Upgrade to Pro — share decks privately, control downloads, hide ads and more …

マネーフォワード プロテクテッドワークスペース(MF PWS)

Ichikawa Takashi
March 09, 2017
1k

マネーフォワード プロテクテッドワークスペース(MF PWS)

Security Days Spring 2017
#SecurityDays

Ichikawa Takashi

March 09, 2017
Tweet

Transcript

  1. Agenda © Money Forward,Inc. 2 1 自己紹介・会社紹介 2 本日の目的 MF

    PWS に取り組んだ背景 3 4 5 MF PWS プロテクテッドワークスペースとは 運用・評価・強化
  2. 自己紹介 3 市川貴志(いちかわたかし) 取締役 CISO最高情報セキュリティ責任者 https://www.wantedly.com/users/995  辻調グループ・フランス校卒業。西洋料理の本場でフ ランス料理を学び、Lyon郊外の二つ星レストランに て研修を受ける。

     2000年 マネックス証券株式会社入社、調理業界で の知識を活かし、株式取引システムインフラの開発・ 運用・PM業務を担当。  2008年 マネックスグループに転籍。子会社のシス テム統合などを担当。  2010年 大手金融システム開発会社にて、オンライ ン為替証拠金取引サイトの新規構築にインフラ担当の 責任者として参画。  2012年 株式会社マネーフォワードでシステムイン フラ・セキュリティ部門を担当(CISO)現在に至る。 © Money Forward,Inc.
  3. 2015年12月: マネーフォワードが、Google Playのトップデベロッパーに認定 2015年12月: 日本で唯一のRuby on Railsコミッター 兼 Rubyコミッター 松田明氏がマネーフォワード技術顧問に就任

    2015年12月:「第1回 Ruby biz グランプリ」にて特別賞を受賞 2016年2月 : 日本初のフルタイムのRubyコミッター職というポジションを設置 技術への貢献
  4. 「1日1回、体重計に乗るようにお金のヘルスチェックが習慣化しました」 ▪金山 亜衣さん (会社員) ・今までお金の管理に無頓着だった私でも継続できている唯一のアプリです。 ・管理と言っても「見るだけ」ですべての出入金が分かるのが継続の理由です。 ・自分の資産を可視化するだけで節約癖が身につきました。 ・マネーフォワードの利用をきっかけに、資産運用にもチャレンジできました。 「支出の内訳が大きく変化、家計簿の質と生活の質の両方が向上しました」 ▪三村

    啓さん (保険会社勤務) ・現金払い以外は自動で支出が可視化されるので手間いらずで本当に楽になりました。 ・リアルタイムで入出金が更新されることで、普段の買い物での意識が代わり、本当に必要なもの を買うようになり、生活の質が向上しました。 ・今の楽しみは、マネーフォワードで増えた分の貯金でピアノを買うことです。 「生活水準を維持し、1年間で数十万円というレベルで節約ができました」 ▪藤川 圭介さん (情報サービス会社勤務) ・クレジットカードや銀行口座の引き落としなどが自動的入力されることに一番感動しました。 ・お金の流れを可視化したことで、必要のない支払いに気付くことができました。 ・少しずつ意識が変わり、1年間で数十万というレベルで節約できましたね。 マネーフォワードで「お金のレコーディングダイエット」。家計簿の本来の目的、 「お金の管理」をサポート。 利用者からの声
  5. 職業 年収 資産 300万円未満 31% ~499万円 28% ~699万円 16% ~999万円

    11% 1000万円以上 11% 年代 20代 29% 10代以下 3% 30代 31% 40代 21% 50代 11% 60代以上 5% 未既婚 独身 45% 既婚 子供なし 16% 既婚 子供あり 39% 会社員 54% 6% 主婦・主夫 18% 学生 18% その他 無職 3% 1~49万円未満 24% 50~99万円 23% 300~999万円 21% 1,000~ 1,499万円 1,500~5,000万円 100~299万円 16% 5,000~9,999万円 1% 1億円以上 1% 9% 5% 8% 自営業 ※2015年12月末時点、マネーフォワード調べ 利用者属性
  6. 本日の目的 19 © Money Forward,Inc. 対象者 情報システム部門のセキュリティ担当者、ユーザー向けサービ ス顧客情報保護の担当者 漏洩対策の対象 社内端末や内部ネットワークからの漏洩対策(外部ネットワー

    クからの攻撃は対象外) 既存課題・本日の目的 各種対策をしても、情報漏洩事件は発生している ネット上に流れる事件を参考にすると、特に内部ネットワーク からの漏洩が多く、最近は標的型攻撃も増えてきている マネーフォワードがどのような対策を取っているか 情報の提供をするので持ち帰って欲しい点と、 可能であれば、本日のフィードバックをいただきたい。
  7. 一般的な、PC・端末関連のセキュリティ強化施策 22 © Money Forward,Inc. デバイス制御、印刷制御 USBメモリなどで、PC内のデータを持ち出すことが出来ないようにす る ネットワーク制御、ウェブアクセス制御 PC内のデータをインターネットに持ち出すことが出来ないようにする

    端末類(BYOD含む)の業務ネットワークへの持込制御 社内ネットワークは神聖なものであり、会社管理外機器の接続を制御 し、不正ツールの持ち込みや、データの持ち出しが出来ないようにす る ローカルPCの管理者権限の制御 PCにインストールするツールは、会社で決めたアプリケーションのみ とし、情報システム部門が管理できないものはどのような漏洩リスク に繋がるか管理できないためインストールできないようにする
  8. 一般的な、PC・端末関連のセキュリティ強化施策 23 © Money Forward,Inc. 物理入室制御 重要なデータはネットワークごと分けて、物理的に隔離された部屋で 入室を制御することで、データを外に持ち出すことが出来ないように する 操作ログ取得、監査

    不正利用があった場合に検知できるようにする。また、その運用が抑 止にも繋がる 一括管理、ポリシー制御 ウィルス対策ソフトやOSのアップデートなどを漏れなく適用したり、 利用者の判断でとめることが出来ないようにすることで端末を管理す る
  9. どのような課題に取り組んでいく必要があるか 24 © Money Forward,Inc. ・ウェブアクセス制限やネットワークの 分離も、「業務を成り立たせるため」 に何らかの抜け穴がある場合が多い ・「操作ログの取得はしている」例は多 いが、「しっかりと検知できるような

    運用」を実施しているところは少ない ・やればやるほど、業務観点の生産性は 落ちる。また、その一方でどこまで やっても確実とは言えない ここまでの施策は、基本的に対応することで一定の効果はあるが、 それだけでは不十分で、乗り越えられる事件をニュースで見る
  10. どのような課題に取り組んでいく必要があるか 25 © Money Forward,Inc. ・昨今の標的型攻撃の事例を確認すると、 巧妙に作成された業務メールの添付形 式のものが多い ・自分で見ても「これは開いてしまう人 も多いだろう・・」と感じるものもあ

    り、従業員への教育で対応するのは非 現実的 ・基本的な対応は一通りしたうえで、 「乗っ取られても大丈夫な仕組み」を 構築する必要があると考えた また、内部対策としては「標的型攻撃」も考慮とし、リモートか ら従業員PCを乗っ取られたことも想定する必要が出てきた
  11. どのような方針で進むか 27 © Money Forward,Inc. 作業効率性を下げて もっと、硬くする もっとお金をかけ 新たな製品を探す 自社なりの工夫を

    もっとする 一定の防御対策の後は 検知の強化に注力する スコープを 見直す 取り組まなければいけない課題は難しく、各社が対応に苦労をし ている
  12. 改めて、マネーフォワードが保有するデータとは 30 © Money Forward,Inc. 大量の個人・法人のお金に関する口座履歴情報を保有 2,000サイト以上の銀行等の接続先と連携し、銀行の入出金履歴等の 情報を自動で取得し保管している 同様に、ECサイトの購買履歴情報も保有 Amazon/RakutenなどのECサイトの購買履歴も保管

    大量の重要なデータ マネーフォワードの450万人の入出金や購買履歴に関するデータを、 DB上に92億件(2017年3月現在)保管しており、マネーフォワード のサービスにかかわるユーザーのデータを重要なデータと位置づけて いる 何があろうと、このデータを漏洩させることがあってはならない
  13. 改めて、マネーフォワードが保有するデータとは 31 © Money Forward,Inc. 重要なデータを守るため 自社で各プロダクトを組み合わせ「MF PWS」を運用 プライバシーマーク、ISMSの取得 登録番号

    第10824444号 認定機関 一般財団法人日本情報経済社会推進協会(JIPDEC) 有効期間 2017/1/4より2年間 登録事業者 株式会社 マネーフォワード 登録証番号 JQA-IM1340 認証規約 ISO/IEC 27001:2013、JIS Q 27001:2014 認証機関 一般財団法人日本情報経済社会推進協会 登録日 2015年10月30日 有効期限 2018年10月29日 登録活動範囲 自社が提供するクラウド型サービスの監視業務
  14. 目的を達成するための環境とは 32 © Money Forward,Inc. ・ローカルPCから、重要なデータを扱 う業務Webにはアクセスできない ・マーケティング部門のメール配信シス テムにアクセスできない ・ファイルサーバーにアクセスできても、

    重要な情報は保存されていない ・CS業務で利用する、顧客対応履歴シ ステムもアクセスできない ・つまり、仕事にならないが、そうすれ ば、漏れようもない 乗っ取られたとしても、その端末から直接重要な情報にアクセス が出来なければ、被害は限定的になるはず 重要情報は無い
  15. 目的を達成するための環境とは 33 © Money Forward,Inc. ・管理ウェブから顧客の管理情報の変更 を行う ・大量なメールアドレスを取り扱い、プ ロモーション配信設定を行う ・顧客対応履歴が保存されているファイ

    ルが、MF PWS内のファイルサーバー にしかない ・「MF PWS内において、ある特定の 業務が完結するようにしておく」 逆に、MF PWSでは「その環境しか出来ない」業務が出来る環境 にする
  16. 目的を達成するための環境 34 © Money Forward,Inc. 改めてローカルで出来ること、MF PWSで出来ることをまとめる とこのようになる ▪ローカルPC ・メール、チャットなど主要なインター

    ネット接続がある ・不特定多数の外部からの情報を受信す る可能性がある ・SNS Twitter など、業務上必要なサイ トへのアクセスも出来る ・重要なデータを取り扱う業務はローカ ルではやらない
  17. 目的を達成するための環境 35 © Money Forward,Inc. 改めてローカルで出来ること、MF PWSで出来ることをまとめる とこのようになる ▪MF PWS

    の各環境のPC ・インターネットには繋がらない ・社内のファイルサーバーにも繋がらな い ・業務ごと、例えばCS業務を行う専用 のPWSでは、対応履歴と、対応ツール (一部インターネットのクラウドサー ビス)を利用することが出来る ・その業務以外は一切成り立たないよう な閉ざされた環境
  18. 目的を達成するための環境 36 © Money Forward,Inc. ローカルからMF PWS へのログインは画面転送型のプロトコルで 接続し、リモート操作を行う。 ・ネットワーク経由でローカルから接続

    ・ルーティング、ポートフォワードさせない ・画面転送型で「操作するだけ」※超重要※ ・2つのネットワークが繋がることが無い構成 ・認証を2FAに、とても堅牢にする ・入り口は「1点のみ」に絞る
  19. 目的を達成するための環境 37 © Money Forward,Inc. 重要性、及び業務ごとに、PWS環境を用意し、他との相互影響が 無いようにする(レベルC※ 以上は MF PWS

    を利用) 利用者 環境 業務 環境 取り扱う データ 重要 レベル 全従業員 日常メール チャット ローカルPC メール データ E 開発 Mac環境 開発 ローカルPC ソース コード D CS 環境 カスタマー サポート PWS CS用 問い合わせ 回答 B 営業 環境 Salesforce PWS 営業用 法人 顧客情報 B マーケティ ング メール配信 PWS メール用 メール アドレス C サービス 保守環境 マネーフォ ワード PWS 保守用 大量 顧客データ A ※ この重要度はイメージであり、社内で利用しているレベルとは異なる
  20. 目的を達成するための環境とは 38 © Money Forward,Inc. サービス メンテナンス 顧客対応 業務 ローカルPCでの

    作業から データ分析 業務 メール配信 業務 各PWSに、いかにシームレスに接続しストレスなく利用出来、 かつ、ネットワークを切り離し、情報の行き来を断絶させるか そこがポイント 営業 ツール
  21. • 操作履歴 • テキスト操作、GUI操作で行った内容を記録 • GUIも含めて、自動で監査・評価するのは難しい • 一定期間、操作ログを保管 • 自動検知

    • OSの利用状況やネットワーク利用状況をロギング • 自動で、Graylog等を利用して可視化、SIEMに連携 • 不正の可能性がある(閾値超え)とリアルタイムでチャット通知 • 個人情報検知ツール • クリップボードに個人情報が乗ると、こちらもチャット通知 監査・証跡・ログなど
  22. • セキュリティを押し付けすぎない • まず、自分たちで MF PWS に乗せる業務をやってみる • 場合によっては、業務フローも変えながら、運用できる状態で展 開する

    • 押し付けすぎて、結局裏口が開くのは本末転倒 • 各PWSを混ぜすぎない • メールが送信でき、分析ができ、営業ツールが使え、あれもこれ もアクセスできるようにすると、結局「何でも出来る環境」に近 づいてしまい、効果が薄くなる • また、同じ理由で、「ローカルPCで実施する業務はローカルでや る」何でもかんでもMF PWS内に持ち込んではいけない • 最小限の業務単位のMF PWSが用途ごとに複数存在する状態 運用・評価・強化
  23. • ペネトレーションテストを実施する • 設計どおりに防御が出来るか専門の技術者に診断してもらう • 概ね、いろいろな課題が可視化されると思う • 「入り口は1点だけ」にしたつもりだが「本当にそうか」 • 何度も対策とテストを重ねて「これで間違いない」という状

    態にする • データの重要度に応じて • ペネトレーションテストの結果も踏まえて、強化を進める • ただし、強化すればするほど、利便性が落ちることが多い • そのため、PWSは用途ごと、データの重要度に分けて、重 要なものほど、より高いセキュリティレベルを適用して運用 する 運用・評価・強化
  24. • ユーザーの権限 • ローカル開発環境においても、必要最小限の権限しか割り当て ない基本的な対応 • ポリシー適用 • 起動サービスやポート、ローカルFireWallの強化 •

    Proxy経由でウェブアクセスを行うことで、通信管理やログの 一元管理、有事の際の早急な対応や調査が出来るように • 物理アクセス管理 • 入退出や無線LANアクセス、物理LANアクセスの管理を行う • ローカルPCやネットワークが出来るだけ攻撃の起点にならな いような対応実施 関連施策:業務NW・PC、ローカル環境でも基本的な対応
  25. • ミドルウェアの一括バージョンアップ • Itamaeや自社作成の”シェフ”スクリプトでRubyやOpenSSL など脆弱性が発見された場合に、即バージョンアップ • セキュリティパッチ・ソース公開から1.5日で全サーバに適用 • ServerSpecでインフラテストも自動化 •

    サーバー単位で通信制御 • サービス用のサーバー間プロセス通信でも必要最低限の通信し か出来ないように、iptables等の通信制御を行う • サービス内部ネットワークに侵入されても、重要なデータにた どり着けないよう、多段のWallを作っておく • セキュリティ的に説明しやすいネットワーク図をきれいに作っ ても、「実は保守LANのインターフェースは全部アクセスでき てしまう」構成はNG 関連施策:サービス用サーバーを一元管理
  26. セキュリティ 50 「 CISO とは 」 「 自社サービスに特化したブレーキそのもの 」 である

    「 単に減速するだけでは、勝てない 」 © Money Forward,Inc.