CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント

Transcript

1. $*40͕ɺద੾ʹηΩϡ ϦςΟػೳͱϨϕϧΛ ܾΊΔʹ͸ 岡⽥ 良太郎 アスタリスク・リサーチ 2021.06

2. 株式会社アスタリスク・リサーチ 岡⽥良太郎 岡⽥ 良太郎 代表・エグゼクティブリサーチャ CISA, MBA [email protected] 活動 -

   activities  WASForum Hardening Project オーガナイザ 衛る技術を顕彰する、8時間耐久ビジネス堅牢化技術競技プロジェクト  OWASP (Open Web Application Security Project) 世界最⼤のアプリケーションセキュリティ推進団体 ・OWASP Japan チャプターリーダ ・OWASP Top 10 翻訳チームリーダ ・OWASP Foundation “Best Chapter Leader”, “Best Community Supporter” 受賞（2014）  Hackademy（ハッキングと防御） 「ハッキングと防御」コース  ビジネスブレークスルー⼤学（学⻑ ⼤前研⼀） 「教養としてのサイバーセキュリティ」コース担当講師  独⽴⾏政法⼈ IPA 情報セキュリティ10⼤脅威選考委員  総務省 サイバーセキュリティ演習 CYDER 推進委員 (c) Riotaro OKADA / Asterisk Research, Inc. 2 創業2006年。企業の事業成⻑に貢献するセキュリティ実践を推進。

3. アスタリスク・リサーチ “シフトレフト”実現企業 asteriskresearch.com (c) Riotaro OKADA / Asterisk Research, Inc.

   3 Professional Tools 実践段階のQCDを⾼める道具 ・トレーニング ・Eラーニング ・開発環境向けツール(CI/CD) ・トレーニングイベントデザイン ・リスクプロファイルトレーニング ・脅威分析トレーニング Advisory Service 経営陣の⾼速な意思決定を実現するアドバイザリ ・PSIRT/CSIRT Advisory ・DevOps Transformation ・セキュリティ・スコアカード分析 ・エグゼクティブ向けブリーフィング ・CISO, CTO, CROハンズオン Security Test Managed Service セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis ・コンポーネント分析 SCA ・ソースコード分析 SAST ・システム脆弱性テスト DAST ・プラットフォームテスト NST

4. 2021年、IT版「家庭の医学」でました 「もはや経験のあるベテランの勘で経営 判断できる状況ではなく、持てる限りの データを活用し、迅速に判断し、アクショ ンを取らなければなりません」 「一方で、未成熟な技術に甘んじなけれ ばならない側面もあります」 「そこで、DXを進める上での前提は」 ͷষͱͷίϥϜ ཧղΛਂΊΔͭͷ෇ষ

   શϖʔδɺ໊ͷࣥචਞ ೥ץʹ͙࣍վగ৽൛ɻ

5. ຊ೔ͷߏ੒ 
   1SPMPHVF  $*40ͷ೰Έ  8IFSF8IZ
   VQEBUF
   $*40T r 
   TFDSFUT 

   3JHIU
   /PX ࠓ͙͢Ͱ͖Δ͜ͱ D
   3JPUBSP
   0,"%"
   
   "TUFSJTL
   3FTFBSDI
   *OD 

6. 0. Prologue – CISOの悩み (c) Riotaro OKADA / Asterisk Research,

   Inc. 6

7. 7 (c) Riotaro OKADA / Asterisk Research, Inc.

8. 急に訪れた テレワーク時代 D
   3JPUBSP
   0,"%"
   
   "TUFSJTL
   3FTFBSDI
   *OD 

9. ֎෦؀ڥɿۃΊͯ ΍͹͍͜ͱͩΒ͚ͳ ίϩφՒ • ΠϯϑΥσϛοΫɿِ৘ใͷ൙ཞ • ࠮ٗͷԣߦɿϑΟογϯάɺෆਖ਼ૹۚɺಛघ࠮ٗͷԣߦ • ์ஔɿΞοϓσʔτ͍ͯ͠ͳ͍੬ऑੑͷѱ༻ࣄҊɻ71/͕Ӥ ৯

   • ྲྀग़ɿҋͷܝࣔ൘αΠτɺചങαΠτ • ڴഭɿػີ৘ใͷϥϯαϜڴഭࣄҊɺԠ͡ͳ͍اۀͷσʔλ ചങͷ૿ՃɺμʔΫ΢Σϒ • ಺෦൜ߦɿେن໛ͳϓϥΠόγʔσʔλͷѱ༻΍ۚમ઄औ • αϓϥΠνΣΠϯɿωοτϫʔΫΞϓϥΠΞϯεͷΞοϓ σʔτ͕৵֐͞ΕΔ • ·͔͞.41
   Ξ΢τιʔεઌͷ.41ܦ༝ͰϋοΩϯά • 4BB4Α͓લ΋͔ɿϝδϟʔͰɺ৴པ͞Ε͍ͯΔ4BB4ͷઃఆෆ ଍Ͱػີσʔλ࿐ग़ɺϕϯμʔͷ੹೚͸ʁ • ϓϥΠόγɿʜ D
   3JPUBSP
   0,"%"
   
   "TUFSJTL
   3FTFBSDI
   *OD 

10. ʮ͜Ε͸ɺαΠόʔ ߈ܸͷߴ౓Խͩʯ ΄Μͱʁ D
    3JPUBSP
    0,"%"
    
    "TUFSJTL
    3FTFBSDI
    *OD ߈ܸΠϯςϦδΣϯεങͬͯͨΒͲ͏ʹ͔ͳͬͨʁ 11"1΍ΊͯͨΒ͜Μͳ໰୊ͳ͔ͬͨʁ ύεϫʔυڧԽͯͨ͠Β΍ΒΕͳ͔ͬͨʁ Ξϯν΢Οϧεͷߋ৽͕ͱ·ͬͯͨʁ͑ɺങऩʁ

    ΤϯυϙΠϯτ؂ࢹͯͨ͠ΒࢭΊΒΕͨʁ ηΩϡϦςΟਓࡐ๛෋ͳاۀͰ͸େৎ෉ͩͬͨʁ θϩτϥετͯ͠ͳ͔͔ͬͨΒ΍ΒΕͨʁ 

11. ٯʹɺ΍Γ΍͢ ͔ͬͨมֵ΋ ͔͋ͬͨ΋ • 71/ґଘͷ࢓૊Έͷഉআ • 4.#ϕʔεͷϑΝΠϧαʔόͷഇࢭ • Ϋϥ΢υαʔϏε΁ͷϦϓϨʔε •

    ೝূج൫ͷ੔උͱΞΧ΢ϯτͷ୨Է͠ • ωοτϫʔΫ૿ڧ • ৘ใγεςϜ෦໳ͷܦݧ஋ • αΠόʔ܇࿅ɾԋशͷσδλϧԽ • ΦϯϓϨ͔ΒΫϥ΢υ΁ • αʔϏεௐୡ D
    3JPUBSP
    0,"%"
    
    "TUFSJTL
    3FTFBSDI
    *OD 

12. (c) Riotaro OKADA / Asterisk Research, Inc.  https://www.optiv.com/navigating-security-landscape-guide-technologies-and-providers セキュリティサービスはさらにカオス

13. SANS CISO MIND MAP SANS CISO MIND MAP Ͱݕࡧ ੒ख़౓ϚτϦοΫε΋͍͍ͭͯΔ

    (c) Riotaro OKADA / Asterisk Research, Inc. 17

14. ʮ$*40ͷͭͷ೉୊ʯ • ߈ܸऀͱͷઓ͍ • ڴҖͱ߈ܸ • αϓϥΠνΣΠϯ • ࣄۀܧଓ •

    ਎಺ͱͷͤΊ͍͗͋ • Ϗδωε • ίϯϓϥΠΞϯε • ಺෦൜ߦ • 30* D
    3JPUBSP
    0,"%"
    
    "TUFSJTL
    3FTFBSDI
    *OD  参考：「CISOハンドブック」前書き

15. ʮͭͷ೉୊ʯ όʔϯΞ΢τ • ෆଌͷ࡞ۀͷ૿Ճ • ཁٻਫ४ͷߴ·Γ • αϙʔτͰ͖ͳ͍पลϚωʔδϟ • ݽཱɺͭͳ͕Γͷ૕ࣦ

    • ҙཉ૕ࣦɺແྗײ • ʮ৽͍͠ςΫϊϩδʔʯʹৼΓճ͞ΕΔ D
    3JPUBSP
    0,"%"
    
    "TUFSJTL
    3FTFBSDI
    *OD 

16. 1. Where/Why update CISOs (c) Riotaro OKADA / Asterisk Research,

    Inc. 21

17. ʮ҆৺ͯ͠ॿ͚ΛٻΊΒΕΔ૊৫Λ࡞Δʯ  ̒ $PODFQUT  ਓؒؔ܎Λங͘  ऑ͞ΛೝΊΔ  ଞऀΛཧղ͢Δ

     ଞऀΛঝೝ͢Δ  ࣗ෼Ͱίϯτϩʔϧ͢Δ  ֎෦ͷྗΛआΓΔ D
    3JPUBSP
    0,"%"
    
    "TUFSJTL
    3FTFBSDI
    *OD  “What I Learnd When I was Burned Out” HBR.org

18. $PODFQU
    
    ਓؒؔ܎Λங͘ • ܦӦਞࣾ಺޲͚ͷɺ੺དʑͳϨϙʔτͱ ϒϦʔϑΟϯάΛఆظతʹఏڙ͢Δ͜ͱ • ܦӦਞͷϦεΫཧղΛଅਐ͢Δ • ࣄۀ෦໳ͷηΩϡϦςΟɾ69Λվળ͢Δ • ݱঢ়ͷΩϟύγςΟͷݶք΁ͷཧղΛଅਐ͢Δ

    D
    3JPUBSP
    0,"%"
    
    "TUFSJTL
    3FTFBSDI
    *OD 

19. ܦӦਞࣾ಺΁ͷϨϙʔτྫ • エグゼクティブサマリー • システム脅威モニタリングレポート • 認証基盤 • 企業ネットワーク関連 •

    着弾メール • httpトラフィック • データ活⽤と移動の課題 (内部犯⾏) • 企業ウェブサイト • 社内キャンペーン関連 • 訓練、システム移⾏、UX改善 • テクニカルトレンドと⾃社への適⽤ D
    3JPUBSP
    0,"%"
    
    "TUFSJTL
    3FTFBSDI
    *OD 

20. $PODFQU
    
    ऑ͞ΛೝΊΔ • ϕϯνϚʔΫΛ࢖͍ɺݱঢ়ͷରԠͱ੒ख़౓Λ͋Γͷ··ʹݟΔ • ڴҖͷස౓ɺࣄۀΠϯύΫτΛֻ͚ࢉ͠ɺ Өڹͷେ͖ͳϦεΫରԠͷݶքΛཧղ͢Δ • ͷձٞͰप஌͠ɺڠྗͱิڧͷඞཁੑΛڧௐ͢Δ D
    3JPUBSP
    0,"%"
    
    "TUFSJTL
    3FTFBSDI

    
    *OD 

21. $*40ͷͨΊͷϑϨʔϜϫʔΫɾϐοΫΞοϓ ͸ɺϋϯυϒοΫܝࡌՕॴ • $*4
    4FDVSJUZ
    $POUSPMT
     ίϯτϩʔϧζ
     
    اۀΠϯϑϥ • /*45
    $ZCFS
    4FDVSJUZ
    'SBNFXPSL

     ॏཁΠϯϑϥ • $ZCFSTFDVSJUZ
    $BQBCJMJUZ
    .BUVSJUZ
    .PEFM $.
     
    *5ͱ05 • /*45
    41
    ɿηΩϡϦςΟ؅ཧࡦٴͼϓϥΠόγʔ؅ཧࡦ  • *40
    
    *4.4 • 1$*
    %44
    ΫϨδοτΧʔυ • 08"41
    4"..
    #4*..
    ։ൃηΩϡϦςΟϓϥΫςΟε • αΠόʔηΩϡϦςΟܦӦΨΠυϥΠϯ  • #*.$0ΨΠυϥΠϯɿւӡۀ “情報セキュリティのよりどころが、規定 的なチェックリストから、事業や経営に 応じて適⽤するフレームワークに変わっ ていると⾔える” (CISOハンドブック p78)

22. 強いところと弱いところを⾃覚 (c) Riotaro OKADA / Asterisk Research, Inc. 27

23. $PODFQU
    
    ଞऀΛཧղ͢Δ • ࣄۀܧଓ͕ਓ࣭ʹऔΒΕΔࣄҊͷٸ૿ɿϦΞϧλΠϜͳࣄۀཧղ͕ෆՄܽ • ηΩϡϦςΟͱࣄۀ෦໳͕Ұॹʹ͢΂͖࢓ࣄ͕͋Δ • ࣄۀ෦໳͕ཉ͍͠΋ͷɺࠔ͍ͬͯΔ͜ͱΛҰॹʹݟΔ • ͙͢ʹʮϊʔʯͱ͍͏ͷΛ΍ΊΔ •

    ηΩϡϦςΟ69Λվળ͢Δ D
    3JPUBSP
    0,"%"
    
    "TUFSJTL
    3FTFBSDI
    *OD 

24. チャット系 グループウェア オンライン会議系 社内SNS インストール型 総合 ナレッジ共有 日報 社内報 総合

    ワークフロー 総合 エンジニア コンサル マーケティング プラットフォーム型 Webサイト クラウドソーシング型 総合 クリエイティブ テスター・入力 翻訳・ライティング・編集 オンラインセミナー・イベント 人事 コミュニケーション 営業 周辺ツール ホワイトボード ノーコード iPaaS HP ECサイト フォーム ハード系 MA / CRMツール 名刺管理 メール 商談関連 フォームアタック D セールス支援 顧客管理 セールス セールス HR系 人事評価 エンゲージメント向上 エンゲージメント測定ツール 日程調整 デザイン 採用関連 人事関連 オンライン1on1 オンライン福利厚生 リモート人材活用 エージェント型 エンジニア 2021/02/08 現在 (c) Riotaro OKADA / Asterisk Research, Inc. ノーコード︖ローコード︖連携︖

25. (c) Riotaro OKADA / Asterisk Research, Inc.  セキュリティは⾮機能？ endpoint

    endpoint No, It’s 横断的機能

26. ʮԣஅతػೳʯͷ ج൫ͱϕʔεϥΠϯ • ೝূͱೝՄ • "1*ػೳ • ࿈ܞ • ίʔυ

    • σʔλอଘ • ϞχλϦϯάͱӡ༻ • ηΩϡϦςΟςετͷ͋Γํ D
    3JPUBSP
    0,"%"
    
    "TUFSJTL
    3FTFBSDI
    *OD 

27. $PODFQU
    
    ࣗ෼Ͱίϯτϩʔϧ͢Δ • ίϯτϩʔϧͰ͖Δ͜ͱΛ૿΍ͨ͢Ίʹɺ΍ΓํΛม͑Δ • ςΫϊϩδʔͷߋ৽ɿ਺೥ಈ͔͍ͯ͠ͳ͍ςΫϊϩδʔΛม͑ͯΈΔ • ηΩϡϦςΟͱࣄۀ෦໳͕ɺରཱΛ΍Ίͯڠಇ͢Δ • ࣗಈԽ࢓૊ΈԽ͸ɺ00%"ϕʔεͰॊೈʹਪਐ͢Δ ʢෆଌͷ࡞ۀΛݮΒ͢ʜʣ

    D
    3JPUBSP
    0,"%"
    
    "TUFSJTL
    3FTFBSDI
    *OD 

28. IDENTIFY: 脅威は変化している->対策は︖ 1. マルウェア 2. ウェブの仕組みを利⽤した攻撃 3. フィッシング 4. ウェブアプリケーションへの攻撃

    5. スパム 6. DDoS 7. Id盗難 8. データ漏洩 9. 内部脅威 10. ボットネット 11. 物理的な操作/損害/盗難/紛失 12. 情報漏洩 13. ランサムウェア 14. サイバースパイ 15. クリプトジャッキング (c) Riotaro OKADA / Asterisk Research, Inc. 34

29. %&5&$53&410/$&
    ؾ͕෇͘εϐʔυ͸ʁ 攻撃者の準備と実⾏に関わる⼿段の部分 を構造化して⾒られるフレームワーク 攻撃者は、まずどこを⾒るのか 段階的にどんなツール・⼿法を使うか ラテラルムーブメントはどんな⼿法か 情報取得・改ざんのゴール D
    3JPUBSP
    0,"%"
    
    "TUFSJTL
    3FTFBSDI
    *OD

     IUUQTNJUSFBUUBDLHJUIVCJPBUUBDLOBWJHBUPSFOUFSQSJTF
    ⾚いのは、08"41
    5PQ
    に関連する脆弱性

30. セキュリティコンセプトとテクノロジの更新 AI/ML マイクロ サービス Cloud First 統合 Software Defined Endpoint

    モニタリ ング 脅威 (c) Riotaro OKADA / Asterisk Research, Inc. 36 ？

31. ʮ৽ைྲྀʯʁ ʮඞཁͳ΋ͷʹམͪண͍ ͯऔΓ૊ΉʯͰྑ͍ ೝূೝՄͱҧ൓ͷ؅ཧɿ • ;FSP
    5SVTU ηΩϡϦςΟΠϯγσϯτରԠͷࣗಈԽɿ • 40"3ɿ4FDVSJUZ
    0SDIFTUSBUJPO
    "VUPNBUJPO
    

    BOE
    3FTQPOTF ωοτϫʔΫͱωοτϫʔΫηΩϡϦςΟͷ౷߹ɿ • 4"4&
    4FDVSF
    "DDFTT
    4FSWJDF
    &EHF ಺෦ͷҟৗߦಈݕ஌ɿ • 6&#" 6TFS
    BOE
    &OUJUZ
    #FIBWJPS
    "OBMZUJDT

32. $PODFQU
    
    ֎෦ͷྗΛआΓΔ • ରࡦͷٕज़͸ߋ৽͞Ε͍ͯΔ • ΋ͬͱޮՌతͰ҆Ձͳํ๏͕͋Δ৔߹΋ଟ͍ • ίϯϓϥΠΞϯε΋มԽ͍ͯ͠Δ • ڴҖ৘ใ͸֎෦͔Βೖख͢Δʢࣄۀ໘ɺٕज़໘ʣ •

    ΅͕͘ߟ͍͖͑ͨ͞ΐ͏ͷʜPS[ • ࢪࡦͷ࣮ݱʹ֎෦Λר͖ࠐΉ • ֎෦Λ࢖͏ͱɺͪΌΜͱਐΉʢ͕࣌ؒҰ൪ͷίετ D
    3JPUBSP
    0,"%"
    
    "TUFSJTL
    3FTFBSDI
    *OD 

33. ࠷ޙʹ $PODFQU
    
    ଞऀΛঝೝ͢Δ • $*40νʔϜ͸ݽཱͨ͠ΒऴΘΔ • Ͱ͖͍ͯͳ͍͜ͱ͚ͩΛѻ͏ͷΛ΍ΊΔ • Ͱ͖͍ͯΔ͜ͱΛͱΓ͋͛ɺײँ͠৆ࢍ͢Δ • ͍͍Ͷʂ

    D
    3JPUBSP
    0,"%"
    
    "TUFSJTL
    3FTFBSDI
    *OD 

34. Closing: Right Now? (c) Riotaro OKADA / Asterisk Research, Inc.

    41

35. (c) Riotaro OKADA / Asterisk Research, Inc. 42

36. ि໌͚͙͢ʹγϑτϨϑτ • ఆظతͳϨϙʔτΛૣ଎։࢝ɻ࠷ॳ͸ຕϖϥͰ΋Ξ΢τϓοτʂ • *5NFEJB 4FDVSJUZ
    8FFLͰಘͨΞοϓσʔτΛڞ༗ • ఏڙ͍ͯ͠ΔϨϙʔτͷݟ௚͠ɿϙδςΟϒˍϦΞϧԽ • ࢪࡦͷશମ૾ͱಛ௃ΛϒϨετ͠Α͏

    • .*/%
    ."11*/( • ख͕ಧ͍͍ͯͳ͍໰୊ • ηΩϡϦςΟͷ69͕ྑ͘ͳ͍΋ͷ D
    3JPUBSP
    0,"%"
    
    "TUFSJTL
    3FTFBSDI
    *OD 

37. ൒೥Ҏ಺ʹ ͙͙ͬͱγϑτϨϑτ • ࣄۀ෦໳ʹาΈدΔ • ස౓ͷߴ͍ࡶஊɺ 69վળ΍ɺࣄۀద༻ʹ͍ͭͯҙݟަ׵Λߦ͏ • ڠྗΛ͓͙͋ •

    ݱঢ়ͷΩϟύγςΟͷݶքͱɺվળͷػձʹ͍ͭͯڞ༗ • ೥Ҏ্ͦͷ··ʹͳ͍ͬͯΔࢪࡦͷ୨Է͠ͱߋ৽ݕ౼ • 1%$"Ͱܭըతʹඞཁͳ΋ͷΛݟ͚ͭʢܭըͱ࣮ߦʣ • ࣮ࢪ͸00%"Ͱʢ؍࡯ͱ࣮ߦʣ • είΞΧʔυͰΞηεϝϯτ D
    3JPUBSP
    0,"%"
    
    "TUFSJTL
    3FTFBSDI
    *OD 

38. 参画プロジェクト (c) Riotaro OKADA / Asterisk Research, Inc. 45

39. [email protected] / follow: @okdt (c) Riotaro OKADA / Asterisk Research,

    Inc. 46 asteriskresearch.com