Microsoft PowerPoint - U-7 関西3G_アニメーションなし.pptx

Similar documents
= SaaS型総合決済サービス = 「PGマルチペイメントサービス」のご案内

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ

1. SQL インジェクションの問題と脅威 2

WSUS Quick Package

ALogシリーズ 監査レポート集

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数 す 別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は 脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C

目次 2017 年情報セキュリティインシデントに関する調査結果 ~ 個人情報漏えい編 ~( 速報版 ) の解説 個人情報漏えいインシデントの公表ガイダンスについて 2/23

WebIntellTN02.qxp (Page 1)

ミガロ.製品 最新情報

中小企業向け サイバーセキュリティ対策の極意

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

OmniTrust

どこでもキャビネットVer1.3 ご紹介資料

鳥取県物品電子入札システムセキュリティ ポリシー設定マニュアル IC カードを利用しない応札者向け 第 1.7 版 平成 31 年 2 月鳥取県物品契約課 鳥取県物品電子入札システムセキュリティ ポリシー設定マニュアル Ver.01-07

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

マイナンバー対策マニュアル(技術的安全管理措置)

マルウェアレポート 2017年9月度版

NOSiDEパンフレット


目次 1 はじめに AWS が提供するセキュリティモデル 責任共有モデルとセキュリティについて 検討すべきセキュリティ対策のポイント ミドルウェアの脆弱性と公開サーバに対する脅威 ミドルウェアで見つかる深刻な脆弱性..

Mobile Access簡易設定ガイド

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

2

MSSGuideline ver. 1.0

PowerPoint プレゼンテーション

2018 年 3Q(7 月 ~9 月 ) の導入企業への攻撃状況は Blacklisted user agent の攻撃が多く確認され 全体の約 60% の割合を占めており 3 ヶ月で 13,098,070 件が検知されています また 無作為に既知の脆弱性を試行する WEB アタック や 攻撃可能な

Delphi/400開発ノウハウお教えします 情報を守ろう!安全性を高めたWebシステムの構築

SQLインジェクション・ワームに関する現状と推奨する対策案

Imperva Incapsula Web サイト セキュリティ データシート クラウドを利用したアプリケーション セキュリティ クラウドベースの Web サイト セキュリティ ソリューションである Imperva Incapsula は 業界をリードする WAF 技術に加え 強力な二要素認証および

— intra-martで運用する場合のセキュリティの考え方    

スライド 1

Payment Card Industry(PCI) データセキュリティ基準 オンサイト評価の準拠証明書 加盟店 バージョン 年 4 月 ご利用条件への同意 全ての目的において PCI の SSC サイトに記載された英文テキストがこの文書の正式版とみなされるものとし このテキストと

Microsoft PowerPoint - IW2009H1_nri_sakurai.pptx

プライバシーポリシー 発効日 :2017 年 12 月 本ポリシーはウルルン河口湖が所有し 運営する に適用されます 本ポリシーは ユーザーが のウェブサイトで提供する個人情報を当施設がどのように

携帯情報端末の・・・

タイトルを1~2行で入力 (長文の場合はフォントサイズを縮小)

上記 1のお客様のうち ログインパスワード :38 件基本的にパスワードは暗号化しておりましたが PCF の最終報告書により 上記 38 件については暗号化前のパスワード平文が流出したことが特定されました パスワード平文が流出した上記 38 名のお客様については 個別にご案内させていただいております

WSMGR for Web External V7.2 L50 ご紹介

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

セクション 1: 評価情報 提出に関する指示 加盟店は PCI データセキュリティ基準 (PCI DSS) の要件およびセキュリティ評価手順の自己問診結果を表明するものとしてこの文書の記入を完了する必要があります この文書のすべてのセクションの記入を完了します 加盟店は 該当する場合 各セクションが

BraindumpsVCE Best vce braindumps-exam vce pdf free download

PowerPoint Presentation

12P新雛型.indd

07_エラー・トラブル対応

[重要]WindowsUpdate で公開された MS15-058:セキュリティ更新プログラム

Microsoft Word - nvsi_050090jp_oracle10g_vlm.doc

なぜIDSIPSは必要なのか?(v1.1).ppt

サービス内容 サービス内容 ここでは サービス内容についてご案内します このたびは 本サービスをお申し込みいただきまして 誠にありがとうございます この手引きは サービスの運用を管理される方向けの内容で構成されております お客様のご利用環境によってはご紹介した画面や操作とは異なる場合がありますが 快

事前準備マニュアル

製品ラインナップ2015年2月版

別紙 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 年第 3 四半期に登録した脆弱性の種類別件数図 8 のグラフは JVN ipedia へ 2012 年第 3 四半期に登録した脆弱性対策情

KSforWindowsServerのご紹介

1.indd

FIDO技術のさらなる広がり

緊急対応から見た、Webサイト用データベースセキュリティ対策

PowerPoint プレゼンテーション

<4D F736F F D F815B B E96914F92B28DB8955B>

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

Silk Central Connect 15.5 リリースノート

注意事項 (1)Windows 10 を使用する場合 注意事項 1 注意事項 3 注意事項 4 についてご対応をお願いします (2)Windows 8.1 を使用する場合 注意事項 2 注意事項 3 注意事項 4 についてご対応をお願いします (3)Windows 7 上で Internet Exp

OpenRulesモジュール

注意事項 (1)Windows 10 を使用する場合 注意事項 1 注意事項 3 注意事項 4 についてご対応をお願いします (2)Windows 8.1 を使用する場合 注意事項 2 注意事項 3 注意事項 4 についてご対応をお願いします (3)Windows 7 上で Internet Exp

ESET Smart Security Premium v リリースノート

受付結果の確認受付システムでは 申告 申請等を受信した後 基本的事項 ( 納税者名 住所等 ) の内容を確認します そして 確認した結果をメッセージボックスに格納します 送信後 ある程度の時間を置いて 再度受付システムにログインし メッセージボックスに格納された情報を確認してください 受信したメッセ

2. 製品概要 IM-ERP リアルコネクトは SAP システム内のデータをリアルタイムに取得 更新するための API SAP リアルタイム連携 API を提供いたします またこれらの API を利用した業務テンプレートが同梱されています 各機能の詳細や設定方法に関しては 各マニュアルまたはセットア

Mobile Access IPSec VPN設定ガイド

マルウェアレポート 2017年12月度版

タイトルを1~2行で入力 (長文の場合はフォントサイズを縮小)

2 章必要なものを用意する パソコン (PC) 推奨環境以下の Windows パソコンのみでのご利用となり スマートフォンやタブレットは推奨環境対象外です なお 携帯電話からはご利用いただけません 最新の利用環境および留意事項につきましては 当金庫までお問い合わせください ( 平成 28 年 1

Microsoft PowerPoint - Userguide-SyoninMail-v1.0.ppt

PowerPoint プレゼンテーション

ウ件数 6,860 件エ原因公式ショッピングサイト ハワイアンズモール ( 以下 ハワイアンズモール といいます ) のロードバランサー ( 負荷分散装置 ) に使用していた OpenSSL の脆弱性を利用した 外部からの不正アクセスによるものでした (2) 本件の原因弊社によるシステムフォワード社

強化項目 PaymentEliteVer2.0 における機能強化項目 PCIDSS Payment Card Industry Data Security Standard クレジットカード情報保護を目的とした情報セキュリティ基準であるPCIDSS の要件に対応 (PCIDSSv2.0) 会員番号

これだけは知ってほしいVoIPセキュリティの基礎

製品概要

RICOH Device Manager Pro バックアップ/バージョンアップ作業手順書

スライド 1

CA Federation ご紹介資料

R80.10_FireWall_Config_Guide_Rev1

マイナンバー対策セミナー(実践編) 「マイナンバー対策マニュアル」を利用した具体的な対策方法について

SQL インジェクションの脆弱性

中小企業向け サイバーセキュリティ対策の極意

PowerPoint プレゼンテーション

OpenRulesモジュール

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

ウェブデザイン技能検定 1 級実技 平成 28 年度 第 4 回 ウェブデザイン技能検定 1 級 実技試験概要 試験にあたっての注意事項 試験者は本試験の留意事項 注意事項に留意して作業を行うこと ペーパー実技試験は 課題 1 から 5 までの 5 課題を 60 分間で行うこと 作業実技試験は 課題

JSP58-program


ロイロノートスクールクラウド版表 クラウド サービス利 弊社が 意しているクラウドサービスへ接続し利 するシンプルなプランです サービスだけで利 することができます プラン 保存可能な容量 / ユーザー 額の場合 / ユーザー 年額の場合 / ユーザー 共 タブレット向け 1 0.8GB 40 円

注意事項 (1)Windows 10 を使用する場合 注意事項 1 注意事項 3 注意事項 4 についてご対応をお願いします (2)Windows 8.1 を使用する場合 注意事項 2 注意事項 3 注意事項 4 についてご対応をお願いします (3)Windows 7 上で Internet Exp

Microsoft PowerPoint - A3② JaSST_MISRA2004ソースコード品質診断.ppt

ログを活用したActive Directoryに対する攻撃の検知と対策

2. バージョンアップ内容 intra-mart WebPlatform/AppFramework Ver.7.1 および Ver.7.2 に対応いたしました SAP JCo 3.0.x に対応いたしました 3. 製品概要 IM-ERP リアルコネクトは SAP システム内のデータをリアルタイムに取

付録 :Google ツールバーの設定手順 (1) ブラウザバージョンの確認 まず お使いのブラウザ (Internet Explorer) のバージョンを確認します 手順 1: ブラウザ (Internet Explorer) を起動します 手順 2: ヘルプ/ バージョン情報 メニューを選択しま

マルウェアレポート 2018年2月度版

Oracle TimesTenについて

(Microsoft PowerPoint - HP\227pWASABI\217\320\211\356\216\221\227\277.ppt)

Transcription:

どこまでやるのセキュリティ 守るべき情報 に応じた 情報漏えい対策の検討 2014 年度研究活動関 3 グループ 株式会社ノエビアホールディングス松原 太けいしんシステムリサーチ株式会社永 喜洋

ユニシス研究会関 3G について メンバー構成 名 所 属 会 社 役割 松原 太 株式会社ノエビアホールディングス リーダー 永 喜洋 けいしんシステムリサーチ株式会社 サブリーダー 室井 昭広 因幡電機産業株式会社 川 智治 G&Uシステムサービス株式会社 粟野 恵介 松本 靖 本ユニシス株式会社 アドバイザー 中 和宏 本ユニシス株式会社 アドバイザー 2

アジェンダ 1. 研究テーマ選定 2. 指すべきゴールとゴールへのアプローチ 3. セキュリティ基準の作成 4. セキュリティ基準の検証 5. まとめ 3

研究テーマ どこまでやるの セキュリティ 選定背景 関 部はユニシス研究会史上初 分野別エントリー 式 メンバー募集時は 情報セキュリティに関する研究 ステップ1 ブレインストーミング の会社へWAF(WebApllicationFirewall) 導 の提案をしたが 上司から却下された どうすれば良いのか却下理由 費 WAF or IPS/IDS 4

研究テーマ テーマ候補 IE の脆弱性 業務効率 利便性 社のセキュリティ対策の有効性 クレジットカードのセキュリティ スマートデバイス 費 対効果 情報漏えい 組み込み機器セキュリティ 災害時の備え 5

研究テーマ テーマ候補 社のセキュリティ対策の有効性 業務効率 利便性 費 対効果 分? 不 分? セキュリティとどちらを優先? どこまで費 をかけるべき? 6

研究テーマ テーマ候補 社のセキュリティ対策の有効性 基準と 較して過不 確認! 業務効率 利便性 不便でも基準通りに! 費 対効果 費 に 合わないと思っても基準通りに! 7

研究テーマ 採るべきセキュリティ対策の基準を作成したい!! セキュリティ しなきゃいけないのはわかってる でも 時間もない お もない いったい どこまでしたらいいの? 8

研究テーマ 採るべきセキュリティ対策の基準を作成したい!! セキュリティ しなきゃいけないのはわかってる でも 時間もない お もない いったい どこまでしたらいいの? 9

サブテーマ 守るべき情報 に応じた 情報漏えい対策の検討 10

指すべきゴール ここまでやるの という答え (3G 基準 ) を出す まとめた基準を 誰でもが使えるツールにする条件さえ すれば しなければならない対策が出る セキュリティ対策の成績表になるようなツールにするセキュリティ対策をポイント換算し 条件 実施状況を すれば 点数が出る そのセキュリティ基準を使ったツールが実際に使えるものかどうかを検証する 11

ゴールへのアプローチ ステップ1 守るべきもの / リスク / 対策のピックアップから始めた 個 情報 新製品情報 Webサイト PC サーバ 企業イメージ ブランドイメージ 社員の安全 12

サブテーマ 守るべき情報 に応じた 情報漏えい対策の検討 某通信教育企業の 事件のニュース 守るべきもの 個 情報 リスク 情報漏えい 情報内容 利 法 保管場所等の条件毎に 採るべき情報漏えい対策は異なるはず 13

ゴールへのアプローチ ステップ2 個 情報にもいろいろ最も価値が いものは? 漏えいした際に 最も被害額が いものは? クレジットカード情報 国際カードブランド 5 社が共同で作ったセキュリティ基準 PCIDSS(Payment Card Industry Data Security Standards) 14

PCIDSS 要件 1 カード会員データを保護するためにファイアウォールを導 し 最適な設定を維持すること ~ ~ 要件 6 安全性の いシステムとアプリケーションを開発し 保守すること 要件 12 情報セキュリティに関するポリシーを整備すること 300 個以上のセキュリティ項 からなるセキュリティ基準 15

セキュリティ基準の作成 関 3G が作成するセキュリティ基準 (3G 基準 ) のイメージ 条件 A 条件 B 条件 C セキュリティ対策項 1 セキュリティ対策項 2 セキュリティ対策項 3 16

セキュリティ基準の作成 縦軸 ( セキュリティ対策項 ) PCIDSS 具体的 定量的で理解し易い が 部 我々なりに咀嚼し 分かり易い表現に変更 300 以上のセキュリティ対策項 類似性の強いものを集約した結果 230 項 17

セキュリティ基準の作成 横軸 ( 条件 ) 個 情報の種類 1 基本情報 : 名 住所 年 性別 電話番号 2 機微情報 : 病歴 犯歴 思想 宗教など 3カード情報 : カード番号 有効期限 セキュリティコード情報の 出 経路 (Web イントラ) 保存 法 ( データベース 紙 ) 18

セキュリティ基準の作成 横軸 ( 条件 ) 個 情報なし個 情報ありクレシ ットカート 機微情報基本情報 Web イントラ Web イントラ Web イントラ DB 格納あり DB 格納なし DB 格納あり DB 格納なし DB 格納あり DB 格納なし DB 格納あり DB 格納なし紙で保存 DB 格納あり DB 格納なし DB 格納あり DB 格納なし紙で保存 15 条件 19

230 項 のセキュリティ対策 15 条件 =3,450 230セキュリティ基準の作成 条件 A 条件 B 条件 C セキュリティ対策項 1 セキュリティ対策項 2 セキュリティ対策項 3 項 15 条件 20

230 項 のセキュリティ対策 15 条件 =3,450 230セキュリティ基準の作成 条件 A 条件 B 条件 C セキュリティ対策項 1 セキュリティ対策項 2 セキュリティ対策項 3 項 15 条件 21

セキュリティ基準の作成 メンバー間の意 の分かれ 4:0 致 40% 3:1 多数決 42% 2:2 不 致 18% 617 件 グループ内で討議し 3Gとして意 を 致させた 3G 基準 (β 版 ) の完成 22

セキュリティ基準の検証 3G 基準の妥当性の検証 法 & ブラッシュアップ 1サンプル企業に評価を依頼 2-a 3G 基準と 致 2-b 3G 基準と不 致 同意 3 再検討 2-c 3G 基準に不同意 43G 基準に反映 23

セキュリティ基準の検証 3G 基準の妥当性の検証 サンプル企業 3 社 企業 基本情報 DB 格納 サンプルA 社 あり Webサイト あり サンプルB 社 あり イントラのみ あり サンプルC 社 あり イントラのみ あり 要件 6(25 項 ) 安全性の いシステムとアプリケーションを開発し保守する 妥当性の判断基準 判断条件 が3G 基準と 致している が3G 基準と不 致だが 3G 基準に同意する が3G 基準と不 致で 3G 基準に同意しない 妥当性妥当である妥当である妥当でない 24

セキュリティ基準の検証 3G 基準の評価結果 判断条件 / 企業 A 社 B 社 C 社合計 が3G 基準と 致している 16 17 15 48 が3G 基準と不 致だが 3G 基準に同意する 6 1 1 8 が3G 基準と不 致で 3G 基準に同意しない 3 7 9 19 妥当性 88% 72% 64% 75% 不 致 不同意の項 について 再討議 25

セキュリティ基準の検証 不 致 不同意項 の再討議 イントラ メンバー間の認識相違前提 イントラ のみのシステムに対して 外部からのアクセスはない セキュリティホールをついてまで攻撃を う攻撃者は 内部には存在しない 要件 6.2 OSおよびソフトウェアの重要なセキュリティパッチをリリース後 1カ 以内に適 する 要件 6.5.1 アプリケーション開発において SQLインジェクションに対応したセキュアコーディングを う 26

セキュリティ基準の検証 3G 基準の評価結果 判断条件 / 企業 A 社 B 社 C 社合計 が3G 基準と一致している 16 17 15 48 が3G 基準と不一致だが 3G 基準に同意する 6 1 1 8 が3G 基準と不一致で 3G 基準に同意しない 3 7 9 19 妥当性 88% 72% 64% 75% 3G 基準の再評価結果 判断条件 / 企業 A 社 B 社 C 社合計 が3G 基準と一致している 16 21 20 57 が3G 基準と不一致だが 3G 基準に同意する 6 1 1 8 27 が3G 基準と不一致で 3G 基準に同意しない 3 3 4 10 妥当性 88% 88% 85% 86%

セキュリティ基準の検証 不同意の項 要件 6.2 OSおよびソフトウェアの重要なセキュリティパッチをリリース後 1カ 以内に適 する 3G 基準 C 社 B 社 要件 6.5.5 アプリケーション開発において 適切なエラー処理を う ( 具体的なエラー表 をせず 汎 エラーメッセージを表 する ) 3G 基準 B 社 C 社 28

セキュリティ基準の検証 不同意の項 企業 基本情報 DB 格納 サンプルA 社 あり Webサイト あり サンプルB 社 あり イントラのみ あり サンプル C 社ありイントラのみあり 妥当性 100% 存在する? 判断条件 / 企業 A 社 B 社 C 社合計 が3G 基準と一致している 16 21 20 57 が3G 基準と不一致だが 3G 基準に同意する 6 1 1 8 が3G 基準と不一致で 3G 基準に同意しない 3 3 4 10 妥当性 88% 88% 85% 86% 29

まとめ 成果どこまでやるの個 情報に絞り PCIDSSを基に 230 項 のセキュリティ対策項 15 条件 3,450の項 からなるセキュリティ基準の作成 基準の検証 同意 = 妥当 という考え 要件 6(25 項 ) 2 条件 の50 項 妥当性 86% の信頼できるセキュリティ基準 基準のツール化 残念ながら 30

まとめ 成果ご来場の皆さま 全項 検証済みの信頼できるセキュリティ基準 セキュリティ対策状況を評価できるツール 関 3Gメンバー セキュリティに関する知識 セキュリティに関する意識 31

ご清聴ありがとうございました 32

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック