CSA Japan Chapter Big Data User WG Workshop #1 on February 18, 2014

67 %
33 %
Information about CSA Japan Chapter Big Data User WG Workshop #1 on February 18, 2014
Technology

Published on February 20, 2014

Author: esasahara

Source: slideshare.net

日本クラウドセキュリティアライアンス ビッグデータユーザーワーキンググループ 第1回勉強会 2014年2月18日 日本クラウドセキュリティアライアンス ビッグデータユーザーワーキンググループ Big Data User WG Cloud Security Alliance Japan Chapter 1

1. ビッグデータの国際標準化とセキュリティ ISOのビッグデータ参照モデル(例) サービス層 サービス層 分析/ 分析/予測 ビッグデータ 管理 インタフェース ワークフロー 管理 データ品質 データ品質 管理 データ 可視化 サービス サポート層 サポート層 インタフェース データ キュレー ション データ統合 データ統合 プラット フォーム層 フォーム層 セキュリ ティ データのセマンティック知性化 データのセマンティック知性化 インタフェース データ識別 データ識別 データマイニング/メタデータ抽出 抽出) (データマイニング/メタデータ抽出) データ層 データ層 データ 収集 データ レジストリ データ レポジトリ 出典:ISO/IEC JTC1 SC32 Ad-hoc meeting, May 29, 2013, Gyeongju Korea を基に、日本クラウドセキュリ ティアライアンス・ビッグデータユーザーワーキンググループが作成 (2014年1月) 2

2. ビッグデータとプライバシー/情報セキュリティ • 2012年11月:Cloud Security Alliance Big Data Working 年 月 Groupが、ビッグデータのセキュリティ/プライバシーにおけ る技術的/組織的問題10項目をまとめた「Top 10 Big Data Security and Privacy Challenges」を公表 • • • • • • • • • • 1. 分散プログラミングフレームワークにおけるセキュアな計算処理 2. ノンリレーショナルデータストアのセキュリティのベストプラクティス 3. セキュアなデータ保存とトランザクションのログ 4. エンドポイントの入力の検証/フィルタリング 5. リアルタイムのセキュリティ/コンプライアンスモニタリング 6. 拡張性があり構成可能なプライバシー保護データマイニング/分析 7. 暗号化により強制されたアクセス制御とセキュアな通信 8. 詳細なアクセス制御 9. 詳細な監査 10. データ来歴 3

2. ビッグデータとプライバシー/情報セキュリティ 【図1】ビッグデータのエコシステムにおける セキュリティ/プライバシーの十大脅威 ビッグデータソース データ 4, 10 4, 8, 9 data data data data data data data data data data data data data data data data 2, 3, 5, 6 1.分散プログラミングフレームワークにおけるセ キュアな計算処理 2.ノンリレーショナルデータストアのセキュリティ のベストプラクティス 3.セキュアなデータ保存とトランザクションのログ 4.エンドポイントの検証/フィルタリング 5.リアルタイムのセキュリティモニタリング 6. 拡張性があり構成可能なプライバシー保護デー タマイニング/分析 7. 暗号化により強化されたアクセス制御とセキュ アな通信 8. 粒度の高いアクセス制御 9.粒度の高い監査 10. データ来歴 出力デバイス 7, 8, 9, 10 計算処理クラスター Map result result result result result result result result result result result result result result result result 10 結果 Reduce パブリック/プライベート/ ハイブリッドクラウド SQL 2, 3, 5, 8, 9 5, 7, 8, 9 データストレージ 十大脅威 出典:Cloud Security Alliance Big Data Working Group「Expanded Top Ten Big Data Security and Privacy Challenges」 (2013年4月)を基に、 4 日本クラウドセキュリティアライアンス・ビッグデータユーザーワーキンググループが作成 (2014年2月)

2. ビッグデータとプライバシー/情報セキュリティ 【図2】ビッグデータのセキュリティ/プライバシーにおける十大脅威の分類 インフラストラクチャ セキュリティ 完全性と 事後対策的な セキュリティ データ プライバシー データ管理 分散プログラミング フレームワークに おけるセキュアな 計算処理 プライバシー保護 データマイニング /分析 セキュアなデータ 保存とトランザク ションのログ エンドポイントの 検証 /フィルタリング ノンリレーショナル データストアの セキュリティの ベストプラクティス 暗号化により 強制された データ中心の セキュリティ 粒度の高い監査 リアルタイムの セキュリティ モニタリング 粒度の高い アクセス制御 データ来歴 出典:Cloud Security Alliance Big Data Working Group「Expanded Top Ten Big Data Security and Privacy Challenges」 (2013年4月)を基に、 5 日本クラウドセキュリティアライアンス・ビッグデータユーザーワーキンググループが作成 (2014年2月)

3.インフラストラクチャセキュリティにおける脅威 【図3】バッチ処理とストリーム処理 Hadoop NoSQL 出典:Cloud Security Alliance Big Data Working Group「Big Data Analytics for Security Intelligence」 (2013年9月) 6

3.インフラストラクチャセキュリティにおける脅威 • 3-1. 分散プログラミングフレームワークにおけるセキュアな計算処理(1) • MapReduceの例~バッチ処理 出典:Cloud Security Alliance Big Data Working Group「Big Data Analytics for Security Intelligence」 (2013年9月) 7

3.インフラストラクチャセキュリティにおける脅威 • 3-1. 分散プログラミングフレームワークにおけるセキュアな計算処理(2) • 脅威 脅威: 分散プログラミングフレームワークでは、大容量データを計算して保存する ために並列処理を利用する。 -MapReduceフレームワークは、入力ファイルを複数のチャンク(かたまり) に分割する。 -個々のチャンクのMapperがデータを読み込み、一定の計算処理を行って、 鍵/値のペアのリストを出力する。 -Reducerが個々の鍵に附属する値を結びつけて、結果を出力する。 主な攻撃防止手段としては、Mapperのセキュア化と、信頼できないMapper に存在するデータのセキュア化の2種類がある。 • ユースケース: ユースケース -科学/金融計算~信頼できないMapperが変更され、要求に応じて覗き見 したり、MapReduceスクリプトを変えたり、結果を変えたりすることが起こり 得る -小売業者の消費者データ~Mapperが、プライベートな記録を分析し、特別 な値を外に出して、ユーザーのプライバシーを侵害する可能性がある 8

3.インフラストラクチャセキュリティにおける脅威 • 3-1. 分散プログラミングフレームワークにおけるセキュアな計算処理(3) • モデリング モデリング: Mapperの脅威モデル • Workerノードの誤作動による計算処理 ノードの による計算処理 ノード 誤作動による 分散計算処理でMapperに割り当てられたWorkerが、不正確な構成や 障害ノードにより誤作動を起こす可能性がある。 ⇒-集約結果の完全性を損なう可能性   -Workerが修正されて、ユーザーの機密データが漏えいする可能性 • インフラストラクチャ攻撃 インフラストラクチャ攻撃 危険にさらされたWorkerノードは、他のWorkerと、再生を目的 とするMaster、中間者、MapReduceの計算処理に対するDoS 攻撃との間の通信を傍受する可能性がある。 • 偽りのデータノード りのデータノード 偽りのデータノードがクラスターに追加されて、その後、複製され たデータを受信するか、変更されたMapReduceコードを配布す る可能性がある。 9

3.インフラストラクチャセキュリティにおける脅威 • 3-1. 分散プログラミングフレームワークにおけるセキュアな計算処理(4) • 分析 分析: • • 信頼の 信頼の設定 (内部的な信頼の設定⇒時系列的な信頼のアップデート) -WorkerがMasterに対して接続要求を送信すると、MasterはWorkerを 認証する。期待されたプロパティを有する、認証されたWorkerのみが、 Mapperのタスクに割り当てられる。 -内部的な認証に続いて、各Workerのセキュリティのプロパティが、あら かじめ定義されたセキュリティポリシーに適合するかどうか時系列に チェックされる。 強制アクセス制御( アクセス制御 強制アクセス制御(MAC) ) MACがあらかじめ定義されたセキュリティポリシーによって認証された ファイルへのアクセスを保証する(入力のMapperに対する完全性を保 証するが、Mapper出力からのデータ漏えいを防止するものではない)。 10

3.インフラストラクチャセキュリティにおける脅威 • 3-1. 分散プログラミングフレームワークにおけるセキュアな計算処理(5) • 導入 導入: • • • 強制アクセス制御( 強制アクセス制御(MAC)の例: アクセス制御 ) Airavat~SELinuxが付属するJava仮想マシンを修正することによって MACが導入され、信頼できないコードがシステムリソースを介して情報 を漏えいしないことを保証する。 *信頼できないMapperによって生成される出力鍵に基づく計算処理の プライバシーを保証することはできない。 出力を した情報漏えい防止対策 情報漏えい防止対策の例: 出力を介した情報漏えい防止対策 関数の感度(入力がMapperの出力に及ぼす影響の度合い)に基づく 差動的なプライバシーの匿名化フレームワーク *任意の信頼できないコードの感度を推定することは困難である。 導入の際の問題点 • 1. MACを負荷することによるパフォーマンスの損失 • 2. 保証の提供における差動的なプライバシーの限界 11

3.インフラストラクチャセキュリティにおける脅威 • 3-2. ノンリレーショナルデータストアのセキュリティのベストプラクティス(1) • 脅威 脅威: NoSQLによって普及したノンリレーショナルデータストアは、セキュリティインフ ラストラクチャに関しては、まだ進化の途上にある。 -個々のNoSQL DBは、分析の世界から提示された異なる課題に取り組むよ う構築されており、それゆえ設計段階のいかなる時点においても、モデルの一 部となることはなかった。 -NoSQLデータベースを利用する開発者は、通常、ミドルウェアにセキュリティ を組み込んできた(NoSQLデータベースは、データベースの中で明確にそれ を強制するためのサポートを提供していない)。 • ユースケース: ユースケース: 伝統的なRDBと比較して、NoSQLデータベースは非常に薄いセキュリティの レイヤしか持っていない。 アナリティクス・アズ・ア・サービス(AaaS)の例 複数のユーザーがフレーフレームワークを共有し、動的/静的データの双方 を、分析フレームワーク経由で適切なコネクタに送り込む場合、結果が個々の ユーザーに送られる前に、中間処理のためのNoSQLデータベースにおいて 保持される必要がある。 12

3.インフラストラクチャセキュリティにおける脅威 • 3-2. ノンリレーショナルデータストアのセキュリティのベストプラクティス(2) • モデリング モデリング: • • 1.処理の完全性 処理の 処理 複雑な整合性制約をアーキテクチャに導入したら、よりよいパフォーマン スと拡張性を達成するというNoSQL本来の目的を実現できない。 -アーキテクチャトレードオフ分析(ATAM)のような手法を利用して、整合 性制約のレベルを評価することが可能であり、パフォーマンスに重大な 影響を及ぼすことなく、中核となるアーキテクチャのカーネルに整合性制 約を注入することができる。 2.緩やかな認証メカニズム 認証メカニズム 緩やかな認証 NoSQLは、HTTP Basic若しくはDigestベースの認証を利用しており、反 射攻撃や中間者攻撃を招きやすい。もう1つの通信プロトコルである RESTもまたHTTPに基づいており、クロスサイトスクリプティング、クロス サイトリクエストフォージェリ、インジェクション攻撃などを招きやすい。 NoSQLは、認証を強制するサードパーティのプラグイン可能なモジュー ルの統合をサポートしていない。REST原則に従うコネクションの定義を 操作することにより、基盤にあるデータベースのハンドルや構成パラメー タにアクセスすることが可能であり、それによってファイルシステムにアク 13 セスできる。

3.インフラストラクチャセキュリティにおける脅威 • 3-2. ノンリレーショナルデータストアのセキュリティのベストプラクティス(3) • モデリング(続き1): モデリング( ) • • 3.不十分な承認のメカニズム 不十分な承認の 不十分 承認の手法は、NoSQLソリューションによって異なり、低いレイヤ(コレク ションのレベル)よりも高いレイヤ(データベース単位のレベル)で強制さ れる。 ロールベースアクセス制御(RBAC)メカニズムでは、ユーザーのロール やセキュリティグループを定義することができない。 4.インジェクション攻撃に対する感受性 インジェクション攻撃に する感受性 インジェクション攻撃 NoSQLアーキテクチャは、疎結合状態で軽量のプロトコルとメカニズムを 導入しているため、様々なインジェクション攻撃(JSONインジェクション、 配列インジェクション、ビューインジェクション、RESTインジェクション、 GQLインジェクション、スキーマインジェクションなど)の影響を受けやす い。このような攻撃の影響は、破損したデータを有するデータベースから DoS攻撃へと及び、データベース全体が利用できない結果となる。 14

3.インフラストラクチャセキュリティにおける脅威 • 3-2. ノンリレーショナルデータストアのセキュリティのベストプラクティス(4) • モデリング(続き2): モデリング( ) • • 5.整合性の欠如 整合性の 整合性 分散モードで、 CAP定理(整合性、可用性、分割耐性)の3つの要素全 てを同時に強制できなくなると、攪拌された結果の信頼性が損なわれ、 個々の参画しているノードが最新のイメージを有するノードと完全に同期 できない可能性がある(ユーザーは、いかなる時でも一貫した結果が保 証されない)。クラスタノードを通してデータを複製するよう任された現行 のハッシュ化アルゴリズムは、単一ノードの失敗の場合には破損して、ク ラスタノード間の負荷の不均一化を招く結果となる。 6.内部関係者による攻撃 内部関係者による 内部関係者による攻撃 許容性のあるセキュリティメカニズムは、内部関係者による攻撃を達成す るために利用可能である。これらの攻撃は、貧弱なロギングやログ分析 手法、その他初歩的なセキュリティメカニズムのために、気付かれない状 態となり得る。重要なデータが、薄いセキュリティのレイヤ下に収容される と、データ所有者による制御の維持を保証することが難しい。 15

3.インフラストラクチャセキュリティにおける脅威 • 3-2. ノンリレーショナルデータストアのセキュリティのベストプラクティス(5) • 分析 分析: • • データの完全性 データの完全性: アプリケーション若しくはミドルウェアのレイヤを介して強制される必要が ある。 -パスワードはセキュアなハッシュ化アルゴリズムを利用して、暗号化/ ハッシュ化されるべきである。 -関連するパフォーマンスの影響に関わらず、停止中はデータを暗号化し た状態に保つことが不可欠である(例.ハードウェアアプライアンスベー スの暗号化/復号化、バルクファイルベースの暗号化) -転送の間、機密性を維持するためには、SSL/TLSを利用して、クライ アントとサーバー間および参加するクラスタノード同士のコネクションを確 立する方法がある。 クラスター同士 通信: 同士の クラスター同士の通信 信頼された通信チャネルを確立する前に、個々のノードが他の参加する ノードの信頼性レベルを検証できるように、よりよく制御されるべきである。 -インテリジェントハッシュ化アルゴリズムを利用することによって、ノード 障害の際にも、データがノード間で複製されることを保証することができ 16 る。

3.インフラストラクチャセキュリティにおける脅威 • 3-2. ノンリレーショナルデータストアのセキュリティのベストプラクティス(6) • 分析(続き): 分析( • 適正なログインメカニズム、実行中のログ分析、ログ分析への相関の 適正なログインメカニズム、実行中のログ分析、ログ分析への相関の統 分析 分析への相関 適用: 合/適用 -ファジング手法の適用~不正な、予期されない、または無作為の入力を 与え、HTTPによってクライアントとの通信の確立を図るNoSQLにおける 潜在的な脆弱性を洗い出す -適正なデータのタグ付け手法~タイムスタンプと共に、権限のないデー タ修正に対する防御となり、保存されたデータの信頼性を維持する。 17

3.インフラストラクチャセキュリティにおける脅威 • 3-2. ノンリレーショナルデータストアのセキュリティのベストプラクティス(7) • 導入 • NoSQLの境界周辺に仮想のセキュアなレイヤを生成する の境界周辺に仮想のセキュアなレイヤを生成する: する -ミドルウェアのセキュアなラッパーの下にNoSQLを隠す、若しくは Hadoopのようなフレームワークを利用してNoSQLにアクセスする。 -コレクションまたは列レベルにおけるオブジェクトレベルのセキュリティに ついては、薄いデータベースのレイヤを維持しながら、ミドルウェアを介し て誘導する。 -分散型Hadoopによって、強力なケルベロス認証をサポートする。 • .悪意のあるユーザーの偽装の防止 • 全ての遠隔手続き呼出(RPC)におけるユーザー認証の強制 • HadoopMasterノード、クラスタノード、ジョブトラッカー上でグループ 解決を実行することによる、グループメンバーシップのユーザー操作 の防止 • ジョブを投入したユーザーのアカウント下でMapタスクが実行される 18 時の適当な分離の保証が可能になる。

3.インフラストラクチャセキュリティにおける脅威 • 3-2. ノンリレーショナルデータストアのセキュリティのベストプラクティス(8) • 導入(続き): 導入( • NoSQL層をカプセル化するためにミドルウェアのレイヤを導入する 層 カプセル化するためにミドルウェアのレイヤを導入する: ミドルウェア する -認証、承認、アクセス制御をあらかじめサポートしているミドルウェアソフ トウェアのアーキテクチャを活用して、スキーマ、オブジェクト、そして/ま たはデータへのいかなる変更も妥当であることを保証し、その上で、 NoSQLの能力を維持しながら、よりよい制御を実行する。 (例)Java~Java認証/承認サービス(JAAS)、SpringSource、Spring セキュリティフレームワーク -NoSQLをフレームワークに統合し、セキュリティのコンポーネントをフレー ムワークに受け渡して負荷を軽減する。 -ポリシーベースのセキュリティレイヤがより低い下位の層(カーネルの レイヤ)に連携するように、基盤のOSと密に結合させる ⇒基盤にあるデータへのアクセスを制限し、データベースのレイヤの薄 さを保持し、NoSQLの分析能力を維持するために、欠損したロールベー スのアクセス制御(RBAC)を強制することを保証する。 • 暗号化ソリューションの導入 暗号化ソリューションの導入: ソリューション -Hadoopにより、ファイルのレイヤの暗号化を導入 19 ⇒動的データの取り扱いやインメモリでの処理に対する需要が増大

[References] • [1] I.Roy, S.T.Setty, A. Kilzer, V. Shmatikov and E. Witchel, “Airavat: security and privacy for MapReduce” in USENIX conference on Networked systems design and implementation, pp 20-20, 2010. • [2] L.Okman, N.Gal-Oz, Y Gonen, E.Gudes and J.Abramov, “Security Issues in NoSQL Databases” in TrustCom IEEE Conference on International Conference on Trust, Security and Privacy in Computing and Communications, pp 541-547, 2011. • [3] Srini Penchikala, “Virtual Panel: Security Considerations in Accessing NoSQL Databases”, Nov.2011. • [4] B.Sullivan, “NoSQL, But Even Less Security”, 2011. • [5] E.Chickowski, “Does NoSQL Mean No Security?”, Jan.2011. • [6] K.Ding and W.Huang, “NoSQL, No Injection!?” in Def Con 18 Hacking Conference, Jul.-Aug. 2010. 20

Add a comment

Related presentations

Related pages

Cloud Security Alliance

February 12, 2016. Cloud Security Alliance APAC Summit 2016 Set to Open for CloudAsia. Cloud Security Alliance and Infocomm Development Authority (IDA ...
Read more

Privacy Level Agreement : Cloud Security Alliance

... smart cities, big data, mobile applications, ... November 18, 2014 : ... (CSA) Privacy Level Agreement ...
Read more

CSA | Council of School Supervisors & Administrators

Council of School Supervisors & Administrators ... Upcoming ELI Workshops ... Retiree Chapter CSA Welfare Funds ...
Read more

Indigo Chapters - Canada's Biggest Bookstore: Buy Books ...

Canadians buy their books at Chapters and Indigo, the biggest bookstores with locations across Canada including Toronto, Vancouver, Montreal, Calgary ...
Read more

Google

Advertising Programmes Business Solutions +Google About Google Google.com © 2016 - Privacy - Terms ...
Read more

ISDA - International Swaps and Derivatives Association, Inc.

February 1, 2016 ISDA ... 2014 ISDA Credit Derivatives Definitions. ... International Swaps and Derivatives Association, Inc.
Read more

List of Events - ESA Conference Bureau - Home

... 19 February, ESA-ESTEC, ... Conference on Big Data from Space ... 3rd ESA workshop on Digital Signal Processing for Space Applications.
Read more

CODATA, The Committee on Data for Science and Technology

... Committee on Data for Science and ... Japan: Data Citation Workshop 2015; ... to Curriculum Development for Research Data Handling, 25 February, ...
Read more