総関西サイバーセキュリティLT大会(第34回)基調講演1 情シス部門にとってのゼロトラストセキュリティ
https://youtu.be/J-aNtEhCNe8 ご参加頂きありがとうございました! そして、沢山のご質問(動画20:50〜28:19/5件)ありがとうございました。ご参考までに質問から分かる範囲でお答えさせて頂きましたが、限られた時間の中で説明しきれない点もあったかと思います。 このような皆さんのご質問を元にして、次回登壇に向け準備を進めて参りたいと思います。 Q1:お気に入りのNISTはありますか? A1:リスクマネジメントフレームワークやゼロトラストアーキテクチャなどSPシリーズは沢山あると思います。お気に入りは思い浮かばなくて・・・問われた趣旨とは異なるかもしれませんが、1つではなく組み合わせることが大切だと感じます。例えばゼロトラストアーキテクチャ(SP800-207)を導入して、様々な問題が引き起こされたと感じる方も多いと思います。例えばアイデンティティ(SP800-63)とか、他の視点からのリスクマネジメントフレームワーク(SP800-37)が必要だったりとか、それぞれ個別に用意されているので、それを紐解いていくことがすごく大事だと思いました。困ったときにはコンサルタントにご相談下さい。 Q2:中小企業がSPシリーズを適用するのはハードルが高いのでは? A2:仰る通りだと思います。そこでマネジメントフレームワーク(SP800-37)の参考資料(6.ゼロトラスト・アーキテクチャと既存の連邦ガイダンスとの連携の可能性)として「中小企業の情報セキュリティ対策ガイドライン」を紹介させて頂きました。連邦政府が使っているものを民間企業が使うとなるとハードルが高いと思います。但しNISTが10年かけてアイデアを集めたゼロトラストアーキテクチャなど読み解くことで、より効率的で効果的な対策ができると思います。そこは私のようなコンサルタントが架け橋になりたいと考えます。 Q3:「中小企業の情報セキュリティ対策ガイドライン」あれでも難しいと思う100人以上の会社に適用することはできても、10人ぐらいの会社では難しいのでは? A3:総務省事業のテレワークセキュリティ相談窓口で1年間程やらせてもらった時に、10人ぐらいの企業規模の相談者様も含まれておりました。まず何がお困りなのか聞いた上で、ガイドラインからピックアップして説明致しました。なお、ガイドラインを簡略化してしまうと情報が抜け落ちたところのリスクが上がるため、やはり間にコンサルタントが入って補完することが大切だと感じます。 Q4:企業規模もさることながらマルチベンダー環境でのゼロトラスト移行は上手くいかない。ネットワーク基盤:A社、認証基盤:B社、業務システムはC社 A4:マルチベンダーの場合、それぞれ持ち寄って組み合わせるときに、実装レベルで特性を理解していないと難しいと思います。 但し今回お伝えしたかった点は、情シス部門にリスクマネジメントフレームワーク(SP800-37)を利用して欲しいことです。 費用対効果という点も含めて「何をどこまで実現したい」という要件を出して、各ベンダーがベストな提案してくれることもありますし、その調整役としてコンサルタントが入る場合もあります。最終的には自分達で「何をどこまで実現したい」かを明確に持ってもらいます。 なお途中で手戻りや失敗や上手くいかないこともある中で、しっかりと乗り越えていくためには、情シス部門がリスクマネジメントフレームワーク(SP800-37)を用いて予め体制作りをすることが必要だと思います。 Q5:ユーザー企業として、ヒト・モノ・カネが無い中で完全的なものをやることが難しい中で、どう切り捨てることを考えていけば良いですか。 A5:要件を出す側の人が「何をどこまで実現したい」のか明確に持ってもらうことが必要です。しかし、場合によっては難しいことなので、調整役としてのコンサルタントが必要かもしれません。
総関西サイバーセキュリティLT大会(第34回)基調講演1 情シス部門にとってのゼロトラストセキュリティ
- 2. Profile 自己紹介 所 属 株式会社ラック セキュリティビジネス統括部 デジタルビジネス推進部 二本松哲也 仕 事 部門を超え新たなセキュリティコンサル ティングサービスを企画・提案しています 令和2年度事業 総務省テレワークセキュリティ相談窓口 趣 味 OWASP(ボランティア)、Security & Privacy by Designの活動 メガダンス・エアロビクス、筋トレ、ジョ ギング、料理、ギター、キャンプ
- 3. 3 株式会社ラック ITとサイバーセキュリティの力で社会的課題に立ち向かい 国の発展を支え、人々の暮らしを守ります ※ JSOC(下記参照)、サイバー救急センター、サイバー・グリッド・ジャパン、が特徴です。 商 号 株式会社ラック LAC: LAC Co., Ltd. 設 立 2007年10月1日 (旧ラック1986年9月) 資本金 10億円 代 表 代表取締役社長 西本 逸郎 売上高 連結 426億円 (2022年3月期) 決算期 3月末日 認定資格 経済産業省情報セキュリティ監査企業登録 情報セキュリティマネジメントシステム (ISO/IEC 27001)認証取得(JSOC) プライバシーマーク認定取得 ✓ https://www.lac.co.jp/ ✓ sales@lac.co.jp ✓ Twitter @lac_security ✓ YouTube laccotv ✓ Facebook Little.eArth.Corp or 株式会社ラック ・本社 〒102-0093 東京都千代田区平河町 2-16-1 平河町森タワー 03-6757-0111(代表) 03-6757-0113 (営業窓口) ・東陽町オフィス 〒460-0002 愛知県名古屋市中区丸の内3-20-17 KDX桜通ビル16F ・名古屋オフィス 〒460-0002 愛知県名古屋市中区丸の内3-20-17 KDX桜通ビル16F 福岡オフィス 〒812-0011 福岡市博多区博多駅前3-9-1 大賀博多駅前ビル5F テクノセンター北九州 〒802-0001 北九州市小倉北区浅野3-8-1 AIMビル8F テクノセンター秋葉原 〒101-0024 千代田区神田和泉町1-3-4 青木ビル 3F シンガポール支店 80 Robinson Road #10-01A Singapore 068898 ■ JSOC (Japan Security Operation Center) JSOCは、ラックが運営する情報セキュリティに関するオペレーションセンターです。24時間365日運営。高度な分析官とイン シデント対応技術者を配置しています。
- 4. Hardening Drivers Conference 2021 「テレワークのセキュリティ」の続き
- 7. 1. 全てのデータソースとコンピューティングサービスはリソースとみなす 2. ネットワークの場所に関係なく、全ての通信を保護する 3. 企業リソースへのアクセスは、セッション単位で付与する 4. リソースへのアクセスは、クライアントID、アプリケーション、要求す る資産の状態、その他の行動属性や環境属性を含めた動的ポリシーに よって決定する 5. 企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する 6. 全てのリソースの認証と認可は動的に行われ、アクセスが許可される前 に厳格に実施する 7. 企業は、資産やネットワークインフラストラクチャ、通信の現状につい て可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利 用する NISTによるゼロトラストの考え方 出典 pwc NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳
- 13. マネジメントフレームワーク
- 14. 6. ゼロトラスト・アーキテクチャと既存の連邦ガイダンスとの連携の 可能性 “既存の連邦政府の政策とガイダンスのいくつかは、ZTAの計画、展開、 運用と関連しています。これらのポリシーは、企業にとってゼロトラ スト指向のアーキテクチャへの移行を妨げるものではありませんが、 省庁のゼロトラスト戦略の策定が影響を与える可能性があります。” 企業にとってもゼロトラストの移行に利用できます。 マネジメントフレームワーク 出典元: NIST SP800-207 「Zero Trust Architecture」P.32 の日本語訳
- 15. 6. ゼロトラスト・アーキテクチャと既存の連邦ガイダンスとの連携の 可能性 “既存のサイバーセキュリティポリシーやガイダンス、ICAM、継続的 な監視、さらにサイバーハイジーンなどを補完すれば、ZTAは組織の セキュリティポスチャーを強化し、多くの脅威から組織を守ることが できます。” ゼロトラストだけでなく、セキュリティ体制の強化が重要 マネジメントフレームワーク 出典元: NIST SP800-207 「Zero Trust Architecture」P.32 の日本語訳
- 16. 6. ゼロトラスト・アーキテクチャと既存の連邦ガイダンスとの連携の 可能性 • 参考 マネジメントフレームワーク ゼロトラスト移行のすゝめ P.26 SIEM ログの収集・分析 関連するソリューション 継続的な監視 ID クレデンシャルおよびアクセス管理 SP 800-63-3 サイバーセキュリティポリシーや ガイダンス
- 17. 6.1 ZTAとNISTリスクマネジメントフレームワーク “ZTAの導入には、指定されたミッションまたはビジネスプロセスに対する 許容可能なリスクに関するアクセスポリシーの策定が必要です。リソース へのネットワークアクセスをすべて拒否し、接続された端末経由のアクセ スのみを許可することは可能ですが、大半のケースで不釣り合いな制限と なり、業務の達成を阻害する可能性があります。連邦機関がその使命を遂 行するためには、許容できるレベルのリスクが存在します。与えられた任 務の遂行に関連するリスクを特定し、評価し、受け入れるか、軽減しなけ ればなりません。これを支援するために、NISTリスクマネジメントフレー ムワーク(RMF)が開発されました[SP800-37]。” ゼロトラストを導入すると大半のケースで業務を阻害するため、見直しが 必要です。 マネジメントフレームワーク 出典元: NIST SP800-207 「Zero Trust Architecture」P.32 の日本語訳
- 18. マネジメントフレームワーク 出典元:IPA 連邦政府情報システムに対する リスクマネジメントフレームワーク 適用ガイド(NIST SP 800-37) 第2章 P.8
- 19. マネジメントフレームワーク 出典元:IPA 連邦政府情報システムに対する リスクマネジメントフレームワーク 適用ガイド(NIST SP 800-37) 第2章 P.8
- 20. マネジメントフレームワーク 出典元:NIST Special Publication 800-37 Revision 2 第2章 P.9 Risk Management Framework for Information Systems and Organizations 分類 選択 実施 アセスメント 運用認可 監視 準備
- 21. SP800-37 NISTリスクマネジメントフレームワーク • 参考 • セキュリティ管理策のアセスメントについて Hardening Project – 「衛る技術」の価値を最大化することを目指す、10年 続くセキュリティ・プロジェクト マネジメントフレームワーク
- 22. まとめ