NRIセキュアテクノロジーズのレビュー一覧

ゼロトラストネットワーク［実践］入門

野村総合研究所 / NRIセキュアテクノロジーズ

ゼロトラストネットワークの考え方、各コンポーネントの解説と導入におけるポイントを詳しく記載してくれている。ある程度基礎知識を持った上で読んだ方が良いかも

未来をつくる仕事がここにある サイバーセキュリティー会社図鑑

NRIセキュアテクノロジーズ / いわた慎二郎

NRIセキュアテクノロジーズから出版されているセキュリティの超基礎。
サイバーセキュリティの重要性と、会社として何をすべきかが書かれている。
本はすぐ読み終わり、カラーイラストなので初心者におすすめ。

ＩＴロードマップ ２０１９年版―情報通信技術は５年後こう変わる！

野村総合研究所デジタル基盤開発部 / NRIセキュアテクノロジーズ

ICTの技術動向とユースケースが簡潔にまとめられた良書。全体像を把握したいときに役に立つ。今回は過去に関わったプロジェクトが例示されてて驚いた。。。

ソフトウェア透明性 攻撃ベクトルを知り、脆弱性と戦うための最新知識

Chris Hughes / Tony Turner / Allan Friedman / Steve Springett / NRIセキュアテクノロジーズ

2020年 SolarWinds Orion Platform の侵害、2021年の Log4Shell 脆弱性と、ソフトウェア・サプライチェイン・セキュリティと言われる分野が大盛り上がりで、日本でも「SBOM がー」とかつぶやく人が増えてきている今日このごろ。この本は、そんな盛り上がりの中、2023年に刊行、24年12月に邦訳されている一冊で、SSS のリスク紹介に始まり、米国政府関係機関(NIST や NTIA、CISA、DoD など)や各種研究団体(SEI や MITRE など)、業界団体(OWASP、OpenSSF など)、ビッグテック(Microsoft、Google など)など諸団体の取り組みや、産業用機器なども含めたソフトウェア・サプライチェインの現状と課題、推奨事項などを概観する。紹介されるガイダンスやフレームワークだけ見てみても、OWASP SCVS、CIS SSSガイド、Microsoft の S2C2F、NIST SSDF などなど、アルファベット・スープにどっぷりで、いずれも概要の紹介に留まるため、この本だけでそのいずれかを理解するのは無理。脆弱性情報一つとっても CVSS が回らなくなってきていて、VEX などリスクベースの指標に起き替わりつつあることや、SBOM フォーマットも LinuxFoundation 主導の SPDX と OWASP 主導の CycloneDX が混在しているなど、脅威がすでに具現化されているわりに、まだまだこれといった印象のソフトウェア・サプライチェーン業界である。

ゼロトラストネットワーク［実践］入門

野村総合研究所 / NRIセキュアテクノロジーズ

ゼロトラストの導入にあたってのシステム設計や計画策定時に抑えておくべきポイントを体系的に整理している。技術的内容に寄ってる部分もありつつ、運用面なども含めた俯瞰的な視点もあり、ゼロトラストというキーワードに携わるときには参考にしたい一冊。

ゼロトラストネットワーク［実践］入門

野村総合研究所 / NRIセキュアテクノロジーズ

ゼロトラストはデジタル化したビジネスに柔軟性をもたらし
クラウド利活用・生産性向上・コスト削減といった経営効果生むセキュリティのパラダイムであり，
セキュリティ統制上人・物・情報に強いていた制限を技術で解決するもの．
簡単にいうとゼロトラストとは境界を抽象化するためのアイデアだなあと認識．

構成要素としてエンドポイント・ID・ログ管理・ネットワーク統制といったものが出てくるに過ぎない．

自動車のソフトウェア化のように技術が洗練していく過程で各種要求が抽象化・高度化しその実現方法としてハードウェアからソフトウェアへの依存が高まった結果がゼロトラストだと感じた．

セキュリティにおいてもネットワークやデータセンタという（ある意味）物理的な境界が防御に役立っていたんだけど，それをソフトの力で変えていきつつもセキュリティと利便性の両どりを目指すためには避けて通れない概念がこのゼロトラスト．

所々誤字があったりするがそこはご愛嬌．
「入門」と言いつつ，実践的内容が豊富です．

ーーーーーー

働く環境の多様化・情報資産の分散化
＝アタックサーフェスの増加・分散，影響の増加

境界防御：
守るべき資産は境界の中に．脅威は境界の外からやってくる．
境界はガチガチに，境界ではないエンドポイントやデータ，内部NWなどは補完的に防御
結果論的に多層防御へ．

ゼロトラスト：
守るべき資産もそれを狙う脅威は境界の内外に存在．

データセンターを中心としたアーキテクチャ
DCにある資産や端末リスクだけでなく，データセンター外で発生するトラフィックを拡張，制御できずビジネス要件を満たすITリソースを確保できないというリスクも．

”従来の境界型防御のようにデータセンターのインターネットゲートウェイを中心に対策するのではなく，業務上の一つ一つの通信に着目し，アクセス元からアクセス先までのエンドツーエンドでセキュリティを確保するのが特徴”
”アクセス元，アクセス経路，アクセス先それぞれに分割して対策をしたうえ，相互に情報を共有しながら，アクセス要求が発生する都度その安全性をチェックして接続を許可”

SoE：顧客向けシステム/サービス system of engagement
SoR：社内向けシステム system of record

CISコントロールv8 NIST SP800-207の考え方をマッピング（＝ゼロトラ対応）

Stuxnet→ウラン核燃料施設というスタンドアロンネットワークすら攻撃対象になるという事例

VPN機器は一般的にアクセス元制限ができないため，脆弱性が存在した場合狙われやすい
→ZTNAソリューションであればイントラネット入口がインターネットにさらされない（ソリューションがフロントに）

エドワードスノーデン事件
契約社員による機密情報の持出・暴露

GDPR：
個人情報の生成，保存，使用，共有，アーカイブ

p16 最下行

フロリダ水道局の水処理システム

マイクロセグメンテーションとは、ネットワークにおけるセキュリティーの区分けを物理的なネットワークセグメントよりも細かい単位で論理的に分離にすることです。

認証認可における考慮事項
だれ？（どんな属性）？
いつ？どの場所から？
どの端末で？
どこにアクセス？

4つの技術要素
認証認可　ネットワーク　エンドポイント　ログ集約と分析の高度化

資産もアクセス元も境界の外におかれるようになったのがゼロトラストが求められる背景。

認証＝当人確認。　
認証だけで何かを許す(アクセスを認める＝認可)ではない
認証なき認可→車の鍵

パスワード使い回し禁止の呼びかけは現実的ではない。
「ID、パスワードは漏洩する前提でリソースの認証仕様を設計・実装する」

認可→
これまで:必要な権限が付与されているか
これから:コンテキストから判断、時間・地理etc

FIDO サーバが持つ公開鍵と、クライアント端末が持つ秘密鍵で認証。
生体情報などをネットワークに送信しない。

IDプロビジョニングとは
IDや属性値などのユーザ情報を、
自動的に複数のシステムやアプリケーション、サービスに反映する機能

認可検証
ユーザー、エンドポイント、ネットワーク、データ
→従来は認可設定があるかどうかだけ。

casbのインライン方式→透過型みたいなものか。

広義のエンドポイント
→サーバ．クラウドのワークロードも含む

マルウェア・ウイルス対策
→シグネチャ型か振る舞い検知型

シグネチャ型のデメリット
・シグネチャ更新を欠かさずに実施しないといけない
・亜種に対応できないことがある
・ファイル実体を持たないマルウェアに対応できない

従来のシグネチャ＋振る舞い検知＝EPP

IoC Indicator of Comproise 侵害の痕跡
IoA Indicator of Attack 攻撃の痕跡

暗号化したファイルはスキャンできない→PPAPが嫌われる理由の一つ

FWではインバウンドだけ止めれば良いというのは誤り
→感染端末はC2とのコネクションを貼り、そこから遠隔操作が始まる。
これを止めるにはアウトバウンドを止めないといけない。

複数回認証失敗でロックは、総当たりなどへの完全な対策にならない。
ロックの閾値を下回るペースでログイン試行すればいいから。

多要素とEDRはセットに。
→認証クリアした後の端末がやられるとやりたい放題。

ＩＴロードマップ ２０１９年版―情報通信技術は５年後こう変わる！

野村総合研究所デジタル基盤開発部 / NRIセキュアテクノロジーズ

メモしたい用語：
情報銀行：パーソナルデータを提供、対価を得る
EX(Employee Experience):従業員体験価値
BAT:バイドゥ、アリババ(eコマースTmall)、テンセント(SNS:WeChat)
XAI:説明可能なAI
AIOps:AIとDevOpsの融合
GDPR:EUデータ一般保護規則

ＩＴロードマップ ２０１８年版―情報通信技術は5年後こう変わる！

野村総合研究所ビジネスIT推進部 / NRIセキュアテクノロジーズ

調査資料と思えば2600円は激安。調査資料買ったら単価100倍ですよ。
今年はAI、量子コンピューター、拡張現実、ブロックチェーンあたりがメイントピック。
個人的にはAPI セキュリティが面白かった。