Security jaws trend and response
•
4 gefällt mir•2,670 views
Security JAWS 当局のトレンドと必要な対応 -AWS評価パッケージのご紹介-
Empfohlen
Weitere ähnliche Inhalte
Ähnlich wie Security jaws trend and response
Ähnlich wie Security jaws trend and response (20)
Security jaws trend and response
- 3. PwC PwC Globalについて PwCは世界最大級のプロフェッショナルサービスネットワーク 3 Locations 158カ国 721拠点 People** 250,930人 米州 71,222人 Revenue 413億米ドル アジア太平洋 77,929人 PwC*は、社会における信頼を築き、重要な課題を解決することをPurpose(存在意義)としてい ます。私たちは、世界158カ国に及ぶグローバルネットワークに250,000人以上のスタッフを有し、 高品質な監査、税務、アドバイザリーサービスを提供しています。詳細はwww.pwc.comをご覧く ださい。 欧州・中東・アフリカ 101,779人 * PwCとは、プライスウォーターハウスクーパース・インターナショナル ・リミテッドのメンバーファームによって構成されたネットワークを意味し、 各メンバーファームはそれぞれ独立した法人です。 ** 2018年6月30日 現在(サポートスタッフ含む) PwC Global
- 4. PwC PwC Japanグループについて PwCの日本におけるネットワーク 4 PwC Japanグループは、日本におけるPwCグローバルネットワークのメンバーファームおよびそれ らの関連会社の総称です。各法人は独立した別法人として事業を行っています。 複雑化・多様化する企業の経営課題に対し、PwC Japanグループでは、監査およびアシュアラン ス、コンサルティング、ディールアドバイザリー、税務、そして法務における卓越した専門性を結 集し、それらを有機的に協働させる体制を整えています。また、公認会計士、税理士、弁護士、 その他専門スタッフ約7,300人を擁するプロフェッショナル・サービス・ネットワークとして、クライア ントニーズにより的確に対応したサービスの提供に努めています。 PwC総合研究所合同会社 PwCサステナビリティ合同会社 PwC Japanグループ PwC弁護士法人 PwC税理士法人 PwCあらた有限責任監査法人 PwCコンサルティング合同会社 PwC京都監査法人 PwCビジネスアシュアランス合同会社PwCアドバイザリー合同会社 PwCサイバーサービス合同会社 PwC Japan合同会社 PwC Japan
- 6. PwC クラウド アドバイザリー&アシュアランスサービス 6 PwCあらたクラウド利用者 クラウド事業者 当局・関連団体 連携 アドバイザリー サービスの提供 アシュアランス サービスの提供 アドバイザリーサービス • ROI/TCO分析 • セキュリティ評価 • 開発/運用評価 • プロジェクト評価 • IT資産棚卸 • ロードマップ策定、ガイドライン策定 アシュアランスサービス • 第三者保証 • 内部統制および監査 クラウド利用を検討する企業やクラウド事業者に対して、当局や関連機関との連携も含めて 統合的なサービスを提供しています。 アシュアランス サービスの提供
- 9. PwC サイバーセキュリティ経営ガイドライン Ver2.0 9 サイバーセキュリティ経営の3原則 1. 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要 2. 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要 3. 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケー ションが必要 サイバーセキュリティ経営の重要10項目 リスク管理態勢の構築 指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定 指示2 サイバーセキュリティリスク管理体制の構築 指示3 サイバーセキュリティ対策のための資源(予算、人材等)確保 リスクの特定と対策の実装 指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定 指示5 サイバーセキュリティリスクに対応するための仕組みの構築 指示6 サイバーセキュリティ対策におけるPDCAサイクルの実施 インシデント発生に備えた 体制構築 指示7 インシデント発生時の緊急対応体制の整備 指示8 インシデントによる被害に備えた復旧体制の整備 サプライチェーンセキュリティ 指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握 関係者とのコミュニケーション 指示10 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供 引用 : 経済産業省 サイバーセキュリティ経営ガイドラインの改訂ポイント http://www.meti.go.jp/policy/netsecurity/downloadfiles/overview.pdf 昨今のサイバー攻撃の巧妙化によって求められる対策の高度化により、経済産業省が「サイバーセキュリ ティ経営ガイドライン」をVer.2.0 (2017/11/16)として改訂しました。
- 11. PwC 金融庁 「変革期における金融サービスの向上にむけて」 11 金融庁は、2018/9/26に「変革期における金融サービスの向上にむけて~金融行政のこれまでの実践と 今後の方針」を公表し、金融サービスの向上にむけた「金融育成庁」としての7つの重点施策を挙げており ます。 1. デジタライゼーションの加速的な進展への対応 ~金融デジタライゼーション戦略~ 2. 家計の安定的な資産形成の推進 3. 活力ある資本市場の実現と市場の公正性・透明性の確保 4. 金融仲介機能の十分な発揮と金融システムの安定の確保 ~経営者の役割とガバナンス~ 5. 顧客の信頼感・安心感の確保 ~金融機関の行為・規律に関する課題~ 6. 世界共通の課題の解決への貢献及び当局間のネットワーク・協力の強化 7. 金融当局・金融行政運営の改革 【ポイントの一部抜粋】 • プリンシプルベースのガイダンスの策定、関係者との対話を通じた問題意識の共有や対外的 な情報発信 • 金融規制体系をより機能別・横断的なものにしていく • サイバーセキュリティの国際連携の推進、デジタライゼーションに伴って生じる新たなリスクに対 応 引用 : 金融庁 金融行政のこれまでの実践と今後の方針(平成30事務年度) https://www.fsa.go.jp/news/30/20180926.html
- 12. PwC 12 基準の構成・分類整理 • 新基準(統制/実務/監査) • 基準の並び替え リスクベースアプローチ の導入 • 「金融情報システム」の分類 • 「基準の分類」の設定 • 「必須対策」の設定 読みやすさの対応 • 様式の再定義 • 語尾の曖昧さ排除 外部の統制基準 の整理 • 外部の統制に関する整理 • 外部委託とクラウドの基準整理 • 共同センター固有の基準を新設 安全対策基準 第9版 FISC「金融機関等コンピュータシステムの安全対策基準・解説書(第9版)」 2018年3月にFISC「金融機関等コンピュータシステムの安全対策基準・解説書(第9版)」 が公表されましたが、主な改定のポイントは以下の通りです。
- 14. PwC 14
- 15. PwC 15 Continuous Diagnostics Mitigation(継続的診断および緩和策) ・DHS(国土安全保障省)主導による 米国政府のセキュリティプログラム ・全てのシステムを72時間おきにスキャンし、 システムにおけるリスクをタイムリーに可視化 することで是正・緩和を促進し、健全な状態を維持 ・マネジメント監査やペネトレーションテストが 年数回の一時的なものであるのに対し、 継続性をもつ取組み ・15カテゴリの診断項目 引用 : DHS Continuous Diagnostics and Mitigation (CDM) https://www.us-cert.gov/cdm/home
- 16. PwC クラウドの適用領域に応じた対応 16 Governance HighLow InnovationLowHigh SoR (Light) SoR (Heavy) SoE SoR & SoE (Hybrid) 1. SOR (Light) - Webサービスやファイル管理等における クラウド利用 2. SOE - 外部サービスと連携したクラウド利用 3. SOR (Heavy) - 基幹システム、ミッションクリティカルな システムにおけるクラウド利用 4. SOR & SOE (Hybrid) - SORとSOEを連携したクラウド利用 対象となる情報やシステムに応じたAIC(可用性/完全性/機密性)の視点による対応が必 要です。
- 19. PwC PwCがクラウドセキュリティ評価にて提供する価値 19 本サービスは、従前よりPwCが提供しているサービスを体系化したことに加え、これまで設計書やインタ ビューによる確認の割合が大きかった技術対策の評価について、設定値の確認まで踏み込んで実施し、 評価の深度を深めたものとなります。 PwC’s Cloud Evaluation Frameworkを用いた評価① クラウドの各種設定に関する技術対策の評価② 経営層に対する報告の支援③ PwC’s Cloud Evaluation Packageのポイント
- 20. PwC 20 PwC’s Cloud Evaluation Framework -リスクアプローチによるクラウド利用の評価フレームワーク クラウドサービスを利用する際に考慮すべきリスク、公知のガイドラインとのマッピングによる最適化されたコン トロールをリスクコントロールマトリックスとして構成しています。 クラウド事業者のサービス仕様と特性に応じた対応策としての技術的なベストプラクティスをリファレンスとして 活用することで、リスクベースのコントロール設計に基づいた実装のフレームワークとして提供いたします。 No. Risk LV 1-1 1-2 1-3 2-1 2-2 2-3 3-1 3-2 3-3 R1 ロックイン 高 〇 〇 R2 ガバナンスの喪失 高 〇 〇 R3 コンプライアンスの課題 高 〇 〇 〇 R4 他の共同利用者の行為による信頼の喪失 中 〇 R5 クラウドサービスの終了または障害 中 〇 R6 クラウドプロバイダの買収 中 〇 R7 サプライチェーンにおける障害 中 〇 R8 リソースの枯渇(リソース割当の過不足) 中 〇 C1 C2 C3 分類 組 織 的 リスク 技 術 的 法 的 クラウドに特化しないリスク、および PwCの知見に基づいて識別したリスク ク ラ ウ ド に 特 化 す る リ ス ク ベンダーロックイン ガバナンス コンプライアンス 等 隔離の失敗 事業者側の内部不正 不完全なデータ消去 電子的証拠開示 司法権の違い 等 リ ス ク • PwCの既存のフレームワーク • 公知のリスクフレームワーク • 公知のガイドライン ガイドラインなど テクニカルリファレンス • クラウド事業者とPwCが提供する セキュリティリファレンス • クラウド事業者が公表するホワイト ペーパーやとPwCの知見など コントロール No. Control 1-1 1-2 1-3 2-1 2-2 2-3 C1 C2 Guideline Reference クラウド製品の技術情報も参照し コントロールのガイダンスを提供 考慮すべきリスクに対して 必要なコントロールを紐づけ テクノロジー etc...
- 21. PwC AWSのクラウドセキュリティ評価のパッケージの概要 21 本サービスは、PwCがクラウド利用に関するアドバイザリーや保証業務で培った知見、経験をもとにした PwC’s Cloud Evaluation Frameworkを活用し、各ソリューションベンダーのサービスも組み合わせてパッ ケージとして提供することで、網羅的かつ効率的な評価を実施し、企業のAWS利用におけるセキュリティを はじめとしたシステムリスク管理を支援します。 PwC’s Cloud Evaluation Framework クラウドサービスを利用する 際に考慮すべきリスク リスクに紐づく公知のガイドライ ンとのマッピングによる最適化さ れたコントロール クラウド事業者のサービス仕様 と特性に応じた対応策としての 技術的なベストプラクティス 定額パッケージ クラウド管理態勢の評価 クラウド利用技術対策の評価 価格 300万円~2000万円 (参考価格、対応状況、評価回数と規模にて確定)
- 22. PwC AWSのクラウドセキュリティ評価のサービス一覧 22 AWSのクラウドセキュリティ評価は、基本パッケージとオプションサービスから構成され、基本パッケージで は「クラウド管理態勢の評価」「クラウド利用技術対策の評価」を2つの柱として評価を実施します。 また、オプションサービスとしては、基本パッケージの評価結果に基づく対策への支援をはじめ、その他の クラウドサービスに関する各種支援を提供します。 AWS利用におけるクラウド評価の基本パッケージ AWS利用におけるクラウド評価のオプションサービス • 基本パッケージの評価結果にもとづいた対策への支援 • クラウドサービスに関連したガイドライン、チェックシートの策定 • 脆弱性診断(Webアプリケーション診断) • 脆弱性対策(ペネトレーションテスト) • その他、クラウドサービスに関する各種支援 • 構成管理 • ログ管理 • 暗号化対策 • ネットワーク対策 • 脆弱性診断(プラットフォーム診断) • クラウドCoEをはじめとした組織体制 • 基準、ガイドライン、規制対応 クラウド管理態勢の評価 クラウド利用技術対策の評価 • アクセス権限管理 • バックアップ管理 • データベース対策
- 25. PwC 技術対策評価におけるツールを利用した情報取得 -Compliance Standardの作成 25 RedLockデフォルト Compliance Standard PwCオリジナル Compliance Standard
- 26. PwC 技術対策評価におけるツールを利用した情報取得 -Compliance Standardの作成 26 PwC’s Cloud Evaluation Frameworkの項番
- 29. PwC 評価サマリー 29 【課題一覧】 項 番 優 先 度 内容 改善方針 C1- 2 M クラウド利用における窓口は定 められているが、クラウドCoEの 体制は構築されていない。 クラウドCoEの体制 構築を実施すること。 C1- 7 M クラウドサービス管理の各種管 理基準が外部委託管理の一 部にしか記載されておらず、規 定が不足している。 クラウドサービス利用 に向けたクラウド利 用規程を策定するこ と。 C4- 1 L ブルー・グリーンデプロイ等、ク ラウドを活用し、リスクを軽減し たリリースが検討されていない。 安全なリリース方式 を検討すること。 C4- 11 H 直接インターネット接続が必要 ないサービスのセキュリティグ ループに、インターネット接続 が定義されている。 セキュリティグループ の見直しを実施する こと。 C4- 13 H VPCフローログが有効化されて いない。 VPCフローログを有 効化すること 【ヒートマップ】 Example FY2018 FY2019 1Q 2Q 3Q 4Q C1-1 対象業務・情報の選定 C1-2 責任者・窓口・体制構築 C1-7 クラウドサービス利用に係る規程整備 C4-1 クラウド開発プランの確立 2 3 C4-2 クラウド運用プランの確立 3 4 C4-3 業務・運用イベントの整理 2 3 C4-4 システム監視・インシデント手続 3 4 C4-5 コスト管理 4 5 C4-6 クラウドサービスの利用制限への対策 5 5 C4-7 新規サービスの検討 2 2 C4-8 マルウェア対策 3 4 C4-9 脆弱性対策 3 4 C4-10 暗号化対策 2 3 C4-11 ネットワーク対策 3 2 C4-12 アクセス制御 2 2 C4-13 ログ管理 3 2 C4-14 バックアップ管理 4 3 C4-15 ライセンス管理 5 5 C4-16 構成管理 5 5 C1.クラウドサービス利用に向けた準備 C4.クラウドサービス利用における継続的構築・運用 4 3 3
- 31. PwC リスクの定量化 31 リスク 影響度 発生可能性 脅威 += 脆弱性 情報資産価値 × × 脅威が起こる可能性は、資産の損失の原因となる単一または集合体としての複数の資産に内在する脆弱 性にある。リスクの影響のあるいはそれに関連する重大な問題は、営業価値の損失及び脅威の発生に対 する予測頻度に比例する。 引用 : ISO ITセキュリティの管理に関するガイドライン
- 32. PwC 影響度のレーティング(例) 32 脅威 「効果的なサイバー防御のための CIS クリティカルセキュリティコントロール (CSC)」に基づきレーティングを実施 脆弱性 セキュリティ対策および規程類の整備状況に基づきレーティングを実施 値 判定基準 3 セキュリティ対策/規程類が整備されていないもの 2 セキュリティ対策/規程類が一部整備されているもの 1 セキュリティ対策/規程類がほぼ整備されているもの 値 判定基準 3 「CIS Controls」の ALL 20 Controls のうち、 First 5 CIS Controls に該当するもの 2 「CIS Controls」の ALL 20 Controls のうち、 First 5 CIS Controls に該当しないもの 1 上記に該当しないもの 脅威と脆弱性のマトリックスによって、影響度を3段階(High/Middle/Low)で判定します。 脅威 1 2 3 脆弱性 3 2 1 【影響度の判定方法】 重要度 説明 High 情報資産を脅かす脅威が存在し、セキュリティ対策/規程類の整備が不十分であるこ とから、早急な改善対応が推奨される事項。 Middle 脅威、脆弱性が「High」に該当しないものの、計画的な改善対応が要求される事項。 Low 脅威、脆弱性が「High」「Middle」に該当しないものの、リスクの顕在化を低減するため、 改善対応が推奨される事項。
- 35. PwC プロフィールとコンタクト先 35 饒村 吉晴 シニアマネージャー yoshiharu.jomura@pwc.com 080-9196-9359 システム開発、コンサルティングファーム、起業、大手グローバルITベンダーを経て現職。金融/公共/製 造/サービス業を中心に、経営管理、内部統制、サイバーセキュリティの分野でコンサルティングやプロジェ クト管理の実績多数。事業戦略からビジネス開発の上流分野も得意領域。近年はクラウド、AI、FinTechなど における戦略立案や基準策定の業務に従事し、同領域における講演、寄稿、執筆の活動も多数。 公認情報システム監査人(CISA) 執筆 『経営監査へのアプローチ』(共著 2017年 清文社出版) 執筆 『クラウド・リスク・マネジメント』(共著 2016年 同文舘出版) 有村 拓朗 マネージャー takuro.arimura@pwc.com 080-3315-4571 独立系SIベンダーおよび国内大手ITメーカーにて、官公庁と金融機関を中心としたITインフラ開発業務に 従事。インフラエンジニアとして、要件定義・システム設計・システム開発およびシステム運用を経験、それら のシステムライフサイクル全体におけるプロジェクトマネジメントの知見をもつ。PwCあらた有限責任監査法 人入所後は、金融機関や国のインフラシステムを中心とする、情報セキュリティ監査やプロジェクト評価の業 務に従事。 システム監査技術者、プロジェクトマネージャ、データベーススペシャリスト、情報処理安全確保支援士、 AWS認定ソリューションアーキテクト -アソシエイト、AWS認定Sysopsアドミニストレータ― - アソシエイト
- 36. © 2019 PwC. All rights reserved. PwC refers to the PwC network member firms and/or their specified subsidiaries in Japan, and may sometimes refer to the PwC network. Each of such firms and subsidiaries is a separate legal entity. Please see www.pwc.com/structure for further details. This content is for general information purposes only, and should not be used as a substitute for consultation with professional advisors.