見出し画像

なぜセキュリティをやるのか

haya

この記事は、corp-engr 情シスSlack(コーポレートエンジニア x 情シス)#2 Advent Calendar 2023の3日目の記事です。

はじめに

12/3はプレイステーションの日ということで、界隈が賑やかになるのでとても好きな日です。
今年はMarvel's Spider-Man 2やHorizon Forbidden Westの追加エピソードが発売されてとても楽しい1年間を過ごせました。もちろん、ゼルダティアキンも楽しかったです。

閑話休題
直近2年間はD2Cの事業会社で、コーポレートIT領域とセキュリティ領域(主にセキュリティガバナンス・マネジメント、セキュリティオペレーション)に従事してます。
今回はセキュリティにフォーカスして、仕事やコミュニティへの参加を通じて醸成された私の信条やマインド、何をやってきたのかを書き残そうと思います。
いずれも個人的な見解なのでこんな考えの人もいるんだーーぐらいの感覚で読んでもらえると嬉しいです。


なぜやるのか

みんなの安全を守るため / お客様との約束を守るため

建前とか抜きにして、個人的な大きなモチベーションの1つです。

仕事・プライベート問わず、関わる人達は、安全が不要に脅かされることなく、安心して暮らせる環境にあって欲しいと思ってます。
加えて、組織においては、プライバシーポリシーという「約束」の下、顧客(現在は主に一般消費者)や取引先から個人情報を預かって、営利活動を行っています。プライバシーポリシーでは、預かった個人情報を安全に管理・運用すること、継続的に見直しを行っていくことを謳っているため、組織としても取り組むべき重要課題であると認識しています。

特に昨今では例えばSIMスワップのようなクレジットカード情報を伴わない不正行為・実被害も報告されるようになり、クレジットカード情報だけ守っていれば良い時代ではなくなっているため、名前やメールアドレスなどクレジットカード情報以外であってもこれら個人情報の保護の重要性は高まっていると感じています。

社会的責任を果たすため / 事業を継続させるため

個人的なモチベーションの2つ目です。

昨今の動向を見ているとサイバー犯罪の組織化や国家主導型の組織(と言われる集団)が目立つようになった印象を受けています。更に世界情勢もウクライナ侵攻やイスラエル・ガザの武力紛争が起きるなど、心が痛い状態が続いています。

そのような状況下でサイバー犯罪の被害者に遭って金銭を支払うことになる(=上記のような組織の資金源になる)のはとても嫌だなーと思ってます。なぜかというと、資金源になる=犯罪組織の拡大や戦争・紛争・テロ行為に間接的に加担したことになると感じてるからです。

所属する組織にもそうであって欲しくないと思っているし(ここまではエゴです)、良くないことに加担しないというのは組織の社会的責任なのだと考えています。
もちろん、被害に遭えば組織の事業継続にも大なり小なり影響が出るため、そうならないようにするためにも組織としての取り組みは重要だと考えています。

どのようにやっているのか / 今年やったこと

【組織】組織としてのセキュリティ / 大前提として

基本的な考え方やアプローチは下記のとおりです。

  • セキュリティに関する取り組みは、組織の規模を問わず経営課題であることを経営陣に認識してもらう

    • 情シスやセキュリティ部門だけが頑張れば良い話ではないことを布教する

    • 顕在化している課題はなにか、顕在化していない / 気づいていない課題はなにかを知る

    • 組織がセキュリティに取り組む目的をすり合わせる

  • それと並行しながら、組織の規模や投入可能な資源、扱う情報に応じて、優先順位付けを行いながら継続的に順次実施していく

  • 規程・ルールは、要点を押さえながら、組織の成長の足枷にならないよう組み立てていく

【組織】セキュリティ統括組織の立ち上げ

去年10月頃から準備を始めて、今年1月に正式に取締役会直轄の委員会型としてセキュリティ統括組織を作りました。
実務レベルでは元々それっぽい動きをしていましたが、きちんと体制として整えられている / 明文化されていることも重要と考えて立ち上げることにしました(詳細はリンク先を参照)

セキュリティに関する戦略や方針の策定、個人情報保護に関する取り組み、ISMSの運営、社内CSIRTの統括・整備などを活動範囲として、主体的に取り組んでます。

【組織】お試しでセキュリティアウェアネス

直近1年間は、「年n回のセキュリティ教育」ではなく、セキュリティアウェアネスに主軸をおいて取り組んでみました。

e-ラーニングなどのセキュリティ教育では実務とリンクしていない感触があったので、短いスパン(月2回〜)で、世の中で起きていること、その中で従業員の実務に関する出来事を題材にして社内に発信してます。
全員に刺さるとは端から思っていないので、誰か一人にでも刺さればよいぐらいの気持ちでまずはゆるーくやってます。

【組織】ISMSの運用(ISO/IEC 27001 / JIS Q 27001)

情報セキュリティマネジメントの領域では、基本のキであるISMSがいまでも一番の拠り所です(サイバーセキュリティ対策全体ではNIST CSF)
今年も1年間、社内のリソースだけで運用してきました。

ISMSの、「組織にとって重要な情報資産を特定して、リスクを評価して(アセスメントして)、リスクが高いものから順次着手していく、また管理策を網羅していく」という活動は、継続的に行っていけば大きな漏れは発生しないと思っているのでとても好きです。
また、ISO/IEC 27001:2022になって管理策が「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」と分類されたので直感的にわかりやすくなったイメージを持っています。

【組織】おまけ:OWASP Risk Rating Calculatorを使ってみた

今年後半にリスクアセスメントの全面的な見直しを行った際、参考にしたのがOWASP Risk Rating Calculatorです。
発生可能性(Likelihood Factors) 8項目、影響度(Impact Factors) 8項目を入力するとリスクの度合いをスコアとして計算してくれるツールです。

情報資産すべてに対してこのツールを使おうとすると大変なので、全体としては簡易版を作って計算して、重要な情報資産に対してはこのツールでも計算、簡易版と大きなズレがないかをチェックするような利用をしていました。

【情シス】情シスとしてのセキュリティ / 大前提として

こちらの基本的な考え方は下記のとおりです。

  • セキュリティは情シスだけの業務ではないと言っても、最も関与する部署だと認識してる

  • 生産性や利便性を損なう過度なセキュリティ対策・運用は害悪

  • なので自組織に最適な運用とバランスを模索し続けることが命題である

【情シス】デバイス•アカウントの台帳管理 / インフラ構成図の管理は大事

まずはこれが基本中の基本だと思っています(NIST CSFの識別)

誰が、どの端末から、どのアカウントを利用して、どの情報資産にアクセスできるのかを知るための手掛かりであり、対策を考えるための重要な情報です。
ネットワークやサーバなどのインフラ構成図の把握も同様で、どの経路からアクセスできるのか知る手がかりになります。

そして、リスクがどこに存在するのか知るための情報源の位置づけです。

【情シス】ゼロトラスト、EDR、SIEM、WAFはあくまでも手段

こちらは上記で認識したリスクを取り除く / 低減させるための手段だと思ってます(NIST CSFの防御・検知)

なので、どの情報資産を守りたいのか、どのリスクに対するソリューションなのか、ユーザーへの影響度を意識して、何をどの順番でいつ導入するのか、または導入しないのかを考えています。
たまにこれらを導入することが目的になっているケースを見かけますが、「なぜ導入するのか(なぜ必要なのか)」が前提にあるべきと考えています。

【情シス】おまけ:Jamf RADARを使ってみた&JamfのログをDatadogに取り込んでみた

Jamf RADAR(旧Wandera)は、Jamf Protectの契約があれば実質無料で使えるクラウドセキュリティソリューションです(一部Jamf Connectの契約が必要)
この中のコンテンツフィルタリングやゼロデイフィッシング対策の機能を貸与PCに導入しました。

また、Jamf RADARのログやJamf macOS Security(旧Jamf Protect)のテレメトリログを、社内で利用実績のあったDatadogに取り込んでみるという検証を行いました(いまもやってる)

ユーザー負担や大きなコストを払うことなく導入できたこと、それでセキュリティが向上したこと、また様々な状態が見える化できたことは「バランスの模索」としてとても良かったので書いておきます(詳細は追々どこかで)

【個人】個人的にやっていること

「自組織に最適なセキュリティ対策はなにか?」を考えるために、セキュリティの基礎や概念は継続的に学びながら、トレンドのキャッチアップもするよう意識してます。
特に今年は情シスSlack繋がりの方々と勉強会や情報交換させてもらう機会が多々あり、またSecurity SlackJMUGOWASPなどのコミュニティや勉強会にも足を運ぶようにしていました。
最近は脅威モデリングやHardeningなどプロダクトセキュリティ方面にも守備範囲を広げていきたいと考えて情報収集しています。

最後に

最後までお読みいただきありがとうございます。肯定的な意見、批判的な意見、いずれも学びの糧になるのでぜひフィードバックをもらえると嬉しいです(できればお手柔らかに)
https://twitter.com/yo_hayasaka

では良いホリデーシーズンを!
明日はASUKAさんです!お楽しみに!


この記事が気に入ったらサポートをしてみませんか?