[PALO ALTO NETWORKS DAY 2019]Prisma Cloudで目指すカブドットコム証券CSIRTのDevSecOps運用の高度化

PALO ALTO NETWORKS DAY 2019 Tokyoのレポートをお届けします。セッションタイトルは「Prisma Cloudで目指すカブドットコム証券 k.CSIRTのDevSecOps運用の高度化」講演者はカブドットコム証券株式会社　システムリスク管理室長　石川 陽一氏です。

講演内容

イントロ

1998年カブコムを立ち上げし、2年前からサイバーセキュリティの立て直しを実施している。システムはオンプレミスが多く、一部AWSを利用している。また、Office 365を推進している。

2年前のDDoS事案

6/29にインシデントが発生。DDoS攻撃が発生した（カブドットコム、DDoS攻撃でサイト不通に）毎年6/29はDDoS攻撃の振り返りの日としている。

「ベンダーソリューションを過信しないでください」うまく動作しないことがあります。当時もDDoS対策はしていた。Web DBで画面を作って、各職員に投稿を依頼しDDoS関連の情報収集を行った。部門内、社全体まで１つのチームになることが重要。

IT部門の役割

サイバー、情報セキュリティ、ITリスク管理。三井氏から指導してもらい、改善に取り組んでいる（現場を元気に！　カブコム現場改革の軌跡）

CSIRTを"k.CSIRT"と名付けている。セキュリティの担当は"k.CSIRT"だと勘違いされると困る。いやいやパッチ管理して欲しくない。コンプライアンスとは従順という意味合いが強い。サイバーアドヒアランスと名付け、自主的に取り組んでもらえるようにしている。

カブコムが利用するPalo Alto Networks概要

AWS部分に入れている。

• 2015: 次世代ファイアウォールを導入
• 2017: 開発環境などの機器集約
• 2019: Prisma Cloud稼働、Office 365関連など
• 2020: さらなるセロトラスト推進

Opsのモニタリング、集約と分析、管理設定とチューニングはセキュリティに関連がある。最初に設定するだけでなくループを回していく必要がある。

社内からOffice 365の自分のテナントに繋がるのは問題ない。他のテナントに繋がるのは嫌だった。ファイアウォールをアップデートし、自分のテナントにだけ繋るようにした。次世代ファイアウォールでは、SaaSレポートを出せる。利用が多いSaaS、転送量が多いユーザ、リスク値によるアラート、SaaSのカテゴリ分類などを確認できる。

AWS RE:INFORCE 2019への参加

paloaltoもブースを出していた。 "GRC"の感覚が日本と異なることがわかった。日本には浸透していない印象。日本ではガバナンスというと社内取締役や企業統治が連想される。

Prisma Cloudはダッシュボードで可視化できる。やりたかったことは以下の通り。

• AWSの多種多様な設定の順守を見える化したい
• 利用拡大する上で漏れを防ぎたい
• 自社ポリシーのみならず、NIST CSF、CIS等も
• AWSのほか、Azureなどの利用を拡大できる
• その他、次世代ファイアウォールとの親和性

Palo Alto Networksを中心としたクラウドセキュリティの見える化、進め方のコツ

「クラウド活用とゼロトラスト時代」会議の時に大量の資料が作られるが、準備に時間がかかる。 先に現状が見えていたら効率がいいのでは？データを見てから議論に進む。何にどれぐらいかを知ってから、どのようにするか考えることが大切だと考えている。 COBIT2019で考える。現状どの位置にいるのかを把握してから、ぐるぐる回す。最初の段階から、可視化のツールは役にたつ。CIS Controlsに踏み出せるようになる。 見えてきたデータを見ながら、IT部門とセキュリティ管理部門、契約者が対話する。

今後は、Prisma Cloudの対象を拡大していく。次世代ファイアウォールなどの連携などを考える。

• DevSecOpsとPrisma Cloud活用では広義の可視化が重要
• ベンダーやIT部門、部下任せにしすぎない
• ゼロトラストを前提に考える
• 自分でやってみる → 仕組みを理解する → 対話を深める
• 見える化の先に踏み込めるか

以上