O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法

Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio

Confira estes a seguir

1 de 31 Anúncio

[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法

Baixar para ler offline

DevOps が浸透していく中で、新たにセキュリティも加わる DevSecOps が注目されるようになりました。 これは開発におけるセキュリティ対策や、アプリケーションにおけるセキュリティ対策ではなく、効率的な IT サービスの運用を目指すための改善活動の一環です。
DevOps によって実現した開発環境と運用環境の統合化を参考に、セキュリティをそこに加え、Security by Design よりもさらに効率的なセキュリティを実現します。
そのためにどのような人材が必要で、どのようなスキル、知識、そしてサポート ツールを使いこなすためのリテラシーが必要になるのかを解説します。

受講対象: セキュリティ エンジニアの育成に興味のある xDM 層、およびセキュリティ エンジニアを目指す方

製品/テクノロジ: DevOps/セキュリティ

河野 省二
株式会社ディアイティ
クラウドセキュリティ研究所
所長

DevOps が浸透していく中で、新たにセキュリティも加わる DevSecOps が注目されるようになりました。 これは開発におけるセキュリティ対策や、アプリケーションにおけるセキュリティ対策ではなく、効率的な IT サービスの運用を目指すための改善活動の一環です。
DevOps によって実現した開発環境と運用環境の統合化を参考に、セキュリティをそこに加え、Security by Design よりもさらに効率的なセキュリティを実現します。
そのためにどのような人材が必要で、どのようなスキル、知識、そしてサポート ツールを使いこなすためのリテラシーが必要になるのかを解説します。

受講対象: セキュリティ エンジニアの育成に興味のある xDM 層、およびセキュリティ エンジニアを目指す方

製品/テクノロジ: DevOps/セキュリティ

河野 省二
株式会社ディアイティ
クラウドセキュリティ研究所
所長

Anúncio
Anúncio

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Semelhante a [SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法 (20)

Anúncio

Mais de de:code 2017 (20)

Mais recentes (20)

Anúncio

[SC12] あなたのチームのセキュリティスキルは十分ですか?DevSecOpsを見据えたセキュリティ人材の育成方法

  1. 1. Cloud Security Lab. あなたのチームの セキュリティスキルは十分ですか? DevSecOpsを見据えたセキュリティ人材の育成方法 株式会社ディアイティ クラウドセキュリティ研究所 河野 省二 <kawano.shoji@security-policy.jp>
  2. 2. Cloud Security Lab. 開発者にもセキュリティは必要 • Security by Designの勘違い? • 既存のぜい弱性に対応したプログラミングをするのではなく、 将来のリスクに対応したプログラミングを行う • 認証はどれがよいか? • 時代によって変わるものは、いつでも入れ替えることができる ように設計するのが良い • 問題があればすぐに入れ替えることができる粒度感でモジュー ル設計ができることがセキュアプログラミングのセンスかも 3 2017年5月23日あなたのチームのセキュリティスキルは十分ですか?
  3. 3. Cloud Security Lab. セキュリティの基本の基本 セキュリティベンダーに騙されないために必要な基本知識 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? 4
  4. 4. Cloud Security Lab. 攻撃単位で考えると・・・ 5 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? メールの 添付・リンク ウイルス感染 権限の昇格 情報窃取 標的型メール攻撃の一般的な例
  5. 5. Cloud Security Lab. ランサムウェアでは 6 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? メールの 添付・リンク ウイルス感染 権限の昇格 情報窃取 ファイル暗号化 結果が変わればランサムウェア
  6. 6. Cloud Security Lab. スタックスネットはベイティング攻撃 7 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? メールの 添付・リンク ウイルス感染 権限の昇格 情報窃取 CD-ROM USBメモリ ファイル暗号化 不正操作 入り口が変わればベイティング攻撃 イランはこれでやられた
  7. 7. Cloud Security Lab. 最近流行りのアレは・・・ 8 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? メールの 添付・リンク ウイルス感染 権限の昇格 情報窃取 CD-ROM USBメモリ ファイル暗号化 SMBサービス 不正操作 最近流行りのアレはこんな感じ 入り口が変わったので、監視が変わる
  8. 8. Cloud Security Lab. 多層防御と対策効率 9 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? メールの 添付・リンク ウイルス感染 権限の昇格 情報窃取 CD-ROM USBメモリ ファイル暗号化 SMBサービス 不正操作 入り口対策 内部対策 出口対策
  9. 9. Cloud Security Lab. 脅威のモデル化が重要 • セキュリティベンダーは「○○攻撃」というが、それを 名乗っている攻撃者はいない・・・ • 攻撃は脅威にさらされることの連鎖であり、これをどこで止め るかが重要になる • サービス設計者は脅威をよく理解すること • 攻撃はどんどん出てくるので「事前に対応」するためには、こ れまでの攻撃のパターンを良く理解して重要なポイントがどこ かを特定することが重要 10 2017年5月23日あなたのチームのセキュリティスキルは十分ですか?
  10. 10. Cloud Security Lab. 情報セキュリティ対策のフェーズ 11 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? 影 響 の レ ベ ル 計画 実装 事故の発生 対応 再発防止 ポリシー策定 抑止・防止 補正的対策 検知 是正・対応 復旧 ここで食い止めたい
  11. 11. Cloud Security Lab. 説明責任時代の開発手法とは・・・ 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? 12
  12. 12. Cloud Security Lab. 改善と説明責任を一緒のリソースで 13 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? 各部門の担当者各部門の担当者 経営者 (責任者) ステークホルダー 各部門の担当者 各部門の担当者各部門の担当者各現場それぞれの顧客 一貫性の確保 経営判断(A) 計画(P) 実行(D) 連絡・情報収集(C) マネジメント PDCAサイクルを回 すためにも、経営者 やCISOが適切な判 断を行うことができ る情報を収集するこ とが重要。 そのためにどのよう な組織づくりをし、 役割と責任を明確に するかという観点で、 情報セキュリティに 取り組む
  13. 13. Cloud Security Lab. DevOpsによってサイクルが早くなった • ビジネスのスピードに合わせるためにDevOpsが採用され ている • 新規サービスの提供、システム改善のスピードと回数の向上 • それに合わせたセキュリティの提供 • DevOpsによって現場の情報が得られるようになった • 現場がやりたいことを自分でできる →セルフサービス化 • 現場ができないことをリクエストする • 現場の状況を把握して改善する 14 2017年5月23日あなたのチームのセキュリティスキルは十分ですか?
  14. 14. Cloud Security Lab. 運用・保守 開発者は運用のためのセキュリティを作る 15 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? 業務設計・実装(Dev) 事故対応(Sec)運用・保守(Ops) 業務 ITサービス・システム 既存のリスク 新規リスク 補修・改善 復旧 封じ込め 原因究明 運用・保守 監視・検知 補修改善が終わるまでの対応 補修・改善
  15. 15. Cloud Security Lab. 例えば・・・認証はどのように実装するのか 16 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? 認証機能の実装 • 認証要素の選択 • ベースラインの設定 • 多要素認証の可能性 開発 運用・保守 初期設定 • 認証の初期設定 • 登録作業 自律型デバイス • 自動設定 • 自動防御 利用者 • 企業のポリシー • 個人設定 製品の出荷までにできることを 考慮する必要がある → 正しく実装したことの証明 出荷後にサービス担当が できることを考慮する → UIとログの実装 利用の現場で実施できることを 考慮する必要がある → ユーザインタフェースの実装 たとえば、認証機能の実装と認証要素のベースラインの設定
  16. 16. Cloud Security Lab. 暗号化は秘匿のためだけではない • 暗号化によるデータの秘匿の課題 • 暗号キーがバレてしまえばフルアクセスできる • 適切な人にしか鍵がわたらないようにする • できれば鍵はアクセスごとに毎回変わる • 誰が鍵を手にしたかがわかる • 誰が鍵を使ったかがわかる • データライフサイクルに渡って暗号化が有効かを考える • 作成してから廃棄するまでの記録をとれる仕組み 17 2017年5月23日あなたのチームのセキュリティスキルは十分ですか?
  17. 17. Cloud Security Lab. 安全なサービスを作るために・・・ 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? 18
  18. 18. Cloud Security Lab. サービスのセキュリティとは • サービスにおけるセキュリティ機能の提供 • 事故が発生しないような保護機能 • 事故が起きたらすぐに気づくような検知機能 • 事故の原因究明、行動証明ができる記録機能 • セキュリティは「情報資産の保護」ではない • 暗号化とかぜい弱性のないアプリとかを目指していても、運用 コストを低減することはできない 19 2017年5月23日あなたのチームのセキュリティスキルは十分ですか?
  19. 19. Cloud Security Lab. 情報セキュリティ活動とは 20 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? 検知予防 対応 復旧 ◯ 普遍化による学習と成長 平常時 事故対応 平常時 対策は期待通りに 機能しているか ① 封じ込め ② 調査・分析 ③ 再発防止策の計画 対策は期待通りに 機能しているか ✕ IT制限による効率悪化
  20. 20. Cloud Security Lab. 基本は「説明責任」 • 「だれがいつ何をしたのか」を説明する • サーバ上で何が起きたのかではなく、誰がなにをしたかを説明 する必要がある • 一つのサービスログだけで完結しない事象がある。他のサービ スのログとの融合が重要 • ID管理とログ管理 • 説明責任を明確にするための基盤としてID管理を行う • 出来る限りパスワードを使わない認証を心がける 21 2017年5月23日あなたのチームのセキュリティスキルは十分ですか?
  21. 21. Cloud Security Lab. ID管理がセキュリティの基本 22 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? 識別 認証 認可 説明責任 R ------ W ------ X ------
  22. 22. Cloud Security Lab. すべてを仲介する仕組みを作る 23 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? S サブジェクト O オブジェクト R リファレンス モニター Log 監査ログ ACL アクセスコントロールリスト
  23. 23. Cloud Security Lab. 仕組みをうまく運用させるために • サブジェクトと認可 • サブジェクトの分類 • 分類と認可 → 役割に応じたアクセス制御(RBAC) • いかに適切な粒度で管理できるか • オブジェクトの分類 • すべてのオブジェクトを分類 • 誰がなににアクセスできるのか 24 2017年5月23日あなたのチームのセキュリティスキルは十分ですか?
  24. 24. Cloud Security Lab. 開発者のためのログから運用のためのログへ • 情報の保護ではなく、情報セキュリティをちゃんとやってい ることを証明できなくてはいけない • マイナンバーなんて漏れても誰が漏らしたかわからない • でも、自分たちが漏らしていないことを説明できなければ、疑われて ネット社会は大炎上 • ちゃんと説明できるまでは仕事に戻れない・・・ • ちゃんと説明できるようにするために必要なもの • メンテナンスログ(開発用) • システムログ、監査ログ(説明責任) • eディスカバリー(訴訟対策) 25 2017年5月23日あなたのチームのセキュリティスキルは十分ですか?
  25. 25. Cloud Security Lab. いつでも最新のセキュリティを・・・ 自分のあたまでセキュリティを考えるために 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? 26
  26. 26. Cloud Security Lab. 自分の頭でセキュリティを考えるには • 攻撃の防御ではなく「正しいIT活用の維持」 • 攻撃に対応していると対症療法になってしまう • 正しいIT利用とはなにかを明確にし、それを維持するためにな にをすべきかを考える • たとえば暗号化では・・・ • 暗号強度を考慮することは重要だけど、運用を考えるとそうで はない。そこを自分の頭で考えてみよう 27 2017年5月23日あなたのチームのセキュリティスキルは十分ですか?
  27. 27. Cloud Security Lab. CT03で続きをやりましょう! 28 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? たとえば、暗号化を実装するときに重要なポイ ントはなにか、そしてそれを実現するためには どのような知識とスキルがあればよいのか 開発者のためのセキュリティ知識とスキルをど のように構築していくのかをみなさんでディス カッションしましょう!!
  28. 28. Cloud Security Lab. 河野 省二 <セキュリティは科学だと伝えたい> 29 2017年5月23日あなたのチームのセキュリティスキルは十分ですか? 河野 省二(かわのしょうじ) 株式会社ディアイティ クラウドセキュリティ研究所 所長 kawano.shoji@security-policy.jp • 経済産業省 • クラウドセキュリティ研究会 • セキュリティガバナンス研究 会 • セキュリティ監査研究会 な ど • 情報処理推進機構 • セキュリティセンター研究員 • 日本セキュリティ監査協会 • スキル部会副部会長 • NPO クラウド利用促進機構 • セキュリティアドバイザー • JTC1/SC27 WG1委員 • 東京電機大学未来科学部 非常勤講師 • (ISC)2 認定主席講師 など
  29. 29. セッションアンケートにご協力ください ➢ 専用アプリからご回答いただけます。 decode 2017 ➢ スケジュールビルダーで受講セッションを 登録後、アンケート画面からご回答ください。 ➢ アンケートの回答時間はたったの 15 秒です!
  30. 30. Ask the Speaker のご案内 本セッションの詳細は『Ask the Speaker Room』各コーナーカウンタにて ご説明させていただきます。是非、お立ち寄りください。

×