「サニタイザー」に関心を持っていただいた自治体の方へ(平成29年8月21日更新)

CIO Contribution Sanitizer

この記事について

この記事の初出は、2016年9月14日です。その後サニタイザーも機能改善を繰り返し、初出当時の情報とは異なる部分もあります。

可能な限り修正していますが、動画等、修正が困難(面倒)なものについては、補足を記述しております。併せてご確認ください。

 

サニタイザーのご紹介

ファイル無害化アプライアンス「サニタイザー」の操作や機能について紹介したデモ動画がありますのでご覧ください。

(補足)現在はサニタイズの制度も向上し、サニタイズ時のファイルエラーもほとんど発生しなくなりました。ODFにコンバートして回避するという手法は使われていません。

 

サニタイザーのキャンペーンサイト

全くサニタイザーのことを知らない方向けに作成したキャンペーンサイトがあります。

下記の情報と併せてご覧いただけますと幸いです。

サニタイザー:ファイル無害化、メール無害化(キャンペーンサイト)

 

サニタイザーの機能(サニタイズ)

Microsoft Officeファイル

Microsoft Office で作成できる、これらの形式のファイルからマクロを削除(サニタイズ)します。

  • Wordファイル(.doc .docx .docmなど)
  • Excelファイル(.xls .xlsx .xlsmなど)
  • PowerPointファイル(.ppt .pptx .pptmなど)

サニタイズ処理したファイルは、今までどおり Microsoft Office で読むことができ、再び Officeの形式で保存してお使いいただくこともできます。

併せて、PDF形式にも変換することで、ファイル取り込みの安全性を高めることもできます。PDFファイルはサニタイザー側の機能で閲覧可能ですので、ひとまずファイルの中身を見てみたい場合にお使いください。

なお、Ver.1.26.0 (Ver.1.24.3)から、Microsoft Accessのファイルについても対応しました。マクロやモジュールの有無を検知し、ブロックします。サニタイズは行いません。

PDFファイル

スクリプトが付加されたPDFファイルそのものから再びPDFファイルを再作成することで、PDFファイルに付加されたスクリプトを削除、無効化します。

一太郎形式ファイル

一部の官公庁、教育現場などで多く用いられている、一太郎形式ファイルのサニタイズ(マクロの削除)に対応しています。

Open Document形式ファイル

OpenDocument形式(ODF)のファイルにもそれ固有のマクロがあります。

ODFをそのまま鵜呑みにするリスクが「皆無だ」とは言えないので、ODF固有のマクロを削ぎ落とす機能を有しています。

スクリプトファイル、レジストリファイル等

Windowsで動作する、VBScriptファイル、JavaScriptファイル、レジストリファイルなどは、一般的なテキストファイルと区別がつかないため、他の無害化ソフトウェア、サニタイズソフトウェアでは通過してしまいます。

サニタイザーではこれらのファイルに「ある加工」をすることにより、庁内側に取り込んだ後でうっかりそのファイルをダブルクリックしても、起動できないようにします。この手法は人為的な事故防止のためには有効かと思います。

もちろん本当に必要なファイルの場合には、簡単に元の状態に戻すことができますので、ご安心ください。

 

サニタイザーの機能(不正ファイル検知)

ウイルスチェック機能

サニタイザーはClamAVというアンチウイルスソフトにより、ウイルスチェックを事前に行うことができます。既知のマルウェアについては有効な機能です。(連携するソリューションでアンチウイルス機能がある場合は、この機能を無効にすることもできます)

拡張子偽装への対応

サニタイザーはファイルの拡張子ではなくファイルの内部情報を走査していますので、拡張子を偽装したファイルについても検知できます。

次の動画はEXEファイルをWordのファイルのように偽装した場合の検知事例です。

不正な形式のファイルの検知

詳細はお示しできませんが、明らかに不正な形式のファイルについても検知を行います。

不正な動きをするコード、オブジェクトが埋め込まれたファイルの検知

詳細はお示しできませんが、いくつかの手法でシェルコード、埋め込みオブジェクトの検知を行ってます。一見正常そうに見えるファイルでエラーが出る場合には、何かよろしくない要因が含まれている可能性があります。

 

サニタイザーの機能(ファイルの識別)

自治体の土木部門などでやり取りされている、CADソフトウェア等のファイルについても識別できます。

CALSで使われるSFC、P21形式ファイルに対応

導入予定の団体様の要望により、CALSで使われる SFC形式、P21形式のファイルを自動判別するようにしました。(SFCはISOで定義された形式、P21は国土交通省が定めた形式です)

DWG形式ファイルのマクロの有無を判別

AutoCADのファイル形式である、DWG形式にはVBAマクロを動作させられるものがあります。そこで、DWGファイルの中身をチェックして、VBAマクロが混入されていないかを確認する機能を追加しました。

V-nas(川田テクノシステム)形式ファイル(bfo)への対応

自治体で使われている、川田テクノシステムのV-nas形式ファイルについて、識別できるようにしました。併せてマルウェア混入に関するチェックも行っています。

シェープファイル(shp, shx)への対応

CADやGISで標準的に用いられているシェープファイルについて、識別できるようにしました。

画像ファイルや特殊なソフトウェアのデータ形式を判別

画像ファイルについて、特殊な処理をしているものがありますので、その識別処理を実装しています。

既にサニタイザーを導入していただいている自治体様からの要望に応じて、特殊なソフトウェアのファイルについても、メーカーからの協力を得ながら対応しています。

特殊車両通行許可申請で使用するファイルへの対応

国土交通省の特殊車両通行許可申請システムで使用するデータファイルを識別するようになりました。特定の部署で使うファイルですが相当の件数があるようですので、対応するようにしています。

建設技術機構の地図情報ファイル(map)への対応

建設技術機構から提供される地図情報ファイルについて、先方から仕様の開示を受け、識別できるようにしました。

農畜産業振興機構(Alic)の生乳量取引システムで使用されるファイル(dat)への対応

農畜産業振興機構から提供される生乳量取引システムで使用するファイルについて、先方から仕様の開示を受け、識別できるようにしました。

介護保険指定事業者管理システム(佐賀電算センター)で使用するファイル(sdb)への対応

佐賀電算センターさんが全国の自治体向けに開発している、介護保険指定事業者管理システムで使用するファイル(sdb)について、先方から仕様の開示を受け、識別できるようにしました。もちろん不正なコードが混入しているかの検知も行います。

自動車税データファイル(J-LIS)で使用するファイル(dat)への対応

J-LISから日次で提供される自動車税データファイルについて、先方から仕様の開示を受け、識別できるようにしました。不正なコードが混入しているかの検知も行います。

サニタイザーの機能(アーカイブファイルの解凍)

メールの添付ファイル送受信で用いられることの多い、Zipファイル、LZHファイル、Cabファイルの解凍機能を有しています。

パスワード付きZipファイルのパスワード解除機能

パスワード付きZipファイルについて、サニタイザー側でパスワードを解除してサニタイズ処理を行う機能を有しています。

サニタイザー独自の機能として、あらかじめパスワードを解除してサニタイズを行うのではなく、ファイル取り込み側(output側)からパスワード解除リクエストを送信して解除することができます。

動作のイメージがわかりづらいかと思いますので、動画を載せておきます。

解凍後のファイルの自動サニタイズ機能

サニタイザーではアーカイブファイルを解凍すると、workフォルダに解凍後のファイルが配置されます。これらのファイルは、そのままサニタイズ処理をさせることができます。

他社製のシステムでも同様のことはできますが、サニタイザーは一連の処理の途中でエラーが発生した場合でも、その原因がつきとめられ、手動でサニタイズ処理ができるよう、一度目に見える形でファイルを置くようにしています。

 

サニタイザーの機能(同一ネットワーク内のファイル受け渡し)

サニタイザーは複数の利用者が同時に利用することで、利用者間のファイルの受け渡し、共有を行うことができます。(標準機能では利用者を一人だけに設定しています)

ファイル受け渡しや操作の記録は全てログに残りますので、証跡としてお使いいただくことも可能です。

Webブラウザによるドラッグ&ドロップでファイルを取り込むことができます。また、WebDAV形式に対応していますので、パソコン上に共有フォルダとしてマウント(連携)することもできます。

専用クライアントソフトを使ったフォルダ間連携

サニタイザーのWebインターフェースは ownCloudというオープンソースのファイル管理システムを採用していますが、このownCloudにはWindows、MacOS、Linuxの専用クライアントソフトがあります。

この専用クライアントソフトを使い、サニタイザーの input、output、workフォルダと庁内パソコンの特定のフォルダ、あるいは外部システムのディレクトリと同期処理を行うことができます。

動作の様子を動画にしていますので、ご覧ください。

 

サニタイザーの機能(メール無害化)

メール無害化に対応

具体的には、Maildir形式で保存されているメールサーバとサニタイザーのinputフォルダを同期することで、メールファイルから添付ファイルを抽出し、それをそのままサニタイズしてoutputフォルダへ出力することができます。(技術移転要)

詳細は、「サニタイザー」をメール無害化に使用する場合についてをご覧ください。

また動作の様子を動画にしたものも、併せてご覧ください。

 

サニタイザープロの機能(ネットワーク間のファイル受け渡し)

サニタイザーの派生製品であるサニタイザープロでは、異なるネットワーク間のファイルのやり取りも可能となります。(技術移転要)

ネットワーク間のファイル受け渡しに関する動作は下記の動画のとおり。

LDAP連携も対応していますので、庁内のActive Directory と連携して利用者情報を取り込むこともできます。(技術移転要)

 

サニタイザープロの機能(トラストパス)

公開鍵暗号(GPG)を用いたファイルの安全な受け渡し

上記の動画(Zipファイルの解凍)にもあるとおり、パスワード付きZipの運用は安全とは言い切れません。そこで、信頼する相手とファイルの暗号化を行いファイルを受け渡す仕組み「トラストパス」を組み込みました。

上記の動画を再掲します。

これはPGP暗号(GPG)を用いて、ファイルに電子署名と暗号化を施し、そのファイルをサニタイザーに送ることにより、サニタイザーが電子署名を検証し、信頼できる相手だった場合はファイルを復号化して庁内に取り込む、という仕組みです。

ファイルの無害化ではありません。あらかじめ信頼した相手からのみファイルの受け渡しを成立させますので、なりすましによるファイルの送信(標的型メールなども同じ種類の攻撃です)のリスクを低減させることができます。

なお、この機能は公開鍵の交換が必要となりますので、サニタイザーの保守契約(契約自体は既存の保守ベンダーでよろしいかと思います)が必要となります。

公開鍵暗号(マイナンバーカード)を用いたファイルの安全な受け渡し

トラストパスはマイナンバーカード(JPKI)にも対応しています。

次の動画をご覧ください。

この動画ではマイナンバーカードの中にある電子証明書を使ってファイルに電子署名を付与し、署名検証できたファイルのみを内部に取り込める仕組みを解説しています。

マイナンバーカードを普及させるひとつの取り組みとしてご検討ください。

 

サニタイザーの標準機能ではできないこと

サニタイズ機能

  • パスワード付きのファイルはサニタイズできません。しかし、設定により通過させることも、ブロックすることもできます。

ファイル受け渡し機能

  • ファイル受け渡しの際に、ユーザー間で承認させる機能はありません。(他のソリューションと組み合わせることをお勧めします)
  • 利用ユーザー情報をまとめてインポートする機能はありません。その代わりユーザ情報をまとめて登録するバッチファイルを作ることができます。(技術移転要)
    なお、LDAPとの連携ができますので、Active Directoryから利用者を取り込むことは可能です。(技術移転要)

サニタイザーの費用

自治体、教育機関等に導入する場合は、サニタイザーの製品としての価格は無料です。無償提供します。ただし、動作環境は自治体側でご準備ください。

また、製品としての動作には責任を持ちますが、保守対応をお約束するものではありません。そのため、現在お付き合いのあるベンダー様とサニタイザーの導入委託契約及び保守契約を締結することをお勧めします。

当方はベンダー様に対して、サニタイザー(サニタイザープロを含む)の導入、保守業務を遂行するための技術移転を有償で行うこととしています。(当方が過剰な利益を得ようという意思はありません。無償ボランティアで動けるほどの私的な時間が無いので、再委託を含めた費用を想定しておきたいだけです)

民間企業等に導入する場合には、販売店契約をお願いすることになります。詳細はお問い合わせ下さい。

 

動作環境

仮想サーバによるバーチャルアプライアンス方式を採用しているので、動作のためにはWindows(Serverでもパソコンでも可。ただし64ビット版OSのみ)あるいはMacOS、Linuxサーバが必要です。

または、VMWare、Hyper-V等の仮想サーバが動作する環境であれば、その中にデプロイすることも可能です。(個別対応)

 

最も簡易な構成(各端末内に配置する)

ネットワーク分割によりインターネットセグメントが庁内ネットワークから分離されると思います。サニタイザーをインターネットセグメント上の端末に配置し、直接操作をしていただくことで、サニタイズ後のファイルを端末上で取得することができます。

trans-network3

一度サニタイズしたファイルは、自治体個別の手段で庁内ネットワークに取り込むこととなります。この取り込み作業は手作業となります(自動化する場合には個別対応要)。

 

「サニタイザー」をインターネットセグメント内のサーバとして配置する

サニタイザーをインターネットセグメント内にサーバとして配置し、インターネットセグメント上の端末からブラウザ経由(あるいはWebDAV経由)でサニタイズ後のファイルを取得する形態です。

trans-network4

「サニタイザー」を異なるセグメント間でのファイル受け渡しに使用する

サニタイザーをネットワーク間のファイルの受け渡しの手段として用いることもできます。(個別対応)

その場合の考え方について、まとめておきましたのでご覧ください。

「サニタイザー」を異なるセグメント間でのファイル受け渡しに使用する場合

trans-network2

サニタイザーをメール無害化に使用する

サニタイザーをメール無害化に使用する場合の考え方についてまとめてあります。

「サニタイザー」をメール無害化に使用する場合について

具体的には、分離、抽出した添付ファイルの保存先とサニタイザーのinputフォルダを連携するか、添付ファイル保存先から自動的に当該ファイルをサニタイザーのinputフォルダにコピーする仕組みを実装すれば解決します。

 

サニタイザーを負荷分散/冗長化して使用する

サニタイザーは比較的小規模の自治体の無害化ソリューションとして位置づけているのと、サニタイザーの無害化エンジンの中で負荷を軽減する仕組みを有しているため、まだまだ縁遠いものと思っておりましたが、いよいよ都道府県レベルで導入される場面も増えてきており、きちんと負荷分散、冗長化について検討する必要が出てきました。

そこで、いくつかの負荷分散、冗長化についての案を示します。

「サニタイザー」を負荷分散/冗長化する場合の考え方

 

サニタイザーを導入するためには

サニタイザーを単体で自治体が導入するシーンは考えにくいので、まず現在お付き合いのあるベンダー、これから入札等で応札の可能性のあるベンダーに、この製品があることをお伝えください。

その上でベンダーから当方に問い合わせ、相談の連絡をするようにさせてください。(連絡先は下記に示します)

自治体側の事情でベンダーを介さずに直接導入したい場合、まずは詳しい話を聞きたいという場合には、個別にお時間をとってご説明することもできます。ただし現在の私は多忙を極めている状況なので、日程や手段、費用については調整させてください。

導入の方針が固まった場合は、ファイル無害化対応の状況について問い合わせの際に「対応可能」とお答えいただいて差し支えありません。

連絡先メールアドレス: sanitizer.japan[at]gmail.com

フリーメールで申し訳ありません。現在所属しているところのメールアドレスは、今のところ使わないでおこうと考えております。[at]の部分は@に置き換えてメールしてください。

 

サニタイザー評価版

サニタイザーをとりあえず使ってみたいという方向けに、評価版のセットアップ方法を下記に示します。なお、「評価版」としていますが、単独のパソコンの中でご利用いただくのであれば、このまま利用することもできます。

「サニタイザー」評価版セットアップの手順

また、要望にお応えして、ネットワーク間のファイル受け渡しを実現するサニタイザープロも(不定期ですが)評価版としてリリースしています。ただし、サニタイザープロは個別対応(技術移転)が必要となります。

「サニタイザープロ」評価版セットアップの手順

蛇足:本件における川口の立場は

いくつかのメディアに採り上げられる関係で、もしや誤解を与えそうな気がするので補足(蛇足)しておきます。

私は複数の行政機関に所属しておりますが、常勤雇用されている立場ではないため、地方公務員法に基づく兼業規制を受けていません。(職務専念義務はあります)

そのため事業主体として振る舞うこともできるのですが、今回は特にそれを望んでいません。どちらかというと万策尽きそうな自治体に対して、何らかの解決策を示して助けたいという思いのほうが強いです。

そのため無償提供であることが基本なのですが、一方で自治体の立場では「無償の製品=無責任」と受けとめられるのも事実です。そこで相応の責任を引き受けるためのコストを保守費用として計上していただくことを考えた次第です。普段お付き合いのあるベンダーが保守を引き受けられるのならば、その方が望ましいので、ご相談の際にはそれが実現できるような方法もお話させていただきます。

また、私が現在所属している機関がこの「サニタイザー」を採用するかは未定です。本件は私的な活動であるため、所属機関とは一定の距離をとっています。製品採用を働きかけることは一切していません。(もちろん採用してもらえると嬉しいですが、その場合も直接取り引きをすることはないと思います)

 

サニタイザーの機能に関するFAQ

サニタイザーの機能やその他の事項について、お問合わせが多く寄せられているので、FAQを用意することにしました。

FAQの内容は随時追加していきます。

「サニタイザー」の機能に関するFAQ

 

サニタイザーの導入に関するFAQ(ベンダーさま向け)

サニタイザーに関するベンダーさまからの問い合わせも増えてきましたので、FAQを用意しました。

内容は随時追加していきます。

「サニタイザー」の導入に関するFAQ(ベンダーさま向け)

 


« »