Upgrade to Pro — share decks privately, control downloads, hide ads and more …

サイバーセキュリティ入門の リフレッシュセッション

Virtual62
July 06, 2023
Technology
0
160

サイバーセキュリティ入門の リフレッシュセッション

Virtual62

July 06, 2023
Tweet

More Decks by Virtual62

See All by Virtual62
いまからでも遅くない!セキュリティーリスク入門
ibmachala1
0
160
いまからでも遅くない!IoTセキュリティー
ibmachala1
0
210
え?車もハックされるちゃうの!? 自動車業界のセキュリティー課題の紹介
ibmachala1
0
220

Other Decks in Technology

See All in Technology
VSCodeの拡張機能を作っている話
ebarakazuhiro
1
800
M&A戦略を支えるデータマネジメント (MIDAS Tech Study #16 GENDA Komiyama)
kommy339
0
100
Azureの基本的な権限管理の勉強会
yhana
1
2.1k
web-application-security
matsuihidetoshi
1
190
生産性向上チームの紹介
cybozuinsideout
PRO
1
910
Gradle Build Scanを使ってビルドのことを知ろう potatotips #87
tomorrowkey
2
150
require(ESM)とECMAScript仕様
uhyo
4
960
一生覚えておきたい「システム開発=コミュニケーション」〜初めての実務案件振り返りLT〜
maimyyym
2
310
ゼロから始めるVue.jsコミュニティ貢献 / first-vuejs-community-contribution-link-and-motivation
lmi
1
150
AWS学習者向けにAzureの解説スライドを作成した話
handy
3
190
MLOpsの「壁」を乗り越える、LINEヤフーの Data Quality as Code
lycorptech_jp
PRO
8
620
How to do well in consulting–Balkan Ruby 2024
irinanazarova
0
130

Featured

See All Featured
Debugging Ruby Performance
tmm1
70
11k
How STYLIGHT went responsive
nonsquared
92
4.8k
The Language of Interfaces
destraynor
151
23k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
7
3.4k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
117
18k
Thoughts on Productivity
jonyablonski
60
3.9k
Making the Leap to Tech Lead
cromwellryan
125
8.5k
Done Done
chrislema
178
15k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
19
6.9k
Being A Developer After 40
akosma
66
580k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
For a Future-Friendly Web
brad_frost
172
9k

Transcript

  1. [IBM TechXchange] サイバーセキュリティ入門の リフレッシュセッション 2023年7月5日 17:00-18:00

  2. None

  3. • • • • • • •

  4. None
  5. None

  6. 6

  7. 7 情報セキュリティの基本原則 参照:IBM 3 key ideas to help drive compliance

    in the cloud https://www.ibm.com/blogs/cloud-computing/2018/01/16/drive-compliance-cloud/ Availability 可用性 Integrity 保全性 Confidentiality 機密性

  8. 社内 PC DB サーバー クラウド API AP アプリ IOT WFH・リモートPC

    モバイル WWW ハッカー ハッカー ハッカー Global Markets - Cloud Platform Sales / © 2023 IBM Corporation 8
  9. None
  10. None

  11. 一般的な柴葉攻撃攻撃の流れ Global Markets - Cloud Platform Sales / © 2022

    IBM Corporation ステージ1 (初期アクセス) 1.Phishingメールまたはネット側の サービスのExploit 2.アクセスの確立 3.支配とコントロール ステージ2 (エクスプロイト後) 1.Exploit後のマルウェア・ツールキット 2.インタラクティブな攻撃で システムへのアクセス ステージ3 (拡張) 1.ユーザー・グループのアクセス権限の 偵察 2.Active Directory偵察によって ドメインアドミンやコントローラー リストの収集 3.偵察を深堀してデータソースの収集や 攻撃するホストやサブネットの把握 ステージ4 (データ収集と漏洩) 1.機密データの漏洩やドメインの アドミニストレーター権限の確保 ステージ5 (Ransomewareのデプロイ) 1.ランサムウェア注入の準備 2.アドミニストレーター権限の グループポリシーやSMBなどを 使用したデプロイ

  12. OSI ・ TCP/IPネットワークモデルと主なセキュリティー課題 Global Markets - Cloud Platform Sales /

    © 2023 IBM Corporation OSI Application アプリケーション層 (HTTP,FTP,DNS,POP,SMTPなど) Presentation プレゼンテーション層 (SMTP/FTP/TELNETなど) Session セッション層 (TLS/NetBIOSなど) Transport トランスポート層 (TCP/UDP/Netwareなど Network ネットワーク層 (IP,ARP,RARP,ICMPなど) Data Link データリンク層 (PPP, Ethernet,など) Physical 物理層 (RS232,UTP,無線) TCP/IP Application Transport Internet Link 主な課題 アクセス管理と承認、気密データ管理、セッション化管理、DDOS 攻撃、SQLインジェクション、Phishing、XSSスクリプトなど SSLリクエストの問題、SSLトンネリング経由のHTTP攻撃、 SSLハイジャックなど SSL,TLSの強化、IPSECを使ったセッション層の確保、 Man-in-the-Middle攻撃など Endpoint確認と確保、不正インターネットアクセス、SmurfやSYN Flood攻撃(DDOS)など パケットスニファー、IPアドバイススプーフィング、 ICMP攻撃など ARPスプーフィング、MAC Floodingやネットワークスイッチや ブリッジに対しての攻撃など インフラの安全性、バックアップ、災害対策、 アクセスコントロール、環境管理など
  13. None
  14. None
  15. None

  16. 〜5つのポイントから考える〜

  17. 17

  18. 18 ウイルスやマルウェア、フィッシングといった攻撃手法で組織のネットワーク、 システム、データへの悪意あるアクセスをおこなう。 ゼロデイ攻撃、DDoS攻撃などで機密情報の窃取やシステムの破壊をおこなう。 組織内部の従業員、パートナー、委託業者などによって行われるもの。 従業員が悪用したアクセス権限、個人情報の不正利用、業務上の不正行為など。 人間の心理的な脆弱性を利用して、攻撃者が情報を収集したり、システムに アクセスしたりする手法。 フィッシング、スパム、偽のアプリやWebサイトなどが含まれる。

  19. 19 BANK 宮崎さんの 財産情報 BANK BANK マルウェアを 侵入させる ログインID/PW を盗む

    ゼロデイ攻撃を 仕掛ける

  20. 20 ウイルスやマルウェア、フィッシングといった攻撃手法で組織のネットワーク、 システム、データへの悪意あるアクセスをおこなう。 ゼロデイ攻撃、DDoS攻撃などで機密情報の窃取やシステムの破壊をおこなう。 組織内部の従業員、パートナー、委託業者などによって行われるもの。 従業員が悪用したアクセス権限、個人情報の不正利用、業務上の不正行為など。 人間の心理的な脆弱性を利用して、攻撃者が情報を収集したり、システムに アクセスしたりする手法。 フィッシング、スパム、偽のアプリやWebサイトなどが含まれる。

  21. 21 BANK アクセス権の 悪用 情報の改竄 情報の持ち出し

  22. 22 ウイルスやマルウェア、フィッシングといった攻撃手法で組織のネットワーク、 システム、データへの悪意あるアクセスをおこなう。 ゼロデイ攻撃、DDoS攻撃などで機密情報の窃取やシステムの破壊をおこなう。 組織内部の従業員、パートナー、委託業者などによって行われるもの。 従業員が悪用したアクセス権限、個人情報の不正利用、業務上の不正行為など。 人間の心理的な脆弱性を利用して、攻撃者が情報を収集したり、システムに アクセスしたりする手法。 フィッシング、スパム、偽のアプリやWebサイトなどが含まれる。

  23. 23 BANK ◦◦さんの 財産情報 BANK XX BANKの ◦◦です。 あなたのアカウントに 問題が発生しています

    ので、パスワードを教 えてください。 え?!それは困るわ! XXXXです。

  24. 24

  25. 25 • SQLインジェクション ✓ データベースを使用するアプリケーション製作時 ✓ Webサイト製作時 ✓ Webサイト閲覧時にサイト内やメールに書かれているリンクを安易にクリッ ク

    • クロスサイト・スクリプティング • Log4Shell(Apache Log4j) ✓ セキュリティ関連の情報収集遅れ ✓ 修正バージョンへのアップデートもれ

  26. 26 パスワード PIN ワンタイム パスワード 指紋認証 ニーモニック 認証 CAPTCHA 認証

    シングル サインオン

  27. https://cloudnine.com/ediscoverydaily/electronic-discovery/how-long-will-it-take-to-crack-your-password-cybersecurity-trends/ 辞書に載っていない文字列で 9文字(以上)かつ 大文字 + 小文字 + 記号 + 数字

    を混ぜる 解読に12年以上掛かる

  28. 28

  29. https://www.ibm.com/jp-ja sが付いているか? 暗号化なし、危険! 暗号化されている アドレスバー表示例(Google Chrome)

  30. 暗号化なし、危険! 暗号化されている 通信が暗号化されているか?

  31. 31

  32. セキュリティ意識

  33. None

  34. Image: flaticon.com

  35. お客様への 義務 スコープ (範囲)と要件 環境 実行方法

  36. 36 • • • •

  37. 37

  38. 38

  39. None

  40. 40

  41. None

  42. 42 • • • • • • • • •

    • • •
  43. None

  44. SBOM種類 説明 該当するデータの詳細 Design 新たに計画されているソフトウェアプロジェクトを元に したもの(開発計画済みのコンポーネントも含む) 要件定義書、RFPや コンセプト段階からの資料 Source 開発環境から作成され、ソースファイルや依存関係情報

    などが含まれる Software Composition Analysis(SCA)からの出力 と手動確認 Build 開発段階で作成され、EXEやパッケージ作成の際に、 ソースファイルや依存関係情報やその他のSBOMからの 情報が含まれる ビルド段階で作成される Analyzed 開発後にEXEやパッケージやコンテナなどを分析した 際に作成されるSBOM。場合によって第三者SBOM として定義されている 第三者ツールによって 作成される Deployed 既存のシステムに含まれるコンポネントやソフトウェア のインベントリを示すSBOM。場合によって仮想環境で 機能を評価した結果も含まれる その他のSBOM記録と インストールした環境のコ ンポネントの設定情報 Runtime システムを実行する際にシステムのみコンポーネントと システム外への通信を評価するSBOM システムと通信している ツールからの出力

  45. Global Markets - Cloud Platform Sales / © 2023 IBM

    Corporation