Submit Search
Upload
個人情報の観点から見るサイトセキュリティの重要性
•
0 likes
•
292 views
Yoshinori OHTA
Follow
2018-02-26 Akamai主催「人材サイト成功事例セミナー」のキーノートセッションで使用したスライドです。
Read less
Read more
Internet
Report
Share
Report
Share
1 of 70
Download now
Download to read offline
Recommended
これからの KYC と Identity on Blockchain の動向
これからの KYC と Identity on Blockchain の動向
Naohiro Fujie
OpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of Information
Tatsuya (達也) Katsuhara (勝原)
自己主権型IDと分散型ID
自己主権型IDと分散型ID
Naohiro Fujie
20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public
Tatsuya (達也) Katsuhara (勝原)
Introduction of Bridging IMS and Internet Identity
Introduction of Bridging IMS and Internet Identity
Tatsuya (達也) Katsuhara (勝原)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
Tatsuya (達也) Katsuhara (勝原)
Start up datingセキュリティセミナー120628(割愛版)
Start up datingセキュリティセミナー120628(割愛版)
Miki Amemiya
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
Tatsuya (達也) Katsuhara (勝原)
Recommended
これからの KYC と Identity on Blockchain の動向
これからの KYC と Identity on Blockchain の動向
Naohiro Fujie
OpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of Information
Tatsuya (達也) Katsuhara (勝原)
自己主権型IDと分散型ID
自己主権型IDと分散型ID
Naohiro Fujie
20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public
Tatsuya (達也) Katsuhara (勝原)
Introduction of Bridging IMS and Internet Identity
Introduction of Bridging IMS and Internet Identity
Tatsuya (達也) Katsuhara (勝原)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
Tatsuya (達也) Katsuhara (勝原)
Start up datingセキュリティセミナー120628(割愛版)
Start up datingセキュリティセミナー120628(割愛版)
Miki Amemiya
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
Tatsuya (達也) Katsuhara (勝原)
フィッシングとドメイン名・DNS
フィッシングとドメイン名・DNS
Shiojiri Ohhara
フィッシングメール
フィッシングメール
Shiojiri Ohhara
見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威
Shiojiri Ohhara
JWT Translation #technight
JWT Translation #technight
Nov Matake
Sh exricise
Sh exricise
hironorinonaka
03 heisei31spring
03 heisei31spring
ssuser9eba68
Oidc how it solves your problems
Oidc how it solves your problems
Nat Sakimura
Shibboleth IdP V3とアカデミックIDフェデレーション - OpenID Summit 2015
Shibboleth IdP V3とアカデミックIDフェデレーション - OpenID Summit 2015
OpenID Foundation Japan
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
Tatsuya (達也) Katsuhara (勝原)
20200122 エンタープライズ ブロックチェーン オラクル資料
20200122 エンタープライズ ブロックチェーン オラクル資料
オラクルエンジニア通信
20200122 なぜ企業はブロックチェーン応用に取り組むのか
20200122 なぜ企業はブロックチェーン応用に取り組むのか
オラクルエンジニア通信
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
Masanori KAMAYAMA
ランサムウェアのおはなし
ランサムウェアのおはなし
Shiojiri Ohhara
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
Masanori KAMAYAMA
SIerからみたHyperledger Fabric
SIerからみたHyperledger Fabric
TIS Blockchain Promotion Office
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
OpenID Foundation Japan
What is blockchain japanese version
What is blockchain japanese version
Tomoaki
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
Nat Sakimura
クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014
Egawa Junichi
LINE Payも取り組んでいるKYCってなんだろう?KYCの基本と最近の動向
LINE Payも取り組んでいるKYCってなんだろう?KYCの基本と最近の動向
Naohiro Fujie
Mix Leap 0214 security
Mix Leap 0214 security
adachi tomohiro
ID-based Security イニシアティブ の活動内容
ID-based Security イニシアティブ の活動内容
ID-Based Security イニシアティブ
More Related Content
What's hot
フィッシングとドメイン名・DNS
フィッシングとドメイン名・DNS
Shiojiri Ohhara
フィッシングメール
フィッシングメール
Shiojiri Ohhara
見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威
Shiojiri Ohhara
JWT Translation #technight
JWT Translation #technight
Nov Matake
Sh exricise
Sh exricise
hironorinonaka
03 heisei31spring
03 heisei31spring
ssuser9eba68
Oidc how it solves your problems
Oidc how it solves your problems
Nat Sakimura
Shibboleth IdP V3とアカデミックIDフェデレーション - OpenID Summit 2015
Shibboleth IdP V3とアカデミックIDフェデレーション - OpenID Summit 2015
OpenID Foundation Japan
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
Tatsuya (達也) Katsuhara (勝原)
20200122 エンタープライズ ブロックチェーン オラクル資料
20200122 エンタープライズ ブロックチェーン オラクル資料
オラクルエンジニア通信
20200122 なぜ企業はブロックチェーン応用に取り組むのか
20200122 なぜ企業はブロックチェーン応用に取り組むのか
オラクルエンジニア通信
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
Masanori KAMAYAMA
ランサムウェアのおはなし
ランサムウェアのおはなし
Shiojiri Ohhara
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
Masanori KAMAYAMA
SIerからみたHyperledger Fabric
SIerからみたHyperledger Fabric
TIS Blockchain Promotion Office
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
OpenID Foundation Japan
What is blockchain japanese version
What is blockchain japanese version
Tomoaki
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
Nat Sakimura
クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014
Egawa Junichi
LINE Payも取り組んでいるKYCってなんだろう?KYCの基本と最近の動向
LINE Payも取り組んでいるKYCってなんだろう?KYCの基本と最近の動向
Naohiro Fujie
What's hot
(20)
フィッシングとドメイン名・DNS
フィッシングとドメイン名・DNS
フィッシングメール
フィッシングメール
見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威
JWT Translation #technight
JWT Translation #technight
Sh exricise
Sh exricise
03 heisei31spring
03 heisei31spring
Oidc how it solves your problems
Oidc how it solves your problems
Shibboleth IdP V3とアカデミックIDフェデレーション - OpenID Summit 2015
Shibboleth IdP V3とアカデミックIDフェデレーション - OpenID Summit 2015
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
20200122 エンタープライズ ブロックチェーン オラクル資料
20200122 エンタープライズ ブロックチェーン オラクル資料
20200122 なぜ企業はブロックチェーン応用に取り組むのか
20200122 なぜ企業はブロックチェーン応用に取り組むのか
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
ランサムウェアのおはなし
ランサムウェアのおはなし
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
SIerからみたHyperledger Fabric
SIerからみたHyperledger Fabric
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
What is blockchain japanese version
What is blockchain japanese version
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014
LINE Payも取り組んでいるKYCってなんだろう?KYCの基本と最近の動向
LINE Payも取り組んでいるKYCってなんだろう?KYCの基本と最近の動向
Similar to 個人情報の観点から見るサイトセキュリティの重要性
Mix Leap 0214 security
Mix Leap 0214 security
adachi tomohiro
ID-based Security イニシアティブ の活動内容
ID-based Security イニシアティブ の活動内容
ID-Based Security イニシアティブ
20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer
SAKURUG co.
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
個人情報保護法
個人情報保護法
Toshiboumi Ohta
ネットで個人はどこまで追われているか
ネットで個人はどこまで追われているか
Yoichi Tomi
20180727 第16回 セキュリティ共有勉強会(テーマ:身近なセキュリティ )
20180727 第16回 セキュリティ共有勉強会(テーマ:身近なセキュリティ )
CloudNative Inc.
サンプルテキスト
サンプルテキスト
adwinshogatsutani
情報漏洩、マイナンバー、ビッグデータ/IoTセキュリティ対応を見据えたこれからのセキュリティ対策のポイント
情報漏洩、マイナンバー、ビッグデータ/IoTセキュリティ対応を見据えたこれからのセキュリティ対策のポイント
Eiji Sasahara, Ph.D., MBA 笹原英司
20200214 the seminar of information security
20200214 the seminar of information security
SAKURUG co.
パネルディスカッション
パネルディスカッション
NetAgent Co.,Ltd.
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
Masaaki Nabeshima
201402 ITのおくすり#11
201402 ITのおくすり#11
良威 日野
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
グローバルセキュリティエキスパート株式会社(GSX)
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
グローバルセキュリティエキスパート株式会社(GSX)
Certified network defender
Certified network defender
Trainocate Japan, Ltd.
イーパテント・トークセッション「作業効率化のためのデジタルガジェット」-内田 誠 氏 iCraft法律事務所 代表弁護士・弁理士
イーパテント・トークセッション「作業効率化のためのデジタルガジェット」-内田 誠 氏 iCraft法律事務所 代表弁護士・弁理士
e-Patent Co., Ltd.
Privacy is Personal Security, Digital Privacy is Digital Self Defense 11-18-2015
Privacy is Personal Security, Digital Privacy is Digital Self Defense 11-18-2015
Gohsuke Takama
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
UEHARA, Tetsutaro
Similar to 個人情報の観点から見るサイトセキュリティの重要性
(20)
Mix Leap 0214 security
Mix Leap 0214 security
ID-based Security イニシアティブ の活動内容
ID-based Security イニシアティブ の活動内容
20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
個人情報保護法
個人情報保護法
ネットで個人はどこまで追われているか
ネットで個人はどこまで追われているか
20180727 第16回 セキュリティ共有勉強会(テーマ:身近なセキュリティ )
20180727 第16回 セキュリティ共有勉強会(テーマ:身近なセキュリティ )
サンプルテキスト
サンプルテキスト
情報漏洩、マイナンバー、ビッグデータ/IoTセキュリティ対応を見据えたこれからのセキュリティ対策のポイント
情報漏洩、マイナンバー、ビッグデータ/IoTセキュリティ対応を見据えたこれからのセキュリティ対策のポイント
20200214 the seminar of information security
20200214 the seminar of information security
パネルディスカッション
パネルディスカッション
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
201402 ITのおくすり#11
201402 ITのおくすり#11
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
Certified network defender
Certified network defender
イーパテント・トークセッション「作業効率化のためのデジタルガジェット」-内田 誠 氏 iCraft法律事務所 代表弁護士・弁理士
イーパテント・トークセッション「作業効率化のためのデジタルガジェット」-内田 誠 氏 iCraft法律事務所 代表弁護士・弁理士
Privacy is Personal Security, Digital Privacy is Digital Self Defense 11-18-2015
Privacy is Personal Security, Digital Privacy is Digital Self Defense 11-18-2015
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
More from Yoshinori OHTA
世界を変えるクラウドサインの取り組み
世界を変えるクラウドサインの取り組み
Yoshinori OHTA
アクセシビリティvsセキュリティ ~こんな対策はいらない!~
アクセシビリティvsセキュリティ ~こんな対策はいらない!~
Yoshinori OHTA
Web制作会社とBA、ここ15年の変貌
Web制作会社とBA、ここ15年の変貌
Yoshinori OHTA
実はできているWebアクセシビリティ ヒカラボ編
実はできているWebアクセシビリティ ヒカラボ編
Yoshinori OHTA
アクセシビリティガイドラインの見方・使い方 002
アクセシビリティガイドラインの見方・使い方 002
Yoshinori OHTA
アクセシビリティからはじめる、WebサイトのUI/UXデザイン
アクセシビリティからはじめる、WebサイトのUI/UXデザイン
Yoshinori OHTA
アクセシビリティからはじめる、WebサイトのUXデザイン
アクセシビリティからはじめる、WebサイトのUXデザイン
Yoshinori OHTA
デザイニングWebアクセシビリティ 誕生秘話
デザイニングWebアクセシビリティ 誕生秘話
Yoshinori OHTA
アクセシビリティ vs セキュリティ ~こんな対策はいらない!~
アクセシビリティ vs セキュリティ ~こんな対策はいらない!~
Yoshinori OHTA
WAI-ARIAで実現するマルチデバイス環境のwebアプリケーション
WAI-ARIAで実現するマルチデバイス環境のwebアプリケーション
Yoshinori OHTA
「マシンリーダビリティ」がユーザー体験を加速する
「マシンリーダビリティ」がユーザー体験を加速する
Yoshinori OHTA
More from Yoshinori OHTA
(11)
世界を変えるクラウドサインの取り組み
世界を変えるクラウドサインの取り組み
アクセシビリティvsセキュリティ ~こんな対策はいらない!~
アクセシビリティvsセキュリティ ~こんな対策はいらない!~
Web制作会社とBA、ここ15年の変貌
Web制作会社とBA、ここ15年の変貌
実はできているWebアクセシビリティ ヒカラボ編
実はできているWebアクセシビリティ ヒカラボ編
アクセシビリティガイドラインの見方・使い方 002
アクセシビリティガイドラインの見方・使い方 002
アクセシビリティからはじめる、WebサイトのUI/UXデザイン
アクセシビリティからはじめる、WebサイトのUI/UXデザイン
アクセシビリティからはじめる、WebサイトのUXデザイン
アクセシビリティからはじめる、WebサイトのUXデザイン
デザイニングWebアクセシビリティ 誕生秘話
デザイニングWebアクセシビリティ 誕生秘話
アクセシビリティ vs セキュリティ ~こんな対策はいらない!~
アクセシビリティ vs セキュリティ ~こんな対策はいらない!~
WAI-ARIAで実現するマルチデバイス環境のwebアプリケーション
WAI-ARIAで実現するマルチデバイス環境のwebアプリケーション
「マシンリーダビリティ」がユーザー体験を加速する
「マシンリーダビリティ」がユーザー体験を加速する
個人情報の観点から見るサイトセキュリティの重要性
1.
個人情報の観点から見る サイトセキュリティの重要性 弁護士ドットコム株式会社 太田 良典
2.
自己紹介 太田 良典 弁護士ドットコム株式会社 技術統括部 エキスパートエンジニア Webアクセシビリティ、情報セキュリティ分野が専門 第二回IPA賞(情報セキュリティ部門)受賞 ウェブアクセシビリティ基盤委員会
翻訳作業部会 主査 著書「デザイニングWebアクセシビリティ」他
3.
Amazonにて「アクセシビリティ」で検索!
4.
5.
6.
今日のお話 ● 個人情報のお話 ● セキュリティのお話 ●
個人情報の観点から見るセキュリティの重要性 ● 具体的にどう対応するのか ● まとめ
7.
個人情報のお話
8.
個人情報保護法における「個人情報」の定義を要約 個人を識別できる情報を含む 「個人に関する情報」 識別できる情報 = 個人情報、ではなく それを含む「個人に関する情報」全体が個人情報
9.
個人情報 = 住所氏名ではない
10.
情報の例 ● 六本木の弁護士ドットコムの太田という人物が、 ● 転職サイトのXXXに登録していた どこからどこまでが個人情報なのか? 何を知られるとまずいのか?
11.
個人を識別できる情報 ● 六本木の弁護士ドットコムの太田という人物が、 ● 転職サイトのXXXに登録していた ○
この情報は個人を特定できる ○ こういう人物が存在すること自体は 知られても困らない
12.
プライバシーに関する情報 ● 六本木の弁護士ドットコムの太田という人物が、 ● 転職サイトのXXXに登録していた ○
転職サイトが存在すること自体は公知 ○ もちろん登録者は存在するであろう ○ 誰が登録しているかわからなければ問題ない
13.
プライバシーに関する情報 + 個人を識別 ●
六本木の弁護士ドットコムの太田という人物が、 ● 転職サイトのXXXに登録していた 単独では問題ない情報だが、結びつくと問題になる
14.
電話番号は個人情報?
15.
● 公衆電話の番号は個人情報とは考えにくい ● 携帯電話の番号は安易に知られたくない上、 個人に結びつきやすい ●
名前などと一緒に電話番号を取得すれば、 容易に個人に結びつく 電話番号は個人情報になることもある
16.
https://www.cloudsign.jp/media/20180219-mudancancel/
17.
「個人は特定できません」の落とし穴
18.
「この情報から個人を特定することはできません」 という説明はよく見かける ● 本当に特定できませんか? ● 「氏名はわかりません」にすぎないのでは? 特定できないと言い切って良いのか
19.
個人が特定できない例 「東京都 会社員 Aさん」 誰だかよくわからない ●
氏名の情報がないから? ● 氏名がない = 特定できない、と考えて良い?
20.
氏名がなくても特定できるかもしれない例 「東京都 内閣総理大臣 Aさん」 特定の人が思い浮かびませんか? ●
該当者が少ないと特定できる可能性がある ○ 先の例で特定できないのは該当者が多いから
21.
2013年のSuica情報提供問題
22.
http://www.jreast.co.jp/press/2013/20130716.pdf
23.
● 独自の識別番号 (Suica
IDそのものではない) ● 生年月日、性別 ● 乗降駅名、乗降日時 ● 鉄道利用額 氏名は削除。しかし再識別の可能性はないか? 提供された情報
24.
乗降データと個人識別 ● 乗降駅と乗降日時で個人が識別できないか? ○ 同じ時間に改札を通る人は多いため、 一見識別できないように思える ●
複数集まったらどうか? ○ 例: 8:00にA駅、9:00にB駅、10:00にC駅
25.
http://in-law.jp/archive/taikai/2013/bunkakai1-Kikuchi.pdf
26.
● 個人を識別できなくすると、 「匿名加工情報」として扱うことができる ● 特定できても素直に個人情報として扱えば良い ○
「特定できない」と言い張る必要があるか? 識別できてはダメなのか?
27.
ここまでのまとめ
28.
個人情報のお話 まとめ ● 住所氏名
= 個人情報、ではない ○ 知られては困る情報が結びつくのがまずい ● 特定できないから個人情報ではない、 という主張をするのは案外難しい ○ 個人情報として扱えば良い
29.
セキュリティのお話
30.
情報セキュリティ10大脅威
31.
https://www.ipa.go.jp/security/vuln/10threats2018.html
32.
33.
「情報セキュリティ人材の不足」は脅威なのか? 10大脅威選考会の一部メンバーからの意見 「情報セキュリティ人材の不足」は 「脅威」とは言えないのではないか?
34.
そもそも「脅威」とは何か?
35.
情報セキュリティの3大要素 : CIA ●
機密性 (Confidentiality) ○ 秘密にすべき情報が漏れてはダメ ● 完全性 (Integrity) ○ 情報を改ざんされてはダメ ● 可用性 (Availability) ○ サービスが使えなくなってはダメ
36.
個人情報の観点から見る セキュリティの重要性
37.
個人情報の保護は重要だと思いますか?
38.
JNSA「2016年 情報セキュリティインシデントに関する調査報告書」
39.
http://www.security-next.com/088071
40.
本当に重要ですか?
41.
守ろうとしない組織もある 「電話番号は個人情報ではないから守らない」 と明言する組織も存在する
42.
なぜ守る必要があるのか? ● 法で義務づけられているから守る? ● 法的義務がなければ守らない? 何を、何のために守るのか、整理できていますか?
43.
答えは一つではない ● 事業の性質によってリスクは異なる ● 組織によってポリシーやミッションは異なる リスクの分析とポリシーの策定が重要 それは他組織のコピーではあり得ない
44.
3大要素でリスクを考える
45.
機密性 (Confidentiality) 秘密にすべき情報が漏れてはダメ ● 秘密にすべき情報は何か? ○
何を守るべきか? ● 漏れたらどうなるか? ○ 経営にどういうインパクトがあるか?
46.
完全性 (Integrity) 情報を改ざんされてはダメ ● 改ざんされると困るものは何か? ○
昔と今では状況が異なるものも ● 改ざんされたらどうなるか? ○ 経営にどういうインパクトがあるか?
47.
可用性 (Availability) サービスが使えなくなってはダメ ● サービスが停止すると誰が困るか? ●
サービスが停止したらどうなるか? ○ 経営にどういうインパクトがあるか?
48.
時代によるリスクの変遷
49.
https://webmaster-ja.googleblog.com/2015/12/inde xing-https-pages-by-default.html
50.
● Webにある情報の多くは公開情報 ● 重要な操作だけピンポイントで保護 ○
IDとパスワードの入力 ○ 個人情報やカード番号の入力 ○ 管理画面の操作 昔の考え: 機密性のための暗号化
51.
● 公開情報でも改ざんには大きなリスクがある ○ ユーザーに対する偽情報の提示 ○
偽の入力フォームによる情報摂取 ● モバイルとWi-Fiの普及で改ざんリスクは上昇 ○ 偽のアクセスポイントを用意して改ざん 最近の考え: 完全性のための認証
52.
ここまでのまとめ
53.
セキュリティの話 まとめ ● セキュリティは重要だとよく言われるが、 本当に重要なのかきちんと考えておく ○
リスク分析、ポリシーの策定 ● 見直しも必要 ○ 時代によって環境も考え方も変わる
54.
具体的にどう対応するのか
55.
よくある対応 ● 製品を導入する ○ ウィルス対策ソフト、ファイアウォール、etc. ●
プロに見てもらう ○ 脆弱性診断、コンサルティング、etc. ● 社内教育 ○ ポリシーとルールの策定、定期的な研修、etc.
56.
製品を導入すれば解決するのか? 解決することもあるし、そうでないこともある ● 適切な製品を適切に運用すれば有効 ● 適切な製品が選べるのか ●
運用できるのか
57.
プロに頼れば解決するのか? 解決することもあるし、そうでないこともある ● 定期的な診断などは有効 ● サービス開始前後の相談などは有効 ●
ただし社外のプロにできることには限界もある ○ 経営判断までは踏み込めない
58.
結局は「人」の問題 ● 社内教育が重要とされる理由 ● 「情報セキュリティ人材の不足」が 「脅威」としてあげられる理由
59.
「運用」のその次へ
60.
https://landing.google.com/sre/
61.
ユーザーと向き合う
62.
ユーザーという要素 ユーザーに起因するセキュリティ問題 ● セキュリティ設定を無効にする ● 弱いパスワードを設定しようとする ●
他のサイトと同じパスワードを使いまわす →「パスワードリスト攻撃」が深刻化
63.
よくある考え ユーザーに厳しい制約を課す ● セキュリティ設定を無効にできないようにする ● 複雑なパスワードを強制する ●
パスワードを定期的に変更させる
64.
https://www.newsweekjapan.jp/stories/world/2017/05/-----2.php
65.
● 定期変更には思われているほどの効果はない ● 定期変更を強制すると、 ユーザーは弱いパスワードを使うようになる ○
変更する都度考えなければならない ○ どうせすぐ変更するものなので深く考えない パスワード定期変更が推奨されない理由
66.
ユーザーに不便を強いてはならない ● ユーザーに過剰な負担を課すと、 サービスが使いにくくなる ● その結果、ユーザーが「工夫」をしはじめて 逆に安全性が低下することもある
67.
https://connpass.com/event/55559/
68.
まとめ
69.
今日のまとめ ● 「個人に関する情報」全体が個人情報になる ○ 住所氏名
= 個人情報、ではない ● セキュリティがなぜ重要なのか考える ○ リスク分析を行う、「人」を大切にする ● ユーザーのことも考えましょう!
70.
ありがとうございました
Download now