Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Learn Zero Trust from Zero

Learn Zero Trust from Zero

ゼロトラストをゼロから学ぶ - DevLOVE | Doorkeeper https://devlove.doorkeeper.jp/events/106514

Shintaro Okamura

May 19, 2020
Tweet

More Decks by Shintaro Okamura

Other Decks in Technology

Transcript

  1. 2020 Shintaro Okamura @okash1n 岡村 慎太郎 / @okash1n • 31歳(1989年3月19日生まれ)

    • 香川大学医学部医学科中退 • SESでインフラエンジニアとしてキャリア をスタート • SaaS企業のエンジニア(情シス) • toCサービスのエンジニア(SRE) • SaaS企業で経営企画(Now)
  2. 2020 Shintaro Okamura @okash1n 今日話すこと • そもそもセキュリティって? • 従来の情報セキュリティの考え方 •

    ゼロトラストの概念と経緯 今日は主に経済活動を行う企業におけるセキュリティについて話します
  3. 2020 Shintaro Okamura @okash1n セキュリティとは? protection of a person, building,

    organization, or country against threats such as crime or attacks by foreign countries: ❖ 情報セキュリティの文脈では守る対象は「情報」 SECURITY | meaning in the Cambridge English Dictionary https://dictionary.cambridge.org/dictionary/english/security
  4. 2020 Shintaro Okamura @okash1n 「何を守るか」は大きく2パターン 1. 法令やガイドライン・契約によるもの ◦ 基本的には「守る」以外の選択肢は無い 2.

    情報の保持者(主に企業や団体)の判断によるもの ◦ ものによっては「守らない」という選択肢もある
  5. 2020 Shintaro Okamura @okash1n 「何を守るか」は大きく2パターン 1. 法令やガイドライン・契約によるもの ◦ 基本的には「守る」以外の選択肢は無い 2.

    情報の保持者(主に企業や団体)の判断によるもの ◦ ものによっては「守らない」という選択肢もある
  6. 2020 Shintaro Okamura @okash1n 行政処分や社会的な死が待っている • 罰金 • 業務停止 •

    信用の失墜 ◦ ブランド力低下 ◦ 不買 これらの先には「倒産」が待っているかもしれない
  7. 2020 Shintaro Okamura @okash1n ITmedia ビジネスオンライン https://www.itmedia.co.jp/business/articles/1912/04/news159.html 問題となっていたのはリクルートキャリアの「リクナビDMPフォロー」というサービス。同社は 2018年度に対象企業に応募した学生のリクナビ上の行動履歴などを分析。アルゴリズムを作 成して19年度の学生の行動履歴と照合することで内定辞退率を予測していたが、学生に十分

    な説明をすることなく企業に提供していたとして、19年8月にサービスを廃止。同月には個人 情報保護委員会から、9月には厚生労働省から指導を受けている。個人情報保護委員会から は、今回2度目の勧告を受けた。 リクナビDMPフォローを利用していた企業のうち、トヨタ自動車、京セラ、YKK、三菱商事など 11社は、同サービスの利用目的について適切に通知・公表するよう指導を受けた。デンソー やレオパレス21など残り24社はこれに加え、個人データを第三者に提供する場合や個人デー タの取り扱いを委託する場合の対応についても指導を受けている。
  8. 2020 Shintaro Okamura @okash1n 「何を守るか」は大きく2パターン 1. 法令やガイドライン・契約によるもの ◦ 基本的には「守る」以外の選択肢は無い 2.

    情報の保持者(主に企業や団体)の判断によるもの ◦ ものによっては「守らない」という選択肢もある
  9. 2020 Shintaro Okamura @okash1n ゼロトラストとは? Zero trust (ZT) is the

    term for an evolving set of cybersecurity paradigms that move network defenses from static, network-based perimeters to focus on users, assets, and resources. NIST Zero Trust Architecture (2nd Draft) https://csrc.nist.gov/publications/detail/sp/800-207/draft
  10. 2020 Shintaro Okamura @okash1n ゼロトラストとは? Zero trust (ZT) is the

    term for an evolving set of cybersecurity paradigms that move network defenses from static, network-based perimeters to focus on users, assets, and resources. ❖ 情報セキュリティにおける「考え方」を表す用語 ➢ Not「製品」or「特定の技術」 ➢ 「守り方」のお話 NIST Zero Trust Architecture (2nd Draft) https://csrc.nist.gov/publications/detail/sp/800-207/draft
  11. 2020 Shintaro Okamura @okash1n ゼロトラストとは? Zero trust (ZT) is the

    term for an evolving set of cybersecurity paradigms that move network defenses from static, network-based perimeters to focus on users, assets, and resources. ❖ 情報セキュリティにおける「考え方」を表す用語 ➢ Not「製品」or「特定の技術」 ➢ 「守り方」のお話 NIST Zero Trust Architecture (2nd Draft) https://csrc.nist.gov/publications/detail/sp/800-207/draft
  12. 2020 Shintaro Okamura @okash1n 話をわかりやすくするために、従来のモデルをまず説明します Zero trust (ZT) is the

    term for an evolving set of cybersecurity paradigms that move network defenses from static, network-based perimeters to focus on users, assets, and resources. ❖ 先に断っておきますが、これらが「悪い」「もう使ってはいけない」というわ けではありません。 NIST Zero Trust Architecture (2nd Draft) https://csrc.nist.gov/publications/detail/sp/800-207/draft
  13. 2020 Shintaro Okamura @okash1n では何故ゼロトラストが生まれたのか? Zero trust (ZT) is the

    term for an evolving set of cybersecurity paradigms that move network defenses from static, network-based perimeters to focus on users, assets, and resources. ❖ 情報セキュリティにおける「考え方」を表す用語 ➢ Not「製品」or「特定の技術」 ➢ 「守り方」のお話 NIST Zero Trust Architecture (2nd Draft) https://csrc.nist.gov/publications/detail/sp/800-207/draft
  14. 2020 Shintaro Okamura @okash1n 時代や環境の変化 • SaaS, IaaS, スマホの登場 ◦

    ロケーションに依存していてはビジネスにおける競争に勝つことが出 来ない時代になってきた ◦ ロケーションから解き放たれると「境界」の線引きが困難になる
  15. 2020 Shintaro Okamura @okash1n では何故ゼロトラストが生まれたのか? Zero trust (ZT) is the

    term for an evolving set of cybersecurity paradigms that move network defenses from static, network-based perimeters to focus on users, assets, and resources. ❖ ネットワークの境界における防御から、ユーザーやデバイスなど情報を取 り扱う主体ベースで防御を考える必要が出てきた NIST Zero Trust Architecture (2nd Draft) https://csrc.nist.gov/publications/detail/sp/800-207/draft
  16. 2020 Shintaro Okamura @okash1n 脅威の質や量も変わってきた • 標的型攻撃 ◦ 三菱重工 ◦

    Emotet • 関係者の犯行 ◦ ベネッセ ◦ ブロードリンク
  17. 2020 Shintaro Okamura @okash1n 境界を狭めた上で、定期的に信頼性を見直す必要がある What is the Zero Trust

    Model for Cybersecurity, Really? | LogRhythm https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/
  18. 2020 Shintaro Okamura @okash1n 境界を狭めた上で、定期的に信頼性を見直す必要がある What is the Zero Trust

    Model for Cybersecurity, Really? | LogRhythm https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/ 全く信頼 しない訳 ではない
  19. 2020 Shintaro Okamura @okash1n 境界を狭めた上で、定期的に信頼性を見直す必要がある What is the Zero Trust

    Model for Cybersecurity, Really? | LogRhythm https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/ Dataに アクセス させて 大丈夫?
  20. 2020 Shintaro Okamura @okash1n 判定は可能な限り多数の要素から総合的に判断 What is the Zero Trust

    Model for Cybersecurity, Really? | LogRhythm https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/ Dataに アクセス させて 大丈夫?
  21. 2020 Shintaro Okamura @okash1n 判定は可能な限り多数の要素から総合的に判断 What is the Zero Trust

    Model for Cybersecurity, Really? | LogRhythm https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/ • ID/Password合ってる? • このIDにはアクセス権ある? • このIDを使ってるのは本当に ID 保持者?
  22. 2020 Shintaro Okamura @okash1n 判定は可能な限り多数の要素から総合的に判断 What is the Zero Trust

    Model for Cybersecurity, Really? | LogRhythm https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/ • 信頼できるデバイス? • ウイルスに侵されていない? • OSのバージョンは?
  23. 2020 Shintaro Okamura @okash1n 判定は可能な限り多数の要素から総合的に判断 What is the Zero Trust

    Model for Cybersecurity, Really? | LogRhythm https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/ • どこからアクセスしてる? • 通信は暗号化されてる?
  24. 2020 Shintaro Okamura @okash1n これらの総合点で判断する Implementing a Zero Trust security

    model at Microsoft https://www.microsoft.com/en-us/itshowcase/implementing-a-zero-trust-security-model-at-microsoft
  25. 2020 Shintaro Okamura @okash1n でもこんなの自前で作るのはかなりキツい Implementing a Zero Trust security

    model at Microsoft https://www.microsoft.com/en-us/itshowcase/implementing-a-zero-trust-security-model-at-microsoft
  26. 2020 Shintaro Okamura @okash1n 巨人達の肩にある程度乗っていく What is the Zero Trust

    Model for Cybersecurity, Really? | LogRhythm https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/
  27. 2020 Shintaro Okamura @okash1n サービス作る側は?(SaaSサービスなど) Implementing a Zero Trust security

    model at Microsoft https://www.microsoft.com/en-us/itshowcase/implementing-a-zero-trust-security-model-at-microsoft
  28. 2020 Shintaro Okamura @okash1n サービスのユーザー管理にこんな機能持たせるのはきつい Implementing a Zero Trust security

    model at Microsoft https://www.microsoft.com/en-us/itshowcase/implementing-a-zero-trust-security-model-at-microsoft
  29. 2020 Shintaro Okamura @okash1n どうやって勉強したらいい? • Google Beyondcorp ◦ https://cloud.google.com/beyondcorp?hl=ja

    • MicrosoftのZeroTrustに関するドキュメント ◦ https://www.microsoft.com/ja-jp/security/business/zero-trust • NIST SP 800-207(まだドラフト) ◦ https://csrc.nist.gov/publications/detail/sp/800-207/draft
  30. 2020 Shintaro Okamura @okash1n 今日のまとめ 2 • 境界型防御やVPN等が悪いわけではない • 変化するビジネスシーンや脅威の中で、守りたい(守るべき)情報を守りな

    がら、円滑にビジネスを行う為に、防御の境界をユーザーやデバイスレベ ルまで狭める必要が出てきただけ • Zero Trust(何も信頼しない)のではなく常に様々な要素から信頼を見直し 続ける仕組みが必要
  31. 2020 Shintaro Okamura @okash1n 今日のまとめ 3 • 自前で作り込むのは厳しいので、海外でも実績のある巨人達のソリュー ション(AzureAD, GSuite,

    Ping, Okta)などに乗っかりましょう(私は Microsoftのソリューションが今の所オススメ) • SaaSなどのサービスを作る側はSAML認証の強制やプロビジョニングの 仕組みなど、巨人達のソリューションとの連携機能をつけてあげましょう