SlideShare a Scribd company logo

京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」

UEHARA, Tetsutaro
UEHARA, Tetsutaro

大学は早期からインターネットに接続されていることもあり、自由なインターネット環境が提供され続けてきました。一方、情報セキュリティ確保は後手に回り続けており、セキュリティポリシーの実効性が担保されているか、ウィルス感染や不正アクセスが防げているかは大いに疑問があります。  一方、外的環境の変化は早いため、大学が確保するべき情報セキュリティの重点項目も変化し続けているのではないでしょうか。  特に、事務部門が扱う情報の資産価値はますます上昇し、情報セキュリティ上のリスクは増していますが、それに対応出来ているのか、ネットワーク研究が深化し、大学にはむしろより自由なネットワーク環境の提供が求められる中で、どのようにシステムを守って行くのかは大きな課題です。  本講演ではこのような問題意識の上に、現在の大学の情報セキュリティ上の課題を挙げ、目指すべき姿に対する私見を述べたいと思います。

Leadership & Management
1 of 30
Download to read offline
大学の情報セキュリティ 立命館大学 情報理工学部 情報システム学科 上原哲太郎
大学という組織の特殊性 一般事務 ○ガバナンス △重要情報 教務 △ガバナンス ◎重要情報 研究 ×ガバナンス ?重要情報 職員学生教員 ルールに従う 時に官僚的 「お客様」だったり 構成員だったり 組織の一員だったり 個人事業主的だったり
セキュリティのカナメ: 高等教育機関の情報セキュリティポリシー  H12年7月政府の「情報セキュリティポリシーに関 するガイドライン」で大枠が決定  H14年3月「大学における情報セキュリティポリシーの 考え方」  H17年12月「政府機関の情報セキュリティ対策の ための統一基準」を受けてサンプルが作られる  H19年2月「高等教育機関の情報セキュリティ対策のた めのサンプル規程集」  その後、政府機関統一基準は改訂を繰り返す  「高等教育機関の~サンプル規程集」も追随
H12年7月 情報セキュリティポリシーに関するガイドライン 政府機関はセキュリティポリシーを策定運用する義務 政府側 PDCAサイクル H17年9月 政府機関の情報セキュリティ対策の強化に関する基本方針 政府機関はセキュリティポリシーを統一基準に順ずるよう見直す義務 H14年3月 大学における情報セキュリティ ポリシーの考え方 各大学への策定要請(国立大は義務) 省庁別 ポリシー 省庁別 ポリシー 省庁別 ポリシー H17年12月 政府機関の情報セキュリティ対策のための統一基準 大学側 H18年9月 政府機関統一基準適用個別マニュアル群(実施手順書雛形) 省庁別ポリシー見直し 情報系3学会 →IEICE H19年2月 高等教育機関の情報セキュリティ対策のための サンプル規程集(大学向けポリシーの雛形) H19年6月 政府機関の情報セキュリティ対策のための統一基準(第二版) 政府機関はセキュリティポリシーを統一基準に順ずるよう見直す義務 7大学+NII H15年1月 高等教育機関に おけるネットワーク 運用ガイドライン 大学の ポリシー 大学の ポリシー 大学の ポリシー PDCA NIIが主導・実態は統一基準+IEICEガイドライン H19年10月 高等教育機関の情報セキュリティ対策のための サンプル規程集の追加・見直し 60p 32p 約300p 大学ポリシー見直し 64p PDCAサイクル H24年4月 政府機関の情報セキュリティ対策のための統一基準群(H24版) 政府機関はセキュリティポリシーを統一基準に順ずるよう見直す義務 約600p 76p PDCAサイクル H25年7月 高等教育機関の情報セキュリティ対策のための サンプル規程集(2013年版) H26年5月 政府機関の情報セキュリティ対策のための統一基準群(H26版)
大学での情報セキュリティーポリシーは 機能しているか  政府統一基準はほぼ毎年変更  サンプル規定集は少し遅れて変更  各大学のレベルではどうか  PDCAが機能するためには組織にメスが必要  国公立に比べて私学は…?  そもそも大学はより「セキュア」になったか?  変化する外的要因に対し リスクの見直しは出来ているか???
かつてのリスク要因  「踏み台」  サーバ乗っ取り →他への攻撃 SPAMばらまき  Bot植え付け  学生の「悪さ」  著作権違反事案など  「個人情報漏洩」  多くは事故 (紛失&盗難)  被害実態はとにかく 報道&世論は 漏洩件数に敏感 →ブランド毀損を 避けるために 対策が必要 結局、あまり直接的被害ではなかった…
しかし今はサイバー犯罪は「金になる」  2013年「リスト型アカウント攻撃」の急増  ネットバンキング等を狙った不正送金激増  2012年64件4800万円 2013年1315件14億円今年はそれ以上  特に法人向け口座が狙われる  マルウェアの高度化  詐欺手口の多様化  SNSアカウント乗っ取りによる詐欺など
2011年頃から我が国において 重要機関における事故が続く  2011年9月三菱重工へのサイバー攻撃  防衛関連機密が狙われたとみられる  2011年10~11月衆参両院へのサイバー攻撃  標的型メール攻撃を用いてサーバに侵入 議員のメールが盗み見されるなどの被害  2011年11月総務省に標的型メール攻撃  詳細不明  2012年1月JAXAでウィルス感染発覚  NASA関連技術を含む重要機密が漏洩  2012年7月財務省でウィルス感染発覚  過去2年にわたって継続的に情報漏えい?  2013年1月農水省へのサイバー攻撃  内部文書124点(うち機密性2が85点)流出 TPP交渉に関わる記録など漏洩
2013年 最高レベルの企業が次々に  2月巨大ネット企業が相次いで被害  facebookにゼロデイ攻撃  Apple, Javaの脆弱性を突かれマルウェア感染  Microsoft Mac製品開発部門が被害  5月Yahoo!Japanの認証サーバに攻撃  最大2200万件のID+PWハッシュが流出  146万人分の「秘密の質問」流出  韓国では2波に渡る攻撃が  3月銀行やテレビ局に対する業務妨害  6~7月政府機関やメディアに対する妨害  4年前から続く一連の攻撃の一部?
そして大きな問題 5万台のPCがマルウェア感染して 諜報ネットワークを構成
多様化する攻撃者像 愉快犯→思想犯明確な目的 技術誇示目的 思想信条の表現 「集団暴走」 怨恨 金銭目的 破壊工作・諜報 さらに外部か内部かなど…
いま大学が本当に恐れるべきは…  「サイバー諜報」  不正アクセスや マルウェアを きっかけにした 高度な諜報戦  攻撃の高度化により 従来の対策では 検知が困難に  「内部犯罪」  業務の電算化が進み 効率化と引き替えに リスクは高まる  定員外職員の増加 アウトソーシング増加 ロイヤリティに頼った 人的セキュリティは無理 どんな情報でも換金出来る時代になり 潜在的脅威は高まっているはず…?
「セキュリティ」と「リスク」は表裏一体 セキュリティ 安全 Safety 安心 Trustworthy 信頼 Dependablity リスク Risk  セキュリティを高めるのが「セキュリティマネジメント」 →それにより「リスク」が軽減する これに事故(インシデント)発生時対応を加えて 「リスクコントロール」を実現する13
リスクを評価し対応する リスクアセスメント リスクの 把握・特定 リスクの 分析・評価 リスク対応 (リスクマネジメント) リスク 許容 リスク低減 受容(技術・運用等) 可能? リスク回避 (業務見直し等) リスク移転 (保険等) NO YES 岡村久道「これでわかった会社の 内部統制」など
リスクの大きさ・確率と対応の関係 L (被 害 ) リスク回避 (業務見直し等) P (発生確率) リスク 許容 リスク低減 (技術・運用等) リスク移転 (保険等) 佐々木良一:「ITリスクの考え方」より
ITリスクの特殊性  ITが生む利便性は比較的見えやすいが 同時に持ち込むリスクはなかなか見えない  運用コストや情報セキュリティ上の危機の見えにくさ  ITは複雑な技術:評価が難しい  たとえ利便性が見えても、必要性や費用対効果の即断は困難  ITによるインシデントは発生確率が 外的要因に激しく左右される  脆弱性の発見、攻撃法の流行、見えない「攻撃者の意思」  攻撃力は「資金」や「マンパワー」ではなく 純粋に「技術」で決まる  ITでは「生産者責任」がなかなか取られない歴史的経緯  いくらバグを出しても免責されるソフトウェア会社 16
経営層やシステム管理者に 求められる常識・・・  ITによる効率化は危機も呼び込むことになる  業者はリスクには責任を負わない・負えない →事故発生時の被害は経営層が評価すべき →業務単位のリスク評価は経営層の責任  リスク対策の勘所は「運用現場」にこそ見えている →細部のリスク対策は現場から上に上げるべき  事故の発生確率は0にできない  だからこそ事故の 予防策だけではなく 事後対策も重要 17
リスク評価はトップダウン リスク対策はボトムアップ 学長 教員・職員 情報・情報機器 重要業務の リスク評価 重要情報の リスク対策
トップダウンのメリット  重要な情報(機密)の保護にはコストがかかる  リソースの配分に権限がある人は 細部のどこに重要な「情報」があるか 理解が及ばない  一方、重要な「業務」は把握しやすい リスクも想像が及びやすい  決定の迅速化、対策のメリハリ  但し適切なリソース配分には 結局細部のリスク評価が欠かせないことに注意  それを現場から「リスク対策案」とともに吸い上げる
重要業務領域に対して…  情報セキュリティ対策を適切に講じる  まずは王道をしっかり=入口対策  「入口を狭く」ファイアウォール・多段proxy・認証強化・VPN  「入口での検知」ウィルス対策・IDS・スパムフィルタ  「入られないように」脆弱性対策・URLフィルタリング  入られた後の被害を押さえる=真中対策~出口対策 (内部犯行対策も兼ねる)  暗号化の適用・重要なデータの分離  ログ監視・分析・アノマリ検出  インシデントレスポンス&フォレンジックス  被害拡大の防止  正確な被害の特定→原因特定→再発防止 何より事故は起こることを前提にする
堅牢なシステムはまず 堅牢なWebシステムから  発注時に「健康診断」を 例えば IPAの 一連の 文書を 参照
もはや「入れないようにする」のは困難  多層防御多段階防御はもう常識  入口対策+出口対策+「真ん中対策」  攻撃の各段階で可能な限り 攻撃者の手を縛る「意地悪セキュリティ」 初期侵入から目的達成までは 時間がかかっているはず 時間を稼げる対策をして その間に発見することを期待
侵入→基盤構築→目的達成 LAN 内部サーバ File,DB,Apps… 外部サーバ Web,Mail,DNS… DMZ Internet 踏み台 基盤 構築
IPA「高度標的型攻撃」に向けた システム設計ガイド
IPA「高度標的型攻撃」対策ガイドに おけるシステム対策リスト(一部)  設定変更で 可能な対策 を中心に具 体的に列挙
インシデントレスポンスは どうあるべきか  組織内体制の整備(CSIRT)が必要  シーサート(CSIRT: Computer Security Incident Response Team)とは、コンピュータセ キュリティにかかるインシデントに対処するための組織 の総称です。インシデント関連情報、脆弱性情報、攻 撃予兆情報を常に収集、分析し、対応方針や手順の 策定などの活動をします。(日本シーサート協議会HP より)  IRは技術だけでは不十分  営利企業では対処は経営判断に直結  法的対応には法務部門等とのリンクが不可欠
緊急時対応計画の策定法  イメージとしては「火災時の計画」  ただ、「消火」と「再発防止」まで自分でやる必要 インシデント 発生 監視結果 内部通報 外部通報 明らかな 災害 CISO 連絡 担当 渉外 担当 システム 担当 広報 内部統制 顧客対応 マスコミ対応 警察対応 応急措置 原因究明 仮復旧 原状復帰 再発防止 報告作成
役割分担  CISO:権限を与え、対策を指示し、責任を負う  緊急時の分限の範囲は予め決めておくべき  システム管理者は普段からCISOと仲良く♪  信頼関係が必要予算が必要な場合「お願い」も必要  必要に応じてCISOを普段から「教育」しておく  渉外担当:情報を一元化  勝手にそれぞれが応対すると混乱を招く(特にマスコミ相手)  情報公開が遅れても批判の矢面だから専従は必須  ただし独断で動いてはいけない  システム担当  実際のトラブルシューター  必要に応じてCISOや渉外に情報をあげる
終わりに  セキュリティポリシーの認知はもう上がらない?  PDCAがあまり回ってる気がしない  形骸化の危険  一方でリスク要因の変化は大きい  特に内部犯行はあまりこれまで語られなかったが 今後は怖いのでは…  結局、大きな事故が起きるまで 現状は続くのでしょうか… 29
必要なリソース  IPAがいくつもよい資料を作っています  https://www.ipa.go.jp/security/vuln/newatta ck.html  インシデントレスポンスについては 米国NIST SP800-61をIPAが日本語訳  https://www.ipa.go.jp/security/publications/ nist/  デジタルフォレンジック研究会が 証拠保全についてガイドライン  http://www.digitalforensic.jp/  ただしこれはかなりシビアな(外部の専門家による調 査が入るような)状況が想定されている

Recommended

DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るDBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るUEHARA, Tetsutaro
 
Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」UEHARA, Tetsutaro
 
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティUEHARA, Tetsutaro
 
20120628ビッグデータとプライバシー
20120628ビッグデータとプライバシー20120628ビッグデータとプライバシー
20120628ビッグデータとプライバシーUEHARA, Tetsutaro
 
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)UEHARA, Tetsutaro
 
Dbsj2020 seminar
Dbsj2020 seminarDbsj2020 seminar
Dbsj2020 seminarUEHARA, Tetsutaro
 
20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answerSAKURUG co.
 
2016年8月3日開催セキュリティセミナー オープニングスライド
2016年8月3日開催セキュリティセミナー オープニングスライド2016年8月3日開催セキュリティセミナー オープニングスライド
2016年8月3日開催セキュリティセミナー オープニングスライドNHN テコラス株式会社
 

Recommended

DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るDBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るUEHARA, Tetsutaro
 
Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」UEHARA, Tetsutaro
 
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティUEHARA, Tetsutaro
 
20120628ビッグデータとプライバシー
20120628ビッグデータとプライバシー20120628ビッグデータとプライバシー
20120628ビッグデータとプライバシーUEHARA, Tetsutaro
 
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)UEHARA, Tetsutaro
 
Dbsj2020 seminar
Dbsj2020 seminarDbsj2020 seminar
Dbsj2020 seminarUEHARA, Tetsutaro
 
20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answerSAKURUG co.
 
2016年8月3日開催セキュリティセミナー オープニングスライド
2016年8月3日開催セキュリティセミナー オープニングスライド2016年8月3日開催セキュリティセミナー オープニングスライド
2016年8月3日開催セキュリティセミナー オープニングスライドNHN テコラス株式会社
 
人的要因から見た情報セキュリティ(Japanese)
人的要因から見た情報セキュリティ(Japanese)人的要因から見た情報セキュリティ(Japanese)
人的要因から見た情報セキュリティ(Japanese)Toru Nakata
 
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~UEHARA, Tetsutaro
 
2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?itforum-roundtable
 
マイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティマイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティUEHARA, Tetsutaro
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?グローバルセキュリティエキスパート株式会社(GSX)
 
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践itforum-roundtable
 
情報漏洩対策 20のツボ
情報漏洩対策 20のツボ情報漏洩対策 20のツボ
情報漏洩対策 20のツボToru Nakata
 
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Masakazu Kishima
 
Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2
Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2
Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2Bloombase
 
組織にばれない情報漏洩の手法
組織にばれない情報漏洩の手法組織にばれない情報漏洩の手法
組織にばれない情報漏洩の手法Lumin Hacker
 
SNSを始めとした情報化社会における危険性とメリット
SNSを始めとした情報化社会における危険性とメリットSNSを始めとした情報化社会における危険性とメリット
SNSを始めとした情報化社会における危険性とメリットKatsuhiro Morishita
 
2018年のセキュリティを振り返る
2018年のセキュリティを振り返る2018年のセキュリティを振り返る
2018年のセキュリティを振り返るAkitadaOmagari
 
Azure sentinel ことはじめ
Azure sentinel ことはじめAzure sentinel ことはじめ
Azure sentinel ことはじめMasakazu Kishima
 
マイナンバーがもたらすインパクト
マイナンバーがもたらすインパクトマイナンバーがもたらすインパクト
マイナンバーがもたらすインパクトUEHARA, Tetsutaro
 
最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策itforum-roundtable
 
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~MPN Japan
 
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~decode2016
 
Project15 mid
Project15 midProject15 mid
Project15 midssuserb3dd41
 
Project mids
Project midsProject mids
Project midsssuserb3dd41
 
広島大学情報セキュリティ・コンプライアンス2017
広島大学情報セキュリティ・コンプライアンス2017広島大学情報セキュリティ・コンプライアンス2017
広島大学情報セキュリティ・コンプライアンス2017imc-isec-comp
 
150828大学のセキュリティ
150828大学のセキュリティ150828大学のセキュリティ
150828大学のセキュリティUEHARA, Tetsutaro
 
2014年の不正アクセス(まっちゃ139 2014.12.13)
2014年の不正アクセス(まっちゃ139 2014.12.13)2014年の不正アクセス(まっちゃ139 2014.12.13)
2014年の不正アクセス(まっちゃ139 2014.12.13)UEHARA, Tetsutaro
 

More Related Content

What's hot

人的要因から見た情報セキュリティ(Japanese)
人的要因から見た情報セキュリティ(Japanese)人的要因から見た情報セキュリティ(Japanese)
人的要因から見た情報セキュリティ(Japanese)Toru Nakata
 
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~UEHARA, Tetsutaro
 
2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?itforum-roundtable
 
マイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティマイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティUEHARA, Tetsutaro
 
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践itforum-roundtable
 
情報漏洩対策 20のツボ
情報漏洩対策 20のツボ情報漏洩対策 20のツボ
情報漏洩対策 20のツボToru Nakata
 
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Masakazu Kishima
 
Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2
Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2
Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2Bloombase
 
組織にばれない情報漏洩の手法
組織にばれない情報漏洩の手法組織にばれない情報漏洩の手法
組織にばれない情報漏洩の手法Lumin Hacker
 
SNSを始めとした情報化社会における危険性とメリット
SNSを始めとした情報化社会における危険性とメリットSNSを始めとした情報化社会における危険性とメリット
SNSを始めとした情報化社会における危険性とメリットKatsuhiro Morishita
 
2018年のセキュリティを振り返る
2018年のセキュリティを振り返る2018年のセキュリティを振り返る
2018年のセキュリティを振り返るAkitadaOmagari
 
Azure sentinel ことはじめ
Azure sentinel ことはじめAzure sentinel ことはじめ
Azure sentinel ことはじめMasakazu Kishima
 
マイナンバーがもたらすインパクト
マイナンバーがもたらすインパクトマイナンバーがもたらすインパクト
マイナンバーがもたらすインパクトUEHARA, Tetsutaro
 
最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策itforum-roundtable
 
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~MPN Japan
 
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~decode2016
 
広島大学情報セキュリティ・コンプライアンス2017
広島大学情報セキュリティ・コンプライアンス2017広島大学情報セキュリティ・コンプライアンス2017
広島大学情報セキュリティ・コンプライアンス2017imc-isec-comp
 

What's hot (20)

人的要因から見た情報セキュリティ(Japanese)
人的要因から見た情報セキュリティ(Japanese)人的要因から見た情報セキュリティ(Japanese)
人的要因から見た情報セキュリティ(Japanese)
 
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
 
2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?
 
マイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティマイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティ
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
 
情報漏洩対策 20のツボ
情報漏洩対策 20のツボ情報漏洩対策 20のツボ
情報漏洩対策 20のツボ
 
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
 
Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2
Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2
Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2
 
組織にばれない情報漏洩の手法
組織にばれない情報漏洩の手法組織にばれない情報漏洩の手法
組織にばれない情報漏洩の手法
 
SNSを始めとした情報化社会における危険性とメリット
SNSを始めとした情報化社会における危険性とメリットSNSを始めとした情報化社会における危険性とメリット
SNSを始めとした情報化社会における危険性とメリット
 
2018年のセキュリティを振り返る
2018年のセキュリティを振り返る2018年のセキュリティを振り返る
2018年のセキュリティを振り返る
 
Azure sentinel ことはじめ
Azure sentinel ことはじめAzure sentinel ことはじめ
Azure sentinel ことはじめ
 
マイナンバーがもたらすインパクト
マイナンバーがもたらすインパクトマイナンバーがもたらすインパクト
マイナンバーがもたらすインパクト
 
最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策
 
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~
 
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
 
Project15 mid
Project15 midProject15 mid
Project15 mid
 
Project mids
Project midsProject mids
Project mids
 
広島大学情報セキュリティ・コンプライアンス2017
広島大学情報セキュリティ・コンプライアンス2017広島大学情報セキュリティ・コンプライアンス2017
広島大学情報セキュリティ・コンプライアンス2017
 

Viewers also liked

150828大学のセキュリティ
150828大学のセキュリティ150828大学のセキュリティ
150828大学のセキュリティUEHARA, Tetsutaro
 
2014年の不正アクセス(まっちゃ139 2014.12.13)
2014年の不正アクセス(まっちゃ139 2014.12.13)2014年の不正アクセス(まっちゃ139 2014.12.13)
2014年の不正アクセス(まっちゃ139 2014.12.13)UEHARA, Tetsutaro
 
情報ネットワーク法学会2014個人情報保護条例パネル
情報ネットワーク法学会2014個人情報保護条例パネル情報ネットワーク法学会2014個人情報保護条例パネル
情報ネットワーク法学会2014個人情報保護条例パネルUEHARA, Tetsutaro
 
法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!UEHARA, Tetsutaro
 
企業セキュリティ対策の転換点
企業セキュリティ対策の転換点企業セキュリティ対策の転換点
企業セキュリティ対策の転換点UEHARA, Tetsutaro
 
Ipsj77フォレンジック研究動向
Ipsj77フォレンジック研究動向Ipsj77フォレンジック研究動向
Ipsj77フォレンジック研究動向UEHARA, Tetsutaro
 
ハードディスクの正しい消去(2015.7)
ハードディスクの正しい消去(2015.7)ハードディスクの正しい消去(2015.7)
ハードディスクの正しい消去(2015.7)UEHARA, Tetsutaro
 
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」UEHARA, Tetsutaro
 
今さら聞けないマイナンバー
今さら聞けないマイナンバー今さら聞けないマイナンバー
今さら聞けないマイナンバーUEHARA, Tetsutaro
 
学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティUEHARA, Tetsutaro
 
20160924自治体セキュリティ
20160924自治体セキュリティ20160924自治体セキュリティ
20160924自治体セキュリティUEHARA, Tetsutaro
 

Viewers also liked (11)

150828大学のセキュリティ
150828大学のセキュリティ150828大学のセキュリティ
150828大学のセキュリティ
 
2014年の不正アクセス(まっちゃ139 2014.12.13)
2014年の不正アクセス(まっちゃ139 2014.12.13)2014年の不正アクセス(まっちゃ139 2014.12.13)
2014年の不正アクセス(まっちゃ139 2014.12.13)
 
情報ネットワーク法学会2014個人情報保護条例パネル
情報ネットワーク法学会2014個人情報保護条例パネル情報ネットワーク法学会2014個人情報保護条例パネル
情報ネットワーク法学会2014個人情報保護条例パネル
 
法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!
 
企業セキュリティ対策の転換点
企業セキュリティ対策の転換点企業セキュリティ対策の転換点
企業セキュリティ対策の転換点
 
Ipsj77フォレンジック研究動向
Ipsj77フォレンジック研究動向Ipsj77フォレンジック研究動向
Ipsj77フォレンジック研究動向
 
ハードディスクの正しい消去(2015.7)
ハードディスクの正しい消去(2015.7)ハードディスクの正しい消去(2015.7)
ハードディスクの正しい消去(2015.7)
 
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
 
今さら聞けないマイナンバー
今さら聞けないマイナンバー今さら聞けないマイナンバー
今さら聞けないマイナンバー
 
学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ
 
20160924自治体セキュリティ
20160924自治体セキュリティ20160924自治体セキュリティ
20160924自治体セキュリティ
 

Similar to 京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」

サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状itforum-roundtable
 
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintGartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintsatoru koyama
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜Riotaro OKADA
 
SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題Katsuhide Hirai
 
Softonic journal 2012年11月号
Softonic journal 2012年11月号Softonic journal 2012年11月号
Softonic journal 2012年11月号softonicjapan
 
インシデントレスポンスとシステム管理
インシデントレスポンスとシステム管理インシデントレスポンスとシステム管理
インシデントレスポンスとシステム管理UEHARA, Tetsutaro
 
2018年3月 日経BPセミナー
2018年3月 日経BPセミナー2018年3月 日経BPセミナー
2018年3月 日経BPセミナーRuo Ando
 
医療機関へのサイバー攻撃の現状と危機管理対応、将来構想(提言)について
医療機関へのサイバー攻撃の現状と危機管理対応、将来構想(提言)について医療機関へのサイバー攻撃の現状と危機管理対応、将来構想(提言)について
医療機関へのサイバー攻撃の現状と危機管理対応、将来構想(提言)についてHealthcareBitStation
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...Amazon Web Services Japan
 
サイバーセキュリティ対策の自動化に向けた機械学習技術の活用 [TTCセミナー, 2017/9/12]
サイバーセキュリティ対策の自動化に向けた機械学習技術の活用 [TTCセミナー, 2017/9/12]サイバーセキュリティ対策の自動化に向けた機械学習技術の活用 [TTCセミナー, 2017/9/12]
サイバーセキュリティ対策の自動化に向けた機械学習技術の活用 [TTCセミナー, 2017/9/12]Takeshi Takahashi
 
サイバーセキュリティ向上に向けたAI技術の利活用
サイバーセキュリティ向上に向けたAI技術の利活用サイバーセキュリティ向上に向けたAI技術の利活用
サイバーセキュリティ向上に向けたAI技術の利活用Takeshi Takahashi
 

Similar to 京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」 (20)

サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
 
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
 
P41 Thompson Jp[1]
P41 Thompson Jp[1]P41 Thompson Jp[1]
P41 Thompson Jp[1]
 
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintGartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprint
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
 
SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題
 
IoTセキュリティの課題
IoTセキュリティの課題IoTセキュリティの課題
IoTセキュリティの課題
 
Cyber Security3.0 Apr.2015
Cyber Security3.0 Apr.2015Cyber Security3.0 Apr.2015
Cyber Security3.0 Apr.2015
 
Softonic journal 2012年11月号
Softonic journal 2012年11月号Softonic journal 2012年11月号
Softonic journal 2012年11月号
 
インシデントレスポンスとシステム管理
インシデントレスポンスとシステム管理インシデントレスポンスとシステム管理
インシデントレスポンスとシステム管理
 
Newsletter201102
Newsletter201102Newsletter201102
Newsletter201102
 
6 9security2
6 9security26 9security2
6 9security2
 
2018年3月 日経BPセミナー
2018年3月 日経BPセミナー2018年3月 日経BPセミナー
2018年3月 日経BPセミナー
 
医療機関へのサイバー攻撃の現状と危機管理対応、将来構想(提言)について
医療機関へのサイバー攻撃の現状と危機管理対応、将来構想(提言)について医療機関へのサイバー攻撃の現状と危機管理対応、将来構想(提言)について
医療機関へのサイバー攻撃の現状と危機管理対応、将来構想(提言)について
 
Newsletter20110202
Newsletter20110202Newsletter20110202
Newsletter20110202
 
6 9security
6 9security6 9security
6 9security
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
 
Zero trust
Zero trustZero trust
Zero trust
 
サイバーセキュリティ対策の自動化に向けた機械学習技術の活用 [TTCセミナー, 2017/9/12]
サイバーセキュリティ対策の自動化に向けた機械学習技術の活用 [TTCセミナー, 2017/9/12]サイバーセキュリティ対策の自動化に向けた機械学習技術の活用 [TTCセミナー, 2017/9/12]
サイバーセキュリティ対策の自動化に向けた機械学習技術の活用 [TTCセミナー, 2017/9/12]
 
サイバーセキュリティ向上に向けたAI技術の利活用
サイバーセキュリティ向上に向けたAI技術の利活用サイバーセキュリティ向上に向けたAI技術の利活用
サイバーセキュリティ向上に向けたAI技術の利活用
 

More from UEHARA, Tetsutaro

クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とはクラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とはUEHARA, Tetsutaro
 
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)UEHARA, Tetsutaro
 
シンクライアントの解説
シンクライアントの解説シンクライアントの解説
シンクライアントの解説UEHARA, Tetsutaro
 
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたいPPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたいUEHARA, Tetsutaro
 
データベースセキュリティの重要課題
データベースセキュリティの重要課題データベースセキュリティの重要課題
データベースセキュリティの重要課題UEHARA, Tetsutaro
 
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性UEHARA, Tetsutaro
 
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへシステム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへUEHARA, Tetsutaro
 
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けてサイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けてUEHARA, Tetsutaro
 
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現UEHARA, Tetsutaro
 
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題UEHARA, Tetsutaro
 
サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理UEHARA, Tetsutaro
 
サマータイム実施は不可能である
サマータイム実施は不可能であるサマータイム実施は不可能である
サマータイム実施は不可能であるUEHARA, Tetsutaro
 
だいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライドだいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライドUEHARA, Tetsutaro
 
ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)UEHARA, Tetsutaro
 
デジタル・フォレンジックとOSS
デジタル・フォレンジックとOSSデジタル・フォレンジックとOSS
デジタル・フォレンジックとOSSUEHARA, Tetsutaro
 
CSS2017キャンドルスターセッション
CSS2017キャンドルスターセッションCSS2017キャンドルスターセッション
CSS2017キャンドルスターセッションUEHARA, Tetsutaro
 

More from UEHARA, Tetsutaro (17)

クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とはクラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
 
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
 
シンクライアントの解説
シンクライアントの解説シンクライアントの解説
シンクライアントの解説
 
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたいPPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたい
 
データベースセキュリティの重要課題
データベースセキュリティの重要課題データベースセキュリティの重要課題
データベースセキュリティの重要課題
 
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性
 
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへシステム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへ
 
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けてサイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けて
 
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現
 
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題
 
サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理
 
サマータイム実施は不可能である
サマータイム実施は不可能であるサマータイム実施は不可能である
サマータイム実施は不可能である
 
だいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライドだいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライド
 
ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)
 
証拠保全とは?
証拠保全とは?証拠保全とは?
証拠保全とは?
 
デジタル・フォレンジックとOSS
デジタル・フォレンジックとOSSデジタル・フォレンジックとOSS
デジタル・フォレンジックとOSS
 
CSS2017キャンドルスターセッション
CSS2017キャンドルスターセッションCSS2017キャンドルスターセッション
CSS2017キャンドルスターセッション
 

京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」

  • 2. 大学という組織の特殊性 一般事務 ○ガバナンス △重要情報 教務 △ガバナンス ◎重要情報 研究 ×ガバナンス ?重要情報 職員学生教員 ルールに従う 時に官僚的 「お客様」だったり 構成員だったり 組織の一員だったり 個人事業主的だったり
  • 3. セキュリティのカナメ: 高等教育機関の情報セキュリティポリシー  H12年7月政府の「情報セキュリティポリシーに関 するガイドライン」で大枠が決定  H14年3月「大学における情報セキュリティポリシーの 考え方」  H17年12月「政府機関の情報セキュリティ対策の ための統一基準」を受けてサンプルが作られる  H19年2月「高等教育機関の情報セキュリティ対策のた めのサンプル規程集」  その後、政府機関統一基準は改訂を繰り返す  「高等教育機関の~サンプル規程集」も追随
  • 4. H12年7月 情報セキュリティポリシーに関するガイドライン 政府機関はセキュリティポリシーを策定運用する義務 政府側 PDCAサイクル H17年9月 政府機関の情報セキュリティ対策の強化に関する基本方針 政府機関はセキュリティポリシーを統一基準に順ずるよう見直す義務 H14年3月 大学における情報セキュリティ ポリシーの考え方 各大学への策定要請(国立大は義務) 省庁別 ポリシー 省庁別 ポリシー 省庁別 ポリシー H17年12月 政府機関の情報セキュリティ対策のための統一基準 大学側 H18年9月 政府機関統一基準適用個別マニュアル群(実施手順書雛形) 省庁別ポリシー見直し 情報系3学会 →IEICE H19年2月 高等教育機関の情報セキュリティ対策のための サンプル規程集(大学向けポリシーの雛形) H19年6月 政府機関の情報セキュリティ対策のための統一基準(第二版) 政府機関はセキュリティポリシーを統一基準に順ずるよう見直す義務 7大学+NII H15年1月 高等教育機関に おけるネットワーク 運用ガイドライン 大学の ポリシー 大学の ポリシー 大学の ポリシー PDCA NIIが主導・実態は統一基準+IEICEガイドライン H19年10月 高等教育機関の情報セキュリティ対策のための サンプル規程集の追加・見直し 60p 32p 約300p 大学ポリシー見直し 64p PDCAサイクル H24年4月 政府機関の情報セキュリティ対策のための統一基準群(H24版) 政府機関はセキュリティポリシーを統一基準に順ずるよう見直す義務 約600p 76p PDCAサイクル H25年7月 高等教育機関の情報セキュリティ対策のための サンプル規程集(2013年版) H26年5月 政府機関の情報セキュリティ対策のための統一基準群(H26版)
  • 5. 大学での情報セキュリティーポリシーは 機能しているか  政府統一基準はほぼ毎年変更  サンプル規定集は少し遅れて変更  各大学のレベルではどうか  PDCAが機能するためには組織にメスが必要  国公立に比べて私学は…?  そもそも大学はより「セキュア」になったか?  変化する外的要因に対し リスクの見直しは出来ているか???
  • 6. かつてのリスク要因  「踏み台」  サーバ乗っ取り →他への攻撃 SPAMばらまき  Bot植え付け  学生の「悪さ」  著作権違反事案など  「個人情報漏洩」  多くは事故 (紛失&盗難)  被害実態はとにかく 報道&世論は 漏洩件数に敏感 →ブランド毀損を 避けるために 対策が必要 結局、あまり直接的被害ではなかった…
  • 7. しかし今はサイバー犯罪は「金になる」  2013年「リスト型アカウント攻撃」の急増  ネットバンキング等を狙った不正送金激増  2012年64件4800万円 2013年1315件14億円今年はそれ以上  特に法人向け口座が狙われる  マルウェアの高度化  詐欺手口の多様化  SNSアカウント乗っ取りによる詐欺など
  • 8. 2011年頃から我が国において 重要機関における事故が続く  2011年9月三菱重工へのサイバー攻撃  防衛関連機密が狙われたとみられる  2011年10~11月衆参両院へのサイバー攻撃  標的型メール攻撃を用いてサーバに侵入 議員のメールが盗み見されるなどの被害  2011年11月総務省に標的型メール攻撃  詳細不明  2012年1月JAXAでウィルス感染発覚  NASA関連技術を含む重要機密が漏洩  2012年7月財務省でウィルス感染発覚  過去2年にわたって継続的に情報漏えい?  2013年1月農水省へのサイバー攻撃  内部文書124点(うち機密性2が85点)流出 TPP交渉に関わる記録など漏洩
  • 9. 2013年 最高レベルの企業が次々に  2月巨大ネット企業が相次いで被害  facebookにゼロデイ攻撃  Apple, Javaの脆弱性を突かれマルウェア感染  Microsoft Mac製品開発部門が被害  5月Yahoo!Japanの認証サーバに攻撃  最大2200万件のID+PWハッシュが流出  146万人分の「秘密の質問」流出  韓国では2波に渡る攻撃が  3月銀行やテレビ局に対する業務妨害  6~7月政府機関やメディアに対する妨害  4年前から続く一連の攻撃の一部?
  • 11. 多様化する攻撃者像 愉快犯→思想犯明確な目的 技術誇示目的 思想信条の表現 「集団暴走」 怨恨 金銭目的 破壊工作・諜報 さらに外部か内部かなど…
  • 12. いま大学が本当に恐れるべきは…  「サイバー諜報」  不正アクセスや マルウェアを きっかけにした 高度な諜報戦  攻撃の高度化により 従来の対策では 検知が困難に  「内部犯罪」  業務の電算化が進み 効率化と引き替えに リスクは高まる  定員外職員の増加 アウトソーシング増加 ロイヤリティに頼った 人的セキュリティは無理 どんな情報でも換金出来る時代になり 潜在的脅威は高まっているはず…?
  • 13. 「セキュリティ」と「リスク」は表裏一体 セキュリティ 安全 Safety 安心 Trustworthy 信頼 Dependablity リスク Risk  セキュリティを高めるのが「セキュリティマネジメント」 →それにより「リスク」が軽減する これに事故(インシデント)発生時対応を加えて 「リスクコントロール」を実現する13
  • 14. リスクを評価し対応する リスクアセスメント リスクの 把握・特定 リスクの 分析・評価 リスク対応 (リスクマネジメント) リスク 許容 リスク低減 受容(技術・運用等) 可能? リスク回避 (業務見直し等) リスク移転 (保険等) NO YES 岡村久道「これでわかった会社の 内部統制」など
  • 15. リスクの大きさ・確率と対応の関係 L (被 害 ) リスク回避 (業務見直し等) P (発生確率) リスク 許容 リスク低減 (技術・運用等) リスク移転 (保険等) 佐々木良一:「ITリスクの考え方」より
  • 16. ITリスクの特殊性  ITが生む利便性は比較的見えやすいが 同時に持ち込むリスクはなかなか見えない  運用コストや情報セキュリティ上の危機の見えにくさ  ITは複雑な技術:評価が難しい  たとえ利便性が見えても、必要性や費用対効果の即断は困難  ITによるインシデントは発生確率が 外的要因に激しく左右される  脆弱性の発見、攻撃法の流行、見えない「攻撃者の意思」  攻撃力は「資金」や「マンパワー」ではなく 純粋に「技術」で決まる  ITでは「生産者責任」がなかなか取られない歴史的経緯  いくらバグを出しても免責されるソフトウェア会社 16
  • 17. 経営層やシステム管理者に 求められる常識・・・  ITによる効率化は危機も呼び込むことになる  業者はリスクには責任を負わない・負えない →事故発生時の被害は経営層が評価すべき →業務単位のリスク評価は経営層の責任  リスク対策の勘所は「運用現場」にこそ見えている →細部のリスク対策は現場から上に上げるべき  事故の発生確率は0にできない  だからこそ事故の 予防策だけではなく 事後対策も重要 17
  • 18. リスク評価はトップダウン リスク対策はボトムアップ 学長 教員・職員 情報・情報機器 重要業務の リスク評価 重要情報の リスク対策
  • 19. トップダウンのメリット  重要な情報(機密)の保護にはコストがかかる  リソースの配分に権限がある人は 細部のどこに重要な「情報」があるか 理解が及ばない  一方、重要な「業務」は把握しやすい リスクも想像が及びやすい  決定の迅速化、対策のメリハリ  但し適切なリソース配分には 結局細部のリスク評価が欠かせないことに注意  それを現場から「リスク対策案」とともに吸い上げる
  • 20. 重要業務領域に対して…  情報セキュリティ対策を適切に講じる  まずは王道をしっかり=入口対策  「入口を狭く」ファイアウォール・多段proxy・認証強化・VPN  「入口での検知」ウィルス対策・IDS・スパムフィルタ  「入られないように」脆弱性対策・URLフィルタリング  入られた後の被害を押さえる=真中対策~出口対策 (内部犯行対策も兼ねる)  暗号化の適用・重要なデータの分離  ログ監視・分析・アノマリ検出  インシデントレスポンス&フォレンジックス  被害拡大の防止  正確な被害の特定→原因特定→再発防止 何より事故は起こることを前提にする
  • 21. 堅牢なシステムはまず 堅牢なWebシステムから  発注時に「健康診断」を 例えば IPAの 一連の 文書を 参照
  • 22. もはや「入れないようにする」のは困難  多層防御多段階防御はもう常識  入口対策+出口対策+「真ん中対策」  攻撃の各段階で可能な限り 攻撃者の手を縛る「意地悪セキュリティ」 初期侵入から目的達成までは 時間がかかっているはず 時間を稼げる対策をして その間に発見することを期待
  • 23. 侵入→基盤構築→目的達成 LAN 内部サーバ File,DB,Apps… 外部サーバ Web,Mail,DNS… DMZ Internet 踏み台 基盤 構築
  • 25. IPA「高度標的型攻撃」対策ガイドに おけるシステム対策リスト(一部)  設定変更で 可能な対策 を中心に具 体的に列挙
  • 26. インシデントレスポンスは どうあるべきか  組織内体制の整備(CSIRT)が必要  シーサート(CSIRT: Computer Security Incident Response Team)とは、コンピュータセ キュリティにかかるインシデントに対処するための組織 の総称です。インシデント関連情報、脆弱性情報、攻 撃予兆情報を常に収集、分析し、対応方針や手順の 策定などの活動をします。(日本シーサート協議会HP より)  IRは技術だけでは不十分  営利企業では対処は経営判断に直結  法的対応には法務部門等とのリンクが不可欠
  • 27. 緊急時対応計画の策定法  イメージとしては「火災時の計画」  ただ、「消火」と「再発防止」まで自分でやる必要 インシデント 発生 監視結果 内部通報 外部通報 明らかな 災害 CISO 連絡 担当 渉外 担当 システム 担当 広報 内部統制 顧客対応 マスコミ対応 警察対応 応急措置 原因究明 仮復旧 原状復帰 再発防止 報告作成
  • 28. 役割分担  CISO:権限を与え、対策を指示し、責任を負う  緊急時の分限の範囲は予め決めておくべき  システム管理者は普段からCISOと仲良く♪  信頼関係が必要予算が必要な場合「お願い」も必要  必要に応じてCISOを普段から「教育」しておく  渉外担当:情報を一元化  勝手にそれぞれが応対すると混乱を招く(特にマスコミ相手)  情報公開が遅れても批判の矢面だから専従は必須  ただし独断で動いてはいけない  システム担当  実際のトラブルシューター  必要に応じてCISOや渉外に情報をあげる
  • 29. 終わりに  セキュリティポリシーの認知はもう上がらない?  PDCAがあまり回ってる気がしない  形骸化の危険  一方でリスク要因の変化は大きい  特に内部犯行はあまりこれまで語られなかったが 今後は怖いのでは…  結局、大きな事故が起きるまで 現状は続くのでしょうか… 29
  • 30. 必要なリソース  IPAがいくつもよい資料を作っています  https://www.ipa.go.jp/security/vuln/newatta ck.html  インシデントレスポンスについては 米国NIST SP800-61をIPAが日本語訳  https://www.ipa.go.jp/security/publications/ nist/  デジタルフォレンジック研究会が 証拠保全についてガイドライン  http://www.digitalforensic.jp/  ただしこれはかなりシビアな(外部の専門家による調 査が入るような)状況が想定されている