Security College for Youth

Transcript

1. Security College for Youth 情報セキュリティ勉強会のご案内

2. 情報セキュリティの実務を身につけたい！ スキル しかし、どのように？

3. テクノロジーは増え続けているし…

4. 公布年度 施行年度 法律名の通称 1998 1998 電子帳簿保存法 1999 2000 不正アクセス禁止法 2000

   2001 IT基本法 2000 2001 電子署名法 2001 2002 プロバイダ責任制限法 2002 2002 迷惑メール防止法 2003 2005 個人情報保護法 2004 2005 e-文書法 2013 2015 マイナンバー法 2013 2013 不正アクセス禁止法(改正) 2014 2014 サイバーセキュリティ基本法 2015 2017 個人情報保護法(改正) ２０１７ 2020 民法改正(改正民法債権編) 2019 2020？ 仮想通貨に係る改正資金決済法 法律もどんどん変わっていくし… 1992年 アフター インターネット 2020年 アフター コロナ 120年ぶり システム請負契約で 訴訟が続発？

5. 施行年度 国・組織 通称 2015 ロシア 連邦法 242FZ 2017 日本 個人情報保護法(改正)

   2017 中国 網絡安全法 2018 EEA(EU+α) GDPR 2018 イギリス GDPRを支持 2019 ロシア 連邦法 90FZ 2020 ブラジル LGPD(2021年に延期) 2020 カリフォルニア CCPA 審議中 インド PDPB 国家で情報を囲い込むタイプ 流通(売り買い)の制度を厳しくするタイプなど、国・組織によってさまざま 個人情報の取り扱いに関する法律 世界的に変わっているし…

6. 脆弱性(穴)は毎年発見されるし… 公表日 名称 脆弱性の対象 CVE番号 2014/04 Heartbleed OpenSSL CVE-2014-0160 2014/09

   ShellShock GNU bash CVE-2014-6271 2014/10 POODLE SSLv3 CVE-2014-3566 2015/01 GHOST glibc CVE-2015-0235 2015/03 FREAK SSL/TLS CVE-2015-0204 2015/05 VENOM QEMU CVE-2015-3456 2015/05 Logjam TLS CVE-2015-1716 2015/05 Thunderstrike2 Mac Thunderbolt CVE-2015-3692 2016/03 CacheBleed SSL/TLS CVE-2016-0702 2016/05 ImageTragick ImageMagick CVE-2016-3714 2017/10 KRACKs WPA2 CVE-2017-13077 2017/11 I am root macOS CVE-2017-13872 2018/01 Meltdown Intel CPU CVE-2017-5754 2018/03 Drupalgeddon 2.0 Drupal CVE-2018-7600 2018/01 Spectre Intel CPU CVE-2017-5753 2019/05 ZombieLoad Intel CPU CVE-2018-12130 余談: CCS Injection脆弱性(CVE-2014-0224)発見の経緯：レピダム https://lepidum.co.jp/blog/2014-06-05/CCS-Injection/ クレジットカード番号 パスワード窃取の危機 クラウド・ホスティング サービスって本当に安全？ 対策に追われて 徹夜もありえる

7. 情報セキュリティ? 何を護らなければならないでしょうか？ リスク分 析 攻撃 手法 暗号 認証 国際標 準

   国内の ガイドラ イン CSIRT 通信制 御 データ ベース ITガバナ ンス プロジェ クトマネ ジメント 企業活 動 法規 情報 セキュリティ 個人情報？ プライバシー？ プロジェクトの納期？ 認証情報？ Webページ改ざん？ クレジットカード情報？ 爆破予告？ テロリスト？ SNSの炎上？ 自然災害？ 雷？ 洪水？ 秘密にしておきたい 0点の試験結果？ 家族・恋人との会話(LINE)？ 護りたいものはありますか？ 護るためには…? ありとあらゆることが必要…？ 「学び続ける」しかないのか…? 複雑系科学の様相？

8. 中期的な展望 今を生きる僕たちはどうすれば…？

9. 平成28年 サイバーセキュリティ人材育成総合強化方針 （１）「経営層」の意識改革 （２）「橋渡し人材層」の育成 情報セキュリティの素養を身に着けた経営者を目指す？ 経営者と実務者層のギャップを埋める？ 実務者層が橋渡しのスキルを身に着ける？

10. ゆるぎない事実 次の時代を紡ぐ若い力が必要！！！！！ 橋渡し人材 教育機関(ac.jp) 政府機関(go.jp) 企業(co.jp, ne.jp, ad.jp 等) 高度専門人材

    コミット！ コミット！ コミット！

11. ID タイトル 難易度 Day１ 自分のPCでLinuxを使えるようにしてみよう ☆ Day２ webサーバ不正アクセスの調査(Linux基礎編) ☆ Day３

    初めてのプログラム脆弱性体験(コードインジェクション) ☆☆ Day４ プログラム脆弱性体験(個人情報流出事故) ☆☆☆ Day５ DDoSから自分のblogを守る ☆☆☆ Day ６ 悪質なデバイス(改造USB)との闘い ☆☆☆ Day ７ セキュリティをゲーム感覚で学べる競技(MicroHardening) ☆☆☆☆☆ Virtualbox インストール ログ分析の体験 ハッキングの痕跡を探す 2017年に発生した クレジットカード流出事故追体験 悪質なUSBからシステムを守る 第1回目 8月29日(土) 8月中旬 募集予定 Security College for Youth (SC4Y) @ravicot ※ 開発中のものにつき、実際とは異なる場合があります

12. ID タイトル 難易度 Day１ 自分のPCでLinuxを使えるようにしてみよう ☆ Day２ webサーバ不正アクセスの調査(Linux基礎編) ☆ Day３

    初めてのプログラム脆弱性体験(コードインジェクション) ☆☆ Day４ プログラム脆弱性体験(個人情報流出事故) ☆☆☆ Day５ DDoSから自分のblogを守る ☆☆☆ Day ６ 悪質なデバイス(改造USB)との闘い ☆☆☆ Day ７ セキュリティをゲーム感覚で学べる競技(MicroHardening) ☆☆☆☆☆ Virtualbox インストール ログ分析の体験 ハッキングの痕跡を探す 2017年に発生した クレジットカード流出事故追体験 第1回目 8月29日(土) 8月中旬 募集予定 @ravicot ※ 開発中のものにつき、実際とは異なる場合があります THANKS!! Security College for Youth (SC4Y)