読者です 読者をやめる 読者になる 読者になる

Got Some \W+ech?

Could be Japanese. Could be English. Android, セキュリティ, 機械学習などをメインに、たまにポエムったり雑感記載したりします。

もしも社長がセキュリティ対策を聞いてきたら

読書 まとめ セキュリティ メモ

上記のメモといっても、自分が流し読みした本に対するいいまとめがあったのでそれを元に構成変更・追記を実施。

・セキュリティは「監視的コスト」

上流の話

セキュリティ対策の優先度付け -> FMEA

リスク優先度算出時の構成要素:

  • 発生頻度、影響度、防御困難度
  • それぞれに対して4段階で点数化し、
  • 優先度の高い内容から対策を施していく。
  • 場合によっては、影響度のポイントを上げる。

セキュリティ対策の種別 -> Get Secure And Stay Secure

  • Get Secure:セキュアにする
  • システム化、教育といった対策
  • Stay Secure:セキュアに保つ
  • 検知、可視化、改善

セキュリティ対策による部分最適にならないためには

  • 運用管理しやすい仕組み
  • 他の階層と連携(認証基盤・アクセス制限・ファイアウォールなどの連携)
  • 認証基盤の統合
  • CISOの設置

セキュリティ対策のコスパ

アプローチ

  • 守備範囲の限定
  • 標準機能の活用
  • アリモノを更新
  • 多層防御

ソリューション選定 -> コンジョイント分析

  • 対策から各アプローチから選定されたソリューションの特徴を抽出し、比較検討する

特長例

  • ウイルス対策: 検出率、IT基盤統合、管理工数、ライセンス費用
  • 出口対策: 提供形態、レポート、リセンス費用、認証ユーザー

多層防御

セキュリティ対策の効果測定 -> PDCA

中長期: 計画達成のPDCA

  • Plan
  • Do
  • Check
  • Action

短期: 問題解決のPDCA

  • Problem-Finding:問題発見
  • Display:可視化
  • Clear:問題解決
  • Acknowledge:確認

セキュリティ対策の必要性や脅威の動向を経営者に説明する -> PEST分析

  • Political:政治的環境要因
  • Economic:経済的環境要因
  • Social:社会的環境要因
  • Technology:技術的環境要因

セキュリティ対策の4段階 -> NIST SP800-61

  • 準備 → 検知・分析 → 根絶・復旧・封じ込め → 事件発生後の対応
  • 検知・分析部分の強化が早期発見への近道。

セキュリティルール作りの際の考え方

  • ポリシー:情報セキュリティに関する基本方針
  • スタンダード:実施する対策
  • プロシージャ:利用する製品や管理手順

ルール実施までの流れ

  • ルール作成・みなおしの体制創り -> CFT(Cross Functional Team)
  • ルール切り分け -> 技術的な強制ルール vs 強制しないルール
  • ルールに応じた仕組みの実装 -> ペナルティや損害イメージ

ルール切り分けの方針 -> MMOから考える

  • Measure/Motivation/Opportunity(MMO)から考える
  • MotivationとOpportunityを下げることで発生頻度を下げるのがよい。

ルールの効果測定方法 -> DAGMARモデル

  • 5段階の達成度合いを計測:
  • 未知: まだ知られていない状態
  • 認知: 存在を認知
  • 理解: ルールの内容・背景を理解
  • 確信: 良いモノ(重要性)だと確信
  • 行動: 順守

企業文化・人材も視野に入れた包括的なセキュリティ対策: -> マッキンゼーの7S

  • Shared Value(価値観):ソフト <- 他のSにも影響
  • Strategy(戦略):ハード
  • Structure(組織):ハード
  • System(システム):ハード
  • Skill(スキル):ソフト
  • Staff(人材):ソフト
  • Style(スタイル・社風):ソフト

要素技術

認証基盤構築のポイント

  • IDはユニークに
  • パスワード管理ポリシーの矯正
  • 管理者IDは強く(ICカードなどの利用)
  • 認証基盤は統合

エンドポイントの一般的対策

  • ウイルス対策ソフトの導入と定義ファイルの常時最新化
  • パッチ(セキュリティ更新プログラム)の適用と更新
  • 不正プログラムの起動防止(起動可能なソフトをホワイトリスト方式で管理)
  • 不正通信の禁止
  • 盗難・紛失による情報漏えいを防止(FDE/リモートワイプ)

安全・柔軟なIT基盤 -> 3A(AnyTime, AnyWhere, AnyDevice)

  • AnyTime: 社内のどこでも -> 無線LAN, デジタル証明書(or パスワードとMACアドレス制限)
  • AnyWhere: リモートワーク(部分アクセス(クラウド) or 完全アクセス(VPN))
  • AnyDevice: BYOD(検疫ネットワーク)

セキュリティ対策を支援する機能

  • OS標準イメージ
  • インベントリ収集
  • アプリやセキュリティ更新プログラムの配布(サイレントインストールとスケジュール)
  • バックアップ
  • 特定の実行ファイル・起動時間の把握(利用頻度のか把握や感染端末の特定など)
  • ヘルプデスク支援
  • 安全な構成
  • 管理者権限のコントロール

  • 操作ログを取得する
  • 操作ログを分析する
  • 管理者権限は申請時しか利用させない
  • セキュアな領域での作業は必ず2人1組