働き方改革とセキュリティ対策を両立させる方法 に参加した

  • 投稿者:
  • 投稿カテゴリー:event

働き方改革とセキュリティ対策を両立させる方法に参加した。
齊藤愼仁氏と河野省二(クラウドセキュリティのガイドラインやISO27002を策定した人)氏の発表込みの対話だったため、自分なりに理解したことを記載する。

・ITが企業のコアになっている。ITを抜いたら会社がなくなるような時代になっており、インターネットを有効に使えない企業は衰退していく

・セキュリティの目的は(何かあったときの)説明責任、事業継続であり、手段として情報保護を実施している
 ・セキュリティはコスト
  ・ルールで縛るはシュークリームを毎週買ったほうがセキュリティは向上する
 ・事業継続の観点として、例えばM銀行など週末メンテナンスするのであれば、クレジットカードを女子高生にも持たせるべき(じゃないとお金を下ろせない女子高生は機会損失する)

・ファイヤーウォールや出口対策で守るといった中央集約型のセキュリティは限界が来ている
 ・社外でインターネット越しに作業することが多くなっているため
 ・セキュリティで一番守らなくてはならないものはデータであり、中央制約型では漏洩したときなどの対応が難しい
  今よく聞くCASBやSIEMについても今後なくなっていく
 ・Splunkでデータを集めてゴールではなく、解析と対応が重要だがそこまで運用できている企業は少ない
  またログを自分たちで持ちたいということが傲慢。第三者に預けることがとても大切(何かあったときのログとして改ざんされている可能性が低い)
 ・VDIベンダーの売上の8割が日本。またVDIベンダーの株価は下がり続けている
  ・Desktop as ServiceについてMicrosoftも本当はやりたくない
 ・管理の粒度を小さくすることが問題発生時のビジネスへの影響を小さくする。中央集約型では大きすぎる
  ・例えばモバイル端末管理はMDMではなくMAMに移っていくべき

・分散管理型としてVPNを使うことがある
 ・ユーザにとって使いにくく、その結果シャドーITが生まれやすくなる
 ・MACアドレスやIPアドレスは偽装しやすく、結果的にVPN接続元が正しい端末か(ゼロトラストネットワークの考え方)を判断することは難しい
  ・最近ではサービスを提供にあたって、IPスプーフィング対策ができていますか?という質問がある
 ・端末を信じるためにはTPMを利用するべし
  ・例えば中国だとお札が本物か信じられないから電子決済が普及している。毎回オーソリしたいらしい

・それは本当に会社のPCか?本人か?を証明するためには
 ・IDaaSを利用した匿名インターネットの終焉がくるかもしれない(誰がいるかわからないのであれば名乗れば良いの精神)
  ・AzureADやGoogleIDなどはIDだけでなく端末なども登録できる
   ・ただしGoogleの戦略はブラウザでとどまっている
   ・AWSはリソース屋のため今後なくなっていく可能性がある
 ・WEBはなりすましを防ぎにくい機構のため、匿名インターネットがなくなっていく場合は、今後なくなっていく。より専用アプリ化が進む
 ・すべてのデータに証明書をつける必要がある
  ・例えば回線金額未払いだとスマホにある証明書を外部で削除している
 ・オススメの書籍
  https://www.amazon.com/Zero-Trust-Networks-Building-Untrusted/dp/1491962194/

・分散管理型のポイントとして権限を現場へ移譲しつつも、利用状況を把握する仕組みを用意すること、つまりエンドポイントセキュリティ必須
 ・SOCをエンドポイントで稼働させる
 ・Microsoft 365がオススメらしい(DLPなども含まれている)
 https://www.microsoft.com/ja-JP/microsoft-365/business

・バッドノウハウとして、構成検討の際に既存の仕組みを流用しようとすると、すべて失敗する

クラウドネイティブの職場環境

・ゼロトラストネットワークの考え方が以下を支えている、らしい
 ・出社時間自由。オフィスはあるが出社は推奨しない
 ・給料は自己申告制。議論や意見無しで書いた金額がそのまま支払われる
 ・必要な物品を法人クレカで購入可能

・オンプレADを意識して作成しているSaaSがあるため、オンプレADはある。ただし危険であるため使いたくない
 スキーマ拡張すればAzureADと接続できないらしい

・AzureADにログインする際に、本当に本人か?もし危険なネットワークである場合は安全な環境を作ってから接続するような仕組みが用意されている
 ・ゼロタッチデプロイメントなど、起動したら自分の名前で作業するような仕組みもある
 ・暗号化されていない通信などを検知したときに自動的にVPN通信になる
  つまり相手先が信頼できない場合のみVPN通信させる

・MACはziftenを利用している(Microsoft 365と連携可能、統合管理できる)
 ・ネットワーク機器など既存のコストがなくなる。Microsoft 365も含めると高額にみえるが、いつか逆転する

・アンチウイルスではなく、EDRがオススメ
 ・Windows10のEDRはエージェントレス
  ・Windows10のメジャーアップデート時のメーカーへの確認などが不要