short note: Security Days Spring 2024 セミナー4本

2024年3月12日

インプットの時間です。

Security Days Spring 2024 セミナー4本
3月12日 KITTE4F JPタワーホール&カンファレンス

以下メモ書き

サイバー規制対応とレジリエンス能力向上
奈良先端科学技術大学院大学サイバーレジリエンス構成学研究室教授門林雄基氏

・セクターベース規制
・重要インフラ産業での重大インシデント報告義務
・日本業法により分野ごとに決める
・欧州 NIS2指令ネットワーク情報セキュリティ指令
・米国 SEC
・GDPR 一般データ保護規制
・72時間以内に情報漏洩通知義務
・個人情報の保護が制定趣旨
・GDPR対応の意図しない結果が発生することがある
・NIS2指令 2022年5月合意
・24時間以内に当局へインシデント報告義務
・1ヶ月以内にインシデントの最終報告書提出義務
・EU加盟国でまちまちだった対象範囲を統一
・どの規制にもパソコンだけやっていればいいとは書いていない
・Web VPN RDP ID管理ハイパーバイザ NAS プリンタ等
・インフラアプリケーションクライアント
・大きな抜け道はVPNだけではない
・アンチウイルスしていないもの、古いものが狙われる
・米国上場企業の報告義務 SEC 2011年
・企業金融情報開示ガイダンスNo.2 サイバーセキュリティ
・リスク管理、戦略、ガバナンス、インシデントの情報開示
・2022年改正
・４営業日以内の開示義務
・以前やられたかもしれないをお茶を濁さない、開示義務あり
・欧州IoT機器認証サイバーレジリエンス法 CRA
・家電製品のベンダーはCRA対応で忙しい
・デジタル製品の大半は自己監査が求められる
・クラス1、クラス2にカテゴリ分類
・クラス2製品は第三者による監査が求められる
・ライフサイクル全体でのサイバーセキュリティ対策を導入
・サイバーリスクの文書化
・インシデント報告義務化
・少なくとも5年のセキュリティ更新を義務化
・市販後10年間の技術文書保存を義務化
・→EU外に対する非関税障壁のようなもの
・管理的アプローチにとどまらない海外サイバー規制
・責任者の指名、事故の報告義務、責任能力の開示
・現状把握、改善計画、リスク文書化
・リスク低減、常時監視、早期対処
・Secure by design
・多様なアプローチによる相互補完
・政府公衆衛生のアプローチ
・管理 ISMS CMMI的アプローチ
・管理・現場脅威インテリジェンスのアプローチ
・現場防災減災のアプローチ
・さまざまなサイバー規制
・近視眼的な規制対応に注意
・制度趣旨を無視して条文通り→前進なし
・改正が進む法規制

事業成長を加速させるセキュリティの在り方【DXとサイバーセキュリティ】
（株）アクトサイバーセキュリティサービス事業部事業部長横井宏治氏
・セキュリティ投資と事業成長の相関
・DX推進におけるセキュリティ課題
・中小企業におけるDX推進セキュリティソリューション
・アクセンチュアがサイバートランスフォーマーを提言
・セキュリティとリスクマネジメントの統合を実践
・SECaaS利用
・セキュリティを含め自動化を推進
・収益、市場シェア、顧客満足度、信頼性、生産性向上18%高い
・DX化が50%以上進んでいる企業は事業成長率も100%以上が8割
・セキュリティ年間投資500万以上掛けているところは事業成長率100%以上が7割
・事業成長に役立つ
・サイバーセキュリティは事業継続上の必須要素
・従来の対策で良いと決めつけるのはNG
・平時だけでなく有事にも備える
・顧客サービス用サーバー
・リモートワーク
・閉域網でのセキュリティ製品利用
・インシデント対応
・社外セキュリティリソースの活用
・ACTデータお守り隊
・セキュリティ対策ソフトEDR、お任せ運用SOC、簡易サイバー保険
・jumpcloud 様々なセキュリティ機能を提供する統合サービス
・ID管理、多要素認証、シングルサインオン、デバイス管理、パスワード管理、
・セキュリティかかりつけ医
DX時代のセキュリティ
・PCにもサーバーにもEDR+SOCを導入
・ソフトウェアの脆弱性管理と自動アップデート
・VPN不要のリモートアクセスで運用
・EDRの入ったPCからはダイレクトにネット接続を許可
・リモートソフトウェア
・自動アップデート
・リモートキッティング実施、ユーザーの管理者アカウントは剥奪
・閉域網でも運用に必要な接続のみを許可しEDRを利用
・業務アプリだけでなくシステムアップデートもリモートから実施可能
・有事の依頼先を平時から確保しておく
・EDRベースの防御により攻撃を撃退
・セキュリティ要素はDXの必須要素
・低コストのセキュリティリソース・コンサルタント→セキュリティかかりつけ医月額1万円
・プライベートリポート、企業の健康診断、もしもしサイバーHOTLINE→インシデント初動相談

ビジネス化・高度化するサイバー攻撃 押さえておきたい脅威の最新動向と万が一への備え
Sky（株） ICTソリューション事業部システムサポート部小澤風花氏

・サイバー攻撃の被害は高水準で推移
・IPA発表10大脅威の1位はランサムウェア
・ランサムウェアによる脅迫
・暗号化の解除、ダークウェブへの公開
・総合医療センターがランサムウェアに感染、復旧まで2ヶ月、被害額数億、逸失利益十数億以上
・海運ターミナルが感染、3日間コンテナの搬出入が停止、全仮想サーバーが暗号化される
・VPN機器からの潜入が一番多い
・企業が保有する情報を狙う
・サイバー攻撃のビジネス化
・専門家が金銭目的で行う攻撃なので成功率も高く被害額も多い
・より効率的に利益を得るための仕組みが確立アンダーグラウンドサービス
・侵入起点として悪用されるポイントも多様化
・侵入起点の組織を踏み台としてターゲットを攻撃
・攻撃対象の範囲が拡大
・バックアップからデータ復旧できたとしてもダークウェブに公開されれば社会的信用の失墜は不可避
・ばらまき攻撃、標的型攻撃
・暗号化の解除と情報の公開を材料に二重脅迫
・ノーウェアランサム暗号化しない
・盗んだデータを他社に販売
・日頃から対策を行い被害に遭わないことご重要
・セキュリティ対策の更なる強化が必要
・総務省による情報セキュリティマネジメントの実施サイクル PDCAサイクル
・USBメモリなどの使用制限
・脆弱性の探索行為、1アドレスあたり8219件
・ゼロデイ脆弱性、Nデイ脆弱性
・修正プログラムはなるべく早く適用
・キャッシュ配布、機能更新の一時停止、配布時の帯域制限等
・SKYSEA Client View EDRプラスパック

企業向け Chrome ブラウザによるクラウドネイティブなゼロトラスト
グーグル（同）企業向け Chrome ブラウザアジア太平洋地域本部長毛利健氏

・クラウドネイティブなゼロトラストセキュリティ
・セキュアなエンタープライズブラウザ
・IPA、最新の情報セキュリティの脅威はブラウザに関連する内容が急増、Webに関する脆弱性届出は7割
・クラウドワーカーは71%の時間をブラウザかバーチャルミーティングで仕事をしている
・ブラウザの役割の進化
・ウェブへのアクセスポイントからエンドポイントへと重要な役割
・Chrome、世界中で40億のアクティブユーザ
・法人ユーザも日に日に増えている
・法人に導入するメリット、サービス統合性、マルチOS体験、拡張性、管理性、生産性、セキュリティ
・いつでも、どこでも、安全に
・ブラウザの状態に基づき低コストのゼロトラスト
・Google 管理コンソール Chromeブラウザクラウド管理
・豊富なポリシーによるブラウザ管理
・セキュリティとコンプライアンス等
・一貫性のある制御ポリシー
・バージョン管理の可視化、コントロール
・拡張機能の可視化、コントロール
・シャドーIT制御
・個人アカウント利用による企業情報の漏洩を防止
・活用状況のインサイトとレポーティング
・古いWeb技術の検出と対応
・2030年までにエンタープライズブラウザはシームレスなハイブリッドワークを実現するプラットフォームの中心になる
・殆どの業務アプリはブラウザ経由のアクセスになる
・BeyondCorp Enterprise
・マルチOS上のセキュリティガバナンス
・悪意のあるサイトのリアルタイム解析
・リスクのあるドメイン、リスクのあるユーザを特定
・ブラウザ上のリスクイベントをブラウザで見ているので通信のインテンスがない