CISSP meets Microsoftに行ってきた

こんにちは、ひろかずです。
今日は、(ISC)2主催のCISSP meets Microsoftに行ってきたので、一筆書きます。

例によって、ライブ執筆なので、誤字脱字、表記ゆれはご容赦ください。

会場は満席。
半数以上がCISSPホルダーという特殊空間となりました。

セキュリティプロフェッショナル資格とは：

(ISC)2 Director of Business Development, Japan　小熊 慶一郎, CISSP

(ISC)2はNPO法人
グローバルで12万人、米国8万人、日本は1600人強

• CISSP：言わずと知れた、セキュリティのグローバル認定資格
• SSCP：日々の業務に必要な情報セキュリティの体系的な理解を認定する資格。ネットワークエンジニア、システムエンジニア向け
• CCSP：クラウドサービスを安全に利用・運用するためのスキルを認定する資格。日本では2人...

CISSPの特徴

CISSPの考え方を身についけていることが肝要

例１

情報セキュリティマネジメントは、適切なポリシー、Standard、プロシージャ、ガイドラインが実装され
業務が許容範囲内のリスクレベルで確実に実施されていること

• CISSPは、業務のリスクが許容範囲内であることを合理的に説明ができるかを問う
• できることをすべてしてもリスクは残る。
• それでもリスクが許容範囲に収まらないのであれば、その業務は辞めるべき。

例２

セキュリティは、組織のビジョン、ミッション、事業目標をサポートし、実現することを目的とする

• レースに勝つためのブレーキを考える仕事が、CISSPの視点。
• ブレーキマニアや止めるだけ、コーナーを抜けるだけ、最速ラップを出すためだけ、ではない。

各国のISC資格採用状況

セミナー受けて、試験受けるタイプではない（分離されている）
米国：国防総省のスキル定義に採用されている。特権アクセスする人は、必須。

日本政府へのアプローチ

NISC及び各省庁に大してCysecのCISSP入門編を提供

• 非常に好評でフィードバックも良好だった。
• 国の調達要件に標準的に入っていく流れ。(既にプロジェクトに、CISSPホルダーを参加させることが受注要件のものもある)

CISSPが社長に話したいセキュリティ対策

マイクロソフト　蔵本 雄一, CISSP

今日はハッキングはナシ。
経営層に会話する時に気をつけていることの話
前職はマルウェア対策ソフト開発、侵入テスト

書籍「もしも社長がセキュリティ対策を聞いてきたら」
２回増刷り。ポチりましょう。

正しく怖がる、正しく伝えることが大事
経営層にビックリするくらい言葉が通じない。

正しく怖がる

費用対効果を意識した対策
最近のネタで費用対効果を考えてみる

標的型メール訓練（開かないようにすることが重要？）

• 創意工夫で開かせようとしてくる。なかなか難しい。
• 開く前提で対策を考えるのが合理的。
• MSの調査結果では、開いてから８時間でクライアント感染、４８時間でAD乗っ取り
• 隠すより、報告してすぐ対策するのが結果的に良い。
• 例：りそな銀行を騙った「貴様メール」でも開く人がいる

マルウェア対策ソフト(検知率の高いので全て防ぐ？)

• いたちごっこ

攻撃者の目的

以前：自己顕示や技術力の故事
現在：金銭

ランサムウェア

テスラクリプト感染画面にサポート問い合わせボタン
偽Windows Diffenderにサポート問い合わせで金払わせる
最近は電話させる

• 最近の傾向は、金を取るために至れり尽くせり

ゼロデイ脆弱性の買い取り

iOSで50万ドル（iOS10の脆弱性は3倍）
かなり高額で取引される。

• ブラウザ、ブラウザプラグイン、スマホが高額取引される傾向がある。
• OSは安い。FWやNAT越しに攻撃するのはしんどい

マルウェア販売

• 北海道の中学生がZeusを販売
• アングラExploit Kitで亜種増殖

DDoS as a Service

• 600円で一週間できるものもある。CIAのAが狙われている。
• 可用性を担保するのが難しくなってきている。

セキュリティ対策(Google調べ)

一般的なインターネットユーザーのコンセプトは、やられないようにするアプローチ。
セキュリティエキスパートのコンセプトは、やられても被害が広がりにくいアプローチ。

セキュリティ対策の考え方

攻撃者も投資なので、攻撃者の費用対効果を低減させるアプローチが重要
段階的なリスク低減（フレームワークを使って対策するのが吉）

• 防御力恒常：やられないようにする。
• 検知分析：やられていることをすぐに検知する
• 被害軽減：やられても被害を小さくする
• 事後対応：やられた後でも情報を保護する

既にこれに近いアプローチがある。

• 偽札防止技術(1万円作るのに1万円以上かけるようにさせる)
• 昔は髭を書くのも難しかった。今はホログラムや凹凸。抜け道はあるが、高額になる。

日本は、フレームワーク(体系的)な対策は行われているケースは少ない。

• 僕が考えた最強のセキュリティ

サイバー攻撃の流れと対策

PEST分析で最大公約数を考える

元々は、マーケティング用語

• Political(マイナンバー対策)
• Economy
• Society(ワークスタイル変革、サイバー攻撃対策)
• Technology(ワークスタイル変革、サイバー攻撃対策)

一つの対策で、複数の対応ができると見せた方が刺さる。
リモートロックやワイプは、ワークスタイル変革と合わせ技で見せる。

サイバー攻撃の流れで考える

− 攻撃メールを送信
− パソコンが　ウィルスに感染(ここで止まれば軽微)
− 感染拡大(ここはやばい)
− 機密情報の摂取

守る対象

PC（着弾点）, ID, データ

サイバースペースの現状

• 侵入前提の対策が必要
• 攻撃に投資されている
• 費用対効果を下げる対策
• IR情報化（ステークホルダーに開示する情報になってくる）

これ、何に役に立ってるの？

間接効果の見える化ができていない
間接効果を意識した見せ方

• IT基盤が更新さているから、在宅勤務からのテレワーク
• 盗難紛失対策は、安全なテレワークを実施する

金額的効果

• 電話会議システム（月幾ら経費が浮くとかわかりやすい）

化粧品売り場の会話

• どれくらい入ってるの？　→　50mlです　とは言わない
• どれくらい入ってるの？　→　1ヶ月分です　と言う。

Security as a bussiness Enabler

• この対策は、どのようにビジネスに結びついているのか が重要
• 危険だから車には乗らない（ふぐは食べない） ではなく、シートベルトとエアバッグを装備する（専門家が毒を取る）

ドラッカー４つのコスト

• 生産的コスト：主たる事業を行うのに必要なコスト
• 補助的コスト
• 監視的コスト：悪いことが起こらないようにするコスト（創庫に警備員を雇うとか）
• 浪費的コスト

ドラッカー４つのリスク

• 負うべきリスク：事業の本質に付随するリスク
• 負えるリスク　：選択肢の可能性としてのリスクテイク
• 負えないリスク：チャレンジして失敗すると大ダメージ
• リスクを負わないリスク：追うべきリスクを負わなかった際に発生するリスク

なぜ伝わらないのか

セキュリティ対策の効果を見えるかできていない
FMEA（故障モードと影響解析）

• 電球　→　ガラス、フィラメント、口金
• 影響度ｘ発生頻度ｘ防御困難度＝リスク優先度

各パラメータの定義としては、４点法がお勧め（１０点だと偏りやすい）
4点の例
発生頻度：年に複数回
影響度　：基幹業務停止、機密情報漏洩、致命的
防御困難度：不可能
3点...
2点...
1点...

• もちろん定期的に見直す（半年で取り巻く環境はガラッと変わる）
• アセスメント結果、8点以下は対策しない等のポリシーを決めておく
• 点数化しておけば、対応しなかった理由が説明可能になる。

なんでこの製品を選定したの？

コンジョイント分析の応用
例：

• 検出率
• IT基盤統合
• 管理工数
• ライセンス費用

サイバー攻撃を見たことがない

百聞は一件に如かず（ハッキングデモ）
6月にハンズオンの予定（！）

宣伝

• 5月の情報セキュリティエキスポで伝え方をやります。
• 「20のやらかしから学ぶセキュリティ」5/25にベルサーレ九段下

CISSPならこう考えるOfiice365の安全な運用方法

マイクロソフト　小町 紘之, CISSP

セキュリティの目的

セキュリティの3要素はCIA。これを確保するのが目的。

お客から言われる呪文

• セキュリティはキリがない
• セキュリティはカネがかかる
• セキュリティにリソースは割けない

セキュリティベンダーのホラーストーリでのモノの売りつけの結果、英国政府が批判する記事もあった。

セキュリティマネジメント

目的があって、範囲を決めて、優先順位を付けていく

リスクマネジメント/分析

• リスクの特定、影響度
• リスクに対する受容レベルの設定
• eg.1億の損害が出るのを防ぐのにいくらまでかけられるか？

情報の分類

• 情報資産の棚卸
• eg.オンプレファイルサーバ(1PB)をクラウドに上げたらセキュアになる？

リソースの適正化

• 分類して区別しないと費用対効果が悪い

あるべき運用

Identify
Protect
Detect(いつ、どこで、誰が、何をした → ログ)
Respond
Recover

Detectは難しい。
定期的なログ監査は素晴らしいが、ログのリアルタイム分析もとても大事。
検証環境のADに1週間晒してみた結果、Administratorに31000件のアクセス試行があった、
このような傾向はリアルタイム分析でないと有効に把握することができない。

Azure Information Protection

Officeアドオンをインストールすると、ユーザが作るファイルに対して、
機密区分に応じて社外秘などのタグや暗号化、すかし、ヘッダ・フッタがを自動的に付けてくれる。
ポリシーベースで付加される。
ユーザーにタグ付けをお願いすると、間違い、付け忘れ、怠慢等どうしても難しい部分があるのを自動化できる。

DLP（情報損失防止）

Exchange Onlineの機能で、タグやラベルに応じて、リアルタイムで送信ブロック・レポート出力を行う。
sharepoint Online, One Drive for Bussinessでも、同様のことができるとのこと。

それでも、重複排除や分析は人がやらないといけなかった。
Office365のAdvanced eDiscoveryでは、機械学習である程度のデータ成形を行うので、省力化できる。

勝手クラウドの検出と制御

Proxyサーバでの制御が一般的だが、抜け道もある。
Proxyログは見きれない。
ProxyログをAdvanced Securityに食わせて、利用サービスを可視化できる。
更にポリシーベースでアカウントのロックまで設定できる。

Office365 Threat Intelligence

GAしたばかり
ダッシュボードで、ウィルス検知傾向を把握でき、狙われている担当者や世界中のテナントの検知動向、時間軸の推移も把握できる。
Threat Intelligence レポートで、マルウェアの情報も確認できる。

Office365 Secure Score

自社の365環境のアセスメント結果を確認できる。
スコアだけでなく、現状どうなっていて、どうすればいいのかを確認できる。
- スコアを上げるのは目的ではないので、環境に合せた対応をしていくのが望ましい。

これからの　Office 365セキュリティ

• リアルタイムの状況把握
• 自動化による管理者/ユーザの負荷低減
• 費用対効果を考えた効率的なリソース配置

Office365ライセンスが高いとはよく言われるが、費用対効果の問題。
全て一律のセキュリティレベルでよいか？
棚卸しして、必要なところに投資して欲しい。

クラウド専門家からみたCISSPのセキュリティ知識

マイクロソフト　吉田 雄哉

2010年ごろからクラウドに向き合った人とのこと。

企業におけるクラウドの導入・活用を支援する場合の悩み

文化的な変化をどう導くか

• 誤解を正し、フォーカスを合せて、実践を促すにはどうすればいいか
• よくある誤解(eg.使った瞬間安くなるとか)
• フォーカス合せ(パーツの積み重ねがソリューションになる vs 銀の弾丸)
• これまでの調達プロセスと異なる。文化的な話。

結果につなげること、期間を短くすること

• 結果とは利用者が得るもの
• 使ってもらってなんぼ。従量課金。
• 外的要因をコントロールできない。

いざ行動しようとすると様々な障壁が

クラウド利用に関するポリシー策定

• ポリシーが古くて見直しするも、クラウドへの理解が足らずに見直しが進まない

方針に基づく対応策の実装は？

• ある時、クラウド禁止に倒れると...
• 勝手クラウドの誕生（ガバナンスが効かない）
• 事故った時に、全体の把握もできない

クラウド環境特有のリスクはがあるの？
...

CISSPの知識を活用しアクションにつなげる

• 事例を読み解いて「ベストプラクティスに学ぶ」（事例を知りたいのではない）
• パートナーシップ（使った分だけ課金。お客様は神様ではない）
• 実践による文化の導入（いきなり規定は作れない。規定は上手く馴染んだ後に、上手に回し続けるために作られたもの。）

セキュリティ対策も変化している

トレーサビリティの確保

• IDフェデレーション(必要なキーを都度取りに行く)
• FWを跨いだログの統合(大量のサービスのログを統合して、リアルタイム分析・レコメンドしていく)

クラウドの原則は、「利用者が選ぶ」こと

通常モデルは、ユーザーの要望（アプリケーション）からSIが構築する（インフラ含む）。SIは使える製品を選択する。
クラウドは、クラウダベンダーがパーツを作り、SIを

Design for Failer

「基礎をなすクラウドインフラの信頼性に関わらず、対象となるアプリケーション自身がその可用性について、責任を負う」という原則

PoCによるシフトレフト

アーキテクチャ策定
コンセプト検証

• ここは「やってみた」ブログ

構築と自動化

• ここでDesign for Failerが登場
• 自動的に管理下に置く、オートスケール（垂直、水平）
• 水平スケールは、ライセンスや監視の問題があるので注意

監視と分析

• 従量課金だから、止められるものは止めても良い。営業を呼んで値切るより、使い方を変えるほうが効率的。

ナレッジ共有
ループ回数の恒常
速度の恒常
タスクの最小化

Azureでのセキュリティ対策

高速Azure紹介なので、中の人に聞いてください＞＜

まとめ

サービスとノウハウは既に充実している。
強みは、速さとすぐ試せる、すぐやめられる。
継続的に活動し、とにかく試す。日常的にリリースはされる。
自動化はクラウドの特徴。とにかく活用して。
パートナーシップ。詳しい人と仲良くしましょう

DevSecOps

• セキュリティの視点は、経営、実装、運用の３つの視点で行い、サービス利用による実装

ITサービスの活用とセキュリティに付いてパネルディスカッション

司会：小熊さん
パネラー：蔵元さん、小町さん、吉田さん

Azure Infomation ProtectionのポリシーをMSはどう使ってるの？

• 具体的には見れない立場
• 分類はデフォルトで5種類。あまり細かく分類するのは運用が厳しいのでは

今あるサービスのクラウド化。クラウド怖い病の知識がない人にはどう言ったらいいか？

• その人が何に興味があるか。それに対して寄与する説明がいいのでは。
• それを使い続けると、どうなるのかを語る（将来のイメージ：保守パーツ終了、ナレッジ保有者の退職）

情報漏えいのリスクがが怖い話にはどう

• 情報漏えいニュースは、オンプレ環境がほとんど。（JTB,年金）
• やられ方を知らないと、クラウド怖い病に流れやすい。
• 情報漏えいしたファイルサーバは、インターネットには接続していない。

(「情報漏えいニュースは、オンプレ環境がほとんど」を受けて)クラウドシステムって少ないんじゃないの？

• ドキュメントの情報漏洩については、どこに置くのかは本質ではない。
• 問題は、ID/PWで見れる程度のセキュリティレベルなのか、更に要素が必要なのか。(認証レベルの問題)
• クラウドで情報漏えい事案が少ないのは、二段階認証が簡単に実装できるから。
• オンプレミスで多要素認証しようとしたら、非常に大変。

熱海のセキュリティ会合話

• 米国のクラウドファーストの話
• データは渡したらハンドリングできない。
• クラウド上のファイルの参照権を渡して作業させ、使い終わったら権限を消せばいい。
• セキュリティのためにクラウドを使う良い事例。
• 添付ファイルも同様。転送したら、守るべきファイルがいつの間にか増えている。
• クラウドだったら、リンクを貼るだけでいい。

製品以前にもっとやることあるだろって人には

• 中の人の評価基準にヒットする言い方(パートナーシップ)

今日はここまでです。
お疲れ様でした。