69.1K Views
May 18, 23
スライド概要
日本経済新聞社のデジタル人材向け新卒研修(2023年度)のセキュリティに関する講義資料です。
他の講義についてはこちらで案内しています。
https://hack.nikkei.com/blog/training2023
メディア企業でプロダクトセキュリティをやっています。 CISSP/GCIH/GCFR/SANS FOR610, FOR572(Coin holders)/AWS CLF/GCP ACE,PCA,PSE /セキスペ
新卒研修:セキュリティ 2023年4月20日 日本経済新聞社 1
本研修の目的 ● セキュリティに対してポジティブに付き合えるようになる ● セキュリティに関するワールドマップを描く ● 自身がセキュリティの当事者であることを認識する Point ● セキュリティの目的は制限や制約ではなく、変革を支えるためのもの ● 同じ情報源でも前提とする知識や経験によって、得られる情報量は違う 2
セキュリティとは 安全・保護・担保 ≠ 規制、保守 ● 人、建物、または国を危険または犯罪から安全に保つために行われること ● things that are done to keep a person, building, or country safe from danger or crime ● あなたに起こりうる悪いことからの保護 ● protection from bad things that could happen to you ● 財産など、借りたお金を返せない場合に誰かにあげると約束するもの ● something such as property that you promise to give someone if you cannot pay back money you have borrowed from them - ロングマン現代英英辞典より抜粋して翻訳 3
変化とリスク ● 変化にはリスクを伴う ● 変化しないことによるリスクも伴う ● エンジニアは技術によって変化を起こすことが仕事 セキュリティは、リスクに適切に対処し 安心して変化するための手段である ↑ 今日は黄色の解像度を上げていくことを目指す 4
今日話すこと ● 基本情報:日経のセキュリティ組織とチーム ● エンジニア人生を支える、セキュリティの俯瞰 ● アジリティとセキュリティを両立する、DevSecOps概観 5
今日話さないこと ● 技術的なキーワードは多く出てきますが、ほぼ解説しません ● 興味がある人は各スライドの資料を読んでみてください 6
日経のセキュリティ 組織とチーム こちらのパートは非公開です。 (Photo by Me - SM Seaside City Cebu) 7
セキュリティの俯瞰 (Photo by Me - Fort San Pedro) 8
聞いたことあるキーワード 1. 2. 3. 4. 5. 6. 7. 8. 9. 👍ある or 😲ない 情報セキュリティのCIA 脆弱性 不正アクセス 権限昇格 ファイアウォール クロスサイトスクリプティング DDoS ランサムウェア OWASP Top 10 10. IAM 9
情報セキュリティの3大要素(CIA) 情報セキュリティマネジメントに関する日本工業規格「JIS Q 27000シリーズ」で定められている ● 機密性(Confidentiality) ○ 定義:認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性 ○ つまり、当事者だけが使える、他人に見せない ● 完全性(Integrity) ○ 定義:正確さ及び完全さの特性 ○ つまり、変更履歴やバックアップのこと ● 可用性(Availability) ○ 定義:認可されたエンティティが要求したときに,アクセス及び使用が可能である特性 ○ つまり、使いたいときにいつでも使える +α 真正性、責任追及性、否認防止、信頼性 10
直近のセキュリティ脅威 ● クレカ情報の防壁に穴 ECサイトで流出1万4000件以上か 2023年2月20日付 日経電子版 (link) ○ 機密性(クレジットカード情報流出) ○ 完全性(ウェブサイト改ざん) ● コストと効果から考える ランサムウエア対策の優先順位 2023年1月28日付 日経電子版 (link) ○ 機密性(個人情報の流出) ○ 可用性(社内業務システム、ECサイトの停止) ● ソフトウエアの脆弱性とは 放置で被害大きく 2023年1月22日付 日経電子版 (link) ○ 機密性、完全性、可用性を侵害する起点となり得る 11
リスク = 脆弱性 x 脅威 x 資産価値 JIS Q 31010:2022 リスクアセスメント技法 ● リスク: ○ ○ 定義:目的に対する不確かさの影響。 つまり、リスク ≠ 被害。リスクは大きさで測る。 ● 脆弱性: ○ ○ 定義:一つ以上の脅威によって付け込まれる可能性のある、資産又は管理策の弱点。 つまり、攻撃者にとって狙いやすい弱点のこと。 ● 脅威: ○ ○ 定義:システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因。 つまり、攻撃者が行う攻撃の可能性や意思、災害の発生可能性のこと。 ● 資産価値: ○ ○ 定義:CIA(機密性・完全性・可用性)が損なわれた時の事業上の影響(損害) リスク分析では、CIAそれぞれを段階的に評価したりする。 12
リスクについて考えてみよう(練習) クイズ:庭で素振りをすることのリスクや対応策ついて、 どのようなことが思い浮かぶ? 疑問 1. 2. 3. 4. 5. 被害の程度(金額)は? 初動の対応は何をする? バットはなぜ室外機に当たったのか? 他に被害を受けそうなものは? 今後に向けた対応は何をする? 室外機 少年 道路 道路 花壇 花壇 芝 ベ ン チ 鉢 鉢 リスクが顕在化した例 (室外機の破損) 鉢 鉢 室外機 隣 家 の 車 隣 家 の 車 芝 ベ ン チ 鉢 鉢 DIYで枠を設置 室外機 火災保険特約で修理(全額補填) 13
セキュリティを否定の要件にしてはいけない ● リスクがある、だからやめておこう ○ リスク対応策を知る ● 脆弱性を突かれないか漠然と不安 大 ↑ 小 被害 移転 回避 保有 低減 頻度 低 ➔ 高 ○ 脆弱性を作りこまないための手段を知っておく ○ 仕組みや枠組みを活用する セキュリティを適切に理解し、可能性を広げるエンジニアになろう SECURITY BY DESIGN
リスクについて考えてみよう(本番) クイズ:新機能を設計する際のセキュリティリスクと対策を思いつく限り チャット欄に書いてみてください。(5分) 新機能(架空): ・ 日経電子版に投稿された記事を自動英訳し、FTに自動投稿するAPI連携機能を開発する 回答例 ● リスク:可用性 ○ 脅威:翻訳クラウド基盤がダウンしている場合にFTに投稿できない ○ 脆弱性:翻訳クラウド基盤が単一障害点(SPOF) ○ 対策: ■ キューの実装 ■ 再送処理(ステータス管理)の実装 投稿 編集者 ■ 代替システムの用意(冗長化) ● リスク:機密性 ・ 完全性 ・ 可用性 ○ 脅威:? ○ 脆弱性:? ○ 対策:? (ヒント:保有/低減/移転/回避 という考え方が使える) 電子版 投稿 FT 翻訳 翻訳クラウド 基盤 ※ ※ 架空です。 15
終わらないもぐら叩き ● いつ誰が狙うのか? インフラ クラウド ● 私達が守るべきものとは? Web ● どのように狙われるのか? ● 被害の想定は? ライブラリ ● 全部対策しないとリリースできない? ● 脆弱性が作り込まれる? 委託先 開発者の端末 16
彼を知り己を知れば百戦殆からず セキュリティを取り巻く環境や構成要素を知ってみよう 17
セキュリティで疲弊しないための戦略 ● 戦わずして勝つのが最善* ● 戦いに勝つ者は、 ○ 道:道徳や道理をわきまえている ○ 天:天の時(タイミング)を知っている ○ 地:地の利(守りやすいところ、攻めるにくいところ)を生かす ○ 将:優れた将(リーダー)を有する ○ 法:法律や規律を保つ * 攻められないように守りを見せるの意 18
道 なぜサイバー犯罪は行われるのか ● 組織的な背景 金銭、諜報、地政学、思想(ハクティビズム) ● 個人的な背景 機会 ・ 目の前に標的(脆弱性)がある ・ 犯行がばれない環境(隠蔽・ごまかし) 不正のトライアングル 動機 ・ ストレス(怒られたくない) ・ 儲かると思った、収入を上げたい ・ 好奇心(何が起こるか見てみたい) 機会 不正 動機 正当化 表裏 一体 Ethical Hacking ・ 高い倫理観 ・ 正しい知識 ・ 適法性 正当化 ・ みんなやってる ・ 周囲に対する不公平感 ・ 虚栄心、自己顕示欲 19
天 サイバー空間で起こる脅威 ● 「防げぬ」サイバー攻撃2.7倍 修正ソフトない脆弱性突く 2022年6月22日 付 日経電子版 (link) ○ 未対応の脆弱性が狙われる ● ウクライナで再びサイバー攻撃 複数の政府サイトで 2022年2月24日付 日経電子版 (link) ○ 国家的な背景により、重要インフラが狙われる ● 北朝鮮、サイバー攻撃巧妙に 暗号資産を不正奪取 2022年2月8日付 日経電子版 (link) ○ 未成熟の新興技術が狙われる 20
地 セキュリティを取り巻く領域や技術 [IPA]セキュリティ・キャンプ全国大会2022 オンライン https://www.ipa.go.jp/jinzai/security-camp/2022/zenkoku/message.html 21
将 セキュリティのリーダーは誰か ● # サイバーセキュリティは全員参加 (内閣サイバーセキュリティセンターのキャッチフレーズ ) ● 今日から皆さんがチームのセキュリティをリードする意識で! ● セキュリティリーダーに求められる能力 ○ 智:セキュリティの戦術(*)を理解する ○ 信:幅広い技能(*)を磨き、信頼される人材へ ○ 仁:困ったことがあれば相談する(#security_faqへ) ○ 勇:リスクをおそれすぎず大胆な決断を ○ 厳:横着、安易な妥協、手抜きには厳しく (*) 次スライド以降で説明 22
戦術 攻撃側 MITRE ATT&CK ® ● MITRE社(米国の連邦政府が出資する非営利団体)が提供するナレッジ集 ● ATT&CKはAdversarial Tactics, Techniques, and Common Knowledgeの略 (敵対的な戦術とテクニック、共通知識) © 2023 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation. https://attack.mitre.org/ 23
戦術 防御側 NIST CSF ● 2014年にNISTが発行したサイバーセキュリティフレームワーク ● 米国国立標準研究所(National Institute of Standards and Technology, NIST) NIST CSFは重要インフラのサイバーセキュリティを改善するためのフレーム ワーク。サイバー攻撃が起こることを前提とし、防ぐだけでなく被害後の対応や 復旧などフェーズに分けて取るべき施策が網羅されている。 Credit: N. Hanacek/NIST ● ● ● ● ● 識別(ID) 防御(PR) 検知(DE) 対応(RS) 復旧(RC) @SEE NIST SP-800シリーズ https://www.nist.gov/cyberframework/framework 24
技能 セキュリティスキルをどのように身につけるか 1.独学 ・ 書籍、資料、勉強会、Twitter、Slack ・ 規格、フレームワーク、ベンチマークを読む ・ CTF(Capture The Flag)への取り組み 参考:https://hack.nikkei.com/blog/ctf4b202206/ 2.専門教育 ・ セキュアコーディング研修「KENRO」 ・ セキュリティ・キャンプの聴講 ・ 有償講習(CompTIA、(ISC)²、クラウドセキュリティ等) 3.資格取得 ・ 情報処理安全確保支援士 ・ CompTIA、CISSP等 ・ クラウド関連資格(AWS/GCP) 4.知ってる(知ってそうな)人に聞く IPA(情報処理推進機構):安全なウェブサイトの作り方 https://www.ipa.go.jp/security/vuln/websecurity.html 25
法 サイバーセキュリティ関連法 刑法 ● ● ● ● 第161条の2 私/公電磁的記録不正作出及び供用 ➔ データ改ざん、チート 第168条の2・3 不正指令電磁的記録に関する罪 ➔ ウイルス作成/頒布 第234条の2 電子計算機損壊等業務妨害 ➔ DDoS、データ破壊 等 第246条 詐欺・電子計算機使用詐欺 ➔ カード不正利用、不正注文等 特別法 ● ● ● ● ● ● 不正アクセス行為の禁止等に関する法律 個人情報の保護に関する法律 特定電子メールの送信の適正化等に関する法律 不正競争防止法 著作権法 サイバーセキュリティ基本法 ➔ ➔ ➔ ➔ ➔ ➔ 不正ログイン, フィッシング等 情報漏えい(主に外部攻撃) 迷惑メール / メルマガ不正 情報漏えい(主に内部不正) 知的財産侵害 枠組みを定めるための法律 26
ひと呼吸 ● 伸び ● 飲み物 ● 糖分 27 (Photo by Me - THE CIVET COFFEE Cebu)
(アジリティとセキュリティを両立する) DevSecOps概観 こちらのパートは、 全体俯瞰と脅威モデリングのみ の部分公開です。 (Photo by Me - Bluewater Maribago Beach Resort) 28
DevSecOps概観 Sec Dev/Ops Dev Plan セキュリティレビュー 脅威モデリング Code SAST コードレビュー (静的アプリケーションセキュリティテスト) Build CI / CD パイプライン Test DAST (動的アプリケーションセキュリティテスト) 脆弱性診断 Deploy Ops Operate クラウドセキュリティテンプレート バグバウンティプログラム Monitor セキュリティ監視(SOC) インシデントレスポンス 29
セキュリティレビュー(脅威モデリング) 開発チームとセキュリティチームが協力し、早期にリスクを発見するための活動 上図は架空のウェブサービスを対象としたものです。 30
自習用マテリアル ● OWASP Top 10 : Webアプリケーション開発における危険性が高い脅威 https://owasp.org/Top10/ja/ ● OWASP API Top 10 : API開発における危険性が高い脅威 https://owasp.org/www-project-api-security/ ● Androidアプリのセキュア設計・セキュアコーディングガイド https://www.jssec.org/dl/android_securecoding_20220829/index.html ● 安全なウェブサイトの作り方 - 情報処理推進機構(IPA) https://www.ipa.go.jp/security/vuln/websecurity/about.html ● CIS Benchmarks : AWSやGCPで実践すべきセキュリティ対策のベストプラクティス https://www.cisecurity.org/cis-benchmarks 31
Next Action ● 自分の身は自分で守る をセキュリティチームがサポートします ● 自身が関わる業務に必要な「セキュリティ」が何かを理解する ● ウェブセキュリティ:明日からKENROやりましょう ● クラウドセキュリティ:ベストプラクティスを読んでみる ■ セキュリティ - AWS Well-Architected フレームワーク ■ Google Cloud セキュリティ ベスト プラクティス センター ログ大事! ● ログ大事!ログ大事!ログ大事! 32
ログ大事! 33
一緒にお仕事ができることを楽しみにしています! SECURITY BY DESIGN 34