Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Azure Security ホワイトペーパー
超ななめ読み
2019/01/30 第16回 Tokyo Jazug Night
自己紹介
• 工藤淳(JUN KUDO)
• アイレット株式会社
• MVP for Azure
• 北海道出身
• 日本酒好きです
• @jkudo
2
運営コミュニティ
• 北海道情報セキュリティ勉強会
• 江戸前セキュリティ勉強会
• Security JAWS
• Serverless Commnity
• AliEaters
• オープンソースカンファレンス北海道
• Open Sour...
2018年を振り返る
4
2018年のセキュリティを振り返る
• 2018年に起きた10大セキュリティ事件(マカフィー調べ)
1. コインチェック 秘密鍵を流出し、580億円相当の仮想通貨「NEM」が流出(2018年1月)
2. 佐川急便をかたるフィッシングメール。不正...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/12/28 しょうが関連製品通販サイトに不正アクセス - クレカなど個人情報が流出 8928
2018/12/27 メール誤送信で顧客のメアド流出 - マイカー...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/12/14 エキストラ登録者へのメールで誤送信 - 牛久フィルムコミッション 365
2018/12/14 顧客情報を一時紛失、外部店舗で発見 - 京都の冠婚葬...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/11/27 不正アクセスで会員情報約1万件が流出 - リガク 9655
2018/11/27 ドラマ「下町ロケット」エキストラのメアド流出 - TBS 299
...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/11/05 個人情報含む私物USBメモリ紛失で中学教諭を懲戒処分 - さいたま市教委 115
2018/11/02 患者情報が記録されたHDDが所在不明 - 徳...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/10/11 特別支援学校でデジカメ紛失、生徒画像を保存 - 埼玉県 14
2018/10/11 顧客情報を誤って一般ゴミで廃棄、収集車から飛散 - ケアコム
2...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/09/19 決裁文書を紛失、決裁はすでに完了 - 国土地理院 3
2018/09/18 路上で顧客情報が鞄ごと盗難 - 日神不動産
2018/09/14 メール...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/08/29 区画整理事業の建物移転補償に関する書類を紛失 - 川崎市 31
2018/08/29 患者情報9000件含むUSBメモリが所在不明 - 富山市民病院...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/08/10 教員免許更新講習の連絡メールで誤送信、メアド流出 - 山形大 185
2018/08/10 退職医師が患者の個人情報を不正に持ち出し - 東京女子医...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/07/25 中学校生徒の個人情報含むUSBメモリを紛失 - 横浜市 193
2018/07/25 マニュアル作成サービスへの不正アクセスを否定 - 操作ミスが原...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/07/10 メール誤送信で歯科医師などのメアド2066件が流出 - 科研製薬 2066
2018/07/10 保育所で児童の画像含む記録メディアを紛失 - 大阪...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/06/28 宿泊予約サイトの情報流出、原因はバックドア - 施設にGDPRの通知支援なども
2018/06/28 島根大の複数職員がフィッシング被害 - スパム...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/06/20 約9年前に会員アカウント情報が流出か - 東芝産業機器システム 27369
2018/06/19 事業者向けのセミナー案内メールを誤送信 - 和歌山...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/06/11 学生の個人情報含むUSBメモリを紛失 - 関西大 555
2018/06/08 個人情報含むPCを従業員が紛失 - うるる 9000
2018/06...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/05/31 患者の個人情報含むPCが所在不明 - 都立小児総合医療センター 57
2018/05/31 顧客情報9.2万件含むサーバに不正アクセス - パーソル...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/05/18 紛失や誤送付など1カ月間の個人情報関連事故は24件 - 大阪市 24
2018/05/17 県立施設の指定管理者がメール誤送信、個人情報やメアド流出...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/05/08 顧客情報含む検針用端末がバイクごと盗難 - 京葉ガス 307
2018/05/07 性格など記載された小学校名簿が町内掲示板に - 仙台市 24
2...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/04/20 消費生活センターからの通知文書に名簿を誤って同封 - 堺市 38
2018/04/19 介護保険事業所向けメールで誤送信、メアド流出 - 長野市 4...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/04/04 タクシーポイントサービスで提供先以外から会員情報が閲覧可能に 17
2018/04/04 大阪府で児童扶養手当の決裁文書紛失が判明、2017年に5月...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/03/16 保健所で個人情報含む書類を紛失 - 大阪府 6
2018/03/15 患者の個人情報含むPCが院内で所在不明に - 山形県立中央病院 700
201...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/02/22 ウェブサイト開設案内メールで誤送信、学生のメアド流出 - 大阪市立大 58
2018/02/22 市民公開講座の案内メールで誤送信 - 東海高中校 ...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/02/05 DV被害者の個人情報を漏洩、経緯は調査中 - 東彼杵町
2018/02/02 カードの請求明細書を異なる会員へ誤送付 - イオン銀
2018/02/...
Security NEXT 個人情報漏洩事件・事故関連記事 2018年分
2018/01/18 手術患者の個人情報含むUSBメモリが所在不明 - 青梅市立総合病院 333
2018/01/16 動物取扱責任者の変更届出書などを紛失 - 大阪府 ...
Security NEXT個人情報漏洩事件・事故関連記事
• 参考元:Security NEXT個人情報漏洩事件・事故関連記事
• URL:http://www.security-next.com
• 総記事数:434
• 総漏洩件数:105,...
海外では
• マリオット
• 漏洩件数:約5憶人
• 過去2番目の規模
• 1番目は2013年米ヤフーの約30憶アカウント
29
余談-情報漏洩した場合
• 情報漏洩による直接的、間接的被害を最小限に抑える
• 情報漏洩対応5原則
– 被害拡大防止、二次被害防止、再発防止の原則
– 事実確認と情報の一元管理の原則
– 透明性・開示の原則
– チームワークの原則
– 備えあ...
2019年はどうなるか
31
情報セキュリティ10大脅威 2019
昨年順位 個人 順位 組織 昨年順位
1位 クレジットカード情報の不正利用 1位 標的型攻撃による被害 1位
1位
フィッシングによる個人情報等の詐
取
2位 ビジネスメール詐欺による被害 3位
4位
不正...
情報セキュリティの基礎
33
情報セキュリティの3要素
• 情報セキュリティの3要素(CIA)ISO/IEC17799
34
機密性
可用性完全性
アクセスを認可された者だけ
が、情報にアクセス
できることを確実にすること
認可された利用者が、必要
なときに、情報及び関連
...
脅威・リスク・インシデント
35
脅威 リスク インシデント
情報の機密性・
完全性・可用性
を阻害する要因
脅威によって情
報資産が損なわ
れる可能性
実際に情報資産
が損なわれてし
まった状態
守るべき情報資産と脅威
情報資産
守るべきもの
外部から
の要因
内在する
要因
36
インシデントの種類・原因・予防
• 外部からの要因
– マルウェア感染
– 不正アクセス
– サービス妨害
• 内在する要因
– セキュリティホール
– 過失、運用ルール違反、設定ミス
– 内部犯行
37
インシデントの種類・原因・予防
38
管理的対策
物理的対策技術的対策
Office365
39
サービスレベルのセキュリティ
• 物理層 — 施設およびネットワークのセキュリティ
– 施設
– ネットワーク
• 論理層 — ホスト、アプリケーション、管理者ユーザー
– 自動運用
– データに対する管理者アクセス権
– セキュリティ開発ライ...
お客様によるセキュリティ制御
• データの整合性と暗号化
– Rights Management サービス
– Secure Multipurpose Internet Mail Extension(S/MIME)
– Office 365 M...
プライバシー設計
• お客様が購入されたサービスを提供する以外の目的で、お客様の
データをマイニングすることはありません。
• お客様がサービスの購入を中止することを選択した場合、お客様は
データを完全な形で引き取ることができます。
• データ...
お客様によるプライバシー制御
• Office 365 での Rights Management
• サイト、ライブラリ、フォルダーに対するプライバシー制御
• コミュニケーションに対するプライバシー制御
43
サービスのコンプライアンス
• 医療保険の携行性と責任に関する法律 (HIPAA)
• データ処理条件
• 連邦情報セキュリティ マネジメント法 (FISMA)
• Risk and Authorization Program (FedRAMP...
お客様によるコンプライアンス制御
• データ損失防止 (DLP)
• ポリシーの監査と保持
• 電子情報開示 (eDiscovery)
• データ流出の管理
• データの削除
45
demo
Office365 セキュリティ/コンプライアンス センター
46
Azure
Azure セキュリティホワイトペーパー
https://docs.microsoft.com/ja-jp/azure/security/azure-security
47
注意:セキュリティホワイトペーパーを元に資料を作成していま
す。そのため微妙に情報が古い場合があります。また日本語版を
参考にしているため英語版と差異がある可能性があります。
48
Azure のセキュリティのドキュメント
• アーキテクチャと設計
• データ セキュリティと暗号化
• プラットフォームとインフラストラクチャ
• アプリケーション
• 監視、監査、および操作
• ガバナンスとコンプライアンス
• ホワイト ...
Azure セキュリティサービス
50
Azure の全般的なセキュリティ
51
Service 説明
Azure Security Center
ハイブリッド クラウド ワークロード全体でセキュリティ管理と高度な脅威保護を
実現するクラウドのワークロードを保護するソリューションです...
ストレージのセキュリティ
Service 説明
Azure Storage Service Encryption Azure ストレージのデータを自動的に暗号化するセキュリティ機能です。
StorSimple のハイブリッド ストレージ
の暗号...
データベースのセキュリティ
Service 説明
Azure SQL Firewall
データベースへのネットワーク経由の攻撃から保護するためのネット
ワークのアクセス制御機能です。
Azure SQL Cell Level Encryptio...
ID 管理とアクセス管理
Service 説明
Azure Role Based Access Control
組織内でのロールに基づき、必要なリソースのみにアクセスすることを
ユーザーに許可するアクセス制御機能です。
Azure Active...
ネットワーク
Service 説明
Network Security Groups
タプルが 5 つ使用された、意思決定を許可または拒否することができるネット
ワーク ベースのアクセス制御機能です。
Azure VPN Gateway
Azur...
バックアップと障害復旧
Service 説明
Azure Backup
Azure クラウドのデータをバックアップおよび復元するために使用され
る Azure ベースのサービスです。
Azure Site Recovery
物理マシンと仮想マシ...
アーキテクチャと設計
57
Azure セキュリティ概要
• 以下の2つについて解説。
• Azure インフラストラクチャ、顧客データ、およびアプリケーショ
ンのセキュリティを確保するために Microsoft で実装されるするセ
キュリティ機能。
• サービスのセキュ...
Azure のセキュリティ機能の概要
• Azure プラットフォームのセキュリティを確保するために実装され
るセキュリティ機能
59
安全なプラットフォーム プライバシー管理 コンプライアンス 透明性
セキュリティ開発サイクル、
内部監査
デ...
Azure のセキュリティ機能の概要
• データおよびアプリケーションのセキュリティを確保するために
Azure で提供されるセキュリティ機能
– アプリケーション
– ストレージ
– ネットワーキング
– コンピューティング
– ID
• た...
共同責任モデル
61
操作
• [セキュリティおよび監査] ダッシュボード
• Azure Resource Manager
• Application Insights
• Azure Monitor
• Log Analytics
• Azure Advisor...
アプリケーション
• Web アプリケーションの脆弱性のスキャン
• 侵入テスト
• Web アプリケーション ファイアウォール
• Azure App Service での認証および承認
• 複数層セキュリティ アーキテクチャ
• Web サ...
TINFOIL Security
• https://azure.microsoft.com/blog/web-vulnerability-
scanning-for-azure-app-service-powered-by-tinfoil-s...
侵入テスト
• 2017 年 6 月 15 日時点で、Microsoft は Azure リソースに対する侵入テストを実施する際に事
前承認を求めなくなりました。 Microsoft Azure に対する今後の侵入テストの契約を正式に文書
化す...
ストレージ
• ロール ベースのアクセス制御 (RBAC)
• Shared Access Signature
• 転送中の暗号化
• 保存時の暗号化
• Storage Analytics
• CORS を使用したブラウザーベースのクライアン...
ネットワーク
• ネットワーク層制御
– ネットワーク セキュリティ グループ
– ルート制御と強制トンネリング
– 仮想ネットワークのセキュリティ アプライアンス
• Azure Virtual Network
• VPN Gateway
•...
Compute
• マルウェア対策とウイルス対策ソフトウェア
• ハードウェア セキュリティ モジュール
• 仮想マシンのバックアップ
• Azure Site Recovery
• SQL VM TDE
• VM ディスクの暗号化
• 仮想ネ...
Trend Micro Deep Security as a Service
• https://www.trendmicro.com/ja_jp/business/products/hybri
d-cloud/deep-security-se...
ID 管理とアクセス管理
• セキュリティ保護された ID
– 多要素認証
– Microsoft Authenticator
– パスワードポリシーの適用
– トークンベースの認証
• アプリおよびデータのセキュリティ保護
– Azure A...
Azure Active Directory
プラン 価格 内容
Azure Active Directory Free ユーザーとグループの管理、オンプレミス ディレクトリ同期、基本レポートのほ
か、Azure、Office 365、および多...
Azure Active Directory 機能
機能名 内容
Cloud App Discovery Azure Active Directory のプレミアム機能で、組織の従業員が使用しているクラウド アプリケーションを
特定することがで...
高度な脅威検出
73
Azureの高度な脅威検出
• Azure Active Directory (Azure AD)、Azure Log Analytics、
Azure Security Center などのサービスを通じて、高度な脅威検出
を行う組み込み機能...
Azure Active Directory Identity Protection
• 指定したリスク レベルに達したときに、検出された問題が自動的
に対処されるようにリスク ベースのポリシーを構成することで、
組織の ID を保護できます。...
Azure Log Analytics
• 包括的なセキュリティおよびコンプライアンスの体制
• 分析情報と分析
• Operations Management Suite(OMS)は2019/1/15に廃止され
Azureポータルに統合されて...
Azure Security Center
• 脅威インテリジェンス
– 複数のソースから製品利用統計
– 既知の有害因子から生じる脅威について利用者に警告
• 行動分析
– 複雑な機械学習アルゴリズムを通じてパターンが決定
• 異常検出
– ...
高度な脅威検出機能: その他の Azure サービス
• 仮想マシン: Microsoft マルウェア対策
• Azure SQL Database の脅威の検出
• Application Gateway の Web アプリケーション ファイ...
Azureのログと監査
79
Azure のログのタイプ
• コントロール/管理ログ
• データ プレーン ログ
• 処理済みイベント
80
ログのカテゴリ ログのタイプ 使用法 統合
アクティビティ ログ
Azure Resource Manager リソースのコ
ントロ...
オンプレミスの SIEM システムを使用した Log
Integration
• Azure Log Integration を使用して、Azure リソースからの未加工のログをオンプレミスの
SIEM システム (セキュリティ情報/イベント管...
Azure のネットワーク セキュリ
ティ
82
Azure のネットワーク セキュリティ
• Azure のネットワーク サービスは柔軟性、可用性、回復性、セキュリティ、および整合性を最大化するように設
計されています。 このホワイト ペーパーでは、Azure のネットワーク機能の詳細を提供...
Azure のネットワーク セキュリティ
• Overview
• Azure network infrastructure
• Security aspects of Azure network components for the ente...
Azure Functions とサーバーレス
プラットフォームのセキュリティ
85
Azure Functions とサーバーレス プラットフォームの
セキュリティ
• フル マネージド サービスのため、サーバー管理と容量計画は開発者には見えません。 サーバーレス フレーム
ワークは、Azure Functions を使用して...
Azure Functions とサーバーレス プラットフォームの
セキュリティ
• Overview
• Serverless platform
– Benefits of serverless
– The Microsoft approac...
Microsoft Azure におけるコンテ
ナーのセキュリティ
88
Microsoft Azure におけるコンテナーのセキュリティ
• コンテナー テクノロジは比較的新しいため、多くの IT プロフェッショナルが、運用環境での可
視性の欠如と使用についてセキュリティ上の懸念を抱いています。 多くの場合、開発チ...
Microsoft Azure におけるコンテナーのセキュリティ
• Container overview and use cases
• Container services and technologies
– Azure Kubernet...
Azure で運用可能なセキュリティ
91
Azure で運用可能なセキュリティ
• Microsoft Azure で運用可能なセキュリティとは、ユーザーが Azure 内のデータ、アプリケーション、その他の
資産を保護するために使用できる、サービス、コントロール、機能を指します。 A...
Azure で運用可能なセキュリティ
• Overview
• Azure Log Analytics
• Azure Backup
• Management solutions
– Azure Security Center
• Azure ...
Azure クラウドでの分離
94
Azure クラウドでの分離
• テナント レベルの分離
– Azure テナント
– Azure ロールベースのアクセス制御 (RBAC)
– Microsoft 管理者およびデータ削除からの分離
• コンピューティングの分離
– 分離された...
Azure とオンプレミス データセン
ター間に DMZ を実装する
96
アーキテクチャ
• オンプレミス ネットワーク
• Azure の仮想ネットワーク (VNet)
• ゲートウェイ
• ネットワーク仮想アプライアンス (NVA)
• Web 層、ビジネス層、およびデータ層のサブネット
• ユーザー定義ルート(...
Recommendations
• アクセスの制御に関する推奨事項
• リソース グループの推奨事項
• 仮想ネットワーク ゲートウェイに関する推奨事項
• NVA の推奨事項
• NSG の推奨事項
• インターネットへのアクセスに関する推奨...
考慮事項
• スケーラビリティに関する考慮事項
• 可用性に関する考慮事項
• 管理容易性に関する考慮事項
• セキュリティに関する考慮事項
– NVA を経由するすべてのオンプレミス ユーザー要求のルーティング
– NSG を使用したアプリケ...
ソリューションのデプロイ方法
• これらの推奨事項を実装する参照アーキテクチャのデプロイ
• サンプル
• https://github.com/mspnp/reference-
architectures/tree/master/dmz/se...
Azure セキュリティの技術的な機能
101
Azure セキュリティの技術的な機能
• セキュリティや Microsoft Azure Storage、Microsoft Azure SQL Database、Microsoft Azure の仮想マシン
モデルといった Microsof...
Azure セキュリティの技術的な機能
• ID とユーザーのアクセスを管理および制御する (保護)
• Azure でのセキュリティが保護されたリソース アクセス
• Azure のデータ セキュリティと暗号化 (保護)
• アプリケーション...
Azure インフラストラクチャとアプリケーション セキュ
リティの検証 (検出)
104
セキュリティで保護されたアプリ
ケーションを Azure 上で開発する
105
セキュリティで保護されたアプリケーションを Azure 上
で開発する
• クラウド用のアプリケーションを開発する際に、ソフトウェア開発ライフサイクル
の各段階で考慮する必要があるセキュリティの問題と制御に関する一般的なガイド
です。 製品をリ...
セキュリティで保護されたアプリケーションを Azure 上
で開発する
• Overview
• Security Development Lifecycle
– Engage your organization’s security team...
データセキュリティと暗号化
108
データセキュリティと暗号化
• データ セキュリティと暗号化
– データベースのセキュリティ
• ベスト プラクティス
• セキュリティ チェックリスト
– ディスクの暗号化
• ベスト プラクティス
• 保存時のデータ暗号化
• IaaS V...
プラットフォームとインフラストラ
クチャ
110
プラットフォームとインフラストラクチャ
• プラットフォームとインフラストラクチャ
– インフラストラクチャのセキュリティ
• 物理的なセキュリティ
• 可用性
• コンポーネントと境界
• ネットワーク アーキテクチャ
• 運用ネットワーク
...
アプリケーション
112
アプリケーション
• アプリケーション
– PaaS
• PaaS の Azure App Service
• PaaS の Azure Storage
• PaaS の DB ベスト プラクティス
– IoT
• IoT セキュリティのベスト...
監視、監査、および操作
114
監査とログ記録
• Azure Security Center とは
– Azure Security Center は、3 つの緊急性が高いセキュリティ
の課題を対処します。
• 急速に変化するワークロード
• ますます高度になる攻撃
• セ...
セキュリティ体制の強化
• 組織のセキュリティ ポリシーとコンプライアンスの管理
• 継続的な評価
• 推奨されるコントロールを構成してセキュリティを最適化し、強化
する
116
脅威からの保護
• 高度な脅威保護
– Windows Defender Advanced Threat Protection
• PaaS の保護
• ブルート フォース攻撃のブロック
• データ サービスの保護
117
より迅速にセキュリティ保護
• Azure リソースの自動検出とオンボード
– すべての Azure リソース全体から Azure Policy と組み込みの
Security Center ポリシーに関係する詳細なセキュリティ ス
トーリーを...
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Azure security ホワイトペーパー 超ななめ読み
Upcoming SlideShare
Loading in …5
×

Azure security ホワイトペーパー 超ななめ読み

721 views

Published on

Azure Securityホワイトペーパーをかいつまんで説明しています。

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Azure security ホワイトペーパー 超ななめ読み

  1. 1. Azure Security ホワイトペーパー 超ななめ読み 2019/01/30 第16回 Tokyo Jazug Night
  2. 2. 自己紹介 • 工藤淳(JUN KUDO) • アイレット株式会社 • MVP for Azure • 北海道出身 • 日本酒好きです • @jkudo 2
  3. 3. 運営コミュニティ • 北海道情報セキュリティ勉強会 • 江戸前セキュリティ勉強会 • Security JAWS • Serverless Commnity • AliEaters • オープンソースカンファレンス北海道 • Open Source Summit Japan • 一般社団法人LOCAL • その他いろいろ 3
  4. 4. 2018年を振り返る 4
  5. 5. 2018年のセキュリティを振り返る • 2018年に起きた10大セキュリティ事件(マカフィー調べ) 1. コインチェック 秘密鍵を流出し、580億円相当の仮想通貨「NEM」が流出(2018年1月) 2. 佐川急便をかたるフィッシングメール。不正アプリをダウンロードすると個人情報を盗まれ、さらなる犯行の発信元として悪用 される(2018年7月~) 3. 海賊版サイト「漫画村」が社会問題に 一部では、利用者のデバイスを仮想通貨マイニングに利用(2018年1月) 4. アダルトサイトの閲覧を周囲に暴露すると脅して、仮想通貨の支払いを要求する「性的脅迫(セクストーション)」の手口を 使った詐欺メールが出回る(2018年10月) 5. 「アラート:あなたのアカウントは閉鎖されます。」という件名でAmazonの偽サイトへ誘導する、Appleをかたるフィッシン グメールが出回る(2018年6月) 6. Facebookでインシデント相次ぐ 機能テスト中のバグで1400万人が意図せず投稿を「全員に公開」(6月)、2900万人分の個 人情報が流出(9月~10月) 7. ルーターへのサイバー攻撃が相次ぎ、パソコンやスマホでネットが使えなくなる不具合が多発 NTT、ロジテック、バッファ ローの機種で被害を確認(2018年3月~4月) 8. JALがビジネスメール詐欺(BEC = Business E-mail Compromise)により、偽の請求書メールに騙されおよそ3億8000万円 の被害に(2017年12月) 9. ツイッター 偽アカウントを一斉削除 対象は数千万件規模に上るとみられ、一部利用者のアカウントからは急激にフォロワー数 が減る可能性が(2018年7月) 10. 「重要 : 必ずお読みください」というタイトルでフィッシングサイトへ誘導する、セゾンNetアンサーをかたるフィッシング メールが出回る(2018年3月) 5
  6. 6. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/12/28 しょうが関連製品通販サイトに不正アクセス - クレカなど個人情報が流出 8928 2018/12/27 メール誤送信で顧客のメアド流出 - マイカースポンサー 432 2018/12/27 ふるさと納税者の個人情報を同意なしで公開 - 大空町 2018/12/27 メール誤送信で卒業生などのメアド流出 - 上越教育大 116 2018/12/26 「DLmarket」への不正アクセス、顧客のクレカ情報も被害か 561625 2018/12/26 マーケ支援サービスのクラウド認証キーが盗難被害 - 不正サーバ構築、顧客データも 2018/12/26 本店で保管していた顧客情報含む伝票を紛失 - 沖縄銀 4286 2018/12/26 顧客情報記載の書類が所在不明 - 大和リビング 249 2018/12/25 学生情報含むUSBメモリが所在不明 - 札幌学院大 210 2018/12/25 委託先が業務用端末と制服を置き忘れて紛失 - 東京ガス 421 2018/12/25 25~35年前の一部カードローン契約書など、紛失が判明 - 熊本信金 14 2018/12/20 マイナンバー含む不適切な業務再委託、国税局以外に171万件 - システムズ・デザイン 1712580 2018/12/19 老舗洋菓子店の通販サイトが改ざん - 正規サイト内でフィッシング、クレカ情報被害 668 2018/12/19 紙相撲の駒に個人情報、不注意で - 児童向けデイサービス 2018/12/19 公開PDF資料に個人情報入り表計算ファイル - 資エネ庁 167 2018/12/18 システム不具合の通知メールで誤送信、メアド流出 - 沖縄タイムス 400 2018/12/18 職員が自動転送していたフリーメールに不正アクセス、個人情報が流出 - 兵庫教育大 11322 2018/12/17 本人確認用の住民票写し、別人に返却 - 住信SBIネット銀 2018/12/17 山形市、ふるさと納税者約1万人の個人情報が流出、一部与信情報も - 関係者を処分 10014 2018/12/14 新卒採用アカウントに不正アクセス、スパム送信や個人情報流出など - ダイドードリンコ 2016 6
  7. 7. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/12/14 エキストラ登録者へのメールで誤送信 - 牛久フィルムコミッション 365 2018/12/14 顧客情報を一時紛失、外部店舗で発見 - 京都の冠婚葬祭事業者 10 2018/12/14 職員が業務システムで親族個人情報を目的外閲覧、外部漏洩 - 大阪市 7 2018/12/14 資源エネルギー庁の公開会議資料に入札情報 - PDFに表計算ファイル添付 179 2018/12/13 ダム放流のお知らせメールを誤送信 - 新潟県 2018/12/11 学生がフィッシング被害、迷惑メール約29万件の踏み台に - 新潟大 110 2018/12/11 生活保護受給者名簿が所在不明、車の屋根に置き忘れ - 高岡市 99 2018/12/10 ゲームグッズ通販サイトでクレカ情報流出 - 流出済情報の有効性確認と見られる痕跡も 14679 2018/12/10 戸籍謄本など不正入手、職員を懲戒免職 - 東京都 2018/12/10 マイナンバーカード盗難で職員3人を懲戒処分 - 横浜市 2018/12/07 農業求人サイトに不正アクセス、情報流出の可能性 - スパムや不審郵便物届く 35775 2018/12/07 メルマガ本文に送信先メアドを誤記載 - 福岡県中小企業振興センター 117 2018/12/05 小学校教員が個人情報写り込んだ画像をインスタ投稿 - 港区 2018/12/05 Q&AサイトのQuoraに不正アクセス - 利用者情報1億件が流出か 100000000 2018/12/04 産官学連携プラットフォームのメルマガで誤送信 - 大阪市 85 2018/11/30 メール誤送信で居宅介護支援事業所のメアド流出 - 福岡市 256 2018/11/30 業務で入手した個人情報で電話した職員を処分 - 郡山市 2018/11/29 案内メールを誤送信、顧客メアド3100件が流出 - スワンフローリスト 3100 2018/11/29 DV被害者情報含む書類が所在不明、5カ月後に判明 - 神奈川県 2018/11/28 クラフト素材の通販サイト「ZOWHOW」に不正アクセス - クレカ情報流出か 397 7
  8. 8. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/11/27 不正アクセスで会員情報約1万件が流出 - リガク 9655 2018/11/27 ドラマ「下町ロケット」エキストラのメアド流出 - TBS 299 2018/11/26 「メール119システム」の登録者向けメールで誤送信 56 2018/11/22 取材データの誤送信で職員8人を懲戒処分 - NHK 33 2018/11/22 移植患者情報含む書類をドナーに誤送付 - 日本骨髄バンク 2018/11/22 バンコク事務所のサーバにバックドア、情報流出の可能性 - JETRO 2018/11/21 クライアントである歯科や患者情報含むHDDを紛失 - 船井総研 2820 2018/11/20 起業家発掘セミナー参加者宛のメールで誤送信 - 愛知県 2018/11/19 オンラインゲーム「Identity V」、アンケートメールで送信ミス 98 2018/11/19 造血幹細胞移植患者などの個人情報紛失 - 秋田大病院 500 2018/11/19 職員メールアカウントに不正アクセス、PWを類推か - 早大 2018/11/15 結婚式招待状の通販サイトに不正アクセス - メアド約2.8万件が流出か 27916 2018/11/15 顧客情報619件含むノートパソコンを紛失 - TBM 619 2018/11/15 街頭インタビュー映像や音声のファイルを誤送信 - NHK 33 2018/11/14 個人情報含むPCを電車に置き忘れ、届けられ回収 - 朝日新聞 1900 2018/11/12 DM宛名を誤印字、リスト作成時の作業ミスで - スカパー 9985 2018/11/12 ふるさと納税寄付者へのメールで誤送信 - 様似町 350 2018/11/09 幼稚園で緊急連絡カードを一時紛失 - 嵐山町 18 2018/11/06 発電事業者や小売電気事業者のメアド流出 - 中電 556 2018/11/05 介護認定申請書類が所在不明、誤廃棄か - 習志野市 56 8
  9. 9. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/11/05 個人情報含む私物USBメモリ紛失で中学教諭を懲戒処分 - さいたま市教委 115 2018/11/02 患者情報が記録されたHDDが所在不明 - 徳島市民病院 37 2018/11/01 設備調査業務の委託先が顧客情報を紛失 - 中電 782 2018/10/31 メール誤送信で利用者3294人分のメアド流出 - 兵庫県立図書館 3294 2018/10/30 メール誤送信でオープンキャンパス申込者のメアド流出 - 岐阜保健大 51 2018/10/29 職員情報をメール誤送信、抑止システム導入も確認せず - 横浜市 1736 2018/10/26 新卒学生の個人情報含むPCを紛失 - ロイヤルHD 3038 2018/10/25 明大、複数メールアカウントに不正アクセス - 情報流出やスパム送信が発生 771 2018/10/25 今治タオルの通販サイトで改ざん - 偽決済画面誘導でクレカ情報詐取 2145 2018/10/23 入試受験予定者への案内メール誤送信でメアド流出 - 兵庫大 28 2018/10/23 デジタルコンテンツ販売サイト「DLmarket」に不正アクセス - 顧客情報56万件が流出か 561625 2018/10/22 顧客情報含むPCが盗難被害 - 人事コンサルティング会社 2018/10/19 関係者や一般人の画像データ含むカメラを紛失 - 大阪府 2018/10/19 高校の修学旅行先で個人情報を紛失 - 横浜市 248 2018/10/19 個人情報含む統計調査関係書類を紛失 - つくば市 13 2018/10/18 株主優待の案内メールで誤送信 - 送信先リストを添付 1183 2018/10/17 シネマイレージカード会員の書類が所在不明 - TOHOシネマズ 2018/10/17 不正アクセスで会員アカウント情報が流出 - 医学関連出版社 2018/10/16 即売CDの予約票控えを紛失、配送できない状態に - ローソン子会社 30 2018/10/16 SEO支援サービスに不正アクセス - アカウント情報流出の可能性 1585 9
  10. 10. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/10/11 特別支援学校でデジカメ紛失、生徒画像を保存 - 埼玉県 14 2018/10/11 顧客情報を誤って一般ゴミで廃棄、収集車から飛散 - ケアコム 2018/10/11 聖教新聞通販サイトから個人情報18万件が流出か - 偽決済画面でクレカ情報の詐取も 184181 2018/10/05 保守契約顧客向けメールで誤送信、メアド2250件流出 - 日本オーチス 2250 2018/10/04 顧客情報含む書類が所在不明、集荷後に紛失か - キリン堂 47 2018/10/04 クラウドファンディング参加者の個人情報含むURLが流出 - アニソン野外イベント 2018/10/03 メール誤送信で宿泊予約者のメアド流出 - 松本マラソン 350 2018/10/03 預り内容など顧客情報含む受取書が所在不明 - 青い森信金 2400 2018/10/01 情報提供メール1450件を誤送信、メアドが流出 - 機器販売会社 1450 2018/10/01 国保加入者情報入りUSBメモリが3月以降所在不明 - 所沢市 2018/10/01 フリーメールを業務利用、国内外からの不正アクセスで個人情報流出 - 島田市 2018/09/28 貸会議室利用者向けメールで誤送信、メアド1875件流出 - サンフロンティア不動産 1875 2018/09/28 フィッシングで複数職員がアカウントが乗っ取り被害 - 新潟大 108 2018/09/27 メール誤送信で委託先担当者情報など流出 - 東京都公園協会 131 2018/09/27 CGソフト通販サイトに不正アクセス - 顧客情報が流出 2018/09/21 顧客向けメールで誤送信、CCにメアド620件 - 沖縄電 620 2018/09/21 慶大、AO入試出願者の関連書類を誤表示 - システム不具合で 72 2018/09/20 顧客情報記載の書類を紛失、誤廃棄の可能性 - 道銀 50 2018/09/19 防災対策要請メールを誤送信、診療所のメアド流出 - 山口県 50 2018/09/19 未収期間など受信契約者の個人情報含む帳票を紛失 - NHK 1822 10
  11. 11. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/09/19 決裁文書を紛失、決裁はすでに完了 - 国土地理院 3 2018/09/18 路上で顧客情報が鞄ごと盗難 - 日神不動産 2018/09/14 メール誤送信で職員採用試験申込者のメアド流出 - 長野県 248 2018/09/12 内部告発職員の氏名が関連部署に漏洩 - 大阪府 2018/09/11 小学校で児童の個人情報含む私用USBメモリを紛失 - 尼崎市 28 2018/09/11 DV被害者による住民票開示制限申出書を紛失 - 横浜市 1 2018/09/10 海外研修で引率教諭が鞄置き忘れ、個人情報紛失 - 立命館宇治中高 422 2018/09/07 「福岡市消防局eメール119番」のテストメールで誤送信 104 2018/09/07 県立病院で患部画像や個人情報含むカメラ紛失 - 新潟県 2018/09/06 顧客情報含む書類を紛失、誤廃棄の可能性 - 北星信金 48 2018/09/05 小学校で児童名簿が飛散、水泳指導時に突風で - 大阪市 22 2018/09/05 顧客情報記載の資料が車上荒らしで盗難 - 大和ハウスグループ会社 260 2018/09/05 個人情報含む書類の紛失や不適切処理で職員を処分 - 三重県 1561 2018/09/04 聖教新聞の通販サイト、クレカ情報流出の可能性 - 詳細は調査中 2018/09/03 シンポジウム案内メールで誤送信 - 大阪市立大 75 2018/09/03 顧客情報含む帳票を紛失、棚ごと誤廃棄か - ウエルシア薬局 33 2018/09/03 顧客情報含む伝票5469枚の所在わからず - 静岡中央銀 730 2018/08/31 一部フランチャイズ店舗の顧客情報がネット上で閲覧可能に - モスバーガー 619 2018/08/30 アマチュア囲碁大会、案内メール500件を誤送信 - 日本棋院 500 2018/08/30 外国人向け台風警戒メールで誤送信 - 湖南市 91 11
  12. 12. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/08/29 区画整理事業の建物移転補償に関する書類を紛失 - 川崎市 31 2018/08/29 患者情報9000件含むUSBメモリが所在不明 - 富山市民病院 9000 2018/08/29 保健所公用車が車上荒らし被害、動物の苦情処理簿を紛失 - 三重県 12 2018/08/28 1960年代の職業訓練受講者指導要録が一部所在不明 - JEED 2018/08/28 公金納付書控2439件が所在不明 - 北日本銀 2439 2018/08/27 児童向けイベントの連絡メールで誤送信 - 神戸市 58 2018/08/27 元従業員が店舗でクレカ情報を窃取、通販に使用 - セキ薬品 234 2018/08/24 メールアカウントが不正アクセス被害、スパムの踏み台に - システム開発会社 15 2018/08/24 不正アクセスで不祥事対応の内部情報が流出 - 高知県立大 2018/08/23 元職員が個人情報含む内部情報を持ち出し - 農畜産業振興機構 2018/08/22 顧客情報含むポイントカードの申込書を紛失 - レデイ薬局 21 2018/08/21 予約顧客宛の自動送信メールが他顧客に誤送信 - チョイスホテルズジャパン 449 2018/08/21 公害健康被害の不服審査に関する資料が盗難 - 環境省 2018/08/20 職員が個人情報資料を一時紛失、飲食店主が発見保管 - 長崎県 1662 2018/08/20 防災計画関連資料に個人情報、3年以上にわたり誤掲載 - 大阪府 16 2018/08/17 説明会の参加者宛メールで誤送信 - 大阪府 47 2018/08/17 林間学校で個人情報を紛失、拾得者からの連絡で判明 - 大阪市 33 2018/08/17 児童手当に関する書類の誤発送で個人情報流出 - つくば市 25 2018/08/16 教諭が生徒情報含むUSBメモリをリュックごと紛失 - 千葉市 9 2018/08/16 顧客情報含む伝票綴りを紛失、誤廃棄か - 鹿児島相互信金 163 12
  13. 13. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/08/10 教員免許更新講習の連絡メールで誤送信、メアド流出 - 山形大 185 2018/08/10 退職医師が患者の個人情報を不正に持ち出し - 東京女子医科大 2018/08/09 不正アクセスによる情報流出、件数を訂正 - 日本がん治療認定医機構 54266 2018/08/07 地権者情報入りHDDがネット上に流通、事務所内で盗難か - 埼玉県 191 2018/08/06 誤送信でオープンキャンパス申込者のメアド流出 - 順天堂大 57 2018/08/06 高技専2校で生徒指導要録の紛失が判明 - 大阪府 5 2018/08/03 教員が関係者情報含むPCをスペインで盗難被害 - 九大 70 2018/08/03 排卵検査薬の通販サイトに不正アクセス - 情報流出の可能性 11314 2018/08/03 印影など含む伝票綴りを紛失 - 大分銀 90 2018/08/02 アサヒ軽金属のネットショップに不正アクセス - 最大7.7万件のクレカ情報が流出か 77198 2018/08/01 不正プログラムが設置、カード情報が外部流出 - 衣料品通販サイト 358 2018/07/31 個人情報含む教員の私物パソコンが学内で盗難 - 東大 384 2018/07/30 職員採用説明会の案内メールを編集中に誤送信 - 北陸先端大 90 2018/07/30 職員が個人情報を持ち帰り紛失、決裁文書放置で未処理も - 三重県 2018/07/30 会員の個人情報がネット上で閲覧可能に - 輸入家電販売サイト 2018/07/30 人工呼吸器管理用タブレットが所在不明 - 岸和田市民病院 490 2018/07/27 職員と部署のメールアカウントに不正アクセス、メール漏洩やスパム送信など - 明大 100 2018/07/26 セミナー案内メール誤送信でメアド流出 - 姫路商工会議所 89 2018/07/26 市運営施設の指定管理者がメール誤送信 - 大阪市 29 2018/07/25 顧客情報含むリストが所在不明、巡回時に紛失か - 東京ガス 113 13
  14. 14. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/07/25 中学校生徒の個人情報含むUSBメモリを紛失 - 横浜市 193 2018/07/25 マニュアル作成サービスへの不正アクセスを否定 - 操作ミスが原因 2018/07/24 音楽グループの宿泊先を漏洩、従業員を解雇 - イベント企画会社 2018/07/23 健康保険関連の個人情報含むUSBメモリが所在不明 - 蒲郡市 449 2018/07/23 症例要約含むUSBメモリを医学部で紛失 - 群馬大 1 2018/07/23 顧客情報記載の資料を委託先が紛失 - 中部電力 395 2018/07/20 委託先で顧客住所録を含むパソコンが盗難被害 - 上光証券 748 2018/07/20 ウクライナ停電にも関与した攻撃グループ、国内複数物流企業を標的に 2018/07/19 会員のメアドとPWを外部で確認、原因不明 - ジャパンレンタカー 2018/07/19 特典付きCDの通販サイトで不具合 - 第三者による顧客情報閲覧のおそれ 64 2018/07/19 保育園駐車場で車上荒らし、健診データ含む個人情報が盗難 - 三重県 4551 2018/07/18 イベント出展団体へのメールで誤送信、謝罪で再度ミス - 東京都 62 2018/07/18 乳児がいる家庭への訪問記録票を紛失 - 熊本市 34 2018/07/17 コミュニティサイト「ふどうさん女子」でメール誤送信、会員のメアド流出 446 2018/07/17 ツアー申込者のファックスを別会社へ誤送信 - トヨタツーリスト 8 2018/07/17 DV被害者の転居先情報含む書類を紛失、安全確保のため再転居 - 川崎市 2018/07/13 高校で個人情報含むUSBメモリを紛失 - 埼玉県 276 2018/07/13 アンケートシステムに不正アクセス、個人情報が流出 - Z会グループ会社 5461 2018/07/12 個人情報含むPCが所在不明、誤って廃棄業者に引き渡しか - 角田市 329 2018/07/11 個人情報含むノートPCを都内で紛失 - 講談社 66 14
  15. 15. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/07/10 メール誤送信で歯科医師などのメアド2066件が流出 - 科研製薬 2066 2018/07/10 保育所で児童の画像含む記録メディアを紛失 - 大阪市 17 2018/07/09 USBメモリを院内で紛失、患者情報含む可能性 - 北里大病院 50 2018/07/09 通販サイトに不正アクセス、顧客情報流出の可能性 - フレーバーライフ社 11156 2018/07/09 個人情報含む資料を学生が持ち去り放置 - 明石高専 2018/07/06 ホテル予約者情報の流出、影響が波及 - 大規模から小規模まで 100688 2018/07/05 一部メルマガに顧客情報を誤記載 - サンルートホテル 7990 2018/07/05 寄付者の個人情報含むPCを一時紛失 - 生活困窮者支援のNPO法人 474 2018/07/05 「シャレード文庫」メルマガ会員のアカウント情報が流出 - 二見書房 3375 2018/07/03 一部会員の登録情報が流出、システム障害で - トイ・ワイド友の会 10 2018/07/03 小学校で児童の個人情報含むUSBメモリが所在不明 - 橿原市 297 2018/07/03 埼玉で廃棄したはずの個人情報、群馬で発見 - 大東建託 9000 2018/07/02 フィッシング攻撃でアカウント乗っ取り、メールが不正転送 - 弘前大 12 2018/07/02 患者の個人情報含むUSBメモリを紛失 - 伊勢総合病院 163 2018/06/29 食品安全イベントの案内メールで誤送信 - 富山県 27 2018/06/28 セミナー案内メール誤送信でメアド流出 - 神戸市外郭団体 61 2018/06/28 教職員アカウントに不正アクセス、メールが外部へ転送 - 沖縄県立看護大 330 2018/06/28 東急ホテルズやイシン・ホテルズなども流出被害を公表 325717 2018/06/28 患者の個人情報や検査結果含むPCを紛失 - 兵庫医科大病院 374 2018/06/28 難病患者支援事業で申請書の紛失や書き換えなど判明 - 愛知県 73 15
  16. 16. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/06/28 宿泊予約サイトの情報流出、原因はバックドア - 施設にGDPRの通知支援なども 2018/06/28 島根大の複数職員がフィッシング被害 - スパム送信やメールの不正転送が発生 2777 2018/06/27 ホテル事業者による個人情報流出の発表相次ぐ 2018/06/27 ワシントンホテルやホテルグレイスリーなどの予約者情報が流出 2018/06/27 複数自治体などの省エネ支援サイトから登録者情報が流出 - 同一DB上データに影響波及 2018/06/27 リッチモンドホテルの顧客情報が流出 - FastBookingへの不正アクセス影響で 2018/06/26 健康情報メール誤送信で事業所のメアド流出 - 香川県 66 2018/06/26 個人情報入りPCがドイツで盗難、発生は4カ月前 - 久留米大 679 2018/06/26 委託先予約システムに不正アクセス、顧客情報12万件が流出 - プリンスホテル 124963 2018/06/26 小学校11校で指導要録や健康診断票を紛失、調査で判明 - 大阪市 14 2018/06/26 福祉サービス利用者の個人情報を誤廃棄 - 観音寺市 124 2018/06/25 マイナンバーを異なる法人へ誤送信、システム処理ミスで - 上越市 26 2018/06/25 セミナー申込者の個人情報が流出、人為ミスで - 大阪商工会議所 6016 2018/06/25 がん検診結果など含むUSBメモリが委託先で所在不明 - 尼崎市 1354 2018/06/25 閲覧禁止の人事情報にアクセス、危機管理課職員を処分 - 龍ケ崎市 2018/06/22 学生や教職員の個人情報含むPCを紛失 - 北海道科学大 3000 2018/06/22 児童や保護者、通報者情報など含む児童虐待関連資料を一時紛失 - 滋賀県 11 2018/06/22 就職支援サイトのシステムに不具合、別人にメール送信 - 長崎県 2018/06/20 個人情報含む携帯電話の紛失を公表 - 沖縄ケーブルネット 27 2018/06/20 個人情報含む町議会資料を3カ月にわたり公開 - 東浦町 2 16
  17. 17. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/06/20 約9年前に会員アカウント情報が流出か - 東芝産業機器システム 27369 2018/06/19 事業者向けのセミナー案内メールを誤送信 - 和歌山市 50 2018/06/19 患者の個人情報を保存した私用USBメモリを紛失 - 国立病院機構 5 2018/06/19 振込依頼書の紛失や誤廃棄が判明 - かながわ信金 2700 2018/06/19 マイナンバー含む課税資料を一時紛失、通知遅延も - 川崎市 39 2018/06/18 複数職員のアカウントで不正アクセスを行った職員を処分 - 多可町 2018/06/18 観戦会参加者の個人情報が閲覧可能に、申込フォームが公開設定 - 大分トリニータ 18 2018/06/18 メール誤送信で経済団体や有識者のメアドが流出 - 公取委 188 2018/06/15 学生の個人情報含むUSBメモリを紛失、一部にテスト結果も - 大阪電通大 113 2018/06/15 料金の未納状況など含む給水停止一覧表を紛失 - 柴田町 53 2018/06/15 海外子会社に不正アクセス、顧客情報流出の可能性 - 野村HD 2018/06/14 工業統計調査の準備調査名簿が所在不明 - 岡山市 9 2018/06/14 高校で生徒の体力テスト記録票原簿を紛失 - 東京都 25 2018/06/14 顧客情報含む領収書などを紛失 - 西部ガスグループ会社 27 2018/06/14 学生の個人情報を記録したUSBメモリが所在不明 - 神戸市外国語大 9 2018/06/13 通販サイトに不正アクセス、アカウント情報が流出か - 京都の飲食店 2457 2018/06/13 USBメモリを紛失、成績など学生の個人情報を保存 - 大阪産業大 106 2018/06/12 アカウント情報3.7万件が海外サイト上に流出 - キルフェボン 37149 2018/06/12 高校で個人情報含むUSBメモリ紛失、データが匿名で郵送 - 大阪府 149 2018/06/11 誤送信で学生のメールアドレスが流出 - 東京音大 512 17
  18. 18. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/06/11 学生の個人情報含むUSBメモリを紛失 - 関西大 555 2018/06/08 個人情報含むPCを従業員が紛失 - うるる 9000 2018/06/08 関係者向けニュースメールで誤送信 - 国立環境研究所 12424 2018/06/08 不正アクセスで停止のメルマガ、配信を再開 - 熊本県 2018/06/08 個人情報含む病原体の検査成績通知書が所在不明に - 大阪府 3 2018/06/07 通販サイトに不正アクセス、アカウント情報が海外サイトに - 人気洋菓子店 1 2018/06/07 一部商品購入者の個人情報が閲覧可能に - テニス関連サイト 9 2018/06/07 教職員29アカウントが乗っ取り被害、メール3500件を攻撃者へ転送 - 横浜市立大 5794 2018/06/07 顧客の旅券情報含むPCが盗難被害 - Peach航空 2018/06/07 「プレミアム・アウトレット」からの流出データ、5カ所で公開を確認 240000 2018/06/06 「セシールオンラインショップ」に不正アクセス - 攻撃リストが顧客IDと一致 1938 2018/06/06 中学校で成績含む資料が約2カ月間放置状態に、生徒が発見 - 横浜市 102 2018/06/06 中学校2校で生徒の画像含むカメラの紛失が発生 - 仙台市 310 2018/06/05 イベント告知メールで誤送信 -兵庫の託児施設 275 2018/06/05 一部サービスでパスワードの正誤関係なく認証可能に - NTTPC 71 2018/06/04 旧サーバ内の個人情報最大9.2万人分が流出の可能性 - 森永乳業の通販サイト 23000 2018/06/04 MS&Consulting、登録者情報約57万件が流出か - あらたな可能性判明で件数修正 570000 2018/06/01 廃業した工具通販サイト、2017年にクレカ情報流出の可能性 1003 2018/06/01 小学校教諭が個人情報入りPC紛失、路上で居眠り中に - 大阪市 120 2018/05/31 職員のメールアカウントが詐取、メールが外部へ転送 - 富山県立大 5 18
  19. 19. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/05/31 患者の個人情報含むPCが所在不明 - 都立小児総合医療センター 57 2018/05/31 顧客情報9.2万件含むサーバに不正アクセス - パーソルキャリア 91074 2018/05/30 小学校長が他校教諭の個人情報含むUSBメモリを紛失 - 尾道市 27 2018/05/30 工事中に患者情報含むPCが盗難被害 - 福岡大学筑紫病院 1309 2018/05/29 市立図書館が個人情報含む予約カードを紛失 - 堺市 10 2018/05/28 個人情報含む旧優生保護法関連の資料を公開 - 神奈川県 9 2018/05/28 サイトに不正アクセス、会員の個人情報が流出か - 鉄道総研 1 2018/05/28 個人情報含むHDD紛失で職員を処分 - 大阪の消防組合 2018/05/25 顧客情報含む資料を無関係の事業者へメール送信 - 名古屋のケーブルTV 1468 2018/05/25 特別支援学校でメール誤送信、保護者のメアド流出 - 埼玉県 16 2018/05/25 「高尾ビジターセンター」のメールアカウントに不正アクセス - スパム送信の踏み台に 30 2018/05/25 個人情報含む廃棄書類が高速道路で飛散 - 関西電力 352 2018/05/24 源泉所得税の振込依頼書を紛失、徴収漏れも発生 - 大阪市 2018/05/23 全指名業者記載のファックス誤送信で入札が中止に - 千葉県 12 2018/05/23 他人の個人情報記載の健診受診券を送付 - 古賀市 31 2018/05/22 理学療法士免許申請書類を紛失 - 千葉県 29 2018/05/21 会社貸与の業務用携帯電話をホテルで紛失 - スミノエ 200 2018/05/18 県立高校で指導要録の紛失が判明 - 愛知県 39 2018/05/18 個人情報含む書類が運搬中に飛散、一部回収できず - 阿南市 5 2018/05/18 攻撃者がメール転送設定を変更、受信した個人情報が外部に - 立命館大 364 19
  20. 20. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/05/18 紛失や誤送付など1カ月間の個人情報関連事故は24件 - 大阪市 24 2018/05/17 県立施設の指定管理者がメール誤送信、個人情報やメアド流出 - 神奈川県 13 2018/05/17 コンタクトレンズ販売サイトでクレカ情報が流出、複数顧客で被害 - メニコン子会社 3412 2018/05/16 宛名印刷時の操作ミスで個人情報を誤送信 - JNSA 9 2018/05/16 プレスリリースを誤送信、報道機関のメアド流出 - 札幌医科大 30 2018/05/16 駐在員の名簿を第三者へメール誤送信 - 武雄市 107 2018/05/15 覆面調査サービスに不正アクセス、PWなど漏洩 - WAF設定ミスで攻撃防げず 6119 2018/05/14 3年前のメール誤送信を公表、匿名による指摘受け - 北九州市 1 2018/05/14 救命講習申込者への同報メールで誤送信 - 東京防災救急協会 444 2018/05/11 中学生自殺問題の報告資料で墨塗り処理にミス - 神戸市 6 2018/05/11 小学校で児童の個人情報を紛失 - 福岡市 16 2018/05/10 幼稚園で園児の画像含むカメラを紛失 - 茨木市 20 2018/05/10 小学校児童の個人情報含むUSBメモリを一時紛失 - 函館市 816 2018/05/09 森永乳業の通販サイトに不正アクセス - クレカ情報流出の可能性 23000 2018/05/09 高校で生徒の緊急連絡先カードが所在不明 - 愛知県 348 2018/05/09 顧客情報含む携帯端末を営業活動中に紛失 - ハナ信組 967 2018/05/08 メール誤送信で学生のメアド流出 - 東京外大生協 571 2018/05/08 県立体育センターでメール誤送信 - 神奈川県 89 2018/05/08 GWパンダ観覧券の一部で他当選者名を記載 - 上野動物園 207 2018/05/08 複数の教委公開文書で個人情報の墨塗り処理にミス - 大阪市 20
  21. 21. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/05/08 顧客情報含む検針用端末がバイクごと盗難 - 京葉ガス 307 2018/05/07 性格など記載された小学校名簿が町内掲示板に - 仙台市 24 2018/05/07 個人情報を誤ってサイトで公開、墨塗りミスなど - 三田市 11 2018/05/07 府立校9校で指導要録の紛失が判明、一部復元できず - 大阪府 1827 2018/05/07 顧客情報含む書類が所在不明、誤廃棄か - 青森銀 4191 2018/05/07 園芸振興センターの会員情報が流出、一時ダークウェブ上に - 宝塚市 609 2018/05/02 CAD製品のユーザー登録サイトに不正アクセス - エーアンドエー 6 2018/05/01 長野県、薬剤師免許申請書類を紛失 - 業務には影響なし 1 2018/04/27 前橋市教委、個人情報流出は4万7839件 - 既往症や口座情報なども 25226 2018/04/27 不正アクセスでイベント参加者の個人情報流出、匿名の通報で判明 - 忍野村 647 2018/04/27 一部学費請求書を誤送付、前年データ流用後に作業ミス - 横浜市立大 70 2018/04/26 再就職促進事業でメール誤送信、メアドが流出 - 下関市 49 2018/04/25 体力測定参加者の個人情報含むUSBメモリを紛失 - 京都橘大 48 2018/04/25 健康情報サイトへの不正アクセス、個人情報流出を確認 - 尼崎市 3026 2018/04/25 豊洲市場見学会で個人名含むメールを参加者に誤送信 36 2018/04/25 生徒の個人情報紛失が府立高2校で判明 - 大阪府 35 2018/04/24 患者の個人情報含むHDDが所在不明に - 相模野病院 126 2018/04/23 マイナンバー業務で知った個人情報を不正利用、職員処分 - 横浜市 2018/04/23 パーティー招待者などの個人情報含むUSBメモリを紛失 - J2水戸 300 2018/04/20 元従業員が営業管理ツールで顧客情報を不正閲覧、営業利用 - システム開発会社 21
  22. 22. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/04/20 消費生活センターからの通知文書に名簿を誤って同封 - 堺市 38 2018/04/19 介護保険事業所向けメールで誤送信、メアド流出 - 長野市 466 2018/04/18 県立病院になりすまし電話、研修医の個人情報聞き出す - 新潟県 52 2018/04/17 保険料の一部通知書が所在不明、郵便局の連絡で判明 - 島本町 259 2018/04/17 取引情報8.4万件含むATM記録紙を紛失 - 北おおさか信金 84573 2018/04/17 会員約24万件のアカウント情報が外部データと一致 - プレミアム・アウトレット 24000 2018/04/16 市営住宅入居者情報、断り切れずコピー許す - 伊賀市 648 2018/04/16 顧客リストを運搬中に紛失、一部未回収 - 大分瓦斯 2000 2018/04/13 患者や研修医など個人情報5.7万件が所在不明 - 大崎市民病院 57000 2018/04/13 児童名簿紛失を報告しなかった校長らに対し懲戒処分 - 千葉市 2018/04/12 中学校で生徒の個人情報が所在不明に - 堺市 36 2018/04/12 貸付金の借受人や連帯保証人などの個人情報を紛失、4年前に発生 - 滋賀県 146 2018/04/12 管理者パスワードを不正利用、人事資料閲覧で職員処分 - 八幡平市 2018/04/11 小学校で児童名簿を紛失、5カ月後の匿名通報で発覚 - 千葉市 1850 2018/04/10 不正アクセスの最終報告、影響は顧客情報最大3万1574件に - ポルシェジャパン 31574 2018/04/09 「プレミアム・アウトレット」の一部メルマガ会員情報が流出か - 使い回しパスワードに注意を 2018/04/06 メール誤送信でモニターの個人情報が流出 - コタ 390 2018/04/05 印影など含む帳票を保存箱ごと紛失、誤廃棄か - JAちばみどり 3586 2018/04/05 講演会案内メールで誤送信、メアド流出 - 日本科学技術連盟 1077 2018/04/04 児童や学生など含む個人情報約4万5000件が流出した可能性 - 前橋市 45000 22
  23. 23. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/04/04 タクシーポイントサービスで提供先以外から会員情報が閲覧可能に 17 2018/04/04 大阪府で児童扶養手当の決裁文書紛失が判明、2017年に5月発生 - 本籍や病歴、マイナンバーも 39 2018/04/04 不正アクセスで認定医情報が流出か - 日本がん治療認定医機構 21563 2018/04/02 転居先住所を本人の意志に反して提供 - 仙台市 2018/04/02 カード請求明細書の誤送付、件数が判明 - イオン銀 8 2018/03/30 市施設で児童の画像含むメモリカードが盗難、職員が逮捕 - 印西市 130 2018/03/30 非常勤講師が持ち帰った答案用紙を紛失 - 金沢星稜大 87 2018/03/29 スマホゲームのプレゼント企画でメール誤送信 105 2018/03/29 幼児の一部線量計が所在不明、測定値が計測不能に - 郡山市 15 2018/03/28 求人情報サイトの案内メールで誤送信、975件のメアド流出 975 2018/03/28 委託先が保護者500人宛のメールで誤送信 - 名古屋市 500 2018/03/27 会議配布資料で不十分な墨塗り、意見提出者の個人情報が漏洩 - 経産省 2018/03/27 中学校で貸出データ含む図書室設置PCが盗難 - 名古屋市 615 2018/03/26 再委託先がアンケート調査票を誤送付 - 経産省 2018/03/20 障害者向け支援事業利用者の個人情報を紛失 - 国分寺市 10 2018/03/20 特別高圧の顧客向け案内メールで誤送信 - 中部電 339 2018/03/20 元従業員が顧客情報を持ち出し、一部にDM送付 - エステサロン 354 2018/03/19 患者情報記載の書類を突風で飛ばされ紛失 - 千葉市 11 2018/03/19 高校で個人情報含むUSBメモリが所在不明、相談スペース利用状況なども - 大阪府 160 2018/03/16 患者情報含む廃棄書類が運搬中に飛散 - 都内病院で 35 23
  24. 24. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/03/16 保健所で個人情報含む書類を紛失 - 大阪府 6 2018/03/15 患者の個人情報含むPCが院内で所在不明に - 山形県立中央病院 700 2018/03/15 患者情報が盗難被害、勉強会帰りの寄り道で - 名大病院 2961 2018/03/14 学内から外部に不正通信、マルウェア感染端末を特定できず - 成蹊中高 2018/03/14 ITパスポート試験の申込者情報が漏洩、システム不具合で - IPA 126 2018/03/13 メール誤送信でふるさと納税者のメアド流出 - 小諸市 46 2018/03/12 台車で移動中の年金関係書類が飛散、一部所在不明に - 大河原町 2018/03/12 市健診サイトに不正アクセス、個人情報流出の可能性 - 尼崎市 14542 2018/03/09 個人情報含むリストを突風に飛ばされ紛失 - JKK東京 15 2018/03/09 個人情報含むファイルをメール誤送信 - 香川大 23 2018/03/09 クイズ当選者の個人情報含むPCを紛失 - 産経新聞 265 2018/03/07 英会話教室でメール誤送信 - 氏名やメアドが流出 134 2018/03/07 太陽光発電メーカー4社へ顧客情報を誤送信 - 中国電力 7659 2018/03/06 顧客から預かった個人情報入りHDDを紛失 - ネオジャパン 2018/03/02 クーポンサイトでアカウントを重複発行 - ソースネクスト 112 2018/03/02 交付前のマイナンバーカードと交付用端末が盗難 - 横浜市 78 2018/02/28 東芝グループ会社に不正アクセス - メール情報流出の可能性 100 2018/02/26 ポルシェジャパンに不正アクセス、顧客情報2.8万件が流出 - 独親会社からの指摘で判明 28722 2018/02/26 予防接種予診票を別の接種対象者へ誤送付 - 高知市 19 2018/02/23 入学予定者への連絡メールで誤送信、メアド流出 - 上智大 1317 24
  25. 25. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/02/22 ウェブサイト開設案内メールで誤送信、学生のメアド流出 - 大阪市立大 58 2018/02/22 市民公開講座の案内メールで誤送信 - 東海高中校 180 2018/02/21 顧客情報など約2.6万件を従業員が持ち出し、ネット上に保存 - 千葉県の不動産会社 26000 2018/02/21 イベント告知メールで誤送信、メアド流出 - 江戸川区 168 2018/02/21 高校行事出席者へのお礼メールで誤送信 - 宮城県 56 2018/02/20 医療連携ネットワークで設定ミス、一部で同意なく閲覧可能に - 香川県 25 2018/02/19 物件所有者や入居者など顧客情報含む契約書類が所在不明に - 大和リビング 31 2018/02/19 修理工事の領収証控が所在不明、誤廃棄の可能性 - 東京ガス 669 2018/02/16 顧客情報記載の書類を搬送中に紛失 - 常陽クレジット 55 2018/02/13 高校で生徒の個人情報含むUSBメモリを紛失 - 長野県 2018/02/09 ツアーの案内メールで誤送信、顧客から指摘で判明 - アルピコ交通 75 2018/02/09 高校で生徒の個人情報含む記録簿が所在不明 - 大阪府 150 2018/02/09 投資家向けメールを誤送信、メアド流出 - 旭硝子 606 2018/02/08 支援学校で緊急連絡メールを誤送信 - 大阪 76 2018/02/08 イベント案内メール誤送信でメアド流出 - 大阪信用保証協会 48 2018/02/07 顧客や従業員の個人情報含むUSBメモリを紛失 - 阪急阪神HD子会社 9184 2018/02/07 統計調査の調査員証など紛失で戒告処分 - 市原市 49 2018/02/07 高校生徒の写真含むUSBメモリが所在不明に - 大阪府 2018/02/06 学生情報含む教員の私有USBメモリが所在不明に - 大阪工業大 1070 2018/02/05 不正アクセスでクレカ情報が流出 - アイスキャンデー通販サイト 821 25
  26. 26. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/02/05 DV被害者の個人情報を漏洩、経緯は調査中 - 東彼杵町 2018/02/02 カードの請求明細書を異なる会員へ誤送付 - イオン銀 2018/02/01 従業員が顧客情報記載の書類を紛失 - SGローソン 2018/01/31 イベント案内メール誤送信で学生のメアド流出 - 京都教育大生協 74 2018/01/29 園児の個人情報含む災害時用衣服を紛失 - 港区 6 2018/01/26 ネットショップ運営サービスに不正アクセス - ショップ運営者や顧客情報が流出か 77385 2018/01/26 委託先が水道利用者の個人情報含む帳票を紛失 - 神奈川県 12 2018/01/25 患者情報含む書類を帰宅途中に紛失 - 名古屋大病院 3 2018/01/25 個人情報含むポイントカード申込用紙を紛失 - カメガヤ 2000 2018/01/25 教員の私用メールアカウントに不正アクセス、情報流出の可能性 - 滋賀県立大 168 2018/01/24 受験許可証を異なる受験者へメール送信、システム設定ミスで - 英検 359 2018/01/23 革製品販売サイトに不正アクセス - クレカ情報流出の可能性 335 2018/01/22 個人情報を不正利用した職員を懲戒処分 - 佐賀東部水道企業団 2018/01/22 メールを誤送信、意見調査対象の事業者間でメアドが流出 - 大阪市 31 2018/01/22 イベント案内メール誤送信でメアド流出 - 東北大病院 213 2018/01/19 モニター募集フォームで個人情報表示される設定ミス - 神奈川芸術劇場 16 2018/01/19 市営駐輪場のウェブ申請に不具合、他人の身分証明書が閲覧可能に - 浦安市 29 2018/01/19 小学校児童の個人情報含むUSBメモリが所在不明に - 川崎市 33 2018/01/19 販売店が商品配達時に顧客情報含む領収証を紛失 - 東京ガス 11 2018/01/19 案内メール誤送信で顧客のメアド流出 - ライフ 357 26
  27. 27. Security NEXT 個人情報漏洩事件・事故関連記事 2018年分 2018/01/18 手術患者の個人情報含むUSBメモリが所在不明 - 青梅市立総合病院 333 2018/01/16 動物取扱責任者の変更届出書などを紛失 - 大阪府 3 2018/01/16 販売店が顧客情報含む領収証を紛失 - 東京ガス 14 2018/01/15 幻冬舎に不正アクセス、会員情報流出の可能性 - バージョンアップで脆弱性が発生 93014 2018/01/15 事故の被処分者に関する個人情報含む資料をメールで送信 - 東京都 1538 2018/01/15 福島原発事故の損害賠償請求者に関する個人情報を紛失 - 東電 23 2018/01/15 事務所荒らしで顧客情報が被害に - ニッポンレンタカー 345 2018/01/12 Find Job!で一部求職者情報が外部よりアクセス可能な状態に 491 2018/01/11 介護給付費などの通知書を誤送付 - 大阪市 1000 2018/01/10 チケット購入確認ページに他人の購入情報を表示 - ローソンHMV 227 2018/01/10 施設の利用登録者宛てメールで誤送信 - 福祉事業者 59 2018/01/09 九州商船の予約サイトに不正アクセス、会員情報流出の可能性 - 不正ファイルが設置され外部通信 73829 2018/01/09 写真コンテスト受賞者の個人情報を誤って公開 - 鳥取県 14 2018/01/09 患者情報が所在不明に、忘年会の荷物置場からなくなる - 横浜市立大病院 4 27
  28. 28. Security NEXT個人情報漏洩事件・事故関連記事 • 参考元:Security NEXT個人情報漏洩事件・事故関連記事 • URL:http://www.security-next.com • 総記事数:434 • 総漏洩件数:105,702,721 • 一件最大数:100,000,000 • 漏洩経路:HDD、USBメモリ、PC紛失盗難、内部犯行 メール誤送信、設定ミス、不正アクセス 28
  29. 29. 海外では • マリオット • 漏洩件数:約5憶人 • 過去2番目の規模 • 1番目は2013年米ヤフーの約30憶アカウント 29
  30. 30. 余談-情報漏洩した場合 • 情報漏洩による直接的、間接的被害を最小限に抑える • 情報漏洩対応5原則 – 被害拡大防止、二次被害防止、再発防止の原則 – 事実確認と情報の一元管理の原則 – 透明性・開示の原則 – チームワークの原則 – 備えあれば憂いなしの原則 • 情報漏洩対応 – 発見・報告 – 初動対応 – 調査 – 通知・報告・公表など – 抑制措置と復旧 – 事後対応 • 情報漏えい発生時の対応ポイント集 https://www.ipa.go.jp/security/awareness/johorouei/index.html 30
  31. 31. 2019年はどうなるか 31
  32. 32. 情報セキュリティ10大脅威 2019 昨年順位 個人 順位 組織 昨年順位 1位 クレジットカード情報の不正利用 1位 標的型攻撃による被害 1位 1位 フィッシングによる個人情報等の詐 取 2位 ビジネスメール詐欺による被害 3位 4位 不正アプリによるスマートフォン利 用者の被害 3位 ランサムウェアによる被害 2位 NEW メールやSNSを使った脅迫・詐欺の 手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻 撃の高まり NEW 3位 ネット上の誹謗・中傷・デマ 5位 内部不正による情報漏えい 8位 10位 偽警告によるインターネット詐欺 6位 サービス妨害攻撃によるサービスの停 止 9位 1位 インターネットバンキングの不正利 用 7位 インターネットサービスからの個人情 報の窃取 6位 5位 インターネットサービスへの不正ロ グイン 8位 IoT機器の脆弱性の顕在化 7位 2位 ランサムウェアによる被害 9位 脆弱性対策情報の公開に伴う悪用増加 4位 9位 IoT 機器の不適切な管理 10位 不注意による情報漏えい 12位 32
  33. 33. 情報セキュリティの基礎 33
  34. 34. 情報セキュリティの3要素 • 情報セキュリティの3要素(CIA)ISO/IEC17799 34 機密性 可用性完全性 アクセスを認可された者だけ が、情報にアクセス できることを確実にすること 認可された利用者が、必要 なときに、情報及び関連 する資産にアクセスできる ことを確実にすること 情報および処理方法が正確 であること及び完全 であ ることを保護すること
  35. 35. 脅威・リスク・インシデント 35 脅威 リスク インシデント 情報の機密性・ 完全性・可用性 を阻害する要因 脅威によって情 報資産が損なわ れる可能性 実際に情報資産 が損なわれてし まった状態
  36. 36. 守るべき情報資産と脅威 情報資産 守るべきもの 外部から の要因 内在する 要因 36
  37. 37. インシデントの種類・原因・予防 • 外部からの要因 – マルウェア感染 – 不正アクセス – サービス妨害 • 内在する要因 – セキュリティホール – 過失、運用ルール違反、設定ミス – 内部犯行 37
  38. 38. インシデントの種類・原因・予防 38 管理的対策 物理的対策技術的対策
  39. 39. Office365 39
  40. 40. サービスレベルのセキュリティ • 物理層 — 施設およびネットワークのセキュリティ – 施設 – ネットワーク • 論理層 — ホスト、アプリケーション、管理者ユーザー – 自動運用 – データに対する管理者アクセス権 – セキュリティ開発ライフ サイクル – マルウェア対策、修正プログラムの適用、および構成管理 • データ層 — データ • データの整合性と暗号化 • セキュリティの脅威からの保護 • セキュリティの監視と対応 • 独立した検証 40
  41. 41. お客様によるセキュリティ制御 • データの整合性と暗号化 – Rights Management サービス – Secure Multipurpose Internet Mail Extension(S/MIME) – Office 365 Message Encryption – マルウェア対策/スパム対策の制御 – トランスポート層セキュリティ • 安全なエンド ユーザー アクセス – 多要素認証 – クライアントベースのアクセス制御 – 役割ベースのアクセス制御 41
  42. 42. プライバシー設計 • お客様が購入されたサービスを提供する以外の目的で、お客様の データをマイニングすることはありません。 • お客様がサービスの購入を中止することを選択した場合、お客様は データを完全な形で引き取ることができます。 • データの保管場所、アクセス履歴、およびアクセス状況をお伝えし ます。 • データへのアクセスは厳しく制限されており、非破壊的なもので、 ログに記録され監査されます。 42
  43. 43. お客様によるプライバシー制御 • Office 365 での Rights Management • サイト、ライブラリ、フォルダーに対するプライバシー制御 • コミュニケーションに対するプライバシー制御 43
  44. 44. サービスのコンプライアンス • 医療保険の携行性と責任に関する法律 (HIPAA) • データ処理条件 • 連邦情報セキュリティ マネジメント法 (FISMA) • Risk and Authorization Program (FedRAMP) • ISO 27001 • 欧州連合 (EU) モデル契約条項 • ISO 27018 • 家庭教育の権利とプライバシーに関する法 (FERPA) • 保証業務基準書第 16 号(18号) (SSAE 18) SOC1 SOC2 • 米国グラム リーチ ブライリー法 (GLBA) • Health Information Trust Alliance (HITRUST) • Cloud Security Alliance (CSA) • FISC安全対策基準(日本) 44
  45. 45. お客様によるコンプライアンス制御 • データ損失防止 (DLP) • ポリシーの監査と保持 • 電子情報開示 (eDiscovery) • データ流出の管理 • データの削除 45
  46. 46. demo Office365 セキュリティ/コンプライアンス センター 46
  47. 47. Azure Azure セキュリティホワイトペーパー https://docs.microsoft.com/ja-jp/azure/security/azure-security 47
  48. 48. 注意:セキュリティホワイトペーパーを元に資料を作成していま す。そのため微妙に情報が古い場合があります。また日本語版を 参考にしているため英語版と差異がある可能性があります。 48
  49. 49. Azure のセキュリティのドキュメント • アーキテクチャと設計 • データ セキュリティと暗号化 • プラットフォームとインフラストラクチャ • アプリケーション • 監視、監査、および操作 • ガバナンスとコンプライアンス • ホワイト ペーパー • Azure セキュリティ サービス • 技術的概要 • ベスト プラクティス • リソース 49
  50. 50. Azure セキュリティサービス 50
  51. 51. Azure の全般的なセキュリティ 51 Service 説明 Azure Security Center ハイブリッド クラウド ワークロード全体でセキュリティ管理と高度な脅威保護を 実現するクラウドのワークロードを保護するソリューションです。 Azure Key Vault パスワード、接続文字列およびアプリの動作に必要なその他の情報を格納するセ キュリティで保護された機密データ ストアです。 Log Analytics アプリとリソースの操作の分析情報を提供する、製品利用統計情報およびその他 のデータを収集する、クエリ言語および分析エンジンを提供する監視サービスで す。 単独で使用することも、Security Center などのその他のサービスと共に使 用することもできます。 Azure Dev/Test Lab 無駄を最小限に抑え、コストを管理しつつ、Azure で迅速に環境を作成するため のサポートを開発者とテスト担当者に提供するサービスです。
  52. 52. ストレージのセキュリティ Service 説明 Azure Storage Service Encryption Azure ストレージのデータを自動的に暗号化するセキュリティ機能です。 StorSimple のハイブリッド ストレージ の暗号化 オンプレミスのデバイスと Azure クラウド ストレージ間のストレージ タスクを管理する統合ストレージ ソリューションです。 Azure のクライアント側の暗号化 Microsoft Azure Storage にアップロードする前にクライアント アプリ ケーション内のデータを暗号化するクライアント側の暗号化ソリュー ションです。ダウンロード中には、データを復号化します。 Azure Storage Shared Access Signature Shared Access Signature を使用すると、ストレージ アカウント内の リソースへの委任アクセスが可能になります。 Azure ストレージ アカウント キー ストレージ アカウントへのアクセス時に、Azure ストレージの認証で 使用されるアクセス制御メソッドです。 SMB 3.0 の暗号化を使用した Azure ファイル共有 ネットワークで、サーバー メッセージ ブロック (SMB) ファイル共有プ ロトコルの自動的な暗号化を有効にするネットワーク セキュリティ テ クノロジです。 Azure Storage Analytics ストレージ アカウントのデータのログとメトリックを生成するテクノロ ジです。 52
  53. 53. データベースのセキュリティ Service 説明 Azure SQL Firewall データベースへのネットワーク経由の攻撃から保護するためのネット ワークのアクセス制御機能です。 Azure SQL Cell Level Encryption 詳細なレベルで暗号化を提供するデータベース セキュリティ テクノ ロジです。 Azure SQL 接続暗号化 SQL Database では、セキュリティを提供するために、IP アドレスで 接続を制限するファイアウォール規則、ユーザーに ID の指定を要求 する認証メカニズム、およびユーザーを特定の操作とデータに限定す る承認メカニズムによって、アクセスを制御します。 Azure SQL Always Encryption (Azure SQL の常時暗号化) Azure SQL Database や SQL Server データベースに格納された、ク レジット カード番号や国民識別番号 (米国の社会保障番号など) のよ うな機密データを保護することを目的とした機能です。 Azure SQL Transparent Data Encryption データベース全体のストレージを暗号化するデータベース セキュリ ティ機能です。 Azure SQL Database 監査 データベース イベントを追跡し、それを Azure Storage アカウント の監査ログに書き込むデータベース監査機能です。 53
  54. 54. ID 管理とアクセス管理 Service 説明 Azure Role Based Access Control 組織内でのロールに基づき、必要なリソースのみにアクセスすることを ユーザーに許可するアクセス制御機能です。 Azure Active Directory マルチテナントのクラウドベースのディレクトリと Azure 内で複数の ID 管理サービスをサポートするクラウド ベースの認証リポジトリです。 Azure Active Directory B2C Azure ベースのアプリケーションの使用時に、顧客のサインアップ、サ インイン、プロファイル管理を制御する ID 管理サービスです。 Azure Active Directory Domain Services Active Directory Domain Services のクラウドベースのマネージド バー ジョンです。 Azure Multi-Factor Authentication セキュリティで保護された情報へのアクセスを許可する前に、いくつかの 異なる認証および検証形式が使用されるセキュリティ対応の機能です。 54
  55. 55. ネットワーク Service 説明 Network Security Groups タプルが 5 つ使用された、意思決定を許可または拒否することができるネット ワーク ベースのアクセス制御機能です。 Azure VPN Gateway Azure Virtual Network へのクロスプレミス アクセスを許可する VPN エンドポ イントとして使用されるネットワーク デバイスです。 Azure Application Gateway URL に基づいてルーティングし、SSL オフロードを実行できる、高度な Web ア プリケーション ロード バランサーです。 Azure Load Balancer TCP/UDP アプリケーション ネットワーク ロード バランサーです。 Azure ExpressRoute オンプレミス ネットワークと Azure Virtual Network 間の専用 WAN リンクで す。 Azure の Traffic Manager グローバルな DNS ロード バランサーです。 Azure アプリケーション プロキ シ オンプレミスでホストされている Web アプリケーションのリモート アクセスを セキュリティで保護するための認証フロントエンドです。 55
  56. 56. バックアップと障害復旧 Service 説明 Azure Backup Azure クラウドのデータをバックアップおよび復元するために使用され る Azure ベースのサービスです。 Azure Site Recovery 物理マシンと仮想マシン (VM) で実行中のワークロードでエラーが発生 した場合にその復旧を可能にする、プライマリ サイトからセカンダリ ロ ケーションにワークロードをレプリケートするオンライン サービスです。 56
  57. 57. アーキテクチャと設計 57
  58. 58. Azure セキュリティ概要 • 以下の2つについて解説。 • Azure インフラストラクチャ、顧客データ、およびアプリケーショ ンのセキュリティを確保するために Microsoft で実装されるするセ キュリティ機能。 • サービスのセキュリティおよび Azure サブスクリプション内の データをユーザーが管理できるようにする Azure のサービスとセ キュリ ティ機能。 58
  59. 59. Azure のセキュリティ機能の概要 • Azure プラットフォームのセキュリティを確保するために実装され るセキュリティ機能 59 安全なプラットフォーム プライバシー管理 コンプライアンス 透明性 セキュリティ開発サイクル、 内部監査 データの常時管理 トラスト センター Microsoft が Azure サービ スで顧客データの安全性を 確保する方法 必須のセキュリティ トレー ニング、バックグラウンド チェック データ保管場所の管理 共通管理ハブ Microsoft が Azure サービ スでデータの保管場所を管 理する方法 侵入テスト、不正侵入検出、 DDoS、監査、ログ記録 条件に応じたアクセス権の 付与 クラウド サービス向けデリ ジェンス チェックリスト データにアクセスできる ユーザーとその条件 最新のデータ センター、物 理的なセキュリティ、セ キュリティで保護された ネットワーク 法執行機関への対応 サービス、場所、および業 界ごとのコンプライアンス Microsoft が Azure サービ スで顧客データの安全性を 確保する方法 セキュリティ インシデント 対応、責任の分担 厳格なプライバシー基準 Azure サービスの証明書確 認、Transparency Hub
  60. 60. Azure のセキュリティ機能の概要 • データおよびアプリケーションのセキュリティを確保するために Azure で提供されるセキュリティ機能 – アプリケーション – ストレージ – ネットワーキング – コンピューティング – ID • ただし、クラウドサービスモデルによって異なる 60
  61. 61. 共同責任モデル 61
  62. 62. 操作 • [セキュリティおよび監査] ダッシュボード • Azure Resource Manager • Application Insights • Azure Monitor • Log Analytics • Azure Advisor • Azure Security Center 62
  63. 63. アプリケーション • Web アプリケーションの脆弱性のスキャン • 侵入テスト • Web アプリケーション ファイアウォール • Azure App Service での認証および承認 • 複数層セキュリティ アーキテクチャ • Web サーバー診断とアプリケーション診断 • Web サーバー診断 • アプリケーション診断 63
  64. 64. TINFOIL Security • https://azure.microsoft.com/blog/web-vulnerability- scanning-for-azure-app-service-powered-by-tinfoil-security/ 64
  65. 65. 侵入テスト • 2017 年 6 月 15 日時点で、Microsoft は Azure リソースに対する侵入テストを実施する際に事 前承認を求めなくなりました。 Microsoft Azure に対する今後の侵入テストの契約を正式に文書 化することをご希望のお客様は、Azure サービス侵入テスト通知フォームに記入することをお勧 めします。 このプロセスは Microsoft Azure にのみ関連するものであり、その他の Microsoft Cloud サービスには適用されません。 • 実行できる標準テスト – Open Web Application Security Project (OWASP) の上位 10 の脆弱性 – ファジー テスト – ポートのスキャン • 実行できないテストの種類の 1 つは、 サービス拒否 (DoS) 攻撃です。 これには、Dos 攻撃自 体を開始したり、DoS 攻撃の種類の判断、デモンストレーション、またはシミュレートを実行す る可能性がある関連テストを実行したりすることも含まれます。 65
  66. 66. ストレージ • ロール ベースのアクセス制御 (RBAC) • Shared Access Signature • 転送中の暗号化 • 保存時の暗号化 • Storage Analytics • CORS を使用したブラウザーベースのクライアントの有効化 66
  67. 67. ネットワーク • ネットワーク層制御 – ネットワーク セキュリティ グループ – ルート制御と強制トンネリング – 仮想ネットワークのセキュリティ アプライアンス • Azure Virtual Network • VPN Gateway • ExpressRoute • Application Gateway • Web アプリケーション ファイアウォール • Traffic Manager • Azure Load Balancer • 内部 DNS • Azure DNS • Log Analytics NSG • Azure Security Center 67
  68. 68. Compute • マルウェア対策とウイルス対策ソフトウェア • ハードウェア セキュリティ モジュール • 仮想マシンのバックアップ • Azure Site Recovery • SQL VM TDE • VM ディスクの暗号化 • 仮想ネットワーク • 修正プログラム • セキュリティ ポリシーの管理とレポート • Azure Security Center 68
  69. 69. Trend Micro Deep Security as a Service • https://www.trendmicro.com/ja_jp/business/products/hybri d-cloud/deep-security-service.html 69
  70. 70. ID 管理とアクセス管理 • セキュリティ保護された ID – 多要素認証 – Microsoft Authenticator – パスワードポリシーの適用 – トークンベースの認証 • アプリおよびデータのセキュリティ保護 – Azure Active Directory 70
  71. 71. Azure Active Directory プラン 価格 内容 Azure Active Directory Free ユーザーとグループの管理、オンプレミス ディレクトリ同期、基本レポートのほ か、Azure、Office 365、および多くの一般的な SaaS アプリ全体のシングル サ インオンを提供します。 Azure Active Directory Basic 112/月 Basic では、Free の機能に加えて、クラウド中心のアプリ アクセス、グループ ベースのアクセス管理、クラウド アプリ向けのセルフサービスのパスワード リ セットのほか、Azure AD を使用してオンプレミスの Web アプリを発行できる Azure AD アプリケーション プロキシも提供されます。 Azure Active Directory Premium P1 672/月 P1 では、Free と Basic の機能に加えて、ハイブリッド ユーザーがオンプレミ スとクラウドの両方のリソースにアクセスすることもできます。 さらに、動的グ ループ、セルフサービス グループ管理、Microsoft Identity Manager (オンプレ ミスの ID およびアクセス管理スイート)、オンプレミス ユーザーによるセルフ サービスのパスワード リセットを可能にするクラウドの書き戻し機能など、高度 な管理機能もサポートしています。 Azure Active Directory Premium P2 1008/月 Directory Identity Protection のほか、管理者と管理者によるリソースへのアク セスを検出、制限、監視するのに役立ち、必要に応じてジャストインタイム アク セスを提供できる Privileged Identity Management が提供されます。 71
  72. 72. Azure Active Directory 機能 機能名 内容 Cloud App Discovery Azure Active Directory のプレミアム機能で、組織の従業員が使用しているクラウド アプリケーションを 特定することができます。 Azure Active Directory ID Protection Azure Active Directory の異常検出機能を使用して、リスク イベントと、組織の ID に影響を与える可能 性のある潜在的な脆弱性に対して統合ビューを提供するセキュリティ サービスです。 Azure Active Directory Domain Services ドメイン コントローラーをデプロイせずに、Azure 仮想マシンをドメインに参加させることができます。 ユーザーは会社の Active Directory 資格情報を使用してこれらの仮想マシンにサインインし、各種リソー スにシームレスにアクセスできます。 Azure Active Directory B2C 数億個もの ID をスケールしてモバイルや Web プラットフォーム間で統合できる、コンシューマー向け アプリケーション用の高可用性グローバル ID 管理サービスです。 お客様は、既存のソーシャル メディア アカウントを使用するカスタマイズ可能な操作ですべてのアプリにサインインすることも、新しいスタン ドアロンの資格情報を作成することもできます Azure Active Directory B2B コラボ レーション 自己管理される ID を使用してパートナーが会社のアプリケーションやデータに選択的にアクセスできる ようにすることで会社間のリレーションシップをサポートする、安全なパートナー インテグレーション ソリューションです。 Azure Active Directory Join クラウド機能を Windows 10 デバイスに拡張し、集中管理することができます。 ユーザーが Azure Active Directory を介して企業や組織のクラウドに接続できるようになり、アプリやリソースへのアクセ スが簡略化されます。 Azure Active Directory アプリケーショ ン プロキシ オンプレミスでホストされた Web アプリケーションに対する SSO およびセキュリティ保護されたリ モート アクセスを提供します。 72
  73. 73. 高度な脅威検出 73
  74. 74. Azureの高度な脅威検出 • Azure Active Directory (Azure AD)、Azure Log Analytics、 Azure Security Center などのサービスを通じて、高度な脅威検出 を行う組み込み機能を提供しています。 このセキュリティ サービ スと機能のコレクションにより、Azure デプロイの内部で起きてい る事象をシンプルかつ迅速に把握する方法が提供されます 74
  75. 75. Azure Active Directory Identity Protection • 指定したリスク レベルに達したときに、検出された問題が自動的 に対処されるようにリスク ベースのポリシーを構成することで、 組織の ID を保護できます。 – リスク イベントとリスクの高いアカウントの検出 – リスク イベントの調査 – リスクに基づく条件付きアクセス ポリシー • Azure AD Privileged Identity Management – 組織内のアクセスと管理、制御、監視(Azure AD をはじめと する Microsoft Online Services) 75
  76. 76. Azure Log Analytics • 包括的なセキュリティおよびコンプライアンスの体制 • 分析情報と分析 • Operations Management Suite(OMS)は2019/1/15に廃止され Azureポータルに統合されています。 • 自動化と制御: セキュリティ構成の誤差に関するアラート 76
  77. 77. Azure Security Center • 脅威インテリジェンス – 複数のソースから製品利用統計 – 既知の有害因子から生じる脅威について利用者に警告 • 行動分析 – 複雑な機械学習アルゴリズムを通じてパターンが決定 • 異常検出 – 異常検出は “独自色” が強く、機械学習を適用して個々の環境の 正常なアクティビティを突き止める • 脅威インテリジェンスの継続的監視 77
  78. 78. 高度な脅威検出機能: その他の Azure サービス • 仮想マシン: Microsoft マルウェア対策 • Azure SQL Database の脅威の検出 • Application Gateway の Web アプリケーション ファイアウォー ル • 異常検出 API: Azure Machine Learning を使用して構築される • Cloud App Security – クラウドセキュリティフレームワーク – クラウドの発見、データ保護、脅威からの保護 • Azure Marketplace を介したサード パーティ製の高度な脅威検出 機能 – Barracuda、Impervaなど 78
  79. 79. Azureのログと監査 79
  80. 80. Azure のログのタイプ • コントロール/管理ログ • データ プレーン ログ • 処理済みイベント 80 ログのカテゴリ ログのタイプ 使用法 統合 アクティビティ ログ Azure Resource Manager リソースのコ ントロールプレーン イベント サブスクリプションのリソースに対して実 行された操作に関する分析情報を提供しま す。 Rest API、Azure Monitor Azure 診断ログ サブスクリプションの Azure Resource Manager リソースの操作に関してよく使 用されるデータ リソース自体が実行した操作に関する分析 情報を提供します。 Azure Monitor、Stream Azure AD レポート ログとレポート ユーザーのサインイン アクティビティと、 ユーザーおよびグループの管理に関するシ ステム アクティビティの情報を報告しま す。 Graph API 仮想マシンとクラウド サービス Windows イベント ログ サービスと Linux Syslog 仮想マシンのシステム データとログ デー タを取り込み、そのデータを任意のスト レージ アカウントに転送します。 Azure Monitor の Windows (Microsoft Azure 診断 (WAD) ストレージを使用) と Linux Azure Storage Analytics ストレージ ログ (ストレージ アカウント のメトリック データの提供) トレース要求に関する分析情報を提供し、 使用傾向を分析して、ストレージ アカウ ントの問題を診断します。 REST API またはクライアント ライブラ リ ネットワーク セキュリティ グループ (NSG) のフロー ログ JSON 形式 (送信および受信のフローを ルールごとに表示) ネットワーク セキュリティ グループを介 したイングレスおよびエグレス IP トラ フィックに関する情報を表示します。 Azure Network Watcher Application Insight ログ、例外、カスタム診断 複数のプラットフォームの Web 開発者向 けにアプリケーション パフォーマンス管 理 (APM) サービスを提供します。 REST API、Power BI データの処理/セキュリティ アラート Azure Security Center のアラート、 Azure Log Analytics のアラート セキュリティに関する情報と警告を提供し ます。 REST API、JSON
  81. 81. オンプレミスの SIEM システムを使用した Log Integration • Azure Log Integration を使用して、Azure リソースからの未加工のログをオンプレミスの SIEM システム (セキュリティ情報/イベント管理システム) に統合できます。 AzLog ダウン ロードは 2018 年 6 月 27 日に無効になりました。 81 SIEMツール 現在ログインテグレータを使用しています 現在調査中のSIEM統合オプション Splunk Splunk用Azureモニターアドオンへの移行を開始しま す。 Splunk用Azure Monitorアドオンを使用してくださ い。 IBM QRadar IBMサポートWebサイトから入手可能なMicrosoft Azure DSMおよびMicrosoft Azure Event Hubプロト コルへの移行を開始します。あなたはできますここア ズールとの統合についての詳細を学びます。 IBMサポートWebサイトから入手可能なMicrosoft Azure DSMおよびMicrosoft Azure Event Hubプ ロトコルを使用してください。Azureとの統合につ いて詳しく知ることができます。 アークサイト Azureログ統合ツールでは、ArcSightの既存のJSONコ ネクタを使用してArcSightと統合し、他の種類の AzureログではなくJSONからCEFへのマッピングを使 用して、AzureログをJSONファイルに統合できます。 ArcSightチームは現在、2018年10月の期間内に限定 された範囲で最初のリリースを予定している新しい包 括的なソリューションに取り組んでいます。詳細につ いてはArcSightにお問い合わせください。Azure Log Integrationツールを既に使用している場合は、Azure 用のArcSightコネクタが使用可能になったら使用する ことを計画してください。 AzLogツールではサポートされていませんが、ELKスタックやSumoLogicなど、Azure Monitorイベントハブ統 合を提供している他のパートナーも検討することをお勧めします。Security Information and Event Management
  82. 82. Azure のネットワーク セキュリ ティ 82
  83. 83. Azure のネットワーク セキュリティ • Azure のネットワーク サービスは柔軟性、可用性、回復性、セキュリティ、および整合性を最大化するように設 計されています。 このホワイト ペーパーでは、Azure のネットワーク機能の詳細を提供します。 また、お客様 の情報資産を保護するために役立つ、Azure でのネイティブのセキュリティ機能の使用方法についても説明しま す。 このホワイトペーパーは、次の読者を対象としています。 • https://azure.microsoft.com/mediahandler/files/resourcefiles/azure-network- security/Azure%20Network%20Security.pdf • Azure で使用できる、およびサポートされているセキュリティ ソリューションを探しているテクニカル マネー ジャー、ネットワーク管理者、および開発者。 • Azure パブリック クラウドのネットワーク セキュリティに関連する Azure のテクノロジやサービスの概要を把 握することを求めている領域の専門家やビジネス プロセスの責任者。 83
  84. 84. Azure のネットワーク セキュリティ • Overview • Azure network infrastructure • Security aspects of Azure network components for the enterprise – Basic network connectivity – Connectivity between virtual networks – Network-to-network connection via VPN – Network-to-network connection via virtual network peering – Azure DNS – Application Gateway – Traffic Manager – Load Balancer • Azure network security capabilities – Isolation – Internet connectivity – Deploy perimeter networks for security zoning and attack prevention – Resource connectivity – Cross-premises and hybrid connectivity – Point-to-site VPN – Site-to-site VPN – Network-to-network connections (IPsec/IKE VPN tunnel) – Azure ExpressRoute – Traffic filtering – Routing – Azure DDoS Protection • Security controls to consider through Azure network services – Network access controls – Application security groups – Network security appliances – Virtual network service endpoints • Network security validation through logging and auditing • Microsoft cloud services and network security – Best practices 84
  85. 85. Azure Functions とサーバーレス プラットフォームのセキュリティ 85
  86. 86. Azure Functions とサーバーレス プラットフォームの セキュリティ • フル マネージド サービスのため、サーバー管理と容量計画は開発者には見えません。 サーバーレス フレーム ワークは、Azure Functions を使用してサーバーレス アプリケーションを開発およびデプロイするのに役立ちま す。 これは、関数とイベントで構成された高度なイベント駆動型のサーバーレス アーキテクチャを構築するの に役立つ、構造と自動化を提供するコマンド ライン インターフェイス (CLI) です。 Azure 関数は、マイクロ サービスのように、デプロイの独立した単位です。 これはクラウドにデプロイされる単なるコードであり、ほと んどの場合は単一のジョブを実行するために記述します。 • その利点にもかかわらず、サーバーレス セキュリティには独自のリスク要因があり、これに対処する必要があり ます。 サーバーレス アプローチでは、新たなセキュリティ上の懸念は生じませんが、既存のセキュリティ上の 懸念へのアプローチが必要です。 このホワイト ペーパーでは、これらのセキュリティ上の問題に焦点を当てて います。 • サーバーレス プラットフォームの利点 • サーバーレス コンピューティングにおけるセキュリティの問題 • Azure のコンテキストにおける重大なセキュリティの問題と軽減策 • Microsoft サーバーレス プラットフォームのセキュリティ保護 • https://azure.microsoft.com/mediahandler/files/resourcefiles/azure-functions-serverless-platform- security/Microsoft%20Serverless%20Platform.pdf 86
  87. 87. Azure Functions とサーバーレス プラットフォームの セキュリティ • Overview • Serverless platform – Benefits of serverless – The Microsoft approach – Serverless architecture and application platform components – Scenarios for serverless • Security issues in serverless computing – Shared responsibility model for public cloud computing – Increased attack surface and increase in complexity – Debugging chaos – Telemetry and insight everywhere • Critical security issues and mitigation in the context of Azure – Injection flow in Azure functions – Fragmented authentication – Serverless deployment misconfiguration – Unwanted privileges and roles – Execution flow manipulation for Azure functions – Inadequate monitoring and logging – Unsecured third-party software dependencies – Unsecured and sensitive storage – Denial-of-service attacks – Improper exception handling • Securing the Microsoft serverless platform – Securing functions with an Azure App Service dedicated plan – Securing functions with Azure Active Directory – Securing Logic Apps – Securing Event Grid resources 87
  88. 88. Microsoft Azure におけるコンテ ナーのセキュリティ 88
  89. 89. Microsoft Azure におけるコンテナーのセキュリティ • コンテナー テクノロジは比較的新しいため、多くの IT プロフェッショナルが、運用環境での可 視性の欠如と使用についてセキュリティ上の懸念を抱いています。 多くの場合、開発チームは セキュリティのベスト プラクティスを認識していません。 このホワイト ペーパーは、セキュリ ティ運用チームと開発者が、Microsoft Azure プラットフォーム上でのコンテナーの開発とデプ ロイをセキュリティで保護する方法を選択する際に役立ちます。 • このホワイト ペーパーでは、コンテナー、コンテナーのデプロイと管理、ネイティブ プラット フォーム サービスについて説明します。 また、Azure プラットフォーム上でコンテナーを使用 する際に発生するランタイム セキュリティの問題についても説明します。 このホワイト ペー パーの図と例では、コンテナー モデルとしての Docker とコンテナー オーケストレーターとし ての Kubernetes に注目しています。 セキュリティに関する推奨事項のほとんどは、Azure プ ラットフォーム上の Microsoft パートナーの他のコンテナー モデルにも適用されます。 • https://azure.microsoft.com/mediahandler/files/resourcefiles/container-security-in- microsoft-azure/Open%20Container%20Security%20in%20Microsoft%20Azure.pdf 89
  90. 90. Microsoft Azure におけるコンテナーのセキュリティ • Container overview and use cases • Container services and technologies – Azure Kubernetes Service – Azure Container Instances – Azure Container Registry • Security concerns for containers and their solutions – Kernel exploits – Denial-of-service attacks – Container breakouts – Poisoned images – Compromising secrets • Container Security Issues and Approaches – Use vulnerability management as part of your container development lifecycle – Scan for vulnerabilities before pushing images to the registry – Continue scanning in the registry – Map image vulnerabilities to running containers – Ensure that only approved images are used in your environment – Permit only approved registries – Ensure the integrity of images throughout the lifecycle – Enforce least privileges in runtime – Reduce the container attack surface by removing unneeded privileges – Whitelist files and executables that the container is allowed to access or run – Enforce network segmentation on running containers – Monitor container activity and user access – Monitor container resource activity – Log all container administrative user access for auditing • Securing Docker containers in Azure Kubernetes Service – Image security – Test: network controls – Production: security tools and polices – Adding process restrictions • Security frameworks for container management and orchestration • Conclusion 90
  91. 91. Azure で運用可能なセキュリティ 91
  92. 92. Azure で運用可能なセキュリティ • Microsoft Azure で運用可能なセキュリティとは、ユーザーが Azure 内のデータ、アプリケーション、その他の 資産を保護するために使用できる、サービス、コントロール、機能を指します。 Azure で運用可能なセキュリ ティは、Microsoft セキュリティ開発ライフサイクル (SDL)、Microsoft セキュリティ レスポンス センター プ ログラム、サイバー セキュリティの脅威状況に対する深い認識など、Microsoft に固有のさまざまな機能の使用 経験から得られた知識が組み込まれたフレームワークを基盤としています。 このホワイト ペーパーでは、Azure を使用して運用可能なセキュリティに取り組む方法について概説します。 次のような複数の Azure サービスを 取り上げています。 • Azure Log Analytics • Azure Backup • Azure Security Center • Azure Monitor • Azure Network Watcher • Azure Storage Analytics • Azure Active Directory • https://azure.microsoft.com/mediahandler/files/resourcefiles/azure-operational- security/Azure%20Operational%20Security.pdf 92
  93. 93. Azure で運用可能なセキュリティ • Overview • Azure Log Analytics • Azure Backup • Management solutions – Azure Security Center • Azure Monitor – Azure Activity Log – Azure diagnostic logs – Metrics – Azure Diagnostics • Azure Network Watcher • Azure Storage Analytics • Azure Active Directory • Summary 93
  94. 94. Azure クラウドでの分離 94
  95. 95. Azure クラウドでの分離 • テナント レベルの分離 – Azure テナント – Azure ロールベースのアクセス制御 (RBAC) – Microsoft 管理者およびデータ削除からの分離 • コンピューティングの分離 – 分離された仮想マシン サイズ • Standard_E64is_v3、Standard_E64i_v3、Standard_M128ms、Standard_GS5、Standard_G5、 Standard_DS15_v2、Standard_D15_v2 – ルート VM とゲスト VM の間での Hyper-V とルート OS の分離 – 高度な VM 配置アルゴリズムとサイド チャネル攻撃に対する保護 – Azure ファブリック コントローラー – VM を分離するためにファブリック コントローラー エージェントによって構成されるその他のルール – VLAN の分離 • 記憶域の分離 – コンピューティングと記憶域の論理的な分離 – 記憶域アクセス制御を使用する分離 – IP レベルでの記憶域の分離 – 暗号化 • SQL Azure データベースの分離 – ネットワーク トポロジによる分離 – マシンの機能とアクセスによる分離 • ネットワークの分離 95
  96. 96. Azure とオンプレミス データセン ター間に DMZ を実装する 96
  97. 97. アーキテクチャ • オンプレミス ネットワーク • Azure の仮想ネットワーク (VNet) • ゲートウェイ • ネットワーク仮想アプライアンス (NVA) • Web 層、ビジネス層、およびデータ層のサブネット • ユーザー定義ルート(UDR) • 管理サブネット 97
  98. 98. Recommendations • アクセスの制御に関する推奨事項 • リソース グループの推奨事項 • 仮想ネットワーク ゲートウェイに関する推奨事項 • NVA の推奨事項 • NSG の推奨事項 • インターネットへのアクセスに関する推奨事項 • 管理サブネットに関する推奨事項 98
  99. 99. 考慮事項 • スケーラビリティに関する考慮事項 • 可用性に関する考慮事項 • 管理容易性に関する考慮事項 • セキュリティに関する考慮事項 – NVA を経由するすべてのオンプレミス ユーザー要求のルーティング – NSG を使用したアプリケーション層間でのトラフィックのブロック/通過 – DevOps アクセス 99
  100. 100. ソリューションのデプロイ方法 • これらの推奨事項を実装する参照アーキテクチャのデプロイ • サンプル • https://github.com/mspnp/reference- architectures/tree/master/dmz/secure-vnet-hybrid 100
  101. 101. Azure セキュリティの技術的な機能 101
  102. 102. Azure セキュリティの技術的な機能 • セキュリティや Microsoft Azure Storage、Microsoft Azure SQL Database、Microsoft Azure の仮想マシン モデルといった Microsoft Azure のコア コンポーネントをサポートする機能、およびそれらをすべて管理する ツールやインフラストラクチャについて取り上げます。 このホワイトペーパーは、お客様のデータのセキュリ ティやプライバシーを保護する役割を担う、Microsoft Azure の技術的な機能に焦点を当てます。 • ユーザー (お客様) が責任を満たすために使用できるセキュリティの技術的な機能 - 全体像 102
  103. 103. Azure セキュリティの技術的な機能 • ID とユーザーのアクセスを管理および制御する (保護) • Azure でのセキュリティが保護されたリソース アクセス • Azure のデータ セキュリティと暗号化 (保護) • アプリケーションをセキュリティで保護する (保護) • ネットワークをセキュリティで保護する (保護) • 仮想マシンのセキュリティ (保護) • コンプライアンスを確保する: クラウド サービス向けデュー デリ ジェンス チェックリスト (保護) 103
  104. 104. Azure インフラストラクチャとアプリケーション セキュ リティの検証 (検出) 104
  105. 105. セキュリティで保護されたアプリ ケーションを Azure 上で開発する 105
  106. 106. セキュリティで保護されたアプリケーションを Azure 上 で開発する • クラウド用のアプリケーションを開発する際に、ソフトウェア開発ライフサイクル の各段階で考慮する必要があるセキュリティの問題と制御に関する一般的なガイド です。 製品をリリースする前にこのような概念を実装すると、より安全なソフト ウェアを構築するために役立ちます。 このドキュメントで紹介する推奨事項は、 Azure のセキュリティに関する Microsoft の経験とお客様の経験に基づいています。 • 安全な Azure ソリューションを構築してデプロイするすべてのレベルのソフトウェ ア設計者、開発者、およびテスター向けのリソースです。 • https://azure.microsoft.com/mediahandler/files/resourcefiles/develop- secure-applications-on- azure/Develop%20secure%20applications%20on%20Azure.pdf 106
  107. 107. セキュリティで保護されたアプリケーションを Azure 上 で開発する • Overview • Security Development Lifecycle – Engage your organization’s security team • Training • Requirements • Design – Use a secure coding library and a software framework – Apply updates to components – Use threat modeling during application design – Reduce your attack surface – Adopt a policy of identity as the primary security perimeter – Require reauthentication for important transactions – Use a key management solution to secure keys, credentials, and other secrets – Protect sensitive data – Fail safe – Error and exception handling – Logging and alerting • Implementation – Perform code reviews – Perform static code analysis – Validate and sanitize every input for your application – Verify your application’s outputs – Use parameterized queries when you contact the database – Remove standard server headers – Segregate your production data – Implement a strong password policy – Validate file uploads – Don't cache sensitive content • Verification – Find and fix vulnerabilities in your application dependencies – Test your application in an operating state – Perform fuzz testing – Conduct attack surface review – Perform security penetration testing – Run security verification tests • Release – Check your application’s performance before you launch – Install a web application firewall – Create an incident response plan – Conduct a final security review – Certify release and archive • Response – Execute the incident response plan – Monitor application performance 107
  108. 108. データセキュリティと暗号化 108
  109. 109. データセキュリティと暗号化 • データ セキュリティと暗号化 – データベースのセキュリティ • ベスト プラクティス • セキュリティ チェックリスト – ディスクの暗号化 • ベスト プラクティス • 保存時のデータ暗号化 • IaaS VM のディスク暗号化 – Azure Disk Encryption について – クイック スタート » VM の暗号化 - Azure PowerShell – Azure Disk Encryption » ディスク暗号化の前提条件 » Windows VM のディスク暗号化 » Linux VM のディスク暗号化 – ディスク暗号化に関する付録 – ディスク暗号化の FAQ – トラブルシューティング – Azure AD アプリを使用した Azure Disk Encryption (以前のリリース) » Azure AD アプリによるディスク暗号化の前提条件 » Azure AD アプリによるディスク暗号化 (Windows VM) » Azure AD アプリによるディスク暗号化 (Linux VM) – Azure Storage セキュリティ – Storage のセキュリティ ガイド 109
  110. 110. プラットフォームとインフラストラ クチャ 110
  111. 111. プラットフォームとインフラストラクチャ • プラットフォームとインフラストラクチャ – インフラストラクチャのセキュリティ • 物理的なセキュリティ • 可用性 • コンポーネントと境界 • ネットワーク アーキテクチャ • 運用ネットワーク • SQL Database • 操作 • 監視 • 整合性 • データ保護 – Microsoft Antimalware – IaaS セキュリティ • ベスト プラクティス - IaaS ワークロード • Azure Marketplace イメージ – ID 管理 • Azure AD 認証の選択 • セキュリティ チェックリスト • ベスト プラクティス • サブスクリプション管理者に対する MFA の適用 – ネットワークのセキュリティ • ベスト プラクティス • DDoS Protection • 境界のセキュリティ 111
  112. 112. アプリケーション 112
  113. 113. アプリケーション • アプリケーション – PaaS • PaaS の Azure App Service • PaaS の Azure Storage • PaaS の DB ベスト プラクティス – IoT • IoT セキュリティのベスト プラクティス • IoT のセキュリティ • IoT デプロイのセキュリティ保護 – Azure Service Fabric のセキュリティ • ベスト プラクティス • セキュリティ チェックリスト 113
  114. 114. 監視、監査、および操作 114
  115. 115. 監査とログ記録 • Azure Security Center とは – Azure Security Center は、3 つの緊急性が高いセキュリティ の課題を対処します。 • 急速に変化するワークロード • ますます高度になる攻撃 • セキュリティ スキルの不足 – このような課題からお客様自身を保護できるように、Security Center には次のツールが用意されています。 • セキュリティ体制を強化する • 脅威からの保護 • より迅速にセキュリティ保護 115
  116. 116. セキュリティ体制の強化 • 組織のセキュリティ ポリシーとコンプライアンスの管理 • 継続的な評価 • 推奨されるコントロールを構成してセキュリティを最適化し、強化 する 116
  117. 117. 脅威からの保護 • 高度な脅威保護 – Windows Defender Advanced Threat Protection • PaaS の保護 • ブルート フォース攻撃のブロック • データ サービスの保護 117
  118. 118. より迅速にセキュリティ保護 • Azure リソースの自動検出とオンボード – すべての Azure リソース全体から Azure Policy と組み込みの Security Center ポリシーに関係する詳細なセキュリティ ス トーリーを集めて、Azure でのリソースの作成時に、新たに検 出されたリソースに自動的に適用することができます。 – 広範なログ収集: Windows および Linux のログはすべてセ キュリティ分析エンジンで活用され、推奨事項とアラートの作 成に使用されます。 118

×