Submit Search
Upload
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
•
Download as PPTX, PDF
•
0 likes
•
174 views
M
mkoda
Follow
Cyber-sec+ Meetup vol.3での登壇資料です。
Read less
Read more
Internet
Slideshow view
Report
Share
Slideshow view
Report
Share
1 of 21
Download now
Recommended
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
Motohiko Sato
Glue DataBrewでデータをクリーニング、加工してみよう
Glue DataBrewでデータをクリーニング、加工してみよう
takeshi suto
ニューロテクノロジーの課題と未来
ニューロテクノロジーの課題と未来
Hiro Hamada
徳丸本ができるまで
徳丸本ができるまで
Hiroshi Tokumaru
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
Motohiko Sato
バックアップと障害復旧から考えるOracle Database, MySQL, PostgreSQLの違い
バックアップと障害復旧から考えるOracle Database, MySQL, PostgreSQLの違い
Ryota Watabe
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
abend_cve_9999_0001
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
Hiroshi Tokumaru
Recommended
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
Motohiko Sato
Glue DataBrewでデータをクリーニング、加工してみよう
Glue DataBrewでデータをクリーニング、加工してみよう
takeshi suto
ニューロテクノロジーの課題と未来
ニューロテクノロジーの課題と未来
Hiro Hamada
徳丸本ができるまで
徳丸本ができるまで
Hiroshi Tokumaru
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
Motohiko Sato
バックアップと障害復旧から考えるOracle Database, MySQL, PostgreSQLの違い
バックアップと障害復旧から考えるOracle Database, MySQL, PostgreSQLの違い
Ryota Watabe
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
abend_cve_9999_0001
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
Hiroshi Tokumaru
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
Masaya Tahara
PowerApps に Power BI を埋め込んでみよう!
PowerApps に Power BI を埋め込んでみよう!
Teruchika Yamada
心理的安全性の構造 デブサミ2019夏 structure of psychological safety
心理的安全性の構造 デブサミ2019夏 structure of psychological safety
Tokoroten Nakayama
CloudWatchの使い方
CloudWatchの使い方
ShinsukeYokota
DI(依存性注入)について
DI(依存性注入)について
Yui Ito
実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性
実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性
Noriyuki Mizuno
大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021
大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021
Graat(グラーツ)
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
gree_tech
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Kazumi IWANAGA
データ活用を加速するAWS分析サービスのご紹介
データ活用を加速するAWS分析サービスのご紹介
Amazon Web Services Japan
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~
Tetsuo Yamabe
AWS認定12冠制覇への道
AWS認定12冠制覇への道
Junji Koide
5分で解るセキュアコーディング
5分で解るセキュアコーディング
Yasuo Ohgaki
DAOの定義と仕組みについて.pdf
DAOの定義と仕組みについて.pdf
ssuser27ade9
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
Hiroshi Tokumaru
WebSphere Application Server V8.5.5Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51
WebSphere Application Server V8.5.5Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51
Takakiyo Tanaka
流行りの分散表現を用いた文書分類について Netadashi Meetup 7
流行りの分散表現を用いた文書分類について Netadashi Meetup 7
Teruyuki Sakaue
Scrum-Fest-Sapporo-2021-Keynote-Our-Journey
Scrum-Fest-Sapporo-2021-Keynote-Our-Journey
Kenji Hiranabe
Jakarta CDI 4.0
Jakarta CDI 4.0
Satoshi Kubo
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
mkoda
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
Masanori KAMAYAMA
More Related Content
What's hot
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
Masaya Tahara
PowerApps に Power BI を埋め込んでみよう!
PowerApps に Power BI を埋め込んでみよう!
Teruchika Yamada
心理的安全性の構造 デブサミ2019夏 structure of psychological safety
心理的安全性の構造 デブサミ2019夏 structure of psychological safety
Tokoroten Nakayama
CloudWatchの使い方
CloudWatchの使い方
ShinsukeYokota
DI(依存性注入)について
DI(依存性注入)について
Yui Ito
実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性
実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性
Noriyuki Mizuno
大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021
大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021
Graat(グラーツ)
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
gree_tech
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Kazumi IWANAGA
データ活用を加速するAWS分析サービスのご紹介
データ活用を加速するAWS分析サービスのご紹介
Amazon Web Services Japan
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~
Tetsuo Yamabe
AWS認定12冠制覇への道
AWS認定12冠制覇への道
Junji Koide
5分で解るセキュアコーディング
5分で解るセキュアコーディング
Yasuo Ohgaki
DAOの定義と仕組みについて.pdf
DAOの定義と仕組みについて.pdf
ssuser27ade9
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
Hiroshi Tokumaru
WebSphere Application Server V8.5.5Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51
WebSphere Application Server V8.5.5Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51
Takakiyo Tanaka
流行りの分散表現を用いた文書分類について Netadashi Meetup 7
流行りの分散表現を用いた文書分類について Netadashi Meetup 7
Teruyuki Sakaue
Scrum-Fest-Sapporo-2021-Keynote-Our-Journey
Scrum-Fest-Sapporo-2021-Keynote-Our-Journey
Kenji Hiranabe
Jakarta CDI 4.0
Jakarta CDI 4.0
Satoshi Kubo
What's hot
(20)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
「DevSecOpsとは?」の一歩先 (CloudNative Days Tokyo 2021)
PowerApps に Power BI を埋め込んでみよう!
PowerApps に Power BI を埋め込んでみよう!
心理的安全性の構造 デブサミ2019夏 structure of psychological safety
心理的安全性の構造 デブサミ2019夏 structure of psychological safety
CloudWatchの使い方
CloudWatchの使い方
DI(依存性注入)について
DI(依存性注入)について
実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性
実践ソフトウェアエンジニアリング(第9版)~長年積み上げられた体系と各種技術との関連性
大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021
大企業のアジャイル導入で本質的に変えるべきこと - Agile Japan2021
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
データ活用を加速するAWS分析サービスのご紹介
データ活用を加速するAWS分析サービスのご紹介
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~
AWS認定12冠制覇への道
AWS認定12冠制覇への道
5分で解るセキュアコーディング
5分で解るセキュアコーディング
DAOの定義と仕組みについて.pdf
DAOの定義と仕組みについて.pdf
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
WebSphere Application Server V8.5.5Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51
WebSphere Application Server V8.5.5Libertyプロファイルのご紹介 #jjug_ccc #ccc_r51
流行りの分散表現を用いた文書分類について Netadashi Meetup 7
流行りの分散表現を用いた文書分類について Netadashi Meetup 7
Scrum-Fest-Sapporo-2021-Keynote-Our-Journey
Scrum-Fest-Sapporo-2021-Keynote-Our-Journey
Jakarta CDI 4.0
Jakarta CDI 4.0
Similar to お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
mkoda
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
Masanori KAMAYAMA
マイナンバー説明用スライド
マイナンバー説明用スライド
Seiji Noro
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
オラクルエンジニア通信
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
NISSHO USA
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁
KVH Co. Ltd.
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Hitachi, Ltd. OSS Solution Center.
Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用
マジセミ by (株)オープンソース活用研究所
20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome
Amazon Web Services Japan
Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20
龍弘 岡
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
Isao Takaesu
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
schoowebcampus
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
Hitachi, Ltd. OSS Solution Center.
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
Katsuya Yamaguchi
脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka
ichikaway
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
Shinichiro Kawano
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.
Similar to お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
(20)
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
診断員によるASMのすすめ 【第10回】サイバーセキュリティ勉強会2024冬 in 塩尻
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
マイナンバー説明用スライド
マイナンバー説明用スライド
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用
20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome
Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには― 現状維持か変革かを分けるポイント
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Recently uploaded
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
ivanwang53
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
ivanwang53
動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Components
okitamasashi
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
ivanwang53
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ivanwang53
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
Taka Narita
Recently uploaded
(6)
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Components
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
1.
お客様のセキュリティチェックを乗 り越えるための SaaS のアプローチ Cyber-sec+
Meetup vol.3 2024/03/12 幸田 将司 1
2.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved Who am I? 幸田将司: 所属: - 株式会社Levii - 株式会社バラエナテック 代表取締役 - SecuriST(R) 試験委員会 / CEH インストラクター - ISOG-J(WG1) - 診断 / 開発 / ISMS支援 ...etc SNS: - @halkichisec 2
3.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved Contents 1. SaaSが苦慮しているセキュリティ 2. セキュリティの評価基準 3. コストを下げるために 3
4.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved 誰向け? • サービス事業者 • セールス • デリバリー • 開発 • セキュリティ系 • CISO • 診断員 • サービス調達/選定する人 • 情シス 4
5.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved SaaSを提供しています(ダイマ) • Balus • システムモデリングをわかりやすくするツール • 名前は某ジブリ作品の呪文より • 登録商標で揉めてしまう 5 これのセキュリティの話
6.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス提供側として苦悩していること • どこまでセキュリティをやるべきか • 何にリソースを割くべきか • 認証規格を取得するべきか • お客様に使って欲しいが...セキュリティ的なハードルは高い • クラウドサービスの調達要件 • 官公庁は基準が高い • 我々はコストセンターである😭 6
7.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス調達の要求事項としてよくある例 1. 認証規格を取得しているか • ISO/IEC 27001(ISMS) • ISMAP • SOC2 • SSAE16,18 ...etc 7
8.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved SaaSが苦慮するセキュリティ • サービス調達の要求事項としてよくある例 2. セキュリティチェックシートの記入 • サービスが使用できるかどうか質問やチェックリスト形式で構成され た文書、大抵はエクセルで送られてくる。 • 顧客 ↔︎ セールス ↔︎ 開発でやり取りしてリソースが勿体無い 8 お客様毎に項目やフォーマット が異なるためコストがかかる
9.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved 何から取り組めば良いか • 頻発する要件をセキュリティチェックシートとして公開 • セキュリティチェックシートの対応ログを残しておき、その結果を社 内で共有する。 • 共有した項目から自社のセキュリティチェックシートを作成して公開 • コストが下がった • 開発のメリット • 顧客が要求する機能が把握できるので、実装が予想できる。 • 営業/デリバリーのメリット • 顧客↔︎セールスのリレーが少なくなるので顧客へのレスが早い 9
10.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved セキュリティチェックシートについて • よく聞かれる項目TOP5 1. アクセス制御 • IPアドレスによる制限が可能であるか • Basic/Digest認証が設定可能であるか • 利用者毎に管理者が設定可能であるか 2. 権限管理 • ユーザと管理者の領域がわかれているか 10 顧客が気にしていること Basic認証に使うからAPIの認証は Authorizationヘッダを避けるか… (safariは上書きしてしまう)
11.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved セキュリティチェックシートについて 3. ログの取得/監視(一例) • ログイン成功と失敗 • 異常ログの検知と通知 4. 脆弱性管理 • 脆弱性診断を実施しているか (どこまで実施するかは問われないことが多い) • 脆弱性管理が行われているかどうか 5. 第三者認証の取得 • ISO/IEC、SOC2等々... 11 コストはかかるが 何かしらの認証はあると良い
12.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved どこまで脆弱性管理をすればいい? • 攻撃表面を元にして考えると良い(ASM) • 例: • コーポレートサイト • 自社サービス • メール/VPN/ファイルサーバ等 • 担当者のメールアドレス 出典: 経済産業省ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~ https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html 12
13.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved • 自社サービスに紐づいているが、管理が忘れ去られているコン テンツ等 攻撃表面(Attack Surface)の例 ※IPに紐づくコンテンツサーバがなくとも サブドメインテイクオーバーの温床になる可 能性も。CNAME、Aレコード等 バグバウンティではよく報告されている ベンダーのために 開けておいた経路 13
14.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved 第三者認証を推す理由 • サービス事業者として要求される内容や管理施策が理解できる • SLAの設定 (稼働率の根拠や、侵害されてはならない理由が説明できる) • 情報資産とその監視対象の考え方 • 第三者の審査機関から指摘がある • 問題のある管理に気がつける • 外圧がなければ変われない組織におすすめ 14
15.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • ISO/IEC27017 • ISO27001(ISMS)のクラウドサービス版 • ISMSのアドオンとして存在するため、ISMS + ISO27017で取得する • CSP又は、CSPとCSCとして認証する必要がある。 • CSP(クラウドサービス提供者) • AWSやGCP等、プラットフォーム提供側 • CSC(クラウドサービス利用者) • クラウドサービス利用者側 15 組織全体 ISMSの認証範囲 クラウドセキュリティ (ISO27017)の範囲
16.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • 要件(CSPとしての一例) • 9.2.1 利用者登録及び登録削除... アカウントの登録/削除ができるか • 8.2.2 情報のラベル付け... 情報のラベル付けができるか • 10.1.1 暗号による管理策の利用方針... 情報の暗号化ができるか • 12.3.1 情報のバックアップ • 12.6.1 技術的ぜい弱性の管理... 脆弱性管理がされているか • 要件(CSCとしての一例) • 9.2.3 特権的アクセス権の管理... 管理者アカウントを制限し、他要素認 証を使用する • 16.1.2 情報セキュリティ事象の報告... インシデント情報の管理 16
17.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved 認証規格の例(ISO27017 クラウドサービス) • 前項の内容で適用宣言書を作成し、審査を受ける 17 出典: ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項 https://isms.jp/doc/JIP-ISMS517-10.pdf 100項目以上あるため、 コンサル系サービスを利用するのが吉
18.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved クラウドサービスの参考資料 クラウドサービス利用・提供における適切な設定のためのガイドライ ン : 総務省 2022 https://www.soumu.go.jp/main_content/000843318.pdf • 運用上のベストプラクティスがあるため参考になる クラウドサービスレベルのチェックリスト : 経産省 https://warp.da.ndl.go.jp/info:ndljp/pid/8658576/www.meti.go.jp/press/201008160 01/20100816001-4.pdf • ちょっと古い(2010年) 18
19.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved • 内部からの調査は部署を横断する必要がある。 • インシデント例 • (2021年)内閣サイバーセキュリティセンター(NISC)の情報漏洩 • 内部で使用していたプロジェクト情報共有ツールへの不正アクセス • 組織内部で使用している端末やツールの特定を行う • ISMS(ISO27001)を取得しているなら情報資産管理/リスク台帳があるはず • 管理している部署と連携をとることを推奨 • シャドーITの制限も忘れずに 攻撃可能領域の探し方(内部) 19
20.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved 参考: 組織を巻き込む • そもそも職務により目的/視点が違うため、各チームの代表を まきこんでモデリングすると、少しスムーズに進むかも • セキュリティチェックシートを作る際のMTGの例 20 それぞれのロールの 背景や目的を同じ視点でみる ための手法
21.
Copyright ©︎ [BalaenaTech
Co., Ltd.] 2024 All rights reserved おわり • ご清聴ありがとうございました 21
Download now