安全にお使いいただくために - Altia...安全にお使いいただくために 重要 本製品をより効率的にお使いいただくため に、取扱説明書の内容についてよくご理解し
(ISC)download.microsoft.com/download/6/0/9/609EE8E6-DD32-4137...•(ISC)2...
Transcript of (ISC)download.microsoft.com/download/6/0/9/609EE8E6-DD32-4137...•(ISC)2...
© Copyright 1989 – 2015, (ISC)2 All Rights Reserved
(ISC)2の方向性
小熊 慶一郎 / Keiichiro Oguma, CISSP
Director of Business Development, Japan
(ISC)2
2015年12月16日
CISSP meets Microsoft セキュリティプロフェッショナルセミナー
2
© Copyright 1989 – 2015, (ISC)2 All Rights Reserved
(ISC)² について
東京香港
中国
インド
ロンドン
タンパ
DC
アイエスシースクエア
• 1989年、米国で設立されたNPO (非営利団体)
• 情報セキュリティプロフェッショナルの認定・教育活動を展開
• 世界160ヶ国以上で11万名を超えるメンバー(有資格者)
• 日本のメンバーは1500名強
3
© Copyright 1989 – 2015, (ISC)2 All Rights Reserved
(ISC)2の主な認定資格
Certified Information Systems Security Professional
情報セキュリティ専門家資格のグローバルスタンダード。今年の5月に10万人を達成!!
Systems Security Certified Practitioner
日々の業務に必要な情報セキュリティの体系的な理解を認定する資格。ネットワークエンジニア・システムエンジニアなどにおすすめ。
4
© Copyright 1989 – 2015, (ISC)2 All Rights Reserved
新しいCISSPのドメイン
1. セキュリティとリスクマネジメント
7. ソフトウェア開発セキュリティ
6. 通信とネットワークセキュリティ
5. セキュリティエンジニアリング
4. 資産のセキュリティ
3. アイデンティティとアクセスの管理
2. セキュリティの運用
8. セキュリティの評価とテスト
今年の4月からCISSPのドメインが変更になりました。
5
© Copyright 1989 – 2015, (ISC)2 All Rights Reserved
CISSPドメインを変更した理由
1. セキュリティとリスクマネジメント
7. ソフトウェア開発セキュリティ
6. 通信とネットワークセキュリティ
5. セキュリティエンジニアリング
4. 資産のセキュリティ
3. アイデンティティとアクセスの管理
2. セキュリティの運用
8. セキュリティの評価とテスト
1. 情報セキュリティガバナンスとリスクマネジメント
7. 通信とネットワークのセキュリティ
6. 暗号学
5. 運用セキュリティ
4. ソフトウェア開発セキュリティ
3. アクセス制御
2. セキュリティアークテクチャと設計
8. 物理(環境)セキュリティ
9. 事業継続と災害復旧の計画
10.法・規則、コンプライアンス、捜査
技術的な視点から、職務(組織)的な観点からの分類に変わりました
セキュリティ組織を統括するポジションに求められる能力を認定する資格としてCISSPを位置づけ
6
© Copyright 1989 – 2015, (ISC)2 All Rights Reserved
SSCPのドメイン
1. アクセス制御
7. システムとアプリケーションセキュリティ
6. ネットワークと通信のセキュリティ
5. 暗号
4. インシデントレスポンスとリカバリ
3. リスクの特定、モニタリングと分析
2. セキュリティの運用と管理
SSCPのドメインも新しくなっています。
7
© Copyright 1989 – 2015, (ISC)2 All Rights Reserved
セキュリティ人材需要の高まり
• ユーザ企業によるセキュリティ人材のニーズは特に大きく、ユーザ企業で働くセキュリティ人材は増加していく→ユーザ企業でのキャリアパスは?→どうやって最新動向を把握する?
• セキュリティベンダ・ユーザ企業共に、現在のセキュリティ人材には、後進の育成を含め、より高いレベルでの活躍が期待されている→どのように後進を育成する?→自分の目指すべき姿は?
8
© Copyright 1989 – 2015, (ISC)2 All Rights Reserved
(ISC)2ができること
• 会社より、むしろ「マーケットバリュー」を軸にキャリアパスを考え、グローバルで通用する(ISC)2の資格、及び、資格保有者のコミュニティを活用していただきたい。
• (ISC)2資格保有者(スキルレベルの高いプロフェッショナル)のコミュニティに積極的に参加し、最先端の技術・考え方に触れていただきたい。
• (ISC)2が提供するセミナーを育成に活用していただきたい。
(ISC)2は、(ISC)2資格の認知度と信頼を高めるための活動を継続していきます。
9
© Copyright 1989 – 2015, (ISC)2 All Rights Reserved
(ISC)2資格保有者の皆様へのお願い
• (ISC)2資格保有者のコミュニティ活動に、是非主体的に関与してください(提案をお待ちしています)。
• Chapterとして、(ISC)2として、どちらでも構いません。
お気軽に以下にご連絡ください。
[email protected] - 小熊 慶一郎 (おぐま けいいちろう)
(ISC)2資格保有者のスキルアップにつながるような活動の提案をお待ちしています!!
10
© Copyright 1989 – 2015, (ISC)2 All Rights Reserved
Mission and Vision
Mission: Support and provide members and constituents
with credentials, resources, and leadership to address
cyber, information, software and infrastructure security
to deliver value to society.
Vision: Inspiring a safe and secure cyber world
© Copyright 1989 – 2014, (ISC)2 All Rights Reserved
Cloud
Security
Lab.
Cloud
Security
Lab.
セキュリティサービスの企画や提案に役立つセキュリティ知識とは
株式会社ディアイティ クラウドセキュリティ研究所
河野 省二, CISSP <[email protected]>
Cloud
Security
Lab.
情報セキュリティは科学である
•「だれもが同じ手順でやれば同じ結果が出る」から計画
を立てることができる
• セキュリティ知識(脅威など)はどんどん変化する
• すべての社員をセキュリティの専門家にはできない
• だからこそ、手順を作り、その手順を全うできる知識とスキル
が身につくようなトレーニングを行う必要がある
• が、その知識とスキルが高度であってはいけない
2015年12月16日CISSP meets Microsoft セキュリティープロフェッショナルセミナー
2
Cloud
Security
Lab.
誰も「失敗しない」環境構築
•社員の知識とスキルをサポートするのはルールと手順と
システムである
• ルールがあっても手順がない → 実行できない
• 手順があっても難しい → 実行できない
• システムがあっても複雑 → 実行できない
•正しいルールと手順、システムを作るために
• それぞれを理解している人材を社内に1名は作る
2015年12月16日CISSP meets Microsoft セキュリティープロフェッショナルセミナー
3
Cloud
Security
Lab.
(他はダメなのに)CISSPはなぜできるのか
2015年12月16日CISSP meets Microsoft セキュリティープロフェッショナルセミナー
4
CISSP = Certified Information System Security Professional
CISSPはシステムを理解しているセキュリティ専門家
つまり、知識とスキルをシステムとして実装できる人たち
Cloud
Security
Lab.
例えば良いクラウドプロバイダーとは
2015年12月16日CISSP meets Microsoft セキュリティープロフェッショナルセミナー
5
ISO/IEC 27017(クラウドセキュリティガイドライン)
プロバイダ向け対策 利用者向け対策
事業者のセキュリティだけをやるベンダー → フツー
利用者のセキュリティを支援するベンダー → 良い
利用者の代わりに実行してくれるベンダー → 大変良い
機能を提供して利用者にセキュリティをさせるのではなく、それをサービスに含んでしまうことが重要
Cloud
Security
Lab.
Security as a Serviceという考え方
2015年12月16日CISSP meets Microsoft セキュリティープロフェッショナルセミナー
6
Information
Analysis
Security
Information
SPAMデータ1つとってみ
ても、小さな組織では基礎
データが少なすぎて作成で
きない。
基準を作るためのデータの
多くは組織の外にあり、そ
れを集めて提供してくれる
サービスが望まれている。
Cloud
Security
Lab.
ユーザーはどのような情報を求めているのか
•であれば、ユーザがほしい情報を提供できるサービスを
作っていくほうが良い
• プライバシーに配慮しつつ(お約束・・・)、
• ユーザが集めることが難しい情報を提供する
•ウイルスが「個別化」されていると思うなら・・・
• クラウド型のアンチウイルスサービスに入っていなければ、対
応してもらうことはできないのではないだろうか
2015年12月16日CISSP meets Microsoft セキュリティープロフェッショナルセミナー
7
Cloud
Security
Lab.
CISSPが注目しているのは・・・
•セキュリティガバナンス
• 組織の内外からの情報を収集し、自らのセキュリティ対策につ
いて「客観的に」把握するための仕組みづくり
• 適切な責任をまっとうするための説明責任の確保
•セキュリティエンジニアリング
• コンピュータはどうして動いているのか・・・
• サービスはどのように作っていけば良いのか
2015年12月16日CISSP meets Microsoft セキュリティープロフェッショナルセミナー
8
Cloud
Security
Lab.
MicrosoftのセキュリティはCISSPが作ってる
2015年12月16日CISSP meets Microsoft セキュリティープロフェッショナルセミナー
9
たとえば「セーフティ」と「セキュリティ」に
ついて明確に分けて提案している。
これは機能としてのセキュリティと、その維持
についてよく理解しているということであり、
継続的なセキュリティ対策の必要性について理
解しているコンテンツであると言える。
多くのセキュリティベンダーは機能だけを提供
しており、継続性についての容易さ(例えば脅
威情報提供など)を提供できていない。
ユーザが楽になれば、セキュリティは強化され
るという考えを持つことが重要
Cloud
Security
Lab.
河野 省二 – セキュリティは科学だと伝えたい
2015年12月16日CISSP meets Microsoft セキュリティープロフェッショナルセミナー
10
株式会社ディアイティクラウドセキュリティ研究所 所長[email protected]
• 経済産業省
• クラウドセキュリティ研究会
• セキュリティガバナンス研究
会
• セキュリティ監査研究会 な
ど
• 情報処理推進機構
• セキュリティセンター研究員
• 日本セキュリティ監査協会
• スキル部会副部会長
• NPO クラウド利用促進機構
• セキュリティアドバイザー
• JTC1/SC27 WG1委員
• 東京電機大学未来科学部 非常勤講
師
• (ISC)2 認定主席講師 など
CISSP meets Microsoft
セキュリティープロフェッショナルセミナー
CISSP meets Microsoft
セキュリティープロフェッショナルセミナー
自己紹介
• CISSP
CISSP meets Microsoft
セキュリティープロフェッショナルセミナー
製品サービスとの紐づけ
侵入前提の対策予防重視
物理的対策
ネットワーク
ホスト
アプリケー
ション
管理者
データ
入退室管理、ビデオ監視、物理的制御
ルータ、FW、IDS、脆弱性スキャン
アクセス制御、AV、パッチ管理、構成管理
SDL、アクセス制御
アカウント管理、教育、人物調査
脆弱性管理、セキュリティ監視、暗号化 Red teamBlue team
MTTD/MTTR
への投資
最新脅威
の監視
本番環境
へ攻撃
事後
レビュー
改善策の
実装
7
※お客様承認なし:実施中※2015年内開始、順次拡大
運用担当
Jump Box(運用環境)
背景調査 指紋採取 セキュリティトレーニング済
CustomerLock Box
理由付きで申請 (SR #)
マネージャ
多要素認証でログイン
運用専用アカウント 特権なし
承認依頼
承認
お客様管理者
承認依頼
承認
本番環境一時的なアクセス
自動生成アカウント 自動生成パスワード 最少特権 時限付き
お客様管理者
作業依頼 (SR#)
CISSP meets Microsoft
セキュリティープロフェッショナルセミナー
CISSP を持ってて良かった事
© 2015 Microsoft Corporation. All rights reserved.
CISSP meets Microsoft
セキュリティープロフェッショナルセミナー
• 何をしている人?
• CISSPから見る理想の認証方式とWindows10
• おわりに – CISSPは役に立つのか?
ものすごくカバーする地域が広い。。。
識別子
(ID等)
Something You Know
本人が知っていること、
例えば:パスワード、パスフェーズ等
本人が持っていもの,
例えば:スマートカード、USBトークン等
本人の特徴、
例えば:生体認証
パスワード パスワード使い回し、不便なパスワード管理、シャドーIT, 等など
スマートカード/生体認証 利用アプリケーションが限定的になりがち
パスワード パスワード再設定詐欺、止まらないサービス提供側からの資格情報の流失
• CISSP : 前述3つの認証方式からの2つの組み合わせ
• ユーザのパスワード利用からの解放
• サービス提供者側の認証データ保存からの解放
• 既存のシングルサイオンの利用
• シームレスでユーザ操作の向上、等
“メッセージを送信する者が、特定の暗号鍵を所有していることを証明する手段”
RFC 2875
ディフィー・ヘルマン鍵共有プロトコル
RFC 5280
インターネットX.509 PKI証明書&CRLプロファイル
draft-balfanz-tlschannelid-01
Channel IDTLS Channel
Binding
draft-ietfoauth-proof-of-
possession
OAuth JWT Token
FIDO Alliance
ユーザ認証・ユーザエクスペ
リエンス
認証用の秘密鍵 認証用の公開鍵
チャレンジデータに署名 公開鍵で署名値を検証
ユーザ・デバイス サーバ
デバイス登録ユーザ認証
UAF標準
PasswordLess Experience
U2F標準
Second Factor Experience
こっちの方
ユーザ Azure ADデバイス
ユーザ Azure ADデバイス
ユーザ デバイス 「生体認証」機能。
顔、虹彩、指紋
本人拒否率 (False Acceptance Rate) - 1/100,000
0.001%
ユーザ Azure ADデバイス
Cloud CA service
Something You Know
本人が知っていること、
例えば:パスワード、パスフェーズ等
本人が持っていもの,
例えば:スマートカード、USBトークン等
本人の特徴、
例えば:生体認証
Microsoft Passport method
Azure ADHybrid Active Directory
On-premises Active Directory only
Key-based Azure AD subscription
Azure AD subscriptionAzure AD ConnectA few Windows Server 2016 Technical Preview domain controllers
One or more Windows Server 2016 Technical Preview domain controllersAD FS of Windows Server 2016 Technical Preview
Certificate-basedAzure AD subscriptionPKI infrastructureIntune
Azure AD subscription
PKI infrastructure
System Center 2012 R2 Configuration Manager with SP2 or later with Intune
AD DS Windows Server 2016 Technical Preview schema
AD FS of Windows Server 2016 Technical Preview
PKI infrastructure
System Center 2012 R2 Configuration Manager with SP2 or later
https://technet.microsoft.com/en-us/library/mt589441(v=vs.85).aspx
就職後にセキュリティの勉強を始める場合に体系的な知識の取得
お客様や同僚の会話の理解
取った後の活用は本人次第
© 2015 Microsoft Corporation. All rights reserved.
CISSP meets Microsoft
セキュリティープロフェッショナルセミナー
ID 管理の基本と課題
識別 認証 認可
説明責任
Identify
Protect
DetectRespond
Recover
業務アプリA 業務アプリB
業務アプリC 業務アプリD
クラウドで実現する融合管理
モバイルデバイスの管理MDM
アプリ/コンテンツの保護MAM /MCM
インベントリ収集
セキュリティポリシーの管理
リモートワイプ
Wi-Fi / VPN /証明書/メール設定の配布
Apple Configurator のサポート
セレクティブワイプ
企業所有デバイスのキッティング効率化
使用条件の同意の取得
デバイスへのアプリのプッシュインストール
アプリ単位のコピー & ペーストの制御
アプリ単位の VPN 設定
LOB アプリのラッピング
Office Apps のラッピング
Manage Browser / PDF Viewer の提供
未許可アプリの利用状況取得
メールを利用するデバイスの検疫
ポリシー設定例・AzureAD へのデバイス登録必須・脱獄禁止・条件を満たさない場合 O365/Exchange へのアクセス不可・ビジネスアプリのスクリーンショット禁止
ポリシー適用
・管理されたアプリとのコピペ・スクリーンショット禁止
・セレクティブ ワイプによって業務データのみ消去
許可された企業アプリ
ネットワーク ポリシー
アプリの制御ポリシー
Security as a Service
© 2015 Microsoft Corporation. All rights reserved.