Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
身近なセキュリティについて学びましょう!
Search
Yasuhiro Matsuda
March 22, 2024
Technology
0
180
身近なセキュリティについて学びましょう!
2024/3/22に開催されました
KCGセミナー
にて登壇した内容です
Yasuhiro Matsuda
March 22, 2024
Tweet
Share
More Decks by Yasuhiro Matsuda
See All by Yasuhiro Matsuda
AI活用ワークショップ
matyuda
0
15
AIを活用した広報と事業計画を一気に学ぶワークショップ
matyuda
0
11
AWSを活用したAIサービス開発(フルバージョン)
matyuda
0
36
AWSを活用したAIサービス開発
matyuda
0
35
マーケティング実践とデジタル活用
matyuda
0
63
カンタンAI活用術
matyuda
0
65
スタートアップ企業の支援のあり方
matyuda
0
40
利益を生まない情報セキュリティとバックアップに投資する重要性
matyuda
0
80
いしかわ暮らしセミナー~移住にまつわるお金の話~
matyuda
0
170
Other Decks in Technology
See All in Technology
コンピュータビジョンの社会実装について考えていたらゲームを作っていた話
takmin
1
470
AI エージェント開発を支える MaaS としての Azure AI Foundry
ryohtaka
6
630
レビューを増やしつつ 高評価維持するテクニック
tsuzuki817
1
820
CDKのコードを書く環境を作りました with Amazon Q
nobuhitomorioka
1
110
リアルタイム分析データベースで実現する SQLベースのオブザーバビリティ
mikimatsumoto
0
1.6k
Classmethod AI Talks(CATs) #17 司会進行スライド(2025.02.19) / classmethod-ai-talks-aka-cats_moderator-slides_vol17_2025-02-19
shinyaa31
0
160
抽象化をするということ - 具体と抽象の往復を身につける / Abstraction and concretization
soudai
27
14k
データ資産をシームレスに伝達するためのイベント駆動型アーキテクチャ
kakehashi
PRO
2
600
2025-02-21 ゆるSRE勉強会 Enhancing SRE Using AI
yoshiiryo1
1
420
運用しているアプリケーションのDBのリプレイスをやってみた
miura55
1
830
地方拠点で エンジニアリングマネージャーってできるの? 〜地方という制約を楽しむオーナーシップとコミュニティ作り〜
1coin
1
250
あれは良かった、あれは苦労したB2B2C型SaaSの新規開発におけるCloud Spanner
hirohito1108
2
760
Featured
See All Featured
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k
Being A Developer After 40
akosma
89
590k
Speed Design
sergeychernyshev
27
800
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.6k
The World Runs on Bad Software
bkeepers
PRO
67
11k
For a Future-Friendly Web
brad_frost
176
9.5k
Building Flexible Design Systems
yeseniaperezcruz
328
38k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
100
18k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
193
16k
A better future with KSS
kneath
238
17k
Transcript
身近なセキュリティについて学びましょう! 2024/03/22 松田 康宏 KCG 2024年3月定例セミナー
仕事 ▮ AWSを活用した辞書検索サービスDONGRIの インフラエンジニア(イースト株式会社) 士業資格 ▮ 情報処理安全確保支援士 ファイナンシャル・プランニング技能士2級(AFP) 中小企業診断士 主な活動
▮ JAWS-UG 金沢支部コアメンバー AWS Community Builder 中学校のPTA会長 IPA セキュリティプレゼンター 座右の銘 ▮ 一塁ベースを持って二塁に盗塁する 松田 康宏 まつだ やすひろ
JAWS-UG金沢支部での取組
AWS Community Builderとしての活動
これから国内でも普及していく可能性のあるサービス
これから国内でも普及していく可能性のあるサービス
これまでの歩み
本日持ち帰っていただきたいこと ・セキュリティの勘所を理解できるようになる ・私たちで簡単にできるセキュリティ対策について理解 できるようになる
サイバーセキュリティ月間! #サイバーセキュリティは全員参加
ご質問はSlidoでお受けします! #4155 143
サプライチェーンの弱点を悪用した攻撃が順位を上げており、企業との 取引を行っている私たちも攻撃対象になりうる 私たちにはセキュリティ対策は関係ない? 順位 2023 2024 1位 ランサムウェアによる被害 ランサムウェアによる被害 ー
2位 サプライチェーンの弱点を悪用した攻撃 サプライチェーンの弱点を悪用した攻撃 ー 3位 標的型攻撃による機密情報の窃取 内部不正による情報漏えい ↑ 4位 内部不正による情報漏えい 標的型攻撃による機密情報の窃取 ↓ 5位 テレワーク等のニューノーマルな働き方を 狙った攻撃 修正プログラムの公開前を狙う攻撃 (ゼロディ攻撃) ↑ 情報セキュリティ10大脅威 「組織」向けの脅威順位
・セキュリティ サプライチェーン攻撃を考えれば、対策は重要 情報資産は何かを特定して最低限のコストで対策を考える ・バックアップ どの情報資産をいつの時点でいつまでに復旧しなければならないか 優先順位を考えて最小限のコストで対策を考える バックアップをとっているけれど、本当に復元できるだろうか? でも、システムがお金をうまない2大要素のうちの一つ
情報セキュリティ自社診断
優先順位の付け方 リスクマネジメント 情報資産に関するリスク源(脅威・脆弱性等)とそれにより発生する事象及びその結果と しての損失を特定して、それらの起こりやすさを算定する。 偽装メールで マルウェアが 社内に侵入 端末に残留 する脆弱性を 利用し感染
感染端末を 権限を奪取し 遠隔操作 サーバへ アクセスして データを窃取 窃取した データを 社外へ流出 顧客からの 信用失墜、 業務の 一時停止 リスク源 事象 結果 リスク算定の例 ALE(年間損失見込み額)= SLE(単一損失予想)× ARO(年間発生率)
影響度 高 影響度 低 発生確率 低 発生確率 高 リスク移転 (共有)
リスク回避 リスク保有 リスク低減 (最適化) 原因を取り除くことで、 リスクの脅威を避ける リスクを受容可能なレベルまで 減らす(影響度・確率共に) リスクの結果と責任を 第三者へ移す 消極的な保有と、 積極的な保有がある リスク対応の方法 算定した結果を、あらかじめ決めたリスク基準に知らして受容・許容するか何らかのリスク 対応を適用するのかを決定する。
私たちで簡単にできるセキュリティ対策 ・リモートワークにおけるの留意点 ・パソコンの盗難防止 ・記憶媒体の取扱
リモートワークにおける留意点について (自宅や公共スペースのWi-Fiを使用しての業務等) ▋パスワードを必要としないアクセスポイント (オープンと記載があるもの)には原則接続しな い。やむを得ず接続する場合には、HTTPSに なっていない通信をしない。ログインが必要な作 業はしないことを心がける。 ・暗号化されていないことにより、通信が盗聴さ れるため
リモートワークにおける留意点について (自宅や公共スペースのWi-Fiを使用しての業務等) ▋店内にパスワードが貼りだされているアクセス ポイントや、客室共通パスワードとなっているア クセスポイントには接続しない ・アクセスポイントがなりすまされていた場合に、 通信が盗聴されるため
リモートワークにおける留意点について (自宅や公共スペースでの業務等) ▋プライバシーフィルターをつけること ▋離席時に画面をロックすること ▋データをパソコン内に保存しないこと 公共スペースでの作業は通信が盗聴されるだけでなく、画面を直接のぞき見されるこ とにも注意する必要がある
来客者に事務所のWiFiを提供することのリスク ▋ゲスト用のSSIDを準備し、来客者に開放する 同じネットワーク内に接続されてしまうことでファイル共有されたファイルを閲覧されるリ スクや、通信の漏洩、ウィルス感染するリスクにさらされるため
パソコンの盗難防止措置の必要性 ▋パソコンだけでなく、NASなどのデータを保存している端末にはチェーンロックなど盗難防止を 施すことが望ましい(機器がなくなることへの対策ではなく、データが持ち出されることへの対 策) ▋盗難された場合のデータの流出を防止するため、ログインパスワードの設定、(Windows 10 Professional 以降の場合には)BitLockerを有効化してディスクを暗号化することを 検討
記憶媒体(USB等)の取扱について ▋記憶媒体は原則利用せず、データの受渡にはOneDriveやGoogle Driveなどファイル 共有の仕組みを利用する ▋やむを得ず利用せざるを得ない現場では、台帳管理を徹底し、出所が分からないUSBや 他人のUSBはパソコンに接続しないことを心がける 媒体を紛失した場合のリスクが大きいだけでなく、接続した際のウィルス感染リスクも考 慮する
使用するパソコンの留意点 ▋Windows Updateなどが適用されているか確認する ▋古いWindows Updateなど更新ができなくなったOSは利用しない ▋他人のパソコンは安易に利用しない ウィルスへの感染リスクが高まるほか、キーロガーなどがインストールされていると、入 力した内容が漏洩してしまう
標的型攻撃メールにも気を付けましょう!
データの取扱について • クラウドにデータを保存する上での留意事項 • クラウド管理の有効性及び危険性について • 情報管理が「再委託」となるケースについて
クラウドにデータを保存する上での留意事項 ▋アクセス権限が適切であるか ▋保存する目的(共有、バックアップ等)を確認し、目的外のデータを保管しない ▋保存データ量の変化に気を付ける ▋サービス障害時の代替策を確立しておく 第三者に閲覧されるリスクやデータ量が増えることにより、必要以上の課金を防ぐ
クラウド管理の有効性及び危険性について ▋複数端末や、複数人でデータを共有するためには非常に有用 ▋同期する仕組みを活用すると自動バックアップができるので、端末故障によるデータ損失に 備えられる ▋契約時のSLAやクラウドベンダーの財務状況を把握し、突然のサービス停止の可能性を考 慮する ▋保存する国の法規制や突然のサービス停止時の代替策を確保しておく必要性がある
情報管理が「再委託」となるケース ▋(クラウド)サービス提供事業 者が個人データを取扱うことに している場合が該当 出所:NTT東日本(クラソル)
事故発生時に備えた対策 • 漏えい時の対応について • サイバー保険への検討
情報漏えいが発生してしまったら… ▋個人情報保護委員会の案内に従って対処を行います https://www.ppc.go.jp/personalinfo/legal/leakAction/#leak_report
サイバー保険への加入の検討 ▋発生確率が低いものの、損害額が大きい事象については保険で対応することもご検 討ください 出所:損保ジャパン
ご清聴ありがとうございました