Suche senden
Hochladen
171216 今からでも間に合う セキュリティ監査
•
1 gefällt mir
•
266 views
A
Asami Kuniyoshi
Folgen
20171216 .NETラボ 勉強会 2017年12月
Weniger lesen
Mehr lesen
Technologie
Melden
Teilen
Melden
Teilen
1 von 24
Empfohlen
Secure Navi
Secure Navi
TakumiKudaka
JPC2017 [F2-1] Microsoft 365を働き方改革に合わせて利用するためのセキュリティとは
JPC2017 [F2-1] Microsoft 365を働き方改革に合わせて利用するためのセキュリティとは
MPN Japan
【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築
【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築
cloudconductor
企業情報システムのブレークスルー 〜CPSプラットフォームの提案〜
企業情報システムのブレークスルー 〜CPSプラットフォームの提案〜
Miki Yutani
ビジネスファーストアプローチで、データガバナンス戦略を構築する方法
ビジネスファーストアプローチで、データガバナンス戦略を構築する方法
Precisely
IT業界理解お助け資料V2.0
IT業界理解お助け資料V2.0
Jun Chiba
杉並診断士会向けKintoneご紹介コンテンツr2
杉並診断士会向けKintoneご紹介コンテンツr2
junji kumooka
Social GAME における AI 活用事例 [第 4 回 Google Cloud INSIDE Games & Apps]
Social GAME における AI 活用事例 [第 4 回 Google Cloud INSIDE Games & Apps]
Google Cloud Platform - Japan
Empfohlen
Secure Navi
Secure Navi
TakumiKudaka
JPC2017 [F2-1] Microsoft 365を働き方改革に合わせて利用するためのセキュリティとは
JPC2017 [F2-1] Microsoft 365を働き方改革に合わせて利用するためのセキュリティとは
MPN Japan
【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築
【Interop Tokyo 2015】クラウドオーケストレーションと仮想データセンターが描く、明日からのシステム構築
cloudconductor
企業情報システムのブレークスルー 〜CPSプラットフォームの提案〜
企業情報システムのブレークスルー 〜CPSプラットフォームの提案〜
Miki Yutani
ビジネスファーストアプローチで、データガバナンス戦略を構築する方法
ビジネスファーストアプローチで、データガバナンス戦略を構築する方法
Precisely
IT業界理解お助け資料V2.0
IT業界理解お助け資料V2.0
Jun Chiba
杉並診断士会向けKintoneご紹介コンテンツr2
杉並診断士会向けKintoneご紹介コンテンツr2
junji kumooka
Social GAME における AI 活用事例 [第 4 回 Google Cloud INSIDE Games & Apps]
Social GAME における AI 活用事例 [第 4 回 Google Cloud INSIDE Games & Apps]
Google Cloud Platform - Japan
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
グローバルセキュリティエキスパート株式会社(GSX)
Keywordmap for sns
Keywordmap for sns
KotaroTamai
Ace 20171017
Ace 20171017
Seiji Noro
SHIRASAGI Introduction OSC nagoya 2016
SHIRASAGI Introduction OSC nagoya 2016
Naokazu Nohara
Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認
Tech Summit 2016
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
aslead
IoTとAIが牽引するエンタープライズシステムの新展開
IoTとAIが牽引するエンタープライズシステムの新展開
Miki Yutani
非エンジニアのためのIt業界
非エンジニアのためのIt業界
Hideto Masuoka
JPC2018[D1]「信頼できるCloud」のために ― マイクロソフト法務部門からお伝えしたいこと
JPC2018[D1]「信頼できるCloud」のために ― マイクロソフト法務部門からお伝えしたいこと
MPN Japan
最強のセキュリティでIoTを実装する方法
最強のセキュリティでIoTを実装する方法
Shinji Saito
20171201 deep learning lab albert
20171201 deep learning lab albert
Hirono Jumpei
エンジニアも知っておきたいAI倫理のはなし
エンジニアも知っておきたいAI倫理のはなし
Yasunori Nihei
(草案)ThinkingEngine20220909概要資料.pdf
(草案)ThinkingEngine20220909概要資料.pdf
ssuserf221071
情報セキュリティ教育クラウド「セキュリオ」サービス資料.pdf
情報セキュリティ教育クラウド「セキュリオ」サービス資料.pdf
ssuser4bfaca
Jtf2018 自律的運用に向けた第一歩
Jtf2018 自律的運用に向けた第一歩
Daisuke Ikeda
2020/05/18 Alibaba cloud AIソリューションセミナー
2020/05/18 Alibaba cloud AIソリューションセミナー
寛之 松浦
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
aslead
アクセス解析サミット2011「データドリブンなチームを目指せ」
アクセス解析サミット2011「データドリブンなチームを目指せ」
Makoto Shimizu
HDC2022:Track A - 脅威ハンティング
HDC2022:Track A - 脅威ハンティング
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...
S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...
日本マイクロソフト株式会社
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
Weitere ähnliche Inhalte
Ähnlich wie 171216 今からでも間に合う セキュリティ監査
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
グローバルセキュリティエキスパート株式会社(GSX)
Keywordmap for sns
Keywordmap for sns
KotaroTamai
Ace 20171017
Ace 20171017
Seiji Noro
SHIRASAGI Introduction OSC nagoya 2016
SHIRASAGI Introduction OSC nagoya 2016
Naokazu Nohara
Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認
Tech Summit 2016
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
aslead
IoTとAIが牽引するエンタープライズシステムの新展開
IoTとAIが牽引するエンタープライズシステムの新展開
Miki Yutani
非エンジニアのためのIt業界
非エンジニアのためのIt業界
Hideto Masuoka
JPC2018[D1]「信頼できるCloud」のために ― マイクロソフト法務部門からお伝えしたいこと
JPC2018[D1]「信頼できるCloud」のために ― マイクロソフト法務部門からお伝えしたいこと
MPN Japan
最強のセキュリティでIoTを実装する方法
最強のセキュリティでIoTを実装する方法
Shinji Saito
20171201 deep learning lab albert
20171201 deep learning lab albert
Hirono Jumpei
エンジニアも知っておきたいAI倫理のはなし
エンジニアも知っておきたいAI倫理のはなし
Yasunori Nihei
(草案)ThinkingEngine20220909概要資料.pdf
(草案)ThinkingEngine20220909概要資料.pdf
ssuserf221071
情報セキュリティ教育クラウド「セキュリオ」サービス資料.pdf
情報セキュリティ教育クラウド「セキュリオ」サービス資料.pdf
ssuser4bfaca
Jtf2018 自律的運用に向けた第一歩
Jtf2018 自律的運用に向けた第一歩
Daisuke Ikeda
2020/05/18 Alibaba cloud AIソリューションセミナー
2020/05/18 Alibaba cloud AIソリューションセミナー
寛之 松浦
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
aslead
アクセス解析サミット2011「データドリブンなチームを目指せ」
アクセス解析サミット2011「データドリブンなチームを目指せ」
Makoto Shimizu
HDC2022:Track A - 脅威ハンティング
HDC2022:Track A - 脅威ハンティング
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...
S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...
日本マイクロソフト株式会社
Ähnlich wie 171216 今からでも間に合う セキュリティ監査
(20)
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
Keywordmap for sns
Keywordmap for sns
Ace 20171017
Ace 20171017
SHIRASAGI Introduction OSC nagoya 2016
SHIRASAGI Introduction OSC nagoya 2016
Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
IoTとAIが牽引するエンタープライズシステムの新展開
IoTとAIが牽引するエンタープライズシステムの新展開
非エンジニアのためのIt業界
非エンジニアのためのIt業界
JPC2018[D1]「信頼できるCloud」のために ― マイクロソフト法務部門からお伝えしたいこと
JPC2018[D1]「信頼できるCloud」のために ― マイクロソフト法務部門からお伝えしたいこと
最強のセキュリティでIoTを実装する方法
最強のセキュリティでIoTを実装する方法
20171201 deep learning lab albert
20171201 deep learning lab albert
エンジニアも知っておきたいAI倫理のはなし
エンジニアも知っておきたいAI倫理のはなし
(草案)ThinkingEngine20220909概要資料.pdf
(草案)ThinkingEngine20220909概要資料.pdf
情報セキュリティ教育クラウド「セキュリオ」サービス資料.pdf
情報セキュリティ教育クラウド「セキュリオ」サービス資料.pdf
Jtf2018 自律的運用に向けた第一歩
Jtf2018 自律的運用に向けた第一歩
2020/05/18 Alibaba cloud AIソリューションセミナー
2020/05/18 Alibaba cloud AIソリューションセミナー
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
NRI事例に学ぶ、”検索”による大規模システム開発の生産性向上
アクセス解析サミット2011「データドリブンなチームを目指せ」
アクセス解析サミット2011「データドリブンなチームを目指せ」
HDC2022:Track A - 脅威ハンティング
HDC2022:Track A - 脅威ハンティング
S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...
S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...
Kürzlich hochgeladen
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
Kürzlich hochgeladen
(10)
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
171216 今からでも間に合う セキュリティ監査
1.
Ver 1.0 更新日 :
2017 年 12 月 15 日
2.
自己紹介 • 國吉 麻美(Kuniyoshi
Asami) – 株式会社エクシード・ワン(http://www.exceedone.co.jp/) – 業務部 – Microsoft MVP • 主な業務 – Office365設計・導入・構築・運用サポート – ECサイト立ち上げ(2018/01月OPEN予定) – 不動産・金融会社へ常駐し、サポート業務 2
3.
企業にとって大事なミッション •売り上げ •資金管理 •コンプライアンス管理 •セキュリティ 3
4.
そもそもセキュリティ監査って? 自組織の情報資産に対して、 情報セキュリティ対策が適切に行われていることを 法令や規則に照らし合わせて (第三者が)点検・評価すること。 4
5.
何でセキュリティ監査制度が作られたのか? 5 情報 スパイ 侵入 ウィル ス 内部犯罪 データ改ざん なりすまし 盗難 盗聴
6.
何でセキュリティ監査制度が作られたのか? 組織の情報セキュリティの取組みや、有効性を 検証・評価する制度として、 「情報セキュリティ監査制度」が作られる。 6
7.
何で監査が必要なのか? • 第三者に対しての信頼獲得 • 業界基準などへの適合性の評価 •
課題の明確化 7
8.
実際の企業例 8 取締役社長 内部監査 リスク コンプライアンス 管理部 ユーザ ・監督省庁 ・監査法人 取引先からのIT監査 システム監査 社内
9.
LOG・証跡として収集している物(申請関連) • 管理関連 –特権ID申請 –リモート接続申請 9 • ユーザ関連 –WEB閲覧申請 –ソフトウェアインストール申請 –外部データ出力申請書 –入退社ユーザ一覧 –メーリングリスト作成・設定
10.
LOG・証跡として収集している物(ユーザ環境データ) • 外部データ出力ログ • Webサイトアクセス制限、ログ •
フォルダ・ファイルのアクセスログ ★定期的にログと申請書での差異が ないか、確認している。 10
11.
棚卸確認作業 毎月1回(月末)に棚卸作業を行う 11
12.
棚卸確認作業 でも 毎月の棚卸し作業は、 『難しい』のが現実 12
13.
管理台帳 13 • ユーザ名 • 部署名 •
PC名 • ログインID • メールアドレス • メールパスワード • メール転送設定の有無 • iPhoneのiOSアップデート日 • iPhoneの端末番号・電話 番号 • iPhoneのロック解除パス・ 機能制限パス • PC資産番号 • 管理番号 • PC機器名 • PCスペック 等
14.
メーリングリスト 14
15.
メールデータバックアップ メールデータもとても重要なデータ 対象: ●退職者のデータ ●既存のユーザ 15
16.
メールバックアップ 簡単に取れなくなった!? 今まで「インプレース電子情報開示と保留リスト」でバックアップ ↓ 「コンテンツの検索」でしか、データが取れなくなります。 16
17.
「コンテンツの検索」 使いづらい。。。 今までは、簡単に「インプレース電子情報開示」 ↓ これからは「コンテンツの検索」のみ 17
18.
Penetration test(ペネトレーションテスト) 18 通称:ペンテスト、ペネトレ、 脆弱性が悪用された場合 どのような影響があるかを攻撃者の目線で 検証することを重点にしたテスト
19.
Penetration test(ペネトレーションテスト) 19 社外からの攻撃だけ防げば 安心って本当ですか?
20.
調査範囲 20 ルータ サーバルーム ADサーバ Fileサーバ SQLサーバ
Info Tracer L2Blocker WSUS ・・・ 部署A 部署B
21.
価格帯 21 プラン 考え方 金額感 松
全端末を徹底的に調査 225万 竹 最重要個所は全数調査、 業務PCは部署が同じならば概ね同じ状況にあると考え、 サンプリング調査 105万 梅 最も重要な箇所に絞って調査を実施 60~90万
22.
ペネトレ終わった後は ●報告書を提出してもらう(ペネトレ テスター) ●報告書に基づいて、改善のアドバイスをもらう。 (ペネトレ テスター&情報システム) ●社内で対策計画を立てる。(情報システム) ●対策実行(情報システム) 22
23.
クラウドは “危ない” のか 情報セキュリティ監査から見ても、 クラウドは危なくない!! 23
24.
確認は必要です。 ■クラウドサービス事業者が行うべき 主要な情報セキュリティ対策 ●データセンターの災害対策・侵入対策 など ●データがバックアップされているか ●ハードウェア機器の障害対策 ●仮想サーバなどのOS、ソフトウェア、アプリケーション等の 脆弱性(ぜいじゃくせい)の判定と対策 等 24