西日本横断サイバーセキュリティ・グランプリLT資料

Transcript

1. エネルギア・コミュニケーションズにおける 情報セキュリティ業務の紹介 株式会社エネルギア・コミュニケーションズ ITインテグレーション部 濱本 常義

2. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp エネルギア・コミュニケーションズ

   私たちの業務の俯瞰図 SOC/CSIRT 運用支援 インシデント 対応 ログ監視 ログ分析 社内ネットワーク インターネット上の脅威 侵 入 感 染 通知 （メール） 情報システム部門 監視 外部組織 情報提供 やられとるで 経営層への 報告 社内調整 CSIRT(エネコム) ・CSIRTのセキュリティ部隊がセキュリティ製品の アラート通知を受け、初動対応から対策実施まで リアルタイムに支援 ・被害を受けた顧客の担当者は、経営層への報告 など重要事項に注力 支援 アラート監視 影響調査 対応支援 現状分析 対策立案 復旧支援 CSIRT インシデント対応支援 セキュリティ製品＆ マネージドサービス 2

3. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp エネルギア・コミュニケーションズ

   情報セキュリティ業務一覧 カテゴリ メニュー ログ監視・分析サービス （監視・入口・出口対策） 標的型攻撃検知サービス 統合ログ監視サービス クラウドセキュリティサービス （監視・入口・出口対策） クラウドWAF(Web Application Firewall)監視サービス クラウドEメールセキュリティ 管理サービス クラウドWEBセキュリティ 管理サービス SOC、CSIRT運用支援サービ ス（監視・入口・出口対策） SOCサービス CSIRT運用支援 カテゴリ メニュー セキュリティ 診断サービス （予防保全） 通常ｾｷｭﾘﾃｨ診断 擬似侵入診断（WEB診断、スマ フォアプリ、IoT、車載等） セキュリティ トレーニング サービス（入口・出口対 策） 標的型攻撃対応訓練 セキュリティ事案対応訓練 インシデント レスポンス サービス （事後対応） マルウェア感染端末調査 （フォレンジック対応） マルウェア解析 データ復旧サービス データ復旧サービス 当社：情報セキュリティビジネスチームのセキュリティ対策 3

4. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp エネルギア・コミュニケーションズ

   チームとしてアジャイル開発に取り組んでいます ✓ 業務上の重要度に基づいて優先順位を決めて業務プロセスを積み上げてゆく。 ✓ リリースされるプロセスは実行可能であり、ユーザーがそれを使って検証できる。 ✓ 現場のフィードバックを受け入れ、次のイテレーションで統合してリリースする。 開発 開発 開発 イテレーション／反復#1 イテレーション／反復#2 イテレーション／反復#3 開発 イテレーション／反復#n リリース フィード バック 最も重要度の高い 業務プロセス 業務上の成果があげられる と判断されて完成とする 重要度の高い順番に 業務プロセスを追加 追加されたプロセスは既にリリースした プロセスと統合し品質を確認する ウオーターフォール開発 要 件 定 義 外 部 設 計 内 部 設 計 プ ロ グ ラ ム 設 計 プ ロ グ ラ ミ ン グ 統 合 テ ス ト 結 合 テ ス ト リリース 4 ITソリューション塾より抜粋

5. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp エネルギア・コミュニケーションズ

   チームとしてDevOpsに取り組んでいます 運用 運用エンジニア 保守 保守エンジニア 開発 開発エンジニア 開発系エンジニア SRE Site Reliability Engineer 従来までの 考え方 これからの 考え方 5 ITソリューション塾より抜粋

6. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp エネルギア・コミュニケーションズ

   ChatGPTを業務で効果的に利用できるかを模索しています 6 ＦＡＱ作成支援 マニュアル作成 chatbot https://soune.co.jp/chatgpt-service/ https://www.excite.co.jp/news/article/Prtimes_2023-03-15-105447-6/ アイディア創出 自動ライティング

7. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp エネルギア・コミュニケーションズ

   ChatGPTの規約で読んでおくべき文書 ⚫ APIデータ利用ポリシー –https://openai.com/policies/api-data-usage-policies ⚫ プライバシーポリシー –https://openai.com/policies/privacy-policy ⚫ Terms od use（利用規約） –https://openai.com/policies/terms-of-use ⚫ OpenAI社のPolicy – https://help.openai.com/en/collections/3675949-policy 7 情報は原典にあたろう！

8. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp エネルギア・コミュニケーションズ

   （参考） 書籍：体系的に学ぶ安全なＷｅｂアプリケーションの作り方 学生さんはこの本を読むこと推奨 1章 Webアプリケーションのぜい弱性とは 2章 実習環境のセットアップ 3章 Webセキュリティの基礎 ~HTTP、セッション管理、 同一生成元ポリシー 4章 Webアプリケーションの機能別に見るセキュリティバグ 5章 代表的なセキュリティ機能 6章 文字コードとセキュリティ 7章 携帯電話向けWebアプリケーションのぜい弱性対策 8章 Webサイトの安全性を高めるために 9章 安全なWebアプリケーションのための開発マネジメント 8

9. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp エネルギア・コミュニケーションズ

   （参考） 書籍：フロントエンド開発のためのセキュリティ入門 フロントエンド開発のためのセキュリティ入門 知らな かったでは済まされない脆弱性対策の必須知識 セキュアなWebアプリケーションを開発するための基本知 識を、フロントエンドエンジニア向けに解説したセキュリティ の入門書です。Webセキュリティの必須知識である「HTTP」 「オリジン」などの基礎トピックや、「XSS」「CSRF」といったフ ロントエンドを狙ったサイバー攻撃の仕組みを、サンプルア プリケーションを舞台にしたハンズオンで学べます。 9

10. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp エネルギア・コミュニケーションズ

    セキュリティ・ミニキャンプをお手伝いしています 実績 一般社団法人 広島県情報産業協会 HiBiS 事務局 (HISEC)提供 セキュリティ・ミニキャンプ in 広島 2022（一般講座） セキュリティ・ミニキャンプ in 広島 2021（一般講座） セキュリティ・ミニキャンプ in 広島 2020（専門講座） セキュリティ・ミニキャンプ in 広島 2019（一般講座） セキュリティ・ミニキャンプ in 広島 2017（一般講座） セキュリティ・ミニキャンプ in 広島 2016（一般講座） 講師参加 セキュリティ・キャンプ九州 in 福岡 2014 セキュリティ・ミニキャンプ in 福岡 2013第2弾 セキュリティ・ミニキャンプ in 福岡 2013 10

11. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp エネルギア・コミュニケーションズ

    広島開催の勉強会「セキュリティもみじ」主催、SEC道後のナイトセッションのお手伝い セキュリティもみじ https://secmomiji.connpass.com/ 11 セキュリティもみじ 広島のオフラインを中心にした勉強会を開催 ナイトセッション ◆テーマ（3） 「セキュニティ（セキュリティ＋コミュニティ）、そして生成AI」 座長 濱本常義氏 株式会社エネルギア・コミュニケーションズ ITインテグレーション部 情報セキュリティビジネスチーム マネージャー まっちゃだいふく（八尾崇）氏 株式会社ラック テクノロジーリスクコンサルティング部

12. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp エネルギア・コミュニケーションズ

    アイデアの作り方（ジェームス W.ヤング）から • 第１フェーズ 基礎調査（関連情報含め） • 第２フェーズ 情報のカテゴライズ化(租借過程) • 第３フェーズ ちょっと寝かせる。（熟成過程） • 第４フェーズ エウレカ！！（発見過程） • 第５フェーズ アイデアの検証 12 応用は無限！！ 質問力を鍛えよう アイデアのつくり方 ジェームス W.ヤング

13. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp エネルギア・コミュニケーションズ

    情報探索の極意（事例：情報探索） • 第１フェーズ 基礎調査（関連情報含め） • Googleなどで「セキュリティ」「情報漏洩事案」「ChatGPT」をキーワードに、Webサイト、ニュース、ChatGPTで検索 • テキストファイルに発見された情報のタイトルとURLと読んだ内容のメモを書く • 第２フェーズ 情報のカテゴライズ化(租借過程) • テキストファイルに書いた情報をさらに読んで，関連するものをカテゴライズ化する。 • カテゴライズしたら，そのカテゴリに名前をつける。 • 第３フェーズ ちょっと寝かせる。（熟成過程） • まとめたものをSNSなどに投稿するなど情報発信。 • 第４フェーズ エウレカ！！（発見過程） • カテゴライズできた段階で，その分野における大体のアウトライン，特徴，強み，弱み，今後数年来の流れなどの仮説を立 てることができる。 • SNSなどに投稿した結果から，その分野の偉い人が引っかかるので，その人と情報交換 • 第５フェーズ アイデアの検証 • まとめた情報を更に資料としてまとめる。 • 他人に見せる。フィードバックから仮説の再検討。 13

14. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp エネルギア・コミュニケーションズ

    困った何でも聞いてください! [email protected] https://www.facebook.com/connect24h https://twitter.com/connect24h エネコムは一緒に情報セキュリティを 学んでいくメンバーを募集しています 14