聴講メモ
講演1.複眼的な取り組みが求められるサイバーレジリエンス
- ITの世界ではスピードが違うものが出ている(レガシーが無くなるわけではなく、Fast ITが出てきている)
-SlowIT:ユーザーの声を取り組んでじっくり成熟させてきたオンプレや5Gなど
-FastIT:所謂クラウドサービス
- FastITではトラブルは織り込み済みで、不具合は運用でカバーする。過剰品質はやらない。一つの会社が万能なものを作るのではなく、アジリティでやる
- 「安全」という観点からは、レガシーもクラウドも関係ない
- 日本のサイバーセキュリティは欧米と比較するとかなり遅れている(5年~10年)
- マーケットに任せてもダメなので規制で進めていく
- 欧米はインシデント報告義務があるが、日本は産業分野ごとに有無や濃淡が異なる。欧米はクロスセクターでやっているし上場企業全部でやっている
- NIS2 Directive (ネットワーク情報セキュリティ指令)ではEU加盟各国で法制化が要求されている
- インシデント発生時、欧米は24時間~4日以内での報告義務
- 取締役会メンバーのサイバーセキュリティに関する専門知識(CISM、SISSP保持、etc)に関する情報開示の義務付け
- EUのAI規制は域外適用
- 今の世の中、クラウドを使っていない組織構成員はゼロ(オンライン名刺管理サービスもクラウド)
- サイバーレジリエンスは回復不能(サービス提供不可/終了)にならないようにコントロールすることが重要
- サイバーレジリエンスは世界経済フォーラムで言われているもので、IT専門家ではなく、世界の意識高い系の経営者が発信していることがポイント(⇒経営層への訴求ポイント)
- 単一障害点(一本足打法)を作らない(Office365が使えなくなっても大丈夫か?Teamsが止まっても大丈夫か?Akamaiが止まっても大丈夫か?)
- 近年は一本足打法の悪影響が目立つ(ベンダーロックインの誘惑が常にある。止まらないと謳っても止まる。Teamsはしょっちゅう障害。Akamaiは東京オリパラ開催日に障害。外資ベンダーは障害起こしても謝罪しない。外資と日本企業は停止に伴う受け止め方が全然違う。外資は「まいっか」で済むが、日本では大騒ぎになる。
- マルチプラットフォームを駆使することは重要だが、ベンダーロックインの誘惑にあらがうのは大変。
- お金の観点では一本足打法が安くなるので魅力的。経営サイドで一本足打法がヤバいことを言ってもらわないといけない
- 山手線は止まっても他の会社の振り替え輸送ができる。クラウドの世界では何故同じことができないのか?
- EUは選択肢を残すため(ロックインされないため)にLinuxに多額の投資を行っている
- 単純さを求める勢力に拮抗する(ごった煮のCIO/CTOではなく、CISO、CDO等の細分化が必要)
- 新技術が出てきたときに自社の最悪の事態想定をアップデートする
- DXはデジタル総力戦
-サプライチェーンxAI・ブロックチェーン
-人材活用xインフラ仮想化・ゼロトラスト - 新技術の良い点・悪い点を予め押さえておくことが重要
- Javaのように重厚長大だと思っていた宮殿の床が突然抜けるようなことが起きる時代、計画やサイクルも重要だが、アジリティは非常に重要
- 神戸市は武漢ウイルスワクチン接種券アプリを1週間で作ったが、プロは1日で作れる。世の中はそれくらいのスピード感で動いている
- 演習(欧米ではエクササイズ)により備えができる。繰り返すことが重要。演習をチームで実施してみると、常勝チームみたいなものは無く、チームワークで乗り切るところ、俗人的に対応するところがある。技術だけでもダメ、チームワークだけでもダメ
- 進んだ組織だとGameDayと称して抜き打ちでインシデントを発生させる組織もある。
- 日本は事故を隠蔽する傾向にあるがこれは背任行為。国内外では立ち入り検査が進んでいる
- クラウドやレガシーが重なり合っているのがいまのIT。 オンプレだけとかクラウドだけとかではなく、相互依存性を意識しないとサイバーレジリエンスは絵空事になる。
- 欧米は官僚がテクノロジーに詳しかったりする
講演2. サイバー犯罪の現状と対策におけるインテリジェンスの活用
- Emotetは初期アクセスブローカー
- 脅威フィルタリングの可視化は難しい
- アセスメントの結果、脅威フィルタリングは想定ほど入り口でブロックできていない。日々10万件の脅威だと95%ブロックできても500件くらい対応が必要
⇒SOCメンバーが疲弊
⇒フィルタリングの強化が必要 - ユーザーを教育するとユーザーがセンサー(何かあったときにセキュリティ部門にタレコミしてくれる)になる
- 攻撃の傾向やトレンドについて、アンダーグラウンドにもトレンドがあり、どこかの攻撃者が日本の病院で大きな利益が得られた(=病院が身代金を払った)となると、他の攻撃者グループも日本の病院を狙うようになり、結果として日本の病院が狙われやすいというトレンドが形成される
- BEC(ビジネスメール詐欺)はグローバル展開している企業が狙われやすい傾向にある。さらに海外拠点の人が狙われやすい。
- AIを活用したBECやフィッシングは今後増えると考えておいた方が良い
- 従業員にとってURLだけで不審か否かの見極めはかなり厳しい。その前の不審メールの見極めや、気になったらエスカレーションしやすい環境を整備することが重要
- 外資企業では報告をしっかりしてくれた方に対して表彰を実施している
講演3.情報セキュリティマネージャーが知っておくべきクラウドセキュリティと社内普及
- 現実の脅威と知覚された脅威は分けて考えなければならない
- 10大脅威は昨年から大きく変わっていない
⇒今の対策が効果が無い? - クラウドに対する懸念が増えている
- OWASPトップ10(3-4年で変わる):個別の脆弱性から大きな枠組みに変化。攻撃の仕方⇒設計や不備等の大きな感じ(攻撃の枠が増えてきた)
- クラウドの脅威:CSAが出しているパンデミックイレブンが参考になる
- クラウドのインシデントは利用者起因が増えている(使う側のセキュリティ対策)-管理不備、設定戻し忘れ、etc
- 脅威者のやり口の知見がMITRE ATT&CK
- MITRE ATT&CKのIaaS抜粋版がある
- 攻撃者はクラウドに対してアカウントを何とか窃取しようとする
- オンプレでもクラウドでも守る資産は変わらない。脅威と脆弱性が異なる
- クラウドサービスは必ず利用者側の責任が発生する(お任せや丸投げは不可)
- 責任共有モデル:CSAからクラウドコンピューティングの進化と新たな責任共有モデル
- クラウドの棚卸について、申告ベースでは漏れがあるため、利用料支払い実績などからも追う(地道な活動の繰り返し)
- 研修・勉強会・連絡会など、セキュリティ部門から現場に伝えたいことを情報発信する場を作るのが良い(現場とセキュリティ部門に距離がある)
- Wikiサイトをつくるとよい
- 現場からセキュリティに近づいてくるのは問題が起きたときやリリース直前等なので、セキュリティ部門から現場に歩み寄るのが良い
- セキュリティ新機能が出たらシェアをし、反応が良ければ次回のガイドライン改定のネタにする
- クラウドはプロバイダと利用者責任があるので、その責任範囲を把握する
- クラウドセキュリティは認証・認可・ロギング、暗号化等、共通の考え方で行ける
- 開発現場の理解を得るためには情報発信が必要
- 社内のガイドライン適用率は3年かけて8割程度を達成
- 総務省発行のガイドラインの有効性について、「総務省が・・・」ではなく、その裏にある参照文献の確認を行い、それが自組織にフィットするのかを抑えた方が良い。
- 現場には脅威、根拠、ベストプラクティスを話す。「インシデントが起きたときにこれは防げました」等、地道に続ける。
参考資料②:OWASP Top 10
参考資料③:CVE(共通脆弱性識別子)
参考資料④:クラウドコンピューティングの重大脅威 – パンデミックイレブン
参考資料⑤:MITRE ATT&CK®
参考資料⑥:MITRE ATT&CK IaaS Matrix (公式IaaS抜粋版)
参考資料⑦:クラウドセキュリティの役割分担
参考資料⑧:新たな責任共有モデル
参考資料⑨:NIST CSF
参考資料⑩:CIS Controls
参考資料⑪:ISMS
参考資料⑫:PCI DSS
参考資料⑬:【解説】NIST サイバーセキュリティフレームワークの実践的な使い方
参考資料⑭:セキュリティフレームワークやナレッジを活用したセキュリティ対策の評価・分析手法
参考資料⑮:CIS Benchmarks
参考資料⑯:パブリッククラウドのCISベンチマーク準拠チェックサービス(AWS)
参考資料⑰:パブリッククラウドのCISベンチマーク準拠チェックサービス(Google)
