Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第11回 セキュリティ共有勉強会
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
AsaKuni
December 01, 2017
Technology
0
37
第11回 セキュリティ共有勉強会
AsaKuni
December 01, 2017
Tweet
Share
More Decks by AsaKuni
See All by AsaKuni
危険があぶない!? 動物園企業に潜む、いろんな危険!?
asakuni
0
390
Other Decks in Technology
See All in Technology
AWS Network Firewall Proxyを触ってみた
nagisa53
1
250
20260208_第66回 コンピュータビジョン勉強会
keiichiito1978
0
200
学生・新卒・ジュニアから目指すSRE
hiroyaonoe
2
770
会社紹介資料 / Sansan Company Profile
sansan33
PRO
15
400k
Codex 5.3 と Opus 4.6 にコーポレートサイトを作らせてみた / Codex 5.3 vs Opus 4.6
ama_ch
0
220
顧客との商談議事録をみんなで読んで顧客解像度を上げよう
shibayu36
0
330
ECS障害を例に学ぶ、インシデント対応に備えた AIエージェントの育て方 / How to develop AI agents for incident response with ECS outage
iselegant
4
430
20260204_Midosuji_Tech
takuyay0ne
1
160
Red Hat OpenStack Services on OpenShift
tamemiya
0
140
CDK対応したAWS DevOps Agentを試そう_20260201
masakiokuda
1
430
[CV勉強会@関東 World Model 読み会] Orbis: Overcoming Challenges of Long-Horizon Prediction in Driving World Models (Mousakhan+, NeurIPS 2025)
abemii
0
150
OpenShiftでllm-dを動かそう!
jpishikawa
0
140
Featured
See All Featured
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
uxyall
0
400
Information Architects: The Missing Link in Design Systems
soysaucechin
0
780
Darren the Foodie - Storyboard
khoart
PRO
2
2.4k
Tell your own story through comics
letsgokoyo
1
810
Writing Fast Ruby
sferik
630
62k
Evolving SEO for Evolving Search Engines
ryanjones
0
130
Google's AI Overviews - The New Search
badams
0
910
WCS-LA-2024
lcolladotor
0
450
Designing for humans not robots
tammielis
254
26k
Bootstrapping a Software Product
garrettdimon
PRO
307
120k
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
greggifford
PRO
0
80
Measuring & Analyzing Core Web Vitals
bluesmoon
9
760
Transcript
Ver 1.0
そもそもセキュリティ監査って? 自組織の情報資産に対して、 情報セキュリティ対策が適切に行われていることを 法令や規則に照らし合わせて (第三者が)点検・評価すること。 2
何でセキュリティ監査制度が作られたのか? 3 情報 スパイ 侵入 ウィル ス 内部犯罪 データ改ざん なりすまし
盗難 盗聴
何でセキュリティ監査制度が作られたのか? 組織の情報セキュリティの取組みや、有効性を 検証・評価する制度として、 「情報セキュリティ監査制度」が作られる。 4
何で監査が必要なのか? • 第三者に対しての信頼獲得 • 業界基準などへの適合性の評価 • 課題の明確化 5
LOG・証跡として収集している物(申請関連) • 管理関連 – 特権ID申請 – リモート接続申請 6 • ユーザ関連
– WEB閲覧申請 – ソフトウェアインストール申請 – 外部データ出力申請書 – 入退社ユーザ一覧 – メーリングリスト作成・設定
LOG・証跡として収集している物(ユーザ環境データ) • 外部データ出力ログ • Webサイトアクセス制限、ログ • フォルダ・ファイルのアクセスログ ★定期的にログと申請書での差異が ないか、確認している。 7
棚卸確認作業 毎月1回(月末)に棚卸作業を行う 8
メーリングリスト 9 ファイル権限デザイナーを使うことで 簡単に一覧化・管理をしています。
メールデータバックアップ メールデータもとても重要なデータ 対象: •退職者のデータ •既存のユーザ 10
Penetration test(ペネトレーションテスト) 11 通称:ペンテスト 脆弱性が悪用された場合 どのような影響があるかを攻撃者の目線で 検証することを重点にしたテスト
調査範囲 12 ルータ サーバルーム ADサーバ Fileサーバ SQLサーバ Info Tracer L2Blocker
WSUS ・・・ 部署A 部署B
価格帯 13 プラン 考え方 金額感 松 全端末を徹底的に調査 250万 竹 最重要個所は全数調査、
業務PCは部署が同じならば概ね同じ状況にあると考え、 サンプリング調査 110万 梅 最も重要な箇所に絞って調査を実施 90万
ペネトレ終わった後は •報告書を提出してもらう(ペネトレ テスター) •報告書に基づいて、改善のアドバイスをもらう。 (ペネトレ テスター&情報システム) •社内で対策計画を立てる。(情報システム) •対策実行(情報システム) 14
クラウドは “危ない” のか 情報セキュリティ監査から見ても、 クラウドは危なくない!! 15
確認は必要です。 ▪クラウドサービス事業者が行うべき 主要な情報セキュリティ対策 •データセンターの災害対策・侵入対策 など •データがバックアップされているか •ハードウェア機器の障害対策 •仮想サーバなどのOS、ソフトウェア、アプリケーション等の 脆弱性(ぜいじゃくせい)の判定と対策 等
16
asakuni
nagisa53
keiichiito1978
hiroyaonoe
sansan33
ama_ch
shibayu36
iselegant
takuyay0ne
tamemiya
masakiokuda
abemii
jpishikawa
uxyall
soysaucechin
khoart
letsgokoyo
sferik
ryanjones
badams
lcolladotor
tammielis
garrettdimon
greggifford
bluesmoon
