身近なセキュリティについて学びましょう！

Transcript

1. 身近なセキュリティについて学びましょう！ 2024/03/22 松田 康宏 KCG 2024年3月定例セミナー

2. 仕事 ▮ AWSを活用した辞書検索サービスDONGRIの インフラエンジニア（イースト株式会社） 士業資格 ▮ 情報処理安全確保支援士 ファイナンシャル・プランニング技能士2級（AFP） 中小企業診断士 主な活動

   ▮ JAWS-UG 金沢支部コアメンバー AWS Community Builder 中学校のPTA会長 IPA セキュリティプレゼンター 座右の銘 ▮ 一塁ベースを持って二塁に盗塁する 松田 康宏 まつだ やすひろ

3. JAWS-UG金沢支部での取組

4. AWS Community Builderとしての活動

5. これから国内でも普及していく可能性のあるサービス

6. これから国内でも普及していく可能性のあるサービス

7. これまでの歩み

8. 本日持ち帰っていただきたいこと ・セキュリティの勘所を理解できるようになる ・私たちで簡単にできるセキュリティ対策について理解 できるようになる

9. サイバーセキュリティ月間！ #サイバーセキュリティは全員参加

10. ご質問はSlidoでお受けします！ #4155 143

11. サプライチェーンの弱点を悪用した攻撃が順位を上げており、企業との 取引を行っている私たちも攻撃対象になりうる 私たちにはセキュリティ対策は関係ない？ 順位 2023 2024 1位 ランサムウェアによる被害 ランサムウェアによる被害 ー

    2位 サプライチェーンの弱点を悪用した攻撃 サプライチェーンの弱点を悪用した攻撃 ー 3位 標的型攻撃による機密情報の窃取 内部不正による情報漏えい ↑ 4位 内部不正による情報漏えい 標的型攻撃による機密情報の窃取 ↓ 5位 テレワーク等のニューノーマルな働き方を 狙った攻撃 修正プログラムの公開前を狙う攻撃 （ゼロディ攻撃） ↑ 情報セキュリティ10大脅威 「組織」向けの脅威順位

12. ・セキュリティ サプライチェーン攻撃を考えれば、対策は重要 情報資産は何かを特定して最低限のコストで対策を考える ・バックアップ どの情報資産をいつの時点でいつまでに復旧しなければならないか 優先順位を考えて最小限のコストで対策を考える バックアップをとっているけれど、本当に復元できるだろうか？ でも、システムがお金をうまない２大要素のうちの一つ

13. 情報セキュリティ自社診断

14. 優先順位の付け方 リスクマネジメント 情報資産に関するリスク源（脅威･脆弱性等)とそれにより発生する事象及びその結果と しての損失を特定して、それらの起こりやすさを算定する。 偽装メールで マルウェアが 社内に侵入 端末に残留 する脆弱性を 利用し感染

    感染端末を 権限を奪取し 遠隔操作 サーバへ アクセスして データを窃取 窃取した データを 社外へ流出 顧客からの 信用失墜、 業務の 一時停止 リスク源 事象 結果 リスク算定の例 ALE（年間損失見込み額）＝ SLE（単一損失予想）× ARO（年間発生率）

15. 影響度 高 影響度 低 発生確率 低 発生確率 高 リスク移転 （共有）

    リスク回避 リスク保有 リスク低減 （最適化） 原因を取り除くことで、 リスクの脅威を避ける リスクを受容可能なレベルまで 減らす（影響度･確率共に） リスクの結果と責任を 第三者へ移す 消極的な保有と、 積極的な保有がある リスク対応の方法 算定した結果を、あらかじめ決めたリスク基準に知らして受容･許容するか何らかのリスク 対応を適用するのかを決定する。

16. 私たちで簡単にできるセキュリティ対策 ・リモートワークにおけるの留意点 ・パソコンの盗難防止 ・記憶媒体の取扱

17. リモートワークにおける留意点について （自宅や公共スペースのWi-Fiを使用しての業務等） ▋パスワードを必要としないアクセスポイント （オープンと記載があるもの）には原則接続しな い。やむを得ず接続する場合には、HTTPSに なっていない通信をしない。ログインが必要な作 業はしないことを心がける。 ・暗号化されていないことにより、通信が盗聴さ れるため

18. リモートワークにおける留意点について （自宅や公共スペースのWi-Fiを使用しての業務等） ▋店内にパスワードが貼りだされているアクセス ポイントや、客室共通パスワードとなっているア クセスポイントには接続しない ・アクセスポイントがなりすまされていた場合に、 通信が盗聴されるため

19. リモートワークにおける留意点について （自宅や公共スペースでの業務等） ▋プライバシーフィルターをつけること ▋離席時に画面をロックすること ▋データをパソコン内に保存しないこと 公共スペースでの作業は通信が盗聴されるだけでなく、画面を直接のぞき見されるこ とにも注意する必要がある

20. 来客者に事務所のWiFiを提供することのリスク ▋ゲスト用のSSIDを準備し、来客者に開放する 同じネットワーク内に接続されてしまうことでファイル共有されたファイルを閲覧されるリ スクや、通信の漏洩、ウィルス感染するリスクにさらされるため

21. パソコンの盗難防止措置の必要性 ▋パソコンだけでなく、NASなどのデータを保存している端末にはチェーンロックなど盗難防止を 施すことが望ましい（機器がなくなることへの対策ではなく、データが持ち出されることへの対 策） ▋盗難された場合のデータの流出を防止するため、ログインパスワードの設定、（Windows 10 Professional 以降の場合には）BitLockerを有効化してディスクを暗号化することを 検討

22. 記憶媒体（USB等）の取扱について ▋記憶媒体は原則利用せず、データの受渡にはOneDriveやGoogle Driveなどファイル 共有の仕組みを利用する ▋やむを得ず利用せざるを得ない現場では、台帳管理を徹底し、出所が分からないUSBや 他人のUSBはパソコンに接続しないことを心がける 媒体を紛失した場合のリスクが大きいだけでなく、接続した際のウィルス感染リスクも考 慮する

23. 使用するパソコンの留意点 ▋Windows Updateなどが適用されているか確認する ▋古いWindows Updateなど更新ができなくなったOSは利用しない ▋他人のパソコンは安易に利用しない ウィルスへの感染リスクが高まるほか、キーロガーなどがインストールされていると、入 力した内容が漏洩してしまう

24. 標的型攻撃メールにも気を付けましょう！

25. データの取扱について • クラウドにデータを保存する上での留意事項 • クラウド管理の有効性及び危険性について • 情報管理が「再委託」となるケースについて

26. クラウドにデータを保存する上での留意事項 ▋アクセス権限が適切であるか ▋保存する目的（共有、バックアップ等）を確認し、目的外のデータを保管しない ▋保存データ量の変化に気を付ける ▋サービス障害時の代替策を確立しておく 第三者に閲覧されるリスクやデータ量が増えることにより、必要以上の課金を防ぐ

27. クラウド管理の有効性及び危険性について ▋複数端末や、複数人でデータを共有するためには非常に有用 ▋同期する仕組みを活用すると自動バックアップができるので、端末故障によるデータ損失に 備えられる ▋契約時のSLAやクラウドベンダーの財務状況を把握し、突然のサービス停止の可能性を考 慮する ▋保存する国の法規制や突然のサービス停止時の代替策を確保しておく必要性がある

28. 情報管理が「再委託」となるケース ▋(クラウド)サービス提供事業 者が個人データを取扱うことに している場合が該当 出所：NTT東日本（クラソル）

29. 事故発生時に備えた対策 • 漏えい時の対応について • サイバー保険への検討

30. 情報漏えいが発生してしまったら… ▋個人情報保護委員会の案内に従って対処を行います https://www.ppc.go.jp/personalinfo/legal/leakAction/#leak_report

31. サイバー保険への加入の検討 ▋発生確率が低いものの、損害額が大きい事象については保険で対応することもご検 討ください 出所：損保ジャパン

32. ご清聴ありがとうございました