radioc@?

レディオキャットハテナ

【勉強会メモ】総関西サイバーセキュリティLT大会(第7回)

sec-kansai.connpass.com

  • 日時:2018/02/14(水) 19:00 〜 21:00
  • 場所:エムオーテックス株式会社大阪本社

2ヶ月に1回開催されている関西のセキュリティ系勉強会。今回はなんと1周年とのことでした。私個人は専門分野というわけではないので、過去に何度か恐る恐る参加させてもらったというレベルですが、毎回とても勉強になっています。

今回も行動分析によるセキュリティの話やDevSecOpsなどのキーワードは個人的に新しいインプットでした。そのほかLINEやNISCの取り組みをはじめ、年々高まっているセキュリティリスクに対する各所での取り組み事例も参考になります。

ところで、2/1〜3/18まではサイバーセキュリティ月間とのことです。今季のTVアニメ「BEATLESS」とのタイアップ企画も実施されているようです。希望者はポスターがいただけるとのことでじゃんけんして見事ゲットしました!会社の掲示スペースに貼っておこうと思います。

f:id:radiocat:20180214231509p:plain

人の行動に視点をおいたセキュリティリスク対策について

富士通株式会社セキュリティサービス事業部シニアマネージャー 渡辺訓広さま

人の行動に視点をおいたセキュリティ

  • 活用するのも破棄するのも人
  • 人は信頼できない存在でもある

人の行動に視点をおく

UEBA(User Entity Behavior Analytics)

※参考

セキュリティ対策の次の一歩は「UEBA」(前) - セキュリティ対策の次の一歩は「UEBA」:Computerworld

行動分析が注目される市場背景

セキュリティ境界の膨張

  • 業務委託や外部サービス利用が増えてセキュリティの境界が膨張

ガバナンスの欠如

  • 成長しないセキュリティマネジメント

守るべき対象の拡散

  • 働き方改革
  • オフラインの端末が増えている
  • アクセス回線の多様化

リスクを冒す人を防ぐ原則

  • 手段、動機、機会を揃えさせない

行動分析の事例

  • 単独の業務ではリスクは見つからない

例)

  • 潜在的な対象者を発見しデータ持ち出しを未然に防止
  • 事故を起こさない人、起こす人を分析・見える化

行動分析のポイント

  1. 対象部門の選定
  2. 事業課題・リスクの把握
  3. 基本方針・ポリシー・プロシージャの見直しおよび策定

LINEのセキュリティ及びプライバシー保護に関わる取り組み

LINE株式会社セキュリティ室マネージャー市原尚久さま

アプリケーションセキュリティチーム

  • 設計…セキュリティデザイン
  • 開発…コードチェック
  • QA…リスク分析

LINE Security Bug Bounty Program

bugbounty.linecorp.com

支払った報奨金

  • 140,000 USD
  • 69 ISSUES
  • 14 Countries
  • 227 Hackers

SPAM対策

  • Blocking Flow 2
  • Rule-baseのフィルタリング⇒MLベースのフィルタリング導入

Elasticsearch+Kibana利用

Account Abusing(アカウント乗っ取り)

LINEサイバー防災訓練を昨年実施

linecorp.com

認証連携の複雑化

  • モバイル版…プライマリー
  • PC版…セカンダリー
  • LINE Family Services
  • 3rdParty App
  • IoT関係(Clover)

fido alliance活動

セキュリティ室(App Sec. Team)の活動

  • アプリのセキュリティ診断
  • ソースコードを見ながらレビュー
  • 診断用ツールが豊富
  • 日本人は1/3
  • 国内/海外カンファレンス参加出張OK
  • 有名なセキュリティスペシャリストと一緒に働ける

サイバーセキュリティ月間連携講演

内閣サイバーセキュリティセンター(NISC)杉尾憲さま

サイバーセキュリティ基本法

サイバーセキュリティ戦略

  • 国民が安全で安心して暮らせる社会の実現

普及啓発活動

サイバーセキュリティ月間⇒2/1〜3/18(サイバーの日)

www.nisc.go.jp

3/4 BEATLESSタイアップイベント

www.nisc.go.jp

情報セキュリティハンドブック作成

www.nisc.go.jp

Twitter

  • @cas_nisc
  • @nisc_forecast

日替わりコラム

ひとこと言いたい![みんなでしっかりサイバーセキュリティ]

サイバーセキュリティの底上げ

  • 攻撃者⇒組織だっている
  • 衛るがわ⇒まだまだ組織だっていない
    • 情報共有、連携、自助、共助、公助

LT大会

2018年!彼女が喜ぶ神戸デート1選

1選⇒Kobe Digital Labo

わくわくどきどき脆弱性診断ハンズオンの開催

vatkobe.connpass.com

  1. セキュリティ診断
  2. Webアプリケーション
  3. 診断ツール
  4. 診断作業(ハンズオン)

使ったツール:OWASP ZAP

どういうところでつまずいたか(参加者アンケートより)

  • 機能が多い
    • スキャンモード
    • プロテクトモード(推奨)
    • スキャンスレッド
    • Global Exclude URL
    • Scan Progress Dialog

検証方法の体験

  • アラートタブで実際に確認

ツールの機能を正確に使いこなそう

CSIRT体験記 初めての長期休暇編

CSIRT専任者

リフレッシュ休暇中にインシデント発生

  • 対応完了まで2週間

インシデント対応プロセス

  • インシデントかどうか判断する情報収集プロセスがCSIRT担当者でボトルネック発生

圧倒的準備不足

  • 作業の属人化による対応遅延
  • CSIRTメンバーが誰か対応できるように対策

準備不足2

  • インシデントの対応スピードを決めていなかった
  • インシデントレベルと対応目標を定める
  • 対応目標時間や休日対応の条件など

インシデントレスポンスは準備が超重要

NISTインシデント対応ライフサイクル

※参考

https://www.ipa.go.jp/files/000025341.pdf

先人の知恵を借りて準備

⇒インシデントは検知してからが本番ですが、やってみないとわからないこともたくさんある

  • 準備できることはしておく
  • 先人の知恵を借りる
  • インシデント対応訓練

詳細は情シスCafe in Kobeで公開

情シス Café in Kobe | Doorkeeper

シンガポールでセキュリティのイベントやった話

シンガポールで自社製品のPRイベント

  • シンガポールのイベントは朝が早い
    • 9時スタート⇒準備はもっと早い
    • 7時に現地集合
  • イベントにランチを提供しないといけない
  • お土産必須
    • Facebook広告とLinkedinでアピール

ちゃんとお客さんが来てくれるか?⇒来てくれた

  • 朝早く⇒家族大事な文化、夜は早く変えるのが当たり前
  • ランチは余った
  • お土産⇒一定の効果あり高額でなくてもいけそう

時空魔法で過去に戻れたら

設計時からDevSecOpsしたかった

DevSecOpsについて

2018年のトレンドらしい

www.itmedia.co.jp

DevOpsとSecのマリアージュ

⇒オンプレ環境におけるDevOpsは難しいと個人的に実感

  • Dev⇒作って壊してが容易ではない
  • Ops⇒バックアップから簡単につくれない

DevSecとOpsで考えると腹落ちしやすい

ツール導入することがゴールではない

DevSecOps

  • デイリー自動診断と修正後に手動診断
  • リリースレビューの中で診断結果レポートを添付

  • コードを書きながらSAST

  • デプロイしながらDAST

設計時からのDevSecOpsしたかった

DevSecOpsやるならお早めに

不正アクセスを受けるとどうなるか?

不正アクセスを受けて気づくまで

Dos攻撃による不正アクセス

  • 手足が冷える
  • 胃がいたくなる
  • 眠れなくなる

対策

  • 攻撃者へメール
  • ログ解析
  • 顧客情報の重要性
  • 優しくなる