46.7K Views
November 19, 24
スライド概要
脆弱性管理の はじめかた SST What’s Up #1 企業や組織の脆弱性管理の話
目次 ● はじめに ● 脆弱性管理とは?(おさらい) ● 理想と現実 ● 脆弱性管理のはじめかた ● まとめ
目次 ● はじめに ● 脆弱性管理とは?(おさらい) ● 理想と現実 ● 脆弱性管理のはじめかた ● まとめ
自己紹介
本業 ● ● 美容領域のとある事業会社 (中堅会社の集 合体 / いわゆる JTC)に所属 セキュリティ専任として、脆弱性管理、 セキュリティ教育関連などに従事 社外活動 ● 脅威モデリングオープンコミュニティ運営 好きなもの ● ● hayapi Marvel🕸とDC🦇 カフェラテ
目次 ● はじめに ● 脆弱性管理とは?(おさらい) ● 理想と現実 ● 脆弱性管理のはじめかた ● まとめ
(とその前に) まず、どんな軸があるんだっけ? の整理
軸その1 - 対象機器 ● サーバ ● PC ● スマホ・タブレット ● ネットワーク機器 ● OT機器 など
軸その2 - レイヤー ● 開発コード ● パッケージ (WordPressや、そのプラグインとか) ● ミドルウェア / ソフトウェア (MySQLとかPHPとか) ● OS(Linux / Windows / Mac / iOS / Android OS) ● ハードウェア (CPUチップの脆弱性とか) ● クラウドの設定 (AWS / GCP etc) など
つまり、こう
脆弱性管理の世界
脆弱性管理の世界 皆さんはどこをやってます?
脆弱性管理の世界 たぶん このへん が多い?
脆弱性管理の世界 管理を検討すべき対象は このへん全部 💡初手ですべてに着手する必要はないけど 認識はしておく必要がある
ちょっと補足
補足 ● 脆弱性診断で見つかったセキュリティ上の欠陥 ● ペネトレーションテストで見つかった(同文) ● アタックサーフェスマネジメントで見つかった(同文) このLTではこのへんも便宜上「脆弱性」と呼びます
やるべきことの共通点
共通点 ● 「脆弱性」を可視化して(認識できる状態にして) ● なにかしらの対処を実施していく必要がある ● または「対処しない」のジャッジをしていく必要がある その手法の 1つとして「脆弱性管理プロセス」がある
脆弱性管理プロセスって? (おさらいその2)
大まかな流れ (1/3) 1. 脆弱性管理を行う対象の構成情報を収集する 2. 脆弱性の情報を収集する ○ 公的機関や非営利団体からの脆弱性情報の入手 ○ 脆弱性診断、ペネトレーションテスト、アタックサーフェスマネジメ ント製品による診断・検出結果 ○ コミュニティやSNSなど 3. 構成情報と脆弱性情報を突合する ○ CVE-IDなどと突合して、自組織の対象に該当するか調べる
大まかな流れ (2/3) 4. 緊急度を判定する (トリアージ ) ○ 脆弱性そのものの深刻度、機器がある環境や用途を加味して、緊 急度を決定する ○ そして、「やる / やらない」と「やるならいつまでにやるか」を決める ■ これを決められるのは究極は「経営者」「事業責任者」などそ の事業に最大の責任を持つ人 ■ セキュリティ担当はこの判断に必要な情報を提供する存在 (理想としては、ね)
大まかな流れ (3/3) 5. パッチ適用 / 回避策・軽減策を計画・実施する ○ 対策の検討・計画 ○ 動作検証 ○ 対策の実施 1〜5のサイクルをクルクルまわす
目次 ● はじめに ● 脆弱性管理とは?(おさらい) ● 理想と現実 ● 脆弱性管理のはじめかた ● まとめ
これ、運用できるの?
現実と理想 ● もちろん、すべての脆弱性を解消できるのが理想 ● しかし、予算・リソースを踏まえると現実的ではない ○ 特にこれまでパッチ適用の運用をしてこなかったシステ ムにとっては難しい(とても巨大な障壁🧱) ■ 運用の見直し ■ それに伴う予算の見直し ■ パッチ適用に伴うシステム障害に 誰が責任を持つか など
現実と理想 ● もちろん、すべての脆弱性を解消できるのが理想 ● しかし、予算・リソースを踏まえると現実的ではない ○ 特にこれまでパッチ適用の運用をしてこなかったシステ 一気にすべてやろうとすると ムにとっては難しい(とても巨大な障壁🧱) リソースが足りずに死ぬ 😇(経験談) ■ 運用の見直し ■ それに伴う予算の見直し ■ パッチ適用に伴うシステム障害に 誰が責任を持つか など
目次 ● はじめに ● 脆弱性管理とは?(おさらい) ● 理想と現実 ● 脆弱性管理のはじめかた ● まとめ
そんなわけで、はじめかた
どこから手を付ける?
「最も守るべきものがある場所から」
「守るべきもの」を探すときの問い ● Q1. あなたの会社の事業の、売上の源泉になっている情 報・仕組みは何ですか? ● Q2. その情報・仕組みはどこにありますか?
回答例その1 ● 顧客の個人情報 ○ それはそう ○ ただし、もうすこし解像度は高く持ちたい ■ 競合他社優位性になっている項目は? ■ 漏洩した際に顧客の離脱につながる項目は? ■ 顧客に金銭的被害が発生する項目は? ■ 顧客のプライバシーに関する項目は?
回答例その2 ● 研究や特許に関する情報 ● 設計図、製造に関する配合表、原価情報 ● ノウハウ ● 取引先等から秘密保持契約によって守秘義務を課せら れている情報 ● その他、外部に流出したら競争優位性を失う情報
回答例その2 ● 研究や特許に関する情報 ● 設計図、製造に関する配合表、原価情報 そして、これらを保管・利活用している場所が ● ノウハウ 「守るべき場所」 🛡 ● 取引先等から秘密保持契約によって守秘義務を課せら れている情報 ● その他、外部に流出したら競争優位性を失う情報
ちょっと補足 その2
補足 ● 敢えて、ベースラインアプローチ的ではない手法です ○ 少ないパワーで優先度が高いものを見つけたい目的(効 率性>網羅性) ○ &経営陣・事業部と会話しやすい切り口 ● 「情報資産一覧」を作成する取り組みも並行で行うのがベスト です(既にあればいいかんじに活用して下さい)
どこまでやる?
「まずはトリアージするところまで」やって みる!
立ちはだかる壁(理由)
3つの壁 (1/2) ● 「構成情報と脆弱性情報を収集する」が最初の壁 ○ ちょっと大変だけど、難易度はそれほど高くない ● 「情報を突合して、トリアージする」がその次の壁 ○ 物量があるので大変だけど、判断基準や意思決定のルー ルさえ決まれば、そんなに難易度は高くない ■ 判断基準のガイドラインや支援ツールもある
3つの壁 (2/2) ● 「パッチ適用 / 回避策・軽減策を計画・実施する」が最大の 壁 ○ ここがとても難しい ■ レガシーな世界では、この壁はとてつもなく高くそびえ 立っている ○ 脆弱性管理プロセスを導入するためには、3つ目の壁を攻 略できるかどうか🪓🧱
3つの壁 (2/2) ● 「パッチ適用 / 回避策・軽減策を計画・実施する」が最大の 壁 ○なので、まずは2つ目の壁まで攻略する ここがとても難しい 🗺 ■ vs レガシーな世界では、とてつもなく高くそびえ立って そのあとに3つ目の壁攻略に挑む いる ○ 脆弱性管理プロセスを導入するためには、3つ目の壁を攻 略できるかどうか
3つの壁 (2/2) ● 「パッチ適用 / 回避策・軽減策を計画・実施する」が最大の 壁 3つ目の壁攻略は関係者とコミュニケーションを取って ○ ここがとても難しい 模索していくしかない 🔎 ■ vs レガシーな世界では、とてつもなく高くそびえ立って 銀の弾丸はなくて、少しずつ布教していくしかない いる ○ 脆弱性管理プロセスを導入するためには、3つ目の壁を攻 略できるかどうか
目次 ● はじめに ● 脆弱性管理とは?(おさらい) ● 理想と現実 ● 脆弱性管理のはじめかた ● まとめ
まとめ ● まずは小さく、かつ効果的なところからはじめてみる ● 最初から一気通貫で脆弱性管理プロセスを導入しようと欲 張らない ○ まず「ビジネスの源泉になっている情報」x「どのような脆弱 性を抱えているか」を知るところから始める ○ そして「リスクの大きさを見極めて、リスクの大きいところか らの手当」をみんなで考える
最後に
脆弱性管理の はじめかた はじめかた SST What’s Up #1 企業や組織の脆弱性管理の話
脆弱性対応の はじめかた 脆弱性管理は 脆弱性対応の一部 SST What’s Up #1 企業や組織の脆弱性管理の話
ご清聴ありがとうございました https://x.com/yo_hayasaka