今年は僭越ながら講師として招かれ、セキュリティ・キャンプ全国大会2019に参加してきました。

www.ipa.go.jp

トラックBは、鈴木 研吾さんによる「ユーザー企業における情報システムとセキュリティ」です。ビジネスを継続成長させる中で、経営的なお話、ゼロトラスト、サイバーセキュリティフレームワークなどを交え、どのようにユーザー企業内でのセキュリティ体制を構築運用していくか学びます。 #seccamp pic.twitter.com/86p5njvEyR

— セキュリティ・キャンプ (@security_camp) 2019年8月16日

自分はユーザー企業のセキュリティ担当としての立場から、「運用と開発」トラックの一部を担当し、「ユーザー企業における情報システムとセキュリティ」というタイトルで講義させていただきました。 4時間という長丁場でしたが、受講生の皆様にご参加いただいて嬉しかったです。 また、運営の皆様にも色々支援いただきましたので、この場をかりてお礼申し上げます。 ありがとうございました。

講義の内容

「運用と開発」トラックは「[世の中を自分たちの力で変えていきたい] (https://www.ipa.go.jp/jinzai/camp/2019/zenkoku2019_characteristic.html) 」といった強い目的を持った参加者が、 「きちんと運用する 」 ためのスキルを身につけるトラックでした。

そこで、 私は「世の中を変える」を「新しい価値を生み出す」ことと仮定し、価値を持続的に提供し続けるうえで、その障壁となるリスクに対してどのように俯瞰的にアプローチするかをテーマにしました。

昨今、スタートアップと大企業のような異なる規模、あるいは業種、時として金融産業と非金融産業がサービス提携するなど、いわゆるConnected Industriesな時代は既存産業の可能性を拡張すると同時に、 従来では想定しえなかった攻撃の道を舗装してしまいました。 皆さんもご存知の通り浸透しつつあった様々なFintech系サービスやHR系サービスで、そういったリスクの顕在化がここ1.5年で相次いでいます。

残念な事例ではありますが、価値を生み出す際には「Done is Better Than Perfecet」な思想だけではなく、同時にリスク対策も進めねばならないことが明白になったのではないしょうか。

そういった背景をふまえて、私が勤務していた証券会社やFintech企業での勤務経験や同僚から学んだことをベースに、前半では「法令・戦略・戦術・設計」で全体像を把握し、後半では「設計」について深堀りしたのが、私の講義です。  

前半: 法令・戦略・戦術・設計

総合的なリスク対策をするには、まず業界のルールをそもそも知らなければなりません。 法令（Act、Regulation）や標準（スタンダード、ガイドライン）はリスクベースな考え方になりつつあるとはいえ、 リスク受容するにはそれを知った上で受容しなければいけないからです。 本講義では、金融商品取引業者としての証券会社に関わる法令（例: 金商法、個人情報保護法）の紹介をしつつ、「金融商品取引業者等向けの総合的な監督指針」および「FISC安全対策基準」を標準あるいはガイドラインをして、遵守すべきルールを提示しました。

そして「FISC安全対策基準」と同じくリスクベースを前提にしている「Cyber Security Framework」を経営レベルでのアプローチとし、個別具体的な対策としては「ATT&CK」を、それぞれサイバーセキュリティ戦略・戦術として紹介しました。

後半: BeyondCorp

全体戦略と戦術はさておき、とるべき設計（あるいはアーキテクチャ）についてはここ十数年の間に大きくかわりました。

DMZをインターネットと社内NWの間に設置することで生まれた「Trusted Zone」をトラストアンカーとするビジネスIT環境は、以下のような移り変わりをしてきたかと思います。

• 2003年頃: 経理・顧客管理などの業務システムのSaaS化 (Salesforceなどの）
• 2006年頃: 基幹システムのSaaS化（GSuite, AWSなど)
• 2010年頃: iPhoneの業務活用
• 2014年頃: 大手企業とスタートアップの提携開始（第四次スタートアップブーム）
• 2016年頃: リモートワークの広がり

このようにビジネス環境が、自社のTrusted Zoneから従来Untrusted Zoneとされていた領域に比重を移していったことにより、トラストアンカーとしての「Trusted Zone」の再定義を見直さざるをえない時代になっています。

そういった時代背景とともに、社内システムにおいてもセキュリティ設計を見直さなければいけません。 本講義では、新しいビジネス環境における設計の一例として「BeyondCorp」を解説いたしました。 具体的には論文内からBeyondCorpのエッセンスを抽出し、それぞれの要素、現実世界における各種ソリューション、そして現時点での制限（挑戦）を私の知る限り詰め込みました。

このようにして、新しい世の中を作る才能が、同時に発生するリスクへ俯瞰的なアプローチをできる教材を提供しました。

講義資料

公開にあたって特定の情報を削る・マスクするなどしています。 もし気になるポイントがあればDM ( @ken5scal )などに連絡ください。

speakerdeck.com

個人の感想

• 応募者には全員参加してもらいたかった。選抜するときはかなり悩んだ。
• ４時間分の資料を、0から作り上げるのを個人の時間でやるのは死んだ。
• もし次のチャンスがあれば、ハンズオン形式にしたい。
• リハやっていなければ即死だった。

願わくば受講生のみなさんがセキュリティの業務に就いたとき、「そういえばあの環境では @ken5scal があのような発言してたな」と、一瞬思い出していただければいいと思います。