Upgrade to Pro — share decks privately, control downloads, hide ads and more …

いまからでも遅くない!セキュリティーリスク入門

Virtual62
August 02, 2023
0
160

 いまからでも遅くない!セキュリティーリスク入門

Virtual62

August 02, 2023
Tweet

More Decks by Virtual62

See All by Virtual62
サイバーセキュリティ入門の リフレッシュセッション
ibmachala1
0
160
いまからでも遅くない!IoTセキュリティー
ibmachala1
0
210
え?車もハックされるちゃうの!? 自動車業界のセキュリティー課題の紹介
ibmachala1
0
220

Featured

See All Featured
Building Your Own Lightsaber
phodgson
100
5.7k
10 Git Anti Patterns You Should be Aware of
lemiorhan
649
58k
For a Future-Friendly Web
brad_frost
172
9k
Building Better People: How to give real-time feedback that sticks.
wjessup
356
18k
The Power of CSS Pseudo Elements
geoffreycrofte
62
5k
Pencils Down: Stop Designing & Start Developing
hursman
117
11k
How to name files
jennybc
65
93k
Scaling GitHub
holman
457
140k
Building Effective Engineering Teams - LeadDev
addyosmani
31
1.9k
What the flash - Photography Introduction
edds
64
11k
[RailsConf 2023] Rails as a piece of cake
palkan
27
4k
Why You Should Never Use an ORM
jnunemaker
PRO
51
8.7k

Transcript

  1. [IBM TechXchange] いまからでも遅くない! セキュリティーリスク入門 2023年8月2日 17:00-18:00

  2. None

  3. • • • • • •

  4. 途中退出される場合も アンケートへのご回答をお願いいたします。 ※ slido.comで #dojo20230802pm を検索

  5. None

  6. • •

  7. 社内 PC DB サーバー クラウド API AP アプリ IOT WFH・リモートPC

    モバイル WWW ハッカー ハッカー ハッカー Global Markets - Cloud Platform Sales / © 2023 IBM Corporation 7

  8. OSI ・ TCP/IPネットワークモデルと主なセキュリティー課題 Global Markets - Cloud Platform Sales /

    © 2023 IBM Corporation OSI Application アプリケーション層 (HTTP,FTP,DNS,POP,SMTPなど) Presentation プレゼンテーション層 (SMTP/FTP/TELNETなど) Session セッション層 (TLS/NetBIOSなど) Transport トランスポート層 (TCP/UDP/Netwareなど Network ネットワーク層 (IP,ARP,RARP,ICMPなど) Data Link データリンク層 (PPP, Ethernet,など) Physical 物理層 (RS232,UTP,無線) TCP/IP Application Transport Internet Link 主な課題 アクセス管理と承認、気密データ管理、セッション化管理、DDOS 攻撃、SQLインジェクション、Phishing、XSSスクリプトなど SSLリクエストの問題、SSLトンネリング経由のHTTP攻撃、 SSLハイジャックなど SSL,TLSの強化、IPSECを使ったセッション層の確保、 Man-in-the-Middle攻撃など Endpoint確認と確保、不正インターネットアクセス、SmurfやSYN Flood攻撃(DDOS)など パケットスニファー、IPアドバイススプーフィング、 ICMP攻撃など ARPスプーフィング、MAC Floodingやネットワークスイッチや ブリッジに対しての攻撃など インフラの安全性、バックアップ、災害対策、 アクセスコントロール、環境管理など

  9. MITRE ATT&CK マトリックス Global Markets - Cloud Platform Sales /

    © 2023 IBM Corporation https://attack.mitre.org/

  10. 10 • • •

  11. None

  12. 12

  13. • • • • • • • • • •

    https://www.ibm.com/jp-ja/topics/risk-management

  14. 攻撃者の スキル モチベーション 機会・チャンス 検知・悪用され やすさ 検知力 技術的 機密性、完全性、 可用性、

    アカウンタビリティー 人的 金銭的 評判 コンプライアンス違 反・法的 プライバシー ※会社のコント ロール範囲外

  15. お客様への義務 スコープ(範囲)と要件 環境 実行方法

  16. None

  17. • • • • •

  18. None
  19. None

  20. 20

  21. None

  22. 22 • • • • • • • https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf

  23. 23 • • https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf

  24. 24 • • • • •

  25. None

  26. 26 • • • • • • • https://owasp.org/www-community/OWASP_Risk_Rating_Methodology

  27. 27 ダウンロード先:https://wiki.owasp.org/index.php/File:OWASP_Risk_Rating_Template_Example.xlsx

  28. None

  29. Global Markets - Cloud Platform Sales / © 2023 IBM

    Corporation