ˘・з・˘)

@shun0157 不正アクセスしてる人たちがどんな手段でデータ抜きにくるかはまったくわからないので、できうる限りの防衛手段で守ったほうがいいかなと思いますけどね

@shun0157 「DBの暗号化は物理的な盗難だけでなく、DBMSを介さないデータベースファイルへの直接アクセスによる漏洩を防ぐという目的もあります。」
だそうです。S3だとかも似たようなことでしょうね。

@agiyagiyagiy DBの暗号化の場合はそうなってるのですかね?
例えばEC2に使うストレージの暗号化とか意味あるん?!とか思ってしまい。
もちろん物理的な効果があるのはわかるのですが、、、

@shun0157 それも似たような理由なんですかねー。EC2のボリュームを管理しているシステムに不正にアクセスされた際だとか。詳しいことは分からないですが、暗号化しておくのが無難な気がしてとりあえず暗号化してます

@agiyagiyagiy やぱそんな感じですよねー、無難だからとか暗号化しておくに越した事がないという理由が今まで殆どで、、、
なんか的確な説明が出来るように理解したくて。。
そして今awsのサポートを使うという事を思いついてしまいました

@shun0157 AWSに捜査が及び、物理的なディスクが押収された場合もデータを分析されることが防げる可能性があると思います。

@enm10k 言いたいことわからなくはないですけど、捜査ならば勿論KMSの値共有されますよね、、、
捜査ではなく物理的な侵入リスクについては理解してます(というか話に既にでてきているはず)

@shun0157 横から失礼しました。
物理ディスクに相乗りしてる別ユーザーが捜査対象なケースなどでは、自分のデータが守られる可能性は少し上がるのではないかと思います。
実際に脅威として検討する価値があるかは微妙ですが。

@enm10k ご意見ありがとうございます!
確かにその可能性はいなめませんね!
今度awsの中の人に色々実情聞くことにします

@shun0157 サーバサイド暗号化は物理リスクに備えるものでセキュリティ面で必要と考えます。管理下にない物理機器にデータを配置するのですから。データそのものの暗号を指しているならクライアントサイド暗号化を検討すべきでしょう。

@shun0157 例えばAWS側が機器を廃棄する際に、サーバサイド暗号化がかかっていない状態だとどうなるでしょう?ということかと。

@shun0157 ちなみに、あくまで例え話で、AWSは機器の廃棄についてこう定めています→ストレージデバイスが製品寿命に達した場合、NIST 800-88 に詳細が説明されている方法を使用してメディアを廃棄します。ユーザーデータを保存したメディアは、安全に停止するまで AWS の統制から除外されることはありません。

@shun0157 データセンタを運営するにあたり、HDD交換などを行う現場作業員からの情報漏洩リスク低減、媒体破棄までの管理コスト低減のためだと思っています。

実効性はともかく、クラウド事業者にもデータをのぞかれたくないから、というのはありますね。後はストレージの盗難でしょうか。大手クラウド事業者なら考えにくいですが、データセンターからハードディスクが紛失・盗難という事件は過去に起こっています twitter.com/shun0157/statu…

@shun0157 用途の一つとしてCMKをKMSではなく、HSMに格納して万が一の場合はCMKを無効にすることでクラウド事業社に対してもデータを無効化できますよーというポーズですかね。金融とか。

@shun0157 結局多層防御の観点からdata at restはどうなっとんのや?と言う観点でチェックする側はヒアリングしてますね

@shun0157 AWS のケースですが、 KMS には鍵単位でポリシーや利用ユーザを設定できるので、 IAM と分離したレイヤで管理することができます。暗号化そのものではなく、アクセス制御のための仕組みととらえると、用途をつかみやすいかもしれません

@kani_b 少し考えましたがよくわからなかったです。
私が理解してないだけだと思いますが、IAMと分離させるメリットはなんなのでしょうか。

@shun0157 IAM で表現しにくい制御に使えるという感じですかね。たとえば S3 の場合、object 単位で制御することができます (IAM だとまず無理)。EBS の場合も、例えば EBS をフルに管理できるユーザーがアクセスできない Volume を作れたりします。

@kani_b なるほど!イメージがやっと湧きました!そういった使い方もできるのですね。勉強になります!

@shun0157 AWSのバグ(脆弱性)が原因で顧客間の分離や物理アクセスできる者からの保護に失敗するケースは、あくまで可能性としてだけど想定してるのでは?クラウドじゃないですが過去VMwareにそういうバグありましたし。

その他に気になったことはこのあたり。

今日のOWASP Kansai ローカルチャプター、OWASP Internet of Things TOP 10のクリアファイルをもらえた。

Open Micで、ドローンでもこの内容を検討する必要があるよね、という話しました。 pic.twitter.com/uFXeJtCY94

うわー、セキュリティスペシャリストの午後問題1みたい。てんこ盛り / 【株式会社ZIG】Mechuの個人情報流出の経緯とZIGの隠蔽工作について【流星群プロジェクト】|ゆき @yuki_sukosuko|note(ノート) note.mu/yuki_sukosuko/…

【株式会社ZIG】Mechuの個人情報流出の経緯とZIGの隠蔽工作について【流星群プロジェクト】|ゆき|note

管理者用ページがあるはずだという見立てよりURLにadminを追加したところ管理者用ログインページを偶然発見。 note.mu/yuki_sukosuko/…

TorブラウザにおいてJavaScriptで使用言語を特定する脆弱性発見した
特別なアクションも不要

TailsのTorブラウザのみで確認 pic.twitter.com/CoZvEuBmpo

#DevelopersIO 【AWS Summit Tokyo 2019 セッションレポート】サーバーレスアプリケーションのためのセキュリティアーキテクチャ #AWSSummit bit.ly/2WKsSTd

書いた。
シンガポール駐在員の一日 – エンジニアブログ【ありマク】 arimac.macnica.net/blog/mncengine…

docomoのフィッシングサイトを見つけたので共有です。
ご注意ください。

URL→hxxp://mydocomo-dok[.]com/
IPアドレス→ 43.252.229[.]109

#Phishing @docomo_cs
urlscan.io/result/fe03ae2… pic.twitter.com/hvuZYDzQVO

auのフィッシングサイトを見つけたので共有です。ご注意ください。

URL→hxxp://myau-gdp[.]com/
IPアドレス→ 43.252.229[.]109
#Phishing #myau @au_support
urlscan.io/result/768dbb0… pic.twitter.com/lOab9D57X3

またアレな捜査やったみたいだけど、Coinhiveから一連のアレな捜査と立件、既にセキュリティやってる学生の警察への就職に影響出てると思うよ? 前にセキュリティ関係学会懇親会で「(配属先はまともな所でも)Coinhive検挙する所と同列に見られるのはね」な発言を学生から聞いた
qiita.com/204504bySE/ite…

@hevo037 私も某県警とセキュリティ関係で繋がりがあり、「良い学生来てほしいな」な話を聞いていたので、就職活動前の時期もあって懇親会で就職が話題になった時に「警察も強く募集してるよ」と振った時に「(配属先はまともな所でも)Coinhive検挙する所と同列に見られるのはね」のような反応を聞いた

@hevo037 その後もさらに色々とアレな捜査や検挙のニュースが出てくるので、本当に今年の警察のサイバー部隊への良い(技術力や研究能力の高い)学生の志望状況について、本当に気になっている。真面目にセキュリティやっている学生ほど、最新のニュースはちゃんと追っているからね。

@hevo037 実際に日本全体でどういう傾向や結果になっているのかは知ることはできないが、本当に、他の真面目にやっている県警のサイバー部隊の(将来に渡っての)人材確保に影響が出ないか気になっている。(真面目にやっている知り合いを思い浮かべると…)

【宮崎県警】「不正指令電磁的記録に関する罪」 における構成要件に関する開示結果について を公開しました

it-giron.com/1675

国内からCoinMinerを設置を狙っていると思われる通信を検知しました。おそらく放置されているようなサーバと思われます。自分で設置したサーバは責任を持ちましょう。 #ハニーポット観察
【ハニーポット簡易分析】Honeypot簡易…
sec-chick.hatenablog.com/entry/2019/06/…

携帯電話の位置情報はオフに、ソーシャルメディアでのやりとりはすぐに消去──。中国本土への容疑者引き渡しを可能にする香港の「逃亡犯条例」改正案をめぐる大規模デモでは、当局の監視や将来訴追される危険を回避しようと、若者たちが「デジタル断ち」している。
afpbb.com/articles/-/323…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>