クラウドセキュリティ勉強会に参加

<この記事は 6分くらい で読むことができます。>

先日、9月3日(火)にクラウドセキュリティ勉強会に参加したので、備忘的にまとめておく。
・トレノケ雲の会 mod.5「雲の防人」(クラウドセキュリティ勉強会) #kumonokai
・2019/09/03(火)19:30 – 21:00
https://kumonokai.connpass.com/event/139302/

  1. 「クラウドセキュリティ」は、昨今ニーズが増えていて需要もある非常に面白い分野である。
  2. セキュリティに対するリテラシーを更に上げる必要があるし、クラウドに特化した基準などの整備状況についてもアンテナを張って情報収集する必要がある。

クラウドセキュリティの「基準」は?

日本のクラウドコンピューティングに関する第三者認証として「ISO27017」「ISO27018」がある。
いずれもISMSのアドオン認証であるため、事前もしくは同時に「ISO27001(ISMS認証)」を取得している必要がある。
また「ISO27017」は「ISO27001」とは違い” 要求事項(= ○○しなさい)” ではなく、” 指針(= ○○することが望ましい)” という特徴がある。
また、ISO27017」は、カスタマー側(CSC)への指針と、プロバイダー側(CSP)への指針がそれぞれあり、内容が対になっているのも特徴である。

アメリカでは「CSA STAR認証」「FedRAMP」「SP800-171」というようなクラウドセキュリティの基準が出来ているが、この中の「FedRAMP」を基準に日本のセキュリティ基準を作ろうとしている。らしい。


日本はどういうった状況か?

2019年3月に総務省と経済産業省が「クラウドサービスの安全性評価に関する検討会」を実施し中間とりまとめ案を提示した。2020年秋には評価制度を開始するスケジュールで進められている。(と言われているが専門家に言わせると現実は難しそうとのこと。)
<参考>
http://www.soumu.go.jp/menu_news/s-news/01tsushin01_02000277.html


標的型攻撃の傾向と対策 ~フィッシング編~

今、最も攻撃を受けている企業は「Microsoft」。3か月で3,000を超えるようなフィッシングURLが出来て狙われているとのこと。続く2位が「paypal」とのこと。2位のpaypalは直接金銭に繋がるので狙われる理由もわかる。
じゃぁなぜMicrosoftが狙われているのか?
それは、企業で使われているメールの約47.6%がOffice365を使っているというのが大きな理由らしい。Office365には複数のログインポータルがあるし、1アカウントで複数のアプリが使えるので、次のBEC攻撃を見据えて狙われていると言われている。「EOP」もあるが、毎日約300もの新しいフィッシングURLが生成されている状況なので、従来型フィルタ標準での対策だけではどうしても弱くなってしまう。

全体としてどのような業界のフィッシングサイトが多いかというと「金融系」「クラウド系」「通信系」が多いとのこと。日本では「softbank」「Docomo」「LINE※去年(2018年)が特に多かったとのこと」「佐川急便」「楽天」が多く、海外まで見渡すと「Apple」「Amazon」「Microsoft」が多い。
(確かに会社で弾かれてるメールも上記の企業を装ったフィッシングメールが多い気がする・・・)

対策として3つ挙げられていた。
①パスワード管理ツールを使う。
パスワード管理ツールを使うと3つのメリットがある。
 ・手動入力をしない仕組みを作れる。
 ・難しいパスワードを作れる
 ・パスワードの使いまわしが防げる。

②「IsItPhishing.ai」を使う。
怪しいURLを貼るとフィッシングサイトかどうかを判定してくれるサイト。他にも「Google Safe Browser」とか類似のサービスはある。
<参考>
http://isitphishing.ai/

③スパムフィルタ製品を使う。
まぁこれはその通り。攻撃が高度化しているので、人間だけの判断だけでは見抜くことが困難になっているので、専用の機器を導入してセキュリティレベルを上げるというのも対策としてある。


ATO、APIセキュリティ

「ATO = Account Take Over」。アカウント乗っ取りのことである。単純にIT用語の勉強になった。
また、2022年までにはAPIの悪用が最も頻繁な攻撃ベクターになると、ガートナー社のレポートで言われている。
従来型と攻撃手法も変わってきているので、例えば、「良いBot」と「悪いBot」の識別などは、従来のセキュリティ対策のアプローチでは難しいし限界がある。


クラウド全般のお話 ~(内容はAWS寄りかな)~

クラウドは従量課金がベースであるためベンダーもカスタマーも「モノ」を売る/買うのではなく「サービス」を売る/買うという意識を持つ必要がある。
結局お客様はやっぱりどのくらい課金されているかを見ているので、不要サービスの立ち上げっぱなしとか、有効化を放置しないような監査をしないといけない。
以下からは色々と個別の話。

・コンポーネント/サービスの組み合わせ
マイクロサービス化されているため、各サービス/コンポーネントで何が出来るのか/何のために使うのかの本質を理解しないと本当に提供すべきものを提供できないし、使う側としてもそのサービスを本当に選定しなければいけないのかが分からない。

・VPC
オンプレと異なり、サービス提供される場所が変わる(リージョン、AZ)ということを理解しないと設計できない。
ホスト単位でセキュリティグループを作るため、従来の境界型セキュリティの考えが不要になる。ちなみにVPCはARPが無い。

・権限管理
最近は認証基盤は ” SAML使ってAzureで ” みたいなケースも多いらしい。

・監査/暗号化
監査ログは非常に重要なので必須で取得することを強く推奨。
マルチアカウントでログを集約したり、エンベローブ暗号化(マスターキーを更に暗号化すること)を使ってより強固なセキュリティレベルを保つ仕組みを考える。

・責任共有モデル
「インフラストラクチャサービス」「コンテナサービス」「アブストラクトサービス」など、サービスの内容によってクラウドベンダーが責任を持つ領域、カスタマーが責任を持つ領域が変わるため自身が利用するサービスの責任範囲を必ず確認する必要がある。

・クラウド導入フレームワーク(CAF)
「ここだけは押さえてね」っていうフレームワーク。これ知らなかったので勉強になった。
https://aws.amazon.com/jp/professional-services/CAF/

以上。
また参加しよう。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA