Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
情報処理安全確保支援士の視点で考える中小企業におけるセキュリティ対策
Search
Yasuhiro Matsuda
January 10, 2024
Technology
0
160
情報処理安全確保支援士の視点で考える中小企業におけるセキュリティ対策
1/10(水)に開催されました 第3回 NICT北陸連携サロン
で登壇した資料です。
Yasuhiro Matsuda
January 10, 2024
Tweet
Share
More Decks by Yasuhiro Matsuda
See All by Yasuhiro Matsuda
AI活用ワークショップ
matyuda
0
17
AIを活用した広報と事業計画を一気に学ぶワークショップ
matyuda
0
13
AWSを活用したAIサービス開発(フルバージョン)
matyuda
0
37
AWSを活用したAIサービス開発
matyuda
0
36
マーケティング実践とデジタル活用
matyuda
0
65
カンタンAI活用術
matyuda
0
66
スタートアップ企業の支援のあり方
matyuda
0
41
利益を生まない情報セキュリティとバックアップに投資する重要性
matyuda
0
81
いしかわ暮らしセミナー~移住にまつわるお金の話~
matyuda
0
170
Other Decks in Technology
See All in Technology
設計を積み重ねてシステムを刷新する
sansantech
PRO
0
130
Raycast AI APIを使ってちょっと便利な拡張機能を作ってみた / created-a-handy-extension-using-the-raycast-ai-api
kawamataryo
0
180
利用終了したドメイン名の最強終活〜観測環境を育てて、分析・供養している件〜 / The Ultimate End-of-Life Preparation for Discontinued Domain Names
nttcom
2
360
偏光画像処理ライブラリを作った話
elerac
1
150
役員・マネージャー・著者・エンジニアそれぞれの立場から見たAWS認定資格
nrinetcom
PRO
0
710
CDKのコードを書く環境を作りました with Amazon Q
nobuhitomorioka
1
130
あれは良かった、あれは苦労したB2B2C型SaaSの新規開発におけるCloud Spanner
hirohito1108
2
860
Perlの生きのこり - エンジニアがこの先生きのこるためのカンファレンス2025
kfly8
1
230
わたしのOSS活動
kazupon
2
330
Reading Code Is Harder Than Writing It
trishagee
2
120
デスクトップだけじゃないUbuntu
mtyshibata
0
600
エンジニアリング価値を黒字化する バリューベース戦略を用いた 技術戦略策定の道のり
kzkmaeda
6
1.4k
Featured
See All Featured
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.4k
The Cost Of JavaScript in 2023
addyosmani
47
7.3k
Building a Scalable Design System with Sketch
lauravandoore
461
33k
[RailsConf 2023] Rails as a piece of cake
palkan
53
5.3k
How to train your dragon (web standard)
notwaldorf
91
5.9k
How GitHub (no longer) Works
holman
314
140k
The World Runs on Bad Software
bkeepers
PRO
67
11k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.1k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
40
2k
A Tale of Four Properties
chriscoyier
158
23k
Speed Design
sergeychernyshev
27
800
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
12
980
Transcript
情報処理安全確保支援士の視点で考える 中小企業におけるセキュリティ対策 2024/01/10 松田 康宏
仕事 ▮ AWSを活用した辞書検索サービスDONGRIの インフラエンジニア(イースト株式会社) 士業資格 ▮ 情報処理安全確保支援士 ファイナンシャル・プランニング技能士2級(AFP) 中小企業診断士 主な活動
▮ JAWS-UG 金沢支部コアメンバー JAWS-UG 事務局長 AWS Community Builder 中学校のPTA会長 座右の銘 ▮ 一塁ベースを持って二塁に盗塁する 松田 康宏 まつだ やすひろ
本日持ち帰っていただきたいこと ・中小企業の現状を把握できるようになる ・中小企業に対してできるセキュリティ対策とBCP対 策について理解できるようになる ・インシデントハンドリングについての考慮事項を理解 できるようになる
・企業数の99.7%は中小企業・小規模事業者 ・従業員数の約70%は中小企業に雇用されている 出所:中小企業白書2021年 なぜ中小企業の話をしようとしているのか 中小企業の特徴として、ヒト、モノ、カネが限られる ヒト・・・情報システム担当者不在 モノ・・・データは各コンピュータにある カネ・・・古いOSが未だに動いている
サプライチェーンの弱点を悪用した攻撃が順位を上げており、中小企 業も攻撃対象になりうる 中小企業にはセキュリティ対策は関係ない? 昨年 順位 個人 組織 昨年 順位 ー
フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 ー ー ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪用した攻撃 ↑ ー メールやSMS等を使った脅迫・詐欺の手口による 金銭要求 3位 標的型攻撃による機密情報の窃取 ↓ ー クレジットカード情報の不正利用 4位 内部不正による情報漏えい ↑ ー スマホ決済の不正利用 5位 テレワーク等のニューノーマルな働き方を 狙った攻撃 ↓ 情報セキュリティ10大脅威 2023
・セキュリティ サプライチェーン攻撃を考えれば、対策は重要 情報資産は何かを特定して最低限のコストで対策を考える ・バックアップ どの情報資産をいつの時点でいつまでに復旧しなければならないか 優先順位を考えて最小限のコストで対策を考える バックアップをとっているけれど、本当に復元できるだろうか? でも、システムがお金をうまない2大要素のうちの一つ
優先順位の付け方 リスクマネジメント 情報資産に関するリスク源(脅威・脆弱性等)とそれにより発生する事象及びその結果と しての損失を特定して、それらの起こりやすさを算定する。 偽装メールで マルウェアが 社内に侵入 端末に残留 する脆弱性を 利用し感染
感染端末を 権限を奪取し 遠隔操作 サーバへ アクセスして データを窃取 窃取した データを 社外へ流出 顧客からの 信用失墜、 業務の 一時停止 リスク源 事象 結果 リスク算定の例 ALE(年間損失見込み額)= SLE(単一損失予想)× ARO(年間発生率)
影響度 高 影響度 低 発生確率 低 発生確率 高 リスク移転 (共有)
リスク回避 リスク保有 リスク低減 (最適化) 原因を取り除くことで、 リスクの脅威を避ける リスクを受容可能なレベルまで 減らす(影響度・確率共に) リスクの結果と責任を 第三者へ移す 消極的な保有と、 積極的な保有がある リスク対応の方法 算定した結果を、あらかじめ決めたリスク基準に知らして受容・許容するか何らかのリスク 対応を適用するのかを決定する。
・事業所拠点とは別の場所でバックアップが取得されている (BCP対策) ・バージョニング設定によって、ランサムウェアによる感染が発生して も元に戻せる リスク対応で考えるならばクラウドへのバックアップは有用
中小企業でも簡単にできるセキュリティ対策 ・リモートワーク時の留意点 ・パソコンの盗難防止 ・記憶媒体の取扱
リモートワークにおける留意点について (自宅や公共スペースのWi-Fiを使用しての業務等) ▋プライバシーフィルターをつけること ▋パスワードを必要としないアクセスポイントには接続しな いこと ▋店内にパスワードが貼りだされているアクセスポイントや、 客室共通パスワードとなっているアクセスポイントには接続 しないこと ▋離席時に画面をロックすること ▋データをパソコン内に保存しないこと
▋操作ログが取得されていることを従業員へ通知するこ と 公共スペースでの作業は通信が盗聴されるだけでなく、画面を直接のぞき見されるこ とにも注意する必要がある
パソコンの盗難防止措置の必要性 ▋パソコンだけでなく、NASなどのデータを保存している端末にはチェーンロックなど盗難防止を 施すことが望ましい(機器がなくなることへの対策ではなく、データが持ち出されることへの対 策) ▋盗難された場合のデータの流出を防止するため、ログインパスワードの設定、(Windows 10 Professional 以降の場合には)BitLocker 暗号化を有効にすることを検討
記憶媒体(USB等)の取扱について ▋記憶媒体は原則利用せず、データの受渡にはOneDriveやGoogle Driveなどファイル 共有の仕組みを利用する ▋やむを得ず利用せざるを得ない現場では、台帳管理を徹底し、出所が分からないUSB や他人のUSBはパソコンに接続しないことを心がける 媒体を紛失した場合のリスクが大きいだけでなく、接続した際のウィルス感染リスクも考 慮する
インシデント発生に備えて MicroHardeningにチャレンジしてみよう! 仮想のショッピングサイトの運営管理者となり、クローラーによるネッ トショッピングの可用性を保証するゲームイベント。 45分×3セットで行われた。 タイムテーブル イベント 13:00~14:00 事前説明 14:00~14:45
1セット目 14:45~15:15 振り返り・休憩・準備 15:15~16:00 2セット目 16:00~16:30 振り返り・休憩・準備 16:30~17:15 3セット目
オンラインとオフラインの違い オンライン(2022) オフライン(2023) 参加メンバー セキュリティに精通した方1名 企業在籍者2名 情シスの方1名 金沢工大の方2名 参加した場所 自宅
金沢商工会議所 最高スコア(最大218,140) 117,015(3回目) 119,780(2回目) 最高SLA(最大100%) 87%(3回目) 77%(2回目) 防御点(最大28) 3(3回目) 10(3回目) コミュニケーション やりにくい やりやすい 自分の役割 セキュリティに精通した方と分担 しながらの作業 他のメンバーにお願いするこ とをしつつ、主体的に作業 いずれも初対面だったため、参加メンバーの考え方、スキルを意識しながら自分の役割を 変化させることが重要
参加して重要だと感じたこと • コンソールを見るだけではなくビジネスも見る →2023年で優秀賞をとれた理由は「何もできないと言われた工大生にサイトの見回りを お願いした」こと • 恒久対策と暫定対策を分ける • 作業プロセスの記録、共有に心がける •
元に戻すことができる準備を意識する バックアップは取れているか? • サービス稼働状況の調査を素早くできるようにする • 不審ログに関する調査
さいごに #サイバーセキュリティは全員参加