情報セキュリティ
ウェビナーアーカイブ
(動画・資料)

セキュリティ強化の絶対条件、隠れた脅威を可視化しデータ漏えい/侵害を確実に防ぐ方法とは? ~...

3.7 Exabeam Japan株式会社

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

多様化するセキュリティの脅威、情報漏えい/侵害の83%を占める攻撃パターン

企業・組織における情報セキュリティを取り巻く環境は非常に厳しい状況にある中、日々進化するサイバー攻撃など新たな脅威や攻撃手法が次々と現れています。IPAが2023年1月に公表した「情報セキュリティ10大脅威 2023(組織編)」では、3年連続で「ランサムウェアによる被害」が1位になり、「サプライチェーンの弱点を悪用した攻撃」(2位)、「標的型攻撃による機密情報の窃取」(3位)、「内部不正による情報漏えい」(4位)などが選出されました。 事業継続などに影響を与える「情報漏えい/侵害」は特に避けたいセキュリティインシデントではないでしょうか。ベライゾンが実施したサイバー脅威と情報漏えい/侵害に関する詳細な分析では「システム侵入」「ソーシャルエンジニアリング」「Webアプリケーションへの攻撃」の3つの攻撃パターンが全体の83%を占めるという調査結果が報告されています。

侵害された認証情報を悪用する例も 怠ってはいけない「内部不正」対策

情報漏えい/侵害の攻撃はランサムウェアや標的型攻撃など外部からではなく、企業・組織の関係者、または元関係者など「内部不正」対策も怠ってはいけません。特に、認証情報は攻撃者の主な標的となり、認証情報を利用した情報漏えいや不正操作などにも十分警戒する必要があります。 そうした脅威から組織を守るためには、従業員やシステム利用者の不審な動きを素早く検知し、必要な処置を施すことも重要だといえます。そこで重要な役割を担うのが「監査ログの管理・監視・分析」です。しかし、リスクの見える化が困難だったり、不十分な状態になってしまうと、攻撃に気づかずに被害を拡大させたり、修復不能な状況に陥ることもあります。

不十分なリスクの可視化がセキュリティ対策の推進を妨げる

内部不正対策としては、ネットワーク機器や端末などから収集したログを相関分析して不審な挙動を迅速に検知することで、セキュリティ侵害の予防と早期発見を可能にします。ただ、セキュリティ運用の現場では担当者の多くが大量のデータに圧倒され、どのデータを収集・対処すべきかを認識することが困難な状況です。 ログ管理や行動分析などの運用負荷が増大する中、事業継続にも影響を与える危険な脅威をどう検知・対処していけばよいのでしょうか。

隠れた脅威/異常な振る舞いを可視化する「UEBA」によるセキュリティ強化方法の具体例を解説

本セミナーでは、従来の境界防御型対策では防御が困難な情報セキュリティを取り巻く環境の現状の課題を解説します。 また、リアルタイムでのセキュリティ・インシデントの検出と対応を強化できる「UEBA(User and Entity Behavior Analytics)」を活用した、より効果的なセキュリティ対策の実現方法を具体的なユースケースを踏まえて紹介。さらに、脅威の検出・調査・対応(TDIR)の向上に役立つ「Exabeam CTF」に関する特典もご用意しております。 セキュリティ強化対策を推進するヒントを知りたい方は、ぜひご参加ください。

講演プログラム

10:45~11:00 受付

11:00~11:05 オープニング(マジセミ)

11:05~11:45 セキュリティ強化の絶対条件、隠れた脅威を可視化しデータ漏えい/侵害を確実に防ぐ方法とは? ~ ランサムウェア、標的型攻撃、内部不正など最新の脅威から組織を守る最善策を解説 ~

11:45~12:00 質疑応答

主催

Exabeam Japan株式会社(プライバシー・ポリシー

協力

株式会社オープンソース活用研究所(プライバシー・ポリシー) マジセミ株式会社(プライバシー・ポリシー

資料を見る

【再放送】クラウドサービスのセキュリティリスク、定期モニタリングまで手が回っていますか? 〜...

3.5 株式会社アシュアード

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認下さい。

本セミナーは 2023年 8月 24日(木)開催セミナーの再放送です。

多くのご要望をいただきましたので、再放送の開催が決まりました!

下記日程にて同じ内容のセミナーを開催いたします。ご都合の良い日程にお申込みください。

・2023年 8月 24日(木)11:00~12:00 https://majisemi.com/e/c/assured-20230824/M1A

増え続けるクラウドサービスの導入

近年、クラウドサービス・SaaSは企業のビジネス活動を支える重要なインフラとなっています。 利用数の増加に伴い、その評価や管理の重要性も高まっています。

新規導入時だけでは足りない、定期的なモニタリングが必要

クラウドサービスの導入時にセキュリティリスクを評価することはもちろん重要である一方、その後の定期的なモニタリングも欠かすことはできません。 クラウドサービスは日々アップデートしており、その度にセキュリティリスクも変動するためです。 また、新たな法令やガイドラインで定められるルールに則った対策が必要になることもあります。 (実際、新規導入時はセキュリティ上問題ないと判断したものの、その後の評価で導入時よりセキュリティリスクが高まっていたサービスが約3割あったという調査結果もあります)

クラウドサービスの導入数が増えるほど、定期チェックの負担も雪だるま式に増えていく

定期的なモニタリングが必要であることはわかっているものの、そこまで手が回っていない企業も多く見られます。 特にクラウドサービスの導入数が多い大企業では、チェックを担当する情報システム部門やセキュリティ部門の負担は大きなものとなり、新たにサービスが導入されるたびにその負担は雪だるま式に増大していきます。 チェック漏れがあればセキュリティリスクを高めることにつながってしまうため、品質と効率の両立が求められているのです。

どんなに導入数が増えても、リスク審査・定期チェックをスピーディかつ網羅的に行う方法

本セミナーでは、クラウドサービスやSaaSのリスク審査・定期チェックをスピーディに行う方法を解説します。 経済産業省「情報セキュリティサービス基準」適合の認定を受けているクラウドリスク評価サービス「Assured(アシュアード)」についてご紹介する予定です。 クラウドサービス導入時や定期棚卸時のリスク評価に手間がかかっているとお悩みの情報システム部、セキュリティ部門、DX推進/企画部門の方はぜひご参加ください。

プログラム

11:45~12:00 受付

12:00~12:05 オープニング(マジセミ)

12:05~12:45 クラウドサービスのセキュリティリスク、定期モニタリングまで手が回っていますか?〜導入時のみでは不十分な理由と、増え続けるチェック負担の解決策〜

12:45~13:00 質疑応答

主催

株式会社アシュアード(プライバシー・ポリシー

協力

株式会社オープンソース活用研究所(プライバシー・ポリシー) マジセミ株式会社(プライバシー・ポリシー

セミナー詳細を見る

進まない「脱PPAP」、情シス担当者のジレンマを解消する現実解とは? ~オンラインストレージ...

3.7 株式会社NSD

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

本セミナーは、IT事業者以外のエンドユーザー企業の方が対象です。該当企業以外の方のお申込みをお断りする場合がございます。あらかじめご了承ください。

本セミナーは、2023年6月開催セミナー「分かっちゃいるけど踏み切れない『脱PPAP』、担当者のジレンマを解消するには?」と同じ講演内容を含んでおります。多数のご要望により、追加開催させていただきます。

加速する「脱PPAP」の動き、パスワード付きZipファイルでは取引不可になる可能性も

2020年11月、当時のデジタル改革担当大臣が宣言した「PPAP」の内閣府・内閣官房での廃止。現在は行政機関だけではなく、一般企業でも見直しが進められています。 今後、パスワード付きZipファイルは受け取ってもらえなくなる可能性があるため、大手ITベンダーを中心に社内規定が改定されたり、企業間取引への影響などを考慮し、脱PPAPの動きは加速してきました。

なぜ、セキュリティリスクが指摘されてもPPAPは使い続けられているのか?

PPAPは、社内外におけるファイルの受け渡しにおける情報漏えい対策として広く利用されてきました。しかし、「ウイルスチェックができない」「メールを傍受される危険性がある」「ZIPパスワードそのものの脆弱性」など、セキュリティ上における問題点が数多く指摘されています。 それでも、情報共有手段としてPPAPが使われている企業も多いのが現状です。それはなぜなのでしょうか。 PPAPを使い続けている企業・組織の中には、社内規定でその手順が定められていたり、明示的にセキュリティ対策をしていると示せるという声もあるとのことです。また、担当者がより有効なファイル共有方法の代替対策を実施しようとしても、経営陣からは「システム変更のコストを抑えろ」と指示されるとなかなか踏み切れないのが現実でしょう。

オンラインストレージと比較、「ファイル転送システム」こそが現実解である理由

本セミナーは「重要性は分かっているけれども、脱PPAPに本腰を入れられない」というジレンマを抱えた情報システム部門やセキュリティ担当者の方を対象としています。 講演の中では、PPAPの代替手段である「オンラインストレージ」と「ファイル転送」の2つの方式の特長に触れつつ、脱PPAPを実現するお勧めの代替手法としてファイル転送システムを提言し、その理由をご説明します。

安全なファイル転送システムの現実解「eTransporter」は何がすごい? 特徴的な機能/導入事例で解説

ファイル転送システムは多くの製品・サービスが市場に存在します。情報共有は、企業取引の根幹を担います。そのため、より安全面にも気を配ることが重要です。そうした中も、多くの企業に支持され導入されているのが「eTransporter」です。なぜ、eTransporterが選ばれているのかを具体的な活用事例を踏まえてご紹介します。分かっちゃいるけど踏み切れない「脱PPAP」というジレンマを解消したい方は、ぜひご参加ください。

講演プログラム

13:45~14:00 受付

14:00~14:05 オープニング(マジセミ)

14:05~14:35 進まない「脱PPAP」、情シス担当者のジレンマを解消する現実解とは?~オンラインストレージと比較、ファイル転送システム「eTransporter」が最適な理由を解説~

14:35~14:45 質疑応答

主催

株式会社NSD(プライバシー・ポリシー

協力

株式会社オープンソース活用研究所(プライバシー・ポリシー) マジセミ株式会社(プライバシー・ポリシー

セミナー詳細を見る

「DX・AI時代のサイバーセキュリティレジリエンス 」 ~DX推進に求められるセキュリティ検...

株式会社産業経済新聞社

本セミナーはWebセミナーです

参加方法(URL)は主催企業より直接メールにてご連絡いたします。 なお、「sankei.co.jp」「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認下さい。

ChatGPTに代表される生成AIなど、新たなテクノロジーの導入は、常にサイバーセキュリティ上のリスクをはらんでいる。企業は日増しに高度化するサイバー攻撃にどう対応するべきか、IT・情報システム部門だけでなく、経営レベルの戦略や事業責任者との連携構築が急務となる。本セミナーでは、国内・海外の最新サイバー攻撃事例の紹介を交えながら、企業がDXを推進するうえで必要になるサイバーセキュリティ対策や組織体制について専門家が指南する。

対象

●IT・情報システム部門の責任者及びサイバーセキュリティ関連部門従事者 ●サイバーセキュリティに関する知見を集めたいCSIRT担当者 ●DXを推進したい企業の経営層、経営企画、事業責任者

プログラム

13:05~13:45 基調講演

DX推進により増大するアタックサーフェス(攻撃を受ける可能性のある領域)と既存対策の限界 名和 利男(株式会社サイバーディフェンス研究所) 「DX推進に求められるセキュリティ対策は何か?」という怠惰な質問を受けることがあります。また、これまで「特定の製品に依存したセキュリティ対策」を手掛けてきた組織の多くは、防衛戦略やリーダーシップがない、あるいは発揮できない組織文化になっています。これらの改善に資するべく、DX推進で必然的に出現するサイバーリスクを、図解を交えてお伝えします。

13:50~14:05 協賛企業講演①

2023年の脅威トレンドとエコシステム 本城 信輔(サイバーリーズン合同会社 Japan CISO) 2023年も様々なランサムウェアやマルウェアの脅威が話題になっています。これらは個別の脅威ではなく関連した一連の攻撃であり、エコシステムを形成していることが多く報告されています。具体的な攻撃事例をもとに、最近の手口や攻撃手法について説明します。また対策にはエコシステムを考慮する必要があり、その方法や技術についても紹介いたします。

14:10~14:25 協賛企業講演②

DX時代のランサムウェア対策、これ以上何をすればいい? ~ポイントは「抵抗力」と「回復力」強化~ 扇 健一(株式会社日立ソリューションズ 企画本部 セキュリティマーケティング推進部 シニアエバンジェリスト) ランサムウェア攻撃が激化しており、最近では最後の砦とされていたバックアップデータを狙った攻撃の被害が増加しています。事業継続に影響を及ぼすランサムウェアに対し、どのような対策をすれば良いのでしょうか?本セッションでは、サイバーレジリエンスの「回復力」と「抵抗力」を強化し、企業の事業継続性を高める対策について解説します。

14:30~15:10 特別講演

机上演習を利用したレジリエンスを支える組織づくり 青山 友美(IPA産業サイバーセキュリティセンター(ICSCoE) 専門委員)  昨今、DXの推進に伴って、社内のセキュリティ・ステークホルダーは広がっています。そのため、セキュリティ部門の域を超えた組織・プロセスの改善が必要です。本講演では、DXがセキュリティ業務にもたらす変化を踏まえ、最新の脅威と事業被害を念頭においた机上演習を利用した組織づくりについて紹介します。

15:15~15:30 協賛企業講演③

セキュリティの強化だけじゃない!  〜DX加速とコストカットを実現する一石三鳥のセキュリティ対策とは?〜 林 涼平(HENNGE株式会社 Customer Success Division, Presales Engineering Section) 世界中でサイバー攻撃が加速する中、Chat GPT や AI 等の最新ツールを悪用した巧妙な攻撃が観測され始めています。日本国内でもサイバー攻撃が身近になった今、DX を安全に促進させるためには正しいセキュリティ対策が必要不可欠です。本講演では、DX を促進するためには欠かせないセキュリティ対策についてご説明いたします。

15:35~15:50 協賛企業講演④

サイバーレジリエントなサプライチェーンの構築に向けて ~可視化と対策の現実解~ 高橋 真哉(SOMPOリスクマネジメント株式会社 サイバーセキュリティ事業本部 マーケティング担当部長) DXを推し進め、レジリエントなサプライチェーンを構築する為には、チェーン全体の可視化と弱点の強化が必要です。サプライチェーンを掌握する立場の大手企業様向けには、可視化に有効なスコアリングツールを。構成する立場の中堅企業様向けには、コストや運用性の面で現実的な解となる、保険付きの防御策をご紹介します。

15:55~16:35 特別講演

繋がる工場・プラントのサイバーレジリエンスを高めるサプライチェーンセキュリティ 岡田 光司(東芝デジタルソリューションズ株式会社 セキュリティ技師長 / 株式会社東芝 サイバーセキュリティ技術センター ゼネラルマネジャー) 工場・プラントのDX化によりサプライチェーン全体が繋がることで、産業・製造業に対するサイバー攻撃が増加しています。本講演では、IT/OTを網羅した繋がる工場のサイバーレジリエンスを高めるために必要なセキュリティ対策とアプローチをご紹介するとともに、東芝での実践的な取り組みについてご紹介します。

講演者

CDI_nawa.jpeg

名和利男 株式会社サイバーディフェンス研究所 専務理事/上級分析官

海上自衛隊にて護衛艦の戦闘情報中枢の業務に従事した後、航空自衛隊にて防空指揮システムのセキュリティ担当業務等に従事。その後JPCERT/CC等での経験を経て、サイバーディフェンス研究所に参加。専門分野であるインシデントハンドリングの経験と実績を活かし、CSIRT構築、サイバー演習の支援サービスを提供。最近は、サイバーインテリジェンスやアクティブディフェンスに関する活動を強化中。
CybereasonJapan_Honjo_profile.png

本城信輔 サイバーリーズン合同会社 Japan CISO

アンチウィルスベンダーやセキュリティ企業において、20年以上に渡りマルウェア解析業務に従事。豊富な定義ファイルの作成経験があり、サンドボックスの検知技術やAIによる検知技術の向上にも関わってきた経験からマルウェア対策技術にも詳しい。また、メディアや講演を通じて、マルウェアによるサイバー攻撃についての情報提供を行ってきた。
hitachi-profile.jpeg

扇健一 株式会社日立ソリューションズ 企画本部 セキュリティマーケティング推進部 / Security CoEシニアエバンジェリスト / 早稲田大学グローバルエデュケーションセンター非常勤講師

特定非営利活動法人 日本ネットワークセキュリティ協会やVirtual Engineering Communityなどのセキュリティ関連団体において社会貢献活動を行う。20年以上にわたり開発から導入までセキュリティ関連業務に従事しており、セキュリティソリューション全般の拡販業務やソリューション企画に従事し現在に至る。ダイワボウ情報システム株式会社 PC-Webzineにてセキュリティ記事「CYBER GUARDIAN」連載中。
aoyama-profile.jpeg

青山友美 IPA産業サイバーセキュリティセンター(ICSCoE) 専門委員

工学博士。産業サイバーセキュリティセンター専門委員として国外機関との連携を中心にセンター事業を支援。名古屋工業大学客員助教を併任し、事業継続マネジメント及び産業制御システムのサイバーセキュリティ、演習の設計・構築、インシデント発生時におけるリスクコミュニケーションを中心とした研究・教育活動を行っている。
hayashi_ryohei.jpeg

林涼平 HENNGE株式会社 Customer Success Division, Presales Engineering Section

大学卒業後、国内セキュリティベンダーに入社。プリセールスエンジニアとしてサイバー攻撃に対するセキュリティ対策の提案業務に従事した後、2022年HENNGE株式会社へ参画。現在はサイバー攻撃の動向調査や中堅・大手企業に対するセキュリティ対策の提案業務を通して、安全で利便性の高いデジタル社会の実現を目指し、日々活動している。
SOMPO-profile.jpg

高橋真哉 SOMPOリスクマネジメント株式会社 サイバーセキュリティ事業本部マーケティング担当部長

Sierにてセキュリティ事業及びSOCの立ち上げを行い、その後MSSブランドの企画、製品戦略やアライアンス推進などセキュリティビジネス全般の戦略策定とマーケティング活動を実施。現職ではプリセールスから始まり、現在はマーケティング・インサイドセールス・カスタマーサクセスの責任者として活動中。
okada-profile.jpg

岡田光司 東芝デジタルソリューションズ株式会社 セキュリティ技師長 株式会社東芝 サイバーセキュリティ技術センター ゼネラルマネジャー

東芝サイバーセキュリティ技術センターにて、東芝のセキュリティ人材とノウハウを集結し、東芝グループが提供するシステム・サービスのセキュリティ高度化を統括。社内外での産業工場・社会インフラのセキュリティ対策と運用実践をもとに、制御システム向けセキュリティサービス事業を推進している。工学博士。

主催

株式会社産業経済新聞社(プライバシー・ポリシー

協賛

サイバーリーズン合同会社(プライバシー・ポリシー) 株式会社日立ソリューションズ(プライバシー・ポリシー) HENNGE株式会社(プライバシー・ポリシー) SOMPOリスクマネジメント株式会社(プライバシー・ポリシー

協力

株式会社オープンソース活用研究所(プライバシー・ポリシー) マジセミ株式会社(プライバシー・ポリシー

セミナー詳細を見る

デモで解説!脆弱性が原因で起こる「情報漏えい」のプロセスとその対策方法

株式会社サイバーセキュリティクラウド

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「zoom.us」「cscloud.co.jp」「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認下さい。

講演内容

企業規模や業種に関係なく、日々情報漏えいのインシデントは絶えることなく報道されています。

一度でも情報漏えいのインシデントを起こしてしてしまうと、イメージの低下だけでなく、 対策のためのサービス中断や停止措置などで売り上げの低下など企業は大きなダメージを被ってしまいます。 では、この「情報漏えい」を防ぐには具体的にどうしたらよいのでしょうか?

外部からの攻撃によって、企業から情報漏洩が起こる原因は主に脆弱性にあり 脆弱性を狙った攻撃手法として、SQLインジェクション攻撃やXSS(クロスサイトスクリプティング)攻撃などが挙げられます。 その他にも多くの攻撃手法が存在しますが、実際にはそれぞれの攻撃で盗まれる情報や手法が異なるのが特徴です。

本セミナーでは、「脆弱性」が原因で攻撃を仕掛けられてしまった場合、 Webアプリケーションからどのように情報が盗まれるのか、インフラのセキュリティがどのように突破されてしまうのか、 実際の被害事例と攻撃デモを活用してお見せいたします。

攻撃が仕掛けられ、情報が盗まれるまでの全体像を理解することで いま、各社に必要なセキュリティ対策について、あらためて検討する機会になれば幸いです。

また、セミナー内では人材不足や工数負荷でセキュリティ対策に手が回らない企業さまの課題を解決するために 各企業が優先的に守るべき情報に対してどのように対策を施せばよいのか 対策案を含めてご紹介します。

無料のセミナーとなりますので、ぜひご参加ください!

<こんな方におすすめです>

・脆弱性が存在することで、どのように情報が盗まれるのか一連の流れを理解したい ・SQLインジェクションやXSSがどのような攻撃なのか見てみたい ・情報漏えいを防ぐためにできる最低限の対策方法を知りたい ・情報漏えいを防ぎたいが社内に対応できる人員や工数が限られている

主催

株式会社サイバーセキュリティクラウド(プライバシー・ポリシー

協力

株式会社オープンソース活用研究所(プライバシー・ポリシー) マジセミ株式会社(プライバシー・ポリシー

セミナー詳細を見る

被害報告急増中。Webの脅威をクイック構築・運用可能なWAFでブロック!

TD SYNNEX株式会社

本セミナーはWebセミナーです

ツールはTeams ライブを使います。URLは直前にメールにてご連絡いたします。 なお、「tdsynnex.com」「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認下さい。

講演内容

昨今、自社のWebサーバーがサイバー攻撃を受けたという被害相談が増えています。 攻撃者が狙うのは、企業サイトにひそむ”脆弱性”のため、企業規模は関係なく攻撃脅威は増加傾向にあり、また、Web攻撃の被害は侮れず、対策を怠ると将来大きな損失につながる可能性があります。

本セミナーではWeb Application Firewall(WAF)の役割と機能に加え、WAFで防ぐことのできる攻撃、防ぐことができない攻撃について整理し、WAFがどのような脅威に対して有効なのかを事例を交えてご紹介、またWAFの対策に最適なBarracuda WAF-as-a-Serviceの優位性をメーカーがご案内します。 加えて、高度なITと幅広い業種・業務分野における経験・ノウハウをベースに、導入企業にシステムの設計、構築などを行う日立ソリューションズ・クリエイトが顧客導入事例を交えて導入の勘所をお伝えします。

プログラム

15:00~15:15 「Webアプリケーションを取り巻くセキュリティ脅威への対策とは~Web Application Firewallの必要性について~」

本セッションではWAFの役割と機能に加え、WAFで防ぐことのできる攻撃、防ぐことができない攻撃について整理し、WAFがどのような脅威に対して有効なのかをご紹介します。 【講演者】 TD SYNNEX株式会社 プロダクトマネジメント部門 ネットワーク&セキュリティー本部 伴 佳宏

15:15~15:30 「Barracuda WAF-as-a-Service特長と優位性のご紹介」

従来のWebアプリケーションファイアウォールの設定には何日もかかることがありました。 フル機能のクラウド配信型アプリケーションセキュリティサービスであるBarracuda WAF-as-a-Serviceは、わずか数分で、デプロイ・構成を完了し、本番環境に移行。アプリケーションを脅威から保護します。 本セッションでは製品機能の紹介・提案ポイント・優位性についてご説明いたします。 【講演者】 バラクーダネットワークスジャパン株式会社 シニアソリューションアーキテクト 加藤 路陽氏

15:30~15:50 「Barracuda WAFの実装ポイント~評価検証~導入・運用の勘所~」

WAF実装においてはお客さまのWebアプリケーションに対する脆弱性を悪用した攻撃種類に応じた設定や、業務への影響範囲を考慮した偽陽性の検証が必要です。 本セッションではWAF導入作業時のポイントや導入後の効果、運用時のポイントを導入事例をもとにご紹介します。 【講演者】 株式会社日立ソリューションズ・クリエイト デジタルトランスフォーメーション第一事業部 セキュリティビジネス本部 セキュリティソリューション部 第1グループ 技師 遠藤 充氏

15:50~16:00 Q&A、アンケート

主催

TD SYNNEX株式会社(プライバシー・ポリシー

共催

株式会社日立ソリューションズ・クリエイト(プライバシー・ポリシー

協賛

バラクーダネットワークスジャパン株式会社(プライバシー・ポリシー

協力

株式会社オープンソース活用研究所(プライバシー・ポリシー) マジセミ株式会社(プライバシー・ポリシー

セミナー詳細を見る

いまさら聞けない、脆弱性管理入門

3.9 マジセミ株式会社

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認下さい。

脆弱性とは

「脆弱性」とは、システムやネットワークに存在する欠陥や弱点のことを指します。 これらは悪意のある者に悪用され、情報漏洩、データ改ざん、サービス運用停止といったセキュリティインシデントを引き起こす可能性があります。 脆弱性はソフトウェアのバグや設定の不備など、様々な要因により生じます。

脆弱性の脅威

脆弱性の存在は企業にとって深刻な危険性をはらんでいます。 これらは悪意のある攻撃者によって悪用され、不正アクセスやデータ漏洩といったセキュリティインシデントを引き起こします。

例えば以下のような事件がありました。

WannaCryランサムウェア攻撃

2017年に全世界で発生した大規模なランサムウェア攻撃です。MicrosoftのWindowsオペレーティングシステムのSMBプロトコルに存在する脆弱性を悪用し、コンピューターのデータを暗号化して身代金を要求する攻撃が行われました。

ハートブリード(Heartbleed)

2014年に発覚したOpenSSLの脆弱性です。安全な通信を保証するためのプロトコルに存在する脆弱性を悪用し、通常は保護されるべき情報を取得することができました。多くのウェブサイトとサーバーが影響を受けました。

ランサムウェア攻撃の起点にされる、VPN機器の脆弱性

その他、最近のランサムウェアの被害は、VPN機器の脆弱性が攻撃の起点になっています。 さらに、「SQLインジェクション」などのアプリケーションの脆弱性を悪用され、情報漏洩するケースも多くあります。

いまさら聞けない脆弱性管理入門

本セミナーではまず、「いまさら聞けない脆弱性管理入門」として、以下の内容について入門解説します。

脆弱性とは?

脆弱性の脅威

どこに脆弱性が潜んでいるのか?

対策の基本

その上で具体的な事例やソリューションを解説

また、それを踏まえた上で、IT企業から具体的な事例やソリューションを紹介、解説致します。

プログラム

14:45~15:00 受付

15:00~15:05 オープニング(マジセミ)

15:05~15:30 いまさら聞けない、脆弱性管理入門

近年、情報システム・セキュリティ関連で最も聞かれた言葉のひとつに「脆弱性(ぜいじゃくせい)」があります。 オープンソースのバージョンがどうだとか、サイバー攻撃の対象になるだとか、ベンダーのパッチをあてろだとか、ものものしい文脈で語られるこの言葉。 案外、対策・対応とセットでクリアに整理し、理解することに追いついていないのではないでしょうか。一口に対応するといっても、いつもいつも「ベンダーパッチのアップデート」だけなのでしょうか。 本講演は、米国大統領令で示された「SBOM」など、この「脆弱性」対応にまつわる情勢に注意を向けつつ、実際の取り組みに役立つ視点と実践に移すことのできるプラクティスを紹介します。

アスタリスク・リサーチ エグゼクティブリサーチャ 岡田良太郎

日本のソフトウェア開発とセキュリティの分野で20年以上の経験を持つリサーチャーであり、アスタリスク・リサーチの代表を務めている。エグゼクティブアドバイザー、セキュリティプラクティショナーとして、企業の生産技術、品質保証、C/PSIRTなどのセキュリティプログラムの実装に従事。消費者向けサービス、ヘルスケアサービス、ソフトウェア開発会社、金融サービス、自動車製造会社、教育機関、政府機関といった多岐にわたる分野で活躍。 OWASPのメンバーであり、OWASP Japanチャプターリーダーの一人。また、OWASP Top 10、SAMM、ASVSなどのプロジェクトの執筆にも貢献。「CISOハンドブック」(技術評論社)の執筆陣にも名を連ねている。CISA、MBA、CSM(Scrum Master) の資格を保有。

15:30~16:00 OSS の脆弱性情報の取得とその管理手法について

ソフトウェアの開発において OSS の利用が非常に多くなっていますが、それに伴って OSS に含まれるさまざまな脆弱性への対応が大きな課題となっています。 この講演では、脆弱性情報に対して理解を含め、脆弱性情報の取得、およびその管理の手法について包括的に説明します。

株式会社グレープシステム 鈴木 勲

16:00~16:30 脆弱性を管理する手法について

近年、脆弱性の悪用が原因によって発生するサイバー攻撃が増加しています。 本セッションでは、サイバー攻撃が行われる背景とともに、脆弱性管理とは具体的に何をする必要があるのかどのように脆弱性を評価する手法があるのかを解説します。

サイバートラスト株式会社 製品担当マネージャ 富田佑実

16:30~17:00 日本の組織が直面する脆弱性管理の課題とその解決策

日本のかなりの組織が、年一回の脆弱性診断でリスクを判定しています。サイバー攻撃は日々起こっており、そのリスク判定は高頻度である必要があります。本公演では、テナブルの実績あるソリューションの概要をご紹介します。

テナブルネットワークセキュリティジャパン株式会社 セキュリティエンジニア 岩下香織

17:00~17:15 質疑応答、クロージング

主催

マジセミ株式会社(プライバシー・ポリシー

協賛

株式会社グレープシステム(プライバシー・ポリシー) サイバートラスト株式会社(プライバシー・ポリシー) テナブルネットワークセキュリティジャパン株式会社(プライバシー・ポリシー

協力

株式会社アスタリスク・リサーチ(プライバシー・ポリシー) 株式会社オープンソース活用研究所(プライバシー・ポリシー) マジセミ株式会社(プライバシー・ポリシー

資料を見る

オンプレ・クラウドのウェブアプリケーション セキュリティを一元管理 ~次世代のクラウドWAF...

3.8 東京エレクトロンデバイス株式会社

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認下さい。

APIなどを用いた様々なサービスの組み合わせにより、分散化するアプリケーション

現代のビジネス環境では、組織間の競争力を維持し拡大するために、APIを用いた各種サービスの組み合わせと分散化が進んでいます。 これにより、企業は顧客へのサービス提供やオペレーションの効率化を追求し、業務の拡大や新しいビジネスモデルの探求を可能にしています。

環境別にセキュリティポリシーの適用が必要となり、管理が複雑化

しかし、分散化されたアプリケーション環境には、セキュリティリスクがあります。 環境ごとにセキュリティポリシーを適用する必要があるため、それが管理の複雑化を招いてしまい、設定ミスなどを引き起こし、脆弱性を生んでしまうのです。

従量課金のクラウドWAFではコストを読みづらい

アプリケーションのセキュリティ対策として、昨今ではクラウドベースのWAFを導入・検討する企業も多く見られます。 しかし、多くのクラウドWAFは従量課金制を採用しているため、コストの可視化と予測が難しいという問題があります。 通信量に応じてコストが発生するため、予期せぬトラフィック増加や攻撃の発生により、突如としてコストが増加するリスクを抱えています。 その結果、企業はIT予算の管理や投資計画を立てることが難しくなり、その不確定性が経営を圧迫する可能性があります。

統一したセキュリティポリシーの適用とWAF, DDoS, Bot対策, API保護を予測可能なコストで実現

上述の課題を解決するため、本セミナーでは次世代のWebセキュリティ概念である「WAAP(Web Application and API Protection)」を活用したセキュリティポリシーの一元管理について詳しく解説します。 F5社が提供する「Distributed Cloud Services WAAP」は、オンプレミスからクラウドまでの環境に跨る統一されたセキュリティポリシーの適用を可能にし、その運用管理を一元化します。 また、WAF, DDoS, Bot対策, API保護などの機能を提供し、固定の料金制で実現します。 これにより、セキュリティの複雑化とコストの問題を同時に解決します。 企業のネットワーク・セキュリティー・クラウド担当の方や、アプリケーションの脆弱性対策にお困りの方はぜひご参加ください。

プログラム

12:45~13:00 受付

13:00~13:05 オープニング(マジセミ)

13:05~13:45 オンプレ・クラウドのウェブアプリケーション セキュリティを一元管理~次世代のクラウドWAF 「WAAP」ソリューションを予測可能なコストで提供~

13:45~14:00 質疑応答

主催

東京エレクトロンデバイス株式会社(プライバシー・ポリシー

協力

株式会社オープンソース活用研究所(プライバシー・ポリシー) マジセミ株式会社(プライバシー・ポリシー

資料を見る

クラウドサービスのセキュリティリスク、定期モニタリングまで手が回っていますか? 〜導入時のみ...

4.0 株式会社アシュアード

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認下さい。

多くのご要望をいただきましたので、再放送の開催が決まりました!

下記日程にて同じ内容のセミナーを開催いたします。ご都合の良い日程にお申込みください。

・2023年 8月 30日(水)12:00~13:00 【再放送】 https://majisemi.com/e/c/assured-20230830/M1A

増え続けるクラウドサービスの導入

近年、クラウドサービス・SaaSは企業のビジネス活動を支える重要なインフラとなっています。 利用数の増加に伴い、その評価や管理の重要性も高まっています。

新規導入時だけでは足りない、定期的なモニタリングが必要

クラウドサービスの導入時にセキュリティリスクを評価することはもちろん重要である一方、その後の定期的なモニタリングも欠かすことはできません。 クラウドサービスは日々アップデートしており、その度にセキュリティリスクも変動するためです。 また、新たな法令やガイドラインで定められるルールに則った対策が必要になることもあります。 (実際、新規導入時はセキュリティ上問題ないと判断したものの、その後の評価で導入時よりセキュリティリスクが高まっていたサービスが約3割あったという調査結果もあります)

クラウドサービスの導入数が増えるほど、定期チェックの負担も雪だるま式に増えていく

定期的なモニタリングが必要であることはわかっているものの、そこまで手が回っていない企業も多く見られます。 特にクラウドサービスの導入数が多い大企業では、チェックを担当する情報システム部門やセキュリティ部門の負担は大きなものとなり、新たにサービスが導入されるたびにその負担は雪だるま式に増大していきます。 チェック漏れがあればセキュリティリスクを高めることにつながってしまうため、品質と効率の両立が求められているのです。

どんなに導入数が増えても、リスク審査・定期チェックをスピーディかつ網羅的に行う方法

本セミナーでは、クラウドサービスやSaaSのリスク審査・定期チェックをスピーディに行う方法を解説します。 経済産業省「情報セキュリティサービス基準」適合の認定を受けているクラウドリスク評価サービス「Assured(アシュアード)」についてご紹介する予定です。 クラウドサービス導入時や定期棚卸時のリスク評価に手間がかかっているとお悩みの情報システム部、セキュリティ部門、DX推進/企画部門の方はぜひご参加ください。

プログラム

10:45~11:00 受付

11:00~11:05 オープニング(マジセミ)

11:05~11:45 クラウドサービスのセキュリティリスク、定期モニタリングまで手が回っていますか?〜導入時のみでは不十分な理由と、増え続けるチェック負担の解決策〜

11:45~12:00 質疑応答

主催

株式会社アシュアード(プライバシー・ポリシー

協力

株式会社オープンソース活用研究所(プライバシー・ポリシー) マジセミ株式会社(プライバシー・ポリシー

セミナー詳細を見る