グレタさん話ばかり続けていると、このブログ、なんのブログだかわからなくなってくるので、
いったんコンピューターというかネットワークネタ。
去年、
中小企業診断士が知っておくべき情報セキュリティ
~セキュリティの基礎理論と事例にみる実践的対策のコツ~
を聴いてきたのにメモしてなかったので、メモメモ
(表題の件は、終わりのほうにある)
■副支部長挨拶
■研修部
■おはなし
・親知らずぬいた
・自己紹介
地方自治体のセキュリティ監査
ICカード
マイクロソフトのセキュリティ:
アメリカでは一定の信頼を得ている
・今日のおはなし
現場感あるはなし
→まず基礎、後半に応用
・はじめに
セキュリティリスクの特定
セキュリティ意識・対策水準の応用
信頼を得るには
→これは、応用:きそがしっかりしないと
・アイスブレーク
目的志向型
問題回避型
・航空機エンジン:ロックワイヤー
→どっちかを占めると。どっちかをゆるめる
・ITの場合
メール誤送信→メール禁止
USB噴出→USB利用禁止
↓
事故発生→今後エンジン利用は禁止?
・目的志向
問題回避
・コンピューターの黎明期~現在
ENIAC(1946)より前に
Colossus:1943
ABC :1942
→アランチューリング:50ポンド紙幣に
もともと軍事目的・・・
ENIACも大砲の弾道
軍事的な問題解決→様々な目的に活用
あーぱねっと:冷戦時代の脅威に備え
→インターネット
その前は糸電話:線が切れたら、切れてしまう
科学技術の価値中立性:いいことにも悪いことにも使える
企業と個人のITの関係
・経営資源の要素は「個人」も守るべき対象
→人、モノ、カネ、情報をまもる
・情報通信
親機、子機がわからない世代へ
WiFi、スマートフォン
大型コンピューター→小型化、インターネット
ひたすら遊んでるかも?
クラウド利用:個人と企業の境目なくなる
セキュリティの基礎がわかる、マジックナンバー3
・守破離の3段階
応用問題(破)から入りたがる
ITILにおける3つのP
People,Process,Products
千葉県
電源供給者を送ったのに・・・
免許を持った人がいなかった
リスク、脆弱性、脅威
脅威:泥棒
脆弱性:開けっ放しの玄関
リスク:金銭が奪われる
順序性
脅威→脆弱性→リスク顕在化
※脅威はなくせない→台風をこないことはできない
脆弱性をなくす
脅威の3つ
・意図的脅威、偶発性脅威、環境的脅威
台風;脅威
倒れやすい電柱:脆弱性
停電:リスク
CIA:機密性、完全性、可用性
3つの情報
インテリジェンス、インフォメーション、データ
センサー:データ
編集すると:インフォメーション
ジャッジできるまで:インテリジェンス
管理の3原則
コントロール:コントロールのいい監督?
マネージメントマネージメントのいいピッチャー?
アドミニストレーション
Windowsにみる「管理」
アドミニストレーターではいる
コントロールパネル
デバイスマネージャー
情報管理というと 3X3
MOM
モチベーション:動機
オポチュニティー:機会
みーん:手段
情報セキュリティの最大の弱点
・「許可された人」はどうやって判定
認証を破る→ショルダーアタック
スマホで肩越しにとって、スローで後から見る
・キーロガー、スクリーンスクレーバー
・電磁波利用の入力解析
弱点を補強するには
本人確認の3つの方法
何を知っているか
何を持っているか
何を特徴としているか
→ICカードでログイン
【ここまでが基本】
【ここから応用】
日本年金機構(標的型メールによるサイバー攻撃)
キッティング:一斉に入れる
→1だいやられたら、全部やられる
重要なサーバーを端末で運用操作させてはいけない
ベネッセ
手段:Androidで充電→リムーバブルディスク
機会:アクセスできる
動機:ぱちんこ
ランサムウェア:今も続いている
→棚卸をきちんと
セキュリティ事故
・機密性、可用性→完全性が崩れることで起こる
OSのアップデートに合わせて、有名ソフトも(PDF)
しーさーど
中小企業にありがちなIT環境
→大企業もありがち
増改築した老舗旅館状態:
火事が起きたら、どこに逃げればいいかわからない
優先順位 JNSA「2018年 情報セキュリティインシデントに関する調査報告書」
→トップ4で80%
3社に1社は運用ミスで月1度トラブル
スキル不足→伝え方不足
IPA:情報セキュリティ対策ベンチマーク
https://www.ipa.go.jp/security/benchmark/benchmark_tokuchover47.html
監査:オーディット→基準がないと・・
最初にアセスメント
禁止するから→例外が多い
ブラックリスト的 ホワイトリスト的
CMMI→数値化しないと・・
優先順位の決め方:Z作戦
実現容易性、コスト
4つの対策で85%OK
・アプリケーション・ホワイトリストを適用する
・アプリケーションにパッチを適用する(Office Java Flashなど)
・OSにパッチ適用
・管理者権限を持つユーザーを最小限に
→セキュリティ対策は上位4位までにない(5位だった)
・Windowsキー+L(画面ロック)はやりましょう。
BCP対策
・世田谷区:Twitterで緊急時→クラウドの力
・足立区はダウンしない:昔は花火大会でダウンした
まとめ
・大企業も中小企業も個人も対策は変わらない
・セキュリティ対策は税癪性対策
・組織内では添付ファイルをしない
・優先順位:コストかからないものから
管理者権限の運用見直し
OSに具備されているセキュリティ機能の活用
うっかりミスに対する教育・研修
PCIDSS ベンダーの用意するアカウントは使うな
→パスワード変える
ZIPパスワードでメールを送る方法は→ディスクにしよう
情報処理安全加工支援士
まだ歴史が浅い
医療のインシデント:事件が起こる前、ヒヤリハットの話
ITのインシデント:やらかしたときの話
■研修部長の話
・今後の話とか
いったんコンピューターというかネットワークネタ。
去年、
中小企業診断士が知っておくべき情報セキュリティ
~セキュリティの基礎理論と事例にみる実践的対策のコツ~
を聴いてきたのにメモしてなかったので、メモメモ
(表題の件は、終わりのほうにある)
■副支部長挨拶
■研修部
■おはなし
・親知らずぬいた
・自己紹介
地方自治体のセキュリティ監査
ICカード
マイクロソフトのセキュリティ:
アメリカでは一定の信頼を得ている
・今日のおはなし
現場感あるはなし
→まず基礎、後半に応用
・はじめに
セキュリティリスクの特定
セキュリティ意識・対策水準の応用
信頼を得るには
→これは、応用:きそがしっかりしないと
・アイスブレーク
目的志向型
問題回避型
・航空機エンジン:ロックワイヤー
→どっちかを占めると。どっちかをゆるめる
・ITの場合
メール誤送信→メール禁止
USB噴出→USB利用禁止
↓
事故発生→今後エンジン利用は禁止?
・目的志向
問題回避
・コンピューターの黎明期~現在
ENIAC(1946)より前に
Colossus:1943
ABC :1942
→アランチューリング:50ポンド紙幣に
もともと軍事目的・・・
ENIACも大砲の弾道
軍事的な問題解決→様々な目的に活用
あーぱねっと:冷戦時代の脅威に備え
→インターネット
その前は糸電話:線が切れたら、切れてしまう
科学技術の価値中立性:いいことにも悪いことにも使える
企業と個人のITの関係
・経営資源の要素は「個人」も守るべき対象
→人、モノ、カネ、情報をまもる
・情報通信
親機、子機がわからない世代へ
WiFi、スマートフォン
大型コンピューター→小型化、インターネット
ひたすら遊んでるかも?
クラウド利用:個人と企業の境目なくなる
セキュリティの基礎がわかる、マジックナンバー3
・守破離の3段階
応用問題(破)から入りたがる
ITILにおける3つのP
People,Process,Products
千葉県
電源供給者を送ったのに・・・
免許を持った人がいなかった
リスク、脆弱性、脅威
脅威:泥棒
脆弱性:開けっ放しの玄関
リスク:金銭が奪われる
順序性
脅威→脆弱性→リスク顕在化
※脅威はなくせない→台風をこないことはできない
脆弱性をなくす
脅威の3つ
・意図的脅威、偶発性脅威、環境的脅威
台風;脅威
倒れやすい電柱:脆弱性
停電:リスク
CIA:機密性、完全性、可用性
3つの情報
インテリジェンス、インフォメーション、データ
センサー:データ
編集すると:インフォメーション
ジャッジできるまで:インテリジェンス
管理の3原則
コントロール:コントロールのいい監督?
マネージメントマネージメントのいいピッチャー?
アドミニストレーション
Windowsにみる「管理」
アドミニストレーターではいる
コントロールパネル
デバイスマネージャー
情報管理というと 3X3
MOM
モチベーション:動機
オポチュニティー:機会
みーん:手段
情報セキュリティの最大の弱点
・「許可された人」はどうやって判定
認証を破る→ショルダーアタック
スマホで肩越しにとって、スローで後から見る
・キーロガー、スクリーンスクレーバー
・電磁波利用の入力解析
弱点を補強するには
本人確認の3つの方法
何を知っているか
何を持っているか
何を特徴としているか
→ICカードでログイン
【ここまでが基本】
【ここから応用】
日本年金機構(標的型メールによるサイバー攻撃)
キッティング:一斉に入れる
→1だいやられたら、全部やられる
重要なサーバーを端末で運用操作させてはいけない
ベネッセ
手段:Androidで充電→リムーバブルディスク
機会:アクセスできる
動機:ぱちんこ
ランサムウェア:今も続いている
→棚卸をきちんと
セキュリティ事故
・機密性、可用性→完全性が崩れることで起こる
OSのアップデートに合わせて、有名ソフトも(PDF)
しーさーど
中小企業にありがちなIT環境
→大企業もありがち
増改築した老舗旅館状態:
火事が起きたら、どこに逃げればいいかわからない
優先順位 JNSA「2018年 情報セキュリティインシデントに関する調査報告書」
→トップ4で80%
3社に1社は運用ミスで月1度トラブル
スキル不足→伝え方不足
IPA:情報セキュリティ対策ベンチマーク
https://www.ipa.go.jp/security/benchmark/benchmark_tokuchover47.html
監査:オーディット→基準がないと・・
最初にアセスメント
禁止するから→例外が多い
ブラックリスト的 ホワイトリスト的
CMMI→数値化しないと・・
優先順位の決め方:Z作戦
実現容易性、コスト
4つの対策で85%OK
・アプリケーション・ホワイトリストを適用する
・アプリケーションにパッチを適用する(Office Java Flashなど)
・OSにパッチ適用
・管理者権限を持つユーザーを最小限に
→セキュリティ対策は上位4位までにない(5位だった)
・Windowsキー+L(画面ロック)はやりましょう。
BCP対策
・世田谷区:Twitterで緊急時→クラウドの力
・足立区はダウンしない:昔は花火大会でダウンした
まとめ
・大企業も中小企業も個人も対策は変わらない
・セキュリティ対策は税癪性対策
・組織内では添付ファイルをしない
・優先順位:コストかからないものから
管理者権限の運用見直し
OSに具備されているセキュリティ機能の活用
うっかりミスに対する教育・研修
PCIDSS ベンダーの用意するアカウントは使うな
→パスワード変える
ZIPパスワードでメールを送る方法は→ディスクにしよう
情報処理安全加工支援士
まだ歴史が浅い
医療のインシデント:事件が起こる前、ヒヤリハットの話
ITのインシデント:やらかしたときの話
■研修部長の話
・今後の話とか
アクセス
トータル
ランキング
