RSA CONFERENCE 2019レポート

RSA CONFERENCE 2019のテーマは「BETTER」。

今年は、RSAのSであるShamir氏がTV参加。2ヶ月前からVISA申請をしていたが下りなかったとのこと。トランプ政権の影響がこんなところにも。


From GDPR to California Privacy: Managing Cloud Vendor Risk

 GDPRとカリフォルニアのCPAについて。  両方とも、ベンダーが個人情報をちゃんと守れるようにすることを求めている。そのためには、ベンダのセキュリティが十分であるかを確認する必要がある。  Excelでやるのは大変。ベンダー用のポータルサイトを作って、そこに入力させると良い。  OneTrustという会社が提供する、Vendorpedia(ベンダーに関するインテリジェンス情報を提供するサービス)の宣伝。


How to Make Sense of Cybersecurity Frameworks

 様々なセキュリティフレームワークの話。  お腹すいたときにスーパーに行くと買いすぎる。セキュリティをしないと、というときにコントロールを導入すると、やりすぎる。  SP800-53 18のコントロールファミリは有用であるが、全部実装する必要はない。料理で全部の材料を使うということは無いのと同じ。P1,P2などのPriorityがついているので、それを参考にすれば良い。  CIS Top20 controlsを使うことで、オーストラリア国防省では85%の侵入が減った。  コントロールを実装することは1st step。その次にProgramフレームワークを導入してセキュリティレベルがわかるようにする。  ISO/IEC 27001は複雑で、お金もかかる。アメリカ以外のビジネスもやるならあったほうがいい。  ISO 27005はSP800-39と似ているが、RIsk TraeatmentとRisk Acceptanceが追加されてている。  定量的リスク分析の方法はFAIRとOpen Groupが提供している。  組織の成長に合わせてフレームワークを選ぶべきである。コントロール→プログラム→リスクフレームワークの順。


CISO: How to Understand and Manage Your Human Risk

 人間は一番弱いリンクではない、最も狙われる攻撃ベクターである。  「BJ Fogg Behavior Model」というものがあり、人は、モチベーションと簡単さでやるかどうかが決まる。  フィッシング、パスワード、オペミスがトップ3リスクである。  10%の漏洩がメールのAutocompleteによるものである。  モバイルデバイスがウイルスにかかるのは0.6%(ベライゾンレポート)。それより10倍高いのがデバイスを無くしてしまうこと。ウイルス対策している場合ではない。  セキュリティギークはコミュニケーションができない。そんな人たちにAwarenessはできない。できるのはPR、マーケティングの人たち。いくら予算をつけるかよりも、誰がやるかが大事。ターゲットに合わせてチームメンバーを決める。セキュリティ・ITの人にはソフトスキルが無い、という統計がある。  5000人以上の組織で必要なFTEは2人、成熟させるためには3人必要。


Connected Cars: A Security and Privacy by Design Study 10 Years in the Making

 自動車のソフトウェア開発を行っているエンジニアの1/3がセキュアコーディングの研修を受けていない。  一方、28%の消費者が、車がHackされたらその車は買わない、と言っている。  「The Security and Privacy in Your Car Act」という名前の法律がある。プライバシーを守るための法律だが、略称は「SPY Act」という。V2V(Vehicle to Vehicle)通信に関するもの。V2V通信はログは取らないことになっている。  「他の国との調整はしているか?」という質問に対し、「No」と。ただし、カナダは問題無い。メキシコについては、アメリカ・日本のメーカーなら問題無い。


Change Your Approach to Get It Right

 ニューオーリンズの災害時に、Coast Guardはすぐに対応できたが、FEMAは5日かかった。Coast Guardにはflexibilityがあった。FEMAはDirectorの承認が必要だった。  今決断しなければいけない、とクライアントに電話したら、PPTにまとめてほしいと言われたりする。Agileに対応することは難しいものである。

Anatomy of Phishing Campaigns: A Gmail Perspective

 GoogleがどのようにPhishing対策をしているかの話。  PhishingのWarningがでているかどうかは、Domain AdminがダッシュボードにログインすればInsightを見ることができる  Petyaでやられたとき、Executiveは「Do whatever the customer wants. No need for HQ approval. All cost will be accepted.」というメッセージを発信した。


The Five Most Dangerous New Attack Techniques and How to Counter Them

 DNSpionageという攻撃方法がある。密かにDNSレコードを書き換えてしまうもの。対策としては、DNSと証明書の変更をモニタリングする。それを検知する無料のサービスもある。  Doamin frontingは、C&Cへの通信を隠す攻撃。  パスワードが盗まれてしまうのを防ぐ方法としては、システムが受け付けてくれるのであれば、パスワードにスペースを入れると良い。最後に入れると一番効果的である。攻撃者がツールを使って攻撃し、パスワードがわかって表示されても、それを見て入力しても入れないので、パスワードが間違っていると誤解する。

Phantom Menace, Episode I? The Attack That Undressed the Mexican Banks in '18

 前回、CISOがRSA Conferenceに参加しているときにメキシコ銀行でインシデントが発生した。  Contractorのインターネットアクセスを禁止していたので、自分のスマホを使ってインターネットにアクセスしていた。そこが穴になった。  開発者が本番環境にアクセス可能だった。管理者パスワードを共用していた。  踏み台サーバを置くことで対策した。また、送金システムを独立したネットワークに置くこととした。  メキシコでは、PaymentシステムへのRegulationがなかった。攻撃が起きてから、RegulationやBest practiceができた。


Developing Key Performance Indicators for Security

 KPIを設定するには、目的を文書化することが必須である。漏えい事故を起こさないこと、というのはKPIにはなりえない。  CISコントロールは新しいものがでる予定。  達成レベルはSix sigmaで判断するとよい。 最初はCIS 1-6から始める。Small startが大事。これをSix Sigmaのレベル3までもっていく。  ServiceNowやArcherを使って自動化する。


IMF Case Study: Metrics That Matter—Help Management with Decision Making and Improve Security Posture of the Organization

 Metricsには、ビジネス的な価値を測るものと、セキュリティプログラムの有効性を測るものと、両方に属するものがある。Metricsを決めるには、どのような質問に答えるかを決めることが大事である。  Phishingメールにクリックすると、インターネットに接続できなくしたり、3時間のトレーニングを受けたり、マネジメントにレポートされたりする。Phishingの数は職員がSOCにレポートした数ベースで数値を出している。  GRCツールは使っていない Pablo?というものを使っている。  どの職員が狙われているか、というリストも管理している。  リスク受容しているのはデータオーナーである。その後CISOが閾値を決める。  ボードはRisk appetiteを決める役割。


JAPAN NIGHT

 今年で4回目になるJAPAN NIGHT、今年も衣川さん(Value Creation Frontier)で共催しました。場所は変わらずMurphy's Pub。

 参加者数が増えてきて、別の場所を借りようか、なんて話が出て別の場所を調べてみたのですが、とてもお金がかかるんですね。参加者からお金をもらおうか?という話も出たりしたのですが、やっぱりこれは無料でやるからこそいいのではないか、ということで、場所を変えずに開催しました。来年もやりますよ。


小熊