Slide 1
Slide 1 text
身近なセキュリティについて学びましょう!
2024/03/22 松田 康宏
KCG 2024年3月定例セミナー
Slide 2
Slide 2 text
仕事 ▮
AWSを活用した辞書検索サービスDONGRIの
インフラエンジニア(イースト株式会社)
士業資格 ▮
情報処理安全確保支援士
ファイナンシャル・プランニング技能士2級(AFP)
中小企業診断士
主な活動 ▮
JAWS-UG 金沢支部コアメンバー
AWS Community Builder
中学校のPTA会長
IPA セキュリティプレゼンター
座右の銘 ▮
一塁ベースを持って二塁に盗塁する
松田 康宏
まつだ やすひろ
Slide 3
Slide 3 text
JAWS-UG金沢支部での取組
Slide 4
Slide 4 text
AWS Community Builderとしての活動
Slide 5
Slide 5 text
これから国内でも普及していく可能性のあるサービス
Slide 6
Slide 6 text
これから国内でも普及していく可能性のあるサービス
Slide 7
Slide 7 text
これまでの歩み
Slide 8
Slide 8 text
本日持ち帰っていただきたいこと
・セキュリティの勘所を理解できるようになる
・私たちで簡単にできるセキュリティ対策について理解
できるようになる
Slide 9
Slide 9 text
サイバーセキュリティ月間!
#サイバーセキュリティは全員参加
Slide 10
Slide 10 text
ご質問はSlidoでお受けします!
#4155 143
Slide 11
Slide 11 text
サプライチェーンの弱点を悪用した攻撃が順位を上げており、企業との
取引を行っている私たちも攻撃対象になりうる
私たちにはセキュリティ対策は関係ない?
順位 2023 2024
1位 ランサムウェアによる被害 ランサムウェアによる被害 ー
2位 サプライチェーンの弱点を悪用した攻撃 サプライチェーンの弱点を悪用した攻撃 ー
3位 標的型攻撃による機密情報の窃取 内部不正による情報漏えい ↑
4位 内部不正による情報漏えい 標的型攻撃による機密情報の窃取 ↓
5位 テレワーク等のニューノーマルな働き方を
狙った攻撃
修正プログラムの公開前を狙う攻撃
(ゼロディ攻撃)
↑
情報セキュリティ10大脅威 「組織」向けの脅威順位
Slide 12
Slide 12 text
・セキュリティ
サプライチェーン攻撃を考えれば、対策は重要
情報資産は何かを特定して最低限のコストで対策を考える
・バックアップ
どの情報資産をいつの時点でいつまでに復旧しなければならないか
優先順位を考えて最小限のコストで対策を考える
バックアップをとっているけれど、本当に復元できるだろうか?
でも、システムがお金をうまない2大要素のうちの一つ
Slide 13
Slide 13 text
情報セキュリティ自社診断
Slide 14
Slide 14 text
優先順位の付け方
リスクマネジメント
情報資産に関するリスク源(脅威・脆弱性等)とそれにより発生する事象及びその結果と
しての損失を特定して、それらの起こりやすさを算定する。
偽装メールで
マルウェアが
社内に侵入
端末に残留
する脆弱性を
利用し感染
感染端末を
権限を奪取し
遠隔操作
サーバへ
アクセスして
データを窃取
窃取した
データを
社外へ流出
顧客からの
信用失墜、
業務の
一時停止
リスク源 事象 結果
リスク算定の例
ALE(年間損失見込み額)= SLE(単一損失予想)× ARO(年間発生率)
Slide 15
Slide 15 text
影響度 高
影響度 低
発生確率 低 発生確率 高
リスク移転
(共有) リスク回避
リスク保有
リスク低減
(最適化)
原因を取り除くことで、
リスクの脅威を避ける
リスクを受容可能なレベルまで
減らす(影響度・確率共に)
リスクの結果と責任を
第三者へ移す
消極的な保有と、
積極的な保有がある
リスク対応の方法
算定した結果を、あらかじめ決めたリスク基準に知らして受容・許容するか何らかのリスク
対応を適用するのかを決定する。
Slide 16
Slide 16 text
私たちで簡単にできるセキュリティ対策
・リモートワークにおけるの留意点
・パソコンの盗難防止
・記憶媒体の取扱
Slide 17
Slide 17 text
リモートワークにおける留意点について
(自宅や公共スペースのWi-Fiを使用しての業務等)
▋パスワードを必要としないアクセスポイント
(オープンと記載があるもの)には原則接続しな
い。やむを得ず接続する場合には、HTTPSに
なっていない通信をしない。ログインが必要な作
業はしないことを心がける。
・暗号化されていないことにより、通信が盗聴さ
れるため
Slide 18
Slide 18 text
リモートワークにおける留意点について
(自宅や公共スペースのWi-Fiを使用しての業務等)
▋店内にパスワードが貼りだされているアクセス
ポイントや、客室共通パスワードとなっているア
クセスポイントには接続しない
・アクセスポイントがなりすまされていた場合に、
通信が盗聴されるため
Slide 19
Slide 19 text
リモートワークにおける留意点について
(自宅や公共スペースでの業務等)
▋プライバシーフィルターをつけること
▋離席時に画面をロックすること
▋データをパソコン内に保存しないこと
公共スペースでの作業は通信が盗聴されるだけでなく、画面を直接のぞき見されるこ
とにも注意する必要がある
Slide 20
Slide 20 text
来客者に事務所のWiFiを提供することのリスク
▋ゲスト用のSSIDを準備し、来客者に開放する
同じネットワーク内に接続されてしまうことでファイル共有されたファイルを閲覧されるリ
スクや、通信の漏洩、ウィルス感染するリスクにさらされるため
Slide 21
Slide 21 text
パソコンの盗難防止措置の必要性
▋パソコンだけでなく、NASなどのデータを保存している端末にはチェーンロックなど盗難防止を
施すことが望ましい(機器がなくなることへの対策ではなく、データが持ち出されることへの対
策)
▋盗難された場合のデータの流出を防止するため、ログインパスワードの設定、(Windows
10 Professional 以降の場合には)BitLockerを有効化してディスクを暗号化することを
検討
Slide 22
Slide 22 text
記憶媒体(USB等)の取扱について
▋記憶媒体は原則利用せず、データの受渡にはOneDriveやGoogle Driveなどファイル
共有の仕組みを利用する
▋やむを得ず利用せざるを得ない現場では、台帳管理を徹底し、出所が分からないUSBや
他人のUSBはパソコンに接続しないことを心がける
媒体を紛失した場合のリスクが大きいだけでなく、接続した際のウィルス感染リスクも考
慮する
Slide 23
Slide 23 text
使用するパソコンの留意点
▋Windows Updateなどが適用されているか確認する
▋古いWindows Updateなど更新ができなくなったOSは利用しない
▋他人のパソコンは安易に利用しない
ウィルスへの感染リスクが高まるほか、キーロガーなどがインストールされていると、入
力した内容が漏洩してしまう
Slide 24
Slide 24 text
標的型攻撃メールにも気を付けましょう!
Slide 25
Slide 25 text
データの取扱について
• クラウドにデータを保存する上での留意事項
• クラウド管理の有効性及び危険性について
• 情報管理が「再委託」となるケースについて
Slide 26
Slide 26 text
クラウドにデータを保存する上での留意事項
▋アクセス権限が適切であるか
▋保存する目的(共有、バックアップ等)を確認し、目的外のデータを保管しない
▋保存データ量の変化に気を付ける
▋サービス障害時の代替策を確立しておく
第三者に閲覧されるリスクやデータ量が増えることにより、必要以上の課金を防ぐ
Slide 27
Slide 27 text
クラウド管理の有効性及び危険性について
▋複数端末や、複数人でデータを共有するためには非常に有用
▋同期する仕組みを活用すると自動バックアップができるので、端末故障によるデータ損失に
備えられる
▋契約時のSLAやクラウドベンダーの財務状況を把握し、突然のサービス停止の可能性を考
慮する
▋保存する国の法規制や突然のサービス停止時の代替策を確保しておく必要性がある
Slide 28
Slide 28 text
情報管理が「再委託」となるケース
▋(クラウド)サービス提供事業
者が個人データを取扱うことに
している場合が該当
出所:NTT東日本(クラソル)
Slide 29
Slide 29 text
事故発生時に備えた対策
• 漏えい時の対応について
• サイバー保険への検討
Slide 30
Slide 30 text
情報漏えいが発生してしまったら…
▋個人情報保護委員会の案内に従って対処を行います
https://www.ppc.go.jp/personalinfo/legal/leakAction/#leak_report
Slide 31
Slide 31 text
サイバー保険への加入の検討
▋発生確率が低いものの、損害額が大きい事象については保険で対応することもご検
討ください
出所:損保ジャパン
Slide 32
Slide 32 text
ご清聴ありがとうございました