Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
クラウドは
セキュリティ的に
危ないのか
cloudpackが実践するセキュリティ対策から学ぶ
2015年9月17日
自己紹介
齊藤 愼仁
アイレット株式会社
cloudpack事業部
2013年8月入社
【ブログ】
ロードバランスすだちくん
http://blog.animereview.jp/
その前はHPCやってました
(ハイ・パフォーマンス・コンピューティング)
GPUいっぱいのせて
クラスタ
組んだり
するわけです
その前は2年くらい
ニートしてました
(24/365勤務)
(ずっとゲームしてた)
更にその前は
ドスパラの
法人部隊にいました
2009年に
GMOさんの
サーバー作った時の
記事
(ITmediaさん)
ある日シンジは
目覚めるのです
時代はクラウドじゃね?
そしてアイレットに
飛び込む
まず担当したのは
プロジェクトマネージャー
そして自社Web更新
からの客先常駐
もはや何でも屋
現在の肩書き
情報セキュリティ管理責任者
個人情報管理責任者
PCI DSS管理責任者
経歴とセキュリティの
シンクロ率が絶望的
きっかけは
新たな監査対応と
前任の退職
CTO鈴木
「シンジ君セキュリティやってー」
いいっすよー
1から現場で叩かれて
今に至ります
そして悟った
技術力(ITリテラシー)と
セキュリティリテラシーは
全くもって比例しない
セキュリティについて学ぶ
そもそもですね
セキュリティって
何のことですか?
例えばおうちのセキュリティ
かけてるとか
夜でも電気付けるとか
まぁいろいろありますよね
こーゆー場でいう
セキュリティというのは
だいたいが
情報セキュリティのこと
じゃあ
情報セキュリティって
なんのことですか
おもむろにググる
情報セキュリティは、
JIS Q 27002(すなわちISO/
IEC 27002)によって、
情報の機密性、完全性、
可用性を維持することと
定義されている。
(Wikipedia)
なんのことだか
よくわかりませんが
要するに
企業におけるセキュリティは
一定の基準が
必要ということです
自社で基準をつくるもよし
でも何から手を付けたら
よいのやら
そこで
外部の監査基準
いろんな基準があって
それぞれ役割が違います
プライバシーマーク
ご存じですよね?
ホームページに
こんなロゴ貼ってたりします
そもそも
プライバシーマークとは
なんなのか
個人情報について
適切な保護措置を講ずる
体制を整備している
事業者等を認定する制度
個人情報の取り扱いに
フォーカスしている制度
そして重要なのは
この制度は
「国内基準」
だということ
と
プライバシーに
特化しているということ
某社「ウチは
プライバシーマーク
取ってますので
セキュリティは
安心して下さい」
おー
安心だー
持ってない業者よりはね!
余談ですが
シンジが業者選定するときに
プライバシーマークを
見つけたら
必ずやることがあります
そのマークは本物か
JIPDECの公式WEBで
確認出来ます
実際にそこそこいます
偽装してる会社さん
それほどまでに
プライバシーマークの
有効性はあるのか
あります
取引先から
「プライバシーマーク、
取得されてますよね?」
結構ある
シチュエーションです
プライバシーマークの
認知度は高く、
個人情報を取り扱ううえで
評価される
一定の基準となるわけです
これでセキュリティも万全
違いますよね
あくまで個人情報に
フォーカスしたわけです
じゃあ他にどんな基準が?
ISMS
ISO 27001:2014
ISMSとは
情報資産を守りながら、
リスク軽減を行いましょう
という適合性評価制度
プライバシーマークよりも
情報資産全般に関する
取り扱いになりましたね
そして重要なのは
国際基準
情報セキュリティとは何だ?
冒頭で軽く触れましたね
機密性
アクセスを認可された者だけが
情報に確実に
アクセスできること
完全性
情報資産が完全な
状態で保存され、
内容が正確であること
可用性
情報資産が必要になったとき、
利用できる状態にあること
特に監査で重要視されるのは
ISMSを
確立
導入
運用
監視
見直し
維持し
有効に機能させなさい
PDCAサイクル
ISMSがあるかないかで
社内はかなり変わります
組織だった運用が必要
例えば
IS委員会(トップ集めて月例)
IS運用委員会(現場が2週に1回)
課題の管理
是正処置
報告
計画
PDCAを回す
運用が大事
ISMS取ってる会社だ!
これで安心だね!
ほんとに?
まだだ
まだ足りぬ
2015年09月15日
顧客情報の漏洩事件発生
流出の可能性がある情報
・お客様のお名前(漢字およびフリガナ)、
郵便番号、ご住所、電話番号
・メールアドレス
・パスワード
・クレジットカード情報(カード会員名、
ご住所、カード番号、有効期限)
・連名の方のお名前(漢字およびフリガナ)
・お...
ほぼ全部?
お客様情報流出の
可能性のある件数
当該サイト会員21,994件
(内クレジットカード情報あり
13,713件)
商品お届け先様を含む総件数
131,096件
ダダ漏れですわ
でもなんかぶっちゃけ
日常茶飯事な気がしません?
たぶんこう思ってるんだと
思うんです
たぶんウチは大丈夫
(根拠は無いけど)
その根拠を作る
良い基準があります
PCI DSS
Payment Card Industry
Data Security Standard
PCI DSS基準は
割と頻繁に更新されていて、
今はVersion 3.1です
PCI DSSとは何ぞや
クレジットカード情報や
取引情報を安全に守るために、
JCB、アメリカンエキスプレス、
Discover、マスターカード、
VISAの国際ペイメントブランド
5社が共同で策定した、
クレジット業界における
グローバルセキュリティ基準
そう、これも
国際規格
監査を受けるとよく分かる
ISMSとの違い
要求内容が
超具体的
例えば
実装するWebアプリに
脆弱性が無いか徹底的に
叩かれる
実装するインフラに
脆弱性が無いか
全設定項目を見られる
ミドルウェアなどに
パッチがリリースされたら、
1ヶ月以内に適用している事を
証明しなさい
カード会員データを扱う
システムは、
ほかのシステムと
完全に分離しなさい
などなど
大項目で
12の要件
全項目で
400項目以上の
監査事項
ISMSの場合は、
「こんな感じにしてください」
PCI DSSの場合は
「こうしなさい」
セキュティとは
こうあるべきだと
はっきりと明示している
PCI DSSは有効なのか?
有効です
はっきり言って、ユーザーが
「あ、PCI DSS持ってる、
安心∼」
なんて言わないでしょう
やはり事業間取引
PCI DSSを持ってない
ところとは
手を組めませんね
(なんていうことも
あるでしょう)
ユーザーに直接的には
関係無いかもしれませんが
PCI DSS取得会社で
情報漏洩した場合
管理責任のあるカード会社に
求められる損害の補償の
義務が免責されます
基本的にPCI DSS取得時には
監査組織
及び
コンサル会社
の2社が絡みますので
事件発生から調査・段取り
(監査会社やコンサルへの
通報から初動まで)が早い
非常に強力な
セキュリティ基準
クレジットカードを
扱わない企業も
PCI DSSを取得するように
なってきています
その一方で課題も
1年更新なのですが
まーた400項目以上
総なめします
(バージョン上がると
増えることが多いです)
更に
1年間規定通りに
運用されているかまで
監査されます
要するに
継続が超大変
ベライゾンジャパン合同会社
の
2015年の調査報告書によると
PCI DSSを継続的に
準拠出来ている企業の割合は
たったの2割
PCI DSSは、2年以上
継続しているかどうかで
大きく見方が変わります
(シンジの見方)
PCI DSSが安定的に
運用出来ている会社は
安心だね!
いや、実は罠があります
PCI DSSは、
既存のシステムとは
分離したところで
システムを運用しなさいと
言っています
要するに
既存のシステムは監査対象外
監査範囲を
かなり限定的にできる
PCI DSS取ったし!
ウチの会社のセキュリティは
守られているね!
とは言えない
じゃあどうしたらいいんすか
セキュリティには基準が必要
その基準を
どの範囲で適用するかも重要
cloudpackの場合
AWSを運用構築している
それをお客様に提供している
要するにここが範囲
じゃあAWS自身は?
なんかいっぱいあった
• PCI DSS レベル 1
• SOC 1/ ISAE 3402
• SOC 2
• SOC 3
• FIPS 140-2
• CSA
• FedRAMP (SM)
• DIACAP および FISMA
• ISO 27001
• MPAA...
なるほどわからん
AWSが取ってるなら
cloudpackも取ってないと
お客様に安心をお届けできない
クラウドには
こういう考え方があります
共有責任モデル
安全なインフラは
提供するけど、
そのうえで動かす物は
知らんよー
ちょっと
突き放されている感も
ありますが、
そうではなくて
オンプレだったら
全部見なきゃ
いけなかったでしょ?
AWSにすればインフラ面は
任せてくれーい
ということなんですね
更に
OSの設定が甘いよー
セキュリティの設定が甘いよー
攻撃受けてるよー
(直してくれないとアカウン
トロックしちゃうぞ☆)
なんて教えてくれますけど
ロックされたら
システム止まるやん。。。
AWSが最高の
セキュリティ体制を
組んでくれていたとしても、
使う側がポンコツだと
全部ポンコツになるっていうー
じゃあAWSが取得している
厳しい監査基準のなかで、
使う側がこれやっておけば
最高みたいなの
なんかないんですかね
調べた
資料があった
特定非営利活動法人
日本セキュリティ監査協会
JASA
SOC 2
と
SOC 3
って一番上に書いてある
(ISMSが物足りないとか
書かれてますが)
よし、これ取ろう
SOC 2ってなに
米国公認会計士協会
(AICPA)が定めた
サービス組織(Service
Organization Control)の
統制に関わる
評価業務の仕組み
?
SOC 3の方が偉い?
(数字的に)
直接、監査法人に聞いてみた
まず
SOC 1
SOC 2

SOC 3
があります
SOC1
財務評価
SOC 2
セキュリティ
可用性
処理のインテグリティ
機密保持
プライバシー
これのどれか1つ以上
SOC 3
SOC 2の内容を簡素にして
公開文章にしたもの
なるほど
役割が違うのか
今回はセキュリティに
フォーカスしたいので
SOC 2ですね!
いや実はもう1点ありまして
Type 1
と
Type 2
Type 1
ある1日を切り出して監査する
Type 2
3ヶ月以上の期間を切り出して
監査する
なるほど
目指すはSOC 2 Type 2
ということですね!
監査法人
「はい、ですが
まずはType 1から
取得されるのが
良いと思います」
よーし
じゃあ
SOC 2 Type 1だ!
そして
2年もの歳月がかかり
なんやかんややって
2015年8月31日
アイレット株式会社
cloudpack事業部
SOC2 Type1 受領
(セキュリティと可用性)
やって分かった
SOC 2 はこれまでの監査とは
まるで違う監査方法
SOC 2 Type1報告書には、
外部の監査法人から見た
ありのままの
全てが記述されます
丸裸です
提出した資料の数
数百ページ
システムの稼働状況を
何度も何度も
デモンストレーション
何が辛いって
ほんと全部、
事細かく突っ込まれるので
それが報告書に書かれて
お客様の目に触れると思うと
んー
ダメだ
1から全部作り直しだ
というわけで
業務で使う
WindowsやMacなどの
端末管理から始めた
1台1台調べて
管理台帳に記載して
確認して承認して
レビューして
無理
端末監視ソフトを入れよう
ライセンスも管理する
これは便利だ
でもサーバーが必要だ
よし
AWSで作ろう
こゆこと?
社内データが
インターネットを
経由するってこと?
ダメだ
そんなレポートじゃダメだ
大阪にも拠点があるし
これから増えるかもしれない
(これが可用性)
社内資産を閉域にする(閉ざす)
ことにこだわった
インターネットから隔離する
インターネットを使う会社
なので
全ての回線を専用線の
冗長構成にしました
(事業継続性・可用性)
物理はどうか
(ファシリティ)
• カードキーによる入退室管理
• 監視カメラ設置
• ビルそのものの

耐震などのスペック確認
特に徹底した点は
電源設備
(事業継続性)
突然の停電はもちろんですが
オフィスビルには
年1回の法定点検
というのがあり
必ず停電時間が
発生します
cloudpackは
24時間365日の運用を
行います
停電などゆるさん
なので
3ライン
ひいた
虎ノ門ヒルズオフィスでは、
• 低層階用電力供給
• 高層階用電力供給
• 非常用発電機電力供給
この3ライン引いています
更に
UPSも数台設置しているので
万が一、2ライン死んで
発電機が動き始めるまでの
40秒間も耐えられます
これもセキュリティ
新しくチームも立ち上げました
CSIRT
CSIRTってご存じですか?
コンピュータセキュリティ
インシデント対応チーム
(Computer Security
Incident Response Team)
定常的に脆弱性情報の収集を
行い、実際にソフトウェア脆
弱性が発見された場合には、
速やかにその影響の有無およ
び緊急度について判断し、ユー
ザー様のシステムを防護する
ために適切な対応を行います
ミドルウェアの脆弱性って
結構あるじゃないですか
それ突かれてお客様の
システムが被害受けたら
cloudpackも悲しい
ついでに
社内インフラも防御出来る
一石二鳥
そして
AWSを含む
クラウドサービスに
接続する際に必要な物
インターネット
アカウント名
パスワード
インターネットは仕方無い
でも暗号化されているか
PCI DSS 3.1基準に従えば、
SSL3.0はNG
TLS1.2限定
暗号化通信は
社内インフラも
全てそれに準拠する
そしてアカウント名と
パスワード
みなさん
クラウドサービス
使われていますか?
必ずと言っていいほど
アカウント名とパスワードが
必要ですよね
そのアカウント名と
パスワードが
某巨大掲示板とかに
書かれたら
アウトー
そこで多要素認証ですよね
2段階認証を有効にすれば
アカウント名や
パスワードが漏れていた
としても、2段階目の認証を
通さなければ
ログイン出来ない
そこでシンジは考えた
多要素認証しつつ
アカウント名と
パスワードが
無くなればいいんじゃないの
実装した
平たく言えば
シングルサインオンです
まずパソコンの
電源を入れます
OS起動します
ユーザー名と
パスワード聞かれます
シングルサインオンは、
ここで聞かれたユーザー名と
パスワードを使って、
クラウドサービスにログイン
しようとします
(細かく言うとちょっと
違いますがイメージです)
で、OSログインしますよね
とあるクラウドサービスに
ログインしようとします
そうするとスマホに
通知が来ます
(多要素認証)
ようやくログイン
できるわけです
全てのアカウント名
パスワードは
統合認証サーバーで
管理されています
(Active Directory)
退社、休職、
インシデント発生時でも
統合認証サーバーの
アカウントを
ロックするだけで、
AWSはもちろん
全てのサービスへの
アクセスを食い止めます
PCI DSS基準で求められる
ログ監視・管理・レビュー
PCI DSS監査範囲だけだった
これらの作業を全体にして、
全てのネットワーク機器や
サーバーのログを
ログサーバーに収集して
定常的に分析・アラート
やたらとログインを
試みようとする端末を
特定したりします
これらは
全てのネットワークが
閉域網にあるからこそ
できる実装なのですが
社外から社内リソース見たい
ときはどうすりゃいいの?
営業が外出先で見積書を作る
かもしれない
構築運用が出先でお客様環境
にログインするかもしれない
そこでVPN
OpenVPN含む、
会社が認めていない接続は
全て拒否
会社が導入しているVPNは、
「証明書認証方式」
を採用
なのでここにもアカウント名
とパスワードがありません
証明書のインストールは、
一定のワークフローをへて、
限られたメンバーのみが
直接インストールすることで
接続可能となります
そして重要なのは
一度インストールした証明書は、
再利用出来ないように
してあること
証明書をエクスポートして、
自宅のパソコンに
インストールしても、
認証が通らない
仕組みにしてあります
もちろん、
VPNサーバー側のログも
ログ収集サーバーに
送られていますから、
監視配下です
そして、人
年1回のセキュリティ教育
PCI DSS教育
入社時のセキュリティ教育
アプリケーション脆弱性教育
AWS公式トレーニング
などなどなど
それ以外にもあります
お客様への
サービス品質を保つ
(これもセキュリティ)
どんな作業が発生した場合に
誰が、いつ、何を、誰の承認を
得た後に、どうするか、結果ど
うなったか、問題があった場合
にどう切り戻すか
規定を起こし直して
徹底的に記録するようになった
そして
これらを取りまとめた文章を
公開するように言われる
セキュリティホワイトペーパー
を書いて
思ったことがあります
SOC 2のレポートも
お客様が読まれる読み物です
シンジにとっての
セキュリティとは
透明性
透明性こそが
サービス提供事業者に
求められる
最高のセキュリティだと
考えます
ウチはこんな
すごいWAF使ってますから∼
とか
IPS/IDSだけじゃなく、
パケット監視もしてますから∼
とか
アプリケーションはきちんと
脆弱性試験合格してますので∼
だけじゃなくて
必要なのは
それを運営している会社の
透明性
何をしている会社で
何ができていて
何ができていないのか
これから
どうしようとしているのか
全てSOC 2に書かれます
ついでに監査人の
コメントまで入ります
ちなみに
市場はクラウドへ不安がある
その1位がセキュリティ
なぜか
なんだかよく分からないから
クラウドに限らず
利用するサービスは
そのリスクを評価して共有し
その上で利用することが大事
その評価を行うときに
外部監査の有効性が問われる
一定の基準を用いて評価され
それを公開していること
セキュリティは
多岐にわたります
自分で言うのもあれですが
SOC 2レポート取得できる
企業はそうそうないです
ISMSやPCI DSSなどを
うまく活用して
事業の透明性を高めること
それがクラウドを
売る側も使う側も
安心安全な
セキュリティに繋がると
信じています
完
クラウドはセキュリティ的に危ないのか
クラウドはセキュリティ的に危ないのか
クラウドはセキュリティ的に危ないのか
クラウドはセキュリティ的に危ないのか
クラウドはセキュリティ的に危ないのか
クラウドはセキュリティ的に危ないのか
クラウドはセキュリティ的に危ないのか
クラウドはセキュリティ的に危ないのか
クラウドはセキュリティ的に危ないのか
クラウドはセキュリティ的に危ないのか
クラウドはセキュリティ的に危ないのか
Upcoming SlideShare
Loading in …5
×

クラウドはセキュリティ的に危ないのか

14,077 views

Published on

そもそもセキュリティとはなんなのか

Published in: Business
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

クラウドはセキュリティ的に危ないのか

  1. 1. クラウドは セキュリティ的に 危ないのか cloudpackが実践するセキュリティ対策から学ぶ 2015年9月17日
  2. 2. 自己紹介
  3. 3. 齊藤 愼仁 アイレット株式会社 cloudpack事業部 2013年8月入社 【ブログ】 ロードバランスすだちくん http://blog.animereview.jp/
  4. 4. その前はHPCやってました (ハイ・パフォーマンス・コンピューティング)
  5. 5. GPUいっぱいのせて
  6. 6. クラスタ 組んだり するわけです
  7. 7. その前は2年くらい ニートしてました (24/365勤務) (ずっとゲームしてた)
  8. 8. 更にその前は ドスパラの 法人部隊にいました
  9. 9. 2009年に GMOさんの サーバー作った時の 記事 (ITmediaさん)
  10. 10. ある日シンジは 目覚めるのです
  11. 11. 時代はクラウドじゃね?
  12. 12. そしてアイレットに 飛び込む
  13. 13. まず担当したのは プロジェクトマネージャー
  14. 14. そして自社Web更新
  15. 15. からの客先常駐
  16. 16. もはや何でも屋
  17. 17. 現在の肩書き
  18. 18. 情報セキュリティ管理責任者
  19. 19. 個人情報管理責任者
  20. 20. PCI DSS管理責任者
  21. 21. 経歴とセキュリティの シンクロ率が絶望的
  22. 22. きっかけは 新たな監査対応と 前任の退職
  23. 23. CTO鈴木 「シンジ君セキュリティやってー」
  24. 24. いいっすよー
  25. 25. 1から現場で叩かれて 今に至ります
  26. 26. そして悟った
  27. 27. 技術力(ITリテラシー)と セキュリティリテラシーは 全くもって比例しない
  28. 28. セキュリティについて学ぶ
  29. 29. そもそもですね
  30. 30. セキュリティって 何のことですか?
  31. 31. 例えばおうちのセキュリティ
  32. 32. かけてるとか 夜でも電気付けるとか
  33. 33. まぁいろいろありますよね
  34. 34. こーゆー場でいう セキュリティというのは だいたいが 情報セキュリティのこと
  35. 35. じゃあ 情報セキュリティって なんのことですか
  36. 36. おもむろにググる
  37. 37. 情報セキュリティは、 JIS Q 27002(すなわちISO/ IEC 27002)によって、 情報の機密性、完全性、 可用性を維持することと 定義されている。 (Wikipedia)
  38. 38. なんのことだか よくわかりませんが
  39. 39. 要するに 企業におけるセキュリティは 一定の基準が 必要ということです
  40. 40. 自社で基準をつくるもよし でも何から手を付けたら よいのやら
  41. 41. そこで 外部の監査基準
  42. 42. いろんな基準があって それぞれ役割が違います
  43. 43. プライバシーマーク
  44. 44. ご存じですよね?
  45. 45. ホームページに こんなロゴ貼ってたりします
  46. 46. そもそも プライバシーマークとは なんなのか
  47. 47. 個人情報について 適切な保護措置を講ずる 体制を整備している 事業者等を認定する制度
  48. 48. 個人情報の取り扱いに フォーカスしている制度
  49. 49. そして重要なのは
  50. 50. この制度は 「国内基準」 だということ
  51. 51.
  52. 52. プライバシーに 特化しているということ
  53. 53. 某社「ウチは プライバシーマーク 取ってますので セキュリティは 安心して下さい」
  54. 54. おー 安心だー
  55. 55. 持ってない業者よりはね!
  56. 56. 余談ですが
  57. 57. シンジが業者選定するときに プライバシーマークを 見つけたら 必ずやることがあります
  58. 58. そのマークは本物か
  59. 59. JIPDECの公式WEBで 確認出来ます
  60. 60. 実際にそこそこいます 偽装してる会社さん
  61. 61. それほどまでに プライバシーマークの 有効性はあるのか
  62. 62. あります
  63. 63. 取引先から 「プライバシーマーク、 取得されてますよね?」
  64. 64. 結構ある シチュエーションです
  65. 65. プライバシーマークの 認知度は高く、 個人情報を取り扱ううえで 評価される 一定の基準となるわけです
  66. 66. これでセキュリティも万全
  67. 67. 違いますよね
  68. 68. あくまで個人情報に フォーカスしたわけです
  69. 69. じゃあ他にどんな基準が?
  70. 70. ISMS ISO 27001:2014
  71. 71. ISMSとは 情報資産を守りながら、 リスク軽減を行いましょう という適合性評価制度
  72. 72. プライバシーマークよりも 情報資産全般に関する 取り扱いになりましたね
  73. 73. そして重要なのは
  74. 74. 国際基準
  75. 75. 情報セキュリティとは何だ? 冒頭で軽く触れましたね
  76. 76. 機密性
  77. 77. アクセスを認可された者だけが 情報に確実に アクセスできること
  78. 78. 完全性
  79. 79. 情報資産が完全な 状態で保存され、 内容が正確であること
  80. 80. 可用性
  81. 81. 情報資産が必要になったとき、 利用できる状態にあること
  82. 82. 特に監査で重要視されるのは
  83. 83. ISMSを 確立 導入 運用 監視 見直し 維持し 有効に機能させなさい
  84. 84. PDCAサイクル
  85. 85. ISMSがあるかないかで 社内はかなり変わります
  86. 86. 組織だった運用が必要 例えば IS委員会(トップ集めて月例) IS運用委員会(現場が2週に1回)
  87. 87. 課題の管理 是正処置 報告 計画 PDCAを回す
  88. 88. 運用が大事
  89. 89. ISMS取ってる会社だ! これで安心だね!
  90. 90. ほんとに?
  91. 91. まだだ まだ足りぬ
  92. 92. 2015年09月15日 顧客情報の漏洩事件発生
  93. 93. 流出の可能性がある情報 ・お客様のお名前(漢字およびフリガナ)、 郵便番号、ご住所、電話番号 ・メールアドレス ・パスワード ・クレジットカード情報(カード会員名、 ご住所、カード番号、有効期限) ・連名の方のお名前(漢字およびフリガナ) ・お子様(赤ちゃん)の性別・生年月日・ お名前(漢字およびフリガナ)・体重 ・フォト カード用の画像とメッセージ ・商品お届け先様のお名前(漢字およびフリガナ) 郵便番号、ご住所、電話番号
  94. 94. ほぼ全部?
  95. 95. お客様情報流出の 可能性のある件数 当該サイト会員21,994件 (内クレジットカード情報あり 13,713件) 商品お届け先様を含む総件数 131,096件
  96. 96. ダダ漏れですわ
  97. 97. でもなんかぶっちゃけ
  98. 98. 日常茶飯事な気がしません?
  99. 99. たぶんこう思ってるんだと 思うんです
  100. 100. たぶんウチは大丈夫
  101. 101. (根拠は無いけど)
  102. 102. その根拠を作る 良い基準があります
  103. 103. PCI DSS Payment Card Industry Data Security Standard
  104. 104. PCI DSS基準は 割と頻繁に更新されていて、 今はVersion 3.1です
  105. 105. PCI DSSとは何ぞや
  106. 106. クレジットカード情報や 取引情報を安全に守るために、 JCB、アメリカンエキスプレス、 Discover、マスターカード、 VISAの国際ペイメントブランド 5社が共同で策定した、 クレジット業界における グローバルセキュリティ基準
  107. 107. そう、これも 国際規格
  108. 108. 監査を受けるとよく分かる ISMSとの違い
  109. 109. 要求内容が 超具体的
  110. 110. 例えば
  111. 111. 実装するWebアプリに 脆弱性が無いか徹底的に 叩かれる
  112. 112. 実装するインフラに 脆弱性が無いか 全設定項目を見られる
  113. 113. ミドルウェアなどに パッチがリリースされたら、 1ヶ月以内に適用している事を 証明しなさい
  114. 114. カード会員データを扱う システムは、 ほかのシステムと 完全に分離しなさい
  115. 115. などなど
  116. 116. 大項目で 12の要件
  117. 117. 全項目で 400項目以上の 監査事項
  118. 118. ISMSの場合は、 「こんな感じにしてください」
  119. 119. PCI DSSの場合は 「こうしなさい」
  120. 120. セキュティとは こうあるべきだと はっきりと明示している
  121. 121. PCI DSSは有効なのか?
  122. 122. 有効です
  123. 123. はっきり言って、ユーザーが 「あ、PCI DSS持ってる、 安心∼」 なんて言わないでしょう
  124. 124. やはり事業間取引
  125. 125. PCI DSSを持ってない ところとは 手を組めませんね (なんていうことも あるでしょう)
  126. 126. ユーザーに直接的には 関係無いかもしれませんが
  127. 127. PCI DSS取得会社で 情報漏洩した場合
  128. 128. 管理責任のあるカード会社に 求められる損害の補償の 義務が免責されます
  129. 129. 基本的にPCI DSS取得時には 監査組織 及び コンサル会社 の2社が絡みますので
  130. 130. 事件発生から調査・段取り (監査会社やコンサルへの 通報から初動まで)が早い
  131. 131. 非常に強力な セキュリティ基準
  132. 132. クレジットカードを 扱わない企業も PCI DSSを取得するように なってきています
  133. 133. その一方で課題も
  134. 134. 1年更新なのですが
  135. 135. まーた400項目以上 総なめします (バージョン上がると 増えることが多いです)
  136. 136. 更に
  137. 137. 1年間規定通りに 運用されているかまで 監査されます
  138. 138. 要するに 継続が超大変
  139. 139. ベライゾンジャパン合同会社 の 2015年の調査報告書によると
  140. 140. PCI DSSを継続的に 準拠出来ている企業の割合は
  141. 141. たったの2割
  142. 142. PCI DSSは、2年以上 継続しているかどうかで 大きく見方が変わります (シンジの見方)
  143. 143. PCI DSSが安定的に 運用出来ている会社は 安心だね!
  144. 144. いや、実は罠があります
  145. 145. PCI DSSは、 既存のシステムとは 分離したところで システムを運用しなさいと 言っています
  146. 146. 要するに
  147. 147. 既存のシステムは監査対象外
  148. 148. 監査範囲を かなり限定的にできる
  149. 149. PCI DSS取ったし! ウチの会社のセキュリティは 守られているね! とは言えない
  150. 150. じゃあどうしたらいいんすか
  151. 151. セキュリティには基準が必要
  152. 152. その基準を どの範囲で適用するかも重要
  153. 153. cloudpackの場合 AWSを運用構築している それをお客様に提供している 要するにここが範囲
  154. 154. じゃあAWS自身は?
  155. 155. なんかいっぱいあった
  156. 156. • PCI DSS レベル 1 • SOC 1/ ISAE 3402 • SOC 2 • SOC 3 • FIPS 140-2 • CSA • FedRAMP (SM) • DIACAP および FISMA • ISO 27001 • MPAA • 第 508 条/VPAT • HIPAA • DoD CSM レベル 1-2、3-5 • ISO 9001 • CJIS • FERPA • G-Cloud • IT-Grundschutz • IRAP(オーストラリア) • MTCS Tier 3 Certification
  157. 157. なるほどわからん
  158. 158. AWSが取ってるなら cloudpackも取ってないと お客様に安心をお届けできない
  159. 159. クラウドには こういう考え方があります
  160. 160. 共有責任モデル
  161. 161. 安全なインフラは 提供するけど、 そのうえで動かす物は 知らんよー
  162. 162. ちょっと 突き放されている感も ありますが、 そうではなくて
  163. 163. オンプレだったら 全部見なきゃ いけなかったでしょ? AWSにすればインフラ面は 任せてくれーい
  164. 164. ということなんですね 更に
  165. 165. OSの設定が甘いよー セキュリティの設定が甘いよー 攻撃受けてるよー (直してくれないとアカウン トロックしちゃうぞ☆)
  166. 166. なんて教えてくれますけど ロックされたら システム止まるやん。。。
  167. 167. AWSが最高の セキュリティ体制を 組んでくれていたとしても、 使う側がポンコツだと 全部ポンコツになるっていうー
  168. 168. じゃあAWSが取得している 厳しい監査基準のなかで、 使う側がこれやっておけば 最高みたいなの なんかないんですかね
  169. 169. 調べた
  170. 170. 資料があった
  171. 171. 特定非営利活動法人 日本セキュリティ監査協会 JASA
  172. 172. SOC 2 と SOC 3 って一番上に書いてある (ISMSが物足りないとか 書かれてますが)
  173. 173. よし、これ取ろう
  174. 174. SOC 2ってなに
  175. 175. 米国公認会計士協会 (AICPA)が定めた サービス組織(Service Organization Control)の 統制に関わる 評価業務の仕組み
  176. 176.
  177. 177. SOC 3の方が偉い? (数字的に)
  178. 178. 直接、監査法人に聞いてみた
  179. 179. まず SOC 1 SOC 2
 SOC 3 があります
  180. 180. SOC1 財務評価
  181. 181. SOC 2 セキュリティ 可用性 処理のインテグリティ 機密保持 プライバシー これのどれか1つ以上
  182. 182. SOC 3 SOC 2の内容を簡素にして 公開文章にしたもの
  183. 183. なるほど 役割が違うのか 今回はセキュリティに フォーカスしたいので SOC 2ですね!
  184. 184. いや実はもう1点ありまして
  185. 185. Type 1 と Type 2
  186. 186. Type 1 ある1日を切り出して監査する
  187. 187. Type 2 3ヶ月以上の期間を切り出して 監査する
  188. 188. なるほど 目指すはSOC 2 Type 2 ということですね!
  189. 189. 監査法人 「はい、ですが まずはType 1から 取得されるのが 良いと思います」
  190. 190. よーし じゃあ SOC 2 Type 1だ!
  191. 191. そして 2年もの歳月がかかり
  192. 192. なんやかんややって 2015年8月31日 アイレット株式会社 cloudpack事業部 SOC2 Type1 受領 (セキュリティと可用性)
  193. 193. やって分かった
  194. 194. SOC 2 はこれまでの監査とは まるで違う監査方法
  195. 195. SOC 2 Type1報告書には、 外部の監査法人から見た ありのままの 全てが記述されます
  196. 196. 丸裸です
  197. 197. 提出した資料の数 数百ページ
  198. 198. システムの稼働状況を 何度も何度も デモンストレーション
  199. 199. 何が辛いって
  200. 200. ほんと全部、 事細かく突っ込まれるので それが報告書に書かれて お客様の目に触れると思うと
  201. 201. んー
  202. 202. ダメだ 1から全部作り直しだ
  203. 203. というわけで
  204. 204. 業務で使う WindowsやMacなどの 端末管理から始めた
  205. 205. 1台1台調べて 管理台帳に記載して 確認して承認して レビューして
  206. 206. 無理
  207. 207. 端末監視ソフトを入れよう
  208. 208. ライセンスも管理する
  209. 209. これは便利だ でもサーバーが必要だ
  210. 210. よし AWSで作ろう
  211. 211. こゆこと?
  212. 212. 社内データが インターネットを 経由するってこと?
  213. 213. ダメだ そんなレポートじゃダメだ
  214. 214. 大阪にも拠点があるし これから増えるかもしれない (これが可用性)
  215. 215. 社内資産を閉域にする(閉ざす) ことにこだわった インターネットから隔離する
  216. 216. インターネットを使う会社 なので
  217. 217. 全ての回線を専用線の 冗長構成にしました (事業継続性・可用性)
  218. 218. 物理はどうか (ファシリティ)
  219. 219. • カードキーによる入退室管理 • 監視カメラ設置 • ビルそのものの
 耐震などのスペック確認
  220. 220. 特に徹底した点は 電源設備 (事業継続性)
  221. 221. 突然の停電はもちろんですが オフィスビルには 年1回の法定点検 というのがあり 必ず停電時間が 発生します
  222. 222. cloudpackは 24時間365日の運用を 行います
  223. 223. 停電などゆるさん
  224. 224. なので 3ライン ひいた
  225. 225. 虎ノ門ヒルズオフィスでは、 • 低層階用電力供給 • 高層階用電力供給 • 非常用発電機電力供給 この3ライン引いています
  226. 226. 更に UPSも数台設置しているので 万が一、2ライン死んで 発電機が動き始めるまでの 40秒間も耐えられます
  227. 227. これもセキュリティ
  228. 228. 新しくチームも立ち上げました CSIRT
  229. 229. CSIRTってご存じですか?
  230. 230. コンピュータセキュリティ インシデント対応チーム (Computer Security Incident Response Team)
  231. 231. 定常的に脆弱性情報の収集を 行い、実際にソフトウェア脆 弱性が発見された場合には、 速やかにその影響の有無およ び緊急度について判断し、ユー ザー様のシステムを防護する ために適切な対応を行います
  232. 232. ミドルウェアの脆弱性って 結構あるじゃないですか
  233. 233. それ突かれてお客様の システムが被害受けたら cloudpackも悲しい
  234. 234. ついでに 社内インフラも防御出来る 一石二鳥
  235. 235. そして
  236. 236. AWSを含む クラウドサービスに 接続する際に必要な物
  237. 237. インターネット アカウント名 パスワード
  238. 238. インターネットは仕方無い でも暗号化されているか PCI DSS 3.1基準に従えば、 SSL3.0はNG TLS1.2限定
  239. 239. 暗号化通信は 社内インフラも 全てそれに準拠する
  240. 240. そしてアカウント名と パスワード
  241. 241. みなさん クラウドサービス 使われていますか?
  242. 242. 必ずと言っていいほど アカウント名とパスワードが 必要ですよね
  243. 243. そのアカウント名と パスワードが 某巨大掲示板とかに 書かれたら
  244. 244. アウトー
  245. 245. そこで多要素認証ですよね
  246. 246. 2段階認証を有効にすれば アカウント名や パスワードが漏れていた としても、2段階目の認証を 通さなければ ログイン出来ない
  247. 247. そこでシンジは考えた
  248. 248. 多要素認証しつつ アカウント名と パスワードが 無くなればいいんじゃないの
  249. 249. 実装した
  250. 250. 平たく言えば シングルサインオンです
  251. 251. まずパソコンの 電源を入れます
  252. 252. OS起動します
  253. 253. ユーザー名と パスワード聞かれます
  254. 254. シングルサインオンは、 ここで聞かれたユーザー名と パスワードを使って、 クラウドサービスにログイン しようとします (細かく言うとちょっと 違いますがイメージです)
  255. 255. で、OSログインしますよね
  256. 256. とあるクラウドサービスに ログインしようとします
  257. 257. そうするとスマホに 通知が来ます (多要素認証)
  258. 258. ようやくログイン できるわけです
  259. 259. 全てのアカウント名 パスワードは 統合認証サーバーで 管理されています (Active Directory)
  260. 260. 退社、休職、 インシデント発生時でも 統合認証サーバーの アカウントを ロックするだけで、 AWSはもちろん 全てのサービスへの アクセスを食い止めます
  261. 261. PCI DSS基準で求められる ログ監視・管理・レビュー
  262. 262. PCI DSS監査範囲だけだった これらの作業を全体にして、 全てのネットワーク機器や サーバーのログを ログサーバーに収集して 定常的に分析・アラート
  263. 263. やたらとログインを 試みようとする端末を 特定したりします
  264. 264. これらは 全てのネットワークが 閉域網にあるからこそ できる実装なのですが
  265. 265. 社外から社内リソース見たい ときはどうすりゃいいの?
  266. 266. 営業が外出先で見積書を作る かもしれない 構築運用が出先でお客様環境 にログインするかもしれない
  267. 267. そこでVPN
  268. 268. OpenVPN含む、 会社が認めていない接続は 全て拒否
  269. 269. 会社が導入しているVPNは、 「証明書認証方式」 を採用
  270. 270. なのでここにもアカウント名 とパスワードがありません
  271. 271. 証明書のインストールは、 一定のワークフローをへて、 限られたメンバーのみが 直接インストールすることで 接続可能となります
  272. 272. そして重要なのは
  273. 273. 一度インストールした証明書は、 再利用出来ないように してあること
  274. 274. 証明書をエクスポートして、 自宅のパソコンに インストールしても、 認証が通らない 仕組みにしてあります
  275. 275. もちろん、 VPNサーバー側のログも ログ収集サーバーに 送られていますから、 監視配下です
  276. 276. そして、人
  277. 277. 年1回のセキュリティ教育 PCI DSS教育 入社時のセキュリティ教育 アプリケーション脆弱性教育 AWS公式トレーニング などなどなど
  278. 278. それ以外にもあります
  279. 279. お客様への サービス品質を保つ (これもセキュリティ)
  280. 280. どんな作業が発生した場合に 誰が、いつ、何を、誰の承認を 得た後に、どうするか、結果ど うなったか、問題があった場合 にどう切り戻すか 規定を起こし直して 徹底的に記録するようになった
  281. 281. そして これらを取りまとめた文章を 公開するように言われる
  282. 282. セキュリティホワイトペーパー を書いて 思ったことがあります
  283. 283. SOC 2のレポートも お客様が読まれる読み物です
  284. 284. シンジにとっての セキュリティとは
  285. 285. 透明性
  286. 286. 透明性こそが サービス提供事業者に 求められる 最高のセキュリティだと 考えます
  287. 287. ウチはこんな すごいWAF使ってますから∼ とか
  288. 288. IPS/IDSだけじゃなく、 パケット監視もしてますから∼ とか
  289. 289. アプリケーションはきちんと 脆弱性試験合格してますので∼ だけじゃなくて
  290. 290. 必要なのは それを運営している会社の 透明性
  291. 291. 何をしている会社で 何ができていて 何ができていないのか これから どうしようとしているのか
  292. 292. 全てSOC 2に書かれます ついでに監査人の コメントまで入ります
  293. 293. ちなみに
  294. 294. 市場はクラウドへ不安がある その1位がセキュリティ
  295. 295. なぜか
  296. 296. なんだかよく分からないから
  297. 297. クラウドに限らず 利用するサービスは そのリスクを評価して共有し その上で利用することが大事
  298. 298. その評価を行うときに 外部監査の有効性が問われる
  299. 299. 一定の基準を用いて評価され それを公開していること
  300. 300. セキュリティは 多岐にわたります
  301. 301. 自分で言うのもあれですが SOC 2レポート取得できる 企業はそうそうないです
  302. 302. ISMSやPCI DSSなどを うまく活用して 事業の透明性を高めること
  303. 303. それがクラウドを 売る側も使う側も 安心安全な セキュリティに繋がると 信じています
  304. 304.

×