SlideShare a Scribd company logo

企業向けのセキュリティの設計例

masaaki murakami
masaaki murakami

コロナ禍でDXの社会的な期待が増し、セキュリティではzerotrustが次世代の手法として注目されていますが、その設計を具体的にどうすれば良いか?については悩んでいる人が多いと思います。 ここではその設計例を公開します。

Technology
1 of 18
Download to read offline
企業向けのセキュリティの設計例 2020/12 船井総研ホールディングス 村上 雅章 masaaki-murakami@funaisoken.co.jp 1. “セキュリティ”が経営に及ぼす影響 .................. 1 2. 設計 1)手法の選択 .................. 2 2)機能別設計 .................. 4 3. 期待される効果 .................. 10 Appendix A. ビジネス動向から見たセキュリティの必要条件 B. zoomの事例 D. 現状採用している“境界防御”方式と“ゼロトラスト”方式の比較 C. 情報セキュリティの動向
1. “セキュリティ”が経営に及ぼす影響 a) 全てのビジネス活動にセキュリティが関わる デジタル化したビジネス クラウド セキュリティ 連携 連携 連携 セキュリティ セキュリティセキュリティ セキュリティセキュリティ セキュリティセキュリティ 顧客情報社内情報・社員情報 社内業務 顧客向けサイト社内情報 デジタル化したビジネス世界では、 a) 全てのビジネス活動にセキュリティが関わる b) セキュリティが経営に及ぼす影響≒時価総額 1 2 クラウドは「社内業務」 及び 「デジタル化したビジネス」 の全てに関わり、攻撃者はクラウドを 悪用して情報を漏洩、クラウド上の社員情報・社内情報・顧客情報を搾取、情報を人質にして 金品を要求する。 顧客の情報 を守る 社員情報 社内情報 を守る 1 b) セキュリティが経営に及ぼす影響=時価総額 デジタル・ビジネスの“時価総額”は、セキュリティのトラブルに敏感に反応する。 影響が大きいのは 「風評」 と 「セキュリティ専門家の評価」 であり、 と考えられ る。 「風評」が時価総額を下げ それを元の時価総額のトレンドに戻すのは「サイバー・セキュリティ専門家の評価」 2月 3月 4月 5月 6月 1兆5千億 1/2 3兆5千億 3/23 3兆7千億 4/23 4/8 2兆6千億 4兆9千億 6/3 時価総額が25%Down zoom爆弾をきっかけにマスコミ、SNSで セキュリティで非難を浴びる (殆どが憶測や事実誤認) トラブル前のトレンドに戻る <Zoomのアクション> セキュリティの専門家が 指摘した暗号化技術の問題を解決 短期的に時価総額が戻るが再度Down <Zoomのアクション> 憶測や事実誤認を招いた機能を修正 【zoomの事例】 3時価総額を守る
(1)手法の選択 2. 設計 経営のセキュリティへのニーズ デジタル化したビジネス世界では、 a) 全てのビジネス活動にセキュリティが関わる b) セキュリティが経営に及ぼす影響=時価総額 “セキュリティ”が経営に及ぼす影響 ❶ セキュリティトラブルの直接被害を最小にする (予防・シューティング) ❷ セキュリティトラブルが発生した際の時価総額の下落・不安定を、最短で 発生前のトレンドに戻す 社員情報・社内情報を守る 1 2 顧客の情報を守る 「ゼロトラスト」 サービスサイトの「多層的な防御」 「内部情報漏洩リスク(クラウドを悪用)」 「外部からの攻撃リスク」 を可能な限り0にする 顧客に提供するサイトへの外部からの攻撃リスク 「なりすましの攻撃」 「サイトの脆弱性を突いた攻撃」 を可能な限り0にする 3 サイバーセキュリティの専門家が納得する セキュリティ設計と運営 「セキュリティ・サービス」 「インテグレータ」の活用 時価総額を守る サイバーセキュリティの専門家が納得する施策を実施している セキュリティトラブル発生時に、状況&対策を直ぐに説明・実行できる体制がある 2 ❶ 直接被害の 最小化 ❷ 時価総額の安定化
① 社員情報・社内情報を守る 従来の「境界防御」方式は“効果が低く”かつ“投資効率が非常に低い”ため、 “効果が高く”かつ“投資効率が高い”「ゼロトラスト」方式に変更 “境界防御”方式 “ゼロトラスト”方式 約XXXX万円/年 脅威に対する効果 18% リモートワーク率が70%の場合 コスト 90% 約XXXX万円/年 投資効率 脅威カバー率10%当り のコスト 年間コスト XX% Down カバー率 500% Up XXXX万円/年 約XXX万円/年 =投資効率X倍にUP 脅威カバー率10%当り のコストが1/X 脅威カバー率 1 手法の選択の理由 3 ③ 時価総額を守る ② 顧客の情報を守る インテグレータ セキュリティ・サービス >>> 世界のセキュリティTOP企業のサービスを利用 >>> 日本のTOPレベルのセキュリティ・インテグレータ セキュリティの専門家を納得させることができる「セキュリティ・サービス」と「インテグレータ」 を活用 “顧客の機微な個人情報、社員情報を扱うクラウド・サービス”は、一般のクラウド・サービス に比べて高いレベルのセキュリティが必要 ⇒ 「多層的な防御」 3 2 WAF IPS FW 【多層的な防御】 IdaaSなりすまし 弱点 を突く攻撃 船井が クラスタ になった 感染 船井を 踏台にした なりすまし 船井のサイトにある 顧客の個人情報が 被害 船井の顧客やパートナ のサイトの 個人情報・社内情報 が被害
① ゼロトラスト / “内部の情報漏洩”対策 >>> 「IdaaS + CASB」 (2)機能別設計 業績に貢献する多くの従業員 内部情報漏洩 のリスクが高い (元)従業員 ≒ 退職者 変化した時の行動 にアラート 集中的に 監視・規制・警告 規制 不正のエビデンスを残す 内部情報漏洩のリスクが高い(元)従業員に対して集中的に監視・規制・警告 ① 社員情報・社内情報を守る1 従来の一般的なセキュリティ施策 (従業員全員に対して規制) 業績に貢献する多くの従業員 内部情報漏洩 のリスクが高い(元)従業員 厳しい規制 ステージ1; ステージ2; ステージ3; 従業員に本施策が実施されている旨を告知(ブラックサイトのみ規制) サイトの信用レベルの低いサイトを規制 ホワイトリストのサイトのみの利用 業績に貢献する多くの従業員へはステージ1を通常の運用として、状況によって ステージの上げ下げを行う 備考; 従業員へはセキュリティの施策を公開 【参考】 4
❶ 利用するクラウドからの個人情報、ID/PWの漏洩リスクを最小限にする ❷ 従業員の不正を着実に把握・分析・対策する ❸ 従業員へ利用させたくないサイトへのアクセスを制限 技術要件 設計 ❷-3 (元)従業員の不正利用への法的措置の エビデンス ❷-1 従業員の不審な利用の分析・アラート ❸ 従業員へ利用させたくないサイトへのアクセスを制限 ❷-2 従業員が不審な利用をした場合、自動的に 対策を実施 CASB IdaaS Webサイト クラウド ・・・社内システム 世の中の クラウド ログ保存 UEBA 標準 Adaptive 標準 ❶利用するクラウドからの個人情報、ID/PWの漏洩 リスクを最小限にする 5 “経営ニーズにあったレベル”の「セキュリティ・マネージメントの実施」を可能にする 社内システム化 しているクラウド 自社クラウド Webサイト 従業員 従業員のサイト・アクセスの行動を分析 従業員のサイトへのアクセスをブロック c d 従業員のクラウドへの“ログイン”を制御 従業員がクラウドで“利用できる機能”を制御 a b CASB IdaaS 自社専用の 従業員の信用情報DB UEBA 従業員の行動分析をし て 信用レベルをスコア化 CCI SaaSの信用情報 DB セキュリティ評価済みクラウド 約3~4万件 新規評価のクラウド数 数千件/年 クラウド版の帝国データバンク 危険サイトリスト 社内システム 認定外クラウド 個人クラウド Webサイト 経営ニーズ 対象を絞った マネージメント 全体を規制 規制 ビジネスの 自由度 セキュリティ・マネージメントの手段 c da b
② ゼロトラスト / “外部からの攻撃(身代金、搾取等)”対策 【 PC・スマホ 】 >>> 「MDR = EPP + EDR + SOC」 ❹ 守るべき全てのPC・スマホを攻撃から守る技術要件 設計 ❹-1 水際対策 <注意>攻撃の半分以上を占める非マルウェア 攻撃に効果がない ❹-2 水際対策をすり抜けた病原体の発病対策 発病後の症状で検知するため、殆どの攻撃に 効果がある PC、スマホ MDR EPP EDR/SOC 次々に現れる新型の病原体から社内情報・社員情報を守る 感染・駆除 発病=攻撃 隔離 駆除 <水際> 発病=攻撃 隔離 駆除検知できない クラウド Webサイトメール USB 従来型攻撃(旧来型ウィルス等の攻撃) 新型攻撃(新型のファイルレス攻撃) 2018 2019 60% 40% 49% 51% 現在採用している アンチウィルス防御 MDR <駆除する範囲> 従来型攻撃 新型攻撃 MDR 現在採用しているアンチウィルス防御 MDR EPP EDR/SOC 6
サービスサイトの多層防御 / “外部からの攻撃(身代金、搾取等)”対策 【サービスサイト】 >>> 「IdaaS + FW + IPS + WAF」 ❺ 外部からの全ての攻撃を防ぐ技術要件 設計 ❺-1 顧客以外の不正なアクセス対策 ❺-2 サイトへの直接攻撃を防ぐ サービスサイト IdaaS WAF IPS FW ② 顧客の情報を守る2 サイト毎に開発された アプリケーション OS、ミドルウェア ネットワーク WAF IPS FW 【セキュリティツール】 脆 弱 性 IdaaS サイト毎に開発された アプリケーション OS、ミドルウェア ネットワーク なりすまし 弱点 を突く攻撃 船井が クラスタ になった 感染 船井を 踏台にした なりすまし 【船井のサイト】 【顧客やパートナのサイト】 船井が直接被害者 船井の顧客やパートナ が被害者 各ツールの守備範囲が異なる 7 次々に現れる新型の病原体、新たな攻撃から顧客・パートナの情報を守る なりすまし + サイトの脆弱性を突く攻撃 自社が踏台、クラスタになった攻撃
3. 期待される効果 ① 社員情報・社内情報を守る1 ② 顧客の情報を守る2 「内部情報漏洩リスク(クラウドを悪用)」 及び 「外部からの攻撃リスク」 を可能な限り0にする 顧客に提供するサイトへの外部からの攻撃リスク 「なりすましの攻撃」 「サイトの脆弱性を突いた攻撃」 を可能な限り0にする 【2021年度期央に対策を実施した場合のリスク削減効果】 ❶ 直接被害の最小化 2019 2020 2021 2022 2023 2019 2020 2021 2022 2023 対策済み(端末数換算) 未対策(端末数換算) クラウドを悪用した 内部情報漏洩のリスクは ほぼゼロに 内部情報漏洩リスク (クラウドを悪用したリスク) 予測されるリスク 外部からの端末への攻撃によるリスク はほぼゼロに 外部からの攻撃リスク 2019 2020 2021 2022 2023 対策済み(端末数換算) 未対策(端末数換算) 現在利用している従来型防御の効果は低く 今後更に低くなる 導入効果 (MDR) 2019 2020 2021 2022 2023 予測されるリスク 内部情報漏洩のリスクは 従業員数増に比例して増加 1 1 導入効果 (IdaaS+CASB) 10
❷ 時価総額の安定化 時価総額が下がるセキュリティ・トラブルが発生したときに ③ 時価総額を守る3 ステークホルダに状況をリアルタイムに正しく説明できる 機関投資家が対策の有効性の意見を求める“セキュリティの 専門家を納得させる”事ができ、株価が従来のトレンドに戻 る力になる セキュリティトラブル 発生前のトレンドに戻す 下落・不安定を最短にする 【時価総額】 12
Appendix A. ビジネス動向から見たセキュリティの必要条件 … 付-1 B. zoomの事例 … 付-2 C.情報セキュリティの動向 … 付-3 D. 現状採用している“境界防御”方式と“ゼロトラスト”方式の比較 … 付-7
A. ビジネス動向から見たセキュリティの必要条件 製造 ビフォーコロナ のトレンド コロナ禍で 起きた事 ポストコロナ 物流労働経済動向 流通 ICT サブスクリプション ネット通販拡大 ネット通販好調 部品がなく 生産できない 国・地域の ブロック化政策 個々のサプライチェーン に最適化されすぎた物流 生産人口の 減少 商品があっても 流通しない 解雇と 人手不足通貨が 流通しない リモートワーク 働き方改革 外国人労働者 外国人労働者 入国できない クラウド化 クラウド/SaaSの急拡大 ブロック化 通貨が大量に投入 された よどんだお金 デジタルへの期待 世界の新しい 経済バランス 産業構造の複雑性 が生む成長 次世代のサプライチェーン 新しい 就労形態 eコマース 生産の 国内回帰 柔軟性の ある物流 連携したクラウド/SaaS リモートワーク 付-1 ポンプのエンジンとなる“テクノロジー” クラウドAI <社会的期待> DX = 「”新しい経済秩序の下で、よどんだお金を流す“ ポンプ」 【クラウドの必要条件】 クラウドを使いこなす 「ノウハウ」 サプライチェーンを実現する為の 「クラウド連携」 クラウドを安心して使える 「セキュリティ」 ❶ 社員情報を安全に共有 ❷ “社内情報の漏洩”を防ぐ ❸ “PC・クラウドへの外部からの攻撃による 脅迫、搾取を防ぐ” ❹ 外部からの攻撃で顧客や、連携する パートナーに被害を与えない 顧客向けサイト 社内情報 【セキュリティの必要要件】
1月2日に約1兆5千億円だった時価総額が、コロナの追い風で3月23日に約3兆5千億円に zoom爆弾をきっかけにセキュリティに問題がある風評が広がり4月8日に約2兆6千億円に 様々なセキュリティの問題の指摘があったが、実際に起きたトラブルはzoom爆弾のみ (zoom爆弾もzoomの脆弱性ではなく、コロナ禍で想定以上に広がった利用者層が標準機能を悪用したもの) 殆どの問題は事実の誤った解釈・理解がマスコミ、SNSで広がったもの 火消策の第一弾が功を奏して一か月後の4月23日には一ヵ月前の時価総額の水準 約2兆7千億 円に復活 ■ ”zoom爆弾”、“風評で広がった誤認された問題”へのサービスの変更・修正がメインの対策 火消策の第二弾の効果で約二か月後の6月2日には3月23日の1兆4千億円増の約4兆9千億円に ■ セキュリティの専門家が指摘した暗号化に関する技術的な対策 ■ セキュリティ企業の買収を起点に、世界に配布済みの全てのアプリケーションをリプレイス B. zoomの事例 3月 4月 5月 6月 セキュリティ専門家マスコミ、SNS 米国政府 風評 zoom爆弾 実際に 起きた トラブル 実際にトラブルは起きていないが 指摘された問題&実施されたアクション ❶ ❷ ❸ ❹ ❺ ❻ ❼ zoomは中国政府に盗聴されている zoomでのミーティングは悪い人に乗っ取られる zoomは中国製である zoomは中国企業である zoomがHP上でうたっているセキュリティは嘘である zoomから個人情報が漏洩した Zoomのエンドツーエンド暗号化は セキュリティ専門家の定義ではエン ドツーエンド暗号化でない ❽ 政府関係者の公務の一部 でzoomの利用を禁止 ● 事実誤認があったもの ● 事実 zoomのセ キュリティ は弱い 90日セキュリティプラン ❶~❻の対策を順次実施 ❼の対策の為に企業買収 ❼の対策の為に全ての 顧客アプリを変更 対策のアクション 時価総額 (日本円換算) 12/8 9兆円 1/2 1兆5,000億円 3/23 3兆5,000億円 4/8 2兆5,700億円 6/3 4兆9,000億円 4/23 3兆7,000億円 付-2
新型攻撃の拡大 ⇒ 「攻撃者」 「攻撃のタイプ」 「被害のタイプ」 に変化 新型の攻撃のトレンド 「❶ クラウド」 「❷ ID、パスワード」 を悪用した攻撃で 外部からの自社への攻撃で「自社の顧客やパートナーが被害」 「内部からの情報漏洩」 【特徴】 このトレンドに対して船井の対策は不十分な状況にあり、「社内情報のセキュリティ」「顧客向けサ イトのセキュリティ」の両方で再設計をする必要がある。 従来型の攻撃のトレンド 従来のウィルス駆除ツールが効かない病原体を使って (50%を超える病原体がすり抜ける) 「外部から自社への身代金要求、窃盗等」 C. 情報セキュリティの動向 ❸ メール、Webサイト クラウドの連携 外部 の攻撃者 ❷ ID、パスワード ❹ ソフトの脆弱性 内部 にいる攻撃者 ❶ クラウド 会社認定クラウド 認定外クラウド 個人クラウド 外部からの自社への攻撃で 「顧客やパートナーが被害」 「外部から自社への身代金の 要求、窃盗等」 【攻撃者】 詳しくは付-1参照 【被害のタイプ】 詳しくは付-2参照 【攻撃のタイプ】 詳しくは付-3参照 インサイダ 信頼されたインサイダ スクリプト・キディ 標的型攻撃者 「内部からの情報漏洩」 【セキュリティの動向】 【新型攻撃】 【従来型攻撃】 付-3
内部 にいる攻撃者 ⇒ 情報漏洩 ログインIDをもつシステムの一般ユーザ (元社員を含む) 強い権限を持っているシステム管理者 (元社員を含む) 攻撃者1;インサイダ 攻撃者2;信頼されたインサイダ 内部情報の漏洩 内部情報の漏洩 a. 船井の情報を狙っている攻撃者を知る ① 攻撃者は誰か 内部 にいる攻撃者 外部 の攻撃者 補足説明 攻撃者3;スクリプト・キディ 攻撃者4;標的型攻撃者 攻撃者5;国家レベルのアクタ 外部 の攻撃者 ⇒ 脅迫(金品要求)、踏台(他の攻撃に利用)、窃取 他人の製作したプログラムまた はスクリプトを悪用し、興味本位 で第三者に被害を与えるクラッ カー 高いコンピューター知識と技術 を持ち合わせ組織の内部ネット ワークに侵入し、諜報活動・破 壊活動を行うハッカー イラン、中国、イスラエル、米 国、ロシア、北朝鮮が、支援 もしくは抱えているハッカー グループ ハッキングツールが裏社会で流通 標的を定めず、よく知らてれて いる脆弱性を攻撃 特定の組織に情報の窃取や削 除のために行う攻撃 ・軍事的な攻撃 ・技術を強奪し、複製し、乗っ取る 注意! ■ 攻撃者2や攻撃者3が使う高度な攻撃手法も攻撃者1が使える様になる ■ 船井の普通の社員でも、簡単に入手し最新のウィルスを作ることができる 付-4
② 攻撃のタイプ 攻撃に利用するのは、ID・パスワード 攻撃に利用するのは、アプリの連携 攻撃に利用するのは、メール、Webサイト 攻撃するのは、ソフトの脆弱性 内部 にいる攻撃者 外部 の攻撃者 攻撃に利用するのは、普段業務で使っている 「会社認定のクラウド」 攻撃に利用するのは、現場で業務に使っている 「認定外のクラウド」 攻撃に利用するのは、「個人のクラウド」 補足説明 付-5 ❸ メール、Webサイト クラウドの連携 外部 の攻撃者 ❷ ID、パスワード ❹ ソフトの脆弱性 内部 にいる攻撃者 ❶ クラウド 会社認定クラウド 認定外クラウド 個人クラウド 外部からの自社への攻撃で 「顧客やパートナーが被害」 「外部から自社への身代金の 要求、窃盗等」 【攻撃者】 詳しくは付-1参照 【被害のタイプ】 詳しくは付-2参照 【攻撃のタイプ】 詳しくは付-3参照 インサイダ 信頼されたインサイダ スクリプト・キディ 標的型攻撃者 「内部からの情報漏洩」 【セキュリティの動向】 【新型攻撃】 【従来型攻撃】
③ 被害のタイプ 20202018 1位 標的型攻撃者による機密情報の搾取 2位 内部不正による情報漏洩 3位 ビジネスメール詐欺による金銭被害 4位 サプライチェーンの弱点を悪用した攻撃 5位 ランサムウェアによる被害 6位 予期せぬIT基盤の障害にともなう業務停止 7位 不注意による情報漏洩 8位 インターネット上のサービスからの個人情報の搾取 9位 IoT機器の不正利用 10位 サービス妨害攻撃によるサービス停止 1位 標的型攻撃者による機密情報の搾取 2位 ランサムウェアによる被害 3位 ビジネスメール詐欺による金銭被害 4位 脆弱性対策情報の公開に伴う悪用増加 5位 脅威に対応するためのセキュリティ人材の不足 6位 ウェブサービスからの個人情報の窃取 7位 IoT機器の脆弱性の顕在化 8位 内部不正による情報漏えい 9位 サービス妨害攻撃によるサービスの停止 10位 犯罪のビジネス化(アンダーグラウンドサービス) 内部 にいる攻撃者 「内部からの情報漏洩」 の増加 “情報セキュリティ10大脅威/IPA”をもとに分析 a. クラウド利用・クラウド連携の増加に伴い 「内部からの情報漏洩」 外部からの自社への攻撃で「顧客やパートナーが被害」 が増加 b. 攻撃の進化により、従来型のアンチウイルスは効果が非常に低く 「外部から自社への身代金の要求、窃盗等」が引き続き上位 補足説明 1位 標的型攻撃者による機密情報の搾取 2位 内部不正による情報漏洩 3位 ビジネスメール詐欺による金銭被害 4位 サプライチェーンの弱点を悪用した攻撃 5位 ランサムウェアによる被害 6位 予期せぬIT基盤の障害にともなう業務停止 7位 不注意による情報漏洩 8位 インターネット上のサービスからの個人情報の搾取 9位 IoT機器の不正利用 10位 サービス妨害攻撃によるサービス停止 20202018 1位 標的型攻撃者による機密情報の搾取 2位 ランサムウェアによる被害 3位 ビジネスメール詐欺による金銭被害 4位 脆弱性対策情報の公開に伴う悪用増加 5位 脅威に対応するためのセキュリティ人材の不足 6位 ウェブサービスからの個人情報の窃取 7位 IoT機器の脆弱性の顕在化 8位 内部不正による情報漏えい 9位 サービス妨害攻撃によるサービスの停止 10位 犯罪のビジネス化(アンダーグラウンドサービス) 自社がクラスターになって顧客や パートナが感染 システム連携の弱点を利用され 顧客やパートナが被害 自社が提供するクラウドサービス から顧客の個人情報(クレジット 情報)等が搾取 外部からの自社への攻撃で「顧客やパートナーが被害」が増加 外部 の攻撃者 「外部から自社への身代金の要求、窃盗等」 が引き続き上位 付-6
“境界防御”方式 “ゼロトラスト”方式 【境界防御】 “壁”を作って中にいる 「人」と「システム」と「PC」を守る 中にいると安全 情報流出の当事者や手段となる 「人」と「システム」と「PC・スマホ」をマネージメント 「人」 「システム」 「PC・スマホ」 流失・喪失 流失・喪失 流失・喪失 これを直接マネージ 外にいる「人」の「クラウド」利用は無防備 内部の情報漏洩には無防備 外にいる「人」の「クラウド」利用にも対応 内部の情報漏洩にも対応 脅威に対する効果 カバー率500% Up 年間コスト XX% Down 投資効率 X倍に UP ゼロトラストにすると「防御力が大幅に向上」し「コストも下がる」 D. 現状採用している“境界防御”方式と“ゼロトラスト”方式の比較 0 500 1,000 1,500 2,000 2,500 3,000 3,500 4,000 4,500 現在のセキュリティ PLAN 脅威カバー率10%当りのコスト 約XXXX万円/年 脅威に対する効果 18% リモートワーク率が70%の場合 コスト 90% 約XXXX万円/年 投資効率 脅威カバー率10%当り のコスト 万円/年 万円/年 年間コスト 15% Down カバー率 500% Up XXXX万円/年 約XXX万円/年 =投資効率X倍にUP 脅威カバー率10%当り のコストが1/X 脅威カバー率 付-7

Recommended

経営者のための“ゼロトラスト基礎知識”
経営者のための“ゼロトラスト基礎知識”経営者のための“ゼロトラスト基礎知識”
経営者のための“ゼロトラスト基礎知識”masaaki murakami
 
DXの基盤となるセキュリティ
DXの基盤となるセキュリティDXの基盤となるセキュリティ
DXの基盤となるセキュリティmasaaki murakami
 
ゼロトラストの基礎知識
ゼロトラストの基礎知識ゼロトラストの基礎知識
ゼロトラストの基礎知識masaaki murakami
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...Amazon Web Services Japan
 
ヘルスケア・イノベーション公開勉強会 #1
ヘルスケア・イノベーション公開勉強会 #1ヘルスケア・イノベーション公開勉強会 #1
ヘルスケア・イノベーション公開勉強会 #1Eiji Sasahara, Ph.D., MBA 笹原英司
 
Ibm pure flex at cloudian seminar 2013
Ibm pure flex at cloudian seminar 2013Ibm pure flex at cloudian seminar 2013
Ibm pure flex at cloudian seminar 2013CLOUDIAN KK
 
20170417 ブロックチェーン講演 「ブロックチェーンのエンタープライズでの活用」
20170417 ブロックチェーン講演 「ブロックチェーンのエンタープライズでの活用」20170417 ブロックチェーン講演 「ブロックチェーンのエンタープライズでの活用」
20170417 ブロックチェーン講演 「ブロックチェーンのエンタープライズでの活用」Takeshi Hirosue
 
製造現場におけるAI×IoT導入と利活用~IoTによる設備のモニタリングとAIによる設備監視の高度化~
製造現場におけるAI×IoT導入と利活用~IoTによる設備のモニタリングとAIによる設備監視の高度化~製造現場におけるAI×IoT導入と利活用~IoTによる設備のモニタリングとAIによる設備監視の高度化~
製造現場におけるAI×IoT導入と利活用~IoTによる設備のモニタリングとAIによる設備監視の高度化~The Japan DataScientist Society
 

Recommended

経営者のための“ゼロトラスト基礎知識”
経営者のための“ゼロトラスト基礎知識”経営者のための“ゼロトラスト基礎知識”
経営者のための“ゼロトラスト基礎知識”masaaki murakami
 
DXの基盤となるセキュリティ
DXの基盤となるセキュリティDXの基盤となるセキュリティ
DXの基盤となるセキュリティmasaaki murakami
 
ゼロトラストの基礎知識
ゼロトラストの基礎知識ゼロトラストの基礎知識
ゼロトラストの基礎知識masaaki murakami
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...Amazon Web Services Japan
 
ヘルスケア・イノベーション公開勉強会 #1
ヘルスケア・イノベーション公開勉強会 #1ヘルスケア・イノベーション公開勉強会 #1
ヘルスケア・イノベーション公開勉強会 #1Eiji Sasahara, Ph.D., MBA 笹原英司
 
Ibm pure flex at cloudian seminar 2013
Ibm pure flex at cloudian seminar 2013Ibm pure flex at cloudian seminar 2013
Ibm pure flex at cloudian seminar 2013CLOUDIAN KK
 
20170417 ブロックチェーン講演 「ブロックチェーンのエンタープライズでの活用」
20170417 ブロックチェーン講演 「ブロックチェーンのエンタープライズでの活用」20170417 ブロックチェーン講演 「ブロックチェーンのエンタープライズでの活用」
20170417 ブロックチェーン講演 「ブロックチェーンのエンタープライズでの活用」Takeshi Hirosue
 
製造現場におけるAI×IoT導入と利活用~IoTによる設備のモニタリングとAIによる設備監視の高度化~
製造現場におけるAI×IoT導入と利活用~IoTによる設備のモニタリングとAIによる設備監視の高度化~製造現場におけるAI×IoT導入と利活用~IoTによる設備のモニタリングとAIによる設備監視の高度化~
製造現場におけるAI×IoT導入と利活用~IoTによる設備のモニタリングとAIによる設備監視の高度化~The Japan DataScientist Society
 
医療分野のブロックチェーン利活用
医療分野のブロックチェーン利活用医療分野のブロックチェーン利活用
医療分野のブロックチェーン利活用Eiji Sasahara, Ph.D., MBA 笹原英司
 
基礎から学ぶ!インダストリアルIoTの実現に必須のセンサ計測とエッジコンピューティング
基礎から学ぶ!インダストリアルIoTの実現に必須のセンサ計測とエッジコンピューティング基礎から学ぶ!インダストリアルIoTの実現に必須のセンサ計測とエッジコンピューティング
基礎から学ぶ!インダストリアルIoTの実現に必須のセンサ計測とエッジコンピューティングThe Japan DataScientist Society
 
【ITソリューション塾・特別講義】Security Fundamentals/2017.5
【ITソリューション塾・特別講義】Security Fundamentals/2017.5【ITソリューション塾・特別講義】Security Fundamentals/2017.5
【ITソリューション塾・特別講義】Security Fundamentals/2017.5Masanori Saito
 
IoTセキュリティの課題
IoTセキュリティの課題IoTセキュリティの課題
IoTセキュリティの課題Trainocate Japan, Ltd.
 
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料][G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]Trainocate Japan, Ltd.
 
It資産管理におけるeamの必要性
It資産管理におけるeamの必要性It資産管理におけるeamの必要性
It資産管理におけるeamの必要性伸夫 森本
 
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用Eiji Sasahara, Ph.D., MBA 笹原英司
 
CLOUDIAN Presentation at VERITAS VISION in Tokyo
CLOUDIAN Presentation at VERITAS VISION in TokyoCLOUDIAN Presentation at VERITAS VISION in Tokyo
CLOUDIAN Presentation at VERITAS VISION in TokyoCLOUDIAN KK
 
セキュアなテレワークの実現
セキュアなテレワークの実現セキュアなテレワークの実現
セキュアなテレワークの実現Trainocate Japan, Ltd.
 
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_securityShinichiro Kawano
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナMasaaki Nabeshima
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
Spl002 microsoft azure_の安全性と法的
Spl002 microsoft azure_の安全性と法的Spl002 microsoft azure_の安全性と法的
Spl002 microsoft azure_の安全性と法的Tech Summit 2016
 
Commvault simpana at cloudian seminar 2013
Commvault simpana at cloudian seminar 2013Commvault simpana at cloudian seminar 2013
Commvault simpana at cloudian seminar 2013CLOUDIAN KK
 
第15回しゃちほこオラクル俱楽部
第15回しゃちほこオラクル俱楽部第15回しゃちほこオラクル俱楽部
第15回しゃちほこオラクル俱楽部オラクルエンジニア通信
 
「リスク検知とWebセキュリティ技術について」/iret tech labo #13
「リスク検知とWebセキュリティ技術について」/iret tech labo #13「リスク検知とWebセキュリティ技術について」/iret tech labo #13
「リスク検知とWebセキュリティ技術について」/iret tech labo #13ssuser0b75ac1
 
GMOクラウド:2017年通期決算説明会資料
GMOクラウド:2017年通期決算説明会資料GMOクラウド:2017年通期決算説明会資料
GMOクラウド:2017年通期決算説明会資料GMO GlobalSign Holdings K.K.
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントRiotaro OKADA
 
ID-based Security イニシアティブ の活動内容
ID-based Security イニシアティブ の活動内容ID-based Security イニシアティブ の活動内容
ID-based Security イニシアティブ の活動内容ID-Based Security イニシアティブ
 
医療におけるサードパーティベンダーリスク管理
医療におけるサードパーティベンダーリスク管理医療におけるサードパーティベンダーリスク管理
医療におけるサードパーティベンダーリスク管理Eiji Sasahara, Ph.D., MBA 笹原英司
 
男It番長 セキュリティチェックリスト
男It番長 セキュリティチェックリスト男It番長 セキュリティチェックリスト
男It番長 セキュリティチェックリスト小島 規彰
 
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_securityShinichiro Kawano
 

More Related Content

What's hot

基礎から学ぶ!インダストリアルIoTの実現に必須のセンサ計測とエッジコンピューティング
基礎から学ぶ!インダストリアルIoTの実現に必須のセンサ計測とエッジコンピューティング基礎から学ぶ!インダストリアルIoTの実現に必須のセンサ計測とエッジコンピューティング
基礎から学ぶ!インダストリアルIoTの実現に必須のセンサ計測とエッジコンピューティングThe Japan DataScientist Society
 
【ITソリューション塾・特別講義】Security Fundamentals/2017.5
【ITソリューション塾・特別講義】Security Fundamentals/2017.5【ITソリューション塾・特別講義】Security Fundamentals/2017.5
【ITソリューション塾・特別講義】Security Fundamentals/2017.5Masanori Saito
 
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料][G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]Trainocate Japan, Ltd.
 
It資産管理におけるeamの必要性
It資産管理におけるeamの必要性It資産管理におけるeamの必要性
It資産管理におけるeamの必要性伸夫 森本
 
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用Eiji Sasahara, Ph.D., MBA 笹原英司
 
CLOUDIAN Presentation at VERITAS VISION in Tokyo
CLOUDIAN Presentation at VERITAS VISION in TokyoCLOUDIAN Presentation at VERITAS VISION in Tokyo
CLOUDIAN Presentation at VERITAS VISION in TokyoCLOUDIAN KK
 
セキュアなテレワークの実現
セキュアなテレワークの実現セキュアなテレワークの実現
セキュアなテレワークの実現Trainocate Japan, Ltd.
 

What's hot (9)

医療分野のブロックチェーン利活用
医療分野のブロックチェーン利活用医療分野のブロックチェーン利活用
医療分野のブロックチェーン利活用
 
基礎から学ぶ!インダストリアルIoTの実現に必須のセンサ計測とエッジコンピューティング
基礎から学ぶ!インダストリアルIoTの実現に必須のセンサ計測とエッジコンピューティング基礎から学ぶ!インダストリアルIoTの実現に必須のセンサ計測とエッジコンピューティング
基礎から学ぶ!インダストリアルIoTの実現に必須のセンサ計測とエッジコンピューティング
 
【ITソリューション塾・特別講義】Security Fundamentals/2017.5
【ITソリューション塾・特別講義】Security Fundamentals/2017.5【ITソリューション塾・特別講義】Security Fundamentals/2017.5
【ITソリューション塾・特別講義】Security Fundamentals/2017.5
 
IoTセキュリティの課題
IoTセキュリティの課題IoTセキュリティの課題
IoTセキュリティの課題
 
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料][G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
 
It資産管理におけるeamの必要性
It資産管理におけるeamの必要性It資産管理におけるeamの必要性
It資産管理におけるeamの必要性
 
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
 
CLOUDIAN Presentation at VERITAS VISION in Tokyo
CLOUDIAN Presentation at VERITAS VISION in TokyoCLOUDIAN Presentation at VERITAS VISION in Tokyo
CLOUDIAN Presentation at VERITAS VISION in Tokyo
 
セキュアなテレワークの実現
セキュアなテレワークの実現セキュアなテレワークの実現
セキュアなテレワークの実現
 

Similar to 企業向けのセキュリティの設計例

2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_securityShinichiro Kawano
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナMasaaki Nabeshima
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
Spl002 microsoft azure_の安全性と法的
Spl002 microsoft azure_の安全性と法的Spl002 microsoft azure_の安全性と法的
Spl002 microsoft azure_の安全性と法的Tech Summit 2016
 
Commvault simpana at cloudian seminar 2013
Commvault simpana at cloudian seminar 2013Commvault simpana at cloudian seminar 2013
Commvault simpana at cloudian seminar 2013CLOUDIAN KK
 
「リスク検知とWebセキュリティ技術について」/iret tech labo #13
「リスク検知とWebセキュリティ技術について」/iret tech labo #13「リスク検知とWebセキュリティ技術について」/iret tech labo #13
「リスク検知とWebセキュリティ技術について」/iret tech labo #13ssuser0b75ac1
 
GMOクラウド:2017年通期決算説明会資料
GMOクラウド:2017年通期決算説明会資料GMOクラウド:2017年通期決算説明会資料
GMOクラウド:2017年通期決算説明会資料GMO GlobalSign Holdings K.K.
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントRiotaro OKADA
 
男It番長 セキュリティチェックリスト
男It番長 セキュリティチェックリスト男It番長 セキュリティチェックリスト
男It番長 セキュリティチェックリスト小島 規彰
 
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_securityShinichiro Kawano
 
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策Developers Summit
 
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_versionShinichiro Kawano
 
20120507 ncwg-goto1-ho 20140528 1115
20120507 ncwg-goto1-ho 20140528 111520120507 ncwg-goto1-ho 20140528 1115
20120507 ncwg-goto1-ho 20140528 1115Kazuhisa Sakamoto
 
あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!
あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!
あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!Kwiil Kang
 

Similar to 企業向けのセキュリティの設計例 (20)

2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
Spl002 microsoft azure_の安全性と法的
Spl002 microsoft azure_の安全性と法的Spl002 microsoft azure_の安全性と法的
Spl002 microsoft azure_の安全性と法的
 
Commvault simpana at cloudian seminar 2013
Commvault simpana at cloudian seminar 2013Commvault simpana at cloudian seminar 2013
Commvault simpana at cloudian seminar 2013
 
第15回しゃちほこオラクル俱楽部
第15回しゃちほこオラクル俱楽部第15回しゃちほこオラクル俱楽部
第15回しゃちほこオラクル俱楽部
 
「リスク検知とWebセキュリティ技術について」/iret tech labo #13
「リスク検知とWebセキュリティ技術について」/iret tech labo #13「リスク検知とWebセキュリティ技術について」/iret tech labo #13
「リスク検知とWebセキュリティ技術について」/iret tech labo #13
 
GMOクラウド:2017年通期決算説明会資料
GMOクラウド:2017年通期決算説明会資料GMOクラウド:2017年通期決算説明会資料
GMOクラウド:2017年通期決算説明会資料
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
 
ID-based Security イニシアティブ の活動内容
ID-based Security イニシアティブ の活動内容ID-based Security イニシアティブ の活動内容
ID-based Security イニシアティブ の活動内容
 
医療におけるサードパーティベンダーリスク管理
医療におけるサードパーティベンダーリスク管理医療におけるサードパーティベンダーリスク管理
医療におけるサードパーティベンダーリスク管理
 
男It番長 セキュリティチェックリスト
男It番長 セキュリティチェックリスト男It番長 セキュリティチェックリスト
男It番長 セキュリティチェックリスト
 
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
 
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
 
医療分野のドローンの利用事例
医療分野のドローンの利用事例医療分野のドローンの利用事例
医療分野のドローンの利用事例
 
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
 
20120507 ncwg-goto1-ho 20140528 1115
20120507 ncwg-goto1-ho 20140528 111520120507 ncwg-goto1-ho 20140528 1115
20120507 ncwg-goto1-ho 20140528 1115
 
Top 9 security and risk trends for 2020
Top 9 security and risk trends for 2020Top 9 security and risk trends for 2020
Top 9 security and risk trends for 2020
 
Standardization of Healthcare Cloud Security and Crowdsourcing
Standardization of Healthcare Cloud Security and Crowdsourcing Standardization of Healthcare Cloud Security and Crowdsourcing
Standardization of Healthcare Cloud Security and Crowdsourcing
 
あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!
あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!
あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!
 

More from masaaki murakami

DXを企画・実行する為の基礎知識
DXを企画・実行する為の基礎知識DXを企画・実行する為の基礎知識
DXを企画・実行する為の基礎知識masaaki murakami
 
DXのケース・スタディ / MaaS 
DXのケース・スタディ / MaaS DXのケース・スタディ / MaaS 
DXのケース・スタディ / MaaS masaaki murakami
 
ビジネスモデルに求められるもの
ビジネスモデルに求められるものビジネスモデルに求められるもの
ビジネスモデルに求められるものmasaaki murakami
 
MaaSを活用した関連ビジネス
MaaSを活用した関連ビジネスMaaSを活用した関連ビジネス
MaaSを活用した関連ビジネスmasaaki murakami
 
日本の“MaaS”の状況を知る
日本の“MaaS”の状況を知る日本の“MaaS”の状況を知る
日本の“MaaS”の状況を知るmasaaki murakami
 
“CASE”から、日本のモビリティ技術の状況を知る
“CASE”から、日本のモビリティ技術の状況を知る“CASE”から、日本のモビリティ技術の状況を知る
“CASE”から、日本のモビリティ技術の状況を知るmasaaki murakami
 
DXの展開モデルのスタディ/モビリティ編
DXの展開モデルのスタディ/モビリティ編DXの展開モデルのスタディ/モビリティ編
DXの展開モデルのスタディ/モビリティ編masaaki murakami
 
DXの展開モデルのスタディ/モビリティ編
DXの展開モデルのスタディ/モビリティ編DXの展開モデルのスタディ/モビリティ編
DXの展開モデルのスタディ/モビリティ編masaaki murakami
 
3. “5G”の 「ビジネス・モデル」
3. “5G”の 「ビジネス・モデル」3. “5G”の 「ビジネス・モデル」
3. “5G”の 「ビジネス・モデル」masaaki murakami
 
§2 DXを進めるための“5G”の基礎知識
§2 DXを進めるための“5G”の基礎知識§2 DXを進めるための“5G”の基礎知識
§2 DXを進めるための“5G”の基礎知識masaaki murakami
 
§1 デジタル市場を分析する
§1 デジタル市場を分析する§1 デジタル市場を分析する
§1 デジタル市場を分析するmasaaki murakami
 
1.ガートナー ハイプ・サイクルの読み方
1.ガートナー ハイプ・サイクルの読み方1.ガートナー ハイプ・サイクルの読み方
1.ガートナー ハイプ・サイクルの読み方masaaki murakami
 
3. “5G”の 「ビジネス・モデル」
3. “5G”の 「ビジネス・モデル」3. “5G”の 「ビジネス・モデル」
3. “5G”の 「ビジネス・モデル」masaaki murakami
 
2. “5G”に「いつ着手するか?」
2. “5G”に「いつ着手するか?」2. “5G”に「いつ着手するか?」
2. “5G”に「いつ着手するか?」masaaki murakami
 
1. “5G”で「何ができるか?」
1. “5G”で「何ができるか?」1. “5G”で「何ができるか?」
1. “5G”で「何ができるか?」masaaki murakami
 
§2 DXを進めるための“5G”の基礎知識
§2 DXを進めるための“5G”の基礎知識§2 DXを進めるための“5G”の基礎知識
§2 DXを進めるための“5G”の基礎知識masaaki murakami
 
§1 デジタル市場を分析する  ガートナー ハイプサイクル から読み取る
§1 デジタル市場を分析する  ガートナー ハイプサイクル から読み取る§1 デジタル市場を分析する  ガートナー ハイプサイクル から読み取る
§1 デジタル市場を分析する  ガートナー ハイプサイクル から読み取るmasaaki murakami
 
“5G”で「何ができるか?」 “インターネット”で出来なかったことが“5G”で出来る!
“5G”で「何ができるか?」 “インターネット”で出来なかったことが“5G”で出来る!“5G”で「何ができるか?」 “インターネット”で出来なかったことが“5G”で出来る!
“5G”で「何ができるか?」 “インターネット”で出来なかったことが“5G”で出来る!masaaki murakami
 
DXを進めるための5Gの基礎知識
DXを進めるための5Gの基礎知識DXを進めるための5Gの基礎知識
DXを進めるための5Gの基礎知識masaaki murakami
 

More from masaaki murakami (20)

DXを企画・実行する為の基礎知識
DXを企画・実行する為の基礎知識DXを企画・実行する為の基礎知識
DXを企画・実行する為の基礎知識
 
DXのケース・スタディ / MaaS 
DXのケース・スタディ / MaaS DXのケース・スタディ / MaaS 
DXのケース・スタディ / MaaS 
 
ビジネスモデルに求められるもの
ビジネスモデルに求められるものビジネスモデルに求められるもの
ビジネスモデルに求められるもの
 
MaaSを活用した関連ビジネス
MaaSを活用した関連ビジネスMaaSを活用した関連ビジネス
MaaSを活用した関連ビジネス
 
日本の“MaaS”の状況を知る
日本の“MaaS”の状況を知る日本の“MaaS”の状況を知る
日本の“MaaS”の状況を知る
 
“CASE”から、日本のモビリティ技術の状況を知る
“CASE”から、日本のモビリティ技術の状況を知る“CASE”から、日本のモビリティ技術の状況を知る
“CASE”から、日本のモビリティ技術の状況を知る
 
DXの展開モデルのスタディ/モビリティ編
DXの展開モデルのスタディ/モビリティ編DXの展開モデルのスタディ/モビリティ編
DXの展開モデルのスタディ/モビリティ編
 
DXの展開モデルのスタディ/モビリティ編
DXの展開モデルのスタディ/モビリティ編DXの展開モデルのスタディ/モビリティ編
DXの展開モデルのスタディ/モビリティ編
 
3. “5G”の 「ビジネス・モデル」
3. “5G”の 「ビジネス・モデル」3. “5G”の 「ビジネス・モデル」
3. “5G”の 「ビジネス・モデル」
 
§2 DXを進めるための“5G”の基礎知識
§2 DXを進めるための“5G”の基礎知識§2 DXを進めるための“5G”の基礎知識
§2 DXを進めるための“5G”の基礎知識
 
§1 デジタル市場を分析する
§1 デジタル市場を分析する§1 デジタル市場を分析する
§1 デジタル市場を分析する
 
2. 分析例 RPA vs 5G
2. 分析例 RPA vs 5G2. 分析例 RPA vs 5G
2. 分析例 RPA vs 5G
 
1.ガートナー ハイプ・サイクルの読み方
1.ガートナー ハイプ・サイクルの読み方1.ガートナー ハイプ・サイクルの読み方
1.ガートナー ハイプ・サイクルの読み方
 
3. “5G”の 「ビジネス・モデル」
3. “5G”の 「ビジネス・モデル」3. “5G”の 「ビジネス・モデル」
3. “5G”の 「ビジネス・モデル」
 
2. “5G”に「いつ着手するか?」
2. “5G”に「いつ着手するか?」2. “5G”に「いつ着手するか?」
2. “5G”に「いつ着手するか?」
 
1. “5G”で「何ができるか?」
1. “5G”で「何ができるか?」1. “5G”で「何ができるか?」
1. “5G”で「何ができるか?」
 
§2 DXを進めるための“5G”の基礎知識
§2 DXを進めるための“5G”の基礎知識§2 DXを進めるための“5G”の基礎知識
§2 DXを進めるための“5G”の基礎知識
 
§1 デジタル市場を分析する  ガートナー ハイプサイクル から読み取る
§1 デジタル市場を分析する  ガートナー ハイプサイクル から読み取る§1 デジタル市場を分析する  ガートナー ハイプサイクル から読み取る
§1 デジタル市場を分析する  ガートナー ハイプサイクル から読み取る
 
“5G”で「何ができるか?」 “インターネット”で出来なかったことが“5G”で出来る!
“5G”で「何ができるか?」 “インターネット”で出来なかったことが“5G”で出来る!“5G”で「何ができるか?」 “インターネット”で出来なかったことが“5G”で出来る!
“5G”で「何ができるか?」 “インターネット”で出来なかったことが“5G”で出来る!
 
DXを進めるための5Gの基礎知識
DXを進めるための5Gの基礎知識DXを進めるための5Gの基礎知識
DXを進めるための5Gの基礎知識
 

Recently uploaded

TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)Hiroki Ichikura
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案sugiuralab
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 

Recently uploaded (12)

TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 

企業向けのセキュリティの設計例

  • 1. 企業向けのセキュリティの設計例 2020/12 船井総研ホールディングス 村上 雅章 masaaki-murakami@funaisoken.co.jp 1. “セキュリティ”が経営に及ぼす影響 .................. 1 2. 設計 1)手法の選択 .................. 2 2)機能別設計 .................. 4 3. 期待される効果 .................. 10 Appendix A. ビジネス動向から見たセキュリティの必要条件 B. zoomの事例 D. 現状採用している“境界防御”方式と“ゼロトラスト”方式の比較 C. 情報セキュリティの動向
  • 2. 1. “セキュリティ”が経営に及ぼす影響 a) 全てのビジネス活動にセキュリティが関わる デジタル化したビジネス クラウド セキュリティ 連携 連携 連携 セキュリティ セキュリティセキュリティ セキュリティセキュリティ セキュリティセキュリティ 顧客情報社内情報・社員情報 社内業務 顧客向けサイト社内情報 デジタル化したビジネス世界では、 a) 全てのビジネス活動にセキュリティが関わる b) セキュリティが経営に及ぼす影響≒時価総額 1 2 クラウドは「社内業務」 及び 「デジタル化したビジネス」 の全てに関わり、攻撃者はクラウドを 悪用して情報を漏洩、クラウド上の社員情報・社内情報・顧客情報を搾取、情報を人質にして 金品を要求する。 顧客の情報 を守る 社員情報 社内情報 を守る 1 b) セキュリティが経営に及ぼす影響=時価総額 デジタル・ビジネスの“時価総額”は、セキュリティのトラブルに敏感に反応する。 影響が大きいのは 「風評」 と 「セキュリティ専門家の評価」 であり、 と考えられ る。 「風評」が時価総額を下げ それを元の時価総額のトレンドに戻すのは「サイバー・セキュリティ専門家の評価」 2月 3月 4月 5月 6月 1兆5千億 1/2 3兆5千億 3/23 3兆7千億 4/23 4/8 2兆6千億 4兆9千億 6/3 時価総額が25%Down zoom爆弾をきっかけにマスコミ、SNSで セキュリティで非難を浴びる (殆どが憶測や事実誤認) トラブル前のトレンドに戻る <Zoomのアクション> セキュリティの専門家が 指摘した暗号化技術の問題を解決 短期的に時価総額が戻るが再度Down <Zoomのアクション> 憶測や事実誤認を招いた機能を修正 【zoomの事例】 3時価総額を守る
  • 3. (1)手法の選択 2. 設計 経営のセキュリティへのニーズ デジタル化したビジネス世界では、 a) 全てのビジネス活動にセキュリティが関わる b) セキュリティが経営に及ぼす影響=時価総額 “セキュリティ”が経営に及ぼす影響 ❶ セキュリティトラブルの直接被害を最小にする (予防・シューティング) ❷ セキュリティトラブルが発生した際の時価総額の下落・不安定を、最短で 発生前のトレンドに戻す 社員情報・社内情報を守る 1 2 顧客の情報を守る 「ゼロトラスト」 サービスサイトの「多層的な防御」 「内部情報漏洩リスク(クラウドを悪用)」 「外部からの攻撃リスク」 を可能な限り0にする 顧客に提供するサイトへの外部からの攻撃リスク 「なりすましの攻撃」 「サイトの脆弱性を突いた攻撃」 を可能な限り0にする 3 サイバーセキュリティの専門家が納得する セキュリティ設計と運営 「セキュリティ・サービス」 「インテグレータ」の活用 時価総額を守る サイバーセキュリティの専門家が納得する施策を実施している セキュリティトラブル発生時に、状況&対策を直ぐに説明・実行できる体制がある 2 ❶ 直接被害の 最小化 ❷ 時価総額の安定化
  • 4. ① 社員情報・社内情報を守る 従来の「境界防御」方式は“効果が低く”かつ“投資効率が非常に低い”ため、 “効果が高く”かつ“投資効率が高い”「ゼロトラスト」方式に変更 “境界防御”方式 “ゼロトラスト”方式 約XXXX万円/年 脅威に対する効果 18% リモートワーク率が70%の場合 コスト 90% 約XXXX万円/年 投資効率 脅威カバー率10%当り のコスト 年間コスト XX% Down カバー率 500% Up XXXX万円/年 約XXX万円/年 =投資効率X倍にUP 脅威カバー率10%当り のコストが1/X 脅威カバー率 1 手法の選択の理由 3 ③ 時価総額を守る ② 顧客の情報を守る インテグレータ セキュリティ・サービス >>> 世界のセキュリティTOP企業のサービスを利用 >>> 日本のTOPレベルのセキュリティ・インテグレータ セキュリティの専門家を納得させることができる「セキュリティ・サービス」と「インテグレータ」 を活用 “顧客の機微な個人情報、社員情報を扱うクラウド・サービス”は、一般のクラウド・サービス に比べて高いレベルのセキュリティが必要 ⇒ 「多層的な防御」 3 2 WAF IPS FW 【多層的な防御】 IdaaSなりすまし 弱点 を突く攻撃 船井が クラスタ になった 感染 船井を 踏台にした なりすまし 船井のサイトにある 顧客の個人情報が 被害 船井の顧客やパートナ のサイトの 個人情報・社内情報 が被害
  • 5. ① ゼロトラスト / “内部の情報漏洩”対策 >>> 「IdaaS + CASB」 (2)機能別設計 業績に貢献する多くの従業員 内部情報漏洩 のリスクが高い (元)従業員 ≒ 退職者 変化した時の行動 にアラート 集中的に 監視・規制・警告 規制 不正のエビデンスを残す 内部情報漏洩のリスクが高い(元)従業員に対して集中的に監視・規制・警告 ① 社員情報・社内情報を守る1 従来の一般的なセキュリティ施策 (従業員全員に対して規制) 業績に貢献する多くの従業員 内部情報漏洩 のリスクが高い(元)従業員 厳しい規制 ステージ1; ステージ2; ステージ3; 従業員に本施策が実施されている旨を告知(ブラックサイトのみ規制) サイトの信用レベルの低いサイトを規制 ホワイトリストのサイトのみの利用 業績に貢献する多くの従業員へはステージ1を通常の運用として、状況によって ステージの上げ下げを行う 備考; 従業員へはセキュリティの施策を公開 【参考】 4
  • 6. ❶ 利用するクラウドからの個人情報、ID/PWの漏洩リスクを最小限にする ❷ 従業員の不正を着実に把握・分析・対策する ❸ 従業員へ利用させたくないサイトへのアクセスを制限 技術要件 設計 ❷-3 (元)従業員の不正利用への法的措置の エビデンス ❷-1 従業員の不審な利用の分析・アラート ❸ 従業員へ利用させたくないサイトへのアクセスを制限 ❷-2 従業員が不審な利用をした場合、自動的に 対策を実施 CASB IdaaS Webサイト クラウド ・・・社内システム 世の中の クラウド ログ保存 UEBA 標準 Adaptive 標準 ❶利用するクラウドからの個人情報、ID/PWの漏洩 リスクを最小限にする 5 “経営ニーズにあったレベル”の「セキュリティ・マネージメントの実施」を可能にする 社内システム化 しているクラウド 自社クラウド Webサイト 従業員 従業員のサイト・アクセスの行動を分析 従業員のサイトへのアクセスをブロック c d 従業員のクラウドへの“ログイン”を制御 従業員がクラウドで“利用できる機能”を制御 a b CASB IdaaS 自社専用の 従業員の信用情報DB UEBA 従業員の行動分析をし て 信用レベルをスコア化 CCI SaaSの信用情報 DB セキュリティ評価済みクラウド 約3~4万件 新規評価のクラウド数 数千件/年 クラウド版の帝国データバンク 危険サイトリスト 社内システム 認定外クラウド 個人クラウド Webサイト 経営ニーズ 対象を絞った マネージメント 全体を規制 規制 ビジネスの 自由度 セキュリティ・マネージメントの手段 c da b
  • 7. ② ゼロトラスト / “外部からの攻撃(身代金、搾取等)”対策 【 PC・スマホ 】 >>> 「MDR = EPP + EDR + SOC」 ❹ 守るべき全てのPC・スマホを攻撃から守る技術要件 設計 ❹-1 水際対策 <注意>攻撃の半分以上を占める非マルウェア 攻撃に効果がない ❹-2 水際対策をすり抜けた病原体の発病対策 発病後の症状で検知するため、殆どの攻撃に 効果がある PC、スマホ MDR EPP EDR/SOC 次々に現れる新型の病原体から社内情報・社員情報を守る 感染・駆除 発病=攻撃 隔離 駆除 <水際> 発病=攻撃 隔離 駆除検知できない クラウド Webサイトメール USB 従来型攻撃(旧来型ウィルス等の攻撃) 新型攻撃(新型のファイルレス攻撃) 2018 2019 60% 40% 49% 51% 現在採用している アンチウィルス防御 MDR <駆除する範囲> 従来型攻撃 新型攻撃 MDR 現在採用しているアンチウィルス防御 MDR EPP EDR/SOC 6
  • 8. サービスサイトの多層防御 / “外部からの攻撃(身代金、搾取等)”対策 【サービスサイト】 >>> 「IdaaS + FW + IPS + WAF」 ❺ 外部からの全ての攻撃を防ぐ技術要件 設計 ❺-1 顧客以外の不正なアクセス対策 ❺-2 サイトへの直接攻撃を防ぐ サービスサイト IdaaS WAF IPS FW ② 顧客の情報を守る2 サイト毎に開発された アプリケーション OS、ミドルウェア ネットワーク WAF IPS FW 【セキュリティツール】 脆 弱 性 IdaaS サイト毎に開発された アプリケーション OS、ミドルウェア ネットワーク なりすまし 弱点 を突く攻撃 船井が クラスタ になった 感染 船井を 踏台にした なりすまし 【船井のサイト】 【顧客やパートナのサイト】 船井が直接被害者 船井の顧客やパートナ が被害者 各ツールの守備範囲が異なる 7 次々に現れる新型の病原体、新たな攻撃から顧客・パートナの情報を守る なりすまし + サイトの脆弱性を突く攻撃 自社が踏台、クラスタになった攻撃
  • 9. 3. 期待される効果 ① 社員情報・社内情報を守る1 ② 顧客の情報を守る2 「内部情報漏洩リスク(クラウドを悪用)」 及び 「外部からの攻撃リスク」 を可能な限り0にする 顧客に提供するサイトへの外部からの攻撃リスク 「なりすましの攻撃」 「サイトの脆弱性を突いた攻撃」 を可能な限り0にする 【2021年度期央に対策を実施した場合のリスク削減効果】 ❶ 直接被害の最小化 2019 2020 2021 2022 2023 2019 2020 2021 2022 2023 対策済み(端末数換算) 未対策(端末数換算) クラウドを悪用した 内部情報漏洩のリスクは ほぼゼロに 内部情報漏洩リスク (クラウドを悪用したリスク) 予測されるリスク 外部からの端末への攻撃によるリスク はほぼゼロに 外部からの攻撃リスク 2019 2020 2021 2022 2023 対策済み(端末数換算) 未対策(端末数換算) 現在利用している従来型防御の効果は低く 今後更に低くなる 導入効果 (MDR) 2019 2020 2021 2022 2023 予測されるリスク 内部情報漏洩のリスクは 従業員数増に比例して増加 1 1 導入効果 (IdaaS+CASB) 10
  • 11. Appendix A. ビジネス動向から見たセキュリティの必要条件 … 付-1 B. zoomの事例 … 付-2 C.情報セキュリティの動向 … 付-3 D. 現状採用している“境界防御”方式と“ゼロトラスト”方式の比較 … 付-7
  • 12. A. ビジネス動向から見たセキュリティの必要条件 製造 ビフォーコロナ のトレンド コロナ禍で 起きた事 ポストコロナ 物流労働経済動向 流通 ICT サブスクリプション ネット通販拡大 ネット通販好調 部品がなく 生産できない 国・地域の ブロック化政策 個々のサプライチェーン に最適化されすぎた物流 生産人口の 減少 商品があっても 流通しない 解雇と 人手不足通貨が 流通しない リモートワーク 働き方改革 外国人労働者 外国人労働者 入国できない クラウド化 クラウド/SaaSの急拡大 ブロック化 通貨が大量に投入 された よどんだお金 デジタルへの期待 世界の新しい 経済バランス 産業構造の複雑性 が生む成長 次世代のサプライチェーン 新しい 就労形態 eコマース 生産の 国内回帰 柔軟性の ある物流 連携したクラウド/SaaS リモートワーク 付-1 ポンプのエンジンとなる“テクノロジー” クラウドAI <社会的期待> DX = 「”新しい経済秩序の下で、よどんだお金を流す“ ポンプ」 【クラウドの必要条件】 クラウドを使いこなす 「ノウハウ」 サプライチェーンを実現する為の 「クラウド連携」 クラウドを安心して使える 「セキュリティ」 ❶ 社員情報を安全に共有 ❷ “社内情報の漏洩”を防ぐ ❸ “PC・クラウドへの外部からの攻撃による 脅迫、搾取を防ぐ” ❹ 外部からの攻撃で顧客や、連携する パートナーに被害を与えない 顧客向けサイト 社内情報 【セキュリティの必要要件】
  • 13. 1月2日に約1兆5千億円だった時価総額が、コロナの追い風で3月23日に約3兆5千億円に zoom爆弾をきっかけにセキュリティに問題がある風評が広がり4月8日に約2兆6千億円に 様々なセキュリティの問題の指摘があったが、実際に起きたトラブルはzoom爆弾のみ (zoom爆弾もzoomの脆弱性ではなく、コロナ禍で想定以上に広がった利用者層が標準機能を悪用したもの) 殆どの問題は事実の誤った解釈・理解がマスコミ、SNSで広がったもの 火消策の第一弾が功を奏して一か月後の4月23日には一ヵ月前の時価総額の水準 約2兆7千億 円に復活 ■ ”zoom爆弾”、“風評で広がった誤認された問題”へのサービスの変更・修正がメインの対策 火消策の第二弾の効果で約二か月後の6月2日には3月23日の1兆4千億円増の約4兆9千億円に ■ セキュリティの専門家が指摘した暗号化に関する技術的な対策 ■ セキュリティ企業の買収を起点に、世界に配布済みの全てのアプリケーションをリプレイス B. zoomの事例 3月 4月 5月 6月 セキュリティ専門家マスコミ、SNS 米国政府 風評 zoom爆弾 実際に 起きた トラブル 実際にトラブルは起きていないが 指摘された問題&実施されたアクション ❶ ❷ ❸ ❹ ❺ ❻ ❼ zoomは中国政府に盗聴されている zoomでのミーティングは悪い人に乗っ取られる zoomは中国製である zoomは中国企業である zoomがHP上でうたっているセキュリティは嘘である zoomから個人情報が漏洩した Zoomのエンドツーエンド暗号化は セキュリティ専門家の定義ではエン ドツーエンド暗号化でない ❽ 政府関係者の公務の一部 でzoomの利用を禁止 ● 事実誤認があったもの ● 事実 zoomのセ キュリティ は弱い 90日セキュリティプラン ❶~❻の対策を順次実施 ❼の対策の為に企業買収 ❼の対策の為に全ての 顧客アプリを変更 対策のアクション 時価総額 (日本円換算) 12/8 9兆円 1/2 1兆5,000億円 3/23 3兆5,000億円 4/8 2兆5,700億円 6/3 4兆9,000億円 4/23 3兆7,000億円 付-2
  • 14. 新型攻撃の拡大 ⇒ 「攻撃者」 「攻撃のタイプ」 「被害のタイプ」 に変化 新型の攻撃のトレンド 「❶ クラウド」 「❷ ID、パスワード」 を悪用した攻撃で 外部からの自社への攻撃で「自社の顧客やパートナーが被害」 「内部からの情報漏洩」 【特徴】 このトレンドに対して船井の対策は不十分な状況にあり、「社内情報のセキュリティ」「顧客向けサ イトのセキュリティ」の両方で再設計をする必要がある。 従来型の攻撃のトレンド 従来のウィルス駆除ツールが効かない病原体を使って (50%を超える病原体がすり抜ける) 「外部から自社への身代金要求、窃盗等」 C. 情報セキュリティの動向 ❸ メール、Webサイト クラウドの連携 外部 の攻撃者 ❷ ID、パスワード ❹ ソフトの脆弱性 内部 にいる攻撃者 ❶ クラウド 会社認定クラウド 認定外クラウド 個人クラウド 外部からの自社への攻撃で 「顧客やパートナーが被害」 「外部から自社への身代金の 要求、窃盗等」 【攻撃者】 詳しくは付-1参照 【被害のタイプ】 詳しくは付-2参照 【攻撃のタイプ】 詳しくは付-3参照 インサイダ 信頼されたインサイダ スクリプト・キディ 標的型攻撃者 「内部からの情報漏洩」 【セキュリティの動向】 【新型攻撃】 【従来型攻撃】 付-3
  • 15. 内部 にいる攻撃者 ⇒ 情報漏洩 ログインIDをもつシステムの一般ユーザ (元社員を含む) 強い権限を持っているシステム管理者 (元社員を含む) 攻撃者1;インサイダ 攻撃者2;信頼されたインサイダ 内部情報の漏洩 内部情報の漏洩 a. 船井の情報を狙っている攻撃者を知る ① 攻撃者は誰か 内部 にいる攻撃者 外部 の攻撃者 補足説明 攻撃者3;スクリプト・キディ 攻撃者4;標的型攻撃者 攻撃者5;国家レベルのアクタ 外部 の攻撃者 ⇒ 脅迫(金品要求)、踏台(他の攻撃に利用)、窃取 他人の製作したプログラムまた はスクリプトを悪用し、興味本位 で第三者に被害を与えるクラッ カー 高いコンピューター知識と技術 を持ち合わせ組織の内部ネット ワークに侵入し、諜報活動・破 壊活動を行うハッカー イラン、中国、イスラエル、米 国、ロシア、北朝鮮が、支援 もしくは抱えているハッカー グループ ハッキングツールが裏社会で流通 標的を定めず、よく知らてれて いる脆弱性を攻撃 特定の組織に情報の窃取や削 除のために行う攻撃 ・軍事的な攻撃 ・技術を強奪し、複製し、乗っ取る 注意! ■ 攻撃者2や攻撃者3が使う高度な攻撃手法も攻撃者1が使える様になる ■ 船井の普通の社員でも、簡単に入手し最新のウィルスを作ることができる 付-4
  • 16. ② 攻撃のタイプ 攻撃に利用するのは、ID・パスワード 攻撃に利用するのは、アプリの連携 攻撃に利用するのは、メール、Webサイト 攻撃するのは、ソフトの脆弱性 内部 にいる攻撃者 外部 の攻撃者 攻撃に利用するのは、普段業務で使っている 「会社認定のクラウド」 攻撃に利用するのは、現場で業務に使っている 「認定外のクラウド」 攻撃に利用するのは、「個人のクラウド」 補足説明 付-5 ❸ メール、Webサイト クラウドの連携 外部 の攻撃者 ❷ ID、パスワード ❹ ソフトの脆弱性 内部 にいる攻撃者 ❶ クラウド 会社認定クラウド 認定外クラウド 個人クラウド 外部からの自社への攻撃で 「顧客やパートナーが被害」 「外部から自社への身代金の 要求、窃盗等」 【攻撃者】 詳しくは付-1参照 【被害のタイプ】 詳しくは付-2参照 【攻撃のタイプ】 詳しくは付-3参照 インサイダ 信頼されたインサイダ スクリプト・キディ 標的型攻撃者 「内部からの情報漏洩」 【セキュリティの動向】 【新型攻撃】 【従来型攻撃】
  • 17. ③ 被害のタイプ 20202018 1位 標的型攻撃者による機密情報の搾取 2位 内部不正による情報漏洩 3位 ビジネスメール詐欺による金銭被害 4位 サプライチェーンの弱点を悪用した攻撃 5位 ランサムウェアによる被害 6位 予期せぬIT基盤の障害にともなう業務停止 7位 不注意による情報漏洩 8位 インターネット上のサービスからの個人情報の搾取 9位 IoT機器の不正利用 10位 サービス妨害攻撃によるサービス停止 1位 標的型攻撃者による機密情報の搾取 2位 ランサムウェアによる被害 3位 ビジネスメール詐欺による金銭被害 4位 脆弱性対策情報の公開に伴う悪用増加 5位 脅威に対応するためのセキュリティ人材の不足 6位 ウェブサービスからの個人情報の窃取 7位 IoT機器の脆弱性の顕在化 8位 内部不正による情報漏えい 9位 サービス妨害攻撃によるサービスの停止 10位 犯罪のビジネス化(アンダーグラウンドサービス) 内部 にいる攻撃者 「内部からの情報漏洩」 の増加 “情報セキュリティ10大脅威/IPA”をもとに分析 a. クラウド利用・クラウド連携の増加に伴い 「内部からの情報漏洩」 外部からの自社への攻撃で「顧客やパートナーが被害」 が増加 b. 攻撃の進化により、従来型のアンチウイルスは効果が非常に低く 「外部から自社への身代金の要求、窃盗等」が引き続き上位 補足説明 1位 標的型攻撃者による機密情報の搾取 2位 内部不正による情報漏洩 3位 ビジネスメール詐欺による金銭被害 4位 サプライチェーンの弱点を悪用した攻撃 5位 ランサムウェアによる被害 6位 予期せぬIT基盤の障害にともなう業務停止 7位 不注意による情報漏洩 8位 インターネット上のサービスからの個人情報の搾取 9位 IoT機器の不正利用 10位 サービス妨害攻撃によるサービス停止 20202018 1位 標的型攻撃者による機密情報の搾取 2位 ランサムウェアによる被害 3位 ビジネスメール詐欺による金銭被害 4位 脆弱性対策情報の公開に伴う悪用増加 5位 脅威に対応するためのセキュリティ人材の不足 6位 ウェブサービスからの個人情報の窃取 7位 IoT機器の脆弱性の顕在化 8位 内部不正による情報漏えい 9位 サービス妨害攻撃によるサービスの停止 10位 犯罪のビジネス化(アンダーグラウンドサービス) 自社がクラスターになって顧客や パートナが感染 システム連携の弱点を利用され 顧客やパートナが被害 自社が提供するクラウドサービス から顧客の個人情報(クレジット 情報)等が搾取 外部からの自社への攻撃で「顧客やパートナーが被害」が増加 外部 の攻撃者 「外部から自社への身代金の要求、窃盗等」 が引き続き上位 付-6
  • 18. “境界防御”方式 “ゼロトラスト”方式 【境界防御】 “壁”を作って中にいる 「人」と「システム」と「PC」を守る 中にいると安全 情報流出の当事者や手段となる 「人」と「システム」と「PC・スマホ」をマネージメント 「人」 「システム」 「PC・スマホ」 流失・喪失 流失・喪失 流失・喪失 これを直接マネージ 外にいる「人」の「クラウド」利用は無防備 内部の情報漏洩には無防備 外にいる「人」の「クラウド」利用にも対応 内部の情報漏洩にも対応 脅威に対する効果 カバー率500% Up 年間コスト XX% Down 投資効率 X倍に UP ゼロトラストにすると「防御力が大幅に向上」し「コストも下がる」 D. 現状採用している“境界防御”方式と“ゼロトラスト”方式の比較 0 500 1,000 1,500 2,000 2,500 3,000 3,500 4,000 4,500 現在のセキュリティ PLAN 脅威カバー率10%当りのコスト 約XXXX万円/年 脅威に対する効果 18% リモートワーク率が70%の場合 コスト 90% 約XXXX万円/年 投資効率 脅威カバー率10%当り のコスト 万円/年 万円/年 年間コスト 15% Down カバー率 500% Up XXXX万円/年 約XXX万円/年 =投資効率X倍にUP 脅威カバー率10%当り のコストが1/X 脅威カバー率 付-7