SlideShare a Scribd company logo

お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx

Download as PPTX, PDF
M
mkoda

Cyber-sec+ Meetup vol.3での登壇資料です。

Internet
1 of 21
お客様のセキュリティチェックを乗 り越えるための SaaS のアプローチ Cyber-sec+ Meetup vol.3 2024/03/12 幸田 将司 1
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved Who am I? 幸田将司: 所属: - 株式会社Levii - 株式会社バラエナテック 代表取締役 - SecuriST(R) 試験委員会 / CEH インストラクター - ISOG-J(WG1) - 診断 / 開発 / ISMS支援 ...etc SNS: - @halkichisec 2
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved Contents 1. SaaSが苦慮しているセキュリティ 2. セキュリティの評価基準 3. コストを下げるために 3
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 誰向け? • サービス事業者 • セールス • デリバリー • 開発 • セキュリティ系 • CISO • 診断員 • サービス調達/選定する人 • 情シス 4
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSを提供しています(ダイマ) • Balus • システムモデリングをわかりやすくするツール • 名前は某ジブリ作品の呪文より • 登録商標で揉めてしまう 5 これのセキュリティの話
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス提供側として苦悩していること • どこまでセキュリティをやるべきか • 何にリソースを割くべきか • 認証規格を取得するべきか • お客様に使って欲しいが...セキュリティ的なハードルは高い • クラウドサービスの調達要件 • 官公庁は基準が高い • 我々はコストセンターである😭 6
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス調達の要求事項としてよくある例 1. 認証規格を取得しているか • ISO/IEC 27001(ISMS) • ISMAP • SOC2 • SSAE16,18 ...etc 7
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス調達の要求事項としてよくある例 2. セキュリティチェックシートの記入 • サービスが使用できるかどうか質問やチェックリスト形式で構成され た文書、大抵はエクセルで送られてくる。 • 顧客 ↔︎ セールス ↔︎ 開発でやり取りしてリソースが勿体無い 8 お客様毎に項目やフォーマット が異なるためコストがかかる
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 何から取り組めば良いか • 頻発する要件をセキュリティチェックシートとして公開 • セキュリティチェックシートの対応ログを残しておき、その結果を社 内で共有する。 • 共有した項目から自社のセキュリティチェックシートを作成して公開 • コストが下がった • 開発のメリット • 顧客が要求する機能が把握できるので、実装が予想できる。 • 営業/デリバリーのメリット • 顧客↔︎セールスのリレーが少なくなるので顧客へのレスが早い 9
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved セキュリティチェックシートについて • よく聞かれる項目TOP5 1. アクセス制御 • IPアドレスによる制限が可能であるか • Basic/Digest認証が設定可能であるか • 利用者毎に管理者が設定可能であるか 2. 権限管理 • ユーザと管理者の領域がわかれているか 10 顧客が気にしていること Basic認証に使うからAPIの認証は Authorizationヘッダを避けるか… (safariは上書きしてしまう)
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved セキュリティチェックシートについて 3. ログの取得/監視(一例) • ログイン成功と失敗 • 異常ログの検知と通知 4. 脆弱性管理 • 脆弱性診断を実施しているか (どこまで実施するかは問われないことが多い) • 脆弱性管理が行われているかどうか 5. 第三者認証の取得 • ISO/IEC、SOC2等々... 11 コストはかかるが 何かしらの認証はあると良い
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved どこまで脆弱性管理をすればいい? • 攻撃表面を元にして考えると良い(ASM) • 例: • コーポレートサイト • 自社サービス • メール/VPN/ファイルサーバ等 • 担当者のメールアドレス 出典: 経済産業省ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~ https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html 12
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 自社サービスに紐づいているが、管理が忘れ去られているコン テンツ等 攻撃表面(Attack Surface)の例 ※IPに紐づくコンテンツサーバがなくとも サブドメインテイクオーバーの温床になる可 能性も。CNAME、Aレコード等 バグバウンティではよく報告されている ベンダーのために 開けておいた経路 13
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 第三者認証を推す理由 • サービス事業者として要求される内容や管理施策が理解できる • SLAの設定 (稼働率の根拠や、侵害されてはならない理由が説明できる) • 情報資産とその監視対象の考え方 • 第三者の審査機関から指摘がある • 問題のある管理に気がつける • 外圧がなければ変われない組織におすすめ 14
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • ISO/IEC27017 • ISO27001(ISMS)のクラウドサービス版 • ISMSのアドオンとして存在するため、ISMS + ISO27017で取得する • CSP又は、CSPとCSCとして認証する必要がある。 • CSP(クラウドサービス提供者) • AWSやGCP等、プラットフォーム提供側 • CSC(クラウドサービス利用者) • クラウドサービス利用者側 15 組織全体 ISMSの認証範囲 クラウドセキュリティ (ISO27017)の範囲
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • 要件(CSPとしての一例) • 9.2.1 利用者登録及び登録削除... アカウントの登録/削除ができるか • 8.2.2 情報のラベル付け... 情報のラベル付けができるか • 10.1.1 暗号による管理策の利用方針... 情報の暗号化ができるか • 12.3.1 情報のバックアップ • 12.6.1 技術的ぜい弱性の管理... 脆弱性管理がされているか • 要件(CSCとしての一例) • 9.2.3 特権的アクセス権の管理... 管理者アカウントを制限し、他要素認 証を使用する • 16.1.2 情報セキュリティ事象の報告... インシデント情報の管理 16
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • 前項の内容で適用宣言書を作成し、審査を受ける 17 出典: ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項 https://isms.jp/doc/JIP-ISMS517-10.pdf 100項目以上あるため、 コンサル系サービスを利用するのが吉
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved クラウドサービスの参考資料 クラウドサービス利用・提供における適切な設定のためのガイドライ ン : 総務省 2022 https://www.soumu.go.jp/main_content/000843318.pdf • 運用上のベストプラクティスがあるため参考になる クラウドサービスレベルのチェックリスト : 経産省 https://warp.da.ndl.go.jp/info:ndljp/pid/8658576/www.meti.go.jp/press/201008160 01/20100816001-4.pdf • ちょっと古い(2010年) 18
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 内部からの調査は部署を横断する必要がある。 • インシデント例 • (2021年)内閣サイバーセキュリティセンター(NISC)の情報漏洩 • 内部で使用していたプロジェクト情報共有ツールへの不正アクセス • 組織内部で使用している端末やツールの特定を行う • ISMS(ISO27001)を取得しているなら情報資産管理/リスク台帳があるはず • 管理している部署と連携をとることを推奨 • シャドーITの制限も忘れずに 攻撃可能領域の探し方(内部) 19
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 参考: 組織を巻き込む • そもそも職務により目的/視点が違うため、各チームの代表を まきこんでモデリングすると、少しスムーズに進むかも • セキュリティチェックシートを作る際のMTGの例 20 それぞれのロールの 背景や目的を同じ視点でみる ための手法
Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved おわり • ご清聴ありがとうございました 21

Recommended

FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」Motohiko Sato
 
Glue DataBrewでデータをクリーニング、加工してみよう
Glue DataBrewでデータをクリーニング、加工してみようGlue DataBrewでデータをクリーニング、加工してみよう
Glue DataBrewでデータをクリーニング、加工してみようtakeshi suto
 
ニューロテクノロジーの課題と未来
ニューロテクノロジーの課題と未来ニューロテクノロジーの課題と未来
ニューロテクノロジーの課題と未来Hiro Hamada
 
徳丸本ができるまで
徳丸本ができるまで徳丸本ができるまで
徳丸本ができるまでHiroshi Tokumaru
 
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)Motohiko Sato
 
バックアップと障害復旧から考えるOracle Database, MySQL, PostgreSQLの違い
バックアップと障害復旧から考えるOracle Database, MySQL, PostgreSQLの違いバックアップと障害復旧から考えるOracle Database, MySQL, PostgreSQLの違い
バックアップと障害復旧から考えるOracle Database, MySQL, PostgreSQLの違いRyota Watabe
 
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)abend_cve_9999_0001
 
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティHiroshi Tokumaru
 

Recommended

FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」Motohiko Sato
 
Glue DataBrewでデータをクリーニング、加工してみよう
Glue DataBrewでデータをクリーニング、加工してみようGlue DataBrewでデータをクリーニング、加工してみよう
Glue DataBrewでデータをクリーニング、加工してみようtakeshi suto
 
ニューロテクノロジーの課題と未来
ニューロテクノロジーの課題と未来ニューロテクノロジーの課題と未来
ニューロテクノロジーの課題と未来Hiro Hamada
 
徳丸本ができるまで
徳丸本ができるまで徳丸本ができるまで
徳丸本ができるまでHiroshi Tokumaru
 
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)Motohiko Sato
 
バックアップと障害復旧から考えるOracle Database, MySQL, PostgreSQLの違い
バックアップと障害復旧から考えるOracle Database, MySQL, PostgreSQLの違いバックアップと障害復旧から考えるOracle Database, MySQL, PostgreSQLの違い
バックアップと障害復旧から考えるOracle Database, MySQL, PostgreSQLの違いRyota Watabe
 
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)abend_cve_9999_0001
 
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティHiroshi Tokumaru
 
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)Masaya Tahara
 
PowerApps に Power BI を埋め込んでみよう!
PowerApps に Power BI を埋め込んでみよう!PowerApps に Power BI を埋め込んでみよう!
PowerApps に Power BI を埋め込んでみよう!Teruchika Yamada
 
心理的安全性の構造 デブサミ2019夏 structure of psychological safety
心理的安全性の構造 デブサミ2019夏 structure of psychological safety心理的安全性の構造 デブサミ2019夏 structure of psychological safety
心理的安全性の構造 デブサミ2019夏 structure of psychological safetyTokoroten Nakayama
 
CloudWatchの使い方
CloudWatchの使い方CloudWatchの使い方
CloudWatchの使い方ShinsukeYokota
 
DI(依存性注入)について
DI(依存性注入)についてDI(依存性注入)について
DI(依存性注入)についてYui Ito
 
実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性
実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性
実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性Noriyuki Mizuno
 
大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021
大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021
大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021Graat(グラーツ)
 
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介gree_tech
 
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Azure でサーバーレス、 Infrastructure as Code どうしてますか?Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Azure でサーバーレス、 Infrastructure as Code どうしてますか?Kazumi IWANAGA
 
データ活用を加速するAWS分析サービスのご紹介
データ活用を加速するAWS分析サービスのご紹介データ活用を加速するAWS分析サービスのご紹介
データ活用を加速するAWS分析サービスのご紹介Amazon Web Services Japan
 
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題Hiroshi Tokumaru
 
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~Tetsuo Yamabe
 
AWS認定12冠制覇への道
AWS認定12冠制覇への道AWS認定12冠制覇への道
AWS認定12冠制覇への道Junji Koide
 
5分で解るセキュアコーディング
5分で解るセキュアコーディング5分で解るセキュアコーディング
5分で解るセキュアコーディングYasuo Ohgaki
 
DAOの定義と仕組みについて.pdf
DAOの定義と仕組みについて.pdfDAOの定義と仕組みについて.pdf
DAOの定義と仕組みについて.pdfssuser27ade9
 
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するHiroshi Tokumaru
 
WebSphere Application Server V8.5.5 Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51
WebSphere Application Server V8.5.5 Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51WebSphere Application Server V8.5.5 Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51
WebSphere Application Server V8.5.5 Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51Takakiyo Tanaka
 
流行りの分散表現を用いた文書分類について Netadashi Meetup 7
流行りの分散表現を用いた文書分類について Netadashi Meetup 7流行りの分散表現を用いた文書分類について Netadashi Meetup 7
流行りの分散表現を用いた文書分類について Netadashi Meetup 7Teruyuki Sakaue
 
Scrum-Fest-Sapporo-2021-Keynote-Our-Journey
Scrum-Fest-Sapporo-2021-Keynote-Our-JourneyScrum-Fest-Sapporo-2021-Keynote-Our-Journey
Scrum-Fest-Sapporo-2021-Keynote-Our-JourneyKenji Hiranabe
 
Jakarta CDI 4.0
Jakarta CDI 4.0Jakarta CDI 4.0
Jakarta CDI 4.0Satoshi Kubo
 
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻mkoda
 
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日Masanori KAMAYAMA
 

More Related Content

What's hot

「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)Masaya Tahara
 
PowerApps に Power BI を埋め込んでみよう!
PowerApps に Power BI を埋め込んでみよう!PowerApps に Power BI を埋め込んでみよう!
PowerApps に Power BI を埋め込んでみよう!Teruchika Yamada
 
心理的安全性の構造 デブサミ2019夏 structure of psychological safety
心理的安全性の構造 デブサミ2019夏 structure of psychological safety心理的安全性の構造 デブサミ2019夏 structure of psychological safety
心理的安全性の構造 デブサミ2019夏 structure of psychological safetyTokoroten Nakayama
 
CloudWatchの使い方
CloudWatchの使い方CloudWatchの使い方
CloudWatchの使い方ShinsukeYokota
 
DI(依存性注入)について
DI(依存性注入)についてDI(依存性注入)について
DI(依存性注入)についてYui Ito
 
実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性
実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性
実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性Noriyuki Mizuno
 
大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021
大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021
大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021Graat(グラーツ)
 
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介gree_tech
 
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Azure でサーバーレス、 Infrastructure as Code どうしてますか?Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Azure でサーバーレス、 Infrastructure as Code どうしてますか?Kazumi IWANAGA
 
データ活用を加速するAWS分析サービスのご紹介
データ活用を加速するAWS分析サービスのご紹介データ活用を加速するAWS分析サービスのご紹介
データ活用を加速するAWS分析サービスのご紹介Amazon Web Services Japan
 
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題Hiroshi Tokumaru
 
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~Tetsuo Yamabe
 
AWS認定12冠制覇への道
AWS認定12冠制覇への道AWS認定12冠制覇への道
AWS認定12冠制覇への道Junji Koide
 
5分で解るセキュアコーディング
5分で解るセキュアコーディング5分で解るセキュアコーディング
5分で解るセキュアコーディングYasuo Ohgaki
 
DAOの定義と仕組みについて.pdf
DAOの定義と仕組みについて.pdfDAOの定義と仕組みについて.pdf
DAOの定義と仕組みについて.pdfssuser27ade9
 
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するHiroshi Tokumaru
 
WebSphere Application Server V8.5.5 Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51
WebSphere Application Server V8.5.5 Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51WebSphere Application Server V8.5.5 Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51
WebSphere Application Server V8.5.5 Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51Takakiyo Tanaka
 
流行りの分散表現を用いた文書分類について Netadashi Meetup 7
流行りの分散表現を用いた文書分類について Netadashi Meetup 7流行りの分散表現を用いた文書分類について Netadashi Meetup 7
流行りの分散表現を用いた文書分類について Netadashi Meetup 7Teruyuki Sakaue
 
Scrum-Fest-Sapporo-2021-Keynote-Our-Journey
Scrum-Fest-Sapporo-2021-Keynote-Our-JourneyScrum-Fest-Sapporo-2021-Keynote-Our-Journey
Scrum-Fest-Sapporo-2021-Keynote-Our-JourneyKenji Hiranabe
 

What's hot (20)

「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
 
PowerApps に Power BI を埋め込んでみよう!
PowerApps に Power BI を埋め込んでみよう!PowerApps に Power BI を埋め込んでみよう!
PowerApps に Power BI を埋め込んでみよう!
 
心理的安全性の構造 デブサミ2019夏 structure of psychological safety
心理的安全性の構造 デブサミ2019夏 structure of psychological safety心理的安全性の構造 デブサミ2019夏 structure of psychological safety
心理的安全性の構造 デブサミ2019夏 structure of psychological safety
 
CloudWatchの使い方
CloudWatchの使い方CloudWatchの使い方
CloudWatchの使い方
 
DI(依存性注入)について
DI(依存性注入)についてDI(依存性注入)について
DI(依存性注入)について
 
実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性
実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性
実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性
 
大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021
大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021
大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021
 
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
 
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Azure でサーバーレス、 Infrastructure as Code どうしてますか?Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
 
データ活用を加速するAWS分析サービスのご紹介
データ活用を加速するAWS分析サービスのご紹介データ活用を加速するAWS分析サービスのご紹介
データ活用を加速するAWS分析サービスのご紹介
 
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
 
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~
 
AWS認定12冠制覇への道
AWS認定12冠制覇への道AWS認定12冠制覇への道
AWS認定12冠制覇への道
 
5分で解るセキュアコーディング
5分で解るセキュアコーディング5分で解るセキュアコーディング
5分で解るセキュアコーディング
 
DAOの定義と仕組みについて.pdf
DAOの定義と仕組みについて.pdfDAOの定義と仕組みについて.pdf
DAOの定義と仕組みについて.pdf
 
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
 
WebSphere Application Server V8.5.5 Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51
WebSphere Application Server V8.5.5 Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51WebSphere Application Server V8.5.5 Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51
WebSphere Application Server V8.5.5 Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51
 
流行りの分散表現を用いた文書分類について Netadashi Meetup 7
流行りの分散表現を用いた文書分類について Netadashi Meetup 7流行りの分散表現を用いた文書分類について Netadashi Meetup 7
流行りの分散表現を用いた文書分類について Netadashi Meetup 7
 
Scrum-Fest-Sapporo-2021-Keynote-Our-Journey
Scrum-Fest-Sapporo-2021-Keynote-Our-JourneyScrum-Fest-Sapporo-2021-Keynote-Our-Journey
Scrum-Fest-Sapporo-2021-Keynote-Our-Journey
 
Jakarta CDI 4.0
Jakarta CDI 4.0Jakarta CDI 4.0
Jakarta CDI 4.0
 

Similar to お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx

診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻mkoda
 
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日Masanori KAMAYAMA
 
マイナンバー説明用スライド
マイナンバー説明用スライドマイナンバー説明用スライド
マイナンバー説明用スライドSeiji Noro
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方オラクルエンジニア通信
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)JPCERT Coordination Center
 
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバックNISSHO USA
 
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁KVH Co. Ltd.
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~Hitachi, Ltd. OSS Solution Center.
 
Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20龍弘 岡
 
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールOSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールIsao Takaesu
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:schoowebcampus
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントRiotaro OKADA
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはRiotaro OKADA
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可Hitachi, Ltd. OSS Solution Center.
 
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話Katsuya Yamaguchi
 
脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuokaichikaway
 
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3minShinichiro Kawano
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
 

Similar to お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx (20)

診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
 
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
 
マイナンバー説明用スライド
マイナンバー説明用スライドマイナンバー説明用スライド
マイナンバー説明用スライド
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
 
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
 
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
 
Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用
 
20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome
 
Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20
 
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールOSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
 
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイントCISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
 
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
 
脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka
 
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
 

Recently uploaded

Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docxWindows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docxivanwang53
 
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーンWindowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーンivanwang53
 
動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Components動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Componentsokitamasashi
 
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元ivanwang53
 
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法ivanwang53
 
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]Taka Narita
 

Recently uploaded (6)

Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docxWindows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
 
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーンWindowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
 
動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Components動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Components
 
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
 
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
 
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
 

お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx

  • 2. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved Who am I? 幸田将司: 所属: - 株式会社Levii - 株式会社バラエナテック 代表取締役 - SecuriST(R) 試験委員会 / CEH インストラクター - ISOG-J(WG1) - 診断 / 開発 / ISMS支援 ...etc SNS: - @halkichisec 2
  • 3. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved Contents 1. SaaSが苦慮しているセキュリティ 2. セキュリティの評価基準 3. コストを下げるために 3
  • 4. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 誰向け? • サービス事業者 • セールス • デリバリー • 開発 • セキュリティ系 • CISO • 診断員 • サービス調達/選定する人 • 情シス 4
  • 5. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSを提供しています(ダイマ) • Balus • システムモデリングをわかりやすくするツール • 名前は某ジブリ作品の呪文より • 登録商標で揉めてしまう 5 これのセキュリティの話
  • 6. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス提供側として苦悩していること • どこまでセキュリティをやるべきか • 何にリソースを割くべきか • 認証規格を取得するべきか • お客様に使って欲しいが...セキュリティ的なハードルは高い • クラウドサービスの調達要件 • 官公庁は基準が高い • 我々はコストセンターである😭 6
  • 7. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス調達の要求事項としてよくある例 1. 認証規格を取得しているか • ISO/IEC 27001(ISMS) • ISMAP • SOC2 • SSAE16,18 ...etc 7
  • 8. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス調達の要求事項としてよくある例 2. セキュリティチェックシートの記入 • サービスが使用できるかどうか質問やチェックリスト形式で構成され た文書、大抵はエクセルで送られてくる。 • 顧客 ↔︎ セールス ↔︎ 開発でやり取りしてリソースが勿体無い 8 お客様毎に項目やフォーマット が異なるためコストがかかる
  • 9. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 何から取り組めば良いか • 頻発する要件をセキュリティチェックシートとして公開 • セキュリティチェックシートの対応ログを残しておき、その結果を社 内で共有する。 • 共有した項目から自社のセキュリティチェックシートを作成して公開 • コストが下がった • 開発のメリット • 顧客が要求する機能が把握できるので、実装が予想できる。 • 営業/デリバリーのメリット • 顧客↔︎セールスのリレーが少なくなるので顧客へのレスが早い 9
  • 10. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved セキュリティチェックシートについて • よく聞かれる項目TOP5 1. アクセス制御 • IPアドレスによる制限が可能であるか • Basic/Digest認証が設定可能であるか • 利用者毎に管理者が設定可能であるか 2. 権限管理 • ユーザと管理者の領域がわかれているか 10 顧客が気にしていること Basic認証に使うからAPIの認証は Authorizationヘッダを避けるか… (safariは上書きしてしまう)
  • 11. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved セキュリティチェックシートについて 3. ログの取得/監視(一例) • ログイン成功と失敗 • 異常ログの検知と通知 4. 脆弱性管理 • 脆弱性診断を実施しているか (どこまで実施するかは問われないことが多い) • 脆弱性管理が行われているかどうか 5. 第三者認証の取得 • ISO/IEC、SOC2等々... 11 コストはかかるが 何かしらの認証はあると良い
  • 12. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved どこまで脆弱性管理をすればいい? • 攻撃表面を元にして考えると良い(ASM) • 例: • コーポレートサイト • 自社サービス • メール/VPN/ファイルサーバ等 • 担当者のメールアドレス 出典: 経済産業省ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~ https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html 12
  • 13. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 自社サービスに紐づいているが、管理が忘れ去られているコン テンツ等 攻撃表面(Attack Surface)の例 ※IPに紐づくコンテンツサーバがなくとも サブドメインテイクオーバーの温床になる可 能性も。CNAME、Aレコード等 バグバウンティではよく報告されている ベンダーのために 開けておいた経路 13
  • 14. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 第三者認証を推す理由 • サービス事業者として要求される内容や管理施策が理解できる • SLAの設定 (稼働率の根拠や、侵害されてはならない理由が説明できる) • 情報資産とその監視対象の考え方 • 第三者の審査機関から指摘がある • 問題のある管理に気がつける • 外圧がなければ変われない組織におすすめ 14
  • 15. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • ISO/IEC27017 • ISO27001(ISMS)のクラウドサービス版 • ISMSのアドオンとして存在するため、ISMS + ISO27017で取得する • CSP又は、CSPとCSCとして認証する必要がある。 • CSP(クラウドサービス提供者) • AWSやGCP等、プラットフォーム提供側 • CSC(クラウドサービス利用者) • クラウドサービス利用者側 15 組織全体 ISMSの認証範囲 クラウドセキュリティ (ISO27017)の範囲
  • 16. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • 要件(CSPとしての一例) • 9.2.1 利用者登録及び登録削除... アカウントの登録/削除ができるか • 8.2.2 情報のラベル付け... 情報のラベル付けができるか • 10.1.1 暗号による管理策の利用方針... 情報の暗号化ができるか • 12.3.1 情報のバックアップ • 12.6.1 技術的ぜい弱性の管理... 脆弱性管理がされているか • 要件(CSCとしての一例) • 9.2.3 特権的アクセス権の管理... 管理者アカウントを制限し、他要素認 証を使用する • 16.1.2 情報セキュリティ事象の報告... インシデント情報の管理 16
  • 17. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • 前項の内容で適用宣言書を作成し、審査を受ける 17 出典: ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項 https://isms.jp/doc/JIP-ISMS517-10.pdf 100項目以上あるため、 コンサル系サービスを利用するのが吉
  • 18. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved クラウドサービスの参考資料 クラウドサービス利用・提供における適切な設定のためのガイドライ ン : 総務省 2022 https://www.soumu.go.jp/main_content/000843318.pdf • 運用上のベストプラクティスがあるため参考になる クラウドサービスレベルのチェックリスト : 経産省 https://warp.da.ndl.go.jp/info:ndljp/pid/8658576/www.meti.go.jp/press/201008160 01/20100816001-4.pdf • ちょっと古い(2010年) 18
  • 19. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved • 内部からの調査は部署を横断する必要がある。 • インシデント例 • (2021年)内閣サイバーセキュリティセンター(NISC)の情報漏洩 • 内部で使用していたプロジェクト情報共有ツールへの不正アクセス • 組織内部で使用している端末やツールの特定を行う • ISMS(ISO27001)を取得しているなら情報資産管理/リスク台帳があるはず • 管理している部署と連携をとることを推奨 • シャドーITの制限も忘れずに 攻撃可能領域の探し方(内部) 19
  • 20. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved 参考: 組織を巻き込む • そもそも職務により目的/視点が違うため、各チームの代表を まきこんでモデリングすると、少しスムーズに進むかも • セキュリティチェックシートを作る際のMTGの例 20 それぞれのロールの 背景や目的を同じ視点でみる ための手法
  • 21. Copyright ©︎ [BalaenaTech Co., Ltd.] 2024 All rights reserved おわり • ご清聴ありがとうございました 21