セキュリティインシデント演習の効果を高めるためのポイントと実例

Transcript

1. ふみふみ@ゆるふわCIO候補(仮) セキュリティインシデント演習の 効果を高めるためのポイントと実例

2. アジェンダ 自己紹介・本日のテーマ 1. インシデント演習とは？ 2. 演習を実施する上でのポイント 3. 弊社の演習と課題感 4. 課題への解決方法

   5. まとめ 6.

3. - 3 - プロフィール 名前：ふみふみ＠ゆるふわCIO候補（仮） 趣味：漫画・アニメ 　　　ファッション・コスメ 　　　ダーツ・バレーボール・サイクリング 特技：即決力（嫁と家は1日で決めた）

4. - 4 - 職務経歴 1社目 50人くらいのWeb制作 PG/営業 2社目 大手ソシャゲ 社内SE/CS/QA

   総務/情シスサポート 3社目 80人くらいのWeb制作 PG/社内SE 4社目 Fintech 情シス グループリーダー ←いまここ

5. 本日のテーマ・ゴール

6. 本日のテーマ - 6 - セキュリティインシデント演習 　　　　　　　できていますか？ 効果的に

7. 本日のテーマ：主な対象者 - 7 - 1 セキュリティ専門部署ない・専任者がいない 2 ISMS等の関係でインシデント演習をやっているが どんな風にやったら効果が出るか分からない 3

   他社でやっているインシデント演習を参考にしたい

8. 本日のテーマ：ゴール - 8 - 1 当たり前なことの再確認 2 Fintech企業で実施している演習を知る 3 本番に活かすためのポイントと気付き

9. インシデント演習とは？

10. インシデント演習とは？ - 10 - インシデントの発生と対応を擬似的に再現し などを確認し、対策していく為のもの （≒ 防災訓練） 対応力・体制・ギャップ・リスク

11. インシデ ント 演習とは？：演習の種類 - 11 - 討論 中心のもの 机上演習、セミナー、ワークショップ、ゲーム オペレーション

    中心のもの 訓練（ドリル）、機能演習、総合演習

12. インシデント 演習とは？：その他の診断・テスト インシデント演習 （サイバー演習） シナリオに沿って擬似的にインシデント発生時の 対応フローやリスクなどを確認する。包括的な呼称 脆弱性診断 システムや開発したアプリケーションに対して 攻撃の侵入口となる脆弱性を網羅的に検出する ペネトレーション

    テスト システムや開発したアプリケーションに対して 実際に攻撃が可能なのか検証する侵入テスト - 12 - 出典：GMOサイバーセキュリティ by イエラエ株式会社 【脆弱性診断・ペネトレーションテスト】

13. インシデント 演習とは？：ペネトレ細分化 公開情報を利用 した攻撃シナリオ OSINTにてアタックサーフェスを探し、システム へ侵入可能か検証。外部ペネトレーションテスト 標的型 攻撃シナリオ 疑似的なマルウェアなどに感染や内部犯などを 想定した調査。内部ペネトレーションテスト

    レッドチーム 演習 Web・フィッシング・無線AP・物理侵入、 漏洩情報など様々な侵入手法による攻撃演習 - 13 - 出典：GMOサイバーセキュリティ by イエラエ株式会社 【脆弱性診断・ペネトレーションテスト】

14. 演習を実施する上での ポイント

15. 演習を実施する上でのポイント① - 15 - 演習の を正しく設定する 目的・スコープ

16. 演習のポイント①：目的を明確にする 例1 インシデント発生時の対応フローを確認する （いつ・だれが・どこに・なにする） - 16 - 例2 インシデントが組織にもたらす リスクの全体像についての理解を促進する

    例3 前回の課題が改善されたかを確認する （PDCAを回していく）

17. 演習のポイント①：ス コープを明確にする 例1 CSIRT・セキュリティ・情シス向け （対応計画、セキュリティリスクの再確認など） - 17 - 例2 経営層向け

    （セキュリティリスクの理解、経営判断の向上など） 例3 全社向け （組織内連携、外部報告のフロー確認など）

18. 演習を実施する上でのポイント② - 18 - 演習だけで終わらせず を構築していく 本番時に活用できる運用

19. 1 2 3 4 5 演習の ポイント②：演習だけで終わらせない - 19 -

    報告時のフローなど属人化してない？ インシデント発生時に何見れば良い？ インシデント発生時にやることは明確？ 資料は誰が見ても理解できる？ 過去の課題や改善状況は確認できてる？

20. 演習を実施する上でのポイント③ - 20 - 演習後は必ず 　　　　を実施し 次回に向けて 　　　　　 していく 改善

    評価

21. 演 習の ポイント③：評価と改善 - 21 - 良かった点、改善された点、反省点 参加者が変わればまた違った点が必ず出てくる 前回なかった視点、気付きなども出てくる 反省点は次回に向けて改善していく

    工夫でカバーできるものもある 技術的に投資して対応した方がいいものもある

22. 弊社の演習と課題感

23. なるものを実施している 弊社の演習 - 23 - 分野横断的演習

24. 弊社の演習：分野横断的演習とは？ NISC + 所管省庁 重要インフラ事業者等が対象 情報通信、金融、クレジット、電力等の14分野 机上演習 集合会場 or 自職場

    演習シナリオ（ベースシナリオ）が用意されている 経営層の参画、サプライチェーンリスク対策 経営判断を伴うインシデント対応を想定 - 24 - 出典：NISC 【2023年度 分野横断的演習の実施結果について】

25. 弊社の演習：演習の概要 ベースシナリオを元に個別シナリオを作成 ベースシナリオは、日本クレジット協会から 個別シナリオは、セキュリティ部署と情シスにて作成 オフィス（対面） + Zoomのハイブリット 役割が事前に割り当てている 進行役・記録役・外部連絡責任者・報告書作成者など Slack上でシナリオ進行

    + 状況付与 - 25 -

26. 弊社の演習：シナリオこんな感じ - 26 - ベースシナリオ 最近のサイバー攻撃事案が基 重要インフラ（自社サービス等）の停止 状況付与のタイミングなどが指定 2020： VPN脆弱性による社内システム停止

    DDoS攻撃によるサービス障害 2021 ~ 2023： ランサムウェア感染 + サービス停止

27. ルールやガイドラインは明文化されているが 誰が何をすればいいのか 課題感 - 27 - 属人化していて不明瞭...

28. 課題感：もちろん... - 28 - インシデント発生時のガイドラインやルールはある ISMS / PCI DSS取得してるので色々ある エスカレーションガイドライン

    緊急連絡先一覧 etc,,, 親会社もあるよ 親会社への報告基準・ルール それに沿って対応はしている

29. 弊社の課題：ガイドラインあっても... 課題感 ガイドライン等は明文化されているが実務的ではない 全体的なタスク一覧や対応手順が不明瞭... 課題1 抜け漏れないかが属人的でわからない （ある程度やることも流れも分かるんだけど...） 課題2 判断基準があいまい （顧客への連携は？外部への公表は？）

    課題3 どのドキュメントを見にいけばいいかあいまい （ちゃんと把握してるのはセキュリティ部署くらい...） - 29 - その結果...

30. 課題への解決方法

31. インシデント対応における 　　　　　　　　 と を作成した 解決方法 - 31 - 管理シート 参照用wiki

32. 解決方法：作成における補足 - 32 - JPCERTなどを参考にしながら... 自社のガイドライン・ルールに合わせて作成 汎用的に使えるように... テンプレートとして作成 実際に綺麗に作成してくれたのは... セキュリティ部署の新メンバー

    （随時アプデ）

33. 解決方法：網羅的な管理シートの作成 簡易手順・やることリスト インシデントハンドリング フロー図 役割一覧表 対応文書早見表 主管部署 / 対策本部 /

    部署別 / 連絡者 手順 カード番号漏洩 重点チェック項目早見表 - 33 -

34. 解決方法：簡易手順・やることリスト - 34 -

35. 解決方法：インシデントハンドリング フロー図 - 35 - 出典：JPCERT/CC 【インシデントハンドリングマニュアル】

36. 解決方法：インシデントハンドリング フロー図 - 36 -

37. 解決方法：役割一覧表 - 37 -

38. 解決方法：組織別 簡易対応手順 - 38 -

39. 解決方法：参照用WIKIの拡充 - 39 - インシデント発生時の初動対応の要点など 訓練時のPointなども記載 管理シートなどの参考資料として 全体像把握や勉強会用の読み物的な資料

40. まとめ

41. - 41 - 1 演習の目的・スコープを明確にしよう 2 3 演習内容を評価して改善を繰り返そう 本番時に活用できる運用を構築しよう まとめ

42. APPENDIX：色んな企業の演習事例 Sansan 1. ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 　Sansanが本当にやった“何でも アリ”なセキュリティ演習 a. freee 2. 自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏「従業員はトラウ

    マに」 a. 本当に怖い障害訓練、犯人はfreeeの中にいる！？ b. クラウドネイティブ 3. インシデント対応訓練をおこないましたよー a. - 42 -

43. APPENDIX：内容の参照元 JPCERT/CC 1. CSIRTマテリアル付録 インシデント対応演習プログラム a. インシデントハンドリングマニュアル b. NISC 内閣サイバーセキュリティセンター

    2. 2023年度 分野横断的演習の実施結果について a. 「重要インフラのサイバーセキュリティに係る行動計画」の概要 b. GMOサイバーセキュリティ by イエラエ株式会社 3. 脆弱性診断・ペネトレーションテスト a. レッドチーム演習 b. OSINT (Open Source Intelligence)とは？ c. - 43 -

44. ご静聴 ありがとうございました