日本マイクロソフト株式会社 Chief Security Officer 技術統括室 河野 省二, CISSP 2020年に備えた セキュリティのジアタマづくり 日本マイクロソフト株式会社 Chief Security Officer 技術統括室 河野 省二, CISSP
ITの進歩とセキュリティのカンケイ
どうしてOSは要らないのか? MicrosoftはOSのない世界も考えて います。どうしてOSがないほうが 良いと考えているのでしょうか?
クライアントの構造 なりすましがもっとも大きな問題 ホンモノはどれか? ユーザ データ アプリケーション ドライバ・ユーティリティ OS クラウドの時代になって狙われているのが「アカウント」であるこ とを考えれば、様々な攻撃の目的はアカウントの奪取であったり、 なりすましであるとわかります。 また、多要素認証などの導入に伴い、アカウントだけではなく、 ネットワークのなりすましや端末のなりすまし、そしてアプリケー ションやデータのなりすましについても検討が必要です。 そこで、これらを整理しながら対応するために、また、包括的に対 策を行うために、レイヤーを明確にする必要があります。 ホンモノはどれか? ホンモノであることを確認するためのキーになっているのが「証明 書」です。証明書は端末のTPM(Trusted Platform/Protection Module)に格納されていますので、ハードウェアを仮想化すると パーソナルセキュリティは低下すると考えることができます。 つまり、シンクライアントを利用した状況では、現在の課題である 「なりすまし」への対策が不十分になると考えることができます。 国内ではTPMのついているPCを使うという標準がないために、これ を活用したセキュリティが十分に行われていないのが現状です ネットワーク ファームウェア PCハードウェア OS ドライバ・ユーティリティ アプリケーション データ ユーザ TPM
メモリとハードディスクが高かった シンクライアントの発明 ① 資産の共有化 ② メモリの仮想化 ③ ディスクの仮想化 ④ 共有PCの活用 CPUパワーとネットワーク の高速化により、リッチな クライアント環境をシンク ライアントで実現できるよ うになった。 ディスクストレージをネッ トワーク上で展開できるよ うになった(SAN: Storage Area Network)ことも大きな 要因。 さらに仮想化が進み、 VDI( Virtual Desktop Infra.)が 利用されるようになった。 シンクライアントのセキュ リティ上の目的は「アクセ スの標準」だった。 ① 資産の共有化 ② メモリの仮想化 メモリやハードディスクなどの物理資産が高額だったので、共有化したい ・物理メモリは上限がある ・メモリを容易に変更できない このような制限をなくしたい ③ ディスクの仮想化 ・物理ディスクは上限がある ・使ってる人と使っていない人に差があり、購入した資産がもったいない このような制限をなくしたい ④ 共有PCの活用 そもそもPCは高いし、一人に1台は必要なかった
なぜセキュリティに使われ始めたのか セキュリティの目的で使っているのは日本だけ? 国内特有の課題 紛失時の情報漏洩対応 ウイルス感染時の分離 持ち出しPCの紛失時にディスク内のデータがないために情報が流出しない キッティング対応のため、ハードディスクの暗号化ができない ウイルス感染時の分離 ウイルスなどに感染した際に管理側から分離できるため、ウイルス感染の被害を軽減できる 認証の一元化 認証しないと使えないので、紛失時などにPCが不正利用されているかを判断できる 紛失時に申告すればサービスを止められる 国内特有の課題 PC導入の際にITベンダーに環境設定をさせるため、ITベンダーが導入しやすい方法が選ばれてしまう・・・
実際にはリスクは高くなっている IDとパスワードだけのセキュリティ オフライン時代のベストプラクティス 多くのシンクライアント環境では「会社と同じデスクトップ」を実現している 会社のすべての資産にアクセスできてしまう 「IDとパスワードだけでは心配」が当初の課題だったのに、結局はその課題に戻っている 接続制限による課題 接続できるネットワークを制限することで課題を解決できるように思われているが、結果として「どこでも使える」という導入目的を見失ってしまった・・・ オフライン時代のベストプラクティス PCをオフラインで使っていた時代のセキュリティで考えている シンクライアントはネットワークが必須なのに、ネットワークがない時代のセキュリティの考え方で説明がされているために、本来の目的にそぐわない
もうOSは必要ない SOA(Service Oriented Architecture) が進ん でサービス同士がAPIで接続されることにな る。 Webサーバではなく、Webサービスとして 動作し、設定ファイルやHTMLファイルはス トレージサービス上に保管する。 すべてをサービスにすることでサーバが必 要なくなり、サーバレスが実現する。 標準的なAPIを使っていれば、サービスは入 れ替えが可能で、冗長化を行うことも可能 になる。
セキュリティに求められているもの
情報セキュリティの目的 情報セキュリティは情報資産の保護ではない ITを最大限に活用するための最小限のセキュリティ 「ISMS認証取得を簡単にするため」にやってきた情報セキュリティ対策から、自社のための情報セキュリティに切り替えられない企業が山ほどある USBメモリ利用禁止、PC持ち出し禁止、ネットワークの分離など・・・(もしもUSBメモリが1万本売れたらいくらの売上?) ITを最大限に活用するための最小限のセキュリティ ITを活用する上での心配事を解消する どのような心配事があるのかをリストアップし対策を検討する
攻撃のモデル化 メールの 添付・リンク ウイルス感染 権限の昇格 情報窃取 標的型メール攻撃の一般的な例
ランサムウェアでは メールの 添付・リンク ウイルス感染 権限の昇格 情報窃取 ファイル暗号化 結果が変わればランサムウェア
スタックスネットはベイティング攻撃 メールの 添付・リンク ウイルス感染 権限の昇格 情報窃取 CD-ROM USBメモリ ファイル暗号化 入り口が変わればベイティング攻撃 イランはこれでやられた 不正操作
話題になったアレは メールの 添付・リンク ウイルス感染 権限の昇格 情報窃取 CD-ROM USBメモリ ファイル暗号化 最近流行りのアレはこんな感じ 入り口が変わったので、監視が変わる SMBサービス 不正操作
多層防御と費用対効果 入り口対策 内部対策 出口対策 メールの 添付・リンク ウイルス感染 権限の昇格 情報窃取 CD-ROM USBメモリ ファイル暗号化 SMBサービス 不正操作
標的型メール攻撃対策の最有力候補 受信メール全体 標的型メールとは、1日にたくさん来るメールの中のスパムメールの中のごく一部 必要なメール 不必要なメール(スパムメール) 広告 悪意のあるメール 標的型メール 標的型メールとは、1日にたくさん来るメールの中のスパムメールの中のごく一部 どうすれば「効率的に」洗い出すことができるのか
情報セキュリティのフェーズ 影響のレベル 検知 是正・対応 補正的対策 復旧 抑止・防止 ポリシー策定 計画 実装 事故の発生 対応 再発防止
セキュリティガバナンス
ビジネスサイクルが早くなっている ビジネスサイクルが早くなり、ITのリリース時間も短縮されている クラウドの利用によって調達時のプロビジョニングが必要なくなった → シンプロビジョニング、シンリクレメーション ITのスピードアップに答えるためにDevOpsができた サーバのキャパシティ管理は運用で行う 現場に合わせた設定は運用側で行う Infa as code、Config as Code ←セルフサービス化
DevSecOps 業務設計・実装(Dev) 事故対応(Sec) 運用・保守(Ops) 業務 ITサービス・システム 既存のリスク 新規リスク 補修・改善 復旧 封じ込め 原因究明 運用・保守 監視・検知 補修改善が終わるまでの対応
開発会社がプロマネ? プロマネをたくさん作っている開発会社・・・ DevOpsが進まないのは丸投げだから プロジェクトは開発ではなく、ビジネスにある ビジネスオーナー(発注元)がプロマネを出す必要がある プロマネが全体把握をするためにDevOpsができた DevOpsが進まないのは丸投げだから 責任を明確にしなければ、役割分担はできない DevとOpsがごっちゃになったわけではない。むしろキレイに役割分担ができたので、それを同じ場所に入れることができたと考える
DevSecOpsに向き合うために 「要件定義のための聴く力」とかはもういらない コンプライアンスからデータ主義へ 現場のデータを集めて、それを実現する力が求められている どのような情報をあつめるか どこを改善するか 改善した内容は目的に反していないか、効果的か コンプライアンスからデータ主義へ ITの変化が早いのは、ビジネスの変化が早いから ITの変化が早くなれば、セキュリティも早くなる必要がある
情報セキュリティ活動とは・・・ ◯ 普遍化による学習と成長 ✕ IT制限による効率悪化 検知 予防 対応 復旧 平常時 事故対応 対策は期待通りに 機能しているか ① 封じ込め ② 調査・分析 ③ 再発防止策の計画 ✕ IT制限による効率悪化
セキュリティのスパイラルアップではない 情報セキュリティのスパイラルアップ? 正規サービス、業務のスパイラルアップ セキュリティ対策を重ねていくだけでは業務に支障が出る IT活用を前提とした業務改革のためにセキュリティを活かす 正規サービス、業務のスパイラルアップ 本来はITサービスにセキュリティ機能を取り込んだり、手順の中にセキュリティ対策を取り込んで「正規のITサービス」「正規の業務手順」を作っていくこと これを「普遍化」と言っています
正しい情報管理や業務、ITサービスを作る そもそも正しい情報管理ができていないのに、正しい情報セキュリティはできない 電子化と情報化の違いがわかっていない Wordで作ったデータを印刷したときに、どっちがプライマリーになるのか・・・対象が明確になっていない 正しい情報管理のために必要なこと 情報の分類と全体の指針 現場が実施できる明確な手順 従業員の責任の軽減
企業におけるリスク管理と体制づくり G R C 会社としての目標を決め、 リスクを識別し、 対応するルールを作る ガバナンス リスクマネジメント C コンプライアンス 会社としての目標を決め、 リスクを識別し、 対応するルールを作る
ガバナンスのためのPDCAサイクル 経営者 ステークホルダー 経営判断(A) (責任者) 計画(P) 各部門の担当者 一貫性の確保 各現場 それぞれの顧客 一貫性の確保 経営判断(A) 計画(P) 実行(D) 連絡・情報収集(C) マネジメント
良いマネジメントと悪いマネジメント 判断=責任 責任者が判断をするためには 明確な情報が必要になる 多くの人が判断すると 結果にばらつきが出る
IT基盤の整理によるメリット
すべてのデータを取るための仕組み 完全仲介システムの提供 組織内に存在するすべてのもの にID(識別子)を付与する ルールの策定 完全仲介システムの提供 組織内に存在するすべてのもの にID(識別子)を付与する すべてのアクセスがルールの上 で判断される すべてのイベントを記録する 例外を許さない サブジェクトの分類 識別子の提供 オブジェクトの分類 識別子の提供 すべてのイベントを記録
セキュリティインサイトとインテリジェンス 共通の インテリジェンス 自社の インサイト
Microsoft Security Graph Microsoft 365 Graph API Data and Actions Authentication Authorization SDKs and Sample Code Applications Alerts Security Profiles Host | User | File | App | IP Actions Configurations Insights and relationships Microsoft Security Graph Microsoft Graph OpenID Connect and Oauth 2.0 Providers Azure AD Identity Protection Microsoft Intune Windows Defender ATP Office 365 ATP Cloud Application Security Azure ATP Azure Security Center Azure Information Protection Ecosystem Partners SECURITY ECOSYSTEM ENTERPRISE APPS YOUR APPS Threat Intelligence Microsoft Intelligent Security Graph
条件付きアクセス
ログインの自動ブロック ドリルダウン操作でより詳細な情報を把握
会社で定義されたラベルを表示 ラベルを選択してラベルを適用 情報の自動分類と保護 定義された分類ラベルを Office アプリケーションの画面上部のバーに表示 ユーザーが適した分類ラベルを選択 分類ラベルが未選択の場合は、保存時に、 ポップアップで選択を要求可能 (既定の分類を指定しておくことも可能) 会社で定義されたラベルを表示 ラベルを選択してラベルを適用 現在のラベルの 適用状態 分類ラベルに応じて社員しか開けない暗号化、 ヘッダー/フッター/透かし文字の挿入などの 保護が可能(管理者側で設定) ドキュメント内のキーワードに応じて分類ラベルを 推奨したり強制することが可能(管理者側で設定) 文書内に「インサイダー情報」など指定した語句を含む場合に、 保存時に指定したセキュリティ ラベルを強制したり 推奨することが可能 正規表現でマイナンバー 12 桁なども定義可能 (\d{4}-\d{4}-\d{4})
すべてのEventを記録するメリット Security Information & Event Management ふるまい検知とは これまではSecurity Eventのみを取っていた 現在はすべてのEventを取得し、Security Informationと比較してIncidentを検知する ふるまい検知とは 攻撃者のふるまい(Security Information)だけではなく、利用者のふるまい(Insight)も取得し、比較する これはセキュリティベンダーだけではできない ITパフォーマンスとセキュリティフォーマンス 評価できないものには投資できない 通常と異常を明確にする
多層防御の本来の意味 https://www.rsaconference.com/videos/an-aflac-case-study-moving-a-security-program-from-defense-to-offense
デジタルトランスフォーメーション デジタル化とは すべてのことを評価できる 性悪説、性善説はない 0か1かを明確にする 数字になるので計算できる 基準やルールさえ決めれば自動化できる すべてのことを評価できる ルールを守る(コンプライアンス)から、ルールの調整(ガバナンス)へと変化している ガバナンスは統制ではなく、モニタリングと経営判断である 性悪説、性善説はない 仕事をすべてIT基盤に乗せる 社内不正の監視ではなく、社員の評価のためのIT基盤を作ることから始める