セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

NCSCから公表されているOffice 365セキュリティのドキュメントを翻訳してみた!!

管理コストを下げるためにOffice 365の採用を行う企業も増えていると思いますが、その一方Office 365に対する攻撃も様々増えています。有名なところだと、産総研や明治大学が挙げられると思います。www.nikkei.com

www.nikkei.com

翻訳:O365への侵入増加と防御方法について

2018年12月に、英国国立サイバーセキュリティセンター(NCSC)からOffice 365に関する攻撃手法と防御手法についてまとめられていた資料が発表されました。

www.ncsc.gov.uk

その翻訳を以下に公開しています。(翻訳の一覧はコチラ!!)

scientia-security.github.io

本ドキュメントを読んでいただければわかりますが、対策内容としては普通で当たり前、また最低限の内容に限定されています。しかし、Office 365のセキュリティ対策を不安に感じている人が、NCSCが出ている指針に乗っ取っていることを明確にできれば、その不安も払拭できると思い、翻訳を行いました。

個人的には、Office 365 Secure Scoreをあまり知らなかったのでこれは良い収穫でした。(これは、Gartner社のMeasure Your Office 365 Security With Secure Scoreでも話題にあがっており、これに頼り切りになることへの問題点を指摘していますが、最初の指標としてはよいものだと思います)

お役にたてば幸いです。

CISOの役割とは?(2019年度版)

以前の記事でCISOの役割という記事を書きました。

しかし、最近いくつかドキュメントを読み少し更新できること、また以前紹介したCISO Mind Mapの日本語を作成したのでそれを紹介したいと思います。

www.scientia-security.org

CISOに関するフレームワーク

前回の記事でも書きましたが、CISOの役割は様々あります。端的に言ってしまえば、以下の3点を持っていれば最強のCISOになれるでしょう。

  • 要件1:ビジネスがわかる(CEO的役割)
  • 要件2:技術がわかる(CTO的役割)
  • 要件3:セキュリティがわかる(GRC的役割)

しかしそれではCISOが何をすべきかわからないため、最新のフレームワークについて詳しく見ていきましょう。いろんなフレームワークがありますが、組織にあうフレームワークを選べばよいと思います。

フレームワーク1:CISO Mind Map

前回も紹介しましたが、一番有名なものはRafeeq Rehman氏のブログで提唱しているCISO Mind Mapでしょう。毎年更新されており、彼の最新ブログを読むと、さらにその役割は拡大しているようです。最新版(v10)は、以下に存在します。rafeeqrehman.com

2018年の資料では、大きく11種類の分野について考慮しなければならないと述べています。

  1. Governance
  2. Security Operation
  3. Identity and Access Management
  4. Risk Management
  5. Legal & Human Resource
  6. Compliance & Audit
  7. Security Architecture
  8. Budget
  9. Project Delivery Lifecycle
  10. Business Enablement
  11. Selling Inforsec to Internal

但し、少し網羅的であり、プレゼンテーションには少し難しいため、様々な形でポスター化されています。

CISO Mind Map v10 日本語版

CISO Mind Mapの日本語版がないので、2018年度版(v10)で作成してみました。(但し、他のバージョンに揃えて、基本的に大項目のみを載せています)

ご自由にお使いください。

f:id:security_consultant:20190117224853j:plain

PDF版が欲しい方はこちらよりダウンロードしてください。

www.slideshare.net

CISO Mind Map Poster

プレゼンテーション用であれば、以下の3つが有名です。

但し、少しバージョンが古かったり、定義が異なるため注意が必要です。

例えば、SANS版では、7つのドメインを定義している様子です。

  1. Security Operation
  2. Legal & Regulatory
  3. Business Enablement
  4. Identity and Access Management
  5. Risk Management
  6. Governance
  7. Leadership Skills

フレームワーク2:C|CISO by EC Council(再掲)

EC Councilは、CEH(Certified Ethical Hacker)というペネトレーション系資格で有名ですが、彼らが出している資格の一つにCISO向けの資格があります。この資格の有効性は受験したことがないためわかりませんが、CISOが知っておくべきという内容を体系立てたという点では非常に有益な資料だと思います。

これによると、5つのドメインを学ぶ必要があります。

  1. Domain 1: Governance
  2. Domain 2: Security Risk Management, Controls, & Audit Management
  3. Domain 3: Security Program Management & Operations
  4. Domain 4: Information Security Core Concepts
  5. Domain 5: Strategic Planning, Finance, & Vendor Management

フレームワーク3:CISSP-ISSMP by (ISC)2(再掲)

もう一つに、CISSPの上位資格であるCISSP-ISSMPが挙げられます。こちらでも、5つのドメインについて定義されています。

  1. Domain 1 : Security Leadership and Management
  2. Domain 2 : Security Lifecycle Management
  3. Domain 3 : Security Compliance Management
  4. Domain 4 : Contingency Management
  5. Domain 5 : Law, Ethics and Incident Management

フレームワーク4:セキュリティの7S

セキュリティの観点から組織を記述する方法として、マッキンゼーの7Sを応用するという考え方があります。

tech.nikkeibp.co.jp

CISOの役割は、組織のセキュリティを強化することです。言い換えれば、組織マネジメントを表す7Sを改善していくべきといえます。

  • Strategy(戦略)
  • Structure(組織)
  • System(システム)
  • Skill(スキル)
  • Staff(人材)
  • Style(スタイル・社風)
  • Shared Value(価値観)

フレームワーク5:CISO Periodic Table

CISO Periodic Table(CISO周期表)とは、Optiv社が作成したフレームワークです。

まだあまり知られていませんが、非常に面白いフレームワークだと思います。

www.optiv.com

フレームワーク6:Gartner社のフレームワーク

Gartner社も「A Step-by-Step Guide to Becoming a CISO」という調査資料で、CISOが持つべき知識と役割(CISO: Important Skill Sets and Knowlege Requirements)を述べています。Gartnerにアクセスできる人は本資料を一度見ることを推奨します。

Gartner社によると4ドメインを定義しています。

  • Domain 1: Technical
    • Technical Knowledge
    • Risk Management
  • Domain 2: Operational
    • Operational Management
    • Risk Management
  • Domain 3: Business
    • Business Knowlege
    • Strategic Planning
  • Domain 4: Leadership
    • Team Leadership
    • Psychology & Sociology
    • Strategic Planning
    • Political Influence
    • Effective Communication

上記のフレームワークで一番面白いのは、Political Influenceについて明確に定義していることだと思います。Gartner社では別の調査資料(Develop the Skills of the Contemporary CISO)で、以下の7点のスキルを持つべきと挙げています(日本語は、私が勝手にまとめたものなので、Gartner社の見解と異なる可能性があります。)

  • Patience(忍耐強く取り組むこと)
  • Perseverance(根気よく取り組み、あきらめないこと)
  • Pragmatism(理想主義にならず、現実的であること)
  • Realism(称賛を期待しないこと)
  • Helpfulness(助けるマインドセットを持つこと)
  • Caution(決定とその結果を意識して記録し、注意深くあること)
  • Leverage(人脈を活用すること)

フレームワーク7:CISO Organizational Structure

カーネギーメロン大学 ソフトウェア工学研究所(Carnegie Mellon University Software Engineering Institute)は、CISO Organizational Strucutreに関する論文「Structuring the Chief Information Security Officer Organization」を発表しています。

これによれば、CISOは、以下の組織形態を持つべきとしています。言い換えれば、これがCISOが管理すべき組織であり、管理すべきエリアということになります。

f:id:security_consultant:20190112171520p:plain

CISOの教科書的ドキュメント

CISOの教科書的資料は、あまり多くはありません。現時点で使える資料を紹介します。

CISO Compass 

一つの有名な書籍として、CISO Compassという書籍があります。

CISO COMPASS: Navigating Cybersecurity Leadership Challenges with Insights from Pioneers

CISO COMPASS: Navigating Cybersecurity Leadership Challenges with Insights from Pioneers

 

CISOの役割を、マッキンゼーの7Sフレームワークを軸に解説しています。一読した印象とすると、テクニカルな解説はそこまで多くなく、どちらかというと法規制やプロジェクトの進め方、CISOが取るべき姿勢などに集中して書かれています。また、この本の特徴として、多くのCISOのインタビューを載せています。そのため、初めてCISOになる上では非常によい教科書になると思います。

JNSA CISOハンドブック

日本でも、CISO(Chief Information Security Officer)の役割は認知されつつあり、JNSA(日本ネットワークセキュリティ協会)からもCISOハンドブックが公表されています。

CISOに関する日本語の資料はあまりないので貴重な資料になると考えています。

 

www.jnsa.org

Virtual CISO

一方、米国のトレンドを見るとVirtual CISO(vCISO)という概念が出てきています。

Gartnerの資料(Can You, and Should You, Bring in a Virtual CISO?)によれば、「常勤担当者の任命、短期的な戦術要件への対応、またはスタッフの能力育成が難しい場合の解決策として、バーチャルCISOの採用を検討する」と指摘しています。実際、有名なセキュリティベンダーであるRapid7やTrustedSecもサービスを提供しているようです。 

www.rapid7.com

www.trustedsec.com

しかし、「ビジネスを正確に把握する必要がある」ことや「内部の人間として振る舞うこと」など色々な要求事項が掲げられている一方、CISOはビジネスや社内政治などにも関与する必要があり、果たしてそこまでサービスとして実行できるか否かは難しいでしょう。

特に日本企業の場合、終身雇用がいまだ前提であり、各企業によって企業文化が相当異り、プロパー社員が重宝されるような環境の場合、vCISOのようなコンサルタントがうまく立ち振る舞うのは難しいと思います。もし日本でサービス提供するとなれば、社内でCISOを立ててもらい、「CISO支援」という形でセキュリティコンサルタントを常駐させて、参謀として動くパターンが一般的になるかと思います。(逆に、海外の場合はCISOを外から連れてきたり変わることも多いので、vCISOという概念は馴染むのかもしれません)

まとめ

2018年9月において、三菱UFJフィナンシャルグループ(MUFG)がCISOを設置したことがニュースになりました。今後、CISOを設置するという企業は増えてくるでしょう。

www.nikkei.com

CISOの役割は今後も非常に重要となりますので、この記事が参考になれば幸いです。

リスク分析の3つのアプローチとセキュリティの7S

リスク分析は、セキュリティ戦略策定の上で欠かせない基本的なアプローチです。

以前、日経SYSTEMSの記事「セキュリティコスト 5つの掟」(2018年10月号)にて、 一部のインタビュー記事が紹介されましたが、そこで取り扱われたリスク分析の考え方について、自分の考え方について少し整理をしておきたいと思います。

tech.nikkeibp.co.jp

リスク分析の概要

リスク分析とは、基本的に以下のステップで行います。

  1. セキュリティ対策の現状把握を行い、現時点のリスクを特定・把握する。
  2. 対策の優先度を決定する。
  3. 対策の実装に向けたロードマップを策定する。

セキュリティ予算・リソースは通常有限であり、足りないことが一般的ですので、この分析をしてその年にやるべき対策を決定するのが主なスコープです。

セキュリティ対策の現状把握

リスク分析を行う際に、一番悩むポイントとして、「どのようにセキュリティ対策の現状把握を行うか?」という点です。

アプローチ手法

筆者の経験では、リスク分析のアプローチは大きく3種類に分類されると考えています。

  • ベースラインアプローチ
  • リスクベースアプローチ
  • ビジネスプロセスアプローチ
アプローチ1:ベースラインアプローチ

ベースラインアプローチとは、あらかじめ実現すべきセキュリティレベル(ベースライン)を決定し、システムや組織が目標としているセキュリティレベルに達しているか否か判断するアプローチで、ギャップ分析とも呼ばれます。

このベースライン(実現すべきセキュリティレベル)としては、様々なガイドラインや規制を活用することが一般的です。以下に代表的なガイドラインを示します。

  • ISO270001
  • Critical Security Control
  • PCI-DSS

例えば、Critical Security Controlの場合、AuditScript社がだしているようなスクリプトで評価する方法などが考えられます。(AuditScripts.com

ここで注意すべきことが複数存在します。

第一に、各ガイドライン・規制の特徴を正確に把握することです。具体的に技術的に詳しく踏み込んでいるガイドラインもあれば、かなり汎用的な表現にまとめられているものも存在します。各セキュリティベンダーは、こうした利点・欠点を活用しながら、独自のフレームワークを作成していたりします。

第二に、どのように評価するかという点です。簡単な方法はチェックリストによるチェックです。しかし、チェックリストでは申告者の認識違いなどがあり、過大評価される結果になりがちです。一方、コンサルタントを使った評価では、具体的なドキュメントを確認したり、記録を確認したりするなどして、その品質を担保していきます。

アプローチ2:リスクベースアプローチ

リスクベースアプローチとは、ベースラインアプローチをある程度実施し、基本的な対策を実装した組織がやるべき一つ成熟度を上げた手法です。これは、ある特定のリスクを防止するために必要な対策を見極めるアプローチで、「脅威シナリオ分析」とも呼ばれます。

ここで重要なことは、一般的にリスクが高いとされる脅威を選択すること、そしてシナリオを適切かつ緻密に作成することです。そのシナリオを作成するためには、Threat Intelligenceなどを活用するなどして、最新のシナリオを取り入れていきます。

そして、どういう条件の場合において攻撃が成功するのか、そしてどんな新しいセキュリティ施策(Security Control)を導入するとその可能性を下げることができるのか、多層防御(Defense-In-Depth)の概念から検証します。

アプローチ3:ビジネスプロセスアプローチ

ビジネスプロセスアプローチは、よりビジネスプロセスに寄り添ったリスク分析手法です。この考え方は、複雑なビジネスプロセスを持っている、あるいは拠点間で様々な分業が行われているなど、リスクベースアプローチで対象とするような技術的リスクだけでなく、ビジネスプロセス上のリスクも含めて評価することを目的としています。特に最近では、BECのようなビジネスプロセスを悪用したような攻撃も増えていますので、こうした分析手法も徐々に注目を浴びています。

具体的な方法は、まずビジネスプロセスをまず整理します。その時には、全てのビジネスプロセスを追いかけると複雑になるため、主要なデータ(個人情報など)に注目し、その流れを追いかけることで関係のあるプロセスに着目します。そのうえで、どのような処理が行われているか、そしてどんな攻撃を受ける可能性があるかを分析していく手法です。

方法論(机上分析 vs. 技術分析)

ここまで、3種類のアプローチを紹介しましたが、これは机上分析という方法論に特化して説明してきました。ここでは、この方法が、テクニカルな方法でもこの考え方は適当できることを考えて行きます。

方法論1:机上分析

ここまで紹介した方法は、机上分析と呼ばれる方法です。この方法は、技術、プロセス、組織面から網羅性を担保して分析できる一方、ヒアリングやアンケートに基づいて行われるため、勘違いや認識齟齬、実際の技術やプロセスの実効性などについてあまり掘り下げられない可能性があります。

方法論2:技術分析

一方、技術分析と呼ばれる方法も存在します。技術分析とは、セキュリティ診断やペネトレーションテストなどを意味し、技術的観点を中心に、予防(Prevention)、検知(Detection)、対応(Response)の観点から分析を行います。技術的観点には深く分析することができる一方、マネジメント的観点、あるいはプロセス的観点についてはあまり網羅できないという特徴があります。

ベースラインアプローチに該当する技術分析は、脆弱性スキャンと呼ばれる方法です。パッチが適切にあたり、ハードニングが適切に行われている状態をベースラインとする一方、各機器が持つセキュリティレベルをチェックして、適用されていないパッチ、あるいは脆弱な設定などを洗い出し、そのギャップを分析する方法です。

また、リスクベースアプローチに該当する技術分析は、ペネトレーションテスト、あるいはRed Team Exerciseと呼ばれる方法です。つまり、実際にある目標に対する脅威を想定して、どんな攻撃パターンで目的を達成できるか、技術的な観点から監査を行います。最近金融庁などから話題になっているTIBER(Threat Intelligence Based Ethical Red Teaming)やTLPT(Threat Lead Penetration Test)などは、このシナリオ・リスクにより注目した概念だと考えられます。

最後のビジネスプロセスアプローチについては、ビジネス的観点を重視にされているため、ビジネスを知っているセキュリティ専門家でないと実施できない方法です。強いて言えば、高度なTIBER・TLPTはこれに該当すると言えますが、まだまだビジネスリスクにまで焦点を当てた技術分析は少ないでしょう。

補足:プロセスの実効性をより深く検証する方法は?

ここまで読むと、プロセス面の実行性をより深く検証する方法はないのか?という疑問がわいてきます。部分的には存在します。

例えば、セキュア開発ライフサイクルなどの実効性を確認する場合は、当該製品のセキュリティ診断結果を見つつ、関連するドキュメントや成果物などを仔細に分析していく監査的なアプローチなどを取ることにより検証ができると言えます。

一方、例えばインシデント発生時の対応プロセスを検証するのであれば、サイバー演習と呼ばれる方法が有効でしょう。これは、実際にセキュリティインシデントが発生したと仮定して、模擬訓練を行う方法で、本来は避難訓練と同様に訓練が目的です。しかし、この方法を通じて、どのようなプロセス上の欠点があるか洗い出すことができます。例えば、金融庁や金融ISACが実施しているサイバー演習は、適宜イベントと呼ばれる状況付与を与え、それに基づいてダイナミックに対応する練習を行う手法を採用しています。こうした方法を取ることで、プロセスの実効性、メンバーへの浸透度合などを評価することができるでしょう。

セキュリティの7S

マッキンゼーの7Sとは組織マネジメントに必要な7要素を記述したコンサルタントが使う古典的なフレームワークです。この考え方を応用して、組織のセキュリティを語るときにこの7つの観点で記述するという方法があります。

tech.nikkeibp.co.jp

まとめ

リスク分析は、組織のセキュリティを客観的に評価する方法です。これを軸に、優先度や最も費用対効果がある部分を見極め、年次計画や中期計画を作ることができます。セキュリティ予算は決して潤沢にとれる組織はほとんどないので、こうしたアプローチは予算取りや優先度付けに非常に有益だと考えられます。

『インテリジェンス駆動型インシデントレスポンス』が発売されました!!+α

あけましておめでとうございます。

ご縁があり、翻訳させていただいた『インテリジェンス駆動型インシデントレスポンス』が12/26(水)に発売されました。ぜひ書店やAmazonでお買い求めください。(公開するの忘れてた...)

www.oreilly.co.jp

この本のセールスポイントとすると、以下の3つ挙げられると思います。

  1. 脅威インテリジェンスとその応用については、まだ体系的な書籍がなく日本初の書籍になること
  2. 執筆者はSANS Instituteで脅威インテリジェンスコース(FOR578)のインストラクターとコース執筆を担当している2名であること。特にRebekah BrownはNSAなどIC(Intelligence Community)などで働いていた経験を公開していること
  3. 少しとっつきづらい戦略的インテリジェンスなどについてもわかりやすく触れられていること

お勧めポイント

具体的な中身はぜひ読んでいただければと思いますが、個人的には、以下のポイントは英語版で読んだときに参考になり、翻訳したいと考えたきっかけでもあります。

ポイント1:F3EADモデルの活用

この本を英語で読んだ時に一番良いと感じた点は、F3EADというモデルを使って、インシデント対応 → インテリジェンス作成 → インシデント対応(+脅威ハンティング)という継続的なサイクルを意識して書かれている点です。

F3EADの略は以下の通りです。

  • Find:調査フェーズ
  • Fix:決定フェーズ
  • Finish:完了フェーズ
  • Exploit:活用フェーズ
  • Analyze:分析フェーズ
  • Disseminate:配布フェーズ

ポイント2:情報の収集・分析・報告について丁寧に記述されている

脅威インテリジェンスを取り扱う点で難しい点は、情報をどのように管理するか、分析するか、報告するかという点です。この本はその点で、管理方法や分析に関する考え方、あるいはペルソナという概念を使って報告主体を意識した報告方法について具体的な議論が行っています。

もちろん、この通りにやる必要はなく各組織の実態に合わせてうまく変えていけばよいと思いますが、何を報告すればよいかわからないという担当者に一つの指針を提示してくれると考えています。

更なる参考文献

脅威インテリジェンスを学ぶ上で更なる参考文献を上げたいと思います。(紹介されていないモノを中心に挙げています。)

色々挙げていますが、あえて1冊挙げればRecodedFuture社が発表しているThreat Intelligence Handbookは特に脅威インテリジェンスの具体的な活動内容がまとまっており有益です。

go.recordedfuture.com

INSA

この団体は比較的脅威インテリジェンスに関する定義などを積極的に出しておきます。考え方を整理する上で非常に役に立つと思います。

ThreatConnect社

ThreatConnect社は言わずと知れたTIP(脅威インテリジェンスプラットフォーム)で知られた会社で様々なホワイトペーパーを公開しています。

threatconnect.com

個人的には、以下のホワイトペーパーが参考になりました。

  • Threat Intelligence Platforms: Open Source vs. Commercial
  • Building a Threat Intelligence Program
  • Maturing a Threat Intelligence Program

SANS

SANSも様々なリソースを公開しています。大きく参考になるプレゼンテーションは大きく二つあります。

一つは、Summit ArchivesでこれはCyber Threat Intelligence Summitなどのプレゼンテーションを見ることができます。例えば、Diamond Modelについて説明した『THE DIAMOND MODEL FOR INTRUSION ANALYSIS: A PRIMER』などもここに公開されています。

www.sans.org

もう一つのリソースは、SANS Reading Roomです。ここでは、様々なWhite Paperが公開されていますが、特に「Analyst Paper」カテゴリーは良いものが多いと思います。脅威インテリジェンスに関係するカテゴリーとすると、「Active Defense」、「Threat Hunting」、「Threat Intelligence」、「Threats/Vulnerabilities」などのカテゴリーが該当するかと思います。

  • Threat Intelligence: What It Is, and How to Use It Effectively
  • The Sliding Scale of Cyber Security
  • Generating Hypotheses Successful Threat Hunting
  • The Who, What, Where, When, Why and How of Effective Threat Hunting
  • Scalable Methods for Conducting Cyber Threat Hunt Operations

www.sans.org

Sqrrl + Threat Hunting

Sqrrl社はThreat Huntingで有名な会社で現在はAmazonに買収されています。Threat Huntingは直接関係ないですが、脅威インテリジェンスを使って活動するという点において知っておくべき概念だと思います。残念ながら、Amazonに買収されたことにより、Threat Hunting Academyなどは閉鎖されてしまいましたが、今でも有効なリソースは存在します。

その他、Threat Hunting系は以下が参考リストになるのではないかと思います。

その他

その他、以下のホワイトペーパーは一読の価値があると思います。

まとめ

脅威インテリジェンスの活用は今後あたりまえになってくる分野の一つだと思いますのでぜひご活用ください。

*1:iSightPartnersから出版された書籍ですが、FireEye社に買収されてしまい、HPからダウンロードできなくなっています。リンク先からダウンロードできますが正規のDLサイトではないので、自己責任でお願いします。

*2:正規のDLサイトが削除されており、リンク先を張っておきますが自己責任でお願いします

Internet Week 2018で講演してきました!!

先日開催された、Intenet Week 2018の「D2-3 知れば組織が強くなる!ペネトレーションテストで分かったセキュリティ対策の抜け穴」のセッションで機会をいただき、講演をしてきました。

 スライドは以下で公開しましたので、よろしければご参照ください。

www.slideshare.net