20180224 azure securitycenter
•Download as PPTX, PDF•
0 likes•167 views
Azure securitycenter の紹介です
Report
Share
20180224 azure securitycenter
- 1. Azure Security Center って 知ってる? きしま まさかず (MICROSOFT MVP -CLOUD AND DATACENTER MANAGEMENT)
- 2. アジェンダ • 最近のよもやま • Azure Security Center の正体
- 3. こんな話をご存知?
- 4. 今年も1年がんばるぞい • 2017年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から 選ばれる「情報セキュリティ10大脅威 2018」でも新しい脅威が続々と出ています 昨年順位 個人の10大脅威 順位 組織の10大脅威 昨年順位 1位 インター年とバンキングやクレジットカード情報 の不正利用 1位 標的型攻撃による情報流出 1位 2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 2位 7位 ネット上の誹謗中傷 3位 ビジネスメール詐欺 ランク外 3位 スマフォやアプリを狙った攻撃の可能性 4位 脆弱性対策情報の公開に伴い公知となる 脆弱性の悪用増加 ランク外 4位 ウェブサービスへの不正ログイン 5位 セキュリティ人材の付属 ランク外 6位 ウェブサービスからの個人情報の窃取 6位 ウェブサービスからの個人情報の窃取 3位 8位 情報モラル欠如に伴う犯罪の低年齢化 7位 IoT機器の脆弱性の顕在化 8位 5位 ワンクリック請求等の不当請求 8位 内部不正による情報漏洩 5位 10位 IoT機器の不適切な管理 9位 サービス妨害攻撃によるサービスの停止 4位 ランク外 偽警告 10位 犯罪のビジネス化 2位
- 7. GDPRは何を要求しているのか? • GDPR(一般データ保護規則)を構成する要素としては、透明性・適合性・ 罰則、の三つの大きな柱があります。GDPRを遵守するためには、EU域内で取 得した個人情報の扱いに際して、貴社個人情報管理業務の流れと責任を明 確にし、データ主体の権利を保護することができる管理体制とすることが必要と なります。 透明性 • 説明責任と業務の文書化 • 個人情報を扱う目的の明確化 • 同意取得方法と取得した同意の 扱いの明確化 • アクセス権管理の強化と付与時 間の短縮化 • 漏洩事案の公開等、インシデント 対応手順の明確化 罰則 • 監督機関に与えられる権力の強 化 • 重大な違反に対する罰則金の強 化 • 精神的苦痛が補償される権利 • 集団訴訟を起こす権利 • データ処理者にも課せられる責任 適合性 • “Data Protection By Design”の導入 • プライバシー影響評価の導入 • データポータビリティへの対応 • “忘れられる権利”行使への対応
- 8. 日本は関係ないと思ってません? • Case 1: EU域内に向けたサービスを提供している • EU域内各国の顧客が、サービスサイトやサポートサイトから、IDやメールアドレス、等を登録 • サイトで登録された個人データを、EU域外の情報管理系システムに蓄積・処理 EU域内の顧客がサービスサイトにアクセスし、問い合わせフォーム等に個人情報を登録する。 サービスサイト メール 情報管理 システム IDやメールアドレス、等を登録 蓄積・処理 以下のケースも該当 • EU域内に住む顧客に対するサ ポートセンターを、EU圏外の国 (アジアなど)に開設し、個人 情報を含むサービス履歴を蓄 積している EU域内 アカウントID
- 9. 日本は関係ないと思ってません? • Case 2: 個人データを活用している EU域内データセンタ 顧客データ管理 システム 活動情報を集約 アクセス・分析し販売/開発戦略立案 • 海外子会社を通じて収集した、顧客の活動情報や課金傾向等を含む個人情報をEU域内で収集し、保管 • 日本国内からアクセスして分析し、販売/開発戦略立案に活用 以下のケースも該当 • ログインアカウントやIPアド レスなど顧客の個人情報が 出力されている可能性があ るCookieやログファイルを、 日本国内に収集している • EU域内の拠点と日本本社 との間のメールで、従業員の 人事評価などの個人情報を 送受信している EU域内に設定してある子会社が収集した顧客の個人情報に、日本の本社からアクセスして端末に個人情報を 表示する
- 10. どのような対応が必要なのか • EU域内の個人データを取り扱う企業においては、GDPRの遵守に向けた全社 的な対応が求められます。以下に、各部門に求められる取り組みの一例を示し ます。 GDPR対応 経営企画 内部統制 情報システム部門 情報セキュリティ 部門 法務部門 事業部門 人事部門 データプライバシーオフィサーの任命 データプロテクションバイデザインの推 進 プライバシーインパクト分析(PIA)の 実施 域外移転に必要な仕組みを 整備 契約プロセスやモデル条項の 管理 データポータビリティの実現 アクセス権付与・承認の管理 開発ライフサイクルの確認 データプロテクションバイデザインの 導入 同意の取得方法や履歴の管理 データライフサイクルを通したセキュ リティ要求の整理 データセキュリティの強化 匿名処理の標準化と文書化 違反検知機能の強化 違反検知時の対応 従業員個人情報の管理 従業員の教育 【GDPR対応例】
- 11. [検知] 72時間以内にインシデント内容を報告できるのか? • 未知のマルウェアの脅威を完全に防御することは困難である前提に立つと、僅か な攻撃の兆候を確実に把握したり、プロアクティブにサイバー攻撃の予兆を検知 し未然に対応を行ったりする態勢や仕組みが求められる 検知 分析 報告 封込 除去 回復 SIEM(ログ相関分析)などにより、僅かな不正アクセスの兆候からも重大な異常を発見 あらかじめ決められたルールやプロセスで、インシデントに早期対応 今後求められるプロアクティブ な態勢 • 顧客や外部機関からの申告より前に、自社で僅かな不正アクセスの兆候 から重大な異常を発見する高度検知能力 • 脅威モデル(Kill Chain)をベースにした検知ポイントの絞り込み • 膨大なログから重大な異常を発見するナレッジ セキュリティ関連ログ プロアクティブな 態勢のメリット • インシデントの検知が早ければ早いほど、ビジネスへの影響を最小化できる
- 13. クラウドのセキュリティ対策範囲(例えばIaaS) • 多くのセキュリティ課題はオンプレミスとIaaSで共通となるため、共通項目をどの ように保護するのかを考える必要があります • ID/パスワード漏洩 • OS/アプリの脆弱性 • SQLインジェクション • マルウェア/ランサムウェア などはこの領域の問題。
- 14. Azure Security Center の話
- 15. 2017年9月に新しくなりました • OMS Security & compliance の機能を取り込み Log Analyticsと統合 され、 ハイブリッド・マルチクラウド対応をはたしました 旧 Azure Securty Center OMS Azure Secutiry Center
- 16. Log Analytics との統合 • 仮想マシン専用からオンプレやAzure 以外のクラウドの仮想マシンも対象になっ てます Azure Monitoring Agent Microsoft Monitoring Agent Azure Log Analytics • これまで • Now Microsoft Monitoring Agent がログをLog Analyticsワークスペースに送信 • オンプレミスやAzure以外のクラウドでも Azure Security Center を利用可能! Azure Secutiry Center Azure Secutiry Center
- 17. 何ができるのか • サポートされているのはこんな感じ • プロアクティブな対応(攻撃を受けないために何が必要か)になります セキュリティポリシーチェック、アセスメント、推奨設定の勧告 防止機能 脅威検出 システム 更新 OSの脆弱性 エンドポイント 保護 ディスク 暗号化** NSG Web アプリ ケーション F/W Network Firewalls JIT VM Access Adaptive App Controls Network VM Azure Compute Windows VMs* X X X X X X X X X X X Linux VMs* X X Roadmap X X X X X Roadmap X Preview Cloud Services X X Web Apps in ASE X Other Compute Windows* X X X Roadmap X X Linux* X X Roadmap Roadmap X X 監査 暗号化 脅威検出 Azure SQL Database X X X Azure Storage X FAQ
- 18. お高いんでしょう? • 無料とStandard の2種類があります • Standard は1,680 /ノード /月です • Standard は 60日は無償で使えます • アプライアンスと比べたら、安い? 機能 FREE (AZURE リソースのみ) STANDARD (ハイブリッドと AZURE リソース) セキュリティ ポリシー、評価、および推奨事 項 X X 接続されたパートナー ソリューション X X セキュリティ イベントの収集と検索 X Just In Time VM アクセス X アダプティブ アプリケーション制御 X ネットワーク、VM やサーバー、および Azure サービスに対する高度な脅威検出 X 組み込みアラートとカスタム アラート X 脅威インテリジェンス X 付属データ量 500MB/日
- 19. ノードって何?? • OSが稼働している「サーバー」と考えてください。Azureであれ、オンプレ仮想マ シンであれ、物理サーバーであれ、すべて1ノードです。 • また、PaaSであるAzure SQL Databaseなども1ノードとしてカウントされます。
- 21. Endpoint Protection issues • ウイルス対策ソフトのインストール漏れやマルウェア検知を通知します • 無償のMicrosoft Antimalwareの状況もここで集中監視できます • 無料
- 23. Identity & Access • Windows/Linuxへのログオン成功/失敗の記録を確認できます • 無料
- 24. 検出 – セキュリティ警告 • ログ分析とAIを組み合わせた高度なセキュリティ検知が可能です
- 25. 検出 – セキュリティ警告(詳細)1/2 • 不正アクセスやOS上での不正なふるまいを、ログやクラッシュダンプ解析の結果 とAIおよびMicrosoftの知見を組み合わせて検知して表示します ダンプファイル解析から不正 ファイルを検知 通常と比べて異常に多い RDP接続 通常と異なる場所からのログ イン
- 26. 検出 – セキュ��ティ警告(詳細)2/2 • 無数のアラートから一連の攻撃に属するものを自動抽出して表示します 1. RDPブルートフォース成功 2. 不正プロセスの実行 3. 複数ドメインアカウントへのアクセ ス
- 27. 検出 – セキュリティ警告 • 関連するアラートを直感的に調査できるダッシュボードが用意されています
- 28. 検出 – 脅威インテリジェンス • サイバー犯罪者が使う悪意あるIPアドレスとの通信を検知して表示します
- 29. アダプティブ アプリケーション制御 (プレビュー) • 事前に許可されたアプリケーション以外の実行を制御します • 実行を完全に禁止するだけでなく、実行時にログを取得する設定も可能です • 実行許可アプリケーション一覧の作成を機械学習が支援します • 現時点ではAzure上のWindowsのみが対象です
- 30. Just In Time VM アクセス (プレビュー) • 事前定義したユーザー/IPアドレス・ポート/時間に限って、Azure仮想マシンへ のアクセスを許可する機能です • 自動的にNSGの設定を変更し、RDP/sshへのアクセスを制御します • Azure仮想マシンのみが対象。オンプレミスは対象外です
- 31. システム更新はどうした? • 機能はありますが、”Update Management” のほうがお勧めみたい • Azure仮想マシンもオンプレミスも無償で利用可能です • WindowsとLinuxの両方に対応してます • 更新プログラムの適用状況確認はもちろん、更新プログラム適用のスケジュール実行もでき ます
- 32. ちなみに • 情報セキュリティに対する重大事故は、会社の信用問題にかかわる時代です • ノーガード戦法はただの経営リスクです • うちのデータなんて盗まれたって大したことはない、というのは誤りです • 流出規模、内容によっては経営危機におちいる場合もあり得ます • 思い当たる事件はありませんか? • うちは大丈夫っておもってません??
- 33. というわけで • 興味があったらつかってみてください • Security Center で集めたデータを Power BI で分析することもできます • https://powerbi.microsoft.com/ja-jp/blog/analyze-your-azure-security- center-data-with-power-bi/