【勉強会メモ】総関西サイバーセキュリティLT大会(第7回)
- 日時:2018/02/14(水) 19:00 〜 21:00
- 場所:エムオーテックス株式会社大阪本社
2ヶ月に1回開催されている関西のセキュリティ系勉強会。今回はなんと1周年とのことでした。私個人は専門分野というわけではないので、過去に何度か恐る恐る参加させてもらったというレベルですが、毎回とても勉強になっています。
今回も行動分析によるセキュリティの話やDevSecOpsなどのキーワードは個人的に新しいインプットでした。そのほかLINEやNISCの取り組みをはじめ、年々高まっているセキュリティリスクに対する各所での取り組み事例も参考になります。
ところで、2/1〜3/18まではサイバーセキュリティ月間とのことです。今季のTVアニメ「BEATLESS」とのタイアップ企画も実施されているようです。希望者はポスターがいただけるとのことでじゃんけんして見事ゲットしました!会社の掲示スペースに貼っておこうと思います。
人の行動に視点をおいたセキュリティリスク対策について
富士通株式会社セキュリティサービス事業部シニアマネージャー 渡辺訓広さま
人の行動に視点をおいたセキュリティ
- 活用するのも破棄するのも人
- 人は信頼できない存在でもある
人の行動に視点をおく
UEBA(User Entity Behavior Analytics)
※参考
セキュリティ対策の次の一歩は「UEBA」(前) - セキュリティ対策の次の一歩は「UEBA」:Computerworld
行動分析が注目される市場背景
セキュリティ境界の膨張
- 業務委託や外部サービス利用が増えてセキュリティの境界が膨張
ガバナンスの欠如
- 成長しないセキュリティマネジメント
守るべき対象の拡散
- 働き方改革
- オフラインの端末が増えている
- アクセス回線の多様化
リスクを冒す人を防ぐ原則
- 手段、動機、機会を揃えさせない
行動分析の事例
- 単独の業務ではリスクは見つからない
例)
行動分析のポイント
- 対象部門の選定
- 事業課題・リスクの把握
- 基本方針・ポリシー・プロシージャの見直しおよび策定
LINEのセキュリティ及びプライバシー保護に関わる取り組み
LINE株式会社セキュリティ室マネージャー市原尚久さま
アプリケーションセキュリティチーム
- 設計…セキュリティデザイン
- 開発…コードチェック
- QA…リスク分析
LINE Security Bug Bounty Program
支払った報奨金
- 140,000 USD
- 69 ISSUES
- 14 Countries
- 227 Hackers
- Blocking Flow 2
- Rule-baseのフィルタリング⇒MLベースのフィルタリング導入
Elasticsearch+Kibana利用
Account Abusing(アカウント乗っ取り)
LINEサイバー防災訓練を昨年実施
認証連携の複雑化
- モバイル版…プライマリー
- PC版…セカンダリー
- LINE Family Services
- 3rdParty App
- IoT関係(Clover)
fido alliance活動
セキュリティ室(App Sec. Team)の活動
サイバーセキュリティ月間連携講演
内閣サイバーセキュリティセンター(NISC)杉尾憲さま
サイバーセキュリティ基本法
- サイバーセキュリティ基本法|情報セキュリティ関連の法律・ガイドライン|基礎知識|国民のための情報セキュリティサイト
- 改正サイバーセキュリティ基本法のポイント解説、なぜNISCの監査範囲が拡大されたのか |ビジネス+IT
サイバーセキュリティ戦略
- 国民が安全で安心して暮らせる社会の実現
普及啓発活動
サイバーセキュリティ月間⇒2/1〜3/18(サイバーの日)
3/4 BEATLESSタイアップイベント
情報セキュリティハンドブック作成
- @cas_nisc
- @nisc_forecast
日替わりコラム
サイバーセキュリティの底上げ
- 攻撃者⇒組織だっている
- 衛るがわ⇒まだまだ組織だっていない
- 情報共有、連携、自助、共助、公助
LT大会
2018年!彼女が喜ぶ神戸デート1選
1選⇒Kobe Digital Labo
わくわくどきどき脆弱性診断ハンズオンの開催
- セキュリティ診断
- Webアプリケーション
- 診断ツール
- 診断作業(ハンズオン)
使ったツール:OWASP ZAP
どういうところでつまずいたか(参加者アンケートより)
- 機能が多い
- スキャンモード
- プロテクトモード(推奨)
- スキャンスレッド
- Global Exclude URL
- Scan Progress Dialog
検証方法の体験
- アラートタブで実際に確認
- XSS
- SQLi
ツールの機能を正確に使いこなそう
CSIRT体験記 初めての長期休暇編
CSIRT専任者
リフレッシュ休暇中にインシデント発生
- 対応完了まで2週間
インシデント対応プロセス
- インシデントかどうか判断する情報収集プロセスがCSIRT担当者でボトルネック発生
圧倒的準備不足
- 作業の属人化による対応遅延
- CSIRTメンバーが誰か対応できるように対策
準備不足2
- インシデントの対応スピードを決めていなかった
- インシデントレベルと対応目標を定める
- 対応目標時間や休日対応の条件など
インシデントレスポンスは準備が超重要
NISTインシデント対応ライフサイクル
※参考
https://www.ipa.go.jp/files/000025341.pdf
先人の知恵を借りて準備
⇒インシデントは検知してからが本番ですが、やってみないとわからないこともたくさんある
- 準備できることはしておく
- 先人の知恵を借りる
- インシデント対応訓練
詳細は情シスCafe in Kobeで公開
シンガポールでセキュリティのイベントやった話
シンガポールで自社製品のPRイベント
ちゃんとお客さんが来てくれるか?⇒来てくれた
- 朝早く⇒家族大事な文化、夜は早く変えるのが当たり前
- ランチは余った
- お土産⇒一定の効果あり高額でなくてもいけそう
時空魔法で過去に戻れたら
設計時からDevSecOpsしたかった
DevSecOpsについて
2018年のトレンドらしい
DevOpsとSecのマリアージュ
⇒オンプレ環境におけるDevOpsは難しいと個人的に実感
- Dev⇒作って壊してが容易ではない
- Ops⇒バックアップから簡単につくれない
DevSecとOpsで考えると腹落ちしやすい
- 脆弱性スキャナの導入
- SAST
- DAST
ツール導入することがゴールではない
- Jenkinsでオーケストレーション
- 各種ツールを導入
DevSecOps
- デイリー自動診断と修正後に手動診断
リリースレビューの中で診断結果レポートを添付
コードを書きながらSAST
- デプロイしながらDAST
設計時からのDevSecOpsしたかった
DevSecOpsやるならお早めに
不正アクセスを受けるとどうなるか?
不正アクセスを受けて気づくまで
- メールのToにたくさんの顧客情報
- SQLインジェクションを受ける
- 休日は警察は助けてくれない
- 手足が冷える
- 胃がいたくなる
- 眠れなくなる
対策
- 攻撃者へメール
- ログ解析
- 顧客情報の重要性
- 優しくなる