Suche senden
Hochladen
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
•
Als PPTX, PDF herunterladen
•
12 gefällt mir
•
4,263 views
UEHARA, Tetsutaro
Folgen
2016.2.5 目黒雅叙園にて
Weniger lesen
Mehr lesen
Technologie
Melden
Teilen
Melden
Teilen
1 von 28
Jetzt herunterladen
Empfohlen
企業セキュリティ対策の転換点
企業セキュリティ対策の転換点
UEHARA, Tetsutaro
150828大学のセキュリティ
150828大学のセキュリティ
UEHARA, Tetsutaro
Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」
UEHARA, Tetsutaro
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
UEHARA, Tetsutaro
マイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティ
UEHARA, Tetsutaro
Dbsj2020 seminar
Dbsj2020 seminar
UEHARA, Tetsutaro
マイナンバーがもたらすインパクト
マイナンバーがもたらすインパクト
UEHARA, Tetsutaro
20120628ビッグデータとプライバシー
20120628ビッグデータとプライバシー
UEHARA, Tetsutaro
Empfohlen
企業セキュリティ対策の転換点
企業セキュリティ対策の転換点
UEHARA, Tetsutaro
150828大学のセキュリティ
150828大学のセキュリティ
UEHARA, Tetsutaro
Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」
UEHARA, Tetsutaro
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
UEHARA, Tetsutaro
マイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティ
UEHARA, Tetsutaro
Dbsj2020 seminar
Dbsj2020 seminar
UEHARA, Tetsutaro
マイナンバーがもたらすインパクト
マイナンバーがもたらすインパクト
UEHARA, Tetsutaro
20120628ビッグデータとプライバシー
20120628ビッグデータとプライバシー
UEHARA, Tetsutaro
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)
UEHARA, Tetsutaro
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
UEHARA, Tetsutaro
学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ
UEHARA, Tetsutaro
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
今さら聞けないマイナンバー
今さら聞けないマイナンバー
UEHARA, Tetsutaro
Secure Navi
Secure Navi
TakumiKudaka
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
NHN テコラス株式会社
20200925 iret tech labo #2
20200925 iret tech labo #2
Toshiaki Aoike
IoTセキュリティの課題
IoTセキュリティの課題
Trainocate Japan, Ltd.
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
Hiroshi Tokumaru
SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題
Katsuhide Hirai
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
Trainocate Japan, Ltd.
通信の安全を守るためにエンジニアができること
通信の安全を守るためにエンジニアができること
Kazuaki Fujikura
120606 コンプラホットライン
120606 コンプラホットライン
d1koueisha
パネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクト
Trainocate Japan, Ltd.
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
NHN テコラス株式会社
脆弱性とセキュリティの話 ホワイトハッカーが少し喋ります
脆弱性とセキュリティの話 ホワイトハッカーが少し喋ります
MunetakaSameshima
セキュアなテレワークの実現
セキュアなテレワークの実現
Trainocate Japan, Ltd.
ラック社が考える、これからの「セキュリティ・エンジニア」とは
ラック社が考える、これからの「セキュリティ・エンジニア」とは
Trainocate Japan, Ltd.
組織にばれない情報漏洩の手法
組織にばれない情報漏洩の手法
Lumin Hacker
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
UEHARA, Tetsutaro
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
UEHARA, Tetsutaro
Weitere ähnliche Inhalte
Was ist angesagt?
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)
UEHARA, Tetsutaro
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
UEHARA, Tetsutaro
学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ
UEHARA, Tetsutaro
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
今さら聞けないマイナンバー
今さら聞けないマイナンバー
UEHARA, Tetsutaro
Secure Navi
Secure Navi
TakumiKudaka
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
NHN テコラス株式会社
20200925 iret tech labo #2
20200925 iret tech labo #2
Toshiaki Aoike
IoTセキュリティの課題
IoTセキュリティの課題
Trainocate Japan, Ltd.
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
Hiroshi Tokumaru
SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題
Katsuhide Hirai
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
Trainocate Japan, Ltd.
通信の安全を守るためにエンジニアができること
通信の安全を守るためにエンジニアができること
Kazuaki Fujikura
120606 コンプラホットライン
120606 コンプラホットライン
d1koueisha
パネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクト
Trainocate Japan, Ltd.
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
NHN テコラス株式会社
脆弱性とセキュリティの話 ホワイトハッカーが少し喋ります
脆弱性とセキュリティの話 ホワイトハッカーが少し喋ります
MunetakaSameshima
セキュアなテレワークの実現
セキュアなテレワークの実現
Trainocate Japan, Ltd.
ラック社が考える、これからの「セキュリティ・エンジニア」とは
ラック社が考える、これからの「セキュリティ・エンジニア」とは
Trainocate Japan, Ltd.
組織にばれない情報漏洩の手法
組織にばれない情報漏洩の手法
Lumin Hacker
Was ist angesagt?
(20)
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
今さら聞けないマイナンバー
今さら聞けないマイナンバー
Secure Navi
Secure Navi
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
20200925 iret tech labo #2
20200925 iret tech labo #2
IoTセキュリティの課題
IoTセキュリティの課題
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
通信の安全を守るためにエンジニアができること
通信の安全を守るためにエンジニアができること
120606 コンプラホットライン
120606 コンプラホットライン
パネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクト
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
脆弱性とセキュリティの話 ホワイトハッカーが少し喋ります
脆弱性とセキュリティの話 ホワイトハッカーが少し喋ります
セキュアなテレワークの実現
セキュアなテレワークの実現
ラック社が考える、これからの「セキュリティ・エンジニア」とは
ラック社が考える、これからの「セキュリティ・エンジニア」とは
組織にばれない情報漏洩の手法
組織にばれない情報漏洩の手法
Andere mochten auch
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
UEHARA, Tetsutaro
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
UEHARA, Tetsutaro
2014年の不正アクセス(まっちゃ139 2014.12.13)
2014年の不正アクセス(まっちゃ139 2014.12.13)
UEHARA, Tetsutaro
情報ネットワーク法学会2014個人情報保護条例パネル
情報ネットワーク法学会2014個人情報保護条例パネル
UEHARA, Tetsutaro
法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!
UEHARA, Tetsutaro
20160924自治体セキュリティ
20160924自治体セキュリティ
UEHARA, Tetsutaro
Ipsj77フォレンジック研究動向
Ipsj77フォレンジック研究動向
UEHARA, Tetsutaro
ハードディスクの正しい消去(2015.7)
ハードディスクの正しい消去(2015.7)
UEHARA, Tetsutaro
Andere mochten auch
(8)
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
2014年の不正アクセス(まっちゃ139 2014.12.13)
2014年の不正アクセス(まっちゃ139 2014.12.13)
情報ネットワーク法学会2014個人情報保護条例パネル
情報ネットワーク法学会2014個人情報保護条例パネル
法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!
20160924自治体セキュリティ
20160924自治体セキュリティ
Ipsj77フォレンジック研究動向
Ipsj77フォレンジック研究動向
ハードディスクの正しい消去(2015.7)
ハードディスクの正しい消去(2015.7)
Ähnlich wie 日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
NHN テコラス株式会社
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
Newsletter20110202
Newsletter20110202
one corporation
Newsletter201102
Newsletter201102
one corporation
JPC2017 [F2-1] Microsoft 365を働き方改革に合わせて利用するためのセキュリティとは
JPC2017 [F2-1] Microsoft 365を働き方改革に合わせて利用するためのセキュリティとは
MPN Japan
【Interop Tokyo 2016】 世界最大級の脅威情報と自社ネットワークの脅威可視化
【Interop Tokyo 2016】 世界最大級の脅威情報と自社ネットワークの脅威可視化
シスコシステムズ合同会社
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
Developers Summit
Webrisk
Webrisk
ayakatoraya
06 FinTech (楽天生命)
06 FinTech (楽天生命)
Yuto Yoshida
Scalar IST のご紹介
Scalar IST のご紹介
Scalar, Inc.
120606 コンプラホットライン
120606 コンプラホットライン
d1koueisha
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
decode2016
Azure sentinel ことはじめ
Azure sentinel ことはじめ
Masakazu Kishima
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Masakazu Kishima
Lt 8 miracleご紹介資料.201502121_16対9版
Lt 8 miracleご紹介資料.201502121_16対9版
softlayerjp
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
Sen Ueno
AIとの付き合い方
AIとの付き合い方
Deep Learning Lab(ディープラーニング・ラボ)
120606 コンプラホットライン
120606 コンプラホットライン
d1koueisha
「多要素認証」と言っても色々あるんです
「多要素認証」と言っても色々あるんです
IIJ
Webアプリケーションのセキュリティ
Webアプリケーションのセキュリティ
Tokai University
Ähnlich wie 日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
(20)
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Newsletter20110202
Newsletter20110202
Newsletter201102
Newsletter201102
JPC2017 [F2-1] Microsoft 365を働き方改革に合わせて利用するためのセキュリティとは
JPC2017 [F2-1] Microsoft 365を働き方改革に合わせて利用するためのセキュリティとは
【Interop Tokyo 2016】 世界最大級の脅威情報と自社ネットワークの脅威可視化
【Interop Tokyo 2016】 世界最大級の脅威情報と自社ネットワークの脅威可視化
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
Webrisk
Webrisk
06 FinTech (楽天生命)
06 FinTech (楽天生命)
Scalar IST のご紹介
Scalar IST のご紹介
120606 コンプラホットライン
120606 コンプラホットライン
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
Azure sentinel ことはじめ
Azure sentinel ことはじめ
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Lt 8 miracleご紹介資料.201502121_16対9版
Lt 8 miracleご紹介資料.201502121_16対9版
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
AIとの付き合い方
AIとの付き合い方
120606 コンプラホットライン
120606 コンプラホットライン
「多要素認証」と言っても色々あるんです
「多要素認証」と言っても色々あるんです
Webアプリケーションのセキュリティ
Webアプリケーションのセキュリティ
Mehr von UEHARA, Tetsutaro
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
UEHARA, Tetsutaro
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
UEHARA, Tetsutaro
シンクライアントの解説
シンクライアントの解説
UEHARA, Tetsutaro
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたい
UEHARA, Tetsutaro
データベースセキュリティの重要課題
データベースセキュリティの重要課題
UEHARA, Tetsutaro
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性
UEHARA, Tetsutaro
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへ
UEHARA, Tetsutaro
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けて
UEHARA, Tetsutaro
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現
UEHARA, Tetsutaro
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題
UEHARA, Tetsutaro
サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理
UEHARA, Tetsutaro
サマータイム実施は不可能である
サマータイム実施は不可能である
UEHARA, Tetsutaro
だいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライド
UEHARA, Tetsutaro
ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)
UEHARA, Tetsutaro
証拠保全とは?
証拠保全とは?
UEHARA, Tetsutaro
デジタル・フォレンジックとOSS
デジタル・フォレンジックとOSS
UEHARA, Tetsutaro
CSS2017キャンドルスターセッション
CSS2017キャンドルスターセッション
UEHARA, Tetsutaro
Mehr von UEHARA, Tetsutaro
(18)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
シンクライアントの解説
シンクライアントの解説
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたい
データベースセキュリティの重要課題
データベースセキュリティの重要課題
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへ
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けて
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題
サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理
サマータイム実施は不可能である
サマータイム実施は不可能である
だいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライド
ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)
証拠保全とは?
証拠保全とは?
デジタル・フォレンジックとOSS
デジタル・フォレンジックとOSS
CSS2017キャンドルスターセッション
CSS2017キャンドルスターセッション
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
1.
企業を取り巻く 情報セキュリティ上の脅威と その対処 立命館大学 情報理工学部 上原哲太郎 情報セキュリティSummit 2016 Spring 2016.2.5
@ 目黒雅叙園
2.
情報セキュリティ界隈が騒がしく 企業の情報システム担当は大変 B社個人情報 大量漏洩事件 日本年金機構 情報漏洩事件 マイナンバー 制度開始 内部不正 サイバー 攻撃 法的義務
3.
ベネッセ事件の大きな構図 連絡先 など 顧客 名簿 サービス 利用者や アンケート 回答者 ベネッセの社内情報システム 管理 端末 不正な 持ち出し ベネッセ システム管理子会社 (シンフォーム) (元)社員 開発 管理 委託 業務 委託 業務受託 システム会社 名簿業者 名簿業者 名簿 流出 名簿 競合する 通信教育 事業者 流出 名簿 ダイレクト メール 利用 送付 流出 名簿 流出 名簿 データベース
4.
大きな影響が… 5次に渡る集団訴訟提起 原告計10729名
一人あたり55000円 会員数の減少 2014年4月365万人→2015年4月271万人 しかし、本当に防げた事故だったか? ちゃんと「端末管理」されていた MTP問題に事前に気づける? 私物スマホ持ち込み禁止できる空気? 他社の「持ち出し→事故」事案に比べ…
5.
ベネッセの事後対応 LACと共同で情報管理 専門会社を設立 業務システム見直し
第三者委員会による 定期的監査 ベネッセWebページより
6.
内部不正は防ぐのが大変 システム管理権限を持つ者が不正すると… アクセス制御を厳格化すると業務が…
経理不正防止と同様の考えが必要 権限最小化、相互監視、監査… 結局はガバナンスの問題 IPA「組織における内部不正防止ガイドライン」 データベース・セキュリティ・コンソーシアム 「DB内部不正対策ガイドライン1.1版」 などなど… やっぱり経営層が見てくれないとなぁ…
7.
年金機構事件の大きな構図 LAC「日本年金機構の情報漏えい事件から、我々が得られる教訓」より
8.
こんなの実は日常茶飯事 同種案件は2014年秋には… 既に100以上のEmdivi被害例
「通り魔が本気になった」だけかも? 個人情報漏洩「だけ」が騒ぎになる不幸 「個人識別情報」だから事件化・報道に 防ぐべきは悪用 守るべきはプライバシー
9.
何を反省するべきか IT投資の不足 基幹系だけで業務が完結すべきところを エンドユーザコンピューティング(EUC)常態化
EUCを「情報系」で行うリスクを甘く見た 業務上不可避なら閉鎖環境を作るべき インシデントレスポンス体制の不足 GSOCからの連絡後にリスク判断が出来ていない 業務やシステム構成が「臨戦態勢」になってない
10.
事件の教訓を生かす 年金機構、厚労省、NISC 3つの報告書 →事の詳細が明確に
これは国の宝 自治体情報セキュリティ対策支援チーム 中間報告→「自治体システムの強靭化」 マイ ナンバー 関連 他の 行政情報 インター ネット 接続端末 切断 インター ネット
11.
一般企業でもいろんな攻撃者 愉快犯→思想犯 明確な目的 技術誇示目的 さらに外部か内部かなど… 思想信条の表現 「集団暴走」 怨恨 金銭目的 破壊工作・諜報
12.
限界が来た「境界線防衛モデル」 LAN 内部サーバ File,DB,Apps… 外部サーバ Web,Mail,DNS… DMZ Internet 境界線を設定し、境界を越えるデータを 制限/検疫して「安全な世界」を脅威から 守る…しかし今や「境界線」は作れない 汚れた世界安全な世界?
13.
攻撃のほとんどはメールかWeb ファイアウォール/proxy越えは容易 13 攻撃者 罠を張った サーバ ファイアウォール 内部 システム 誘導URLを 含むメール マルウェア等を 含むメール
14.
もはや「入れないようにする」のは 困難 多層防御 多段階防御はもう常識
入口対策+出口対策+「真ん中対策」 攻撃の各段階で可能な限り 攻撃者の手を縛る「意地悪セキュリティ」 初期侵入から目的達成までは 時間がかかっているはず 時間を稼げる対策をして その間に発見することを期待
15.
IPA「高度標的型攻撃」対策ガイド ほぼ毎年改訂されてきた システム設計ガイドの集大成 ポイントは 「侵入されないこと」 ではなく 「侵入されたことを 発見しやすい」 「侵入されても被害が 大きくなりにくい」 こと
16.
Many, too many 組織内 データセンター &クラウド 従業員自宅 テレワーク ノマドワーク 持ち出し データ 関係組織
/ 委託業者 / サプライチェーン 契約 社員
17.
この状況で戦えますか? 多すぎる敵 少なすぎる人と予算 マルウェア 0-day
攻撃 データ持ち出し 不正アクセス DoS攻撃 フィッシング ランサムウェア 踏み台 ファイアウォール システム障害 フォレンジック IDS/IPS SPAM サンドボックス 暗号化 端末管理 SIEM ウィルス対策 ふるまい検知 DVI 「マイナンバー対応」
18.
無理なものは無理! 標的型メール 対策してね! ご無体な! いくら防衛しても 標的型メールは届く! どんなに訓練しても 社員はメールを開く! マルウェア対策 していたって 標的型なら防げない! どこか良い ツールを 探してきて! でも予算は 限られてる からね!
19.
ところで? イマドキのATM 中身はWindows 後ろにEthernet カードの規格も 知られている 中はもちろん 現金いっぱい 電子的には 穴はない?
20.
どっちがシステム的に安全ですか? パソコンタブレット ツブシが効くのは パソコンだが… 「何でも出来る」 ことが厄介!
21.
汎用vs専用 多機能vs単機能 全入力・全機能に渡る脆弱性検査は 汎用・多機能では困難になる 正しい入力・操作 012abc…チェック&OK… 間違った入力・操作 yz□?※…OK100連打… 可 能 な 全 て の 入 力 や 操 作 正しく 処理 正しく エラー 脆弱性
侵入 KISS原則=Keep It Simple and Stupid パソコンの本質!
22.
無駄に複雑なITにしてませんか サイバー犯罪統計が昨年初めて Excelデータを公表 なんでこうなるのか? ネ申Excel問題!
23.
本当にそれは必要ですか 添付ファイルつき メールは業者との 連絡に必須で… 基幹システムに 決済システムがあって そこにネットからの 文書を添付しないと… メールじゃなくて ファイル授受サーバを クラウド上に作れば? 決済権者が その文書を本当に そのシステム上で チェックするの?
24.
問題の所在はどこか 経営にITが「正しく」組み込まれていない ITは業務への使われ方が本質的でない
ワープロを清書ツール、Excelをそろばんの代替 メールを郵便の代替として使っている 本質は業務における「データフロー」の最適化 それが整理されないので情報管理ができず リスクポイントばかりが増えてゆく まずは業務をITに合わせ見直し効率化 それがリスクの所在を顕在化させ 効率のよい守りに繋がってゆく!
25.
標的はシステムではなく「人」 人にデータを食わせるWebとメール 脆弱性対策はシステム管理でやればよい 現状狙われているのは 「人」に不定型なデータを拾わせる機会 本当にそのデータを人手で扱わせるのは 必要なのかもう一度問い直そう CSVを落として 列を加えて コピペして 一部手で直して 再度Upload… データ選択 クリック おわり!
26.
今後はこれを比較しよう 業務改善 システム化 コスト セキュリティ 対策コスト セキュリティのために仕事をするのではなく 仕事のためにITを使い、そこにセキュリティを見いだす 26
27.
おわりに 「現場力」に頼るのは経営の甘え メリハリあるガバナンスを 業務効率化とセキュリティは 決して相反しない!
一番なおざりなのは業務の効率的IT化 まずは強靭な業務システムの構築 次にセキュリティ事故の早期発見と 拡大防止に重点は移っている そのためにも今から意識改革を
28.
情報セキュリティ対策 情報漏えい・情報流出等 (公財)京都産業21 お客様相談室 Ksisnet IT相談窓口 研修・セミナー対応 システム向上・IT事故対応 府内中小企業 連 携 中小企業応援隊 情報発信 一般社団法人 京都府情報産業協会 システムの向上・IT事故対応 府内大学教授 セミナー開催・講師派遣 京都府警察 犯罪のおそれのある事案 犯罪・事件対応 相 談 中小企業は一番の弱み これを守るために… 地場を地場で守る産学公連携組織 http://ksisnet.com
Hinweis der Redaktion
産学公連携組織の第一段階というものは、ざくっと今お話ししましたが、図示しますとこのようなものとなります。 これによく似た絵を、8月6日のシンポジウムに出して、少し宣伝じみたことをしてしまいましたが、京都産業21様で今回ご協力いただく府内事業者の情報セキュリティ向上を支援するKsisnetIT相談窓口を設置し、 ○ システムの向上、IT事故の対応に関する相談を 府内IT関連企業が ○ 府内事業者対象のセミナーの実施や社員研修 への講師派遣依頼といったものを府内大学の教授 が受け皿となり、もちろん犯罪相談については府警様が迅速に引継ぐという形で、産学公連携しALL京都で府内事業者の情報セキュリティ向上を支援しようというものであります。 ここにある中小企業応援隊様というのは、中小企業応援条例に基づき、京都商工会議所、京都商工会連合会、京都中小団体中央会、京都産業21に約270名ほどおられると聞いており、この応援隊の皆様に企業訪問時に声かけ、チラシ配布等の訪問啓発に取り組んでいただくというのが第1段階となります。 このように第1段階として、相談窓口、広報啓発による支援体制の枠組みを整備し、今後、この枠組みによる産学公で企業への定期的な訪問点検やIT人材の育成を段階的に進めていこうというものであります。
Jetzt herunterladen