こんにちは!EGSSセミナー事務局です。

 先日2020年10月13日に弊社グループ会社のEGセキュアソリューションズが「セキュリティ事故に学ぶ セキュリティ施策オンラインセミナー」を開催いたしました!
定員よりも多くのご応募がございましたので、急遽定員を増やして約70名の方にご参加いただきました。

セミナー1.jpg

今回はそんな好評なセミナーがどんな内容だったのかを振り返っていきたいと思います。

■「オニギリペイ」の試練

セミナーでは架空ペイメントシステム「オニギリペイ」が様々なインシデントの被害にあったという設定にして、オンラインサービスでの考えられうるインシデントとその原因・対策を解説いたしました。

オニギリペイにふりかかってきた試練は下記のように6つもありました。

  
       
  • 試練①:キャンペーン実施したら、某筋からお𠮟りを受ける
    •    
  • 試練②:ログインIDを発番したのに不正ログインが多発
    •    
  • 試練③:2段階認証を強制したのに不正ログインが止まらない
    •    
  • 試練④:ヘルプデスクが狙われる
    •    
  • 試練⑤:スマートウォッチと連携したら不正ログイン多発
    •    
  • 試練⑥:銀行口座の不正紐づけによる出金が多発
    •   

ここまで実際に発生していたら、サービス停止処置だと思いますが、架空なのでその辺は設定ということで(笑)
セミナー内では淡々とインシデントの解説をするのではなく、「ある日、Twitterにこんな書き込みが、、、」という感じで実際にありそうな書き込みスライドが入りながらだったので、セキュリティに疎くても想像しやすくなっております。

セミナー3.jpg

そんな試練にあってしまったオニギリペイですが、開発の各プロセスできちんとリスクを予見し検討したうえで対策を取っていれば防げたはずの事象でした。

セミナー4.jpg

サービス企画~開発~リリース後までのそれぞれのプロセスで発生しうる試練として紹介いたしましたが、実際には企業でも似たようなインシデントが生じております。サービス開発を始めるにあたってはもっとたくさんの脆弱性発生ポイントがありますので、きちんとセキュリティ対策も計画の一部として意識していただきたいと思います。

■開発ベンダーだけがセキュリティを意識すればいいのか?

開発ベンダーが意識して開発すれば事業者側の責任はないということはなく、最近は大企業でも記者会見を行い、インシデント内容を説明するなど事業者側もきちんと説明責任が求められてきております。

また、総務省が出している「サイバーセキュリティ経営のガイドライン」の中の「経営者が認識すべき3原則」が提唱されており、事業者側もきちんとリスク把握し対策に必要な投資を行うようにも求められています。 (参照:https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide2.0.pdf

■じゃあ事業者側がリスク把握するには?

様々なリスクがあっても何をどのように気を付ければいいのか分からない。。。などの不安を感じた皆さまに向けてWebサイト作成・発注時のポイントと脅威分析をきちんとすることの重要性を紹介いたしました。

セミナー5.jpg

Webサービスが企画~開発~リリースするまでの中で、始めにある事業者側が企画時の段階でセキュリティ要求を脅威分析の結果から策定することが重要とのことでした。このセキュリティ要求をもとにしてベンダーが作業するのできちんと提示されていなかったら、確認が漏れセキュリティホールが生じる可能性が出てきてしまいます。

■脅威分析するには?

実際にどのようにやっていくのかですが、業務や機能をフローに起こしてから「ツッコミ」を入れていくのがいく方法を紹介いたしました。

例:業務レベルの場合

セミナー6.jpgセミナー7.jpg

例:機能レベルの場合

セミナー8.jpg

この脅威分析は一例ですが、脅威分析は業務レベルや機能レベルなどそのサービスによって必要な脅威分析は様々で一概にこの指標というわけではないようです。

実際にEGセキュアソリューションズが他社サービスに関して様々な観点から脅威分析をクライアントと一緒に行った事例がございますのでリンクよりご確認ください。
事例)PLAID様の「KARTE」の脅威分析(https://tech.plaid.co.jp/threat-analysis/

自社のセキュリティ担当者やサービス企画の皆さんで脅威分析を行う必要がございますが、もし難しかったり不安があったりする場合には脅威分析に特化したアドバイザリーサービスを提供しておりますのでご相談いただければと思います。

■セキュリティアドバイザリー:脅威分析コース

セミナー9.jpg

例えば、

  • 社内にセキュリティ専門家がいない
  • どうやって脅威分析を行えばいいのか不安
  • 何かのときに相談にのってほしい
などの不安や懸念点がございましたら下記よりお問い合わせください。
お問い合わせはこちらから

今回のセミナーは比較的長時間で開催しましたが想定よりも途中離脱が少なく、「オニギリペイの試練」が自社事業に置き換えてイメージし易かったのかこともあるのか、最後に設けた質疑では時間ギリギリまで様々な質問が活発に行われるなど大変盛況のまま終了いたしました。

EGSSでは定常的にこういったセキュリティに関わる様々なセミナーを開催しております。最新のセミナー情報はこちらのリンクもしくはEGSS公式FBで発信しておりますので、もしご興味あるものがございましたらお申し込みをお待ちしております。

最後に、この度はセミナーにご参加いただいた皆様、さらにはご質問いただいた皆様改めまして誠にありがとうございました!脅威分析を行ってきちんとセキュリティ要件を定めたうえで、安全なWebサービスの立ち上げを行っていきましょう!