OWASP Kansai DAY 2018.12 〜セキュリティで経営をたしかなもんに〜/OWASP_Kansai_20181201-0

Transcript

1. OWASP Kansai 2018-12-01 #owaspkansai セキュリティで 経営をたしかなもんに OWASP Kansai DAY 2018.12

2. OWASP Kansai 2018-12-01 #owaspkansai 会場利用における注意点 • 原則食事禁止 • ペットボトル持ち込みのみ可能です •

   ゴミはご自宅までお持ち帰りください • トイレはアサコムホールを出て ロビー内・左方向です • 喫煙所は１３階（東側のバルコニー） 2

3. OWASP Kansai 2018-12-01 #owaspkansai 3

4. OWASP Kansai 2018-12-01 #owaspkansai OWASP - Open Web Application Security

   Project OWASPは、ウェブアプリケーションセキュ リティをとりまく課題を解決することを目 的とする、国際的なオープンなコミュニ ティです。企業や国境の壁はもちろんのこ と、あらゆる専門知識と経験を持ったスペ シャリスト、またユーザのコラボレーショ ンにより、自由に参加できる開放された活 動を展開しています。 4 同組織の本部は、2001年に設立され、2004年4月21日よりアメリカ合衆国に て政府認定NPOとして組織運営しています。現在、全世界に120以上の個別 テーマのプロジェクト、さらに200以上の拠点にチャプター（支部）があり ます。 OWASPは、企業会員制度、企業スポンサーシップ、個人会員制度による寄 付などによって成りたっています。

5. OWASP Kansai 2018-12-01 #owaspkansai OWASPとは みんなの力で ウェブで できたもんの セキュリティを 何とかする活動

6. OWASP Kansai 2018-12-01 #owaspkansai OWASPの活動例 ：ガイドラインの制定 【OWASP TOP 10】 3年に一度、Webアプリケーションの注意すべき脆弱性と対策をまとめて公表

   ：ソフトウェアの開発 【OWASP ZAP】 オープンソースの脆弱性診断ツール ：コミュニティの支援 【Local Chapter】 世界中に２００を超えるITセキュリティコミュニティ 6

7. OWASP Kansai 2018-12-01 #owaspkansai Japan : OWASP Local Chapters 秋田

   2017/05- 20人 福島 2016/02- 20人 仙台 2015/09- 130人 名取 2017/05- 70人 沖縄 2016/02- 120人 北信越 2017/05- 20人 九州 2015/02- 110人 名古屋 2017/06- 240人 ジャパン 2011/12- 2300人 カンサイ 2014/02- 800人 Local Chapter Name Month of establishment number of members; DoorKeeper/connpass 凡例

8. OWASP Kansai 2018-12-01 #owaspkansai 今回のテーマ 経営と セキュリティ 8

9. OWASP Kansai 2018-12-01 #owaspkansai 投資効果が見え にくいんだけど？ 今回のテーマ 9 説明するにしても 話がかみ合わない

   セキュリティ、セキュ リティ、って言っている と煙たがられる 所詮、利益を生まない コスト部門でしょ？ 予算とれない セキュリティって どこまで費用かけるの？ どこまでやったら正解？ いろいろ対策すると 不便になるでしょ？

10. OWASP Kansai 2018-12-01 #owaspkansai 今回のゴール • 「経営とセキュリティ」に関するアイディアを さまざまな会社の実例から学ぶ • 経営層が

    セキュリティ対策の必要性を ただしく理解できるようになる • IT担当者が セキュリティ対策の必要性を 経営層に分かりやすく 説明できるようになる 10

11. OWASP Kansai 2018-12-01 #owaspkansai 撮影／Tweet可否 参加者による 撮影 参加者による Tweet 発表者による

    資料公開 講演 サイボウズ 明尾さん × × × アシックス 谷本さん × × × SereiNetworks 小西さん × × × 朝日新聞社 須藤さん × × × ＬＴ OWASP 伊藤さん 〇 〇 〇 女子大生 つちやたお（仮）さん × 〇 〇 OWASP 武繁さん 〇 〇 〇 本日のハッシュタグは #owaspkansai

12. OWASP Kansai 2018-12-01 #owaspkansai 質疑応答について：アンケートにどうぞ 12 質問・コメント ご記入ください 送信後も編集可能 ※要Link保存

    回答を編集 質問タイムで まとめて回答

13. OWASP Kansai 2018-12-01 #owaspkansai アンケートにご協力ください 13 受付はイベント 開催中のみ ※既に終了しました

14. OWASP Kansai 2018-12-01 #owaspkansai 当日の質疑応答 (明尾さん1/2) 質問 回答 質 問

    社内でのセキュリティ体制や活動の 浸透までにどれくらいかかりましたか まだ完全に浸透しているとはいえず、日々問い合わせがあれば対応しているという状況です。新しいひとも入っ てくるので終わりのない活動なのではないかと認識しています。 質 問 内部不正対策では、どのような苦労をされましたか？ 内部不正なんて起こらないのでは？社員を監視するのか？俺たちを信用していないとうことなのか？という感情 的な反応に苦慮しました。 言葉を厳選し、基本的には信頼している、けど、顧客に従業員を信頼しているからインシデントも起こっていな いのだ、といっても説得力もなにもないので、内部不正対策が必要なんです、という表現を使って対策を進めて います。 質 問 各企業様がセキュリティ対策を推進するために、その理由付けが必要 (それ以外にも経営課題をそもそも理解することも重要とありました が)とお話されてましたが、その理由付けをすることが難しい企業様が たくさんいると思います。 具体的に、例えばどのような指標を使って理由付けすることが大事だ と考えられてますでしょうか？ もしくは、社内の課題を洗い出すためにどのような対策を打つことが 有効だと考えられてますでしょうか？ セキュリティ対策の理由付けは各社様々あるかと思います。 アシックスさんだと、外圧だったり、サイボウズの場合だと、クラウドサービス事業へのシフトであったり、自 動車メーカーだと製品がネットワークにつながることへの脅威だったり。 個人的には、セキュリティ対策は実施すべき理由がないのであればやる必要はないと思います。社内に漏えいし ても問題がない情報がないのであれば、まったく必要はないと思います。 しかし、ほとんどそのような企業はなく、最低でも顧客の情報や、ネットバンキングのアカウント情報など、守 るべき情報はでてくると思うのです（洗い出せば）。まずはそこから始めるのがいいのではと思います。 社内の課題も、まずは守るべきものは何かを特定することではないでしょうか？守るべきものを特定し、脆弱な 部分は何かを検討するというアセスメントを実施して、初めて課題が明らかになると思います。 質 問 女性が多い職場で、ITやセキュリティの話をすると「私IT音痴だか ら」「キャー怖い、そんなの聞きたくない」というレスポンスが初対 面でも起こります。反対以前に「門前払い」な人に対して、どうアプ ローチすればいいのでしょうか。 私は、スマホ使えているなら、十分知識があるし、スマホを使っているならセキュリティ対策を知る必要性もあ ると思いますよ。と説得しています。 14

15. OWASP Kansai 2018-12-01 #owaspkansai 当日の質疑応答 (明尾さん2/2) 質問 回答 質 問

    IT部門が社内外政治上権力が弱く、セキュリティがその中でも発言力 が乏しい場合に、 これぞという処方箋があれば教えてください。(いっぺん刺される以外 で) 事故ってみる、というのが一番かとｗ それ以外であれば、同じ業種で同じ規模の企業の事故事例を詳しく調査し、情報を共有するなどがいいと思いま す。（私の場合はマネージャ研修などの機会に無理やり30分枠をもらってプレゼンしています。） 情報を得るには、日本シーサート協議会などの会合に参加して、セキュリティ担当者様と信頼関係を築き、説得 方法や事故事例の詳細などが聞けます。 会合に参加される場合は、自らも情報を発信していくことを意識していただければ情報が入ってくると思います。 もう一つアイデアを出すとすれば、個別の事業部に一つずつあたっていく感じでしょうか？最初は活動に協力す るという形で入っていき、信頼を得てから少しずつ業務改善を促していく。（小さいことをコツコツと） 個人的には一気に発言力が増すなんていうことはあり得ないと思っています。 感 想 もう少し、社内政治の突っ込んだ話が聞けたら有難いかなと思いまし た。 はい。まだまだ話し足りない内容もあるので、要望を上げていただければ、またの機会にお話しにいきたいと思 います。 感 想 発表内容に関連した情報でオススメの本を教えていただけないでしょ うか？ 「七つの習慣」がオススメです ・URL https://www.amazon.co.jp/dp/4863940246/ 感 想 経営者からの直轄でも受け入れない社員がいるので、小さい会社ほど ツライナと思いながら聞きました。 社長直轄だからといって、なんでもできているわけではないです。 結構ぼろくそに言われることもありますよ。 結局、このひとの話なら聞いてみるか、と思っていただくところからスタートしていくしかないのでは、と思っ ています。お互いに頑張って行きましょう。私もまだまだ共感を得ていかないと進めない事案を抱えています。 感 想 ・社内での立ち回り方がよく分かった ・コミュニケーションのあり方など勉強になりました。 ・貴重な、具体例が聴けて良かったです ・話が分かりやすく、大変面白かったです。 ありがとうございます。まだまだ話足りない部分もありますので、続編ができるといいなと思っています。 15

16. OWASP Kansai 2018-12-01 #owaspkansai 当日の質疑応答 (須藤さん1/2) 質問 回答 質 問

    須藤さんの活動に対する警察やJPCERTの反応はどうなのでしょう か？ 協力関係があるんでしょうか？ 是々非々です。いい時もあれば、悪い時もあります。 ただ、物事を明らかにして問題を解決するという思いは一緒なので、それぞれの立場でセキュリティの問題に向 き合っています。 質 問 ルータメーカーへの連絡文について、 朝日新聞内で何かしら稟議通すなどのすったもんだはあったのでしょ うか? 正しいこととはいえ、伝わり方次第では大問題になりそうなので。 今回のケースについては、いわゆる稟議などはありませんでした。 弊社は記者の判断と行動が尊重されているので、上司が介入してくることはほとんどありません。もちろん例外 もありますけど。 そういう意味で、「自由な会社」と言えるのかもしれませんが、それが時として大きな問題に発展する時もあり ます。 質 問 今もその当該製品からのログをいろいろ検知していますが・・ 最終的にはどのぐらいで収束するのでしょうか？ 個人的な予測というか期待値を教えてください。 また、そのためにユーザー側には何ができるのか、アイデアがあれば おきかせください IoT製品（？）共通の問題ですが、ファームウェアを最新版にするというのは顧客それぞれの意識とリテラシーも 絡む問題なので、完全解決は困難（というか不可能）と考えます。 今回のケースを含め、Miraiの感染はこうした古いタイプのIoT機器を中心に広がっていると推察されるので、世 界的な対処が必要であると感じています。それに対するアイデアは正直、ありません。 質 問 登壇内容とは違いますが、5Gを巡るアメリカ、中国、ヨーロッパの争 いと そこを巡るサイバーセキュリティの動向とか伺いたいです。 セキュリティというよりも、経済や安全保障の文脈で捉えるとわかりやすいと思います。4GネットワークがUber やAirbnb、Netflixを生み出し、人やカネの流れを変えるなんて、当初は誰も想像できなかったと思います。「多 接続・超高速」の5Gで何が起きるか、つまりは誰も想像ができません。だからこそ、各国が一番乗りをするべく 競争が激化しています。5Gを制した国に人やカネが集まることが予想され、それは新たな大国の構図が塗り替わ ることを意味しています。だから「米中」間の経済制裁や、「米欧」の貿易戦争が今起きていると言えます。 Huaweiの問題がなぜ起きるのか、こうした背景を加味するとわかりやすいのでは、と思います。サイバーセキュ リティもこうした問題ときっては切り離せないと思います。（個人の私見です） 16

17. OWASP Kansai 2018-12-01 #owaspkansai 当日の質疑応答 (須藤さん2/2) 質問 回答 感 想

    セキュリティ報道の裏側は面白いです。 速やかに公表はいまのリスク対策として大切と再認識。 時間が経つと言い出しにくく、問題が大きくなるのはあらゆる問題に共通しているようです。 感 想 新聞社ならではの情報提供力について知ることができ有意義だった 一番取材力があるのはNHKだと思います。悔しいけど。 感 想 プレゼン表現も凄かったが、行動力の高さに圧倒されました。 人とカネがないんで、それしかできないんです。 感 想 報道する側のいろいろな話が聞けてとても面白かったです 舞台裏の話しか持ち合わせていないので、恐縮です。 感 想 朝日イメージ変わりました でも須藤さんだけなんですね 世の中のITやハッカーへの偏見に内側から立ち向かう人がいるのは嬉 しいことです ハッカーへの取材より弊社の中で意見を通すほうが難しいです。 感 想 記者の方が実際に調査していると思ってなかった。 記事の裏の調査や対応の話が聴けて良かったです。 だって、自分で調べて分析したほうが面白いし、生データ持ってれば何でも書けるじゃないですか。 感 想 ミライの話を改めて聞けてよかったです！ 作者は昨年12月、米司法省に訴追され、未来を奪われたみたいです。 感 想 IoTセキュリティに関しては大変悲観的に思っています。 IODATAはちゃんと動いてくれましたが、おそらくそうではない（売 りっぱなしの）企業がいっぱいでて、放置される機器がふえるので しょうね。 ISPがそういうのを通信阻害要因として切断するような仕組みを作る しかないのかなと思っています。 リコール制度のような強制力のある仕組みがないと、なかなか問題解決しないと思います。 17