経営システム本部 cisoオフィスサイバーセキュリ …...1 © nec corporation 2019...

1 © NEC Corporation 2019

NECにおけるCASB導入/運用事例のご紹介

McAfee Cloud Day 2019 講演資料

2019年06月20日日本電気株式会社

経営システム本部 CISOオフィス/ サイバーセキュリティ戦略本部

シニアエキスパート

宮本智

アジェンダ

1. 背景

2. CASB 導入

3. CASB 運用

4. まとめ

１．背景


NECにおけるクラウドセキュリティの位置づけ

安全・安心にクラウドサービスを利用できる環境を実現するため、クラウドサービス利用におけるセキュリティ対策の強化を実施する

NECグループIT白書


安全・安心にクラウドサービスを利用できる環境とは

①利用者、②利用端末、③通信経路、④クラウドサービス、⑤クラウドサービスの利用方法、の5つのセキュリティが保たれている必要がある

海外日本国内

①利用者②利用端末

クラウドサービス

利用テナント

インターネット

①利用者②利用端末

④クラウドサービス

⑤クラウドサービスの利用方法

③通信経路


利用テナント

④クラウドサービス

⑤クラウドサービスの利用方法

イントラネット

①利用者②利用端末 ①利用者②利用端末


サンクションIT※シャドーIT


NECイントラネット

クラウドの登場におけるリスクの変化

クラウドサービスはオンプレミスシステムに比べてリスクが高く、安心・安全な環境を実現するためには、多層でのセキュリティ対策が必要

利用者

利用端末

利用者

利用端末

テナント


通信経路

端末

利用者外部から成りすましリスク

従来の境界線（出口入口対策）

利用端末多様化による脅威増(マルウェア等)

クラウドサービスの脆弱性やサービス仕様によるリスク

（シャドーIT）

退職者等のアクセスリスク

クラウドサービスの特徴的なリスク

ビジネス利用個人利用利用者側の管理不足

によるリスク(サンクションIT※)

※サンクションIT :グループ全体で利用されるクラウドサービスビジネス利用にあたり、利用状況を把握する必要があるもの


クラウド時代におけるセキュリティ対策

▌クラウド事業者とクラウド利用者の責任分界点の明確化(*1)が必要。

▌上記の責任分界点を踏まえ、クラウド利用者側でセキュリティ対策として確認が必要なものは、下記の３点

① クラウドサービスの利用許可を得ているか（可視化）

② クラウドサービス自体の安全性を確認しているか（クラウド事業者のコンプライアンス遵守事項状況の確認）

③ クラウドサービスを安全に利用しているか（脅威防御、データセキュリティ）

責任セキュリティ対策カテゴリ

①クラウド事業者サービス仕様、脆弱性対策コンプライアンス

②クラウド利用者

サービス利用許可可視化

利用者のサービス利用方法脅威防御

管理者によるサービス設定データセキュリティ

(*1) クラウドセキュリティガイドライン活用ガイドブック(2013) 経産省

２．CASB 導入


クラウドセキュリティ対策の目的・狙い

▌ITガバナンスの観点を含め、クラウドサービス利用時のセキュリティ対策をどのレベルまで強化するか、重点を置くべきか(*1)について、整理

①利用の許可を得ているか

②安全性を確認しているか

③安全に利用しているか

•チェックシートによる利用者側での安全性確認•管理者による安全性確認

•クラウド利用規則の策定(利用者責任の明確化)•IRM等のDLP対策の実施

•クラウド利用規則の策定(事前申請の徹底)•URLフィルタによる制限

サービスの安全性確認作業の

効率化

データ保護、脅威防御機能を用いて利用時の

セキュリティ強化

未許可でのクラウドサービス利用実態

（シャドウIT）を把握

セキュリティ管理の視点

現状の対策

目的・狙い

追加施策の検討・実行安全性確認作業の

確実な実行

(特定)サービス利用の安全性を高める

(*1) クラウドセキュリティガイドライン活用ガイドブック(2013) 経産省


クラウドサービスの利用許可

①利用の許可については、業務に利用する際に「外部サービス利用基準」を用いて利用可否を判断

▌クラウド等の外部サービスの利用に関して基準を設け、外部サービスのセキュリティ対策についてチェックシートによる事前評価を行い、利用を許可

▌セキュリティリスクが高い外部サービスは、利用を禁止※

※禁止外部サービスを利用するクライアントソフトは「禁止対象ソフトウェアリスト」に掲載し、社内周知


クラウドサービスの安全性確認・安全な利用

②安全性を確認しているか、および、③安全に利用しているか、について、CASBにて対策を実施


アクセスログを収集し、分析

APIによる監視・制御


CASB(Cloud Access

Security Brokers)

Proxy




②安全性確認クラウドサービスのセ

キュリティ状況をCASBが定期的に

チェックし見える化

重要情報

③-2. サイバー攻撃の防止・検知大量のログイン試行等の不審な

行動を検知し、ブロック

②安全性を確認しているか

クラウドサービスの安全性を業界標準の指標を用いて見える化

クラウドサービスの脆弱性をチェック

③安全に利用しているか

1. 内部不正検知

行動分析により不審な行動(大容量ファイルアップロード、大量の個人情報アップロード、普段と異なる行動等)を検知し、必要に応じてブロック

2. サイバー攻撃の防止・検知

サイバー攻撃の予兆(ログイン試行攻撃、複数の国で同時ログイン、普段と異なる行動等)を検知し、必要に応じて通信のブロック・アラート

大量の個人情報

③-1. 内部不正検知個人情報のアップロードや、

不審な行動を検知し、ブロック


導入前にPOCを実施

クラウドサービスインターネット

NECイントラネット

…

ログProxy

国内/海外拠点

ログ管理サーバー

POC対象ログ

ログ情報

ログ解析

ログ情報(API)

実環境にCASBを試験導入し、POCを行うことで効果の検証を実施した。（NECでは、サンクションITとシャドーITの両機能に対し、POCを実施）

必要情報の切り出し

MVISONCloud

コネクタ


POC結果と導入判断

POCを実施した結果、実際にサイバー攻撃等のリスクを見える化し、効果を確認できたことから、導入を決定。特に効果の高い、Office365とBoxに対するサンクションIT機能から利用を開始した。

▌POCから確認できた、主な効果

サイバー攻撃の検知

• Office365やboxに対する外部からの攻撃を検知し、予防的な対応が行えることを確認した。⇒ CASBを導入していない場合、気づかぬうちに情報漏えいが発生しているリスクあり

• 特にCASBはアカウントの振る舞いを監視することから、EDR等では対応できない攻撃に対応でき、導入効果が高いと判断した。

例：

–短期間に集中した大量のアカウントに対するログイン試行

–同一アカウントに対する継続的なログイン試行

クラウドサービスの利用状況の監視

• CASBのシャドーIT機能により、NECグループ全体に対してクラウドサービスの利用状況を監視できることを確認した。

• また、リスクの高いクラウドサービスが利用されている場合、他クラウドサービスに誘導する等の対策が可能であることを確認した。

アノマリ件数の推移イメージ

攻撃のタイミングで上昇

3. CASB 運用


クラウドサービスへのCASBを活用したセキュリティ対策

CASBを活用し、①クラウドサービスの利用可視化、②クラウドサービスの安全性の確認、③クラウドサービスの安全な利用を実施


ログ解析

クラウドProxy

API連携

システム

インターネットNECイントラネット通信経路

端末

一般ユーザー

社有PC シンクラ端末社有スマートフォン

サーバ

システム一般ユーザー

社有PC シンクラ端末社有スマートフォン

サーバBYOD

MVISIONCloud

boxOffice365


クラウドセキュリティ運用体制

サイバー攻撃対策とサービス運用の2軸で運用体制を構築し、相互連携する

クラウドProxy運用部門

クラウド利用全体統括推進部門

＜ベンダーサポート>McAfee

個人情報保護担当部門

サイバー攻撃対策

CASB監視・運用部門

サービス運用

クラウドセキュリティ管理部門

サイバー攻撃以外の対策を実施サイバー攻撃対策を実施

CSIRT

SOC

4. まとめ


CASB導入/運用時のポイント

CASBを利用して「何をどこまで行うか」を決め、そのために必要十分な運用体制を確立する必要がある

▌CASBが検知したアノマリが、ビジネスリスクとなりうるかどうかの調査と判断が必要

例：クラウドサービスにA国からアクセスがあり、調査したところ、本人がA国に休暇で出かけていたことが判明 ⇒ ビジネスリスク無し

▌CASBは、監視対象のクラウドサービスのログを解析するため、ログに存在しないことは分からない。他の対策と組み合わせが必要

例：エンドポイントに起因する場合、エンドポイントの調査も必要となる

▌従来の情報だけでなく、CASBからも情報が入ることを前提に、CSIRTの役割とプロセスを再定義することが必要

例：エンドポイントの情報と、CASBの情報の両方を確認し、総合的に判断する必要がある


参考：NEC/Infosecによるクラウド活用支援

NEC社内導入で培ったノウハウを元に、お客様のクラウド活用に向けて、導入から運用までの様々なシーンにおけるお悩みをNECおよびInfosecでご支援します。

導入支援運用設計定常運用

• クラウド利用時に必要となる規程・ガイドラインの整備をご支援します

• 貴社の環境、ご利用中のクラウドを考慮した導入をご支援します

• 対策に必要な製品・サービスの構築・設計をご支援します

• CASB運用設計書及びアノマリー対応フローの策定のご支援をします

• アノマリー調査プロセスのレビューを行い、新種攻撃にも対応できるフローへの改善のご支援をいたします。

• その他、利用に伴う各種改善（利用者認証方法等）を多方面からご支援します

経営システム本部 cisoオフィス サイバーセキュリ …...1 © nec corporation 2019...

Documents

経営システム本部 cisoオフィスサイバーセキュリ …...1 © nec corporation 2019...