SlideShare a Scribd company logo

セキュリティ入門

Download as PPTX, PDF
Y
y-hattori

企業のセキュリティについて基礎中の基礎をITエンジニア向けに記載しています (以下履歴) 2016/03/11 新規アップロード+誤字修正再アップロード 2016/03/16 誤字修正再アップロード

Technology
1 of 42
セキュリティ入門 2016/03/11 @mesosune
はじめに • このドキュメントは、 ITにかかわるすべてのエンジニアを対象として セキュリティとは何かを紹介します。 • 出来るだけセキュリティだけの専門の用語は使いません。 • 個人の立場で記載しており、 どこかの企業を宣伝する目的はありません。
セキュリティとは? 安全、保安、防衛、防護、治安、安心、保障 すべて同じことを意味する日本語ですか? Security 翻訳 • 言葉の意味の解釈が人によって異なるように、 企業ごとに“セキュリティ(Security)”という単語への解釈は異なります。
一般的なセキュリティのイメージ 情報漏えいをさせないために パソコンやサーバを外部からの攻撃から守ること Attack!! Intrusion!! Block!! 悪意の第三者 <<社内>> これがセキュリティ対策 すべて普通の業務をしている
セキュリティエンジニアの視点でみると • セキュリティ(Security)をいろいろな観点でみて、対策を講じます たとえば… 悪意の第三者 悪意の第三者 用意した壁を越えたことを どうやって知るの? どうなるの? どれだけの人が攻撃 してきているの? 悪い人がドアからはいってきたら? 多い理由は? 本当に悪意? 業務外には使ってない? 本当に防げてる? などなど これらはすべてセキュリティの分野 安全な場所? 誰が使ってる? どこから 社外?
誰かが気が付いた対策をなんとなく行うのは 「企業の情報セキュリティ」 ではありません では何をどのように行うのでしょうか
企業の情報セキュリティとは一定のルールを用いて PDCAサイクルを回すこと! Do CheckAction Plan 監査処置 策定 運用
企業の情報セキュリティで用いる 「一定のルール」とは 何でしょうか
注意! • ここから読み進める前に一読してください。 – セキュリティの用語は 英語をそのままカタカナで書くため 「ポリシー」(社内基準)と「情報セキュリティポリシー」(策定基準)、 「セキュリティ基準」(ベストプラクティス) などのように同じような言葉であるのに意味が異なるため、 とてもややこしく、 単語が異なれば意味するところが異なる ということに、より深い注意が必要です。 – 英語の直訳の都合でたまたま同じ単語を使用しているが、 意味が異なることもあります。 こちらのほうは文脈でとらえる必要があります。 迷った時は 日本語を 英訳 してみてください
企業の情報セキュリティで用いる「一定のルール」 - 情報セキュリティポリシーとは • 情報セキュリティポリシーに準じて、 サーバの設定値等細かく設定を講じます。 情報資産の情報セキュリティ対策について 企業や組織として意思統一し「明文化」したもの 情報セキュリティポリシーとは
企業の情報セキュリティポリシーとは 企業の経営方針 (目的、信条、道徳、 責責任性 など) 社内基準 (推進組織体制、方法論、 実行手順、使用技術 など) 具体的な手順 (実行手順、手法 など) 情報セキュリティポリシー
企業の情報セキュリティポリシーとは - 社内で担当する役職について 抽象的 経営者/取締役会 経営者/管理者 各部署 情 報 セ キ ュ リ テ ィ ポ リ シ ー 企業の経営方針 (目的、信条、道徳、 責責任性 など) 社内基準 (推進組織体制、方法論、 実行手順、使用技術 など) ※すべての部署や 業務で共通するルール 具体的な手順 (実行手順、手法 など) ※各部署や業務の 細かいルール 具体的
企業の情報セキュリティポリシーとは - セキュリティコンサル、セキュリティエンジニアの領域について 経営者/取締役会 経営者/管理者 各部署 セ キ ュ リ テ ィ コ ン サ ル 領 域 セ キ ュ リ テ ィ エ ン ジ ニ ア 領 域 重要視 社内基準 (推進組織体制、方法論、 実行手順、使用技術 など) ※すべての部署や 業務で共通するルール 具体的な手順 (実行手順、手法 など) ※各部署や業務の 細かいルール 企業の経営方針 (目的、信条、道徳、 責責任性 など) 抽象的 具体的
社内規程および対策基準 と セキュリティ基準 一度業務遂行方法を変更するにも莫大なコスト(資金)がかかるため、 試行錯誤 するにも 「会社としての体力(高額な資金) 」が必要 上手く進めることができている企業を真似して、 そこからあわせていったほうがコストがかからないのではないか そもそも「上手く進めることができている」 という状態がわからない 「世の中にある平均(基準)」を使用して近づけていくのが近道 社内規程や対策基準をベストな状態に近づけたい できたら最初から
社内規程および対策基準 と セキュリティ基準 - セキュリティ基準とは 企業ごとに異なる“セキュリティ(Security)”への 考えかたのうち、共通的に行うべきことを 色々な企業や研究機関がアカデミックに研究して まとめたもの(ベストプラクティス群) セキュリティ基準 とは • ISMS , EMS , QMS , PMS , CIS , PCI DSS , GSD331 , JASA など。 それぞれが成り立ちが異なり、特性があります。 • 一般の方でもダウンロードできるセキュリティ基準のドキュメントもありますが、 厳しい著作権があり、和訳/英訳しても ウェブ など不特定多数が参照する場所に 誤ってアップロードしないように気をつけてください。
社内規程および対策基準 と セキュリティ基準 「セキュリティ基準」というのさえ守っていれば良い? 「セキュリティ基準」は ・色々な業態に適用するように意図的に”汎用的なこと”しか書かれていません。 ・“このような値に絶対設定すべき”ということは基本的には書かれていません。 ・どう運用するのが良いかは基本的には書かれていません。 セキュリティコンサルにご相談ください! いいえ! 業務や業態など「現在の状態」に合わせて、 「足りないところは項目を追加する」「いらない項目は削除する」 などの対応が必ず必要になります。
企業の情報セキュリティでは、 情報セキュリティポリシーをどのように決めて、 セキュリティ業務を行っていくのでしょうか
企業の情報セキュリティPDCA Do CheckAction Plan策定 監査処置 情報セキュリティポリシーの策定 運用
Plan は 以下の順で進めます 企業の情報セキュリティのPlan • 企業の情報セキュリティPDCAにおいて Plan は Do 以降を実行するための計画を策定することです。 準備 調査 策定 推進 Do CheckAction Plan
準備 調査 策定 推進 準備 企業の情報セキュリティのPlan ・企画 ・体制準備 ・全体のスケジュール 計画の承認 計画の立案
準備 調査 策定 推進 調査 策定 企業の情報セキュリティのPlan ・基本方針 ・対応基準 情報セキュリティポリシー の策定 情報セキュリティポリシー の承認 リスクの評価 リスクの分析 リスクの特定
企業の情報セキュリティのPlan - リスクの影響度と緊急度 • 実際に発生した時のビジネスへの影響(影響度)と 緊急に対応する必要性(緊急性)を数字化し、点数化することで、 実際に起きた場合の対応する行動を定めます。 たとえば、 優先度 影響度 高 中 低 緊 急 性 高 1 2 3 中 2 3 4 低 3 4 5 目標 順位 目標 解決時間 一次連絡先 対策会議 1 1時間以内 部門長 必要 2 8時間以内 部門長 必要 3 24時間以内 部門長 4 48時間以内 チームリーダ 5 as soon as チームリーダ 影響度 高:工場が機能不全になる 中:情報部門が機能不全になる 低:上記以外 緊急性 高:脆弱性がすでに攻撃されている 中:脆弱性が公表された 低:上記以外
準備 調査 策定 推進 推進 企業の情報セキュリティのPlan ・研修計画立案 ・研修資料作成 研修計画
企業の情報セキュリティPDCA Do CheckAction Plan策定 運用 監査処置 業務遂行情報セキュリティポリシーの策定
企業の情報セキュリティの Do • 企業の情報セキュリティPDCA において Do は 策定した情報セキュリティポリシーに沿って業務を実施することです。 ※「情報セキュリティポリシーを用いた実務実施/実務運用」を略して、 「情報セキュリティポリシーの運用」と呼ぶこともあります。 Do CheckAction Plan 例 : 情報セキュリティポリシーから 細分化されたサーバー運用ルール 手順書の作成 作業実施 結果確認 手順書の修正手順書の承認 実施 担当者
あれ? 「セキュリティ業務」ってよく聞くけど ここの話はそれのことじゃないの? 説明しましょう!
情報セキュリティポリシー 企業の情報セキュリティの Do - セキュリティ業務とは • 本業からは外れていて、かつ、情報セキュリティポリシー上で 定められた業務範囲のことを「セキュリティ業務」と一般的には呼びます。 専任者がいる場合、運用担当者がそのまま行う場合、等は企業ごとに異なります。 ※セキュリティコンサルやセキュリティエンジニアが担う業務全般を 「セキュリティ業務」と呼ぶこともあります。 機材/機器 プロセス人 監査(確認) 追加/変更/削除などの管理 権限 場所ID 基本ルール (考え方を明文化したもの) 監視
つまり、 「セキュリティ業務」を専任にするか否かではなく、 企業が定めたルールの上で業務を行うことに 変わりはないということです だけど…
運用におけるルールには運用実施者を守るという役割があります。 一例として、手順書を作成してその通りに実施することには、 「運用実施者が企業のルールを守っている」と証明することができ、 事故が発生したときに運用実施者を守ることができます。 企業の情報セキュリティの Do 運用実施者にとっては、 ルールを守るということはとても面倒臭い 「何のために行うのか」という知識の共有が必要 「お客様のために」というのは経営者の視点です。 業務運用者の視点で「なぜ」「何のために行うのか」という 知識の共有が必要になります。 手順作成、変更管理 など
企業の情報セキュリティの Do ルールは守りたいが工数が膨大になってしまう ID管理 など 作業をする工数が大きいため 作業手順を確認する工数も大きくなってしまう 今いるメンバーの工数を今以上増やすようなことは難しく、 また、人に新しく入っていただくことはできない 次の「監査」を含めてIT化の検討をする 最少の手順でルールを満たすような方法を検討する
企業の情報セキュリティPDCA Do CheckAction Plan策定 運用 監査処置 業務遂行情報セキュリティポリシーの策定 運用の確認
企業の情報セキュリティの Check • 企業の情報セキュリティPDCA において Check は 実務遂行が定めたルールから逸脱していなかったことを検証し、証明します。 • または、セキュリティの認証資格において、 認証資格があるかどうかを専門の監査者が確認することを意味します。 Do CheckAction Plan 実務実施結果(例:サーバー運用) 作業申請履歴 変更履歴 監査内容例 作業実施結果確認 実際のサーバを確認 差分がないことを確認する
企業の情報セキュリティの Check ルールの順守を確認することは大変だ ITシステムが監視する範囲と 人が検証の範囲を明確にする 同じ会社の人間が同じ会社の人間が行ったことの 誤りを指摘することが難しい 部署や業務ごとに多岐にわたるルールが守られているか 確認することは大変である 外部リソース(専門企業)の活用を検討する 設定値変更 など
企業の情報セキュリティPDCA Do CheckAction Plan 策定 運用 監査処置 運用の確認 情報セキュリティポリシーの策定 対応判断 実務遂行
企業の情報セキュリティの Action • 企業の情報セキュリティPDCA において Action は ルールから逸脱していた事を正しい状態にする(是正する)か否かを判断します。 • 是正する前に、逸脱している個所、原因と理由、是正した場合のリスクを調査し、 リスクを調査した結果「変更しても問題がない」場合のみ是正作業を実施します。 ※実際の作業はそれぞれの作業ルール(プロシージャ)に従います Do CheckAction Plan 対応判断 → 判断した後どうするか 是正対応 設定値の修正 ルールの修正 原因と理由の調査 リスクの調査(特定→分析→評価) 逸脱個所をリストする
企業の情報セキュリティの Action 是正すると業務に支障をきたしてしまう 何を優先するか順位をつける 是正しない場合のセキュリティのリスクと、 是正した場合の業務のリスクを比較し判断します。 影響範囲が膨大であり、是正することにより サーバーやシステムがダウンしてしまう恐れがある 常に是正対応を行うことにはできない リスクの特定 リスクの分析 リスクの評価 リスクの対応
企業の情報セキュリティの Action 是正することが多すぎて対応できない いきなりすべてを正しい状態としないことも重要です 焦ってすべてをいっきに改善しようと急激に社内のルールを変更すると、 業務を遂行する担当者が混乱し、業務が止まってしまうこともあります。 PDCAのループを繰り返す毎にセキュリティ強度を徐々に上げていくなど、 長期的な視点でみてルールの定着を目指します。 すぐに是正を行わないことの「リスク」を把握し、 バランスを考えながら是正の施策を立案します。
企業の情報セキュリティとは PDCAサイクルを回しつづけること! Do CheckAction Plan 監査処置 策定 運用
どんな企業でも このPDCAを最初から回せますか? 申し訳ありません。 多くの場合、出来ないと思います
・どのような考えのもと 行っているのか ・実際の業務内容 ・業務対象 ・どのような考えのもと 行っているのか ・法律順守傾向 まずは今を知るところからはじめましょう 実際の業務について経営方針 具体的な項目があると答えやすい
セキュリティ入門 は以上です ここまでお読みいただきありがとうございました!
補足 : セキュリティコンサル とか セキュリティ業務 は どんな企業にお願いするのがお勧めか • セキュリティの研究には莫大な資金が必要であるため、 IT業界だけを専門とする セキュリティコンサル は 日本には少ないです。 • 外資系でコンサルを取り扱っている企業、 サーバーを販売する企業や ネットワークやサーバーなどインフラの導入を取り扱う企業に まずは相談してみてください。 正直、高いよ! 「実際に事故が起きたらけちった費用の 10 倍 かかる」が セキュリティにおける常識です

Recommended

セキュリティ入門 ( 情報保護編 )
セキュリティ入門 ( 情報保護編 )セキュリティ入門 ( 情報保護編 )
セキュリティ入門 ( 情報保護編 )
y-hattori
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要
Tokai University
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
Masaaki Nabeshima
 
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
グローバルセキュリティエキスパート株式会社(GSX)
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
Fumitaka Takeuchi
 
できることから始めるセキュリティ対策
できることから始めるセキュリティ対策できることから始めるセキュリティ対策
できることから始めるセキュリティ対策
NHN テコラス株式会社
 
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
日本ヒューレット・パッカード株式会社
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要
Tokai University
 

Recommended

セキュリティ入門 ( 情報保護編 )
セキュリティ入門 ( 情報保護編 )セキュリティ入門 ( 情報保護編 )
セキュリティ入門 ( 情報保護編 )
y-hattori
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要
Tokai University
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
Masaaki Nabeshima
 
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
グローバルセキュリティエキスパート株式会社(GSX)
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
Fumitaka Takeuchi
 
できることから始めるセキュリティ対策
できることから始めるセキュリティ対策できることから始めるセキュリティ対策
できることから始めるセキュリティ対策
NHN テコラス株式会社
 
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
日本ヒューレット・パッカード株式会社
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要
Tokai University
 
[CB16] 基調講演: セキュリティはどれくらいが適量? – How much security is too much? – by Karsten Nohl
[CB16] 基調講演: セキュリティはどれくらいが適量? – How much security is too much? – by Karsten Nohl[CB16] 基調講演: セキュリティはどれくらいが適量? – How much security is too much? – by Karsten Nohl
[CB16] 基調講演: セキュリティはどれくらいが適量? – How much security is too much? – by Karsten Nohl
CODE BLUE
 
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
グローバルセキュリティエキスパート株式会社(GSX)
 
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
Mob security キャリアアドバイスとライフハック
Mob security キャリアアドバイスとライフハックMob security キャリアアドバイスとライフハック
Mob security キャリアアドバイスとライフハック
Isaac Mathis
 
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座
NHN テコラス株式会社
 
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
近年急増のサイバー攻撃の傾向(2018/5)
近年急増のサイバー攻撃の傾向(2018/5)近年急増のサイバー攻撃の傾向(2018/5)
近年急増のサイバー攻撃の傾向(2018/5)
Isaac Mathis
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
 
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintGartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprint
satoru koyama
 
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
NHN テコラス株式会社
 
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
Tomohiro Nakashima
 
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
Sen Ueno
 
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチInternet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料][G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
Trainocate Japan, Ltd.
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
Tomohiro Nakashima
 
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチクラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
NetApp Japan
 
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
Tomohiro Nakashima
 
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
Sen Ueno
 
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
グローバルセキュリティエキスパート株式会社(GSX)
 
CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)
kikuchan98
 
Generation Now, Hong Kong - March 2016
Generation Now, Hong Kong - March 2016Generation Now, Hong Kong - March 2016
Generation Now, Hong Kong - March 2016
Sean Murphy
 

More Related Content

What's hot

[CB16] 基調講演: セキュリティはどれくらいが適量? – How much security is too much? – by Karsten Nohl
[CB16] 基調講演: セキュリティはどれくらいが適量? – How much security is too much? – by Karsten Nohl[CB16] 基調講演: セキュリティはどれくらいが適量? – How much security is too much? – by Karsten Nohl
[CB16] 基調講演: セキュリティはどれくらいが適量? – How much security is too much? – by Karsten Nohl
CODE BLUE
 
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
 
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintGartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprint
satoru koyama
 
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
Sen Ueno
 
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料][G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
Trainocate Japan, Ltd.
 
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
グローバルセキュリティエキスパート株式会社(GSX)
 

What's hot (20)

[CB16] 基調講演: セキュリティはどれくらいが適量? – How much security is too much? – by Karsten Nohl
[CB16] 基調講演: セキュリティはどれくらいが適量? – How much security is too much? – by Karsten Nohl[CB16] 基調講演: セキュリティはどれくらいが適量? – How much security is too much? – by Karsten Nohl
[CB16] 基調講演: セキュリティはどれくらいが適量? – How much security is too much? – by Karsten Nohl
 
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
 
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
 
Mob security キャリアアドバイスとライフハック
Mob security キャリアアドバイスとライフハックMob security キャリアアドバイスとライフハック
Mob security キャリアアドバイスとライフハック
 
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
 
2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座
 
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
 
近年急増のサイバー攻撃の傾向(2018/5)
近年急増のサイバー攻撃の傾向(2018/5)近年急増のサイバー攻撃の傾向(2018/5)
近年急増のサイバー攻撃の傾向(2018/5)
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintGartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprint
 
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
 
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
 
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
 
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチInternet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
 
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料][G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
 
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチクラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
 
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
 
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
 
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
 

Viewers also liked

Viewers also liked (20)

CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)
 
Generation Now, Hong Kong - March 2016
Generation Now, Hong Kong - March 2016Generation Now, Hong Kong - March 2016
Generation Now, Hong Kong - March 2016
 
Tecnologías de información y comunicación
Tecnologías de información y comunicaciónTecnologías de información y comunicación
Tecnologías de información y comunicación
 
Scarf shoot
Scarf shootScarf shoot
Scarf shoot
 
Shobhit_Singhal
Shobhit_Singhal Shobhit_Singhal
Shobhit_Singhal
 
Action Research 2011
Action Research 2011Action Research 2011
Action Research 2011
 
Presentacion
PresentacionPresentacion
Presentacion
 
Día internacional de la mujer
Día internacional de la mujerDía internacional de la mujer
Día internacional de la mujer
 
Tecnología multimedia
Tecnología multimediaTecnología multimedia
Tecnología multimedia
 
Tecnología multimedia
Tecnología multimediaTecnología multimedia
Tecnología multimedia
 
Diseño de una base de datos
Diseño de una base de datosDiseño de una base de datos
Diseño de una base de datos
 
Reglamento de torneos
Reglamento de torneosReglamento de torneos
Reglamento de torneos
 
Leitura
LeituraLeitura
Leitura
 
Dr. joshua safeek follows the insurance industry
Dr. joshua safeek follows the insurance industryDr. joshua safeek follows the insurance industry
Dr. joshua safeek follows the insurance industry
 
Ant Bozkaya | Solvay School
Ant Bozkaya | Solvay SchoolAnt Bozkaya | Solvay School
Ant Bozkaya | Solvay School
 
XADREZ
XADREZXADREZ
XADREZ
 
Abraham Science
Abraham ScienceAbraham Science
Abraham Science
 
Mediabong, la video programmatique 2016
Mediabong, la video programmatique 2016Mediabong, la video programmatique 2016
Mediabong, la video programmatique 2016
 
Sallekhanā
SallekhanāSallekhanā
Sallekhanā
 
Reglamento de voley
Reglamento de voleyReglamento de voley
Reglamento de voley
 

Similar to セキュリティ入門

男It番長 セキュリティチェックリスト
男It番長 セキュリティチェックリスト男It番長 セキュリティチェックリスト
男It番長 セキュリティチェックリスト
小島 規彰
 
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないことマルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
IIJ
 

Similar to セキュリティ入門 (16)

男It番長 セキュリティチェックリスト
男It番長 セキュリティチェックリスト男It番長 セキュリティチェックリスト
男It番長 セキュリティチェックリスト
 
セキュリティ投資の必要性を経営陣に納得させた方法
セキュリティ投資の必要性を経営陣に納得させた方法 セキュリティ投資の必要性を経営陣に納得させた方法
セキュリティ投資の必要性を経営陣に納得させた方法
 
セキュリティの考え方
セキュリティの考え方セキュリティの考え方
セキュリティの考え方
 
誰でもできる!心理的安全性入門 simple introduction to psychological safety
誰でもできる!心理的安全性入門 simple introduction to psychological safety誰でもできる!心理的安全性入門 simple introduction to psychological safety
誰でもできる!心理的安全性入門 simple introduction to psychological safety
 
02.超初心者向けセキュリティ入門(IoT)
02.超初心者向けセキュリティ入門(IoT)02.超初心者向けセキュリティ入門(IoT)
02.超初心者向けセキュリティ入門(IoT)
 
01.超初心者向けセキュリティ入門
01.超初心者向けセキュリティ入門01.超初心者向けセキュリティ入門
01.超初心者向けセキュリティ入門
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
 
"フルスタック"セキュリティ
"フルスタック"セキュリティ"フルスタック"セキュリティ
"フルスタック"セキュリティ
 
KOF2010 - 合い言葉は\爽快セキュリティ!/
KOF2010 - 合い言葉は\爽快セキュリティ!/KOF2010 - 合い言葉は\爽快セキュリティ!/
KOF2010 - 合い言葉は\爽快セキュリティ!/
 
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないことマルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
 
【de:code 2020】 Protect your identity! 資格情報への攻撃手法と守り方
【de:code 2020】 Protect your identity! 資格情報への攻撃手法と守り方【de:code 2020】 Protect your identity! 資格情報への攻撃手法と守り方
【de:code 2020】 Protect your identity! 資格情報への攻撃手法と守り方
 
【ITソリューション塾・特別講義】Security Fundamentals/2017.5
【ITソリューション塾・特別講義】Security Fundamentals/2017.5【ITソリューション塾・特別講義】Security Fundamentals/2017.5
【ITソリューション塾・特別講義】Security Fundamentals/2017.5
 
[LT]Azure上のアプリケーションへのシングルサインオン / TechEd Japan 2010
[LT]Azure上のアプリケーションへのシングルサインオン / TechEd Japan 2010[LT]Azure上のアプリケーションへのシングルサインオン / TechEd Japan 2010
[LT]Azure上のアプリケーションへのシングルサインオン / TechEd Japan 2010
 
従業員が知っておくべき新三大情報セキュリティ事故
従業員が知っておくべき新三大情報セキュリティ事故従業員が知っておくべき新三大情報セキュリティ事故
従業員が知っておくべき新三大情報セキュリティ事故
 
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
 
MicrosoftのID管理ソリューション-2010年度版
MicrosoftのID管理ソリューション-2010年度版MicrosoftのID管理ソリューション-2010年度版
MicrosoftのID管理ソリューション-2010年度版
 

Recently uploaded

2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
ssuserbefd24
 
【AI論文解説】Consistency ModelとRectified Flow
【AI論文解説】Consistency ModelとRectified Flow【AI論文解説】Consistency ModelとRectified Flow
【AI論文解説】Consistency ModelとRectified Flow
Sony - Neural Network Libraries
 

Recently uploaded (10)

2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
 
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
 
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
 
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
 
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
 
20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdf20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdf
 
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
 
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
 
【AI論文解説】Consistency ModelとRectified Flow
【AI論文解説】Consistency ModelとRectified Flow【AI論文解説】Consistency ModelとRectified Flow
【AI論文解説】Consistency ModelとRectified Flow
 
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルLoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
 

セキュリティ入門

Editor's Notes

  1. セキュリティ = IT ではありませんが、全体的にIT業界に話をよせています
  2. 「基本方針(ポリシー)」「対策基準(スタンダード)」「実施手順(プロシージャ)」はISO 2700の用語 実際の業務では対策基準が社内規定を基としてプロシジャーを作成することもあるため、社内規定および対策基準と記載している
  3. 用語の「実施手順」がまるで何かの作業を行うための手順書のことのみをさしているようにみえるが、 プロシジャーとは部署や業務ごとに「対策基準」から業務に則して落とし込んだルールのことを指し、 そのルールを順守するための手順がマニュアルである。
  4. 経営者の経営方針と各部門で行っていることのかい離を埋めるために どのようにするかを埋めるのが「社内規定および対策基準」の位置づけである。
  5. リスクアセスメント
  6. 「外資」とひとくくりにしていますが国ごとによって特性があります。 アメリカ : 徹底的に書面で残す ロシア : IT技術面に特化 北欧 : 経営方面に特化 アメリカ形式の「書面で徹底的に残す」が 日本企業には受け入れやすいと個人的には思います。