SlideShare a Scribd company logo

金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」

Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE

金融ISACアニュアルカンファレンス2020において、『2019年度金融ISACアワード(個人賞)』を受賞した時の講演資料を許可をいただいて公開しました。

Technology
1 of 33
Copyright ©2020 Tomohisa Ishikawa All rights reserved Intelligence Driven Securityの「ことはじめ」 ~なぜ金融機関はIntelligence Driven Securityが必要か?~ 2020年5月 東京海上ホールディングス株式会社 IT企画部 リスク管理グループ 石川 朝久, Ph.D., CISSP, CSSLP, CISA, CISM, CFE, PMP 1 金融ISAC アニュアルカンファレンス 2020 アワード受賞記念講演
Copyright ©2020 Tomohisa Ishikawa All rights reserved 金融ISACアワード、ありがとうございます!! 2
Copyright ©2020 Tomohisa Ishikawa All rights reserved 今日のテーマとお話したいこと テーマ :脅威インテリジェンス • 攻撃者へのプロアクティブな対応のため、脅威インテリジェンスが必要不可欠! • 一方、脅威インテリジェンスも具体的活用に悩む企業も多い。 • 本講演では、「脅威インテリジェンス」の活用方法について紹介する。 アジェンダ • 1 : 脅威インテリジェンスとは? – 1-1 : Tactical Intelligence – 1-2 : Operational Intelligence – 1-3 : Strategic Intelligence • 2 : 脅威インテリジェンス利用時の注意事項 • 3 : まとめ • Appendix 3
Copyright ©2020 Tomohisa Ishikawa All rights reserved 自己紹介:石川 朝久 • 所属 :東京海上ホールディングス株式会社 IT企画部 リスク管理グループ • 専門 :不正アクセス技術・インシデント対応・グローバルセキュリティ戦略 etc. • 資格 :博士(工学), CISSP, CSSLP, CISA, CISM, CFE, PMP • GIACs(GSEC, GSNA, GPEN, GWAPT, GXPN, GREM, GCIH, GCFA, GWEB) • 経歴 : • 2009.04 – 2019.03 :某セキュリティ企業 • 侵入テスト(Red Team)・インシデント対応・脆弱性管理・セキュア開発、セキュリティ教育 etc. • 1年間、米国金融機関セキュリティチームに所属した経験あり • 2019.04 – 現在 :東京海上ホールディングス株式会社 • 国内外グループ企業のセキュリティ支援・CSIRT運用・グローバルセキュリティ戦略 etc. • 対外活動(抜粋): – DEFCON 24 SE Village Speaker (2016) – Internet Week 2018 & 2019 (2018-2019) – IPA 情報処理技術者試験委員・情報処理安全確保支援士試験委員(2018~) – IPA 「10大脅威執筆者会」メンバ(2010~2014, 2019~) – オライリー社『インテリジェンス駆動型インシデントレスポンス』翻訳・監訳 • 現在も、次の本を翻訳しているので、こうご期待!! 4
Copyright ©2020 Tomohisa Ishikawa All rights reserved 注意・ご連絡 • 本プレゼンテーションの内容は、全て講演者個人の見解です。 所属企業・部門・金融ISAC・所属WG・その他所属組織の見解を代表 するものではありません。 • 講演の内容については、講演者の研究、グループ会社などの取り組みなど を参考にしながら作成しています。 • 製品名・ベンダー名などが登場した場合、講演者にて推奨しているわけ ではありません。利用については各組織にて判断をお願いします。 5
Copyright ©2020 Tomohisa Ishikawa All rights reserved 6 1 : 脅威インテリジェンスとは?
Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンスとは? • 脅威インテリジェンス = 脅威 + インテリジェンス • 脅威:意図 × 能力 × 機会 – 脅威インテリジェンスとは、この3要素に関する情報を集めること – 意図 :どんな攻撃者が、どんな動機で自社を狙うのか? • 自社の「資産」に基づいて、動機や意図が決定される – 能力 :攻撃者はどのような攻撃手法を使うのか? • 自社の「環境」や「脆弱性」により、利用する攻撃手法が決定される – 機会 :攻撃を実現する環境・条件が整っているか? • 自社の利用環境を攻撃可能な攻撃コードが公開されているか? 7参考:https://www.osti.gov/servlets/purl/1034822
Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンスとは? • 脅威インテリジェンス = 脅威 + インテリジェンス • インテリジェンス: – 情報・データを以下の要件を満たすように分析・加工したもの – 良いインテリジェンスの4要件:4A • Accurate(正確な) • Audience Focused(利用者目線である) • Actionable(アクショナブル) • Adequate Timing(適切なタイミング) – (ご参考)CRESTによるインテリジェンスが満たすべき原則:CROSSCAT Principle • 詳細は、本資料のAppendixを参照のこと 8参考:『インテリジェンス駆動型インシデントレスポンス』
Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンスとは? • 脅威インテリジェンス = 脅威 + インテリジェンス • インテリジェンス: – 情報・データを以下の要件を満たすように分析・加工したもの – 分析方法:インテリジェンス・サイクル 9参考:『インテリジェンス駆動型インシデントレスポンス』
Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンスとは? • 脅威インテリジェンスは、なぜ必要か? – より高度(効率的・効果的)な「セキュリティリスク管理」のため • リスク = 脅威 × 脆弱性 × 資産 10 脅威 脆弱性 資産 (Crown Jewel) (理論) 自社でコントロールできる領域コントロールできない領域 参考:ISO/IEC 27005 Information Security Risk Management1
Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンスとは? • 脅威インテリジェンスは、なぜ必要か? – より高度(効率的・効果的)な「セキュリティリスク管理」のため • リスク = 脅威 × 脆弱性 × 資産 11 脅威 脆弱性 資産 (Crown Jewel) (理論) 自社でコントロールできる領域 (現実) 膨大な管理労力 (投入できる)リソースの限界 クラウド・サプライチェーンなど難しい管理領域 コントロールできない領域
Copyright ©2020 Tomohisa Ishikawa All rights reserved The adage is true that the security systems have to win every time, the attacker only has to win once. The Art of Intrusion, written by Kevin Mitnick セキュリティ・システムは常勝を義務づけられ、攻撃者は一度勝つだけで良い、 という格言は的を射てる。 12
Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンスとは? • 脅威インテリジェンスは、なぜ必要か? – より高度(効率的・効果的)な「セキュリティリスク管理」のため • リスク = 脅威 × 脆弱性 × 資産 13 脅威 脆弱性 資産 (Crown Jewel) 「リスク管理」の優先度をつけるため、「脅威」に注目する。(=敵を知る) • 結局、サイバーリスクのドライバー(起点)となるのは、「脅威」である。 • セキュリティリソース(人・モノ・金・時間)は限られるため、全方位に十分な対策を行うことが 難しい。そのため、具体的な脅威へ対応することを優先する。
Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンスとは? • 活用ポイント:種類と目的を理解する(誰に価値を提供するか?) – DoDモデル:米国国防総省によるインテリジェンス分類(※1・※2) 14 LongTerm Strategic Intelligence • 経営層・リーダ向け • リスク変化に対するハイレベルな情報を提供することで、セキュリティに関する適 切な意思決定・投資判断のインプットとする。 Operational Intelligence • セキュリティアーキテクト・管理者・SOC担当者向け • 攻撃者のプロファイル、攻撃手法(TTPs)など攻撃者の手法を理解 し、短期~中期的なセキュリティ改善活動に活用する。 • TTPs : Tactics, Techniques and Procedures ShortTerm Tactical Intelligence • SOC担当者向け • 日々のセキュリティ運用において、(セキュリティ製 品に反映される前の)攻撃シグニチャ(IOC)を取得・ 設定することでインシデントを未然に防ぐ。 ※1 : 各分類の詳細な対象者・役割は、講演者の研究に基づく。 ※2 : 英国CPNIが定義した分類モデルが存在する。詳細はAppendix参照のこと。
Copyright ©2020 Tomohisa Ishikawa All rights reserved 15 1 : 脅威インテリジェンスとは? 1-1 : Tactical Intelligence
Copyright ©2020 Tomohisa Ishikawa All rights reserved Tactical Intelligence • SOC運用者のための脅威インテリジェンス – 日々のセキュリティ運用を支える為のインテリジェンス (1)IOC活用による脅威の予防・検知 • IOC(Indicator of Compromise・侵害指標) – 実際に発生した脅威・攻撃手法を特定するための技術的特性情報(=シグニチャ) – 例)ハッシュ値・IPアドレス・ドメイン名・マルウェアがPC上に残る痕跡 • IOCの活用方法 – 検知:過去 or 現時点で、自社が攻撃されていないことを確認する。 • 攻撃された場合は、IOCを活用してインシデント対応を行う。 – 予防:将来、自社に同様の攻撃が発生しないようにDeny Listへ登録を行う。 • IOCの鮮度は非常に短い!! – IOC活用により、シグニチャ化していない業界固有の脅威を予防・発見できる。 – 但し、こうした脅威情報は製品ベンダーも収集しており、時間が経過すればシグニチャと して提供される。そのため、IOC活用の意義は、ゼロデイ期間(=シグニチャ化されるまで の期間)に攻撃を予防・検知することにある。 • 量とスピードが重要のため、SOAR等の自動化を目指すことが望ましい!! 16
Copyright ©2020 Tomohisa Ishikawa All rights reserved Tactical Intelligence • SOC運用者のための脅威インテリジェンス – 日々のセキュリティ運用を支える為のインテリジェンス (2)脆弱性管理への応用 • 収集 – 脆弱性情報を収集し、自社がやられる「機会」が存在するか確認する。 • トリアージ – 攻撃コードの公開状況、ツール、業界における攻撃状況などの脅威インテリ ジェンスと突合させて、パッチ適用の優先度を判断するために活用する。 • 量とスピードが重要のため、自動化を目指すことが望ましい!! • 脆弱性管理への脅威インテリジェンスの応用は、データ量とスピードが勝負で あるため、製品等を利用しながら自動化していくことが望ましい。 17
Copyright ©2020 Tomohisa Ishikawa All rights reserved 18 1 : 脅威インテリジェンスとは? 1-2 : Operational Intelligence
Copyright ©2020 Tomohisa Ishikawa All rights reserved Operational Intelligence • 各種セキュリティ担当者向けの短期~中期的な脅威インテリジェンス – 攻撃者のプロファイル、攻撃手法(TTPs : Tactics, Techniques & Procedures) を把握し、改善活動・意思決定に活用する。(= MITRE ATT&CKの活用) 19 担当者 応用方法 内容 SOC担当者 インシデント対応 (Incident Response) インシデント対応を行う際、攻撃手法(TTPs)を活用して効率的な 対応を行う(詳しくは、本をご参照ください) → 性質上、Tactical Intelligenceに近い部分もある。 SOC担当者 脅威ハンティング (Threat Hunting) 既存のセキュリティ対策を回避する高度な脅威を検知・隔離するため、 能動的・再帰的にネットワーク内を探索するプロセス。既存のインテ リジェンス(TTPs)を起点に、新しい脅威を見つけ出す。 SOC担当者 TLPT (Threat Lead Pen Test) TLPTとは、実際の攻撃シナリオに基づいて侵入テストを実施し、脅 威を防ぐ態勢(予防・検知・対応)を確認する手法。攻撃シナリオ構 築に攻撃者のプロファイル・攻撃手法(TTPs)を利用する。 セキュリティ アーキテクト アーキテクチャの改善 (Defensive Architecture) Defensive Architectureとは、攻撃を予防・検知・対応できるアーキ テクチャである。攻撃手法(TTPs)を活用し、セキュリティ態勢 (製品・プロセス・人)の改善検討へ利用する。 GRC担当 リスク評価 (Risk Assessment) リスク評価において、新しい攻撃手法・シナリオ(TTPs)を利用し て評価を行うことで、最新の攻撃シナリオへの対応を可視化できる。
Copyright ©2020 Tomohisa Ishikawa All rights reserved 20 1 : 脅威インテリジェンスとは? 1-3 : Strategic Intelligence
Copyright ©2020 Tomohisa Ishikawa All rights reserved Strategic Intelligence • リーダのための脅威インテリジェンス – セキュリティに関する意思決定・投資判断を行うためのインテリジェンス • 主に伝える情報は、以下の通り(=投資・意思決定のインセンティブ提供) – サイバー攻撃に関する動向 • Ex)Zoom-Bombingや、リモートワークにおけるセキュリティについて • Ex)Zero-Trust Architectureについて • Ex)他社・他業種における攻撃動向について – (セキュリティに関連する)外部環境情報 • Ex)規制・新しい技術動向・他社の取り組みなど • PESTLEフレームワークを応用する(もともとは、マーケティング用語) • Strategic Intelligence(外部環境)を提供し、インセンティブを提供した 場合、次は必ず「うちはどうなっているんだ?」と質問される。 • そのため、KPI・KRIを使い、自社のセキュリティリスク(内部情報)を インプットしておく必要がある。 21
Copyright ©2020 Tomohisa Ishikawa All rights reserved Strategic Intelligence • PESTLEフレームワーク : 外部マクロ環境を構成する6つの観点 22 Political 政治的要因とは、自社に関連する政治的醸成(訴訟・特定の国・ 組織・団体とのトラブル)を分析し、必要なリスクを訴求する。 Economic 経済的要因とは、他社事例の被害額、自社データの価値などを 算出しながら、必要な投資やリスクを訴求する。 Social 社会的要因とは、セキュリティに対する世論の考え方・反応・意 見、および同業他社・異業種の取り組みを参考にしながら、自社 のセキュリティ状況と比較し、投資やリスクを訴求する。 Technological 技術的要因では、新しい技術動向・トレンド情報から、必要な セキュリティ投資やリスクを訴求する。 Legal 法的要因(政府方針・業界団体による規制・ガイドライン)など をトリガーに、必要なセキュリティ投資やリスクを訴求する。 Environmental 環境要因では、他社攻撃情報・脅威動向をもとに、必要なセキュ リティ投資やリスクを訴求する。
Copyright ©2020 Tomohisa Ishikawa All rights reserved 23 2 : 脅威インテリジェンス利用時の注意事項
Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンス利用時の注意事項 • No.1:「脅威インテリジェンス」の目的を見失わない! – 脅威は、所詮「管理できない要素」である。 • 敵を知ることは大事だが、「リスク管理」の高度化という目的を忘れないこと。 – 民間企業の場合、名前が知られている攻撃グループ等を脅威アクターとして想定 すれば、最初は十分だと考えられる。 24
Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンス利用時の注意事項 • No.2:脅威インテリジェンスの最大活用には、一定の成熟度が必要! – Cyber Hygiene(サイバー公衆衛生)+ “Passive Defense”ができる程度の成熟度は必要 – Cyber Hygieneについては、Appendix参照のこと • Sliding Scale of Cybersecurity:サイバーセキュリティ態勢の成熟度モデル – SANS InstructorのRobert M. Leeにより、2015年に提唱されたモデル – Architecture • セキュリティを念頭にシステム計画・構築・維持を行う態勢があること – Passive Defense • 人が継続的に関与せず、一貫性のある防御メカニズムを有している状態 ⇒ シグニチャベース(+一部の振る舞い検知)の検知・対応 25効果的に利用できる成熟度
Copyright ©2020 Tomohisa Ishikawa All rights reserved 26 3 : まとめ
Copyright ©2020 Tomohisa Ishikawa All rights reserved まとめ 本日お話したかったこと • 脅威インテリジェンスの定義・必要性・活用方法について共有 • 金融ISACをどう活用し、貢献していくか? → 講演の中でお話させていただきます。 27
Copyright ©2020 Tomohisa Ishikawa All rights reserved ご清聴、ありがとうございました。 28
Copyright ©2020 Tomohisa Ishikawa All rights reserved 29 Appendix
Copyright ©2020 Tomohisa Ishikawa All rights reserved Appendix A : CROSSCAT Principle • CREST(英国式TLPTベンダー認定組織)が提唱している脅威 インテリジェンスが満たすべき原則 • CROSSCOT Principle – Centralized :集中的に管理して、効率性を意識すること – Responsive :(利用者が)即時活用な形で提供すること – Objective :客観的であること – Systematic :一貫性を持ったプロセスで処理・利用されるこ と – Sharing :情報提供元に配慮しながら、適切に共有すること – Continuous Review :インテリジェンスは定期的に見直すこと – Accessible :適切な利用者への可用性を確保すること – Timely :適切なタイミングで提供すること • 参考文献 – https://www.crest-approved.org/wp-content/uploads/CREST-Cyber-Threat-Intelligence.pdf 30
Copyright ©2020 Tomohisa Ishikawa All rights reserved • 「英国CPNIが定義した分類モデル」は以下の通り。 Appendix B :英国CPNIの分類モデル 31 LongTerm Strategic リスク変化に対する ハイレベルな情報 役員・リーダ Tactical 攻撃者が利用する 攻撃手法・TTPs アーキテクト・管理者 ShortTerm Operational 特定の攻撃の詳細 SOC担当者 Technical IOC・脆弱性動向 SOC担当者 High Level Low Level 参考: https://www.ncsc.gov.uk/content/files/protected_files/guidance_files/ MWR_Threat_Intelligence_%20whitepaper-2015.pdf
Copyright ©2020 Tomohisa Ishikawa All rights reserved Appendix C : Cyber Hygiene Cyber Hygiene(サイバー公衆衛生):セキュリティ基本対策の徹底 定義:CIS Controlsの1~6を実装すること(by CIS CSC) • CIS Control 01:ハードウェア資産のインベントリとコントロール • CIS Control 02:ソフトウェア資産のインベントリとコントロール • CIS Control 03:継続的な脆弱性管理 • CIS Control 04:管理権限のコントロールされた使用 • CIS Control 05:ハードウェアおよびソフトウェアのセキュアな設定 • CIS Control 06:監査ログの保守、監視および分析 効用:CIS Controlの最初の5つを実装すれば、サイバー攻撃リスクを85%削減可能 元ネタは、ASD(Australian Signals Directorate)の「Top 4 Mitigation Strategiesにより85% の脅威を防げた」というデータによる。ASDはTop 35 Strategiesと呼ばれる施策を提示しており、 さらに絞り込んだEssential 8とTop 4 Mitigation Strategyを提唱している。 • ASD Top 4 #1 Application Whitelisting → CIS Control #5 • ASD Top 4 #2 Patch Application → CIS Control #3 • ASD Top 4 #3 Patch OS → CIS Control #3 • ASD Top 4 #4 Restrict Admin Privilege → CIS Control #4 32
Copyright ©2020 Tomohisa Ishikawa All rights reserved Appendix D : 参考文献 • 『攻撃者をあぶり出す、プロアクティブなセキュリティアプローチ』 – Internet Week 2019の講演で、Threat HuntingとTLPTについて解説しています。 – https://www.nic.ad.jp/ja/materials/iw/2019/proceedings/d2/ • 『丸ごと分かるペネトレーションテストの今』 – Internet Week 2018の講演で、ペネトレーションテストについて詳細を解説しています。 – https://www.nic.ad.jp/ja/materials/iw/2018/proceedings/d2/ • Threat Actorについて – THREAT GROUP CARDS : A THREAT ACTOR ENCYCLOPEDIA – MITRE ATT&CK Threat Group – ATT&CK Navigator 33

Recommended

Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
今どきのアーキテクチャ設計戦略 - QCon Tokyo 2016
今どきのアーキテクチャ設計戦略 - QCon Tokyo 2016今どきのアーキテクチャ設計戦略 - QCon Tokyo 2016
今どきのアーキテクチャ設計戦略 - QCon Tokyo 2016Yusuke Suzuki
 
Sec013 その資格情報、簡
Sec013 その資格情報、簡Sec013 その資格情報、簡
Sec013 その資格情報、簡Tech Summit 2016
 
HDC2022:Track A - 脅威ハンティング
HDC2022:Track A - 脅威ハンティングHDC2022:Track A - 脅威ハンティング
HDC2022:Track A - 脅威ハンティングTomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くセキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くHiroshi Tokumaru
 
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
楽天市場で使われている技術、エンジニアに必要なコアスキルとはTechnology used in Rakuten, core skills neede...
楽天市場で使われている技術、エンジニアに必要なコアスキルとはTechnology used in Rakuten, core skills neede...楽天市場で使われている技術、エンジニアに必要なコアスキルとはTechnology used in Rakuten, core skills neede...
楽天市場で使われている技術、エンジニアに必要なコアスキルとはTechnology used in Rakuten, core skills neede...Rakuten Group, Inc.
 
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するHiroshi Tokumaru
 

Recommended

Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
今どきのアーキテクチャ設計戦略 - QCon Tokyo 2016
今どきのアーキテクチャ設計戦略 - QCon Tokyo 2016今どきのアーキテクチャ設計戦略 - QCon Tokyo 2016
今どきのアーキテクチャ設計戦略 - QCon Tokyo 2016Yusuke Suzuki
 
Sec013 その資格情報、簡
Sec013 その資格情報、簡Sec013 その資格情報、簡
Sec013 その資格情報、簡Tech Summit 2016
 
HDC2022:Track A - 脅威ハンティング
HDC2022:Track A - 脅威ハンティングHDC2022:Track A - 脅威ハンティング
HDC2022:Track A - 脅威ハンティングTomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くセキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くHiroshi Tokumaru
 
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
楽天市場で使われている技術、エンジニアに必要なコアスキルとはTechnology used in Rakuten, core skills neede...
楽天市場で使われている技術、エンジニアに必要なコアスキルとはTechnology used in Rakuten, core skills neede...楽天市場で使われている技術、エンジニアに必要なコアスキルとはTechnology used in Rakuten, core skills neede...
楽天市場で使われている技術、エンジニアに必要なコアスキルとはTechnology used in Rakuten, core skills neede...Rakuten Group, Inc.
 
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するHiroshi Tokumaru
 
マイクロサービス化に向けて
マイクロサービス化に向けてマイクロサービス化に向けて
マイクロサービス化に向けてHIRA
 
RDRAにおける合意形成の仕組み
RDRAにおける合意形成の仕組みRDRAにおける合意形成の仕組み
RDRAにおける合意形成の仕組みZenji Kanzaki
 
MITRE ATT&CKcon 2.0: Prioritizing ATT&CK Informed Defenses the CIS Way; Phili...
MITRE ATT&CKcon 2.0: Prioritizing ATT&CK Informed Defenses the CIS Way; Phili...MITRE ATT&CKcon 2.0: Prioritizing ATT&CK Informed Defenses the CIS Way; Phili...
MITRE ATT&CKcon 2.0: Prioritizing ATT&CK Informed Defenses the CIS Way; Phili...MITRE - ATT&CKcon
 
ユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイントユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイントRecruit Technologies
 
Threat Hunting with Cyber Kill Chain
Threat Hunting with Cyber Kill ChainThreat Hunting with Cyber Kill Chain
Threat Hunting with Cyber Kill ChainSuwitcha Musijaral CISSP,CISA,GWAPT,SNORTCP
 
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...MITRE - ATT&CKcon
 
Amazon AthenaでSageMakerを使った推論
Amazon AthenaでSageMakerを使った推論Amazon AthenaでSageMakerを使った推論
Amazon AthenaでSageMakerを使った推論西岡 賢一郎
 
ぐるなびが活用するElastic Cloud
ぐるなびが活用するElastic Cloudぐるなびが活用するElastic Cloud
ぐるなびが活用するElastic CloudElasticsearch
 
SageMakerを使った異常検知
SageMakerを使った異常検知SageMakerを使った異常検知
SageMakerを使った異常検知Ryohei Yamaguchi
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 zaki4649
 
30分でわかるマイクロサービスアーキテクチャ 第2版
30分でわかるマイクロサービスアーキテクチャ 第2版30分でわかるマイクロサービスアーキテクチャ 第2版
30分でわかるマイクロサービスアーキテクチャ 第2版Naoki (Neo) SATO
 
CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!kazkiti
 
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策MITSUNARI Shigeo
 
HBaseとRedisを使った100億超/日メッセージを処理するLINEのストレージ
HBaseとRedisを使った100億超/日メッセージを処理するLINEのストレージHBaseとRedisを使った100億超/日メッセージを処理するLINEのストレージ
HBaseとRedisを使った100億超/日メッセージを処理するLINEのストレージLINE Corporation
 
Amazon SageMakerでscikit-learnで作ったモデルのEndpoint作成
Amazon SageMakerでscikit-learnで作ったモデルのEndpoint作成Amazon SageMakerでscikit-learnで作ったモデルのEndpoint作成
Amazon SageMakerでscikit-learnで作ったモデルのEndpoint作成西岡 賢一郎
 
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro... Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...MITRE ATT&CK
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例briscola-tokyo
 
FastAPIのテンプレートプロジェクトがいい感じだった話
FastAPIのテンプレートプロジェクトがいい感じだった話FastAPIのテンプレートプロジェクトがいい感じだった話
FastAPIのテンプレートプロジェクトがいい感じだった話NipponAlgorithm
 
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)kazkiti
 
WayOfNoTrouble.pptx
WayOfNoTrouble.pptxWayOfNoTrouble.pptx
WayOfNoTrouble.pptxDaisuke Yamazaki
 
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチInternet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチTomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~Tomohiro Nakashima
 

More Related Content

What's hot

マイクロサービス化に向けて
マイクロサービス化に向けてマイクロサービス化に向けて
マイクロサービス化に向けてHIRA
 
RDRAにおける合意形成の仕組み
RDRAにおける合意形成の仕組みRDRAにおける合意形成の仕組み
RDRAにおける合意形成の仕組みZenji Kanzaki
 
MITRE ATT&CKcon 2.0: Prioritizing ATT&CK Informed Defenses the CIS Way; Phili...
MITRE ATT&CKcon 2.0: Prioritizing ATT&CK Informed Defenses the CIS Way; Phili...MITRE ATT&CKcon 2.0: Prioritizing ATT&CK Informed Defenses the CIS Way; Phili...
MITRE ATT&CKcon 2.0: Prioritizing ATT&CK Informed Defenses the CIS Way; Phili...MITRE - ATT&CKcon
 
ユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイントユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイントRecruit Technologies
 
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...MITRE - ATT&CKcon
 
Amazon AthenaでSageMakerを使った推論
Amazon AthenaでSageMakerを使った推論Amazon AthenaでSageMakerを使った推論
Amazon AthenaでSageMakerを使った推論西岡 賢一郎
 
ぐるなびが活用するElastic Cloud
ぐるなびが活用するElastic Cloudぐるなびが活用するElastic Cloud
ぐるなびが活用するElastic CloudElasticsearch
 
SageMakerを使った異常検知
SageMakerを使った異常検知SageMakerを使った異常検知
SageMakerを使った異常検知Ryohei Yamaguchi
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 zaki4649
 
30分でわかるマイクロサービスアーキテクチャ 第2版
30分でわかるマイクロサービスアーキテクチャ 第2版30分でわかるマイクロサービスアーキテクチャ 第2版
30分でわかるマイクロサービスアーキテクチャ 第2版Naoki (Neo) SATO
 
CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!kazkiti
 
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策MITSUNARI Shigeo
 
HBaseとRedisを使った100億超/日メッセージを処理するLINEのストレージ
HBaseとRedisを使った100億超/日メッセージを処理するLINEのストレージHBaseとRedisを使った100億超/日メッセージを処理するLINEのストレージ
HBaseとRedisを使った100億超/日メッセージを処理するLINEのストレージLINE Corporation
 
Amazon SageMakerでscikit-learnで作ったモデルのEndpoint作成
Amazon SageMakerでscikit-learnで作ったモデルのEndpoint作成Amazon SageMakerでscikit-learnで作ったモデルのEndpoint作成
Amazon SageMakerでscikit-learnで作ったモデルのEndpoint作成西岡 賢一郎
 
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro... Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...MITRE ATT&CK
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例briscola-tokyo
 
FastAPIのテンプレートプロジェクトがいい感じだった話
FastAPIのテンプレートプロジェクトがいい感じだった話FastAPIのテンプレートプロジェクトがいい感じだった話
FastAPIのテンプレートプロジェクトがいい感じだった話NipponAlgorithm
 
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)kazkiti
 

What's hot (20)

マイクロサービス化に向けて
マイクロサービス化に向けてマイクロサービス化に向けて
マイクロサービス化に向けて
 
RDRAにおける合意形成の仕組み
RDRAにおける合意形成の仕組みRDRAにおける合意形成の仕組み
RDRAにおける合意形成の仕組み
 
MITRE ATT&CKcon 2.0: Prioritizing ATT&CK Informed Defenses the CIS Way; Phili...
MITRE ATT&CKcon 2.0: Prioritizing ATT&CK Informed Defenses the CIS Way; Phili...MITRE ATT&CKcon 2.0: Prioritizing ATT&CK Informed Defenses the CIS Way; Phili...
MITRE ATT&CKcon 2.0: Prioritizing ATT&CK Informed Defenses the CIS Way; Phili...
 
ユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイントユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイント
 
Threat Hunting with Cyber Kill Chain
Threat Hunting with Cyber Kill ChainThreat Hunting with Cyber Kill Chain
Threat Hunting with Cyber Kill Chain
 
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
 
Amazon AthenaでSageMakerを使った推論
Amazon AthenaでSageMakerを使った推論Amazon AthenaでSageMakerを使った推論
Amazon AthenaでSageMakerを使った推論
 
ぐるなびが活用するElastic Cloud
ぐるなびが活用するElastic Cloudぐるなびが活用するElastic Cloud
ぐるなびが活用するElastic Cloud
 
SageMakerを使った異常検知
SageMakerを使った異常検知SageMakerを使った異常検知
SageMakerを使った異常検知
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
 
30分でわかるマイクロサービスアーキテクチャ 第2版
30分でわかるマイクロサービスアーキテクチャ 第2版30分でわかるマイクロサービスアーキテクチャ 第2版
30分でわかるマイクロサービスアーキテクチャ 第2版
 
CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!
 
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
 
HBaseとRedisを使った100億超/日メッセージを処理するLINEのストレージ
HBaseとRedisを使った100億超/日メッセージを処理するLINEのストレージHBaseとRedisを使った100億超/日メッセージを処理するLINEのストレージ
HBaseとRedisを使った100億超/日メッセージを処理するLINEのストレージ
 
Amazon SageMakerでscikit-learnで作ったモデルのEndpoint作成
Amazon SageMakerでscikit-learnで作ったモデルのEndpoint作成Amazon SageMakerでscikit-learnで作ったモデルのEndpoint作成
Amazon SageMakerでscikit-learnで作ったモデルのEndpoint作成
 
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro... Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例
 
FastAPIのテンプレートプロジェクトがいい感じだった話
FastAPIのテンプレートプロジェクトがいい感じだった話FastAPIのテンプレートプロジェクトがいい感じだった話
FastAPIのテンプレートプロジェクトがいい感じだった話
 
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
 
WayOfNoTrouble.pptx
WayOfNoTrouble.pptxWayOfNoTrouble.pptx
WayOfNoTrouble.pptx
 

Similar to 金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」

Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチInternet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチTomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~Tomohiro Nakashima
 
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15) セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15)Nobukazu Yoshioka
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要Tokai University
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝Fumitaka Takeuchi
 
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないことマルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないことIIJ
 
ユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイントユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイントRecruit Technologies
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会Hayato Kiriyama
 
男It番長 セキュリティチェックリスト
男It番長 セキュリティチェックリスト男It番長 セキュリティチェックリスト
男It番長 セキュリティチェックリスト小島 規彰
 
見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威Shiojiri Ohhara
 
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...グローバルセキュリティエキスパート株式会社(GSX)
 
Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Takayoshi Takaoka
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはRiotaro OKADA
 
ソフトウェアエンジニアリング知識体系SWEBOK最新動向
ソフトウェアエンジニアリング知識体系SWEBOK最新動向ソフトウェアエンジニアリング知識体系SWEBOK最新動向
ソフトウェアエンジニアリング知識体系SWEBOK最新動向Hironori Washizaki
 

Similar to 金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」 (20)

Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチInternet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
 
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15) セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないことマルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
 
ユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイントユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイント
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
 
男It番長 セキュリティチェックリスト
男It番長 セキュリティチェックリスト男It番長 セキュリティチェックリスト
男It番長 セキュリティチェックリスト
 
見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威
 
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
 
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
 
Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
 
ソフトウェアエンジニアリング知識体系SWEBOK最新動向
ソフトウェアエンジニアリング知識体系SWEBOK最新動向ソフトウェアエンジニアリング知識体系SWEBOK最新動向
ソフトウェアエンジニアリング知識体系SWEBOK最新動向
 
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
 

Recently uploaded

新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。iPride Co., Ltd.
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Danieldanielhu54
 
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directoryosamut
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略Ryo Sasaki
 
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxIoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxAtomu Hidaka
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムsugiuralab
 
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。iPride Co., Ltd.
 
UPWARD_share_company_information_20240415.pdf
UPWARD_share_company_information_20240415.pdfUPWARD_share_company_information_20240415.pdf
UPWARD_share_company_information_20240415.pdffurutsuka
 
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000Shota Ito
 

Recently uploaded (9)

新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
 
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
 
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxIoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
 
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
 
UPWARD_share_company_information_20240415.pdf
UPWARD_share_company_information_20240415.pdfUPWARD_share_company_information_20240415.pdf
UPWARD_share_company_information_20240415.pdf
 
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000
 

金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」

  • 1. Copyright ©2020 Tomohisa Ishikawa All rights reserved Intelligence Driven Securityの「ことはじめ」 ~なぜ金融機関はIntelligence Driven Securityが必要か?~ 2020年5月 東京海上ホールディングス株式会社 IT企画部 リスク管理グループ 石川 朝久, Ph.D., CISSP, CSSLP, CISA, CISM, CFE, PMP 1 金融ISAC アニュアルカンファレンス 2020 アワード受賞記念講演
  • 2. Copyright ©2020 Tomohisa Ishikawa All rights reserved 金融ISACアワード、ありがとうございます!! 2
  • 3. Copyright ©2020 Tomohisa Ishikawa All rights reserved 今日のテーマとお話したいこと テーマ :脅威インテリジェンス • 攻撃者へのプロアクティブな対応のため、脅威インテリジェンスが必要不可欠! • 一方、脅威インテリジェンスも具体的活用に悩む企業も多い。 • 本講演では、「脅威インテリジェンス」の活用方法について紹介する。 アジェンダ • 1 : 脅威インテリジェンスとは? – 1-1 : Tactical Intelligence – 1-2 : Operational Intelligence – 1-3 : Strategic Intelligence • 2 : 脅威インテリジェンス利用時の注意事項 • 3 : まとめ • Appendix 3
  • 4. Copyright ©2020 Tomohisa Ishikawa All rights reserved 自己紹介:石川 朝久 • 所属 :東京海上ホールディングス株式会社 IT企画部 リスク管理グループ • 専門 :不正アクセス技術・インシデント対応・グローバルセキュリティ戦略 etc. • 資格 :博士(工学), CISSP, CSSLP, CISA, CISM, CFE, PMP • GIACs(GSEC, GSNA, GPEN, GWAPT, GXPN, GREM, GCIH, GCFA, GWEB) • 経歴 : • 2009.04 – 2019.03 :某セキュリティ企業 • 侵入テスト(Red Team)・インシデント対応・脆弱性管理・セキュア開発、セキュリティ教育 etc. • 1年間、米国金融機関セキュリティチームに所属した経験あり • 2019.04 – 現在 :東京海上ホールディングス株式会社 • 国内外グループ企業のセキュリティ支援・CSIRT運用・グローバルセキュリティ戦略 etc. • 対外活動(抜粋): – DEFCON 24 SE Village Speaker (2016) – Internet Week 2018 & 2019 (2018-2019) – IPA 情報処理技術者試験委員・情報処理安全確保支援士試験委員(2018~) – IPA 「10大脅威執筆者会」メンバ(2010~2014, 2019~) – オライリー社『インテリジェンス駆動型インシデントレスポンス』翻訳・監訳 • 現在も、次の本を翻訳しているので、こうご期待!! 4
  • 5. Copyright ©2020 Tomohisa Ishikawa All rights reserved 注意・ご連絡 • 本プレゼンテーションの内容は、全て講演者個人の見解です。 所属企業・部門・金融ISAC・所属WG・その他所属組織の見解を代表 するものではありません。 • 講演の内容については、講演者の研究、グループ会社などの取り組みなど を参考にしながら作成しています。 • 製品名・ベンダー名などが登場した場合、講演者にて推奨しているわけ ではありません。利用については各組織にて判断をお願いします。 5
  • 6. Copyright ©2020 Tomohisa Ishikawa All rights reserved 6 1 : 脅威インテリジェンスとは?
  • 7. Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンスとは? • 脅威インテリジェンス = 脅威 + インテリジェンス • 脅威:意図 × 能力 × 機会 – 脅威インテリジェンスとは、この3要素に関する情報を集めること – 意図 :どんな攻撃者が、どんな動機で自社を狙うのか? • 自社の「資産」に基づいて、動機や意図が決定される – 能力 :攻撃者はどのような攻撃手法を使うのか? • 自社の「環境」や「脆弱性」により、利用する攻撃手法が決定される – 機会 :攻撃を実現する環境・条件が整っているか? • 自社の利用環境を攻撃可能な攻撃コードが公開されているか? 7参考:https://www.osti.gov/servlets/purl/1034822
  • 8. Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンスとは? • 脅威インテリジェンス = 脅威 + インテリジェンス • インテリジェンス: – 情報・データを以下の要件を満たすように分析・加工したもの – 良いインテリジェンスの4要件:4A • Accurate(正確な) • Audience Focused(利用者目線である) • Actionable(アクショナブル) • Adequate Timing(適切なタイミング) – (ご参考)CRESTによるインテリジェンスが満たすべき原則:CROSSCAT Principle • 詳細は、本資料のAppendixを参照のこと 8参考:『インテリジェンス駆動型インシデントレスポンス』
  • 9. Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンスとは? • 脅威インテリジェンス = 脅威 + インテリジェンス • インテリジェンス: – 情報・データを以下の要件を満たすように分析・加工したもの – 分析方法:インテリジェンス・サイクル 9参考:『インテリジェンス駆動型インシデントレスポンス』
  • 10. Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンスとは? • 脅威インテリジェンスは、なぜ必要か? – より高度(効率的・効果的)な「セキュリティリスク管理」のため • リスク = 脅威 × 脆弱性 × 資産 10 脅威 脆弱性 資産 (Crown Jewel) (理論) 自社でコントロールできる領域コントロールできない領域 参考:ISO/IEC 27005 Information Security Risk Management1
  • 11. Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンスとは? • 脅威インテリジェンスは、なぜ必要か? – より高度(効率的・効果的)な「セキュリティリスク管理」のため • リスク = 脅威 × 脆弱性 × 資産 11 脅威 脆弱性 資産 (Crown Jewel) (理論) 自社でコントロールできる領域 (現実) 膨大な管理労力 (投入できる)リソースの限界 クラウド・サプライチェーンなど難しい管理領域 コントロールできない領域
  • 12. Copyright ©2020 Tomohisa Ishikawa All rights reserved The adage is true that the security systems have to win every time, the attacker only has to win once. The Art of Intrusion, written by Kevin Mitnick セキュリティ・システムは常勝を義務づけられ、攻撃者は一度勝つだけで良い、 という格言は的を射てる。 12
  • 13. Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンスとは? • 脅威インテリジェンスは、なぜ必要か? – より高度(効率的・効果的)な「セキュリティリスク管理」のため • リスク = 脅威 × 脆弱性 × 資産 13 脅威 脆弱性 資産 (Crown Jewel) 「リスク管理」の優先度をつけるため、「脅威」に注目する。(=敵を知る) • 結局、サイバーリスクのドライバー(起点)となるのは、「脅威」である。 • セキュリティリソース(人・モノ・金・時間)は限られるため、全方位に十分な対策を行うことが 難しい。そのため、具体的な脅威へ対応することを優先する。
  • 14. Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンスとは? • 活用ポイント:種類と目的を理解する(誰に価値を提供するか?) – DoDモデル:米国国防総省によるインテリジェンス分類(※1・※2) 14 LongTerm Strategic Intelligence • 経営層・リーダ向け • リスク変化に対するハイレベルな情報を提供することで、セキュリティに関する適 切な意思決定・投資判断のインプットとする。 Operational Intelligence • セキュリティアーキテクト・管理者・SOC担当者向け • 攻撃者のプロファイル、攻撃手法(TTPs)など攻撃者の手法を理解 し、短期~中期的なセキュリティ改善活動に活用する。 • TTPs : Tactics, Techniques and Procedures ShortTerm Tactical Intelligence • SOC担当者向け • 日々のセキュリティ運用において、(セキュリティ製 品に反映される前の)攻撃シグニチャ(IOC)を取得・ 設定することでインシデントを未然に防ぐ。 ※1 : 各分類の詳細な対象者・役割は、講演者の研究に基づく。 ※2 : 英国CPNIが定義した分類モデルが存在する。詳細はAppendix参照のこと。
  • 15. Copyright ©2020 Tomohisa Ishikawa All rights reserved 15 1 : 脅威インテリジェンスとは? 1-1 : Tactical Intelligence
  • 16. Copyright ©2020 Tomohisa Ishikawa All rights reserved Tactical Intelligence • SOC運用者のための脅威インテリジェンス – 日々のセキュリティ運用を支える為のインテリジェンス (1)IOC活用による脅威の予防・検知 • IOC(Indicator of Compromise・侵害指標) – 実際に発生した脅威・攻撃手法を特定するための技術的特性情報(=シグニチャ) – 例)ハッシュ値・IPアドレス・ドメイン名・マルウェアがPC上に残る痕跡 • IOCの活用方法 – 検知:過去 or 現時点で、自社が攻撃されていないことを確認する。 • 攻撃された場合は、IOCを活用してインシデント対応を行う。 – 予防:将来、自社に同様の攻撃が発生しないようにDeny Listへ登録を行う。 • IOCの鮮度は非常に短い!! – IOC活用により、シグニチャ化していない業界固有の脅威を予防・発見できる。 – 但し、こうした脅威情報は製品ベンダーも収集しており、時間が経過すればシグニチャと して提供される。そのため、IOC活用の意義は、ゼロデイ期間(=シグニチャ化されるまで の期間)に攻撃を予防・検知することにある。 • 量とスピードが重要のため、SOAR等の自動化を目指すことが望ましい!! 16
  • 17. Copyright ©2020 Tomohisa Ishikawa All rights reserved Tactical Intelligence • SOC運用者のための脅威インテリジェンス – 日々のセキュリティ運用を支える為のインテリジェンス (2)脆弱性管理への応用 • 収集 – 脆弱性情報を収集し、自社がやられる「機会」が存在するか確認する。 • トリアージ – 攻撃コードの公開状況、ツール、業界における攻撃状況などの脅威インテリ ジェンスと突合させて、パッチ適用の優先度を判断するために活用する。 • 量とスピードが重要のため、自動化を目指すことが望ましい!! • 脆弱性管理への脅威インテリジェンスの応用は、データ量とスピードが勝負で あるため、製品等を利用しながら自動化していくことが望ましい。 17
  • 18. Copyright ©2020 Tomohisa Ishikawa All rights reserved 18 1 : 脅威インテリジェンスとは? 1-2 : Operational Intelligence
  • 19. Copyright ©2020 Tomohisa Ishikawa All rights reserved Operational Intelligence • 各種セキュリティ担当者向けの短期~中期的な脅威インテリジェンス – 攻撃者のプロファイル、攻撃手法(TTPs : Tactics, Techniques & Procedures) を把握し、改善活動・意思決定に活用する。(= MITRE ATT&CKの活用) 19 担当者 応用方法 内容 SOC担当者 インシデント対応 (Incident Response) インシデント対応を行う際、攻撃手法(TTPs)を活用して効率的な 対応を行う(詳しくは、本をご参照ください) → 性質上、Tactical Intelligenceに近い部分もある。 SOC担当者 脅威ハンティング (Threat Hunting) 既存のセキュリティ対策を回避する高度な脅威を検知・隔離するため、 能動的・再帰的にネットワーク内を探索するプロセス。既存のインテ リジェンス(TTPs)を起点に、新しい脅威を見つけ出す。 SOC担当者 TLPT (Threat Lead Pen Test) TLPTとは、実際の攻撃シナリオに基づいて侵入テストを実施し、脅 威を防ぐ態勢(予防・検知・対応)を確認する手法。攻撃シナリオ構 築に攻撃者のプロファイル・攻撃手法(TTPs)を利用する。 セキュリティ アーキテクト アーキテクチャの改善 (Defensive Architecture) Defensive Architectureとは、攻撃を予防・検知・対応できるアーキ テクチャである。攻撃手法(TTPs)を活用し、セキュリティ態勢 (製品・プロセス・人)の改善検討へ利用する。 GRC担当 リスク評価 (Risk Assessment) リスク評価において、新しい攻撃手法・シナリオ(TTPs)を利用し て評価を行うことで、最新の攻撃シナリオへの対応を可視化できる。
  • 20. Copyright ©2020 Tomohisa Ishikawa All rights reserved 20 1 : 脅威インテリジェンスとは? 1-3 : Strategic Intelligence
  • 21. Copyright ©2020 Tomohisa Ishikawa All rights reserved Strategic Intelligence • リーダのための脅威インテリジェンス – セキュリティに関する意思決定・投資判断を行うためのインテリジェンス • 主に伝える情報は、以下の通り(=投資・意思決定のインセンティブ提供) – サイバー攻撃に関する動向 • Ex)Zoom-Bombingや、リモートワークにおけるセキュリティについて • Ex)Zero-Trust Architectureについて • Ex)他社・他業種における攻撃動向について – (セキュリティに関連する)外部環境情報 • Ex)規制・新しい技術動向・他社の取り組みなど • PESTLEフレームワークを応用する(もともとは、マーケティング用語) • Strategic Intelligence(外部環境)を提供し、インセンティブを提供した 場合、次は必ず「うちはどうなっているんだ?」と質問される。 • そのため、KPI・KRIを使い、自社のセキュリティリスク(内部情報)を インプットしておく必要がある。 21
  • 22. Copyright ©2020 Tomohisa Ishikawa All rights reserved Strategic Intelligence • PESTLEフレームワーク : 外部マクロ環境を構成する6つの観点 22 Political 政治的要因とは、自社に関連する政治的醸成(訴訟・特定の国・ 組織・団体とのトラブル)を分析し、必要なリスクを訴求する。 Economic 経済的要因とは、他社事例の被害額、自社データの価値などを 算出しながら、必要な投資やリスクを訴求する。 Social 社会的要因とは、セキュリティに対する世論の考え方・反応・意 見、および同業他社・異業種の取り組みを参考にしながら、自社 のセキュリティ状況と比較し、投資やリスクを訴求する。 Technological 技術的要因では、新しい技術動向・トレンド情報から、必要な セキュリティ投資やリスクを訴求する。 Legal 法的要因(政府方針・業界団体による規制・ガイドライン)など をトリガーに、必要なセキュリティ投資やリスクを訴求する。 Environmental 環境要因では、他社攻撃情報・脅威動向をもとに、必要なセキュ リティ投資やリスクを訴求する。
  • 23. Copyright ©2020 Tomohisa Ishikawa All rights reserved 23 2 : 脅威インテリジェンス利用時の注意事項
  • 24. Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンス利用時の注意事項 • No.1:「脅威インテリジェンス」の目的を見失わない! – 脅威は、所詮「管理できない要素」である。 • 敵を知ることは大事だが、「リスク管理」の高度化という目的を忘れないこと。 – 民間企業の場合、名前が知られている攻撃グループ等を脅威アクターとして想定 すれば、最初は十分だと考えられる。 24
  • 25. Copyright ©2020 Tomohisa Ishikawa All rights reserved 脅威インテリジェンス利用時の注意事項 • No.2:脅威インテリジェンスの最大活用には、一定の成熟度が必要! – Cyber Hygiene(サイバー公衆衛生)+ “Passive Defense”ができる程度の成熟度は必要 – Cyber Hygieneについては、Appendix参照のこと • Sliding Scale of Cybersecurity:サイバーセキュリティ態勢の成熟度モデル – SANS InstructorのRobert M. Leeにより、2015年に提唱されたモデル – Architecture • セキュリティを念頭にシステム計画・構築・維持を行う態勢があること – Passive Defense • 人が継続的に関与せず、一貫性のある防御メカニズムを有している状態 ⇒ シグニチャベース(+一部の振る舞い検知)の検知・対応 25効果的に利用できる成熟度
  • 26. Copyright ©2020 Tomohisa Ishikawa All rights reserved 26 3 : まとめ
  • 27. Copyright ©2020 Tomohisa Ishikawa All rights reserved まとめ 本日お話したかったこと • 脅威インテリジェンスの定義・必要性・活用方法について共有 • 金融ISACをどう活用し、貢献していくか? → 講演の中でお話させていただきます。 27
  • 28. Copyright ©2020 Tomohisa Ishikawa All rights reserved ご清聴、ありがとうございました。 28
  • 29. Copyright ©2020 Tomohisa Ishikawa All rights reserved 29 Appendix
  • 30. Copyright ©2020 Tomohisa Ishikawa All rights reserved Appendix A : CROSSCAT Principle • CREST(英国式TLPTベンダー認定組織)が提唱している脅威 インテリジェンスが満たすべき原則 • CROSSCOT Principle – Centralized :集中的に管理して、効率性を意識すること – Responsive :(利用者が)即時活用な形で提供すること – Objective :客観的であること – Systematic :一貫性を持ったプロセスで処理・利用されるこ と – Sharing :情報提供元に配慮しながら、適切に共有すること – Continuous Review :インテリジェンスは定期的に見直すこと – Accessible :適切な利用者への可用性を確保すること – Timely :適切なタイミングで提供すること • 参考文献 – https://www.crest-approved.org/wp-content/uploads/CREST-Cyber-Threat-Intelligence.pdf 30
  • 31. Copyright ©2020 Tomohisa Ishikawa All rights reserved • 「英国CPNIが定義した分類モデル」は以下の通り。 Appendix B :英国CPNIの分類モデル 31 LongTerm Strategic リスク変化に対する ハイレベルな情報 役員・リーダ Tactical 攻撃者が利用する 攻撃手法・TTPs アーキテクト・管理者 ShortTerm Operational 特定の攻撃の詳細 SOC担当者 Technical IOC・脆弱性動向 SOC担当者 High Level Low Level 参考: https://www.ncsc.gov.uk/content/files/protected_files/guidance_files/ MWR_Threat_Intelligence_%20whitepaper-2015.pdf
  • 32. Copyright ©2020 Tomohisa Ishikawa All rights reserved Appendix C : Cyber Hygiene Cyber Hygiene(サイバー公衆衛生):セキュリティ基本対策の徹底 定義:CIS Controlsの1~6を実装すること(by CIS CSC) • CIS Control 01:ハードウェア資産のインベントリとコントロール • CIS Control 02:ソフトウェア資産のインベントリとコントロール • CIS Control 03:継続的な脆弱性管理 • CIS Control 04:管理権限のコントロールされた使用 • CIS Control 05:ハードウェアおよびソフトウェアのセキュアな設定 • CIS Control 06:監査ログの保守、監視および分析 効用:CIS Controlの最初の5つを実装すれば、サイバー攻撃リスクを85%削減可能 元ネタは、ASD(Australian Signals Directorate)の「Top 4 Mitigation Strategiesにより85% の脅威を防げた」というデータによる。ASDはTop 35 Strategiesと呼ばれる施策を提示しており、 さらに絞り込んだEssential 8とTop 4 Mitigation Strategyを提唱している。 • ASD Top 4 #1 Application Whitelisting → CIS Control #5 • ASD Top 4 #2 Patch Application → CIS Control #3 • ASD Top 4 #3 Patch OS → CIS Control #3 • ASD Top 4 #4 Restrict Admin Privilege → CIS Control #4 32
  • 33. Copyright ©2020 Tomohisa Ishikawa All rights reserved Appendix D : 参考文献 • 『攻撃者をあぶり出す、プロアクティブなセキュリティアプローチ』 – Internet Week 2019の講演で、Threat HuntingとTLPTについて解説しています。 – https://www.nic.ad.jp/ja/materials/iw/2019/proceedings/d2/ • 『丸ごと分かるペネトレーションテストの今』 – Internet Week 2018の講演で、ペネトレーションテストについて詳細を解説しています。 – https://www.nic.ad.jp/ja/materials/iw/2018/proceedings/d2/ • Threat Actorについて – THREAT GROUP CARDS : A THREAT ACTOR ENCYCLOPEDIA – MITRE ATT&CK Threat Group – ATT&CK Navigator 33