Vuls10資料_配布用_20240820

VULS #10 リスクアセスメントツールの根柢思想 (配布用) 2024/08/20 1

リスクアセスメントツール 公開しました • ユーザー組織向けです (変な商売に使われたくないという 意思表示) https://www.itochuci.co.jp/ 2

• https://www.itochuci.co.jp/

今日のテーマ • 使い方とか、細かい説明とか。。。 • 話しません!! 今日必要とされているのは これが使えるかどうか？ その判断に資するであろうポイントを話します 3

02 なぜリスクアセスメンツールが必要だったか 4

いきなりですが • ISMS って セキュリティの基礎らしいですが。。。 • 正式な名称は？ • Information Security Management System ですね • 専門家は Information Security ばかりに フォーカスしているけれど。。。 5

必要なこと 我々はマネジメントしないといけない 6

マネジメント？ • PDCAを回すことでしょ？ • そんなことを言っているセキュリティ担当者は、良いCISOにはなれない (なれないわけではないかもしれないけれど&別になりたくなくてもいいけれど) • マネジメントとはすごく奥深い何か。。。誰も正解を知らない世界 • 手段ではない。実績をあげること。 • ISMS : セキュリティーで求められる/必要とされる実績をあげるための手段とし て、このマネジメント自身が正しいかを考えたか？ 7

そしてもう一つ ISMSの根幹 リスクコントロール これ疑問に思わなかった？ 8

リスク分析は曖昧になりがち • リスクアセスメントには様々な手法があり、 どの手法が正確かやどの手法が網羅的か、ということはない • リスク = 価値 * 脅威 * (脆弱性) * 可能性 • リスク – 管理策 = 受容可能なリスク • 価値 -> 資産の棚卸 -> からの CIAの数値化。。。 • この作業、戦略や戦術を定める根幹のプロセスなのに、こんな洗練されていな いやっつけ仕事な仕組みでいいの？ (うちはやっていません。無駄だから) 9

完全否定はしていないが。。。(駆け出しの頃好きだった言葉) • "If we guard our toothbrushes and diamonds with equal zeal, we will lose fewer toothbrushes and more diamonds.” • - McGeorge Bundy, Presidential Assistant for National Security • 『歯ブラシとダイアモンドを同じ熱意で守ったら、少しの歯ブラシとそれ以上のダイ アモンドを失うだろう』 • https://www.nytimes.com/1989/03/05/opinion/shades-of-mccarthyism.html The NewYorkTimes “Shades of McCarthyism” • セキュリティクリアランス制度を巡る議論における記事 • 1989年!! この頃の情報を取り扱う環境と、今の環境は大きく違う 10

• https://www.nytimes.com/1989/03/05/opinion/shades-of-mccarthyism.html

“セキュリティ”を難しくしているもの • 最近、長年セキュリティに関わってきてようやくわかってきたこと • 情報セキュリティーは 情報コントロールのための規律 • サイバーセキュリティーは 外からの浸透・破壊を食い止める防御 • 内部不正は 情報コントロールの中で行われる不正 • システム障害とか、法的要請とか、さらに違うフィールドの話 • これを「同じ軸」の情報セキュリティーで話をしようとしているから、なんかわけの わからん料理ができてしまっている • 食べる方も、なんか違うな、って思いつつ食べられないこともないから食べてきた 11

役割も尺度も内容も違う仕事(イメージ) セキュリティー責任者=マネージャー • それぞれ、同じリスク [パッシブ] では語れない 情報コントロール • それぞれに専門性が ある • それぞれとるべき管 理策が異なる [アクティブ] サイバーセキュリティー 内部不正 • でも、同じ尺度で語 ろうというのは無理 がある 12

サイバーセキュリティーに特化したリスク分析を • 三大脅威を定義 標的型攻撃・サイバーランサム・BEC(ビジネスメール詐欺) +1 (B to Cの会社は個人情報・クレカ情報狙いの攻撃者) • サイバーセキュリティー対策は かなり「わかりやすい脅威への対策」 • 権限を正当にもっている人のやらかしより、権限をもっていない人に権限を渡さないこと の方が対策しやすい • 持ち出したパソコンをなくす : 正当な権利があってパソコンを持ち出している • 建物の中のパソコンが盗られた : 正当な権利がなくパソコンが持ち出されている • 守りやすい(対策をたてやすい)のはどちら？ • ただし、権限が厳密ではない箇所、権限をゆるめる必要がある箇所に綻び(脆弱点) がでる。情報コントロールとサイバーセキュリティーは異なる志向だが両輪。 13

撰んだ手法 • 情報を主にせず、なるべく実施の負担をかけずに正確にリスクを得るためにあら ゆる管理策を書いてみよう • 現在のリスクの軽減状況 = 想定される総量のリスク – 現在実施している管理策により軽減されるリスク • 管理策の実施有無の選択、でリスクを可視化 『逆算方式』 • メリット : 考慮漏れなどナレッジに左右されない • デメリット : アセスメントの完成度に左右される 14

項目として重視したこと : 対策の網羅性 • 「侵入」と「攻略」のステップで、各管理策の五要素を意識して網羅的に整備 15

項目として重視したこと : 曲解させない作り・具体的に • 内部に侵攻できた攻撃者は、ADにリモート接続を試みることが多い • RDPの待ち受けポートを 3389 から変更 (抑止/防止) • RDP接続できる端末を指定 (防止) • ADサーバーのポート3389の通信を記録 (記録) • ADサーバーに規定外の端末からのRDPアクセスを記録 (記録) • 上記のログに基づきリアルタイムアラート (検知) • アラートがあがると即座に原因把握 (反応) 16

項目として重視したこと : 現場でするべき管理策 • EDRを導入して、XDRを導入して。。。 • 例えば、VPNの特定アカウントへのログイン失敗多発からの成功。拾ってくれる？ • AnyDeskやTeamViewerのインストール。教えてくれる？ • EDRの検知結果に応じて関連ファイルを削除 -> どこから感染したか調べてくれる？ • ADに管理者アカウントが増加した。異常だと調査してくれる？ • VSCodeトンネル -> 検知できるのかな？ • ログが送られている前提の仕組み -> 送信エラーが起きていないかわかる？ • 製品やサービスを導入しても、攻撃者と対等に戦うためには、ギャップを埋める 運用がどうしても必要になる • そのようなギャップに着目して、現場で行うべきセキュア運用について記載 17

項目として重視したこと : プロアクティブ/前始末の内容を • 伊藤 雅俊氏 (イトーヨーカ堂・セブンイレブン創業者)のよい経営の基本思想 『前始末』 • 早期に対応すれば、後始末より何倍も効率がよい • インシデントレスポンス対応は火事場のヒーローのように輝いて見えるが、我々 ブルーチームはインシデントレスポンスをしたら失敗の存在と認識すべき • CSIRTは消火隊ではない!! 18

(一応、)各種の基準を参照 • 2016年頃に原型・当時の社内の管理策や管理策候補を整理して作成 • 国内外の基準を活用し抜け漏れチェック (ただ、使い物になったのは『PCI-DSS』くらい。一応、権威付け用に仕方なく 『<検閲>経営ガイドライン』とか参照したことにしたが、使い物に<検閲>。で もアンケートで使っていますか？とか業界団体からくるから、含めて作った独自 の。。。と言うために) 19

03 リスクアセスメンツールの真の使い方 20

改めてマネジメントとは？ • 管理や経営 -> 管理や経営とは？ • ‘Managing’ Harold Geneen 『邦題 : プロフェッショナルマネージャー』 • “A three-sentence course on business management: • You read a book from the beginning to the end. • You run a business the opposite way. • You start with the end, and then you do everything you must to reach it.” • 『三行の経営論 : 本を読むときは最初から最後まで読む。ビジネスは逆だ。最後からはじめて、そ れに達するためにするべきことをなんでもするんだ』 • まさに「逆算方式」 (到達することが我々の仕事) 21

到達点はどこ？ • 最後は、各組織のリスクが想定している範囲に収まっていること。予想通り、にすること。 • ゼロリスクにすることが目的ではない • 各社の担当・経営層がリスクの認識において、同じ認識を持つことを目的とした仕組み。 取り組みを繰り返す中で、精度をあげていき、具体的な改善を実施していく • それぞれの階層のマネージャーが、それぞれ必要な情報を得られることが目的 • 担当 : 現在の管理策に基づき回答。え？自分のセキュリティ評価こんなに高い/低いの？ • 経営層 : もっとできていると思っていた。想定通りだった。よくやってくれている。何が足りないのか • HQ : リスクを可視化することで、グループ全体でリスク管理することが可能になる。対策ポイント 22

必要なこと。。。事実・真実 • 『失敗の本質―日本軍の組織論的研究』 • 虚偽の戦果が大本営発表として公式化。それをもとに作戦が立案される泥沼 • 正しい情報を入手することが第一歩 • マネージャーが目的を達成するには、なんとしても、正しい決定をするのに必要 な情報を入手しなければならない。そうすれば、目的への道は一歩一歩、おの ずと開けていく。どの一段を上るにも、真の状況を把握するための正確な事実 が必要だ。信頼できる情報に拠ることができれば、決定を行うことはさほど困難 ではない。事実は力である。 『プロフェッショナルマネージャー P294より』 我々が必要なのは『事実』だ 23

重要なことは結果ではない • リスクアセスメントの結果を直接個人の評価と連動させてはいけない • 評価すべきは 「正確な回答」 • リスクの軽減率が思ったより高くないのは？ • やるべきことがわかっていなかったから？(ツールで今回示された) • 達成目標が提示されていなかった(ツールで今回示された) • 予算がなかった(ツールの結果で経営陣が判断) • 経営陣の無理解(ツールの結果で経営陣が判断) • 現場の力量不足(ツールの結果で経営陣が判断) • 別にこのツールでなくともいい。リスクは同じ尺度で話そう、という取り組み 24

04 おわりに 25

セキュリティマネジメントに必要なもの リスクアセスメント ここに力をかけないでどうする？ 26

リスクアセスメントツールは我々の責任の裏返し • 管理策にあることを一定水準まで実施していたからサイバー攻撃の被害を受け なかった : 見えない効果・評価されない • 管理策にあることを一定水準まで実施していたのにサイバー攻撃の被害を受 けた : 見える失敗・責任追及される • 脆弱性が想定できておらず管理策がツールに含まれていなくてサイバー攻撃の 被害を受けた : 見える失敗・責任追及される • でも我々は淡々と対策を進めていくしかない • そのためにスキルをあげて、攻撃者より先に脆弱性に気付き、「前始末」をして いく = ブルーチームの専門家 = セキュリティーマネージャー 27

フィードバックをください!! • リスクアセスメントツール • ぜひ利用してみてフィードバックをください • そのために公開しました • 次の改定では、現実に行われた、標的型 攻撃によるテクニックや、さらに想定される 攻撃手法への管理策も書く予定です 28

Thank you • ありがとうございました 29

30