東京大学における不正アクセス対策 東京大学 情報基盤センター 中山雅哉 2000年4月18日 概要 • • • • 東京大学の環境について 学内ネットワークの管理体制 不正アクセス等の動向 セキュリティ対策の体制整備について 東京大学の構成概要 • 組織構成:(1999年4月1日現在) – – – – – 附属図書館 大学院研究科 附置研究所 全国共同利用施設 学内共同利用教育・研究施設等 1 13 11 4 19 これらの組織(部局)が、8つのキャンパスと40を超える 遠隔研究施設等に分散している 東京大学関連施設の分布 http://www.u-tokyo.ac.jp/outline/p50.htm より 学内ネットワーク(UTnet)の変遷 • UTnet1(1990-1992) – 各キャンパスの建物をFDDIで接続 – 事務用、IP用、マルチプロトコル用に分離 • UTnet2(1996) – 複数のエリア基幹FDDIネットワークとそれを 相互接続する主基幹FDDIネットワークで構成 – ATMネットワークを別に構築 学内ネットワーク(UTnet) SINET WIDE/IMnet 本郷 遠隔研究施設 INS他 駒場1 文科系 駒場2 麻布 白金 本部・医・理学系 中野 柏 工学系 弥生 浅野 2000/04/18 現在 UTnetの構成 • 基幹ネットワーク – 各キャンパスを相互接続するネットワーク – キャンパス内で建物間を接続するネットワーク – 遠隔研究施設を接続する本郷側装置 • 支線ネットワーク – 建物内のネットワーク – 遠隔研究施設のネットワーク ネットワーク機器は、支線ネットワークに接続される UTnetの運用管理体制 (1993年4月1日~1999年3月31日) • 基幹ネットワーク – 大型計算機センターで運用・管理 • 支線ネットワーク – 各部局で運用・管理 • 部局管理者: 支線ネットワークの運用・管理を総括 部局長 • 部局担当者: 部局管理者を補佐する [実質的な支線ネットワーク管理者] • 設置責任者: 接続ネットワーク機器の管理責任者 本学の教職員 95/02 95/05 95/08 95/11 96/02 96/05 96/09 96/12 97/03 97/08 97/11 98/02 98/05 98/08 98/11 99/02 99/05 99/08 99/11 00/02 UTnetに接続されたホスト数の変化 (正引きDNSによる調査) 30000 25000 20000 15000 10000 5000 0 6000- 4000- 2000- 900- 700- 500- 300- 100- 81- 61- 41- 21- 1- 接続ホスト数の部局別分布 10 8 6 4 2 0 2000/01 調査 UTnetでの運用管理について • 基幹ネットワークの運用管理 – 初期の頃から、安定したネットワーク接続性確保に重 点が置かれており、国際回線を含めた対外接続でも 透過なネットワーク接続性が望まれていた。 • 支線ネットワークの運用管理 – 接続機器の管理を含め、当初は学生や教官によるボ ランティア主体であった。 一部の部局では、外部に 業務委託しているケースもある。 学内ネットワークのセキュリティ対策については 数年前まで、あまり意識されていなかった 不正アクセスの事例と対策 • ユーザアカウントの不正利用 – パスワードクラック – ネットワークスニファ ユーザ教育の実施 支線ネットワークのSW化、OTPの導入推奨 • 計算機の不正利用 – 踏み台 – 3rd party relay OSのセキュリティ対策の啓蒙 不要サービスの停止、relay 機能の停止 • 計算機へのDoS攻撃 – smurf 該当アドレスの ICMP をフィルタ ルータでの directed broadcast の廃棄 不正アクセス等の動向 • postmaster などへの報告事例 – 3rd party relay の報告がほとんど 70 60 40 30 20 10 00/04 00/01 99/10 99/07 99/04 99/01 98/10 98/07 98/04 98/01 97/10 0 97/07 ホスト数 50 不正アクセス等への対応 • 1997~1998年 – ネットワーク管理者に学外などから連絡があった場合、 該当する機器の管理者と連絡をとり、適切な対策を施 すことができる部局の担当者に依頼して対策する方法 • 1999年~ – 部局の担当者に依頼すると共に、状況を確認後、被害 軽減のために対外ルータで該当機器に対するフィルタ 措置を実施 – 部局からの依頼に応じ、商用ソフトなどを用いたセキュ リティ診断を開始 – 学内ホストの事前 3rd party relay チェックと対策 依頼 学内での不正アクセス対策例 • 基幹ネットワークのルータによるパケットフィルタ の設定 • 支線ネットワークでの firewall の設置 • 外部組織によるセキュリティ監査の導入 • 登録MACアドレスだけを接続許可する方式 … セキュリティ対策の体制整備 (1) • 全学的組織の整備について – 高速計算機委員会(全学委員会)のもとに「セキュリ ティ対策検討小委員会」を設置。学内体制とガイドライ ンについて検討 [1998~1999] – 高速計算機委員会が廃止され、「東京大学情報委員 会」が設置される [1999] (現在、セキュリティ対策 検討小委員会の報告書を受けて、学内体制の整備に ついて準備が進められている) セキュリティ対策の体制整備 (2) • 学内セキュリティ対策支援部門の組織化 – 大型計算機センターが教育用計算機センターなどと 統合され、「情報基盤センター」が発足した [1999]。 学内共同利用部門のキャンパスネットワーキング部 に「分散システムセキュリティ支援掛」が設置される • (学内向けの)セキュリティ関連講習会の実施 • 依頼のあった部局に対するセキュリティ診断の実施 • セキュリティ関連情報の提供/技術支援 など 全学的セキュリティ対策組織の現状 • 情報委員会(規則は1999年11月16日施行) – 情報基盤専門委員会 – 情報政策専門委員会 • 東京大学のセキュリティポリシーの策定 – 情報ネットワークシステム専門委員会 • 従来の UTnet 運営委員会に相当 • UT-CERT/CC を設置 情報委員会 報告 部局長 情報交換 情報ネットワークシステム専門委員会 指示 報告 部局等ネットワーク委員会 指示 報告 指示 報告 情報交換 UT-CERT/CC 部局等 CERT 専攻等ネットワーク委員会 情報交換 情報交換 専攻等 CERT *専攻等ネットワーク委員会 専攻等 CERT は、必要に応じて設置 UT-CERT構想(案) UTnet 運用規則の一部改正 • 運用管理責任区分の明確化 (3条) – (情報基盤センターの業務は内規で規程) – 部局管理者からの支線ネットワークへの接続 機器の変更等についての大型計算機センター への報告廃止 (旧5条、新6条) • 利用範囲における迷惑行為の禁止付加 (旧7条、新5条) • 設置責任者のネットワーク機器、利用者の 運用管理責任の重点化 (8条) 2000/04/18 施行予定
© Copyright 2024 ExpyDoc
