9. 9
Copyright
(C) Nomura Research Institute, Ltd. All rights reserved.
そもそもセキュリティとは
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策
◼クラウドを安全に利用するには、セキュリティの傾向と対策を知ることが重要。
◼セキュリティは、次の三要素が存在する場合に必要になる。
⚫ 守るべき資産
⚫ それを脅かす脅威
⚫ 脅威が突いてくる脆弱性
◼Information Technology(IT) 企業・システム・エンジニアが扱い、守るべき資産は、情報である。
➢脅威を想定し、脆弱性があることを前提に、セキュリティを考える。
⚫ どのように脅威を想定し、どのような脆弱性があることを知るか?
10. 10
Copyright
(C) Nomura Research Institute, Ltd. All rights reserved.
想定される脅威:セキュリティリスクの傾向を知る
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策
◼OWASP (Open Web Application Security Project) Top 10
⚫ Webアプリケーションのセキュリティ向上を目的とした非営利団体が公開する、最も重大な10のリスク
➢ 定期的に更新され、直近のセキュリティリスクの傾向を知ることができる
⚫ OWASPが公開するその他リソース
• Mobile Top 10 、 OWASP API Top 10
• ZAP(脆弱性診断ツール)、Testing Guide(テストフレームワーク)、ASVS(セキュリティコントロールフレームワーク)
出典:OWASP Top Ten
アクセス制御の不備
不適切な暗号化
インジェクション
安全でない設計
不適切なセキュリティ設定
脆弱で古くなったコンポーネント
不適切な識別と認証
ソフトウェアとデータの整合性不備
セキュリティログとモニタリングの不備
サーバーサイドリクエストフォージェリ
(SSRF)
11. 11
Copyright
(C) Nomura Research Institute, Ltd. All rights reserved.
想定される脅威:敵対者の戦術とテクニックを知る
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策
◼MITRE ATT&CK(マイター・アタック: Adversarial Tactics, Techniques, and Common Knowledge)
⚫ MITRE社の管理する、現実の観測に基づく、敵対戦術とテクニック(脅威)のナレッジベース
⚫ 初期アクセス、攻撃実行、永続化、侵出などの各12プロセスで、どのような事が行われるかパターン化
出典:MITRE ATT&CK
➢ 敵対者の戦術とテクニックを知ることで、どのような脅威に対策をとるか想定し、具体的な対策に落とし込む
12. 12
Copyright
(C) Nomura Research Institute, Ltd. All rights reserved.
脆弱性があることを知る
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策
◼CVE(共通脆弱性識別子)
⚫ MITRE社が管理する一般公開されているセキュリティ脆弱性のリスト
⚫ 世界中のITベンダー、セキュリティ企業、リサーチ組織がCVE採番機関(CNA)として登録、報告
➢ このリストや通知情報から、自組織の利用するプロダクトに該当する脆弱性を特定、対策を検討する
出典:MITRE | CVE Details
13. 13
Copyright
(C) Nomura Research Institute, Ltd. All rights reserved.
情報セキュリティの特性
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策
◼ISMS(情報セキュリティマネジメントシステム) の認証基準 ISO/IEC 27002 Information
technology では、以下のように定めている。
⚫ 情報セキュリティ(Information Security)とは、情報の以下を維持すること。(基本の三特性)
• 機密性 (Confidentiality) :情報が、許可されたものだけがアクセスできること
• 完全性 (Integrity) :情報が、正しい状態で保持されること
• 可用性 (Availability) :情報が、いつでも安全にアクセスできること
⚫ 更に、情報に以下のような特性を含めることができること。(追加の四特性)
• 真正性 (Authenticity)
• 責任追跡性 (Accountability)
• 否認防止 (Non-Repudiation)
• 信頼性 (Reliability)
出典:https://www.iso.org/standard/54533.html
14. 14
Copyright
(C) Nomura Research Institute, Ltd. All rights reserved.
クラウドセキュリティの考え方
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策
◼オンプレミスとクラウドでも、守るべき資産(情報)は変わらない。
◼その管理主体・アクセス経路・外部接続点の違いから、脅威と脆弱性は異なってくる。
⚫ オンプレミス
• 利用者が管理し、物理的に閉じたネットワークでアクセスが限定され、外部接続点は専任チームで統制されることが多い。
• 物理ネットワーク内にいる者はなりすましが困難なため、脅威ではない信頼された存在として扱われてきた。
⚫ クラウド
• 提供者が管理し、世界中どこからでもアクセスでき、利用者の権限・設定次第で外部接続点はフルオープンになる。
• オンプレミス環境では、クラウド環境では、インターネット上にいるモノを物理的に信頼できる存在と証明するのは困難。
➢クラウドにおけるセキュリティの考え方・役割分担も自ずと変わってくる。
15. 15
Copyright
(C) Nomura Research Institute, Ltd. All rights reserved.
クラウドセキュリティの役割分担
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策
◼代表例:AWSの責任共有モデル
⚫ 利用者の責任:クラウド ’における’ セキュリティ(Security ‘in’ the cloud)
⚫ 提供者の責任:クラウド ’の’ セキュリティ(Security ‘of’ the Cloud)
◼セキュリティだけではなく、予算・調達・契約
・精算・ガバナンスなどその他の分野にも
及ぶ、クラウド利用の基本的な考え方。
◼多くのクラウドサービスでも同じモデルを採用。
⚫ 利用者側の責任は必ずある。
出典:Amazon Web Services ブログ 責任共有モデルとは何か、を改めて考える
16. 16
Copyright
(C) Nomura Research Institute, Ltd. All rights reserved.
Oracle Cloud Infrastructure(OCI) におけるセキュリティの役割分担
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策
◼OCIでは共有セキュリティ・モデル
⚫ 利用者の役割:ユーザは自分達のワークロード保護と利用サービスの安全な構成設定を行う
⚫ 提供者の役割:Oracleは基礎となるインフラストラクチャのセキュリティ対策を行う
◼基本的な考え方は共通
⚫ クラウドにおけるセキュリティ
⚫ クラウドのセキュリティ
➢自分達の責任範囲と
やる事を把握すること。
出典:Oracle Cloud Infrastructureのセキュリティ・チェックリスト
28. 28
Copyright
(C) Nomura Research Institute, Ltd. All rights reserved.
(参考)セキュリティフレームワークやナレッジの利用例
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策
◼セキュリティフレームワークやナレッジを活用したセキュリティ対策の評価・分析手法
◼セキュリティベンチマーク/コントロールでの対策/方針と、セキュリティフレームワークとのマッピング
出典:NRIセキュア | MITRE ATT&CKを用いたサイバー攻撃対策の評価サービス
IM-1: 一元化された ID と認証システムを使用する
CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3
セキュリティの原則: 一元化された ID と認証システムを使用して、クラウドリソースと非クラウドリソースに対する組織の ID と認証を管理します。
出典:Microsoft | Azure セキュリティベンチマーク
出典:Microsoft | MITRE ATT&CK® と組み込
み Azure security control とのマッピングを発表
29. 29
Copyright
(C) Nomura Research Institute, Ltd. All rights reserved.
Center for Internet Security(CIS)の提供リソース
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策
◼米国の政府・学術機関・企業がインターネット・セキュリティ標準化に取り組む団体。
⚫ CIS Controls:サイバー攻撃に焦点を当てた具体的技術対策を示す18種類のフレームワーク
⚫ CIS Benchmarks:セキュリティ推奨事項・設定値を記載したドキュメント
出典:CIS Center for Internet Security
責任共有モデルのどのレイヤーをカバーするか
30. 30
Copyright
(C) Nomura Research Institute, Ltd. All rights reserved.
CIS Benchmarks の対象
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策
◼CIS Benchmarks は、非常に広範囲な製品・サービスを対象とするドキュメント群。
⚫ パブリッククラウドの設定に関してはほぼ唯一の基準であり、デファクトスタンダートとなっている。
カテゴリ 対象の製品・サービス(例)
Cloud Provider Alibaba Cloud, Amazon Web Services, Microsoft Azure, Google Cloud Platform, IBM Cloud, OCI
Desktops & Web Browsers
Apple Desktop OSX, Apple Safari Browser, Google Chrome, Microsoft Internet Explorer, Microsoft Windows
Desktop 10/XP/NT, Mozilla Firefox Browser, Opera Browser, Mobile Devices, Zoom
Mobile Devices Apple Mobile Platform iOS, Google Mobile Platform
Network Devices
Agnostic Print Devices, Check Point Firewall, Cisco Firewall Devices, Cisco Routers/Switches IOS, Cisco Wireless
LAN Controller, Juniper Routers/Switches JunOS, Palo Alto Networks
Server Software – Operating Systems
Amazon Linux, CentOS, Debian Linux Server, IBM AIX Server, Microsoft Windows Server, Novell Netware, Oracle
Linux, Oracle Solaris Server, Red Hat Linux Server, Slackware Linux Server, SUSE Linux Enterprise Server, Ubuntu
LTS Server
Server Software - Other
Apache HTTP Server, Apache Tomcat Server, BIND DNS Server, FreeRADIUS, Microsoft IIS Server, IBM DB2 Server,
Microsoft Exchange, Microsoft SharePoint Server, Microsoft SQL Server, MIT Kerberos, MySQL Database Server,
Novell eDirectory, OpenLDAP Server, Oracle Database Server, PostgreSQL Database Server, Sybase Database
Server
Security Metrics Quick Start Guide, Security Metrics
Virtualization Platforms Agnostic VM Server, Docker, Kubernetes, VMware Server, Xen Server
Other Microsoft Access, Microsoft Excel, Microsoft Office, Microsoft Outlook , Microsoft PowerPoint, Microsoft Word
出典:CIS Benchmarks