Alternative Architecture DOJO

オルターブースのクラウドネイティブ特化型ブログです。

Microsoft Digital Trust Summit 2019 参加レポート #digitaltrust

セキュリティもセクシーに。こんにちは、森田です。 2019/10/8 開催の「Microsoft Digital Trust Summit 2019」に参加してきました。

Microsoft Digital Trust Summit 2019 とは

理想のセキュリティ環境を実現するための「Digital Trust」 日本各地でビジネスの価値創造を促進するためのデジタル トランスフォーメーションが進む中、今やどの企業もサイバー セキュリティ対策の重要性を認識し、積極的に取り組み始めています。

本イベントでは、サイバー セキュリティを考えるうえで重要となる「Digital Trust」を中心にここでしか得られない最新のテクノロジ情報と事例を皆様にわかりやすくご紹介します。今求められるセキュリティ対策の最新情報を、ぜひ皆様のビジネスの躍進にご活用ください。

www.microsoft.com

f:id:hawa9:20191009150441j:plain

Keynote

  • これまでセキュリティは
    • 増え続けるエンドポイント
    • 把握できないITやサービス
    • 次々に変わる攻撃手法
    • データ保護と生産性のトレードオフ
    • 捨てられないセキュリティソリューション
  • これからのセキュリティは
    • セキュリティが統合化された複雑なIT環境からシンプルなIT環境
      • ネットワークベースからIDベースのセキュリティ
      • ゼロトラスト
    • セキュリティIT人材育成の負担軽減
  • マクロソフトはパートナーと一緒に
    • Microsoft Digital Trust Security Allianceを発足
    • ユーザー向けセキュリティ勉強会実施予定
    • パートナーアライアンス設立
    • 学生向けセキュリティ教育実施予定
  • 日本は
    • マルウェア発生率は世界平均より60%低い
    • ランサムウェアの発生率が75%に低下
    • 仮想通貨発掘率は0.02%
  • セキュリティ専門家が足りない
    • 3+millionの人材が今後2年間の推定不足
    • セキュリティ人材の雇用や教育の困難
    • AIと機械学習をつかっていかにセキュリティを確保していくか
      • 自動化
      • サイバーセキュリティに関心のない人をいかにリクルートするか
    • パートナーシップも重要
      • Digital Trust コミュニティが必要 
    • 多種多様性のもった人材に投資
  • マイクロソフトは世界をより安全にすることに取り組んでいる
  • 複雑な攻撃、判断の難しさ
    • なにかが起きるときに、それに対応するものを入れている
    • 一つの企業で50+のソリューションを入れている
  • そうなると、もえつき症候群
    • 毎日アラートがくる
    • 毎日宿題がくることをMSは減らしていきたい
  • M365を12月にアップデートする
    • 検知から封じ込めをいかに簡単にするか
  • 一般企業は封じ込めをいかに迅速するかが大切。封じ込めた後にゆっくり対応していけばよい
  • 最短 2 週間!《限定 100 社》無料セキュリティ健康診断 - Microsoft Secure

NHKテクノロジーズ様 事例

  • NHKを支える唯一の総合技術会社
  • マイクロソフトの脅威可視化アセスメントを実施
    • 30分程度で実施
    • 運用中に設定可能
    • 一ヶ月後わかったこと
      • ID + パスワードがブラックマーケットへ流出
      • 大量のダウンロード -> その後の調査でこちらは正常だった
  • ゼロトラスト
    • M356 E5を導入
  • 今後必要とする考え方
    • デバイス
    • アクセス人物
    • アクセス権
    • ルール遵守
  • M365 E5にはデジタルトラストに必要な物が全て含まれていた
    • 複数のソリューションを導入せず、一つで済む
    • Azure Sentinelに期待

M365 Security Center デモ

  • 脅威情報の収集と脆弱性の検知
  • TVM
    • Security recommendations
      • 自動的にあつめて検知、対応が可能
    • Remediation
      • リクエスト、承認、進捗管理
      • セキュリティ監査
    • Weaknesses
      • jpcert CVEなどとの連携も可能
    • Software Inventory
      • 3rd Party検知可能
        • vlc media player
    • Automated Investigtions
      • マルウェアの検知、対応まで自動化
      • これを15分以内で
      • 封じ込めまでをいかにはやくするか。被害は広がらない。そして原因究明をしていく。

Azure Sentinel デモ

  • オンプレミスやクラウドもまとめて
  • Demo
    • データコネクタを使えば準備いらずでデータ収集
      • Azure AD、AWS、など
    • インシデント
    • Logic Appsとの連携も可能
      • 通知、メール内に承認フローを設置可能
  • Microsoft Grapthとも連携

みらかホールディングス様 事例

  • M365 E3 -> E5 と導入してきた
  • Azure Sentinel導入
    • クラウドのO365から、社内のオンプレミスからデータ収集、アラートを統合

マイクロソフトだから実現できる生産性を犠牲にしないセキュリティ対策とクラウド ネイティブ ネットワーク

  • 2020の世界観
    • クラウド
      • MSの主力製品はクラウドになっている
      • クラウドを使わない手はない
    • 5G
      • 高速・低遅延・高信頼
      • 個人携帯で10Gbpsでの利用が可能
    • TLS 1.3
      • 証明書差し替えによる透過的な通信内容の監視不可
      • 中間での証明書差し替えができなくなる
      • ネットワークレベルでの監視ができなくなる
  • クラウドにまつわるITの課題例
    • 利便性の課題
      • どこからでも働けるようにしたい
    • セキュリティリスク
      • 新たな脅威への対応ができてない
    • コスト増大
      • オンプレからクラウド接続
  • 社内ネットワークに依存しないクラウドネイティブネットワーク
    • エンドポイント+クラウド=企業システム
    • 社内ネットワークはもはや不要
  • 日本マイクロソフト社内での事例
    • PBXは撤廃
    • 社給のモバイルーター+SIM
    • 03の個人直通電話も発着可能
    • 社内でもAuto-VPN
    • プリンターやレガシーシステム利用時だけVPNを利用
  • 常に検証し安全性を確保
    • AADによりネットワークに依存することなく同じ基準でクラウドへのアクセスを常時検証
      • 場所、ユーザー・グループ、ID漏洩リスク判定
  • 最新の脅威に追随
    • サーバーや機器の運用不要で最新の脅威や世界のコンプライアンス基準に自動で追随
  • 端末側での直接監視・制御
  • 所在に依存しない情報の保護
    • ファイル埋め込みの対策で保存場所に依存することなく機密情報・個人情報を保護
    • ファイル暗号化と生産性の両立
      • AIPのラベル付けで暗号化されたファイルもOffice Onlineで共同編集(Coming soon)
  • セキュリティをシンプルにする効果
    • コスト削減が可能
    • シンプルにする投資
  • MSは世界一の規模
    • 買収・撤退等による影響をさけるため企業規模は重要
    • セキュリティ専門のベンダーは存続が・・・(シマンテック、ブロードコム)
  • デモ
    • 新種マルウェアからの保護
      • 20秒でブロック
  • ITサービス全体を統合し連携できるのはMSだけ
  • 機密情報の管理状況を可視化する
    • Microsoft Cloud App Securityファイル解析
  • 多層防御と統合の必要性
    • 単独の対策では完全な対策とはならないが、適切な対策と組み合わせることで効果が最大化
  • Microsoft Defender ATP
  • MSの生産的なセキュリティ
    • 世界一
    • 統合
    • 自動化

もうセキュリティはやりたくない!! 第 4 弾 ~ Microsoft Defender ATP Deep Dive ~

  • セキュリティ運用の課題
  • Microsoft Defender ATP を活用したセキュリティ運用の本質
  • EDRだけの時代は終わった・・・
    • アラート上がってきた、で、どうする?
    • EDRを入れたあとでどれだけ運用できるか?
  • Microsoft Defender ATP デモ
    • VLC脆弱性を突く
    • Microsoft Defender ATPで
      • どう検知したか
      • どう調査するか
      • どう対処するか

Microsoft Information Protectionによる、"効果のある" 情報漏えい対策に関する考え方とその実装方法のご紹介

  • うっかりが起きるのは
    • 悪意あるユーザーによる攻撃
      • BEC、マルウェア、不正アクセスなど
  • 会社員のうっかりミス
    • 誤送信、関係者以外への共有、社外共有の長時間放置など
    • Microsoft Information Protection で守る
  • 社外に漏れると困る情報とは?
    • 個人情報
      • パタンマッチング機械的な検出が有効
    • 機密情報
      • 情報作成者やデータカストディアンが情報の機密度をきめる
      • 何を持て機密とするか着手までに時間がかかる・・・
  • 情報保護ライフサイクル
    • 組織・クラウド・エンドエンドポイントなど場所を問わず情報の検出・分類・保護・把握を徹底すること
      • 検出
      • 分類
      • 保護
      • 可視化/監視
    • 経産省の情報セキュリティ管理基準に沿う
  • 効果のある情報漏洩対策
    • Microsoft Information Protectionの考え方
      • 情報保護ライフサイクルの徹底
  • Azure Information Protection
  • AIPとMDATPは連携する
  • MCAPで検出された情報をPowerBIで可視化

従業員に働く場所は自由に選ばせたい。デバイスを社外に持ち出すときに考えなければいけないセキュリティのこと

マイクロソフトだからできる、IaaS, PaaS, SaaSとオンプレのセキュリティをまるっと監視・管理! - Azure Security Center と Azure Sentinel

  • クラウド化の時代にセキュリティをどうするか
  • クラウド移行の恩恵は大きい
    • データセンター移行(主にIaaS)
      • DCコスト削減
      • アウトソース運用コスト削減
    • データセンター近代化(主にPaaS)
      • ビジネスの俊敏性向上
      • 企業のビジネスに貢献できるIT部門
  • クラウドセキュリティに求められているもの
    • CSPM
      • コンプライアンス
      • 運用監視
    • CWPP
      • エンドポイント
  • Azure Security Center = CSPM + CWPP
    • AzureのIaaSやPaaSのセキュリティ
  • Azure Sentinel = Cloud Native SIEM
    • オンプレ〜O365も含めたセキュリティ
  • Azure Security CenterのCWPP
    • IaaS仮想マシンの保護
      • 監視と機械学習による適応型ハーデニング
      • Just in Timeアクセス
      • アプリケーションホワイトリスティング
      • 完全性監視
      • ログベースの動作分析
      • アンチマルウェア
      • Defender ATP
    • PaaS・コンテナーの保護
      • SQLインジェクション検知
      • App Serviceサンドブックス内のログを解析・脅威を検知
      • コンテナーのAuditdログを解析・脅威を検知
  • Azure Sentinel
    • クラウドサービス(スケールとスピード)
    • M365&Azure連携
    • SOAR(対処の自動化)
    • ビルドインAI
  • Azure Security CenterとSentinelデモ
  • Sentinel事例
    • O365 / Azure ADの監査ログ
    • M365の統合管理+サードパーティ連携

まとめ

どのセッションでも Microsoft Defender ATP の話が出てきました。Windows OSだけでなくmacOS(プレビュー)も含めて社内セキュリティを統合的に管理できるようになるのではと感じています。また、M365 E5にある2つの機能を使うことで - Microsoft Defender Advanced Threat Protection によるエンドポイントのセキュリティ管理 - Microsoft Information Protection によるファイルのセキュリティ管理 のそれぞれが連携して管理でき、そのアラートに対して可視され対応できるようになるのはセキュリティ管理がし易くなると感じました。