Submit Search
Upload
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
•
Download as PPTX, PDF
•
0 likes
•
172 views
M
mkoda
Follow
Cyber-sec+ Meetup vol.3での登壇資料です。
Read less
Read more
Internet
Report
Share
Report
Share
1 of 21
Download now
Recommended
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
mkoda
リクルート流Elasticsearchの使い方
リクルート流Elasticsearchの使い方
Recruit Technologies
إدارة وتأمين شبكات المكتبات ومراكز المعلومات
إدارة وتأمين شبكات المكتبات ومراكز المعلومات
emad Saleh
1年目で(ほぼ)全冠して案件で躓いたので振り返り.pdf
1年目で(ほぼ)全冠して案件で躓いたので振り返り.pdf
hama
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
zaki4649
伝統的な組織で始めるアジャイル
伝統的な組織で始めるアジャイル
toshihiro ichitani
أسئلة عن سلامة الغذاء
أسئلة عن سلامة الغذاء
Ossama Ismail
[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口 剛
[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口 剛
CODE BLUE
Recommended
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
mkoda
リクルート流Elasticsearchの使い方
リクルート流Elasticsearchの使い方
Recruit Technologies
إدارة وتأمين شبكات المكتبات ومراكز المعلومات
إدارة وتأمين شبكات المكتبات ومراكز المعلومات
emad Saleh
1年目で(ほぼ)全冠して案件で躓いたので振り返り.pdf
1年目で(ほぼ)全冠して案件で躓いたので振り返り.pdf
hama
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
zaki4649
伝統的な組織で始めるアジャイル
伝統的な組織で始めるアジャイル
toshihiro ichitani
أسئلة عن سلامة الغذاء
أسئلة عن سلامة الغذاء
Ossama Ismail
[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口 剛
[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口 剛
CODE BLUE
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
Amazon Web Services Japan
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
AWSとAzureとGCPの脆弱性診断実施の為の比較
AWSとAzureとGCPの脆弱性診断実施の為の比較
kmrr
AWS入門!!
AWS入門!!
Wataru NOGUCHI
مقاومة مضادات الميكروبات : تهديد عالمي وإقليمي
مقاومة مضادات الميكروبات : تهديد عالمي وإقليمي
WHO Regional Office for the Eastern Mediterranean
"Disaster Risk Reducion DRR
"Disaster Risk Reducion DRR
Ahmed-Refat Refat
First step of UX Monitoring 〜UXモニタリングこと始め〜
First step of UX Monitoring 〜UXモニタリングこと始め〜
Taro Yoshioka
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
リクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティ
Recruit Technologies
解説!30分で分かるLEAN ANALYTICS
解説!30分で分かるLEAN ANALYTICS
しくみ製作所
A use case of aws in de na automotive
A use case of aws in de na automotive
DeNA
تحليل المخاطر ونقاط التحكم الحرجة
تحليل المخاطر ونقاط التحكم الحرجة
Ahmed Adel
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
Hitachi, Ltd. OSS Solution Center.
演題:価値のデザインからはじめるビジネス企画(前編解説)
演題:価値のデザインからはじめるビジネス企画(前編解説)
Hagimoto Junzo
التعليم المدمج
التعليم المدمج
maryam_s
قضايا معرفية في الأمن السبراني
قضايا معرفية في الأمن السبراني
الهيئة الوطنية لأمن وسلامة المعلومات
مناهج البحث العلمي وأنواعها
مناهج البحث العلمي وأنواعها
BTS Academy
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
都元ダイスケ Miyamoto
HSM超入門講座
HSM超入門講座
Hiroshi Nakamura
20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)
Amazon Web Services Japan
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
Masanori KAMAYAMA
マイナンバー説明用スライド
マイナンバー説明用スライド
Seiji Noro
More Related Content
What's hot
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
Amazon Web Services Japan
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
AWSとAzureとGCPの脆弱性診断実施の為の比較
AWSとAzureとGCPの脆弱性診断実施の為の比較
kmrr
AWS入門!!
AWS入門!!
Wataru NOGUCHI
مقاومة مضادات الميكروبات : تهديد عالمي وإقليمي
مقاومة مضادات الميكروبات : تهديد عالمي وإقليمي
WHO Regional Office for the Eastern Mediterranean
"Disaster Risk Reducion DRR
"Disaster Risk Reducion DRR
Ahmed-Refat Refat
First step of UX Monitoring 〜UXモニタリングこと始め〜
First step of UX Monitoring 〜UXモニタリングこと始め〜
Taro Yoshioka
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
リクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティ
Recruit Technologies
解説!30分で分かるLEAN ANALYTICS
解説!30分で分かるLEAN ANALYTICS
しくみ製作所
A use case of aws in de na automotive
A use case of aws in de na automotive
DeNA
تحليل المخاطر ونقاط التحكم الحرجة
تحليل المخاطر ونقاط التحكم الحرجة
Ahmed Adel
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
Hitachi, Ltd. OSS Solution Center.
演題:価値のデザインからはじめるビジネス企画(前編解説)
演題:価値のデザインからはじめるビジネス企画(前編解説)
Hagimoto Junzo
التعليم المدمج
التعليم المدمج
maryam_s
قضايا معرفية في الأمن السبراني
قضايا معرفية في الأمن السبراني
الهيئة الوطنية لأمن وسلامة المعلومات
مناهج البحث العلمي وأنواعها
مناهج البحث العلمي وأنواعها
BTS Academy
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
都元ダイスケ Miyamoto
HSM超入門講座
HSM超入門講座
Hiroshi Nakamura
20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)
Amazon Web Services Japan
What's hot
(20)
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
AWSとAzureとGCPの脆弱性診断実施の為の比較
AWSとAzureとGCPの脆弱性診断実施の為の比較
AWS入門!!
AWS入門!!
مقاومة مضادات الميكروبات : تهديد عالمي وإقليمي
مقاومة مضادات الميكروبات : تهديد عالمي وإقليمي
"Disaster Risk Reducion DRR
"Disaster Risk Reducion DRR
First step of UX Monitoring 〜UXモニタリングこと始め〜
First step of UX Monitoring 〜UXモニタリングこと始め〜
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
リクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティ
解説!30分で分かるLEAN ANALYTICS
解説!30分で分かるLEAN ANALYTICS
A use case of aws in de na automotive
A use case of aws in de na automotive
تحليل المخاطر ونقاط التحكم الحرجة
تحليل المخاطر ونقاط التحكم الحرجة
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
演題:価値のデザインからはじめるビジネス企画(前編解説)
演題:価値のデザインからはじめるビジネス企画(前編解説)
التعليم المدمج
التعليم المدمج
قضايا معرفية في الأمن السبراني
قضايا معرفية في الأمن السبراني
مناهج البحث العلمي وأنواعها
مناهج البحث العلمي وأنواعها
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
HSM超入門講座
HSM超入門講座
20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)
Similar to お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
Masanori KAMAYAMA
マイナンバー説明用スライド
マイナンバー説明用スライド
Seiji Noro
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
オラクルエンジニア通信
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
NISSHO USA
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁
KVH Co. Ltd.
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Hitachi, Ltd. OSS Solution Center.
Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用
マジセミ by (株)オープンソース活用研究所
20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome
Amazon Web Services Japan
Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20
龍弘 岡
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
Isao Takaesu
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
schoowebcampus
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
Hitachi, Ltd. OSS Solution Center.
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
Katsuya Yamaguchi
脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka
ichikaway
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
Shinichiro Kawano
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.
What is CompTIA
What is CompTIA
Yoshimura Comptia
Similar to お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
(20)
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
マイナンバー説明用スライド
マイナンバー説明用スライド
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用
20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome
Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
What is CompTIA
What is CompTIA
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
1.
お客様のセキュリティチェックを乗 り越えるための SaaS のアプローチ Cyber-sec+
Meetup vol.3 2024/03/12 幸田 将司 1
2.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved Who am I? 幸田将司: 所属: - 株式会社Levii - 株式会社バラエナテック 代表取締役 - SecuriST(R) 試験委員会 / CEH インストラクター - ISOG-J(WG1) - 診断 / 開発 / ISMS支援 ...etc SNS: - @halkichisec 2
3.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved Contents 1. SaaSが苦慮しているセキュリティ 2. セキュリティの評価基準 3. コストを下げるために 3
4.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved 誰向け? • サービス事業者 • セールス • デリバリー • 開発 • セキュリティ系 • CISO • 診断員 • サービス調達/選定する人 • 情シス 4
5.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved SaaSを提供しています(ダイマ) • Balus • システムモデリングをわかりやすくするツール • 名前は某ジブリ作品の呪文より • 登録商標で揉めてしまう 5 これのセキュリティの話
6.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス提供側として苦悩していること • どこまでセキュリティをやるべきか • 何にリソースを割くべきか • 認証規格を取得するべきか • お客様に使って欲しいが...セキュリティ的なハードルは高い • クラウドサービスの調達要件 • 官公庁は基準が高い • 我々はコストセンターである😭 6
7.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス調達の要求事項としてよくある例 1. 認証規格を取得しているか • ISO/IEC 27001(ISMS) • ISMAP • SOC2 • SSAE16,18 ...etc 7
8.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス調達の要求事項としてよくある例 2. セキュリティチェックシートの記入 • サービスが使用できるかどうか質問やチェックリスト形式で構成され た文書、大抵はエクセルで送られてくる。 • 顧客 ↔︎ セールス ↔︎ 開発でやり取りしてリソースが勿体無い 8 お客様毎に項目やフォーマット が異なるためコストがかかる
9.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved 何から取り組めば良いか • 頻発する要件をセキュリティチェックシートとして公開 • セキュリティチェックシートの対応ログを残しておき、その結果を社 内で共有する。 • 共有した項目から自社のセキュリティチェックシートを作成して公開 • コストが下がった • 開発のメリット • 顧客が要求する機能が把握できるので、実装が予想できる。 • 営業/デリバリーのメリット • 顧客↔︎セールスのリレーが少なくなるので顧客へのレスが早い 9
10.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved セキュリティチェックシートについて • よく聞かれる項目TOP5 1. アクセス制御 • IPアドレスによる制限が可能であるか • Basic/Digest認証が設定可能であるか • 利用者毎に管理者が設定可能であるか 2. 権限管理 • ユーザと管理者の領域がわかれているか 10 顧客が気にしていること Basic認証に使うからAPIの認証は Authorizationヘッダを避けるか… (safariは上書きしてしまう)
11.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved セキュリティチェックシートについて 3. ログの取得/監視(一例) • ログイン成功と失敗 • 異常ログの検知と通知 4. 脆弱性管理 • 脆弱性診断を実施しているか (どこまで実施するかは問われないことが多い) • 脆弱性管理が行われているかどうか 5. 第三者認証の取得 • ISO/IEC、SOC2等々... 11 コストはかかるが 何かしらの認証はあると良い
12.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved どこまで脆弱性管理をすればいい? • 攻撃表面を元にして考えると良い(ASM) • 例: • コーポレートサイト • 自社サービス • メール/VPN/ファイルサーバ等 • 担当者のメールアドレス 出典: 経済産業省ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~ https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html 12
13.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved • 自社サービスに紐づいているが、管理が忘れ去られているコン テンツ等 攻撃表面(Attack Surface)の例 ※IPに紐づくコンテンツサーバがなくとも サブドメインテイクオーバーの温床になる可 能性も。CNAME、Aレコード等 バグバウンティではよく報告されている ベンダーのために 開けておいた経路 13
14.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved 第三者認証を推す理由 • サービス事業者として要求される内容や管理施策が理解できる • SLAの設定 (稼働率の根拠や、侵害されてはならない理由が説明できる) • 情報資産とその監視対象の考え方 • 第三者の審査機関から指摘がある • 問題のある管理に気がつける • 外圧がなければ変われない組織におすすめ 14
15.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • ISO/IEC27017 • ISO27001(ISMS)のクラウドサービス版 • ISMSのアドオンとして存在するため、ISMS + ISO27017で取得する • CSP又は、CSPとCSCとして認証する必要がある。 • CSP(クラウドサービス提供者) • AWSやGCP等、プラットフォーム提供側 • CSC(クラウドサービス利用者) • クラウドサービス利用者側 15 組織全体 ISMSの認証範囲 クラウドセキュリティ (ISO27017)の範囲
16.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • 要件(CSPとしての一例) • 9.2.1 利用者登録及び登録削除... アカウントの登録/削除ができるか • 8.2.2 情報のラベル付け... 情報のラベル付けができるか • 10.1.1 暗号による管理策の利用方針... 情報の暗号化ができるか • 12.3.1 情報のバックアップ • 12.6.1 技術的ぜい弱性の管理... 脆弱性管理がされているか • 要件(CSCとしての一例) • 9.2.3 特権的アクセス権の管理... 管理者アカウントを制限し、他要素認 証を使用する • 16.1.2 情報セキュリティ事象の報告... インシデント情報の管理 16
17.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • 前項の内容で適用宣言書を作成し、審査を受ける 17 出典: ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項 https://isms.jp/doc/JIP-ISMS517-10.pdf 100項目以上あるため、 コンサル系サービスを利用するのが吉
18.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved クラウドサービスの参考資料 クラウドサービス利用・提供における適切な設定のためのガイドライ ン : 総務省 2022 https://www.soumu.go.jp/main_content/000843318.pdf • 運用上のベストプラクティスがあるため参考になる クラウドサービスレベルのチェックリスト : 経産省 https://warp.da.ndl.go.jp/info:ndljp/pid/8658576/www.meti.go.jp/press/201008160 01/20100816001-4.pdf • ちょっと古い(2010年) 18
19.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved • 内部からの調査は部署を横断する必要がある。 • インシデント例 • (2021年)内閣サイバーセキュリティセンター(NISC)の情報漏洩 • 内部で使用していたプロジェクト情報共有ツールへの不正アクセス • 組織内部で使用している端末やツールの特定を行う • ISMS(ISO27001)を取得しているなら情報資産管理/リスク台帳があるはず • 管理している部署と連携をとることを推奨 • シャドーITの制限も忘れずに 攻撃可能領域の探し方(内部) 19
20.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved 参考: 組織を巻き込む • そもそも職務により目的/視点が違うため、各チームの代表を まきこんでモデリングすると、少しスムーズに進むかも • セキュリティチェックシートを作る際のMTGの例 20 それぞれのロールの 背景や目的を同じ視点でみる ための手法
21.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved おわり • ご清聴ありがとうございました 21
Download now