Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
情報処理安全確保支援士の視点で考える中小企業におけるセキュリティ対策
Search
Yasuhiro Matsuda
January 10, 2024
Technology
0
190
情報処理安全確保支援士の視点で考える中小企業におけるセキュリティ対策
1/10(水)に開催されました 第3回 NICT北陸連携サロン
で登壇した資料です。
Yasuhiro Matsuda
January 10, 2024
Tweet
Share
More Decks by Yasuhiro Matsuda
See All by Yasuhiro Matsuda
いしかわ暮らしセミナー~知って安心!移住とお金講座~
matyuda
0
43
AI活用ワークショップ
matyuda
0
52
AIを活用した広報と事業計画を一気に学ぶワークショップ
matyuda
0
50
AWSを活用したAIサービス開発(フルバージョン)
matyuda
0
66
AWSを活用したAIサービス開発
matyuda
0
57
マーケティング実践とデジタル活用
matyuda
0
120
カンタンAI活用術
matyuda
0
110
スタートアップ企業の支援のあり方
matyuda
0
53
利益を生まない情報セキュリティとバックアップに投資する重要性
matyuda
0
110
Other Decks in Technology
See All in Technology
「クラウドコスト絶対削減」を支える技術—FinOpsを超えた徹底的なクラウドコスト削減の実践論
delta_tech
4
190
オーティファイ会社紹介資料 / Autify Company Deck
autifyhq
10
130k
伴走から自律へ: 形式知へと導くSREイネーブリングによる プロダクトチームの信頼性オーナーシップ向上 / SRE NEXT 2025
visional_engineering_and_design
3
230
敢えて生成AIを使わないマネジメント業務
kzkmaeda
2
510
衛星運用をソフトウェアエンジニアに依頼したときにできあがるもの
sankichi92
1
230
Copilot coding agentにベットしたいCTOが開発組織で取り組んだこと / GitHub Copilot coding agent in Team
tnir
0
150
How to Quickly Call American Airlines®️ U.S. Customer Care : Full Guide
flyaahelpguide
0
240
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
55
22k
VGGT: Visual Geometry Grounded Transformer
peisuke
1
620
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
3
990
AIの全社活用を推進するための安全なレールを敷いた話
shoheimitani
2
640
Contributing to Rails? Start with the Gems You Already Use
yahonda
2
120
Featured
See All Featured
Being A Developer After 40
akosma
90
590k
A designer walks into a library…
pauljervisheath
207
24k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.3k
The World Runs on Bad Software
bkeepers
PRO
69
11k
GraphQLとの向き合い方2022年版
quramy
49
14k
Why You Should Never Use an ORM
jnunemaker
PRO
58
9.4k
The Pragmatic Product Professional
lauravandoore
35
6.7k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
60k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
181
54k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
53
2.9k
A better future with KSS
kneath
238
17k
Building a Modern Day E-commerce SEO Strategy
aleyda
42
7.4k
Transcript
情報処理安全確保支援士の視点で考える 中小企業におけるセキュリティ対策 2024/01/10 松田 康宏
仕事 ▮ AWSを活用した辞書検索サービスDONGRIの インフラエンジニア(イースト株式会社) 士業資格 ▮ 情報処理安全確保支援士 ファイナンシャル・プランニング技能士2級(AFP) 中小企業診断士 主な活動
▮ JAWS-UG 金沢支部コアメンバー JAWS-UG 事務局長 AWS Community Builder 中学校のPTA会長 座右の銘 ▮ 一塁ベースを持って二塁に盗塁する 松田 康宏 まつだ やすひろ
本日持ち帰っていただきたいこと ・中小企業の現状を把握できるようになる ・中小企業に対してできるセキュリティ対策とBCP対 策について理解できるようになる ・インシデントハンドリングについての考慮事項を理解 できるようになる
・企業数の99.7%は中小企業・小規模事業者 ・従業員数の約70%は中小企業に雇用されている 出所:中小企業白書2021年 なぜ中小企業の話をしようとしているのか 中小企業の特徴として、ヒト、モノ、カネが限られる ヒト・・・情報システム担当者不在 モノ・・・データは各コンピュータにある カネ・・・古いOSが未だに動いている
サプライチェーンの弱点を悪用した攻撃が順位を上げており、中小企 業も攻撃対象になりうる 中小企業にはセキュリティ対策は関係ない? 昨年 順位 個人 組織 昨年 順位 ー
フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 ー ー ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪用した攻撃 ↑ ー メールやSMS等を使った脅迫・詐欺の手口による 金銭要求 3位 標的型攻撃による機密情報の窃取 ↓ ー クレジットカード情報の不正利用 4位 内部不正による情報漏えい ↑ ー スマホ決済の不正利用 5位 テレワーク等のニューノーマルな働き方を 狙った攻撃 ↓ 情報セキュリティ10大脅威 2023
・セキュリティ サプライチェーン攻撃を考えれば、対策は重要 情報資産は何かを特定して最低限のコストで対策を考える ・バックアップ どの情報資産をいつの時点でいつまでに復旧しなければならないか 優先順位を考えて最小限のコストで対策を考える バックアップをとっているけれど、本当に復元できるだろうか? でも、システムがお金をうまない2大要素のうちの一つ
優先順位の付け方 リスクマネジメント 情報資産に関するリスク源(脅威・脆弱性等)とそれにより発生する事象及びその結果と しての損失を特定して、それらの起こりやすさを算定する。 偽装メールで マルウェアが 社内に侵入 端末に残留 する脆弱性を 利用し感染
感染端末を 権限を奪取し 遠隔操作 サーバへ アクセスして データを窃取 窃取した データを 社外へ流出 顧客からの 信用失墜、 業務の 一時停止 リスク源 事象 結果 リスク算定の例 ALE(年間損失見込み額)= SLE(単一損失予想)× ARO(年間発生率)
影響度 高 影響度 低 発生確率 低 発生確率 高 リスク移転 (共有)
リスク回避 リスク保有 リスク低減 (最適化) 原因を取り除くことで、 リスクの脅威を避ける リスクを受容可能なレベルまで 減らす(影響度・確率共に) リスクの結果と責任を 第三者へ移す 消極的な保有と、 積極的な保有がある リスク対応の方法 算定した結果を、あらかじめ決めたリスク基準に知らして受容・許容するか何らかのリスク 対応を適用するのかを決定する。
・事業所拠点とは別の場所でバックアップが取得されている (BCP対策) ・バージョニング設定によって、ランサムウェアによる感染が発生して も元に戻せる リスク対応で考えるならばクラウドへのバックアップは有用
中小企業でも簡単にできるセキュリティ対策 ・リモートワーク時の留意点 ・パソコンの盗難防止 ・記憶媒体の取扱
リモートワークにおける留意点について (自宅や公共スペースのWi-Fiを使用しての業務等) ▋プライバシーフィルターをつけること ▋パスワードを必要としないアクセスポイントには接続しな いこと ▋店内にパスワードが貼りだされているアクセスポイントや、 客室共通パスワードとなっているアクセスポイントには接続 しないこと ▋離席時に画面をロックすること ▋データをパソコン内に保存しないこと
▋操作ログが取得されていることを従業員へ通知するこ と 公共スペースでの作業は通信が盗聴されるだけでなく、画面を直接のぞき見されるこ とにも注意する必要がある
パソコンの盗難防止措置の必要性 ▋パソコンだけでなく、NASなどのデータを保存している端末にはチェーンロックなど盗難防止を 施すことが望ましい(機器がなくなることへの対策ではなく、データが持ち出されることへの対 策) ▋盗難された場合のデータの流出を防止するため、ログインパスワードの設定、(Windows 10 Professional 以降の場合には)BitLocker 暗号化を有効にすることを検討
記憶媒体(USB等)の取扱について ▋記憶媒体は原則利用せず、データの受渡にはOneDriveやGoogle Driveなどファイル 共有の仕組みを利用する ▋やむを得ず利用せざるを得ない現場では、台帳管理を徹底し、出所が分からないUSB や他人のUSBはパソコンに接続しないことを心がける 媒体を紛失した場合のリスクが大きいだけでなく、接続した際のウィルス感染リスクも考 慮する
インシデント発生に備えて MicroHardeningにチャレンジしてみよう! 仮想のショッピングサイトの運営管理者となり、クローラーによるネッ トショッピングの可用性を保証するゲームイベント。 45分×3セットで行われた。 タイムテーブル イベント 13:00~14:00 事前説明 14:00~14:45
1セット目 14:45~15:15 振り返り・休憩・準備 15:15~16:00 2セット目 16:00~16:30 振り返り・休憩・準備 16:30~17:15 3セット目
オンラインとオフラインの違い オンライン(2022) オフライン(2023) 参加メンバー セキュリティに精通した方1名 企業在籍者2名 情シスの方1名 金沢工大の方2名 参加した場所 自宅
金沢商工会議所 最高スコア(最大218,140) 117,015(3回目) 119,780(2回目) 最高SLA(最大100%) 87%(3回目) 77%(2回目) 防御点(最大28) 3(3回目) 10(3回目) コミュニケーション やりにくい やりやすい 自分の役割 セキュリティに精通した方と分担 しながらの作業 他のメンバーにお願いするこ とをしつつ、主体的に作業 いずれも初対面だったため、参加メンバーの考え方、スキルを意識しながら自分の役割を 変化させることが重要
参加して重要だと感じたこと • コンソールを見るだけではなくビジネスも見る →2023年で優秀賞をとれた理由は「何もできないと言われた工大生にサイトの見回りを お願いした」こと • 恒久対策と暫定対策を分ける • 作業プロセスの記録、共有に心がける •
元に戻すことができる準備を意識する バックアップは取れているか? • サービス稼働状況の調査を素早くできるようにする • 不審ログに関する調査
さいごに #サイバーセキュリティは全員参加