こんにちは、ひろかずです。
株式会社インテリジェントウェイブ社主催の「実践的なセキュリティ業務の作り方セミナー」に参加してきました。
会場は満席。
熱気で空調が追いつかずに、サーキュレーターがフル稼働してました。
お品書き
基調講演 『Security Directorが目指すべきセキュリティ業務づくり』
Session1: 脆弱性検査ツールの特徴と使い分け
Session2: Traps - アドバンストエンドポイントプロテクション-
基調講演 『Security Directorが目指すべきセキュリティ業務づくり』
ホスト
株式会社セキュアシステムスタイル 松尾 代表取締役社長
セッション内容
セキュリティディレクターは、社内システムのセキュリティ管理者や一人CSIRTのような文脈でのお話でした。
非常に生々しく人間臭い、口当たりの良い綺麗事では済まないコンテキストが印象的でした。
現場に則したセキュリティ業務の取り組み支援に強みがあるそうです。
セキュリティダイレクターが目指すべき業務づくり
仕事の組み立て方(教科書的なアプローチ)
情報資産の所在と管理責任者の特定
↓
脅威や弱点の確認
↓
発生確率からの対応策の選択
↓
対応策の選択
↓
実施
現実の壁(障壁は人間レイヤー)
▽情報資産の所在と管理責任者の特定
シャドウIT
ベンダー丸投げで実態把握できてない
システムオーナー不在
試行運用のままズルズル運用
不要機能の放置
▽脅威や弱点の確認
利便性優先のアクセスコントロール
リリース前の検査漏れ(突貫工事?)
パッチ適用等のメンテナンス不備(放置)
▽発生確率からの対応策の選択
予算優先
収益状況から実施時期が決まる
危険度と緊急度が判然とせず、目先の経営的課題の解決を優先
▽どうするか
組織的にリスクを認識し、責任の所在を決める
規定(ルール)を根拠として用意する
ソリューションの提供(落とし所の用意)
規定に沿って責任を落としていく業務を作っておく
→ 規定や仕組みを盾に、個人(部門)が矢面に立たないようにする
また、影響度の算定法として日本ネットワークセキュリティ協会が考案した損害賠償額算出式を基にした賠償金計算サイトが紹介されていました
かきしちカンパニー Web Magazine ~ いいかげんな対策が死を招く!
個人情報漏洩の損害賠償額!
1.直ぐできる 2.時間とコストを 3.やってはいけないこと
1.2.については、CSIRT運用に通じるところがありました。
1.直ぐできること
現規定の確認
ID/権限の洗い出し
啓蒙(キャンペーン)
2.時間とコストを
弱点を可視化して全社で認識し(地道な情報の蓄積が必要)決裁を取る
決裁をインプットに弱点について施策を打っていく
3.やってはいけないこと
いきなり高価なセキュリティ製品を買わないこと。
運用まで考慮すること
トライアルは誤検知が多いことと心得る(区別ができずに外せなくなる)
一般人による偽陽性の判別は困難であることをセキュリティベンダーはよく心得ていて、安易にトライアルを開始すると、アラートだらけで外すに外せない状況に陥るそうです。
実際に起きたインシデントの考察(日本年金機構)
・不要な業務は作らない。業務を簡素化する。
・内規違反の刈り取り(退場)を行っても形骸化が予想されるので、仕組みで対応する必要があり。
・データコピーの絞込(謝罪の郵便物に年金番号が含まれていたが必要な情報であったか)
・DB操作に依存しないしない業務作り
・個人情報を取り扱う時は、限られた機会に制限された環境で行う
・気付きの契機(休日夜間の操作ログや多数のログイン失敗)
連日紙面を賑わせていますが、学べることは多いです。
セキュリティ製品の選び方
▽よくある傾向
ネットワークセンサー型は誤検知率が高い(90%)
偽陽性の切り分けについて検討しておく必要がある。
トライアル利用では、検知数の多さから外せなくなる傾向がある
▽導入は計画的に
トライアルの終わり(採用判定)について方向性を決めておく必要がある。
検知時の対処(端末の確保や駆除、再利用)までの業務の流れを決めておく必要がある。
リモート・コントロール遮断機能の実行条件を確認しておく(ミラーポート型では利用できない機能がある 等)
実際の実装や運用で期待した機能が利用できるか確認する
▽相手も人間
導入にあたっては、立場、目的を定めた上で決める(品質の向上 等)
セキュアコーディング方針を定めておく
▽心構え
セキュリティ製品での100%の防御は難しい。
運用周りと詰めて、いざという時に説明できる100%の安心を。
Session1: 脆弱性検査ツールの特徴と使い分け
ホスト
株式会社インテリジェントウェイブ 秋山 茎一郎
セッション内容
ホワイトボックステスト(Chackmarx CxSuite)
▽対象
WebAP向け製品
▽利用契機
未コンパイルのソースコードを対象に検査
上流工程で検出できるので手戻りが少ない
▽使い方
ソースコードをzip圧縮して投入
過検知対象についてクエリ調整が可能
様々なbuild toolと連携して、検査することができる(エラーが多数の場合、buildを通さない等の使い方)
ブラックボックステスト(UBsecure VEX)
▽対象
WebAP向け
▽利用契機
アプリケーションが動くタイミングで検査
▽特色
国産tool
画面遷移図を作成してくれる
細かい日本語レポートを出してくれる。提出先()に合わせた粒度でのレポート
レポートの連携2,3を連携したレポートを作成
ネットワークスキャナ(Rapid 7 Nexpose)
▽対象
ネットワークに所属するIPを有する機器
▽機能
ペネトレーションテスト(コンポーネントに対する脆弱性をスキャンする)
▽特色
OSSプロジェクトメンバが20万人以上おり、ゼロデイの脆弱性についても即日対応
レポートも充実
Session2: Traps - アドバンストエンドポイントプロテクション-
ホスト
株式会社インテリジェントウェイブ 小池 義昭
セッション内容
▽対象
エンドポイントに導入する標的型攻撃の製品
Managerが必要
▽傾向
標的型攻撃は、メール等の水際と、内部動作をフォローしないと行けない。
正常ルートでの通信をされてしまう。
標的型攻撃は、脆弱性を突くコード(exploit動作)でマルウェアを呼び込んで、実行させる方式が最近のトレンド
▽製品動作
メモリに常駐して、exploit動作の試みを検知/遮断する。
脆弱性自体を対象とするのではなく、脆弱性を利用するための動作を検知している。
脆弱性を利用するための動作は、複数レイヤ(ヒープスプレー,DEPの回避,OS機能)の脆弱性を利用するので、一つでも引っ掛ければ防御することができる。
検知すると、メモリダンプ等を取得して、調査用データを採取する動作を行う。
▽製品の特色
XPsp3や2003も対象
CPUは殆ど使わない。メモリは25-50MB常駐。定期スキャンなし(そもそもいらない)
英語のマネージャコンソール
wildfire(サンドボックス)を使うので、Managerはインターネットとの疎通が必要
▽ハイライト
Metasploit用いたPC乗っ取りとTrapsで防御するデモは秀逸でした。
本日はここまでです。
お疲れ様でした。