ヤフーでHardeningを実施する意味 (#sec_kansai #sosaisec)
180 Views
May 07, 18
スライド概要
総関西サイバーセキュリティLT大会 基調講演資料 (https://sec-kansai.connpass.com/event/80283/)
2023年10月からSpeaker Deckに移行しました。最新情報はこちらをご覧ください。 https://speakerdeck.com/lycorptech_jp
関連スライド
各ページのテキスト
ヤフーでHardeningを 実施する意味 2018年5月7日 ヤフー株式会社 CISO室 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
わたくしはこんな人 太田 俊明 (おおた としあき) ヤフー株式会社 CISO室セキュリティ監視室所属 Yahoo! JAPAN Hardening 責任者 日本シーサート協議会 インシデント対応訓練WG ●(本家)Hardening経験 2 Hardening 100 Value x Value 見学者 Hardening 2016 Weakest Link 見学者 Hardening 1010 Cash Flow 競技者 Hardening 2017 Fes MP参加 Micro Hardening V1.0 競技参加 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
本日おはなしすること • • • • 3 Hardeningとは? イベント概要 演習シナリオ セキュリティ演習を実施する意味 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
Hardeningとは? Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
Hardeningとは何か? サイトを運営する担当者となり、 「多様なサイバー攻撃に対応しながら、 サービスの売り上げを競う」 実践型セキュリティ総合演習のこと。 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
目的は? サービス セキュリティ Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
(本家)Hardening 主催: WASForum(Web Application Security Forum) Hardening Project実行委員会 https://wasforum.jp/hardening-project/ 共催: 内閣府 沖縄総合事務局 備考: 2012年より年2回程度開催。各回の参加者は100名前後。 http://www.qab.co.jp/news/2016110484925.html 琉球朝日放送(QAB)より引用 7 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
ヤフーのHardening とは? (本家)Hardeningの思想をベースに 全従業員向けの演習としてカスタマイズ • • 8 チームに属している非エンジニア職の比率を高めに設定 ユーザー・メディア対応シナリオをより厚めにし、技術対応と 対外対応の両面を問うシナリオを実施 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
イベント概要 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
10/12 10/13 Hardening Day(競技日) Softening Day(振り返り日) Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
協賛 主催 参加グループ企業 バリューコマース株式会社 ワイズ・スポーツ株式会社 ダイナテック株式会社 株式会社GYAO シナジーマーケティング株式会社 株式会社カービュー アスクル株式会社 パスレボ株式会社 ワイジェイカード株式会社 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 協力
ヤフーのHardeningとは? 競技環境 (サーバ) 技術攻撃 シナリオ 競技環境(インフラ) 本家Hardeningの思想 12 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 対外対応 シナリオ
実施概要【参加者】 競技者 エンジニア スタッフ CS(カスタマサポート) コアメンバー: 来賓 約30名 6名(実働3人/月程度) RedTeam(攻撃担当): 企画 広報 チーム構成 1チームを8名〜10名で構成 9チーム構成(8名〜10名/チーム) = 81名 約25名 感想やコメントなど、フィード バックをいただく サポートスタッフ: 約25名 ※サービスを運営する各組織より競 技者をアサイン 13 (本家)Hardeningで関わりのあ る方を中心にお声がけ Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
演習設定 - 組織図 石切山社長 社員旅行満喫中 セキュリティ研究所 戸田執行役員 情報システム本部 冨川執行役員 SM (サービスマネージャー) 技術 14 CS (カスタマーサポート) 企画 広報 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. コーポレート統括本部 神田執行役員
演習設定 - 参加者の役割 White Team イベント運営 ( back office) Red Team(Outside) Red Team(Inside) 技術攻撃役 社長役 ユーザー役 マスメディア 役 SNS役 対外対応 技術対応 Blue Team 受付 SM (サービスマネージャー) 司会 技術 撮影・実況 15 CS (カスタマーサポート) 企画 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 広報 早期警戒情報 サイト役
演習設定 - システム構成図 総コア数:343コア NW規模:32セグメント 合計173台 検証環境, 26 運営環境, 27 紀尾井町セミナールーム 競技環境, 120 競技環境 16 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. 運営環境 検証環境
演習設定 - ECサイトA なぜファッション? コンセプト(Twinkle Fashions) コンセプトは「キラキラ」 若年層をターゲットとしたページ 販売物:ファストファッション 安価 流行のオープンソースをふんだんに取り入れ た、イマドキのシステム/画面構成 つい最近作成され運用が始まった、という設定 17 画像:アフロ Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
演習設定 - ECサイトB 盆栽、なぜ? コンセプト(Traditional Bonsai) コンセプトは「レガシー」 高齢層をターゲットとしたページ 販売物:盆栽 高価 昔ながらの技術を用いた、古いシステム/画面 構成 昔から運営されている、という設定 18 画像:アフロ Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
演習設定 - その他のサイト SNS(掲示板) コーポレートサイト 画像:アフロ 19 早期警戒情報サイト 画像:アフロ Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
演習設定 - その他のサイト 20 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
演習シナリオ Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
シナリオ 7時間の競技の中で26回の攻撃を敢行 • • • • • • • • • 標的型メール攻撃 ECサイト改ざん クライアント端末乗っ取り サーバリブート Corpサイト改ざん 個人情報漏洩 ECサイトデータ全消失 ランサムウェア感染 Outside攻撃 • • • • アカウント棚卸し ソフトウェアの申請・管理 怪しいメールは開かない パッチの適用 日常のセキュリティ対応を などなど。 実施すれば十分対応可能 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
シナリオ え?あ?やられてる。。 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
シナリオ あ・・・? どこまで対応すれば良いのよ? Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
シナリオ 「俺の情報が漏れてっから、どう なってんのって聞いてんの。」 お客様直接来社の恐怖! Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
評価軸 売上 技術 サービス 広報 26 顧客対応 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
評価軸設定指針#1 売上 技術 広報 顧客対応 27 ECサイトの売上を評価 自社サイト・ネットワーク・ソフトウェア等の 技術対応力を評価 メディアに対する対応力を評価 お客様に対する対応力を評価 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
評価軸設定指針#2 サービス 28 既存の4軸以外の全てをサービス軸で評 価。 ・社長への報告・相談 ・サービス運営状況 ・競技への取り組み方・姿勢 など。 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
評価結果 チーム名 売上(万円) EC連合 Benkei 8,314 8,665 1,326 6,476 8,039 12,601 9,091 8,897 10,413 Sponavi+++ MAMO2 ヤフオク! PSC メルゾン IDentity 29 データ守り隊 技術 (10点中) 4.0 5.2 4.9 4.6 5.6 4.4 4.4 5.7 5.6 広報 顧客対応 (未公表) 3.5 4.8 5.0 5.0 3.5 3.8 3.8 3.8 5.8 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved. サービス (サービスマネジメント) 5.0 8.0 6.0 6.0 7.0 5.0 5.0 6.0 8.0
最優秀賞 30 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
セキュリティ演習を 実施する意味 Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
実施する意味#1 インシデント対応経験の ある人を増やす (※ここでの「インシデント」とは大規模な攻撃や事故を意味する) • サイバー攻撃がどういうものなか、その現実(リアリティ)を知らない 従業員がたくさんいる • 一方で攻撃を受けた際に対応するのは現場の従業員である • 被害をできるだけ軽減化する為にも、多くの従業員に「現実(リアリ ティ)」を知っていただく必要がある Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
実施する意味#2 「セキュリティは重要」 の根底理解 • 従業員に「セキュリティは重要ですか?」と問えば、ほぼ全ての人がYesと答え る • それをどれくらいの深度で理解しているか? • 認識は人により違う • インシデントを体験する事で、改めてセキュリティの重要さを再認識いただく • 結果として、受動的なセキュリティ対応をしていた人が、より能動的な対 応へシフトする! • 従業員のセキュリティへの理解が増せば、セキュリティの推進活動もより 進めやすくなる Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
実施する意味#3 社員全員が 組織力を活かす • 別組織のメンバーと共に戦う事で、お互いの組織に対する相互理解が深まる • 理解が深まることで、効果的なインシデント対応が期待できる • 通常の業務においてもシナジー効果が活かされる • 結果として企業力そのものの向上につながる Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.
ご静聴ありがとう ございました Copyright © 2018 Yahoo Japan Corporation. All Rights Reserved.