SlideShare a Scribd company logo

セキュリティ管理 入門セミナ

Masaaki Nabeshima
Masaaki Nabeshima

セキュリティ管理の真常識

Technology
1 of 38
Download to read offline
セキュリティ管理 入門セミナ ~セキュリティ管理の真常識~ Masaaki NABESHIMA Jan 21, 2021 Copyright (c) kosho.org 1 V1.1
◼ 資格 • ISC2 CISSP (Certified Information Systems Security Professional) • 経産省 情報処理安全確保支援士 (RISS) ◼ 監訳 • 実践ネットワークセキュリティ監査―リスク評価と危機管理 ◼ セキュリティ関連の仕事 • 1996, NTTアメリカ, Internet Security講演 • 2005, NVC(技術商社), セキュリティビジネス立ち上げ • 2015, ソフトバンクモバイル, SOC(Security Operation Center)立ち上げ Copyright (c) kosho.org 2 自己紹介
◼ セキュリティ管理 • 先人の努力により体系化されています • セキュリティ管理のフレームワーク • 例:ISMS (情報セキュリティマネジメントシステム) • セキュリティ管理プロフェッショナルのための基本知識集 • 例:CISSP CBK • 考えるな学べ(学んでから考えろ)! • 素人がセキュリティ管理を考えても「漏れ・無駄」が必ず出る • 車輪の再発明(確立されているものを再度発明する努力をする) • 一般人は「凸凹な車輪」しか発明できない(発明は困難) • フレームワークの(組織への)最適化には「考えること」が必要 Copyright (c) kosho.org 3 はじめに
◼ ISMS (Information Security Management System) • 情報セキュリティマネジメントシステム • ISO/IEC 27000、JIS Q 27000 • 情報セキュリティ管理のフレームワーク • 認定機関あり • 組織がISMSに則ってセキュリティ管理しているか? • 国内認定組織:6,000程度 • フレームワークの構成 • 13大分類、34中分類、114管理策 • 各管理策には以下を含む • 実施の手引き、関連情報 Copyright (c) kosho.org 4 セキュリティ体系の例
Copyright (c) kosho.org 5 セキュリティ体系の例:ISMS 大分類 中分類 情報セキュリティのための組織 内部組織、モバイル機器及びテレワーキング 人的資源のセキュリティ 雇用前、雇用期間中、雇用の終了及び変更 資産の管理 資産に対する責任、情報分類、媒体の取扱い アクセス制御 アクセス制御に対する業務上の要求事項、利用者アクセスの管理、利用者の責任、システム及びア プリケーションのアクセス制御 暗号 暗号による管理策 物理的及び環境的セキュリティ セキュリティを保つべき領域、装置 運用のセキュリティ 運用の手順及び責任、マルウェアからの保護、バックアップ、ログ取得及び監視、運用ソフトウェ アの管理、技術的ぜい弱性管理、情報システムの監査に対する考慮事項 通信のセキュリティ ネットワークセキュリティ管理、情報の転送 システムの取得,開発及び保守 情報システムのセキュリティ要求事項、開発及びサポートプロセスにおけるセキュリティ、試験 データ 供給者関係 供給者関係における情報セキュリティ、供給者のサービス提供の管理 情報セキュリティインシデント管理 情報セキュリティインシデントの管理及びその改善 事業継続マネジメントにおける情報 セキュリティの側面 情報セキュリティ継続、冗長性 順守 法的及び契約上の要求事項の順守、情報セキュリティのレビュー
◼ CISSP (Certified Information Systems Security Professional) • 情報セキュリティ・プロフェッショナル認定資格 • 認定: (ISC)² (International Information Systems Security Certification Consortium) • 取得者数 • グローバル:141,607人 国内:2,758人 • 補足 • 情報処理安全確保支援士:経験のあるエンジニアなら合格する • CISSP:セキュリティ教育を受けないと合格しない • 情報処理安全確保支援士レベルの受験者が40時間のセミナを 受け60時間程度自己学習すれば合格する • 試験範囲:CBK/Common Body of Knowledge • 情報セキュリティに関する知識分野 • ISMS+詳細(管理、技術) Copyright (c) kosho.org 6 セキュリティ体系の例
Copyright (c) kosho.org 7 セキュリティ体系の例:CISSP CBK 分野 項目 セキュリティとリスクマネジメント 機密性・完全性・可用性の概念の理解と適用、セキュリティガバナンスの原則の適用、コンプライアン ス、ガバナンス、リスクマネジメント 、コンプライアンス要件 、人的セキュリティ、事業継続管理 資産のセキュリティ 情報と資産、資産のライフサイクル、資産のオーナーシップ、プライバシー保護、資産の保有、データ セキュリティ、取り扱い要件 セキュリティアーキテクチャと エンジニアリング セキュリティアーキテクチャの原則 、セキュリティモデル、システムセキュリティ要件 、情報システ ムのセキュリティ機能 、セキュリティアーキテクチャにおける脆弱性、暗号、物理的セキュリティ 通信とネットワークのセキュリティ ネットワーク設計、サービスにおける考慮事項、セキュアネットワークの要素、セキュアネットワーク チャネルの設計 アイデンティティとアクセスの管理 資産への物理的・論理的アクセス、プロビジョニングとライフサイクル、人、デバイス、サービスの識 別と認証、ID 管理の実装、認可の仕組みの実装と管理 セキュリティの評価とテスト 評価、テスト、監査の戦略、セキュリティ管理策のテスト 、セキュリティプロセスデータ、テストの 報告とレポートの作成、セキュリティ監査 セキュリティの運用 セキュリティ運用、セキュアなプロビジョニングリソース、リソース保護の技術、検知と予防、インシ デント管理、調査、ログの取得とモニタリング、復旧戦略、事業計画と訓練、人命の安全 ソフトウェア開発セキュリティ ソフトウェア開発ライフサイクル、セキュアコード、開発環境、ソフトウェアセキュリティ
◼ セキュリティ管理 • きちんとやる(プロになる)には広範囲な知識が要求される ◼ セミナの目的 × セキュリティのプロになる教育 〇 セキュリティ管理について正しいベース常識を習得 • セキュリティのプロに相談するときの基本用語 • セキュリティの規格書を読むための基礎知識 Copyright (c) kosho.org 8 セミナの目的
◼ セキュリティ管理の3要素 • 機密性、完全性、可用性 ◼ リスクの基本概念 • リスク、脅威、脆弱性、インシ デント ◼ リスク対策の分類 • 管理的、技術的、物理的 • 事前対策(指示、防止、検知)、 事後対策(修正、回復) • 階層防御 Copyright (c) kosho.org 9 セミナ内容 ◼ 対策のポリシー • フェイルセキュア • フェイルセーフ ◼ リスク対応(判定) • 低減、受容、移転、回避 ◼ リスクアセスメント • 準備 • 実施(特定、分析、評価) • 定性分析、定量分析 • 通知 • 保守 ◼ インシデントレスポンス • トリアージ、初動、復旧
◼ 「セキュリティ」とは? • 情報セキュリティの(守るべき)3要素:CIA ◼ 「リスク(脅威)」とは? • 上記3要素を脅かすこと • 機密性⇒漏洩 • 完全性⇒不整合 • 可用性⇒使用不可 Copyright (c) kosho.org 10 セキュリティ管理とは 概要 機密性 (Confidentially) 認可されていないものに対し情報を使用不 可・非公開にする 完全性 (Integrity) 資産の正確さ及び完全さを保護する 可用性 (Availability) 要求したときに使用可能とする
◼ 3要素、リスク、脅威 ◼ 脅威の分類 Copyright (c) kosho.org 11 セキュリティとリスク(脅威) 3要素 リスク 脅威(例) 機密性 情報が外部に漏れる 盗難、紛失、権限設定ミス 完全性 情報が間違っている 意図的な不正操作、偶発的な不正操作 権限のない操作、外部データとの不整合 システムの欠陥 可用性 情報が使えない サービス妨害、故障、設定ミス、災害 大分類 中分類 補足 人為的脅威 意図的脅威 攻撃 偶発的脅威 ミス(人間)、欠陥(システム) 環境的脅威 災害
◼ 補足:意図的脅威(攻撃)のSTRIDE • ストライド(大股で歩く) Copyright (c) kosho.org 12 セキュリティとリスク(脅威) 攻撃の分類 補足 Spoofing (スプーフィング) 他のユーザへのなりすまし Tampering(タンパリング) 情報の改ざん Repudiation (レピューディエイション) 否認(行ったことを否定) Information disclosure (ディスクロージャー) 情報の漏えい Denial of service (DoS) サービス妨害 Elevation of privilege (エレベーション) 権限昇格、特権取得
◼ 基本用語 • ※1 • 脅威源(脅威の原因):ノートPC • 脅威事象(脅威の発生状況):紛失 • ※2 • 素因的条件:脆弱性に対する組織等の状況 • 例:日本は電車移動が基本であるため、米国よりもノートPCの紛失が起こ りやすい Copyright (c) kosho.org 13 基本用語 用語 意味 例 リスク (悪い結果が起こる)可能性 情報漏洩 脅威※1 (悪い結果を引き起こす)具体的事象 ノートPCの紛失 脆弱性※2 脅威を発生させる欠点・欠陥 ノートPCは持ち運びが簡単 インシデント セキュリティ事故 AがXX月XX日にノートPCを紛失した
◼ 手法 • (人員)管理的、技術的、物理的 ◼ リスク対策 • 事前 • 指示 (Directive):指示や教育 • 防止 (Preventive):リスクの防止処理 • 検知 (Detective):インシデントの発見 • 事後 • 修正 (Corrective):損失の軽減 • 回復 (Recovery):状態の回復 • 補正 (Compensating) :埋め合わせ対策・複数対策 ◼ ポリシー • フェイルセーフ、フェイルセキュア Copyright (c) kosho.org 14 対策の分類
◼ 分類 Copyright (c) kosho.org 15 対策の分類 管理的 技術的 物理的 事前 指示 標語、ポスター 警告表示 表示(立入禁止) 防止 職務規定 パスワード フェンス 検知 監査 監査ログ 監視カメラ 事後 修正 降格(権限はく奪) システム停止 消化設備、ガードマン 回復 人員補充 バックアップ 再建設 補正 階層防御(管理的) 階層防御(技術的) 階層防御(物理的)
◼ 概要 • 複数の対策を階層的に組み合わせる ◼ 背景 • 完璧な対策は無い(攻撃、管理ミス) • 99%のゆるい対策(100日に1回発生) • 2つ組み合わせると99.99%(2.7年に1回) • 3つ組み合わせると99.9999%(274年に1回) • 時間稼ぎ • 最初の対策が破られる⇒アラーム生成、対策検討 • 補足 • 階層防御はアラーム管理が必須 Copyright (c) kosho.org 16 階層防御
◼ システムアクセス ◼ オフィス Copyright (c) kosho.org 17 階層防御:例 階層防御 例 実験 1重以上 パスワード制限 商用 2重以上 パスワード制限+アクセス元IP 機密情報 3重以上 パスワード制限+アクセス元IP+シンクライアント 階層防御 例 一般業務 1重以上 カードキー 人事業務 2重以上 カードキー+特別室 顧客データ業務 3重以上 カードキー+特別室+生体認証
◼ 対策が失敗(フェイル)した時の状況 • 例:電気鍵⇒停電した場合どうするか? • 開錠:フェイルセーフ(人命優先) • 施錠:フェイルセキュア(セキュリティ優先) ◼ フェイルセーフとフェイルセキュア Copyright (c) kosho.org 18 対策のポリシー フェイルセーフ フェイルセキュア 概要 安全側に制御 セキュリティ確保に制御 人命優先、システム運用継続優先 セキュリティファースト(優先) 3要素 可用性>機密性・完全性 機密性・完全性>可用性 主な対策 物理セキュリティ(人命優先) 管理、技術セキュリティ 主なターゲット 人命に関するもの 機密情報
◼ ポリシー決定 • フェイルセーフかフェイルセキュアか? • アセスメント(評価)が必要 • 比較(どちらが大きいか?) • リスクの(悪)影響 • 対策の(悪)影響 • 分析 • 定性、定量、ハイブリッド Copyright (c) kosho.org 19 対策のポリシーと分析
◼ リスク分析(発生可能性と影響) • 一般的なハイブリッド分析 • フェイズ1(洗い出し、スコーピング) • すべてに対し定性的分析を行う • フェイズ2(詳細化、テラーリング) • 重要なポイントだけ定量的分析を行う Copyright (c) kosho.org 20 分析 概要 実行 補足 定性的 ランク付け(大中小) 容易 アンケート、インタビュー、 デルファイ法 定量的 金額への換算 困難 損失予測 ハイブリッド 定性的と定量的を両方行う※1 中間 一番ポピュラー
◼ リスク対応 Copyright (c) kosho.org 21 リスク評価 低減 (Mitigation) 移転 (Transfer) 回避 (Avoidance) 受容 (Acceptance) 概要 リスクを低減させる (低減策を取る) リスクを第3者に移 転する リスクを完全に排 除する リスクを受け入れる (何もしない) リスクの種類 一般リスク 限定的リスク 重大リスク リスクが小さい 対策の影響が大きい 対策例 各種ソリューション 保険、アウトソー ス 機器の使用禁止 補足 一般的なセキュリ ティ対策 損失への内部留保 も含む サービス・事業の 停止も考慮に入れ る 「リスクの放置」で あり最も高レベルの 決済が必要(例:本部 長等)
◼ 目的 • リスクの管理 ◼ 基本手順 • リスク特定 • リスク分析 • リスク評価 ◼ フレームワーク • 米国国立標準技術研究所 • NIST SP 800 30 Copyright (c) kosho.org 22 リスクアセスメント ◼ 手順 (NIST SP 800 30) 1. リスクアセスメントの準備 2. リスクアセスメントの実施 2.1 脅威源と脅威事象の特定 2.2 脆弱性と素因的条件の特定 2.3 発生の可能性の特定 2.4 影響の大きさの特定 2.5 リスクの判断 3. リスクアセスメント結果の伝達 4. リスクアセスメントの保守
◼ 手順 Copyright (c) kosho.org 23 リスクアセスメントの準備 手順 NIST SP 800 30 補足 1 目的を特定 アセスメントの目的を特定 2 適用範囲を特定 アセスメントの適用範囲を特定 3 具体化と制限付けに より範囲を狭める アセスメントに関連する想定と制 限を特定 4 参照すべき文献(デー タベース)を指定 アセスメントへの入力データとし て使用する情報の情報源を特定 内部データ、外部デー タ(脆弱性リスト等) 5 アプローチの指定 アセスメント時に使用すべきアセ スメントアプロ ーチと分析アプ ローチを特定 一般企業の場合、厳密 な指定はまれ
◼ 例 Copyright (c) kosho.org 24 リスクアセスメントの準備 手順 内容 目的 新規にリモートワークを開始する 範囲 自宅での作業によるリスク 具体化と制限付け 業務は支給PCで行う(持ち帰り)、VPNで接続 参照文献 ISMS (27002) アプローチの指定 ハイブリッド(全体的に定性分析 、重要なものは定量分析)
◼ 管理策 モバイル機器を用いることによって生じるリスクを管理するために,方針及びその方針 を支援するセキュリティ対策を採用することが望ましい。 ◼ 実施の手引き モバイル機器を用いる場合,業務情報が危険にさらされないことを確実にするために, 特別な注意を払うことが望ましい。… ◼ 関連情報 モバイル機器の無線接続は,ネットワーク接続の他のタイプと類似しているが,管理策 を特定するときに考慮することが望ましい重要な違いがある。 Copyright (c) kosho.org 25 リスクアセスメントの準備(ISMSモバイル機器)
◼ 管理策 テレワーキングの場所でアクセス,処理及び保存される情報を保護するために, 方針及びその方針を支援するセキュリティ対策を実施することが望ましい。 ◼ 実施の手引き テレワーキング活動を許可する組織は,テレワーキングを行う場合の条件及び制限を定 めた方針を発行することが望ましい。… ◼ 関連情報 テレワーキングとは,オフィス以外で行うあらゆる作業形態をいう。… Copyright (c) kosho.org 26 リスクアセスメントの準備(ISMSテレワーキング)
◼ 手順 Copyright (c) kosho.org 27 リスクアセスメントの実施 手順 NIST SP 800 30 1 特定 脅威の特定 脅威源と脅威事象の特定 2 脆弱性の特定 脆弱性と素因的条件の特定 3 分析 発生の可能性の分析 発生の可能性の特定 4 影響の大きさの分析 影響の大きさの特定 5 評価 対策の検討 リスクの評価 リスクの判断
◼ 脅威の特定 ◼ 脆弱性の特定 • 業務情報の漏洩:ノートPC紛失、ノートPC盗難、家族の覗き見、印 刷物の紛失、ウィルス感染 • 業務情報の改ざん:… • 社内サーバへのアクセス:… • 社員の労働生産性:… Copyright (c) kosho.org 28 リスクアセスメントの実施(例) 3要素 対応する脅威 機密性 業務情報の漏洩 完全性 業務情報の改ざん 可用性 社内サーバへのアクセス(VPNの可用性) 社員の労働生産性(怠慢)
◼ 分析(発生可能性、影響度) • 補足 • 感覚的な値の図表化 • 定量的な数字(紛失率、感染率等)をベースに他のデータを想定する • ウィルス感染:数年に1回、ノートPC紛失:年に1回 Copyright (c) kosho.org 29 リスクアセスメントの実施(例) 発生可能性 影響度 ノートPC紛失 中 大 ノートPC盗難 低 大 家族の覗き見 低 小 印刷物の紛失 高 大 ウィルス感染 低 中
◼ 対応策(ノートPC紛失に対する) • 補足 • リスク回避(ノートPC持ち出し禁止)も比較する • すべての対策を列挙し、実行する対策を選択する(コスト見合い) • 多重防御(複数の対策の組み合わせ)が基本 Copyright (c) kosho.org 30 リスクアセスメントの実施(例) 分類 対応策A 対応策B 対応策C 事前 指示 教育 ノートPC 持ち出し禁止 防止 HDD暗号化 シンクライアント (リモートデスクトップ) 検知 社員報告※、GPS Track 事後 修正 リモート消去 アクセス権限停止 回復 バックアップ
◼ 「業務情報の漏洩」に対するリスク評価(判定) Copyright (c) kosho.org 31 リスクアセスメントの実施(例) 脆弱性 可能性 影響 リスク 対応 (事前)対応策 (事後)対応策※ 指示 防止 検知 修正 回復 ノートPC の紛失 中 大 低減 教育 HDD暗号化 社員報告※ GPS Track リモー ト消去 バック アップ ノートPC の盗難 小 大 低減 教育 HDD暗号化 社員報告※ GPS Track リモー ト消去 バック アップ 家族の 覗き見 低 小 受容 教育 ー ー ー ー 印刷物の 紛失 高 大 回避 教育 印刷物禁止 すかし 個別番号 ー ー ノートPC のウィル ス感染 低 中 (低減) 移転 教育 (ウィルス対策) サイバー保険 監視ソフト リモー ト消去 バック アップ
◼ 定量分析 • 業務内容によりノートPCに含まれる情報の価値が違う • ⇒「業務情報の漏洩」に対するリスク判定を上記4種類に分割 Copyright (c) kosho.org 32 リスクアセスメントの実施(例) 業務 定性的損失 定量的損失 一般業務 あまりない PC費用 社内人事業務 会社の評判ダウン 数%の売り上げ減 商用システム運用業務 サービス停止 月次売上(X億円)3か月+それ 以降半分 顧客情報(受託業務) 損害賠償 損害賠償、個人に対する損害 賠償(例:1名あたり500円、 ソフトバンク)
◼ 検知、事後対応 • ISMSの弱点 • ISMSは防止策に重点が置かれている • 検知・事後対応については弱い • 社員報告、事後対応策 • 明確な手順を決めておく • インシデント(漏洩した情報)の重大性の定義 • 一般情報、人事情報、商用システム情報、顧客情報 • 報告先、(対応)決定者の定義 • スタッフ、管理職、担当役員、社長(対策委員会) Copyright (c) kosho.org 33 リスクアセスメントの実施(例)
◼ 事後対応のマトリックス ◇ 方針決定 〇 事後報告 ※一般営業資料、パンフレットの元PDF等 Copyright (c) kosho.org 34 事後対応 紛失情報 スタッフ 管理職 担当役員 社長 補足 一般情報(損害無し) ◇ 〇 営業秘密(軽微※) ◇ 〇 社内人事情報 ◇ ◇ 対策委員会 商用システム情報 ◇ ◇ 対策委員会 顧客情報 ◇ ◇ 対策委員会
◼ 手順 Copyright (c) kosho.org 35 インシデントレスポンス 検知からの 時間 手順 補足 対策の 分類 事前定義 の必要性 対応組織 (大規模) 1秒~1時間 以内 トリアージ(Triage) 検知 (Detection) 順位付け (Prioritization) 通知 (Communication) 検知 対策 大 SOC (Security Operation Center) 1時間~1日 以内 調査 (Investigation) 修正 対策 中 CSIRT(Computer Security Incident Response Team) 初動対応 封じ込め (Containment) 極小化 (Minimize) 和らげ (Mitigation) 解決まで 分析と処理 (Analysis and Treatment) 回復 対策 小 CSIRT 開発元 復旧 (Recovery) 事後 報告 (Reporting) 知的資産化 (Documentation)
◼ 手順 • リスクアセスメント結果を伝達するための適切な方法を特定する (例:管理職者による概要 報告、リスクアセスメント報告、または ダッシュボード) • 組織の指定された利害関係者にリスクアセスメント結果を伝達する • 組織のポリシーと手引きに従って、リスクアセスメント結果と、結果 を裏付ける証拠を共有す る ◼ 例 • 経営会議での報告(承認) • 全社への伝達 • 全社への説明会(教育を兼ねる、出席必須) Copyright (c) kosho.org 36 リスクアセスメント結果の伝達と共有
◼ 手順 • 継続的なモニタリングの対象として特定されたリスク因子を特定する • リスク因子のモニタリング活動の頻度と、リスクアセスメントの更新 が必要となる状況を特定する • リスクアセスメントの目的、適用範囲、および想定を再確認する • 必要に応じて、リスクアセスメントの適切なタスクを実施する • 後続のリスクアセスメントの結果を指定された組織の職員に伝達する ◼ 例 • リスク要因:業務内容(受託内容)の変更 • 業務内容に変更があるたびにリスクアセスメントを行う • 年に1回状況(発生頻度等)の見直しを行い、大きな変化があった場合、 リスクアセスメントを行う Copyright (c) kosho.org 37 リスクアセスメントの保守
◼ セキュリティ管理の3要素 • 機密性、完全性、可用性 ◼ リスクの基本概念 • リスク、脅威、脆弱性、インシ デント ◼ リスク対策の分類 • 管理的、技術的、物理的 • 事前対策(指示、防止、検知)、 事後対策(修正、回復) • 階層防御 Copyright (c) kosho.org 38 セミナ内容(再掲) ◼ 対策のポリシー • フェイルセキュア • フェイルセーフ ◼ リスク対応(判断) • 低減、受容、移転、回避 ◼ リスクアセスメント • 準備 • 実施(特定、分析、評価) • 定性分析、定量分析 • 通知 • 保守 ◼ インシデントレスポンス • トリアージ、初動、復旧

Recommended

情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要Tokai University
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要Tokai University
 
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座Hiroshi Tokumaru
 
【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...
【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...
【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...Juniper Networks (日本)
 
Bapp Storeを調べてみたよ!
Bapp Storeを調べてみたよ!Bapp Storeを調べてみたよ!
Bapp Storeを調べてみたよ!zaki4649
 
パスワードのいらない世界へ
パスワードのいらない世界へパスワードのいらない世界へ
パスワードのいらない世界へKeiko Itakura
 
ちょい図解!使って覚える始めてのBonita
ちょい図解!使って覚える始めてのBonitaちょい図解!使って覚える始めてのBonita
ちょい図解!使って覚える始めてのBonitaKentaro Takasaki
 
Burp suite を使って iPhone アプリを診断した時に困ったことと、解決方法
Burp suite を使って iPhone アプリを診断した時に困ったことと、解決方法Burp suite を使って iPhone アプリを診断した時に困ったことと、解決方法
Burp suite を使って iPhone アプリを診断した時に困ったことと、解決方法tobaru_yuta
 

Recommended

情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要Tokai University
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要Tokai University
 
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座Hiroshi Tokumaru
 
【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...
【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...
【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...Juniper Networks (日本)
 
Bapp Storeを調べてみたよ!
Bapp Storeを調べてみたよ!Bapp Storeを調べてみたよ!
Bapp Storeを調べてみたよ!zaki4649
 
パスワードのいらない世界へ
パスワードのいらない世界へパスワードのいらない世界へ
パスワードのいらない世界へKeiko Itakura
 
ちょい図解!使って覚える始めてのBonita
ちょい図解!使って覚える始めてのBonitaちょい図解!使って覚える始めてのBonita
ちょい図解!使って覚える始めてのBonitaKentaro Takasaki
 
Burp suite を使って iPhone アプリを診断した時に困ったことと、解決方法
Burp suite を使って iPhone アプリを診断した時に困ったことと、解決方法Burp suite を使って iPhone アプリを診断した時に困ったことと、解決方法
Burp suite を使って iPhone アプリを診断した時に困ったことと、解決方法tobaru_yuta
 
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略DDoS対処の戦術と戦略
DDoS対処の戦術と戦略Tomohiro Nakashima
 
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010Sen Ueno
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面KentaEndoh
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2tobaru_yuta
 
商業登記電子証明書のすゝめ
商業登記電子証明書のすゝめ商業登記電子証明書のすゝめ
商業登記電子証明書のすゝめNaoto Miyachi
 
MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要Naohiro Fujie
 
Amazon dsp x IM-DMP
Amazon dsp x IM-DMPAmazon dsp x IM-DMP
Amazon dsp x IM-DMPssusercf60b9
 
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するHiroshi Tokumaru
 
Eclipse Iceoryx Overview
Eclipse Iceoryx OverviewEclipse Iceoryx Overview
Eclipse Iceoryx OverviewTomoya Fujita
 
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020OpenID Foundation Japan
 
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
ダークネットのはなし #ssmjp
ダークネットのはなし #ssmjpダークネットのはなし #ssmjp
ダークネットのはなし #ssmjpsonickun
 
ハイパースレッディングの並列化への影響
ハイパースレッディングの並列化への影響ハイパースレッディングの並列化への影響
ハイパースレッディングの並列化への影響Hiroshi Watanabe
 
ChatGPTを使った要件定義のRDRA的考察.pdf
ChatGPTを使った要件定義のRDRA的考察.pdfChatGPTを使った要件定義のRDRA的考察.pdf
ChatGPTを使った要件定義のRDRA的考察.pdfZenji Kanzaki
 
HTTP and 5G (fixed1)
HTTP and 5G (fixed1)HTTP and 5G (fixed1)
HTTP and 5G (fixed1)dynamis
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクションzaki4649
 
CompTIA PenTest+: Everything you need to know about the exam
CompTIA PenTest+: Everything you need to know about the examCompTIA PenTest+: Everything you need to know about the exam
CompTIA PenTest+: Everything you need to know about the examInfosec
 
FAPI and beyond - よりよいセキュリティのために
FAPI and beyond - よりよいセキュリティのためにFAPI and beyond - よりよいセキュリティのために
FAPI and beyond - よりよいセキュリティのためにNat Sakimura
 
グルーミングしながら進めるプロダクト開発
グルーミングしながら進めるプロダクト開発グルーミングしながら進めるプロダクト開発
グルーミングしながら進めるプロダクト開発Takafumi ONAKA
 
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す 包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す Elasticsearch
 
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介グローバルセキュリティエキスパート株式会社(GSX)
 

More Related Content

What's hot

自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010Sen Ueno
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面KentaEndoh
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2tobaru_yuta
 
商業登記電子証明書のすゝめ
商業登記電子証明書のすゝめ商業登記電子証明書のすゝめ
商業登記電子証明書のすゝめNaoto Miyachi
 
MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要Naohiro Fujie
 
Amazon dsp x IM-DMP
Amazon dsp x IM-DMPAmazon dsp x IM-DMP
Amazon dsp x IM-DMPssusercf60b9
 
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するHiroshi Tokumaru
 
Eclipse Iceoryx Overview
Eclipse Iceoryx OverviewEclipse Iceoryx Overview
Eclipse Iceoryx OverviewTomoya Fujita
 
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020OpenID Foundation Japan
 
ダークネットのはなし #ssmjp
ダークネットのはなし #ssmjpダークネットのはなし #ssmjp
ダークネットのはなし #ssmjpsonickun
 
ハイパースレッディングの並列化への影響
ハイパースレッディングの並列化への影響ハイパースレッディングの並列化への影響
ハイパースレッディングの並列化への影響Hiroshi Watanabe
 
ChatGPTを使った要件定義のRDRA的考察.pdf
ChatGPTを使った要件定義のRDRA的考察.pdfChatGPTを使った要件定義のRDRA的考察.pdf
ChatGPTを使った要件定義のRDRA的考察.pdfZenji Kanzaki
 
HTTP and 5G (fixed1)
HTTP and 5G (fixed1)HTTP and 5G (fixed1)
HTTP and 5G (fixed1)dynamis
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクションzaki4649
 
CompTIA PenTest+: Everything you need to know about the exam
CompTIA PenTest+: Everything you need to know about the examCompTIA PenTest+: Everything you need to know about the exam
CompTIA PenTest+: Everything you need to know about the examInfosec
 
FAPI and beyond - よりよいセキュリティのために
FAPI and beyond - よりよいセキュリティのためにFAPI and beyond - よりよいセキュリティのために
FAPI and beyond - よりよいセキュリティのためにNat Sakimura
 
グルーミングしながら進めるプロダクト開発
グルーミングしながら進めるプロダクト開発グルーミングしながら進めるプロダクト開発
グルーミングしながら進めるプロダクト開発Takafumi ONAKA
 

What's hot (20)

DDoS対処の戦術と戦略
DDoS対処の戦術と戦略DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
 
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
 
React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
 
商業登記電子証明書のすゝめ
商業登記電子証明書のすゝめ商業登記電子証明書のすゝめ
商業登記電子証明書のすゝめ
 
MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要
 
Amazon dsp x IM-DMP
Amazon dsp x IM-DMPAmazon dsp x IM-DMP
Amazon dsp x IM-DMP
 
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
 
Eclipse Iceoryx Overview
Eclipse Iceoryx OverviewEclipse Iceoryx Overview
Eclipse Iceoryx Overview
 
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
 
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
 
ダークネットのはなし #ssmjp
ダークネットのはなし #ssmjpダークネットのはなし #ssmjp
ダークネットのはなし #ssmjp
 
ハイパースレッディングの並列化への影響
ハイパースレッディングの並列化への影響ハイパースレッディングの並列化への影響
ハイパースレッディングの並列化への影響
 
ChatGPTを使った要件定義のRDRA的考察.pdf
ChatGPTを使った要件定義のRDRA的考察.pdfChatGPTを使った要件定義のRDRA的考察.pdf
ChatGPTを使った要件定義のRDRA的考察.pdf
 
HTTP and 5G (fixed1)
HTTP and 5G (fixed1)HTTP and 5G (fixed1)
HTTP and 5G (fixed1)
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクション
 
CompTIA PenTest+: Everything you need to know about the exam
CompTIA PenTest+: Everything you need to know about the examCompTIA PenTest+: Everything you need to know about the exam
CompTIA PenTest+: Everything you need to know about the exam
 
FAPI and beyond - よりよいセキュリティのために
FAPI and beyond - よりよいセキュリティのためにFAPI and beyond - よりよいセキュリティのために
FAPI and beyond - よりよいセキュリティのために
 
グルーミングしながら進めるプロダクト開発
グルーミングしながら進めるプロダクト開発グルーミングしながら進めるプロダクト開発
グルーミングしながら進めるプロダクト開発
 

Similar to セキュリティ管理 入門セミナ

包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す 包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す Elasticsearch
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントRiotaro OKADA
 
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Tomohiko Yamakawa
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenterMasakazu Kishima
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜Riotaro OKADA
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはRiotaro OKADA
 
闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座Toshiharu Harada, Ph.D
 
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...グローバルセキュリティエキスパート株式会社(GSX)
 
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...satoru koyama
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 
情報システム障害解析のための知識グラフ構築の試み / Constructing a knowledge graph for information sys...
情報システム障害解析のための知識グラフ構築の試み / Constructing a knowledge graph for information sys...情報システム障害解析のための知識グラフ構築の試み / Constructing a knowledge graph for information sys...
情報システム障害解析のための知識グラフ構築の試み / Constructing a knowledge graph for information sys...Shinji Takao
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)Shinobu Yasuda
 

Similar to セキュリティ管理 入門セミナ (20)

包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す 包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
 
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
 
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
 
Certified network defender
Certified network defenderCertified network defender
Certified network defender
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
 
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517
 
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenter
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
 
Zero trust
Zero trustZero trust
Zero trust
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
 
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
 
Mix Leap 0214 security
Mix Leap 0214 securityMix Leap 0214 security
Mix Leap 0214 security
 
闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座
 
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
 
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 
情報システム障害解析のための知識グラフ構築の試み / Constructing a knowledge graph for information sys...
情報システム障害解析のための知識グラフ構築の試み / Constructing a knowledge graph for information sys...情報システム障害解析のための知識グラフ構築の試み / Constructing a knowledge graph for information sys...
情報システム障害解析のための知識グラフ構築の試み / Constructing a knowledge graph for information sys...
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
 

More from Masaaki Nabeshima

ストリーミングサービス研究グループ
ストリーミングサービス研究グループストリーミングサービス研究グループ
ストリーミングサービス研究グループMasaaki Nabeshima
 
通信と放送の融合を考えるBoF 5
通信と放送の融合を考えるBoF 5通信と放送の融合を考えるBoF 5
通信と放送の融合を考えるBoF 5Masaaki Nabeshima
 
IPv4 IPv6 Multi Protocol Media Player
IPv4 IPv6 Multi Protocol Media PlayerIPv4 IPv6 Multi Protocol Media Player
IPv4 IPv6 Multi Protocol Media PlayerMasaaki Nabeshima
 
国内トラフィックエンジニアリングの現状
国内トラフィックエンジニアリングの現状国内トラフィックエンジニアリングの現状
国内トラフィックエンジニアリングの現状Masaaki Nabeshima
 
サイマルキャスト コストと可能性についての考察
サイマルキャスト コストと可能性についての考察サイマルキャスト コストと可能性についての考察
サイマルキャスト コストと可能性についての考察Masaaki Nabeshima
 
ストリーミング視聴解析の基本とその応用 IPv4・IPv6デュアルソース
ストリーミング視聴解析の基本とその応用 IPv4・IPv6デュアルソースストリーミング視聴解析の基本とその応用 IPv4・IPv6デュアルソース
ストリーミング視聴解析の基本とその応用 IPv4・IPv6デュアルソースMasaaki Nabeshima
 
海賊版対策:CDN事業者からの視点
海賊版対策:CDN事業者からの視点海賊版対策:CDN事業者からの視点
海賊版対策:CDN事業者からの視点Masaaki Nabeshima
 
ストリーミング視聴解析の分類(ドラフト20180718)
ストリーミング視聴解析の分類(ドラフト20180718)ストリーミング視聴解析の分類(ドラフト20180718)
ストリーミング視聴解析の分類(ドラフト20180718)Masaaki Nabeshima
 
ストリーミング用マルチCDN
ストリーミング用マルチCDNストリーミング用マルチCDN
ストリーミング用マルチCDNMasaaki Nabeshima
 
ストリーミング視聴解析の基礎セミナー(続き)
ストリーミング視聴解析の基礎セミナー(続き)ストリーミング視聴解析の基礎セミナー(続き)
ストリーミング視聴解析の基礎セミナー(続き)Masaaki Nabeshima
 
プレイヤーサイド・マルチCDN
プレイヤーサイド・マルチCDNプレイヤーサイド・マルチCDN
プレイヤーサイド・マルチCDNMasaaki Nabeshima
 

More from Masaaki Nabeshima (20)

vMVPDの動向について
vMVPDの動向についてvMVPDの動向について
vMVPDの動向について
 
Open Caching Update
Open Caching UpdateOpen Caching Update
Open Caching Update
 
ストリーミングサービス研究グループ
ストリーミングサービス研究グループストリーミングサービス研究グループ
ストリーミングサービス研究グループ
 
通信と放送の融合を考えるBoF 5
通信と放送の融合を考えるBoF 5通信と放送の融合を考えるBoF 5
通信と放送の融合を考えるBoF 5
 
ATSC 3.0, MMT, Multicast
ATSC 3.0, MMT, MulticastATSC 3.0, MMT, Multicast
ATSC 3.0, MMT, Multicast
 
IPv4 IPv6 Multi Protocol Media Player
IPv4 IPv6 Multi Protocol Media PlayerIPv4 IPv6 Multi Protocol Media Player
IPv4 IPv6 Multi Protocol Media Player
 
国内トラフィックエンジニアリングの現状
国内トラフィックエンジニアリングの現状国内トラフィックエンジニアリングの現状
国内トラフィックエンジニアリングの現状
 
サイマルキャスト コストと可能性についての考察
サイマルキャスト コストと可能性についての考察サイマルキャスト コストと可能性についての考察
サイマルキャスト コストと可能性についての考察
 
ストリーミング視聴解析の基本とその応用 IPv4・IPv6デュアルソース
ストリーミング視聴解析の基本とその応用 IPv4・IPv6デュアルソースストリーミング視聴解析の基本とその応用 IPv4・IPv6デュアルソース
ストリーミング視聴解析の基本とその応用 IPv4・IPv6デュアルソース
 
IPv4 IPv6 Media Player
IPv4 IPv6 Media PlayerIPv4 IPv6 Media Player
IPv4 IPv6 Media Player
 
IPv6 Survey 2019 Dec Update
IPv6 Survey 2019 Dec UpdateIPv6 Survey 2019 Dec Update
IPv6 Survey 2019 Dec Update
 
JP Web Sites IPv6 Survey
JP Web Sites IPv6 SurveyJP Web Sites IPv6 Survey
JP Web Sites IPv6 Survey
 
IPv6 Survey 2019
IPv6 Survey 2019IPv6 Survey 2019
IPv6 Survey 2019
 
海賊版対策:CDN事業者からの視点
海賊版対策:CDN事業者からの視点海賊版対策:CDN事業者からの視点
海賊版対策:CDN事業者からの視点
 
ストリーミング視聴解析の分類(ドラフト20180718)
ストリーミング視聴解析の分類(ドラフト20180718)ストリーミング視聴解析の分類(ドラフト20180718)
ストリーミング視聴解析の分類(ドラフト20180718)
 
ストリーミング用マルチCDN
ストリーミング用マルチCDNストリーミング用マルチCDN
ストリーミング用マルチCDN
 
ストリーミング視聴解析の基礎セミナー(続き)
ストリーミング視聴解析の基礎セミナー(続き)ストリーミング視聴解析の基礎セミナー(続き)
ストリーミング視聴解析の基礎セミナー(続き)
 
ISP CDN draft2
ISP CDN draft2ISP CDN draft2
ISP CDN draft2
 
プレイヤーサイド・マルチCDN
プレイヤーサイド・マルチCDNプレイヤーサイド・マルチCDN
プレイヤーサイド・マルチCDN
 
Video mqtt
Video mqttVideo mqtt
Video mqtt
 

セキュリティ管理 入門セミナ

  • 2. ◼ 資格 • ISC2 CISSP (Certified Information Systems Security Professional) • 経産省 情報処理安全確保支援士 (RISS) ◼ 監訳 • 実践ネットワークセキュリティ監査―リスク評価と危機管理 ◼ セキュリティ関連の仕事 • 1996, NTTアメリカ, Internet Security講演 • 2005, NVC(技術商社), セキュリティビジネス立ち上げ • 2015, ソフトバンクモバイル, SOC(Security Operation Center)立ち上げ Copyright (c) kosho.org 2 自己紹介
  • 3. ◼ セキュリティ管理 • 先人の努力により体系化されています • セキュリティ管理のフレームワーク • 例:ISMS (情報セキュリティマネジメントシステム) • セキュリティ管理プロフェッショナルのための基本知識集 • 例:CISSP CBK • 考えるな学べ(学んでから考えろ)! • 素人がセキュリティ管理を考えても「漏れ・無駄」が必ず出る • 車輪の再発明(確立されているものを再度発明する努力をする) • 一般人は「凸凹な車輪」しか発明できない(発明は困難) • フレームワークの(組織への)最適化には「考えること」が必要 Copyright (c) kosho.org 3 はじめに
  • 4. ◼ ISMS (Information Security Management System) • 情報セキュリティマネジメントシステム • ISO/IEC 27000、JIS Q 27000 • 情報セキュリティ管理のフレームワーク • 認定機関あり • 組織がISMSに則ってセキュリティ管理しているか? • 国内認定組織:6,000程度 • フレームワークの構成 • 13大分類、34中分類、114管理策 • 各管理策には以下を含む • 実施の手引き、関連情報 Copyright (c) kosho.org 4 セキュリティ体系の例
  • 5. Copyright (c) kosho.org 5 セキュリティ体系の例:ISMS 大分類 中分類 情報セキュリティのための組織 内部組織、モバイル機器及びテレワーキング 人的資源のセキュリティ 雇用前、雇用期間中、雇用の終了及び変更 資産の管理 資産に対する責任、情報分類、媒体の取扱い アクセス制御 アクセス制御に対する業務上の要求事項、利用者アクセスの管理、利用者の責任、システム及びア プリケーションのアクセス制御 暗号 暗号による管理策 物理的及び環境的セキュリティ セキュリティを保つべき領域、装置 運用のセキュリティ 運用の手順及び責任、マルウェアからの保護、バックアップ、ログ取得及び監視、運用ソフトウェ アの管理、技術的ぜい弱性管理、情報システムの監査に対する考慮事項 通信のセキュリティ ネットワークセキュリティ管理、情報の転送 システムの取得,開発及び保守 情報システムのセキュリティ要求事項、開発及びサポートプロセスにおけるセキュリティ、試験 データ 供給者関係 供給者関係における情報セキュリティ、供給者のサービス提供の管理 情報セキュリティインシデント管理 情報セキュリティインシデントの管理及びその改善 事業継続マネジメントにおける情報 セキュリティの側面 情報セキュリティ継続、冗長性 順守 法的及び契約上の要求事項の順守、情報セキュリティのレビュー
  • 6. ◼ CISSP (Certified Information Systems Security Professional) • 情報セキュリティ・プロフェッショナル認定資格 • 認定: (ISC)² (International Information Systems Security Certification Consortium) • 取得者数 • グローバル:141,607人 国内:2,758人 • 補足 • 情報処理安全確保支援士:経験のあるエンジニアなら合格する • CISSP:セキュリティ教育を受けないと合格しない • 情報処理安全確保支援士レベルの受験者が40時間のセミナを 受け60時間程度自己学習すれば合格する • 試験範囲:CBK/Common Body of Knowledge • 情報セキュリティに関する知識分野 • ISMS+詳細(管理、技術) Copyright (c) kosho.org 6 セキュリティ体系の例
  • 7. Copyright (c) kosho.org 7 セキュリティ体系の例:CISSP CBK 分野 項目 セキュリティとリスクマネジメント 機密性・完全性・可用性の概念の理解と適用、セキュリティガバナンスの原則の適用、コンプライアン ス、ガバナンス、リスクマネジメント 、コンプライアンス要件 、人的セキュリティ、事業継続管理 資産のセキュリティ 情報と資産、資産のライフサイクル、資産のオーナーシップ、プライバシー保護、資産の保有、データ セキュリティ、取り扱い要件 セキュリティアーキテクチャと エンジニアリング セキュリティアーキテクチャの原則 、セキュリティモデル、システムセキュリティ要件 、情報システ ムのセキュリティ機能 、セキュリティアーキテクチャにおける脆弱性、暗号、物理的セキュリティ 通信とネットワークのセキュリティ ネットワーク設計、サービスにおける考慮事項、セキュアネットワークの要素、セキュアネットワーク チャネルの設計 アイデンティティとアクセスの管理 資産への物理的・論理的アクセス、プロビジョニングとライフサイクル、人、デバイス、サービスの識 別と認証、ID 管理の実装、認可の仕組みの実装と管理 セキュリティの評価とテスト 評価、テスト、監査の戦略、セキュリティ管理策のテスト 、セキュリティプロセスデータ、テストの 報告とレポートの作成、セキュリティ監査 セキュリティの運用 セキュリティ運用、セキュアなプロビジョニングリソース、リソース保護の技術、検知と予防、インシ デント管理、調査、ログの取得とモニタリング、復旧戦略、事業計画と訓練、人命の安全 ソフトウェア開発セキュリティ ソフトウェア開発ライフサイクル、セキュアコード、開発環境、ソフトウェアセキュリティ
  • 8. ◼ セキュリティ管理 • きちんとやる(プロになる)には広範囲な知識が要求される ◼ セミナの目的 × セキュリティのプロになる教育 〇 セキュリティ管理について正しいベース常識を習得 • セキュリティのプロに相談するときの基本用語 • セキュリティの規格書を読むための基礎知識 Copyright (c) kosho.org 8 セミナの目的
  • 9. ◼ セキュリティ管理の3要素 • 機密性、完全性、可用性 ◼ リスクの基本概念 • リスク、脅威、脆弱性、インシ デント ◼ リスク対策の分類 • 管理的、技術的、物理的 • 事前対策(指示、防止、検知)、 事後対策(修正、回復) • 階層防御 Copyright (c) kosho.org 9 セミナ内容 ◼ 対策のポリシー • フェイルセキュア • フェイルセーフ ◼ リスク対応(判定) • 低減、受容、移転、回避 ◼ リスクアセスメント • 準備 • 実施(特定、分析、評価) • 定性分析、定量分析 • 通知 • 保守 ◼ インシデントレスポンス • トリアージ、初動、復旧
  • 10. ◼ 「セキュリティ」とは? • 情報セキュリティの(守るべき)3要素:CIA ◼ 「リスク(脅威)」とは? • 上記3要素を脅かすこと • 機密性⇒漏洩 • 完全性⇒不整合 • 可用性⇒使用不可 Copyright (c) kosho.org 10 セキュリティ管理とは 概要 機密性 (Confidentially) 認可されていないものに対し情報を使用不 可・非公開にする 完全性 (Integrity) 資産の正確さ及び完全さを保護する 可用性 (Availability) 要求したときに使用可能とする
  • 11. ◼ 3要素、リスク、脅威 ◼ 脅威の分類 Copyright (c) kosho.org 11 セキュリティとリスク(脅威) 3要素 リスク 脅威(例) 機密性 情報が外部に漏れる 盗難、紛失、権限設定ミス 完全性 情報が間違っている 意図的な不正操作、偶発的な不正操作 権限のない操作、外部データとの不整合 システムの欠陥 可用性 情報が使えない サービス妨害、故障、設定ミス、災害 大分類 中分類 補足 人為的脅威 意図的脅威 攻撃 偶発的脅威 ミス(人間)、欠陥(システム) 環境的脅威 災害
  • 12. ◼ 補足:意図的脅威(攻撃)のSTRIDE • ストライド(大股で歩く) Copyright (c) kosho.org 12 セキュリティとリスク(脅威) 攻撃の分類 補足 Spoofing (スプーフィング) 他のユーザへのなりすまし Tampering(タンパリング) 情報の改ざん Repudiation (レピューディエイション) 否認(行ったことを否定) Information disclosure (ディスクロージャー) 情報の漏えい Denial of service (DoS) サービス妨害 Elevation of privilege (エレベーション) 権限昇格、特権取得
  • 13. ◼ 基本用語 • ※1 • 脅威源(脅威の原因):ノートPC • 脅威事象(脅威の発生状況):紛失 • ※2 • 素因的条件:脆弱性に対する組織等の状況 • 例:日本は電車移動が基本であるため、米国よりもノートPCの紛失が起こ りやすい Copyright (c) kosho.org 13 基本用語 用語 意味 例 リスク (悪い結果が起こる)可能性 情報漏洩 脅威※1 (悪い結果を引き起こす)具体的事象 ノートPCの紛失 脆弱性※2 脅威を発生させる欠点・欠陥 ノートPCは持ち運びが簡単 インシデント セキュリティ事故 AがXX月XX日にノートPCを紛失した
  • 14. ◼ 手法 • (人員)管理的、技術的、物理的 ◼ リスク対策 • 事前 • 指示 (Directive):指示や教育 • 防止 (Preventive):リスクの防止処理 • 検知 (Detective):インシデントの発見 • 事後 • 修正 (Corrective):損失の軽減 • 回復 (Recovery):状態の回復 • 補正 (Compensating) :埋め合わせ対策・複数対策 ◼ ポリシー • フェイルセーフ、フェイルセキュア Copyright (c) kosho.org 14 対策の分類
  • 15. ◼ 分類 Copyright (c) kosho.org 15 対策の分類 管理的 技術的 物理的 事前 指示 標語、ポスター 警告表示 表示(立入禁止) 防止 職務規定 パスワード フェンス 検知 監査 監査ログ 監視カメラ 事後 修正 降格(権限はく奪) システム停止 消化設備、ガードマン 回復 人員補充 バックアップ 再建設 補正 階層防御(管理的) 階層防御(技術的) 階層防御(物理的)
  • 16. ◼ 概要 • 複数の対策を階層的に組み合わせる ◼ 背景 • 完璧な対策は無い(攻撃、管理ミス) • 99%のゆるい対策(100日に1回発生) • 2つ組み合わせると99.99%(2.7年に1回) • 3つ組み合わせると99.9999%(274年に1回) • 時間稼ぎ • 最初の対策が破られる⇒アラーム生成、対策検討 • 補足 • 階層防御はアラーム管理が必須 Copyright (c) kosho.org 16 階層防御
  • 17. ◼ システムアクセス ◼ オフィス Copyright (c) kosho.org 17 階層防御:例 階層防御 例 実験 1重以上 パスワード制限 商用 2重以上 パスワード制限+アクセス元IP 機密情報 3重以上 パスワード制限+アクセス元IP+シンクライアント 階層防御 例 一般業務 1重以上 カードキー 人事業務 2重以上 カードキー+特別室 顧客データ業務 3重以上 カードキー+特別室+生体認証
  • 18. ◼ 対策が失敗(フェイル)した時の状況 • 例:電気鍵⇒停電した場合どうするか? • 開錠:フェイルセーフ(人命優先) • 施錠:フェイルセキュア(セキュリティ優先) ◼ フェイルセーフとフェイルセキュア Copyright (c) kosho.org 18 対策のポリシー フェイルセーフ フェイルセキュア 概要 安全側に制御 セキュリティ確保に制御 人命優先、システム運用継続優先 セキュリティファースト(優先) 3要素 可用性>機密性・完全性 機密性・完全性>可用性 主な対策 物理セキュリティ(人命優先) 管理、技術セキュリティ 主なターゲット 人命に関するもの 機密情報
  • 19. ◼ ポリシー決定 • フェイルセーフかフェイルセキュアか? • アセスメント(評価)が必要 • 比較(どちらが大きいか?) • リスクの(悪)影響 • 対策の(悪)影響 • 分析 • 定性、定量、ハイブリッド Copyright (c) kosho.org 19 対策のポリシーと分析
  • 20. ◼ リスク分析(発生可能性と影響) • 一般的なハイブリッド分析 • フェイズ1(洗い出し、スコーピング) • すべてに対し定性的分析を行う • フェイズ2(詳細化、テラーリング) • 重要なポイントだけ定量的分析を行う Copyright (c) kosho.org 20 分析 概要 実行 補足 定性的 ランク付け(大中小) 容易 アンケート、インタビュー、 デルファイ法 定量的 金額への換算 困難 損失予測 ハイブリッド 定性的と定量的を両方行う※1 中間 一番ポピュラー
  • 21. ◼ リスク対応 Copyright (c) kosho.org 21 リスク評価 低減 (Mitigation) 移転 (Transfer) 回避 (Avoidance) 受容 (Acceptance) 概要 リスクを低減させる (低減策を取る) リスクを第3者に移 転する リスクを完全に排 除する リスクを受け入れる (何もしない) リスクの種類 一般リスク 限定的リスク 重大リスク リスクが小さい 対策の影響が大きい 対策例 各種ソリューション 保険、アウトソー ス 機器の使用禁止 補足 一般的なセキュリ ティ対策 損失への内部留保 も含む サービス・事業の 停止も考慮に入れ る 「リスクの放置」で あり最も高レベルの 決済が必要(例:本部 長等)
  • 22. ◼ 目的 • リスクの管理 ◼ 基本手順 • リスク特定 • リスク分析 • リスク評価 ◼ フレームワーク • 米国国立標準技術研究所 • NIST SP 800 30 Copyright (c) kosho.org 22 リスクアセスメント ◼ 手順 (NIST SP 800 30) 1. リスクアセスメントの準備 2. リスクアセスメントの実施 2.1 脅威源と脅威事象の特定 2.2 脆弱性と素因的条件の特定 2.3 発生の可能性の特定 2.4 影響の大きさの特定 2.5 リスクの判断 3. リスクアセスメント結果の伝達 4. リスクアセスメントの保守
  • 23. ◼ 手順 Copyright (c) kosho.org 23 リスクアセスメントの準備 手順 NIST SP 800 30 補足 1 目的を特定 アセスメントの目的を特定 2 適用範囲を特定 アセスメントの適用範囲を特定 3 具体化と制限付けに より範囲を狭める アセスメントに関連する想定と制 限を特定 4 参照すべき文献(デー タベース)を指定 アセスメントへの入力データとし て使用する情報の情報源を特定 内部データ、外部デー タ(脆弱性リスト等) 5 アプローチの指定 アセスメント時に使用すべきアセ スメントアプロ ーチと分析アプ ローチを特定 一般企業の場合、厳密 な指定はまれ
  • 24. ◼ 例 Copyright (c) kosho.org 24 リスクアセスメントの準備 手順 内容 目的 新規にリモートワークを開始する 範囲 自宅での作業によるリスク 具体化と制限付け 業務は支給PCで行う(持ち帰り)、VPNで接続 参照文献 ISMS (27002) アプローチの指定 ハイブリッド(全体的に定性分析 、重要なものは定量分析)
  • 25. ◼ 管理策 モバイル機器を用いることによって生じるリスクを管理するために,方針及びその方針 を支援するセキュリティ対策を採用することが望ましい。 ◼ 実施の手引き モバイル機器を用いる場合,業務情報が危険にさらされないことを確実にするために, 特別な注意を払うことが望ましい。… ◼ 関連情報 モバイル機器の無線接続は,ネットワーク接続の他のタイプと類似しているが,管理策 を特定するときに考慮することが望ましい重要な違いがある。 Copyright (c) kosho.org 25 リスクアセスメントの準備(ISMSモバイル機器)
  • 27. ◼ 手順 Copyright (c) kosho.org 27 リスクアセスメントの実施 手順 NIST SP 800 30 1 特定 脅威の特定 脅威源と脅威事象の特定 2 脆弱性の特定 脆弱性と素因的条件の特定 3 分析 発生の可能性の分析 発生の可能性の特定 4 影響の大きさの分析 影響の大きさの特定 5 評価 対策の検討 リスクの評価 リスクの判断
  • 28. ◼ 脅威の特定 ◼ 脆弱性の特定 • 業務情報の漏洩:ノートPC紛失、ノートPC盗難、家族の覗き見、印 刷物の紛失、ウィルス感染 • 業務情報の改ざん:… • 社内サーバへのアクセス:… • 社員の労働生産性:… Copyright (c) kosho.org 28 リスクアセスメントの実施(例) 3要素 対応する脅威 機密性 業務情報の漏洩 完全性 業務情報の改ざん 可用性 社内サーバへのアクセス(VPNの可用性) 社員の労働生産性(怠慢)
  • 29. ◼ 分析(発生可能性、影響度) • 補足 • 感覚的な値の図表化 • 定量的な数字(紛失率、感染率等)をベースに他のデータを想定する • ウィルス感染:数年に1回、ノートPC紛失:年に1回 Copyright (c) kosho.org 29 リスクアセスメントの実施(例) 発生可能性 影響度 ノートPC紛失 中 大 ノートPC盗難 低 大 家族の覗き見 低 小 印刷物の紛失 高 大 ウィルス感染 低 中
  • 30. ◼ 対応策(ノートPC紛失に対する) • 補足 • リスク回避(ノートPC持ち出し禁止)も比較する • すべての対策を列挙し、実行する対策を選択する(コスト見合い) • 多重防御(複数の対策の組み合わせ)が基本 Copyright (c) kosho.org 30 リスクアセスメントの実施(例) 分類 対応策A 対応策B 対応策C 事前 指示 教育 ノートPC 持ち出し禁止 防止 HDD暗号化 シンクライアント (リモートデスクトップ) 検知 社員報告※、GPS Track 事後 修正 リモート消去 アクセス権限停止 回復 バックアップ
  • 31. ◼ 「業務情報の漏洩」に対するリスク評価(判定) Copyright (c) kosho.org 31 リスクアセスメントの実施(例) 脆弱性 可能性 影響 リスク 対応 (事前)対応策 (事後)対応策※ 指示 防止 検知 修正 回復 ノートPC の紛失 中 大 低減 教育 HDD暗号化 社員報告※ GPS Track リモー ト消去 バック アップ ノートPC の盗難 小 大 低減 教育 HDD暗号化 社員報告※ GPS Track リモー ト消去 バック アップ 家族の 覗き見 低 小 受容 教育 ー ー ー ー 印刷物の 紛失 高 大 回避 教育 印刷物禁止 すかし 個別番号 ー ー ノートPC のウィル ス感染 低 中 (低減) 移転 教育 (ウィルス対策) サイバー保険 監視ソフト リモー ト消去 バック アップ
  • 32. ◼ 定量分析 • 業務内容によりノートPCに含まれる情報の価値が違う • ⇒「業務情報の漏洩」に対するリスク判定を上記4種類に分割 Copyright (c) kosho.org 32 リスクアセスメントの実施(例) 業務 定性的損失 定量的損失 一般業務 あまりない PC費用 社内人事業務 会社の評判ダウン 数%の売り上げ減 商用システム運用業務 サービス停止 月次売上(X億円)3か月+それ 以降半分 顧客情報(受託業務) 損害賠償 損害賠償、個人に対する損害 賠償(例:1名あたり500円、 ソフトバンク)
  • 33. ◼ 検知、事後対応 • ISMSの弱点 • ISMSは防止策に重点が置かれている • 検知・事後対応については弱い • 社員報告、事後対応策 • 明確な手順を決めておく • インシデント(漏洩した情報)の重大性の定義 • 一般情報、人事情報、商用システム情報、顧客情報 • 報告先、(対応)決定者の定義 • スタッフ、管理職、担当役員、社長(対策委員会) Copyright (c) kosho.org 33 リスクアセスメントの実施(例)
  • 34. ◼ 事後対応のマトリックス ◇ 方針決定 〇 事後報告 ※一般営業資料、パンフレットの元PDF等 Copyright (c) kosho.org 34 事後対応 紛失情報 スタッフ 管理職 担当役員 社長 補足 一般情報(損害無し) ◇ 〇 営業秘密(軽微※) ◇ 〇 社内人事情報 ◇ ◇ 対策委員会 商用システム情報 ◇ ◇ 対策委員会 顧客情報 ◇ ◇ 対策委員会
  • 35. ◼ 手順 Copyright (c) kosho.org 35 インシデントレスポンス 検知からの 時間 手順 補足 対策の 分類 事前定義 の必要性 対応組織 (大規模) 1秒~1時間 以内 トリアージ(Triage) 検知 (Detection) 順位付け (Prioritization) 通知 (Communication) 検知 対策 大 SOC (Security Operation Center) 1時間~1日 以内 調査 (Investigation) 修正 対策 中 CSIRT(Computer Security Incident Response Team) 初動対応 封じ込め (Containment) 極小化 (Minimize) 和らげ (Mitigation) 解決まで 分析と処理 (Analysis and Treatment) 回復 対策 小 CSIRT 開発元 復旧 (Recovery) 事後 報告 (Reporting) 知的資産化 (Documentation)
  • 36. ◼ 手順 • リスクアセスメント結果を伝達するための適切な方法を特定する (例:管理職者による概要 報告、リスクアセスメント報告、または ダッシュボード) • 組織の指定された利害関係者にリスクアセスメント結果を伝達する • 組織のポリシーと手引きに従って、リスクアセスメント結果と、結果 を裏付ける証拠を共有す る ◼ 例 • 経営会議での報告(承認) • 全社への伝達 • 全社への説明会(教育を兼ねる、出席必須) Copyright (c) kosho.org 36 リスクアセスメント結果の伝達と共有
  • 37. ◼ 手順 • 継続的なモニタリングの対象として特定されたリスク因子を特定する • リスク因子のモニタリング活動の頻度と、リスクアセスメントの更新 が必要となる状況を特定する • リスクアセスメントの目的、適用範囲、および想定を再確認する • 必要に応じて、リスクアセスメントの適切なタスクを実施する • 後続のリスクアセスメントの結果を指定された組織の職員に伝達する ◼ 例 • リスク要因:業務内容(受託内容)の変更 • 業務内容に変更があるたびにリスクアセスメントを行う • 年に1回状況(発生頻度等)の見直しを行い、大きな変化があった場合、 リスクアセスメントを行う Copyright (c) kosho.org 37 リスクアセスメントの保守
  • 38. ◼ セキュリティ管理の3要素 • 機密性、完全性、可用性 ◼ リスクの基本概念 • リスク、脅威、脆弱性、インシ デント ◼ リスク対策の分類 • 管理的、技術的、物理的 • 事前対策(指示、防止、検知)、 事後対策(修正、回復) • 階層防御 Copyright (c) kosho.org 38 セミナ内容(再掲) ◼ 対策のポリシー • フェイルセキュア • フェイルセーフ ◼ リスク対応(判断) • 低減、受容、移転、回避 ◼ リスクアセスメント • 準備 • 実施(特定、分析、評価) • 定性分析、定量分析 • 通知 • 保守 ◼ インシデントレスポンス • トリアージ、初動、復旧