SlideShare uma empresa Scribd logo
1 de 37
2011/9/16  Web サイトを脆弱性攻撃から守る 情報漏えいとブランド失墜、それらのリスク要因を最小化するための一手 フルマネージド・ホスティング事業者の セキュリティに対する取り組み 株式会社スカイアーチネットワークス 営業本部 マネージャー 松田昭穂
アジェンダ ,[object Object],[object Object],[object Object],[object Object],[object Object]
自己紹介
会社概要 社名 所在地 設立 代表 社員数 資格 株式会社スカイアーチネットワークス (英文社名: Skyarch Networks Inc. ) 港区南麻布4-11-21ラウンドクロス南麻布4F 2001年7月12日 代表取締役社長 江戸達博 56名 ISO/IEC 20000 ISO/IEC 27001 プライバシーマーク マイクロソフト認定パートナー NIFTY Cloud  アライアンスパートナー
運用実績 株式会社講談社  株式会社博報堂 株式会社スクウェア・エニックス 株式会社トーセ ECサイト、ゲーム、待ち受け画像、占い、メール配信システム、着メロ、着うた、デコメール、キャンペーンサイト、予約システム ECサイト、キャンペーンサイト、動画配信サイト、メール配信システム、ブログ、SNS、コーポレートサイト、グループウェア、オンラインゲーム、情報ポータルサイト、予約システム 【モバイルサイト】 【PCサイト】
サービス内容 クラウド マネージドサービス ( 人的リソース) レンタルサーバー (ホスティング) データセンター ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],サーバー 構築・運用
サポート範囲 事業者 スカイアーチ お客様 お客様 お客様 オンプレミス (社内設置サーバー) 専用サーバー  /  クラウド( IaaS ) マネージド・ホスティング コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス
レイヤー毎のセキュリティ対応
ウェブサイトにかかわる登場人物 インフラ エンジニア コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス プログラマー ウェブ デザイナー
情報セキュリティの取り組み ISO/Pマーク 技術的 セキュリティ 人的 セキュリティ 物理的 セキュリティ コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス
脆弱性診断ツールの位置づけ McAfee SECURE 技術的 セキュリティ 人的 セキュリティ 物理的 セキュリティ コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス
セルフチェック プログラマー ウェブ デザイナー インフラ エンジニア コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス 作業 確認 作業 確認 作業 確認
第三者チェック プログラマー ウェブ デザイナー インフラ エンジニア McAfee SECURE 確認 作業 作業 作業 コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス
チェック機能 チェック① 人 チェック② システム 質と量 コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス 制作会社 プログラマー ウェブ デザイナー インフラ エンジニア スカイアーチ McAfee SECURE マカフィー
これまで 攻撃による サーバーダウン 被害・損害 障害対応 アラート
セルフチェック(インフラ) ,[object Object],ログで、アクセス元のIPアドレスを確認 不正アクセス ファイアウォールで、特定IPを規制 ポートの直接アクセス? 海外?同一IP/同一ネットワーク? Dos攻撃
セルフチェック(サーバー) ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
チェック機能の活用 安定稼動 セキュリティ 対応 アラート
脆弱性と対応事例
脆弱性と対応の事例 SQLインジェクション タグ・コマンドの無効化 XSS (クロス・サイト・スクリプティング) ディレクトリ・トラバーサル パスを記述しない Path検知 対応 脆弱性
クロス・サイト・スクリプティング ,[object Object],[object Object],[object Object],<script> … </script>
SQLインジェクション ,[object Object],[object Object],[object Object]
脆弱性への対応 安定稼動 セキュリティ 対応 アラート
ちょっとした悩み ,[object Object],[object Object],安全なウェブサイト? 対応が場当たり的 問題が繰り返される
プロアクティブ(先手)な セキュリティ対策
プロアクティブ(先手)な対策 セキュリティ 対策 正常
プロアクティブ(先手)な対策 ,[object Object],[object Object],[object Object],ウェブサイトの安全性を底上げ 経験済みの対応 スケジュールの可視化
安心の構成と継続運用 ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],○ 社内 個人 情報 ○ × インターネット
継続運用(例:情報の管理) ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
セキュリティ情報の活用 セキュリティ 対策 正常
対応 だけでなく 対策 セキュリティ 対策 正常 セキュリティ 対応 アラート
まとめ
サイトの安全性を保つポイント ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
サービス紹介
スカイアーチなら IPS WAF コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス 制作会社 プログラマー ウェブ デザイナー McAfee SECURE マカフィー インフラ エンジニア スカイアーチ
無料Web診断 McAfee Secure   無償診断  +  SEO  対策
ご清聴 ありがとうございました

Mais conteúdo relacionado

Mais procurados

CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼうCMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
Hiroshi Tokumaru
 
防御から謝罪まで・・・WordPressにヤマを張るっ!
防御から謝罪まで・・・WordPressにヤマを張るっ!防御から謝罪まで・・・WordPressにヤマを張るっ!
防御から謝罪まで・・・WordPressにヤマを張るっ!
yoshinori matsumoto
 
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの心配事を吹き飛ばせ! WordCamp Kansai 2016WordPressセキュリティの心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
yoshinori matsumoto
 
Word press セキュリティ show!!
Word press セキュリティ show!!Word press セキュリティ show!!
Word press セキュリティ show!!
yoshinori matsumoto
 

Mais procurados (20)

CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼうCMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
 
防御から謝罪まで・・・WordPressにヤマを張るっ!
防御から謝罪まで・・・WordPressにヤマを張るっ!防御から謝罪まで・・・WordPressにヤマを張るっ!
防御から謝罪まで・・・WordPressにヤマを張るっ!
 
WAFって言いたいだけちゃうんか
WAFって言いたいだけちゃうんかWAFって言いたいだけちゃうんか
WAFって言いたいだけちゃうんか
 
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
 
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの心配事を吹き飛ばせ! WordCamp Kansai 2016WordPressセキュリティの心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
 
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
 
re:Inventの振り返りで学ぶAWSを利用したデータ活用戦略と、サバカン屋の新作缶づめ戦略
re:Inventの振り返りで学ぶAWSを利用したデータ活用戦略と、サバカン屋の新作缶づめ戦略re:Inventの振り返りで学ぶAWSを利用したデータ活用戦略と、サバカン屋の新作缶づめ戦略
re:Inventの振り返りで学ぶAWSを利用したデータ活用戦略と、サバカン屋の新作缶づめ戦略
 
エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩
 
最強のセキュリティでIoTを実装する方法
最強のセキュリティでIoTを実装する方法最強のセキュリティでIoTを実装する方法
最強のセキュリティでIoTを実装する方法
 
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccampこれからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
 
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
 
他人事ではないWebセキュリティ
他人事ではないWebセキュリティ他人事ではないWebセキュリティ
他人事ではないWebセキュリティ
 
Word press セキュリティ show!!
Word press セキュリティ show!!Word press セキュリティ show!!
Word press セキュリティ show!!
 
クラウドはセキュリティ的に危ないのか
クラウドはセキュリティ的に危ないのかクラウドはセキュリティ的に危ないのか
クラウドはセキュリティ的に危ないのか
 
バラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューションバラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューション
 
RubyでDSL
RubyでDSLRubyでDSL
RubyでDSL
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenter
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
 

Semelhante a 【スカイアーチ】Webサイトを脆弱性攻撃から守る

MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
kumo2010
 

Semelhante a 【スカイアーチ】Webサイトを脆弱性攻撃から守る (20)

アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
 
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
 
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
 
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチクラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
 
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
 
[Japan Tech summit 2017] SEC 011
[Japan Tech summit 2017] SEC 011[Japan Tech summit 2017] SEC 011
[Japan Tech summit 2017] SEC 011
 
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
 
[Japan Tech summit 2017] CLD 023
[Japan Tech summit 2017]  CLD 023[Japan Tech summit 2017]  CLD 023
[Japan Tech summit 2017] CLD 023
 
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
 
Iss seminar 2010709#1-upload
Iss seminar 2010709#1-uploadIss seminar 2010709#1-upload
Iss seminar 2010709#1-upload
 
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
 
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
 
脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka
 
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
 
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers
 
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
 
2011年12月 アタックス共同セミナー「先行投資を最小化するクラウドの最新事情」
2011年12月 アタックス共同セミナー「先行投資を最小化するクラウドの最新事情」2011年12月 アタックス共同セミナー「先行投資を最小化するクラウドの最新事情」
2011年12月 アタックス共同セミナー「先行投資を最小化するクラウドの最新事情」
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
 

Último

2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
ssuserbefd24
 
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
atsushi061452
 

Último (12)

クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
 
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers
 
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
 
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
 
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
 
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
 
Intranet Development v1.0 (TSG LIVE! 12 LT )
Intranet Development v1.0 (TSG LIVE! 12 LT )Intranet Development v1.0 (TSG LIVE! 12 LT )
Intranet Development v1.0 (TSG LIVE! 12 LT )
 
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation
 
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
 
情報を表現するときのポイント
情報を表現するときのポイント情報を表現するときのポイント
情報を表現するときのポイント
 
20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdf20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdf
 
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
 

【スカイアーチ】Webサイトを脆弱性攻撃から守る