Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
身近なセキュリティについて学びましょう!
Search
Yasuhiro Matsuda
March 22, 2024
Technology
0
260
身近なセキュリティについて学びましょう!
2024/3/22に開催されました
KCGセミナー
にて登壇した内容です
Yasuhiro Matsuda
March 22, 2024
Tweet
Share
More Decks by Yasuhiro Matsuda
See All by Yasuhiro Matsuda
いしかわ暮らしセミナー~知って安心!移住とお金講座~
matyuda
0
59
AI活用ワークショップ
matyuda
0
76
AIを活用した広報と事業計画を一気に学ぶワークショップ
matyuda
0
61
AWSを活用したAIサービス開発(フルバージョン)
matyuda
0
79
AWSを活用したAIサービス開発
matyuda
0
66
マーケティング実践とデジタル活用
matyuda
0
140
カンタンAI活用術
matyuda
0
120
スタートアップ企業の支援のあり方
matyuda
0
60
利益を生まない情報セキュリティとバックアップに投資する重要性
matyuda
0
120
Other Decks in Technology
See All in Technology
サラリーマンの小遣いで作るtoCサービス - Cloudflare Workersでスケールする開発戦略
shinaps
2
450
Generative AI Japan 第一回生成AI実践研究会「AI駆動開発の現在地──ブレイクスルーの鍵を握るのはデータ領域」
shisyu_gaku
0
270
Webアプリケーションにオブザーバビリティを実装するRust入門ガイド
nwiizo
7
830
下手な強制、ダメ!絶対! 「ガードレール」を「檻」にさせない"ガバナンス"の取り方とは?
tsukaman
2
450
Firestore → Spanner 移行 を成功させた段階的移行プロセス
athug
1
480
Android Audio: Beyond Winning On It
atsushieno
0
850
Function Body Macros で、SwiftUI の View に Accessibility Identifier を自動付与する/Function Body Macros: Autogenerate accessibility identifiers for SwiftUI Views
miichan
2
180
生成AI時代のデータ基盤設計〜ペースレイヤリングで実現する高速開発と持続性〜 / Levtech Meetup_Session_2
sansan_randd
1
150
250905 大吉祥寺.pm 2025 前夜祭 「プログラミングに出会って20年、『今』が1番楽しい」
msykd
PRO
1
930
今!ソフトウェアエンジニアがハードウェアに手を出すには
mackee
12
4.8k
DroidKaigi 2025 Androidエンジニアとしてのキャリア
mhidaka
2
300
5分でカオスエンジニアリングを分かった気になろう
pandayumi
0
240
Featured
See All Featured
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.6k
Gamification - CAS2011
davidbonilla
81
5.4k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.9k
Typedesign – Prime Four
hannesfritz
42
2.8k
Why Our Code Smells
bkeepers
PRO
339
57k
Java REST API Framework Comparison - PWX 2021
mraible
33
8.8k
What’s in a name? Adding method to the madness
productmarketing
PRO
23
3.7k
Being A Developer After 40
akosma
90
590k
jQuery: Nuts, Bolts and Bling
dougneiner
64
7.9k
Faster Mobile Websites
deanohume
309
31k
Balancing Empowerment & Direction
lara
3
620
Measuring & Analyzing Core Web Vitals
bluesmoon
9
580
Transcript
身近なセキュリティについて学びましょう! 2024/03/22 松田 康宏 KCG 2024年3月定例セミナー
仕事 ▮ AWSを活用した辞書検索サービスDONGRIの インフラエンジニア(イースト株式会社) 士業資格 ▮ 情報処理安全確保支援士 ファイナンシャル・プランニング技能士2級(AFP) 中小企業診断士 主な活動
▮ JAWS-UG 金沢支部コアメンバー AWS Community Builder 中学校のPTA会長 IPA セキュリティプレゼンター 座右の銘 ▮ 一塁ベースを持って二塁に盗塁する 松田 康宏 まつだ やすひろ
JAWS-UG金沢支部での取組
AWS Community Builderとしての活動
これから国内でも普及していく可能性のあるサービス
これから国内でも普及していく可能性のあるサービス
これまでの歩み
本日持ち帰っていただきたいこと ・セキュリティの勘所を理解できるようになる ・私たちで簡単にできるセキュリティ対策について理解 できるようになる
サイバーセキュリティ月間! #サイバーセキュリティは全員参加
ご質問はSlidoでお受けします! #4155 143
サプライチェーンの弱点を悪用した攻撃が順位を上げており、企業との 取引を行っている私たちも攻撃対象になりうる 私たちにはセキュリティ対策は関係ない? 順位 2023 2024 1位 ランサムウェアによる被害 ランサムウェアによる被害 ー
2位 サプライチェーンの弱点を悪用した攻撃 サプライチェーンの弱点を悪用した攻撃 ー 3位 標的型攻撃による機密情報の窃取 内部不正による情報漏えい ↑ 4位 内部不正による情報漏えい 標的型攻撃による機密情報の窃取 ↓ 5位 テレワーク等のニューノーマルな働き方を 狙った攻撃 修正プログラムの公開前を狙う攻撃 (ゼロディ攻撃) ↑ 情報セキュリティ10大脅威 「組織」向けの脅威順位
・セキュリティ サプライチェーン攻撃を考えれば、対策は重要 情報資産は何かを特定して最低限のコストで対策を考える ・バックアップ どの情報資産をいつの時点でいつまでに復旧しなければならないか 優先順位を考えて最小限のコストで対策を考える バックアップをとっているけれど、本当に復元できるだろうか? でも、システムがお金をうまない2大要素のうちの一つ
情報セキュリティ自社診断
優先順位の付け方 リスクマネジメント 情報資産に関するリスク源(脅威・脆弱性等)とそれにより発生する事象及びその結果と しての損失を特定して、それらの起こりやすさを算定する。 偽装メールで マルウェアが 社内に侵入 端末に残留 する脆弱性を 利用し感染
感染端末を 権限を奪取し 遠隔操作 サーバへ アクセスして データを窃取 窃取した データを 社外へ流出 顧客からの 信用失墜、 業務の 一時停止 リスク源 事象 結果 リスク算定の例 ALE(年間損失見込み額)= SLE(単一損失予想)× ARO(年間発生率)
影響度 高 影響度 低 発生確率 低 発生確率 高 リスク移転 (共有)
リスク回避 リスク保有 リスク低減 (最適化) 原因を取り除くことで、 リスクの脅威を避ける リスクを受容可能なレベルまで 減らす(影響度・確率共に) リスクの結果と責任を 第三者へ移す 消極的な保有と、 積極的な保有がある リスク対応の方法 算定した結果を、あらかじめ決めたリスク基準に知らして受容・許容するか何らかのリスク 対応を適用するのかを決定する。
私たちで簡単にできるセキュリティ対策 ・リモートワークにおけるの留意点 ・パソコンの盗難防止 ・記憶媒体の取扱
リモートワークにおける留意点について (自宅や公共スペースのWi-Fiを使用しての業務等) ▋パスワードを必要としないアクセスポイント (オープンと記載があるもの)には原則接続しな い。やむを得ず接続する場合には、HTTPSに なっていない通信をしない。ログインが必要な作 業はしないことを心がける。 ・暗号化されていないことにより、通信が盗聴さ れるため
リモートワークにおける留意点について (自宅や公共スペースのWi-Fiを使用しての業務等) ▋店内にパスワードが貼りだされているアクセス ポイントや、客室共通パスワードとなっているア クセスポイントには接続しない ・アクセスポイントがなりすまされていた場合に、 通信が盗聴されるため
リモートワークにおける留意点について (自宅や公共スペースでの業務等) ▋プライバシーフィルターをつけること ▋離席時に画面をロックすること ▋データをパソコン内に保存しないこと 公共スペースでの作業は通信が盗聴されるだけでなく、画面を直接のぞき見されるこ とにも注意する必要がある
来客者に事務所のWiFiを提供することのリスク ▋ゲスト用のSSIDを準備し、来客者に開放する 同じネットワーク内に接続されてしまうことでファイル共有されたファイルを閲覧されるリ スクや、通信の漏洩、ウィルス感染するリスクにさらされるため
パソコンの盗難防止措置の必要性 ▋パソコンだけでなく、NASなどのデータを保存している端末にはチェーンロックなど盗難防止を 施すことが望ましい(機器がなくなることへの対策ではなく、データが持ち出されることへの対 策) ▋盗難された場合のデータの流出を防止するため、ログインパスワードの設定、(Windows 10 Professional 以降の場合には)BitLockerを有効化してディスクを暗号化することを 検討
記憶媒体(USB等)の取扱について ▋記憶媒体は原則利用せず、データの受渡にはOneDriveやGoogle Driveなどファイル 共有の仕組みを利用する ▋やむを得ず利用せざるを得ない現場では、台帳管理を徹底し、出所が分からないUSBや 他人のUSBはパソコンに接続しないことを心がける 媒体を紛失した場合のリスクが大きいだけでなく、接続した際のウィルス感染リスクも考 慮する
使用するパソコンの留意点 ▋Windows Updateなどが適用されているか確認する ▋古いWindows Updateなど更新ができなくなったOSは利用しない ▋他人のパソコンは安易に利用しない ウィルスへの感染リスクが高まるほか、キーロガーなどがインストールされていると、入 力した内容が漏洩してしまう
標的型攻撃メールにも気を付けましょう!
データの取扱について • クラウドにデータを保存する上での留意事項 • クラウド管理の有効性及び危険性について • 情報管理が「再委託」となるケースについて
クラウドにデータを保存する上での留意事項 ▋アクセス権限が適切であるか ▋保存する目的(共有、バックアップ等)を確認し、目的外のデータを保管しない ▋保存データ量の変化に気を付ける ▋サービス障害時の代替策を確立しておく 第三者に閲覧されるリスクやデータ量が増えることにより、必要以上の課金を防ぐ
クラウド管理の有効性及び危険性について ▋複数端末や、複数人でデータを共有するためには非常に有用 ▋同期する仕組みを活用すると自動バックアップができるので、端末故障によるデータ損失に 備えられる ▋契約時のSLAやクラウドベンダーの財務状況を把握し、突然のサービス停止の可能性を考 慮する ▋保存する国の法規制や突然のサービス停止時の代替策を確保しておく必要性がある
情報管理が「再委託」となるケース ▋(クラウド)サービス提供事業 者が個人データを取扱うことに している場合が該当 出所:NTT東日本(クラソル)
事故発生時に備えた対策 • 漏えい時の対応について • サイバー保険への検討
情報漏えいが発生してしまったら… ▋個人情報保護委員会の案内に従って対処を行います https://www.ppc.go.jp/personalinfo/legal/leakAction/#leak_report
サイバー保険への加入の検討 ▋発生確率が低いものの、損害額が大きい事象については保険で対応することもご検 討ください 出所:損保ジャパン
ご清聴ありがとうございました