CISSP meets Microsoft に参加しました

ご無沙汰しております、阿部です。

久しぶりにBlogを書いてみます。ということで、CISSP meets Microsoft に参加しましたので備忘録としてメモを記載しておきます。

アジェンダ

14:00 – 14:15
セキュリティプロフェッショナル資格とは：
(ISC)2 Director of Business Development, Japan　小熊 慶一郎, CISSP
14:15 – 15:15
CISSPが社長に話したいセキュリティ対策
マイクロソフト　蔵本 雄一, CISSP
15:15 – 16:15
休憩
16:15 – 17:00
CISSPならこう考えるOfiice365の安全な運用方法
マイクロソフト　小町 紘之, CISSP
17:00 – 17:30
クラウド専門家からみたCISSPのセキュリティ知識
マイクロソフト　吉田 雄哉

このようになっていました。

セキュリティプロフェッショナル資格とは：

CISSPとしての考え方についてお話されていました。

・その業務のリスクが許容範囲内であると合理的に説明できるか
→技術志向の考え方においては、あらゆるセキュリティ対策を考える

・組織の目標達成をサポートするセキュリティ
→CISSPはゴールとなる目標を達成する視点をもって活動する

特に面白かったのはブレーキを例えに使ったセキュリティについてのお話でした。ブレーキとは車を止めるための仕組みになります。レースにおいてはストレートでよく効く必要もありますし、カーブで速度をなるべく落とさないブレーキの利き方を考えなくてはなりません。ここでプロフェッショナルとしてはレースに勝つためのブレーキを考える必要があるのです。これをセキュリティに置き換えると、目的・目標を明確にして手段であるセキュリティ対策を適用するになりますね。

CISSPが社長に話したいセキュリティ対策

本日のポイントとして

・正しく怖がる

・正しく伝える

ことをお話しされました。

講師の蔵本 雄一氏の書籍紹介がありました。

もしも社長がセキュリティ対策を聞いてきたら 入門編

もしも社長がセキュリティ対策を聞いてきたら

費用対効果でセキュリティ対策を考えてみると標的型メール訓練があるが・・・これってユーザーはメールを開かないようにすればよい？

→訓練提供者は開かせるようにする（手を変え品を変えおこなっている）

・体表的な対策としては「怪しいメールを開かない」

→なかなかうまいかない

でもこれってセキュリティ対策としては効率が悪いですよね・・・

開かれることを前提に対策をしたほうが良い

→メールを開いてしまったら報告するなど

セキュリティ対策として、マルウェア対策ソフトがあるが・・・

→マルウェアを全て防ぐことが重要なのか

 

攻撃者の目的

以前は自己顕示や技術力の誇示→金銭に変化

ランサムウェア

・bitcoinでの支払いを要求

→下手なシェアウェアより優秀なサイト（FAQや電話でのサポートもあり）

・ZERODIUM

→ZeroDayの脆弱性を購入するサイト（IOS10では1億5000万？=$1,500,000）

CIA

・現在はDDOSが数ドルで行うことができるのでA（可用性：Availability）が心配

 

セキュリティエキスパートが考えるセキュリティ対策

・セキュリティアップデートをインストールする

・認証の対策

→攻撃を受けることを前提に考える

 

一般ユーザー

・アンチウイルスなど

→攻撃を受けない、感染しないことを前提に対策を考える

 

セキュリティ対策の考え方

• 防御力向上　やられないようにする
• 検知分析　やられていることをすぐに検知する
• 被害軽減　やられても被害を小さくする
• 事後対応　やられたあとでも、情報を保護する

 

偽札の偽造防止セキュリティ

・一万円を作成するのに一万円以上かかる

 

サイバー攻撃の流れと対策

PEST分析で最大公約集を考える

• Political（政治的要因）
• Economy（経済的要因）
• Sociery（社会的要因）
• Technology（技術的要因）

 

→セキュリティ対策をするためにビジネスを行っているわけではない

・セキュリティ対策がビジネスにプラスになるように説明する（HDDの暗号化をすることで働き方改革・・リモートでの働き方対策にもなる）

・サイバー攻撃の流れを考えるとさまざまなフェーズが存在するが、必ずしも特定の部分で止める必要がない。

 

セキュリティはフレームワークに基づいて対策する

• 防御力向上　やられないようにする
• 検知分析　やられていることをすぐに検知する
• 被害軽減　やられても被害を小さくする
• 事後対応　やられたあとでも、情報を保護する

 

サイバースペースの現状

• 侵入前提の対策が必要
• 攻撃に投資
• 費用隊効果を下げる対策
• IR情報化

今までは技術者に対する開示だったのが、ステークホルダーへの開示へと変わってきた

 

正しく伝えるには

・これって何の役に立っているのか？と問われる

→間接効果を意識した見せ方をしていない

IT基盤・・・間接効果として在宅勤務、外出先からのテレワーク

盗難紛失対策・・・間接効果安全なテレワーク（機能：HDDの暗号化、直接効果：第三者からHDDの読み取り防止）

 

金銭的効果があれば説明は簡単

 

目指すべきは思考のパターン

危険だから車への乗車は禁止→シートベルトとエアバッグを装備することで安全に乗車

 

ドラッカー4つのコスト

1. 生産的コスト
2. 補助的コスト
3. 監視的コスト
4. 浪費的コスト

 

ドラッカーの4つのリスク

1. 負うべきリスク
2. 負えるリスク
3. 負えないリスク：セキュリティの見える化をすることで負えるリスクに変化する可能性があり
4. リスクを負わないリスク

 

セキュリティ対策の効果を見える化できていない

FMEA（交渉モードと影響解析）

影響度＊発生頻度＊防御困難度＝リスク優先度

4点法がお勧め

 

なぜこの製品を選んだのか？

コンジョイント分析の応用

 

マルウェアやサイバー攻撃は何が怖いの

→見たことがないから

・百聞は一見にしかず

実際にどういった被害が起こるのかを体験できる実証環境を構築

CISSPならこう考えるOfiice365の安全な運用方法

セキュリティの目的

セキュリティの3要素

• 可用性（Ａ）
• 完全性（I）
• 機密性（C）

 

3つの呪文

• セキュリティはきりがない
• セキュリティは金がかかる
• セキュリティにはリソースをさけない

 

■セキュリティマネジメント

目標と範囲を決めて対策をする

• リスクの特定、影響度
• リスクに対する受容レベルの設定

 

■情報の分類

・情報資産の棚卸

1TBのファイルサーバーの情報全てを対策をするのか？費用対効果の高い形でセキュリティ対策をする必要がある

 

あるべき運用

• Identify
• Protect
• Detect・・・対策ができていないと→事故
  • いつ、だれが、何を、どうした・・・説明責任
  • ログ管理になる
  • ログの保管だけでは、今何が起きているかの把握が難しい
• Respond
• Recover

 

■リソースの適正化

 

Azure Information Protection

分類を自動的に行ってくれる

→ポリシーベースで情報を分類してくれる

・運用するとユーザーが分類をする必要がある

クラウド専門家からみたCISSPのセキュリティ知識

企業におけるクラウド導入・活用を支援する場合の悩み

・文化的な変化をどう導くか

→誤解をただし、フォーカスを合わせ、実践を促すにはどうするにはよいか

クラウドはソリューションではない

• クラウドはパーツに近いものからソリューションに近しいものまである
• パーツを組み合わせて使用する

 

・結果につなげること、期間を短くすること

→結果とは利用者が得るもの

→外的要因をコントロールできない

 

クラウドは従量課金なので、良い製品でないとすぐに辞められる

いざ行動しようとすると

• クラウド利用に関するポリシーの策定ってどうやるの

・・・・

よくある失敗

• すでにクラウドが使われているが、ポリシーや規定がふるいまま
• 後追いでポリシー・規定見直しが行われる
• クラウドへの理解が足りておらず実施が南道
• リスクテイクができなくて利用禁止へ
• 利用禁止を無視して利用促進が進む

・・・

 

CISSPの知識を活用しアクションにつなげる

• 事例：ベストプラクティス
• お客様は神様：パートナーシップ
• 社内規定：実践による文化の導入

 

セキュリティ対策も変化している

• 早く「きがつけるか」が大きなポイント
• 防御＋監視（気づき）

 

トレーサビリティの確保

社内システム⇔ID（ログ）⇔クラウドのサービス群

サービスを選択し、デザインする

クラウドの原則は「利用者が選ぶ」こと

 

Design for Failure

「基礎をなすクラウド・インフラストラクチャの信頼性にかかわらず、対象となるアプリケーション自身が、その可用性について責任を負う」という原則

・インシデント管理の自動化

検出　対応　提言　報告　復旧　改善

・災害復旧の実装

を利用者が主体的に行うこと

 

PoCによるシフトレフト

アーキテクチャ策定→コンセプトの検証→構築と自動化→監視と分析→アーキテクチャ策定・・・・

 

自動化を使いこなすことが重要

クラウドというアプローチを導入する

• 見時からの実績と継続的活動
• 変動させるシナリオ
• 自動化による効率性
• パートナーシップ

 

クラウドは水平方向への展開がイメージされるが、実際には垂直方向（マシンのパワーアップ）して再起動させることが多い

 

Azureの機能説明

・セキュリティに関連する説明多数

 

Azureセキュリティの概要

https://docs.microsoft.com/ja-jp/azure/security/azure-security-getting-started

 

ITサービスの活用とセキュリティ（ディスカッション）

アメリカ政府はクラウドファースト

・セキュリティのためにクラウドを使用する

→クラウドではアクセス権を管理することでベンダーが変わっても対応可能

 

日本では横を見て使い始めることが多い

 

昔からデータセンターを使用しているところでは、耐用年数がそろそろ迫ってきているところでこれからパブリッククラウドに移行する必要があるかを迫られる

データセンターの利用はシュリンクしてきている

→クラウドへの移行が進んでいるから

ITのサイクルは早い