SlideShare a Scribd company logo

お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx

Download as PPTX, PDF
M
mkoda

Cyber-sec+ Meetup vol.3での登壇資料です。

Internet
1 of 21
お客様のセキュリティチェックを乗 り越えるための SaaS のアプローチ Cyber-sec+ Meetup vol.3 2024/03/12 幸田 将司 1
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved Who am I? 幸田将司: 所属: - 株式会社Levii - 株式会社バラエナテック 代表取締役 - SecuriST(R) 試験委員会 / CEH インストラクター - ISOG-J(WG1) - 診断 / 開発 / ISMS支援 ...etc SNS: - @halkichisec 2
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved Contents 1. SaaSが苦慮しているセキュリティ 2. セキュリティの評価基準 3. コストを下げるために 3
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 誰向け? • サービス事業者 • セールス • デリバリー • 開発 • セキュリティ系 • CISO • 診断員 • サービス調達/選定する人 • 情シス 4
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSを提供しています(ダイマ) • Balus • システムモデリングをわかりやすくするツール • 名前は某ジブリ作品の呪文より • 登録商標で揉めてしまう 5 これのセキュリティの話
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス提供側として苦悩していること • どこまでセキュリティをやるべきか • 何にリソースを割くべきか • 認証規格を取得するべきか • お客様に使って欲しいが...セキュリティ的なハードルは高い • クラウドサービスの調達要件 • 官公庁は基準が高い • 我々はコストセンターである😭 6
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス調達の要求事項としてよくある例 1. 認証規格を取得しているか • ISO/IEC 27001(ISMS) • ISMAP • SOC2 • SSAE16,18 ...etc 7
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス調達の要求事項としてよくある例 2. セキュリティチェックシートの記入 • サービスが使用できるかどうか質問やチェックリスト形式で構成され た文書、大抵はエクセルで送られてくる。 • 顧客 ↔︎ セールス ↔︎ 開発でやり取りしてリソースが勿体無い 8 お客様毎に項目やフォーマット が異なるためコストがかかる
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 何から取り組めば良いか • 頻発する要件をセキュリティチェックシートとして公開 • セキュリティチェックシートの対応ログを残しておき、その結果を社 内で共有する。 • 共有した項目から自社のセキュリティチェックシートを作成して公開 • コストが下がった • 開発のメリット • 顧客が要求する機能が把握できるので、実装が予想できる。 • 営業/デリバリーのメリット • 顧客↔︎セールスのリレーが少なくなるので顧客へのレスが早い 9
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved セキュリティチェックシートについて • よく聞かれる項目TOP5 1. アクセス制御 • IPアドレスによる制限が可能であるか • Basic/Digest認証が設定可能であるか • 利用者毎に管理者が設定可能であるか 2. 権限管理 • ユーザと管理者の領域がわかれているか 10 顧客が気にしていること Basic認証に使うからAPIの認証は Authorizationヘッダを避けるか… (safariは上書きしてしまう)
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved セキュリティチェックシートについて 3. ログの取得/監視(一例) • ログイン成功と失敗 • 異常ログの検知と通知 4. 脆弱性管理 • 脆弱性診断を実施しているか (どこまで実施するかは問われないことが多い) • 脆弱性管理が行われているかどうか 5. 第三者認証の取得 • ISO/IEC、SOC2等々... 11 コストはかかるが 何かしらの認証はあると良い
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved どこまで脆弱性管理をすればいい? • 攻撃表面を元にして考えると良い(ASM) • 例: • コーポレートサイト • 自社サービス • メール/VPN/ファイルサーバ等 • 担当者のメールアドレス 出典: 経済産業省ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~ https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html 12
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 自社サービスに紐づいているが、管理が忘れ去られているコン テンツ等 攻撃表面(Attack Surface)の例 ※IPに紐づくコンテンツサーバがなくとも サブドメインテイクオーバーの温床になる可 能性も。CNAME、Aレコード等 バグバウンティではよく報告されている ベンダーのために 開けておいた経路 13
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 第三者認証を推す理由 • サービス事業者として要求される内容や管理施策が理解できる • SLAの設定 (稼働率の根拠や、侵害されてはならない理由が説明できる) • 情報資産とその監視対象の考え方 • 第三者の審査機関から指摘がある • 問題のある管理に気がつける • 外圧がなければ変われない組織におすすめ 14
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • ISO/IEC27017 • ISO27001(ISMS)のクラウドサービス版 • ISMSのアドオンとして存在するため、ISMS + ISO27017で取得する • CSP又は、CSPとCSCとして認証する必要がある。 • CSP(クラウドサービス提供者) • AWSやGCP等、プラットフォーム提供側 • CSC(クラウドサービス利用者) • クラウドサービス利用者側 15 組織全体 ISMSの認証範囲 クラウドセキュリティ (ISO27017)の範囲
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • 要件(CSPとしての一例) • 9.2.1 利用者登録及び登録削除... アカウントの登録/削除ができるか • 8.2.2 情報のラベル付け... 情報のラベル付けができるか • 10.1.1 暗号による管理策の利用方針... 情報の暗号化ができるか • 12.3.1 情報のバックアップ • 12.6.1 技術的ぜい弱性の管理... 脆弱性管理がされているか • 要件(CSCとしての一例) • 9.2.3 特権的アクセス権の管理... 管理者アカウントを制限し、他要素認 証を使用する • 16.1.2 情報セキュリティ事象の報告... インシデント情報の管理 16
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • 前項の内容で適用宣言書を作成し、審査を受ける 17 出典: ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項 https://isms.jp/doc/JIP-ISMS517-10.pdf 100項目以上あるため、 コンサル系サービスを利用するのが吉
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved クラウドサービスの参考資料 クラウドサービス利用・提供における適切な設定のためのガイドライ ン : 総務省 2022 https://www.soumu.go.jp/main_content/000843318.pdf • 運用上のベストプラクティスがあるため参考になる クラウドサービスレベルのチェックリスト : 経産省 https://warp.da.ndl.go.jp/info:ndljp/pid/8658576/www.meti.go.jp/press/201008160 01/20100816001-4.pdf • ちょっと古い(2010年) 18
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 内部からの調査は部署を横断する必要がある。 • インシデント例 • (2021年)内閣サイバーセキュリティセンター(NISC)の情報漏洩 • 内部で使用していたプロジェクト情報共有ツールへの不正アクセス • 組織内部で使用している端末やツールの特定を行う • ISMS(ISO27001)を取得しているなら情報資産管理/リスク台帳があるはず • 管理している部署と連携をとることを推奨 • シャドーITの制限も忘れずに 攻撃可能領域の探し方(内部) 19
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 参考: 組織を巻き込む • そもそも職務により目的/視点が違うため、各チームの代表を まきこんでモデリングすると、少しスムーズに進むかも • セキュリティチェックシートを作る際のMTGの例 20 それぞれのロールの 背景や目的を同じ視点でみる ための手法
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved おわり • ご清聴ありがとうございました 21

Recommended

診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻mkoda
 
リクルート流Elasticsearchの使い方
リクルート流Elasticsearchの使い方リクルート流Elasticsearchの使い方
リクルート流Elasticsearchの使い方Recruit Technologies
 
إدارة وتأمين شبكات المكتبات ومراكز المعلومات
إدارة وتأمين شبكات المكتبات ومراكز المعلوماتإدارة وتأمين شبكات المكتبات ومراكز المعلومات
إدارة وتأمين شبكات المكتبات ومراكز المعلوماتemad Saleh
 
1年目で(ほぼ)全冠して案件で躓いたので振り返り.pdf
1年目で(ほぼ)全冠して案件で躓いたので振り返り.pdf1年目で(ほぼ)全冠して案件で躓いたので振り返り.pdf
1年目で(ほぼ)全冠して案件で躓いたので振り返り.pdfhama
 
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!zaki4649
 
伝統的な組織で始めるアジャイル
伝統的な組織で始めるアジャイル伝統的な組織で始めるアジャイル
伝統的な組織で始めるアジャイルtoshihiro ichitani
 
أسئلة عن سلامة الغذاء
أسئلة عن سلامة الغذاء أسئلة عن سلامة الغذاء
أسئلة عن سلامة الغذاء Ossama Ismail
 
[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口 剛
[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口 剛[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口 剛
[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口 剛CODE BLUE
 

Recommended

診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻mkoda
 
リクルート流Elasticsearchの使い方
リクルート流Elasticsearchの使い方リクルート流Elasticsearchの使い方
リクルート流Elasticsearchの使い方Recruit Technologies
 
إدارة وتأمين شبكات المكتبات ومراكز المعلومات
إدارة وتأمين شبكات المكتبات ومراكز المعلوماتإدارة وتأمين شبكات المكتبات ومراكز المعلومات
إدارة وتأمين شبكات المكتبات ومراكز المعلوماتemad Saleh
 
1年目で(ほぼ)全冠して案件で躓いたので振り返り.pdf
1年目で(ほぼ)全冠して案件で躓いたので振り返り.pdf1年目で(ほぼ)全冠して案件で躓いたので振り返り.pdf
1年目で(ほぼ)全冠して案件で躓いたので振り返り.pdfhama
 
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!zaki4649
 
伝統的な組織で始めるアジャイル
伝統的な組織で始めるアジャイル伝統的な組織で始めるアジャイル
伝統的な組織で始めるアジャイルtoshihiro ichitani
 
أسئلة عن سلامة الغذاء
أسئلة عن سلامة الغذاء أسئلة عن سلامة الغذاء
أسئلة عن سلامة الغذاء Ossama Ismail
 
[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口 剛
[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口 剛[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口 剛
[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口 剛CODE BLUE
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon CognitoAmazon Web Services Japan
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 zaki4649
 
AWSとAzureとGCPの脆弱性診断実施の為の比較
AWSとAzureとGCPの脆弱性診断実施の為の比較AWSとAzureとGCPの脆弱性診断実施の為の比較
AWSとAzureとGCPの脆弱性診断実施の為の比較kmrr
 
AWS入門!!
AWS入門!!AWS入門!!
AWS入門!!Wataru NOGUCHI
 
مقاومة مضادات الميكروبات : تهديد عالمي وإقليمي
مقاومة مضادات الميكروبات : تهديد عالمي وإقليميمقاومة مضادات الميكروبات : تهديد عالمي وإقليمي
مقاومة مضادات الميكروبات : تهديد عالمي وإقليميWHO Regional Office for the Eastern Mediterranean
 
"Disaster Risk Reducion DRR
"Disaster Risk Reducion DRR "Disaster Risk Reducion DRR
"Disaster Risk Reducion DRR Ahmed-Refat Refat
 
First step of UX Monitoring 〜UXモニタリングこと始め〜
First step of UX Monitoring 〜UXモニタリングこと始め〜First step of UX Monitoring 〜UXモニタリングこと始め〜
First step of UX Monitoring 〜UXモニタリングこと始め〜Taro Yoshioka
 
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Amazon Web Services Japan
 
リクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティリクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティRecruit Technologies
 
解説!30分で分かるLEAN ANALYTICS
解説!30分で分かるLEAN ANALYTICS解説!30分で分かるLEAN ANALYTICS
解説!30分で分かるLEAN ANALYTICSしくみ製作所
 
A use case of aws in de na automotive
A use case of aws in de na automotiveA use case of aws in de na automotive
A use case of aws in de na automotiveDeNA
 
تحليل المخاطر ونقاط التحكم الحرجة
تحليل المخاطر ونقاط التحكم الحرجةتحليل المخاطر ونقاط التحكم الحرجة
تحليل المخاطر ونقاط التحكم الحرجةAhmed Adel
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するHitachi, Ltd. OSS Solution Center.
 
演題:価値のデザインからはじめるビジネス企画(前編解説)
演題:価値のデザインからはじめるビジネス企画(前編解説)演題:価値のデザインからはじめるビジネス企画(前編解説)
演題:価値のデザインからはじめるビジネス企画(前編解説)Hagimoto Junzo
 
التعليم المدمج
التعليم المدمجالتعليم المدمج
التعليم المدمجmaryam_s
 
قضايا معرفية في الأمن السبراني
قضايا معرفية في الأمن السبرانيقضايا معرفية في الأمن السبراني
قضايا معرفية في الأمن السبرانيالهيئة الوطنية لأمن وسلامة المعلومات
 
مناهج البحث العلمي وأنواعها
مناهج البحث العلمي وأنواعهامناهج البحث العلمي وأنواعها
مناهج البحث العلمي وأنواعهاBTS Academy
 
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDayマイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay都元ダイスケ Miyamoto
 
HSM超入門講座
HSM超入門講座HSM超入門講座
HSM超入門講座Hiroshi Nakamura
 
20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)Amazon Web Services Japan
 
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日Masanori KAMAYAMA
 
マイナンバー説明用スライド
マイナンバー説明用スライドマイナンバー説明用スライド
マイナンバー説明用スライドSeiji Noro
 

More Related Content

What's hot

20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon CognitoAmazon Web Services Japan
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 zaki4649
 
AWSとAzureとGCPの脆弱性診断実施の為の比較
AWSとAzureとGCPの脆弱性診断実施の為の比較AWSとAzureとGCPの脆弱性診断実施の為の比較
AWSとAzureとGCPの脆弱性診断実施の為の比較kmrr
 
"Disaster Risk Reducion DRR
"Disaster Risk Reducion DRR "Disaster Risk Reducion DRR
"Disaster Risk Reducion DRR Ahmed-Refat Refat
 
First step of UX Monitoring 〜UXモニタリングこと始め〜
First step of UX Monitoring 〜UXモニタリングこと始め〜First step of UX Monitoring 〜UXモニタリングこと始め〜
First step of UX Monitoring 〜UXモニタリングこと始め〜Taro Yoshioka
 
リクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティリクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティRecruit Technologies
 
解説!30分で分かるLEAN ANALYTICS
解説!30分で分かるLEAN ANALYTICS解説!30分で分かるLEAN ANALYTICS
解説!30分で分かるLEAN ANALYTICSしくみ製作所
 
A use case of aws in de na automotive
A use case of aws in de na automotiveA use case of aws in de na automotive
A use case of aws in de na automotiveDeNA
 
تحليل المخاطر ونقاط التحكم الحرجة
تحليل المخاطر ونقاط التحكم الحرجةتحليل المخاطر ونقاط التحكم الحرجة
تحليل المخاطر ونقاط التحكم الحرجةAhmed Adel
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するHitachi, Ltd. OSS Solution Center.
 
演題:価値のデザインからはじめるビジネス企画(前編解説)
演題:価値のデザインからはじめるビジネス企画(前編解説)演題:価値のデザインからはじめるビジネス企画(前編解説)
演題:価値のデザインからはじめるビジネス企画(前編解説)Hagimoto Junzo
 
التعليم المدمج
التعليم المدمجالتعليم المدمج
التعليم المدمجmaryam_s
 
مناهج البحث العلمي وأنواعها
مناهج البحث العلمي وأنواعهامناهج البحث العلمي وأنواعها
مناهج البحث العلمي وأنواعهاBTS Academy
 
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDayマイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay都元ダイスケ Miyamoto
 

What's hot (20)

20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
 
AWSとAzureとGCPの脆弱性診断実施の為の比較
AWSとAzureとGCPの脆弱性診断実施の為の比較AWSとAzureとGCPの脆弱性診断実施の為の比較
AWSとAzureとGCPの脆弱性診断実施の為の比較
 
AWS入門!!
AWS入門!!AWS入門!!
AWS入門!!
 
مقاومة مضادات الميكروبات : تهديد عالمي وإقليمي
مقاومة مضادات الميكروبات : تهديد عالمي وإقليميمقاومة مضادات الميكروبات : تهديد عالمي وإقليمي
مقاومة مضادات الميكروبات : تهديد عالمي وإقليمي
 
"Disaster Risk Reducion DRR
"Disaster Risk Reducion DRR "Disaster Risk Reducion DRR
"Disaster Risk Reducion DRR
 
First step of UX Monitoring 〜UXモニタリングこと始め〜
First step of UX Monitoring 〜UXモニタリングこと始め〜First step of UX Monitoring 〜UXモニタリングこと始め〜
First step of UX Monitoring 〜UXモニタリングこと始め〜
 
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
 
リクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティリクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティ
 
解説!30分で分かるLEAN ANALYTICS
解説!30分で分かるLEAN ANALYTICS解説!30分で分かるLEAN ANALYTICS
解説!30分で分かるLEAN ANALYTICS
 
A use case of aws in de na automotive
A use case of aws in de na automotiveA use case of aws in de na automotive
A use case of aws in de na automotive
 
تحليل المخاطر ونقاط التحكم الحرجة
تحليل المخاطر ونقاط التحكم الحرجةتحليل المخاطر ونقاط التحكم الحرجة
تحليل المخاطر ونقاط التحكم الحرجة
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
 
演題:価値のデザインからはじめるビジネス企画(前編解説)
演題:価値のデザインからはじめるビジネス企画(前編解説)演題:価値のデザインからはじめるビジネス企画(前編解説)
演題:価値のデザインからはじめるビジネス企画(前編解説)
 
التعليم المدمج
التعليم المدمجالتعليم المدمج
التعليم المدمج
 
قضايا معرفية في الأمن السبراني
قضايا معرفية في الأمن السبرانيقضايا معرفية في الأمن السبراني
قضايا معرفية في الأمن السبراني
 
مناهج البحث العلمي وأنواعها
مناهج البحث العلمي وأنواعهامناهج البحث العلمي وأنواعها
مناهج البحث العلمي وأنواعها
 
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDayマイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
 
HSM超入門講座
HSM超入門講座HSM超入門講座
HSM超入門講座
 
20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)
 

Similar to お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx

セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日Masanori KAMAYAMA
 
マイナンバー説明用スライド
マイナンバー説明用スライドマイナンバー説明用スライド
マイナンバー説明用スライドSeiji Noro
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方オラクルエンジニア通信
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)JPCERT Coordination Center
 
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバックNISSHO USA
 
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁KVH Co. Ltd.
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~Hitachi, Ltd. OSS Solution Center.
 
Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20龍弘 岡
 
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールOSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールIsao Takaesu
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:schoowebcampus
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントRiotaro OKADA
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはRiotaro OKADA
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可Hitachi, Ltd. OSS Solution Center.
 
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話Katsuya Yamaguchi
 
脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuokaichikaway
 
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3minShinichiro Kawano
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
 

Similar to お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx (20)

セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
 
マイナンバー説明用スライド
マイナンバー説明用スライドマイナンバー説明用スライド
マイナンバー説明用スライド
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
 
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
 
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
 
Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用
 
20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome
 
Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20
 
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールOSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
 
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
 
脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka
 
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
 
What is CompTIA
What is CompTIAWhat is CompTIA
What is CompTIA
 

お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx

  • 2. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved Who am I? 幸田将司: 所属: - 株式会社Levii - 株式会社バラエナテック 代表取締役 - SecuriST(R) 試験委員会 / CEH インストラクター - ISOG-J(WG1) - 診断 / 開発 / ISMS支援 ...etc SNS: - @halkichisec 2
  • 3. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved Contents 1. SaaSが苦慮しているセキュリティ 2. セキュリティの評価基準 3. コストを下げるために 3
  • 4. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 誰向け? • サービス事業者 • セールス • デリバリー • 開発 • セキュリティ系 • CISO • 診断員 • サービス調達/選定する人 • 情シス 4
  • 5. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSを提供しています(ダイマ) • Balus • システムモデリングをわかりやすくするツール • 名前は某ジブリ作品の呪文より • 登録商標で揉めてしまう 5 これのセキュリティの話
  • 6. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス提供側として苦悩していること • どこまでセキュリティをやるべきか • 何にリソースを割くべきか • 認証規格を取得するべきか • お客様に使って欲しいが...セキュリティ的なハードルは高い • クラウドサービスの調達要件 • 官公庁は基準が高い • 我々はコストセンターである😭 6
  • 7. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス調達の要求事項としてよくある例 1. 認証規格を取得しているか • ISO/IEC 27001(ISMS) • ISMAP • SOC2 • SSAE16,18 ...etc 7
  • 8. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス調達の要求事項としてよくある例 2. セキュリティチェックシートの記入 • サービスが使用できるかどうか質問やチェックリスト形式で構成され た文書、大抵はエクセルで送られてくる。 • 顧客 ↔︎ セールス ↔︎ 開発でやり取りしてリソースが勿体無い 8 お客様毎に項目やフォーマット が異なるためコストがかかる
  • 9. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 何から取り組めば良いか • 頻発する要件をセキュリティチェックシートとして公開 • セキュリティチェックシートの対応ログを残しておき、その結果を社 内で共有する。 • 共有した項目から自社のセキュリティチェックシートを作成して公開 • コストが下がった • 開発のメリット • 顧客が要求する機能が把握できるので、実装が予想できる。 • 営業/デリバリーのメリット • 顧客↔︎セールスのリレーが少なくなるので顧客へのレスが早い 9
  • 10. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved セキュリティチェックシートについて • よく聞かれる項目TOP5 1. アクセス制御 • IPアドレスによる制限が可能であるか • Basic/Digest認証が設定可能であるか • 利用者毎に管理者が設定可能であるか 2. 権限管理 • ユーザと管理者の領域がわかれているか 10 顧客が気にしていること Basic認証に使うからAPIの認証は Authorizationヘッダを避けるか… (safariは上書きしてしまう)
  • 11. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved セキュリティチェックシートについて 3. ログの取得/監視(一例) • ログイン成功と失敗 • 異常ログの検知と通知 4. 脆弱性管理 • 脆弱性診断を実施しているか (どこまで実施するかは問われないことが多い) • 脆弱性管理が行われているかどうか 5. 第三者認証の取得 • ISO/IEC、SOC2等々... 11 コストはかかるが 何かしらの認証はあると良い
  • 12. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved どこまで脆弱性管理をすればいい? • 攻撃表面を元にして考えると良い(ASM) • 例: • コーポレートサイト • 自社サービス • メール/VPN/ファイルサーバ等 • 担当者のメールアドレス 出典: 経済産業省ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~ https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html 12
  • 13. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 自社サービスに紐づいているが、管理が忘れ去られているコン テンツ等 攻撃表面(Attack Surface)の例 ※IPに紐づくコンテンツサーバがなくとも サブドメインテイクオーバーの温床になる可 能性も。CNAME、Aレコード等 バグバウンティではよく報告されている ベンダーのために 開けておいた経路 13
  • 14. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 第三者認証を推す理由 • サービス事業者として要求される内容や管理施策が理解できる • SLAの設定 (稼働率の根拠や、侵害されてはならない理由が説明できる) • 情報資産とその監視対象の考え方 • 第三者の審査機関から指摘がある • 問題のある管理に気がつける • 外圧がなければ変われない組織におすすめ 14
  • 15. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • ISO/IEC27017 • ISO27001(ISMS)のクラウドサービス版 • ISMSのアドオンとして存在するため、ISMS + ISO27017で取得する • CSP又は、CSPとCSCとして認証する必要がある。 • CSP(クラウドサービス提供者) • AWSやGCP等、プラットフォーム提供側 • CSC(クラウドサービス利用者) • クラウドサービス利用者側 15 組織全体 ISMSの認証範囲 クラウドセキュリティ (ISO27017)の範囲
  • 16. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • 要件(CSPとしての一例) • 9.2.1 利用者登録及び登録削除... アカウントの登録/削除ができるか • 8.2.2 情報のラベル付け... 情報のラベル付けができるか • 10.1.1 暗号による管理策の利用方針... 情報の暗号化ができるか • 12.3.1 情報のバックアップ • 12.6.1 技術的ぜい弱性の管理... 脆弱性管理がされているか • 要件(CSCとしての一例) • 9.2.3 特権的アクセス権の管理... 管理者アカウントを制限し、他要素認 証を使用する • 16.1.2 情報セキュリティ事象の報告... インシデント情報の管理 16
  • 17. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • 前項の内容で適用宣言書を作成し、審査を受ける 17 出典: ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項 https://isms.jp/doc/JIP-ISMS517-10.pdf 100項目以上あるため、 コンサル系サービスを利用するのが吉
  • 18. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved クラウドサービスの参考資料 クラウドサービス利用・提供における適切な設定のためのガイドライ ン : 総務省 2022 https://www.soumu.go.jp/main_content/000843318.pdf • 運用上のベストプラクティスがあるため参考になる クラウドサービスレベルのチェックリスト : 経産省 https://warp.da.ndl.go.jp/info:ndljp/pid/8658576/www.meti.go.jp/press/201008160 01/20100816001-4.pdf • ちょっと古い(2010年) 18
  • 19. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 内部からの調査は部署を横断する必要がある。 • インシデント例 • (2021年)内閣サイバーセキュリティセンター(NISC)の情報漏洩 • 内部で使用していたプロジェクト情報共有ツールへの不正アクセス • 組織内部で使用している端末やツールの特定を行う • ISMS(ISO27001)を取得しているなら情報資産管理/リスク台帳があるはず • 管理している部署と連携をとることを推奨 • シャドーITの制限も忘れずに 攻撃可能領域の探し方(内部) 19
  • 20. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 参考: 組織を巻き込む • そもそも職務により目的/視点が違うため、各チームの代表を まきこんでモデリングすると、少しスムーズに進むかも • セキュリティチェックシートを作る際のMTGの例 20 それぞれのロールの 背景や目的を同じ視点でみる ための手法
  • 21. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved おわり • ご清聴ありがとうございました 21