Tweet
Tweet

Slide 1

Slide 1 text

ふみふみ@ゆるふわCIO候補(仮) セキュリティインシデント演習の 効果を高めるためのポイントと実例

Slide 2

Slide 2 text

アジェンダ 自己紹介・本日のテーマ 1. インシデント演習とは? 2. 演習を実施する上でのポイント 3. 弊社の演習と課題感 4. 課題への解決方法 5. まとめ 6.

Slide 3

Slide 3 text

- 3 - プロフィール 名前:ふみふみ@ゆるふわCIO候補(仮) 趣味:漫画・アニメ    ファッション・コスメ    ダーツ・バレーボール・サイクリング 特技:即決力

Slide 4

Slide 4 text

- 4 - 職務経歴 1社目 50人くらいのWeb制作 PG/営業 2社目 大手ソシャゲ 社内SE/CS/QA 総務/情シスサポート 3社目 80人くらいのWeb制作 PG/社内SE 4社目 Fintech 情シス グループリーダー ←いまここ

Slide 5

Slide 5 text

本日のテーマ・ゴール

Slide 6

Slide 6 text

本日のテーマ - 6 - セキュリティインシデント演習        できていますか? 効果的に

Slide 7

Slide 7 text

本日のテーマ:主な対象者 - 7 - 1 セキュリティ専門部署ない・専任者がいない 2 ISMS等の関係でインシデント演習をやっているが どんな風にやったら効果が出るか分からない 3 他社でやっているインシデント演習を参考にしたい

Slide 8

Slide 8 text

本日のテーマ:ゴール - 8 - 1 当たり前なことの再確認 2 Fintech企業で実施している演習を知る 3 本番に活かすためのポイントと気付き

Slide 9

Slide 9 text

インシデント演習とは?

Slide 10

Slide 10 text

インシデント演習とは? - 10 - インシデントの発生と対応を擬似的に再現し などを確認し、対策していく為のもの (≒ 防災訓練) 対応力・体制・ギャップ・リスク

Slide 11

Slide 11 text

インシデ ント 演習とは?:演習の種類 - 11 - 討論 中心のもの 机上演習、セミナー、ワークショップ、ゲーム オペレーション 中心のもの 訓練(ドリル)、機能演習、総合演習

Slide 12

Slide 12 text

インシデント 演習とは?:その他の診断・テスト インシデント演習 (サイバー演習) シナリオに沿って擬似的にインシデント発生時の 対応フローやリスクなどを確認する。包括的な呼称 脆弱性診断 システムや開発したアプリケーションに対して 攻撃の侵入口となる脆弱性を網羅的に検出する ペネトレーション テスト システムや開発したアプリケーションに対して 実際に攻撃が可能なのか検証する侵入テスト - 12 - 出典:GMOサイバーセキュリティ by イエラエ株式会社 【脆弱性診断・ペネトレーションテスト】

Slide 13

Slide 13 text

インシデント 演習とは?:ペネトレ細分化 公開情報を利用 した攻撃シナリオ OSINTにてアタックサーフェスを探し、システム へ侵入可能か検証。外部ペネトレーションテスト 標的型 攻撃シナリオ 疑似的なマルウェアなどに感染や内部犯などを 想定した調査。内部ペネトレーションテスト レッドチーム 演習 Web・フィッシング・無線AP・物理侵入、 漏洩情報など様々な侵入手法による攻撃演習 - 13 - 出典:GMOサイバーセキュリティ by イエラエ株式会社 【脆弱性診断・ペネトレーションテスト】

Slide 14

Slide 14 text

演習を実施する上での ポイント

Slide 15

Slide 15 text

演習を実施する上でのポイント① - 15 - 演習の を正しく設定する 目的・スコープ

Slide 16

Slide 16 text

演習のポイント①:目的を明確にする 例1 インシデント発生時の対応フローを確認する (いつ・だれが・どこに・なにする) - 16 - 例2 インシデントが組織にもたらす リスクの全体像についての理解を促進する 例3 前回の課題が改善されたかを確認する (PDCAを回していく)

Slide 17

Slide 17 text

演習のポイント①:ス コープを明確にする 例1 CSIRT・セキュリティ・情シス向け (対応計画、セキュリティリスクの再確認など) - 17 - 例2 経営層向け (セキュリティリスクの理解、経営判断の向上など) 例3 全社向け (組織内連携、外部報告のフロー確認など)

Slide 18

Slide 18 text

演習を実施する上でのポイント② - 18 - 演習だけで終わらせず を構築していく 本番時に活用できる運用

Slide 19

Slide 19 text

1 2 3 4 5 演習の ポイント②:演習だけで終わらせない - 19 - 報告時のフローなど属人化してない? インシデント発生時に何見れば良い? インシデント発生時にやることは明確? 資料は誰が見ても理解できる? 過去の課題や改善状況は確認できてる?

Slide 20

Slide 20 text

演習を実施する上でのポイント③ - 20 - 演習後は必ず    を実施し 次回に向けて      していく 改善 評価

Slide 21

Slide 21 text

演 習の ポイント③:評価と改善 - 21 - 良かった点、改善された点、反省点 参加者が変わればまた違った点が必ず出てくる 前回なかった視点、気付きなども出てくる 反省点は次回に向けて改善していく 工夫でカバーできるものもある 技術的に投資して対応した方がいいものもある

Slide 22

Slide 22 text

弊社の演習と課題感

Slide 23

Slide 23 text

なるものを実施している 弊社の演習 - 23 - 分野横断的演習

Slide 24

Slide 24 text

弊社の演習:分野横断的演習とは? NISC + 所管省庁 重要インフラ事業者等が対象 情報通信、金融、クレジット、電力等の14分野 机上演習 集合会場 or 自職場 演習シナリオ(ベースシナリオ)が用意されている 経営層の参画、サプライチェーンリスク対策 経営判断を伴うインシデント対応を想定 - 24 - 出典:NISC 【2023年度 分野横断的演習の実施結果について】

Slide 25

Slide 25 text

弊社の演習:演習の概要 ベースシナリオを元に個別シナリオを作成 ベースシナリオは、日本クレジット協会から 個別シナリオは、セキュリティ部署と情シスにて作成 オフィス(対面) + Zoomのハイブリット 役割が事前に割り当てている 進行役・記録役・外部連絡責任者・報告書作成者など Slack上でシナリオ進行 + 状況付与 - 25 -

Slide 26

Slide 26 text

弊社の演習:シナリオこんな感じ - 26 - ベースシナリオ 最近のサイバー攻撃事案が基 重要インフラ(自社サービス等)の停止 状況付与のタイミングなどが指定 2020: VPN脆弱性による社内システム停止 DDoS攻撃によるサービス障害 2021 ~ 2023: ランサムウェア感染 + サービス停止

Slide 27

Slide 27 text

ルールやガイドラインは明文化されているが 誰が何をすればいいのか 課題感 - 27 - 属人化していて不明瞭...

Slide 28

Slide 28 text

課題感:もちろん... - 28 - インシデント発生時のガイドラインやルールはある ISMS / PCI DSS取得してるので色々ある エスカレーションガイドライン 緊急連絡先一覧 etc,,, 親会社もあるよ 親会社への報告基準・ルール それに沿って対応はしている

Slide 29

Slide 29 text

弊社の課題:ガイドラインあっても... 課題感 ガイドライン等は明文化されているが実務的ではない 全体的なタスク一覧や対応手順が不明瞭... 課題1 抜け漏れないかが属人的でわからない (ある程度やることも流れも分かるんだけど...) 課題2 判断基準があいまい (顧客への連携は?外部への公表は?) 課題3 どのドキュメントを見にいけばいいかあいまい (ちゃんと把握してるのはセキュリティ部署くらい...) - 29 - その結果...

Slide 30

Slide 30 text

課題への解決方法

Slide 31

Slide 31 text

インシデント対応における          と を作成した 解決方法 - 31 - 管理シート 参照用wiki

Slide 32

Slide 32 text

解決方法:作成における補足 - 32 - JPCERTなどを参考にしながら... 自社のガイドライン・ルールに合わせて作成 汎用的に使えるように... テンプレートとして作成 実際に綺麗に作成してくれたのは... セキュリティ部署の新メンバー (随時アプデ)

Slide 33

Slide 33 text

解決方法:網羅的な管理シートの作成 簡易手順・やることリスト インシデントハンドリング フロー図 役割一覧表 対応文書早見表 主管部署 / 対策本部 / 部署別 / 連絡者 手順 カード番号漏洩 重点チェック項目早見表 - 33 -

Slide 34

Slide 34 text

解決方法:簡易手順・やることリスト - 34 -

Slide 35

Slide 35 text

解決方法:インシデントハンドリング フロー図 - 35 - 出典:JPCERT/CC 【インシデントハンドリングマニュアル】

Slide 36

Slide 36 text

解決方法:インシデントハンドリング フロー図 - 36 -

Slide 37

Slide 37 text

解決方法:役割一覧表 - 37 -

Slide 38

Slide 38 text

解決方法:組織別 簡易対応手順 - 38 -

Slide 39

Slide 39 text

解決方法:参照用WIKIの拡充 - 39 - インシデント発生時の初動対応の要点など 訓練時のPointなども記載 管理シートなどの参考資料として 全体像把握や勉強会用の読み物的な資料

Slide 40

Slide 40 text

まとめ

Slide 41

Slide 41 text

- 41 - 1 演習の目的・スコープを明確にしよう 2 3 演習内容を評価して改善を繰り返そう 本番時に活用できる運用を構築しよう まとめ

Slide 42

Slide 42 text

APPENDIX:色んな企業の演習事例 Sansan 1. ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でも アリ”なセキュリティ演習 a. freee 2. 自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏「従業員はトラウ マに」 a. 本当に怖い障害訓練、犯人はfreeeの中にいる!? b. クラウドネイティブ 3. インシデント対応訓練をおこないましたよー a. - 42 -

Slide 43

Slide 43 text

APPENDIX:内容の参照元 JPCERT/CC 1. CSIRTマテリアル付録 インシデント対応演習プログラム a. インシデントハンドリングマニュアル b. NISC 内閣サイバーセキュリティセンター 2. 2023年度 分野横断的演習の実施結果について a. 「重要インフラのサイバーセキュリティに係る行動計画」の概要 b. GMOサイバーセキュリティ by イエラエ株式会社 3. 脆弱性診断・ペネトレーションテスト a. レッドチーム演習 b. OSINT (Open Source Intelligence)とは? c. - 43 -

Slide 44

Slide 44 text

ご静聴 ありがとうございました