Open Worldwide Applicationだけじゃない Securityの話 (Product securityじゃないほう) in Sendai

1.7K Views

December 18, 24

スライド概要

OWASP Sendai #62のLT資料です
https://owaspsendai.connpass.com/event/339070/

profile-image

CITとセキュリティなんでも見る人 / I love technologies and security, Spider-Man, Marvel & DC heroes and lovely things.

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

Open Worldwide Applicationだけじゃない Securityの話 (Product securityじゃないほう) in Sendai OWASP Sendai #62

2.

自己紹介

3.

本業 ● ● ● 美容領域のとある事業会社 (中堅会社の集 合体 / いわゆる JTC)に所属 セキュリティ専任として、脆弱性管理、 セキュリティ教育関連などに従事 元・コーポレートエンジニア (〜2023年) ○ ↑今回はここの話をします 社外活動 ● 脅威モデリングコネクト東京 好きなもの hayapi ● ● Marvel🕸とDC🦇 カフェラテ

4.

情シス / コーポレート ITとは?

5.

情シスやコーポレート ITって 何をしている部署か 知っていますか?

6.

どこでもだいたいやっている仕事 ● デバイスの管理 ● アカウントの管理 ○ with グループウェア、共有フォルダ、SaaSなどの管理 ● ネットワークの管理 ● オフィスや店舗のITファシリティの管理

7.

会社によってはコーポレート ITがやっている仕事 ● コーポレートサイトの運用保守 ● ECサイトの運用保守 ● 業務システムの運用保守 ● RPA、DX、業務効率化など

8.

私が主にやっていた仕事 ● デバイスの管理 ● コーポレートサイトの運用保守 ● アカウントの管理 ● ECサイトの運用保守 ● ネットワークの管理 ● 業務システムの運用保守 ● ITファシリティの管理 ● RPA、DX、業務効率化など このへん

9.

コーポレート ITのセキュリティ

10.

コーポレートITのセキュ リティでやっていること

11.

業務と対になるセキュリティをやっています ● アカウントとデータのセキュリティ ● ネットワークのセキュリティ ● デバイスのセキュリティ

12.

対応する考え方や製品・サービス 全体 ゼロトラストアーキテクチャ、境界型防御、ISMS etc データ 条件付きアクセス、DLP etc アカウント MFA、SSO、AIM etc ネットワーク SWG、ZTNA、VPN、NW機器のセキュリティアップデート etc デバイス MDM、EDR、EPP、NGAV、セキュリティアップデート etc

13.

対応する考え方や製品・サービス 全体 ゼロトラストアーキテクチャ、境界型防御、ISMS etc データ 条件付きアクセス、DLP etc アカウント MFA、SSO etc ネットワーク SWG、ZTNA、VPN、NW機器のセキュリティアップデート etc デバイス MDM、EDR、EPP、NGAV、セキュリティアップデート etc いっぱい! 😇

14.

私がやってきたこと (過去の登壇資料から抜粋)

15.

要点 ~ 意識したこと ~

16.

世の中の言葉には惑わされない まずは、地味かもしれないけど 足元をしっかり固める Don't get distracted by trendy words, start by building a solid foundation

17.

テクノロジーをいいかんじに活用する でも、テクノロジーだけで完璧を目指さない (ルール等といいかんじに組み合わせる) Use technology in a good way, but DON'T aim for perfection with technology alone. To combine it with rules, etc.

18.

ビジネスに必要なセキュリティ対策から 優先度をつけて実装する Then, you have to prioritize and implement the security measures your business requires. 18

19.

Case study 19

20.

[Before] Unsecured & Uncontrolled Kingdom (入社前) 20

21.

Case study: Before - Unsecured & Uncontrolled Kingdom 21

22.

[Step1] World of beginning implementation (入社時点) 22

23.

Case study: Step1 - Begining implementation (Devices: MDM, IAM: Moving away from personal password management) 3. 2. 1. 23

24.

Case study: Step1 - Begining implementation (Devices: MDM, IAM: Moving away from personal password management) 3. 2. デバイスのうち全体の大半を占める部分か ら(=導入効果が高いところから )MDMを 展開していく 1. 24

25.

Case study: Step1 - Begining implementation (Devices: MDM, IAM: Moving away from personal password management) 「Googleでログイン(OAuth)」できるサービス は、この認証方法に切り替えていく(=覚える パスワードを減らす目的 )3. 2. 1. 25

26.

Case study: Step1 - Begining implementation (Devices: MDM, IAM: Moving away from personal password management) 3. 2. パスワードマネージャーも併用する (パスワードはなくならない ので...) 1. 26

27.

[Step2] World of updated implementation (約1年後) 27

28.

Case study: Step2 - Updated implementation (Devices: Expanding and strengthening the scope, IAM: SSO) 4. 3. 2. 1. 28

29.

Case study: Step2 - Updated implementation (Devices: Expanding and strengthening the scope, IAM: SSO) 4. 3. EDRを導入し、端末をマルウェアなど 2. の脅威から保護する 1. 29

30.

Case study: Step2 - Updated implementation (Devices: Expanding and strengthening the scope, IAM: SSO) 4. MDMの対象範囲を拡大していく 3. 2. 1. 30

31.

Case study: Step2 - Updated implementation (Devices: Expanding and strengthening the scope, IAM: SSO) 4. Secure Web Gateway(SWG)を導入し、有害な コンテンツから端末を保護する 3. 2. 1. 31

32.

Case study: Step2 - Updated implementation (Devices: Expanding and strengthening the scope, IAM: SSO) 4. SSOに対応しているサービスは、この認証方 法に切り替えていく(個人情報・機微な情報を 扱うサービスから順次 ) 3. 2. 1. 32

33.

[Step3] World after Metamorfoze (約2年後) 33

34.

Case study: Step3 - After Metamorfoze (Device SSO, ZTNA, Context-Aware Access and SIEM) 4. 3. 2. 1. 34

35.

Case study: Step3 - After Metamorfoze (Device SSO, ZTNA, Context-Aware Access and SIEM) 4. 3. 2. 端末のログイン方法もSSOに統一す る(ローカルアカウントの廃止) 1. 35

36.

Case study: Step3 - After Metamorfoze (Device SSO, ZTNA, Context-Aware Access and SIEM) Zero Trust Network Access(ZTNA)を導入し、端末と 各種サービスを安全に接続する。また、セキュリ 4. ティ基準を満たさない端末はサービスへのアクセス を遮断する 3. 2. 1. 36

37.

Case study: Step3 - After Metamorfoze (Device SSO, ZTNA, Context-Aware Access and SIEM) 4. 3. Google Workspaceの条件付きアクセス も併用してデータの保護を強化する 2. 1. 37

38.

Case study: Step3 - After Metamorfoze (Device SSO, ZTNA, Context-Aware Access and SIEM) 4. SIEMを試験的に導入して、不審なイベントの 検知と可視化を試みる 3. 2. 1. 38

39.

そして、進化は続いていく... (実装例はここまで) And the evolution continues... (Case study end here) 39

40.

今後やっていきたいこと

41.

コーポレートITのセキュリティも、 プロダクトセキュリティも 1つのテーブルの上に乗せて、 「組織のセキュリティ」として 優先順位をつけて取り組んでいく

42.

ご清聴ありがとうございました

43.

ちなみに脅威モデリングナイト #6は 「1/29(水) 18:30〜」です (申込ページとかはもうちょっと待ってね)