セキュリティキャンプ 2018 企業プレゼン

Transcript

1. チームワークを支えるセキュリティ - セキュリティ室活動紹介 サイボウズ株式会社 伊藤 彰嗣 Copyright (C) Cybozu,Inc. 1

2. 自己紹介 Copyright (C) Cybozu,Inc. 2 • 伊藤 彰嗣（@springmoon6） • サイボウズ株式会社

   セキュリティ室 所属 • 最近の取り組み • ISMS 認証 取得範囲の拡大に向けたマネジメント • サイボウズ株式会社 CSIRT（Cy-SIRT）事務局 • コミュニティへの参加 開発プロジェクトの現状を 把握する OWASP SAMM の活用 http://sssslide.com/speakerdeck.com/owaspjapan/owt2017jp-owasp-samm PSIRT Framework 翻訳 http://blog.cybozu.io/entry/2018/07/18/080000

3. 会社概要 名 称 サイボウズ株式会社（東証一部上場 4776） 事 業 内 容 「グループウェア」

   の開発・販売・運用 創 業 1997年8月（愛媛県松山市にて3名で創業） 所 在 地 東京都中央区日本橋2-7-1 東京日本橋タワー 拠 点 東京, 大阪, 松山, 名古屋, 福岡, 仙台, 札幌 上海, 深圳, 台北, ホーチミン, サンフランシスコ, シドニー 資 本 金 614百万円 業 績 連結売上 約 90 億円 ※2017年 12 月期予想 従 業 員 数 連結 734 名 (派遣社員 143 名含む・役員除く) ※2018 年 1 月末 平均年齢 34.6 歳 (本社正社員) Copyright (C) Cybozu,Inc. 3

4. 主力製品群 Copyright (C) Cybozu,Inc. 4 中小企業向けグループウェア 大企業向けグループウェア 業務アプリ構築クラウド メール共有システム 無料グループウェア＆チャット

   58,000社 4,600社 8,500社 6,500社 200万人

5. インフラからアプリケーションまで すべて自社開発 5 OS・ハードウェア・ネットワーク ミドルウェア Webアプリケーション Copyright (C) Cybozu,Inc.

6. 企業理念 – 2017 年 8 月版 Copyright (C) Cybozu,Inc. 6

   チームワークあふれる 「社会」を創る チームワークあふれる 「会社」を創る • 理想への共感 • 多様性な個性を重視 • 公明正大 • 自立と議論の文化 「優れたグループウェア」と 「チームワーク強化メソッド」の 開発と提供

7. チームとは。チームワークとは。 Copyright (C) Cybozu,Inc. 7 ➢チームとは 共通の目標（理想）を達成するための 複数メンバーの集まり ➢チームワークとは チームのメンバーが目標（理想）を

   達成するために役割を分担し協働すること

8. チームワークを支える３要素 Copyright (C) Cybozu,Inc. 8

9. ツールとセキュリティ Copyright (C) Cybozu,Inc. 9 Bitlocker の活用 MDM の活用 ツール

   制度 風土

10. ツールだけではセキュリティを保つのは困難 Copyright (C) Cybozu,Inc. 10 故意 過失 外部からの攻撃 内部からの攻撃 １．サイバー攻撃

    ３．内部不正 ２．ミス

11. ミスに起因する事故 Copyright (C) Cybozu,Inc. 11 誤操作 2017 年情報セキュリティインシデントに関する調査報告書 http://www.jnsa.org/result/incident/data/2017incident_survey_sokuhou_ver1.1.pdf 不正アクセス

    紛失・置き忘れ

12. Cyber Hygiene（サイバー衛生） Copyright (C) Cybozu,Inc. 12 サイバー脅威によるリスクを最小限にするための シンプルな日常の措置を構築すること 資産管理 最小権限

    ネットワークの モニタリング バックアップの 取得・試験 サプライチェーン の保護 インシデント対応 計画の立案 https://www.enisa.europa.eu/publications/cyber-hygiene

13. Copyright (C) Cybozu,Inc. 13 http://stopthinkconnect.jp/ シンプルにネットを使う合言葉

14. セキュリティ室の活動 Copyright (C) Cybozu,Inc. 14 インシデント 対応支援 外部機関との 連携 セキュリティ

    情報収集 セキュリティ 教育 セキュリティ 相談対応 セキュリティ マネジメント セキュリティに関する専門知識に基づき、 各事業部で行うセキュリティ施策に対して支援する http://www.slideshare.net/cybozucommunity/cysirt

15. インシデント対応の実例紹介 実際に攻撃を受けた事例を紹介します Copyright (C) Cybozu,Inc. 15

16. インシデント対応の流れ Copyright (C) Cybozu,Inc. 16 準備 識別 封じ込め 根絶 復旧

    教訓 フェーズ 取り組み 準備 システマティックに経営層からのサポートを得られる仕組みづくり 識別 誰がインシデントであると判断するか 封じ込め 被害拡大を防止し、対応コストを下げる 根絶 再発防止のために「根本原因」を突き止める 復旧 事故からの復旧。クローズをどう判断するか 教訓 個人の経験に留まらないように、対応経験を資産として保存する。 https://www.sans.org/reading-room/whitepapers/incident/incident- handlers-handbook-33901

17. セキュリティ室が大事にしていること • 「準備」の段階が特に重要 • 「制度」・「ツール」・「風土」を整える 事前に備える • 自社でやるインシデント対応の範囲を決めておく • 客観的な事実に基づいて判断。

    インシデント対応は冷静に Copyright (C) Cybozu,Inc. 17

18. セキュリティ室が大事にしていること（１） • 「準備」の段階が特に重要 • 「制度」・「ツール」・「風土」を整える 事前に備える • 自社でやるインシデント対応の範囲を決めておく • 客観的な事実に基づいて判断。

    インシデント対応は冷静に Copyright (C) Cybozu,Inc. 18

19. チームにセキュリティを組み込む Copyright (C) Cybozu,Inc. 19 「あるべき姿（理想）」に共感してもらう 自組織の「風土」・「制度」を理解し、課題を設定することが重要 Cause Action （原因）

    Reality （現実） Next Action （課題） Vision （理想） Problem （問題）

20. バランス良く対策を実施する Copyright (C) Cybozu,Inc. 20 インシデントの発生を完全に防ぐのは不可能 物理的管理策 論理的管理策 管理的管理策 （制度）

    「ミス」による事故を受け入れ、システム（ツール）で守る。 システムで守れないものは「制度」でカバー。

21. インシデント管理 Copyright (C) Cybozu,Inc. 21 インシデントレベル 情報源 発見者・当事者 インシデント概要 発生時刻

    インシデント詳細 インシデント種別 関連 URL インシデント原因 関連ファイル 初期対応の段階で登録すべき事項を 事前に取り決めておく インシデントと判断された事象は、登録時に関係者に通知される ツール 制度 風土

22. インシデントの分類 Copyright (C) Cybozu,Inc. 22 紛失 情報漏えい 情報破壊 セキュリティ侵害 著作権侵害

    ソフトウェアの誤動作 システム異常・トラブル 脆弱性 ツール 制度 風土

23. インシデントの深刻度 Copyright (C) Cybozu,Inc. 23 Emergency Critical Warning インシデントの深刻度に応じて インシデントに関するラベルを設ける

    脅威による侵害発生 ユーザ向けサービス 告知が必要 脅威による侵害発生 社内侵害 脅威による侵害発生 可能性 Cy-SIRT がラベルを設定し宣言する ツール 制度 風土

24. セキュリティ教育の実施 Copyright (C) Cybozu,Inc. 24 ワークショップ形式で セキュリティリスクマネジメントを体験 従業員の具体的な行動を促すコンテンツを作る ルールの周知と併せて セキュリティモラル教育の実施

    ツール 制度 風土

25. セキュリティ室が大事にしていること（２） • 「準備」の段階が特に重要 • 「制度」・「ツール」・「風土」を整える 事前に備える • 自社でやるインシデント対応の範囲を決めておく • 客観的な事実に基づいて判断。

    インシデント対応は冷静に Copyright (C) Cybozu,Inc. 25

26. Copyright (C) Cybozu,Inc. 26 コマンダー CSIRT全体統括者 PoC 自組織内、自組織外への説明、連絡 ノーティフィケーション担当 自組織内関連部署との調整

    経営者、外部組織 自組織内システム、関連システム セルフアセスメント担当 リスクアセスメント、脆弱性対応 インシデントマネージャー インシデントの状況分析 ソリューションアナリスト システムセキュリティ設計、有効性確認 トリアージ担当 該当システムでの対応調整 情報集約 対応状況 状況説明、連絡 優先順位決定 設計に反映 インベスティゲーター 捜査 情報集約 捜査状況 フォレンジック担当 調査依頼 対応指示 対応支援指示 情報集約 影響システムでの対応状況 情報集約 （影響範囲の報告） 計画策定、推進 実線は活動時の情報の流れ。 点線は必要時に実施する活動の流れ。 情報伝達 インシデントハンドラー インシデントの現場監督・ベンダとの連携 連携 リサーチャー、キュレーター インシデントの情報収集、運用しているセキュリティ センサ異常値の発見、影響分析 インシデント発生時の連絡体制 引用：日本 CSIRT 協議会 CSIRT 人材の定義と確保

27. 当日起きたこと Copyright (C) Cybozu,Inc. 27 識別

28. 対策室の設置 Copyright (C) Cybozu,Inc. 28 識別 Critical 以上のインシデントで CSIRT が必要と判断した事象について

    関係者を集めた対策室をオンラインで設置 識別の経緯 タイムラインの 作成 インシデント サマリ タイムラインは 8 時間を目安に情報を更新します

29. まとめ Copyright (C) Cybozu,Inc. 29

30. チームワークを支えるセキュリティ • 「ミス」による事故を受け入れ、システム（ツール）で守る • セキュリティを「制度」・「風土」に組み込んでいく チームでインシデントに立ち向かう • 「ツール」を活かすには、「準備」が大事 • 想定外の事態は起こるもの。客観的な事実に基づいて判断

    インシデント対応 Copyright (C) Cybozu,Inc. 30
31. None