O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

クラウドセキュリティの価値と機会

182 visualizações

Publicada em

2018/12/03 東京電機大学丹羽ホールで開催された(ISC)2 Secure Summit 2018での講演資料です。
http://www.cvent.com/events/-isc-secure-summit-japan-2018/custom-21-8c95bc88160b45ea9dbbf1ab44c5d7e2.aspx

Publicada em: Tecnologia
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

クラウドセキュリティの価値と機会

  1. 1. ENRICH. ENABLE. EXCEL. Japan • 3 Dec クラウドセキュリティの価値と機会 桐山 隼人, CISSP
  2. 2. 自己紹介 氏名: 桐山隼人 役職: シニアセキュリティソリューションアーキテクト 業務: 顧客提案、ソリューション開発、市場開拓 プロフィール: 外資系総合IT会社の開発研究所にて開発エンジニア、セキュリティベンダーにて 技術営業を経た後、現職。CISSP, CISA, ITIL, MBA, セキュリティ関連特許多数。 クラウドセキュリティに関するセミナー登壇・記事寄稿など。 @hkiriyam1 RSA Conference 2017 APJ 「Cloud Security Strategy」 Session Speaker AWS Summit Tokyo 2017 「AWSで実現するセキュリティ・オートメー ション」(マイナビニュース) 「IoTビジネスとセキュリ ティを3段階と4要素で理解 する」記事寄稿 (ISC)2 Information Security Leadership Achievements Asia-Pacific Award 2018
  3. 3. はじめに 本資料中には、概念を具体的にイメージし やすいように、特定の企業・サービスを用 いて説明している箇所があります 商業目的ではございませんので、お好みに 応じた企業・サービスに読み替えて、お受 け取りください
  4. 4. Why Cloud Security Matters?
  5. 5. サイバーセキュリティ経営ガイドラインの変遷 2015/12/28 Ver. 1.0 「セキュリティ投資に対 するリターンの算出はほ ぼ不可能であり、セキュ リティ投資をしようとい う話は積極的に上がりに くい」 サイバーセキュリティ経営ガイドライン(経済産業省)http://www.meti.go.jp/policy/netsecurity/mng_guide.html
  6. 6. 2016/12/8 Ver. 1.1 「経営戦略としてのセ キュリティ投資は必要不 可欠かつ経営者としての 責務である」 サイバーセキュリティ経営ガイドラインの変遷 2015/12/28 Ver. 1.0 「セキュリティ投資に対 するリターンの算出はほ ぼ不可能であり、セキュ リティ投資をしようとい う話は積極的に上がりに くい」 サイバーセキュリティ経営ガイドライン(経済産業省)http://www.meti.go.jp/policy/netsecurity/mng_guide.html
  7. 7. 2016/12/8 Ver. 1.1 「経営戦略としてのセ キュリティ投資は必要不 可欠かつ経営者としての 責務である」 サイバーセキュリティ経営ガイドラインの変遷 2015/12/28 Ver. 1.0 「セキュリティ投資に対 するリターンの算出はほ ぼ不可能であり、セキュ リティ投資をしようとい う話は積極的に上がりに くい」 サイバーセキュリティ経営ガイドライン(経済産業省)http://www.meti.go.jp/policy/netsecurity/mng_guide.html 2017/11/16 Ver. 2.0 「社会に対して損害を与え てしまった場合、経営責任 や法的責任が問われる可能 性がある」 「サプライチェーン全体の 対策及び状況把握」
  8. 8. 2016/12/8 Ver. 1.1 「経営戦略としてのセ キュリティ投資は必要不 可欠かつ経営者としての 責務である」 サイバーセキュリティ経営ガイドラインの変遷 2015/12/28 Ver. 1.0 「セキュリティ投資に対 するリターンの算出はほ ぼ不可能であり、セキュ リティ投資をしようとい う話は積極的に上がりに くい」 サイバーセキュリティ経営ガイドライン(経済産業省)http://www.meti.go.jp/policy/netsecurity/mng_guide.html コストから投資へ 事業価値から社会価値へ 2017/11/16 Ver. 2.0 「社会に対して損害を与え てしまった場合、経営責任 や法的責任が問われる可能 性がある」 「サプライチェーン全体の 対策及び状況把握」
  9. 9. 事業環境の変化 外部環境 内部環境パートナー環境 ステークホルダー の多様化 企業買収・合弁 リストラクチャ サプライチェーン の分業と統合
  10. 10. ビジネスセキュリティに求められるもの 正当性と説明力 統制と管理エコシステム構築 外部環境 内部環境パートナー環境 ステークホルダー の多様化 企業買収・合弁 リストラクチャ サプライチェーン の分業と統合
  11. 11. ビジネスセキュリティの目標(仮説) ビジネスセキュリティとは、組織の中の様々な事業活動が 滞りなく循環し、ダイナミックな平衡状態を保つこと セキュリティインシデントにより瞬間的に平衡状態が崩れ ても、再び平衡を取り戻す「変化に適応する」組織を作る
  12. 12. データセンター ストレージ機器 サーバー サービス化 必要な時に、必要なだけ、低価格で予め大規模に投資し準備する  実際の使用分 のみ支払い  市場投入と 俊敏性の改善  初期投資不要  スピード  容易なスケール アップ&ダウン  低額の変動費 クラウドサービス
  13. 13. 急成長やM&A 予測できないピーク キャパシティ不足:機会損失 余剰キャパシティ余剰キャパシティ ITキャパシティ(オンプレミスの場合)
  14. 14. 急成長やM&A 予測できないピーク IT余剰と不足からの解放IT余剰からの解放 サイジングからの解放 ITキャパシティ(クラウドの場合)
  15. 15. クラウドとリスク管理 財務 リスク 機会損失 リスク セキュリティ リスク 従量課金 変動費化 リードタイム短縮 技術革新追随 可用性・可視性 ・監査性 事業ダウンサイド リスクへの備え 事業アップサイド リスクの最大化 事業環境変化 への適応
  16. 16. 変化適応のためのクラウドセキュリティ 従来型のセキュリティ クラウド時代のセキュリティ 考え方 投資対効果(ROI)を追求 変化への適応を追求 イメージ 0 1 2 3 4 変化するセキュリティリスク 最適なセキュリティレベル
  17. 17. セキュリティ自動化による変化適応 (ISC)2 Security Congress APAC 2017 Agenda http://apaccongress.isc2.org/events/-isc-security-congress-apac-2017/custom-117-7f805a6862a3494891be229fb5ef7af2.aspx (ISC)2 Security Congress APAC 2017 Session Title Cloud Security Strategy – Adapting to Changes with Security Automation Speaker Hayato Kiriyama
  18. 18. What Cloud Security Is?
  19. 19. 責任共有モデル https://aws.amazon.com/jp/compliance/shared-responsibility-model/
  20. 20. クラウドセキュリティの種類 Security of Cloud Security in Cloud Security by Cloud クラウド環境自体 のセキュリティ クラウド内にある アプリやデータの セキュリティ クラウドネイティブ 技術による セキュリティ
  21. 21. クラウドセキュリティの関心範囲の違い Security of Cloud Security in Cloud Security by Cloud クラウド環境自体 のセキュリティ クラウド内にある アプリやデータの セキュリティ クラウドネイティブ 技術による セキュリティ データセンターや システムの 物理統制をする人 既存(オンプレ)統制 をクラウド上でも 実現したい人 より良いビジネス セキュリティを 実現したい人
  22. 22. クラウドセキュリティの価値 可用性 可視性 監査性 Security at Scale Continuous Monitoring Infrastructure as Code 事業継続の要 事業計画の要 事業責任の要
  23. 23. クラウドセキュリティ(可用性) Security of Cloud Security in Cloud Security by Cloud グローバル標準に 準拠したデータ センター運用 アーキテクチャー による冗長化・ 堅牢性の確保 クラウドならではの 拡張性と俊敏性
  24. 24. DDoS脅威の増大 内閣サイバーセキュリティセンター(NISC) 「2020年及びその後を見据えたサイバーセキュリティの在り方について -サイバーセキュリティ戦略中間レビュー-」(2017年7月13日) より抜粋 2016年9月20日 Krebs on SecurityのWeb サイトに過去最大の665GbpsのDDoS攻撃 2016年10月21日 Dyn Managed DNSが DDoS攻撃により停止。Netflix, Twitter, Spotify, GitHubなどが一時使用不能に 「IoTボットネットによるDDoS脅威は今後 も増大する」と明記される 可用性
  25. 25. 金銭目的の脅威の変化 入口対策 出口対策 データ 侵害 ランサム ウェア DDoS 攻撃 企業に侵入し機密情報を不正に取得 入口対策と出口対策を要突破 取得した情報を売却 企業内データを暗号化し身代金要求 入口対策を要突破 ビットコインによる身代金受取 企業の公開サーバーをサービス停止に いつでも攻撃可能 ランサムDDoSという形態の登場 攻撃者が最も楽に利益を得る手段 可用性
  26. 26. • これまでのDDoS保護経験に基 づくL3 / L4自動緩和システム • CloudFront、Route53エッジロ ケーションの前にインライン で配置され、すべての着信パ ケットを検査 • DDoS攻撃の96%を自動軽減 • 追加設定や手数料なし Customer’s Origin Infrastructure (ELB, EC2, S3, etc). CloudFront Route 53 CloudFront Route 53 DDoS Attack User 自動緩和システム Edge Location AWS Region L3/L4に対するDDoS攻撃自動緩和 - AWS Shield クラウドのキャパシティを活かしたDDoS対策
  27. 27. AWS Shield > Global Threat Environment
  28. 28. • WAFパートナーが管理するマネージドルールを 利用することで、ウェブアプリやAPIの保護を 即座に開始することができるように • 現時点でAlert Logic, Fortinet, Imperva, Trend Micro, TrustWaveなどセキュリティのエ キスパートがルールを提供 • AWS Marketplaceを通じて調達でき、従量制の 料金で利用可能。長期契約は必要ない L7に対する防御 - AWS WAF Managed Rules https://aws.amazon.com/mp/security/WAFManagedRules/ 専門的なWAFルールをすぐに利用可能
  29. 29. クラウドセキュリティ(可視性) Security of Cloud Security in Cloud Security by Cloud グローバル標準に 準拠したデータ センター運用 サービスAPI経由 のデータ取得 統一コントロール プレーンによる リスク可視化
  30. 30. セキュリティリスクの方程式 脅威 脆弱性 情報資産 Threats Vulnerabilities Assets 標的型攻撃 マルウェア サイバー攻撃 セキュリティホール 設定ミス 心理的要素 機密情報 個人情報 知的財産 可視性
  31. 31. リスク分析と可視化 リスク分析 情報資産分析脆弱性分析脅威分析 Amazon Inspector ✓異常検知 ✓ヒューリスティック分析 ✓脅威インテリジェンス ✓脆弱性診断 ✓ベンチマーク評価 ✓パッチ管理 ✓ユーザー振る舞い分析 ✓情報漏洩防止 ✓機械学習 Amazon GuardDuty Amazon Macie 可視性
  32. 32. 悪意のあるスキャン インスタンスへの脅威 アカウントへの脅威 Amazon GuardDuty VPC Flow Logs DNS Logs CloudTrail HIGH MEDIUM LOW Findingsデータ ソース脅威の種類 継続的監視と脅威検知 – Amazon GuardDuty 機械学習を用いたクラウドネイティブな脅威検知サービス ・ポートスキャン ・総当たり攻撃 ・C&Cサーバーとの通信 ・アウトバウンドDDoS ・不正なAPIの呼び出し ・予期しないリソースアクセス
  33. 33. 脆弱性分析と可視化 – Amazon Inspector Amazon Inspector CVEルールに基づいた脆弱性診断結果画面 ホスト型脆弱性診断サービス CVE(共通脆弱性識別子)やCIS業界ベンチマーク に基づいたリスク評価 エグゼクティブサマリー含めた評価レポート API連携によって開発運用プロセスにリスク評価を統合
  34. 34. 事業価値のあるデータを保護 – Amazon Macie 継続的監視によりデータ漏えいや 不正アクセスを検知 個人特定情報 (PII)、個人医療情報 (PHI)、知的財産 (IP)、ソースコード、 認証情報などの機密データを識別 ユーザー振る舞い分析により、リ スクの高い不審なアクティビティ を特定 S3に保存データの分類と可視化 CloudTrailイベントの時系列表示 情報漏えい防止(DLP) + ユーザー振る舞い分析(UEBA) サービス
  35. 35. クラウドセキュリティ(監査性) Security of Cloud Security in Cloud Security by Cloud グローバル標準に 準拠したデータ センター運用 個社毎の統制要件 に基づいた対策 Compliance as Code コードによる インテグリティ の実現
  36. 36. 監査性監査のための一般的なガイドライン • 徹底して行う。定期的に使用しないもの を含め、セキュリティ設定のあらゆる面 について調べます。 • 推測しない。セキュリティ設定のある面 (例: 特定のポリシーやロールの存在の背後 にある根拠) が良くわからない場合、満足 するまでビジネスニーズを調査します。 • 作業を単純にする。監査 (および管理) を 容易にするために、IAM グループ、一貫 した命名スキーム、単純なポリシーを使 用します。 https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-security-audit-guide.html
  37. 37. レポート項目 • ユーザーの作成日時 • 最後にパスワードが使われた日時 • 最後にパスワードが変更された日時 • MFAを利用しているか • Access KeyがActiveか • Access Keyのローテートした日時 • Access Keyを最後に使用した日時 • Access Keyを最後に利用したAWS サービス • 証明書はActiveか • 証明書のローテートした日時 AWS IAMの認証情報レポート画面 ポリシーに基づいたアカウント管理と確認 ユーザーアカウントの認証レポート – AWS IAM
  38. 38. Tag Scaleup AWS CloudTrail ”ユーザーアクティビティ“ を切り口に時系列ベースでロギング AWSサービスに対する各種APIログ取得 ユーザー活動履歴の監査ログ – AWS CloudTrail
  39. 39. 準拠すべきルールに基づいたリソース構成の評価 セキュリティポリシー適合評価 – AWS Config Rules AWS Managed Rules Customer Managed Rules 自分でAWS Lambdaをベースに ルールを作成可能 評価ルール Event-Based Evaluations • 関連リソースが作成、変更された際に ルールの評価が実行される 例) 新規で作成するEC2にタグ付けされているかの評価 Periodic Evaluations • 任意のタイミング • AWS Config が構成 スナップショットを取 る際にルールの評価が実施される 例) CloudTrailが有効になっているかどうかの評価 評価実行タイミング
  40. 40. スタック テンプレート Cloud Formation • AWSリソースの環境構築を 設定ファイル(テンプレー ト)を元に自動化 • テンプレートに起動すべき リソースの情報をJSONや YAML形式で記述 • セキュリティ要件を満たす 上で必須の設定が入った構 成を再現できる 設計時におけるセキュリティの組み込みと強制 インフラストラクチャをコード化– AWS CloudFormation テンプレートに基づき 各リソースが起動&構成 IAM AWS CloudTrail AWS Config
  41. 41. How Cloud Security Is Adopted?
  42. 42. クラウドを活用する事で享受できる価値 お客様のコアビジネスにフォーカスする ※サーバーの構築やインフラの管理から解放する セキュリティを強化する ※セキュリティ・コンプライアンス要件の対応、規模の経済による 継続的なセキュリティの強化・投資 イノベーションを加速する ※ビジネスアジリティを向上することによって競争上の優位性を固める
  43. 43. クラウドが加速する2つの変革 デジタルトランス フォーメーション ITトランス フォーメーション • 新しい顧客体験 • 革新的な製品や サービスの創造 • 新ビジネスモデルへ の移行 • IoT, AI, モバイル等 新しい技術の応用 • トライ&エラー… • 本業に集中 • ITコスト削減 • グローバル展開、 BCP等の付加価値 • セキュリティ • システム堅牢性向上
  44. 44. クラウドへの移行と技術的負債 Value Time 技術的負債の返済 クラウドネイティブ クラウドへ単純移行し、 過去の技術的負債を 返済する クラウド最適なシステ ムを構築し、イノベー ションを加速する FOUNDATION MIGRATION REINVENTIONPROJECT AWS Cloud Enterprise Strategy Blog - The Journey Toward Cloud-First & the Stages of Adoption https://aws.amazon.com/jp/blogs/enterprise-strategy/the-journey-toward-cloud-first-the-stages-of-adoption/ 基礎を固めながら 小さな成功を積み重ねる 限られたヒトが 多くの経験を積む 全社的に利用し ビジネス効果を享受 クラウドを最大活用し ビジネス効果を最大化
  45. 45. クラウドネイティブなセキュリティへ オンプレ環境でFWを 導入運用 クラウド環境にFW仮想 アプライアンス導入運用 Level 1
  46. 46. オンプレ環境でFWを 導入運用 クラウド環境にFW仮想 アプライアンス導入運用 境界とは?(GW/内部NW/EP) フィルタしたいものとは? ゾーニングと侵入保護 Level 1 Level 2 抽象化 クラウドネイティブなセキュリティへ 境界で通信パケット フィルタリング
  47. 47. オンプレ環境でFWを 導入運用 クラウド環境にFW仮想 アプライアンス導入運用 境界で通信パケット フィルタリング 境界とは?(GW/内部NW/EP) フィルタしたいものとは? ゾーニングと侵入保護 不正通信の検知と ブロック・無害化 不正とは?本当の境界とは? 振る舞い分析・異常検知・ Software Defined Perimeter・ ”Identity Is Next Perimeter” Level 1 Level 2 Level 3 抽象化 抽象化 クラウドネイティブなセキュリティへ
  48. 48. デジタルトランスフォーメーション(DX)時代 のセキュリティ 脅威環境 サイバー セキュリティ New Edgeでの セキュリティ セキュリティ専門 チームと組織文化 全ての要素がデジタルスピードで変化 Operational Technology Connected Things Threat Intelligence Continuous Security Cloud/SaaS BYOD/Identity CISO/CSIRT DevSecOps
  49. 49. DX時代の新しいセキュリティ市場機会 各種センサー 各種クライアント 各種モバイルデバイス Amazon S3 AWS Lambda 各種IoT GWサーバー Amazon QuickSight Amazon Redshift AWS Glue Amazon SageMaker IoTセキュリティ データレイク セキュリティ サーバーレス セキュリティ ITインフラストラクチャセキュリティ デジタル セキュリティ トランスフォー メーション ITセキュリティ トランスフォー メーション カタログデータ Amazon Glacier アーカイブデータ サーバーレス コンピューティング データウェアハウス ビジネスインテリジェンス 機械学習 AWS Dev Day Tokyo 2018 セキュリティセッション & ワークショップ 開催レポート https://aws.amazon.com/jp/blogs/news/aws-dev-day-tokyo-2018-security/
  50. 50. まとめ 事業変化適応にクラウドセキュリティが不可欠 事業継続(可用性)・事業計画(可視性)・事業責任(監査性) の要となるクラウドセキュリティ 新しい市場機会(DX)を獲得するためクラウドネイティブ セキュリティに移行する
  51. 51. ご清聴ありがとうございました

×