プロダクト/サービスのセキュリティにおいて、実施すべき or 導入すべき対策/製品をDevOpsのフローに組み込んだDevSecOpsはこんな感じかなーという図 前提は、フルクラウド、CI/CD構築済み、IaC化済みであること。 #経営とセキュリティ pic.twitter.com/n2XTy4PJnj

最後に、 📢レピュテーションリスク サブドメインテイクオーバーによる偽サイト設置のリスク、攻撃ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/MtHkimM13K

🛑可用性：業務停止 利用サービス/基盤の障害のリスク、攻撃ルートと対策はこれ。 これも完全性リスクの "利用サービス/基盤の障害による情報喪失" と原因は同じだけど、焦点を当てているリスクが違うので、対策も少し異なってます。 #経営とセキュリティ pic.twitter.com/Y1z72F98jo

🛑可用性：業務停止 内部不正／過失による設定変更・データ消去のリスク、攻撃ルートと対策はこれ。 完全性リスクの "内部不正/過失による改ざん・データ消去" と対策等はほぼ同じ。 #経営とセキュリティ pic.twitter.com/CvUAYLJcL6

🛑可用性：業務停止 ドメインハイジャックのリスク、攻撃ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/mqLQsTjAFW

🛑可用性：業務停止 DDoS/DoS攻撃のリスク、攻撃ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/rKfmt7wsxU

📝完全性：改ざん・暗号化 利用サービス/基盤の障害による情報喪失のリスク、攻撃ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/KflIvJVN72

📝完全性：改ざん・暗号化 内部不正/過失による改ざん・データ消去のリスク、攻撃ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/164tpYhXER

📝完全性：改ざん・暗号化 侵入されてのランサムウェアによるデータ暗号化のリスク、攻撃ルートと対策はこれ。 予防的対策の大部分は、機密性の同様のリスクと同じなので省略。 #経営とセキュリティ pic.twitter.com/L0MOPEDCUP

📜機密性：情報漏洩 内部不正による情報窃取のリスク、漏洩ルートと対策はこれ。 （こちらもまた表現するにあたり、コーポレートの構成図にちょっと戻ります） #経営とセキュリティ pic.twitter.com/2guRkYw1cH

📜機密性：情報漏洩 フィッシングによる認証情報の漏洩のリスク、漏洩ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/b2elAcfzNi

📜機密性：情報漏洩 クラウド設定不備による意図せぬ情報公開のリスク、漏洩ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/JYJtaNrPea

📜機密性：情報漏洩 クラウド基盤や連携SaaS自体の情報漏洩のリスク、漏洩ルートと対策はこれ。 （サービスの構成図ではうまく表現できないので、コーポレート側の構成図にちょっと戻ります） #経営とセキュリティ pic.twitter.com/U5eorTq5ui

📜機密性：情報漏洩 アプリケーションへの不正ログインによる情報漏洩のリスク、漏洩ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/DmijxRg1AA

📜機密性：情報漏洩 アプリ／ミドルウェアの脆弱性を突いた侵入からの外部送信のリスク、漏洩ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/fMUCPUUau7

コーポレートのセキュリティリスクと対策は書いたので、次はプロダクトについて書いていく。 ベースとなるサービス・アーキテクチャはこんな感じを想定。 #経営とセキュリティ pic.twitter.com/GAx0lbXzzS

コーポレートのセキュリティにおいて、実施すべき or 導入すべき対策/製品をNISTの CSFのカテゴリに無理して割り当てると、こんな感じかなーという図 #経営とセキュリティ pic.twitter.com/0OEYFoDFJi

コーポレートの最後に、🧑‍⚖️法令違反のリスクについて ・ソフトウェア／AI利用ライセンス違反 ・事業関連法令（個人情報保護法 等） の主に２つのリスクがあります。（情報セキュリティ以外の法令リスクもあると思いますが） それぞれ違反にならないよう運用体制を作るのが大事。 #経営とセキュリティ pic.twitter.com/uhQgx7Mwmz

🛑可用性：業務停止 利用サービス／基盤の障害のリスク、攻撃(?)ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/8oLuVDqxm3

🛑可用性：業務停止 災害のリスク、攻撃(?)ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/hV75ecMIfg

🛑可用性：業務停止 オフィスネットワーク機器の故障のリスク、攻撃(?)ルートと対策はこれ。 ここで言っている監視カメラは、NW機器のステータスランプが見えるようにカメラを設置するって意味です。 NW機器が壊れたらカメラと通信できないけど、故障前の警告ランプは見える。 #経営とセキュリティ pic.twitter.com/3LJ2AVsHpE

📝完全性：改ざん・暗号化 利用サービス/基盤の障害による情報喪失のリスク、攻撃ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/SMaawMQLYG

📝完全性：改ざん・暗号化 内部不正による書類捏造／改ざんのリスク、攻撃ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/rxpMkEtjPY

続き、はじめます。 📝完全性：改ざん・暗号化 ランサムウェアによる暗号化のリスク、攻撃ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/qBLvmJtZqU

📜機密性：情報漏洩 紛失端末からの不正アクセスによる情報漏洩のリスク、漏洩ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/MHuvFDjHJo

📜機密性：情報漏洩 オフィスネットワーク侵入による情報持ち出しのリスク、漏洩ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/P9arEOdR30

📜機密性：情報漏洩 オフィス侵入による物理的情報持ち出しのリスク、漏洩ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/VT7hkhsy20

📜機密性：情報漏洩 委託先/SaaSからの情報漏洩のリスク、漏洩ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/zdT0WN0Nv2

📜機密性：情報漏洩 マルウェア感染／外部からの侵入による情報漏洩のリスク、漏洩ルートと対策はこれ。 #経営とセキュリティ pic.twitter.com/lQAuJyhf09

📜機密性：情報漏洩 内部不正／誤操作による情報漏洩のリスク、漏洩ルートと対策はこんな感じ。 #経営とセキュリティ pic.twitter.com/VGEtSIoYlT

今回から個別対策の話をしていこうと思う。 …の前に、まず前提となるコーポレートのアーキテクチャはこんな感じを想定。 #経営とセキュリティ pic.twitter.com/ZnvSFF1K4M

事業会社におけるセキュリティでやるべきことって、こういう感じだと思っている。 #経営とセキュリティ pic.twitter.com/pDgfxpHsGn

#経営とセキュリティ というタグでの投稿内容は、 ✅事業会社におけるセキュリティマップ として個人的に整理したものをトピックごとにアウトプットしてます。 （需要の有無に関わらず、他人に説明するための再整理の意味も込めて） マップ全体はこんな感じ（個社名の掲載はありません） pic.twitter.com/SoWBonVdkt