How to Azure環境のセキュリティコンサルティング 第31回 Tokyo Jazug Night (Online) #jazug 2021年02月25日 NRIセキュアテクノロジーズ株式会社 サイバーセキュリティコンサルティング部 吉江 瞬

1 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼実際のセキュリティコンサルティングを例として、元セキュリティインフラ運用の自分が行ったAzureのセキュ リティコンサルアプローチをお話します。 本セッションの概要 当方これまで通ってきた技術

2 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼Azure Blob Storageの設定不備で情報漏洩 ⚫ 左はAzure Blob Storageに、バックアップされたメールが含まれており、大量のスプレッドシートやスクショ、医療 データ、パスポートスキャン、FedExの出荷ドキュメントなどのPIIが含まれていて、Blob Storageの設定不備で50 万顧客のデータを漏洩 ⚫ 右はAzure Blob Storageに、バックアップを保存していたが、個人の銀行情報、パスポートデータ、オンラインバン キングのPINが保存されており、Blob Storageの設定不備で銀行側が情報を公開していた。 Azure環境からの情報漏洩事件 https://www.techradar.com/news/microsoft-azure-breach-left-thousands-of- customer-records-exposed https://threatpost.com/cayman-islands-bank-records-exposed-azure- blob/161729/

3 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼OutlookとMicrosoftアカウントのフィッシング用ランディングページにAzure Blob Storageを利用 ⚫ ユーザーがフィッシングメールのリンクをクリックすると、Outlook Web Appを装ったランディングページが表示される ⚫ ユーザーのメール資格情報を取得する設計 ⚫ ランディングページはBlob Storage上にホストされるが、https://xxxxxxxxxxxxxxxx.blob.core.windows.net ドメインなので気付きにくい。 Azure利用者向けのフィッシングキャンペーン https://www.bleepingcomputer.com/news/security/phishing-attack-uses-azure-blob-storage-to-impersonate-microsoft/

4 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼2021年までに、50%の企業が知らず知らずのうちに誤って、一部のストレージサービス、ネットワークセグメ ント、アプリケーション、APIがインターネットにパブリック設定で直接さらされるようになると予測 ◼責任共有モデルを意識し、各々が担当するセキュリティの範囲を改めて認識し、対応を行うべき 2023年、クラウドセキュリティの問題の99%以上はカスタマの問題(Gartner談) https://www.fireeye.com/blog/products-and-services/2020/10/gartner- five-things-you-must-absolutely-get-right-for-secure-iaas-and-paas.html https://cloudsecurityalliance.org/blog/2021/02/04/the-evolution-of- cloud-computing-and-the-updated-shared-responsibility/

5 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼Azureのセキュリティについて、皆さんは何を基準(ベース)として、セキュリティ対策を行っていますか？ ◼ひと昔前の自分ならとりあえず、こんな感じでした。 Azure Security Checklist (ざっくり) Azureのセキュリティ、どうやって対策してますか？ Azure Security Best Practices Azure Security CheatSheet

6 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼Azureで、安全に設計されたシステムを説明するもの ⚫ セキュリティの優先順位をミッションに整合させる ⚫ 包括的な戦略を構築する ⚫ シンプルさを促進する ⚫ 攻撃者を念頭に置いて設計する ⚫ ネイティブの制御を活用する ⚫ IDを主要なアクセス制御として使用する ⚫ アカウンタビリティ ⚫ 自動化を採用する ⚫ 情報の保護に注力する ⚫ 回復力を考慮して設計する ⚫ ベースラインとベンチマーク ⚫ 継続的な改善を推進する ⚫ ゼロトラストを前提とする ⚫ セキュリティについて教育し、それを奨励する ◼上記できてますか？ MicrosoftのAzureでのセキュリティ設計原則 https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/security-principles

7 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼クラウドワークロード全体で統合されたセキュリティ管理と高度な脅威保護を実現するサービス ⚫ クラウドセキュリティ態勢管理(CSPM)、クラウドワークロード保護プラットフォーム(CWPP)をカバー ⚫ 弊部で行っているところは特にCSPM相当のセキュリティ監査を行っている (詳細は後程) ⚫ Azure Security Benchmarkという、CIS Controls v7.1 やNIST SP 800-53 r4にて定義されているコントロール 事項のいいところ取りに沿って確認 ◼有償/無償とあるが、無償でできるセキュリティ対策があるのでまずは有効化！ Azure Security Center https://docs.microsoft.com/ja-jp/azure/security-center/ https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing

8 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼Azure Security Centerが、Azure、Amazon Web Services (AWS)、およびGoogle Cloud (GCP) の ワークロードも保護することが可能となった ⚫ AWS SecurityHubやGoogle Cloud Security Command CenterがAzure Security Centerに統合 ⚫ マルチクラウド向けのCSP提供CSPMとしては初(フリーでどこまで使えるか？） 2021.01 New! Multi-cloud connectors are released for General Availability (GA) https://docs.microsoft.com/en-us/azure/security-center/release-notes#multi-cloud-connectors-are-released-for-general-availability-ga

9 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼Azure Security Centerを使って全ての項目をALL OKとしただけで、Azureのセキュリティ対策が万全な わけはない ⚫ 環境によっては過度な対策となるもの、ASCでは確認できないセキュリティ対策が必ず存在 • 基本設計 • 詳細設計 • 運用設計 • 実装 ←Linter、SAST、DAST、ファジング、脆弱性診断、ペネトレーションテストなど • など ◼上述する箇所を静的に確認し、顧客の品質管理に寄与するのが弊部 ◼継続的にセキュリティレベルを維持するには？ということを運用設計踏まえて私はよく考えます Azureのセキュリティ対策、どこまで行いますか？ ドキュメント検査、セキュリティアセスメント(評価、監査)など https://www.nri-secure.co.jp/download/quality-management

10 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. Azure環境の設計にセキュリティ対策をフレームワーク利用で システム企画 （SP） 要件定義 （SA） 基本設計 （UI） 詳細設計 （SS） 構築・設定 単体・結合テスト （PT、IT） システム・運用テスト （ST、OT） リスク レビュー基準 サービス要求にかかるリスクの検討不足により、システム化 計画の目的が達成されない サービス要求のシステム要件への落とし込みの 不足により、想定すべき脅威を見逃す セキュリティ要件の検討不足により、システムの 方式や運用にかかるリスクの考慮が漏れる セキュリティ仕様の実装方針の検討不足により、 アプリ・基盤の既知の脆弱性の考慮が漏れる コーディング規約や検査不備により実装段階での 考慮が不足し、既知の脆弱性を組み込む 設定レベル・機能レベルでの安全性検証不足により、セキュ リティの実装不備や脆弱性を検出できない システム全体の安全性の検証不足により、セキュリティ要 件の実現不備や脆弱性を検出できない 安全管理対策基準 安全管理対策基準 NSF for cloud 安全管理対策基準 NSF for cloud NRIクラウドセキュリティ ガイドライン(Azure) CIS Microsoft Azure Foundations Benchmark 顧客コーディング規約 CISベンチマーク セキュリティ診断基準 貴会システムリスク 安全管理対策基準 提案対象 ◼各工程ごとにレビュー対象とする基準を設けて、それに従ったセキュリティ監査を行う。以下は案件例 *NSF（NRI Secure Framework）： NRI Secure Technologiesが 様々な基準をもとに 標準化したセキュリ ティ対策状況の評価 フレームワーク *NRIクラウドセキュリ ティガイドライン： NRIが様々な基準を もとに社内向けに標 準化したセキュリティ 対策チェックリスト Security by DesigN

11 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼米国のCIS(Center For Internet Security)が開発した、情報システムを安全に構成するためのベストプ ラクティスが記載されたガイドライン ⚫ PCやサーバ、ネットワーク機器、モバイル機器、データベース、アプリケーション、クラウドサービス等の製品やサービス に対して バージョンごとに詳細なパラメータまで定めており、現在、180以上の文書が提供されている ⚫ 以下から無料ダウンロード可能 https://www.cisecurity.org/cis-benchmarks/ ⚫ NRIおよびNRIセキュアはCISとのメンバーシップ契約を行っており、CIS Benchmarksを用いたコンサルティングサービ スが可能 CIS Benchmark https://www.nri-secure.co.jp/service/consulting/cisbenchmarks

12 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼Microsoft Azure の安全なベースライン構成を確立するための規定的なガイダンス ⚫ Microsoft Azure を採用するすべての人のためのセキュリティの基礎レベルを確立することを目的としたもの ⚫ ただし、環境にあわせて、固有の調整を行う必要あり ⚫ 対象者：ソリューションの開発、展開、評価、またはセキュアなソリューションを計画しているシステムおよびアプリ ケーション管理者、セキュリティスペシャリスト、監査人、ヘルプデスク、およびプラットフォーム展開担当者 ⚫ 登壇日現在では以下が最新 ◼たとえば、以下のようなことが書かれている(Level1ができたら、Level2を検討してみよう) ⚫ 1.1 Ensure that multi-factor authentication is enabled for all privileged users (Level1) ⚫ 1.2 Ensure that multi-factor authentication is enabled for all non-privileged users (Level2) ◼上述の項目を全てを〇にできるなら、その環境はかなり堅牢化(Hardening)された環境(？) ⚫ 対策が難しい場合 • 経済層(L8)の課題・・・・・・・・・・ヒト・モノ・カネ • 政治層(L9)の課題・・・・・・・・・・関係者調整 • 宗教層(L10)の課題・・・・・・・・・布教活動 には、代替手段であったり、その対策を行うための設計を一緒に検討 CIS Microsoft Azure Foundations Benchmark

13 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. 余談：CIS と NRI/NRIセキュア • 脆弱性Top20リスト執筆メンバ • 情報セキュリティトレーニングプログラムの日本展開 • セキュリティニュース、脆弱性情報の翻訳・メール配信（週 次） • SANS Board of Directorsメンバ SANS Instituteは、情報セキュリティの調査研究・教育機関 として、先駆的な活動を世界規模で行っています SANS Instituteとの協業 CIS パートナーとして日本での普及活動、コンサルティングサービスを提供 • CISと連携しCSCの翻訳を国内に先駆けて提供 • プロジェクトでの課題フィードバック • パブリックコメントの積極的関与 CSCバージョンアップへの積極的関与 https://www.cisecurity.org/partner/nri-secure-technologies/ • CSC(Critical Security Controls;現CIS Controls) の翻訳、啓蒙活動、及びコンサルティング実績が評価 • CSCの教育プログラムを提供（SANS代理店）

14 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. 余談：CISの提供するリソース https://www.cisecurity.org/cybersecurity-tools/ ■用途（横軸） ・組織向け ・特定のプラットフォーム向け ・特定の脅威追跡向け ■リソースとプラン（縦軸） ・Free to ALL これまでも使えたリソース群 DL可の自己診断ドキュメント やツール、コミュニティ等 ・Pay Per Use Marketplace等で販売している CIS準拠のOSイメージ等 ・Only for U.S. SLTT 米国内限定 ・Paid Subscription メンバーシップ契約によって 使えるようになるリソース群

15 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼CIS Microsoft Azure Foundations Benchmarkに照らしてセキュリティアセスメントを行い、顧客側に て自己点検後、NRIセキュアにて内容確認し、リスク評価と対応優先度、推奨事項を報告 詳細設計の対応 ドキュメント確認 ・SS工程の設計書類を参照し、記載内容を確認 します。 アセスメントシート作成 ・CIS Microsoft Azure Foundations Benchmarkの要求事項に対応したアセスメント シート（リスク評価シート）を作成します。 事前回答 ・設計書等をもとに、アセスメントシートを使って自 己点検(事前回答)いただきます。 ヒアリング ・事前回答結果に対し、弊社から必要に応じヒア リングを行って内容を確認します。 レビュー結果まとめ ・現状把握結果をもとに、シート要求事項の項目 ごとにレビュー指摘を整理します。 改善対応一覧の作成 • 対策未実施の場合のリスクと推奨対策をまとめ、 改善計画をレビューします。 報告書の作成 • 各部課長以上へ報告することを想定し、 成果を診断結果報告書としてまとめます。 最終報告 • 診断結果報告書、レビュー指摘、改善対応一覧 をもとに対面で成果を報告します。 ➢ CISの公開ベンチマーク情報に定義された要求事 項への対応状況を整理可能にします。 ➢ 自己点検は2週間程度を目安に記入いただけるよ うに担当者様の工数を確保ください。 ➢ 基本はCISベンチマークのレベル1※まで 準拠することを 推奨しますが、ヒアリングの中で貴社と協議の上決定し ていきます。 ※CISベンチマークで示される推奨項目にはLevel1/Level2 があります。 ➢ 改善対応一覧では、対策未実施の場合のリ スクを整理する事で、必要性を訴求します。リ スクと対応優先度も設定します。 ➢ 診断結果報告書はPPT10-20枚程度です。 Step1. アセスメント準備 Step2. 現状把握 Step3. 評価・報告

16 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼右下図のようなアーキテクチャがあると仮定 ⚫ 自社オンプレ拠点(OA)とAzure Virtual Network(VNet)をExpressRouteで接続 ⚫ VNet内には、オンプレから移転してきた社内システム系のVMがいる ⚫ Private Link経由でAzure Blob Storageにアクセス ⚫ Internetからは本VNet環境にアクセスすることができない ◼「6.5 Ensure that Network Watcher is ‘Enabled’ 」 について顧客が対策出来ていない場合： ⚫ 「有効にしよう！」とCISBの項目上はすぐに言いたい！が、、、 • 本番？開発？ステージング？ • 対スタートアップ？対エンプラ？対金融？対アウトソースした先のSIer？ • 想定されるログ量とかかる費用感は？ • ログの保存方法は？ • 誰が設定変更するの？ • 別手段で監視してる？ • ログの監視方法は？ • ログの分析方法は？ • アラートの上げ方は？ • 連絡フローはどうなっている？ • 等 ⚫ 上記のようなことを考えながら、顧客の 基本設計、詳細設計、運用設計における ベストアンサーを案件ごとに模索している ⚫ 「そのやり方、いいですね！」と言われると しっかり考えてあげられたのかな？と思ったり 対策未実施の場合のリスクと推奨対策

17 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼セキュリティ対策を行いつつ、あるべき開発と運用の デリバリー速度が落ちない、なんなら加速するような セキュリティと運用設計を考えていきたい ◼運用設計を考える時、必ず以下の資料を読み返している ので参考まで 今の時代のセキュリティにおける考え方 https://ascii.jp/elem/000/001/815/1815340/ https://www.slideshare.net/opelab/20150623-operationkaizenpub

18 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼「運用でカバー」し、 ⚫ あらゆるシステム統合案件 ⚫ あらゆるシステム障害への対応 ⚫ 等 に対応できてきた、SIerは素晴らしいし、設計にも ないこと等をやってきた彼らは影の功労者 ◼今でも彼らが功労者で居続けられるかは別の話 ⚫ ワークライフバランスで残業できない ⚫ システムへの要求事項が高まる ⚫ 考える技術も増える ⚫ 学ぶことも増える ◼システムの開発は花形でも期間は短いが、システムを運用 する期間のほうが長いのだからこの運用設計をおろそかに してはいけない！ ◼だから、私は運用設計の重要性について、口酸っぱく説いていく 「運用でカバー」という魔法の言葉で全てが解決されるわけがない https://japan.zdnet.com/article/35104762/

19 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼何かを基準(ベース)にし、セキュリティの対策を行う！ ◼ガードレールなセキュリティを！ ◼運用設計をおろそかにしない！ ◼皆さんのビジネスを加速させる上で、我々が顧客とともに良いセキュリティ施策を今後も考えていくことが できればと思います。 おわりに

20 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼ クラウドベンダー認定パートナーの獲得 ⚫ 日本国内でNRIのみが3つのメジャークラウドの最上位パートナーに認定 （2019年10月現在） ◼ クラウド人材の社内育成を強化（クラウドベンダー認定資格取得） クラウド人材育成とパートナー認定 クラウドベンダー人材育成・クラウドベンダー認定パートナーは供に日本トップレベル 最上位パートナー (2019-) 最上位パートナー (2018-) 資格保持者数 日本一 最上位パートナー (2013-) OCI Azure GCP AWS

21 Copyright （C） NRI SecureTechnologies, Ltd. All rights reserved. ◼吉江 瞬 ◼所属：NRIセキュアテクノロジーズ セキュリティコンサルタント (野村総合研究所から2度目の出向) ◼メールアドレス：[email protected] ◼経歴： ⚫ Managed Security Service - WAF, IDS/IPS, NGFW, FW, LB, etc ⚫ AI Service - AWS, DevSecOps, Datadog, R&D ◼コミュニティ運営 ⚫ Security-JAWS / X-Tech JAWS / JAWS-UG東京支部 ⚫ JAWS-UG Tokyo / JAWS DAYS 2019 実行委員長 ⚫ JAWS SONIC 2020 実行委員長 ⚫ OWASP Japan PR Team 自己紹介

No content