Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
情報処理安全確保支援士の視点で考える中小企業におけるセキュリティ対策
Search
Yasuhiro Matsuda
January 10, 2024
Technology
410
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
情報処理安全確保支援士の視点で考える中小企業におけるセキュリティ対策
1/10(水)に開催されました 第3回 NICT北陸連携サロン
で登壇した資料です。
Yasuhiro Matsuda
January 10, 2024
More Decks by Yasuhiro Matsuda
See All by Yasuhiro Matsuda
生成AI活用セミナー
matyuda
0
43
中小企業だからこそ狙われる現実を知る
matyuda
0
220
現場で活かす生成AI実践セミナー「広報×AI活用」編
matyuda
0
450
いしかわ暮らしセミナー~知って安心!移住とお金講座~
matyuda
0
250
AI活用ワークショップ
matyuda
0
370
AIを活用した広報と事業計画を一気に学ぶワークショップ
matyuda
0
330
AWSを活用したAIサービス開発(フルバージョン)
matyuda
0
130
AWSを活用したAIサービス開発
matyuda
0
240
マーケティング実践とデジタル活用
matyuda
0
440
Other Decks in Technology
See All in Technology
本当の”仕事”を手放せる未来が見えた
mu7889yoon
0
200
背中から、背中へ /paying forward to community
naitosatoshi
0
180
Multi-Agent並列開発を 安全に回すための技術 / Technology for Safely Multi-Agent Parallel Development
tooppoo
0
230
技術・能力を向上する原理原則 #きのこセッションa #きのこ2026
bash0c7
0
190
AWS PrivateLink × SCIM で実現する セキュアで運⽤負荷の低い Databricks 基盤の構築
tsuda7
0
110
プライバシー保護の理論と実践
lycorptech_jp
PRO
1
120
From Prompt Engineering to Loop Engineering
shibuiwilliam
1
300
toB プロダクトから見たWAF
tokai235
0
260
ご挨拶「10周年を迎える共創ラボのこれまでとこれから」
iotcomjpadmin
0
160
AIは、人間らしい仕事の夢を見るか?─ AI時代のtoB/toEプロダクトを再設計する
techtekt
PRO
0
190
そこにあるから地図ができる~位置を示す"モノ"を愉しむ~ - Interface 2026年6月号GPS特集オフ会 / interface_202606_GPS_offline
sakaik
1
140
PostgreSQL 19 新機能概要 OSC Hokkaido 2026
nori_shinoda
0
260
Featured
See All Featured
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
aleyda
1
1.3k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
32
2.9k
Navigating Team Friction
lara
192
16k
What does AI have to do with Human Rights?
axbom
PRO
1
2.2k
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.9k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
reverentgeek
1
480
GraphQLの誤解/rethinking-graphql
sonatard
75
12k
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
The SEO Collaboration Effect
kristinabergwall1
1
490
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
11k
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
PRO
1
1.3k
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
helenjbeal
1
250
Transcript
情報処理安全確保支援士の視点で考える 中小企業におけるセキュリティ対策 2024/01/10 松田 康宏
仕事 ▮ AWSを活用した辞書検索サービスDONGRIの インフラエンジニア(イースト株式会社) 士業資格 ▮ 情報処理安全確保支援士 ファイナンシャル・プランニング技能士2級(AFP) 中小企業診断士 主な活動
▮ JAWS-UG 金沢支部コアメンバー JAWS-UG 事務局長 AWS Community Builder 中学校のPTA会長 座右の銘 ▮ 一塁ベースを持って二塁に盗塁する 松田 康宏 まつだ やすひろ
本日持ち帰っていただきたいこと ・中小企業の現状を把握できるようになる ・中小企業に対してできるセキュリティ対策とBCP対 策について理解できるようになる ・インシデントハンドリングについての考慮事項を理解 できるようになる
・企業数の99.7%は中小企業・小規模事業者 ・従業員数の約70%は中小企業に雇用されている 出所:中小企業白書2021年 なぜ中小企業の話をしようとしているのか 中小企業の特徴として、ヒト、モノ、カネが限られる ヒト・・・情報システム担当者不在 モノ・・・データは各コンピュータにある カネ・・・古いOSが未だに動いている
サプライチェーンの弱点を悪用した攻撃が順位を上げており、中小企 業も攻撃対象になりうる 中小企業にはセキュリティ対策は関係ない? 昨年 順位 個人 組織 昨年 順位 ー
フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 ー ー ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪用した攻撃 ↑ ー メールやSMS等を使った脅迫・詐欺の手口による 金銭要求 3位 標的型攻撃による機密情報の窃取 ↓ ー クレジットカード情報の不正利用 4位 内部不正による情報漏えい ↑ ー スマホ決済の不正利用 5位 テレワーク等のニューノーマルな働き方を 狙った攻撃 ↓ 情報セキュリティ10大脅威 2023
・セキュリティ サプライチェーン攻撃を考えれば、対策は重要 情報資産は何かを特定して最低限のコストで対策を考える ・バックアップ どの情報資産をいつの時点でいつまでに復旧しなければならないか 優先順位を考えて最小限のコストで対策を考える バックアップをとっているけれど、本当に復元できるだろうか? でも、システムがお金をうまない2大要素のうちの一つ
優先順位の付け方 リスクマネジメント 情報資産に関するリスク源(脅威・脆弱性等)とそれにより発生する事象及びその結果と しての損失を特定して、それらの起こりやすさを算定する。 偽装メールで マルウェアが 社内に侵入 端末に残留 する脆弱性を 利用し感染
感染端末を 権限を奪取し 遠隔操作 サーバへ アクセスして データを窃取 窃取した データを 社外へ流出 顧客からの 信用失墜、 業務の 一時停止 リスク源 事象 結果 リスク算定の例 ALE(年間損失見込み額)= SLE(単一損失予想)× ARO(年間発生率)
影響度 高 影響度 低 発生確率 低 発生確率 高 リスク移転 (共有)
リスク回避 リスク保有 リスク低減 (最適化) 原因を取り除くことで、 リスクの脅威を避ける リスクを受容可能なレベルまで 減らす(影響度・確率共に) リスクの結果と責任を 第三者へ移す 消極的な保有と、 積極的な保有がある リスク対応の方法 算定した結果を、あらかじめ決めたリスク基準に知らして受容・許容するか何らかのリスク 対応を適用するのかを決定する。
・事業所拠点とは別の場所でバックアップが取得されている (BCP対策) ・バージョニング設定によって、ランサムウェアによる感染が発生して も元に戻せる リスク対応で考えるならばクラウドへのバックアップは有用
中小企業でも簡単にできるセキュリティ対策 ・リモートワーク時の留意点 ・パソコンの盗難防止 ・記憶媒体の取扱
リモートワークにおける留意点について (自宅や公共スペースのWi-Fiを使用しての業務等) ▋プライバシーフィルターをつけること ▋パスワードを必要としないアクセスポイントには接続しな いこと ▋店内にパスワードが貼りだされているアクセスポイントや、 客室共通パスワードとなっているアクセスポイントには接続 しないこと ▋離席時に画面をロックすること ▋データをパソコン内に保存しないこと
▋操作ログが取得されていることを従業員へ通知するこ と 公共スペースでの作業は通信が盗聴されるだけでなく、画面を直接のぞき見されるこ とにも注意する必要がある
パソコンの盗難防止措置の必要性 ▋パソコンだけでなく、NASなどのデータを保存している端末にはチェーンロックなど盗難防止を 施すことが望ましい(機器がなくなることへの対策ではなく、データが持ち出されることへの対 策) ▋盗難された場合のデータの流出を防止するため、ログインパスワードの設定、(Windows 10 Professional 以降の場合には)BitLocker 暗号化を有効にすることを検討
記憶媒体(USB等)の取扱について ▋記憶媒体は原則利用せず、データの受渡にはOneDriveやGoogle Driveなどファイル 共有の仕組みを利用する ▋やむを得ず利用せざるを得ない現場では、台帳管理を徹底し、出所が分からないUSB や他人のUSBはパソコンに接続しないことを心がける 媒体を紛失した場合のリスクが大きいだけでなく、接続した際のウィルス感染リスクも考 慮する
インシデント発生に備えて MicroHardeningにチャレンジしてみよう! 仮想のショッピングサイトの運営管理者となり、クローラーによるネッ トショッピングの可用性を保証するゲームイベント。 45分×3セットで行われた。 タイムテーブル イベント 13:00~14:00 事前説明 14:00~14:45
1セット目 14:45~15:15 振り返り・休憩・準備 15:15~16:00 2セット目 16:00~16:30 振り返り・休憩・準備 16:30~17:15 3セット目
オンラインとオフラインの違い オンライン(2022) オフライン(2023) 参加メンバー セキュリティに精通した方1名 企業在籍者2名 情シスの方1名 金沢工大の方2名 参加した場所 自宅
金沢商工会議所 最高スコア(最大218,140) 117,015(3回目) 119,780(2回目) 最高SLA(最大100%) 87%(3回目) 77%(2回目) 防御点(最大28) 3(3回目) 10(3回目) コミュニケーション やりにくい やりやすい 自分の役割 セキュリティに精通した方と分担 しながらの作業 他のメンバーにお願いするこ とをしつつ、主体的に作業 いずれも初対面だったため、参加メンバーの考え方、スキルを意識しながら自分の役割を 変化させることが重要
参加して重要だと感じたこと • コンソールを見るだけではなくビジネスも見る →2023年で優秀賞をとれた理由は「何もできないと言われた工大生にサイトの見回りを お願いした」こと • 恒久対策と暫定対策を分ける • 作業プロセスの記録、共有に心がける •
元に戻すことができる準備を意識する バックアップは取れているか? • サービス稼働状況の調査を素早くできるようにする • 不審ログに関する調査
さいごに #サイバーセキュリティは全員参加