Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

とあるユーザー企業におけるリスクベースで考えるセキュリティ業務のお話し

4su_para
October 29, 2024

 とあるユーザー企業におけるリスクベースで考えるセキュリティ業務のお話し

10/27にRiSTで行われたクローズドなキャリアイベントでの講演資料です

4su_para

October 29, 2024
Tweet

More Decks by 4su_para

Other Decks in Technology

Transcript

  1. Ritsumeikan Security Team 自己紹介 asu_para 2024/10/27 2 • 2020年入学組 •

    RiST OB (-2022夏まで在籍) • その後エンジニアインターンとしてキャリアスタート • Security Engineer(24卒) • PSIRTとして脆弱性診断の内製化や各種サービスのク ラウドのアラート調査などに従事, 一部コーポレートIT • キーワード:#Threat Hunting #Cloud Security • キャリアとして「Cloud Security」を軸に名を挙げ て行きたいと考えています • seccamp(21全国修了生, 23チューター) • SecHack365(CIのSASTツールの開発)
  2. Ritsumeikan Security Team 一般公開用・RiSTとは @realRiST ◦立命館大学・情報理工学部プロジェクト団体 ◦主にセキュリティ技術全般に関する個人・団体活動を、本学部 セキュリティ・ネットワークコースと連携 ◦CTFを中心としたコンテストで良い実績を出すことを主眼に置 いている

    ◦セキュリティに関したLT会や研究・講習会などで親睦を深める ◦社会で多方面で活躍しているOBを多数輩出しています ◦顧問:毛利 公一 (セキュリティ・ネットワークコース教授) ◦https://risec.github.io/ 2024/10/27 3
  3. Ritsumeikan Security Team 実際のプロダクトや組織で求められる「強さ」 ◦相変わらず「手を動かし続ける」ことの大切さは変わらない ◦「リスク」や「事業」を正しく理解する ◦「リスク」を正しく捉えて優先順位をつけて取り組む pやらないことを決断する(Money Forward CISO)

    ◦開発組織のメンバーに専門性や人柄を信頼されて協力して取り組む ◦そのための「人に伝える」コミュニケーション能力 ◦技術・攻撃のトレンドを追って思考する ◦現状のステークホルダーを理解する ◦他にもいろいろ・・・自分自身できてないことだらけですが・・・ 2024/10/27 11 https://recruit.moneyforward.com/times_mf/article/interview0010
  4. Ritsumeikan Security Team なぜ、ユーザー企業に就職する道を選んだのか ◦ベンダーだけで根本的なセキュリティの改善が行えるとは思っていない pインシデントが発生した際に「次に同様な問題を起こさないようにはどうする か」という組織的な改善・振り返りにまでコミットできる pそこまでベンダーは踏み込むことができない ◦クラウドの分野でやっていく意志とのマッチング pクラウドセキュリティだけに関わらず、さまざまなトピックでUser

    Groupの方 がベンダーよりも知見がある pクラウドはリスク受容の観点でリソースの「使われ方」に着目することが多い p160以上のクラウドリソースを多様している(所属先) pユーザーグループにおけるクラウドの先進的な活用はアジリティとセキュリティ の両立を追求しやすい・そこに面白さの余地がたくさんある ◦ユーザーから盛り上げていきたい 2024/10/27 12 https://fit.nikkin.co.jp/post/detail/fj0048
  5. Ritsumeikan Security Team おさらい:情報セキュリティの概念 情報セキュリティとはJIS Q 27000:2019によると「情報の機密性、完全性および 可用性を維持すること」と定義され、情報は有効に利用されてこそ価値を生む。 2024/10/27 14

    機密性 完全性 可用性 認可されていない個人エンティティまたはプロセスに対して、情 報を使用せず開示しない -> 情報へ認可されたもののみがアクセ スできること 正確さや完全さの特性 -> 情報が矛盾や改ざんがなく正確である こと 認可されたエンティティが要求したときに、アクセス及び使用が 可能である特性 -> 情報へ必要なときにアクセスできること
  6. Ritsumeikan Security Team リスクへの対応 リスクへの対応としては4種類ある。リスクのインパクトと発生確率によって適 した対応をとっていくことが企業の方針として重要である。 2024/10/27 16 リスク回避 ->

    事業撤退 リスク発生の インパクト 大 小 低 高 リスク移転 -> サイバー保険 リスク保有 -> 受容 リスク低減 ->セキュ リティ対策の導入 リスク発生の蓋然性
  7. Ritsumeikan Security Team 最終的には「残存リスク」を定量的に捉えること FISC(「金融機関等」コンピューターシステムの安全対策基準・解説書」第12版) 2024/10/27 17 ◦リスクゼロを追求することは 必ずしも合理的ではないとい うスタンスでリスクを受容す

    ることもある。 ◦安全対策の達成目標は個々の 情報システムのリスク特性に 応じて行う。 ◦ポリシー(FISC), スタン ダード, プロシージャの流れ でマネジメントから実際に手 を動かすところに流していく TLP:RED
  8. Ritsumeikan Security Team 対象システムの全体像 ◦資産の場所 pAWS pCloud ストレージ pさまざまなSaaS p従業員の端末

    ◦資産の実体 p個人情報?営業秘密? ◦資産へのパス paws-centralからのアクセス pリモートコントロール p従業員の端末からのアクセス p物理アクセス 2024/10/27 19 情報資産の整理 TLP:RED
  9. Ritsumeikan Security Team 脅威の特定 ◦脅威の種類 pなりすまし p改ざん p情報漏洩 pサービスの停止 ◦攻撃者

    p外部/内部/自然災害 2024/10/27 20 ◦動機 p意図しない操作ミス p金銭の取得 p社内活動の妨害 業務では、不要になった情報資産の整 理やクラウドリソースの調査といった ことも行なっています^^
  10. Ritsumeikan Security Team 発見的統制 ◦事後に顕在化したリスクをいち早く発見し、適切に是正するた めの対策, 発見から予防に繋げていく(以下はこの後話す項目) psecret scanning pDepandancy

    Managemant pThreat hunting pクラウドで言えば・・・ ⁍ GuardDutyなどネットワークベースの検知ソリューション ⁍ Security HubなどのCSPM, ガイドラインを用いたベースラインアプローチ 2024/10/27 26
  11. Ritsumeikan Security Team 発見的統制と予防的統制の組み合わせイメージ 2024/10/27 28 担当者 ログの監視・ 分析 発見的統制

    予防的統制 ログの出力 ユーザー 攻撃者 悪意のある通信 正常な通信 ノイズ たくさんのログ ノイズとなるものを 減らして行きたい
  12. Ritsumeikan Security Team クラウドでインシデントが起こりうるケース ◦1. 設定ミスが原因で発生する情報漏洩 p誤公開してしまったS3のリソースに機微情報が埋まっていて〜・・・ p誤公開でEC2インスタンスのポートがフルオープン(0.0.0.0/0)になっ ていて〜 (vs

    CSPM, ASM) ◦2. 何らかの原因でアクセスキーが漏洩 p場合によっては一気にシステム全体が掌握される可能性もありうるので非 常に危険(vs secret scanning) pSSRFでメタデータサーバー経由に引っこ抜かれることもあるかも ◦3. デプロイされたアプリケーションの侵害からクラウド側が侵害 される p侵害したサーバーを踏み台にしてネットワーク内に攻撃を水平展開してい くイメージ(vs web脆弱性診断, クラウドPlatform診断) 2024/10/27 30
  13. Ritsumeikan Security Team ログについてのあれこれ ◦システム操作のトレーサビリティを確保するため ◦ログをたくさん集める(だけではダメで・・・) pログに対する権限を正しく管理する(機密性の確保) ⁍ 適切な場所に集約しておく pそれらのログが改ざんされないようにすることを担保する(完全

    性の確保) pそれらのログを容易に分析できる状態にしておく必要がある(可 用性の確保) ⁍ SIEMに流し込んでsigma?yara? ⁍ S3 + AthenaでSQLクエリを書いていく? ⁍ ログのモニターを内製化+slack通知? 2024/10/27 34
  14. Ritsumeikan Security Team CSPM(Cloud Security Posture Management) 2024/10/27 36 監査人

    management console Security Hubに よる残存リスクの 定量化 gap ログなどイベ ント情報 ベースラインアプローチ リスクベースアプローチ findings 通知 確認 S3 ec2 ecs cloudtrail Guardduty Athena
  15. Ritsumeikan Security Team Dependency Management Software Supply Chain Securityと呼ばれる分野です 2024/10/27

    37 ◦ビルドプロセスのどこかに悪用可能な脆弱性のある依存ソフトウェアの パッケージが紛れ込んでいるかも・・・ ◦updateされてないままになっているものは必ず存在する https://slsa.dev
  16. Ritsumeikan Security Team Dependency Management ◦大量に上がってくるGitHub のDependabotとかECR(コ ンテナ)のimage scanning で取得したものから実際に悪用

    可能なものに絞り込んで通知を する仕組みを作っている ◦アラート疲れを減らしつつ本 当に対応に緊急性があるものに 着手しやすくする(リスクに) 2024/10/27 38
  17. Ritsumeikan Security Team コーポレートシステムも含め様々な取り組みを行う ◦バグバウンティプログラムへの出展 ◦Attack Surface Managemantの内製化に向けた取り組み ◦パスワードマネージャーの多用 ◦IdPによる特定SaaSのログイン経路の確保&

    password lessでのログイン ◦JamfやIntuneなどクラウドによる端末管理&EDRを配布して などなど・・・ 2024/10/27 39 今日は話しきれなかった項目たちがたくさん・・・