$30 off During Our Annual Pro Sale. View Details »

LayerXとMDMのリスク評価と年次対応の実例(公開版)

 LayerXとMDMのリスク評価と年次対応の実例(公開版)

#脅威モデリング オープンコミュニティにおける 脅威モデリングナイト #1 in Tokyo の発表資料です。
非公開版については、面談経由でお話いたします
https://threatmodeling.connpass.com/event/318433/

Kengo Suzuki

June 13, 2024
Tweet

More Decks by Kengo Suzuki

Other Decks in Technology

Transcript

  1. - ॴଐ - ࡾҪ෺࢈σδλϧɾΞηοτϚωδϝϯτ - ίʔϙϨʔτγεςϜ෦: DevSecOps, Corp Eng౳ -

    LayerX Fintechࣄۀ෦ʢˢʹग़޲ʣ - ݸਓ׆ಈ - िؒχϡʔεϨʔλʔɺPodCastɺಉਓࢽ - དྷྺ - ۚ༥ܥSIer > ࢿ࢈؅ཧɾՈܭ฽ɾձܭSP > ূ݊ձࣾ > ݱ৬ - ͳΜ͔ͩΜͩFintech/ূ݊ܥʹ͍Δ - ࠷ۙ͸σʔλΤϯδχΞϦϯάΛཤमத @ken5scal χϡʔεϨλʔ: https://ken5scal.notion.site/54bda4932da14add9e9911ab3e9a6e5c podcast: https://open.spotify.com/show/73sFeKzUIkSYfCZWVBNO70
  2. - Ϧετ - Ϧετ - Ϧετ - Ϧετͷڧௐจࣈ - Ϧετ

    ݟग़͠ https://speakerdeck.com/layerx/company-deck
  3. - ͿͬͪΌ͚ଞࣾͷ೰Έฉ͖͍ͨɾҰॹʹ೰Έ͍ͨ - ౰ࣾͷ೰Έ - ࢒ଘ੬ऑੑͷείΞʢଥ౰ੑɺΞϧΰϦζϜߋ৽ɺՄٯੑʣ - νʔϜߏ੒ - Ͳ͏ίϛοτͤ͞Δ͔

    - ޿͞ΛऔΔ͔ɺਂ͞ΛऔΔ͔ - λΠϜϥΠϯ - ͕࣌ؒ͋·ͬͨͱ͖ʹ͔͍ͭ·ΜͰ࿩͍ͨ͠ͷͰɺฉ͖͍ͨ಺༰͕͋͋Ε͹ʮ#ڴҖϞσ Ϧϯά #೰ΈʯͰͭͿ΍͍͍ͯͩ͘͞ ࠓ೔ͷਅɾཪ໨త
  4. - ϦεΫ: “૝ఆ͞ΕΔڴҖ͕৘ใࢿ࢈ͷ࣋ͭ੬ऑੑΛѱ༻ͨ݁͠ Ռɺ૊৫ʹରͯ͠ѱӨڹΛ༩͑ΔજࡏՄೳੑ” - ࢿ࢈ x ੬ऑੑ x ڴҖ

    - ੬ऑੑ: “ٕज़ɾϓϩηεͳͲʹ಺ࡏ͢ΔαΠόʔηΩϡϦςΟ ্ͷܽ఺ɾܽؕ” - ٕज़ɾϓϩηεɾਓ ϦεΫ
  5. 1. “ηΩϡϦςΟΛ೦಄ʹγεςϜܭըɾߏஙɾҡ࣋Λߦ͏ଶ੎͕͋Δ” 1. ࢿ࢈؅ཧɺύον؅ཧɺ੬ऑੑ؅ཧɺಛݖ؅ཧɺύεϫʔυ؅ཧ ͳͲͷجຊతͳऔΓ૊Έ • NIST CSF, SP800, CISίϯτϩʔϧʢv7

    basicʣ౳ 2. “ਓ͕ܧଓతʹؔ༩ͤͣɺҰ؏ੑͷ͋Δ๷ޚϝΧχζϜΛ༗͍ͯ͠Δ” 1. ଟ૚๷ޚ ڴҖΠϯςϦδΣϯεʢΛ༗ޮʹ׆༻͢Δʣʹඞ༻ͳ੒ख़౓
  6. - ෳ਺ࣄۀʹద༻Ͱ͖ΔΑ͏ - ৽نࣄۀͷͨΊͷϕʔεϥΠϯॏࢹ - ݴ͏ͯόΫϥΫͰ͢Β5೥ະຬͷαʔϏε - ڴҖϕʔε͸ʮΠϯγσϯτʯ΍ʮใࠂॻʯ͔Βʮ౰ࣾʹࢗ͞Δ΋ͷʯΛݫબ - ྫ:

    LastPass / Okta, APT29 - ݉຿ͷݶք͔Β୭ʹͰ΋Ҿ͖ܧ͛ΔΑ͏ - ౰ࣾͷόϦϡʔͰ͋ΔʮσδλϧԽʯ - ITԽ≠σδλϧԽ ηΩϡϦςΟଶ੎ͷϙΠϯτ
  7. - ʮσδλϧԽʯʹ͋ͨͬͯ͸ྑ࣭ͳσʔλ͕ඞਢʂ - ϦεΫධՁϑϩʔͷղ૾౓ʹҧ͍͋Γ - ۀ຿ͷચ͍ग़͠ -> ղ૾౓ߴ - ڴҖධՁ

    -> ղ૾౓௿ - ෳ਺ࣄۀମʹΑΔه࿥Λڞ௨తʹݟฦ͢ඞ༻ 1೥໨: σʔλεΩʔϚΛఆٛ https://oss-db.jp/dojo/dojo_info_04 εΩʔϚͱਖ਼نԽΛ࣮ࢪ
  8. - ॏෳ͕ͳ͘ͳΔܗͰςʔϒϧΛ෼ׂͰ͖ͨ͜ͱʹΑΓɺςʔϒϧ͝ͱͷΦʔ φʔ΋ఆٛͰ͖ͨ - ୭͕ͲͷσʔλΛอ࣋͠ɺϝϯςΛ͠ͳ͚Ε͹͍͚ͳ͍͔੹຿ΛΘ͚΍͍͢ - ௒ڊେͳ̍ͭͷϑΝΠϧʹ͠ͳ͍͜ͱͰՄࢹੑ޲্ - πʔϧΛҙ޲ͯ͠΋ɺ੔߹ੑ͕อͨΕΔ -

    (2021) Notion -> (2024) ςʔϒϧԽ͕Մೳͱͳͬͨεϓγ - ΠϯαΠτΛಘΔͨΊͷ෼ੳ͕΍Γ΍͘͢ͳΔ - ࡶͰ΋͍͍ͷͰ࢝Ίͳ͍ͱҰੜͰ͖ͳ͍ ਖ਼نԽʹΑΓ͑ΒΕͨϝϦοτ https://oss-db.jp/dojo/dojo_info_04 ਺গͳ͍ʮࣗ৴Λ΋ͬͯʯ΍ͬ ͯΑ͔ͬͨͱ͍͑Δ΍ͭ
  9. - Ϧετ - Ϧετ - Ϧετ - Ϧετͷڧௐจࣈ - Ϧετ

    ݟग़͠ ۀ຿ςʔϒϧ ࢒ଘ੬ऑੑςʔϒϧ ڴҖςʔϒϧ ϦεΫධՁςʔϒϧ
  10. - جຊతʹશ෦1ਓͰ΍Δ - ࢒ଘ੬ऑੑચ͍ग़͠ʙϦεΫධՁ·Ͱ: ken5 - ϦεΫධՁʙ೥࣍ϦεΫରԠ·Ͱ: ݱ৔ + ken5

    - ސ٬਺΋গͳ͘ɺαʔϏε΋ۦ͚ग़ͩͬͨ͠ͷͰߏ੒΋ γϯϓϧͩͬͨʢ࣮૷ϨϕϧͰ೺ѲͰ͖ͨʣ 1೥໨: ࢒ଘ੬ऑੑચ͍ग़͠ʙ೥࣍ϦεΫରԠ·Ͱ
  11. - όΫϥΫαʔϏεഒ૿ - ୯७ʹݟΔ΂͖ϦιʔεͷഒԽ - ෳࡶͳ૊৫ߏ੒ʹΑΔΦʔφʔγο ϓͷ෼ࢄ - ϒϩοΫνΣʔϯࣄۀ෦ ->

    Trusted Computingܥࣄۀ -> Privacy Techࣄۀ -> AI/LLMࣄۀ - 1.5೥΄ͲͰθϩ͔Β࢝·Δʮࣄۀʯ ݟग़͠
  12. - ࢒ଘ੬ऑੑͷείΞͷӡ༻ - ඪ४Խ͠ͳ͚Ε͹ҙຯ͕ͳ͍ - ίϯϓϥతͳඪ४ʢٕज़ରԠɺFISCରࡦج४ʣͱɺείΞͷซ༻͕͏·͍͔ͬͯ͘ͳ͍͔΋ - Ұํɺαʔόʔͷ੬ऑੑͱɺΫϥ΢υαʔϏε্ͷ੬ऑੑʢߏ੒ෆඋʣʹڞ༗͢ΔΑ͏ͳείΞϩδο Ϋ͕೉͍͠ -

    ͳΜͱͳ͕ͩ͘ɺࢿ࢈ʹԠͨ͡είΞΛ͚ͭΔ͜ͱʹͳΔؾ͕͢Δ - தؒςʔϒϧര஀ͳ༧ײ͕ͩɺNotion/εϓγͰ͸ೝ஌ෛՙ͕ݫ͍͠ - CSPMͱͷ࿈ܞඞཁ - ਖ਼ղ͸ͳ͍ͷͰߋ৽͠ͳ͚Ε͹ͳΒͳ͍͕ɺߋ৽ޙʹͲͷΑ͏ʹաڈσʔλͱ੔߹ੑΛอ͔ͭ - ίϯϓϥΠΞϯεϕʔεͰߟྀ͢Δͱɺ΍ͬͯͳ͍ࢪࡦ͸ࣗಈతʹ࠷େͷϦεΫείΞʹͳͬͯ͠·͏ ͏·͍ͬͯ͘ͳ͍͜ͱ - ະղܾ
  13. - ڴҖͷӡ༻ɾܕԽ: ΍Βͳ͔ͬͨ - ڴҖͷʮσδλϧԽʯͷΠϝʔδ͕·ͩͳ͍ - είʔϓΛߜΔͷΈʹ׆༻ - MitreϑϨʔϜϫʔΫͷ૊ΈࠐΈ͸ɺλΫςΟΫε·ͰΧόʔ͢ΔͱେมɻڭՊॻʹ΋͋Δ ௨ΓࣗಈԽ͞Εͳ͍ͱ೉͍͠

    - ͓ͦΒ͘ɺίϯϓϥΠΞϯεϕʔεTͱڴҖϕʔεTΛ෼཭͠ࣄʹ౰ͨΔͷͰ͸ͳ͍ͩΖ͏͔ - લऀ͕CSIRTɾޙऀ͕PSIRT?ɹ͋Δ͍͸ύʔϓϧTʁɹ - ૊৫ߏ੒ͷΠϝʔδ͕·͍͍ͩͭͯͳ͍ ͏·͍ͬͯ͘ͳ͍͜ͱ - ະղܾ