Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Alibaba Cloud ソリューションを使用した MLPS 2.0 コンプライアンスに関す...

Alibaba Cloud ソリューションを使用した MLPS 2.0 コンプライアンスに関する詳細検討

本セミナーの動画は以下のサイトよりご覧いただけます。
https://www.alibabacloud.com/ja/campaign/asiagateway2021

AlibabaCloud_JP

May 10, 2021
Tweet

More Decks by AlibabaCloud_JP

Other Decks in Business

Transcript

  1. 背景と概要 MLPS 2.0 標準が 2019 年 12 月 1 日に発効した

    検査の対象となる主な業種:政府/自治体、運輸、製造、 教育、健康、インターネット、ケータリングおよび宿泊業 検査方法: 評価レポート、遠隔侵入試験、現場検査 検査範囲:記録保持、ウェブサイトのファイリング、ウイルス対策、 データ漏洩防止、MLPS の実施、および脆弱性管理 法的根拠 法執行部門 • 中華人民共和国サイバーセキュリティ法第 21 条 • サイバーセキュリティ等級保護 (「MLPS」) 公安局 (PSB) サーバーセキュリティ管理部
  2. MLPS 2.0 スキームの構造 GB/T 22240 情報セキュリティテクノロジー – サイバーセキュリティ等級保護のための分類ガイド GB/T 22239-2019

    情報セキュリティテクノロジー – サイバーセキュリティ等級保護のための基準 等級保護における産業別の要件 プロダクト GB/T 28449-2018 情報セキュリティテクノロ ジー – サイバーセキュリ ティ等級保護のための 試験および 評価手順ガイド GB/T 36627-2018 情報セキュリティテクノ ロジー – サイバーセ キュリティ等級保護の ための試験および評価 技術ガイド GB/T 25058-2019 情報セキュリティテクノ ロー –サイバーセキュリティ 等級保護のための実 施 ガイド GB/T 25070-2010 情報セキュリティテクノ ロジー –サイバーセキュリティ 等級保護のためのセ キュリティ 設計の技術的要件 手法 管理 実施ガイド CCSP 分類ガイド 基本的要件 評価ガイド GB/T 28448-2019 情報セキュリティテクノロジー – サ イバーセキュリティ等級保護のための評価要件
  3. MLPS 2.0 の主要構成要素 基本的要件 設計要件 評価要件 分類ガイド サイバーセキュリティ 等級保護 2.0

    一般要件: • 技術要件 • 管理要件 追加要件: • クラウドコンピューティング • モバイルインターネット • IoT (Internet of Things、モノの インターネット) • 産業用制御システム 5 段階レベル: 開発におけるサイバーセキュリティの要 件: 設計要件には、セキュアな環境設計およ びセキュアな接続設定を含む、 セキュリティ技術プロジェクトの設計におけ るガイドラインが記述されます。 一般要件の評価: • 技術要件 • 管理要件 4 つの追加要件の評価: • クラウドコンピューティング • モバイルインターネット • IoT (Internet of Things、モノの インターネット) • 産業用制御システム 1 つの一般 要件 4 つの追加 要件 設計の枠組み レベル 2 自己評価および自主的保護 当局からの指導によるセキュリ ティ保護 当局からの監督によるセキュリティ 保護 セキュリティ保護の義務的実施 クリティカルセクターに対するセキュリティ 保護の強制実施 レベル 5 レベル 4 レベル 3 レベル 1 開始 評価 報告
  4. MLPS 2.0 における主な変更点 表題変更 情報システム の分類保護 サイバーセキュリティの等 級保護 情報システム 等級保護の対象

    (ネットワーク、システム、アプリ、 産業用制御システム、クラウドプラット フォーム、IoT、モバイル通信、ビッグデータ プラットフォーム) 一般要件 + 新技術への拡張 作業項目の変更 既存項目 (分類、ファイリング、修正、 評価、検査) 既存項目 + 新項目 (リスクアセスメント、セキュリティサーベイ ランス、早期警戒、告知、緊急 時対応…) 分類変更の対象 一般的セキュリティ要件 基準規格の変更 MLPS (2008 年発効) MLPS 2.0 (2019 年発効)
  5. 基準規格の主な変更点 手法 (物理的セキュリティ、ネットワークセキュリティ、サーバーセキュリティ、アプ リケーションセキュリティ、データセキュリティ) + 管理 手法 (物理的セキュリティ、 1 つのセンターと

    3 つの防御層) + 管理 MLPS の基準 MLPS 2.0 の基準 物理的セキュリティ ネットワークセキュリティ インフラのセキュリティ アプリケーションセキュリティ データセキュリティ セキュリティ管理ポリシー セキュリティ管理メカニズム システム運用管理 従業員のセキュリティ管理 システム構築管理 セキュアな物理的環境 セキュアな通信ネットワーク セキュアなエリア境界 セキュアなコンピューティング環境 セキュリティ管理ポリシー セキュリティ管理メカニズム セキュリティ O&M 管理 セキュリティ管理要員 セキュリティ構築管理 技 術 要 件 管 理 要 件 技 術 要 件 管 理 要 件 セキュリティ管理センター (新設) 一般的セキュリティ要件 一般要件 クラウドプラット フォーム IoT モバイル通信 産業用制御 システム ビッグデータプ ラットフォーム 新規テクノロジーに対する追加要件
  6. MLPS による開発に関する考察 アアーキテクチャ セキュリティ セキュリティの確保されたゾーン、セキュリ ティ強化、パッチ管理、アプリケーションセ キュリティ保護 受動的防御 基本となる防御であり、攻撃リソースを 消費させ、攻撃をより困難なものにし、

    攻撃をなくす 能動的防御 包括的な検査、すばやく緊急対応、根 本原因の確認および分析、脆弱性管 理 脅威インテリジェンス 動的な脅威の検知、脅威情報収集、 脅威の分析、定期的試験、インテリジェ ンスマイニング、および共有 信用手法 静的な信用検証、動的な信用検証、 設計によるセキュリティ、対策、 セキュリティの測定、および認証 このセキュリティ保護システムは受動的防御から能動的防御に至るまで、予防手段および緊急時対応 計画を強調した開発を実施 政策および評価システムの進化 より詳細な監督基準 CSL 第 21 条 により MLPS の順守が法執 行に伴うネットワーク事業者の法的責任とな りました。中国国内の規格である MLPS に は、そのセキュリティ要件が技術的および管 理的側面の両方から詳述されています。 新しいテクノロジーに対応してよ り多くの基準を制定 サイバーセキュリティ保護の基準規格が、産 業用管理システム、クラウドコンピューティング、 モバイル通信、IoTおよびビッグデータにまで拡 張されました。 より包括的な リスク管理システム リスクを基準とした管理の原則にフォーカスし て、新しい作業項目が追加されています。こ れにはリスクアセスメント、セキュリティモニタリン グ、早期警戒、インシデント調査、災害復旧、 ドリルテスト、緊急時対応、およびサプライ チェーン管理などがあります。 信用手法と暗号化の管理 サイバーセキュリティ保護の強化に対応して、 セキュリティ手法に関するより具体的な要件 が制定されています。MLPS 2.0 およびその 他の法令や規格(中国暗号法など)において、 セキュリティ手法の奨励がより明確になってい ます。
  7. MLPS 2.0 のワークフロー 1. 分類 2. 申請 3. 実行および修正 4.

    評価 5. 当局による検査 分類する対象の決定 マルチレベル保護のレベルの決定 申請書の記入 申請書の提出 申請書の受領および見直し 実施/修正計画の 策定 情報システムセキュリ ティの状況分析の実施 セキュリティ保護戦 略の決定 情報システムセキュリティの 構築および修正の実施 セキュリティ自主検査および自 己評価の準備 計画/準備 スキーム編集 評価 レポート編纂 修正およびその後の 評価(必要に応じ て) 評価レポートの 承認 定期的自主検査 業界団体による監督および検査 PSB による監督および検査 会社 + コンサルタント コンサルタント 公認検査官 + コンサルタント PSB 業界団体
  8. MLPS 2.0 に関する一般的な誤解 誤解その 1:アウトソーシングされたアプリケーションは、それがクラウドプラットフォームにホストされているのであれば、MLPS 2.0 コンプライ アンスについて評価試験を受ける必要はない。 中国サイバーセキュリティ法に定義される責任に基づけば、所有するアプリケーションに対する MLPS

    の実施および順守に関しては、ネッ トワーク事業者がその最終的な責任を負い、説明責任を果たします。同様に、オンクラウドのデプロイメントモデルの共有された責任の下 では、クラウドのカスタマーがオンクラウドで展開しているアプリケーション/システムをそれぞれ個別に評価する必要があります。 誤解その 2:対象を低い等級に分類するほどよい。 対象は「情報セキュリティテクノロジー – サーバーセキュリティ等級保護のための分類ガイド」に基づき、特定業種のための関連するガイダ ンスを参照して分類する必要があります。MLPS 2.0 スキームにおいて、その分類段階には、エキスパートパネルレビューと業界監督部門 レビューの 2 つのステップが追加されています。等級を低くしてしまうと対象保護が不十分なものになり、予期せぬセキュリティインシデント が発生するおそれがあります。これは法令違反であると見なされ、より過酷な罰を科せられる結果になります。 誤解その 3:MLPS 評価試験は 1 回限りの作業である。 MLPS コンプライアンスは定常的なセキュリティ作業であり、継続的な監視と最適化が必要になります。レベル 3 以上に分類された対象 の場合、公認アセッサーが毎年その対象を評価することが義務付けられます。
  9. クラウドネイティブコンプライアンス クラウドセキュリティ能力の利用 クラウドプラットフォームのセキュリティおよびコンプライアンス セキュアで、安定した、適法なクラウドインフラである Alibaba Cloud E2E (エンド・トゥー・エンド) な暗号化、認証の中央管理、動的なセキュリティサーベイランス/ 警告、フレキシブルコントロール、および管理。

    クラウドネイティブセキュリティコンプライアンスと高度なセキュリティ機能を利用 バーチャルなネットワーク分離、SLB、MFA 認証、アクセス管理、記録/監査、高い可用性、 およびデータバックアップ。 ① ② ③ ④ カスタマーによる 自己構築セキュ リティ能力 クラウドセキュリ ティ能力 クラウドネイティブコンプライアンスが重要な理由は何なのでしょうか?
  10. Alibaba Cloud の MLPS 2.0 に対するコンプライアンス 公衆クラウド 金融クラウド Alibaba Cloud

    等級レベル 結果 公衆クラウドサービス 3 優れている Alibaba Cloud 等級レベル 結果 金融クラウドサービス 4 優れている 極 秘 MLPS 2.0 実践のパイオニア
  11. Alibaba Cloud のセキュリティコンプライアンス能力 セキュリティ能力の概要 トラステッド コントローラブル マネージャブル E2E な暗号化 オールラウンドなサイバー

    防御とモニタリング デフォルトのハードウェアセキュリティおよ びトラステッドな環境 ID および認証の オンクラウド集中 管理 DevSecOps モデ ル上のセキュアなデプ ロイメント 強固なインフラと Apsara オペレーティングシステム セキュリティセンター
  12. Alibaba Cloud のセキュリティコンプライアンス能力 トラステッドな環境 GPU NIC BMC BIOS TPM2.0 ハードウェア

    セキュアなファームウェア CPU SGX ハイパーバイザー OS アプリ アプリ HSM アプリホワイトリストの動的な 測定および応答 HW に基づく暗号化サー ビス セキュアな コンピューティング SGX 測定
  13. Alibaba Cloud のセキュリティコンプライアンス提供 能動的な防御メカニズムと緊急時応答を持つセキュリティセンター クラウドセキュリティセンターによる保護 100 万社に提供 ハイリスクの脆弱性をオ ンクラウドで直す 833

    万 緊急時の脅威に応答す るために立ち上げ 79 件の応答 ワンプラットフォー ム 2 つの重点事項 3 つのシナリオ クラウド セキュリティ オペレーションセンター エンドポイント セキュリティ コンテナ セキュリティ コンプライアンス 防止 脅威検出 統合された 保護 SOAR 自動応答 基準の点検 マルウェアの排除 機械学習ベースのスキャンエンジン アンチウイルス アンチランサムウェア 改変防止脆弱性管理 ビッグデータインテリ ジェンスにより駆動 ハイブリッドアーキテクチャ マルチクラウド コンプライアン スベンチマーク Alibaba Cloud セキュリティはクラウドワークロード保護プラットフォーム (CWPP) のマーケットガイドにおいて Gartner から最上層の CWPP ベンダーと認識されています。 セキュリティセンター – クラウド SOC 防止 調査 & 応答 脅威の 検出 能動的 防御 セキュリティセンター Alibaba Cloud クラウドネイ ティブなセキュリティ SOC CWPP (クラウドワークロード保護プラットフォーム) および CSPM (クラウドセキュリティ状態管理) システム 保護、検知、防御および調査における SOAR 能力 マルチクラウドおよびハイブリッドクラウドに対する統合さ れたセキュリティ管理をサポート
  14. Alibaba Cloud のセキュリティコンプライアンス提供 E2E な暗号化 伝達における暗号化 • VPN • HTTPS

    保存 コンピューティング 伝達 ハードウェアの暗号化 物理的セキュリティ • データセンターセキュリティ • データ消去 暗号化されたコンピューティング • SGX 暗号化コンピューティング 環境* 保管時の暗号化 • EBS • OSS • RDS • KMS (BYOK) *Alibaba Cloud はこの機能をサポートするアジアで初、世界で 2 番目のベンダーです。
  15. Alibaba Cloud のセキュリティコンプライアンス提供 ID および認証の集中管理 (IDaaS) RAM Alibaba Cloud IDaaS

    MFA UID SSO カスタマー 従業員/ 提携相手 ソーシャルメ ディアアプリ ローカルシ ステム SaaS Alibaba Cloud その他の クラウドサービス • Identity as a Service (IDaaS):クラウドベースの ID 管 理サービス、さまざまなシナリオにおいて複数の ID や認証 を管理する能力を提供します。. • 従業員および提携相手のアクセスをセキュアに管理 ID や 認証は、承認アクセス数を制限することにより、企業のリ ソースを保護するための新たなセキュリティ境界になります。 • 顧客対面ビジネスに価値を付加:正確なマーケティング能 力を使用することでアカウントシステムを均一に 管理します。 統合化されたユーザーディレクトリ | 統合化された認証 | 統合化された承認 | 統合化されたリソース管理 | 統合化されたアクティビティ監査
  16. Alibaba Cloud のセキュリティコンプライアンス提供 リソースアクセス管理 (RAM) を使用したグラニュラーなアクセスコントロール あらゆる運用やアクセスに はリソース所有者からの認 証が常に必要です。 クラウドアカウント

    ユーザー/アプリケー ション/クラウドプロダ クト 状況認識 承認モデル ABAC アクセスコントロー ル マルチレベルの承認管理 承認 ポリシー 1 承認 ポリシー 2 承認 ポリシー 3 リソース グループ 1 リソース グループ 2 リソース グループ 3
  17. Alibaba Cloud のセキュリティコンプライアンス提供 MLPS 2.0 コンプライアンス管理サービス 01 分類およびギャップ解 析 申請

    分類 修正 評価 評価試験失敗 不正確な等級レベル 資料不十分 02 修正およびセキュリティの 強化 03 評価 l 対象の該当レベルにおける現状と基準規格のギャップを特定 l 修正を計画 l セキュリティ管理ポリシーの設計および実施ガイド l 適切なセキュリティプロダクトを選定することを促進 l クラウドセキュリティプロダクト設定の最適化 l セキュリティ管理修正サポート l ネットワークセキュリティ強化サポート l VM セキュリティ強化サポート l データベースセキュリティ強化サポート l アプリケーションセキュリティ強化サポート l 政府の承認した評価機関 (第三者機関など) と協業して評価試験を完了 l 評価試験に合格しレポートの承認を受ける 当局による検査 総合的な MLPS 2.0 コンプライアンスサービスには、CCSP コンプライアンスを容易かつ利便的に達成するため、相談、アセスメント、修正、 および評価試験サービスが含まれており、オンクラウドとオンプレミスの対象の両方をカバーしています。
  18. Alibaba Cloud のセキュリティコンプライアンス提供 カスタマーが中国のセキュリティコンプライアンスを援助するための包括的なセキュリティポートフォリオ プロダクトパートナー | チャンネルパートナー | ホワイトハットエコシステム |

    データセキュリティ API ビジュアライゼーショ ンセキュリティ ハードウェアセ キュリティ 物理的セキュリティ クラウドプロダクト セキュリティ セキュリティサービス セキュリティプロダクトおよび能力 セキュリティソリュー ション データ アプリケーション WAF | ウェブサイト 脅威検査員 運用 脅威検出サービス | セキュリティスチュワード | 防衛拠点ホスト IDaaS | RAM | ActionTrail ID 認証 リスクコントロール 実名認証 | コンテンツの 適正化 | インテリジェンスリスク コントロール | アンチボット サービス ネットワーク アンチ DDoS | GameShield | クラウドファイアウォール SCDN | コンテナ ホストセキュリティ サーバーガード コンプライアンスソリューション 新しいリテールセキュリティ オンライン金融ソリュー ション ハイブリッドクラウド管理 ソーシャルメディアアンチスパム 脆弱性スキャンニング 管理されたセキュリティ サービス 侵入試験 緊急時ドリル MLPS 2.0 サービス セキュリティエコシステム 暗号化サービス | SSL 認証 | データベース監査 | DataShield | KMS
  19. 主な結論 MLPS 2.0 レベル 3 に準拠したアーキテクチャの例 ü セキュアな物理的環境 物理的なアクセスコントロール、盗難防止、破壊行為防止、遮光、防火、防水、防湿、 調温調湿、電源管理、電磁波防御機能を持つ、セキュアで

    MLPS 2.0 に準拠した 環境です。 ü セキュアな通信ネットワーク セキュアな通信および伝達のために MLPS 2.0 に準拠したネットワークを構築しました。 ピークの業務需要を処理するために柔軟に帯域を管理します。 ü セキュアなゾーン境界 アクセスコントロール、侵入防止、悪意あるコードの防止、および Alibaba Cloud のセ キュリティ監査のあるセキュアな境界を確立しています。Anti-DDoS Pro を内蔵するこ とで、ネットワークをインテリジェントに保護し、1.6 Tbps を超えるミティゲーション容量を 用いて洗練された DDoS アタックから防御して潜在的セキュリティの脅威を緩和します。 ü セキュアなコンピューティング環境 ID 認証、アクセスコントロール、記録/監査、暗号化、データセキュリティおよび脆弱性 管理を用いてコンピューティング環境をセキュアなものにします。 ü セキュアなセキュリティ管理センター セキュリティセンターと統合化されたプラットフォーム上でオンクラウドセキュリティを管理、 監視します。セキュリティの脅威を特定、分析してリアルタイムで 警告します。
  20. 主な結論 MLPS 2.0 コンプライアンス白書 白書から得られるヒント: • クラウドカスタマーはクラウド上のビジネスアプリケーションを個別に評価する必要が あります。 • CCSP

    2.0 評価試験で「優秀」な結果を得るためには、「優秀」な評価結果を持 つクラウドプラットフォーム上でシステムをホストするだけで十分です。 • カスタマーと CSP の間で共有される責任はサービスモードによって異なり ます。詳細については白書をお求めのうえ、付録 A を参照してください。 1) 優秀の結果を持つ CSP を選択 2) 業務アプリケーションに高程度または中程度のリスク予測が特定されない 3) 評価試験において 90 点以上である CCSP 2.0 の基準として Alibaba Cloud セキュリティコンプライアンス白書をお求めになる場合は、セキュリティ/コンプライアンスセンター までご連絡ください。