セキュリティを測定可能にする技術
--
この記事は Eureka Advent Calendar 2022 3日目の記事です。
こんにちは。エウレカの恩田です。
今年度より全社の情報セキュリティ統括へ仕事の軸足を移したので、今回の記事では、この1年間の弊社セキュリティチームの取り組みを一部を紹介したいと思います。
社内全体のリスク管理体制の構築
トップマネジメントを巻き込んだ全社的なリスク管理体制とセキュリティ成熟度評価、および報告や対応のプロセスの見直しを行いました。具体的には、以下の推進をおこない、管理体制の強化を推進しました。
- セキュリティ成熟度の評価方法と定量化手法の策定と運用
- 情報資産台帳の構築と維持、評価サイクルの構築
- リスク対応のコミュニケーションプロセス(頻度/関連部門/)
企業における情報セキュリティとは、会社資産のCIA要素(機密性・完全性・可用性) が失われた場合の被害を最小化する活動と言えるので、何よりもまずは資産の特定が重要です。
この資産管理台帳の管理(情報の収集と分類、評価、運用)の責任部門を改めてチーム責務として定め、これらの収集を自動化したり情報を低コストで集約できるよう業務プロセスの改革したり、ときには泥臭くヒアリングを重ねこれらを維持しています。
また、セキュリティ評価方法についてはCIS Control V8を用いて、チームで何度も各種コントロール内容の読み合わせと解釈のすり合わせを行った上で、情報資産台帳の情報を元にした評価を定期的に行っています。
アプリケーションセキュリティと脆弱性管理
弊社の提供するサービス「Pairs」は社内開発チームによって開発・保守運用されています。セキュリティチームでは、これら内製開発されているシステム郡のセキュリティチェック、監査を行うためのSAST(Static Application Security Testing), SCA(Software Composition Analysis), CSPM(Cloud Security Posture Management)を始めとしたSecurity Toolingの導入と管理運用、およびリスクのモニタリング、そしてリスク低減を行うために各種開発チームとの連携のハブとして活動しています。
また、上記のようなSecurity Toolingによる脆弱性の可視化や予防、低減とは別に、新規機能リリース前に企画・開発チームと連携しながら脅威モデリングの実施を行い、企画・設計段階からセキュリティ目線での仕様へのインプットや推奨事項の提案などを行っています。
Corporate System Security Hardening
いわゆる社内業務システムといわれるツール郡のセキュリティ対策とHardeningも情報システム部門と連携しながら推進しています。
昨年の記事で紹介したIdPと従業員台帳の連携によるアカウント管理の統合や、伴う各種SaaSツールのSSO化、パスワードポリシーやMFAルールの強制と統一、Admin権限の管理、メール保護やMDM(Mobile Device Management)やEDRによる従業員PCの保護と監視、CASB(Cloud Access Security Broker)による各種SaaSツールのセキュリティイベントモニタリングなどを行っています。
インシデント管理
フィッシングメールやEDR経由での各種マルウェアや不審な挙動の監視、AWS GuardDutyやWAFで検知したDDOSなど、ありとあらゆる弊社に対する攻撃の兆候とも言えるイベントの収集機能の構築、およびトリアージを行い、有事の際にはセキュリティコマンダーとしてインシデント対応にあたります。
また、従業員向けのエスカレーションポリシーの配布やインシデント発生時の社内外コミュニケーションプロセスの策定、インシデント対応プレイブックの作成や机上訓練の企画推進などもおこなっています。
データセキュリティ
資産管理台帳の内容と合わせ、会社が保有するデータの機密性分類と、それら機密性分類に応じたデータセキュリティ基準(アクセス時の認証手段、認可スコープ、暗号化要件など) の設定と監査、修正や他チームとの連携を行い、会社情報資産の機密性保護をおこなっています。
従業員向けセキュリティトレーニング
全従業員向けに、一般的なセキュリティ知識についてのトレーニング企画と推進、履修率のモニタリングや、弊社独自のセキュリティポリシー(i.e:パスワードマネージャの使い方や外部協力会社との情報共有手法、3rd party tool導入時の注意点など)の策定と普及、トレーニング提供を行っています。
特に近年はスピアフィッシングなどによる特定従業員を狙い撃ちした攻撃や、サプライチェーン上に存在する情報セキュリティコントロール不備を突いた攻撃が隆盛を極めており、System Harderingだけではなく従業員を起点にした攻撃への対策は非常に重視しています。
参考:https://www.ipa.go.jp/security/vuln/10threats2022.html
定量化と可視化でセキュリティリスクとつきあっていく
企業における情報セキュリティ対策の主な目的は、結局のところ会社資産のCIA要素(機密性・完全性・可用性) が失われた場合の被害を最小化することです。
そのためには、何よりも現状把握をどれだけ正確に行えるか(かつ、現状把握し続けるために、それをどれだけ人的に低コストで行えるか) にかかっています。
- 会社はどんな情報資産を持っているのか & 誰がオーナーなのか
- それはどこにあるのか & どんなコントロールがなされているのか
- それは正しい状態なのか & どんなギャップがあるのか
- そのギャップによるリスクは何か & リスク対応の優先度はどうか
- リスク受容 / 低減の意思決定は誰がするのか
- リスク低減は誰がするのか / 工数をどのように捻出するのか
これらを一つずつ企業活動の枠組みの中に取り入れ、継続していく必要があります。このツール入れれば安全!とか、うちは〇〇してるから大丈夫!なんてことはなく、セキュリティリスクを継続的に評価、測定することではじめてコントロール可能になるのだと思います。
まとめ
この記事では、Security Teamのこの1年の取り組みを紹介しました。
明日の記事は、@nakashunによる「Slackワークスペースをソリューションで季節感あふれる感じにした話」です。
皆様よい年末を!
