第11回 セキュリティ共有勉強会

Transcript

1. Ver 1.0

2. そもそもセキュリティ監査って？ 自組織の情報資産に対して、 情報セキュリティ対策が適切に行われていることを 法令や規則に照らし合わせて （第三者が）点検・評価すること。 2

3. 何でセキュリティ監査制度が作られたのか？ 3 情報 スパイ 侵入 ウィル ス 内部犯罪 データ改ざん なりすまし

   盗難 盗聴

4. 何でセキュリティ監査制度が作られたのか？ 組織の情報セキュリティの取組みや、有効性を 検証・評価する制度として、 「情報セキュリティ監査制度」が作られる。 4

5. 何で監査が必要なのか？ • 第三者に対しての信頼獲得 • 業界基準などへの適合性の評価 • 課題の明確化 5

6. LOG・証跡として収集している物（申請関連） • 管理関連 – 特権ID申請 – リモート接続申請 6 • ユーザ関連

   – WEB閲覧申請 – ソフトウェアインストール申請 – 外部データ出力申請書 – 入退社ユーザ一覧 – メーリングリスト作成・設定

7. LOG・証跡として収集している物（ユーザ環境データ） • 外部データ出力ログ • Webサイトアクセス制限、ログ • フォルダ・ファイルのアクセスログ ★定期的にログと申請書での差異が ないか、確認している。 7

8. 棚卸確認作業 毎月1回（月末）に棚卸作業を行う 8

9. メーリングリスト 9 ファイル権限デザイナーを使うことで 簡単に一覧化・管理をしています。

10. メールデータバックアップ メールデータもとても重要なデータ 対象： •退職者のデータ •既存のユーザ 10

11. Penetration test（ペネトレーションテスト） 11 通称：ペンテスト 脆弱性が悪用された場合 どのような影響があるかを攻撃者の目線で 検証することを重点にしたテスト

12. 調査範囲 12 ルータ サーバルーム ADサーバ Fileサーバ SQLサーバ Info Tracer L2Blocker

    WSUS ・・・ 部署A 部署B

13. 価格帯 13 プラン 考え方 金額感 松 全端末を徹底的に調査 250万 竹 最重要個所は全数調査、

    業務PCは部署が同じならば概ね同じ状況にあると考え、 サンプリング調査 110万 梅 最も重要な箇所に絞って調査を実施 90万

14. ペネトレ終わった後は •報告書を提出してもらう（ペネトレ テスター） •報告書に基づいて、改善のアドバイスをもらう。 （ペネトレ テスター＆情報システム） •社内で対策計画を立てる。（情報システム） •対策実行（情報システム） 14

15. クラウドは “危ない” のか 情報セキュリティ監査から見ても、 クラウドは危なくない!! 15

16. 確認は必要です。 ▪クラウドサービス事業者が行うべき 主要な情報セキュリティ対策 •データセンターの災害対策・侵入対策 など •データがバックアップされているか •ハードウェア機器の障害対策 •仮想サーバなどのOS、ソフトウェア、アプリケーション等の 脆弱性（ぜいじゃくせい）の判定と対策 等

    16