View
90
Download
5
Category
Preview:
Citation preview
セキュリティ対策は経営課題情報セキュリティリスクに備える Cy-SIRT の軌跡
Cy-SIRT伊藤 彰嗣
Copyright (C) Cybozu,Inc. 1
⾃⼰紹介
•伊藤彰嗣(@springmoon6)•サイボウズの CSIRT(Cy-SIRT)窓⼝(PoC)担当•経歴• 2006年 新卒⼊社• 2009年 サイボウズ Garoon 品質保証責任者• 2011年 cybozu.com 品質保証責任者• 2011年 Cy-SIRT ⽴ち上げ• 2014年 脆弱性報奨⾦制度運営• 2016年 セキュリティキャンプ講師
2Copyright (C) Cybozu,Inc.
Cy-SIRT
•サイボウズの CSIRT• Computer Security Incident Response Team
Copyright (C) Cybozu,Inc. 3
https://www.cybozu.com/jp/features/management/cysirt.html
http://www.nca.gr.jp/member/cy-sirt.html
サイボウズのセキュリティ施策
お客様の情報資産を守ること
•不正アクセス対策
•不正ログイン対策
•脆弱性対策
製品セキュリティ
•災害対策
•障害検知・復旧対策
•⼈的エラー対策
運⽤基盤
Copyright (C) Cybozu,Inc. 4
Cy-SIRT:ミッション
Copyright (C) Cybozu,Inc. 5
社外の組織・専⾨家と協⼒して、インシデント発⽣の予防、早期検知、早期解決、被害が発⽣した場合の最⼩化を主眼とした活動をすること
インシデント対応⽀援
外部機関との連携
インシデント発⽣予防
脆弱性検査 脆弱性報奨⾦制度運営脆弱性管理
今⽇お話しすること
Copyright (C) Cybozu,Inc. 6
進まないセキュリティ対策
増え続ける業務量組織を横断する業務に関する⼈材不⾜
Cy-SIRT が今年抱えた課題
サイボウズのセキュリティ体制の変遷
Copyright (C) Cybozu,Inc. 7
2009 年当時のセキュリティ体制
開発本部
情報システム部
カスタマー本部
内部統制本部
経営管理本部
⼈事本部
本部⻑会
Copyright (C) Cybozu,Inc. 8
• IT 全般統制対応により内部監査を⾏う部⾨ができる
2009 年当時の課題
Copyright (C) Cybozu,Inc. 9
外部からのセキュリティに関する窓⼝に専任担当者がいない
製品だけでなくより広いセキュリティ問題に取り組むチームとして Cy-SIRTを設⽴(2011年)
http://www.slideshare.net/akitsuguito/appsec-akitsugu-ito
2013 年のセキュリティ体制
Cy-SIRT
運⽤本部
情報システム部
事業⽀援本部
内部統制部
BM本部カスタマー
本部海外拠点
本部⻑会
Copyright (C) Cybozu,Inc. 10
開発本部
• クラウドサービスの開始に伴い Cy-SIRT が発⾜• 開発本部と運⽤本部が分離
2013 年当時の課題
組織横断的なセキュリティに関する所管部⾨が不明瞭
Copyright (C) Cybozu,Inc. 11
Cy-SIRTは開発本部の下にあり、主なコンシチュエンシーはサービスをご利⽤いただくお客様と開発本部
CSM(Cybozu Security Meeting)
Copyright (C) Cybozu,Inc. 12
CSM(Cybozu Security Meeting)
内部統制
CSIRT製品
情シス
社内
事業戦略会議/本部⻑会
セキュリティ責任者(本部長、部長、副部長等)全社、各部⾨
ISMS
意思決定をする機関ではなく、セキュリティに関する事項を議論するための会議体
関係事業部社外
2016 年のセキュリティ体制
CSM
開発本部
Cy-SIRT
運⽤本部
情報システム部
事業⽀援本部
内部統制部
BM本部カスタマー
本部海外拠点
本部⻑会
Copyright (C) Cybozu,Inc. 13
2016 年に起きたこと
Copyright (C) Cybozu,Inc. 14
進まないセキュリティ対策
増え続ける業務量組織を横断する業務に関する⼈材不⾜
セキュリティ組織を再編成することを検討
再編成に向けた議論
Copyright (C) Cybozu,Inc. 15
サイボウズの⾵⼟
• 権限で仕事をする⽂化ではない
• 質問責任 /説明責任
議論をして合意を取り仕事を進める⽂化
• Action5(理想への共感、あくなき探求、知識を付ける、⼼を動かす、不屈の⼼体)
• 問題解決メソッド
議論のフレームワークは整備されている
Copyright (C) Cybozu,Inc. 16
最初に考えたこと
Copyright (C) Cybozu,Inc. 17
CSIRT の業務範囲を⾒直そう
CSIRT に求められる役割と実現に必要な⼈材のスキル、キャリアパスについて、対象企業を 3 つのパターン例に分けて解説したドキュメント
http://www.nca.gr.jp/activity/training-hr.html
分かったこと
Copyright (C) Cybozu,Inc. 18
他の職能組織は CSIRT を知らないCy-SIRT は他の職能組織を知らない
組織のセキュリティ機能を俯瞰し、各職能組織が理解できる具体的な業務内容を精査する必要がある
組織におけるセキュリティ機能産業横断サイバーセキュリティ⼈材育成検討会の成果物を元に、組織に存在するセキュリティ機能を俯瞰します
Copyright (C) Cybozu,Inc. 19
サイバーセキュリティ対策の強化に向けた提⾔
2015 年 2 ⽉ 17 ⽇に経団連から提⽰されたサイバーセキュリティ対策の強化に向けた具体的な取り組みの提⾔
Copyright (C) Cybozu,Inc. 20
http://www.keidanren.or.jp/policy/2015/017.html
情報共有の強化 演習の実施 技術開発と
システム運⽤
国際連携の推進
重要インフラ分野の⾒直し
インターネットの安全性向上
⼈材育成の強化
⼈材育成の強化
産業横断サイバーセキュリティ⼈材育成検討会
提⾔を受け⼈材育成に関する実際の活動をどう具体化し推進していくかを検討する会議体
Copyright (C) Cybozu,Inc. 21
http://cyber-risk.or.jp/sansanren/index.html
情報システム部⾨における役割分化
Copyright (C) Cybozu,Inc. 22
情報システム
システム運⽤ システム構築
基幹システム運⽤
インフラ環境運⽤
ユーザサポート ヘルプデスク
システム監査 購買調達
全体統括管理
基幹システムインフラ構築・実装
IT戦略 システム企画
事業継続 セキュリティ対策
権限管理
CSIRT
SOC
セキュリティ対策の機能定義
Copyright (C) Cybozu,Inc. 23
統括判断 セキュリティ対策計画・企画
セキュリティ対策構築・運⽤ 監査
4つの機能分類を定義
機能定義 – 関係図 –
Copyright (C) Cybozu,Inc. 24
統括判断
計画企画
構築運⽤
監査
中期 年次 年次〜四半期〜随時 随時全体統括
IT戦略 システム企画
基幹システムインフラ構築 /実装
ユーザサポート
ヘルプデスク
調達
ID管理
CSIRT
基幹システム運⽤
インフラ環境運⽤
SOC
システム監査
Secマネジメント
事業継続
DR CSIRT
SOC
Secマネジメント
事業継続
DR
監査
構築運⽤
計画企画
統括判断
セキュリティ機能(2009 年)
Copyright (C) Cybozu,Inc. 25
中期 年次 年次〜四半期〜随時 随時全体統括
IT戦略
基幹システムインフラ構築 /実装
ヘルプデスク
ユーザサポート
調達
ID管理
基幹システム運⽤
インフラ環境運⽤
システム監査
情報システム部
内部統制本部
システム企画
Secマネジメント
事業継続
DR
監査
構築運⽤
計画企画
統括判断
セキュリティ機能(2013 年)
Copyright (C) Cybozu,Inc. 26
中期 年次 年次〜四半期〜随時 随時全体統括
IT戦略
基幹システムインフラ構築 /実装
ヘルプデスク
ユーザサポート
調達
ID管理
CSIRT
基幹システム運⽤
インフラ環境運⽤
システム監査
運⽤本部情報システム部
事業⽀援本部 SOC
システム企画
Secマネジメント
事業継続
DR
監査
構築運⽤
計画企画
統括判断
セキュリティ機能(2016 年)
Copyright (C) Cybozu,Inc. 27
中期 年次 年次〜四半期〜随時 随時全体統括
IT戦略
基幹システムインフラ構築 /実装
ヘルプデスク
ユーザサポート
調達
ID管理
基幹システム運⽤
インフラ環境運⽤
システム監査
CSM
運⽤本部情報システム部
事業⽀援本部
SOC
システム企画
CSIRT
Secマネジメント
事業継続
DR
新しい組織に求められていた業務
• 認証取得 /更新業務(ISMSクラウドセキュリティ認証 /ISMS認証)
• 情報資産の保護基準・保護⽅法の改善
• 情報資産の棚卸
情報セキュリティマネジメント
• 社内のICTリテラシー向上のためのユーザー⽀援
• リスク対応教育の企画・計画・実施
サポート教育
Copyright (C) Cybozu,Inc. 28
組織におけるセキュリティ機能
Copyright (C) Cybozu,Inc. 29
• 既存の固有業務の中での実施事項
• 複数の部署で複数の役割を掛け持ちでになうことが多い
セキュリティに特化した機能は限られる
セキュリティ担当職が担う業務を明確にし、担当職を⽀援・補佐する体制を構築することが重要
セキュリティ組織の再編成先ほどの成果物を元にサイボウズのセキュリティ機能を俯瞰し、新たなセキュリティ組織「セキュリティ室」を⽴ち上げました
Copyright (C) Cybozu,Inc. 30
セキュリティ関連組織の理想
Copyright (C) Cybozu,Inc. 31
Trust&Secure
・お客様が安⼼してサイボウズのサービスを利⽤できる・サイボウズの重要情報を守る
迅速な意思決定 業務が執⾏できる体制
⼈材育成ノウハウの蓄積
セキュリティ室の設置
Copyright (C) Cybozu,Inc. 32
統制
QA
他各部⾨
事業戦略会議/本部⻑会
CSM:横断会議体各部セキュリティ責任者事務局:セキュリティ室
連携 情シス
セキュリティ室
Cy-SIRTISMS事務局
社⻑
直下組織
Cy-PSRT
PSIRT の分離
• Cybozu,Inc.ProductSecurityIncident ResponseTeam• 製品に関する脆弱性情報を取り扱うチーム
Cy-PSIRT
• Cybozu,Inc.ComputerSecurityIncidentResponseTeam• インシデント対応を⾏うチーム
Cy-SIRT
Copyright (C) Cybozu,Inc. 33
セキュリティ室の業務
Copyright (C) Cybozu,Inc. 34
インシデント対応⽀援
外部機関との連携
セキュリティ情報収集
ユーザサポート ヘルプデスク セキュリティマネジメント
セキュリティに関する専⾨知識に基づき、各事業部で⾏うセキュリティ施策に対して⽀援する
PSIRT の業務
Copyright (C) Cybozu,Inc. 35
脆弱性情報管理
報奨⾦制度運営
脆弱性検査
外部機関との連携
セキュリティチームと連携しサービスを提供
監査
構築運⽤
計画企画
統括判断
セキュリティ機能(セキュリティ室設置後)
Copyright (C) Cybozu,Inc. 36
中期 年次 年次〜四半期〜随時 随時全体統括
IT戦略
基幹システムインフラ構築 /実装
ヘルプデスク
ユーザサポート
調達
ID管理
CSIRT
基幹システム運⽤
インフラ環境運⽤
システム監査
セキュリティ室 運⽤本部情報システム部
事業⽀援本部
SOC
システム企画
Secマネジメント
事業継続
DR
まとめ
Copyright (C) Cybozu,Inc. 37
組織のセキュリティ対策
•担当職が担うセキュリティ機能を明確化
•セキュリティ担当者が機能をかけもちしないように配慮
担当職を⽀援・補佐する体制を構築
•社⻑直下に Cy-SIRT を中⼼としたセキュリティ室を構築
Cy-SIRTの変遷
Copyright (C) Cybozu,Inc. 38
成果物を利⽤した所感
• 対象となる業務を担当する部署・部⾨の把握
• 既存の組織間で業務内容の調整をする際に、各部⾨の現状の業務領域を可視化できる
組織のセキュリティ機能を俯瞰できる
• 参照元となるドキュメントを参照するなど追加のコストが必要
機能定義に対する説明が不⾜気味
Copyright (C) Cybozu,Inc. 39
今後の課題
Copyright (C) Cybozu,Inc. 40
• これまでの施策の引継ぎに伴う諸対応
業務領域の拡⼤
• 専⾨的な技術を持つ⼈材をどのように育てるか
• アウトソーシング計画
⼈材の確保
• 各担当者の教育をどのように進めていくか
全社的なベースラインの底上げ
Q&Aご清聴いただき、誠にありがとうございました。
Copyright (C) Cybozu,Inc. 41
参考⽂書
• 「産業横断サイバーセキュリティ⼈材育成検討会」第⼀期最終報告書• http://cyber-
risk.or.jp/sansanren/xs_20160914_02_Report_JinzaiTeigiWG_1.0.pdf
• 総務省 平成 27年通信利⽤動向調査• http://www.soumu.go.jp/menu_news/s-
news/01tsushin02_02000099.html
Copyright (C) Cybozu,Inc. 42
Appendix各セキュリティ機能の業務例サイバーセキュリティ対策機能を実現する業務の具体例を、機能別にまとめます。
Copyright (C) Cybozu,Inc. 43
情報システム部⾨における役割分化
Copyright (C) Cybozu,Inc. 44
情報システム
システム運⽤ システム構築
基幹システム運⽤
インフラ環境運⽤
ユーザサポート ヘルプデスク
システム監査 購買調達
全体統括管理
基幹システムインフラ構築・実装
IT戦略 システム企画
事業継続 セキュリティ対策
権限管理
CSIRT
SOC
業務例:全体統括 / 事業継続
•サイバーセキュリティ対策に関する全社的統括
サイバーセキュリティ 統括
• ICT環境における事業継続計画の策定
•サイバーセキュリティ保険の導⼊検討
IT-BCP
Copyright (C) Cybozu,Inc. 45
全体統括管理
事業継続
業務例:システム企画
Copyright (C) Cybozu,Inc. 46
• ユーザビリティに基づく機能改善・実装計画の企画⽴案エンドポイントおよび、UIに関するセキュリティ機能改善計画の策定
• システムセキュリティの観点に基づく機能改善・実装計画の企画⽴案
• システム構成に関するセキュリティ機能改善計画の策定
セキュリティ実装計画
システム企画
業務例:基幹システムインフラ構築・実装(1)
• セキュア構築・運⽤設計の企画⽴案
• 各開発プロセスおよび、運⽤改善におけるセキュアデザイン
• 多層防御に基づくセキュア設計管理
• ネットワーク及びシステム構成に対するセキュアデザイン
セキュリティ対策導⼊・開発計画
• セキュリティ対策関連の製品・サービスに対する評価検証
セキュリティ製品 品質管理
Copyright (C) Cybozu,Inc. 47
基幹システムインフラ構築・実装
業務例:基幹システムインフラ構築・実装(2)
• システム構築及びシステム運⽤のセキュリティ対策分野に関するプロジェクトマネジメント及びプロジェクト運⽤⽀援
システムセキュリティ対応
• 脆弱性診断(導⼊時・運⽤時)パッチ適⽤時の評価テスト
運⽤テスト・パッチ管理
Copyright (C) Cybozu,Inc. 48
基幹システムインフラ構築・実装
業務例:基幹システムインフラ構築・実装(3)
• 全システムに対するパッチ管理及び脆弱性診断に関する計画の企画⽴案
• セキュリティ対策関連の製品・サービスの選定及び実装⽀援
• セキュリティ対策におけるシステム的機能の継続的改善活動
セキュリティ機能評価/改善
Copyright (C) Cybozu,Inc. 49
基幹システムインフラ構築・実装
業務例:権限管理 / SOC
• ActiveDirectry管理 /シングルサインオン管理
• システム、フォルダ等アクセス権管理
ID管理 /アクセス権管理
• セキュリティオペレーション業務における導⼊・構築
• セキュリティオペレーション業務における運⽤管理
• セキュリティオペレーション業務におけるインシデント対応
SOC
Copyright (C) Cybozu,Inc. 50
権限管理
SOC
業務例:基幹システム運⽤
• OS・プラットフォーム・ミドルウェア等に対する版管理
OS管理
• 基幹システム等のアプリケーションに関するバージョン管理
アプリケーション管理
• クラウドサービス選定及び利⽤管理、セキュリティ対策
クラウドサービス管理
Copyright (C) Cybozu,Inc. 51
基幹システム運⽤
業務例:インフラ環境運⽤
• DB機器管理 /構成管理
• DB データセキュリティ(設定・格納されるデータ)
データベース管理
• 通信環境管理(FW、プロキシ、WAFなどの設定)
• 通信監視(死活、パケット監視)、通信遮断管理
• 脅威情報の活⽤
ネットワーク管理
Copyright (C) Cybozu,Inc. 52
基幹システム運⽤
業務例:システム監査 / 購買・調達
• 情報セキュリティ監査、物理的セキュリティ監査
• システム監査
監査
• 取引先選定
• 製品・サービス調達
購買・調達
Copyright (C) Cybozu,Inc. 53
システム監査
購買調達
業務例:ユーザーサポート / ヘルプデスク
• 社内のICTリテラシー向上のためのユーザー⽀援
• リスク対応教育の企画・計画・実施
サポート教育
• インシデント発⽣時の問合せ窓⼝
• 端末・機器異常(インシデント発⽣以前)の相談窓⼝
ヘルプデスク
Copyright (C) Cybozu,Inc. 54
ヘルプデスク
ユーザサポート
業務例: IT 戦略
• コンプライアンス、ガバナンス、RMの観点に基づくセキュリティ対策
事業戦略 /中期計画
• セキュリティ対策に係る実施計画の企画⽴案、規定・ルールの策定
年次計画
• IT導⼊・構築運⽤改善計画の企画⽴案、ガイドライン・マニュアルの作成
• ライセンス管理を踏まえたリプレイス計画、固定資産管理・ソフトウェア会計管理
ICT企画
Copyright (C) Cybozu,Inc. 55
IT戦略
業務例:セキュリティ対策
• ICT環境・ICT 運⽤改善計画の策定
• 情報資産の保護基準・保護⽅法の改善、情報漏えい保険の導⼊検討
• 情報資産の棚卸
情報セキュリティマネジメント
• 災害対策(DR)に関する ICT環境改善計画の策定
• 災害対策および、災害発⽣時に関する稼働計画の策定
ディザスタリカバリ(DR)
Copyright (C) Cybozu,Inc. 56
セキュリティ対策
Recommended