Open Worldwide Applicationだけじゃない Securityの話 (Product securityじゃないほう) in Sendai

447 Views

December 18, 24

#コーポレートit #cit #security

スライド概要

OWASP Sendai #62のLT資料です
https://owaspsendai.connpass.com/event/339070/

Haya

@yohaya

スライド一覧

CITとセキュリティなんでも見る人 / I love technologies and security, Spider-Man, Marvel & DC heroes and lovely things.

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

ダウンロード(pdf - 2.03MB)

関連スライド

脆弱性管理のはじめかた(公開版)

Haya 47.5K

小さなコーポレートITのはじめかた

jamf コーポレートit

Haya 19.6K

Threat Modeling Night #2 in Tokyo_Feedback

脅威モデリング脅威モデリングナイト

Haya 2.6K

学振特別研究員になるために～2025年度申請版

学振 dc1 dc2 jsps pd

大上雅史 475.3K

研究に使える便利なフリーソフト ImageJ

imagej 放射線技師

片山豊 323.3K

大規模言語モデルに追加学習で専門知識を教える試み (2023, arXiv:2312.03360)

Kan Hatakeyama 248.8K

各ページのテキスト

Open Worldwide Applicationだけじゃない Securityの話 (Product securityじゃないほう) in Sendai OWASP Sendai #62

自己紹介

本業 ● ● ● 美容領域のとある事業会社 (中堅会社の集合体 / いわゆる JTC)に所属セキュリティ専任として、脆弱性管理、セキュリティ教育関連などに従事元・コーポレートエンジニア (〜2023年) ○ ↑今回はここの話をします社外活動 ● 脅威モデリングコネクト東京好きなもの hayapi ● ● Marvel🕸とDC🦇 カフェラテ

情シス / コーポレート ITとは？

情シスやコーポレート ITって何をしている部署か知っていますか？

どこでもだいたいやっている仕事 ● デバイスの管理 ● アカウントの管理 ○ with グループウェア、共有フォルダ、SaaSなどの管理 ● ネットワークの管理 ● オフィスや店舗のITファシリティの管理

会社によってはコーポレート ITがやっている仕事 ● コーポレートサイトの運用保守 ● ECサイトの運用保守 ● 業務システムの運用保守 ● RPA、DX、業務効率化など

私が主にやっていた仕事 ● デバイスの管理 ● コーポレートサイトの運用保守 ● アカウントの管理 ● ECサイトの運用保守 ● ネットワークの管理 ● 業務システムの運用保守 ● ITファシリティの管理 ● RPA、DX、業務効率化などこのへん

コーポレート ITのセキュリティ

10.

コーポレートITのセキュリティでやっていること

11.

業務と対になるセキュリティをやっています ● アカウントとデータのセキュリティ ● ネットワークのセキュリティ ● デバイスのセキュリティ

12.

対応する考え方や製品・サービス全体ゼロトラストアーキテクチャ、境界型防御、ISMS etc データ条件付きアクセス、DLP etc アカウント MFA、SSO、AIM etc ネットワーク SWG、ZTNA、VPN、NW機器のセキュリティアップデート etc デバイス MDM、EDR、EPP、NGAV、セキュリティアップデート etc

13.

対応する考え方や製品・サービス全体ゼロトラストアーキテクチャ、境界型防御、ISMS etc データ条件付きアクセス、DLP etc アカウント MFA、SSO etc ネットワーク SWG、ZTNA、VPN、NW機器のセキュリティアップデート etc デバイス MDM、EDR、EPP、NGAV、セキュリティアップデート etc いっぱい！ 😇

14.

私がやってきたこと (過去の登壇資料から抜粋)

15.

要点 ~ 意識したこと ~

16.

世の中の言葉には惑わされないまずは、地味かもしれないけど足元をしっかり固める Don't get distracted by trendy words, start by building a solid foundation

17.

テクノロジーをいいかんじに活用するでも、テクノロジーだけで完璧を目指さない（ルール等といいかんじに組み合わせる） Use technology in a good way, but DON'T aim for perfection with technology alone. To combine it with rules, etc.

18.

ビジネスに必要なセキュリティ対策から優先度をつけて実装する Then, you have to prioritize and implement the security measures your business requires. 18

19.

Case study 19

20.

[Before] Unsecured & Uncontrolled Kingdom （入社前） 20

21.

Case study: Before - Unsecured & Uncontrolled Kingdom 21

22.

[Step1] World of beginning implementation （入社時点） 22

23.

Case study: Step1 - Begining implementation (Devices: MDM, IAM: Moving away from personal password management) 3. 2. 1. 23

24.

Case study: Step1 - Begining implementation (Devices: MDM, IAM: Moving away from personal password management) 3. 2. デバイスのうち全体の大半を占める部分から（＝導入効果が高いところから）MDMを展開していく 1. 24

25.

Case study: Step1 - Begining implementation (Devices: MDM, IAM: Moving away from personal password management) 「Googleでログイン(OAuth)」できるサービスは、この認証方法に切り替えていく(＝覚えるパスワードを減らす目的 )3. 2. 1. 25

26.

Case study: Step1 - Begining implementation (Devices: MDM, IAM: Moving away from personal password management) 3. 2. パスワードマネージャーも併用する（パスワードはなくならないので...） 1. 26

27.

[Step2] World of updated implementation （約1年後） 27

28.

Case study: Step2 - Updated implementation (Devices: Expanding and strengthening the scope, IAM: SSO) 4. 3. 2. 1. 28

29.

Case study: Step2 - Updated implementation (Devices: Expanding and strengthening the scope, IAM: SSO) 4. 3. EDRを導入し、端末をマルウェアなど 2. の脅威から保護する 1. 29

30.

Case study: Step2 - Updated implementation (Devices: Expanding and strengthening the scope, IAM: SSO) 4. MDMの対象範囲を拡大していく 3. 2. 1. 30

31.

Case study: Step2 - Updated implementation (Devices: Expanding and strengthening the scope, IAM: SSO) 4. Secure Web Gateway(SWG)を導入し、有害なコンテンツから端末を保護する 3. 2. 1. 31

32.

Case study: Step2 - Updated implementation (Devices: Expanding and strengthening the scope, IAM: SSO) 4. SSOに対応しているサービスは、この認証方法に切り替えていく（個人情報・機微な情報を扱うサービスから順次） 3. 2. 1. 32

33.

[Step3] World after Metamorfoze （約2年後） 33

34.

Case study: Step3 - After Metamorfoze (Device SSO, ZTNA, Context-Aware Access and SIEM) 4. 3. 2. 1. 34

35.

Case study: Step3 - After Metamorfoze (Device SSO, ZTNA, Context-Aware Access and SIEM) 4. 3. 2. 端末のログイン方法もSSOに統一する（ローカルアカウントの廃止） 1. 35

36.

Case study: Step3 - After Metamorfoze (Device SSO, ZTNA, Context-Aware Access and SIEM) Zero Trust Network Access(ZTNA)を導入し、端末と各種サービスを安全に接続する。また、セキュリ 4. ティ基準を満たさない端末はサービスへのアクセスを遮断する 3. 2. 1. 36

37.

Case study: Step3 - After Metamorfoze (Device SSO, ZTNA, Context-Aware Access and SIEM) 4. 3. Google Workspaceの条件付きアクセスも併用してデータの保護を強化する 2. 1. 37

38.

Case study: Step3 - After Metamorfoze (Device SSO, ZTNA, Context-Aware Access and SIEM) 4. SIEMを試験的に導入して、不審なイベントの検知と可視化を試みる 3. 2. 1. 38

39.

そして、進化は続いていく... （実装例はここまで） And the evolution continues... (Case study end here) 39

40.

今後やっていきたいこと

41.

コーポレートITのセキュリティも、プロダクトセキュリティも１つのテーブルの上に乗せて、「組織のセキュリティ」として優先順位をつけて取り組んでいく

42.

ご清聴ありがとうございました

43.

ちなみに脅威モデリングナイト #6は「1/29(水) 18:30〜」です (申込ページとかはもうちょっと待ってね)