これでスッキリ!!サイバーセキュリティ経営ガイドライン

Size: px
Start display at page:

Download "これでスッキリ!!サイバーセキュリティ経営ガイドライン"

Transcription

1 これでスッキリ! サイバーセキュリティ経営ガイドライン

2 サイバーセキュリティ脅威はすぐそこに はい 悪いが任せた 至急対応を頼む 今日は忙しいんだ わかりました 会社のネットワークに外部 から不正なアクセスがあった 模様です なんだって 社長 大変です 1 2 昨日 A君の席にて 営業セミナーのお知らせ おやっ 添付ファイルがある 開いてみるか 新着メール 4 6 何も起きないぞ 変なの 5 情報システム部門にて 7 後日 会議にて 先日の件 調査結果と しては 幸いなことに 機密情報が 漏えいした 形跡はありま せんでした 2 あら いつもと違う 通信が発生 している これは おかしいわ 8 それはよかった ちょっと待ってください 本件は情報システム部門だけの 今後の対応は 問題ではなく経営問題です 全部部長に 任せるよ うまいことやって おいてくれ 社長にもしっかり関わって いただく必要があります 11 そ そうか

3 セキュリティ対策を怠ることによるリスク セキュリティはそんなに 大切なのか こちらをご覧ください もし セキュリティ事故が 発生してしまった場合 我社の損害は計りしれません セキュリティ対策を怠ると セキュリティ事故が発生した際に 会社の損害賠償 だけにとどまらず 役員の業務違反による個人責任 を 追及される可能性があります 会社の損害賠償は 496万63人 漏えい人数 799件 インシデント件数 想定損害賠償総額 2541億3663万円 6578人 一件あたりの漏えい人数 一件あたり平均想定損害賠償額 3億3705万円 一人あたり平均想定損害賠償額 2万8020円 情報漏えいによる 1人あたりの平均損害 賠償額は約3万円です 我社では約10万件の 個人情報を管理している ので 理論上30億円の 損害です 30億 それはマズイ 出典 JNSA 2015年 情報セキュリティインシデントに関する調査 報告書 速報版 Ver.1.0 問われる責任は 事故発生時には次の責任を問われます 1 事業者の責任 1 役員責任 2 個人情報保護法上の責任 3 ユーザの顧客に対する民事責任 うちの弁護士によると セキュリティ対策を怠る と 会社法上の 内部統 制構築義務違反 として 会社 法人 のみならず 役員個人の責任も 問われる可能性がある ようですよ 2 データ流出 消失関与者の責任 3 委託事業者の責任 民事上 契約上の損害賠償責任 俺個人も 訴えられるのか 3

4 サイバーセキュリティ経営ガイドライン 困ったな~ なんとかしないと いったい何から始めたらいいのやら 経済産業省が サイバーセキュリティ経営ガイドライン を発表しています まずはこれを読んで頂けますか! サイバーセキュリティ経営ガイドライン Ver 1.0 経済産業省独立行政法人情報処理推進機構 経済産業省 サイバーセキュリティ経営ガイドラインとは? 民間企業の経営者向けにサイバー攻撃から企業を守る原則や 重要項目をまとめたガイドラインです 2015 年 12 月に経済産業省より公開されました 主な内容として 経営者が認識すべき3 原則 経営者が指示すべき重要 10 項目 が紹介されています サイバーセキュリティ経営ガイドライン Ver 1.0 サイバー攻撃から企業を守る原則 重要事項を記載 民間企業 経営者 経済産業省独立行政法人情報処理推進機構 経済産業省 経営者が認識すべき 3 原則 経営者が指示すべき重要 10 項目 ガイドライン策定の背景 サイバー攻撃により社会に損害を与えた場合 社会からリスク対応の是非 経営責任が問われることもあります 経営者は どの程度 セキュリティ投資を行って企業価値を高めるか 経営判断が求められます そこで 経営層の意識改革 経営能力を高めるサイバーセキュリティ人材の育成 等を目的として本ガイドラインは策定されました 4 経営者向けということは 俺がちゃんと理解しないといけないということだな はい そうです! 社長が主体的に取り組んでいただく必要があります やっと気づいてくれたか

5 経営者が認識すべきサイバーセキュリティの 3 原則 なるほど では 具体的には どんなことをしていけばいいのだろうか まず ガイドラインには 経営者が認識すべき 3 原則 があります 3 原則 1 経営者によるリーダーシップ 2 系列企業 ビジネスパートナーを含めた対策 3 平時 緊急時の情報開示及び情報共有 経営者が認識すべきサイバーセキュリティの 3 原則とは? サイバー攻撃から企業を守るうえで経営者が認識すべきことをまとめています 其の一経営者によるリーダーシップ セキュリティ効果の算出は難しく 投資を敬遠しがちです ですが 経営者はIT 利活用におけるサイバーセキュリティリスクをしっかりと認識し 自身のリーダーシップにより対策を進める必要があります うちは認識が甘かったかもしれん サイバーセキュリティについてもっと真剣に取り組まないと 其の弐系列企業 ビジネスパートナーを含めた対策 自社だけでなく 系列企業 ビジネスパートナー 委託先を含めたセキュリティ対策が必要です 系列企業 委託先 ビジネスパートナーの情報漏えいは自社の情報漏えいに直結します 委託先社員の情報漏えいはよく聞く話だな うちは大丈夫だろうか 其の参平時 緊急時の情報開示及び情報共有 サイバーセキュリティリスクや対策 対応に係る情報の開示など 関係者との適切なコミュニケーションが必要です たとえば 平時から適切なセキュリティリスクへの対応に関わる情報共有を行ったり サイバー攻撃情報をステークホルダーと共有します 普段から対策を行っていることを共有すれば 顧客 株主へのアピールにもなるな 5

6 経営者が指示すべき重要 10 項目 なるほど 3 原則については理解したぞ では 3 原則を実現するためには どんな取り組みが必要だろうか そうですね ガイドラインには 経営者が指示すべき重要 10 項目 も提示されています その中のいくつかを紹介しますね 重要 10 項目 1. ~ 省略 ~ リスクの把握と実現する ~ 4. セキュリティ対策の ~ ~ 省略 ~ 9. 緊急時の対応体制 ~ 経営者が指示すべき重要 10 項目とは? 経営者が責任者となる担当幹部に指示すべきことをまとめています 項目 3 リスクの把握と実現するレベルの目標 計画策定 について サイバー攻撃のリスク ( 営業秘密の流出による損害など ) を識別し リスク分析を行います リスク分析結果より リスク管理策 ( 低減 回避 移転等 ) の計画策定を行います ❶ リスク分析 ❷ リスク管理策の計画策定 製品 サービス導入 設備更新 セキュリティ責任者セキュリティ担当者 システム構成見直し 外部委託 項目 4 セキュリティ対策のフレームワーク構築と開示 について サイバーセキュリティリスクに継続して対応可能な PDCA 体制 ( プロセス ) を整備します また 対策などを 情報セキュリティ報告書 CSR 報告書等で情報開示します Action 改善方針 Plan 状況把握施策立案 リスク分析 PDCA は重要だが イマイチイメージがわかないなぁ 具体例はないかね Check 評価 分析 6 Do 実行 先日 NEC の例を聞いてきましたので 紹介しますね

7 日頻度の目安四半期対策分析毎経営者が指示すべき重要 10 項目 項目 3 リスクの把握と実現するレベルの目標 計画策定 の具体例 NEC では 守るべき資産に対するサイバーセキュリティリスクを分析し 経営トップに対してリスクや影響度などの情報を共有するとともに リスクに応じた計画を策定します また 分析結果から計画を立案するとともに 施策へのフィードバックも実施するそうです NEC のサイバーセキュリティリスク分析の例 リスク分析の種類 サイバー脅威分析 監視運用分析 ソリューション IT 分析 関連する主な活動 攻撃の監視や対処 サイバー事案対応 マルウェア解析 脅威 / 脆弱性の情報収集やサービス活用 各機関との情報共有 セキュリティ管理センター (SOC) や CSIRT *1 によるサイバーセキュリティ運用 国内外のカンファレンス参加 / 調査 外部機関やベンダーとの情報共有 PoC *2 等の導入評価 情報セキュリティ戦略会議での計画審議 / 承認 / 実績評価 *1 CSIRT コンピュータセキュリティインシデントに対応するための専門チーム *2 PoC 実際のシステム構成で 性能などを事前検証すること NEC では サイバーセキュリティリスク分析を踏まえ 対策を実施します たとえば 標的型攻撃対策では ゲートウェイ対策 PC/ サーバ対策 人的対策を多層的に実施するそうです ゲートウェイ対策 PC サーバ対策 人的対策 NEC の標的型攻撃対策の例 全社向け特定部門 対象向け未知のマルウェア検知システム導入メールサーバの対策強化 ( 送信ドメイン認証等 ) PC サーバの脆弱性対策強化サーバセキュリティ対策ガイド活用徹底暗号化徹底脆弱性緩和 SW 等導入標的型攻撃に関する教育 訓練 ここまでやらないといけないのか うちでやるのは大変そうだな 7

8 経営者が指示すべき重要 10 項目 ( 項目 3 4 について ) 項目 4 セキュリティ対策のフレームワーク構築と開示 の具体例 NEC では国内だけでなくグローバルで接続している 150 拠点以上に対しても サイバーセキュリティリスクや脅威動向を把握しながら PDCA を実施しており これらの取り組みを毎年 情報セキュリティ報告書 として公開しているそうです 来年度以降の計画ポイント 見直し / 改善ポイント Plan 情報セキュリティを統括する担当役員 (CISO*) 配下の組織において 自社の IT インフラだけでなく お客様へ提供する製品 サービスの対策も含めて国内外共通で計画策定 サイバーセキュリティ実行計画 Action 各組織に情報セキュリティ管理責任者を置き 状況に応じて ルール / 計画 / 施策の修正見直し 改善 NEC 情報セキュリティ基本方針 Do 海外現地法人を含む NEC グループ全社 約 1,600 社のサプライチェーンパートナーに対する指示 / 実行 / 進捗把握 CISO による実績評価結果 課題 残留リスク Check NEC 内 18 万台の運用実績を持つ基盤と知見でリスクを管理 サイバー脅威動向とリスク把握 施策の有効性分析と実績評価 インシデント把握 対応評価 監査 / 点検状況評価 サイバーセキュリティ維持 リスク / インシデント低減 進捗管理 情報セキュリティ報告書 2016 Information Security Report 2016 *CISO 最高情報セキュリティ責任者 企業内で情報セキュリティを統括する担当役員 ステークホルダへの報告 ( 情報セキュリティ報告書等 ) 情報セキュリティ報告書 なるほど ここまで大がかりだと うちの中だけで行うのはかなり大変そうだな セキュリティ投資についても真剣に考えないと そうですね うちのリソースだけで行うのは限界とリスクがあるので各種セキュリティ支援サービスも考慮した方がいいですね そうだな セキュリティ支援サービスか NEC に相談できたら安心だな 8

9 順書集合教育 経営者が指示すべき重要 10 項目 ( 項目 9 について ) 項目 9 緊急時の対応体制整備と定期的な演習の実施 について 緊急時の対応体制を構築し 関係機関との連携や ログの調査を速やかにできるように指示します また いつ攻撃を受けても対応できるように 集合教育による演習 ( サイバー攻撃への対応等 ) や緊急対応手順のリハーサル等も定期的に行います 緊急時の対応体制整備 定期的な演習の実施 緊急対応リハーサル手項目 9 緊急時の対応体制整備 の具体例 NEC グループ内において サイバー攻撃を監視し 攻撃やマルウェアの特徴等を分析するとともに インシデント発生時には証拠の保全や攻撃の解析を実施し 原因究明や事態の収束を行う専門組織を整備しているそうです NEC の対応体制整備の例 外部機関 (IPA,JPCERT, 警察庁等 ) 情報提供 フィードバック 報告 研修 / 演習 / 訓練指示セキュリティ専門組織調整 セキュリティ管理センターインターネットサービスセンター CSR 部門 人事部門 法務部門 広報部門 社内情シス部門 ユーザ報告 (ML 等 ) システムでの検知 検知 未知のマルウェアの探索 解析 フォレンジック解析 ログ解析 パケット解析 内部不正の捜査 対策の指示 連携 技術開発事業部研究所外部ベンダー やはり専門組織が必要なのか うちは情シス部門に任せっきりだったが 対応体制について一度真剣に考えないといかんなぁ 9

10 経営者が指示すべき重要 10 項目 項目 9: 定期的な演習の実施 の具体例 NEC では 訓練として対象者に疑似的な標的型攻撃メールを送信し 攻撃への注意力向上を図るとともに 訓練結果の分析による施策へのフィードバックを実施しているそうです NEC の演習実施例 疑似メールを配信 注意力の向上 リンクやファイルをクリックされた方には訓練である旨を表示 セキュリティ訓練です 実施部門 訓練対象部門 イメージサンプル どこまでの対応が必要かは組織の規模によって様々ですし まずは NEC のアセスメントサービスを受けてみませんか 重要 10 項目すべてについて相談に乗ってもらえますよ! よし 何をぐずぐずしてるんだ! 早速 NEC に連絡だ! 参考 経営者が指示すべき重要 10 項目 リスクの認識と組織全体での対応の策定リスクの管理体制構築リスクの把握と実現するレベルの目標 計画策定セキュリティ対策のフレームワーク構築と開示サプライチェーンを含めたセキュリティ対策セキュリティ対策のためのリソース確保 ITシステム管理外部委託時のセキュリティ確保攻撃情報の入手と有効活用のための環境整備緊急時の対応体制整備と定期的な演習の実施インシデント発生時の対応準備 10 詳しくは右の Web サイトをご覧下さい

11 NEC が提供するサービス STEP 1 対策状況の見える化 サイバーセキュリティ経営ガイドライン対応セキュリティリスクアセスメント STEP 2 リスクへの対処 まずはリスクを見える化し 優先度をつけて対応する必要があるようです セキュリティコンサルティング お客様の情報セキュリティの運用体制や対策の分析により お客様に最適な展開方法や運用まで含めた今後のセキュリティ施策を立案し お客様をサポートします 情報セキュリティコンサルティングお客様の情報セキュリティ対策の現状を分析し 将来のIT 投資を視野に入れた情報セキュリティの整備計画や御社に適したセキュリティポリシーをご提案します 情報セキュリティポリシー策定サービス 情報セキュリティリスクアセスメントサービス CSIRT 構築支援サービス 情報セキュリティ監査サービス 脆弱性診断分析コンサルティングネットワークに接続されるサーバ クライアント ネットワーク機器やWebアプリケーションの脆弱性を診断し 分析結果の報告や今後必要な対策をご提案します プラットフォーム脆弱性診断サービス Web アプリケーション脆弱性診断サービス サイバーセキュリティ人材育成支援 セキュリティ基礎教育やサイバー攻撃の疑似体験演習などを通じて 従業員のセキュリティ意識向上や技術レベルの強化を支援します セキュリティインシデント対応教育 標的型攻撃メール対応トレーニング マルウェア感染体験トレーニング e ラーニング教材標的型攻撃メール対策 他にも様々なソリューションがあるそうですよ 詳細は NEC のホームページ ( で確認できます! よし 早速 ホームページにアクセスだ! 11

12 これでスッキリ! サイバーセキュリティ経営ガイドライン お問い合わせ NEC サイバーセキュリティ戦略本部 年 9 月初版 NEC Corporation 2016

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション サイバーセキュリティにおける 脅威の現状と組織の対応 営業秘密官民フォーラム 2016.6.15 独立行政法人情報処理推進機構参事兼セキュリティセンター長江口純一 内容 サイバーセキュリティの概況 脅威の現状 ランサムウェア 内部不正 組織の対応状況 CISO CSIRT の状況 ( 日 米 欧比較 ) 2 サイバーセキュリティの概況 ~ 増大する脅威 ~ GSOC センサーで認知された政府機関への脅威の件数の推移

More information

NEC Security Vision 社会から信頼される情報セキュリティリーディングカンパニーを目指して 人と地 球にやさしい 情 報 社 会 セキュアな情報社会の実現 お客さまへの価値提供 ステークホルダーへの 適切な報告 情報開示 信頼される製品 サービス 情報セキュリティ ソリューションの提供 社会的 責任 セキュリティを考慮した 開発プロセス お客さま お取引先から お預かりした情報資産を守る

More information

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E > 身近な情報利活用による生活環境の事例をベースに ネットワークがなかった時代の生活環境と比較させながら IT により生活が豊かに変化したことについて解説します 1. 身近な情報利活用の事例 スライド上部の事例を紹介します 学生が利用している情報サービスについて問いかけます IT によって実現していることについて説明します 2. ネットワークがなかった時代 スライド上部の事例を活用し 過去の事例を紹介します

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション 公表予定 資料 6 サイバーセキュリティ対策 2017 年 6 月 14 日独立行政法人情報処理推進機構技術本部セキュリティセンターセンター長江口純一 IPA/ISEC( セキュリティセンター ) の使命と事業の支柱 使命 経済活動 国民生活を支える情報システムの安全性を確保すること 1 ウイルス 不正アクセス及び脆弱性対策 ウイルス 不正アクセスの届出 相談受付 脆弱性関連情報の届出受付 分析 提供

More information

サイバーセキュリティ経営ガイドライン Ver 1.1 経済産業省 独立行政法人情報処理推進機構

サイバーセキュリティ経営ガイドライン Ver 1.1 経済産業省 独立行政法人情報処理推進機構 サイバーセキュリティ経営ガイドライン Ver 1.1 経済産業省 独立行政法人情報処理推進機構 目次 サイバーセキュリティ経営ガイドライン 概要 1. はじめに... 1 1.1. サイバーセキュリティ経営ガイドラインの背景と位置づけ... 1 1.2. 本ガイドラインの構成と活用方法... 4 2. サイバーセキュリティ経営の3 原則... 5 (1) 経営者は IT 活用を推進する中で サイバーセキュリティリスクを認識し

More information

PwC IPO 情報システム Autofacts( オートファクツ ) PwC あらた有限責任監査法人 IPO ソリューション部マネージャー加藤誠 はじめに現在の情報システムは インターネットや無線通信の高速化 コンピュータシステムの高性能化 クラウドサービスの普及などにより 企業のさまざまな業務に

PwC IPO 情報システム Autofacts( オートファクツ ) PwC あらた有限責任監査法人 IPO ソリューション部マネージャー加藤誠 はじめに現在の情報システムは インターネットや無線通信の高速化 コンピュータシステムの高性能化 クラウドサービスの普及などにより 企業のさまざまな業務に PwC s View 特集 : 組織再編税制等に関する税制改正 Vol. 8 May 2017 www.pwc.com/jp PwC IPO 情報システム Autofacts( オートファクツ ) PwC あらた有限責任監査法人 IPO ソリューション部マネージャー加藤誠 はじめに現在の情報システムは インターネットや無線通信の高速化 コンピュータシステムの高性能化 クラウドサービスの普及などにより

More information

目次 サイバーセキュリティ経営ガイドライン 概要 1. はじめに... 1I 1.1. サイバーセキュリティ経営ガイドラインの背景と位置づけ 本ガイドラインの構成と活用方法 サイバーセキュリティ経営の3 原則... 5 (1) 経営者は IT 活用を推進する中で

目次 サイバーセキュリティ経営ガイドライン 概要 1. はじめに... 1I 1.1. サイバーセキュリティ経営ガイドラインの背景と位置づけ 本ガイドラインの構成と活用方法 サイバーセキュリティ経営の3 原則... 5 (1) 経営者は IT 活用を推進する中で サイバーセキュリティ経営ガイドライン Ver 1.0 経済産業省 独立行政法人情報処理推進機構 目次 サイバーセキュリティ経営ガイドライン 概要 1. はじめに... 1I 1.1. サイバーセキュリティ経営ガイドラインの背景と位置づけ... 1 1.2. 本ガイドラインの構成と活用方法... 4 2. サイバーセキュリティ経営の3 原則... 5 (1) 経営者は IT 活用を推進する中で サイバーセキュリティリスクを認識し

More information

内部不正を防止するために企業は何を行うべきなのか

内部不正を防止するために企業は何を行うべきなのか 内部不正を防止するために企業は何を行うべきなのか 2015/2/26 株式会社日立ソリューションズハイブリットインテグレーションセンタプロダクト戦略部第 2 グループ 部長代理中川克幸 Contents 1. 最近のセキュリティ事件 事故 2. 経済産業省からの周知徹底要請 3. 内部不正を防ぐための管理のあり方 4. 参考になりそうなガイドライン 1 1. 最近のセキュリティ事件 事故 最近のセキュリティ事件

More information

E 年 2 月 26 日 サービス & セキュリティ株式会社 e-gate センター サプライチェーン攻撃の脅威と対策について 1. 概要 サプライチェーン攻撃のリスクはかねてから指摘されていました 経済産業省が 2015 年に公表した サイバーセキュリティ経営ガイドライン

E 年 2 月 26 日 サービス & セキュリティ株式会社 e-gate センター サプライチェーン攻撃の脅威と対策について 1. 概要 サプライチェーン攻撃のリスクはかねてから指摘されていました 経済産業省が 2015 年に公表した サイバーセキュリティ経営ガイドライン 2019 年 2 月 26 日 サービス & セキュリティ株式会社 e-gate センター サプライチェーン攻撃の脅威と対策について 1. 概要 サプライチェーン攻撃のリスクはかねてから指摘されていました 経済産業省が 2015 年に公表した サイバーセキュリティ経営ガイドライン で 経営者が認識すべき 3 原則の 2 番目に 自社のみならず 系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要

More information

<4D F736F F F696E74202D208AE98BC682CC8FEE95F1835A834C A CE8DF482C98AD682B782E98EC091D492B28DB895F18D908F DC58F49816A2E >

<4D F736F F F696E74202D208AE98BC682CC8FEE95F1835A834C A CE8DF482C98AD682B782E98EC091D492B28DB895F18D908F DC58F49816A2E > 企業の情報セキュリティ対策に関する実態調査報告書 はじめに はじめに サイバー攻撃による事故 被害は年々増加傾向にあり それら報道を ることも 常に多くなっている 情報セキュリティは経営上の問題であり 情報セキュリティ対策を講じることは企業経営として もはや避けては通れない重要な課題である そこで今回 情報セキュリティ対策への取り組みや被害の状況や課題等 企業の情報セキュリティに関する現状および傾向を捉え

More information

中小企業向け サイバーセキュリティ対策の極意

中小企業向け サイバーセキュリティ対策の極意 INDEX Mission 1 Mission 2 Mission 4 Mission 5 Mission 3 info 2 INDEX Mission 1 Mission 2 Mission 3 Mission 4 Mission 5 info 3 INDEX Mission 1 Mission 5 Mission 3 Mission 2 Mission 4 info 4 INDEX Mission

More information

事故前提社会における           企業を支えるシステム操作統制とは

事故前提社会における           企業を支えるシステム操作統制とは 調査結果から見えた優先すべき内部不正対策 2016 年 6 月 エンカレッジ テクノロジ株式会社 近年 内部不正を原因とする情報漏えい事件の報道が相次いでおり 被害も深刻化しています そのため 企業にとって 情報漏えい等を防止するための内部不正対策は 対応すべき重要課題の一つです しかしながら 講じるべき対策とその範囲はあまりに広く 優先して取り組むべきポイントを考慮する必要があります 内部不正経験者の半数以上はシステム管理者

More information

サイバー攻撃の現状

サイバー攻撃の現状 サイバー攻撃の現状 2017 年 11 月 30 日株式会社東日本計算センター伊藤盛人 自己紹介 IT インフラ技術者 情報通信ネットワークの設計 構築 運用 保守サーバコンピュータの設計 構築 運用 保守情報セキュリティ対策にも注力 セキュリティ技術者 情報処理安全確保支援士登録番号 003628 号 どのくらい攻撃されている? 全国規模の統計やニュースはよく見かける大学などが公表する学内の統計情報もたまに見かける中小企業の統計情報はほとんど見かけないいわき市の中小企業はどのくらい攻撃されてる?

More information

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx クラウド型セキュリティ対策サービス Cloud Edge あんしんプラス 月次レポート解説書 第 1.0 版 日本事務器株式会社 改版履歴 版数日付変更内容 1.0 2016/03/07 新規作成 2 目次 1. サービス概要............ 4 1.1. CLOUD EDGE あんしんプラスとは... 4 2. 月次レポート解説............ 5 2.1. VBBSS がインストールされているクライアントの概要...

More information

目次 4. 組織 4.1 組織及びその状況の理解 利害関係者のニーズ 適用範囲 環境活動の仕組み 3 5. リーダーシップ 5.1 経営者の責務 環境方針 役割 責任及び権限 5 6. 計画 6.1 リスクへの取り組み 環境目標

目次 4. 組織 4.1 組織及びその状況の理解 利害関係者のニーズ 適用範囲 環境活動の仕組み 3 5. リーダーシップ 5.1 経営者の責務 環境方針 役割 責任及び権限 5 6. 計画 6.1 リスクへの取り組み 環境目標 版名 管理番号 4 版 原本 環境マニュアル 環境企業株式会社 目次 4. 組織 4.1 組織及びその状況の理解 2 4.2 利害関係者のニーズ 2 4.3 適用範囲 2 4.4 環境活動の仕組み 3 5. リーダーシップ 5.1 経営者の責務 4 5.2 環境方針 4 5.3 役割 責任及び権限 5 6. 計画 6.1 リスクへの取り組み 7 6.2 環境目標及び計画 8 6.3 変更の計画 9

More information

情報共有の流れと目的 情報共有の基本的な流れ 参加組織 攻撃を検知 IPA へ情報提供 目的 IPA 分析 加工 ( 匿名化など ) 情報共有 結果の共有 1 類似攻撃の早期検知と被害の回避 2 攻撃に対する防御の実施 3 今後想定される攻撃への対策検討 標的型攻撃メールを当面の主対象として運用中

情報共有の流れと目的 情報共有の基本的な流れ 参加組織 攻撃を検知 IPA へ情報提供 目的 IPA 分析 加工 ( 匿名化など ) 情報共有 結果の共有 1 類似攻撃の早期検知と被害の回避 2 攻撃に対する防御の実施 3 今後想定される攻撃への対策検討 標的型攻撃メールを当面の主対象として運用中 標的型攻撃への具体的な対処法を考察するための組織連携による情報共有 2014 年 8 月 19 日独立行政法人情報処理推進機構技術本部セキュリティセンター松坂志 J-CSIP の沿革と体制 1 2 設立経緯 (1) J-CSIP 発足の背景 Initiative for Cyber Security Information sharing Partnership of Japan 2010 年 12

More information

SOCの役割と人材のスキル

SOCの役割と人材のスキル SOC の役割と人材のスキル 1.0 版 2016/7/11 ISOG-J セキュリティオペレーション連携 WG (WG6) 1 改版履歴 年月日版内容備考 2016/7/11 1.0 初版 2 はじめに 企業内で セキュリティの対応を行う組織の構築や運用を始める際には SOC や CSIRT と言った組織の名称はあるものの 実際には監査部門やシステム部門との連携も必要であり どのような機能や役割

More information

ログを活用したActive Directoryに対する攻撃の検知と対策

ログを活用したActive Directoryに対する攻撃の検知と対策 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, Japan Computer Emergency Response email=office@jpcert.or.jp, o=japan Computer Emergency Response Team

More information

目次 1. はじめに 2. 内部不正による情報漏えいの危険性 3. 情報漏えい対策ポイント 4. 情報漏えい発生時の対応ポイント 5. 参考資料の紹介 ( 講師用 ) Copyright 2015 独立行政法人情報処理推進機構 2

目次 1. はじめに 2. 内部不正による情報漏えいの危険性 3. 情報漏えい対策ポイント 4. 情報漏えい発生時の対応ポイント 5. 参考資料の紹介 ( 講師用 ) Copyright 2015 独立行政法人情報処理推進機構 2 映像で知る情報セキュリティ情報を漏らしたのは誰だ? ~ 内部不正と情報漏えい対策 ~ 独立行政法人情報処理推進機構 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構 目次 1. はじめに 2. 内部不正による情報漏えいの危険性 3. 情報漏えい対策ポイント 4. 情報漏えい発生時の対応ポイント 5. 参考資料の紹介 ( 講師用 ) Copyright 2015

More information

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題 平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題となっている 特に IoT 機器については その性質から サイバー攻撃の対象になりやすく 我が国において

More information

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 ) 情報セキュリティ基本規程 特定非営利活動法人せたがや子育てネット 第 1 章総則 ( 目的 ) 第 1 条この規程は 当法人の情報セキュリティ管理に関する基本的な事項を定めたものです ( 定義 ) 第 2 条この規程に用いる用語の定義は 次のとおりです (1) 情報資産 とは 情報処理により収集 加工 蓄積される情報 データ類 情報処理に必要な情報システム資源 ( ハードウェア ソフトウェア等 )

More information

ホワイトペーパーセキュリティ 防ぎきれないサイバー攻撃多層防御と即応体制がセキュリティ対策のカギに 日に日に増え続けるサイバー攻撃 もはや悪意の侵入を防ぎきることは事実上不可能であり 企業はセキュリティ対策に対する基本的な考え方や施策を再点検しなければならない 富士通は社内のセキュリティ組織のあり方

ホワイトペーパーセキュリティ 防ぎきれないサイバー攻撃多層防御と即応体制がセキュリティ対策のカギに 日に日に増え続けるサイバー攻撃 もはや悪意の侵入を防ぎきることは事実上不可能であり 企業はセキュリティ対策に対する基本的な考え方や施策を再点検しなければならない 富士通は社内のセキュリティ組織のあり方 防ぎきれないサイバー攻撃多層防御と即応体制がセキュリティ対策のカギに 日に日に増え続けるサイバー攻撃 もはや悪意の侵入を防ぎきることは事実上不可能であり 企業はセキュリティ対策に対する基本的な考え方や施策を再点検しなければならない 富士通は社内のセキュリティ組織のあり方を見直し 多層防御の仕組みを整え スピーディーなインシデント対応を実現して 組織の安全を守る体制を整えた その具体的なノウハウとは

More information

目次 はじめに 1 1. 事案の状況と本部及び NISC の対応 2 2. 事案に関する技術的検討 ネットワーク構成の確認等 プロキシログの解析等 認証サーバの調査 感染端末に対するフォレンジック調査 攻撃の全体像 10 3.

目次 はじめに 1 1. 事案の状況と本部及び NISC の対応 2 2. 事案に関する技術的検討 ネットワーク構成の確認等 プロキシログの解析等 認証サーバの調査 感染端末に対するフォレンジック調査 攻撃の全体像 10 3. 日本年金機構における個人情報流出事案に関する 原因究明調査結果 平成 27 年 8 月 20 日 サイバーセキュリティ戦略本部 目次 はじめに 1 1. 事案の状況と本部及び NISC の対応 2 2. 事案に関する技術的検討 4 2.1. ネットワーク構成の確認等 4 2.2. プロキシログの解析等 5 2.3. 認証サーバの調査 10 2.4. 感染端末に対するフォレンジック調査 10 2.5.

More information

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構 6-2- 応ネットワークセキュリティに関する知識 1 6-2. ネットワークセキュリティに関する知識 OSS 動作環境におけるセキュリティリスク それに対応するセキュリ ティ要件とその機能 構成に関して 実際の開発 運用の際に必要な Ⅰ. 概要 管理知識 手法の種類と特徴 内容を理解する 特に Linux サーバ による実務の手順に即して ネットワークセキュリティを確保するため の手順を学ぶ Ⅱ.

More information

目次 2017 年情報セキュリティインシデントに関する調査結果 ~ 個人情報漏えい編 ~( 速報版 ) の解説 個人情報漏えいインシデントの公表ガイダンスについて 2/23

目次 2017 年情報セキュリティインシデントに関する調査結果 ~ 個人情報漏えい編 ~( 速報版 ) の解説 個人情報漏えいインシデントの公表ガイダンスについて 2/23 2017 年情報セキュリティインシデントに関する調査報告 2018 年 6 月 12 日 セキュリティ被害調査ワーキンググループ長崎県立大学情報システム学部情報セキュリティ学科 目次 2017 年情報セキュリティインシデントに関する調査結果 ~ 個人情報漏えい編 ~( 速報版 ) の解説 個人情報漏えいインシデントの公表ガイダンスについて 2/23 2017 年情報セキュリティインシデントに関する調査結果

More information

PowerPoint Presentation

PowerPoint Presentation マイクロセグメンテーションの考え方とその実装 ~ セキュリティリスクの現状把握 ポリシーの策定 実装を実現するには?~ パロアルトネットワークス株式会社 SE Manager 井上高範 マイクロセグメンテーション 2 2016, Palo Alto Networks. Confidential and Proprietary. 年金機構のセキュリティ対策の課題 東京オフィス インターネットの入り口にセキュリティ対策を強化

More information

組織内CSIRTの役割とその範囲

組織内CSIRTの役割とその範囲 組織内 CSIRT の役割とその範囲 一般社団法人 JPCERT コーディネーションセンター 目次 組織内 CSIRT の基本的な役割 組織内 CSIRT の役割範囲には違いがある インシデント対応の重要ポイントから見る役割 ユーザからのインシデント報告 外部のインシデント対応チームとの連携 インシデント関連情報の伝達経路の保全 他組織の CSIRT との情報共有 組織内 CSIRT の役割の定義

More information

基本編_個人情報管理の重要性(本編)

基本編_個人情報管理の重要性(本編) 個人情報管理の重要性 2019 年 5 月 21 日 一般財団法人日本情報経済社会推進協会プライバシーマーク推進センター 目次 1. 個人情報の管理はなぜ必要? はじめに 個人情報の取扱いに関する事故の傾向 個人情報の取扱いに関する事故の影響 個人情報を適切に取り扱うために 2. 当社の個人情報取扱いルールについて 個人情報保護方針 個人情報保護の体制 個人情報保護に関する規程 緊急事態への対応 3.

More information

スマートデバイス利用規程 1 趣旨 対象者 対象システム 遵守事項 スマートデバイスのセキュリティ対策 スマートデバイスの使用 スマートデバイスに導入するソフトウェア スマー

スマートデバイス利用規程 1 趣旨 対象者 対象システム 遵守事項 スマートデバイスのセキュリティ対策 スマートデバイスの使用 スマートデバイスに導入するソフトウェア スマー スマートデバイス利用規程 1.0 版 1 スマートデバイス利用規程 1 趣旨... 3 2 対象者... 3 3 対象システム... 3 4 遵守事項... 3 4.1 スマートデバイスのセキュリティ対策... 3 4.1.1 スマートデバイスの使用... 3 4.1.2 スマートデバイスに導入するソフトウェア... 3 4.1.3 スマートデバイスの他者への利用の制限... 3 4.1.4 スマートデバイスでの情報の取り扱い...

More information

目次 サイバーセキュリティ経営ガイドライン 概要 1. はじめに サイバーセキュリティ経営ガイドラインの背景と位置づけ 本ガイドラインの構成と活用方法 経営者が認識すべき3 原則 サイバーセキュリティ経営の重要 10 項目...

目次 サイバーセキュリティ経営ガイドライン 概要 1. はじめに サイバーセキュリティ経営ガイドラインの背景と位置づけ 本ガイドラインの構成と活用方法 経営者が認識すべき3 原則 サイバーセキュリティ経営の重要 10 項目... サイバーセキュリティ経営ガイドライン Ver 2.0 経済産業省 独立行政法人情報処理推進機構 目次 サイバーセキュリティ経営ガイドライン 概要 1. はじめに... 1 1.1. サイバーセキュリティ経営ガイドラインの背景と位置づけ... 1 1.2. 本ガイドラインの構成と活用方法... 4 2. 経営者が認識すべき3 原則... 5 3. サイバーセキュリティ経営の重要 10 項目... 6

More information

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構 安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Android アプリの脆弱性体験学習ツール AnCoLe( アンコール ) の紹介 ~ AnCoLe で攻撃 対策の体験を ~ Android アプリに関する届出状況 毎年 Android アプリの脆弱性の届出が報告 件数 300 250 200

More information

内部統制ガイドラインについて 資料

内部統制ガイドラインについて 資料 内部統制ガイドラインについて 資料 内部統制ガイドライン ( 案 ) のフレーム (Ⅲ)( 再掲 ) Ⅲ 内部統制体制の整備 1 全庁的な体制の整備 2 内部統制の PDCA サイクル 内部統制推進部局 各部局 方針の策定 公表 主要リスクを基に団体における取組の方針を設定 全庁的な体制や作業のよりどころとなる決まりを決定し 文書化 議会や住民等に対する説明責任として公表 統制環境 全庁的な体制の整備

More information

中小企業向け サイバーセキュリティ対策の極意

中小企業向け サイバーセキュリティ対策の極意 INDEX INDEX Mission Mission 1 Mission Mission 2 Mission Mission 3 Mission Mission 4 Mission Mission 5 info info Mission2 すぐやろう対サイバー攻撃アクション 45 INDEX Mission 1 2-1 今やろう! 5+2 の備えと社内使用パソコンへの対策サイバー攻撃に対して 何ができるか

More information

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 office@jpcert.or.jp インシデントレスポンスとは Computer Security Incident ( 以降 インシデントと略 ) コンピュータセキュリティに関係する人為的事象で 意図的および偶発的なもの 弱点探索 リソースの不正使用 サービス運用妨害行為など 不正アクセス ( 行為 ) は狭義に規定された

More information

内部不正や事故にも対応 -- サイバー保険が担保するものとは 大手コンサルティングファームの調査によれば 世界のサイバー保険市場は約 25 億ドル ( 約 2500 億円 ) であり その 9 割は米国企業で占められている サイバー攻撃の脅威の認識が高まるにつれ 取り組みが遅れていた業界や国での加入

内部不正や事故にも対応 -- サイバー保険が担保するものとは 大手コンサルティングファームの調査によれば 世界のサイバー保険市場は約 25 億ドル ( 約 2500 億円 ) であり その 9 割は米国企業で占められている サイバー攻撃の脅威の認識が高まるにつれ 取り組みが遅れていた業界や国での加入 内部不正や事故にも対応 -- サイバー保険が担保するものとは サイバー攻撃被害の範囲を特定できるか ( 前編 ) サイバー攻撃被害の範囲を特定できるか ( 後編 ) 内部不正や事故にも対応 -- サイバー保険が担保するものとは 大手コンサルティングファームの調査によれば 世界のサイバー保険市場は約 25 億ドル ( 約 2500 億円 ) であり その 9 割は米国企業で占められている サイバー攻撃の脅威の認識が高まるにつれ

More information

Microsoft PowerPoint - 【セット】IPA.pptx

Microsoft PowerPoint - 【セット】IPA.pptx 独立行政法人情報処理推進機構 (IPA) の概要 平成 25 年 11 月経済産業省商務情報政策局 1. 独立行政法人情報処理推進機構 (IPA) の概要 IPA は 設立以降 ソフトウェア開発振興を中心に事業を実施 その後 90 年代以降 いち早く情報セキュリティ対策への取組を本格化 情報セキュリティ パイオニア という位置付け 2004 年の独法化以降も 情報セキュリティの対策を随時強化拡大 現在は情報セキュリティ対策施策を中心として

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション KeepEye のご紹介 S&J 株式会社 KeepEye のサービスコンセプト 背景 高度化するサイバー攻撃を従来の Firewall やウイルス対策ソフトで防御することは困難になっています 一方で 高度なサイバー攻撃を防御するセキュリティ専門家が運用する前提のツールが複数のベンダーから提供されるようになっていますが 各企業でそのツールを運用するセキュリティ専門家を雇用するのが難しく 実際運用ができずに

More information

PowerPoint Presentation

PowerPoint Presentation マイナンバ ( 特定個人情報 ) の漏えいを防ぐセキュリティ対策強化ソリューションのご紹介 トレンドマイクロ株式会社フィールドマーケティング部エンタープライズマーケティング課プロダクトマーケティングマネージャー松橋孝志 1 企業におけるマイナンバーの流れ 2 マイナンバ の重要性 マイナンバーを含む特定個人情報 - 一度発行された個人番号は自由に変更できない * - 今後 医療情報や預金情報といったものと連携する予定があり

More information

はじめに 個人情報保護法への対策を支援いたします!! 2005 年 4 月 個人情報保護法 全面施行致しました 個人情報が漏洩した場合の管理 責任について民事での損害賠償請求や行政処分などのリスクを追う可能性がござい ます 個人情報を取り扱う企業は いち早く法律への対応が必要になります コラボレーシ

はじめに 個人情報保護法への対策を支援いたします!! 2005 年 4 月 個人情報保護法 全面施行致しました 個人情報が漏洩した場合の管理 責任について民事での損害賠償請求や行政処分などのリスクを追う可能性がござい ます 個人情報を取り扱う企業は いち早く法律への対応が必要になります コラボレーシ 人材業界会社様向け プライバシーマーク取得支援サービスについてのご提案 コラボレーションプラス有限会社 104-0053 東京都中央区晴海 4-1-1 晴海 4 丁目ビル 3F TEL:03-5548-0886 E-Mail:info@collaboration-plus.co.jp URL:www.colllaboration-plus.co.jp はじめに 個人情報保護法への対策を支援いたします!!

More information

スライド 1

スライド 1 資料 WG 環 3-1 IPv6 環境クラウドサービスの構築 運用ガイドライン骨子 ( 案 ) 1 本骨子案の位置付け 本ガイドライン骨子案は 環境クラウドサービス を構築 運用する際に関連する事業者等が満たすことが望ましい要件等を規定するガイドライン策定のための準備段階として ガイドラインにおいて要件を設定すべき項目をまとめたものである 今後 平成 21 年度第二次補正予算施策 環境負荷軽減型地域

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション 情報種別 : 公開会社名 : NTT データイントラマート情報所有者 : 開発本部 intra-mart で運用する場合の セキュリティの考え方 株式会社 NTT データイントラマート Webアプリケーションのセキュリティ対策 一般的にセキュリティ 脆弱性 対策は次に分類されます ①各製品部分に潜むセキュリティ対策 製品の中でも 次のように分類したとします A サーバOS Java データベース製品

More information

日本企業のCSIRT実例紹介

日本企業のCSIRT実例紹介 あなたの会社の情報セキュリティ対応体制は大丈夫? ~CSIRT 入門 ~ 日本企業の CSIRT 実例紹介 日本シーサート協議会専門委員 山賀正人 はじめに CSIRT に規格はない RFC 2350 Expectations for Computer Security Incident Response 各企業の実情 現状に即した CSIRT の実装 二つとして同じ CSIRT は存在しない 実例を参考に

More information

SiteLock操作マニュアル

SiteLock操作マニュアル SiteLock 操作マニュアル ~ エントリープラン向け ~ XSS 脆弱性診断 SQL インジェクション脆弱性診断 アプリ診断 GMO クラウド株式会社 2017 GMO CLOUD K.K. All Rights Reserved. 目次 1. XSS( クロスサイトスクリプティング ) とは?... 2 2. XSS 脆弱性診断 (XSS SCAN) とは?... 2 3. SQL インジェクション

More information

サイバー攻撃の現状と施策案 平成 28 年 11 9 S&J 株式会社代表取締役社 三輪信雄

サイバー攻撃の現状と施策案 平成 28 年 11 9 S&J 株式会社代表取締役社 三輪信雄 サイバー攻撃の現状と施策案 平成 28 年 11 9 S&J 株式会社代表取締役社 三輪信雄 略歴 : 昭和 60 年 3 同志社 学 学部電気 学科卒業 昭和 60 年 4 住友ゴム 業株式会社 社 平成 2 年 3 株式会社ラック 社 平成 15 年 9 株式会社ラック 代表取締役社 就任 平成 19 年 1 辞任 平成 20 年 11 S&J 株式会社設 現在 : S&J 株式会社代表取締役社

More information

QMR 会社支給・貸与PC利用管理規程180501

QMR 会社支給・貸与PC利用管理規程180501 文書番号 QMR 945 会社支給 貸与 PC 利用管理規程 NO. 管理番号 鈴縫工業株式会社 承認確認作成施行日 版 2018 年月日 2018 年月日 2018 年月日 2018 年 5 月 1 日 00 情報システム運用管理規程改訂履歴 頁 2/5 制定 改訂追番 制定 改訂年月日 制定 改訂内容 制定 00 2018.05.01 制定 以下余白 支給 貸与 PC 利用管理規程 ( 目的 )

More information

160627_26年度評価結果の反映状況(理事長説明後)

160627_26年度評価結果の反映状況(理事長説明後) 独立行政法人住宅金融支援機構の平成 26 事業年度評価結果の主要な反映状況 1. 役員人事への反映について 役員人事への反映 中期目標に定められた業務について 中期計画に沿った年度計画が順調に達成され 主務大臣による平成 26 年度の評価結果が B 評定であったことを踏まえ 役員の解任等は行わなかった 2. 法人の運営 予算への反映について 評価項目平成 26 事業年度評価における主な指摘事項平成

More information

(2) 事業の具体的内容本事業は 次に示す 1~3 の内容について 経済産業省との協議の上 事業を実施する 1 インシデント対応等 企業等の組織内の情報の窃取やサービス運用妨害等を目的とするサイバー攻撃等のインシデントに関する対応依頼を受け付け 国内外の CSIRT 等と連携し 迅速かつ円滑な状況把

(2) 事業の具体的内容本事業は 次に示す 1~3 の内容について 経済産業省との協議の上 事業を実施する 1 インシデント対応等 企業等の組織内の情報の窃取やサービス運用妨害等を目的とするサイバー攻撃等のインシデントに関する対応依頼を受け付け 国内外の CSIRT 等と連携し 迅速かつ円滑な状況把 平成 30 年度サイバーセキュリティ経済基盤構築事業 ( サイバー攻撃等国際連携対応調整事業 ) に係る入札可能性調査実施要領 平成 30 年 2 月 1 日経済産業省商務情報政策局サイバーセキュリティ課 経済産業省では 平成 30 年度サイバー攻撃等国際連携対応調整事業の受託者選定に当たって 一般競争入札 ( 又は企画競争 ) に付することの可能性について 以下の通り調査いたします つきましては

More information

本研究会での検討スケジュール ( 案 ) 1 検討スケジュール 第 1 回 国内外におけるセキュリティリスクの状況 第 2 回 対策の方向案 各論の深掘り 各論に係るプレゼン セキュリティマネジメントの評価のあり方について ( 横河電気 ) 第 3 回 対策の方向案 各論の深掘り 各論に係るプレゼン

本研究会での検討スケジュール ( 案 ) 1 検討スケジュール 第 1 回 国内外におけるセキュリティリスクの状況 第 2 回 対策の方向案 各論の深掘り 各論に係るプレゼン セキュリティマネジメントの評価のあり方について ( 横河電気 ) 第 3 回 対策の方向案 各論の深掘り 各論に係るプレゼン 平成 27 年 2 月 25 日 サイバーセキュリティリスクと企業経営に関する研究会 ( 第 2 回 ) 提出資料参考資料 1 今後の検討の方向性について 平成 27 年 2 月 25 日事務局 本研究会での検討スケジュール ( 案 ) 1 検討スケジュール 第 1 回 国内外におけるセキュリティリスクの状況 第 2 回 対策の方向案 各論の深掘り 各論に係るプレゼン セキュリティマネジメントの評価のあり方について

More information

OP2

OP2 第 66 回スクエア free セミナー 可視化から始めるサイバー攻撃対策 サイバー攻撃の状況を可視化する無料サービスのご紹介 株式会社 OPEN スクエア 田中昭造三好文樹 2016/5/20 1 IoT の普及により深刻かするサイバー攻撃 平成 27 年におけるサイバー空間をめぐる脅威の情勢について 2016 年 3 月 17 日警視庁発表より 平成 27 年中に警察が連携事業者等から報告を受けた標的型メール攻撃は

More information

Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座 Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座 1. はじめに Active Directory 以下 AD は組織のユーザやリソースを一元的に管理できることから標的型攻撃の対象となりやすい JPCERT/CC によると AD 環境が侵害される事例を多数確認しており [1] 被害組織の多くで AD の管理者権限が悪用されたこ

More information

修-CIA Exam Change Handbook_FAQs_ indd

修-CIA Exam Change Handbook_FAQs_ indd CIA 試験 : よくあるご質問 最新の実務に焦点を合わせた改訂 2018 年 3 月 www.globaliia.org 最新の実務に焦点を合わせた CIA 試験シラバスの改訂 本資料は公認内部監査人 (CIA) を受験される方のために CIA 試験シラバスの改訂に関する よく あるご質問 (FAQ) およびその回答をまとめたものです 新しい 3 パート CIA 試験は これまでより一層明確で統一感があり

More information

報道関係者各位 2016 年 5 月 10 日 テクマトリックス株式会社 ネットワークセキュリティ事業部 次世代型メールセキュリティソリューション Proofpoint の取り扱いを開始 最新のサンドボックステクノロジーで標的型攻撃メールを可視化 テクマトリックス株式会社 ( 本社 : 東京都港区

報道関係者各位 2016 年 5 月 10 日 テクマトリックス株式会社 ネットワークセキュリティ事業部 次世代型メールセキュリティソリューション Proofpoint の取り扱いを開始 最新のサンドボックステクノロジーで標的型攻撃メールを可視化 テクマトリックス株式会社 ( 本社 : 東京都港区 各位 平成 28 年 5 月 10 日会社名テクマトリックス株式会社代表者名代表取締役社長由利孝 ( コード :3762 東証第一部 ) 問合せ先執行役員管理本部長森脇喜生 (TEL.03-4405-7802) 次世代型メールセキュリティソリューション Proofpoint の販売開始 記 当社は 日本プルーフポイント株式会社 ( 本社 : 東京都中央区 マネージングディレクター : ローンフェゼック

More information

マッシュアップ時代の情報セキュリティの考え方とガイドラインの活用

マッシュアップ時代の情報セキュリティの考え方とガイドラインの活用 クラウドコンピューティングの進展と情報セキュリティ政策セミナー マッシュアップ時代の情報セキュリ ティの考え方とガイドラインの活用 2014 年 3 月 26 日ニフティ株式会社クラウド事業部 (JASA-クラウドセキュリティ推進協議会) 久保田朋秀 クラウドセキュリティガイドラインの前提 クラウドセキュリティはサービスの 利用をより促進するためのもの クラウドセキュリティに必要な要素は 安全 安心

More information

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 ( 一覧 項番項目何を根拠資料に判断するか ア -1 ( 連絡手段の確保 ) 連絡手段を確保するため メールアドレス 電話番号 SNS アカウント 住所 氏名のいずれかを登録させること 実際のサービス登録画面のスクリーンショット画像の提出 ( サービス内容によって連絡手段の確保 本人確認の重要性が異なるため ) ア登録事項 ア -2 ( 本人確認 ) 本人確認を行うこと ( 公的身分証明証 金融 / 携帯電話の個別番号等

More information

目次 1.ITの進歩が生み出すクラウドの機会と脅威 2. 現時点でのクラウドへの期待と不安 3. ではどのようにクラウドを利用すればよいか 4. クラウドの今後の行方は? 1

目次 1.ITの進歩が生み出すクラウドの機会と脅威 2. 現時点でのクラウドへの期待と不安 3. ではどのようにクラウドを利用すればよいか 4. クラウドの今後の行方は? 1 ITGI JAPAN カンファレンス 2010 総括講演資料 クラウドの光と影 2010 年 11 月 17 日 株式会社野村総合研究所研究理事日本 IT ガバナンス協会理事 淀川高喜 100-0005 東京都千代田区丸の内 1-6-5 丸の内北口ビル 目次 1.ITの進歩が生み出すクラウドの機会と脅威 2. 現時点でのクラウドへの期待と不安 3. ではどのようにクラウドを利用すればよいか 4. クラウドの今後の行方は?

More information

<4D F736F F F696E74202D20496F54835A834C A B CC8A F8CF6955C94C A2E >

<4D F736F F F696E74202D20496F54835A834C A B CC8A F8CF6955C94C A2E > IoT セキュリティガイドライン ( 案 ) 概要 平成 28 年 IoT の新たなセキュリティ上の脅威 1 IoT では これまで接続されていなかった 動 やカメラなどの機器が WiFi や携帯電話網などを介してインターネットに接続されることにより 新たな脅威が発 し それに対するセキュリティ対策が必要となった 動 へのハッキングよる遠隔操作 携帯電話網経由で遠隔地からハッキング 監視カメラの映像がインターネット上に公開

More information

サイバーセキュリティの脅威は 起点が拡大するとともに 攻撃レベルも高まっているが 認識も対応も不十分

サイバーセキュリティの脅威は 起点が拡大するとともに 攻撃レベルも高まっているが 認識も対応も不十分 資料 5 産業分野におけるサイバーセキュリティ政策 経済産業省 商務情報政策局 サイバーセキュリティの脅威は 起点が拡大するとともに 攻撃レベルも高まっているが 認識も対応も不十分 ランサムウェア WannaCry の猛威 平成 29 年 5 月 世界の少なくとも約 150 か国において Windows の脆弱性を悪用したランサムウェア WannaCry に感染する事案が発生 感染した欧州企業から

More information

NEC CSR レポート 2016 CSR 経営ガバナンス社会環境 全社の管理体制 個人情報保護管理者 個人情報保護マネジメントシステムの実施及び運用に関する総括的な責任及び権限を持つ者 ( 特定個人情報保護責任者を兼ねる ) 特定個人情報保護責任者 特定個人情報の取り扱いに関する責任および権限を

NEC CSR レポート 2016 CSR 経営ガバナンス社会環境 全社の管理体制 個人情報保護管理者 個人情報保護マネジメントシステムの実施及び運用に関する総括的な責任及び権限を持つ者 ( 特定個人情報保護責任者を兼ねる ) 特定個人情報保護責任者 特定個人情報の取り扱いに関する責任および権限を NEC CSR レポート 2016 CSR 経営 ガバナンス 社 会 環 境 個人情報保護 個人情報とは 特定個人の識別情報であり 番号などの識別子単体の情報もこれに該当します 当社は 個人番号を含む個人情報を適切に保護することが当社の社会的責務と考え 独自の個人情報保護方針を定め これを実行し かつ 維持しています また 関連法令に示された個人情報の保護だけでなく プライバシーに関わる情報についても配慮した事業活動を行っています

More information

スキル領域 職種 : ソフトウェアデベロップメント スキル領域と SWD 経済産業省, 独立行政法人情報処理推進機構

スキル領域 職種 : ソフトウェアデベロップメント スキル領域と SWD 経済産業省, 独立行政法人情報処理推進機構 スキル領域と (8) ソフトウェアデベロップメント スキル領域と SWD-1 2012 経済産業省, 独立行政法人情報処理推進機構 スキル領域 職種 : ソフトウェアデベロップメント スキル領域と SWD-2 2012 経済産業省, 独立行政法人情報処理推進機構 専門分野 ソフトウェアデベロップメントのスキル領域 スキル項目 職種共通スキル 項目 全専門分野 ソフトウェアエンジニアリング Web アプリケーション技術

More information

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~ 5. オープンソース WAF ModSecurity 導入事例 ~ IPA はこう考えた ~ 独立行政法人情報処理推進機構 (IPA) セキュリティセンター 情報セキュリティ技術ラボラトリー 2010 年 12 月 6 日公開 Copyright 2010 独立行政法人情報処理推進機構ウェブサイト運営者向けセキュリティ対策セミナー 1 目次 1. 背景 目的 2. JVN ipedia へのWAF

More information

ネットワンシステムズ会社概要 従業員 2,3 0 名 売上 1,6 1 億円 事業拠点国内 17 拠点 グループ会社国内 2 海外 2 NetOneSystemsUSA,Inc. NetOneSystemsSingaporePte.Ltd. トップベンダーと強固なリレーションによる先進技術の利活 推

ネットワンシステムズ会社概要 従業員 2,3 0 名 売上 1,6 1 億円 事業拠点国内 17 拠点 グループ会社国内 2 海外 2 NetOneSystemsUSA,Inc. NetOneSystemsSingaporePte.Ltd. トップベンダーと強固なリレーションによる先進技術の利活 推 新しいクラウドの利活 をお探しの 必 コスト削減とセキュリティ強化を 両 する 法 ネットワンシステムズ株式会社 0000-0000-0000 ネットワンシステムズ会社概要 従業員 2,3 0 名 売上 1,6 1 億円 事業拠点国内 17 拠点 グループ会社国内 2 海外 2 NetOneSystemsUSA,Inc. NetOneSystemsSingaporePte.Ltd. トップベンダーと強固なリレーションによる先進技術の利活

More information

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC 延命セキュリティ二つの対策方法 対策 1 ホワイトリスト型 概要 : 動作させてもよいアプリケーションのみ許可し それ以外の全ての動作をブロックすることで 不正な動作を防止します 特長 : 特定用途やスタンドアロンの PC の延命に効果的です リストに登録されたアプリケーションのみ許可 アプリケーション起動制御 不許可アプリケーションは防止 対策 2 仮想パッチ型 概要 : OS アプリケーションの脆弱性を狙った通信をブロックし

More information

品質マニュアル(サンプル)|株式会社ハピネックス

品質マニュアル(サンプル)|株式会社ハピネックス 文書番号 QM-01 制定日 2015.12.01 改訂日 改訂版数 1 株式会社ハピネックス (TEL:03-5614-4311 平日 9:00~18:00) 移行支援 改訂コンサルティングはお任せください 品質マニュアル 承認 作成 品質マニュアル 文書番号 QM-01 改訂版数 1 目次 1. 適用範囲... 1 2. 引用規格... 2 3. 用語の定義... 2 4. 組織の状況... 3

More information

スキル領域 職種 : マーケティング スキル領域と MK 経済産業省, 独立行政法人情報処理推進機構

スキル領域 職種 : マーケティング スキル領域と MK 経済産業省, 独立行政法人情報処理推進機構 スキル領域と (1) マーケティング スキル領域と MK-1 2012 経済産業省, 独立行政法人情報処理推進機構 スキル領域 職種 : マーケティング スキル領域と MK-2 2012 経済産業省, 独立行政法人情報処理推進機構 専門分野 マーケティングのスキル領域 スキル項目 職種共通スキル 項目 全専門分野 市場機会の評価と選定市場機会の発見と選択 市場調査概念と方法論 市場分析 市場細分化

More information

ウ件数 6,860 件エ原因公式ショッピングサイト ハワイアンズモール ( 以下 ハワイアンズモール といいます ) のロードバランサー ( 負荷分散装置 ) に使用していた OpenSSL の脆弱性を利用した 外部からの不正アクセスによるものでした (2) 本件の原因弊社によるシステムフォワード社

ウ件数 6,860 件エ原因公式ショッピングサイト ハワイアンズモール ( 以下 ハワイアンズモール といいます ) のロードバランサー ( 負荷分散装置 ) に使用していた OpenSSL の脆弱性を利用した 外部からの不正アクセスによるものでした (2) 本件の原因弊社によるシステムフォワード社 記 1. 事案の概要 (1) 流出したお客様情報平成 29 年 7 月 12 日にご報告させていただきました通り 情報流出の可能性が判明した後 弊社は直ちに外部調査会社 Payment Card Forensics 株式会社 ( 以下 PCF 社 といいます ) に調査を依頼し 平成 29 年 6 月 30 日に同社から以下の調査結果の報告を受けました ア対象平成 29 年 2 月 10 日 ~ 平成

More information

平成20年度内部評価実施結果報告書《本編》

平成20年度内部評価実施結果報告書《本編》 10 11 12 13 14 15 16 17 Plan Do Check Action 1 2 3 4 146 13 20 43 44 45 62 104 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47

More information

untitled

untitled 1 1 2 3 2 1 ( 0) 2000 00 3 4 Check Action Do Plan 5 6 14001 5000 5000 1000 1000 7 8 9 10 2004 0.1 0.1 0.0 0.0 0.0 15.3 483.5 0.4 11 12 13 14 http://kankyou.pref.shizuoka.jp/seikan/seikanindex.htm 15 16

More information

-2-

-2- -1- -2- -3- -4- -5- -6- -7- -8- 10-9- -10-1 2 -11-1 1-12- -13- -14- Plan Do Check Action Check Action 1 -15- -16- -17- -18- -19- -20- -21- -22- 10 2 9 3 9 2 1 10 2 9 3 6 4 1 6 6 10 2 10 2 11 1 8 1 8 4

More information

ICT-ISACにおけるIoTセキュリティの取組について

ICT-ISACにおけるIoTセキュリティの取組について 2017 年 11 月 30 日 ( 木 ) 第 22 回日本インターネットガバナンス会議 (IGCJ22) ヒューリックホール & ヒューリックカンファレンス ICT-ISAC における IoT セキュリティの取組みについて 一般社団法人 ICT-ISAC IoT セキュリティ WG 主査 NTT コミュニケーションズ株式会社則武智 一般社団法人 ICT-ISAC 通信事業者 放送事業者 ソフトウェアベンダー

More information

[ 指針 ] 1. 組織体および組織体集団におけるガバナンス プロセスの改善に向けた評価組織体の機関設計については 株式会社にあっては株主総会の専決事項であり 業務運営組織の決定は 取締役会等の専決事項である また 組織体集団をどのように形成するかも親会社の取締役会等の専決事項である したがって こ

[ 指針 ] 1. 組織体および組織体集団におけるガバナンス プロセスの改善に向けた評価組織体の機関設計については 株式会社にあっては株主総会の専決事項であり 業務運営組織の決定は 取締役会等の専決事項である また 組織体集団をどのように形成するかも親会社の取締役会等の専決事項である したがって こ 実務指針 6.1 ガバナンス プロセス 平成 29( 2017) 年 5 月公表 [ 根拠とする内部監査基準 ] 第 6 章内部監査の対象範囲第 1 節ガバナンス プロセス 6.1.1 内部監査部門は ガバナンス プロセスの有効性を評価し その改善に貢献しなければならない (1) 内部監査部門は 以下の視点から ガバナンス プロセスの改善に向けた評価をしなければならない 1 組織体として対処すべき課題の把握と共有

More information

= SaaS型総合決済サービス = 「PGマルチペイメントサービス」のご案内

= SaaS型総合決済サービス = 「PGマルチペイメントサービス」のご案内 加盟店様向けセキュリティセミナー PCIDSS 要件に学ぶセキュリティ対策について ~ 非保持型サービスは安全か? 来るべき非通過型サービスへのパラダイムシフトに備えて~ 2015/8/18 GMOペイメントゲートウェイ株式会社 ITサービス部セキュリティグループ齊藤元彦 アジェンダ 1. 情報セキュリティを取り巻く環境 2. 決済サービスにおけるカード情報の流れ 3. 加盟店様にてまずは取り組むべきこと

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション サイバー空間をめぐる状況と サイバーセキュリティ戦略 平成 28 年 2 月 内閣サイバーセキュリティセンター (NISC) 内閣参事官三角育生 紙面を賑わす サイバー 1 エストニアへの大規模サイバー攻撃 (2007 年 5 月 ) 個人情報漏えい ジョージアへの大規模サイバー攻撃 (2008 年 8 月 ) 重工業 国会へのサイバー攻撃 (2011 年秋 ) 知的財産 / ノウハウ 事業継続 韓国重要インフラへのサイバー攻撃

More information

— intra-martで運用する場合のセキュリティの考え方    

— intra-martで運用する場合のセキュリティの考え方     1 Top 目次 2 はじめに 本書の目的 本書では弊社製品で構築したシステムに関するセキュリティ対策について説明します 一般的にセキュリティ ( 脆弱性 ) 対策は次に分類されます 各製品部分に潜むセキュリティ対策 各製品を以下のように分類します ミドルウェア製品ミドルウェア製品のセキュリティ ( 脆弱性 ) 対策リリースノート システム要件 内に記載のミドルウェア例 )JDK8の脆弱性 WindowsServer2012R2の脆弱性

More information

ISMS情報セキュリティマネジメントシステム文書化の秘訣

ISMS情報セキュリティマネジメントシステム文書化の秘訣 目 次 ISO27001 版発刊にあたって 3 まえがき 6 第 1 章企業を取り囲む脅威と情報セキュリティの必要性 11 第 2 章情報セキュリティマネジメントシステム要求事項及び対応文書一覧表 31 第 3 章情報セキュリティマネジメントシステムの基礎知識 43 第 4 章情報セキュリティマネジメントシステムの構築 51 1 認証取得までの流れ 51 2 推進体制の構築 52 3 適用範囲の決定

More information

情報セキュリティ白書 2016 今そこにある脅威 : 意識を高め実践的な取り組みを 2015 年度に情報セキュリティの分野で起きた注目すべき 10 の出来事を分かりやすく解説 2016 年 7 月 15 日発売 国内外における情報セキュリティインシデントの状況や事例 攻撃の手口や脆弱性の動向 企業や

情報セキュリティ白書 2016 今そこにある脅威 : 意識を高め実践的な取り組みを 2015 年度に情報セキュリティの分野で起きた注目すべき 10 の出来事を分かりやすく解説 2016 年 7 月 15 日発売 国内外における情報セキュリティインシデントの状況や事例 攻撃の手口や脆弱性の動向 企業や 情報セキュリティ白書 2016 今そこにある脅威 : 意識を高め実践的な取り組みを 概要説明資料 2016 年 7 月 14 日 独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ分析ラボラトリー 情報セキュリティ白書 2016 今そこにある脅威 : 意識を高め実践的な取り組みを 2015 年度に情報セキュリティの分野で起きた注目すべき 10 の出来事を分かりやすく解説 2016

More information

1 検査の背景 (1) 日本年金機構における個人情報 情報システム及び情報セキュリティ対策の概要厚生労働省及び日本年金機構 ( 以下 機構 という ) は 厚生年金保険等の被保険者等の基礎年金番号 氏名 保険料の納付状況等の個人情報 ( 以下 年金個人情報 という ) について 社会保険オンラインシ

1 検査の背景 (1) 日本年金機構における個人情報 情報システム及び情報セキュリティ対策の概要厚生労働省及び日本年金機構 ( 以下 機構 という ) は 厚生年金保険等の被保険者等の基礎年金番号 氏名 保険料の納付状況等の個人情報 ( 以下 年金個人情報 という ) について 社会保険オンラインシ 年金個人情報に関する情報セキュリティ対策の実施状況及び 年金個人情報の流出が日本年金機構の業務に及ぼした影響等 についての報告書 ( 要旨 ) 平成 2 8 年 1 2 月 会計検査院 1 検査の背景 (1) 日本年金機構における個人情報 情報システム及び情報セキュリティ対策の概要厚生労働省及び日本年金機構 ( 以下 機構 という ) は 厚生年金保険等の被保険者等の基礎年金番号 氏名 保険料の納付状況等の個人情報

More information

11. 不測事態 とは 情報セキュリティの確保及び維持に重大な影響を与える災害 障害 セキュリティ侵害等の事態をいう 12. 役職員等 とは 当組合の役員 職員並びにこれに準ずる者( 嘱託職員 臨時職員 パートタイマー アルバイト等 及び当組合との間に委任契約又は雇用契約が成立した者 ) をいう 1

11. 不測事態 とは 情報セキュリティの確保及び維持に重大な影響を与える災害 障害 セキュリティ侵害等の事態をいう 12. 役職員等 とは 当組合の役員 職員並びにこれに準ずる者( 嘱託職員 臨時職員 パートタイマー アルバイト等 及び当組合との間に委任契約又は雇用契約が成立した者 ) をいう 1 情報セキュリティ基本規程 ( 目的 ) 第 1 条本規程は 当組合の 情報セキュリティ基本方針 に基づき 当組合における情報セキュリティの維持及び推進を行うために必要な基本的事項を定めたものであり 当組合における情報セキュリティマネジメントシステム ( 組織的に情報セキュリティの維持及び向上のための施策を立案 運用 見直し及び改善すること ) を確立することを目的とする ( 定義 ) 第 2 条本規程における用語の定義は

More information

SHODANを悪用した攻撃に備えて-制御システム編-

SHODANを悪用した攻撃に備えて-制御システム編- SHODAN を悪用した攻撃に備えて - 制御システム編 - 一般社団法人 JPCERT コーディネーションセンター制御システムセキュリティ対策グループ 2015 年 6 月 9 日 ( 初版 ) 1 SHODAN とは? 1.1 SHODAN とは? SHODAN とは インターネット上に公開されている様々な機器 ( 表 1 参照 ) に関する情報をデータベース化し インターネット上のサービスとして検索可能にする

More information

セキュリティ・ミニキャンプin新潟2015 開催報告

セキュリティ・ミニキャンプin新潟2015 開催報告 セキュリティ ミニキャンプ in 新潟 2015 開催報告 平成 27 年 6 月 8 日 セキュリティ キャンプ実施協議会 1 開催概要中等高等教育段階を含めた若年層の情報セキュリティについての興味を深め IT に関する意識 の向上を図ることを目的として 主に 22 歳以下の学生 生徒を対象に 情報セキュリティについ て学ぶ セキュリティ ミニキャンプ in 新潟 2015 を開催しました 今回は

More information

プレゼンテーション

プレゼンテーション 統合ログ管理ソリューションでマルウェアを発見し 情報漏洩を防ぐためには? McAfee SIEM と CAPLogger SFChecker マルウェアの発見概要 従来型アンチマルウェアによる発見 新型アンチマルウェアによる発見 振る舞い検知 レピュテーション サンドボックス SIEM による不審動作発見 マルウェア感染が疑われる PC の特定 発見後の課題 Copyright 2014 dit Co.,

More information

<355F838A E837D836C B E696E6464>

<355F838A E837D836C B E696E6464> 目 次 1. はじめに (1) 社会環境とリスクマネジメントシステム 1 (2) 本ガイドラインの目的と構成 3 2. リスクとリスクマネジメント (1) 正しいリスクの理解 4 (2) 正しいリスクマネジメントの理解 5 (3) リスクマネジメントの原則 6 3.Plan - 計画 (1) リスクマネジメントシステム 7 1 リスクマネジメント方針の決定 8 2 リスクマネジメント組織体制の決定

More information

トレンドマイクロホワイトペーパー 標的型サイバー攻撃対策の次の一手 EDR * とは» 感染防止を目的としたエンドポイント対策は実施していても 未知の脅威をすべて防ぐこ とは不可能 今は侵入を前提とした対応策が求められている その役割を担うのが エン ドポイントにおける活動の記録と 従来型のエンドポ

トレンドマイクロホワイトペーパー 標的型サイバー攻撃対策の次の一手 EDR * とは» 感染防止を目的としたエンドポイント対策は実施していても 未知の脅威をすべて防ぐこ とは不可能 今は侵入を前提とした対応策が求められている その役割を担うのが エン ドポイントにおける活動の記録と 従来型のエンドポ トレンドマイクロホワイトペーパー 標的型サイバー攻撃対策の次の一手 EDR * とは» 感染防止を目的としたエンドポイント対策は実施していても 未知の脅威をすべて防ぐこ とは不可能 今は侵入を前提とした対応策が求められている その役割を担うのが エン ドポイントにおける活動の記録と 従来型のエンドポイント対策では検知できない不審な 挙動の検知を行う EDR * 製品である 目次 内容 セキュリティインシデント発生

More information

5. 内部統制推進部内部統制推進部は NEC グループ企業行動憲章 および NEC グループ行動規範 の周知をはじめとしたコンプライアンス徹底のための各種施策を企画立案し 実施しています また 事業部門およびスタッフ部門が実施するリスクマネジメントが体系的かつ効果的に行われるように 必要な支援 調整

5. 内部統制推進部内部統制推進部は NEC グループ企業行動憲章 および NEC グループ行動規範 の周知をはじめとしたコンプライアンス徹底のための各種施策を企画立案し 実施しています また 事業部門およびスタッフ部門が実施するリスクマネジメントが体系的かつ効果的に行われるように 必要な支援 調整 コンプライアンスとリスクマネジメント NEC では コンプライアンス を法令遵守はもちろんのこと 社会通念や一般常識までも含めた広義の概念としてとらえています また リスクマネジメント とは コンプライアンス違反を含め NEC の事業に影響を及ぼすリスクを適切に把握し 効果的 効率的に対策を講じていく活動です NEC は コンプライアンスとリスクマネジメントを企業の存続そのものにかかわる活動と考え

More information

Microsoft PowerPoint 高専フォーラム_改訂0.6版.pptx

Microsoft PowerPoint 高専フォーラム_改訂0.6版.pptx と一緒に 安心安全な ICT を目指そう!! 高専機構情報戦略推進本部情報セキュリティ部門 csirt@kosen-k.go.jp 平成 30 年度高専フォーラム @ 名古屋大学 2018/8/21( 火 ) 1 今日の内容 最近の情報セキュリティの動向 情報セキュリティ10 大脅威 高専機構のインシデント等の状況 Azure Information Protection(AIP) AIPとは サインイン方法

More information

KPMGサイバーセキュリティサーベイ2017

KPMGサイバーセキュリティサーベイ2017 サイバーセキュリティサーベイ 2017 1 はじめに 全世界的に被害を及ぼす 大規模なサイバー攻撃が数多く報告されています これらのサイバー攻撃の中には 重要インフラに対するものも含まれ 経済活動に大きな被害を与えています IoT(Internet of Things) の拡大により 現代社会はインターネットへの依存度を高めています この来たるべきIoT 社会を安心 安全に迎えるために サイバーセキュリティの重要度は一層高まっています

More information

PowerPoint Presentation

PowerPoint Presentation グローバルなソフトウェア資産の最適化実現に向け 今 企業として取り組むべきこと ウチダスペクトラム株式会社 常務執行役員紀平克哉 グローバル企業の抱える経営とソフトウェア資産管理の現状と課題 経営を取り巻く.. 環境 グローバル化 IT 投資効率 IT ガバナンス 課題 グローバルなサポートが難しい ガバナンスが確立できていない コスト削減を進めてゆく必要がある ソフトウェア資産管理を取り巻く..

More information

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと 脆弱性を狙った脅威の分析と対策について Vol.2 2009 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまとめました 同じ攻撃手法で異なる攻撃内容 攻撃者はマルウェア作成にツールを利用 ~ 不審メール 110

More information

中小企業の情報セキュリティ対策ガイドライン付録 8 情報資産管理台帳 (Ver.1.4) 業務分類 情報資産名称 備考 利用者範囲 管理部署 個人情報 個人情報の種類要配慮個人情報 マイナンバー 機密性 評価値 完全性 可用性 重要度 保存期限 登録日 脅威の発生頻度 ( 脅威の状況 シートで設定

中小企業の情報セキュリティ対策ガイドライン付録 8 情報資産管理台帳 (Ver.1.4) 業務分類 情報資産名称 備考 利用者範囲 管理部署 個人情報 個人情報の種類要配慮個人情報 マイナンバー 機密性 評価値 完全性 可用性 重要度 保存期限 登録日 脅威の発生頻度 ( 脅威の状況 シートで設定 情報資産管理台帳 業務分類 中小企業の情報セキュリティ対策ガイドライン付録 8 情報資産管理台帳 (Ver.1.4) 個人情報 個人情報の種類要配慮個人情報 マイナンバー 機密性 完全性 可用性 脅威の発生頻度 ( 脅威の状況 シートで設定 ) 人事社員名簿社員基本情報人事部人事部事務所 PC 有 2 0 0 2 2016/7/1 3: 通常の状態で発生する ( いつ発生してもおかしくない ) 人事社員名簿社員基本情報人事部人事部書類有

More information

マルチクラウド環境の最適解! ネットワンの セキュリティサービス 2018 年 12 月 13 日ネットワンシステムズ株式会社ビジネス推進本部商品企画部セキュリティチーム兼松智也

マルチクラウド環境の最適解! ネットワンの セキュリティサービス 2018 年 12 月 13 日ネットワンシステムズ株式会社ビジネス推進本部商品企画部セキュリティチーム兼松智也 マルチクラウド環境の最適解! ネットワンの セキュリティサービス 2018 年 12 月 13 日ネットワンシステムズ株式会社ビジネス推進本部商品企画部セキュリティチーム兼松智也 0000-0000-0000 目次 1. クラウドセキュリティへのアプローチ方法 2. ネットワンが提供しているセキュリティサービス 3. 今後のサービス戦略 3.1 クラウドコンプライアンスサービス (FY18 Q4 以降リリース予定

More information

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配 2017 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配信されています このようなマルウェアを特に バンキングトロージャン と称します バンキングトロージャンに感染すると 利用者のログイン パスワードなどの情報を窃取し利用者が

More information

営業秘密管理実務マニュアル

営業秘密管理実務マニュアル 目次 3 営業秘密管理実務マニュアル 目 次 第 1 章 営業秘密管理の必須知識 第 1 なぜ 営業秘密 を管理するのか 2 Ⅰ 営業秘密の意義と定義 2 1 営業秘密 と 企業秘密 2 2 秘密管理性 4 3 有用性 4 4 非公知性 4 Ⅱ 企業の知的財産としての営業秘密 6 1 営業秘密の特性と法的保護 6 2 技術的な情報に係る営業秘密と特許との相違 6 Ⅲ 経済のグローバル化と営業秘密防衛の意義

More information

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

Logstorage for VISUACT   標的型サイバー攻撃 対策レポートテンプレート 統合ログ管理システム Logstorage 標的型メール攻撃分析 監視例 インフォサイエンス株式会社 プロダクト事業部 Infoscience Corporation www.infoscience.co.jp info@logstorage.com Tel: 03-5427-3503 Fax: 03-5427-3889 標的型メール攻撃とその対策 標的型メール攻撃の本質はメールや添付マルウェアにあるのではなく

More information

NOSiDEパンフレット

NOSiDEパンフレット 社内 PC のセキュリティ対策状況把握していますか? 世間を騒がせるサイバー攻撃 ランサムウェア ドライブバイダウンロード 標的型攻撃 被害 情報資産信頼お金 ウイルスは OS やアプリケーションの脆弱性を悪用しています つまり脆弱性をなくす更新プログラムをタイムリーに適用すれば被害を減らすことができます この課題 が解決します! セキュリティ対策も業務!! 理想 セキュリティリ対策状況を把握しているシステム管理者

More information

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特 特定個人情報等取扱規程 第 1 章総則 ( 目的 ) 第 1 条この規程は 株式会社ニックス ( 以下 当社 という ) の事業遂行上取り扱う個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) を適切に保護するために必要な基本的事項を定めたものである ( 適用範囲 ) 第 2 条この規程は 当社の役員及び社員に対して適用する また 特定個人情報等を取り扱う業務を外部に委託する場合の委託先

More information

Microsoft PowerPoint - Logstorage镣撺ㅂㅅ㇯_for_SKYSEA_Client_View_ pptx

Microsoft PowerPoint - Logstorage镣撺ㅂㅅ㇯_for_SKYSEA_Client_View_ pptx Logstorage 連携パック for SKYSEA Client View ご紹介資料 インフォサイエンス株式会社プロダクト事業部 Infoscience Corporation www.infoscience.co.jp info@logstorage.com Tel: 03-5427-3503 Fax: 03-5427-3889 統合ログ管理システム Logstorage 2 統合ログ管理システム

More information

Microsoft Word - sp224_2d.doc

Microsoft Word - sp224_2d.doc 技術的 物理的物理的セキュリティ 技術的セキュリティ ( 安全管理措置 ) 技術的対策としては ネットワークインフラセキュリティ アプリケーションセキュリティ 不正アクセス対策などが含まれます ここでは 学校の業務の中でも 特に身近な問題として感じられる項目を挙げています 1 コンピューターウィルス対策 ネットワークに接続された環境下では たった 1 台のコンピューターのウィルス対策を怠 るだけで

More information

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707 資料 3 政府機関における情報セキュリティ対策の現状について 平成 20 年 9 月 4 日内閣官房情報セキュリティセンター (NISC) Copyright 2008 内閣官房情報セキュリティセンター (http://www.nisc.go.jp/) 政府機関の情報セキュリティ対策の枠組み 政府機関全体としての情報セキュリティ水準の向上を図るため 各省庁が守るべき最低限の対策基準として 政府機関の情報セキュリティ対策のための統一基準

More information

内部統制システム YOKOGAWAでは 企業価値を高めるために人財 資産 予算といった経営資源を適切に配置し それらを機能的に動かす経営管理のことを 内部統制 と位置づけています 内部統制を実現する手段として内部統制システムを構築し 経営効率の向上 不祥事の防止 の両面をコントロールしています これ

内部統制システム YOKOGAWAでは 企業価値を高めるために人財 資産 予算といった経営資源を適切に配置し それらを機能的に動かす経営管理のことを 内部統制 と位置づけています 内部統制を実現する手段として内部統制システムを構築し 経営効率の向上 不祥事の防止 の両面をコントロールしています これ YOKOGAWAは グループ全体に亘ってコーポレートガバナンス リスク管理 内部統制 およびコンプライアンスの体制を整えています 環境 安全衛生 品質 労務管理 企業倫理 危機管理などのサステナビリティに関わる主要な分野について 内部統制システムを整備し リスク管理やコンプライアンス推進を行なっています 企業の持続的な成長と中長期的な企業価値の向上のため 2015 年 6 月 日本において上場企業にコーポレートガバナンスコードの適用が開始されました

More information

Microsoft PowerPoint - A-3予稿最終版

Microsoft PowerPoint - A-3予稿最終版 Page 1 A-3. インシデント発生時の対応フローチャートに基づく演習 明治大学服部裕之 金城学院大学西松高史 Page 2 このセッションの目標 標的型サイバー攻撃の 内部侵入 調査 手法を学び 実習にて確認する (1) 標的型サイバー攻撃における攻撃パターンを理解する (2) 被害範囲の予測 調査を行うことができる = インシデント対応フローチャートに基づき システム担当者としての行動がとれる!

More information

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2 AppGoat を利用した集合教育補助資料 - クロスサイトリクエストフォージェリ編 - 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター 内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2 クロスサイト リクエスト フォージェリ (CSRF) とは? CSRF(Cross Site Request Forgeries)=

More information