Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
身近なセキュリティについて学びましょう!
Search
Yasuhiro Matsuda
March 22, 2024
Technology
0
160
身近なセキュリティについて学びましょう!
2024/3/22に開催されました
KCGセミナー
にて登壇した内容です
Yasuhiro Matsuda
March 22, 2024
Tweet
Share
More Decks by Yasuhiro Matsuda
See All by Yasuhiro Matsuda
AWSを活用したAIサービス開発(フルバージョン)
matyuda
0
27
AWSを活用したAIサービス開発
matyuda
0
22
マーケティング実践とデジタル活用
matyuda
0
52
カンタンAI活用術
matyuda
0
58
スタートアップ企業の支援のあり方
matyuda
0
35
利益を生まない情報セキュリティとバックアップに投資する重要性
matyuda
0
71
いしかわ暮らしセミナー~移住にまつわるお金の話~
matyuda
0
160
情報処理安全確保支援士の視点で考える中小企業におけるセキュリティ対策
matyuda
0
150
5年ぶりに自費で行ったre:Invent
matyuda
0
140
Other Decks in Technology
See All in Technology
宇宙ベンチャーにおける最近の情シス取り組みについて
axelmizu
0
110
re:Invent 2024 Innovation Talks(NET201)で語られた大切なこと
shotashiratori
0
300
Microsoft Azure全冠になってみた ~アレを使い倒した者が試験を制す!?~/Obtained all Microsoft Azure certifications Those who use "that" to the full will win the exam! ?
yuj1osm
1
110
KnowledgeBaseDocuments APIでベクトルインデックス管理を自動化する
iidaxs
1
250
Oracle Cloud Infrastructure:2024年12月度サービス・アップデート
oracle4engineer
PRO
0
160
C++26 エラー性動作
faithandbrave
2
690
開発生産性向上! 育成を「改善」と捉えるエンジニア育成戦略
shoota
1
230
Snykで始めるセキュリティ担当者とSREと開発者が楽になる脆弱性対応 / Getting started with Snyk Vulnerability Response
yamaguchitk333
2
180
第3回Snowflake女子会_LT登壇資料(合成データ)_Taro_CCCMK
tarotaro0129
0
180
.NET 9 のパフォーマンス改善
nenonaninu
0
560
Password-less Journey - パスキーへの移行を見据えたユーザーの準備 @ AXIES 2024
ritou
3
1.4k
あの日俺達が夢見たサーバレスアーキテクチャ/the-serverless-architecture-we-dreamed-of
tomoki10
0
420
Featured
See All Featured
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
0
94
Side Projects
sachag
452
42k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
The Cost Of JavaScript in 2023
addyosmani
45
7k
Done Done
chrislema
181
16k
RailsConf 2023
tenderlove
29
940
Automating Front-end Workflow
addyosmani
1366
200k
Making the Leap to Tech Lead
cromwellryan
133
9k
Designing on Purpose - Digital PM Summit 2013
jponch
116
7k
Imperfection Machines: The Place of Print at Facebook
scottboms
266
13k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
Transcript
身近なセキュリティについて学びましょう! 2024/03/22 松田 康宏 KCG 2024年3月定例セミナー
仕事 ▮ AWSを活用した辞書検索サービスDONGRIの インフラエンジニア(イースト株式会社) 士業資格 ▮ 情報処理安全確保支援士 ファイナンシャル・プランニング技能士2級(AFP) 中小企業診断士 主な活動
▮ JAWS-UG 金沢支部コアメンバー AWS Community Builder 中学校のPTA会長 IPA セキュリティプレゼンター 座右の銘 ▮ 一塁ベースを持って二塁に盗塁する 松田 康宏 まつだ やすひろ
JAWS-UG金沢支部での取組
AWS Community Builderとしての活動
これから国内でも普及していく可能性のあるサービス
これから国内でも普及していく可能性のあるサービス
これまでの歩み
本日持ち帰っていただきたいこと ・セキュリティの勘所を理解できるようになる ・私たちで簡単にできるセキュリティ対策について理解 できるようになる
サイバーセキュリティ月間! #サイバーセキュリティは全員参加
ご質問はSlidoでお受けします! #4155 143
サプライチェーンの弱点を悪用した攻撃が順位を上げており、企業との 取引を行っている私たちも攻撃対象になりうる 私たちにはセキュリティ対策は関係ない? 順位 2023 2024 1位 ランサムウェアによる被害 ランサムウェアによる被害 ー
2位 サプライチェーンの弱点を悪用した攻撃 サプライチェーンの弱点を悪用した攻撃 ー 3位 標的型攻撃による機密情報の窃取 内部不正による情報漏えい ↑ 4位 内部不正による情報漏えい 標的型攻撃による機密情報の窃取 ↓ 5位 テレワーク等のニューノーマルな働き方を 狙った攻撃 修正プログラムの公開前を狙う攻撃 (ゼロディ攻撃) ↑ 情報セキュリティ10大脅威 「組織」向けの脅威順位
・セキュリティ サプライチェーン攻撃を考えれば、対策は重要 情報資産は何かを特定して最低限のコストで対策を考える ・バックアップ どの情報資産をいつの時点でいつまでに復旧しなければならないか 優先順位を考えて最小限のコストで対策を考える バックアップをとっているけれど、本当に復元できるだろうか? でも、システムがお金をうまない2大要素のうちの一つ
情報セキュリティ自社診断
優先順位の付け方 リスクマネジメント 情報資産に関するリスク源(脅威・脆弱性等)とそれにより発生する事象及びその結果と しての損失を特定して、それらの起こりやすさを算定する。 偽装メールで マルウェアが 社内に侵入 端末に残留 する脆弱性を 利用し感染
感染端末を 権限を奪取し 遠隔操作 サーバへ アクセスして データを窃取 窃取した データを 社外へ流出 顧客からの 信用失墜、 業務の 一時停止 リスク源 事象 結果 リスク算定の例 ALE(年間損失見込み額)= SLE(単一損失予想)× ARO(年間発生率)
影響度 高 影響度 低 発生確率 低 発生確率 高 リスク移転 (共有)
リスク回避 リスク保有 リスク低減 (最適化) 原因を取り除くことで、 リスクの脅威を避ける リスクを受容可能なレベルまで 減らす(影響度・確率共に) リスクの結果と責任を 第三者へ移す 消極的な保有と、 積極的な保有がある リスク対応の方法 算定した結果を、あらかじめ決めたリスク基準に知らして受容・許容するか何らかのリスク 対応を適用するのかを決定する。
私たちで簡単にできるセキュリティ対策 ・リモートワークにおけるの留意点 ・パソコンの盗難防止 ・記憶媒体の取扱
リモートワークにおける留意点について (自宅や公共スペースのWi-Fiを使用しての業務等) ▋パスワードを必要としないアクセスポイント (オープンと記載があるもの)には原則接続しな い。やむを得ず接続する場合には、HTTPSに なっていない通信をしない。ログインが必要な作 業はしないことを心がける。 ・暗号化されていないことにより、通信が盗聴さ れるため
リモートワークにおける留意点について (自宅や公共スペースのWi-Fiを使用しての業務等) ▋店内にパスワードが貼りだされているアクセス ポイントや、客室共通パスワードとなっているア クセスポイントには接続しない ・アクセスポイントがなりすまされていた場合に、 通信が盗聴されるため
リモートワークにおける留意点について (自宅や公共スペースでの業務等) ▋プライバシーフィルターをつけること ▋離席時に画面をロックすること ▋データをパソコン内に保存しないこと 公共スペースでの作業は通信が盗聴されるだけでなく、画面を直接のぞき見されるこ とにも注意する必要がある
来客者に事務所のWiFiを提供することのリスク ▋ゲスト用のSSIDを準備し、来客者に開放する 同じネットワーク内に接続されてしまうことでファイル共有されたファイルを閲覧されるリ スクや、通信の漏洩、ウィルス感染するリスクにさらされるため
パソコンの盗難防止措置の必要性 ▋パソコンだけでなく、NASなどのデータを保存している端末にはチェーンロックなど盗難防止を 施すことが望ましい(機器がなくなることへの対策ではなく、データが持ち出されることへの対 策) ▋盗難された場合のデータの流出を防止するため、ログインパスワードの設定、(Windows 10 Professional 以降の場合には)BitLockerを有効化してディスクを暗号化することを 検討
記憶媒体(USB等)の取扱について ▋記憶媒体は原則利用せず、データの受渡にはOneDriveやGoogle Driveなどファイル 共有の仕組みを利用する ▋やむを得ず利用せざるを得ない現場では、台帳管理を徹底し、出所が分からないUSBや 他人のUSBはパソコンに接続しないことを心がける 媒体を紛失した場合のリスクが大きいだけでなく、接続した際のウィルス感染リスクも考 慮する
使用するパソコンの留意点 ▋Windows Updateなどが適用されているか確認する ▋古いWindows Updateなど更新ができなくなったOSは利用しない ▋他人のパソコンは安易に利用しない ウィルスへの感染リスクが高まるほか、キーロガーなどがインストールされていると、入 力した内容が漏洩してしまう
標的型攻撃メールにも気を付けましょう!
データの取扱について • クラウドにデータを保存する上での留意事項 • クラウド管理の有効性及び危険性について • 情報管理が「再委託」となるケースについて
クラウドにデータを保存する上での留意事項 ▋アクセス権限が適切であるか ▋保存する目的(共有、バックアップ等)を確認し、目的外のデータを保管しない ▋保存データ量の変化に気を付ける ▋サービス障害時の代替策を確立しておく 第三者に閲覧されるリスクやデータ量が増えることにより、必要以上の課金を防ぐ
クラウド管理の有効性及び危険性について ▋複数端末や、複数人でデータを共有するためには非常に有用 ▋同期する仕組みを活用すると自動バックアップができるので、端末故障によるデータ損失に 備えられる ▋契約時のSLAやクラウドベンダーの財務状況を把握し、突然のサービス停止の可能性を考 慮する ▋保存する国の法規制や突然のサービス停止時の代替策を確保しておく必要性がある
情報管理が「再委託」となるケース ▋(クラウド)サービス提供事業 者が個人データを取扱うことに している場合が該当 出所:NTT東日本(クラソル)
事故発生時に備えた対策 • 漏えい時の対応について • サイバー保険への検討
情報漏えいが発生してしまったら… ▋個人情報保護委員会の案内に従って対処を行います https://www.ppc.go.jp/personalinfo/legal/leakAction/#leak_report
サイバー保険への加入の検討 ▋発生確率が低いものの、損害額が大きい事象については保険で対応することもご検 討ください 出所:損保ジャパン
ご清聴ありがとうございました