Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
利益を生まない情報セキュリティとバックアップに投資する重要性
Search
Yasuhiro Matsuda
August 22, 2024
Technology
0
110
利益を生まない情報セキュリティとバックアップに投資する重要性
2024/8/22に開催されました
Bizcafe無門庵
にてお話させていただいた内容の資料です。
Yasuhiro Matsuda
August 22, 2024
Tweet
Share
More Decks by Yasuhiro Matsuda
See All by Yasuhiro Matsuda
いしかわ暮らしセミナー~知って安心!移住とお金講座~
matyuda
0
43
AI活用ワークショップ
matyuda
0
52
AIを活用した広報と事業計画を一気に学ぶワークショップ
matyuda
0
50
AWSを活用したAIサービス開発(フルバージョン)
matyuda
0
65
AWSを活用したAIサービス開発
matyuda
0
57
マーケティング実践とデジタル活用
matyuda
0
120
カンタンAI活用術
matyuda
0
110
スタートアップ企業の支援のあり方
matyuda
0
53
いしかわ暮らしセミナー~移住にまつわるお金の話~
matyuda
0
220
Other Decks in Technology
See All in Technology
面倒な作業はAIにおまかせ。Flutter開発をスマートに効率化
ruideengineer
0
350
無意味な開発生産性の議論から抜け出すための予兆検知とお金とAI
i35_267
6
13k
OSSのSNSツール「Misskey」をさわってみよう(右下ワイプで私のOSCの20年を振り返ります) / 20250705-osc2025-do
akkiesoft
0
170
高速なプロダクト開発を実現、創業期から掲げるエンタープライズアーキテクチャ
kawauso
3
9.7k
United™️ Airlines®️ Customer®️ USA Contact Numbers: Complete 2025 Support Guide
flyunitedguide
0
270
fukabori.fm 出張版: 売上高617億円と高稼働率を陰で支えた社内ツール開発のあれこれ話 / 20250704 Yoshimasa Iwase & Tomoo Morikawa
shift_evolve
PRO
2
8k
【LT会登壇資料】TROCCO新コネクタ「スマレジ」を活用した直営店データの分析
kazari0425
1
110
VS CodeとGitHub Copilotで爆速開発!アップデートの波に乗るおさらい会 / Rapid Development with VS Code and GitHub Copilot: Catch the Latest Wave
yamachu
2
180
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
54
20k
AI エージェントと考え直すデータ基盤
na0
15
4.3k
オーティファイ会社紹介資料 / Autify Company Deck
autifyhq
10
130k
OpenTelemetryセマンティック規約の恩恵とMackerel APMにおける活用例 / SRE NEXT 2025
mackerelio
2
480
Featured
See All Featured
Facilitating Awesome Meetings
lara
54
6.4k
The Straight Up "How To Draw Better" Workshop
denniskardys
235
140k
Being A Developer After 40
akosma
90
590k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
44
2.4k
Producing Creativity
orderedlist
PRO
346
40k
StorybookのUI Testing Handbookを読んだ
zakiyama
30
5.9k
Art, The Web, and Tiny UX
lynnandtonic
299
21k
GraphQLの誤解/rethinking-graphql
sonatard
71
11k
Java REST API Framework Comparison - PWX 2021
mraible
31
8.7k
Music & Morning Musume
bryan
46
6.6k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Transcript
利益を生まない情報セキュリティとバックアップ に投資する重要性 2024/08/22 松田 康宏 2024年8月度 Bizcafe無門庵
仕事 ▮ AWSを活用した辞書検索サービスDONGRIの インフラエンジニア(イースト株式会社) 士業資格 ▮ 情報処理安全確保支援士 中小企業診断士 ファイナンシャル・プランニング技能士2級(AFP) 主な活動
▮ AWS Community Builder 日本FP協会石川支部幹事 白山市内の中学校PTA会長 座右の銘 ▮ 一塁ベースを持って二塁に盗塁する 松田 康宏 まつだ やすひろ
経歴 比較.com株式会社 /東京都 2005 年 4 月~ 2006 年 10
月 (2006年3月マザーズ 上場) 株式会社エンブレム/東京都 (三谷産業株式会社子会社) 2006 年 11 月~2011 年 4 月 福島印刷株式会社/石川県 2011 年 5 月~2020年12月 神奈川県宮前区に引越 株式会社三省堂/東京都 2004年 4 月(2002年10月) ~2005 年 3 月 石川県白山市(旧:松任市)に生まれる 東京都江戸川区に引越 石川県白山市にUターン 千葉県船橋市に引越 中小企業診断士 登録 FP2級取得 イースト株式会社/東京都 2021 年 1 月~現在
個人事業主としての主な活動 ・専門家派遣制度(ISICO) ・認定経営革新等支援機関としての伴奏支援 ・補助金申請支援 小規模事業者持続化補助金 賃上げに向けた省力化投資支援事業 ・セミナー講師 職業能力開発促進センター(ポリテクセンター) 社会保険労務士会、商工会議所、石川県地域振興課 日本FP協会等
これから国内でも普及していく可能性のあるサービス① ジャスト・ウォークアウト ライドシェア
これから国内でも普及していく可能性のあるサービス② Split
本日持ち帰っていただきたいこと ・なぜ私たちにとってセキュリティとバックアップが重要な のかを理解できるようになる ・私たちで簡単にできるセキュリティ対策、バックアップ 対策について理解できるようになる
私たちの情報セキュリティの実態 ヒト、モノ、カネが限られる ヒト・・・情報システム担当者不在 モノ・・・データは各コンピュータにある カネ・・・古いOSが未だに動いている
私たちにはセキュリティ対策は関係ない? サプライチェーンの弱点を悪用した攻撃が順位を上げており、企業との 取引を行っている私たちも攻撃対象になりうる 順位 2023 2024 1位 ランサムウェアによる被害 ランサムウェアによる被害 ー
2位 サプライチェーンの弱点を悪用した攻撃 サプライチェーンの弱点を悪用した攻撃 ー 3位 標的型攻撃による機密情報の窃取 内部不正による情報漏えい ↑ 4位 内部不正による情報漏えい 標的型攻撃による機密情報の窃取 ↓ 5位 テレワーク等のニューノーマルな働き方を 狙った攻撃 修正プログラムの公開前を狙う攻撃 (ゼロディ攻撃) ↑ 情報セキュリティ10大脅威 「組織」向けの脅威順位
・セキュリティ サプライチェーンの弱点を悪用した攻撃を考えれば、対策は重要 情報資産は何かを特定して最低限のコストで対策を考える ・バックアップ どの情報資産をいつの時点でいつまでに復旧しなければならないか 優先順位を考えて最小限のコストで対策を考える バックアップをとっているけれど、本当に復元できるだろうか? でも、システムがお金をうまない2大要素のうちの一つ
セキュリティもバックアップも守りたいのはデータ データは21世紀の石油 「世界ICTサミット2014」に登壇した日本アイ・ビー・エ ム 代表取締役社長 マーティン・イェッター氏の講演 データは人、モノ、カネに続く 第四の経営資源 出所)https://www.sbbit.jp/article/cont1/28284
情報セキュリティ自社診断
優先順位の付け方 リスクマネジメント 情報資産に関するリスク源(脅威・脆弱性等)とそれにより発生する事象及びその結果と しての損失を特定して、それらの起こりやすさを算定する。 偽装メールで マルウェアが 社内に侵入 端末に残留 する脆弱性を 利用し感染
感染端末を 権限を奪取し 遠隔操作 サーバへ アクセスして データを窃取 窃取した データを 社外へ流出 顧客からの 信用失墜、 業務の 一時停止 リスク源 事象 結果 リスク算定の例 ALE(年間損失見込み額)= SLE(単一損失予想)× ARO(年間発生率)
影響度 高 影響度 低 発生確率 低 発生確率 高 リスク移転 (共有)
リスク回避 リスク保有 リスク低減 (最適化) 原因を取り除くことで、 リスクの脅威を避ける リスクを受容可能なレベルまで 減らす(影響度・確率共に) リスクの結果と責任を 第三者へ移す 消極的な保有と、 積極的な保有がある リスク対応の方法 算定した結果を、あらかじめ決めたリスク基準に知らして受容・許容するか何らかのリスク 対応を適用するのかを決定する。
影響度 高 影響度 低 発生確率 低 発生確率 高 リスク移転 (共有)
リスク回避 リスク保有 リスク低減 (最適化) 原因を取り除くことで、 リスクの脅威を避ける リスクを受容可能なレベルまで 減らす(影響度・確率共に) リスクの結果と責任を 第三者へ移す 消極的な保有と、 積極的な保有がある リスク低減の方法 リスクを減らす取組についてみてみましょう!
私たちでも簡単にできるセキュリティ対策 ・リモートワーク時の留意点 ・パソコンの盗難防止 ・記憶媒体の取扱
リモートワークにおける留意点について (自宅や公共スペースのWi-Fiを使用しての業務等) ▋パスワードを必要としないアクセスポ イント(オープンと記載があるもの)に は原則接続しない。やむを得ず接続する 場合には、HTTPSになっていない通信を しない。ログインが必要な作業はしない ことを心がける。 暗号化されていないことにより、通信が 盗聴されるため
リモートワークにおける留意点について (自宅や公共スペースのWi-Fiを使用しての業務等) ▋店内にパスワードが貼りだされているアクセスポ イントや、客室共通パスワードとなっているアクセ スポイントには接続しない アクセスポイントがなりすまされていた 場合に、通信が盗聴されるため
リモートワークにおける留意点について (自宅や公共スペースでの業務等) ▋プライバシーフィルターをつけること ▋離席時に画面をロックすること ▋データをパソコン内に保存しないこと 公共スペースでの作業は通信が盗聴されるだけでなく、画面を直接のぞ き見されることにも注意する必要がある
来客者に事務所のWiFiを提供することのリスク ▋ゲスト用のSSIDを準備し、来客者に開放する 同じネットワーク内に接続されてしまうことでファイル共有されたファイルを閲覧されるリ スクや、通信の漏洩、ウィルス感染するリスクにさらされるため
パソコンの盗難防止措置の必要性 ▋パソコンだけでなく、NASなどのデータを保存している端末にはチェーンロックな ど盗難防止を施すことが望ましい(機器がなくなることへの対策ではなく、データ が持ち出されることへの対策) ▋盗難された場合のデータの流出を防止するため、ログインパスワードの設定、 (Windows 10 Professional 以降の場合には)BitLockerを有効化して ディスクを暗号化することを検討
記憶媒体(USB等)の取扱について ▋記憶媒体は原則利用せず、データの受渡にはOneDriveやGoogle Drive などファイル共有の仕組みを利用する ▋やむを得ず利用せざるを得ない現場では、台帳管理を徹底し、出所が分か らないUSBや他人のUSBはパソコンに接続しないことを心がける 媒体を紛失した場合のリスクが大きいだけでなく、接続した際のウィルス感 染リスクも考慮する
使用するパソコンの留意点 ▋Windows Updateなどが適用されているか確認する ▋古いWindows Updateなど更新ができなくなったOSは利用しない ▋他人のパソコンは安易に利用しない ウィルスへの感染リスクが高まるほか、キーロガーなどがインストールされ ていると、入力した内容が漏洩してしまう
標的型攻撃メールにも気を付けましょう!
クラウドにデータを保存する上での留意事項 ▋アクセス権限が適切であるか ▋保存する目的(共有、バックアップ等)を確認し、目的外のデータを保管 しない ▋保存データ量の変化に気を付ける ▋サービス障害時の代替策を確立しておく 第三者に閲覧されるリスクやデータ量が増えることにより、必要以上の課 金を防ぐ
クラウド管理の有効性及び危険性について ▋複数端末や、複数人でデータを共有するためには非常に有用 ▋同期する仕組みを活用すると自動バックアップができるので、端末故障による データ損失に備えられる ▋契約時のSLAやクラウドベンダーの財務状況を把握し、突然のサービス停止 の可能性を考慮する ▋保存する国の法規制や突然のサービス停止時の代替策を確保しておく必要 性がある
ご清聴ありがとうございました