Submit Search
Upload
Security days 2016「セキュリティ対策の転換点」
•
Download as PPTX, PDF
•
20 likes
•
5,400 views
UEHARA, Tetsutaro
Follow
2016.10.3 Security Days 大阪での講演資料
Read less
Read more
Technology
Report
Share
Report
Share
1 of 28
Download now
Recommended
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)
UEHARA, Tetsutaro
20120628ビッグデータとプライバシー
20120628ビッグデータとプライバシー
UEHARA, Tetsutaro
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
UEHARA, Tetsutaro
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
UEHARA, Tetsutaro
企業セキュリティ対策の転換点
企業セキュリティ対策の転換点
UEHARA, Tetsutaro
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
UEHARA, Tetsutaro
150828大学のセキュリティ
150828大学のセキュリティ
UEHARA, Tetsutaro
Dbsj2020 seminar
Dbsj2020 seminar
UEHARA, Tetsutaro
Recommended
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)
UEHARA, Tetsutaro
20120628ビッグデータとプライバシー
20120628ビッグデータとプライバシー
UEHARA, Tetsutaro
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
UEHARA, Tetsutaro
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
UEHARA, Tetsutaro
企業セキュリティ対策の転換点
企業セキュリティ対策の転換点
UEHARA, Tetsutaro
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
UEHARA, Tetsutaro
150828大学のセキュリティ
150828大学のセキュリティ
UEHARA, Tetsutaro
Dbsj2020 seminar
Dbsj2020 seminar
UEHARA, Tetsutaro
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
UEHARA, Tetsutaro
情報セキュリティCAS 第六十一回放送用スライド
情報セキュリティCAS 第六十一回放送用スライド
Kumasan, LLC.
20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer
SAKURUG co.
SNSを始めとした情報化社会における危険性とメリット
SNSを始めとした情報化社会における危険性とメリット
Katsuhiro Morishita
2018年のセキュリティを振り返る
2018年のセキュリティを振り返る
AkitadaOmagari
情報漏洩対策 20のツボ
情報漏洩対策 20のツボ
Toru Nakata
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
NHN テコラス株式会社
20160924自治体セキュリティ
20160924自治体セキュリティ
UEHARA, Tetsutaro
【NWR】0417勉強会「ソーシャルネットワークと犯罪」
【NWR】0417勉強会「ソーシャルネットワークと犯罪」
nwrnet
20200925 iret tech labo #2
20200925 iret tech labo #2
Toshiaki Aoike
ハードディスクの正しい消去(2015.7)
ハードディスクの正しい消去(2015.7)
UEHARA, Tetsutaro
学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ
UEHARA, Tetsutaro
法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!
UEHARA, Tetsutaro
マイナンバーがもたらすインパクト
マイナンバーがもたらすインパクト
UEHARA, Tetsutaro
2014年の不正アクセス(まっちゃ139 2014.12.13)
2014年の不正アクセス(まっちゃ139 2014.12.13)
UEHARA, Tetsutaro
情報ネットワーク法学会2014個人情報保護条例パネル
情報ネットワーク法学会2014個人情報保護条例パネル
UEHARA, Tetsutaro
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
株式会社スカイアーチネットワークス
知ることから始めるセキュリティ対策
知ることから始めるセキュリティ対策
はなずきん Hana
IBM Guardium Webセミナー資料_2013年11月
IBM Guardium Webセミナー資料_2013年11月
Takayuki Nakayama
CEDEC2014 不正コピーとチートの攻防戦 上原使用スライド
CEDEC2014 不正コピーとチートの攻防戦 上原使用スライド
UEHARA, Tetsutaro
バ、バカな...!ハッカソンの中で成長しているだと...!?
バ、バカな...!ハッカソンの中で成長しているだと...!?
Kenji Tanaka
Activ.2 mod ii
Activ.2 mod ii
jhonatan Velasquez Cespedes
More Related Content
What's hot
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
UEHARA, Tetsutaro
情報セキュリティCAS 第六十一回放送用スライド
情報セキュリティCAS 第六十一回放送用スライド
Kumasan, LLC.
20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer
SAKURUG co.
SNSを始めとした情報化社会における危険性とメリット
SNSを始めとした情報化社会における危険性とメリット
Katsuhiro Morishita
2018年のセキュリティを振り返る
2018年のセキュリティを振り返る
AkitadaOmagari
情報漏洩対策 20のツボ
情報漏洩対策 20のツボ
Toru Nakata
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
NHN テコラス株式会社
20160924自治体セキュリティ
20160924自治体セキュリティ
UEHARA, Tetsutaro
【NWR】0417勉強会「ソーシャルネットワークと犯罪」
【NWR】0417勉強会「ソーシャルネットワークと犯罪」
nwrnet
20200925 iret tech labo #2
20200925 iret tech labo #2
Toshiaki Aoike
What's hot
(10)
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
情報セキュリティCAS 第六十一回放送用スライド
情報セキュリティCAS 第六十一回放送用スライド
20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer
SNSを始めとした情報化社会における危険性とメリット
SNSを始めとした情報化社会における危険性とメリット
2018年のセキュリティを振り返る
2018年のセキュリティを振り返る
情報漏洩対策 20のツボ
情報漏洩対策 20のツボ
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
20160924自治体セキュリティ
20160924自治体セキュリティ
【NWR】0417勉強会「ソーシャルネットワークと犯罪」
【NWR】0417勉強会「ソーシャルネットワークと犯罪」
20200925 iret tech labo #2
20200925 iret tech labo #2
Viewers also liked
ハードディスクの正しい消去(2015.7)
ハードディスクの正しい消去(2015.7)
UEHARA, Tetsutaro
学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ
UEHARA, Tetsutaro
法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!
UEHARA, Tetsutaro
マイナンバーがもたらすインパクト
マイナンバーがもたらすインパクト
UEHARA, Tetsutaro
2014年の不正アクセス(まっちゃ139 2014.12.13)
2014年の不正アクセス(まっちゃ139 2014.12.13)
UEHARA, Tetsutaro
情報ネットワーク法学会2014個人情報保護条例パネル
情報ネットワーク法学会2014個人情報保護条例パネル
UEHARA, Tetsutaro
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
株式会社スカイアーチネットワークス
知ることから始めるセキュリティ対策
知ることから始めるセキュリティ対策
はなずきん Hana
IBM Guardium Webセミナー資料_2013年11月
IBM Guardium Webセミナー資料_2013年11月
Takayuki Nakayama
CEDEC2014 不正コピーとチートの攻防戦 上原使用スライド
CEDEC2014 不正コピーとチートの攻防戦 上原使用スライド
UEHARA, Tetsutaro
バ、バカな...!ハッカソンの中で成長しているだと...!?
バ、バカな...!ハッカソンの中で成長しているだと...!?
Kenji Tanaka
Activ.2 mod ii
Activ.2 mod ii
jhonatan Velasquez Cespedes
ClubDB2 第197回 DBセキュリティを一緒に考えよう
ClubDB2 第197回 DBセキュリティを一緒に考えよう
aiichiro
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
UEHARA, Tetsutaro
データベースセキュリティ
データベースセキュリティ
Yasuo Ohgaki
Web担当者が知っておくべきPHPとセキュリティ
Web担当者が知っておくべきPHPとセキュリティ
Yasuo Ohgaki
今さら聞けないマイナンバー
今さら聞けないマイナンバー
UEHARA, Tetsutaro
マイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティ
UEHARA, Tetsutaro
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
Yasuhiro Horiuchi
Viewers also liked
(19)
ハードディスクの正しい消去(2015.7)
ハードディスクの正しい消去(2015.7)
学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ
法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!
マイナンバーがもたらすインパクト
マイナンバーがもたらすインパクト
2014年の不正アクセス(まっちゃ139 2014.12.13)
2014年の不正アクセス(まっちゃ139 2014.12.13)
情報ネットワーク法学会2014個人情報保護条例パネル
情報ネットワーク法学会2014個人情報保護条例パネル
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
知ることから始めるセキュリティ対策
知ることから始めるセキュリティ対策
IBM Guardium Webセミナー資料_2013年11月
IBM Guardium Webセミナー資料_2013年11月
CEDEC2014 不正コピーとチートの攻防戦 上原使用スライド
CEDEC2014 不正コピーとチートの攻防戦 上原使用スライド
バ、バカな...!ハッカソンの中で成長しているだと...!?
バ、バカな...!ハッカソンの中で成長しているだと...!?
Activ.2 mod ii
Activ.2 mod ii
ClubDB2 第197回 DBセキュリティを一緒に考えよう
ClubDB2 第197回 DBセキュリティを一緒に考えよう
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
データベースセキュリティ
データベースセキュリティ
Web担当者が知っておくべきPHPとセキュリティ
Web担当者が知っておくべきPHPとセキュリティ
今さら聞けないマイナンバー
今さら聞けないマイナンバー
マイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティ
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
Similar to Security days 2016「セキュリティ対策の転換点」
人的要因から見た情報セキュリティ(Japanese)
人的要因から見た情報セキュリティ(Japanese)
Toru Nakata
クラウドインフラに求められるセキュリティ
クラウドインフラに求められるセキュリティ
Miho Yamamoto
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
NHN テコラス株式会社
Panel 20130301pub
Panel 20130301pub
神戸大学
20130203北大・ビッグデータとプライバシー
20130203北大・ビッグデータとプライバシー
UEHARA, Tetsutaro
従業員が知っておくべき新三大情報セキュリティ事故
従業員が知っておくべき新三大情報セキュリティ事故
良徳 齋藤
フィッシングメールの見破り方
フィッシングメールの見破り方
AkitadaOmagari
120606 コンプラホットライン
120606 コンプラホットライン
d1koueisha
企業の情報漏えいにおける理由とその対策
企業の情報漏えいにおける理由とその対策
星花 岩重
8(haifu)
8(haifu)
TomonariMurata
最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策
itforum-roundtable
120606 コンプラホットライン
120606 コンプラホットライン
d1koueisha
120606 コンプラホットライン
120606 コンプラホットライン
d1koueisha
情報セキュリティCAS 第三十二回放送用スライド
情報セキュリティCAS 第三十二回放送用スライド
Kumasan, LLC.
Newsletter201102
Newsletter201102
one corporation
CSIRT研修サービス
CSIRT研修サービス
IBMソリューション
Session1 handsout
Session1 handsout
Takayoshi Nakayama
Storesafe070615
Storesafe070615
Bloombase
Similar to Security days 2016「セキュリティ対策の転換点」
(18)
人的要因から見た情報セキュリティ(Japanese)
人的要因から見た情報セキュリティ(Japanese)
クラウドインフラに求められるセキュリティ
クラウドインフラに求められるセキュリティ
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
Panel 20130301pub
Panel 20130301pub
20130203北大・ビッグデータとプライバシー
20130203北大・ビッグデータとプライバシー
従業員が知っておくべき新三大情報セキュリティ事故
従業員が知っておくべき新三大情報セキュリティ事故
フィッシングメールの見破り方
フィッシングメールの見破り方
120606 コンプラホットライン
120606 コンプラホットライン
企業の情報漏えいにおける理由とその対策
企業の情報漏えいにおける理由とその対策
8(haifu)
8(haifu)
最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策
120606 コンプラホットライン
120606 コンプラホットライン
120606 コンプラホットライン
120606 コンプラホットライン
情報セキュリティCAS 第三十二回放送用スライド
情報セキュリティCAS 第三十二回放送用スライド
Newsletter201102
Newsletter201102
CSIRT研修サービス
CSIRT研修サービス
Session1 handsout
Session1 handsout
Storesafe070615
Storesafe070615
More from UEHARA, Tetsutaro
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
UEHARA, Tetsutaro
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
UEHARA, Tetsutaro
シンクライアントの解説
シンクライアントの解説
UEHARA, Tetsutaro
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたい
UEHARA, Tetsutaro
データベースセキュリティの重要課題
データベースセキュリティの重要課題
UEHARA, Tetsutaro
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性
UEHARA, Tetsutaro
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへ
UEHARA, Tetsutaro
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けて
UEHARA, Tetsutaro
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現
UEHARA, Tetsutaro
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題
UEHARA, Tetsutaro
サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理
UEHARA, Tetsutaro
サマータイム実施は不可能である
サマータイム実施は不可能である
UEHARA, Tetsutaro
だいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライド
UEHARA, Tetsutaro
ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)
UEHARA, Tetsutaro
証拠保全とは?
証拠保全とは?
UEHARA, Tetsutaro
デジタル・フォレンジックとOSS
デジタル・フォレンジックとOSS
UEHARA, Tetsutaro
CSS2017キャンドルスターセッション
CSS2017キャンドルスターセッション
UEHARA, Tetsutaro
More from UEHARA, Tetsutaro
(18)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
シンクライアントの解説
シンクライアントの解説
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたい
データベースセキュリティの重要課題
データベースセキュリティの重要課題
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへ
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けて
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題
サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理
サマータイム実施は不可能である
サマータイム実施は不可能である
だいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライド
ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)
証拠保全とは?
証拠保全とは?
デジタル・フォレンジックとOSS
デジタル・フォレンジックとOSS
CSS2017キャンドルスターセッション
CSS2017キャンドルスターセッション
Recently uploaded
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
sugiuralab
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
Recently uploaded
(8)
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Security days 2016「セキュリティ対策の転換点」
1.
セキュリティ対策の転換点 立命館大学 情報理工学部 上原哲太郎
2.
情報システム担当の悩み 情報漏洩は 許されない! インシデントは あってはならない! 情報システムは 組織のインフラ トラブルは即 業務の停止に ITによる 業務の 効率化を Under Pressure! ITシステ ムのコス ト圧縮を
3.
常に火消しに追われる我々 標的型 攻撃 情報漏洩 紛失事故 ランサム ウェア 情報の 持ち出し
4.
事故原因を「人」から見る 愉快犯→思想犯 目的を持つ外部犯 技術誇示目的 最近はメインは「金銭」「諜報」の模様 思想信条の表現 怨恨 金銭目的 破壊工作・諜報 内部の事故 ミス・ポリシー違反 目的を持つ内部犯 怨恨
金銭目的
5.
やはり内部不正は怖い 大規模で深刻な漏洩は内部不正が多い 宇治市住民基本台帳漏洩事件(1999) 教育事業者からDB持出転売事件(2014)
: 委託先 ISPからのDB持出・脅迫事件(2004) : 元従業員 証券会社顧客DB持出事件(2009) : 正社員 堺市DB漏洩事件(2015): 正職員 その他原因が分からないものも多数 漏洩情報の悪用目的が明確だと 大量漏洩につながる
6.
2014~15年の主な事件 (IPA報告書より) 不正競争 防止法改正で 刑事事件化 しやすく なったが 抑止効果は 十分ではない
7.
内部不正の原因? IPA「内部不正による情報セキュリティ インシデント実態調査」2016.3 過失:故意=6:4
過失というより悪用意図のないカジュアルな違反 USBメモリ5割、メール3割 しかし中小企業ではほぼUSB禁止されてない 経営者は技術的・物理的対策を重視するが 内部不正経験者は監視と罰則が有効と回答 内部不正経験者はその半数が「シス管」 うち6割が「兼務シス管」
8.
まずは人的対策を IPA内部不正防止 ガイドライン(3版) 犯行を難しくする
捕まるリスクを高める 犯行の見返りを減らす 犯行の誘因を減らす 犯罪の弁明をさせない
9.
データベースセキュリティコンソーシアム 「データベース内部不正対策ガイドライン」 DB管理者を中心に 「誘因」「抑制」 「運用」に分けて リスクポイントを分析 対策を記述
10.
サイバー攻撃は相変わらず メールが中心 たまにWeb 年金機構も某旅行代理店もメールが発端 初期攻撃は脆弱性利用ではない
単純な不正アクセス、特に Webアプリケーションの脆弱性を突く例が 相対的に目立たなくなっている印象 少しは脆弱性が減ってる? 一方、近年はランサムウェアが…
11.
このパターンは相変わらず… LAN 内部サーバ File,DB,Apps… 外部サーバ Web,Mail,DNS… DMZ Internet 踏み台 基盤 構築 情報収集→初期侵入→基盤構築→内部調査→攻撃先特定→目的実行 初期侵入 目的 実行
12.
年金機構事件だって似たような構図 基幹系 年金データ 情報系 共用サーバ 情報提供NWシステム データの移送 標的型 メール 攻撃 情報の流出 何が問題か? GSOC
13.
「監視」を中心とした対策: IPA「高度標的型攻撃」対策ガイド ポイントは 「侵入されないこと」 ではなく 「侵入されたことを 発見しやすい」 「侵入されても被害が 大きくなりにくい」 システムにすること 監視体制構築が課題
14.
メール対策しろと言われても 標的型メール 対策してね! ご無体な! いくら防衛しても 標的型メールは届く! どんなに訓練しても 誰かがメールを開く! マルウェア対策 していたって 標的型なら防げない! どこか良い ツールを 探してきて! でも予算は 限られてる からね!
15.
さすがにメールは限界ではないか? メールに対するさまざまな対策はあるが… 発信者認証(DKIM/SPF,
DMARC, S/MIME) 普及に課題・UI変更や教育も課題 メール向けマルウェア対策 特にサンドボックス製品のコストが課題 添付ファイル「無害化」 コスト・作業効率の問題 メールを使わない方が実は楽では? ファイルのクラウドストレージを介した交換 事実上の発信者認証の徹底 別のメッセージング手段の確保
16.
年金機構事件を受けた 自治体情報セキュリティ「強靭化」 3つの柱 連絡報告体制の整備
CSIRTの整備 ネットワークの系統分離 特にインターネットと業務系の分離 自治体情報セキュリティクラウドの整備 サーバを外に出す SOCサービスの導入
17.
セ キ ュ リ テ ィ ク ラ ウ ド 「あるべき姿」と されるもの 住基ネット接続系 文書管理 施設予約 ・・・ LG-WAN接続系 インターネット系 Web メール 議会録 提供・・ フ ァ イ ア ウ ォ ー ル ま た は 未 接 続 LGWAN FW/文書交換 システム等 住基ネット FW/GWサーバ FW 住基CS LGWAN ASPへ イ ン タ ー ネ ッ ト ファイアウォール SOC監視 住民の マイナンバー 職員の マイナンバー ここの切断が どこまで出来るか? 特にメールの移送問題が! LGWAN ASP
18.
こんな声をいっぱい聴く羽目に ネットを切り離されると 仕事にならない! 強靭化を決めた人たちは 現場を知らなさすぎる!
19.
We know! 仕事に甚大な影響があるのは百も承知だが、 他に手はないのではないか?
自治体に十分な監視体制はとれるか? インシデントレスポンスは迅速にできるか? 住民を納得させられるのか?? 現状、外部からの攻撃はほとんどが 「バイナリを実行させる」ことで成立 バイナリを混入可能なファイルを 下手に扱わないことが最大の対策 でもそれでは「仕事にならない?」
20.
出てきたいろんなソリューション 仮想PCの活用 インターネット系に置いた仮想PCを 画面転送型で業務系から遠隔利用し ネットの情報を閲覧
ファイル「無害化」 インターネット系のファイルを業務系に 取り込む際に一度ファイルを変換して マルウェアのリスクを限りなく減らす
21.
この方向に未来はあるのか 監視を強化して「事故前提」にするのは あらゆる組織に適用可能な方向ではない 「分離して安全」にすると業務効率が下がる
セキュリティにコストをかけても 「業務が効率化」しているのか問わないと 何のために情報システムを入れるのか? コスト低減 ベネフィット リスク=Σ(L×P) L:損失 P:発生確率
22.
今までを振り返りつつ考えると… セキュリティ対策 =現行業務システム +対策製品 できるだけ 業務変更を 小さくしたい 現場の声を尊重 …でもそろそろ 限界なのでは? コストばかり増大 どうせ業務への 影響は無視できない 同じ我慢してもらう なら、やるべきは…
23.
メールの「添付ファイル」に頼った 業務フローを見直す 添付ファイルは現場レベルで ワークフローを構築しやすい だが、それが大きなリスクを生んでいる
メールは送信者が確認できない メールは暗号化できない PW付zipなど「勝手暗号化」がかえって セキュリティ対策を殺してしまうジレンマ これらの対策は存在するが普及が課題 それならば定型化した業務は 「認証のしっかりしたWeb App」に 移した方が効率化とセキュリティ対策が 両立できるのでは?
24.
パソコン以外で仕事をする タブレットOSの安全さを利用する パソコンタブレット マルウェア対策の コストが桁違い! 本当にPCでないと 出来ない仕事は Web化で減ったはず
25.
本当にそれは必要か、を問う 添付ファイルつき メールは業者との 連絡に必須で… 基幹システムに 決裁システムがあって そこにネットからの 文書を添付しないと… メールじゃなくて ファイル授受サーバを クラウド上に作れば? 本当にdocファイル じゃないとだめなの? 決裁のためなら 画像で十分じゃ? 現場から「業務情報化」のアイデアは出ない! 業務の現状を分析して「セキュアな方法」を提示
26.
本当に必要なのは何か? 情報システム全体を 最初からセキュリティ対策しておくのは もちろんのこととして・・・ 「仕事のやり方」を変えて効率化を
いつまで情報機器を清書機にするのか いつまで「印鑑文化」を維持するのか セキュリティ対策で 「業務効率が常に下がる」のは本末転倒 「結果的に業務効率が上がる」ことを示し 「業務のやり方を変える」ことを 現場に受け入れさせられるかが勝負では?!
27.
標的はシステムではなく「人」 人にデータを食わせるWebとメール 脆弱性管理はしっかりやる(当然!) その上で、現状狙われているのは 「人」に不定型なデータを拾わせる機会 本当にそのデータを人手で扱わせるのは 必要なのかもう一度問い直そう CSVを落として 列を加えて コピペして 一部手で直して 再度Upload… データ選択 クリック おわり!
28.
今後はこれを比較しよう 業務改善 システム化 コスト セキュリティ 対策コスト セキュリティのために仕事をするのではなく 仕事のためにITを使い、そこにセキュリティを見いだす 28業務の「セキュリティ・バイ・デザイン」を!
Download now