Submit Search
Upload
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
•
5 likes
•
3,226 views
M
Motohiko Sato
Follow
FUJITSUファミリ会 2020 秋季大会のオンラインセミナー 「新たなサイバー攻撃に関する脅威の認知」 で使用したスライド
Read less
Read more
Report
Share
Report
Share
1 of 97
Recommended
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
Motohiko Sato
FUJITSUファミリ会 2020 秋季大会のオンラインセミナー 「「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)」 で使用したスライド
nioで作ったBufferedWriterに変えたら例外になった
nioで作ったBufferedWriterに変えたら例外になった
chibochibo
The exception occured after changing to BufferedWriter created with nio.
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
増田 亨
アプリケーションの分割のアプローチ ●4つのアプローチ - ビジネスファンクション - 動詞/ユースケース - 名詞/リソース - 境界づけられたコンテキスト ● トランザクションの分割 - パイプライン化 (VETRO) - コーディネート (Saga) - 状態更新の非同期化 ( Event History - State Materialize - Domain Specific Query )
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID
Naohiro Fujie
6/30のOffice365勉強会のEntra Verified ID特集の資料です。 分散型ID、Entra Verified IDの解説をしています。
Python におけるドメイン駆動設計(戦術面)の勘どころ
Python におけるドメイン駆動設計(戦術面)の勘どころ
Junya Hayashi
PyCon JP 2017 発表資料です。
RESTful Web アプリの設計レビューの話
RESTful Web アプリの設計レビューの話
Takuto Wada
RailsにおけるRESTfulなURL設計勉強会 千駄ヶ谷.rb #12 #sendagayarb
Proxy War
Proxy War
zaki4649
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
NGINX, Inc.
Webinar on 講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
Recommended
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
Motohiko Sato
FUJITSUファミリ会 2020 秋季大会のオンラインセミナー 「「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)」 で使用したスライド
nioで作ったBufferedWriterに変えたら例外になった
nioで作ったBufferedWriterに変えたら例外になった
chibochibo
The exception occured after changing to BufferedWriter created with nio.
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
増田 亨
アプリケーションの分割のアプローチ ●4つのアプローチ - ビジネスファンクション - 動詞/ユースケース - 名詞/リソース - 境界づけられたコンテキスト ● トランザクションの分割 - パイプライン化 (VETRO) - コーディネート (Saga) - 状態更新の非同期化 ( Event History - State Materialize - Domain Specific Query )
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID
Naohiro Fujie
6/30のOffice365勉強会のEntra Verified ID特集の資料です。 分散型ID、Entra Verified IDの解説をしています。
Python におけるドメイン駆動設計(戦術面)の勘どころ
Python におけるドメイン駆動設計(戦術面)の勘どころ
Junya Hayashi
PyCon JP 2017 発表資料です。
RESTful Web アプリの設計レビューの話
RESTful Web アプリの設計レビューの話
Takuto Wada
RailsにおけるRESTfulなURL設計勉強会 千駄ヶ谷.rb #12 #sendagayarb
Proxy War
Proxy War
zaki4649
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
NGINX, Inc.
Webinar on 講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
Kubernetes環境で実現するWebアプリケーションセキュリティ
Kubernetes環境で実現するWebアプリケーションセキュリティ
NGINX, Inc.
NGINX Kubernetes APCJ Webinar
イエラエセキュリティMeet up 20210820
イエラエセキュリティMeet up 20210820
GMOサイバーセキュリティ byイエラエ株式会社
イエラエセキュリティ ハンズオン勉強会資料
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
IO Architect Inc.
株式会社アイオーアーキテクトの桜井です。2019年2月22日の実施したOSC東京のセミナー資料です。OpenAudITの機能紹介、弊社で開発したIT資産管理用のいつくしまパッケージの紹介です。導入のご参考にして下さい。
ドメイン駆動設計 の 実践 Part3 DDD
ドメイン駆動設計 の 実践 Part3 DDD
増田 亨
2011/6/20 redajp
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
9/21に開催したOWASP Connect in Tokyoにて登壇した時の資料です。
こわくない Git
こわくない Git
Kota Saito
「マージがなんとなく怖い」「リベースするなって怒られて怖い」「エラーが出て怖い」 Git 入門者にありがちな「Git 怖い」を解消するため、Git のお仕事(コミット、ブランチ、マージ、リベース)について解説します。
オープンソースのAPIゲートウェイ Kong ご紹介
オープンソースのAPIゲートウェイ Kong ご紹介
briscola-tokyo
オープンソースのAPIゲートウェイソフトウェア「Kong」のご紹介スライドです。Kongはnginxをベースとした高性能・高可用性アーキテクチャを備えており、世界で200万以上ダウンロードされています。パブリック/オンプレミスのREST APIを一元管理し安全に実行することができるようになります。
SQuBOKガイドV3概説 ~IoT・AI・DX時代のソフトウェア品質とシステム監査~
SQuBOKガイドV3概説 ~IoT・AI・DX時代のソフトウェア品質とシステム監査~
Hironori Washizaki
鷲崎弘宜, SQuBOKガイドV3概説 ~IoT・AI・DX時代のソフトウェア品質とシステム監査~, システム監査学会 定例研究会, 2021年12月27日
君はyarn.lockをコミットしているか?
君はyarn.lockをコミットしているか?
Teppei Sato
Node学園 24時限目 でのLT発表資料 https://nodejs.connpass.com/event/53534/
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Akihiro Suda
https://containerdays.jp/ Japan Container Days講演資料
Node.js Native ESM への道 〜最終章: Babel / TypeScript Modules との闘い〜
Node.js Native ESM への道 〜最終章: Babel / TypeScript Modules との闘い〜
Teppei Sato
2021/02/25(木) Node学園 35時限目の発表資料 https://nodejs.connpass.com/event/203464/ Node.js の ES Modules 対応について
AWSでDockerを扱うためのベストプラクティス
AWSでDockerを扱うためのベストプラクティス
Amazon Web Services Japan
2017/04/13 「Dockerを利用した開発事例~Docker導入から運用まで~」での発表資料です。 https://career.levtech.jp/hikalab/event/detail/89/
とある診断員とAWS
とある診断員とAWS
zaki4649
2016/05/17に開催したSecurity-JAWSにて登壇した時の資料です。
initとプロセス再起動
initとプロセス再起動
Takashi Takizawa
【BS13】チーム開発がこんなにも快適に!コーディングもデバッグも GitHub 上で。 GitHub Codespaces で叶えられるシームレスな開発
【BS13】チーム開発がこんなにも快適に!コーディングもデバッグも GitHub 上で。 GitHub Codespaces で叶えられるシームレスな開発
日本マイクロソフト株式会社
株式会社 ゼンアーキテクツ 大平かづみ GitHub 上に展開される開発環境をブラウザや Visual Studio Code から接続し、あたかも手元で作業しているかのように利用できる GitHub Codespaces。手元のマシンスペックに影響されず、プロジェクトで共通の環境をオンデマンドで利用できるため、コーディングからレビュー、デバッグに至るまでシームレスに作業することができます。実際に GitHub Codespaces を用いて開発を進めたプロジェクトを例に、デモを交えてご紹介します。
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
JAWS DAYS 2019に登壇した時の資料です。 セッション中の攻撃デモの動画は以下となります。 https://youtu.be/AyzrYEM601w
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
Hiroshi Ito
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介
認証の標準的な方法は分かった。では認可はどう管理するんだい? #cmdevio
認証の標準的な方法は分かった。では認可はどう管理するんだい? #cmdevio
都元ダイスケ Miyamoto
「認証は OIDC 等のデファクトに乗っておけ」 というのはわかりました。ではその次。認証した後です。 残念ながらアクセス制御の枠組みにはデファクトがありません。 自分で設計するしかないのです。 しかし、我々は漠然と車輪の再発明を続ければいいのでしょうか。アクセス制御にスタンダードが無いなら無いなりに、 どのようにアクセス制御機構を整備すればいいのか?その考え方を整理していきましょう。
ドメイン駆動設計のための Spring の上手な使い方
ドメイン駆動設計のための Spring の上手な使い方
増田 亨
ドメイン駆動設計の4つの基本活動、Springのプログラミングモデル、ドメイン駆動設計のためのSpringの使い方
REST API のコツ
REST API のコツ
pospome
社内勉強会向け資料
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
ITmedia Security Week 2023 Spring キーノート 岡田良太郎
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
GitLab DevOps Webinar シリーズ: アプリケーションセキュリティのシフトレフト 株式会社アスタリスク・リサーチ 岡田良太郎 Youtube Live Recording: https://www.youtube.com/watch?v=H3JRkhJl3i0&t=164s
More Related Content
What's hot
Kubernetes環境で実現するWebアプリケーションセキュリティ
Kubernetes環境で実現するWebアプリケーションセキュリティ
NGINX, Inc.
NGINX Kubernetes APCJ Webinar
イエラエセキュリティMeet up 20210820
イエラエセキュリティMeet up 20210820
GMOサイバーセキュリティ byイエラエ株式会社
イエラエセキュリティ ハンズオン勉強会資料
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
IO Architect Inc.
株式会社アイオーアーキテクトの桜井です。2019年2月22日の実施したOSC東京のセミナー資料です。OpenAudITの機能紹介、弊社で開発したIT資産管理用のいつくしまパッケージの紹介です。導入のご参考にして下さい。
ドメイン駆動設計 の 実践 Part3 DDD
ドメイン駆動設計 の 実践 Part3 DDD
増田 亨
2011/6/20 redajp
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
9/21に開催したOWASP Connect in Tokyoにて登壇した時の資料です。
こわくない Git
こわくない Git
Kota Saito
「マージがなんとなく怖い」「リベースするなって怒られて怖い」「エラーが出て怖い」 Git 入門者にありがちな「Git 怖い」を解消するため、Git のお仕事(コミット、ブランチ、マージ、リベース)について解説します。
オープンソースのAPIゲートウェイ Kong ご紹介
オープンソースのAPIゲートウェイ Kong ご紹介
briscola-tokyo
オープンソースのAPIゲートウェイソフトウェア「Kong」のご紹介スライドです。Kongはnginxをベースとした高性能・高可用性アーキテクチャを備えており、世界で200万以上ダウンロードされています。パブリック/オンプレミスのREST APIを一元管理し安全に実行することができるようになります。
SQuBOKガイドV3概説 ~IoT・AI・DX時代のソフトウェア品質とシステム監査~
SQuBOKガイドV3概説 ~IoT・AI・DX時代のソフトウェア品質とシステム監査~
Hironori Washizaki
鷲崎弘宜, SQuBOKガイドV3概説 ~IoT・AI・DX時代のソフトウェア品質とシステム監査~, システム監査学会 定例研究会, 2021年12月27日
君はyarn.lockをコミットしているか?
君はyarn.lockをコミットしているか?
Teppei Sato
Node学園 24時限目 でのLT発表資料 https://nodejs.connpass.com/event/53534/
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Akihiro Suda
https://containerdays.jp/ Japan Container Days講演資料
Node.js Native ESM への道 〜最終章: Babel / TypeScript Modules との闘い〜
Node.js Native ESM への道 〜最終章: Babel / TypeScript Modules との闘い〜
Teppei Sato
2021/02/25(木) Node学園 35時限目の発表資料 https://nodejs.connpass.com/event/203464/ Node.js の ES Modules 対応について
AWSでDockerを扱うためのベストプラクティス
AWSでDockerを扱うためのベストプラクティス
Amazon Web Services Japan
2017/04/13 「Dockerを利用した開発事例~Docker導入から運用まで~」での発表資料です。 https://career.levtech.jp/hikalab/event/detail/89/
とある診断員とAWS
とある診断員とAWS
zaki4649
2016/05/17に開催したSecurity-JAWSにて登壇した時の資料です。
initとプロセス再起動
initとプロセス再起動
Takashi Takizawa
【BS13】チーム開発がこんなにも快適に!コーディングもデバッグも GitHub 上で。 GitHub Codespaces で叶えられるシームレスな開発
【BS13】チーム開発がこんなにも快適に!コーディングもデバッグも GitHub 上で。 GitHub Codespaces で叶えられるシームレスな開発
日本マイクロソフト株式会社
株式会社 ゼンアーキテクツ 大平かづみ GitHub 上に展開される開発環境をブラウザや Visual Studio Code から接続し、あたかも手元で作業しているかのように利用できる GitHub Codespaces。手元のマシンスペックに影響されず、プロジェクトで共通の環境をオンデマンドで利用できるため、コーディングからレビュー、デバッグに至るまでシームレスに作業することができます。実際に GitHub Codespaces を用いて開発を進めたプロジェクトを例に、デモを交えてご紹介します。
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
JAWS DAYS 2019に登壇した時の資料です。 セッション中の攻撃デモの動画は以下となります。 https://youtu.be/AyzrYEM601w
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
Hiroshi Ito
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介
認証の標準的な方法は分かった。では認可はどう管理するんだい? #cmdevio
認証の標準的な方法は分かった。では認可はどう管理するんだい? #cmdevio
都元ダイスケ Miyamoto
「認証は OIDC 等のデファクトに乗っておけ」 というのはわかりました。ではその次。認証した後です。 残念ながらアクセス制御の枠組みにはデファクトがありません。 自分で設計するしかないのです。 しかし、我々は漠然と車輪の再発明を続ければいいのでしょうか。アクセス制御にスタンダードが無いなら無いなりに、 どのようにアクセス制御機構を整備すればいいのか?その考え方を整理していきましょう。
ドメイン駆動設計のための Spring の上手な使い方
ドメイン駆動設計のための Spring の上手な使い方
増田 亨
ドメイン駆動設計の4つの基本活動、Springのプログラミングモデル、ドメイン駆動設計のためのSpringの使い方
REST API のコツ
REST API のコツ
pospome
社内勉強会向け資料
What's hot
(20)
Kubernetes環境で実現するWebアプリケーションセキュリティ
Kubernetes環境で実現するWebアプリケーションセキュリティ
イエラエセキュリティMeet up 20210820
イエラエセキュリティMeet up 20210820
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
ドメイン駆動設計 の 実践 Part3 DDD
ドメイン駆動設計 の 実践 Part3 DDD
最近のやられアプリを試してみた
最近のやられアプリを試してみた
こわくない Git
こわくない Git
オープンソースのAPIゲートウェイ Kong ご紹介
オープンソースのAPIゲートウェイ Kong ご紹介
SQuBOKガイドV3概説 ~IoT・AI・DX時代のソフトウェア品質とシステム監査~
SQuBOKガイドV3概説 ~IoT・AI・DX時代のソフトウェア品質とシステム監査~
君はyarn.lockをコミットしているか?
君はyarn.lockをコミットしているか?
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Node.js Native ESM への道 〜最終章: Babel / TypeScript Modules との闘い〜
Node.js Native ESM への道 〜最終章: Babel / TypeScript Modules との闘い〜
AWSでDockerを扱うためのベストプラクティス
AWSでDockerを扱うためのベストプラクティス
とある診断員とAWS
とある診断員とAWS
initとプロセス再起動
initとプロセス再起動
【BS13】チーム開発がこんなにも快適に!コーディングもデバッグも GitHub 上で。 GitHub Codespaces で叶えられるシームレスな開発
【BS13】チーム開発がこんなにも快適に!コーディングもデバッグも GitHub 上で。 GitHub Codespaces で叶えられるシームレスな開発
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
認証の標準的な方法は分かった。では認可はどう管理するんだい? #cmdevio
認証の標準的な方法は分かった。では認可はどう管理するんだい? #cmdevio
ドメイン駆動設計のための Spring の上手な使い方
ドメイン駆動設計のための Spring の上手な使い方
REST API のコツ
REST API のコツ
Similar to FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
ITmedia Security Week 2023 Spring キーノート 岡田良太郎
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
GitLab DevOps Webinar シリーズ: アプリケーションセキュリティのシフトレフト 株式会社アスタリスク・リサーチ 岡田良太郎 Youtube Live Recording: https://www.youtube.com/watch?v=H3JRkhJl3i0&t=164s
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
ymmt
cybozu.com conference 2015 講演資料
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
Masaaki Nabeshima
セキュリティ管理の真常識
5 moriya security-seminar2005_05
5 moriya security-seminar2005_05
Eiichi Moriya
最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策
itforum-roundtable
地方自治組織における危機管理【サイバー攻撃対応編】 最近の事例におけるサイバー攻撃の傾向と対策情報連携の役割と取り組みの紹介。 一般社団法人JPCERTコーディネーションセンター常務理事 有村 浩一
20200214 the seminar of information security
20200214 the seminar of information security
SAKURUG co.
This is the document for the seminar at SAKURUG.
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
セキュリティ・キャンプ2015 クラウドセキュリティ基礎
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
cluclu_land
2022年12月20日開催「nakanoshima.dev #33 - LT Night!」での発表資料です。
[Japan Tech summit 2017] SEC 011
[Japan Tech summit 2017] SEC 011
Microsoft Tech Summit 2017
[Japan Tech summit 2017] SEC 011 セッション資料
Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824
Masakazu Ikeda
Vaddy ミートアップ Vol.7
Mix Leap 0214 security
Mix Leap 0214 security
adachi tomohiro
MixLeap 2019/2/14 security 新米エンジニアが話す脆弱性とセキュリティ
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
日本ヒューレット・パッカード株式会社
ICT利用は、モバイル~ソーシャル~ビッグデータ~IoTと広がり、 セキュリティ対応は新しい次元に入りました。変革の時代にリスクと コストをどうマネージしていくべきかを企業セキュリティ戦略として実例を含め解説します。
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
OWASP Kansai
オワスプナイトカンサイ ~OWASPローカルチャプターミーティング in 関西 10th~でご発表いただいた 東京大学情報学環 特任研究員 藤本万里子さんの資料です
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
彰 村地
2016/10/16 と 2017/2/11 の「HTML5感」(LPI Japan 主催)および 2017/2/25 の .NET ラボ でのセッション スライドをまとめたものです。
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
itforum-roundtable
近年「見えない化」が加速的に進み、日々多様化・高度化するサイバー攻撃の新たな攻撃手法を紹介しながら、公共組織にて遭遇し得る事象・事故の分析、実行すべき有効な対策のポイントを解説します。 独立行政法人 情報処理推進機構 技術本部 セキュリティセンター 研究員 大森 雅司(おおもり まさし)氏 IT Forum http://www.itforum-roundtable.com/
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
UEHARA, Tetsutaro
大学は早期からインターネットに接続されていることもあり、自由なインターネット環境が提供され続けてきました。一方、情報セキュリティ確保は後手に回り続けており、セキュリティポリシーの実効性が担保されているか、ウィルス感染や不正アクセスが防げているかは大いに疑問があります。 一方、外的環境の変化は早いため、大学が確保するべき情報セキュリティの重点項目も変化し続けているのではないでしょうか。 特に、事務部門が扱う情報の資産価値はますます上昇し、情報セキュリティ上のリスクは増していますが、それに対応出来ているのか、ネットワーク研究が深化し、大学にはむしろより自由なネットワーク環境の提供が求められる中で、どのようにシステムを守って行くのかは大きな課題です。 本講演ではこのような問題意識の上に、現在の大学の情報セキュリティ上の課題を挙げ、目指すべき姿に対する私見を述べたいと思います。
Zero trust
Zero trust
Takeo Sakaguchi ,CISSP,CISA
cybersecurity
Microsoft 365 Day Session 5
Microsoft 365 Day Session 5
日本マイクロソフト株式会社
2019/4/16に開催した Microsoft 365 Day Session 5「サイバー攻撃は対岸の火事ではない ~ いま考えるべき7つのセキュリティ対策 ~」の資料です。
20170408 securiy-planning
20170408 securiy-planning
hogehuga
WEBサイトのセキュリティ対策の考え方
Similar to FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
(20)
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
5 moriya security-seminar2005_05
5 moriya security-seminar2005_05
最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策
20200214 the seminar of information security
20200214 the seminar of information security
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
[Japan Tech summit 2017] SEC 011
[Japan Tech summit 2017] SEC 011
Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824
Mix Leap 0214 security
Mix Leap 0214 security
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
Zero trust
Zero trust
Microsoft 365 Day Session 5
Microsoft 365 Day Session 5
20170408 securiy-planning
20170408 securiy-planning
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
1.
新たなサイバー攻撃に 関する脅威の認知 サブタイトル
2.
自己紹介 ▪ 佐藤元彦 ▪ 伊藤忠商事株式会社 IT企画部
ITCCERT 上級サイバーセキュリティ分析官 ▪ 国立大学法人 千葉大学 運営基盤機構 情報環境部門 准教授 ▪ 文部科学省 サイバーセキュリティアドバイザー ▪ JPCERT/CC専門委員 ▪ JASA特任研究員 2
3.
Background ▪ それなりに長い間、この業界で色々と働いています ▪ 脆弱性検査(NW・Webアプリ) ▪
情報セキュリティ監査・システム監査 ▪ インシデントレスポンス(複数の政府機関・民間事案をクローズ) ▪ セキュリティコンサルティング(方針策定・規程作り・体制整備・リスク分析) ▪ 政府の基準作り(情報セキュリティ管理基準・クラウドセキュリティ管理基準等) ▪ ISO SC27国内委員 ▪ その他、情報セキュリティに関わる仕事(もちろん営業活動も) 3
4.
現在は ▪ 伊藤忠商事のIT企画部内のITCCERTにて、CSIRTの業務に専 門職として携わっています • インテリジェンスリサーチ(プロアク ティブ対応) •
インシデントハンドリング / インシ デントレスポンス • セキュリティ機器のアラート・ログ のモニタリング • 脆弱性検査(簡易なもの) • 教育・ワークショップ • グループ会社向け講演 • 内部不正対応(フォレンジクス 含む) • マルウェア分析(簡易なもの) • セキュリティ監査・システム監査 • マネジメント層向け報告作成 • その他ビジネスも含めセキュリティ に関わる相談にも対応 4
5.
伊藤忠商事内でのCSIRT業務については ▪ 伊藤忠商事のサイバーセキュリティのトラックで詳細を紹介 させていただくため、本トラックでは、 サイバー攻撃に対する備えに対して投資をする経営者 組織のセキュリティ対策を起案・遂行する実務者の方 向けに、 『今備えるべきサイバーセキュリティの脅威』 について解説いたします。 5
6.
本トラックの目的
7.
“新た”って何? ▪ このトラックを聞かれる皆さんはセキュリティに興味がある方だと思い ます。 ▪ そのため、普段から色々なセキュリティ情報に触れると、「高度化」 「巧妙化」し続ける攻撃に対し、何をしてよいのかわからず「不安」 になってしまっていないでしょうか。 ▪
そこで、どこが「古くて」でどこが「新た」なのか、全体的なリスク意識 の棚卸をしていただくことを本トラックでは目的にさせていただきます。 7
8.
リスクと脅威の変遷 1 (無知の時代 ‘95~‘98)
9.
パソコンのスペック ‘95 ▪ CPUにPentium(TM)(133MHz/ 120MHz/100MHz)を採用しました。 ▪
拡張RAMモジュール用スロットを4スロッ ト用意し、Windows3.1モデルは4MBを 2枚、Windows95モデルは8MBを2枚 標準搭載(FMV-DESKPOWER Sは 4MBを2枚)しました。 ▪ 標準搭載の内蔵ハードディスク (850MB)は、拡張IDEインタフェース・ PIO model4をサポートします。ストレー ジベイとして3.5インチHDD装着エリアを2 つ備えています(内1つに標準実装済)。 CPU133Mhz / MEM16MB / HDD850MB https://www.fmworld.net/product/former/dp9511/dph.html より 9
10.
こんな”流行り”が。。。 ポスペ(‘97) https://www.so-net.ne.jp/postpet/ あやしいわーるど(‘96) カルトブックマーク(‘97) あめぞう(‘97) 街の灯(‘97) BM98(‘98) 10
11.
インターネットビジネス ▪ オンラインショップが300 店舗(‘96) インターネット白書 1996
[Vol.1] P137,P138より https://iwparchives.jp/iwp1996 11
12.
日本のセキュリティサービス 黎明期 ▪ (1991年
トレンドマイクロ社ウイルスバスター販売開始) ▪ (1991年 特別認可法人情報処理振興事業協会(当時:現IPA) コンピュータウイルス対策室を設置) ▪ (1994年 フォーバルクリエイティブ社(当時) チェック・ポイント社のファイアウォールソフト「FireWall-1」国内販売開始) ▪ (1994年 IIJ社 ファイアウォールサービスを開始) ▪ 1995年 トレンドマイクロ社 ウイルスバスター95販売開始(以降毎年発売) ▪ 1995年 LAC社 ネットワークセキュリティ事業を開始 ▪ 1995年 野村総合研究所 マネージドセキュリティサービス提供開始(社内ベンチャーとして立ち上げた事業部 後のNRIセキュアテクノロジーズ) ▪ 1997年 GSX社 脆弱性診断サービスをタイガーチームとして開始 ▪ 1997年 ヒューコム社(当時) NetRanger(Cisco Secure Intrusion Detection System)国内販売開始 ▪ 1997年 網屋 セキュリティ事業を開始 12
13.
この頃(~‘98)の主要なリスク要素 ▪ 脅威 :
ウイルス ▪ 脆弱性 : ソフトウェア内に悪用できる機能がある ▪ 手法 : ウイルス感染したオフィスファイルの受け渡し(フロッピーディス ク経由) ▪ リスク : 端末内のファイル破損・端末が起動しないなど ▪ リスク顕在化時のインパクト : 何かおかしい、困った、程度? 13
14.
サイバーセキュリティキーワードの変遷 (1) Windows OS .co.jpドメ イン登録 数(12月) 認証・団 体等 経営者の 意識 セキュリ ティ担当 者 攻撃者 インシデ ント 社会的な サイバー 事案 主要なセ キュリ ティ対策 1995- 1998 Windows 95発売 (‘95) Windows NT
4.0発 売(‘96) Windows 98発売 (‘98) 2,635 (‘95) 9,956 (‘96) 23,512 (‘97) 42,472 (‘98) BS7799(‘9 5)発行 JPCERT/C C発足(‘96) プライバ シーマー ク制度運 用開始 (‘98) 会社にパ ソコンっ て何に使 うの? ワープロ と何が違 うの? インター ネットて すごいら しい? いない(も しくは電 算セン ターの担 当者) 総務担当 が兼務 愉快犯 こっそり リソース を悪用す るフリー ライダー フロッ ピーディ スクの ブートセ クタ / Word / Excel の” ウイルス” ウイルス 対策ソフ ト ファイア ウォール ドメイン登録数 https://jprs.jp/about/stats/domains/ より(以降同じ) 14
15.
リスクと脅威の変遷 2 (問題意識萌芽の時代 ’99-’00)
16.
こんな”流行り”が ▪ 2ちゃんねる (‘99) ▪
Google日本語検索開始 (‘00) ▪ インターネット博覧会(インパク) (‘00) #え?流行っていない? あれ以外の何か with "任意 “ (‘00) http://priest.so.land.to/nisesakura/index3.html 16
17.
インターネットビジネス ▪ 60%が自社サイ トを持つように ▪ ただし、企業紹 介としての静的な コンテンツ中心の ウェブサイトです インターネット白書
1999 P57より https://iwparchives.jp/iwp1999 17
18.
セキュリティビジネスはまだまだ ’99ネットワークセキュリティビジネス調査総覧 https://www.fcr.co.jp/report/993q03.htm 18
19.
この頃(‘99-’00)のセキュリティ ▪ ファイアウォールの導入率 30%?? インターネット白書
1999 P62より https://iwparchives.jp/iwp1996 19
20.
セキュリティインシデント 中央省庁ホームページ改ざん事件 日経パソコン,2000/02/21号 P15Happy99蔓延 (’99) https://www.ipa.go.jp/security/topics/ska.html 20
21.
セキュリティインシデント ▪ 企業サイトの改ざんが相 次ぐ(’01) https://scan.netsecurity.ne.jp/category/incident/incident/2001/03/ 21
22.
みんな気にしていなかったセキュリティ ▪ 中央省庁のウェブサ イトの価値は当時は そんなに高くなかった (リアルタイム性・情 報量)と考えられるが、 レピュテーションや公 共財としての価値をリ スクとして捉えていな かった。 ▪ そのため、この事件で 国家としてセキュリ ティに目覚めた
http://www.kogures.com/hitoshi/history/virus-2000-web-kaizan/index.html 22
23.
大急ぎで対応しないと!! ▪ 国家としてセキュリティ 対策を意識 ▪ 対応策を考える ▪
とはいえ、専門性が高 くて難しい -> セキュリ ティ産業の官需が発 生 情報セキュリティ戦略元年 https://www.jpcert.or.jp/present/2007/ciip2007_01.pdf 23
24.
セキュリティインシデント ▪ 京都府宇治市の住民基本 台帳データ約22万人分が 流出(‘99) ▪ 宇治市がメンテナンスを委託 していた電算業者の下請に 児童検診用データを預けて いたところ、アルバイト大学院 生が自分でデータをコピーし て持ち出し名簿業者に無断 売却、インターネット上で販 売された。
https://www.law.co.jp/cases/uji2.htm 24
25.
当時の常識 ▪ 情報に価値を見出 さなかった時代から の転換点 ▪ 情報を扱う「ルー ル」を意識しなけれ ばいけないことにな る 解説●相次ぐ個人情報漏えい,内部犯行は防げないのか(上) https://xtech.nikkei.com/it/members/NOS/ITARTICLE/20030120/1/ 25
26.
日本のセキュリティサービス 形成期 ▪ 1999年
IIJ社 ファイアウォール機器をフルマネージドで提供 ▪ 1999年 ソフテック社 脆弱性情報提供サービス SIDfm(セキュ リティインフォメーションディレクトリ) 事業開始 ▪ 2000年 アズジェント社 セキュリティポリシー構築平準化ツール 「M@gicPolicy」を提供開始 ▪ 2000年 LAC社 「監視センター」を設置 ▪ 2000年 ネットエージェント社(当時) PacketBlackHole販売開 始 26
27.
この頃(‘99-’00)の主要なリスク要素 ▪ 脅威 :
ウイルス(Happy99 : EXE, Melissa : VBA, LoveLetter : VBS) ▪ 脆弱性 : ソフトウェアの脆弱性 ▪ 手法 : ウイルスが添付されたメールを実行して感染 ▪ リスク : ウイルスメールでメールボックスが溢れたり、メールサーバが負荷に より停止する ▪ リスク顕在化時のインパクト : 周りにウイルスをばらまいて恥ずかしい!! 27
28.
この頃(‘99-’00)の主要なリスク要素 ▪ 脅威 :
サイト改ざん ▪ 脆弱性 :管理機能の不適切な管理(外部公開・アカウント) ▪ 手法 : ブルートフォースによるパスワード取得 ▪ リスク : サイト改ざん ▪ リスク顕在化時のインパクト : かっこわるい!! 28
29.
小まとめ(‘99-’00) ▪ この頃はサイバー攻撃のリスクは組織にとっては大きくなかった ▪ とはいえ、この頃のセキュリティを振り返ると既に「サイバーセキュリティの脅 威対策への基本の要素」が出来上がっていることに気づきませんか? ▪
ウイルス(マルウェア) VBA・VBS・EXE ▪ 改ざん(不正アクセス) アカウント管理不備・管理アクセス設定不備 ▪ 内部不正・サプライチェーンリスク 29
30.
セキュリティ基本形ができる ▪ 現在とはあまり変わ らない仕組みが出 来上がっていたよう に見える(クラウドが ないだけ?) 情報セキュリティの現状 2000年版
情報処理振興事業協会 セキュリティセンター https://www.ipa.go.jp/security/fy12/sec2000/sec2000.pdf 30
31.
攻撃者のモチベーション ▪ 「愉快犯」から、「より被害を増やすことを楽しむ愉快犯」 ▪ そして、「政治的な主張」を技術力とともに示す愉快犯 ▪
少なくとも公的機関として事故を起こしてはならない「中央省庁の サイト改ざん」と、宇治市の個人情報流出事案はサイバーセキュリ ティを考える上で、最初の「ブラックスワン」であったといえます ※ブラックスワン = 今まで観測されたことのなかった事象 31
32.
危機意識を持つことから開始 ▪ セキュリティ ホールという 意識と、イン ターネットと いう概念 情報セキュリティの現状 2000年版
情報処理振興事業協会セキュリティセンター https://www.ipa.go.jp/security/fy12/sec2000/sec2000.pdf 32
33.
サイバーセキュリティキーワードの変遷 (2) OSイベン ト .co.jpドメ イン登録 数(12月) 認証・団 体等 経営者の 意識 セキュリ ティ担当 者 攻撃者 社会的なサ イバー事案 インシデ ント 主要なセ キュリ ティ対策 1999- 2000 Windows ME発売 (‘00) Windows 2000発売 (‘00) 91,501 (‘99) 184,430 (‘00) JIS
Q 15001制定 (‘99) JNSA発足 (‘00) ISO/IEC17 799:2000 成立(‘00) 個人情報 保護基本 法制に関 する大綱 (‘00) インター ネットの 波に乗り 遅れない 情報化・IT 化 情報シス テム部門 が運用・ 構築の片 手間で兼 務 世の中を 混乱させ る愉快犯 (進化!) こっそり リソース を悪用す るフリー ライダー 政治的主 張(New!) Happy99の 蔓延(‘99) Melissaの蔓 延(‘99) LoveLetter の蔓延(‘00) 中央省庁サ イト改ざん (‘00) メールマ ルウェア による業 務影響 サイト改 ざん ウイルス 対策ソフ ト ファイア ウォール IDS(New!) 33
34.
リスクと脅威の変遷 3 (ルール模索の時代 ‘01)
35.
こんな”流行り”が WinMX (‘01) KaZaA(‘01) バーチャルネットアイドル ちゆ12歳 (‘01) 35
36.
▪ CodeRedとNimda 画像は https://www.f-secure.com/v-descs/bady.shtml
と https://nakedsecurity.sophos.com/2011/09/16/memories-of-the-nimda-virus/ 重大インシデント発生 36
37.
パッチをあてていないシステムへの攻撃 1 ▪ Code
Red IISで拡散 https://docs.microsoft.com/ja-jp/security-updates/planningandimplementationguide/19871747 37
38.
教訓 1 ▪ 脆弱性情報を集める ▪
サーバにパッチをあてる ▪ 必要なサービスだけ稼 働させる Microsoft IIS の脆弱性を使って伝播するワーム“Code Red II”(更新) https://www.jpcert.or.jp/at/2001/at010020.html 38
39.
パッチをあてていないシステムへの攻撃 2 ▪ Nimda IISだけでなく 複数の製品を 介して蔓延 https://docs.microsoft.com/ja-jp/security-updates/planningandimplementationguide/19871814 39
40.
教訓 2 ▪ クライアントにもパッチをあてる 解説●最悪のワームNimdaの教訓 https://xtech.nikkei.com/it/members/NOS/ITARTIC LE/20011105/1/ 40
41.
この頃(‘01)のセキュリティビジネス ▪ 製品にサービスが 追加された? 情報処理振興事業協会セキュリティセンター 情報セキュリティビジネスに関する調査報告書 https://www.ipa.go.jp/security/fy12/report/sec_biz.pdf 41
42.
日本のセキュリティサービス 活況期 ▪ 2001年
セキュアヴェイル社 ファイアウォール運用・監視サービス開始 ▪ 2001年 三井物産 セキュリティ監視サービス・ Webアプリケーション、 ネットワークシステムの脆弱性診断サービス・ペネトレーションテストサービ スを開始(社内プロジェクト(当時) 後の三井物産セキュアディレクション) ▪ 2001年 IIJ社 ネットワーク侵入検知サービス開始 ▪ 2001年 ソースネクスト社 マカフィーウイルススキャン販売開始 ▪ 2001年 アズジェント社 ジャスダック上場 42
43.
この頃(‘01)の主要なリスク要素 ▪ 脅威 :
ワーム ▪ 脆弱性 :未パッチのサーバ・クライアント ▪ 手法 : 脆弱性攻撃 ▪ リスク : 全システム停止 ▪ リスク顕在化時のインパクト : 業務が停止するなどビジネスに影 響!! 43
44.
▪ 当時のセキュリティ課 題 情報処理振興事業協会セキュリティセンター 情報セキュリティビジネスに関する調査報告書 https://www.ipa.go.jp/security/fy12/report/sec_biz.pdf セキュリティ課題 44
45.
’01 経営者がセキュリティを少し意識する ▪ この一年を切り出したのは、 ▪
「サイバーセキュリティにおける大きな変革」があったからです。 ▪ ゼロデイ(とまではいかない)ですが、パッチをあてていないシステムへの攻撃が続 発し、システムの運用にルールが求められることになったからです。 ▪ そして、システムが停まる = 業務が停まるという事態が発生した組織では、経 営者がシステムにはセキュリティが必要(らしい)と認知した年でもありました。 ▪ セキュリティ被害はビジネスに影響がある、というブラックスワンが来たのです。 45
46.
サイバーセキュリティキーワードの変遷 (3) OSイベン ト .co.jpドメ イン登録 数(12月) 認証・団 体等 経営者の 意識 セキュリ ティ担当 者 攻撃者 社会的なサ イバー事案 インシデ ント 主要なセ キュリ ティ対策 2001
Windows XP(‘01) 225,159 (‘01) なんか大 変なこと になった!! 最低限の 投資で再 発防止を なんとか しろ!! 情報シス テム部門 が運用・ 構築の片 手間で兼 務 ->セキュ リティを 勉強しな いといけ ないか も?? 世の中を 大混乱さ せる愉快 犯(進化!) 政治的主 張 Code Red の蔓延(‘01) Nimdaの蔓 延(‘01) メールマ ルウェア による業 務影響 サイト改 ざん Wormに よる業務 停止 (New!) ウイルス 対策ソフ ト ファイア ウォール IDS パッチ適 用(New!) 46
47.
リスクと脅威の変遷 4 (ルールの時代 ‘02-’03)
48.
こんな”流行り”が Winny(‘02) 画像は https://ascii.jp/elem/000/000/420/420558/ より 48
49.
各組織がセキュリティを模索 ▪ 昨年いろいろあったけれど、セキュリ ティって、いったい何をしたらよいの か? ▪ わかりやすい答えがほしい ▪
やることのルールはないのか? 2002年出版のセキュリティ関連本 Amazonより 49
50.
個人情報保護法が来るぞ!! ▪ 二年後(2005)には個人情報の 「適切」な取り扱いが求められる ▪ 「適切」な中に「安全管理措置」 がある。 ▪
安全管理措置? セキュリティ か!! ▪ 法律ができたら守らなければ(当 然) 2003年出版の個人情報保護法関連本 Amazonより 50
51.
ISMS ▪ セキュリティマネジ メントの「指針」 ができる ▪ ISMS制度で本 格運用が開始 (‘02) https://isms.jp/doc/V3.2ismspanf.pdf 51
52.
具体策は? ▪ 情報セキュリティ管 理基準が経産省か ら発出(‘03) 52
53.
内部のルール(ポリシー)が必要らしい ▪ JNSA(特定非営 利活動法人 日本 ネットワークセキュリ ティ協会)が雛形文 書を発行(‘03) 53 https://www.jnsa.org/policy/guidance/
54.
悪夢の再来 Blaster(‘03) https://docs.microsoft.com/ja-jp/security-updates/planningandimplementationguide/19871732 54
55.
そして情報管理問題が再発 ▪ Winnyを使っている ユーザが、マルウェア に感染してドキュメ ントフォルダ内のファ イルを開示してしま う事案が多発 https://www.telecom-isac.jp/antinny/measure/index.html 55
56.
二つの原因 ▪ 組織内の端末にWinnyを導入して暴露ウイルスに感染(組織内 のリソースの私的利用) ▪ 自宅の端末にWinnyを導入して暴露ウイルスに感染(組織内の 書類が自宅端末にある問題) ▪
暴露したデータにより組織全体の「責任」が問われる事態に 56
57.
とはいえ ▪ この二つの事象は既に過去の事案を経験して対策を進めていた組 織にとっては、再テストのようなものでした。 ▪ そして、この事案を不幸にも経験してしまった組織は、対策推進を 後押しする事案となった。 ▪
その証拠に。。。 57
58.
2004年の調査では ▪ 実際に2004年のJNSAの調査では数値に現れている ▪ この時点で「ほぼセキュリティ対策」ができている
-> 完了? 58 https://www.jnsa.org/active/topics/20041027_2.pdf
59.
この頃の主要なリスク要素 ▪ 脅威 :
社会の規範 ▪ 脆弱性 :法令違反・倫理違反 ▪ 手法 : さまざまな手法が想定される ▪ リスク : 社会的な譴責 ▪ リスク顕在化時のインパクト : 経営陣の責任 59
60.
サイバーセキュリティキーワードの変遷 (4) OSイベン ト .co.jpドメ イン登録 数(12月) 認証・団 体等 経営者の 意識 セキュリ ティ担当 者 攻撃者 社会的な サイバー 事案 インシデ ント 主要なセ キュリ ティ対策 2002- 2003 Windows Server 2003
(’03) 239,582 (‘02) 247,784 (‘03) 情報セキュリ ティポリシー サンプル 0.92a(‘02) ISMS認証制度 開始(144組織 で取得)(‘02) 個人情報の保 護に関する法 律公布(‘03) 情報セキュリ ティ管理基準 (‘03) 日本セキュリ ティ監査協会 発足(‘03) 担当者を 作って責 任を持た せればや るだろう。 セキュリ ティを勉 強してこ い。 ポリシー の番人が 任命され る(New!) 技術的な セキュリ ティは情 報システ ム部門が 兼務 (New!) 世の中を大 混乱させる 愉快犯 政治的主張 世論 (New!) Blasterの 蔓延(‘02) ANTINNY による情 報暴露の 多発(‘03) メールマ ルウェア による業 務影響 サイト改 ざん ウイルス 対策ソフ ト ファイア ウォール IDS パッチ適 用 セキュリ ティマネ ジメント (New!) 60
61.
ここで「昔」の振り返りはストップ ▪ 歴史を全て振り返ることが目的ではないので、詳細な振り返りはここまで(本当はやり たいのですが。。。) ▪ とはいえ、2004年の時点で多くの会社が2005年の個人情報保護法の全面施行も 見据えた体制が整備されていたといえます。(セキュリティ対策の完了?) ▪
注:実際は、金融システムなどではオンライン処理が先行していたことと、金融機関と しての「信頼」の概念があったため、この枠組みとは外れるセキュリティがあったと認識し ています ▪ 注:本資料は一般化、普遍化してまとめたため、誤りや抜け漏れが多数あります。と はいえ、ここまではあくまで、この後のコンテンツのための資料のため、概念を認識して いただければと考えています。 61
62.
ゲームチェンジ事案
63.
以降のブラックスワン ▪ 完成したと思われるセキュリティ対策を無効にするような攻撃が時折発 生し、これらの対策をかいくぐりました。 ▪ 2004
: 日本語フィッシングメールの登場 ▪ 2005 : 価格.com Webサイト 改ざん・SQLインジェクション事案 ▪ 2011 : 衆議院・参議院 標的型攻撃事案 ▪ 2017 : 日本航空がビジネスメール詐欺の被害を公表(BEC) ▪ 2019 : Maze (情報公開も行う二重ランサム) 63
64.
それ以降のブラックスワン(1) ▪ 日本語フィッシングメールの登場 64 https://www.ipa.go.jp/security/personal/protect/phishing.html
65.
何が新ただったのか ▪ 日本語という言語バリアを破る攻撃者が登場 ▪ この時のフイッシングメールの日本語が稚拙だったため、「日本語の おかしい」メールに注意するよう啓発されたが。。。 ▪
とはいえ、日本を狙う、という明確な意思を持った攻撃者が現れた ということを認識したのでした 65
66.
それ以降のブラックスワン(2) ▪ 価格.com Webサイト
SQLイン ジェクションによる サイト改ざん・ 個人情報窃取事案 ▪ ※価格.comは手法や被害を公 表しなかったが同一犯の他サイト への攻撃内容から類推 66 https://www.itmedia.co.jp/news/articles/0505/16/news077.html
67.
何が新ただったのか ▪ SQLインジェクションによるWebアプリケーションへの攻撃があること、 さらにそれにより個人情報が盗まれることを世間が認知した ▪ 組織は、OSやサービスのセキュリティパッチを当てるだけでなく、高い レイヤのセキュリティも意識しなければならないことに気付かされた ▪
Webアプリケーションのセキュアプログラミングや、脆弱性検査、そし てWAF(Web Application Firewall)などの対策が齎される 67
68.
それ以降のブラックスワン(3) ▪ 衆議院・参議院 標的型攻撃事案 68 https://www.ipa.go.jp/files/000024536.pdf
69.
何が新ただったのか ▪ 被害者だけに特化したマルウェアや通信先(C2)が発生したこと ▪ そして、情報窃取というモチベーションを持つ国家が支援する攻撃 者が存在することが明らかになったことです ▪
つまり、今までのような汎用のウイルス対策ソフトや通信先を制限 するセキュアプロキシでは防げない攻撃が現れたのです ▪ 対抗措置としてサンドボックス・ふるまい型検知という対策が現れま した 69
70.
長い標的型攻撃が最大の脅威の時代 ▪ ’11の標的型攻撃事案以降、複数の攻撃グループが明らかになり日本 を狙いました ▪ そして、その対策に組織は追われましたが。。。反面の問題も生みました ▪
うちにはそのような高度な攻撃者に「狙われるような情報はない」と判断 する経営者があらわれたのです。そして、その逆に「狙われるような情報 があっても、国家を背景にした攻撃者には太刀打ちできない」組織もあ らわれはじめました。ルールだけでは守れない攻撃者のスキルに防御者 が屈しはじめたのです。 70
71.
それ以降のブラックスワン(4) ▪ 日本航空がビジネス メール詐欺(BEC)の被 害を発表 71 https://www.sankei.com/affairs/news/171220/afr1712200056-n1.html
72.
何が新ただったのか ▪ マルウェアのない文面だけの詐欺でビジネス被害が発生したこと ▪ 今までのセキュリティ対策の機器では検知できない ▪
対抗措置として何をしたらよいのか、IT部門は困惑 (実際の対策としては、IT側で技術的に軽減・感知する策はありま すが、本質は詐欺のため、会計・経理部門で防ぐ原則が有効) 72
73.
それ以降のブラックスワン(5) ▪ Maze (情報公開も行 う二重ランサム)
(‘19) 73
74.
何が新ただったのか ▪ 攻撃者がシステム全体の暗号化と、盗んだ情報の公開という「二 重の脅迫」を行ってきたこと ▪ 今までのランサムウェアと何が変わったか。。。それは、侵入されて データを持ち出されたら公開脅迫の被害に遭うという「一度の侵入 も許されない完全なセキュリティ」が求められる世界になってしまった という点です 74
75.
簡単な整理 ▪ さて、長々とセキュリティの歴史を振り返ってきましたが、これを少し 整理してみましょう ▪ わかりやすくするために、手法や事象を混ぜて表記しまっている点、 ご容赦ください 75
76.
サイバー攻撃の整理(1) 1999 2000 2001
~2003 ~2010 ~2017 直近 マルウェア ウイルス Happy99の 蔓延(‘99) Melissaの蔓 延(‘99) LoveLetter の蔓延(‘00) Antinnyの蔓 延(‘03) Ursnifのつい た日本語ぱら まきメール (’16) Emotetの蔓 延(‘19) ワーム Code Redの 蔓延(‘01) Nimdaの蔓 延(‘01) Blasterの蔓 延(’03) Confickerの 蔓延(‘08) Wannacryの 蔓延(‘17) ランサムウェア CryptoLocke r(’13) Locky(‘16) ウェブサイト攻 撃 サイト改ざん 中央省庁サイ ト改ざん(‘01) 尖閣諸島関 連改ざん (‘12) ウェブアプリ攻 撃 価格.com Webサイト SQLインジェク ション事案 (‘05) 多数のため割 愛 7Pay不正利 用(‘19) 76
77.
サイバー攻撃の整理(2) 1999 2000 2001
~2003 ~2010 ~2017 現在 標的型攻撃/ システム侵入 型ランサムウェ ア メール APT1 (‘06) Tick+(‘08) APT10(’09) 衆議院・参議 院 サイバー 攻撃事案 Icefog (‘11) DragonOK(‘ 14) 年金機構 サ イバー攻撃事 案 Emdivi (‘15) APT12(‘15) 富山大学サイ バー攻撃事案 Darkhotel (‘16) BlackTeck (‘18) Taidoor(‘18 ) Loadinfo(‘1 9) Maze(‘19) HONDAラン サムウェア事案 EKANS(‘20) 水飲み場 Tick+(16) 脆弱性(持ち 出し/ペリメー タ) Tick+(18) 77
78.
サイバー攻撃の整理(3) 78 1999 2000 2001
~2003 ~2010 ~2017 現在 フィッシング 日本語フィッシ ングメールの登 場(‘04) Ursnifのつい た日本語ばら まきメール (’16) 日本語BECの 登場(’17) Emotetのつ いた日本語ば らまきメール (‘19) 内部不正・情 報持ち出し 京都府宇治 市の住民基 本台帳データ 流出(’99) Antinnyの蔓 延(‘03) Yahoo!BB( 個人情報流 出事件(‘04) 三菱UFJ証券 顧客情報売 却事件(‘09) ベネッセ個人 情報流出 (‘14)
79.
簡単な整理 ▪ この表の正確性ではなく、現在のセキュリティ問題は過去にも同様 のことが起きていたり、過去にあった攻撃を組み合わせてできあがっ ているということがそこはかとなくわかっていただければ、今回のトラッ クとしては目的を達します。 ▪ この整理から見えてくることは、攻撃者は過去のその他の攻撃事案 からも学び、目的を達するために智識を積み重ねていること、そして、 防御側は残念ながら過去に学ばなかったり、10年以上前に提唱 されているセキュリティ管理策すらまだ実装できておらず、組織を危 険なままにしている現状があることです。 79
80.
もっと知りたい人のための参考資料 ▪ インターネット白書ARCHIVES https://iwparchives.jp/ ▪ JPCERT/CCセキュリティインシデント年表 https://www.jpcert.or.jp/magazine/chronology/ ▪
JPCERT/CC セキュリティインシデントとJPCERT/CC歴史年表 https://www.jpcert.or.jp/magazine/10th/index.html ▪ IIJ IIJサービスの歴史 https://www.iij.ad.jp/25th/introduction/history/index.html ▪ ウイルスの歴史 http://www.kogures.com/hitoshi/history/virus/index.html ▪ 歴史を紐解くセキュリティ技術,その現在,そして未来 https://www.ipsj.or.jp/dp/contents/publication/35/S0903-S01.html 80
81.
では何をすべきなのか
82.
昔からできていないパッチマネジメント ▪ 昨年、VPNへの侵入により サイバー攻撃の被害を受け た組織が多数ありました。 ▪ VPN機器の脆弱性によるも のですが、パッチは提供され ていました。 ▪
つまり未だ多くの組織がパッ チマネジメントができていない ということです。 82 https://www.jnsa.org/policy/policy092a.pdf
83.
例えばログ分析 ▪ 様々な組織でメールや VPNやRDPであったり、横 展開されてサーバに不正 アクセスされてしまう事案 は後を絶ちません。 ▪ ログを確認できているで しょうか?(そもそもログがと れていますか?) 83 https://www.jnsa.org/policy/policy092a.pdf
84.
パッチをあてる、ログを分析する ▪ この二つの過去から言われている施策を徹底するだけでも今の多く のセキュリティ事案に対処できるのですが、なぜかそこに手を触れな いままにしていませんか? ▪ 十数年前に提唱されていたセキュリティ対策が欠けたままの状態に なっていませんか? 84
85.
よく聞くフレーズは2003年に既に ▪ 2003年に既に 高度化・複雑化・巧妙化
という言葉が ▪ この頃の対策すらできていなければ、今の攻撃に脆弱といえます 85 2003ネットワークセキュリティビジネス調査総覧 https://www.fcr.co.jp/report/032q09.htm
86.
もう一度見直せばよい? ▪ では、昔を学びそれを徹底するだけでよいのか? ▪ 実は、最近になってそれだけでは足りなくなったポイントが三つありま す ▪
従来の施策に、この三つのポイントを意識することで、今のサイバー セキュリティを確保することができるようになると考えています 86
87.
今のセキュリティに必要な三要素 ▪速度対応 : 攻撃速度に対応した防衛速度 ▪全方位対応
: 複数のエントリポイント ▪物量対応 : 複数の観測点・大量の攻撃 87
88.
速度対応 : 攻撃速度に対応した防衛速度 ▪今、攻撃者のスピードが格段にあがっています ▪自動処理が組み込まれ、マルウェアの開封・ C2への通信と同時に、情報の窃取とシステム への侵攻が行われるということを意識して対策 しなければいけません 88
89.
全方位対応 :複数のエントリポイント ▪BECでもシステム侵入型ランサムでも標的型攻撃 でも、すべての攻撃者が狙うのはシステムへの「侵 入」です ▪どこから入られるのか、どうやって入られるのか、その 仕組みを意識して、狙われている時、入られた時 に検知できる仕掛けを設置する必要があります 89
90.
物量対応 : 複数の観測点・大量の攻撃 ▪様々な攻撃者が様々な手法でシステムへの侵入 を狙ってきます。 ▪大量のメールにはフィッシングもあり、マルウェアもあ り、ログインにはブルートフォースもあれば、リスト型 攻撃もあります。これらの徴候をとらえるためには複 数のセンサーと、それを見る人の能力をカバーする 仕組みが必要です 90
91.
具体的には? ▪ 次のトラックで伊藤忠商事として行っている取り組みをお伝 えします。 ▪ 具体的な取り組み事例について興味がある方は、ぜひ視 聴してください。 91
92.
終わりに
93.
まとめ ▪ 本日は、過去の対策を今一度見直して、まずは組織の基礎として 弱い部分がないかを意識してもらうことを目標に話をさせていただき ました ▪ 今あるセキュリティ対策がいきなり現れたものではなく、過去の事案 等に基づいて出来上がったことを認識していただき、リスクと脅威か せセキュリティ対策を今一度見直すきっかけになったとしたら幸いで す
94.
経営者の方へのお願い ▪ うちはセキュリティが長年うまくいっていないと感じていたらそれは、仕 組みに問題があるはずです。 ▪ 担当者の権限は適切ですか?
担当者の力量は適切ですか? チームの仕事量は適切ですか? 最新の脅威に対応したツールが 与えられていますか? 新たにシステムを作る際にセキュリティが意 識されていますか? ▪ セキュリティマネジメント”マネジメント”は経営者の仕事です 94
95.
担当者の方へのお願い ▪ 新たな情報だけに振り回されず、過去の歴史も学び、なぜその管 理策が生み出されたのか、何に有効なのか、何に効かないのかを 分解して学んでください。 ▪ 10年前のことができていないのであれば、10年前の攻撃被害に遭 うと意識してください。そして、過去の管理策を潜り抜ける今の攻撃 を知って、その差分を埋める管理策を検討して導入してください。 ▪
“愚者は経験に学び、賢者は歴史に学ぶ”は担当者の仕事です 95
96.
セキュリティ専門家の方へのお願い ▪ セキュリティもまたビジネスです。新たなものやサービスではないと顧 客の興味をひかないことはよくわかっています。 ▪ ですが、それらの新製品やサービスも基礎部分がしっかりしていない と効果を発揮しないことがあります。お金にならないかもしれません がレガシー部分のアドバイスもぜひしてください。 ▪
”セキュリティを脅かすビジネスを小さくすること”は我々の仕事です 96
97.
今回のトラックの内容が皆様 の組織やセキュリティ対策の 一助になれば幸いです ご視聴ありがとうございました motohiko-sato@itochu.co.jp @58_158_177_102