Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第11回 セキュリティ共有勉強会
Search
AsaKuni
December 01, 2017
Technology
0
29
第11回 セキュリティ共有勉強会
AsaKuni
December 01, 2017
Tweet
Share
More Decks by AsaKuni
See All by AsaKuni
危険があぶない!?動物園企業に潜む、いろんな危険!?
asakuni
0
350
Other Decks in Technology
See All in Technology
Databricks における 『MLOps』
databricksjapan
2
170
MySQL の SQL クエリチューニングの要所を掴む勉強会
andpad
2
6.1k
アクセシビリティを考慮したUI/CSSフレームワーク・ライブラリ選定
yajihum
2
1k
家族アルバム みてねにおけるGrafana活用術 / Grafana Meetup Japan Vol.1 LT
isaoshimizu
1
350
On Your Data を超えていく!
hirotomotaguchi
2
650
私が trocco を推す理由
__allllllllez__
1
200
ユーザーストーリーのレビューを自動化したみたの
bun913
1
410
長期運用プロジェクトでのMySQLからTiDB移行の検証
colopl
2
830
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
270
本当のAWS基礎
toru_kubota
0
500
FrontDoorとWebAppsを組み合わせた際のリダイレクト処理の注意点
kenichirokimura
1
500
DevOpsDays History and my DevOps story
kawaguti
PRO
9
2.4k
Featured
See All Featured
How STYLIGHT went responsive
nonsquared
92
4.8k
Debugging Ruby Performance
tmm1
70
11k
Documentation Writing (for coders)
carmenintech
60
3.9k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
21
1.6k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
25
2.3k
Build The Right Thing And Hit Your Dates
maggiecrowley
24
2k
Six Lessons from altMBA
skipperchong
21
3k
Stop Working from a Prison Cell
hatefulcrawdad
266
19k
Fantastic passwords and where to find them - at NoRuKo
philnash
37
2.5k
Designing the Hi-DPI Web
ddemaree
276
33k
Designing on Purpose - Digital PM Summit 2013
jponch
110
6.5k
Building Better People: How to give real-time feedback that sticks.
wjessup
355
18k
Transcript
Ver 1.0
そもそもセキュリティ監査って? 自組織の情報資産に対して、 情報セキュリティ対策が適切に行われていることを 法令や規則に照らし合わせて (第三者が)点検・評価すること。 2
何でセキュリティ監査制度が作られたのか? 3 情報 スパイ 侵入 ウィル ス 内部犯罪 データ改ざん なりすまし
盗難 盗聴
何でセキュリティ監査制度が作られたのか? 組織の情報セキュリティの取組みや、有効性を 検証・評価する制度として、 「情報セキュリティ監査制度」が作られる。 4
何で監査が必要なのか? • 第三者に対しての信頼獲得 • 業界基準などへの適合性の評価 • 課題の明確化 5
LOG・証跡として収集している物(申請関連) • 管理関連 – 特権ID申請 – リモート接続申請 6 • ユーザ関連
– WEB閲覧申請 – ソフトウェアインストール申請 – 外部データ出力申請書 – 入退社ユーザ一覧 – メーリングリスト作成・設定
LOG・証跡として収集している物(ユーザ環境データ) • 外部データ出力ログ • Webサイトアクセス制限、ログ • フォルダ・ファイルのアクセスログ ★定期的にログと申請書での差異が ないか、確認している。 7
棚卸確認作業 毎月1回(月末)に棚卸作業を行う 8
メーリングリスト 9 ファイル権限デザイナーを使うことで 簡単に一覧化・管理をしています。
メールデータバックアップ メールデータもとても重要なデータ 対象: •退職者のデータ •既存のユーザ 10
Penetration test(ペネトレーションテスト) 11 通称:ペンテスト 脆弱性が悪用された場合 どのような影響があるかを攻撃者の目線で 検証することを重点にしたテスト
調査範囲 12 ルータ サーバルーム ADサーバ Fileサーバ SQLサーバ Info Tracer L2Blocker
WSUS ・・・ 部署A 部署B
価格帯 13 プラン 考え方 金額感 松 全端末を徹底的に調査 250万 竹 最重要個所は全数調査、
業務PCは部署が同じならば概ね同じ状況にあると考え、 サンプリング調査 110万 梅 最も重要な箇所に絞って調査を実施 90万
ペネトレ終わった後は •報告書を提出してもらう(ペネトレ テスター) •報告書に基づいて、改善のアドバイスをもらう。 (ペネトレ テスター&情報システム) •社内で対策計画を立てる。(情報システム) •対策実行(情報システム) 14
クラウドは “危ない” のか 情報セキュリティ監査から見ても、 クラウドは危なくない!! 15
確認は必要です。 ▪クラウドサービス事業者が行うべき 主要な情報セキュリティ対策 •データセンターの災害対策・侵入対策 など •データがバックアップされているか •ハードウェア機器の障害対策 •仮想サーバなどのOS、ソフトウェア、アプリケーション等の 脆弱性(ぜいじゃくせい)の判定と対策 等
16