"Shift Left" - the security vision that supports executive decision making 2018/3/9、Security Days 2018 Springでの講演資料です。 https://reg.f2ff.jp/public/session/view/5959

1. Enabling Security with "シフトレフト"© Asterisk Research, Inc.1
https://www.nisc.go.jp/security-site/month/h29/column/20180307.html

2. 岡田良太郎
アスタリスク・リサーチ
代表取締役
シフトレフト
エヴァンジェリスト
OWASP JAPAN 代表
@okdt

3. OWASP

4. Enabling Security with "シフトレフト"© Asterisk Research, Inc.4

5. CSIRT数は増加
http://itpro.nikkeibp.co.jp/atclact/active/16/092700102/092700001/
2017年、243

6. Security is…?
6 Enabling Security with "シフトレフト"© Asterisk Research, Inc.
https://www.itoen.co.jp/news/detail/id=23284

7. Enabling Security©Asterisk Research, Inc.7http://www.lefigaro.fr/secteur/high-tech/2017/01/30/32001-20170130ARTFIG00169-un-virus-informatique-paralyse-un-hotel-de-luxe-en-autriche.php

8. Security is
8 Enabling Security with "シフトレフト"© Asterisk Research, Inc.
Fairy Tales for children - Three Little Pigs and the Big Bad Wolf
https://www.youtube.com/watch?v=WWFYuPkQHY4

10. 拡大

11. アプリケーション
プレゼンテーション
セッション
トランスポート
ネットワーク
データリンク
物理層

12. アプリ
バックエンド
Web service
Apple / Google / Amazon

13. ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア
ソフトウェア

14. 問題はどこで起きているのか

15. ソフトウェア

16. サイバー攻撃の本当の動向
Enabling Security with "シフトレフト"© Asterisk Research, Inc.16
スナイパー
+
絨毯爆撃
業界・関連企業・企業団体 地域・類似システム・ユーザデータ

17. ENISA脅威トレンド Top15 (2018/1発表)
1. マルウェア
2. ウェブブラウザベースの攻撃
3. ウェブアプリケーションへの攻撃
4. フィッシング
5. スパム
6. DoS
7. ランサムウェア
8. ボットネット
9. 内部脅威
10. 物理的な操作/損害/盗難/紛失
11. データ漏洩
12. Id盗難
13. 情報漏洩
14. エクスプロイトキット
15. サイバースパイ

18. マッチ？ ミスマッチ？
18 Enabling Security with "シフトレフト"© Asterisk Research, Inc.
出典：NIST, Gartner, OWASP
vs
8%
脆弱性の発生箇所
アプリケーション層
92%
10%
セキュリティ投資の割合
プラットフォームに対する支出
90%

19. 1425%
19 Enabling Security with "シフトレフト"© Asterisk Research, Inc.

20. 攻撃の
サプライチェーン
20 Enabling Security with "シフトレフト"© Asterisk Research, Inc.

21. 攻撃側のサプライチェーン
対象の発見
エンドユーザー
攻撃ツール
エンドユーザー エンドユーザー
ハッキングサービス/ハッカー
情報ブローカー
国家
組織
弱者情報
21

22. DDoS as a service
vDOSでは攻撃の持続時間に応じて
月額20～200ドルのパッケージサービスを提供。
サイバー犯罪フォーラムでは…
「反応が早くて親切な顧客サービス」
http://www.itmedia.co.jp/enterprise/articles/1609/13/news056.html
22 Enabling Security with "シフトレフト"© Asterisk Research, Inc.

23. 従来型の侵入攻撃
×
企業内
攻撃者
いまや、外から内側にアクセスできない。
23
従来の攻撃
Enabling Security with "シフトレフト"© Asterisk Research, Inc.

24. メール・ブラウザによるアクセス誘発
企業内攻撃者
内側から外にアクセスしてきたところを待ち受ける
○
24
添付なしメール
組織の
メール
Enabling Security with "シフトレフト"© Asterisk Research, Inc.
メール、ブラウザで感染
“水飲み場”
RAT
○
○
http://いつものサイト.com/
「しめしめ」
RAT
開封
許可されている

25. あやしいメールは、どれほど見分けられるのか
明らかにプロフェッショナル、経営者を狙うもの
「ICT-ISACの名前を騙り、「マルウェアに感染しているの
で、除去ツールをダウンロードし、マルウェアを除去するよ
う促すメール」が配信されている」
他にも通常のメールが続々
• クレジットカードの利用速報(楽天、SMBC)
• 宅配便の配達予定通知 (ヤマト)
• 注文書、請求書の差し替え (JALで被害)
• 就職応募、訃報
誘導方式
• 従来手法：添付ファイル：ZIP、JavaScript
• 最近増加：リンク
25 Enabling Security with "シフトレフト"© Asterisk Research, Inc.

26. 防御施策として
何を守れば良いのかを間違えてはいけない
攻撃の着弾点となる
の保護
被害拡大の要因となる
の保護
資産として
を保護
Enabling Security with "シフトレフト"© Asterisk Research, Inc.26

27. Security is
•事前対策、リスクを下げる
•脆弱性対策
•ヒヤリハットレベルから
•迅速かつ的確なレスポンス
•リスク高い業務プロセス
•被害時の影響・コスト
•データ・システム棚卸し
•脅威シナリオ
•業界の視点
脅威
情報
リスク
把握
影響
軽減
被害
対応
Enabling Security with "シフトレフト"© Asterisk Research, Inc.27

28. Security is
Enabling Security with "シフトレフト"© Asterisk Research, Inc.28

29. 98% or 68%
Enabling Security©Asterisk Research, Inc.29

30. Enabling Security©Asterisk Research, Inc.30
青森県の平均寿命は、男女ともに全国最下位です
がんによる死亡率が高いことが、平均寿命に大きく
影響しています。
http://gan-info.pref.aomori.jp/public/index.php/ct05/a51.html

31. 改
善
率
→
死亡率→

32. Enabling Security©Asterisk Research, Inc.32
・向き合うキャンペーン
・がん検診
・がん登録
・がん対策推進企業連携
協定の締結企業
・診療連携

33. 1. 攻撃コストを上げる

34. 2. 論理的境界線

35. 3. セキュリティは全員参加

36. 3/13 セキュリティブリーフィング
https://www.asteriskresearch.com/

37. 安全なネット社会のため
お力をお貸しください。
Enabling Security with "シフトレフト"© Asterisk Research, Inc.37
アスタリスク・リサーチ