Showcase2023_進化し続けるサイバーセキュリティ脅威を防ぐSaaSソリューション.pdf

Transcript

1. 進化し続けるサイバーセキュリティ脅威を防ぐ
 SaaS ソリューション
 2023/2/28
 アライアンス統括部 酒井剛


2. 2 自己紹介 酒井 剛（Takeshi Sakai） • アライアンス統括部 テックG • セキュリティ系SaaS製品

   Sumo Logic、Cloudflare Zero Trust • 2022年4月入社 • 前職では、EDR/CloudSWG導入、CSIRT • Nagios/Cacti、インフラエンジニア • 趣味：ケーキ作り、キャンプ

3. アジェンダ • データで見るサイバー攻撃 • サイバーセキュリティ戦略をたてるには • お客さまにおけるセキュリティ課題 3

4. 4 データで見るサイバー攻撃

5. データ侵害の平均総コスト ▪出典：IBMセキュリティ　2022年「データ侵害のコストに関する調査」 5 データ侵害を受けた際の金銭的被害額は年々多くなっている

6. 攻撃別ごとの上位件数 ▪出典：IBMセキュリティ　 X-Force 脅威インテリジェンス・インデック ス 2022 6 近年の攻撃上位は、 • ランサムウェア

   • サーバーアクセス • BEC（ビジネスメール詐欺）

7. ランサムウェアの脅迫タイプ 四重脅迫： 被害者の顧客や利害関係への脅迫 三重脅迫：DDoS 二重脅迫：情報の暴露 単一脅迫：データの暗号化 7 ランサムウェアの脅迫手段は、より影響が広く金銭被害も甚大に

8. ランサムウェアの脅迫タイプ件数 ▪出典：IPA　情報セキュリティ白書2022 8

9. 上位の感染手口 ▪出典：IBMセキュリティ　 X-Force 脅威インテリジェンス・イン デックス 2022 9 侵入経路で多いのは、 • フィッシング

   • 脆弱性の悪用 • 資格情報の盗用

10. ランサムウェアの被害金額 ▪出典：IPA　情報セキュリティ白書2022 10 ランサムウェアの金銭的被害は、サービス停止・調査復旧費用 さらには身代金やブランド被害におよぶことも

11. BEC（ビジネスメール詐欺）の被害金額 ▪出典：IPA　情報セキュリティ白書2022 11 BEC（ビジネスメール詐欺）の被害額も年々増えている

12. 12 セキュリティリスク ビジネスリスク ＝

13. 13 サイバーセキュリティ戦略をたてるには

14. NIST（アメリカ国立標準研究所） アメリカ国立標準研究所 情報技術に関する研究を行っている ITLの中のCSD部門がコンピュータセ キュリティの研究を行い、ガイドライン や標準規格の文書を発行 14

15. NIST サイバーセキュリティフレームワーク とは フレームワークは、重要インフラに関する サイバーセキュリティリスクマネジメントを改善するために 策定されたものではあるが、これに限らず、 経済社会のどんな分野の組織でも利用することができるものであ る。 フォーカスや規模に関係なく、 企業、政府機関、非営利組織で利用することができる。

    “ “ 15

16. フレームワークの３つの要素 01 フレームワークコア 02 フレームワーク インプリメンテーションティア 03 フレームワークプロファイル 16

17. フレームワークコア 17 ▪出典：NIST　Cybersecurity Framework v1.1

18. フレームワークコア - 機能 識別　ID システム、人員、資産、データ、機能に関するサイバーセキュリティリ スクの管理状況を把握し、どこにどのようなリスクがあるかを識別 防御　PR ID管理やアクセス制御、データセキュリティ、トレーニング、保守、保 護技術に関するセキュリティ対策 検知　DE

    異常とイベント、セキュリティの継続的なモニタリング、検知プロセス などセキュリティイベントの発生と識別 対応　RS 検知したサイバーセキュリティインシデントへの対策（対応計画、コ ミュニケーション、分析、低減、改善など） 復旧　RC 検知したサイバーセキュリティインシデントで阻害された機能やサービ スを元に戻すための復旧計画や手順、改善、コミュニケーションに関す る対策 18

19. フレームワークコア（カテゴリー・サブカテゴリー例） 機能 カテゴリー サブカテゴリー 識別 ID 資産管理 AM ID.AM-1: 組織内の物理デバイスとシステムの一覧を作成している

    ID.AM-2: 組織内のソフトウェアプラットフォームとアプリケーションの一覧を作成している ・・・ ビジネス環境 BE ID.BE-1: サプライチェーンにおける自組織の役割が、識別され、周知されている。 ・・・ ガバナンス GV ・・・ ・・・ 19

20. フレームワークの実装レベル （フレームワークインプリメンテーションティア） ティア１ 部分的である (Partial) ティア２ リスク情報を活用し ている (Risk Informed)

    ティア３ 繰り返し適用可能 である (Repeatable) ティア４ 適応している (Adaptive) 20

21. フレームワークの実装レベル （フレームワークインプリメンテーションティア） ティア１ 部分的である (Partial) ティア２ リスク情報を活用し ている (Risk Informed)

    ティア３ 繰り返し適用可能 である (Repeatable) ティア４ 適応している (Adaptive) 21 ティア２以上を目指すことを推奨されるが、必ずし もティア４を目指す必要はない

22. フレームワークの実装レベル （フレームワークインプリメンテーションティア） 識別　ID 防御　PR 検知　DE 対応　RS 復旧　RC Partial Risk Informed

    Repeatable Adaptive 成熟度レベル 22

23. フレームワークプロファイル 23 ⽬標のプロファイル ティア３ ちから２８ まもり４０ まほう３３ 現在のプロファイル ティア２ ちから１５

    まもり１０ まほう１１

24. フレームワークプロファイル To-Be (目標のプロファイル) As-Is (現状のプロファイル) Gap Action 24

25. フレームワークプロファイル 機能 カテゴリー サブカテゴリー 現状のプロファイル 目標のプロファイル 優先度 識別　ID AM-1 （ティア２）

    資産管理ツールは内部・外部のネットワーク 機器の資産を識別 PC、仮想デバイス、プリンターの製造元、端 末種別・モデルを識別 （ティア３） 資産管理ポリシーを文書化して、自動化ツール を有効的に使いながら資産の棚卸しを実施 全ての資産に対して十分な情報で管理（物理、 仮想、設置場所、機密レベル等） 中 AM-2 高 ・・・ 防御　PR ・・・ 検知　DE ・・・ 対応　RS ・・・ 復旧　RC ・・・ 25

26. NIST サイバーセキュリティフレームワークのまとめ • セキュリティ強化のベストプラクティスについて学ぶ • 現在のすがたと目標のすがたを明確にする • ビジネス要求に合わせて、優先度をつける 26

27. フレームワークコアとSaaS製品 識別　ID 防御　PR 検知　DE 対応　RS 復旧　RC 27 クラスメソッドが提案するSaaS製品

28. 28 お客さまにおけるセキュリティ課題

29. 29 ECサイトを運営していて、 サービスのセキュリティに不安がある

30. お客さま課題（ECサイトのセキュリティ） 30 ECサイト DDoS攻撃 脆弱性の悪用 盗まれた資格情報の悪用 設定ミスを悪用した侵害 漏洩したクレデンシャル

31. お客さま課題（ECサイトのセキュリティ） 31 コンテナ コード 識別　ID 防御　PR 検知　DE 対応　RS 復旧　RC ECサイト

    オンプレミス ソースコードの解析によって、脆 弱なコードやオープンソースライ ブラリの脆弱性を検出し、修復 アプリケーション /OSS 脆弱性の悪用 盗まれた資格情報の悪用 設定ミスを悪用した侵害

32. お客さま課題（ECサイトのセキュリティ） 32 コンテナ コード アプリケーション /OSS 識別　ID 防御　PR 検知　DE 対応　RS

    復旧　RC ECサイト オンプレミス コンプライアンス/セキュリティポリ シー準拠状況を分析・評価 IAMユーザー毎のセキュリティ設 定/利用状況を管理・統制 脆弱性の悪用 盗まれた資格情報の悪用 設定ミスを悪用した侵害

33. お客さま課題（ECサイトのセキュリティ） 33 識別　ID 防御　PR 検知　DE 対応　RS 復旧　RC コンテナ コード アプリケーション

    /OSS ECサイト オンプレミス 高度なホワイトハッカーによる有 人・ツールの両方でのハイブリッ ド脆弱性診断 ペネトレーションテストやデジタル フォレンジック 脆弱性の悪用 盗まれた資格情報の悪用 設定ミスを悪用した侵害

34. お客さま課題（ECサイトのセキュリティ） 34 脆弱性の悪用 盗まれた資格情報の悪用 設定ミスを悪用した侵害 漏洩したクレデンシャル 識別　ID 防御　PR 検知　DE 対応　RS

    復旧　RC 旧 auth0 BtoB、BtoC、BtoEの顧客向けの ログイン認証基盤をノーコードで 実装 複雑で脆弱になりがちなログイン 認証機能開発をセキュアに支援

35. お客さま課題（ECサイトのセキュリティ） 35 識別　ID 防御　PR 検知　DE 対応　RS 復旧　RC お客様の環境に最適なWAFの ルール（シグネチャ）を作成・設定 し、WAFの運用の円滑化を実現

    コンテナ コード アプリケーション /OSS ECサイト オンプレミス 脆弱性の悪用 盗まれた資格情報の悪用 設定ミスを悪用した侵害 DDoS

36. お客さま課題（ECサイトのセキュリティ） 36 識別　ID 防御　PR 検知　DE 対応　RS 復旧　RC 不審なアクティビティの侵入防御 や、不正プログラムの除去など、 豊富な機能でサーバーを保護

    コンテナ コード アプリケーション /OSS ECサイト オンプレミス 脆弱性の悪用 盗まれた資格情報の悪用 設定ミスを悪用した侵害 DDoS

37. お客さま課題（ECサイトのセキュリティ） 37 識別　ID 防御　PR 検知　DE 対応　RS 復旧　RC ログのリアルタイム分析、相関分 析、可視化により、セキュリティイ ンシデントの迅速な検知・特定を

    実現

38. お客さま課題（ECサイトのセキュリティ） 38 識別　ID 防御　PR 検知　DE 対応　RS 復旧　RC アラートをセグメント化（重要イン シデントの仕分け、対応状況の可 視化など）

    電話やメール、チャットなどへの オンコール・エスカレーション管理

39. 39 リモートワーク環境が増えているが、 標的型攻撃を受けることに懸念

40. お客さま課題（リモートワークのセキュリティ） 40 社内 遠隔アクセス VPN脆弱性の悪用 偽サイトの設置 SaaSへの不正アクセス フィッシングメール BEC（ビジネスメール詐欺） 偽サイトへの誘導

41. お客さま課題（ECサイトのセキュリティ） 41 識別　ID 防御　PR 検知　DE 対応　RS 復旧　RC CDNをはじめとする、巨大な高速 ネットワークプラットフォーム ゼロトラストによるセキュアなネッ

    トワーク

42. 42 クラスメソッドのセキュリティ SaaS お客様の環境に最適な WAFのルール（シグネ チャ）を作成・設定し、 WAFの運用の円滑化を 実現 ログのリアルタイム分析、 相関分析、可視化によ

    り、セキュリティインシデ ントの迅速な検知・特定 を実現 アラートをセグメント化 （重要インシデントの仕分 け、対応状況の可視化な ど） 電話やメール、チャットな どへのオンコール・エスカ レーション管理 ソースコードの解析によっ て、脆弱なコードやオープ ンソースライブラリの脆弱 性を検出し、修復 CDNをはじめとする、巨 大な高速ネットワークプ ラットフォーム ゼロトラストによるセキュ アなネットワーク 高度なホワイトハッカーに よる有人・ツールの両方 でのハイブリッド脆弱性診 断 ペネトレーションテストや デジタルフォレンジック 設定構成管理やコンテナ ワークロードのランタイム セキュリティなどのクラウ ドネイティブなセキュリティ を統合的に管理 旧 auth0 BtoB、BtoC、BtoEの顧客 向けのログイン認証基盤 をノーコードで実装 複雑で脆弱になりがちな ログイン認証機能開発を セキュアに支援 コンプライアンス/セキュリ ティポリシー準拠状況を 分析・評価 IAMユーザー毎のセキュ リティ設定/利用状況を管 理・統制 不審なアクティビティの侵 入防御や、不正プログラ ムの除去など、豊富な機 能でサーバーを保護

43. SaaS 活用のまとめ • 全ての SaaS を導入する必要はない • 今出来ていること、ビジネスリスクを低減するために 取り組むことを決める •

    ビジネス要求に合わせて、優先度をつける 43

44. 最後に • 類似の課題やソリューションで解決できそうなお悩み ございませんでしたか？ • 今日お話したこと以外にも既存お客さまで多様な業種 ・ビジネスのセキュリティ事例を扱っています • ぜひお気軽にお問い合わせください 44

45. 最後に 45

46. None