サイバー攻撃を想定した セキュリティガイドライン策定と ASM及びCNAPPの活用方法 NCA Annual Conference 2024 2024年12月19日 株式会社野村総合研究所 品質監理本部 情報セキュリティ部 小林 克巳 株式会社野村総合研究所 品質監理本部 情報セキュリティ部 吉江 瞬

1 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. 1. サイバー攻撃の現状とトレンド：最新の統計や手口 2. NRIにおけるセキュリティの取り組み 3. ガイドラインの活用工程の限界と今後のセキュリティ 4. ASM (Attack Surface Management) 5. CNAPP (Cloud Native Application Protection Platform) 6. ASM/CNAPPのセキュリティ監視運用 7. グローバル展開に向けて 8. おわりに 目次

2 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼野村総合研究所 (NRI) 情報セキュリティ部 ⚫ オフィスセキュリティグループ ⚫ クラウド利用ガイドライン策定 ⚫ 社内システムのセキュリティ対策・審査 ⚫ ASM / CNAPP検証・評価 等 ◼業務経歴 ⚫ マネージドセキュリティサービス開発/運用・保守 ⚫ クラウドセキュリティ監査 ⚫ クラウドガイドライン策定 • AWS / Azure / Google Cloud / OCI • SaaS ◼コミュニティ ⚫ Security-JAWS 運営 自己紹介 (吉江 瞬)

3 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼野村総合研究所 (NRI) 情報セキュリティ部 ⚫ オフィスセキュリティグループ ⚫ 社内向けセキュリティ関連規程・ガイドライン策定 ⚫ 社内システムのセキュリティ対策・審査 ⚫ 脆弱性情報管理 等 ◼業務経歴 ⚫ セキュリティ診断を主としたコンサル→CSIRT支援→社内CSIRT ⚫ 開発系のガイドライン策定 • 共通ガイドライン：Webサイト・基盤の運用に関するガイドライン • 個別ガイドライン：アプリケーション / Windows Server / UNIX、SQL Server / Oracle 等 ⚫ 社内向け脆弱性対策の管理・関連システム運用 自己紹介 (小林 克巳)

4 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼ ENISA Threat Landscape 2024 ⚫ 欧州全域に影響を及ぼすサイバー脅威を詳細に分析し、最新のサイ バーセキュリティ情勢と注目すべき攻撃手法を網羅したレポート ⚫ 主なトレンド • サービス停止攻撃（DDoS）とランサムウェアが脅威のTOP • Trusted Sitesを利用したクラウド環境での巧妙な活動が活発化。（信頼で きるサイトや正当なサービスを利用して、コマンド&コントロール（C2）通信を 通常のトラフィックや無害なメッセージとして偽装） • AIツールによるスパムメールやフィッシングメールの生成、悪意のあるスクリプト の作成、詐欺行為の支援、ソーシャルエンジニアリングの強化 • Malware-as-a-Service (MaaS)の脅威が深刻化 • 2024年に発生したOSSへのバックドアコード挿入事例もあり、サプライチェーン への攻撃が依然として顕著 サイバー攻撃の現状とトレンド：最新の統計や手口（ENISA） ENISA Threat Landscape (ETL) https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024S ENISA Threat Landscape (ETL)2024 サービス停止攻撃（DoS/DDoS/RDoS） ランサムウェア データ（漏洩等） ソーシャルエンジニアリング（Phishing等） マルウェア サプライチェーンへの攻撃 外国による情報操作と干渉 Webへの脅威 ゼロディ脆弱性の悪用

5 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼ IPA （情報処理推進機構） 10大脅威 組織編 ⚫ 企業や個人が直面する主要なサイバー脅威として、最新の技術や社会的動 向を反映し、重要性と緊急性に基づく脅威をランキング形式でリスト化 ⚫ 主なトレンド • ランサムウェア攻撃の増加: 攻撃の巧妙化、リモートワーク環境の広がりと共に増加。 • サプライチェーンリスク: 外部ベンダーを通じた侵入経路となるケースが増加。サプライ チェーンを含めた広範なセキュリティチェックの重要性が増す • 標的型攻撃による詐欺、ビジネスメール詐欺（BEC）が増加：組織内の人的脆弱 性、端末、ネットワークといったセキュリティ対策の隙間を利用した攻撃への総合的な 対策の重要性が増す • 内外部のIT資産の不適切管理: 物理的/仮想的資産管理のミスや不十分なアクセ ス制御による情報漏洩。データや端末といった資産のみならず、ネットワーク構成やア カウント管理といった構成・権限の棚卸も重要 サイバー攻撃の現状とトレンド：最新の統計や手口（IPA） 情報セキュリティ10大脅威 2024 組織編 https://www.ipa.go.jp/security/10threats/10threats2024.html

6 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼ NIST サイバーセキュリティフレームワーク（CSF）2.0 ⚫ あらゆる規模と分野の組織が、サイバーセキュリティリスクを管理・軽減するために設計されたフレームワーク ⚫ 財務、プライバシー、サプライチェーン、評判、技術、物理的なリスクと並行してサイバーセキュリティリスクに対処するセキュリティコントロールの リスト ⚫ 中核となる、GOVERNでは、組織の文脈理解、サイバーセキュリティ戦略とサイバーセキュリティサプライチェーンリスク管理の確立、役割、責 任、および権限、方針、そしてサイバーセキュリティ戦略の監視について取り扱われる サイバー攻撃の現状とトレンド：セキュリティフレームワーク（NIST） コア機能 カテゴリ GOVERN 組織背景 リスク管理戦略 役割、責任、権限 ポリシー 監視機能 サプライチェーンのサイバーセキュリティリスク管理 IDENTIFY 資産管理 リスク評価 改善 PROTECT ID管理、認証、アクセス制御 意識向上と訓練 データセキュリティ 基盤セキュリティ テクノロジー・インフラの復旧 DETECT 継続的モニタリング 有害イベント分析 RESPOND インシデント管理 インシデント分析 インシデントレスポンスの報告とコミュニケーション インシデントの緩和 RECOVER インシデント復旧計画の実行 インシデント復旧のコミュニケーション NIST Cybersecurity Framework 2.0 https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf

7 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼ MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge) ⚫ サイバー攻撃技術等のナレッジを提供する米国の非営利組織 MITRE社では、現実の観測に基づく、敵対戦術とテクニック (脅威)のナレッジベースを提供している ⚫ 偵察、初期アクセス、実行、永続化、権限昇格、探索など14プロセスで、行われる行動をパターン化 ⚫ 最新の攻撃手法や戦術、技術変更に伴い定期的に更新 ⚫ 攻撃の戦術とテクニックを知ることで、どのような脅威に対策をとるか想定し、具体的な対策に落とし込める サイバー攻撃の現状とトレンド：セキュリティフレームワーク（MITRE） https://attack.mitre.org/docs/attack_matrix_poster_2024_april.pdf

8 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼ 関連法規・基準、業界基準、MITRE ATT＆CK等は、非常に多くの技術・戦術をカバーしているが、これら全てを規 程・ガイドラインに含めことは実際には難しい ⚫ ガイドラインに適するもの • ログのモニタリング、異常検知、ユーザー認証の強化といった検知と防御のベストプラクティス • ファイアウォール設定、ネットワークセグメンテーション、アクセス制御リストの設定などのリスク軽減指針 • インシデント対応手順、影響評価の基準、コミュニケーションフローなどの運用プロセス • Phishing訓練、セキュリティ研修等の教育方針 ⚫ ガイドラインに適さないもの • 特定のマルウェアに対する直接的な対策や高度な攻撃手法等、絶えず進化し固定的な規程を作成することが難しい技術的な項目 • 特定のネットワーク構成や環境でしか効果のない汎用性の低い技術項目 • 運用コストが高かったり、組織のリソースを大幅に消費する等、高コストになることが確実な実装 • 専門的なサードパーティのソリューション等、外部サービスに大きく依存する項目 ガイドラインに適するもの/適さないもの 効果的な対策を講じるためには、これらの限界を理解し、バランスをとることが重要。

9 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼ルール、適用・検知、利用者の対処、教育・啓蒙を通じ、継続的な対策の普及を推進 NRIにおけるセキュリティの取り組み • ガイドライン適用の維持 • 違反通知へのアクション • 調査、アナウンス対応 • e-Learning • 研修、勉強会 • 連絡会、社内アナウンス •クラウド利用・インターネット接 続システム申請・審査 •アカウントの棚卸・調査 •ガイドライン準拠状況のチェッ ク・通知サービス • 各種社内規程 • ガイドライン • 脆弱性／セキュリティ アップデート対応 ルール 適用・ 検知 利用者 の対処 教育・ 啓蒙

10 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼各レイヤーごとに規程・ガイドラインが存在、プロジェクトごとに適したガイドラインを参照 ⚫ ガイドラインが準拠する法規・基準・スタンダードが何か、根拠がなにか、説明を求められる NRIにおけるセキュリティの取り組み（ガイドライン構成） Webサイト運営 インターネット公開サーバ Webアプリケーション スマートフォンアプリケーション データベース OS クラウド バージョン管理 OS データ 仮想化 物理 アプリ ミドル コンテナ 機密情報・個人情報管理 CIS Benchmark、CIS Control、MITRE ATT＆CK 業界基準 FISC、PCIDSS、NIST 等、 最新の攻撃動向に合わせた技術対応 各ベンダーのベストプラクティスなど 関連法規対応、運用基準 等 C I / C D

11 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼サービスごとに想定される脅威と対策は様々だが、ガイドラインでは大別して７つを設定 ◼ ガイドラインの利用を軸とした安全性チェックの仕組み ⚫ インターネットに公開するシステムは申請・主管部承認を必須化（年1回、申請実態の棚卸） ⚫ リリース前のセキュリティ診断を必須化。リスク高・中は修正してからリリース ⚫ 定期的なセキュリティ診断の実施 NRIにおけるセキュリティの取り組み（考え方） 対策の大項目 想定される脅威 アイデンティティによる認証・認可、MFA 不正アクセス、アカウント乗っ取り、過大権限による誤操作 ネットワークによるアクセス制御・境界線防御 インターネットからのログイン施行、侵入・攻撃 暗号化による保存データ・通信経路の保護 情報漏洩、盗聴、改ざん 多重化・冗長化構成による可用性の向上 HW故障、SW障害、広域障害 バックアップ取得によるデータロストへの備え 運用ミス、データセンター被災、ランサムウェア ロギング・モニタリングによる記録・監視 攻撃、不正行動 分析・レポーティングによる可視化・監査 攻撃、障害、設定不備の見落とし 課題：継続的な実施が不可欠。継続できないと対策漏れにつながる。 各チェックの実施状態の棚卸に人的リソースが多くかかる。（現場も管理側も大変）

12 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼ガイドラインを用いた品質担保の人に依存した運用は、企画の上流、実装～テスト中盤、リリー スといった概要チェックでは有用である。しかし、ドキュメントであるため活用されにくい ◼開発・攻撃技術の高速化に対応するべく、継続監視・通知、セキュリティの可視化・自動化と それに伴う対応力が求められる ガイドラインの活用工程の限界と今後のセキュリティ（リリースまで） 企画 要件定義 設計 実装 テスト リリース 運用 リリース前に、Web/基盤のセキュリ ティ診断を実施 セキュリティホールの発見・対策 開発工程 アプリケーション、OS/ミドル、コンテナ、クラウドの 各セキュリティガイドラインを参照 推奨される要件定義・設計・実装のチェック CI/CDパイプライン、DevOpsループ SAST/DAST/SCA/IAST の組み込み （デベロッパー向け） 持続可能なセキュリティ ASM/CNAPP ,.etc （CSIRT向け） セキュリティのシフトレフト Security by Design （デベロッパー向け） 従 来 の 施 策 今 後 の 施 策

13 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼ リリース管理されているシステムは、従来のガイドラインに基づいたチェックや定期的なセキュリティ診断等により、持 続的に管理可能。インターネットに公開されている組織管理外のシステムは把握が今後の課題 ◼ 組織管理外のシステムの把握も含めると、広範な領域へのセキュリティ管理の仕組みが求めれられる ⚫ サプライチェーンに該当するシステム（業務関連システム、業務に関連するグループ会社や委託先のシステム） ⚫ PoC環境などのクラウド利用（経費で支払っているものの把握されていないアカウント等） ⚫ 管理外で構築されインターネット公開された開発サーバ等 未把握 ガイドラインの活用工程の限界と今後のセキュリティ（リリース後） IP資産の把握 ソフトウェア資産把握 脆弱性情報の把握 対策判断・実施 インターネット 公開システム 把握（組織管理下） インターネット 非公開システム (社内システム等) （従来の施策）ガイドラインによるチェック セキュリティ診断等の管理策 （今後の施策） ASM （外部からの攻撃対象となる範囲を可視化） CNAPP（クラウド環境におけるアプリケーションの セキュリティを統合的に管理） 把握（組織管理下）

14 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼この後、お話するASM、CNAPPの活用方法について ⚫ 現状、すでにASM、CNAPPを組織全体に網羅的に導入できているわけではない ⚫ 評価済みのASM、CNAPPから、想定する利用イメージを元に記述している ◼以上について、ご了承ください おことわり

15 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼定義: ⚫ ASMは、組織の攻撃対象領域 (Attack Surface)を継続的に特定・監視・管理するプロセス ◼目的: ⚫ IT資産 (アセット)の可視化 ⚫ 外部公開アセットの検出 (クラウド、オンプレミス両方) ⚫ 脆弱性の特定とリスク評価 ◼必要性: ⚫ クラウド環境やリモートワークの普及で攻撃対象が増加 • クラウドホスティングサーバ、クラウドCDN、クラウドストレージバケット、CI/CDパイプライン、VPNゲートウェイ ⚫ 外部攻撃者の視点からのリスク評価が不可欠 Attack Surface Management (ASM)とは何か ASMベンダー • Cyberint • CyCognito • IONIX • 等

16 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼IT資産の可視化 ⚫ オンプレミス、クラウド、SaaSの全資産を対象 • ドメイン、IPアドレス、証明書、ホスト情報、オープンポート、OS情報など ⚫ シャドーITや未承認のアセットも含める • 未承認の公開サーバ ◼Attack Surfaceの管理 ⚫ 不要なIPアドレス、ドメイン、SSL証明書 ⚫ 不要な公開管理ポート・クレデンシャル ⚫ 公開サービス、アプリケーション、APIの脆弱性評価 ⚫ 未パッチや設定ミスの検出 ◼リスク評価と優先順位付け ⚫ リスクのスコアリングと影響度分析 ⚫ ビジネスクリティカルな資産の特定 ⚫ トリアージが可能 ASMがカバーする範囲 自社グループ公式サイト・ グループ拠点情報・ ドメイン情報の調査 パートナー企業の調査 オンプレミスシステムの調査 クラウド、クラウド上の Web、SaaSの調査

17 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼攻撃対象領域の可視化 ⚫ 組織全体のIT資産を網羅的に可視化し、攻撃対象領域 (Attack Surface)を正確に把握。 ◼リスクの優先順位付け: ⚫ 特定した脆弱性やリスクをAIや機械学習で評価し、対策の優先順位を明確化。 ◼シャドーITの検出: ⚫ 未管理のクラウドサービスやIT資産 (シャドーIT)を発見し、リスクを削減。 ◼継続的な脆弱性管理: ⚫ 自動化されたスキャンにより、組織が持つシステムの脆弱性を継続的に監視・評価・把握。 ◼コンプライアンスの強化: ⚫ 攻撃対象領域の管理により、各種規制や標準 (例: GDPR、NIST)の遵守を支援。 ◼多層防御戦略の最適化: ⚫ 攻撃対象を把握することで、防御策を最適な場所に配置し、多層防御を強化。 ASM導入のメリット

18 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. 1. 計画フェーズ 1. ASM監視対象とする対象領域の範囲と対象を定義 2. 目的とKPI設定 3. 報告フローの設計 2. 実装フェーズ 1. IT資産のインベントリ作成 2. リスク評価とアラート閾値の実装 3. 運用フェーズ 1. 継続的なモニタリングと定期的なレポーティング 2. インシデント発生時の対応プロセス 4. 改善フェーズ 1. 結果分析とフィードバック 2. アセット登録内容の見直し ASM導入フロー

19 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼対象範囲の選定の考察例 ⚫ NRIは海外にもグループ企業を保有 ⚫ システム事業は大きく以下二つ • 自主事業サービスの展開 • 顧客向けSI案件 ◼NRIグループとして所有している監視対象アセットの種別の考え方は大きく以下の3パターン ⚫ 1線は自部門が担当する各種別1～3を監視する ⚫ 2線は種別1～2を監視する • ただし、種別1,2の監視における管理者権限は2線側で持ち、1線側への支援・助言等、監督責任を担う ASM導入フロー ～計画フェーズ～ 種別 用途 監視対象アセット (※)を保有するシステム例 1 自社グループ向けに利用 (Enterprise Use) OA、公式HP、業務システムなど 2 自社グループ向けに利用 (Business Use) 自主事業サービスなど 3 顧客向けに利用 (SI事業) 弊社顧客システム環境など ※監視対象アセット群：ゲートウェイ機器、ネットワーク機器、サーバ群 (メール、プロキシ、AD、ログ等)、IPアドレス等

20 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼IT資産のインベントリ作成における考察例 ⚫ IPアドレスについて • 保有するIPアドレスを自社利用 (種別1,2)しているのか、顧客提供 (種別3)しているのか確認して登録 • セグメント単位で登録した場合に、種別3に該当するIPアドレスが含まれていると良くない場合がある (ノイズ) • キャリア提供の固定回線に紐づくIPアドレスがどの種別に属するものか確認して登録 • クラウドのIPアドレスはオートスケーリングやロードバランサ等によって可変のIPアドレスが存在するため、ドメインでの登録を 推奨 (ただし、AWSでいうElastic IPのようなIPアドレス固定サービス利用時はこの限りではない) ⚫ ドメインについて • ドメイン管理者が自社でも顧客向けに提供している場合の契約内容を確認(種別3) ASM導入フロー ～実装フェーズ～ 種別 用途 監視対象アセット (※)を保有するシステム例 1 自社グループ向けに利用 (Enterprise Use) OA、公式HP、業務システムなど 2 自社グループ向けに利用 (Business Use) 自主事業サービスなど 3 顧客向けに利用 (SI事業) 弊社顧客システム環境など ※監視対象アセット群：ゲートウェイ機器、ネットワーク機器、サーバ群 (メール、プロキシ、AD、ログ等)、IPアドレス等

21 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼ドメインの追加・削除 ⚫ ドメイン管理対象部門からの情報共有(グループ統廃合など)およびアセットの管理と棚卸 ◼検出されたアセットの真偽確認 ⚫ 推論機能等から検出されたアセットの監視対象可否(誤検出、なりすまし検出、除外設定)を確認 ⚫ 偽ドメインに対するブロッキング/テイクダウン対応 ◼アタックサーフェスの検出・発見・チケット作成・報告 ⚫ 対象部署への報告、報告先情報の更新 ◼ダッシュボード管理 (あるほうが良いと考えている) ⚫ NRIグループの1線向けセキュリティ担当者に公開 (定点観測で開示、24/365 SOC監視はしない) ASM導入フロー ～運用フェーズ～ テイクダウン報告先例 URL JPCERT/CC https://www.jpcert.or.jp/form/ AWS https://support.aws.amazon.com/#/contacts/report-abuse Microsoft https://msrc.microsoft.com/report/ Google Cloud https://support.google.com/code/contact/cloud_platform_report?hl=ja OCI https://www.oracle.com/corporate/security- practices/assurance/vulnerability/reporting.html ブロッキング報告先例 URL Microsoft https://www.microsoft.com/en-us/wdsi/support/report-unsafe-site-guest Google https://safebrowsing.google.com/safebrowsing/report_phish/?hl=ja

22 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼範囲の設定 ⚫ IPアドレス、ドメイン、サービス契約内容に応じて監視対象をきめ細かく設定 ⚫ 一度のスキャンですべてのIT資産をカバーするのは困難 (特にシャドーIT) • 継続的に検出されるアセットについて監視対象可否を選定 ◼継続的なモニタリングのリソース不足 ⚫ 人的リソースやスキルの確保が必要 ◼組織間の連携 ⚫ セキュリティ部門と他部署の連携が不可欠 (1線と2線の連携) ◼運用コスト ⚫ 初期導入や継続運用のコストとROIのバランス • 検出されるアセットの数はPOCを通じて、おおよその概算を行うことが可能 ASM導入における課題

23 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼オンプレミスのみのシステムならCNAPPはほぼ不要 ◼ASMで検出したアタックサーフェスの管理者が不明 ⚫ Azure上でWindowsサーバにてログインIDがNRI/hogehoge となっていたものが見つかった場合、実態として、 • NRIの管理アカウントではない場合 • なりすましの可能性 • NRIの管理アカウントである場合 • From Any 3389でアクセス可能な状態なので、重要なシステムである場合、危険 ◼ASM+CNAPPより、CNAPP incl ASMのほうが相関的に 機能分析しやすく相乗効果も高い、そんなソリューションを調査 ASM単体導入ではなく、ASMとCNAPPの組合せがよい理由 2線側で把握できていないクラウドアカウントにて 知らず知らずにインシデントが起きることは避けたい ASM CNAPP CSPM CWPP SIEM CIEM ？？？ ？？？

24 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼定義: ⚫ CNAPPは、サイロ化されたクラウドセキュリティ機能を束ね、クラウドネイティブ環境におけるクラウドそのもの、アプ リケーションやワークロードを包括的に保護する統合型セキュリティソリューション ◼(当初の)対象範囲: ⚫ 仮想マシン (VM) ⚫ コンテナ ⚫ サーバーレスアーキテクチャ ⚫ クラウドインフラ全般 ◼必要性: ⚫ クラウドの動的・複雑な環境における継続的セキュリティ強化 ⚫ シフトレフト・シフトライトを一気通貫で保護 Cloud Native Application Protection Platform(CNAPP)とは何か CNAPPベンダー(ASMを有してるかは別) • Check Point • Crowdstrike • Fortinet • Palo Alto Networks • Sysdig • Tenable • Trendmicro • 等

25 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼CNAPPは多くのセキュリティ機能を有しているが、本日話すテーマにてお伝えしたい機能は下記 ⚫ CSPM (Cloud Security Posture Management) • クラウド設定ミスの検出と修正 • コンプライアンス違反の監視 ⚫ APM (Attack Path Management) • 攻撃経路の分析 • リソースポリシー、IAM権限の過剰設定の検出 ⚫ ASPM (Application Security Posture Management) • アプリケーションコードや設定のセキュリティ状態の評価 • DevSecOps環境での脆弱性管理 ⚫ CWPP (Cloud Workload Protection Platforms) • ワークロード保護 (コンテナ、サーバーレス、ホスト) • CI/CD保護、ランタイム保護 CNAPPが提供する主要機能 CNAPPとは？変化を続けるクラウドネイティブセキュリティ対策 https://www.nri-secure.co.jp/blog/ever-changing-cnapp

26 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼統合セキュリティ ⚫ CSPM、CWPP、ASPMなどの機能を1つのプラットフォームで管理可能 ⚫ サイロ化された機能同士での相関連携・分析が可能 ◼DevSecOpsとの統合 ⚫ 開発プロセス全体にセキュリティを組み込み、シフトレフトを実現 ⚫ CI/CDパイプラインにおける自動スキャン(コンテナイメージ、IaC、ランタイム、アプリケーション)と脆弱性検出 ◼リアルタイムの可視性と制御 ⚫ クラウド環境全体のセキュリティ状態をリアルタイムで把握 ◼スケーラビリティと柔軟性 ⚫ マルチクラウドやハイブリッドクラウド環境にも対応 (機能によってはオンプレミス対応機能あり) ◼リスク軽減とコンプライアンス強化 ⚫ 自動化されたコンプライアンスチェックと継続的なセキュリティ評価・リスク評価 CNAPP導入のメリット

27 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. 1. 計画フェーズ 1. CNAPP監視対象とする対象領域の範囲と対象を定義 2. 目的とKPI設定 3. 報告フローの設計 2. 実装フェーズ 1. CNAPPとクラウドアカウントの統合作業およびインベントリ作成 2. リスク評価とアラート閾値の実装 3. 運用フェーズ 1. 継続的なモニタリングと定期的なレポーティング 2. インシデント発生時の対応プロセス 4. 改善フェーズ 1. 結果分析とフィードバック 2. アカウント登録内容の見直し CNAPP導入フロー

28 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼ASMとCNAPPを組み合わせた運用例(2線目線)を説明する ◼CNAPP incl ASM統合運用の目的 ⚫ Attack Surfaceの継続的な可視化と管理 ⚫ 可視化された脆弱性やリスクを有するクラウドアカウントをCNAPPで自動保護 CNAPP導入フロー ～運用フェーズ～ 一気通貫 IP資産の把握 ソフトウェア資産把握 脆弱性情報の把握 対策判断・実施 ◼ ステップ1: IP資産の把握 ⚫ ASMによるIP資産の洗い出し • 外部公開された資産の特定 • シャドーITの特定 • 攻撃対象領域の識別 ◼ ステップ4: 対策判断・実施 ⚫ ASM、CNAPPによる自動保護 • 脆弱性の修正提案 • ワークロードの防御強化 • 攻撃経路の把握と経路閉鎖 • 過剰権限の見直し ⚫ リアルタイムモニタリングまたは定点観測 • 異常なアクセスパターンや脅威の検出 • インシデントレスポンスの自動化 ◼ ステップ2: ソフトウェア資産把握 ⚫ ASMによるソフトウェア資産の洗い出し ⚫ CNAPPによるソフトウェア資産把握 • ASPMによるセキュリティ態勢の可視化 ◼ ステップ3: 脆弱性情報の把握 ⚫ セキュリティ診断による脆弱性の把握 ⚫ ASMによる攻撃対象領域の識別 ⚫ CNAPPの連携で継続的な評価 • 脆弱性スキャンとリスク評価 • 脆弱性管理による継続的管理

29 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼ツールを使って省力化・自動化を図り、大企業としてあるべきセキュリティ統括を行う ① アセットを管理し、継続的に更新 ② アセットを連携し、Threat Intelligenceを正しく活用 ③ シャドーアカウントの洗い出しとCNAPP連携 CNAPP導入フロー ～運用フェーズ～ ④ ASM検出内容と管理対象クラウドアカウントを紐づける ⑤ 対象クラウドの攻撃経路・脆弱性を可視化 ⑥ 連絡フローを整備・アラート報告 情報セキュリティ部 各部・各グループ会社 情報セキュリティ担当者 定時・ 緊急時 ⑥チケット管理から申請のあったクラウドにて、不 備があることを発見したら、申請者に連絡 ①NRIグループの ドメイン・サービス等から Attack Surfaceを管理 ※オンプレ含む 脆弱性 コンプラ その他 アラート クレデンシャル・ KMS DynamoDB RDS S3 ロール VM IPアドレス ⑤VM / CSPM / Attack Path Managementの機能 で脆弱性と攻撃経路を可視化し、 設定や権限を見直す SWG運用部門 監視 ①ASMによる アセット管理 ①クラウド上の WebのASを監視 ①各クラウドごとのセキュリティ設定ミスを監視 ※クラウド利用申請されたもの ②アセット情報を連携＆脅威情報があれば共 有いただく ③未申請のクラウドアカウント洗い出し ③CNAPP連携 ④ASM検出内容から対象クラウドアカウントと管 理事業部門を洗い出し

30 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼クラウドにおけるIAMのようなユーザーアカウント・ロールの作成が可能 ◼下記の組合せでロールを作成 ⚫ 監視対象クラウドアカウント・システム ⚫ 既存ポリシー、カスタムポリシー ⚫ CNAPPの機能(サブスクリプション) ◼下記のようなイメージでAdminでは各部門に向けた ユーザーアカウント・ロールを作成し、運用する CNAPP導入フロー ～運用フェーズ～ 種別 1線 2線 ASM権限 Read/Write Admin CNAPP権限 Read/Write Admin 対象モジュール 先述例 先述例 監視対象 種別1～3における事業部門ごとが担当す るクラウドアカウント・システム 種別1～2における全クラウドアカウント・シ ステム 1線 2線 CSPM KSPM CWPP Attack Path Management DSPM ASM ASPM SAST / DAST Container Image Scanning CIEM IaC Scanning VM SBOM 1線と2線が担うCNAPP incl ASMの機能一覧(想定) SCA CDR

31 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼リアルタイム vs 定点観測 ⚫ リアルタイムモニタリング • 常時監視で即時対応 • 攻撃の検知、データ漏洩、設定改ざん等 • 高リソース消費、運用負荷 ⚫ 定点観測 • 定期的なリスク評価 • 脆弱性管理、セキュリティ態勢管理、スキャン結果等 • リソース効率が良い、長期的な傾向分析 ASM/CNAPPのセキュリティ監視運用 ～リアルタイム vs 定点観測～ 定点観測 リアルタイム(SOC) 1線 2線 CSPM KSPM CWPP Attack Path Management DSPM ASM Container Image Scanning CIEM IaC Scanning VM SBOM 1線と2線が担うCNAPP incl ASMの機能一覧(想定) SCA CDR ASPM SAST / DAST

32 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼SIEM/SOC (Security Operations Center)との連携 ⚫ 役割分担 • 1線: 監視・インシデント対応 • 2線: リスク評価・戦略設計 ⚫ 大企業と小規模組織の違い • 大企業: 組織がサイロ化し、ASM・CNAPPの運用領域が分断 • 小規模組織: 1つのチームで統合管理しやすい (体力問題は残るが、、) ⚫ SIEMとの連携 • 1線が担当する事業内容とCNAPPやASMのアラート内容から必要に応じてSIEM連携、SOCアラートを考える(先述) • 不正なネットワーク変更、不正なプロセス実行、ゼロデイに基づく警告等 • 2線がモニタリングしたいものは、ASMやCNAPPにおいてリアルタイム性を求められるものは(ほぼ)ない ◼インシデント対応設計 ⚫ 自動検知 → 通知 → 初動対応のフロー構築 ⚫ インシデントエスカレーションプロセス ASM/CNAPPのセキュリティ監視運用 ～SIEM/SOC連携～

33 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼ガイドラインの活用 ⚫ セキュリティ対策の効果測定と最適化 ◼継続的モニタリングの役割 ⚫ 脅威やリスクの早期検知と対応 ◼導入するモニタリングツール例 ⚫ ASM (資産管理、脆弱性スキャン) ⚫ CNAPP (統合管理) ⚫ SIEM (ログ分析、SOC支援ツール) ◼改善サイクル ⚫ 監視・検出 ⚫ 分析・評価 ⚫ 対策実施 ⚫ 効果測定・フィードバック 継続的改善を支えるガイドラインとモニタリングツールの重要性 グローバルへの適用が可能か？

34 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼グローバル展開に向けた成功の鍵は国内外とのギャップを埋めること ◼文化 ⚫ セキュリティ意識の醸成 • 組織全体 (グループ国内外)でのセキュリティ文化の浸透 • トップダウンとボトムアップのアプローチ ◼プロセス ⚫ 標準化されたセキュリティプロセス • 継続的なリスク評価と管理プロセスの確立 • DevSecOpsの導入によるセキュリティライフサイクルの統合 ◼ツール ⚫ 適切なツールの選定と運用 • ASM、CNAPP、CASB・SWGなどの統合運用 • ツール間の相互運用性とデータ統合の重要性 グローバル展開に向けた成功の鍵となる要因 (文化、プロセス、ツール)

35 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼日本と海外の実務における違い ⚫ 地理的・時差的な距離によるコミュニケーションの難しさ ⚫ 言語・文化背景が異なることによる足並みの揃えにくさ ⚫ 法制度・商習慣の違いから、海外に日本のルールをそのまま当てはめられない ◼日本と海外のセキュリティ取り組み方の違い・ギャップを知ること ⚫ 日本: 厳格な規則と事前承認プロセス ⚫ 海外: 柔軟な運用、自己責任の文化 ◼具体例 ⚫ 日本: 全社標準ツール外の使用禁止 ⚫ 海外: 利用後のレポート提出で柔軟に対応 グローバル展開に向けた成功の鍵となる要因 (文化、プロセス)

36 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼シャドーIT (クラウド、SaaS)のリスク ⚫ 正式な管理外で利用されるクラウドサービス ⚫ 組織のセキュリティポリシーに違反する可能性 ◼CASB・SWGによる対策例 ⚫ 監視と可視化: 未承認クラウドアカウントの検出 ⚫ 制御: ポリシーに基づくアクセス制御 ◼CASB・SWGの例 (右図) ⚫ Control AWS apps using Instance IDs • https://docs.netskope.com/en/control-aws-apps-using-instance-ids/ ⚫ ユーザーIDとアクセス先AWSアカウントIDとの組合せから承認済クラウドアカウントIDを除けば、未承認のクラウ ドアカウントIDに誰がアクセスしているかが分かる グローバル展開に向けた成功の鍵となる要因 (ツール) ユーザーがアクセスしている AWSアカウントID一覧

37 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼AIによる脅威検知 & AI-SOC: ⚫ 自動化された脅威インテリジェンス、自動化されたSOC • CNAPPをはじめその他クラウドサービスなどのデータソースとイベントの結び付けから脅威の検出、阻止を実施 ◼データセキュリティの可視化: ⚫ DSPM (Data Security Posture Management)の台頭 • ワークロード、DBストレージ、リポジトリと各種バックアップイメージに含まれるセンシティブデータの存在箇所の可視化 • 対象データへアクセスできるユーザの洗い出し、暗号化可否、データフローの可視化 ◼AI自身のセキュリティ可視化: ⚫ AISPM (AI Security Posture Management) の台頭 • 生成AIモデルやAIエージェントにおけるリソースの悪用、リスクなどのセキュリティ対策状況可視化 ◼ゼロトラストアーキテクチャの進化: ⚫ クラウド環境での適用拡大 • ZTNA 、 CNAPP 、SWGのコラボレーション、統合 クラウドネイティブセキュリティにおける今後のセキュリティトレンド CNAPPの一部として実装されつつある

38 Copyright (C) Nomura Research Institute, Ltd. All rights reserved. ◼ガイドライン取り組み、ASM、CNAPPの活用方法について説明した ◼セキュリティサービス導入では終わらない ◼組織における文化、プロセス、技術の統合が必須 ⚫ セキュリティ担当者はより現場によりそうべし ⚫ セキュリティ担当者も泥臭いことをやっていくべし ⚫ 2線は1線の見方であるべし、現場と並走すること ◼継続的改善と適応力の重要性 ⚫ セキュリティは一度の対策で終わらない ⚫ 日々進化する脅威に対応するための柔軟な運用を おわりに

No content