Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第4回 ITパスポート社内勉強会 セキュリティ
Search
PharmaX(旧YOJO Technologies)開発チーム
December 27, 2021
Technology
0
480
第4回 ITパスポート社内勉強会 セキュリティ
第4回 ITパスポート社内勉強会の資料です。
【コーポレートサイト】
https://yojo.co.jp/
【採用情報】
https://herp.careers/v1/yojo
PharmaX(旧YOJO Technologies)開発チーム
December 27, 2021
Tweet
Share
More Decks by PharmaX(旧YOJO Technologies)開発チーム
See All by PharmaX(旧YOJO Technologies)開発チーム
AIコーディングを前提にした開発プロセス再設計〜開発生産性向上に向けた試行錯誤〜
pharma_x_tech
3
130
AIエージェントの評価・改善サイクル
pharma_x_tech
2
340
MCP & Computer Useをフル活用した社内効率化事例〜現在地と将来の展望
pharma_x_tech
1
280
AIエージェントの継続的改善のためオブザーバビリティ
pharma_x_tech
6
2k
Roo CodeとClaude Code比較してみた
pharma_x_tech
3
1.8k
Roo Codeにすべてを委ねるためのルール運用
pharma_x_tech
1
770
Cline&CursorによるAIコーディング徹底活用―Live Vibe Coding付き
pharma_x_tech
3
1.9k
Computer Use〜OpenAIとAnthropicの比較と将来の展望〜
pharma_x_tech
6
1.2k
AIコーディングの最前線 〜活用のコツと課題〜
pharma_x_tech
4
3.5k
Other Decks in Technology
See All in Technology
Amazon Q Developerを活用したアーキテクチャのリファクタリング
k1nakayama
2
220
夏休みWebアプリパフォーマンス相談室/web-app-performance-on-radio
hachi_eiji
0
260
Jamf Connect ZTNAとMDMで実現! 金融ベンチャーにおける「デバイストラスト」実例と軌跡 / Kyash Device Trust
rela1470
1
200
[kickflow]20250319_少人数チームでのAutify活用
otouhujej
0
140
意志の力が9割。アニメから学ぶAI時代のこれから。
endohizumi
1
100
Segment Anything Modelの最新動向:SAM2とその発展系
tenten0727
0
910
オブザーバビリティ文化を組織に浸透させるには / install observability culture
mackerelio
0
150
いかにして命令の入れ替わりについて心配するのをやめ、メモリモデルを 愛するようになったか(改)
nullpo_head
7
2.7k
形式手法特論:位相空間としての並行プログラミング #kernelvm / Kernel VM Study Tokyo 18th
ytaka23
3
1.5k
Infrastructure as Prompt実装記 〜Bedrock AgentCoreで作る自然言語インフラエージェント〜
yusukeshimizu
1
150
サイボウズフロントエンドの横断活動から考える AI時代にできること
mugi_uno
1
180
全員が手を動かす組織へ - 生成AIが変えるTVerの開発現場 / everyone-codes-genai-transforms-tver-development
tohae
0
230
Featured
See All Featured
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.6k
Facilitating Awesome Meetings
lara
55
6.5k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
161
15k
Gamification - CAS2011
davidbonilla
81
5.4k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.5k
Git: the NoSQL Database
bkeepers
PRO
431
65k
Why You Should Never Use an ORM
jnunemaker
PRO
58
9.5k
Code Review Best Practice
trishagee
69
19k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
Practical Orchestrator
shlominoach
190
11k
Adopting Sorbet at Scale
ufuk
77
9.5k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
46
7.6k
Transcript
ITパスポート勉強会 ~セキュリティ~
勉強会の予定 ・第1回 デジタルデータ 12/ 6 ・第2回 データベース 12/13 ・第3回 ネットワーク
12/27 ・第4回 セキュリティ 1/10 目次 ・毎週月曜日全4回
今日の予定 目次 • セキュリティマネジメント • 不正アクセス • コンピューターウイルス • 暗号化技術
セキュリティ
逆にいえば、世界中の悪い人からもアクセス可能に なったとも言えます ネットワークによって世界中の機器につながるようになりました セキュリティ 企業の持つ情報資産を守るため、情報セキュリティが重要です!
セキュリティを高めることは重要です! セキュリティ Ex) ゾンビや鍵のかかったドアがこれだけあれば侵入は防げそうですね でも、、、 この家は「生活利用できない」ですよね セキュリティが高くなればなるほど 普段の利用が大変になります!
セキュリティを考える際には、安全性と利便性のバランスが重要です セキュリティ セキュリティマネジメントの3要素 機密性 完全性 可用性 不正なアクセスをされない データを改ざんされない データを取得しやすい これらの要素のバランスを取る必要があります!
セキュリティ 問1 問2 A. イ 動作しない=使えないので可用性 情報が漏洩=他の人に見られたので機密性 誤ったデータ=データが完全でないので完全性 bの「管理規定を定めずに~」dの「全顧客の住所録 をあらかじめ預けている」が適切ではありません。
A. ウ
最近はユーザーID・パスワードでの認証+他の認証のパターンが多いですね! アクセスする人を制限するためにユーザー認証があります セキュリティ ユーザーIDとパスワードで認証する ユーザーID、パスワード バイオメトリクス認証 ワンタイムパスワード認証 コールバック認証 生体情報(指紋、声、虹彩)で認証する 短時間で更新され続けるパスワードで認証する
登録した電話番号に出ることで認証する
人のミスによる情報漏洩にも気を付ける必要があります! システムでいくらセキュリティを高めても結局使うのは人間です セキュリティ ショルダーハッキング スカベンジング 1人1人のセキュリティ意識も大切です!
不正アクセスには様々な手法があります! セキュリティ YOJOのデータベースも不正アクセスしようとしているのが確認されてます、、、 有名な不正アクセスについて解説していきます!
ブルートフォース セキュリティ パスワードを総当たりで試していく攻撃です! 0~9の10パターンが三つなので10³パターン試せば網羅できますね よくある対策としてはパスワードを何回か試すとアカウントがロックされるなどがあります!
ブルートフォースの対策としてアカウントのロックがありますが、 セキュリティ パスワードは固定で、ユーザーIDを総当たりで探します。 それを突破する手法が「リバースブルートフォース」です! これだと1アカウント当たりの失敗が1回なので攻撃を検知できません、、
SQLインジェクション セキュリティ SQL文 このようなサイトにSQL文を直接入力することで、 SQLとは? データベースにアクセスするための命令文 実行結果 不正なSQL文が作られ全ユーザーの情報が漏洩したりします、、、
DNSキャッシュポイズニング セキュリティ DNSサーバーは「https://yojo.co.jp」にアクセスされた際に、 実際のサーバーが存在するIPアドレスを探して返します このIPアドレスは短期間でころころ変わらないので、DNSサーバー が調べた際に一定期間記憶(キャッシュ)してくれます。 IPアドレスのキャッシュを改ざんし、間違ったIPアドレスにユーザー を誘導することをDNSキャッシュポイズニングといいます!
セキュリティ 問1 問2 問3 A. ア A. ア A. エ
セキュリティ コンピューターウイルスとは? ウイルスのような性質を持つプログラムです! 自己伝染 潜伏 発病 自分をコピーして他のPCに感染する 感染後しばらくはおとなしくする PCを破壊したり、情報を盗む 入り込んで、潜伏しながら増殖し、発病して別の場所に入り込む
まさにウイルスの動きですね!
セキュリティ ウイルスに対して、「予防」「検査」「修復」を行ってくれるのがウイルス対策ソフトです! これらはPCに入ってくるデータを事前に検査し、 ウイルスかどうかをチェックしてくれます!
セキュリティ 既知のウイルスの場合 ウイルスの検出方法には2つあります! これらによってウイルス対策ソフトはPCを守ってくれます! 未知のウイルスの場合 ウイルス定義ファイルによって検出します ビヘイビア法によって検出します ビヘイビア(behavior)= 振る舞い 既知のウイルスなので、定義ファイルと
一致したら削除します プログラムの挙動を見てウイルスを検出 します。
セキュリティ 問1 問2 A. エ A. ア ファイルを開いたことが原因なので外部から の直接攻撃ではなく、文書ファイルにウイル スが潜んでいたということですね!
感染経路はUSBメモリなどの外部記憶装置や メールやwebサイトからのファイルダウン ロードが考えられます! また、感染したPCはネットワークに接続しな いようにしましょう!
セキュリティ 前回ネットワークはパケットでのやりとりをしているといいました! そこで、データは見られてもいい形に暗号化します! パケットは複数のネットワークを経由してバケツリレーのように運んでいるため、 途中で盗み見られる危険性があります、、、 この図のように共通した「鍵」で暗号化し、 送った先で復号する方式を「共通鍵方式」と いいます!
セキュリティ さっきの共通鍵暗号方式には難点があります これを解決するのが「公開鍵暗号方式」です! 鍵はそもそもどうやって安全に通信相手に配るのでしょう? 2種類の鍵を用意します 公開鍵 ・配布用 秘密鍵 ・自分用 公開鍵で暗号化したデータは秘密鍵のみで復号できます
・暗号化用 ・復号用 公開鍵が漏洩してもデータを見ることはできません! 自分宛てのデータは自分の公開鍵を配って暗号化してもらいます
セキュリティ 公開鍵暗号方式を応用すると、データの機密性・完全性が保証できます! その人から送られたデータが、その人の公開鍵で復号出来た その人の公開鍵で復号できるのは、その人の秘密鍵で暗号化された証拠なので、 その人から送られてきたことが保証されます!
セキュリティ データを送る際には送信者の秘密鍵で暗号された「デジタル署名」を添付します! デジタル署名 送るデータを変換(ハッシュ化)し、秘密鍵 で暗号化したもの 受信者は送られたデータをハッシュ化し、公 開鍵で復号したデジタル署名と比較します! 送られたデータが改ざんされていないか、誰から送られたかを証明することができますね!
セキュリティ 今までは鍵によってデータの安全性が保証されるという話でした 鍵自体が本当に正しいかどうかは認証局が管理しています! 認証局(CA)が公開鍵の正当性を保証するための デジタル証明書を発行してくれます!
セキュリティ 問1 問2 A. ウ A. ア 公開鍵方式は秘密鍵と公開鍵のセットで成り 立っています。 認証局の役割は鍵の正当性(送信者)を保証
することです。
セキュリティ ITパスポート勉強会は以上になります! 勉強会にお付き合いいただきありがとうございました!!
.png){kind=icon}
.png){kind=icon}
.png){kind=icon}
pharma_x_tech
k1nakayama
hachi_eiji
rela1470
otouhujej
endohizumi
tenten0727
mackerelio
nullpo_head
ytaka23
yusukeshimizu
mugi_uno
tohae
reverentgeek
lara
sstephenson
davidbonilla
marktimemedia
bkeepers
jnunemaker
trishagee
chrisshort
shlominoach
ufuk
eileencodes
