ISC2 公式セミナー「DevSecOps時代の現場の負担を軽減させるセキュリティ環境構築」聴講メモ

less than 1 minute read

後者の方に参加してきた。雑だけどメモを残しておく。

最後のパネルディスカッションの内容が面白かったけど、メモを撮り忘れたので割愛している。すいません。

ITの潮流としてのDevOpsとその課題 by MS 田丸健三郎

  • Air Force Cyber Vision 2025(米空軍による未来予測)
    • image
    • ITの進歩 = 脅威の進歩
  • 脅威の進歩に合わせて、開発側も対応しなければいけない
    • Agile開発 / DevOpsが求められている
    • 開発を進めながら、その時の脅威に対応する開発が必要となっている

ビジネスを活性化させるセキュリティの取り組みとは by MS 高橋正和

  • ITとセキュリティのポジショニング
    • 情報系からビジネスの基盤へと変化
  • IT基盤の変化
    • IT基盤技術への依存が低下/ライフサイクルの変化(DevOps)
  • IT部門のポジショニングの変化
    • IT部門がビジネス主導のIT化を阻害
  • セキュリティ部門のポジショニングのの変化
    • セキュリティ部門がビジネス主導のIT化を阻害
      • 2000年ごろに作成したセキュリティポリシーに基づく新技術導入の見送り
    • 変化に対応するためにはDevSecOpsが必要
  • DevSeOpsの狙い
    • Attack Surfaceを縮小し、DetectとRespondを向上させること
  • 業務執行としてのIoT
    • セキュリティ部門がIT推進のブレーキとなり、ビジネス部門がIT推進のアクセルになってきた
    • CISOは経営会議で何を報告すべき?
      • 一般的なセキュリティ監査の結果?
        • これはポリシーなどへの遵守率を計測しているだけであり、組織が直面する脅威状況を正しく表していない
      • どの程度の攻撃を受けているのか把握して報告
        • 加えて、セキュリティ対策を通過した攻撃について何からの方法で計測を行う必要がある
      • CISOダッシュボード
        • Attack condition(攻撃検出状況に関するKPI)
          • e.g. AV/IDS等によるアラート
        • Protect condition(対策状況に関するKPI)
          • e.g. セキュリティ対策として実施すべき項目(パッチの適用など)の適用率
        • Suspicious activity(侵入が疑われる状況のKPI)
          • e.g. SIEMによる検出や内部犯行を含んだ疑わしいイベント
        • Indirect activity(人事的、物理的など直接ITとは関係しない状況のKPI
          • e.g. デバイスの紛失盗難、外部からのインテリジェンス

備考

Updated: