狠狠撸

狠狠撸Share a Scribd company logo

お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx

?Download as PPTX, PDF?
?
M
mkoda

Cyber-sec+ Meetup vol.3での登壇資料です。

1 of 21
Download to read offline
お客様のセキュリティチェックを乗 り越えるための SaaS のアプローチ Cyber-sec+ Meetup vol.3 2024/03/12 幸田 将司 1
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved Who am I? 幸田将司: 所属: - 株式会社Levii - 株式会社バラエナテック 代表取締役 - SecuriST(R) 試験委員会 / CEH インストラクター - ISOG-J(WG1) - 診断 / 開発 / ISMS支援 ...etc SNS: - @halkichisec 2
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved Contents 1. SaaSが苦慮しているセキュリティ 2. セキュリティの評価基準 3. コストを下げるために 3
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved 誰向け? ? サービス事業者 ? セールス ? デリバリー ? 開発 ? セキュリティ系 ? CISO ? 診断員 ? サービス調達/選定する人 ? 情シス 4
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSを提供しています(ダイマ) ? Balus ? システムモデリングをわかりやすくするツール ? 名前は某ジブリ作品の呪文より ? 登録商標で揉めてしまう 5 これのセキュリティの話
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ ? サービス提供側として苦悩していること ? どこまでセキュリティをやるべきか ? 何にリソースを割くべきか ? 認証規格を取得するべきか ? お客様に使って欲しいが...セキュリティ的なハードルは高い ? クラウドサービスの調達要件 ? 官公庁は基準が高い ? 我々はコストセンターである? 6
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ ? サービス調達の要求事項としてよくある例 1. 認証規格を取得しているか ? ISO/IEC 27001(ISMS) ? ISMAP ? SOC2 ? SSAE16,18 ...etc 7
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ ? サービス調達の要求事項としてよくある例 2. セキュリティチェックシートの記入 ? サービスが使用できるかどうか質問やチェックリスト形式で構成され た文書、大抵はエクセルで送られてくる。 ? 顧客 ?? セールス ?? 開発でやり取りしてリソースが勿体無い 8 お客様毎に項目やフォーマット が異なるためコストがかかる
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved 何から取り組めば良いか ? 頻発する要件をセキュリティチェックシートとして公開 ? セキュリティチェックシートの対応ログを残しておき、その結果を社 内で共有する。 ? 共有した項目から自社のセキュリティチェックシートを作成して公開 ? コストが下がった ? 開発のメリット ? 顧客が要求する機能が把握できるので、実装が予想できる。 ? 営業/デリバリーのメリット ? 顧客??セールスのリレーが少なくなるので顧客へのレスが早い 9
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved セキュリティチェックシートについて ? よく聞かれる項目TOP5 1. アクセス制御 ? IPアドレスによる制限が可能であるか ? Basic/Digest認証が設定可能であるか ? 利用者毎に管理者が設定可能であるか 2. 権限管理 ? ユーザと管理者の領域がわかれているか 10 顧客が気にしていること Basic認証に使うからAPIの認証は Authorizationヘッダを避けるか… (safariは上書きしてしまう)
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved セキュリティチェックシートについて 3. ログの取得/監視(一例) ? ログイン成功と失敗 ? 異常ログの検知と通知 4. 脆弱性管理 ? 脆弱性診断を実施しているか (どこまで実施するかは問われないことが多い) ? 脆弱性管理が行われているかどうか 5. 第三者認証の取得 ? ISO/IEC、SOC2等々... 11 コストはかかるが 何かしらの認証はあると良い
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved どこまで脆弱性管理をすればいい? ? 攻撃表面を元にして考えると良い(ASM) ? 例: ? コーポレートサイト ? 自社サービス ? メール/VPN/ファイルサーバ等 ? 担当者のメールアドレス 出典: 経済産業省ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~ https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html 12
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved ? 自社サービスに紐づいているが、管理が忘れ去られているコン テンツ等 攻撃表面(Attack Surface)の例 ※IPに紐づくコンテンツサーバがなくとも サブドメインテイクオーバーの温床になる可 能性も。CNAME、Aレコード等 バグバウンティではよく報告されている ベンダーのために 開けておいた経路 13
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved 第三者認証を推す理由 ? サービス事業者として要求される内容や管理施策が理解できる ? SLAの設定 (稼働率の根拠や、侵害されてはならない理由が説明できる) ? 情報資産とその監視対象の考え方 ? 第三者の審査機関から指摘がある ? 問題のある管理に気がつける ? 外圧がなければ変われない組織におすすめ 14
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) ? ISO/IEC27017 ? ISO27001(ISMS)のクラウドサービス版 ? ISMSのアドオンとして存在するため、ISMS + ISO27017で取得する ? CSP又は、CSPとCSCとして認証する必要がある。 ? CSP(クラウドサービス提供者) ? AWSやGCP等、プラットフォーム提供側 ? CSC(クラウドサービス利用者) ? クラウドサービス利用者側 15 組織全体 ISMSの認証範囲 クラウドセキュリティ (ISO27017)の範囲
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) ? 要件(CSPとしての一例) ? 9.2.1 利用者登録及び登録削除... アカウントの登録/削除ができるか ? 8.2.2 情報のラベル付け... 情報のラベル付けができるか ? 10.1.1 暗号による管理策の利用方針... 情報の暗号化ができるか ? 12.3.1 情報のバックアップ ? 12.6.1 技術的ぜい弱性の管理... 脆弱性管理がされているか ? 要件(CSCとしての一例) ? 9.2.3 特権的アクセス権の管理... 管理者アカウントを制限し、他要素認 証を使用する ? 16.1.2 情報セキュリティ事象の報告... インシデント情報の管理 16
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) ? 前項の内容で適用宣言書を作成し、審査を受ける 17 出典: ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項 https://isms.jp/doc/JIP-ISMS517-10.pdf 100項目以上あるため、 コンサル系サービスを利用するのが吉
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved クラウドサービスの参考資料 クラウドサービス利用?提供における適切な設定のためのガイドライ ン : 総務省 2022 https://www.soumu.go.jp/main_content/000843318.pdf ? 運用上のベストプラクティスがあるため参考になる クラウドサービスレベルのチェックリスト : 経産省 https://warp.da.ndl.go.jp/info:ndljp/pid/8658576/www.meti.go.jp/press/201008160 01/20100816001-4.pdf ? ちょっと古い(2010年) 18
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved ? 内部からの調査は部署を横断する必要がある。 ? インシデント例 ? (2021年)内閣サイバーセキュリティセンター(NISC)の情報漏洩 ? 内部で使用していたプロジェクト情報共有ツールへの不正アクセス ? 組織内部で使用している端末やツールの特定を行う ? ISMS(ISO27001)を取得しているなら情報資産管理/リスク台帳があるはず ? 管理している部署と連携をとることを推奨 ? シャドーITの制限も忘れずに 攻撃可能領域の探し方(内部) 19
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved 参考: 組織を巻き込む ? そもそも職務により目的/視点が違うため、各チームの代表を まきこんでモデリングすると、少しスムーズに進むかも ? セキュリティチェックシートを作る際のMTGの例 20 それぞれのロールの 背景や目的を同じ視点でみる ための手法
Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved おわり ? ご清聴ありがとうございました 21

More Related Content

お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx

  • 2. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved Who am I? 幸田将司: 所属: - 株式会社Levii - 株式会社バラエナテック 代表取締役 - SecuriST(R) 試験委員会 / CEH インストラクター - ISOG-J(WG1) - 診断 / 開発 / ISMS支援 ...etc SNS: - @halkichisec 2
  • 3. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved Contents 1. SaaSが苦慮しているセキュリティ 2. セキュリティの評価基準 3. コストを下げるために 3
  • 4. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved 誰向け? ? サービス事業者 ? セールス ? デリバリー ? 開発 ? セキュリティ系 ? CISO ? 診断員 ? サービス調達/選定する人 ? 情シス 4
  • 5. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSを提供しています(ダイマ) ? Balus ? システムモデリングをわかりやすくするツール ? 名前は某ジブリ作品の呪文より ? 登録商標で揉めてしまう 5 これのセキュリティの話
  • 6. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ ? サービス提供側として苦悩していること ? どこまでセキュリティをやるべきか ? 何にリソースを割くべきか ? 認証規格を取得するべきか ? お客様に使って欲しいが...セキュリティ的なハードルは高い ? クラウドサービスの調達要件 ? 官公庁は基準が高い ? 我々はコストセンターである? 6
  • 7. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ ? サービス調達の要求事項としてよくある例 1. 認証規格を取得しているか ? ISO/IEC 27001(ISMS) ? ISMAP ? SOC2 ? SSAE16,18 ...etc 7
  • 8. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ ? サービス調達の要求事項としてよくある例 2. セキュリティチェックシートの記入 ? サービスが使用できるかどうか質問やチェックリスト形式で構成され た文書、大抵はエクセルで送られてくる。 ? 顧客 ?? セールス ?? 開発でやり取りしてリソースが勿体無い 8 お客様毎に項目やフォーマット が異なるためコストがかかる
  • 9. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved 何から取り組めば良いか ? 頻発する要件をセキュリティチェックシートとして公開 ? セキュリティチェックシートの対応ログを残しておき、その結果を社 内で共有する。 ? 共有した項目から自社のセキュリティチェックシートを作成して公開 ? コストが下がった ? 開発のメリット ? 顧客が要求する機能が把握できるので、実装が予想できる。 ? 営業/デリバリーのメリット ? 顧客??セールスのリレーが少なくなるので顧客へのレスが早い 9
  • 10. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved セキュリティチェックシートについて ? よく聞かれる項目TOP5 1. アクセス制御 ? IPアドレスによる制限が可能であるか ? Basic/Digest認証が設定可能であるか ? 利用者毎に管理者が設定可能であるか 2. 権限管理 ? ユーザと管理者の領域がわかれているか 10 顧客が気にしていること Basic認証に使うからAPIの認証は Authorizationヘッダを避けるか… (safariは上書きしてしまう)
  • 11. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved セキュリティチェックシートについて 3. ログの取得/監視(一例) ? ログイン成功と失敗 ? 異常ログの検知と通知 4. 脆弱性管理 ? 脆弱性診断を実施しているか (どこまで実施するかは問われないことが多い) ? 脆弱性管理が行われているかどうか 5. 第三者認証の取得 ? ISO/IEC、SOC2等々... 11 コストはかかるが 何かしらの認証はあると良い
  • 12. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved どこまで脆弱性管理をすればいい? ? 攻撃表面を元にして考えると良い(ASM) ? 例: ? コーポレートサイト ? 自社サービス ? メール/VPN/ファイルサーバ等 ? 担当者のメールアドレス 出典: 経済産業省ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~ https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html 12
  • 13. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved ? 自社サービスに紐づいているが、管理が忘れ去られているコン テンツ等 攻撃表面(Attack Surface)の例 ※IPに紐づくコンテンツサーバがなくとも サブドメインテイクオーバーの温床になる可 能性も。CNAME、Aレコード等 バグバウンティではよく報告されている ベンダーのために 開けておいた経路 13
  • 14. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved 第三者認証を推す理由 ? サービス事業者として要求される内容や管理施策が理解できる ? SLAの設定 (稼働率の根拠や、侵害されてはならない理由が説明できる) ? 情報資産とその監視対象の考え方 ? 第三者の審査機関から指摘がある ? 問題のある管理に気がつける ? 外圧がなければ変われない組織におすすめ 14
  • 15. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) ? ISO/IEC27017 ? ISO27001(ISMS)のクラウドサービス版 ? ISMSのアドオンとして存在するため、ISMS + ISO27017で取得する ? CSP又は、CSPとCSCとして認証する必要がある。 ? CSP(クラウドサービス提供者) ? AWSやGCP等、プラットフォーム提供側 ? CSC(クラウドサービス利用者) ? クラウドサービス利用者側 15 組織全体 ISMSの認証範囲 クラウドセキュリティ (ISO27017)の範囲
  • 16. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) ? 要件(CSPとしての一例) ? 9.2.1 利用者登録及び登録削除... アカウントの登録/削除ができるか ? 8.2.2 情報のラベル付け... 情報のラベル付けができるか ? 10.1.1 暗号による管理策の利用方針... 情報の暗号化ができるか ? 12.3.1 情報のバックアップ ? 12.6.1 技術的ぜい弱性の管理... 脆弱性管理がされているか ? 要件(CSCとしての一例) ? 9.2.3 特権的アクセス権の管理... 管理者アカウントを制限し、他要素認 証を使用する ? 16.1.2 情報セキュリティ事象の報告... インシデント情報の管理 16
  • 17. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) ? 前項の内容で適用宣言書を作成し、審査を受ける 17 出典: ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項 https://isms.jp/doc/JIP-ISMS517-10.pdf 100項目以上あるため、 コンサル系サービスを利用するのが吉
  • 18. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved クラウドサービスの参考資料 クラウドサービス利用?提供における適切な設定のためのガイドライ ン : 総務省 2022 https://www.soumu.go.jp/main_content/000843318.pdf ? 運用上のベストプラクティスがあるため参考になる クラウドサービスレベルのチェックリスト : 経産省 https://warp.da.ndl.go.jp/info:ndljp/pid/8658576/www.meti.go.jp/press/201008160 01/20100816001-4.pdf ? ちょっと古い(2010年) 18
  • 19. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved ? 内部からの調査は部署を横断する必要がある。 ? インシデント例 ? (2021年)内閣サイバーセキュリティセンター(NISC)の情報漏洩 ? 内部で使用していたプロジェクト情報共有ツールへの不正アクセス ? 組織内部で使用している端末やツールの特定を行う ? ISMS(ISO27001)を取得しているなら情報資産管理/リスク台帳があるはず ? 管理している部署と連携をとることを推奨 ? シャドーITの制限も忘れずに 攻撃可能領域の探し方(内部) 19
  • 20. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved 参考: 組織を巻き込む ? そもそも職務により目的/視点が違うため、各チームの代表を まきこんでモデリングすると、少しスムーズに進むかも ? セキュリティチェックシートを作る際のMTGの例 20 それぞれのロールの 背景や目的を同じ視点でみる ための手法
  • 21. Copyright ?? [BalaenaTech Co., Ltd.] 2024 All rights reserved おわり ? ご清聴ありがとうございました 21