Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
5分で振り返られない情報セキュリティ白書2019 / info-sec-hakusyo-2019-by-over-5min
Search
Kazuo KATAYAMA
August 24, 2019
Technology
0
410
5分で振り返られない情報セキュリティ白書2019 / info-sec-hakusyo-2019-by-over-5min
「5分で振り返られない情報セキュリティ白書2019」
「FGNエンジニアMeetup vol.2」の資料です。
https://fgn.connpass.com/event/138373/
Kazuo KATAYAMA
August 24, 2019
Tweet
Share
More Decks by Kazuo KATAYAMA
See All by Kazuo KATAYAMA
Kubernetes SIGs and Workgroups
kitkatayama
0
170
Ubuntu 19.10リリース!皆でリリースノート読もうぜ! / ubuntu-19-10-reading-release-note
kitkatayama
0
360
CentOS 8リリース記念!何が変わったのか抑えよう! / whats-changed-in-centos-8
kitkatayama
2
430
どうやって始める?クラウドネイティブの第一歩 / how-to-start-cloud-journey
kitkatayama
1
740
#CNDT2019 / #OSDT2019 始めよう!
kitkatayama
2
690
CloudNative Days Tokyo 2019 #CNDT2019 公開資料振り返り
kitkatayama
1
360
Other Decks in Technology
See All in Technology
長期運用プロジェクトでのMySQLからTiDB移行の検証
colopl
2
680
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
14
35k
Microsoft Cloudで開発ライフサイクルを保護する
kkamegawa
0
140
2024/4/26 コンピュータ歴史博物館解説告知
toshi_atsumi
0
200
なぜ NOT A HOTEL が Web3 に取り組むのか - NOT A HOTEL TECH TALK
ynunokawa
0
160
Vertex AI を中心に 生成AIのアップデートを共有します
kaz1437
0
140
SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、PDCAサイクルを回してみた
coconala_engineer
0
220
GraphQL 成熟度モデルの紹介と、プロダクトに当てはめた事例 / GraphQL maturity model
mh4gf
4
120
LLM とプロンプトエンジニアリング/チューターをビルドする / LLM and Prompt Engineering and Building Tutors
ks91
PRO
0
220
AIQ株式会社 エンジニア向け会社紹介資料
aiqlab
0
370
Google Cloud の AI を支える裏側のインフラを垣間見る!
maroon1st
0
200
〜小さく始めて大きく育てる〜データ分析基盤の開発から活用まで
kniino
0
2k
Featured
See All Featured
Gamification - CAS2011
davidbonilla
76
4.6k
The Art of Programming - Codeland 2020
erikaheidi
41
12k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
24
2.3k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
119
38k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
226
16k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
18
1.7k
The Brand Is Dead. Long Live the Brand.
mthomps
48
28k
Teambox: Starting and Learning
jrom
128
8.4k
Building a Scalable Design System with Sketch
lauravandoore
455
32k
Become a Pro
speakerdeck
PRO
10
4.5k
VelocityConf: Rendering Performance Case Studies
addyosmani
320
23k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
Transcript
5分で振り返られない 情報セキュリティ白書2019 @kitkatayama 片山 和朗 2019年8月24日(土) FGNエンジニアMeetup vol.2
5分で振り返られない情報セキュリティ白書2019 @kitkatayama 無職 片山 和朗 カタヤマ カズオ 2019/8/24 2 ※情報処理安全確保支援士しか使えない
あまり使われてないロゴマーク About
5分で振り返られない情報セキュリティ白書2019 5分で話すこと • 注意 • 統計的な話が主です。「ふーん」と思ってくれると嬉しいです。 • 話すこと • 情報セキュリティ白書2019とは
• 2018年度の情報セキュリティの概況 2019/8/24 3
5分で振り返られない情報セキュリティ白書2019 情報セキュリティ白書2019とは 2019/8/24 4 https://www.ipa.go.jp/security/publications/hakusyo/2019.html 情報セキュリティ白書2019 -
5分で振り返られない情報セキュリティ白書2019 情報セキュリティ白書2019とは 2019/8/24 5 (世の中はCVEを始め英語資料ばかりだし) 2018年度のセキュリティを振り返りましょう (日本語資料で)
5分で振り返られない情報セキュリティ白書2019 2018年度の情報セキュリティの概況 2019/8/24 6 「情報セキュリティ白書2019」p.7 https://www.itmedia.co.jp/news/articles/ 1808/08/news090.html https://www.itmedia.co.jp/news/article s/1908/09/news053.html
5分で振り返られない情報セキュリティ白書2019 2018年度の情報セキュリティの概況 2019/8/24 7 「情報セキュリティ白書2019」p.7 https://techtarget.itmedia.co.jp/tt/news/ 1902/20/news08.html https://japan.zdnet.com/article/35132 132/
5分で振り返られない情報セキュリティ白書2019 情報セキュリティ10大脅威 2019 2019/8/24 8 順位 個人 昨年 1位 クレジットカード情報の不正利用
1位※ 2位 フィッシングによる個人情報等の詐取 1位 3位 不正アプリによるスマートフォン利用者への被害 4位 4位 メール等を使った脅迫・詐欺の手口による金銭要求 NEW 5位 ネット上の誹謗・中傷・デマ 3位 6位 偽警告によるインターネット詐欺 10位 7位 インターネットバンキングの不正利用 1位 8位 インターネットサービスへの不正ログイン 5位 9位 ランサムウェアによる被害 2位 10位 IoT 機器の不適切な管理 9位 (*)クレジットカード被害の増加とフィッシング手口の多様化に鑑み、2018年個人1位の「インターネットバンキングやクレ ジットカード情報等の不正利用」を本年から、①インターネットバンキングの不正利用、②クレジットカード情報の不正利用、 ③仮想通貨交換所を狙った攻撃、④仮想通貨採掘に加担させる手口、⑤フィッシングによる個人情報等の詐取、に分割。 https://www.ipa.go.jp/security/vuln/10threats2019.html 情報セキュリティ10大脅威 2019 -
5分で振り返られない情報セキュリティ白書2019 情報セキュリティ10大脅威 2019 2019/8/24 9 順位 組織 昨年 1位 標的型攻撃による被害
1位 2位 ビジネスメール詐欺による被害 3位 3位 ランサムウェアによる被害 2位 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW 5位 内部不正による情報漏えい 8位 6位 サービス妨害攻撃によるサービスの停止 9位 7位 インターネットサービスからの個人情報の窃取 6位 8位 IoT機器の脆弱性の顕在化 7位 9位 脆弱性対策情報の公開に伴う悪用増加 4位 10位 不注意による情報漏えい 12位 https://www.ipa.go.jp/security/vuln/10threats2019.html 情報セキュリティ10大脅威 2019 -
情報セキュリティ10大脅威 2019 - 5分で振り返られない情報セキュリティ白書2019 情報セキュリティ10大脅威 2019 2019/8/24 10 順位 組織
昨年 1位 標的型攻撃による被害 1位 2位 ビジネスメール詐欺による被害 3位 3位 ランサムウェアによる被害 2位 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW 5位 内部不正による情報漏えい 8位 6位 サービス妨害攻撃によるサービスの停止 9位 7位 インターネットサービスからの個人情報の窃取 6位 8位 IoT機器の脆弱性の顕在化 7位 9位 脆弱性対策情報の公開に伴う悪用増加 4位 10位 不注意による情報漏えい 12位 https://www.ipa.go.jp/security/vuln/10threats2019.html https://www.itmedia.co.jp/enterprise/articles/1 811/28/news082.html npmパッケージの依存性(”event-stream”等) を利用した攻撃 https://internet.watch.impress.co.jp/docs/news/ 1176553.html 自動アップデートサーバーを 利用した攻撃
5分で振り返られない情報セキュリティ白書2019 世界における情報セキュリティインシデント状況 2019/8/24 11 「情報セキュリティ白書2019」pp.8-10 なりすましは CEO、取締役、社長といった 職位の高い人のメールに注意 フィッシングサイトは ピークを越えたとはいえ
フィッシングサイトは依然健在
5分で振り返られない情報セキュリティ白書2019 国内における情報セキュリティインシデント状況 2019/8/24 12 「情報セキュリティ白書2019」p.12 Webサイト改ざんは 昨年より横ばい、全体として減少傾向 フィッシング詐欺は昨年より倍増、 金融機関狙いからEコマース狙いに
5分で振り返られない情報セキュリティ白書2019 情報セキュリティインシデント別の手口と対策 2019/8/24 13 アンケート ビジネス用途でメールは使用していますか?
5分で振り返られない情報セキュリティ白書2019 情報セキュリティインシデント別の手口と対策 「情報セキュリティ白書2019」pp.14-24 • 標的型攻撃 • なりすましメールと正規のオンラインストレージ サービスを組み合わせた標的型攻撃 • OneDrive、Dropbox等を利用することでURLのフィ
ルタリングがかからない • LNK ファイルを悪用する手口 • cmd, powershellを使ったファイルレス攻撃 • ビジネスメール詐欺(BEC) • 取締役、弁護士等を装った高度な自作自演 • 「詐称用ドメイン」に注意 2019/8/24 14
5分で振り返られない情報セキュリティ白書2019 情報セキュリティインシデント別の手口と対策 「情報セキュリティ白書2019」pp.14-24 • 標的型攻撃 • なりすましメールと正規のオンラインストレージ サービスを組み合わせた標的型攻撃 • OneDrive、Dropbox等を利用することでURLのフィ
ルタリングがかからない • LNK ファイルを悪用する手口 • cmd, powershellを使ったファイルレス攻撃 • ビジネスメール詐欺(BEC) • 取締役、弁護士等を装った高度な自作自演 • 「詐称用ドメイン」に注意 2019/8/24 15 また、トレンドマイクロ社の「ビジネスメール詐欺に関する実態調査 2018」(調 査対象:日本在住の法人組織の情報セキュリティ・社内IT・経理責任者ら1,030 人)によると、調査対象全体の約4 割(39.4%)がビジネスメール詐欺の攻撃を受 けた経験があり、送金依頼メール受信者(253 人)のうち8.7%(22 人)が、実際 に騙されて送金していたという。 2018年「法人」を狙う三大脅威:仮想通貨流出とビジネスメール詐欺から考える今後の対策 https://blog.trendmicro.co.jp/archives/20196
5分で振り返られない情報セキュリティ白書2019 情報システムの脆弱性の動向 「情報セキュリティ白書2019」pp.45 2019/8/24 16 • 2018年は1万件超 • 脆弱性情報の件数は2011年より年々増加 •
2017年以降はNVD から公開される 脆弱性対策情報の件数が増加 • CVEの採番期間になる認定基準が緩和 (2016/12時点 47社→ 2018/12 93社)
5分で振り返られない情報セキュリティ白書2019 情報システムの脆弱性の動向 「情報セキュリティ白書2019」pp.46 2019/8/24 17 クロスサイト・スクリプティングが首位 (注記) レベルⅢ:リ モートからシステムを完全に制御されるような場合や大部分の情報が漏え いするような脅威等。
レベルⅡ:一部の情報が漏えいするような場合やサービス停止につながるような脅威等。 レベルⅠ:攻撃するために複雑な条件を必要とする脅威等。 5件中1件は危険、引き続き警戒を
5分で振り返られない情報セキュリティ白書2019 例:JVN iPediaでのKubernetesの検索結果 2019/8/24 18 2018年度は10件、危険に分類されるものは2件 https://jvndb.jvn.jp/
5分で振り返られない情報セキュリティ白書2019 早期警戒パートナーシップの届出状況から見る脆弱性の動向 2019/8/24 19 「情報セキュリティ白書2019」pp.48 減少傾向ではあるものの、 1営業日に1件は脆弱なWebサイトが見つかっている IPAから通知があった場合は 早めの対応をお願いします
5分で振り返られない情報セキュリティ白書2019 早期警戒パートナーシップの届出状況から見る脆弱性の動向 2019/8/24 20 情報セキュリティ早期警戒パートナーシップガイドライン概要日本語版 p.1 - https://www.ipa.go.jp/security/ciadr/partnership_guide.html 参考: 情報セキュリティ早期警戒パートナーシップとは
5分で振り返られない情報セキュリティ白書2019 5分で話したこと、話さなかったこと 2019/8/24 21 • 話したこと • 情報セキュリティ白書2019とは • 2018年度の情報セキュリティの概況
• 話さなかったこと • 国内外の情報セキュリティ政策の状況 • 情報セキュリティ人材の現状と育成 • 組織・個人における情報セキュリティの取り組み • 安全な政府調達に向けて • 制御システムの情報セキュリティ • IoTの情報セキュリティ • AIのトラストとセキュリティ • スマートフォンの情報セキュリティ
5分で振り返られない情報セキュリティ白書2019 5分で話したこと、話さなかったこと 2019/8/24 22 • 話したこと • 情報セキュリティ白書2019とは • 2018年度の情報セキュリティの概況
• 話さなかったこと • 国内外の情報セキュリティ政策の状況 • 情報セキュリティ人材の現状と育成 • 組織・個人における情報セキュリティの取り組み • 安全な政府調達に向けて • 制御システムの情報セキュリティ • IoTの情報セキュリティ • AIのトラストとセキュリティ • スマートフォンの情報セキュリティ 全体で200ページ以上あるものなので 興味のある部分だけでも・・・ 無料です!!