今後の ant-in-giant 最新情報は 合同会社ａｎｔ−ｉｎ−ｇｉａｎｔ コーポレートサイト をご覧ください。

sogaoh’s wanderer(former qiita) Article 移行先一覧

2019 -

Year	Date of post	Title	Reco mend	移行先(zenn.dev) 移行元(wanderer..)
2020	05/01	[CloudWatch Agent をインストールする Ansible Role をつくった（for Ubuntu 18.04）		https://zenn.dev/sogaoh/articles/2020_05_01-from-wanderer https://wanderer.sogaoh.space/posts/2020/05/01/1/
	03/24	[VPN](on [macOS])で必要ない場合まで迂回して遅くなってしまうのを回避する設定		https://zenn.dev/sogaoh/articles/2020_03_24-from-qiita https://wanderer.sogaoh.space/posts/2020/03/24/1/<
	01/30	Ansible で Ubuntu 18.04 に Docker をインストールする試みが成功したっぽい		https://zenn.dev/sogaoh/articles/2020_01_30-from-qiita https://wanderer.sogaoh.space/posts/2020/01/30/1/
2019	09/08	[AWS][CloudWatch] agent-config-wizardで問われたこと（Ubuntuの場合）		https://zenn.dev/sogaoh/articles/2019_09_08-from-qiita https://wanderer.sogaoh.space/posts/2019/09/08/1/
	07/14	[PHP][GraphQL]12月32日を受け入れないようにする、とある１つのScalar		https://zenn.dev/sogaoh/articles/2019_07_14-from-qiita https://wanderer.sogaoh.space/posts/2019/07/14/1/
	06/04	[php-cs-fixer] 除外(exclude)Finderの設定例		https://zenn.dev/sogaoh/articles/2019_06_04-from-qiita https://wanderer.sogaoh.space/posts/2019/06/04/1/
	05/28	[Laravel] ‘There is no existing directory at "…logs" and its not buildable: Permission denied’ の対策		https://zenn.dev/sogaoh/articles/2019_05_28-from-qiita https://wanderer.sogaoh.space/posts/2019/05/28/1/
	05/19	[Laravel][Migration] General error: 1215 Cannot add foreign key constraint の対策		https://zenn.dev/sogaoh/articles/2019_05_19-from-qiita https://wanderer.sogaoh.space/posts/2019/05/19/1/
	05/17	[php-cs-fixer] ルールが厳しすぎて消す・直しまくるので調整する例		https://zenn.dev/sogaoh/articles/2019_05_17-from-qiita https://wanderer.sogaoh.space/posts/2019/05/17/1/

- 2018

Year	Date of post	Title	Reco mend	移行先(zenn.dev) 移行元(wanderer..)
2018	08/27	エスケープして渡したIPアドレスの文字列をアンエスケープする小技		https://zenn.dev/sogaoh/articles/2018_08_27-from-qiita https://wanderer.sogaoh.space/posts/2018/08/27/1/
	05/28	pg_repackでテーブルスペースを移動して容量の危機を脱した2018.5.23		https://zenn.dev/sogaoh/articles/2018_05_28-from-qiita-pg_repack https://wanderer.sogaoh.space/posts/2018/05/28/1/
	05/03	[Route53]TXTレコードを複数登録するときの注意事項		https://zenn.dev/sogaoh/articles/2018_05_03-from-qiita https://wanderer.sogaoh.space/posts/2018/05/03/1/
	04/21	Mac OSX PC で Java を（古いものに）切り替えるときのメモ		https://zenn.dev/sogaoh/articles/2018_04_21-from-qiita https://wanderer.sogaoh.space/posts/2018/04/21/1/
	03/10	[Linux][find -inum]ディレクトリ名が文字化けてかつスペースを含むものの削除方法		https://zenn.dev/sogaoh/articles/2018_03_10-from-qiita https://wanderer.sogaoh.space/posts/2018/03/10/1/
	02/26	GlusterFS(3.3)からの脱却に成功した2018.2.7		https://zenn.dev/sogaoh/articles/2018_02_26-from-qiita-quit-glusterfs https://wanderer.sogaoh.space/posts/2018/02/26/1/
2017	07/09	[IT資産管理]AssetManagementを[Ralph]で		https://zenn.dev/sogaoh/articles/2017_07_09-from-qiita https://wanderer.sogaoh.space/posts/2017/07/09/1/
2015	12/06	[Zabbix] mountしているディレクトリの実体存在監視		https://zenn.dev/sogaoh/articles/2015_12_06-from-qiita https://wanderer.sogaoh.space/posts/2015/12/06/1/

Footnote

sogaoh’s GitPitch Slide 移行先一覧

なお、以前から SpeakerDeckと並存していたスライドは以下の通り

行き帰り

• 家から自転車で 20分 程度
  • 行きは下り坂で楽ちん
  • 帰りは逆に登り坂

  • 川沿いの最短経路を行けば 13分 だと NAVITIME が言う

    • 自転車経路検索結果（画像）

      
• 現地間近の駐輪場と少し離れた駐輪場
  • 現地間近
    • 最初の２時間無料、以降３時間毎に100円
      • ８時間連続で駐めても 200 円
  • 少し離れた
    • 10時間 100 円
• どこから入るのか、ちょっとわかりにくかった…
  • 入り口を特定するのに２往復してしまった

施設所感

• 入り口の検温機が、ちょっとむずかしかった…
  • 計測結果は無問題
• 飲み物サーバーが素晴らしい
  • お茶・紅茶・コーヒー、熱い・冷たい を選べる（無料）
    • 純粋な(?)水はない
• トイレ「空いてない」にひさびさに遭遇（コロナ禍以前以来）
  • 10時頃に清掃
  • もう少し進むと多目的トイレがあってセーフ
• 時間がきたら退去要求される（かるく）
  • 予約の取り方、予約1回あたり最大4時間まで（会議室は１回1時間まで）、先付予約は6回分まで可能 ¹ というルールの意味を理解した

働きごごち

• 総合すると、「かなり良い」

• 設備はきっちり揃っている

• ディスプレイはない（「ある」らしき情報を後で知ったが数は少ないはず）
  • モバイルディスプレイを持っていって正解だった
• テレフォンブース、空いてない率高い
  • 肝心なミーティングのお時間に３つ全部埋まってた
    • 予約できると良いのだが…
• ネットの速度は、まあまあ
  • https://www.speedtest.net/result/10483799626
    • Download: 115.32 Mbps, Upload: 79.18 Mbps
  • https://www.speedtest.net/result/10483803244
    • Download: 112.92 Mbps, Upload: 67.55 Mbps
• ちょっと暖房強め
  • やや暑くて、この時期なのにTシャツで居た

その他、関連情報

• マスクちょっと外したら「しといて」と言われてしまいました…
  • 昼から戻ってきて何だか暑かったとき
• 「TOKYOテレワークモデルオフィス 使ってみた」で検索すると他の感想がHitして、だいたいが満足度高そう
  • 登録方法などもしっかりとまとめてあって参考になります

Footnote

手続き

旧スマホ解約(MNP番号予約)

• 「○○○○(電話会社名) MNP」で検索するなどして、数々の「考え直せ」関門をスルーした上で、結局は受付時間の限定されている電話をするという手段に絞られる。
  夜中にWebで、というのはおそらくどの電話会社でもできないのではないだろうか。
• 解約にかかる料金を申し渡される。今回言われたのは
  • ¥10,450 (2年縛り：解約可能時期以外での解約にかかる違約金)
    • コレ、おそらくほとんどの人が引っかかるというか意識(把握)にないような気がする。
      まあ、解約の意思は変わらないですが。損だなあとは思うものの。
  • ¥3,300 (MNP番号発行手数料)
    • 発行自体は数分でできちゃうので、割高感はありますが決まっちゃってる以上どうにもならないもののようで。
  • ¥6,700 くらい (月額料金)
    • 月初に解約の場合、日割りにならず、1ヶ月分かかるそうです。ああそうですか。
• という感じで ¥20,450 取られる。調整できそうな損は月額料金くらいではなかろうか。

新スマホ申し込み〜入手

• 「格安スマホ 比較」で検索するなどしたが、だいたいどこもWebで申し込みができる。
• 必要になるのは（2社でしか手続きしていないが）、本人確認書類（自分の場合、運転免許証をスマホで撮影したものを使った）と、MNP予約番号。
• 料金シミュレーションもだいたいどこも整備されている感じだと思う。プランの提案から申し込み完了まで、1時間はかからない。30分もかかっていなかったような気がする。
• 自分が申し込んだ業者の場合、1週間近く何の連絡もなくちょっと不安になったが、5日後に突如ダンボールが届いた。中身はSIMカード導入済みのスマホと納品書などの書類。

移行作業

新スマホへのバックアップ復元

• 翌日から新スマホのセットアップ作業に着手。同梱されていたガイドに iCloudバックアップからの復元方法 という節があったのでそれを参照して進めた。
• あ、最初にやったのは、WiFiの接続設定でした。起動後それの前に何かやったような気もするけど。あと電池少なめだったので充電。
• レストア中は何もせずにただ待つ。この時間はそこそこ長かったような気がする。数時間程度はあったような。
• レストアの完了後も移行されたアプリのアップデート大会が自動で続くので、さらに数時間くらい待っていたかもしれない。（他のことをやっていたので、ちゃんとした記録はない）

ログインし直し大会

• アップデート大会が安定したようなので、ひと通りのアプリを触って回る。
• Apple ID・Google アカウントはひとまず最初に設定・ログインしたと思う。
• 次に着手したのはパスワードマネージャ系。まだ前のスマホが使えて電話回線もそちらが有効だったので、SMS通知はそちらに来た。
• 設定数の少なかった Microsoft Authenticator、Authy、… と順当に起動確認できたあと、 Google Authenticator を新スマホで起動したとき、何にもないことに気がついた。そうです。コレは移行できないものだったのです。。
• ちょっと心が折れたので（それくらいの数の設定数だった）、ほかのアプリのログインし直しに回りました。だいたいはID・パスワードを控えていたので1つ1つ再ログイン。一部はバックアップから復元しただけで使い出せるものもありましたが、少なかったと思います。Twitter や Facebook などは旧スマホで「私です」を押したりして稼働再開させました。新旧スマホ両方で使えるので、なるべく新の方だけで使うようにしつつ。
• Slack で、どのメールアドレスでサインアップしたかわからなくなったワークスペースがあり、ということはもうアクティブじゃないんだなと思い棚卸しになったりしました。多少面倒だったけど、それほど苦痛ではなかったくらいです。

気づき

• Google Authenticator には完全にやられました。けっこうな数あったのですがほとんどを Authy に切り替えました。3つだけ Microsoft Authenticator に移したのですが、それはとある事情で。（言ってしまうと、借り受けているメールアドレスのもの、です。個人の物とは棲み分けようと思い。）
• MNP の切り替え、どうしたら成立なのかガイドになかったので電話で問い合わせました。マイページからできるものらしいのですがまだ「未契約」になっていたので。「ただいま混み合ってます。おかけなおしください。」と言われたときにはちょっとガッカリしましたが、リトライしたところ「しばらくお待ちください」になったのでスピーカーにして放置して待ち、出てきたオペレーターと話したところ話し始めから5分程度で切り替え完了。「新旧スマホの両方の電源を切る」だけがこちらのオペレーションでした。
• 旧スマホにもしばらく新スマホと同時に通知が来るなどうるさかったので、クリーンインストールしました。ディスプレイ大きめなので、WiFiでYouTube等確認用に使おうかなーという感じで保持しています。
• これで料金大幅削減。初月だけお高くはなるのですが、もうキャリアのスマホに戻る気にはならないですねぇ。謎ルールが多すぎて。まあ、新のほうにも回線業界ゆえの複雑さ面倒さはあるような気がしますが。今後遭遇したときに、メモしていこうかなと思います。

うごき

• 11:30 出勤開始 (*1)
  • 最寄りの駅で１日サービス券を販売中止で買えず
  • 電車の空き具合は今までに見たことないくらい
• 12:30 都心到着
  • 人少ない。通常の 1〜2割な肌感
  • 寄り道しようと思ってた家電量販店が開店してなくて残念
  • 外国人とすれ違うことがなかった（ことなんてこれまでなかったような）
  • 昼食はテイクアウトを勤務先で
• 13:00 出勤、PC起動して作業
  • アップデートの嵐
    • エラーで苦戦して 0.5h - 1h 消費
    • 適度な頻度でアップデートが必要
  • 「トイレが空いてない」ことがなく
• 21:00 退勤
  • 夕飯買うにも店やってない
  • キヨスクもやってなくて自販機で凌ぐ作戦
    • 買い間違えた…
• 22:30 最寄り駅着
  • ゴミ箱が封鎖されてた
  • 駅前のスーパー、営業時間が 22:30 までになってた (通常は23:00まで)
    • 駅から見えた雰囲気が閉店しそうで焦った
    • 最後の客だった…
• 23:00 帰宅
  • 食べるものがあって助かった

備考

• (*1) 時差通勤を意識したのですが、月xxx時間からxxx時間の稼働で報酬いくら、という契約なので５月は平日の日数が少ないこともあり遅め出勤したらきっちりと遅め退勤しないと・・・なんです

想定外だったこと

• 電車のサービス券がなくなってる
  • １日券ないのが痛かった
• OS・ソフトウェアアップデートでの苦戦
  • 適度に稼働してないと
  • 一気にやらないほうがいい
• 夕飯は19時をめどに確保に動く必要がある
  • 決まった時間に食事するのが健康にもいいのだ…
• 営業時間短縮を意識する必要
  • 危うく買い物しそこねるところだった

所感

• 都心通勤に戻るのが大変そう
• これまでの生活習慣がいかにおかしかったかを再認識した
  • この状況下では早め出勤・早め退勤のほうがよさそう

1/11 のたたかい

Pre-Requirements

• 個人事業の開業等届出書提出済み
• 所得税の青色申告承認申請書提出済み
• マイナンバーカード取得
• カードリーダー準備（SONY の パソリ 他）
• freee
  • ログインパスワードの設定（通常Google認証だと未設定がち）

1. freee 電子申告開始ナビから開始

• Windows 10
  • freee 電子申告開始ナビ サイト
    • 公的個人認証クライアントのダウンロード・インストール
    • freee 電子申告アプリのダウンロード・インストール
    • PC再起動
  • e-Tax のサイト
    • 利用者識別番号取得
  • 電子申告アプリ
    • 利用者識別番号とマイナンバーカードを利用して電子証明書を登録
      • 受付時間に注意
      • どれがどのパスワードだったか混乱しがち
        • e-Tax サイト用
        • マイナンバーカード用

2. freee 確定申告 > 確定申告書類の作成

• MacBook Air
  • freee 電子申告アプリのダウンロード・インストール
    • 通常使用するPCがこちらだったので。とりあえず。
    • freee での書類への情報入力はだいたいこちら（Mac）で行った。
  1. 基本
     • 生年月日（入力日になっていた）と電話番号（携帯のになっていた）を調整
     • 業種を選択（「ソフトウェア・情報サービス」を選択）、具体的な業務内容を入力
     • 開業届を確認して開業日を入力（覚えてなかった・・・）
  2. 収支
     1. コア部分（freeeでの入力をもとに、自動計算されるのと、地代家賃：ない）
     2. 会社からの給与（源泉徴収票が出てれば入力する）*1
        • 全国個人事業主支援協会経由で健保料と年金を払ってる扱いになるみたい
     3. 源泉徴収済みの事業所得
        • TAG の分が該当するのでつけていたスプレッドシートをもとに入力
     4. 配偶者・子供の所得入力
        • かみさんのバイト料を確認して合計金額を入力
          • 103 万を超えなければいいのかな・・・
     5. 生命保険・地震保険の控除
        • 届いてきていた証明書をもとに入力
          • 「12月までの」を入力。そこまで払ってた額、と間違えそう
     6. 予定納税額
        • 通知書の第１期と第２期の合計を入力
     • ほか、以下は入力なし
       • 雑所得・配当所得・一時所得、株式取引、FX取引、仮想通貨取引
       • 仕入れ商品在庫、家事按分、税理士や弁護士などへの報酬、前年度損失
       • 医療費控除、年金・国保・社保（「会社からの給与」で済）、ふるさと納税、小規模企業共済・個人型年金などの掛金
       • 住宅ローン（もう10年以上経ってるので何も返ってこない）
  3. 確認
     • 書類の確認
     • 給与や年金所得意外に掛かる住民税の納付方法 -> 給与から天引き（おそらく *1 に従って自動設定される）
     • 事業者情報（自動設定されてくる。すごいぞ freee）
     • 申告内容（自動設定されてくる。すごいぞ freee）
  4. 提出
     • 支払い方法の選択
       • 税務署 / 銀行窓口 / クレジットカード / ■ 銀行口座引き落とし -> 預貯金口座振替依頼書の提出が必要
     • 申告書の印刷
     • 申告書に押印してマイナンバーを記載 ?
       • とりあえず書いておいた
     • 添付書類
     • 申告書の提出 ?
       • ２月中旬の開始・・・待てない。1/11提出って書いちゃったし。
  5. その後
     • freee の年度を更新

3. e-Tax のサイトで申告

• Mac ではいろいろ挫折したので Windows10 に戻って進めた
  • こんな感じだった
    • 青色申告決算書を、freee で出した書類を見ながら入力
    • 確定申告が入り口だが、ほどなく↑の入力に移ることになっていた
    • 決算書の入力から戻って、申告書の入力
  • 数字が合ってるのを確認して、申告ボタンを押下
  • 受付確認をあとでしておいた
    • マイナンバーカードとカードリーダーは必要
    • 以下の受付が記録されていた
      • 電子申告・納税等開始(変更等)届出(個人)
      • 電子証明書の登録
      • 所得税及び復興特別所得税申告 <- これが、確定申告？？

Memo

• 1.はだいたい 1.5 時間程度
• 2.は休み休みで 2.5 時間程度（実質は 1.5 時間程度の感覚）
• 3.はやや手間取り 2 時間程度
• これで完了なのか、ちょっと自信がもちきれない。しばらく様子を見る。。
• e-Tax システムはまだ Mac ユーザーに向いてないかなという印象
  • Windows も IE 縛りあるが、Mac の Safari 縛りほどではない

情報保管

• e-Tax システム接続情報・IDなどのPDF・メモ
• 申告書類
  • freeeから出力した書類一式
    • 確定申告B　第一表
    • 確定申告B　第二表
    • 青色申告決算書(一般用)
  • 保険料控除証明関連をスキャンしたもの（１枚で済んだ）
    • 税務署に提出を求められるかもしれない
  • e-Tax 申告データ
    • 所得税青色申告決算書
    • 所得税および復興特別所得税の申告内容確認票 B
    • ↑のデータ(.data)

Appendix

• freee電子申告開始ナビ
• 確定申告書類をe-taxソフトで提出する
  • 去年のもので、まだ今年の e-Tax 連携は未対応だったような感じ
• 国税庁 … (手続名) 申告所得税及び復興特別所得税、消費税及び地方消費税（個人事業者）の振替納税手続による納付

事例で理解する、NTTデータにおけるセキュリティの取組み（セキュリティ・バイ・デザイン、UEBA、フォレンジック）
https://techplay.jp/event/755487

要項

講演

デジタル時代のSecurity by Design

中泉 千咲 さん

• デジタル時代とセキュリティ
  • 特徴
    • はやい
      • 日本年金機構
      • 7Pay
    • 大規模
      • Wannacry
      • SamSam
    • 見つけづらい
      • GoldDragon
• クラウドのSecurity by Design
  • クラウドに関するインシデントの傾向
    • 設定ミス
  • クラウド上でのシステム開発におけるセキュリティの考え方
    • 責任共有モデル
    • 設定ミスをどう防ぐ？
      • 開発者の啓発
        • ガイドライン
        • ルール
      • 技術的・組織的なサポート
        • 技術的対応
          • 設定内容の担保
            • ex) A-Gate
        • 有識者レビュー
          • ビジネスロジック
• ペイメントのSecurity by Design
  • パスワードの漏洩・使いまわし・不正アクセスのサイクル
    • いままで
      • パスワードはユーザの負担になっている
    • これから
      • パスワードレスでかんたんに、かつセキュリティを強化
  • 利便性と認証強度を両立する技術
    • FIDO（Fast IDentity Online）
    • 3Dセキュア
      • クレジットカード会社（イシュア）が提供する本人認証サービス
      • 利用登録、認証、リスクベース認証
    • e-KYC（Electric Know Your Customer）
• 変化への対応
  • 組織体制を整えることが重要
  • OODAループ
• まとめ
  • Security by Design とは「情報セキュリティを企画・設計段階から確保する」ための方策

51か国12万人の従業員を襲うリスクに対してNTTデータグループが選択したセキュリテイ対策と導入経験のご紹介

戸ヶ崎 翔太 さん

• はじめに
  • UEBA （User and Entity Behavior Analytics）
    • https://www.nttdata.com/jp/ja/news/information/2019/112600/
  • Exabeam
    • https://www.exabeam.com/pr/exabeam-reveals-winners-of-inaugural-security-management-excellence-awards/
      • GCP
      • splunk
• UEBA とは
  • 従来のSIEMの発展型のソリューションであり、ユーザの振る舞いに着目してインシデントの検知を行う
    • SIEM
      • ルールを作るのが難しい
    • UEBA
      • 通常の動きからどれくらい乖離しているか、で検知
  • FFIEC（連邦金融機関検査協議会）の評価ツールが示すUEBAの重要性
    • ５領域
• Exabeamの特徴
  • ログの紐付け・整理
    • ユーザーごとに時系列でまとめる
    • ルールセットをユーザーが定義しない（自動作成）
  • ベースライン作成、検知・可視化
    • 個人単位での業務に基づいたセキュリティ分析
      • いつもより早い
      • 普段アクセスしないサイトにアクセス
• NTTデータの導入事例
  • FY18 実現前
    • 地域統括会社ごとにCISOを設置
    • セキュリティ対策を地域統合会社ごとに実施、複数社のSIEM製品を使用
  • FY18に実現したこと
    • 全世界６箇所にExabeamを設置
    • ルール・体制の整備
    • 約１年半で実現
  • プロジェクト後：Exabeamで統一
  • 導入のポイント：バランス
    • セキュリティ
      • 検知した脅威
      • 取得する機器
      • ログの種類
      • ログ項目
    • リソース・コスト
      • ログ取得対象機器への負荷
      • ネットワーク
      • ディスク容量
      • 人的リソース
    • セキュリティ運用
      • 誤検知率
      • 運用フロー
      • スキル
    • 各国法制度
      • GDPR
        • 最終的には地域ごとにデータを置いた（国境を超えない）
      • Workers’ council
• 導入効果
  • これまでは、Firewall・Proxy での検出
  • 導入後、AD・リモートアクセスに関しての検出も

Re:ゼロ円から始めるフォレンジック生活

大石 眞央 さん¹

• What is digital forensics
  • フォレンジックとは
  • 収集した情報の用途
• Common problems in forensics
  • 調査に時間がかかりすぎる
  • 台数が多いと手が回らない
  • 遠隔地にある端末の調査が大変
• About Fast Forensics
  • 早期対応、ビジネス再開を優先　という考え方
  • 最低限わかればいい
• Zero operation Artifact Collector （ZAC）
  • 実体はBAT、PS1
  • 無料
• 他にも
  • CDIR Collector
  • …
  • IREC
  • …
  • (検索してみた)
    • https://github.com/SekoiaLab/fastir_artifacts ?
    • https://binalyze.com/products/irec (Free あり)
  • パースツールは内製
• 事例
  • Case1: Too far to bring
    • ZAC 送って採取したら解決
  • Case2: Too many suspicious infected
    • 感染端末いっぱいありすぎ
    • SCCM経由でZACを配布して、事前に判明している IoC と比較
• https://www.nttdata.com/jp/ja/news/release/2011/061300/

NTTデータ技術革新統括本部より告知

• 1200人ほど
• 取り組み
  • 生産技術革新
    • 標準化
    • 自動化
    • クラウド
  • 先進技術活用
    • AI／データ分析
    • Agile
    • Blockchain
  • 現場支援
    • 強連携R&D
    • 案件支援
    • チェック施策
  • ガバナンス
    • 不採算抑止
    • セキュリティ
    • 戦略購買

その他

リクルートサイトURL

配っていたカードのQRコードを読んだ先

• https://js01.jposting.net/nttdata/u/tech/job.phtml

懇親会LTより

• https://cyberforensic.focus-s.com/knowledge/articles_detail/594/
• https://booth.pm/ja/items/1575255

Note

https://www.cvent.com/events/sscp-1day-/event-summary-81ac78163a2241689f2877e393ab2244.aspx

要項

資料

• ITの最前線に必要不可欠なSSCPの知識（非公開）
• SSCP 7ドメインガイドブック

講義

前説

(ISC)2 と提供資格のご紹介

小熊さん

• 配布資料の案内
  • SSCP 7ドメインガイドブック　他
• (ISC)2 と、主な認定資格
  • NPO
  • 世界160カ国以上で14万人、日本は2600人
  • CISSP、SSCP
  • CCSP（英語のみ、日本では10人くらい）
  • NTT-AT と戦略的パートナーシップ協定
• (ISC)2 資格の特徴
  • 考え方を理解していることを求めている
    • 業務が許容願以内のリスクレベルで確実に実施されていること
      • 合理的に説明
    • 組織の目的を達成する
      • ブレーキの例
  • 「民間の資格」
    • ISO/IEC 17024
  • グローバルの資格
    • 情報処理安全支援士よりSSCPのほうが説明しやすい
• 参考書
  • SSCP認定資格公式ガイドブック
• 継続教育(CPE) とスキルの維持
  • SSCPは年間20ポイント（時間）の教育
    • CISSPは40、CCSPは30
  • ５年前の知識では専門家として役に立たない

SSCP 7ドメイン

1. アクセス制御：
   • Access Controls [16%]
2. セキュリティの運用と管理：
   • Security Operations and Administrations [17%]
3. リスクの特定、モニタリングと分析：
   • Risk Identification, Monitoring, and Analysis [12%]
4. インシデントレスポンスとリカバリ：
   • Incident Response and Recovery [13%]
5. 暗号：
   • Cryptography [9%]
6. ネットワークと通信のセキュリティ：
   • Network and Communications Security [16%]
7. システムとアプリケーションセキュリティ：
   • Systems and Application Security [17%]

ITの最前線に必要不可欠なSSCPの知識：序説

安田さん（株式会社ラック）

実務者とCISOの役割と責任

• エグゼクティブサマリーは現場がつくる
  • 正しくデータの分析・集計をする必要がある
• 情報セキュリティの活動体制（例）
  • 指示と報告による組織づくりと責任の明確化
  • 最終責任は経営陣
    • 情報セキュリティに関する指示は経営陣が行う
    • それに答えて組織はすべての報告が経営陣に集まるようにする
    • 図

      
• 実務者とCISOの協調動作　５か条
  1. 実務者とCISOの役割は補完的であり、実務者は、経営幹部（CISO等）によって決定されたセキュリティポリシーとプロシージャを実装する
  2. 実務者はITに特化した、CISOはビジネスのセキュリティを保証する
  3. 実務者はCISOがセキュリティに影響を及ぼす傾向を発見するサポートを行う（実務者が第一発見者になる傾向）
  4. 実務者とCISOは共に脅威に立ち向かう（検知/対応/復旧）
  5. 実務者とCISOは共にセキュリティ文化を定着させる
• 実務者に課せられた役割を遂行
  • 経営幹部（CISO等）を補佐する
    • 事業理解
    • 組織のポリシーをITへ実装し保証する
    • 同じ情報セキュリティ言語を使用し、組織全体を保護する
  • IT最前線で脅威に立ち向かい、ビジネスを保護する
    • ITインフラ全体に適切な管理策を適用
    • 脅威を引き起こす可能性のある問題にきづけるかがカギを握る
    • ITオペレーション全体を洗浄とし、戦う能力が必要

SSCP 1Dayセミナーの概要

• 実務者が経営陣とコミュニケーションを取りながら、ITインフラ全体にセキュリティを実装するために必要となるSSCPの考え方を解説
  • SSCPホルダーへの近道を案内
• SSCPが存在しない組織は現場のIT実装が保証できない
  • 経営幹部（CISO等）が目的と掲げる「ITを最大限に活用するための最小限の安全確保」を実現するためには、 情報セキュリティ管理策を現実的にIT実装 しなければならない

SSCP とは

• SSCPの役割
  • 経営陣が策定、管理しているセキュリティ計画の実施、推進
  • 経営陣が策定したポリシーやコンプライアンス管理作の導入やモニタリング
  • 規定を遵守した運用管理
• SSCPに求められるスキル
  • 組織のセキュリティポリシーの理解
  • 導入された管理策の運用
  • セキュリティ要件を理解しているIT関連業務の支援
• SSCPドメインガイドブックの活用
  • SSCP試験で出題されるキーワードと関連する用語の理解のために
    • 書籍
    • NIST SP 800 シリーズ
      • https://www.ipa.go.jp/security/publications/nist/
    • CompTIA出題範囲 <- バイブル
      • A+
      • Network+
      • Security+
  • ドメインで求められるスキル例を他の人に説明できるように理解を
    • 試験問題は、知識と技術を理解している前提で、実務を実施した場合の課題を解決できるかを問う出題が多い
    • 実務経験１年を想定
    • 情報システムセキュリティの身近な実務を想定
• 今日の講義範囲
  • このあたりを話す
    • アクセス制御
    • セキュリティの運用と管理
    • リスクの特定、モニタリングと分析
    • インシデントレスポンスとリカバリ
  • 以下は書籍等で
    • 暗号
    • ネットワークと通信のセキュリティ
    • システムとアプリケーションセキュリティ

本説

トピック１：セキュリティの運用と管理

セキュリティコンセプトを理解する

頭の体操１

- 「セキュリティ」という用語は何を意味するか？
- 「情報セキュリティ」とは何か？

• セキュリティとは
  • 測定可能でなければならない
  • ビジネス目標に基づいていなければならない
• 測定できない場合の問題点
  • 何が良いのか悪いのか判断することができない
    • 複雑なパスワードが良いのか？ -> 一度漏れたら複雑でなくなる
      • 人的/物理的な複雑性
      • 技術的な複雑性
        • 辞書攻撃などへの対策
• 測定基準が不明確な状態とは
  • 情報保護指定が不明確な情報管理の現場（産業システムの事例）
    • 場当たり的な管理指標が混乱を生み出す
    • ダブルスタンダード
    • 多岐にわたる指標 -> 保護すべき情報の適切な安全確保に失敗、情報共有を不必要に制限
    • イメージ図

      
• 測定基準が不明確な状態（例）
  • 個人情報保護法制 2000個問題
    • https://news.yahoo.co.jp/byline/okamototadashi/20150513-00045653/
  • サプライチェーンリスクへの対応（NIST SP800-171）
    • https://cybersecurity-jp.com/business-member-news/31960
• 情報セキュリティとは
  • ハードウェアやデータ、システムなど 防御する対象から危険なものを排除 し、 安全な状態に維持し続ける こと。また、そのための仕組みなど
    • １回やったら終わり、ではない
  • 防御する対象：様々な情報資産
    • ハード：施設や設備
    • ソフト：文書類
    • データ：組織の信用に関わる情報
    • ネットワーク：
    • 記憶媒体：人間の記憶、電話や会議での内容
• セキュリティのフォーカス
  • 情報セキュリティ戦略は、組織の戦略的方向性と整合しなければならない
  • 情報セキュリティは、ビジネス目標を支えている
  • ビジネスプロセスに統合する必要がある
• 情報セキュリティを取り巻く環境は複雑になっており、整理して考えるべき
  • 自組織に要求されている外的・内的要件
    • 保護の対象は何か
    • 方針を決めるのは何か
    • 脅威は何か
    • 何に関係しているか
  • イメージ図

    
• セキュリティの取り扱い
  • セキュリティプログラムは、サポート不足と不十分な予算の影響を常に受ける
  • 実行しなければならない「すべてのこと」を行うための時間が、単純に足りないことが多い

頭の体操２

- リソースと優先順位は、誰がどのように決めていますか？

• 経営陣の実情
  • 経営陣は 自分が何を知らないのかを知らない
• リソースと優先順位の割り当て
  • 私達が何を保護する必要があるか
  • 資産のオーナーを知る
  • 機密情報
  • 事業影響

頭の体操３

- 守るべきものを把握しようとしています
    - どの資産を保護する必要があるのかをどのようにして特定しますか？
    - 実務者は組織の有形資産、無形資産をどのように特定しますか？
        - 資産を特定する必要がある

• 資産の保護
  • すべての資産が保護対象（人、設備、データ、施設、紙、可搬記憶媒体、システムなど）
  • 資産管理データベースの資産を追跡する
  • 資産価値以上のセキュリティ管理策を行ってはいけない
    • セキュリティはどこまでやるの？
      • 資産の例
        • 従業員
        • 企業の評判/ブランド
        • 製品
        • 情報/データ
        • アーキテクチャ
        • プロセス
        • ハードウェア
        • ソフトウェア
        • 知的財産/アイディア
      • 事例
        • 100万円の物に対して500万円の金庫に入れる -> やらない
          • 経営陣目線。やるだけで赤字
            • 現場は価値を理解する必要がある
    • 資産価値を決める、という活動からセキュリティを始めるべき

頭の体操４

- 管理策を実装しようとしています
    - どの資産から優先的に管理策の実装を行いますか？
    - 管理策を実装する場合、どのレベルまで実装しますか？

• 資産のカテゴリ
  • 優先資産
    • ビジネスプロセスと稼働状況
      • ITの状況を確認できる仕組み
    • 情報
  • サポート資産
    • ハード
    • ソフト
    • ネットワーク
    • 人員
    • サイト
    • 組織構造
• 資産のマネジメント
  • 攻撃が成功するのは、たいていそれらの脆弱性を攻略することに起因する
    • ハードウェア資産
    • ソフトウェア資産
    • コンフィグレーション
    • 脆弱性・パッチ
  • 欠陥/保護のしくみの洗い出しが必要
• TIPS
  • 情報セキュリティはビジネス指向の活動
    • ビジネス機能を最大限発揮させるため、どのビジネス環境に管理作のリソースを優先的に割り当てるかを知る必要がある
  • すべての資産の識別と分類により、実務者はほど対象を把握することができる
    • 有形資産/無形資産
    • 極秘/部内費/社外秘/公開
  • 資産の保護は資産価値に基づくべき
    • 実務者主体の費用対効果が認められない管理作は実装するべきではない
• 情報セキュリティの原則
  • 経営幹部（管理者含む）とユーザーに関連して有意義なものにする
    • 300人の企業で、セキュリティ担当者はだいたい3名（専門性を持つ人が少ない。布教が難しい）
  • セキュリティを具体的に実現可能な環境で実装する
    • 現場のしくみに落とし込む
  • ITによる透過的な実装
    • 現場の人がセキュリティをやらなくてもいいように
  • ITおよび人員にとって、単純な実装
    • 社員証、いらなくね？
• 機密性、完全性、可用性の３要素
  • Confidentiality 機密性
    • 権限を有するエンティティのみがデータにアクセスできる
  • Integrity 完全性
    • 不正なデータ修正が行われない
  • Availability 可用性
    • 権限を有するエンティティが、許可されたタイミングと方法でデータにアクセスできる

頭の体操５

- 経営幹部（CISO等）から情報セキュリティポリシーに対応するため、  
  機密性と可用性の管理策を実施してほしいと実務者に依頼がありました
    - どのようにして機密性の情報を保護しますか？
    - どのようにして可用性の情報を保護しますか？ 

• 機密性を確保する必要がある情報（例）
  • 個人識別情報
  • 保護された健康情報
  • 知的財産
  • 機密情報
• 機密情報の定義
  • 情報が不適切に開示または変更された場合、そしきまたは個人が何かしら損害を被る情報
  • 実務者に必要な考え方
    • 組織の中に、具体的に何が機密情報か実務者が判別できなければ、機密情報として保護することができない
    • 機密情報が危険にさらされていたとしても、アナリストが機密情報と判別できなければ、エスカレーションを行わず、セキュリティ侵害を見過ごしてしまう可能性がある
• ミッションクリティカル（可用性）の尺度
  • 組織がミッションまたはビジネス機能の成功のために情報または情報システムに依存する程度の尺度
  • 実務者に必要な考え方
    • どの程度の可用性を維持し続けないと、ビジネスを継続できないか、具体的に尺度を知る必要がある
    • ビジネスを継続する尺度を知らないと、ITインフラの適切な可用性に関するモニタリングができない
    • 誰に迷惑をかけるのか、社会的責任を配慮した可用性を理解する
    • 事業継続計画時にも、最低限維持し続けないといけない可用性目標と復旧目標を知る必要がある

頭の体操６

- 元社員が機密情報を不正取得し、転職先の競合企業に開示された可能性があるとの指摘
    - 元社員はどのように取得した？
    - 再発防止策をどう実装する？

• 最小特権
  • エンティティが機能を実行するために必要な最小のシステムリソースと認可を書くエンティティに付与するように、セキュリティアーキテクチャを設計する原則
  • データ保護の設定例
    • エンティティのアクセスレベルを必要最小限のレベルに制限
    • 業務をするために、データを読み取れれば良い場合、 読み取り専用アクセスの権限 をエンティティに設定する
• 最小特権の原則を実装する
  • 経産省が公開している「営業秘密管理指針」が参考になる
    • http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/20150128hontai.pdf
  • ポイント
    • 相互排他性
      • １人所実務者が複数の権限を持たないように（システム管理者とネットワーク管理者を分ける）
    • 職務の分離
      • 担当者と承認者を分離するなど
    • ディアルコントロール
      • 業務を行うためには２人以上を必要とする
• 具体的な情報システムへの実装
  • 業務を行う環境を現実的にマネジメントする
    • 業務や組織特有の環境に依存
      • アプリケーション、デバイス、プラットフォーム
    • どの経路でデータを取り扱うのか
      • 組織の生産性を向上させるため、ゼロトラストネットワークが促進
      • ユーザーが組織のデータを盗難・流出させる可能性がある経路が増加
    • 内部・外部・クラウド等場所に依存しない
      • どこで保護情報が使用されていたとしても、検知・監視・保護が必要
      • クラウドのアプリケーション、エンドポイント、オンラインストレージ、メールやWebの通信など
• 実務者が経営陣を支える役割
  • 実務者のセキュリティ運用業務を現場目線で牽制する
    • 知る必要性
    • 最小権限
    • ジョブローテーション
  • 特権アカウントの管理
    • 以下が必要
      • ログ記録項目の増加
      • 高度なアクセス制御の実装
      • 時間制限等一時アクセスの採用
      • 広範な監査項目の検証
      • 監査等管理策の実装
    • 内部不正は組織に甚大なる影響を与えるインシデントに発展する

トピック２：リスクの特定・モニタリングと分析

リスクマネジメントを理解する

頭の体操７

- リスクマネジメントの評価チームに招集されました.
    - 期待されている役割は？
    - 必要なプロセスは？

• プロセスの概要
  • リスクマネジメントのゴール
    • 管理作の選択を実施する
    • リスクを管理（マネジメント）しますが、完全にリスクを排除するわけではない
    • リスクは残存する
• リスクマネジメントの方針
  • インシデントはすべて対策する
    • インシデントとは起こることが予めわかっている事故
    • すべてのインシデントは原因が特定できているので対策できる
  • リスクの特定とリスク低減
    • 事故の発生源の特定
    • リスクの受容
    • リスク受容レベルの設定
  • ビジネスの方針に従う
    • ビジネスの阻害になる情報セキュリティ対策は実施しない
    • 費用対効果を検討
• リスクマネジメントフレームワーク
  • NIST SP 800-53 ?
    • （なんか見たことあるな）
    • 図

      

• リスクへの対応
  • リスク受容
    • 受け入れ、インシデント発生時の影響を吸収する
  • リスク低減
    • 適切な管理策を適用する
  • リスク移転/共有
    • 保険の加入
    • アウトソーシング
  • リスク回避（絶対的経営判断）
    • リスクに対応できないため、使用または活動をやめる
• モニタリング
  • リスクの変化要素
    • 新たな脅威が発生
    • 新しい脆弱性の発見
    • 資産価値の変化
    • 法律や規制の変更
    • リスクの変化に対する経営陣の態度が変化
  • 実務者は、経営幹部（CISO）等が把握する経営リスクだけではなく、現場の業務手続きやIT使用状況からリスクを検出するサポートをしなければならない（内部不正等）
• リスクマネジメントのデータスース
  • 各ステップの結果が正確で完全であることが重要
    • 見直しをかけ、かいぜんしていくことも重要
  • リスクアセスメントは、組織的科学（統計的アプローチ）と創造的研究（脅威モデリング）の両方である
    • 個人の努力に依存している情報セキュリティは失敗する
      • 運用でカバーができるのはその場限りの可能性があり、次にまた成功するかどうかは誰もわからない
    • 誰もが同じ方法で実施できる安全を確保できる情報セキュリティ管理作を実装する必要がある
      • 情報セキュリティを科学と捉える
• リスクアセスメントフローチャート
  • メモ

    資料にない...

頭の体操８

- どのような方法で脆弱性調査を実施するのがよいか？

• 脆弱性の識別
  • 重要なプロセスの１つ
    • 組織のITインフラ全体を慎重に調査し、脆弱性を見つけるための科学的なプロセス
    • リスク受容をする前に、発生する可能性がある脆弱性を識別子、本当にリスク受容できるかどうかを確認する最後のチャンス
  • 実務者の「Hands-on」による脆弱性のしk別も重要だが、実務者が誤った調査を実施する可能性があるため、ツールによる調査を行うことを推奨する
    • 組織全体に対する範囲への要件、繰り返しの実施、設定見る等検査内容の事後確認等をすることも期待できる
• リスクの可視化
  • リスクアセスメントの結果は文書化され、経営陣に伝えられる必要がある
    • リスクアセスメントレポート（RAR）
  • すべてのリスク状況を１箇所で照合できるようにするため、リスクレジスタを使用することを推奨する
    • 実務者はリスク受容レベルを把握しておく必要がある
    • 経営幹部（CISO等）と実務者は、どのリスクが受容されているか認識を共有しておく必要がある
• リスクの受容
  • 経営幹部（CISO等）のリスク受容レベル内でリスクレベルを維持することを目指す必要がある
    • 実務者は、測定可能な情報セキュリティ管理作（検知）を実装し、継続的なモニタリングを行う必要がある
    • 実務者はリスク受容という意味を理解する必要がある。受容されているリスクは防御策が存在しないため、モニタリングにより不都合なことを検知・対応・復旧する必要がある
  • 経営幹部（CISO等）は、受容可能なレベルのリスクを判断する必要がある
    • 実務者は判断材料として、測定基準に対する適合状況をレポートする

頭の体操９

- 実務者はどのような管理策を実装またはモリタリングする必要があるか？

• 管理策の種類
  • 管理的
    • ポリシー
  • 技術的
    • IT実装
  • 物理的
    • 物理・環境
      • 電源をおとす
      • ネットワークケーブルを抜く
• 管理策の実装時の考慮事項
  • 管理作は単独で機能しないため、継承可能な実装をしなければならない
  • 管理作は単一障害点や単一侵害点を考慮しなければならない
  • 多くの組織は、多層防御を取り入れる必要がある
• 多層防御の保証と単一侵害点の把握
  • 組織の情報システム全体のアーキテクチャを分析し、現場の実務者目線で把握をする必要がある
• 常に心掛ける姿勢
  • 私たちは 何を知らないのかを知らない
    • 単一侵害点は資産価値が高いことに注意
• モニタリング
  • リスクマネジメントはサイクル
  • モニタリングフェーズとは：
    • 管理作の有効性を評価する
    • リスク環境が変化しているか観察する
    • 経営幹部（CISO等）にリスクレベルをレポートする
    • 監査をサポートする
    • 必要に応じて新しいリスクアセスメントを実施する
• 実務者が経営陣を支える役割
  • 多くの管理策は時間が経過するにつれ効果を失うため、管理策の有効性を評価する必要がある
  • 実務者がモニタリングする際の３つの質問：
    • 実装されているか
    • 適切に運用されているか
    • 期待する結果を達成しているか
• 経営幹部（CISO等）と実務者の役割と責任
  • ドクロベエ
    • 絶対支配者
  • ドロンジョ
    • 美女のリーダー
  • ボヤッキー
    • 女子高生好きな発明家
  • トンズラー
    • 怪力男
• 組織を支える経営幹部（CISO）と実務者のリソース
  • CEO（君主：１）
  • CISO等（軍師：２，３） -実務者（ 武将１０程度）
  • エンドユーザー（兵：多数）

トピック３：アクセス制御

アクセス制御を理解する

頭の体操１０

- アクセス制御の実装を実務者に指示を出しました
    - どのように実装しますか

• アクセス制御の定義
  • 認証されたユーザやプログラム、プロセスたちだけにリソースを使用する権利を与える（許可する/認可する）
  • ハードウェアやソフトウェア、または人間によって、リソースを取り扱う操作や管理が行われる
  • 監視や識別、ログインなどの要求に対してセキュリティモデルに従っての許可または拒否が行われる
• アクセス制御に必要な要素
  • アクセスは３つの要素を基礎とする
    • サブジェクト -> ユーザーやプログラム
    • オブジェクト -> データやプログラム
    • ルール -> セキュリティポリシー（ACL等）
• アクセス制御の操作例
  • ログオンスクリーン
  • オンラインバンキング
  • ATMのPIN画面入力
  • フェンスや車止め
  • カードキーシステム
• アクセス制御に関わる脅威の例
  • 物理面　　　　　　-> 侵入者
  • ノートPCの紛失　　-> 個人を特定できる情報（PII）の開示
  • ハード／ソフト　　-> トロイの木馬
  • メディア　　　　　-> オブジェクトの再利用
  • 放射（Emanation）-> 電子的な盗聴
  • 通信　　　　　　　-> スニッフィング
  • ネットワーク　　　-> 保護されていない接続
  • アプリケーション　-> バッファオーバーフロー
• アクセス制御の実装不備による事故
  • 機密情報の公開
  • データの破損
  • ビジネス・インテリジェンスの損失
  • 施設、人員、システムが危険にさらされる
  • 機器へのダメージ
  • システムやビジネスプロセスの停止
  • サービス不能（Denial of Service：DOS）

頭の体操１１

- アクセス制御の実装不備が原因の１つとして考えられるニュースや報道が多数
    - どのような点検を行う必要がありますか？

• アクセス制御の不備（職務の分離）
  • 点滴に異物が混入され、入院患者が中毒し
  • 監視カメラによるアクセス制御
• アクセス制御の不備（なりすまし）
  • 完成検査担当者を、メーカー側は、一定の知識や技能を身に着け、社内で資格を取得した人のみが検査に当たるという規定を設け、国に届け出てた
    • 「はんこ」
• アクセス制御の不備（データ改ざん）
  • 品質保証室長の最小権限ミス
    • 読み取り権限のみだったら
• アクセス制御の不備による影響
  • 以下のような影響が
    • 顧客からの信頼喪失
    • 事業機会の損失
    • 新しいルールを作成しなければ
    • 風評被害
    • 監視項目の追加
    • 金銭的なペナルティ
  • 対象を分けて保護を
    • 論理的アクセス制御
    • 物理的アクセス制御
• アクセス制御の実装メカニズム
  • 監査可能な情報システム環境の構築
  • 監査ができない情報システムは欠陥（IT監査による保証）

頭の体操１２

- 情報セキュリティポリシーの実装
    - どのような仕組みをIT環境に実装？
    - アクセス制御設計をどう考える？

• リファレンスモニター
  • すべてのコンポーネントがセキュリティポリシーを正しく守るには、サブジェクトからオブジェクトへのアクセスを仲介する存在が必要
  • アクセス制御の設計は、情報管理モデル（IMM）を使用して容易にすることができる
• アクセス制御の実装

• アクセス制御実装のステップ
  • ステップ１
    • アクセスを要求する可能性がある全ての潜在的なサブジェクトを識別する
  • ステップ２
    • すべてのオブジェクトを識別する
  • ステップ３
    • アクセスのルールを決定する
• アクセス許可の考え方
  • アクセス制御のアクセス許可を評価する方法は２つ存在する
    • ユーザーの視点
    • オブジェクトの視点
  • 一時的アクセス制御は、アクセス制御の実装の重要な部分
  • 従業員の時間外アクセスの悪用を防ぐことが可能
• アクセス制御ポリシーの実装
  • セキュリティリスクの軽減と制御
  • 自動化されたプロセスと人間による作業の両立
    • 管理的
    • 物理的
    • 論理的/技術的
      • ハードウェア
      • ソフトウェア
        • OS / ファイルシステム
        • アプリケーションとセキュリティプロトコル

頭の体操１３

- IT環境に「識別、認証、認可」の仕組みを基本としたアクセス制御の仕組みを実装する
    - 「識別、認証」の仕組みをどのように選択すればよいか

• アクセス制御実装のキーワード
  • 識別（Identification）
    • 誰か？
  • 認証（Authentification）
    • そのシステムを使うことができるか？
  • 認可（Authorization）
    • そのシステムで何ができるか？
  • 説明責任（Accountability）
    • 様々な調査のために記録を残す
• サブジェクトの識別
  • 方法
    • 識別の方法
    • 識別のガイドライン
    • 電波による個体識別
      • RFID
    • MACアドレスとIPアドレス
  • セキュアなユーザ登録
    • ガイドライン
    • 権限を与えるセキュリティ境界の一歩目
• 認証の種類
  • ２つまたは３つのものを組み合わせることを推奨
    • 知識による（Something you know）
      • パスワード、PIN、パスフレーズ、母親の旧姓は？など
    • 所有物による（Something you have）
      • トークン、カード、カギ、バッジ、パスポート、証明書など
    • 個人属性による（Something you are）
      • 指紋、網膜、サイン、顔など
• 知識による認証
  • パスワード
  • パスフレーズ
  • 個人の歴史
  • 画像パスワード
  • ガイドライン
• 所有物による
  • トークン
    • ワンタイムパスワード
  • スマートカード
    • 接触型・非
  • メモリーカード
  • RFIDカード
• 個人属性による認証：実装しづらい、交換可能性が低い
  • バイオメトリクス
    • 身体的特徴で
      • 指紋、網膜など
    • 行動による特徴
      • キー入力の速さ、筆跡など
  • 選択の基準
    • 正確性
    • ユーザの許容範囲
    • 受け入れまたは拒否を決定するまでの速さ
    • 対応できる人数
    • バイオ情報の保護

頭の体操１４

- 顔認証を検討してほしい
    - どのようなことを考える必要があるか

• 顔認証の精度設定の実装
  • オフィスのロビー
    • 低めに
  • 執務室
    • 高めに
  • 片方に寄せず、バランスを考えることも重要
    • 閾値
    • 中間(?)： クロスオーバーエラーレート
      • ポリシーがないと決められない

頭の体操１５

- IT環境に「識別、認証、認可」の仕組みを基本としたアクセス制御の仕組みを実装する
    - 「認可」の仕組みをどのように選択すればよいか

• 任意アクセス制御（DAC）
  • Discretionary Access Control
  • 誰がアクセスするかに基づいて対象オブジェクトへのアクセスを制限する手法
  • アクセス主体は自分が持つアクセス権限を他のアクセス主体に付与できるため「Discretionary」（任意・自由裁量）の制御と称される
    • 例：一般的なOSアクセス制御
• 強制アクセス制御（MAC）
  • Mandatory Access Control
  • オブジェクトへのアクセスを以下に基づいて制限
    • アクセス対象のオブジェクトに含まれる情報の機密レベル
    • アクセス主体がその機密レベルの情報にアクセスする権限を与えられているかどうか（許可、クリアランス）
• ルールベースのアクセス制御
  • サブジェクトが何を行うことができるかを制御する各サブジェクトの定義されたルールに基づく
• 役割ベース（これが本命でしょ）
  • RBAC

  • 職務記述書： Job Description （誰が何をやるか）が必要

      ポイント
      - アクセス権設定の基本
          - 実務者に「考えさせない」
    

• 属性ベースのアクセス制御
  • ABAC
    • 位置情報
      • 日本であれば
    • ログオン可能時間
      • 平日8-19時であれば

頭の体操１６

- アクセス制御を実装します
    - 「識別、認証、認可」の仕組みをどのようにIT実装すればよいか

• アイデンティティアクセス管理の実装
  • IAMのシステムプロセスを自動化し、管理オーバーヘッドを削減する手法を選択する
  • 分散型アクセスコントロール管理
    • 地域のニーズに対応可能
    • アクセスを管理する責任はユーザーに最も近い管理者に与えられる
  • 集中型
    • ロケーションに関係なくスタッフを管理できる
    • 地域の管理者が一貫性がなく予測できない方法で運用することを防ぐ
• アクセス制御の技術
  • SSO
    • ケルベロス
  • ディレクトリサービス
    • LDAP
    • AD
  • フェデレーション
    • SAML/OAuth/OpenID
  • IAP
    • Identity Aware Proxy
• シングルサインオンの動作手順
  1. ユーザがIDとパスワードを入力する
  2. IDとパスワードを認証サーバに送る
  3. 認証サーバが利用者のIDを検証する
  4. 認証サーバがリソースへのリクエストを認可する
• SSOのメリット・デメリット
  • メリット
    • 効率的なログオンプロセスの提供
    • より強固なパスワードの利用促進
    • 中央一元管理
      • ロックをかけやすい
      • 事故の影響を最小化できる
  • デメリット
    • 単一侵害点
    • 単一障害点
    • レガシーシステムとの連携ができない
    • 実装難易度の高さ
    • セキュリティ要件

頭の体操１７

- 実装しました
    - どのようにIT実装されたアクセス制御の環境を管理すればよいか？

• アクセス制御システムに対する攻撃：攻撃者は情報がほしい、攻撃は止められない
  • DoS
  • パスワード
  • 辞書
  • ブルートフォース
  • キーロガー
  • なりすまし
  • 頭頂
  • ショルダーハック
  • ゴミ箱あさり
  • 廃棄品
• アクセス制御にかかわる脅威
  • 装置を直接接続してのアクセス
    • 主なポータブルデバイス
      • 携帯電話
      • USBメモリ
      • 書き込み可能CD/DVD
  • セキュリティ機能をバイパスしてのアクセス
    • 画面や机上に重要な情報を表示したままにしない
      • Clean Screen / Clean Desk
• 時代に応じたアクセス制御の要件
  • 信頼できる場所は存在しないという前提で情報システム環境を考えていく時代

(ラスト1時間、飛ばすらしい)

頭の体操１８

- 運用開始
    -日々のセキュリティ運用で 行うべきことは？

• 説明責任と監査（ロギング）
  • 記録することは基本要素
  • ログオン、特権の昇格などのサブジェクトの活動を追跡
  • 不審な活動を記録した監査ログは定期的にレビュー
  • 施設と記録は改ざんやはかいが行われないように守る
• IT環境の使用状況のモニタリング
  • 図

    

頭の体操１９

- 働き方改革のための情報システムの企画
    - どういうアーキテクチャがあるか

• ゼロトラストネットワークへの対応
  • ゼロトラストとは
    • ネットワーク内部/外部を区別せず、IDやデバイスが何であれ、常にすべての通信を必ず確認し、厳密な最小限のアクセス管理を徹底すること
  • ネットワークセキュリティ型の情報セキュリティモデル
    • ペリペタモデル
      • 「Trust, but Verify」
  • アイデンティティ型の情報セキュリティモデル
    • ゼロトラストモデル
      • 「Never trust, always verify」
  • https://www.secure-sketch.com/blog/zero-trust-security-model
• ISC2 Webinar
  • IDを使用して組織の内と外を防御する
• 実務者が経営者を支える役割
  • CISO等がリーダーシップをとるために適切なモニタリングと分析レポートが必要
    • 収集 -> 処理と抽出 -> 分析と算出

トピック４：インシデントレスポンスとリカバリ

モニタリングシステムの運用とメンテナンス

頭の体操２０

- 適切なモニタリングを期待する目的・目標は何？
    - どのような役割

• モニタリングシステムの運用とメンテナンスの概要
  • 目的は ビジネス・サービスの中断を回避または防止
  • インシデント管理の第一の要件は、可能な限り迅速にインシデントを認識すること
    • いち早く気づく
    • 気づく仕組み
    • SLAの理解が必要
• モニタリングシステムの運用とメンテナンスの概要（継続的なモニタリング）
  • ３つの質問：
    • 正しく実装されましたか？
    • 正しく動作していますか？
    • 望ましい結果を生み出していますか（リスク低減されているか）？
  • うまくいかない場合のポイント
    • 意図した設計と大きく異なることがある
    • 動作はしているがリスクを低減していない可能性がある
    • 既知のリスクに関連付けられていない管理作はほぼ確実に不要であり、削除する必要がある

• よくわからない発注者と未熟な受注者によるIT環境への管理策の実装

• 主要なポイントのモニタリング
  • 定期的なレビューを現実的に可能にするためには重要な管理策をいくつか選択することを推奨する
  • 現実的に可能な範囲を拡大するには相応の知識と技術を保有した実務者の採用が必要

頭の体操２１

- 適切なモニタリングを指示
    - 重要な分野はなんでしょうか

• レビュー：主要なポイント
  • 課題は、報告する「正しい」領域を決定すること
  • 経営陣とのコミュニケーション
  • 報告は時間とともに変化する可能性がある
• 監査計画
  • 経営陣が望むすべての監査をじっしするためには十分なリソースを用意する
  • 社内または社外の関係者が行うことがある

  • 監査は監査人の良好なスキルと経営陣からの独立性が確保されたときのみ効果を発揮する

    監査基準	コンプライアンス	監査レポート
    信頼性を提供する	規制当局の遵守状況を評価し、 報告するには、多くの セキュリティ実務者の時間が 費やされる	組織内の脆弱性のいくつかを 公開する可能性のある機密文書
    ISO27001, PCI-DSS等 国際的に認められた基準	PCI-DSSなどの基準に精通 している必要がある
    	コンプライアンス問題に対処 できないと。財務上または 刑事上の罪で起訴される 可能性がある

頭の体操２２

- EU域外に個人データが移転されてしまった
    - どのようなペナルティが

• EU域内から域外へ個人データの移転
  • 十分な個人データ保護の保障
  • BCR（Binding Corporate Rules：拘束的企業準則）の締結
  • SCC（Standard Contractual Clauses：標準契約条項）の締結
  • 明確な本人同意
  • https://www.ppc.go.jp/enforcement/cooperation/cooperation/sougoninshou/
• 欧州委員会指定の国・地域
  • アルゼンチン共和国
  • アンドラ公国
  • イスラエル
  • ウルグアイ東方共和国
  • 英領ガーンジー
  • 英領ジャージー
  • 英領マン島
  • カナダ
  • スイス連邦
  • デンマーク自治領フェロー諸島
  • ニュージーランド
  • アメリカ合衆国
• GDPRの制裁金と違反例
  • https://www.eyjapan.jp/services/advisory/column/2016-08-25-02.html
• GDPRのデータ漏洩通知義務
  • 72時間以内に監査機関に知らせる

• GDPRの通知義務違反の代償

• 通知時間のSLAや通知先の周知
  • 監督先への通知
  • データ保護オフィサーの設置

頭の体操２３

- どのような視点でモニタリングを実施する必要がありますか？

• 継続的なモニタリング
  • ほとんどは問題の識別と通知の遅延
  • モニタリングは問題をほぼリアルタイム検出・適時対応し、緩和プロセスを有効にする必要がある
  • 移行するには何を探すべきか、正常/以上な行動とは何か、問題を報告する方法を管理するための教育が必要
• GDPRにおける個人データ（例）
  • 氏名
  • 識別番号
  • 住所
  • メールアドレス
  • オンライン識別子（IPアドレス、クッキー）
  • 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

• センサーとセンサーネットワーク

• ネットワークセンサー
  • 侵入検知システム：NIDS
  • 侵入防御システム：NIPS

• アプリケーションログ

• アプリケーションレイヤのモニタリング

• 人、良いボット、悪いボット

• 物理アクセスログ
  • マントラップ
  • 赤外線センサー

頭の体操２４

- アカウンタビリティ（説明責任）を発揮するために
    - 何が必要か

• ログの保護
  • ログは不可欠
  • 保護するには集約
  • ログには保護情報が含まれている場合がある
  • データ分析
    • 膨大な量
    • 分析するために、管理ツールを使用
• SIEM
  • ログ・イベントの相関分析のツール
  • 課題は、データとツールを効果的に管理するために必要なスキルを開発すること

• 実務者が経営陣を支える役割

• SSCPがサイバーセキュリティ経営を支える防止/多層管理策/監視・対応環境を実装
  • 境界
  • ネットワーク
  • エンドポイント
  • アプリケーション
  • データ

クロージング

頭の体操２５

- SSCPサンプル問題４問
    1. C
    1. C
    1. C
    1. B
- ポイント
    - 優先順位が高いものを選択する（どれも正解のことが多い）
    - 用語の問題は少ない
    - 課題が解決できるかを問う
    - 体系的に理解する

頭の体操２６

- もっと知りたい
    - SSCP認定資格公式ガイドブック ￥10,800
        - http://www.nttpub.co.jp/search/books/detail/100002184
    - SSCP試験合格後
        - エンドースメント（推薦状）が必要

https://itstrategy.jp/itil/itil4/

AGENDA

• ITIL4・ISO/IEC20000:2018の概要
• SIAM・PRINCE2などの関連フレームワーク
• 効果的なITサービスマネジメントの実践
• (主催社)サービス紹介

ITIL4・ISO/IEC20000:2018の概要

ITILとITサービスマネジメント

• ITサービスマネジメントとは
  • 事業ニーズを満たす良質のITサービスを実施および管理すること
• ITILとは？
  • ITサービスマネジメントのお手本
• ISO/IEC20000とは？
  • ITILを参照してまとめられたITサービスマネジメントの国際標準規格

ITIL の歴史

• ISO/IEC
  • DISC PD 0005・BS 15000
  • ISO/IEC20000:2005
  • ISO/IEC20000:2011
  • ISO/IEC20000:2018
• ITIL
  • V1(1989)： 止まらない(止めない)ITサービス
  • V2(1996)：ビジネス要件を満たすためのITサービス
  • V3(2007)：ビジネスに対して価値を提供するITサービス
  • V4(2019-)：ビジネスとITの融合による新たな価値創造

ITIL V3 と ITIL V4 の相違点

• V3：ライフサイクル
  • ITの顧客に対するサービス提供
  • V3 のデメリット
    • ライフサイクルという考え方なので、どこかを変えると全体に影響が出る
• V4：モジュール
  • 企業の顧客に対する商品・サービス提供
  • V4のメリット
    • モジュール 個別なので影響範囲が小さい

ITIL4の体系

• Foundation
• Strategic Leader (SL)
  • Strategist
    • Digital & IT Strategy
    • Direct, Plan & Improve
• Managing Professional (MP)
  • Specialist
    • High Velocity IT
    • Drive Stakeholder Value
    • Create, Deliver & Support
• Master ： 日本に１人だけ。実績を問われるとかいろいろある

体系図：ITIL4とITILv3

ITIL4の特徴

• ライフサイクルからモジュールへ
• 全体論的なアプローチへ
• 価値の共同創造
• プロセスからプラクティス
  • 手順はあまり書いてない
• 他のプラクティスや新しい働き方との融合
  • 使えるものは外部のものをうまく使う

ITIL4ファンデーションの構成

1. イントロダクション
2. サービスマネジメントのキーコンセプト（５問）
3. サービスマネジメントの４つの視点（２問）
4. ITILサービスバリューシステム（SVS）（９問）
5. ITILマネジメントプラクティス（２４問）

5 + 2 + 9 + 24 = 40

ITIL4 プラクティス

• General management practices (統合管理)
  1. Architecture management(アーキテクチャ管理)
  2. Continual improvement(継続的改善) ◯
  3. Information security management(情報セキュリティ管理) △
  4. Knowledge management(ナレッジ管理)
  5. Measurement and reporting(測定と報告)
  6. Organizational change management(組織変更管理)
  7. Portfolio management(ポートフォリオ管理)
  8. Project management(プロジェクト管理)
  9. Relationship management(関係管理) △
  10. Risk management(リスク管理)
  11. Service financial management(サービス財務管理)
  12. Strategy management(戦略管理)
  13. Supplier management(サプライヤ管理) △
  14. Workforce and talent management(要因と能力管理)
• Service management practices
  1. Availability management(可用性管理)
  2. Business analysis(ビジネス分析)
  3. Capacity and performance management(キャパシティ・パフォーマンス管理)
  4. Change control(変更コントロール) ◯
  5. Incident management(インシデント管理) ◯
  6. IT asset management(IT資産管理) △
  7. Monitoring and event management(モニタリング及びイベント管理) △
  8. Problem management(問題管理) ◯
  9. Release management(リリース管理) △
  10. Service catalogue management(サービスカタログ管理)
  11. Service configuration management(サービス構成管理) △
  12. Service continuity management(サービス継続性管理)
  13. Service design(サービスデザイン)
  14. Service desk(サービスデスク) ◯
  15. Service level management(サービスレベル管理) ◯
  16. Service request management(サービス要求管理) ◯
  17. Service validation and testing(サービスの妥当性確認及びテスト)
• Technical management practices
  1. Deployment management(展開管理) △
  2. Infrastructure and platform management(インフラストラクチャ・プラットフォーム管理)
  3. Software development and management (ソフトウェアの開発と管理)

（◯と△の意味が何だったかは忘れてしまった…◯がv3のだいたいそのまま、△がいろいろ変わった？）

図：ITILv3のライフサイクル(26プロセス) と ITIL4のプラクティス(34)

ITIL3資格からITIL4資格への移行

• 基本的には新たな認定資格として再受験が必要
• 唯一、移行可能なのは、「MPトランジション」

ITIL4をどう扱うべきか

• ITIL V3 が陳腐化したわけではない
• ITIL4はV3を理解し実践できている組織の「次のステップ」として捉えるべき
  • バージョンアップではなく、ステップアップ

今後のスケジュール

• 日本語版はまだ ¹
• 試験がまだ日本語になってない

ISO/IEC20000:2018 ²

Fig: Service Management System (SMS)

SIAM・PRINCE2などの関連フレームワーク

SIAM

SIAMとは

• サービスインテグレーション & マネジメント
  • 複数のサービスプロバイダから調達したサービスが含まれる環境に適用できるマネジメント方法論
  • 情報システム部門を通さない、ビジネス側のサービスプロバイダ（クラウド・外部）の利用：シャドーIT含む

SIAMの歴史

英国政府SIAMエンタープライズモデル2012

Fig.

SIAMエコシステム

• SIAM の最大の特徴
• ３つのレイヤ
  • 顧客組織
    • 戦略、方針、調達、契約管理、コーポレートガバナンスなど（リテインド能力）の責任を負う
  • サービスインテグレータ
    • E2Eのサービスガバナンス、マネジメント、インテグレーション、保証及びコーディネーションなどの責任を負う
  • サービスプロバイダ
    • １つ以上のサービスまたはサービス要素のデリバリの責任を負う

SIAM認定資格制度

• SIAMファンデーション
  • https://www.exin.com/jp-ja/certifications/#certifications/exin-bcs-siamtm-foundation-exam
• SIAMプロフェッショナル
  • https://www.exin.com/jp-ja/certifications/#certifications/exin-bcs-siamtm-professional-exam

PRINCE2

PRrojects IN Controlled Environments, 2nd version

PRINCE2とは

• プロジェクトマネジメントのフレームワーク
  • PMBOK：３国のみ
  • PRINCE2：世界的

日本語版は 2015年11月発行 (2009年版)

PRINCE2の価値

• PMBOKとの違い
  • PMBOK
    • プロジェクトマネージャーのため
    • PMが学ぶ
  • PRINCE2
    • プロジェクトにかかわるみんなのもの
    • 運用関係の人が学ぶ
• シンプルな構成（７つの原則、７つのテーマ、７つのプロセス）
• アジャイル開発との親和性が高い（PRINCE2Agile）
• 「価値計画書」 いかに価値を出すか
  • 例）コスト100万、価値300万、予算50万
    • PMBOK -> やらない（予算が足りないから）
    • PRINCE2 -> やる（価値が出せるから）
• PMBOKと補完関係

PRINCE2とPMBOKの相違点

https://itstrategy.jp/pm/princepmbok/
https://www.slideshare.net/itpreneurs/prince2pmbokitil

PRINCE2(2009年バージョン)の資格

• 受験要件はないが、実働２年以上、を想定
• PRINCE2ファンデーション
  • https://itstrategy.jp/pr2f2day/
• PRINCE2プラクティショナ
  • https://itstrategy.jp/pr2practitioner/

効果的なITサービスマネジメントの実践

• 組織のビジョンの明確化・共有が重要（ ITILがゴールではない）
• 「いいとこ取り」をする

(主催社)サービス紹介

• 課題・問題を顕在化させるためのアセスメント
• 事例を使ったグループワーク研修
• ISO/IEC20000ベースのプロセス標準化支援
• ITIL4Foundation認定試験&書籍販売
• ITIL4ファンデーションブリッジ研修
  • V3がベース
• ITIL4ファンデーション認定資格試験対策研修
• ITILファンデーション(V3)試験対策研修
• SIAMファンデーション研修
• PRINCE2公式書籍(日本語版)
• PRINCE2ファンデーション資格対策研修
• PRINCE2プラクティショナ資格対策研修
• PRINCE2有資格者のためのPMBOK研修（近日公開予定）

Note