Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
Search
Riotaro OKADA
PRO
September 06, 2021
Business
0
10
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
2021/6 ITmedia Security Weekでの講演
Riotaro OKADA
PRO
September 06, 2021
Tweet
Share
More Decks by Riotaro OKADA
See All by Riotaro OKADA
Vulnerabilities and the Future
okdt
PRO
1
220
How Application Security Will Change with the Rise of AI
okdt
PRO
1
70
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
okdt
PRO
4
770
脆弱性とこれからの話 - ソフトウェアサプライチェインリスク
okdt
PRO
7
1.5k
ソフトウェアセキュリティはAIの登場でどう変わるか - OWASP LLM Top 10
okdt
PRO
14
7.8k
今から取り組む企業のための脆弱性対応~大丈夫、みんなよく分かっていないから~
okdt
PRO
1
150
DXとセキュリティ - IPA Digital Symposium 2021
okdt
PRO
0
110
SHIFT LEFT PATH at AWS DEV DAY3 General Session
okdt
PRO
3
1.2k
Post DevOps What Should We Shift-Left
okdt
PRO
0
4
Other Decks in Business
See All in Business
産業用自家消費型太陽光300kW+産業用蓄電池500kWh 投資対効果(ROI)・投資回収期間シミュレーション結果(エネがえるBiz診断レポートサンプル)
satoru_higuchi
PRO
0
190
Sales Marker Culture Book(English)
salesmarker
PRO
1
3k
合議で決めたいわけではないけれど、 集合知で助けてほしい。_pmconf_2024
tomosooon
1
5.1k
産業用自家消費型太陽光80kW 投資対効果(ROI)・投資回収期間シミュレーション結果(エネがえるBiz診断レポートサンプル)
satoru_higuchi
PRO
0
340
ハードウェア企業から700万ユーザーを抱えるB2B SaaSへ:PMのキャリアシフトで見えた共通点とギャップ
kubell_hr
0
3.8k
_RINGの会_令和の時代の保険募集実務とプロ代理店の対応.pdf
hakusansai
0
150
WED Company Guide
wed
2
43k
CompanyDeck_v6.pdf
xid
3
17k
2024.12_中途採用資料.pdf
superstudio
PRO
0
56k
SHONAIグループ_コーポレートブック
shonai9107
0
2.1k
よいPM定例はPM組織を強くする ~ 共有から共創へ、悩みを共に解決する場づくり ~
jouykw
1
6.3k
Mercari-Fact-book_jp
mercari_inc
3
150k
Featured
See All Featured
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Writing Fast Ruby
sferik
628
61k
Being A Developer After 40
akosma
87
590k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
RailsConf 2023
tenderlove
29
940
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
29
2k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.2k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
247
1.3M
How to Ace a Technical Interview
jacobian
276
23k
BBQ
matthewcrist
85
9.4k
Transcript
$*40͕ɺదʹηΩϡ ϦςΟػೳͱϨϕϧΛ ܾΊΔʹ 岡⽥ 良太郎 アスタリスク・リサーチ 2021.06
株式会社アスタリスク・リサーチ 岡⽥良太郎 岡⽥ 良太郎 代表・エグゼクティブリサーチャ CISA, MBA
[email protected]
活動 -
activities WASForum Hardening Project オーガナイザ 衛る技術を顕彰する、8時間耐久ビジネス堅牢化技術競技プロジェクト OWASP (Open Web Application Security Project) 世界最⼤のアプリケーションセキュリティ推進団体 ・OWASP Japan チャプターリーダ ・OWASP Top 10 翻訳チームリーダ ・OWASP Foundation “Best Chapter Leader”, “Best Community Supporter” 受賞(2014) Hackademy(ハッキングと防御) 「ハッキングと防御」コース ビジネスブレークスルー⼤学(学⻑ ⼤前研⼀) 「教養としてのサイバーセキュリティ」コース担当講師 独⽴⾏政法⼈ IPA 情報セキュリティ10⼤脅威選考委員 総務省 サイバーセキュリティ演習 CYDER 推進委員 (c) Riotaro OKADA / Asterisk Research, Inc. 2 創業2006年。企業の事業成⻑に貢献するセキュリティ実践を推進。
アスタリスク・リサーチ “シフトレフト”実現企業 asteriskresearch.com (c) Riotaro OKADA / Asterisk Research, Inc.
3 Professional Tools 実践段階のQCDを⾼める道具 ・トレーニング ・Eラーニング ・開発環境向けツール(CI/CD) ・トレーニングイベントデザイン ・リスクプロファイルトレーニング ・脅威分析トレーニング Advisory Service 経営陣の⾼速な意思決定を実現するアドバイザリ ・PSIRT/CSIRT Advisory ・DevOps Transformation ・セキュリティ・スコアカード分析 ・エグゼクティブ向けブリーフィング ・CISO, CTO, CROハンズオン Security Test Managed Service セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis ・コンポーネント分析 SCA ・ソースコード分析 SAST ・システム脆弱性テスト DAST ・プラットフォームテスト NST
2021年、IT版「家庭の医学」でました 「もはや経験のあるベテランの勘で経営 判断できる状況ではなく、持てる限りの データを活用し、迅速に判断し、アクショ ンを取らなければなりません」 「一方で、未成熟な技術に甘んじなけれ ばならない側面もあります」 「そこで、DXを進める上での前提は」 ͷষͱͷίϥϜ ཧղΛਂΊΔͭͷষ
શϖʔδɺ໊ͷࣥචਞ ץʹ͙࣍վగ৽൛ɻ
ຊͷߏ 1SPMPHVF $*40ͷΈ 8IFSF8IZVQEBUF$*40T r TFDSFUT
3JHIU/PX ࠓ͙͢Ͱ͖Δ͜ͱ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
0. Prologue – CISOの悩み (c) Riotaro OKADA / Asterisk Research,
Inc. 6
7 (c) Riotaro OKADA / Asterisk Research, Inc.
急に訪れた テレワーク時代 D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
֎෦ڥɿۃΊͯ ͍͜ͱͩΒ͚ͳ ίϩφՒ • ΠϯϑΥσϛοΫɿِใͷ൙ཞ • ٗͷԣߦɿϑΟογϯάɺෆਖ਼ૹۚɺಛघٗͷԣߦ • ์ஔɿΞοϓσʔτ͍ͯ͠ͳ͍੬ऑੑͷѱ༻ࣄҊɻ71/͕Ӥ ৯
• ྲྀग़ɿҋͷܝࣔ൘αΠτɺചങαΠτ • ڴഭɿػີใͷϥϯαϜڴഭࣄҊɺԠ͡ͳ͍اۀͷσʔλ ചങͷ૿ՃɺμʔΫΣϒ • ෦൜ߦɿେنͳϓϥΠόγʔσʔλͷѱ༻ۚમऔ • αϓϥΠνΣΠϯɿωοτϫʔΫΞϓϥΠΞϯεͷΞοϓ σʔτ͕৵͞ΕΔ • ·͔͞.41Ξτιʔεઌͷ.41ܦ༝ͰϋοΩϯά • 4BB4Α͓લ͔ɿϝδϟʔͰɺ৴པ͞Ε͍ͯΔ4BB4ͷઃఆෆ Ͱػີσʔλ࿐ग़ɺϕϯμʔͷʁ • ϓϥΠόγɿʜ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
ʮ͜ΕɺαΠόʔ ߈ܸͷߴԽͩʯ ΄Μͱʁ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD ߈ܸΠϯςϦδΣϯεങͬͯͨΒͲ͏ʹ͔ͳͬͨʁ 11"1ΊͯͨΒ͜Μͳͳ͔ͬͨʁ ύεϫʔυڧԽͯͨ͠ΒΒΕͳ͔ͬͨʁ ΞϯνΟϧεͷߋ৽͕ͱ·ͬͯͨʁ͑ɺങऩʁ
ΤϯυϙΠϯτࢹͯͨ͠ΒࢭΊΒΕͨʁ ηΩϡϦςΟਓࡐ๛ͳاۀͰେৎͩͬͨʁ θϩτϥετͯ͠ͳ͔͔ͬͨΒΒΕͨʁ
ٯʹɺΓ͢ ͔ͬͨมֵ ͔͋ͬͨ • 71/ґଘͷΈͷഉআ • 4.#ϕʔεͷϑΝΠϧαʔόͷഇࢭ • ΫϥυαʔϏεͷϦϓϨʔε •
ೝূج൫ͷඋͱΞΧϯτͷ୨Է͠ • ωοτϫʔΫ૿ڧ • ใγεςϜ෦ͷܦݧ • αΠόʔ܇࿅ɾԋशͷσδλϧԽ • ΦϯϓϨ͔ΒΫϥυ • αʔϏεௐୡ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
(c) Riotaro OKADA / Asterisk Research, Inc. https://www.optiv.com/navigating-security-landscape-guide-technologies-and-providers セキュリティサービスはさらにカオス
SANS CISO MIND MAP SANS CISO MIND MAP Ͱݕࡧ ख़ϚτϦοΫε͍͍ͭͯΔ
(c) Riotaro OKADA / Asterisk Research, Inc. 17
ʮ$*40ͷͭͷʯ • ߈ܸऀͱͷઓ͍ • ڴҖͱ߈ܸ • αϓϥΠνΣΠϯ • ࣄۀܧଓ •
ͱͷͤΊ͍͗͋ • Ϗδωε • ίϯϓϥΠΞϯε • ෦൜ߦ • 30* D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD 参考:「CISOハンドブック」前書き
ʮͭͷʯ όʔϯΞτ • ෆଌͷ࡞ۀͷ૿Ճ • ཁٻਫ४ͷߴ·Γ • αϙʔτͰ͖ͳ͍पลϚωʔδϟ • ݽཱɺͭͳ͕Γͷࣦ
• ҙཉࣦɺແྗײ • ʮ৽͍͠ςΫϊϩδʔʯʹৼΓճ͞ΕΔ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
1. Where/Why update CISOs (c) Riotaro OKADA / Asterisk Research,
Inc. 21
ʮ҆৺ͯ͠ॿ͚ΛٻΊΒΕΔ৫Λ࡞Δʯ ̒ $PODFQUT ਓؒؔΛங͘ ऑ͞ΛೝΊΔ ଞऀΛཧղ͢Δ
ଞऀΛঝೝ͢Δ ࣗͰίϯτϩʔϧ͢Δ ֎෦ͷྗΛआΓΔ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD “What I Learnd When I was Burned Out” HBR.org
$PODFQUਓؒؔΛங͘ • ܦӦਞ͚ࣾͷɺདʑͳϨϙʔτͱ ϒϦʔϑΟϯάΛఆظతʹఏڙ͢Δ͜ͱ • ܦӦਞͷϦεΫཧղΛଅਐ͢Δ • ࣄۀ෦ͷηΩϡϦςΟɾ69Λվળ͢Δ • ݱঢ়ͷΩϟύγςΟͷݶքͷཧղΛଅਐ͢Δ
D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
ܦӦਞࣾͷϨϙʔτྫ • エグゼクティブサマリー • システム脅威モニタリングレポート • 認証基盤 • 企業ネットワーク関連 •
着弾メール • httpトラフィック • データ活⽤と移動の課題 (内部犯⾏) • 企業ウェブサイト • 社内キャンペーン関連 • 訓練、システム移⾏、UX改善 • テクニカルトレンドと⾃社への適⽤ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
$PODFQUऑ͞ΛೝΊΔ • ϕϯνϚʔΫΛ͍ɺݱঢ়ͷରԠͱख़Λ͋Γͷ··ʹݟΔ • ڴҖͷසɺࣄۀΠϯύΫτΛֻ͚ࢉ͠ɺ Өڹͷେ͖ͳϦεΫରԠͷݶքΛཧղ͢Δ • ͷձٞͰप͠ɺڠྗͱิڧͷඞཁੑΛڧௐ͢Δ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI
*OD
$*40ͷͨΊͷϑϨʔϜϫʔΫɾϐοΫΞοϓ ɺϋϯυϒοΫܝࡌՕॴ • $*44FDVSJUZ$POUSPMT ίϯτϩʔϧζ اۀΠϯϑϥ • /*45$ZCFS4FDVSJUZ'SBNFXPSL
ॏཁΠϯϑϥ • $ZCFSTFDVSJUZ$BQBCJMJUZ.BUVSJUZ.PEFM $. *5ͱ05 • /*4541ɿηΩϡϦςΟཧࡦٴͼϓϥΠόγʔཧࡦ • *40*4.4 • 1$*%44 ΫϨδοτΧʔυ • 08"414".. #4*..։ൃηΩϡϦςΟϓϥΫςΟε • αΠόʔηΩϡϦςΟܦӦΨΠυϥΠϯ • #*.$0ΨΠυϥΠϯɿւӡۀ “情報セキュリティのよりどころが、規定 的なチェックリストから、事業や経営に 応じて適⽤するフレームワークに変わっ ていると⾔える” (CISOハンドブック p78)
強いところと弱いところを⾃覚 (c) Riotaro OKADA / Asterisk Research, Inc. 27
$PODFQUଞऀΛཧղ͢Δ • ࣄۀܧଓ͕ਓ࣭ʹऔΒΕΔࣄҊͷٸ૿ɿϦΞϧλΠϜͳࣄۀཧղ͕ෆՄܽ • ηΩϡϦςΟͱࣄۀ෦͕Ұॹʹ͖͢ࣄ͕͋Δ • ࣄۀ෦͕ཉ͍͠ͷɺࠔ͍ͬͯΔ͜ͱΛҰॹʹݟΔ • ͙͢ʹʮϊʔʯͱ͍͏ͷΛΊΔ •
ηΩϡϦςΟ69Λվળ͢Δ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
チャット系 グループウェア オンライン会議系 社内SNS インストール型 総合 ナレッジ共有 日報 社内報 総合
ワークフロー 総合 エンジニア コンサル マーケティング プラットフォーム型 Webサイト クラウドソーシング型 総合 クリエイティブ テスター・入力 翻訳・ライティング・編集 オンラインセミナー・イベント 人事 コミュニケーション 営業 周辺ツール ホワイトボード ノーコード iPaaS HP ECサイト フォーム ハード系 MA / CRMツール 名刺管理 メール 商談関連 フォームアタック D セールス支援 顧客管理 セールス セールス HR系 人事評価 エンゲージメント向上 エンゲージメント測定ツール 日程調整 デザイン 採用関連 人事関連 オンライン1on1 オンライン福利厚生 リモート人材活用 エージェント型 エンジニア 2021/02/08 現在 (c) Riotaro OKADA / Asterisk Research, Inc. ノーコード︖ローコード︖連携︖
(c) Riotaro OKADA / Asterisk Research, Inc. セキュリティは⾮機能? endpoint
endpoint No, It’s 横断的機能
ʮԣஅతػೳʯͷ ج൫ͱϕʔεϥΠϯ • ೝূͱೝՄ • "1*ػೳ • ࿈ܞ • ίʔυ
• σʔλอଘ • ϞχλϦϯάͱӡ༻ • ηΩϡϦςΟςετͷ͋Γํ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
$PODFQUࣗͰίϯτϩʔϧ͢Δ • ίϯτϩʔϧͰ͖Δ͜ͱΛ૿ͨ͢ΊʹɺΓํΛม͑Δ • ςΫϊϩδʔͷߋ৽ɿಈ͔͍ͯ͠ͳ͍ςΫϊϩδʔΛม͑ͯΈΔ • ηΩϡϦςΟͱࣄۀ෦͕ɺରཱΛΊͯڠಇ͢Δ • ࣗಈԽΈԽɺ00%"ϕʔεͰॊೈʹਪਐ͢Δ ʢෆଌͷ࡞ۀΛݮΒ͢ʜʣ
D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
IDENTIFY: 脅威は変化している->対策は︖ 1. マルウェア 2. ウェブの仕組みを利⽤した攻撃 3. フィッシング 4. ウェブアプリケーションへの攻撃
5. スパム 6. DDoS 7. Id盗難 8. データ漏洩 9. 内部脅威 10. ボットネット 11. 物理的な操作/損害/盗難/紛失 12. 情報漏洩 13. ランサムウェア 14. サイバースパイ 15. クリプトジャッキング (c) Riotaro OKADA / Asterisk Research, Inc. 34
%&5&$53&410/$&ؾ͕͘εϐʔυʁ 攻撃者の準備と実⾏に関わる⼿段の部分 を構造化して⾒られるフレームワーク 攻撃者は、まずどこを⾒るのか 段階的にどんなツール・⼿法を使うか ラテラルムーブメントはどんな⼿法か 情報取得・改ざんのゴール D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
IUUQTNJUSFBUUBDLHJUIVCJPBUUBDLOBWJHBUPSFOUFSQSJTF ⾚いのは、08"415PQに関連する脆弱性
セキュリティコンセプトとテクノロジの更新 AI/ML マイクロ サービス Cloud First 統合 Software Defined Endpoint
モニタリ ング 脅威 (c) Riotaro OKADA / Asterisk Research, Inc. 36 ?
ʮ৽ைྲྀʯʁ ʮඞཁͳͷʹམͪண͍ ͯऔΓΉʯͰྑ͍ ೝূೝՄͱҧͷཧɿ • ;FSP5SVTU ηΩϡϦςΟΠϯγσϯτରԠͷࣗಈԽɿ • 40"3ɿ4FDVSJUZ0SDIFTUSBUJPO "VUPNBUJPO
BOE3FTQPOTF ωοτϫʔΫͱωοτϫʔΫηΩϡϦςΟͷ౷߹ɿ • 4"4&4FDVSF"DDFTT4FSWJDF&EHF ෦ͷҟৗߦಈݕɿ • 6&#" 6TFSBOE&OUJUZ#FIBWJPS"OBMZUJDT
$PODFQU֎෦ͷྗΛआΓΔ • ରࡦͷٕज़ߋ৽͞Ε͍ͯΔ • ͬͱޮՌతͰ҆Ձͳํ๏͕͋Δ߹ଟ͍ • ίϯϓϥΠΞϯεมԽ͍ͯ͠Δ • ڴҖใ֎෦͔Βೖख͢Δʢࣄۀ໘ɺٕज़໘ʣ •
΅͕͘ߟ͍͖͑ͨ͞ΐ͏ͷʜPS[ • ࢪࡦͷ࣮ݱʹ֎෦Λר͖ࠐΉ • ֎෦Λ͏ͱɺͪΌΜͱਐΉʢ͕࣌ؒҰ൪ͷίετ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
࠷ޙʹ $PODFQUଞऀΛঝೝ͢Δ • $*40νʔϜݽཱͨ͠ΒऴΘΔ • Ͱ͖͍ͯͳ͍͜ͱ͚ͩΛѻ͏ͷΛΊΔ • Ͱ͖͍ͯΔ͜ͱΛͱΓ͋͛ɺײँ͠ࢍ͢Δ • ͍͍Ͷʂ
D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
Closing: Right Now? (c) Riotaro OKADA / Asterisk Research, Inc.
41
(c) Riotaro OKADA / Asterisk Research, Inc. 42
ि໌͚͙͢ʹγϑτϨϑτ • ఆظతͳϨϙʔτΛૣ։࢝ɻ࠷ॳຕϖϥͰΞτϓοτʂ • *5NFEJB 4FDVSJUZ8FFLͰಘͨΞοϓσʔτΛڞ༗ • ఏڙ͍ͯ͠ΔϨϙʔτͷݟ͠ɿϙδςΟϒˍϦΞϧԽ • ࢪࡦͷશମ૾ͱಛΛϒϨετ͠Α͏
• .*/%."11*/( • ख͕ಧ͍͍ͯͳ͍ • ηΩϡϦςΟͷ69͕ྑ͘ͳ͍ͷ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
Ҏʹ ͙͙ͬͱγϑτϨϑτ • ࣄۀ෦ʹาΈدΔ • සͷߴ͍ࡶஊɺ 69վળɺࣄۀద༻ʹ͍ͭͯҙݟަΛߦ͏ • ڠྗΛ͓͙͋ •
ݱঢ়ͷΩϟύγςΟͷݶքͱɺվળͷػձʹ͍ͭͯڞ༗ • Ҏ্ͦͷ··ʹͳ͍ͬͯΔࢪࡦͷ୨Է͠ͱߋ৽ݕ౼ • 1%$"ͰܭըతʹඞཁͳͷΛݟ͚ͭʢܭըͱ࣮ߦʣ • ࣮ࢪ00%"Ͱʢ؍ͱ࣮ߦʣ • είΞΧʔυͰΞηεϝϯτ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
参画プロジェクト (c) Riotaro OKADA / Asterisk Research, Inc. 45
[email protected]
/ follow: @okdt (c) Riotaro OKADA / Asterisk Research,
Inc. 46 asteriskresearch.com