Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第11回 セキュリティ共有勉強会
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
AsaKuni
December 01, 2017
Technology
0
37
第11回 セキュリティ共有勉強会
AsaKuni
December 01, 2017
Tweet
Share
More Decks by AsaKuni
See All by AsaKuni
危険があぶない!?動物園企業に潜む、いろんな危険!?
asakuni
0
390
Other Decks in Technology
See All in Technology
データの整合性を保ちたいだけなんだ
shoheimitani
8
3.2k
Tebiki Engineering Team Deck
tebiki
0
24k
私たち準委任PdEは2つのプロダクトに挑戦する ~ソフトウェア、開発支援という”二重”のプロダクトエンジニアリングの実践~ / 20260212 Naoki Takahashi
shift_evolve
PRO
2
210
ランサムウェア対策としてのpnpm導入のススメ
ishikawa_satoru
0
230
20260208_第66回 コンピュータビジョン勉強会
keiichiito1978
0
200
【Oracle Cloud ウェビナー】[Oracle AI Database + AWS] Oracle Database@AWSで広がるクラウドの新たな選択肢とAI時代のデータ戦略
oracle4engineer
PRO
2
190
制約が導く迷わない設計 〜 信頼性と運用性を両立するマイナンバー管理システムの実践 〜
bwkw
3
1.1k
今日から始めるAmazon Bedrock AgentCore
har1101
4
420
22nd ACRi Webinar - NTT Kawahara-san's slide
nao_sumikawa
0
110
Webhook best practices for rock solid and resilient deployments
glaforge
2
310
30万人の同時アクセスに耐えたい!新サービスの盤石なリリースを支える負荷試験 / SRE Kaigi 2026
genda
4
1.4k
猫でもわかるKiro CLI(セキュリティ編)
kentapapa
0
120
Featured
See All Featured
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
330
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
230
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
9.6k
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
inesmontani
PRO
3
2k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
reverentgeek
1
350
Six Lessons from altMBA
skipperchong
29
4.2k
What does AI have to do with Human Rights?
axbom
PRO
0
2k
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
greggifford
PRO
0
80
Balancing Empowerment & Direction
lara
5
900
The SEO Collaboration Effect
kristinabergwall1
0
360
Ruling the World: When Life Gets Gamed
codingconduct
0
150
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.6k
Transcript
Ver 1.0
そもそもセキュリティ監査って? 自組織の情報資産に対して、 情報セキュリティ対策が適切に行われていることを 法令や規則に照らし合わせて (第三者が)点検・評価すること。 2
何でセキュリティ監査制度が作られたのか? 3 情報 スパイ 侵入 ウィル ス 内部犯罪 データ改ざん なりすまし
盗難 盗聴
何でセキュリティ監査制度が作られたのか? 組織の情報セキュリティの取組みや、有効性を 検証・評価する制度として、 「情報セキュリティ監査制度」が作られる。 4
何で監査が必要なのか? • 第三者に対しての信頼獲得 • 業界基準などへの適合性の評価 • 課題の明確化 5
LOG・証跡として収集している物(申請関連) • 管理関連 – 特権ID申請 – リモート接続申請 6 • ユーザ関連
– WEB閲覧申請 – ソフトウェアインストール申請 – 外部データ出力申請書 – 入退社ユーザ一覧 – メーリングリスト作成・設定
LOG・証跡として収集している物(ユーザ環境データ) • 外部データ出力ログ • Webサイトアクセス制限、ログ • フォルダ・ファイルのアクセスログ ★定期的にログと申請書での差異が ないか、確認している。 7
棚卸確認作業 毎月1回(月末)に棚卸作業を行う 8
メーリングリスト 9 ファイル権限デザイナーを使うことで 簡単に一覧化・管理をしています。
メールデータバックアップ メールデータもとても重要なデータ 対象: •退職者のデータ •既存のユーザ 10
Penetration test(ペネトレーションテスト) 11 通称:ペンテスト 脆弱性が悪用された場合 どのような影響があるかを攻撃者の目線で 検証することを重点にしたテスト
調査範囲 12 ルータ サーバルーム ADサーバ Fileサーバ SQLサーバ Info Tracer L2Blocker
WSUS ・・・ 部署A 部署B
価格帯 13 プラン 考え方 金額感 松 全端末を徹底的に調査 250万 竹 最重要個所は全数調査、
業務PCは部署が同じならば概ね同じ状況にあると考え、 サンプリング調査 110万 梅 最も重要な箇所に絞って調査を実施 90万
ペネトレ終わった後は •報告書を提出してもらう(ペネトレ テスター) •報告書に基づいて、改善のアドバイスをもらう。 (ペネトレ テスター&情報システム) •社内で対策計画を立てる。(情報システム) •対策実行(情報システム) 14
クラウドは “危ない” のか 情報セキュリティ監査から見ても、 クラウドは危なくない!! 15
確認は必要です。 ▪クラウドサービス事業者が行うべき 主要な情報セキュリティ対策 •データセンターの災害対策・侵入対策 など •データがバックアップされているか •ハードウェア機器の障害対策 •仮想サーバなどのOS、ソフトウェア、アプリケーション等の 脆弱性(ぜいじゃくせい)の判定と対策 等
16