1. サイバーセキュリティの定義は確立されていない サイバーセキュリティ基本法案など 都道府県警察 警視庁ホームページなど サイバーセキュリティ サイバー犯罪 サイバー攻撃 外部からの脅威サイバー空間の話高度なハッキング技術明確な犯意 etc なんとなくのイメージ サイバーテロ 防衛省ホームページな

Similar documents
2017年度税制改正 相続税・贈与税国外財産に対する納税義務の範囲の見直し

米国トレッドウェイ委員会支援組織委員会(COSO)による全社的リスクマネジメントフレームワークの改訂

untitled

2018年度改正 相続税・贈与税外国人納税義務の見直し

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

内部不正を防止するために企業は何を行うべきなのか

中小企業向け サイバーセキュリティ対策の極意

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

ACTIVEプロジェクトの取り組み

中小企業向け サイバーセキュリティ対策の極意

Microsoft PowerPoint - ã…Šã…¬ã…fiㅥㅼ盋_MVISONCloud製åfi†ç´¹ä»‰.pptx

KPMGサイバーセキュリティサーベイ2017

やよいの顧客管理

弥生給与/やよいの給与計算

弥生 シリーズ

弥生会計 プロフェッショナル/スタンダード/やよいの青色申告

弥生会計/やよいの青色申告

弥生会計 ネットワーク/プロフェッショナル2ユーザー

重要な技術情報の保護のために


PowerPoint プレゼンテーション

Fuji Xerox Co., Ltd. All rights reserved.

製品概要

バーゼル4

本日の内容 GIPS 基準における公正価値の考え方 (GIPS 評価原則 ) と実務上の留意点および課題 GIPS 2010 年改訂版におけるポートフォリオ評価 ポートフォリオ評価に関する重要な変更 GIPS 評価原則 について 公正価値 と 検証 GIPS 基準と既存の評価方法との差異分析 GIP

会計ニュース・フラッシュ

Copyright 2017 JAPAN POST BANK CO., LTD. All Rights Reserved. 1

P. 2 P. 4 P. 5 P. 6 P. 7 P. 9 P P.11 P.14 P.15 P.16 P.16 P.17 P.19 P.20 P.22 P P P P P P P P P

P. 2 P. 4 P. 5 P. 6 P. 7 P. 9 P.10 P.12 P.13 P.14 P.14 P.15 P.17 P.18 P.20 P P P P P.25 P.27 P.28 Copyright 2016 JAPAN POST BA

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

E 年 2 月 26 日 サービス & セキュリティ株式会社 e-gate センター サプライチェーン攻撃の脅威と対策について 1. 概要 サプライチェーン攻撃のリスクはかねてから指摘されていました 経済産業省が 2015 年に公表した サイバーセキュリティ経営ガイドライン

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

McAfee Application Control ご紹介

CONTENTS 1. テレワーク導入における課題 2. 総務省テレワークセキュリティガイドラインについて 3. 技術 制度 人に関する情報セキュリティ対策例 4. 情報へのアクセス方法とその特徴 5. マネジメント ( 労務管理等 ) の対策 2

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

P. 2 P. 4 P. 5 P. 6 P. 7 P. 9 P P.11 P.13 P.15 P.16 P.17 P.17 P.18 P.20 P.21 P.23 P P P P P P P P.31

なぜIDSIPSは必要なのか?(v1.1).ppt

= SaaS型総合決済サービス = 「PGマルチペイメントサービス」のご案内

(c) PIXTA Co. Ltd. All Rights Reserved.

これだけは知ってほしいVoIPセキュリティの基礎

第 1-4 条用語の定義 本ガイドラインにおいて, 次の各号に掲げる用語の定義は, それぞれ次に定めるところによる (1) 委託先等 とは, 委託先, 再委託先及び発注先をいう (2) 外部記憶媒体 とは, 機器に接続してそのデータを保存するための可搬型の装置をいう (3) 外部ネットワーク とは,

ライフサイクルが終了した Windows Server 2003 オペレーティングシステムの保護 サポート終了後の Windows Server 2003 システムでリスクを軽減するためのガイド データシート : セキュリティ管理 サポートが終了してもビジネスは継続するソフトウェアベンダーが製品のラ

第5回_ネットワークの基本的な構成、ネットワークの脆弱性とリスク_pptx

untitled

IFRSにおける適用上の論点 第27回

本プレゼンのポイント 脅威を知ることが対策への近道 2

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

ログを活用したActive Directoryに対する攻撃の検知と対策

COSO内部統制フレームワーク改訂

相続支払い対策ポイント

150423HC相続資産圧縮対策のポイント

組織内CSIRTの役割とその範囲

スライド 1

資料 6 クラウドサービスで発生しているインシデントについて 2012 年 3 月 19 日 川口洋, CISSP 株式会社ラックチーフエバンジェリスト lac.co.jp 平成 23 年度第 3 回学術情報基盤オープンフォーラム

ハピタス のコピー.pages

Copyright 2008 All Rights Reserved 2

(平成26年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」

進化する ISMS ISMS 適合性評価制度の認証用基準 (ISO/IEC 27001) は 改定の度に進化している Ver. Ver. I

~ 目次 ~ 内 容 頁 1 不正アクセス禁止法の概要 不正アクセス禁止法の概要 不正アクセス禁止法で禁止されている行為 ( 抜粋 ) 他人に成り済ます行為 セキュリティホールを突く行為 不正アクセスを準備する行為等 3 1-3

プレゼンテーション

2 Copyright(C) MISEC

PPTテンプレート集 ver.1.0

教科書の指導要領.indb

<4D F736F F F696E74202D20552D DC58F4994AD955C8E9197BF816A89DF8B8E82C696A F08CA992CA82B7838D834F95AA90CD76382E70707

エンドポイントにおける Web コントロール 概要ガイド

資料 総務省情報開示分科会第二回プレゼン資料 注 ) 弊社への保険お申込みについては 提案書完全版を必ずご覧ください サイバーセキュリティ総合補償プランのご提案 ( 抜粋 ) Copyright 2017 三井住友海上火災保険株式会社無断転載 複写を禁止します 9182

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

ROICの活用による企業価値向上

Microsoft Word - sp224_2d.doc

デンマークとの新租税条約

Copyright 2017 JAPAN POST BANK CO., LTD. All Rights Reserved. 1

ミャンマーでの建設受注に関わる税務問題

タイ子会社管理の基礎知識 第5回 タイの会計基準が大きく変わる~日系タイ子会社のTFRS for SMEs対応~

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

ネーミングライツから見る観客増加の重要性

スライド 1

P. 2 P. 4 P. 5 P. 6 P. 7 P. 8 P. 9 P P.11 P.13 P.15 P.16 P.17 P.17 P.18 P.20 P.21 P.23 P P P P P P P.30 16

新収益認識基準が企業経営に与える影響の考察~業種別シリーズ 小売流通業~

2017 年 6 月 14 日 スムーズな API 連携でデジタルビジネスを推進する API Gateway as a Service の提供を開始 ~ 外部との API 接続を容易にし xtech ビジネス連携を加速 ~ NTT コミュニケーションズ ( 以下 NTT Com) は 複数のシステム

人事部門の機能変革

Sample 5

セキュリティ被害調査ワーキンググループ 目的 情報セキュリティインシデントにおける被害の定量化 適切な情報セキュリティに対する投資判断 投資対効果の提示 企業における情報セキュリティインシデントに係る被害額 投資額などの実態をアンケートやヒアリングによって調査した この調査結果をもとに 情報セキュリ

Microsoft Word Aプレスリリース案_METI修正_.doc

KSforWindowsServerのご紹介

1000 Copyright(C)2009 All Rights Reserved - 2 -

info-security_casestudy-youryo.indd

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

PwC IPO 情報システム Autofacts( オートファクツ ) PwC あらた有限責任監査法人 IPO ソリューション部マネージャー加藤誠 はじめに現在の情報システムは インターネットや無線通信の高速化 コンピュータシステムの高性能化 クラウドサービスの普及などにより 企業のさまざまな業務に

トレンドマイクロホワイトペーパー 標的型サイバー攻撃対策の次の一手 EDR * とは» 感染防止を目的としたエンドポイント対策は実施していても 未知の脅威をすべて防ぐこ とは不可能 今は侵入を前提とした対応策が求められている その役割を担うのが エン ドポイントにおける活動の記録と 従来型のエンドポ

Microsoft PowerPoint - 【セット】IPA.pptx

スタジアムの収入源となるネーミングライツ~海外と日本の比較

PowerPoint プレゼンテーション

FTA・EPAアドバイザリー

IFRSにおける適用上の論点 第20回

平成30年3月期決算の留意事項(税務)

OP2

KPMG Indonesia Advisory Service

JP1 Version 12

Transcription:

サイバーセキュリティへの進化 KPMG コンサルティング株式会社 田口篤 2014 年 11 月 13 日

1. サイバーセキュリティの定義は確立されていない サイバーセキュリティ基本法案など 都道府県警察 警視庁ホームページなど サイバーセキュリティ サイバー犯罪 サイバー攻撃 外部からの脅威サイバー空間の話高度なハッキング技術明確な犯意 etc なんとなくのイメージ サイバーテロ 防衛省ホームページなど サイバーテロ対策協議会 ( 警視庁 ) 情報通信ネットワーク安全 信頼性基準 ( 総務省 ) など member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 1

2. 情報セキュリティ上の脅威の変遷 ~2004 ~2006 ~2009 2010~ 時代背景 Stage1 Stage2 Stage3 Stage4 インターネット接続の広がり 企業における PC の浸透 (1 人 1 台 ) 業務のシステム化率上昇 システムの多様化 複雑化 主な脅威 ウイルス ハッキング等の外部脅威 メール誤送信 紛失 設定ミス等の内部エラー 盗用 売買等の内部不正 入念な準備に基づき特定ターゲットに攻撃 ( 外部脅威 ) 脅威の主体 主な目的 外部内部 ( 過失 ) 内部 ( 故意 ) 外部 いたずら ( ミス エラー ) 金銭多種多様 主な対策 F/W ウイルス対策ソフト等のツール 教育 啓発 ISMS 等の内部管理の仕組み 内部性悪説を前提とした対応 標的型攻撃を前提とした新たな対応 Stage1 との相違点 : 外部脅威のプロ化 多様化 member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 2

3. 多様化する攻撃者と攻撃目的 サイバーセキュリティの本質は多様化する攻撃者と攻撃目的を理解し 自社に迫る脅威を的確に把握すること Individual Hacker 技術スキルの誇示が目的 Web 改ざんなど Stage1 The Activist (Hacktivist) 業務妨害や評判へのダメージが目的 サービス停止など Organized Crime 金銭的利益が目的 フィッシング 詐取など Nation States (Government) 地政学的 経済的優位性の獲得が目的 スパイ 機密漏えいなど Stage4 プロ化 多様化 特定組織を明確な目的を持って攻撃 技術の高度化 (Social+ Technical) Insider Stage2 & 3 member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 3

4. 企業が取り組むべき事項 これまでの情報セキュリティの取組みを最新のサイバー攻撃に対応できるように進化させる 1 2 3 4 Crown Jewelの特定リスクシナリオの検討突破されることを前提とした対策の導入インテリジェンス機能の導入による継続的な学習 member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 4

5.1Crown Jewel の特定 /2 リスクシナリオの検討 自社にとっての Crown Jewel は何か 機密情報の範囲が広すぎる 管理側の都合で対象外にされているものがある ( 例 : 制御系システム グループ会社 ) 外部から見たときに本当に魅力的なものは何か? 誰から狙われているのか? なぜ狙われているのか? 何を狙われているのか? どうやって攻撃されるか? 誰が なぜ 何を どうやって 会社によって狙われる理由は千差万別 自社固有のリスクシナリオが必要 member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 5

6. 自社はサイバー攻撃のターゲットとして魅力的か? 全くそう思わない 8% 非常にそう思う 6% どちらかといえばそう思わない 37% どちらかといえばそう思う 19% どちらともいえない 30% KPMG サイバーセキュリティサーベイ 2013 より上場企業 売上高 500 億円以上の未上場企業 308 社回答 member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 6

7.3 突破されることを前提とした対策の導入 100% 完璧な防御はない だから... ( これまで ) セキュリティに過度のコストをかけるのはやめよう ( これから ) Fail Safe 思想の導入と Detect & Response の充実 3 3 のマスを埋める設計 Prevention Detection Response Management & Organization 管理体制 ( 責任と権限 ) の整備 24 時間 365 日体制の危機管理体制 フォレンジックスキルの活用 Process シミュレーション定期的な侵入テスト インシデントの究明 追跡手続 インシデントレスポンスプラン Technology 十分なデスクトップセキュリティ機能ネットワークのセグメンテーション 重要なイベントのログ収集機能セントラルモニタリング機能 攻撃下での IT サービス遮断機能 member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 7

8.4 インテリジェンス機能の導入による継続的な学習 サイバーインテリジェンス機能とは セキュリティに関するさまざまな情報を収集 分析し 自社への影響を評価することによって サイバー攻撃の予兆を捉えプロアクティブに対応することを目的とした機能 収集 分析対象となる情報の例 - 日々 発見 報告されるシステムの脆弱性に関する情報 - 自社サイトの監視状況 - セキュリティに関する事件 事故情報 - 海外を含む同業種に対するサイバー攻撃の情報 - アンダーグラウンド情報 - 自社のインシデント情報など 情報収集力と学習機能をもつことが最良の対応手段 member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 8

9. サイバーセキュリティに関する誤解 IT のテクニカルな話でユーザー部門には関係ない? 自社はハッカーには狙われない? セキュリティ認証をとっているので対策としては十分? 誤解 最高クラスの IT システムに投資していればサイバーセキュリティは安全に保たれる サイバー攻撃から自社を守るためには こちらも高度なスキルをもった専門家を雇わなければならない サイバーセキュリティに関するさまざまなガイドラインに準拠していくことが最良の対応手段である 実際 攻撃側は一番弱いところを狙ってくる目的達成のためなら手段はオンラインに限定されない サイバーセキュリティは特別なスキルを持った専門家集団だけで達成されるわけではない サイバーセキュリティのリスクは各社各様標準的なルールセットだけでは対応しきれない member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 9

10.KPMG サイバーセキュリティサービス KPMG では昨今のサイバー攻撃の脅威の高まりに伴い 2013 年より以下のサービスを提供しています member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 10

お問合せ先パートナー田口篤 KPMGコンサルティング株式会社 TEL : 03-3548-5305( 代表 ) kpmg.com/jp/kc 無断転写禁止 ここに記載されている情報はあくまで一般的なものであり 特定の個人や組織が置かれている状況に対応するものではありません 私たちは 的確な情報をタイムリーに提供するよう努めておりますが 情報を受け取られた時点及びそれ以降においての正確さは保証の限りではありません 何らかの行動を取られる場合は ここにある情報のみを根拠とせず プロフェッショナルが特定の状況を綿密に調査した上で提案する適切なアドバイスをもとにご判断ください 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック