(ISC)download.microsoft.com/download/6/0/9/609EE8E6-DD32-4137...•(ISC)2...

© Copyright 1989 – 2015, (ISC)2 All Rights Reserved

(ISC)2の方向性

小熊慶一郎 / Keiichiro Oguma, CISSP

Director of Business Development, Japan

(ISC)2

2015年12月16日

CISSP meets Microsoft セキュリティプロフェッショナルセミナー

2


(ISC)² について

東京香港

中国

インド

ロンドン

タンパ

DC

アイエスシースクエア

• 1989年、米国で設立されたNPO (非営利団体)

• 情報セキュリティプロフェッショナルの認定・教育活動を展開

• 世界160ヶ国以上で11万名を超えるメンバー（有資格者）

• 日本のメンバーは1500名強

3


(ISC)2の主な認定資格

Certified Information Systems Security Professional

情報セキュリティ専門家資格のグローバルスタンダード。今年の5月に10万人を達成!!

Systems Security Certified Practitioner

日々の業務に必要な情報セキュリティの体系的な理解を認定する資格。ネットワークエンジニア・システムエンジニアなどにおすすめ。

4


新しいCISSPのドメイン

1. セキュリティとリスクマネジメント

7. ソフトウェア開発セキュリティ

6. 通信とネットワークセキュリティ

5. セキュリティエンジニアリング

4. 資産のセキュリティ

3. アイデンティティとアクセスの管理

2. セキュリティの運用

8. セキュリティの評価とテスト

今年の4月からCISSPのドメインが変更になりました。

5


CISSPドメインを変更した理由

1. セキュリティとリスクマネジメント


6. 通信とネットワークセキュリティ

5. セキュリティエンジニアリング

4. 資産のセキュリティ

3. アイデンティティとアクセスの管理

2. セキュリティの運用

8. セキュリティの評価とテスト

1. 情報セキュリティガバナンスとリスクマネジメント

7. 通信とネットワークのセキュリティ

6. 暗号学

5. 運用セキュリティ


3. アクセス制御

2. セキュリティアークテクチャと設計

8. 物理（環境）セキュリティ

9. 事業継続と災害復旧の計画

10.法・規則、コンプライアンス、捜査

技術的な視点から、職務(組織)的な観点からの分類に変わりました

セキュリティ組織を統括するポジションに求められる能力を認定する資格としてCISSPを位置づけ

6


SSCPのドメイン

1. アクセス制御

7. システムとアプリケーションセキュリティ

6. ネットワークと通信のセキュリティ

5. 暗号

4. インシデントレスポンスとリカバリ

3. リスクの特定、モニタリングと分析

2. セキュリティの運用と管理

SSCPのドメインも新しくなっています。

7


セキュリティ人材需要の高まり

• ユーザ企業によるセキュリティ人材のニーズは特に大きく、ユーザ企業で働くセキュリティ人材は増加していく→ユーザ企業でのキャリアパスは?→どうやって最新動向を把握する?

• セキュリティベンダ・ユーザ企業共に、現在のセキュリティ人材には、後進の育成を含め、より高いレベルでの活躍が期待されている→どのように後進を育成する?→自分の目指すべき姿は?

8


(ISC)2ができること

• 会社より、むしろ「マーケットバリュー」を軸にキャリアパスを考え、グローバルで通用する(ISC)2の資格、及び、資格保有者のコミュニティを活用していただきたい。

• (ISC)2資格保有者(スキルレベルの高いプロフェッショナル)のコミュニティに積極的に参加し、最先端の技術・考え方に触れていただきたい。

• (ISC)2が提供するセミナーを育成に活用していただきたい。

(ISC)2は、(ISC)2資格の認知度と信頼を高めるための活動を継続していきます。

9


(ISC)2資格保有者の皆様へのお願い

• (ISC)2資格保有者のコミュニティ活動に、是非主体的に関与してください(提案をお待ちしています)。

• Chapterとして、(ISC)2として、どちらでも構いません。

お気軽に以下にご連絡ください。

[email protected] - 小熊慶一郎 (おぐまけいいちろう)

(ISC)2資格保有者のスキルアップにつながるような活動の提案をお待ちしています!!

10


Mission and Vision

Mission: Support and provide members and constituents

with credentials, resources, and leadership to address

cyber, information, software and infrastructure security

to deliver value to society.

Vision: Inspiring a safe and secure cyber world

Cloud

Security

Lab.

Cloud

Security

Lab.

セキュリティサービスの企画や提案に役立つセキュリティ知識とは

株式会社ディアイティクラウドセキュリティ研究所

河野省二, CISSP <[email protected]>

Cloud

Security

Lab.

情報セキュリティは科学である

•「だれもが同じ手順でやれば同じ結果が出る」から計画

を立てることができる

• セキュリティ知識（脅威など）はどんどん変化する

• すべての社員をセキュリティの専門家にはできない

• だからこそ、手順を作り、その手順を全うできる知識とスキル

が身につくようなトレーニングを行う必要がある

• が、その知識とスキルが高度であってはいけない

2015年12月16日CISSP meets Microsoft セキュリティープロフェッショナルセミナー

2

Cloud

Security

Lab.

誰も「失敗しない」環境構築

•社員の知識とスキルをサポートするのはルールと手順と

システムである

• ルールがあっても手順がない → 実行できない

• 手順があっても難しい → 実行できない

• システムがあっても複雑 → 実行できない

•正しいルールと手順、システムを作るために

• それぞれを理解している人材を社内に１名は作る


3

Cloud

Security

Lab.

（他はダメなのに）CISSPはなぜできるのか


4

CISSP = Certified Information System Security Professional

CISSPはシステムを理解しているセキュリティ専門家

つまり、知識とスキルをシステムとして実装できる人たち

Cloud

Security

Lab.

例えば良いクラウドプロバイダーとは


5

ISO/IEC 27017（クラウドセキュリティガイドライン）

プロバイダ向け対策利用者向け対策

事業者のセキュリティだけをやるベンダー → フツー

利用者のセキュリティを支援するベンダー → 良い

利用者の代わりに実行してくれるベンダー → 大変良い

機能を提供して利用者にセキュリティをさせるのではなく、それをサービスに含んでしまうことが重要

Cloud

Security

Lab.

Security as a Serviceという考え方


6

Information

Analysis

Security

Information

SPAMデータ１つとってみ

ても、小さな組織では基礎

データが少なすぎて作成で

きない。

基準を作るためのデータの

多くは組織の外にあり、そ

れを集めて提供してくれる

サービスが望まれている。

Cloud

Security

Lab.

ユーザーはどのような情報を求めているのか

•であれば、ユーザがほしい情報を提供できるサービスを

作っていくほうが良い

• プライバシーに配慮しつつ（お約束・・・）、

• ユーザが集めることが難しい情報を提供する

•ウイルスが「個別化」されていると思うなら・・・

• クラウド型のアンチウイルスサービスに入っていなければ、対

応してもらうことはできないのではないだろうか


7

Cloud

Security

Lab.

CISSPが注目しているのは・・・

•セキュリティガバナンス

• 組織の内外からの情報を収集し、自らのセキュリティ対策につ

いて「客観的に」把握するための仕組みづくり

• 適切な責任をまっとうするための説明責任の確保

•セキュリティエンジニアリング

• コンピュータはどうして動いているのか・・・

• サービスはどのように作っていけば良いのか


8

Cloud

Security

Lab.

MicrosoftのセキュリティはCISSPが作ってる


9

たとえば「セーフティ」と「セキュリティ」に

ついて明確に分けて提案している。

これは機能としてのセキュリティと、その維持

についてよく理解しているということであり、

継続的なセキュリティ対策の必要性について理

解しているコンテンツであると言える。

多くのセキュリティベンダーは機能だけを提供

しており、継続性についての容易さ（例えば脅

威情報提供など）を提供できていない。

ユーザが楽になれば、セキュリティは強化され

るという考えを持つことが重要

Cloud

Security

Lab.

河野省二 – セキュリティは科学だと伝えたい


10

株式会社ディアイティクラウドセキュリティ研究所所長[email protected]

• 経済産業省

• クラウドセキュリティ研究会

• セキュリティガバナンス研究

会

• セキュリティ監査研究会な

ど

• 情報処理推進機構

• セキュリティセンター研究員

• 日本セキュリティ監査協会

• スキル部会副部会長

• NPO クラウド利用促進機構

• セキュリティアドバイザー

• JTC1/SC27 WG1委員

• 東京電機大学未来科学部非常勤講

師

• (ISC)2 認定主席講師など

CISSP meets Microsoft

セキュリティープロフェッショナルセミナー



自己紹介

• CISSP



製品サービスとの紐づけ

侵入前提の対策予防重視

物理的対策

ネットワーク

ホスト

アプリケー

ション

管理者

データ

入退室管理、ビデオ監視、物理的制御

ルータ、FW、IDS、脆弱性スキャン

アクセス制御、AV、パッチ管理、構成管理

SDL、アクセス制御

アカウント管理、教育、人物調査

脆弱性管理、セキュリティ監視、暗号化 Red teamBlue team

MTTD/MTTR

への投資

最新脅威

の監視

本番環境

へ攻撃

事後

レビュー

改善策の

実装

7

※お客様承認なし：実施中※2015年内開始、順次拡大

運用担当

Jump Box（運用環境）

背景調査指紋採取セキュリティトレーニング済

CustomerLock Box

理由付きで申請 (SR #)

マネージャ

多要素認証でログイン

運用専用アカウント特権なし

承認依頼

承認

お客様管理者

承認依頼

承認

本番環境一時的なアクセス

自動生成アカウント自動生成パスワード最少特権時限付き

お客様管理者

作業依頼 (SR#)



CISSP を持ってて良かった事

• 何をしている人？

• CISSPから見る理想の認証方式とWindows10

• おわりに – CISSPは役に立つのか？

ものすごくカバーする地域が広い。。。

識別子

(ID等)

Something You Know

本人が知っていること、

例えば：パスワード、パスフェーズ等

本人が持っていもの,

例えば：スマートカード、USBトークン等

本人の特徴、

例えば：生体認証

パスワードパスワード使い回し、不便なパスワード管理、シャドーIT, 等など

スマートカード/生体認証利用アプリケーションが限定的になりがち

パスワードパスワード再設定詐欺、止まらないサービス提供側からの資格情報の流失

• CISSP : 前述３つの認証方式からの２つの組み合わせ

• ユーザのパスワード利用からの解放

• サービス提供者側の認証データ保存からの解放

• 既存のシングルサイオンの利用

• シームレスでユーザ操作の向上、等

“メッセージを送信する者が、特定の暗号鍵を所有していることを証明する手段”

RFC 2875

ディフィー・ヘルマン鍵共有プロトコル

RFC 5280

インターネットX.509 PKI証明書&CRLプロファイル

draft-balfanz-tlschannelid-01

Channel IDTLS Channel

Binding

draft-ietfoauth-proof-of-

possession

OAuth JWT Token

FIDO Alliance

ユーザ認証・ユーザエクスペ

リエンス

認証用の秘密鍵認証用の公開鍵

チャレンジデータに署名公開鍵で署名値を検証

ユーザ・デバイスサーバ

デバイス登録ユーザ認証

UAF標準

PasswordLess Experience

U2F標準

Second Factor Experience

こっちの方

ユーザ Azure ADデバイス

ユーザデバイス「生体認証」機能。

顔、虹彩、指紋

本人拒否率 (False Acceptance Rate) - 1/100,000

0.001%

ユーザ Azure ADデバイス

Cloud CA service

Something You Know

本人が知っていること、

例えば：パスワード、パスフェーズ等

本人が持っていもの,

例えば：スマートカード、USBトークン等

本人の特徴、

例えば：生体認証

Microsoft Passport method

Azure ADHybrid Active Directory

On-premises Active Directory only

Key-based Azure AD subscription

Azure AD subscriptionAzure AD ConnectA few Windows Server 2016 Technical Preview domain controllers

One or more Windows Server 2016 Technical Preview domain controllersAD FS of Windows Server 2016 Technical Preview

Certificate-basedAzure AD subscriptionPKI infrastructureIntune

Azure AD subscription

PKI infrastructure

System Center 2012 R2 Configuration Manager with SP2 or later with Intune

AD DS Windows Server 2016 Technical Preview schema

AD FS of Windows Server 2016 Technical Preview

PKI infrastructure

System Center 2012 R2 Configuration Manager with SP2 or later

https://technet.microsoft.com/en-us/library/mt589441(v=vs.85).aspx

就職後にセキュリティの勉強を始める場合に体系的な知識の取得

お客様や同僚の会話の理解

取った後の活用は本人次第

ID 管理の基本と課題

識別認証認可

説明責任

Identify

Protect

DetectRespond

Recover

業務アプリA 業務アプリB

業務アプリC 業務アプリD

クラウドで実現する融合管理

モバイルデバイスの管理MDM

アプリ/コンテンツの保護MAM /MCM

インベントリ収集

セキュリティポリシーの管理

リモートワイプ

Wi-Fi / VPN /証明書/メール設定の配布

Apple Configurator のサポート

セレクティブワイプ

企業所有デバイスのキッティング効率化

使用条件の同意の取得

デバイスへのアプリのプッシュインストール

アプリ単位のコピー & ペーストの制御

アプリ単位の VPN 設定

LOB アプリのラッピング

Office Apps のラッピング

Manage Browser / PDF Viewer の提供

未許可アプリの利用状況取得

メールを利用するデバイスの検疫

ポリシー設定例・AzureAD へのデバイス登録必須・脱獄禁止・条件を満たさない場合 O365/Exchange へのアクセス不可・ビジネスアプリのスクリーンショット禁止

ポリシー適用

・管理されたアプリとのコピペ・スクリーンショット禁止

・セレクティブワイプによって業務データのみ消去

許可された企業アプリ

ネットワークポリシー

アプリの制御ポリシー

Security as a Service

(ISC)download.microsoft.com/download/6/0/9/609EE8E6-DD32-4137...•(ISC)2...

Documents

Transcript of (ISC)download.microsoft.com/download/6/0/9/609EE8E6-DD32-4137...•(ISC)2...