Microsoft PowerPoint - BYODのリスク分析(KDDI研)

Similar documents
Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安

Microsoft PowerPoint - 2-2山城_スマートフォンセキュリティ_配布用.pptx

中根・金田台地区 平成23年度補償説明業務

第 40 回 中 央 近 代 化 基 金 補 完 融 資 推 薦 申 込 み 公 募 要 綱 1 公 募 推 薦 総 枠 30 億 円 一 般 物 流 効 率 化 促 進 中 小 企 業 高 度 化 資 金 貸 付 対 象 事 業 の 合 計 枠 2 公 募 期 間 平 成 28 年 6 月 20

一般競争入札について

Microsoft PowerPoint - 報告書(概要).ppt

ができます 4. 対 象 取 引 の 範 囲 第 1 項 のポイント 付 与 の 具 体 的 な 条 件 対 象 取 引 自 体 の 条 件 は 各 加 盟 店 が 定 めます 5.ポイントサービスの 利 用 終 了 その 他 いかなる 理 由 によっても 付 与 されたポイントを 換 金 すること

AGT10 ( Android(TM) 4.1) ファームウェア更新方法

ただし 当 該 事 故 が 本 特 典 の 適 用 対 象 となった 会 員 の 直 近 の 事 故 発 生 日 から 起 算 して 1 年 以 内 に 発 生 した 事 故 である 場 合 補 償 の 対 象 とはなりません 対 象 端 末 について 当 社 が 別 途 提 供 する ケータイ 補

変 更 履 歴 日 付 Document ver. 変 更 箇 所 変 更 内 容 2015/3/ 新 規 追 加 2015/9/24 誤 字 修 正 2016/2/ 動 作 環 境 最 新 のものへ 変 更 全 体 オペレーター の 表 記 を 削 除 2016/5/

<4D F736F F D20D8BDB8CFC8BCDED2DDC482A882E682D1BADDCCDFD7B2B1DDBD8B4B92F E646F63>

は 固 定 流 動 及 び 繰 延 に 区 分 することとし 減 価 償 却 を 行 うべき 固 定 の 取 得 又 は 改 良 に 充 てるための 補 助 金 等 の 交 付 を 受 けた 場 合 にお いては その 交 付 を 受 けた 金 額 に 相 当 する 額 を 長 期 前 受 金 とし

Microsoft PowerPoint - MobileViewer説明資料_ pptx

の 購 入 費 又 は 賃 借 料 (2) 専 用 ポール 等 機 器 の 設 置 工 事 費 (3) ケーブル 設 置 工 事 費 (4) 防 犯 カメラの 設 置 を 示 す 看 板 等 の 設 置 費 (5) その 他 設 置 に 必 要 な 経 費 ( 補 助 金 の 額 ) 第 6 条 補

3. 選 任 固 定 資 産 評 価 員 は 固 定 資 産 の 評 価 に 関 する 知 識 及 び 経 験 を 有 する 者 のうちから 市 町 村 長 が 当 該 市 町 村 の 議 会 の 同 意 を 得 て 選 任 する 二 以 上 の 市 町 村 の 長 は 当 該 市 町 村 の 議

別 紙 第 号 高 知 県 立 学 校 授 業 料 等 徴 収 条 例 の 一 部 を 改 正 する 条 例 議 案 高 知 県 立 学 校 授 業 料 等 徴 収 条 例 の 一 部 を 改 正 する 条 例 を 次 のように 定 める 平 成 26 年 2 月 日 提 出 高 知 県 知 事 尾

< F2D8ED089EF95DB8CAF939996A289C193FC91CE8DF42E6A7464>

確定給付企業年金 DBパッケージプランのご提案

第2回 制度設計専門会合 事務局提出資料

ていることから それに 先 行 する 形 で 下 請 業 者 についても 対 策 を 講 じることとしまし た 本 県 としましては それまでの 間 に 未 加 入 の 建 設 業 者 に 加 入 していただきますよう 28 年 4 月 から 実 施 することとしました 問 6 公 共 工 事 の

入 札 参 加 者 は 入 札 の 執 行 完 了 に 至 るまではいつでも 入 札 を 辞 退 することができ これを 理 由 として 以 降 の 指 名 等 において 不 利 益 な 取 扱 いを 受 けることはない 12 入 札 保 証 金 免 除 13 契 約 保 証 金 免 除 14 入

( 運 用 制 限 ) 第 5 条 労 働 基 準 局 は 本 システムの 維 持 補 修 の 必 要 があるとき 天 災 地 変 その 他 の 事 由 によりシステムに 障 害 又 は 遅 延 の 生 じたとき その 他 理 由 の 如 何 を 問 わず その 裁 量 により システム 利 用 者

検 討 検 討 の 進 め 方 検 討 状 況 簡 易 収 支 の 世 帯 からサンプリング 世 帯 名 作 成 事 務 の 廃 止 4 5 必 要 な 世 帯 数 の 確 保 が 可 能 か 簡 易 収 支 を 実 施 している 民 間 事 業 者 との 連 絡 等 に 伴 う 事 務 の 複 雑

050 LGWAN-05月.indd

<4D F736F F D208ED089EF95DB8CAF89C193FC8FF38BB CC8EC091D492B28DB88C8B89CA82C982C282A282C42E646F63>

もくじ はじめに 本 書 はスマートフォンやタブレットのアプリ LINE の 設 定 を 行 うためのマニュアルとなります 詳 しい 操 作 方 法 については メーカーホームページ 上 の 基 本 的 な 使 い 方 を 参 照 ください LINE 基 本 的 な 使 い 方

工 事 名 渟 城 西 小 学 校 体 育 館 非 構 造 部 材 耐 震 改 修 工 事 ( 建 築 主 体 工 事 ) 入 札 スケジュール 手 続 等 期 間 期 日 期 限 等 手 続 きの 方 法 等 1 設 計 図 書 等 の 閲 覧 貸 出 平 成 28 年 2 月 23 日 ( 火

はファクシミリ 装 置 を 用 いて 送 信 し 又 は 訪 問 する 方 法 により 当 該 債 務 を 弁 済 す ることを 要 求 し これに 対 し 債 務 者 等 から 直 接 要 求 しないよう 求 められたにもかか わらず 更 にこれらの 方 法 で 当 該 債 務 を 弁 済 するこ

工 事 名 能 代 南 中 学 校 体 育 館 非 構 造 部 材 耐 震 改 修 工 事 ( 建 築 主 体 工 事 ) 入 札 スケジュール 手 続 等 期 間 期 日 期 限 等 手 続 きの 方 法 等 1 設 計 図 書 等 の 閲 覧 貸 出 平 成 28 年 5 月 24 日 ( 火

続 に 基 づく 一 般 競 争 ( 指 名 競 争 ) 参 加 資 格 の 再 認 定 を 受 けていること ) c) 会 社 更 生 法 に 基 づき 更 生 手 続 開 始 の 申 立 てがなされている 者 又 は 民 事 再 生 法 に 基 づき 再 生 手 続 開 始 の 申 立 てがなさ

KINGSOFT Office 2016 動 作 環 境 対 応 日 本 語 版 版 共 通 利 用 上 記 動 作 以 上 以 上 空 容 量 以 上 他 接 続 環 境 推 奨 必 要 2

一 般 社 団 法 人 全 国 銀 行 協 会 御 中 依 頼 人 氏 名 平 成 年 月 日 印 登 録 支 援 専 門 家 委 嘱 ( 初 回 委 嘱 )の 依 頼 について(GL5 項 (2)) 私 は 自 然 災 害 による 被 災 者 の 債 務 整 理 に 関 するガイドライン 第 5

Taro-契約条項(全部)

(Microsoft PowerPoint - \210\363\215\374\227p041104\203Z\203~\203i\201[\216\221\227\277\201i\221\346\216O\225\224\201j.ppt)

<4D F736F F D AC90D1955D92E CC82CC895E DD8C D2816A2E646F63>

スライド 1

(別紙3)保険会社向けの総合的な監督指針の一部を改正する(案)

預 金 を 確 保 しつつ 資 金 調 達 手 段 も 確 保 する 収 益 性 を 示 す 指 標 として 営 業 利 益 率 を 採 用 し 営 業 利 益 率 の 目 安 となる 数 値 を 公 表 する 株 主 の 皆 様 への 還 元 については 持 続 的 な 成 長 による 配 当 可

頸 がん 予 防 措 置 の 実 施 の 推 進 のために 講 ずる 具 体 的 な 施 策 等 について 定 めることにより 子 宮 頸 がんの 確 実 な 予 防 を 図 ることを 目 的 とする ( 定 義 ) 第 二 条 この 法 律 において 子 宮 頸 がん 予 防 措 置 とは 子 宮

Microsoft Word - 03.大和高田市仕様書 介護認定業務委託 H27

独立行政法人国立病院機構

為 が 行 われるおそれがある 場 合 に 都 道 府 県 公 安 委 員 会 がその 指 定 暴 力 団 等 を 特 定 抗 争 指 定 暴 力 団 等 として 指 定 し その 所 属 する 指 定 暴 力 団 員 が 警 戒 区 域 内 において 暴 力 団 の 事 務 所 を 新 たに 設

る 第 三 者 機 関 情 報 保 護 関 係 認 証 プライバシーマーク ISO27001 ISMS TRUSTe 等 の 写 しを 同 封 のうえ 持 参 又 は 郵 送 とする 但 し 郵 送 による 場 合 は 書 留 郵 便 とし 同 日 同 時 刻 必 着 とする 提 出 場 所 は 上

Speed突破!Premium問題集 基本書サンプル

対 応 メーカー アップル キヤノン シャープ 三 洋 電 機 セイコーエプソン ソニー 東 芝 デル NEC パイオニア VAIO バッファロー パナソニック 日 立 ヒューレット パッカード 富 士 通 日 本 マイクロソフト 三 菱 電 機 レノボ ディスカウントストアで 売 られている 海

Ⅰ 元 請 負 人 を 社 会 保 険 等 加 入 建 設 業 者 に 限 定 平 成 28 年 10 月 1 日 以 降 に 入 札 公 告 指 名 通 知 随 意 契 約 のための 見 積 依 頼 を 行 う 工 事 から 以 下 に 定 める 届 出 の 義 務 ( 以 下 届 出 義 務 と

説 明 内 容 料 金 の 算 定 期 間 と 請 求 の 単 位 について 分 散 検 針 制 日 程 等 別 料 金 料 金 の 算 定 期 間 と 支 払 義 務 発 生 日 日 程 等 別 料 金 の 請 求 スケジュール 料 金 のお 支 払 い 方 法 その 他 各 種 料 金 支 払

私立大学等研究設備整備費等補助金(私立大学等

積 載 せず かつ 燃 料 冷 却 水 及 び 潤 滑 油 の 全 量 を 搭 載 し 自 動 車 製 作 者 が 定 める 工 具 及 び 付 属 品 (スペアタイヤを 含 む )を 全 て 装 備 した 状 態 をいう この 場 合 に おいて 燃 料 の 全 量 を 搭 載 するとは 燃 料

2 1.ヒアリング 対 象 (1) 対 象 範 囲 分 類 年 金 医 療 保 険 雇 用 保 険 税 備 考 厚 生 年 金 の 資 格 喪 失 国 民 年 金 の 加 入 老 齢 給 付 裁 定 請 求 など 健 康 保 険 の 資 格 喪 失 国 民 健 康 保 険 の 加 入 健 康 保 険

第 5 条 ( 有 効 期 間 ) 1. 本 サービスの 有 効 期 間 は 当 社 が 指 定 した 日 をもって 開 始 とし 当 該 サービス 対 象 物 件 に 入 居 する 契 約 が 終 了 した 日 をもって 終 了 とします 2. 既 に 入 居 している 住 戸 が 新 たにサービ

(1) 社 会 保 険 等 未 加 入 建 設 業 者 の 確 認 方 法 等 受 注 者 から 提 出 される 施 工 体 制 台 帳 及 び 添 付 書 類 により 確 認 を 行 います (2) 違 反 した 受 注 者 へのペナルティー 違 反 した 受 注 者 に 対 しては 下 記 のペ

●電力自由化推進法案

(1) 相 談 受 付 状 況 3 (2)サービス 種 類 別 事 業 者 団 体 別 4 (3) 受 付 区 分 ~ 苦 情 問 合 せ~ 5 (4) 相 談 内 容 6 1 携 帯 電 話 2インターネット 接 続 回 線 (5) 事 業 者 への 取 次 ぎ 事 例 8 (6) 相 談 者 の

1.セッション3では 流 出 した 際 の 損 害 を 最 小 限 に 抑 える 対 応 仕 組 み 1

タイトルを1~2行で入力 (長文の場合はフォントサイズを縮小)

通 知 カード と 個 人 番 号 カード の 違 い 2 通 知 カード ( 紙 )/H27.10 個 人 番 号 カード (ICカード)/H28.1 様 式 (おもて) (うら) 作 成 交 付 主 な 記 載 事 項 全 国 ( 外 国 人 含 む)に 郵 送 で 配 布 希 望 者 に 交

. 負 担 調 整 措 置 8 (1) 宅 地 等 調 整 固 定 資 産 税 額 宅 地 に 係 る 固 定 資 産 税 額 は 当 該 年 度 分 の 固 定 資 産 税 額 が 前 年 度 課 税 標 準 額 又 は 比 準 課 税 標 準 額 に 当 該 年 度 分 の 価 格 ( 住 宅

・モニター広告運営事業仕様書

1 総 合 設 計 一 定 規 模 以 上 の 敷 地 面 積 及 び 一 定 割 合 以 上 の 空 地 を 有 する 建 築 計 画 について 特 定 行 政 庁 の 許 可 により 容 積 率 斜 線 制 限 などの 制 限 を 緩 和 する 制 度 である 建 築 敷 地 の 共 同 化 や

PowerPoint プレゼンテーション

FAQ案(Linkup Manager)

<4D F736F F D C8E9688D993AE82C994BA82A492F18F6F8F9197DE81698DC58F49816A2E646F6378>

text

< F2D E616C817A91E D868FF096F189BC>

任意整理について | 多重債務Q&A | 公益財団法人 日本クレジットカウンセリング協会

Microsoft PowerPoint - 【那須野】セキュリティ問題について

2 生 活 安 全 部 地 域 課 鉄 道 警 察 隊 長 ( 以 下 隊 長 という )は 被 害 相 談 所 の 名 称 を 記 載 した 表 示 板 を 庁 舎 入 口 付 近 に 掲 出 するものとする 3 隊 長 は 臨 時 の 被 害 相 談 所 を 設 置 するときは 当 該 相 談

学校教育法等の一部を改正する法律の施行に伴う文部科学省関係省令の整備に関する省令等について(通知)

消 費 者 取 引 (オークション) 出 品 オークション 入 札 入 札 出 品 物 の 広 告 入 札 落 札 後 の 連 絡 など のオークションシステムを 提 供 1 日 平 均 総 出 品 数 (/ 万 ) オークションストア 店 舗 数

PowerPoint プレゼンテーション

入札公告 機動装備センター

大槌町震災復興事業○○○地区他の施工等に関する包括委託業務

Microsoft Word - ★HP版平成27年度検査の結果

マンション電子投票サービス ご説明資料

工 事 名 沢 口 浄 配 水 場 建 設 工 事 ( 浄 水 管 理 棟 ) 入 札 スケジュール 手 続 等 期 間 期 日 期 限 等 手 続 きの 方 法 等 平 成 24 年 5 月 8 日 ( 火 ) 正 午 から 1 設 計 図 書 等 の 閲 覧 貸 出 基 本 事 項 2のとおり

平成17年度高知県県産材利用推進事業費補助金交付要綱

その 他 事 業 推 進 体 制 平 成 20 年 3 月 26 日 に 石 垣 島 国 営 土 地 改 良 事 業 推 進 協 議 会 を 設 立 し 事 業 を 推 進 ( 構 成 : 石 垣 市 石 垣 市 議 会 石 垣 島 土 地 改 良 区 石 垣 市 農 業 委 員 会 沖 縄 県 農

二 資本金の管理

パソコンバンクWeb21 操作マニュアル[導入・事前設定編]

Microsoft PowerPoint - 【加賀谷調査役】IPAforum-kagaya(公開版)Rev1.0.pptx

に 対 して 消 磁 装 置 によるデータ 破 壊 を 行 い データの 復 旧 を 不 可 能 とするこ と 2 消 去 が 終 了 したことが 識 別 できるシール 等 を 媒 体 に 貼 付 すること(このシール は 本 委 託 契 約 の 範 囲 内 で 受 託 者 が 用 意 すること)

(3) その 他 市 長 が 必 要 と 認 める 書 類 ( 補 助 金 の 交 付 決 定 ) 第 6 条 市 長 は 前 条 の 申 請 書 を 受 理 したときは 速 やかにその 内 容 を 審 査 し 補 助 金 を 交 付 すべきものと 認 めたときは 規 則 第 7 条 に 規 定 す

弁護士報酬規定(抜粋)

2 その 年 中 の 特 定 支 出 の 額 ( 前 払 をした 特 定 支 出 ) 問 資 格 取 得 費 に 該 当 する 専 門 学 校 (2 年 制 )の 授 業 料 等 の 支 出 をしましたが この 特 定 支 出 については その 支 出 した 年 分 の 特 定 支 出 の 額 の

参加表明書・企画提案書様式

S16-386・ソフトウェアの調達に関する入札実施の件

2 出 願 資 格 審 査 前 記 1の 出 願 資 格 (5) 又 は(6) により 出 願 を 希 望 する 者 には, 出 願 に 先 立 ち 出 願 資 格 審 査 を 行 いますので, 次 の 書 類 を 以 下 の 期 間 に 岡 山 大 学 大 学 院 自 然 科 学 研 究 科 等

福 山 市 では, 福 山 市 民 の 安 全 に 関 する 条 例 ( 平 成 10 年 条 例 第 12 号 )に 基 づき, 安 全 で 住 みよい 地 域 社 会 の 形 成 を 推 進 しています また, 各 地 域 では, 防 犯 を 始 め 様 々な 安 心 安 全 活 動 に 熱 心

1 リーダーシップと 意 思 決 定 1-1 事 業 所 が 目 指 していることの 実 現 に 向 けて 一 丸 となっている 評 価 項 目 事 業 所 が 目 指 していること( 理 念 基 本 方 針 )を 明 確 化 周 知 している 1. 事 業 所 が 目 指 していること

4 承 認 コミュニティ 組 織 は 市 長 若 しくはその 委 任 を 受 けた 者 又 は 監 査 委 員 の 監 査 に 応 じなければ ならない ( 状 況 報 告 ) 第 7 条 承 認 コミュニティ 組 織 は 市 長 が 必 要 と 認 めるときは 交 付 金 事 業 の 遂 行 の

第 8 条 乙 は 甲 に 対 し 仕 様 書 に 定 める 期 日 までに 所 定 の 成 果 物 を 検 収 依 頼 書 と 共 に 納 入 する 2 甲 は 前 項 に 定 める 納 入 後 10 日 以 内 に 検 査 を 行 うものとする 3 検 査 不 合 格 となった 場 合 甲 は

財政再計算結果_色変更.indd

1 書 誌 作 成 機 能 (NACSIS-CAT)の 軽 量 化 合 理 化 電 子 情 報 資 源 への 適 切 な 対 応 のための 資 源 ( 人 的 資 源,システム 資 源, 経 費 を 含 む) の 確 保 のために, 書 誌 作 成 と 書 誌 管 理 作 業 の 軽 量 化 を 図

Microsoft Word - 目次.doc

security

仕様書案

Sol-007 内部統制一元管理 _ppt [互換モード]

企業におけるマイナンバーのセキュリティに関する実態調査

Transcription:

BYODのリスク 分 析 ~ 個 人 スマホを 社 則 で 縛 るのはナンセンス~ KDDI 研 究 所 竹 森 敬 祐 (Ph.D) BYODって リスク 分 析 の 積 み 上 げです リスク 低 減 の 施 策 と 許 容 レベルを 考 慮 し 何 を 何 処 まで 許 可 すべきか 考 えます 本 音 はコスト 削 減 でも 安 全 も 維 持 したい 1: はじめに 2: リスクの 具 体 例 3:リスク 低 減 の 施 策 の 一 例 4: 設 計 とリスク 分 析 1

BYOD vs 安 全 性 : 社 内 規 則 で 縛 れるの?! 会 社 と 社 員 の 相 互 理 解 会 社 は 社 員 スマホの 通 信 費 の 一 部 を 負 担 する 負 担 の 代 償 として 社 員 に 依 頼 できそうな/すべき 規 則 を 交 渉 依 頼 できそうな/すべき 規 則 パスワード/パターンロック: 効 果 = 紛 失 時 の 情 報 漏 洩 防 止 個 人 利 用 においても 必 要 性 ですね パターンロックなら 導 入 の 敷 居 は 低 いです USBデバッグOFF: 効 果 = 紛 失 時 の 情 報 漏 洩 防 止 一 般 的 な 利 用 シーンで USB 経 由 でPC 接 続 する 必 要 はない 会 社 の 費 用 負 担 で 依 頼 できそう? MDMの 導 入 : 効 果 =ロック ワイプ 暗 号 化 などの 基 本 対 策 法 人 領 域 のみを 管 理 することを 了 解 して 貰 う 2

BYOD vs 安 全 性 : 社 内 規 則 で 縛 れるの?! 依 頼 できそうにないこと 様 々なOS/ 端 末 がある 中 で 購 入 OS/ 端 末 を 規 定 できない 安 全 度 の 低 いOSを 基 準 に 対 策 リスク 分 析 を 行 う 盗 撮 カメラで 逮 捕 者 や アドレス 帳 等 の 情 報 送 信 アプリもあるが 個 人 スマホに 対 するアプリのインストール 制 限 はやりすぎです アプリの 脅 威 を 許 容 できますか? セキュリティソフトは 有 料 であったり 効 果 を 発 揮 できない 側 面 が マルウェア 感 染 やJailbreakツールの 導 入 で 標 的 型 攻 撃 を 担 える 端 末 がいることを 想 定 した 法 人 NWの 設 計 が 必 要 WiFi/USBテザリング 機 能 を 持 ち 社 内 PCがスマホを 経 由 して インターネットに 直 接 繋 がる 社 内 でのテザリングを 防 ぐ 施 策 が 必 要 端 末 内 の 情 報 は 個 人 所 有 のものがある 紛 失 時 にリモートワイプを 拒 否 されることを 前 提 にする 3

スマホ タブレットの 特 徴 (1) オープンOS 端 末 のパッチ 脆 弱 性 へのパッチ 配 布 が 端 末 ベンダに 任 されている パッチの 整 合 性 検 査 に 時 間 を 要 し 配 布 が 遅 い 無 い 但 し 昨 今 の 傾 向 として 脆 弱 性 を 狙 うマルウェアは 少 ない OSベンダ 主 導 のパッチ OSベンダがパッチを 統 一 的 に 配 布 する パッチは 迅 速 に 配 布 され 最 新 の 状 態 に 保 ちやすい 4

5 スマホ タブレットの 特 徴 (2) 情 報 収 集 モジュール 無 料 アプリの45%が 情 報 を 外 部 送 信 している(KDDI 研 調 べ2011) 件 ( 率 )/400 50 件 (12.5%) 57 件 (14.3%) 7 件 (1.8%) 0 件 (0.0%) 7 件 (1.8%) 87 件 (21.8%) 4 件 (1.0%) 4 件 (1.0%) 32 件 (8.0%) 3 件 (0.8%) OS 生 成 ID 端 末 ID(IMEI) 加 入 者 ID(IMSI) SIMシリアルID(ICCID) メールアドレス OS 生 成 IDのハッシュ 値 IMEIのハッシュ 値 電 話 番 号 位 置 ( 緯 度 経 度 ) インストールアプリ 一 覧 プライバシ 保 護 型 OS 送 信 される 情 報 は 限 られる 送 信 する 情 報 を 利 用 者 が 制 限 することができる 送 信 情 報

スマホ タブレットの 特 徴 (3) オープンOS 向 けマルウェア 出 現 数 PC : オープンOS =400 : 1 (カスペルスキー2011 統 計 ) Marketから 駆 除 されると 感 染 の 拡 大 が 止 まる 知 らないうちにマルウェア 感 染 する 確 率 はPCよりもかなり 低 い マルウェアの 多 くは 非 公 式 Marketにある OSベンダ 管 理 型 向 けマルウェア Makertに 厳 格 な 審 査 があり マルウェアは 殆 ど 出 現 していない 知 らないうちに 感 染 する 脅 威 は 殆 どない 利 用 者 がJailbreakした 端 末 は 踏 み 台 になっている?! 6

BYODのリスク 分 析 ~ 個 人 スマホを 社 則 で 縛 るのはナンセンス~ KDDI 研 究 所 竹 森 敬 祐 (Ph.D) BYODって リスク 分 析 の 積 み 上 げです リスク 低 減 の 施 策 と 許 容 レベルを 考 慮 し 何 を 何 処 まで 許 可 すべきか 考 えます 本 音 はコスト 削 減 でも 安 全 も 維 持 したい 1: はじめに 2: リスクの 具 体 例 3:リスク 低 減 の 施 策 の 一 例 4: 設 計 とリスク 分 析 7

リスクウェアの 整 理 スマホに 生 じるリスクの 殆 どは アプリの 導 入 利 用 に 起 因 する 8

アプリによる 情 報 送 信 の 問 題 端 末 から 何 らかの 情 報 を 送 信 するアプリ 181/400 件 (45%) 適 切 な 説 明 を 経 て 情 報 収 集 しているアプリ 白 17/181 件 (10%) 不 適 切 な 説 明 のまま 情 報 収 集 しているアプリ 灰 7/181 件 (4%) 勝 手 に 情 報 送 信 しているアプリ 黒 157/181 件 (86%) 情 報 収 集 モジュール 悩 ましい 実 態 情 報 送 信 アプリが 多 過 ぎ スパイウェアの 判 断 がつかない( 放 置 ) アドレス 帳 も 収 集 されることを 前 提 にする 9

スマホが 管 理 する 情 報 の 一 例 スマホから 送 信 できる 利 用 者 を 特 定 する 情 報 および 各 種 識 別 子 (ID) 種 別 利 用 者 を 特 定 する 情 報 個 体 を 識 別 する 情 報 (ID) 詳 細 氏 名 アドレス 帳 で 管 理 される 情 報 メールアドレス OSが 生 成 するID 端 末 ID(IMEI:d14 桁 ) 加 入 者 ID(IMSI:d14 桁 ) SIMシリ アルID(ICCID:d19 桁 ) 電 話 番 号 (d11 桁 ) 認 証 チケット アプリが 独 自 に 発 行 するID MACアドレス OSやサービスへのログインアカウント IPアドレ スなど 利 用 履 歴 アプリ 種 別 スマホから 送 信 できるプライバシ 情 報 詳 細 位 置 情 報 通 話 メールの 履 歴 Webのブックマーク 閲 覧 履 歴 など アプリの 一 覧 利 用 履 歴 アプリの 管 理 データなど 10

設 計 ミス:SDカード 上 のファイルの 公 開 ファイル 操 作 アプリ ファイルを 閲 覧 操 作 するアプリを 使 うと バックドアが 開 いてSDカード 上 のファイル が 外 部 に 公 開 される 開 発 者 の 設 計 ミスで 情 報 漏 洩 が 生 じる 他 人 のAndroid 端 末 のSDカード を 閲 覧 できている 11

悪 性 アプリ: 振 込 め/ワンクリック 詐 欺 非 公 式 アプリ 配 信 サイト 日 本 の 成 人 向 けWebサイトに 偽 の 再 生 アプリが 置 かれた 提 供 元 不 明 アプリ をデフォルト 設 定 (OFF)にしておけば 安 心 電 話 番 号 メールアト レス + 位 置 +IMEI 12

迷 惑 なアプリ: 盗 撮 ( 消 音 )カメラ 迷 惑 なアプリとは 利 用 者 の 使 い 方 次 第 で 第 三 者 に 迷 惑 をかけるアプリのこと 消 音 カメラは 盗 撮 で 被 害 者 が 出 るなど 社 会 問 題 になっている 正 しい 使 い 方 動 物 を 撮 影 する 撮 影 許 可 のある 美 術 館 で 撮 影 する 問 題 のある 使 い 方 駅 で 盗 撮 をする 工 場 や 研 究 施 設 を 盗 撮 する 書 籍 を 電 子 万 引 きする http://t0.gstatic.com/images?q=tbn:and9gctudn7nvvdqnpn 3tDVOBtGaK3h-YM9AbowFtPUvxn6GtAO15wkoftTQnjkOhA 13

制 限 された 機 能 : テザリング テザリングとは スマホが 無 線 LANルータになり インターネットへ 直 接 繋 がる 法 人 GW/フィルタ インターネット 14

BYODのリスク 分 析 ~ 個 人 スマホを 社 則 で 縛 るのはナンセンス~ KDDI 研 究 所 竹 森 敬 祐 (Ph.D) BYODって リスク 分 析 の 積 み 上 げです リスク 低 減 の 施 策 と 許 容 レベルを 考 慮 し 何 を 何 処 まで 許 可 すべきか 考 えます 本 音 はコスト 削 減 でも 安 全 も 維 持 したい 1: はじめに 2: リスクの 具 体 例 3:リスク 低 減 の 施 策 の 一 例 4: 設 計 とリスク 分 析 15

かってなWiFiアクセスポイント(AP)を 探 し 出 す 社 内 LANからネットへのバックドア 対 策 USBテザリングを 防 ぐため USBデバックのOFFを 規 定 する スマホをWiFi-AP 化 して 法 人 GWを 通 過 しないネット 通 信 を 防 ぐ WiFi Analyzerを 使 って 強 度 が 高 く 知 らないWiFi-APを 探 査 スマホでWiFi-AP (barnacleアプリ) を 立 てたもの 16

KDDI 3LM でのBYOD: 個 人 端 末 を 法 人 契 約 枠 へ 企 業 管 理 アプリ 個 人 利 用 アプリ 業 務 アフ リ セキュリティ ソフト ゲーム SNS グループウェア (Exchange) など 業 務 利 用 と 個 人 利 用 の アプリを 別 管 理 E-mail SMS 電 話 など データ 強 制 暗 号 化 端 末 からアプリ 削 除 の 禁 止 コピー&ペースト 制 限 指 定 アプリデータの 削 除 利 用 制 限 なし 業 務 アプリやセキュリティなど 企 業 管 理 が 必 要 なアプリケーションを 別 管 理 またロック ワイプなど 個 人 利 用 で 有 効 な 機 能 も 利 用 可 能 に! 17

検 疫 研 究 :Android(ARM)+TPMのセキュアブート セキュアブート Android 搭 載 のARMボードにTPMを 接 続 して 認 証 完 全 性 検 証 を 試 作 端 末 起 動 時 に ブートローダ Android OS アプリの 状 態 を 測 定 測 定 結 果 を 遠 隔 の 状 態 管 理 局 に 送 付 し 完 全 性 を 検 証 する 重 要 サービスへの 接 続 の 際 に 認 証 完 全 性 検 証 をH/Wレベルで 実 現 遠 隔 の 状 態 管 理 局 起 動 時 の 測 定 ログ セキュアブートの 手 順 実 装 例 Android(ARM), TPM 18

BYODのリスク 分 析 ~ 個 人 スマホを 社 則 で 縛 るのはナンセンス~ KDDI 研 究 所 竹 森 敬 祐 (Ph.D) BYODって リスク 分 析 の 積 み 上 げです リスク 低 減 の 施 策 と 許 容 レベルを 考 慮 し 何 を 何 処 まで 許 可 すべきか 考 えます 本 音 はコスト 削 減 でも 安 全 も 維 持 したい 1: はじめに 2: リスクの 具 体 例 3:リスク 低 減 の 施 策 の 一 例 4: 設 計 とリスク 分 析 19

復 習 :BYODの 前 提 条 件 社 員 にお 願 いできそうなこと パスワード/パターンロックを 掛 けて 貰 う USB 接 続 機 能 をOFFにする もう 少 しだけ 社 員 にお 願 いできそうなこと root 権 限 奪 取 (Jailbreak)しない アドレス 帳 に 社 員 やお 客 様 の 情 報 を 入 力 しない 紛 失 時 には 通 信 事 業 者 に 依 頼 して リモートロックを 掛 けて 貰 う 会 社 側 の 費 用 負 担 で 会 社 用 アプリ 保 護 にMDMを 適 用 して 貰 う 上 記 以 上 に 期 待 はできないでしょう 次 項 から 設 計 とリスク 分 析 の 一 例 を 紹 介 します 20

リスク 分 析 の 一 例 : 許 容 範 囲 を 考 える 電 話 の 発 着 信 電 話 帳 に 社 員 やお 客 様 情 報 を 登 録 せず 単 なる 電 話 として 利 用 発 着 信 履 歴 の 漏 洩 ( 確 率 : 低 ) TEL 番 ( 影 響 : 低 )=リスク: 低 メールの 送 受 信 パスワード 入 力 型 のWebメールを 使 う メールサーバ 侵 入 ( 確 率 : 低 ) 内 容 ( 影 響 : 大 )=リスク: 中 MDMを 適 用 して 専 用 のメールアプリを 使 う 紛 失 時 に 漏 洩 ( 確 率 : 低 ) 内 容 ( 影 響 : 大 )=リスク: 中 業 務 システム アプリ LANの 外 側 にパスワード 入 力 型 Webベース 業 務 システムを 設 置 サーバ 侵 入 ( 確 率 : 低 ) 内 容 ( 影 響 : 大 )=リスク: 中 MDMを 適 用 して 端 末 内 の 業 務 用 アプリを 用 いる 紛 失 時 に 漏 洩 ( 確 率 : 低 ) 内 容 ( 影 響 : 大 )=リスク: 中 21

その 他 の 案 デフォルト 安 全 なOSに 限 定 する 安 全 性 の 高 いOSであれば 認 める 紛 失 時 に 漏 洩 ( 確 率 : 小 ) 内 容 ( 影 響 : 大 )=リスク: 中 (パスワードロックでROM 全 体 が 暗 号 化 されている ) オープンOS 端 末 にはMDMを 別 途 法 人 契 約 する MDMでディスクの 暗 号 化 ワイプの 同 意 が 得 られれば 認 める 紛 失 時 に 漏 洩 ( 確 率 : 低 ) 内 容 ( 影 響 : 大 )=リスク: 中 (KDDI-3LMセキュリティを 導 入 すれば ロック ワイプ 暗 号 化 できる ) 上 記 の2つの 施 策 を 並 行 して 打 てるのはauだけ この 資 料 営 業 トークだったのか?! 22

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック