Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DXとセキュリティ - IPA Digital Symposium 2021
Search
Riotaro OKADA
PRO
October 11, 2021
Technology
190
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
DXとセキュリティ - IPA Digital Symposium 2021
2021/10/11 IPA Digital Symposiumでのスピーチとトーク
岡田良太郎
Riotaro OKADA
PRO
October 11, 2021
More Decks by Riotaro OKADA
See All by Riotaro OKADA
IT & OT risk, threat and incident response
okdt
PRO
1
310
OWASP Top 10:2025 リリースと 少しの日本語化にまつわる裏話
okdt
PRO
3
1.8k
Compliance Tsunami
okdt
PRO
0
79
AIドリブンのソフトウェア開発 - うまいやり方とまずいやり方
okdt
PRO
9
1.8k
開発運用のセキュリティ実践を”デザイン”する
okdt
PRO
0
140
品質管理とセキュリティの新基準:ブラックボックス化から脱却するソフトウェア透明性
okdt
PRO
0
130
Perfect Enterprise Security Practice?
okdt
PRO
1
410
Vulnerabilities and the Future
okdt
PRO
1
340
How Application Security Will Change with the Rise of AI
okdt
PRO
1
140
Other Decks in Technology
See All in Technology
なぜ私たちのSREプラクティスはなかなか機能しないのか 〜システムより先に組織を見る〜 / Why our SRE practices aren't really working
vtryo
3
3.6k
美しいコードを書くためにF#を学んでみた話
yud0uhu
1
410
最適な自走を最小限の支援で — M&Aで拡大する組織で少人数SREが挑んだ1年 / SRE NEXT 2026
genda
0
1.1k
しぶいSRE: サーバから見えない障害にどう向き合うか。ラストワンマイルのデバッグ実践 / Shibui SRE
kanny
13
6k
プロンプト_きのこカンファレンス2026_LT
yurufuwahealer
0
150
しくみを学んで使いこなそう GitHub Copilot app
torumakabe
2
230
依頼文化をやめる日 EM視点で語るPlatform EngineeringとInclusive SRE / Discussing Platform Engineering and Inclusive SRE from an EM's Perspective
shin1988
4
5.3k
誤解だらけの開発生産性 / Myths and Misconceptions about Developer Productivity
i35_267
1
230
実装だけじゃない! CCA-F取得エンジニアが教えるClaude Code開発プロセス活用術
diggymo
2
640
Terraform共通モジュールをチーム横断で“変えられる”運用へ ― リリースと適用の分離
kekke_n
1
2.8k
End-to-Endで考える信頼性 —LINEアプリにおけるクライアント開発×SRE連携の実践
maruloop
4
4.1k
インフラと開発の垣根を超えていき!〜元AWSインフラエンジニアがAWS開発で奮闘している話〜
hatahata021
1
160
Featured
See All Featured
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
davidcarrasco
0
190
Building a Scalable Design System with Sketch
lauravandoore
463
34k
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
helenjbeal
1
260
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
1
420
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
190
Scaling GitHub
holman
464
140k
Exploring anti-patterns in Rails
aemeredith
3
440
Typedesign – Prime Four
hannesfritz
42
3.1k
Measuring Dark Social's Impact On Conversion and Attribution
stephenakadiri
2
230
The browser strikes back
jonoalderson
0
1.4k
It's Worth the Effort
3n
188
29k
Deep Space Network (abreviated)
tonyrice
0
220
Transcript
%9ͱηΩϡϦςΟ *1" %JHJUBM4ZNQPTJVN ΞελϦεΫɾϦαʔν ΤάθΫςΟϒϦαʔνϟ Ԭా ྑଠ SJPUBSP!STSDIKQ ©
Asterisk Research, Inc.
AppSec Supporting Company © Asterisk Research, Inc. アスタリスク・リサーチ - セキュリティ実践を成⻑と発展に貢献
ついにアフターコロナ到来? (c) Riotaro OKADA / Asterisk Research, Inc.
ίϩφՒͰফඅऀαΠυͰ%9ࣗવʹਐΜͩɻ اۀͰσδλϧωΠςΟϒͳଧͪख͕ग़͍ͯΔɻ 消費者向けサービス • D2C・デリバリー • サブスク 就業環境・就業条件 • リモートワーク
• 分散型・ジョブ型 出張・観光 • バーチャルツアー • SNS・動画共有情報 • 安全確保 アパレル • お出かけ消費壊滅 • 使い⼼地など実質優先 コミュニケーション • オンライン会議 • チャット 医療・ヘルスケア • 電話・オンライン診療 • カルテ連携 セールスプロモーション • デジタル・ツール • SFA 業務プロセス改⾰ • 専⾨SaaS活⽤ • 電⼦契約 教育・訓練 • オンライン教育 • ⾮同期・余裕時間 組織ガバナンス • フラットへの再設計 • 中間管理職不要論 融資決済 • ネット融資 • キャッシュレス 多様化する連携 • 専⾨サービス • クラウドソーシング
チャット系 グループウェア オンライン会議系 社内SNS インストール型 総合 ナレッジ共有 日報 社内報 総合
ワークフロー 総合 エンジニア コンサル マーケティング プラットフォーム型 Webサイト クラウドソーシング型 総合 クリエイティブ テスター・入力 翻訳・ライティング・編集 オンラインセミナー・イベント 人事 コミュニケーション 営業 周辺ツール ホワイトボード ノーコード iPaaS HP ECサイト フォーム ハード系 MA / CRMツール 名刺管理 メール 商談関連 フォームアタック D セールス支援 顧客管理 セールス セールス HR系 人事評価 エンゲージメント向上 エンゲージメント測定ツール 日程調整 デザイン 採用関連 人事関連 オンライン1on1 オンライン福利厚生 リモート人材活用 エージェント型 エンジニア 2021/02/08 現在 (c) Riotaro OKADA / Asterisk Research, Inc. اۀੜ͖ΓΛ͔͚ͯ σδλϧʹେ͖͘ґଘͤ͟ΔΛ ಘͳ͘ͳͬͨɻ
マルウェア ウェブの仕組みを 利⽤した攻撃 フィッシング ウェブアプリケー ションへの攻撃 スパム DDoS id盗難 データ漏洩
内部脅威 ボットネット 物理的な操作/損 害/盗難/紛失 情報漏洩 ランサムウェア サイバースパイ クリプトジャッキ ング 年 逆⾵:脅威は変化している
ʮࣄۀܧଓ Մ༻ੑ ΛͰ͖ͳ͘ͳΔෆ҆ʯґવେ͖͍ 個⼈ 順位 組織 スマホ決済の不正利⽤ 1位 ランサムウェアによる被害 フィッシングによる個⼈情報等の詐取
2位 標的型攻撃による機密情報の窃取 ネット上の誹謗・中傷・デマ 3位 テレワーク等のニューノーマルな働き⽅を狙った攻撃 メールやSMS等を使った脅迫・詐欺の⼿⼝による⾦銭要求 4位 サプライチェーンの弱点を悪⽤した攻撃 クレジットカード情報の不正利⽤ 5位 ビジネスメール詐欺による⾦銭被害 インターネットバンキングの不正利⽤ 6位 内部不正による情報漏えい インターネット上のサービスからの個⼈情報の窃取 7位 予期せぬIT基盤の障害に伴う業務停⽌ 偽警告によるインターネット詐欺 8位 インターネット上のサービスへの不正ログイン 不正アプリによるスマートフォン利⽤者への被害 9位 不注意による情報漏えい等の被害 インターネット上のサービスへの不正ログイン 10位 脆弱性対策情報の公開に伴う悪⽤増加 ใηΩϡϦςΟେڴҖ ใॲཧਪਐػߏൃද 逆⾵:事業継続が脅かされている
ࣄۀ෦ͷηΩϡϦςΟϦςϥγʔͷෆ͕ ৫త੬ऑੑͱͯ͠ࣄۀϦεΫʹͭͳ͕Δ ೝূΩʔͷͧΜ͍͟ͳѻ ͍ɺΞΧϯτཧෆࡏ ΏΔ͗͢Δ ݖݶઃఆ มߋཧෆ σʔλอଘͷ ෆಁ໌ੑ ෆ༻ҙͳ
"1*ར༻ίʔυ ίϯτϩʔϧͰ͖ ͳ͍ ύϑΥʔϚϯε σʔλΤΫεϙʔ τແཧͳαʔϏε αʔϏεαΠυͷ ηΩϡϦςΟϨϕ ϧෆ໌ োରԠ͕ ΒΒ © Asterisk Research, Inc.
2022 セキュリティ侵害被害の報告義務(罰則付き) プライバシーに関する社会の要請 は⾼まっている
ڥքઢޚͷऴ͑Μ (c) Riotaro OKADA / Asterisk Research, Inc. endpoint
endpoint • Endpoint • Network • Application • User • Data
個⼈情報 ID・パスワード 物理的 境界線防御 従来型/Monolithのセキュリティ
データ全体 モニタリング アプリケーション アクセスコントロール Cloud Nativeのセキュリティ
σδλϧԽͷಓΠόϥͷಓ͔͠ٯ෩ɻ • ڴҖมԽ͍ͯ͠Δ • ࣄۀܧଓ͕ڴ͔͞Ε͍ͯΔ • ηΩϡϦςΟϦςϥγʔෆ͕Λෳࡶʹ • ϓϥΠόγʔʹؔ͢Δࣾձͷཁͷߴ·Γ (c)
Riotaro OKADA / Asterisk Research, Inc.
2ɿ%9ͷηΩϡϦςΟͲ͏ͨ͠Β͍͍Ͱ͠ΐ͏͔ ϓϩτλΠϓ ύΠϩοτɾࢼݧతಋೖ ৫తల։ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
1.プロトタイプの挑戦 •アドホックが当然 2.仕組み化導⼊の挑戦 •ユーザ・部⾨は限定的 3. 組織的展開と発展へ の挑戦 •⼊れ替えを⾒据えた組織展開
ରཱతηΩϡϦςΟήʔτΣΠɻ ʠηΩϡϦςΟʡ • ϙϦγʔઈର • طଘͷηΩϡϦςΟɾใอޢϙϦγʔ • ϗϫΠτϦετ • ࢦఠத৺
• ར༻લͷηΩϡϦςΟ੬ऑੑஅ • ୈࡾऀతՁ • ݱʹϑΟοτ͠ͳ͍ݖݶઃఆ ݱʡ • ࣮ݱɺεϐʔυɺϝϦοτ༏ઌ • ϙϦγʔ९कɺ્ཁҼͱͷೝࣝ • *%ɾύεϫʔυ͍ճ͠ • 1P$༻ແྉϢʔβΞΧϯτͷཚൃ • ϕϯμʔϓϩμΫτධՁͳ͠Ͱͷਪਐ D 3JPUBSP 0,"%""TUFSJTL3FTFBSDI *OD
ରతηΩϡϦςΟΨʔυϨʔϧɻ ४උ࡞ۀͷର %9ؔ࿈ςΫϊϩδͷௐࠪͱબఆ αʔϏεϓϩόΠμͷධՁ ҆શͳ࣮ݧͷߏங Ϋϥυઃఆ σʔλϨΠΫ1P$ͳͲʣ
ใͱॿݴͷௐୡ ࣮ફஈ֊ͷର %FW0QTνʔϜͷΤϯύϫʔ ΞΫηε੍ޚ αʔϏεͱϢʔβΛؚΉ ϞχλϦϯάͷઃܭͱߏங ར༻ঢ়گͱҟৗͷѲ ڥͷΞοϓσʔτࢧԉ ϢʔβɾτϨʔχϯάࢧԉ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
ʮ%9ͷอޢཁૉʯ ̐ͭʹߜΓ·͢ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD データレイク アクセス制限 アプリケーション モニタリング
2ɿ%9ͷηΩϡϦςΟͲ͏ͨ͠Β͍͍Ͱ͠ΐ͏͔ 1.プロトタイプの挑戦フェーズ • コンセプト:アドホックは当然 / POCの壁にならないように。 • データレイク:安全な実験場の確保が⼤事 • アクセス制限関連:アカウント管理と運営
• アプリケーション:後フェーズのための実現技術の⽅式調査 • モニタリング:プラットフォームの監視 D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD データレイク アクセス制限 アプリケー ション モニタリング
(c) Riotaro OKADA / Asterisk Research, Inc. 新設項⽬︓A04安全が確認されない不安な設計 順位上昇︓A01
アクセス制御の不備 A02 暗号化の失敗 A05 セキュリティの設定ミス A06 脆弱で古くなったコンポーネント A09 セキュリティログとモニタリングの失敗 ॏେηΩϡϦςΟϦεΫ
2ɿ%9ͷηΩϡϦςΟͲ͏ͨ͠Β͍͍Ͱ͠ΐ͏͔ 2.仕組み化導⼊の挑戦フェーズ • コンセプト:仕組みに対話的に貢献する • データレイク:クラウド設定、連携⽅式のレビュー • アクセス制限:ユーザ・部⾨は限定的だが、Weakest Linkはユーザ⾃⾝ •
アプリケーション:DevOpsサイクル構築のバックサポート/ツール整備 • モニタリング:利⽤状況の定点把握と異常処理の模索 D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD データレイク アクセス制限 アプリケー ション モニタリング
CIS Controls v8 2021/5リリース 新設管理項⽬「サービスプロバイダ」 (c) Riotaro OKADA / Asterisk
Research, Inc. 21
2ɿ%9ͷηΩϡϦςΟͲ͏ͨ͠Β͍͍Ͱ͠ΐ͏͔ 3. 組織的展開と発展への挑戦フェーズ • コンセプト:DX実践のガードレールになる • データレイク:安全な設定と詳細な利⽤モニタリングの導⼊ • アクセス制限:データとアプリケーションの両⽅に展開 •
アプリケーション:DevOpsチームのエンパワー/柔軟なテスト⼿法の提供 • モニタリング:定期共有とインシデントアラートの構築 D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD データレイク アクセス制限 アプリケー ション モニタリング
ԽνʔϜͷΤϯύϫʔɻ %FTJHO r ઃܭ *NQMFNFOUr ࣮ “シフトレフト”でセキュアなビジネス を実現 © Asterisk
Research, Inc. ⼊⼒データ信頼の 条件 採⽤する認証メカ ニズム 認証と認可 データと制御の分 離 暗号化と機密デー タの識別 外部コンポーネン トの影響 ログ、エラーの取 扱要件 想定脅威の分析 データベースアク セス エンコーディング とエスケープ ⼊⼒値検証 IDと認証管理 アクセス制御 データ保護 ログ、モニタリン グの機能 エラー処理と例外 処理 設計を反映する「コード」の管理と改善がキモ
ϞχλϦϯά͕%FW0QTγϑτϨϑτʹͭͳ͕Δ (c) Riotaro OKADA / Asterisk Research, Inc.
どこをどの ように改善 するかまで エンパワー する 脆弱性修正のベストフィックスロケーション
·ͱΊ%9ͷηΩϡϦςΟɾόΠɾσβΠϯ 1.プロトタイプフェーズ • アドホックが当然 • 安全な実験場の確保が⼤事 • 技術実現の⽅式調査の⽀援 2.仕組み化導⼊フェーズ •
Weakest Linkはユーザ⾃⾝ • 利⽤状況の把握と異常の定義 • DevOpsサイクル構築 3. 組織的展開と発展 フェーズ • モニタリングの定期共有 • アラートとインシデント対応 • DevOpsチームのエンパワー D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD データレイク アクセス制限 アプリケー ション モニタリング
セキュリティとDXの成功の秘密: 対⽴から対話への変⾰ (c) Riotaro OKADA / Asterisk Research, Inc. 27
$*40ϋϯυϒοΫ • ʮ$*40ϋϯυϒοΫʯ • ͷষͱͷίϥϜ • ཧղΛਂΊΔͭͷষ • શϖʔδɺ໊ͷࣥචਞ •
ץʹ͙࣍վగ৽൛ɻ 2021年
ञҪਅٷ͞Μ ノンフィクションライターとし て⾏政から⺠間までを対象に幅 広く記事執筆 2021年
ΠΧηϯλʔ 2021年 https://ikacenter.com/
ίʔϓͬ͞ΆΖ 2021年
53*"- 2021年
%9ϏδωεͷσβΠϯ ղܾ͚ͩʹ͔ͭ͏ͷ͔ͳʁ D 3JPUBSP0,"%""TUFSJTL3FTFBSDI *OD
͋Γ͕ͱ͏͍͟͝·ͨ͠ 岡⽥良太郎
[email protected]