マッシュアップ時代の情報セキュリティの考え方とガイドラインの活用

Similar documents
スライド 1

Microsoft PowerPoint - SWIMスライド_ ppt [互換モード]

Microsoft PowerPoint - ã…Šã…¬ã…fiㅥㅼ盋_MVISONCloud製åfi†ç´¹ä»‰.pptx

metis ami サービス仕様書

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

目次 1.ITの進歩が生み出すクラウドの機会と脅威 2. 現時点でのクラウドへの期待と不安 3. ではどのようにクラウドを利用すればよいか 4. クラウドの今後の行方は? 1

マルチクラウド環境の最適解! ネットワンの セキュリティサービス 2018 年 12 月 13 日ネットワンシステムズ株式会社ビジネス推進本部商品企画部セキュリティチーム兼松智也

FJAS図書クラウドサービスホワイトペーパー(第1.2版)

<4D F736F F F696E74202D E291AB8E9197BF A F82CC8A A390698DF42E707074>

IT 製品の利用でセキュリティを考慮すべき場面 IT 製品 OS DBMS FW IDS/IPS 1-1 製品調達時 製品に必要なセキュリティ機能は? セキュリティ要件 ( 要求仕様 ) の検討 2 運用 保守時 セキュリティ機能を正しく動作させる 適切な設定値 パッチの適用 IC カード デジタル

KARTE セキュリティホワイトペーパー KARTE セキュリティホワイトペーパー 2.1 版 株式会社プレイド 1

サイバーセキュリティとその対策

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

プレゼンテーション

目次 1 はじめに AWS が提供するセキュリティモデル 責任共有モデルとセキュリティについて 検討すべきセキュリティ対策のポイント ミドルウェアの脆弱性と公開サーバに対する脅威 ミドルウェアで見つかる深刻な脆弱性..

最初に 情報セキュリティは中小企業にこそ必要!! 機密性は 情報資産へのアクセスを最小限度に留めることで 購入する情報資産の金額を最小にします 完全性は 情報資産が正確 正しく動くことを保証し 業務を効率化します 可用性は 欲しい情報を欲しい時に入手できることで 業務時間を短縮します Copyrig

KSforWindowsServerのご紹介

Bluemix いつでもWebinarシリーズ 第15回 「Bluemix概説(改訂版)」

InfiniDB最小推奨仕様ガイド

2 診断方法および診断結果 情報セキュリティ対策ベンチマークは 組織の情報セキュリティ対策の取組状況 (25 問 + 参考質問 2 問 ) と企業プロフィール (15 項目 ) を回答することにより 他社と比較して セキュリティ対策の 取組状況がどのレベルに位置しているかを確認できる自己診断ツールで

ネットワンシステムズ会社概要 従業員 2,3 0 名 売上 1,6 1 億円 事業拠点国内 17 拠点 グループ会社国内 2 海外 2 NetOneSystemsUSA,Inc. NetOneSystemsSingaporePte.Ltd. トップベンダーと強固なリレーションによる先進技術の利活 推

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

ログを活用したActive Directoryに対する攻撃の検知と対策

ACTIVEプロジェクトの取り組み

Oracle Cloud Adapter for Oracle RightNow Cloud Service

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

dc_h1

Fujitsu Standard Tool

PowerPoint プレゼンテーション

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

第 1-4 条用語の定義 本ガイドラインにおいて, 次の各号に掲げる用語の定義は, それぞれ次に定めるところによる (1) 委託先等 とは, 委託先, 再委託先及び発注先をいう (2) 外部記憶媒体 とは, 機器に接続してそのデータを保存するための可搬型の装置をいう (3) 外部ネットワーク とは,

CIAJ の概要 2017 年度 CIAJ の概要 情報通信技術 (ICT) 活用の一層の促進により 情報通信ネットワークに係る産業の健全な発展をはかるとともに 情報利用の拡大 高度化に寄与することによって 社会的 経済的 文化的に豊かな国民生活の実現および国際社会の実現に貢献することを活動の目的と

ISMS認証機関認定基準及び指針

事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャ

目次 第 I 部 序編 目的 ISO/IEC 27002:2013 及び他のガイドライン等との関係 供給者関係のモデル クラウドサービス提供における利用者接点の実務の5つのポイント 第 Ⅱ 部の構成とクラウド事業者への適

本日のメニュー 1. 弊社紹介 2. セキュリティチェックシートについて 3. GigaCCで出来る事 4. まとめ -2-

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

評価することとしているか ( 特定 評価する頻度も含めたその検討プロセス及び結果含む ) 経営陣は 上記に基づき特定 評価した経営上のリスクに関して どのように経営計画及び経営管理に反映しているか ( その検討プロセス及び結果含む ) 財務の健全性を維持 検証するためにどのような社内管理態勢を構築し

PowerPoint Presentation

dc_h1

Microsoft Word - AWSBlueprint final.docx

中小企業のための Security by Design WG 活動紹介 NPO 日本ネットワークセキュリティ協会西日本支部株式会社インターネットイニシアティブ大室光正

GDPR に備える EUの一般データ保護規則 (General Data Protection Regulation GDPR) は 欧州議会と理事会で承認され 2018 年 5 月 25 日から施行されます GDPRは データ保護のための極めて厳しい基準を定めており EU 住民の個人データを処理す

Microsoft PowerPoint - janog15-irr.ppt

[ 指針 ] 1. 組織体および組織体集団におけるガバナンス プロセスの改善に向けた評価組織体の機関設計については 株式会社にあっては株主総会の専決事項であり 業務運営組織の決定は 取締役会等の専決事項である また 組織体集団をどのように形成するかも親会社の取締役会等の専決事項である したがって こ

2 目次 1. 実証事業の全体概要 1.1 Androidスマートフォンへの利用者証明機能ダウンロード ( 仕組み ) 1.2 iosスマートフォンへの利用者証明機能ダウンロード ( 仕組み ) 1.3 システム検証と安全性対策検討 2. 利用者証明機能ダウンロードに関するシステム検証 2.1 An

情報セキュリティ白書 2016 今そこにある脅威 : 意識を高め実践的な取り組みを 2015 年度に情報セキュリティの分野で起きた注目すべき 10 の出来事を分かりやすく解説 2016 年 7 月 15 日発売 国内外における情報セキュリティインシデントの状況や事例 攻撃の手口や脆弱性の動向 企業や

Trend Micro Cloud App Security ご紹介資料

中小企業の情報セキュリティ対策ガイドライン付録 8 情報資産管理台帳 (Ver.1.4) 業務分類 情報資産名称 備考 利用者範囲 管理部署 個人情報 個人情報の種類要配慮個人情報 マイナンバー 機密性 評価値 完全性 可用性 重要度 保存期限 登録日 脅威の発生頻度 ( 脅威の状況 シートで設定

ニフティクラウド mobile backend 概要 サービス名 : ニフティクラウド mobile backend ( ニフティクラウドモバイルバックエンド ) アドレス : 利用対象者 : スマートフォンアプリを開発する個人および企業 基本仕

教科書の指導要領.indb

CXD-210 Citrix XenApp および XenDesktop の管理 概要 XenAppとXenDesktopのいずれの使用経験もほとんどまたはまったくない受講者を対象としています プラットフォームを適切に運用するために必要なXenAppおよびXenDesktopの基礎知識が得られます

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

Microsoft Word - ECLセキュリティホワイトペーパー_v1.2.docx

よくある問題を解決する~ 5 分でそのままつかえるソリューション by AWS ソリューションズビルダチーム

Bizメール&ウェブ プレミアム ブログ(WordPress)マニュアル

UCSセキュリティ資料_Ver3.5

CAUA シンポジウム 2014 RSA 事業について 2014 年 11 月 14 日 ( 金 ) EMC ジャパン株式会社 RSA 事業本部マーケティング部部長水村明博 Copyright 2014 EMC Corporation. All rights reserved. 1

内部不正を防止するために企業は何を行うべきなのか

組織内CSIRTの役割とその範囲

FUJITSU Cloud Service for OSS 「ログ監査サービス」 ご紹介資料

専門家の関わる企業が対象となることから 母集団の企業は国内の平均的な企業というよりも セキュ リティマネジメントに関して比較的意識の高い企業と推定されます 対象組織の産業分野

NOSiDEパンフレット

ISO/IEC 27017:2015に基づく クラウドセキュリティの 構築のポイント

McAfee Complete Endpoint Threat Protection データシート

Presentation Template Koji Komatsu

W N コンパス情報リテラシー啓発のための羅針盤 S E 参考スライド集 第 1.1 版 (2019 年 4 月 26 日発行 ) 株式会社ラックサイバー グリッド ジャパン編

クラウドコンピューティングに関する通達及びQ&Aについて

Presentation Title

Microsoft Word - sp224_2d.doc

Microsoft PowerPoint - クラウドサービスセキュリティセミナー

2017 年 6 月 14 日 スムーズな API 連携でデジタルビジネスを推進する API Gateway as a Service の提供を開始 ~ 外部との API 接続を容易にし xtech ビジネス連携を加速 ~ NTT コミュニケーションズ ( 以下 NTT Com) は 複数のシステム

Data Security and Privacy Principles

日本の上位 50 サイトのウェブセキュリティレポート (Q2 2016) 本レポートでは ウェブ閲覧リサーチ会社 Alexaにて報告された日本のユーザーから 2016 年 5 月 5 日時点の閲覧されたウェブ

<4D F736F F F696E74202D20496F54835A834C A B CC8A F8CF6955C94C A2E >

参考資料 1 既存のセキュリティ 要求基準について ISO/IEC 27017:2015 ( クラウドサービスのための情報セキュリティ管理策の実践の規範 )

1

CONTENTS 1. テレワーク導入における課題 2. 総務省テレワークセキュリティガイドラインについて 3. 技術 制度 人に関する情報セキュリティ対策例 4. 情報へのアクセス方法とその特徴 5. マネジメント ( 労務管理等 ) の対策 2

クラウドの光と影

ICT-ISACにおけるIoTセキュリティの取組について

PowerPoint Presentation

スライド 1

平成 29 年度我が国におけるデータ駆動型社会に係る基盤整備 ( 我が国のデータ産業を巡る事業環境等に関する調査研究 ) 報告書概要版 平成 30 年 3 月 経済産業省 ( 委託先 : みずほ情報総研株式会社 )

ESET Mobile Security V4.1 リリースノート (Build )

文字数と行数を指定テンプレート

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

info-security_casestudy-youryo.indd

マルウェアレポート 2017年12月度版

Microsoft PowerPoint - 【Webnner】はじめてのHULFT-WebFT.pptx

これだけは知ってほしいVoIPセキュリティの基礎

WP-Two-factor-and-Swivel-JP.indd

はじめに PC 環境のセキュリティの向上や運用工数の削減手段としてクライアント仮想化 ( シンクライアント化 ) を検討している企業 団体が増えてきています シンクライアントの導入に際しては幾つか検討する事があり 特にユーザ側に接続する周辺機器については従来の PC と同じ利用環境を求められる事が多

ごあいさつ 貴社益々ご清栄のこととお喜び申し上げます この度は 弊社の総合 IT サポートツール Optimal Biz ご提案の機会を賜りまして誠にありがとうございます スマートデバイス等の有効活 および管理について 改めて 提案書 としてまとめさせていただきました 本提案が貴社のますますのご発展

PowerPoint プレゼンテーション

HULFT-WebConnectサービス仕様書

<4D F736F F F696E74202D E9197BF C A F B A834C C A5F C52E B8CDD8AB B83685D>

ライフサイクルが終了した Windows Server 2003 オペレーティングシステムの保護 サポート終了後の Windows Server 2003 システムでリスクを軽減するためのガイド データシート : セキュリティ管理 サポートが終了してもビジネスは継続するソフトウェアベンダーが製品のラ

目次 フィッシング対策協議会について フィッシングの動向 フィッシング事例 地方銀行 LINE 大学 フィッシング対策 まとめ 2

チェックリスト Ver.4.0 回答の 書き方ガイド 国立情報学研究所クラウド支援室

Transcription:

クラウドコンピューティングの進展と情報セキュリティ政策セミナー マッシュアップ時代の情報セキュリ ティの考え方とガイドラインの活用 2014 年 3 月 26 日ニフティ株式会社クラウド事業部 (JASA-クラウドセキュリティ推進協議会) 久保田朋秀

クラウドセキュリティガイドラインの前提 クラウドセキュリティはサービスの 利用をより促進するためのもの クラウドセキュリティに必要な要素は 安全 安心 信頼 Safety Security Assurance

クラウドセキュリティガイドラインのあるべき姿 ガイドラインは責任分界を明確にし 中小 ベンチャー事業者への過剰な 負担をなくしていく効果も期待 ガイドライン P.16 より抜粋

コンポーネントの安全と安心 API マッシュアップ時代にあったコンポーネントの安全 安心までブレイクダウンしたガイドライン発展の必要性 IT サービスにおける安全性の確保と安心の考え方 IT サービスにおける安全と安心 / クラウドサービスの利用環境の整理クラウドサービスの安全性確保における粒度の検討 安全性確保のための役割と責任各プレイヤーの役割 / プレイヤー間における信頼性確保 / クラウドサービスの利用環境における信頼性確保 / プラットフォーム型のプレイヤーに望まれる対応プラットフォーム型のプレイヤーの信頼性確保 クラウド時代のデータ利活用のための考え方クラウド時代の IT サービスとデータのライフサイクルクラウドサービス上のデータの種類と分類指針 監査の活用による安全性の保証 API マッシュアップ時代の安全性の考え方安全性モデルの考え方 ( 機能と保証レベル )/ 信頼性確保のための監査の活用 今後の課題と提案 IT サービス産業発展のためにセキュリティができること国内外のその他の基準との整合性

クラウドサービスの構造 (EC の場合の例 ) エンドユーザー クラウドサービス 広告 広告配信 検索 A モール店 認証 サーバー B モール店 決済 ストレージ C モール店 在庫管理受発注管理 PBaaS 流通 倉庫 店舗 クラウド利用者

API を組み合わせたアプリケーション構造 アグリゲートされたクラウドサービスは多数の API の連結の構造体 A モール店 広告配信 決済 認証 サーバー B モール店 在庫管理受発注管理 ストレージ C モール店 PBaaS 流通 店舗 倉庫

クラウドセキュリティの課題 データの流れの中に存在する 無数の企業 無数の API の組み合わせ その経路 安全性 信頼性をいかに保証するのか? リスクポイントの洗い出しにガイドラインを

クラウド利用者からの視点 データ保管にかかるセキュリティ対策はクラウドベンダーに移転 クラウド利用者である店舗は IT 資産は保有せず データはクラウドに預ける

利用者と事業者の責任分界点とリスク 偽サイト誘導マルウェア DDoS 攻撃 EDoS 攻撃 リスト型アタック 不正な決済情報漏えい リスクベース サイバー攻撃はどこに来るか? 守るべき責任はどこにあるか? 自身が行うべき対策 責任は何か?

クラウド時代に必要な考え方 クラウドサービスを活用する時代の 情報セキュリティガバナンス 説明責任 責任の明確化 選定責任 / 管理責任

事故とクラウドガバナンス 情報漏えいインシデントが発生 何が漏えいしたか? どこから漏えいしたか? 問題に対する対策をどうするか?

システムライフサイクルとリスク管理 システムライフサイクルの中で リスク管理の方策も提示すべき事項 広告配信 決済機能 認証機能 Aモール店 サーバー Bモール店 ストレージ 在庫管理 受発注管理 PBaaS Cモール店 流通 店舗 倉庫 JASA-JCISPA 2014 無断複製を禁じます

クラウド利用者にわかりやすい対策レベルの表示 たとえばこのような証明制度 ( 案 ) Level.5 Level.4 Level.3 Level.2 Level.1 eg) 本番環境での有資格者による外部監査 情報セキュリティ システム監査の外部監査 例えば eg) 本番環境での有資格者による内部監査 EC 情報セキュリティ監査 システム監査システムに推奨されるレベル eg) テスト環境における客観的な評価 脆弱性テスト等の実施と結果情報の公開 eg) テスト環境の提供 試用期間 /Sandbox など eg) 情報の開示 ホワイトペーパー等による安全 信頼性の情報開示

サプライチェーンの対策レベル例 パートナーシップ における保証 Lv.4 Lv.5 Lv.4 Lv.5 ユ ー ザ ー に 対 す る 安 全 広告配信 決済機能 Aモール店 Bモール店 Cモール店 在庫管理 受発注管理 Lv.4 流通 Lv.4 認証機能 サーバー ストレージ Lv.5 Lv.4 PBaaS Lv.4 倉庫 クラウドサービス利用者 契約者に対する保証 店舗 保証の根拠となる サプライチェーンの対策 JASA-JCISPA 2014 無断複製を禁じます

サプライチェーンの対策レベル例 Lv.4 Lv.5 Lv.4 Lv.5 A モール店 広告配信 決済機能 認証機能 サーバー Lv.5 B モール店 C モール店 流通 Lv.4 在庫管理受発注管理 Lv.4 Lv.2 ストレージ Lv.4 Lv.2 PBaaS Lv.4 倉庫 店舗 サプライチェーンのセキュリティレベルは低いレベルに依存

クラウド特有のリスク 番号 リスクの識別名 H01 リソース インフラの高集約によるインシデントの影響の拡大 H02 仮想 / 物理の設計 運用の不整合 H03 他の共同利用者の行為による信頼の喪失 H04 リソースの枯渇 ( リソース割当の過不足 ) H05 隔離の失敗 H06 サービスエンジンの侵害 M07 クラウドプロバイダでの内部不正 - 特権の悪用 M08 管理用インターフェースの悪用 ( 操作 インフラストラクチャアクセス ) M09 データ転送途上における攻撃 データ漏えい ( アップロード時 ダウンロード時 クラウド間転送 ) M10 セキュリティが確保されていない または不完全なデータ削除 M11 クラウド内 DDoS/DoS 攻撃 L12 ロックインによるユーザの忌避 L13 ガバナンスの喪失 L14 サプライチェーンにおける障害 L15 EDoS 攻撃 ( 経済的な損失を狙ったサービス運用妨害攻撃 ) L16 事業者が管理すべき暗号鍵の喪失 L17 不正な探査 スキャンの実施 L18 証拠提出命令と電子的証拠開示 L19 司法権の違い L20 データ保護 L21 ライセンス 経済産業省平成 23 年度企業 個人の情報セキュリティ対策促進事業 ( グローバルなクラウドセキュリティ監査の利用促進 ) クラウドサービスにおけるリスクと管理策に関する有識者による検討結果 (2011 年度版 )

これから必要とされる監査 認証制度 コンポーネントごとに想定されるリスクに対する対策を行う

これから必要とされる監査 認証制度 各コンポーネントのセキュリティ対策の積み重ねですべての リスクに対応していることを証明していく でコ 想ン 定ポ さー れネ るン リト スの ク組 にみ 対合 応わ せ 全 体 安心 安全 信頼 JASA-JCISPA 2014 無断複製を禁じます

情報セキュリティリテラシーと人材 18 万人もの情報セキュリティ人材の不足 適切なコンポーネントの選択必要なセキュリティ対策 技術者 エンジニア中心の中小 ベンチャー企業の情報セキュリティ専門家の育成が急務

クラウドセキュリティ人材への取り組み エンジニアへガイドラインを元にした クラウドセキュリティ / 監査の教育 JASA- クラウドセキュリティ推進協議会 36 社の加盟企業のエンジニアへの教育 情報セキュリティ監査人補資格 2013 年度 45 名取得 クラウドセキュリティ監査人へ

情報セキュリティを産業振興のガソリンに! コンポーネントレベルからの安全 安心 信頼の基準によるインカム 中小 ベンチャーのアイデアや技術を活かした優れた製品の競争優位性が高まる 大手企業にとっては API コンポーネントの利用量が増える 我が国の IT 産業の競争力の底上げ

今後期待される取り組み 統一基準の輸出等により市場はアジアへ 世界へ 安全性モデルの構築は政府としての取り組みが望まれる

ガイドライン発行後の今後 クラウドセキュリティガイドラインを規範とした レベル分けされた安全性モデルの構築 エンジニアに対する情報セキュリティ教育 ( 人材育成 / 資格の活用 ) リスクベースでのクラウドセキュリティ監査 JASA- クラウドセキュリティ推進協議会にてパイロットで実施中 詳細は次の講演で

ありがとうございました

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック