SlideShare uma empresa Scribd logo

【SSS】提案書サンプル

S
sss-share

ソフィア総合研究所株式会社 セキュア・ソリューション部 http://www.sps.jp.net ◆ サンプルのストーリー Gumblar攻撃の被害にあってしまった、A社様。 コーポレートサイトが改ざんされ、お客様を「悪意のあるURL」にアクセスさせてしまいました。情報システム部門は再発防止のため、徹底した改ざん対策を模索しています。 ◆ ブログ記事 SE業務 – ソリューションの提案 http://www.sps.jp.net/ssslog/proposal-20130709/

Tecnologia
1 de 15
Baixar para ler offline
CONFIDENTIAL ~知的創造で想像を実現する~ 2013年7月16日(火) Sophia Research Institute,Ltd. Confidential 貴社Webサイト改ざん対策のご提案 A社樣 Sample
CONFIDENTIAL Sophia Research Institute,Ltd. Confidential 1 Page 1.対応履歴と課題 2 1-1. 対応履歴 3 1-2. 課題の抽出 4 2.改ざん対策案 5 2-1. Webサーバにおける改ざん対策案 6 2-2. WAFによる改ざん対策(入口対策・出口対策) 7 2-3. 改ざん検知 gred セキュリティサービス 8 2-4. Sophia Protective Shield(SPS) + gred のご提案 9 3.お客様のメリット 10 3-1. 防御開始までの時間的なメリット 11 3-2. コストのメリット 12 3-3. 付加価値 : SPSのアドバンテージ「DDoS攻撃防御」 13 会社情報 14 改訂履歴 改訂日 改訂者 内容 2013/7/9 香取 初版作成 ~ ブログで公開 2013/7/10 香取 P.6 NoMetaプラグインの記述を追加 目次
CONFIDENTIAL Sophia Research Institute,Ltd. Confidential 2 1.対応履歴と課題 Gumblar攻撃による改ざん被害の発生から対策 完了までの履歴を元に、課題を抽出します。
CONFIDENTIAL 1-1. 対応履歴 Sophia Research Institute,Ltd. Confidential 3 【ご注意】これはサンプルです。内容は架空のものです。 2013年5月 13日 10:30 Webサイトを訪れたお客様からの指摘により、改ざんが発覚。 トップページにアクセスすると、ウイルス対策ソフトの「悪意のあるURLに関するアラート」が表示される。 Web制作会社に連絡。担当が不在 13:00 情シス(担当 ○○樣)による調査開始。悪意のあるURLに関するアラートを確認 Gumblar攻撃と思われるため、まず WebサーバのFTPサービスを停止 Webサイトおよび、データベース、ログをバックアップ(保全) 14:00 [Web制作会社] Webサイトをメンテナンスページに差し替え その他のページ、データベースの内容を、公開サーバから全て削除 隔離したテスト機にバックアップでWebサイトを再現。全ページに手動で悪意のあるURLのアラート確認作業開始 16:30 FTPのログから、不正利用されたアカウントと改ざん日時を特定(担当 □□樣) 普段はFTPを使わず、WordPressの管理ページから更新をしている。 ログには5月12日 02:00 辺りから3回のFTPアクセスが記録されていた。 (その前は2013年2月のリニューアル時) 情シス(担当 ○○樣)から、該当のFTPアカウントを知っている関係者(社内,Web制作会社)に、 Gumblar攻撃へのクライアント側の対応を指示 ⇒ OS,アプリケーションののアップデート / ウイルスチェックと駆除 / FTPクライアントのアンインストール 22:00 全ての関係者から、クライアント側の対応完了の連絡 テスト機でのアラート確認作業を終了 14日 13:30 「弊社ウェブページ改ざんに関するお知らせ」の文面作成完了 2013年5月10日時点のバックアップで、テスト機にWebサイトを再現。チェック開始。 20:30 テスト機でのチェック終了。5月10日時点のバックアップには、悪意のあるURLに関するアラートなし。 15日 09:00 公開Webサーバの復旧開始。5月10日時点のバックアップの書き戻し。 16:00 バックアップの書き戻しと、公開サーバ上でのテストの完了 「弊社ウェブページ改ざんに関するお知らせ」 ページを追加して、公開。 営業担当(☆☆樣)から、関係各所に復旧のお知らせと、お詫びのメール/電話連絡(19:00 全て終了)
CONFIDENTIAL 1-2. 課題の抽出 Sophia Research Institute,Ltd. Confidential 4 分類 事実 課題 課題の分類 事前 Gumblar 攻撃により、Webページを改ざんさ れた。 改ざんの防止 Webサーバ関連 お客様の指摘があるまで、改ざんに気付か なかった。 改ざんの検知 • 検知した際、管理者にアラートメールを送信 Webサーバ関連 管理PCのウイルス感染により、FTPパスワー ドが漏えいした。 管理PCの情報漏えい対策 • 管理PCからの情報漏えい防止のためのルールを策定 ルール / マニュアル FTPアカウントは共通のものを利用していた。 どの管理者PCが原因となったか不明 Webサイト管理者のアカウント管理ルールを策定 ルール / マニュアル 対策時 改ざんからメンテナンスページに切り替える までの約12時間、Webサイトは悪意のある URLへの導線になっていた。 改ざん発生時 / 検知時 • 悪意のあるURLに、お客様をアクセスさせない仕組みが必要 Webサーバ関連 どのページが、いつ、どの様に改ざんされた のか、確認が困難 改ざん検知時 • 改ざん内容の詳細レポートが必要 Webサーバ関連 バックアップが無かったら、Webサイトを復 旧できなかった。 • バックアップルールの策定 • 書き戻しのマニュアル化 ルール / マニュアル 改ざん発覚から復旧まで、3日かかっている。 対応の迅速化 • マニュアル化 ルール / マニュアル 事後 FTPサービスを止めたが、Webサイト自体は 改ざん前(5月10日時点)の状態 最終的な課題(目的) 課題を全て解決する「改ざん対策の計画」を立て、実施 次頁以降に述べる項目 事前(改ざん前)・対策時の事実(前頁の対応履歴)から、課題を抽出します。
CONFIDENTIAL Sophia Research Institute,Ltd. Confidential 5 2.改ざん対策案 抽出した課題から、改ざん対策案を組み立てます。 Gumblar攻撃への対策は多岐に渡りますが、本書 では「Webサーバにおける対策」に焦点を当ててい ます。
CONFIDENTIAL 2-1. Webサーバにおける改ざん対策案 Sophia Research Institute,Ltd. Confidential 6 Webサーバ OS / ミドルウェア アップデート 運用も確立 運用 FTPを廃止 FTPを使用しない運用を確立 安全性の高い接続方式への変更 SCP/SFTP/FTPS 管理者接続のポート変更 SCP(SSH)/SFTP/FTP など 外部から接続する管理ツールは、デフォルトのポートで使用しない ネットワーク 不正侵入防止 Firewall設定 SCP(SSH)/SFTP/FTP などの接続元IPアドレス制限 IPSを導入 プラットフォームの脆弱性を突く侵入の予防(※1) IPSのシグネチャを最新にする WAFを導入 アプリケーションの脆弱性を突く侵入/改ざんの予防 (※2)WAFのシグネチャを最新にする WAFのアウトバウンド検査を有効にする 改ざんされてしまった時の対策 Webサイト CMS(WordPress) 管理ページヘアクセス制限 Httpd の設定 ~/wp-adomin ディレクトリへのIPアドレスよるアクセス制限 総当たり攻撃(Brute force attack)対策 管理ページをHTTPSのみに変更 AdminSSL プラグインの導入 admin ユーザー変更 adminは危険なので使わない プレフィックスの変更 テーブルのプレフィックスを変更(SQL Injection対策) アカウントのロックアウト設定 Simple Login Lockdown プラグインの導入 総当たり攻撃(Brute force attack)対策 WordPressのバージョン隠蔽 NoMeta プラグインの導入 例) <meta name=“generator” content=“WordPress 3.5.1” /> を非表示 アップデート 運用も確立 プラグインのアップデート 脆弱性診断 アプリケーション/プラットフォームの 脆弱性診断を実施 不正侵入/改ざんされてしまう危険を事前に把握 (対策後にも脆弱性診断を) 改ざん検知 Webページの改ざんを検知する 改ざんされてしまった時の対策 外部からの改ざん検知 ※1 【例】 CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823)をブロック ※2 【例】 SQL Injection による Wordpress データベースの書き換え(ページ改ざん)をブロック 本書の範囲 LAMP + WordPress で運営されている貴社Webサイトの改ざん対策は多岐に渡ります。 代表的な対策をリストアップしましたので、改ざん対策の計画を作成する際の参考として下さい。 本書では Sophia Protective Shield(SPS)+gred による、入口対策・出口対策・改ざん検知を提案いたします。
CONFIDENTIAL UPDATE abcde_posts SET post_connect = ‘こんにちは。SEです。<iframe src=“悪意のあるURL”></iframe> …’ WHERE ID = xx; SQL Injection 2-2. WAFによる改ざん対策(入口対策・出口対策) Sophia Research Institute,Ltd. Confidential 7 WordPressは投稿を、データベースに保存しています。 SQL Injection により投稿内容を書き換える事で、Webページを改ざんすることが出来ます。 SELECT * FROM abcde_posts WHERE ID=xx; DB ID: xx post_author: xx post_date: 2013-01-01 00:00:00 post_date_gmt: 2013-01-01 23:59:59 post_content: こんにちは。SEです。 これはサンプル投稿です。 … こんにちは。SEです。 これはサンプル投稿です。 … Response Request Query Result DB こんにちは。SEです。 これはサンプル投稿です。 … Request Query Result SQL Injection により改ざんされた「悪意のあるURLを 含む投稿」を返してしまう。 SELECT * FROM abcde_posts WHERE ID=xx; Drive-by download attack Response 正常時 SQL Injection による改ざん後 もちろん、WordPressもコードレベルで対策されていますが「バグや対策漏れによる脆弱性」が存在する可能性は否めません。 WAFを利用し、SQL Injection 対策(入口対策)を行うことをおすすめします。 そして、SQL Injection以外の方法で投稿を改ざんされてしまった際の対策も必要です。WAFのアウトバウンド検査で「Gumblar 攻撃特有の振舞い(Behavior)を含むレスポンス」を遮断し、仮に改ざんされても、ユーザーに悪意のあるURLを含むレスポンス をしない様にすること(出口対策)を提案いたします。
CONFIDENTIAL 2-3. 改ざん検知 gred セキュリティサービス Sophia Research Institute,Ltd. Confidential 8 定期的に Webサイトを解析 改ざんを検知 アラート送信 安全な画面に 切り替え レポート提供 【課題】改ざんの検知 • 検知した際、管理者にアラート メールを送信 【課題】改ざん発生時 / 検知時 • 悪意のあるURLに、お客様を アクセスさせない仕組みが必要 【課題】改ざん検知時 • 改ざん内容の詳細レポート が必要 「1-2. 課題の抽出」に述べた、改ざん検知関係の課題を全て解決出来る製品として セキュアブレイン社の gred セキュリティサービスを提案いたします。 1日4回の クローリング クロスドメイン 管理・警告機能 自社ドメイン以外のスクリプトを警告。 ウェブサイト閲覧者を守ります。 改ざんページを 自動で切り替え 改ざんが検知されたら即時にメンテナ ンス画面に切り替え。 gred 証明書 ウェブサイトの安全を証明。 gredによって守られている検証 結果を表示。 Webサイトのコンテンツやリンク先等、複数の要素を解析します。 ドライブバイダウンロード攻撃(Drive-by download attack)の「踏み台としての改ざん」等 従来の対策では検知が難しいウェブサイトの改ざんも検知が可能です。
CONFIDENTIAL 2-4. Sophia Protective Shield(SPS) + gred のご提案 Sophia Research Institute,Ltd. Confidential 9 貴社Webサイトのピーク時トラフィックが5~6Mbps 専用WAFよりも、SPS+gred のパックサービスをお勧めいたします。 初期費 月額 SPS + gred パックサービス 98,000円 98,000円 • WAFによる入口対策・出口対策に対応 • 改ざん検知の課題を解決 • パックサービスはランニングコスト(月額)が、お得! SPS 通常の月額 89,800円 + gred 通常の月額 15,000円 ↓ 104,800円 ※ 表示価格は全て、税抜きです。 月額 98,000円 月々6,800円、お得です。 (クローリング 4回/日) SPS仕様 Internet ピーク時トラフィックの目安 10Mbps以内 FQDN数 2 まで SSL証明書 1 まで 機能概要 ※ 詳しくはSSS Webサイトをご参照下さい。 • WAF (Reverse Proxy mode) • DDoS攻撃防御 【SSS Webサイト】 http://www.sps.jp.net 貴社Webサーバ ご利用イメージ • 改ざんアラート • レポート Sophia Protective Shield クローリング ユーザー Proxied Connection
CONFIDENTIAL Sophia Research Institute,Ltd. Confidential 10 3.お客様のメリット 本章では「SPS + gred パックサービス」ご利用いただいた際の、貴社のメリットを述べます。 1. 防御開始までの時間的なメリット 2. コストのメリット 3. 付加価値 : SPSのアドバンテージ「DDoS攻撃防御」
CONFIDENTIAL 3-1. 防御開始までの時間的なメリット Sophia Research Institute,Ltd. Confidential 11 ヒアリング 設計・構築作業 (オフサイト) ポリシー チューニング 運用開始 (ブロックモード) 約1週間 3~4週間 1日 約1ヶ月 本格的な運用 約2ヶ月間(危険な状態) 他社 WAF + 運用サービス 機器設置・導入 (オンサイト) SPS + gred パックサービスは、お申込みの受付から最短3営業日で利用可能です。 本格的な運用が先延ばしになるということは、それだけ「危険な状態が続く」ということです。 SPS + gred はクラウド型サービスの利点を活かし、短時間でWAF運用を開始することが可能です。 SPS + gred 3~5営業日 デフォルトポリシーで 運用開始 (ブロックモード) 本格的な運用 初期設定 お申込書の ご記入 (お客様作業) ⇒ 受付 デフォルトポリシーとは、SQL Injection / XSS の2種類の攻撃 防御に特化した設定です。 運用開始後にログを取得・解析し、貴社サイトの安全性を高め る「おすすめポリシー」を提案いたします(逐次)。 おすすめポリシー設定による料金の追加はござません。
CONFIDENTIAL 3-2. コストのメリット Sophia Research Institute,Ltd. Confidential 12 初期費 月額 SPS + gred パックサービス 98,000 98,000 他社 WAF + 運用サービス 1,000,000 300,000 他社WAF + 運用サービス • 「最小構成の料金プラン」を選択した場合の価格です。 • WAF機器本体の提供を含みます。 • 別途設置スペースや電源等が必要です。 • 改ざん検知機能はありません。 初期費 月額 (12ヶ月) 計 SPS + gred パックサービス 98,000 1,176,000 1,274,000 他社 WAF + 運用サービス 1,000,000 3,600,000 4,600,000 0 1,000,000 2,000,000 3,000,000 4,000,000 5,000,000 SPS + gred パックサービス 他社 WAF + 運用サービス 1年間利用した場合 1年間利用で 3,326,000円 お得! 初期費 月額 (36ヶ月) 計 SPS + gred パックサービス 98,000 3,528,000 3,626,000 他社 WAF + 運用サービス 1,000,000 10,800,000 11,800,000 3年間利用した場合 0 2,000,000 4,000,000 6,000,000 8,000,000 10,000,000 12,000,000 14,000,000 SPS + gred パックサービス 他社 WAF + 運用サービス 3年間利用で 8,174,000円 お得! SPS+gredパックサービスと、実際にWAFを導入するコストを比較しています。 1年間のご利用で、300万円以上もコストに差がつきます。 ほぼ同等の機能に加え、改ざん検知・DDoS攻撃防御まで付いて非常にお得です。 (円・税抜き)
CONFIDENTIAL 3-3. 付加価値 : SPSのアドバンテージ「DDoS攻撃防御」 Sophia Research Institute,Ltd. Confidential 13 Sophia Protective Shield(SPS) には、WAF機能以外に「DDoS攻撃防御機能」があります。 本格的なDDoS攻撃防御機能を、利用料金(月額)内でご利用いただけます。 WAF 改ざん 検知 DDoS攻撃 防御 SPS + gred パックサービス ○ ○ ○ 他社 WAF + 運用サービス ○ △ △ ○ 機能あり △ 機種 / オプションによる ☓ なし 一 般 的 に WAF 製 品 の DDoS 攻 撃 防 御 機 能 は ス ル ー プ ッ ト が 最 大 1 ~ 2Gbps 程 度 で あ り 、 別途契約のミティゲーションサービス※ との組み合わ せを前提としています。 ※ 大規模なDDoS攻撃を上流でクリーニングするサービス  Secure OS  Multi-core (64) processor + ASIC  10G Anti-DDoS Cleaning Capacity  2*10GE XFP  8 *GE, 12* GE SFP  2U  Power Redundancy (AC/DC), 150W NSFOCUS ADS 6020 SPSのDDoS攻撃防御機能 通信キャリア、ISP、iDC事業者向けの、本格的なDDoS攻撃クリーナーNSFOCUS ADS 6020 を使用 しています。ADS は DDoS攻撃を含む通信を取り込み、「クリーニング」します。 正常な通信のみを透過し、DDoS攻撃を受けている最中でも、サービスの継続が可能です。 NSFOCUS ADS の対応する主な DoS / DDoS 攻撃 TCP - Syn flood - Ack flood - Fins flood - Fragments UDP - random port floods - Fragments Anonymous attacks Connection Exhaustion Stream Flood Malformed HTTP GET/POST Flood ICMP - Unreachable - Echo - fragments HTTP header attacks DNS flood attacks SIP attacks
CONFIDENTIAL 会社情報 Sophia Research Institute,Ltd. Confidential 14 ソフィア総合研究所株式会社 〒160-0022 東京都新宿区新宿六丁目24-20 Welship東新宿2階 TEL:03-6205-5333 (代表) 050-5515-0300 (IP-Phone) FAX:03-6205-5332 http://sri.jp Memo ソフィア総合研究所株式会社 セキュア・ソリューション部 Sophia Secured Solutions(SSS) http://www.sps.jp.net クラウド型セキュリティ・サービスや、安全・安心なクラウド環境、脆弱性診断 サービス等のご案内しております。 また、ブログでは技術者による最新のセキュリティニュースの解説や、攻撃防 御に関するホットな情報を提供しています。ぜひ、ご来訪下さい。

Recomendados

営業組織の進化についての資料 ※全画面にしてご覧ください
営業組織の進化についての資料 ※全画面にしてご覧ください営業組織の進化についての資料 ※全画面にしてご覧ください
営業組織の進化についての資料 ※全画面にしてご覧くださいNori Takahiro
 
信頼性とアジリティを同時に上げろ!モノタロウのカナリアリリース導入.pdf
信頼性とアジリティを同時に上げろ!モノタロウのカナリアリリース導入.pdf信頼性とアジリティを同時に上げろ!モノタロウのカナリアリリース導入.pdf
信頼性とアジリティを同時に上げろ!モノタロウのカナリアリリース導入.pdf株式会社MonotaRO Tech Team
 
オンボーディングにおける新卒・中途の違い freee株式会社 秋山詩乃
オンボーディングにおける新卒・中途の違い freee株式会社 秋山詩乃 オンボーディングにおける新卒・中途の違い freee株式会社 秋山詩乃
オンボーディングにおける新卒・中途の違い freee株式会社 秋山詩乃 ShinoAkiyama
 
Slideshare Japanese
Slideshare JapaneseSlideshare Japanese
Slideshare JapaneseHidenori Goto
 
失敗から学ぶ機械学習応用
失敗から学ぶ機械学習応用失敗から学ぶ機械学習応用
失敗から学ぶ機械学習応用Hiroyuki Masuda
 
逆説のスタートアップ思考
逆説のスタートアップ思考逆説のスタートアップ思考
逆説のスタートアップ思考Takaaki Umada
 
運用してわかったLookerの本質的メリット : Data Engineering Study #8
運用してわかったLookerの本質的メリット : Data Engineering Study #8運用してわかったLookerの本質的メリット : Data Engineering Study #8
運用してわかったLookerの本質的メリット : Data Engineering Study #8Masatoshi Abe
 
ディープラーニングの最新動向
ディープラーニングの最新動向ディープラーニングの最新動向
ディープラーニングの最新動向Preferred Networks
 

Recomendados

営業組織の進化についての資料 ※全画面にしてご覧ください
営業組織の進化についての資料 ※全画面にしてご覧ください営業組織の進化についての資料 ※全画面にしてご覧ください
営業組織の進化についての資料 ※全画面にしてご覧くださいNori Takahiro
 
信頼性とアジリティを同時に上げろ!モノタロウのカナリアリリース導入.pdf
信頼性とアジリティを同時に上げろ!モノタロウのカナリアリリース導入.pdf信頼性とアジリティを同時に上げろ!モノタロウのカナリアリリース導入.pdf
信頼性とアジリティを同時に上げろ!モノタロウのカナリアリリース導入.pdf株式会社MonotaRO Tech Team
 
オンボーディングにおける新卒・中途の違い freee株式会社 秋山詩乃
オンボーディングにおける新卒・中途の違い freee株式会社 秋山詩乃 オンボーディングにおける新卒・中途の違い freee株式会社 秋山詩乃
オンボーディングにおける新卒・中途の違い freee株式会社 秋山詩乃 ShinoAkiyama
 
Slideshare Japanese
Slideshare JapaneseSlideshare Japanese
Slideshare JapaneseHidenori Goto
 
失敗から学ぶ機械学習応用
失敗から学ぶ機械学習応用失敗から学ぶ機械学習応用
失敗から学ぶ機械学習応用Hiroyuki Masuda
 
逆説のスタートアップ思考
逆説のスタートアップ思考逆説のスタートアップ思考
逆説のスタートアップ思考Takaaki Umada
 
運用してわかったLookerの本質的メリット : Data Engineering Study #8
運用してわかったLookerの本質的メリット : Data Engineering Study #8運用してわかったLookerの本質的メリット : Data Engineering Study #8
運用してわかったLookerの本質的メリット : Data Engineering Study #8Masatoshi Abe
 
ディープラーニングの最新動向
ディープラーニングの最新動向ディープラーニングの最新動向
ディープラーニングの最新動向Preferred Networks
 
営業プロセス研修資料
営業プロセス研修資料営業プロセス研修資料
営業プロセス研修資料Kouichi Morita
 
【営業企画】イチから始める営業戦略
【営業企画】イチから始める営業戦略【営業企画】イチから始める営業戦略
【営業企画】イチから始める営業戦略sasy777
 
20210404_SECURITY_MELT
20210404_SECURITY_MELT20210404_SECURITY_MELT
20210404_SECURITY_MELTTyphon 666
 
データ分析グループの組織編制とその課題 マーケティングにおけるKPI設計の失敗例 ABテストの活用と、機械学習の導入 #CWT2016
データ分析グループの組織編制とその課題 マーケティングにおけるKPI設計の失敗例 ABテストの活用と、機械学習の導入 #CWT2016データ分析グループの組織編制とその課題 マーケティングにおけるKPI設計の失敗例 ABテストの活用と、機械学習の導入 #CWT2016
データ分析グループの組織編制とその課題 マーケティングにおけるKPI設計の失敗例 ABテストの活用と、機械学習の導入 #CWT2016Tokoroten Nakayama
 
aumo introduction 202206
aumo introduction 202206aumo introduction 202206
aumo introduction 202206aumo Inc.
 
Share point における id管理と認証・認可
Share point における id管理と認証・認可Share point における id管理と認証・認可
Share point における id管理と認証・認可Naohiro Fujie
 
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座Hiroshi Tokumaru
 
AIを活用し経理業務を「データサイエンス業務」に変革するためのポイントと実務-経理人材が今後目指すべき方向性を提示-
AIを活用し経理業務を「データサイエンス業務」に変革するためのポイントと実務-経理人材が今後目指すべき方向性を提示-AIを活用し経理業務を「データサイエンス業務」に変革するためのポイントと実務-経理人材が今後目指すべき方向性を提示-
AIを活用し経理業務を「データサイエンス業務」に変革するためのポイントと実務-経理人材が今後目指すべき方向性を提示-Kan Hara
 
機械学習をこれから始める人が読んでおきたい 特徴選択の有名論文紹介
機械学習をこれから始める人が読んでおきたい 特徴選択の有名論文紹介機械学習をこれから始める人が読んでおきたい 特徴選択の有名論文紹介
機械学習をこれから始める人が読んでおきたい 特徴選択の有名論文紹介西岡 賢一郎
 
【論文調査】XAI技術の効能を ユーザ実験で評価する研究
【論文調査】XAI技術の効能を ユーザ実験で評価する研究【論文調査】XAI技術の効能を ユーザ実験で評価する研究
【論文調査】XAI技術の効能を ユーザ実験で評価する研究Satoshi Hara
 
“プロフェッショナル原論” で仕事の心構えを見直す
“プロフェッショナル原論” で仕事の心構えを見直す“プロフェッショナル原論” で仕事の心構えを見直す
“プロフェッショナル原論” で仕事の心構えを見直すbijikin
 
スタートアップの 3 分ピッチテンプレート
スタートアップの 3 分ピッチテンプレートスタートアップの 3 分ピッチテンプレート
スタートアップの 3 分ピッチテンプレートTakaaki Umada
 
DeepVIO: Self-supervised Deep Learning of Monocular Visual Inertial Odometry ...
DeepVIO: Self-supervised Deep Learning of Monocular Visual Inertial Odometry ...DeepVIO: Self-supervised Deep Learning of Monocular Visual Inertial Odometry ...
DeepVIO: Self-supervised Deep Learning of Monocular Visual Inertial Odometry ...harmonylab
 
検索評価ツールキットNTCIREVALを用いた様々な情報アクセス技術の評価方法
検索評価ツールキットNTCIREVALを用いた様々な情報アクセス技術の評価方法検索評価ツールキットNTCIREVALを用いた様々な情報アクセス技術の評価方法
検索評価ツールキットNTCIREVALを用いた様々な情報アクセス技術の評価方法kt.mako
 
Real-time personalized recommendation using embedding
Real-time personalized recommendation using embeddingReal-time personalized recommendation using embedding
Real-time personalized recommendation using embeddingRecruit Lifestyle Co., Ltd.
 
バリュープロポジションキャンバス
バリュープロポジションキャンバスバリュープロポジションキャンバス
バリュープロポジションキャンバスsato_econj
 
リーンスタートアップにおける良い仮説、悪い仮説
リーンスタートアップにおける良い仮説、悪い仮説リーンスタートアップにおける良い仮説、悪い仮説
リーンスタートアップにおける良い仮説、悪い仮説Takaaki Umada
 
"分人"型社会とAI
"分人"型社会とAI"分人"型社会とAI
"分人"型社会とAINational Institute of Informatics (NII)
 
MongoDBアプリの実例
MongoDBアプリの実例MongoDBアプリの実例
MongoDBアプリの実例Kazuyuki Namba
 
cvpaper.challenge 研究効率化 Tips
cvpaper.challenge 研究効率化 Tipscvpaper.challenge 研究効率化 Tips
cvpaper.challenge 研究効率化 Tipscvpaper. challenge
 
World ia day
World ia dayWorld ia day
World ia dayYoshifumi Seki
 
Spc2014 01
Spc2014 01Spc2014 01
Spc2014 01Kaigi Senden
 

Mais conteúdo relacionado

Mais procurados

営業プロセス研修資料
営業プロセス研修資料営業プロセス研修資料
営業プロセス研修資料Kouichi Morita
 
【営業企画】イチから始める営業戦略
【営業企画】イチから始める営業戦略【営業企画】イチから始める営業戦略
【営業企画】イチから始める営業戦略sasy777
 
20210404_SECURITY_MELT
20210404_SECURITY_MELT20210404_SECURITY_MELT
20210404_SECURITY_MELTTyphon 666
 
データ分析グループの組織編制とその課題 マーケティングにおけるKPI設計の失敗例 ABテストの活用と、機械学習の導入 #CWT2016
データ分析グループの組織編制とその課題 マーケティングにおけるKPI設計の失敗例 ABテストの活用と、機械学習の導入 #CWT2016データ分析グループの組織編制とその課題 マーケティングにおけるKPI設計の失敗例 ABテストの活用と、機械学習の導入 #CWT2016
データ分析グループの組織編制とその課題 マーケティングにおけるKPI設計の失敗例 ABテストの活用と、機械学習の導入 #CWT2016Tokoroten Nakayama
 
aumo introduction 202206
aumo introduction 202206aumo introduction 202206
aumo introduction 202206aumo Inc.
 
Share point における id管理と認証・認可
Share point における id管理と認証・認可Share point における id管理と認証・認可
Share point における id管理と認証・認可Naohiro Fujie
 
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座Hiroshi Tokumaru
 
AIを活用し経理業務を「データサイエンス業務」に変革するためのポイントと実務-経理人材が今後目指すべき方向性を提示-
AIを活用し経理業務を「データサイエンス業務」に変革するためのポイントと実務-経理人材が今後目指すべき方向性を提示-AIを活用し経理業務を「データサイエンス業務」に変革するためのポイントと実務-経理人材が今後目指すべき方向性を提示-
AIを活用し経理業務を「データサイエンス業務」に変革するためのポイントと実務-経理人材が今後目指すべき方向性を提示-Kan Hara
 
機械学習をこれから始める人が読んでおきたい 特徴選択の有名論文紹介
機械学習をこれから始める人が読んでおきたい 特徴選択の有名論文紹介機械学習をこれから始める人が読んでおきたい 特徴選択の有名論文紹介
機械学習をこれから始める人が読んでおきたい 特徴選択の有名論文紹介西岡 賢一郎
 
【論文調査】XAI技術の効能を ユーザ実験で評価する研究
【論文調査】XAI技術の効能を ユーザ実験で評価する研究【論文調査】XAI技術の効能を ユーザ実験で評価する研究
【論文調査】XAI技術の効能を ユーザ実験で評価する研究Satoshi Hara
 
“プロフェッショナル原論” で仕事の心構えを見直す
“プロフェッショナル原論” で仕事の心構えを見直す“プロフェッショナル原論” で仕事の心構えを見直す
“プロフェッショナル原論” で仕事の心構えを見直すbijikin
 
スタートアップの 3 分ピッチテンプレート
スタートアップの 3 分ピッチテンプレートスタートアップの 3 分ピッチテンプレート
スタートアップの 3 分ピッチテンプレートTakaaki Umada
 
DeepVIO: Self-supervised Deep Learning of Monocular Visual Inertial Odometry ...
DeepVIO: Self-supervised Deep Learning of Monocular Visual Inertial Odometry ...DeepVIO: Self-supervised Deep Learning of Monocular Visual Inertial Odometry ...
DeepVIO: Self-supervised Deep Learning of Monocular Visual Inertial Odometry ...harmonylab
 
検索評価ツールキットNTCIREVALを用いた様々な情報アクセス技術の評価方法
検索評価ツールキットNTCIREVALを用いた様々な情報アクセス技術の評価方法検索評価ツールキットNTCIREVALを用いた様々な情報アクセス技術の評価方法
検索評価ツールキットNTCIREVALを用いた様々な情報アクセス技術の評価方法kt.mako
 
Real-time personalized recommendation using embedding
Real-time personalized recommendation using embeddingReal-time personalized recommendation using embedding
Real-time personalized recommendation using embeddingRecruit Lifestyle Co., Ltd.
 
バリュープロポジションキャンバス
バリュープロポジションキャンバスバリュープロポジションキャンバス
バリュープロポジションキャンバスsato_econj
 
リーンスタートアップにおける良い仮説、悪い仮説
リーンスタートアップにおける良い仮説、悪い仮説リーンスタートアップにおける良い仮説、悪い仮説
リーンスタートアップにおける良い仮説、悪い仮説Takaaki Umada
 
MongoDBアプリの実例
MongoDBアプリの実例MongoDBアプリの実例
MongoDBアプリの実例Kazuyuki Namba
 
cvpaper.challenge 研究効率化 Tips
cvpaper.challenge 研究効率化 Tipscvpaper.challenge 研究効率化 Tips
cvpaper.challenge 研究効率化 Tipscvpaper. challenge
 

Mais procurados (20)

営業プロセス研修資料
営業プロセス研修資料営業プロセス研修資料
営業プロセス研修資料
 
【営業企画】イチから始める営業戦略
【営業企画】イチから始める営業戦略【営業企画】イチから始める営業戦略
【営業企画】イチから始める営業戦略
 
20210404_SECURITY_MELT
20210404_SECURITY_MELT20210404_SECURITY_MELT
20210404_SECURITY_MELT
 
データ分析グループの組織編制とその課題 マーケティングにおけるKPI設計の失敗例 ABテストの活用と、機械学習の導入 #CWT2016
データ分析グループの組織編制とその課題 マーケティングにおけるKPI設計の失敗例 ABテストの活用と、機械学習の導入 #CWT2016データ分析グループの組織編制とその課題 マーケティングにおけるKPI設計の失敗例 ABテストの活用と、機械学習の導入 #CWT2016
データ分析グループの組織編制とその課題 マーケティングにおけるKPI設計の失敗例 ABテストの活用と、機械学習の導入 #CWT2016
 
aumo introduction 202206
aumo introduction 202206aumo introduction 202206
aumo introduction 202206
 
Share point における id管理と認証・認可
Share point における id管理と認証・認可Share point における id管理と認証・認可
Share point における id管理と認証・認可
 
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座
 
AIを活用し経理業務を「データサイエンス業務」に変革するためのポイントと実務-経理人材が今後目指すべき方向性を提示-
AIを活用し経理業務を「データサイエンス業務」に変革するためのポイントと実務-経理人材が今後目指すべき方向性を提示-AIを活用し経理業務を「データサイエンス業務」に変革するためのポイントと実務-経理人材が今後目指すべき方向性を提示-
AIを活用し経理業務を「データサイエンス業務」に変革するためのポイントと実務-経理人材が今後目指すべき方向性を提示-
 
機械学習をこれから始める人が読んでおきたい 特徴選択の有名論文紹介
機械学習をこれから始める人が読んでおきたい 特徴選択の有名論文紹介機械学習をこれから始める人が読んでおきたい 特徴選択の有名論文紹介
機械学習をこれから始める人が読んでおきたい 特徴選択の有名論文紹介
 
【論文調査】XAI技術の効能を ユーザ実験で評価する研究
【論文調査】XAI技術の効能を ユーザ実験で評価する研究【論文調査】XAI技術の効能を ユーザ実験で評価する研究
【論文調査】XAI技術の効能を ユーザ実験で評価する研究
 
“プロフェッショナル原論” で仕事の心構えを見直す
“プロフェッショナル原論” で仕事の心構えを見直す“プロフェッショナル原論” で仕事の心構えを見直す
“プロフェッショナル原論” で仕事の心構えを見直す
 
スタートアップの 3 分ピッチテンプレート
スタートアップの 3 分ピッチテンプレートスタートアップの 3 分ピッチテンプレート
スタートアップの 3 分ピッチテンプレート
 
DeepVIO: Self-supervised Deep Learning of Monocular Visual Inertial Odometry ...
DeepVIO: Self-supervised Deep Learning of Monocular Visual Inertial Odometry ...DeepVIO: Self-supervised Deep Learning of Monocular Visual Inertial Odometry ...
DeepVIO: Self-supervised Deep Learning of Monocular Visual Inertial Odometry ...
 
検索評価ツールキットNTCIREVALを用いた様々な情報アクセス技術の評価方法
検索評価ツールキットNTCIREVALを用いた様々な情報アクセス技術の評価方法検索評価ツールキットNTCIREVALを用いた様々な情報アクセス技術の評価方法
検索評価ツールキットNTCIREVALを用いた様々な情報アクセス技術の評価方法
 
Real-time personalized recommendation using embedding
Real-time personalized recommendation using embeddingReal-time personalized recommendation using embedding
Real-time personalized recommendation using embedding
 
バリュープロポジションキャンバス
バリュープロポジションキャンバスバリュープロポジションキャンバス
バリュープロポジションキャンバス
 
リーンスタートアップにおける良い仮説、悪い仮説
リーンスタートアップにおける良い仮説、悪い仮説リーンスタートアップにおける良い仮説、悪い仮説
リーンスタートアップにおける良い仮説、悪い仮説
 
"分人"型社会とAI
"分人"型社会とAI"分人"型社会とAI
"分人"型社会とAI
 
MongoDBアプリの実例
MongoDBアプリの実例MongoDBアプリの実例
MongoDBアプリの実例
 
cvpaper.challenge 研究効率化 Tips
cvpaper.challenge 研究効率化 Tipscvpaper.challenge 研究効率化 Tips
cvpaper.challenge 研究効率化 Tips
 

Destaque

もしWordPressユーザーがGitを使ったら 〜WordPressテーマを共同編集しよう〜
もしWordPressユーザーがGitを使ったら 〜WordPressテーマを共同編集しよう〜もしWordPressユーザーがGitを使ったら 〜WordPressテーマを共同編集しよう〜
もしWordPressユーザーがGitを使ったら 〜WordPressテーマを共同編集しよう〜Takashi Uemura
 
クラウドワークスはいかにして11億円の資金調達を実施したか? 先生:佐々木 翔平
クラウドワークスはいかにして11億円の資金調達を実施したか? 先生:佐々木 翔平クラウドワークスはいかにして11億円の資金調達を実施したか? 先生:佐々木 翔平
クラウドワークスはいかにして11億円の資金調達を実施したか? 先生:佐々木 翔平schoowebcampus
 
trippieceの2億円資金調達プロセス 先生:小泉 文明
trippieceの2億円資金調達プロセス 先生:小泉 文明trippieceの2億円資金調達プロセス 先生:小泉 文明
trippieceの2億円資金調達プロセス 先生:小泉 文明schoowebcampus
 
いつやるの?Git入門 v1.1.0
いつやるの?Git入門 v1.1.0いつやるの?Git入門 v1.1.0
いつやるの?Git入門 v1.1.0Masakazu Matsushita
 
【企画書】チャットワーク:社内検討用資料
【企画書】チャットワーク:社内検討用資料【企画書】チャットワーク:社内検討用資料
【企画書】チャットワーク:社内検討用資料Find Job Startup
 
女子の心をつかむUIデザインポイント - MERY編 -
女子の心をつかむUIデザインポイント - MERY編 -女子の心をつかむUIデザインポイント - MERY編 -
女子の心をつかむUIデザインポイント - MERY編 -Shoko Tanaka
 
Cyta.jp_サービスEC説明資料
Cyta.jp_サービスEC説明資料Cyta.jp_サービスEC説明資料
Cyta.jp_サービスEC説明資料Find Job Startup
 
PIXTA_シードラウンド用事業プラン説明資料
PIXTA_シードラウンド用事業プラン説明資料PIXTA_シードラウンド用事業プラン説明資料
PIXTA_シードラウンド用事業プラン説明資料Find Job Startup
 
BASE_プレゼン用サービス説明資料
BASE_プレゼン用サービス説明資料BASE_プレゼン用サービス説明資料
BASE_プレゼン用サービス説明資料Find Job Startup
 
ストリートアカデミー_ローンチ前企画書
ストリートアカデミー_ローンチ前企画書ストリートアカデミー_ローンチ前企画書
ストリートアカデミー_ローンチ前企画書Find Job Startup
 
メルカリ_サービス説明資料
メルカリ_サービス説明資料メルカリ_サービス説明資料
メルカリ_サービス説明資料Find Job Startup
 
創業時の「nanapiのナマ企画書」
創業時の「nanapiのナマ企画書」創業時の「nanapiのナマ企画書」
創業時の「nanapiのナマ企画書」Find Job Startup
 

Destaque (16)

World ia day
World ia dayWorld ia day
World ia day
 
Spc2014 01
Spc2014 01Spc2014 01
Spc2014 01
 
もしWordPressユーザーがGitを使ったら 〜WordPressテーマを共同編集しよう〜
もしWordPressユーザーがGitを使ったら 〜WordPressテーマを共同編集しよう〜もしWordPressユーザーがGitを使ったら 〜WordPressテーマを共同編集しよう〜
もしWordPressユーザーがGitを使ったら 〜WordPressテーマを共同編集しよう〜
 
クラウドワークスはいかにして11億円の資金調達を実施したか? 先生:佐々木 翔平
クラウドワークスはいかにして11億円の資金調達を実施したか? 先生:佐々木 翔平クラウドワークスはいかにして11億円の資金調達を実施したか? 先生:佐々木 翔平
クラウドワークスはいかにして11億円の資金調達を実施したか? 先生:佐々木 翔平
 
trippieceの2億円資金調達プロセス 先生:小泉 文明
trippieceの2億円資金調達プロセス 先生:小泉 文明trippieceの2億円資金調達プロセス 先生:小泉 文明
trippieceの2億円資金調達プロセス 先生:小泉 文明
 
いつやるの?Git入門 v1.1.0
いつやるの?Git入門 v1.1.0いつやるの?Git入門 v1.1.0
いつやるの?Git入門 v1.1.0
 
【企画書】チャットワーク:社内検討用資料
【企画書】チャットワーク:社内検討用資料【企画書】チャットワーク:社内検討用資料
【企画書】チャットワーク:社内検討用資料
 
女子の心をつかむUIデザインポイント - MERY編 -
女子の心をつかむUIデザインポイント - MERY編 -女子の心をつかむUIデザインポイント - MERY編 -
女子の心をつかむUIデザインポイント - MERY編 -
 
Cyta.jp_サービスEC説明資料
Cyta.jp_サービスEC説明資料Cyta.jp_サービスEC説明資料
Cyta.jp_サービスEC説明資料
 
PIXTA_シードラウンド用事業プラン説明資料
PIXTA_シードラウンド用事業プラン説明資料PIXTA_シードラウンド用事業プラン説明資料
PIXTA_シードラウンド用事業プラン説明資料
 
Spc2015 53
Spc2015 53Spc2015 53
Spc2015 53
 
BASE_プレゼン用サービス説明資料
BASE_プレゼン用サービス説明資料BASE_プレゼン用サービス説明資料
BASE_プレゼン用サービス説明資料
 
ストリートアカデミー_ローンチ前企画書
ストリートアカデミー_ローンチ前企画書ストリートアカデミー_ローンチ前企画書
ストリートアカデミー_ローンチ前企画書
 
Spc2014 24
Spc2014 24Spc2014 24
Spc2014 24
 
メルカリ_サービス説明資料
メルカリ_サービス説明資料メルカリ_サービス説明資料
メルカリ_サービス説明資料
 
創業時の「nanapiのナマ企画書」
創業時の「nanapiのナマ企画書」創業時の「nanapiのナマ企画書」
創業時の「nanapiのナマ企画書」
 

Semelhante a 【SSS】提案書サンプル

Klocwork 2017.1アップデート
Klocwork 2017.1アップデートKlocwork 2017.1アップデート
Klocwork 2017.1アップデートMasaru Horioka
 
巨大ポータルを支えるプライベート・クラウド構築事例から学べ!~攻める情シスのためのインフラ構築、その極意とは?~
巨大ポータルを支えるプライベート・クラウド構築事例から学べ!~攻める情シスのためのインフラ構築、その極意とは?~巨大ポータルを支えるプライベート・クラウド構築事例から学べ!~攻める情シスのためのインフラ構築、その極意とは?~
巨大ポータルを支えるプライベート・クラウド構築事例から学べ!~攻める情シスのためのインフラ構築、その極意とは?~Brocade
 
【Interop tokyo 2014】 シスコ技術者認定 プロフェッショナル レベル CCNP Security
【Interop tokyo 2014】 シスコ技術者認定 プロフェッショナル レベル CCNP Security【Interop tokyo 2014】 シスコ技術者認定 プロフェッショナル レベル CCNP Security
【Interop tokyo 2014】 シスコ技術者認定 プロフェッショナル レベル CCNP Securityシスコシステムズ合同会社
 
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...Insight Technology, Inc.
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門Hiroyuki Wada
 
あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!
あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!
あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!Kwiil Kang
 
Automation with SoftLayer and Zabbix
Automation with SoftLayer and ZabbixAutomation with SoftLayer and Zabbix
Automation with SoftLayer and Zabbixsoftlayerjp
 
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」アトラシアン株式会社
 
Stackdriver を利用した実戦的なサーバ監視・運用方法
Stackdriver を利用した実戦的なサーバ監視・運用方法Stackdriver を利用した実戦的なサーバ監視・運用方法
Stackdriver を利用した実戦的なサーバ監視・運用方法Masahiro Haraoka
 
Stackdriver を利用した実戦的なサーバ監視・運用方法
Stackdriver を利用した実戦的なサーバ監視・運用方法Stackdriver を利用した実戦的なサーバ監視・運用方法
Stackdriver を利用した実戦的なサーバ監視・運用方法beyond Co., Ltd.
 
決済システム内製化に向けたプラットフォーム構築 - PCF・BOSHによるオブザーバブルプラットフォーム
決済システム内製化に向けたプラットフォーム構築 - PCF・BOSHによるオブザーバブルプラットフォーム決済システム内製化に向けたプラットフォーム構築 - PCF・BOSHによるオブザーバブルプラットフォーム
決済システム内製化に向けたプラットフォーム構築 - PCF・BOSHによるオブザーバブルプラットフォームDaichiKimura3
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17Tatsuo Kudo
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~Hitachi, Ltd. OSS Solution Center.
 
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようIP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようYusuke Kodama
 
CLOUDIAN at Support Engineer Night
CLOUDIAN at Support Engineer NightCLOUDIAN at Support Engineer Night
CLOUDIAN at Support Engineer NightCLOUDIAN KK
 
JAWS-UG 三都物語20140705
JAWS-UG 三都物語20140705JAWS-UG 三都物語20140705
JAWS-UG 三都物語20140705知礼 八子
 
SecureAssist Enterprise Portal APIガイド
SecureAssist Enterprise Portal APIガイドSecureAssist Enterprise Portal APIガイド
SecureAssist Enterprise Portal APIガイドAsterisk Research, Inc.
 

Semelhante a 【SSS】提案書サンプル (20)

Cloud Camp Azure概要
Cloud Camp Azure概要Cloud Camp Azure概要
Cloud Camp Azure概要
 
Klocwork 2017.1アップデート
Klocwork 2017.1アップデートKlocwork 2017.1アップデート
Klocwork 2017.1アップデート
 
巨大ポータルを支えるプライベート・クラウド構築事例から学べ!~攻める情シスのためのインフラ構築、その極意とは?~
巨大ポータルを支えるプライベート・クラウド構築事例から学べ!~攻める情シスのためのインフラ構築、その極意とは?~巨大ポータルを支えるプライベート・クラウド構築事例から学べ!~攻める情シスのためのインフラ構築、その極意とは?~
巨大ポータルを支えるプライベート・クラウド構築事例から学べ!~攻める情シスのためのインフラ構築、その極意とは?~
 
【Interop tokyo 2014】 シスコ技術者認定 プロフェッショナル レベル CCNP Security
【Interop tokyo 2014】 シスコ技術者認定 プロフェッショナル レベル CCNP Security【Interop tokyo 2014】 シスコ技術者認定 プロフェッショナル レベル CCNP Security
【Interop tokyo 2014】 シスコ技術者認定 プロフェッショナル レベル CCNP Security
 
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門
 
私がなぜZscalerに?
私がなぜZscalerに?私がなぜZscalerに?
私がなぜZscalerに?
 
あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!
あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!
あなたの ”Cloud” も ”One” ダフル!トレンドマイクロの新セキュリティ!
 
Automation with SoftLayer and Zabbix
Automation with SoftLayer and ZabbixAutomation with SoftLayer and Zabbix
Automation with SoftLayer and Zabbix
 
Solution cdn web
Solution cdn webSolution cdn web
Solution cdn web
 
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
 
Stackdriver を利用した実戦的なサーバ監視・運用方法
Stackdriver を利用した実戦的なサーバ監視・運用方法Stackdriver を利用した実戦的なサーバ監視・運用方法
Stackdriver を利用した実戦的なサーバ監視・運用方法
 
Stackdriver を利用した実戦的なサーバ監視・運用方法
Stackdriver を利用した実戦的なサーバ監視・運用方法Stackdriver を利用した実戦的なサーバ監視・運用方法
Stackdriver を利用した実戦的なサーバ監視・運用方法
 
決済システム内製化に向けたプラットフォーム構築 - PCF・BOSHによるオブザーバブルプラットフォーム
決済システム内製化に向けたプラットフォーム構築 - PCF・BOSHによるオブザーバブルプラットフォーム決済システム内製化に向けたプラットフォーム構築 - PCF・BOSHによるオブザーバブルプラットフォーム
決済システム内製化に向けたプラットフォーム構築 - PCF・BOSHによるオブザーバブルプラットフォーム
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
 
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようIP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
 
CLOUDIAN at Support Engineer Night
CLOUDIAN at Support Engineer NightCLOUDIAN at Support Engineer Night
CLOUDIAN at Support Engineer Night
 
JAWS-UG 三都物語20140705
JAWS-UG 三都物語20140705JAWS-UG 三都物語20140705
JAWS-UG 三都物語20140705
 
SecureAssist Enterprise Portal APIガイド
SecureAssist Enterprise Portal APIガイドSecureAssist Enterprise Portal APIガイド
SecureAssist Enterprise Portal APIガイド
 

Último

NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NTT DATA Technology & Innovation
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)Hiroshi Tomioka
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineerYuki Kikuchi
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?akihisamiyanaga1
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 

Último (8)

NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 

【SSS】提案書サンプル

  • 1. CONFIDENTIAL ~知的創造で想像を実現する~ 2013年7月16日(火) Sophia Research Institute,Ltd. Confidential 貴社Webサイト改ざん対策のご提案 A社樣 Sample
  • 2. CONFIDENTIAL Sophia Research Institute,Ltd. Confidential 1 Page 1.対応履歴と課題 2 1-1. 対応履歴 3 1-2. 課題の抽出 4 2.改ざん対策案 5 2-1. Webサーバにおける改ざん対策案 6 2-2. WAFによる改ざん対策(入口対策・出口対策) 7 2-3. 改ざん検知 gred セキュリティサービス 8 2-4. Sophia Protective Shield(SPS) + gred のご提案 9 3.お客様のメリット 10 3-1. 防御開始までの時間的なメリット 11 3-2. コストのメリット 12 3-3. 付加価値 : SPSのアドバンテージ「DDoS攻撃防御」 13 会社情報 14 改訂履歴 改訂日 改訂者 内容 2013/7/9 香取 初版作成 ~ ブログで公開 2013/7/10 香取 P.6 NoMetaプラグインの記述を追加 目次
  • 3. CONFIDENTIAL Sophia Research Institute,Ltd. Confidential 2 1.対応履歴と課題 Gumblar攻撃による改ざん被害の発生から対策 完了までの履歴を元に、課題を抽出します。
  • 4. CONFIDENTIAL 1-1. 対応履歴 Sophia Research Institute,Ltd. Confidential 3 【ご注意】これはサンプルです。内容は架空のものです。 2013年5月 13日 10:30 Webサイトを訪れたお客様からの指摘により、改ざんが発覚。 トップページにアクセスすると、ウイルス対策ソフトの「悪意のあるURLに関するアラート」が表示される。 Web制作会社に連絡。担当が不在 13:00 情シス(担当 ○○樣)による調査開始。悪意のあるURLに関するアラートを確認 Gumblar攻撃と思われるため、まず WebサーバのFTPサービスを停止 Webサイトおよび、データベース、ログをバックアップ(保全) 14:00 [Web制作会社] Webサイトをメンテナンスページに差し替え その他のページ、データベースの内容を、公開サーバから全て削除 隔離したテスト機にバックアップでWebサイトを再現。全ページに手動で悪意のあるURLのアラート確認作業開始 16:30 FTPのログから、不正利用されたアカウントと改ざん日時を特定(担当 □□樣) 普段はFTPを使わず、WordPressの管理ページから更新をしている。 ログには5月12日 02:00 辺りから3回のFTPアクセスが記録されていた。 (その前は2013年2月のリニューアル時) 情シス(担当 ○○樣)から、該当のFTPアカウントを知っている関係者(社内,Web制作会社)に、 Gumblar攻撃へのクライアント側の対応を指示 ⇒ OS,アプリケーションののアップデート / ウイルスチェックと駆除 / FTPクライアントのアンインストール 22:00 全ての関係者から、クライアント側の対応完了の連絡 テスト機でのアラート確認作業を終了 14日 13:30 「弊社ウェブページ改ざんに関するお知らせ」の文面作成完了 2013年5月10日時点のバックアップで、テスト機にWebサイトを再現。チェック開始。 20:30 テスト機でのチェック終了。5月10日時点のバックアップには、悪意のあるURLに関するアラートなし。 15日 09:00 公開Webサーバの復旧開始。5月10日時点のバックアップの書き戻し。 16:00 バックアップの書き戻しと、公開サーバ上でのテストの完了 「弊社ウェブページ改ざんに関するお知らせ」 ページを追加して、公開。 営業担当(☆☆樣)から、関係各所に復旧のお知らせと、お詫びのメール/電話連絡(19:00 全て終了)
  • 5. CONFIDENTIAL 1-2. 課題の抽出 Sophia Research Institute,Ltd. Confidential 4 分類 事実 課題 課題の分類 事前 Gumblar 攻撃により、Webページを改ざんさ れた。 改ざんの防止 Webサーバ関連 お客様の指摘があるまで、改ざんに気付か なかった。 改ざんの検知 • 検知した際、管理者にアラートメールを送信 Webサーバ関連 管理PCのウイルス感染により、FTPパスワー ドが漏えいした。 管理PCの情報漏えい対策 • 管理PCからの情報漏えい防止のためのルールを策定 ルール / マニュアル FTPアカウントは共通のものを利用していた。 どの管理者PCが原因となったか不明 Webサイト管理者のアカウント管理ルールを策定 ルール / マニュアル 対策時 改ざんからメンテナンスページに切り替える までの約12時間、Webサイトは悪意のある URLへの導線になっていた。 改ざん発生時 / 検知時 • 悪意のあるURLに、お客様をアクセスさせない仕組みが必要 Webサーバ関連 どのページが、いつ、どの様に改ざんされた のか、確認が困難 改ざん検知時 • 改ざん内容の詳細レポートが必要 Webサーバ関連 バックアップが無かったら、Webサイトを復 旧できなかった。 • バックアップルールの策定 • 書き戻しのマニュアル化 ルール / マニュアル 改ざん発覚から復旧まで、3日かかっている。 対応の迅速化 • マニュアル化 ルール / マニュアル 事後 FTPサービスを止めたが、Webサイト自体は 改ざん前(5月10日時点)の状態 最終的な課題(目的) 課題を全て解決する「改ざん対策の計画」を立て、実施 次頁以降に述べる項目 事前(改ざん前)・対策時の事実(前頁の対応履歴)から、課題を抽出します。
  • 6. CONFIDENTIAL Sophia Research Institute,Ltd. Confidential 5 2.改ざん対策案 抽出した課題から、改ざん対策案を組み立てます。 Gumblar攻撃への対策は多岐に渡りますが、本書 では「Webサーバにおける対策」に焦点を当ててい ます。
  • 7. CONFIDENTIAL 2-1. Webサーバにおける改ざん対策案 Sophia Research Institute,Ltd. Confidential 6 Webサーバ OS / ミドルウェア アップデート 運用も確立 運用 FTPを廃止 FTPを使用しない運用を確立 安全性の高い接続方式への変更 SCP/SFTP/FTPS 管理者接続のポート変更 SCP(SSH)/SFTP/FTP など 外部から接続する管理ツールは、デフォルトのポートで使用しない ネットワーク 不正侵入防止 Firewall設定 SCP(SSH)/SFTP/FTP などの接続元IPアドレス制限 IPSを導入 プラットフォームの脆弱性を突く侵入の予防(※1) IPSのシグネチャを最新にする WAFを導入 アプリケーションの脆弱性を突く侵入/改ざんの予防 (※2)WAFのシグネチャを最新にする WAFのアウトバウンド検査を有効にする 改ざんされてしまった時の対策 Webサイト CMS(WordPress) 管理ページヘアクセス制限 Httpd の設定 ~/wp-adomin ディレクトリへのIPアドレスよるアクセス制限 総当たり攻撃(Brute force attack)対策 管理ページをHTTPSのみに変更 AdminSSL プラグインの導入 admin ユーザー変更 adminは危険なので使わない プレフィックスの変更 テーブルのプレフィックスを変更(SQL Injection対策) アカウントのロックアウト設定 Simple Login Lockdown プラグインの導入 総当たり攻撃(Brute force attack)対策 WordPressのバージョン隠蔽 NoMeta プラグインの導入 例) <meta name=“generator” content=“WordPress 3.5.1” /> を非表示 アップデート 運用も確立 プラグインのアップデート 脆弱性診断 アプリケーション/プラットフォームの 脆弱性診断を実施 不正侵入/改ざんされてしまう危険を事前に把握 (対策後にも脆弱性診断を) 改ざん検知 Webページの改ざんを検知する 改ざんされてしまった時の対策 外部からの改ざん検知 ※1 【例】 CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823)をブロック ※2 【例】 SQL Injection による Wordpress データベースの書き換え(ページ改ざん)をブロック 本書の範囲 LAMP + WordPress で運営されている貴社Webサイトの改ざん対策は多岐に渡ります。 代表的な対策をリストアップしましたので、改ざん対策の計画を作成する際の参考として下さい。 本書では Sophia Protective Shield(SPS)+gred による、入口対策・出口対策・改ざん検知を提案いたします。
  • 8. CONFIDENTIAL UPDATE abcde_posts SET post_connect = ‘こんにちは。SEです。<iframe src=“悪意のあるURL”></iframe> …’ WHERE ID = xx; SQL Injection 2-2. WAFによる改ざん対策(入口対策・出口対策) Sophia Research Institute,Ltd. Confidential 7 WordPressは投稿を、データベースに保存しています。 SQL Injection により投稿内容を書き換える事で、Webページを改ざんすることが出来ます。 SELECT * FROM abcde_posts WHERE ID=xx; DB ID: xx post_author: xx post_date: 2013-01-01 00:00:00 post_date_gmt: 2013-01-01 23:59:59 post_content: こんにちは。SEです。 これはサンプル投稿です。 … こんにちは。SEです。 これはサンプル投稿です。 … Response Request Query Result DB こんにちは。SEです。 これはサンプル投稿です。 … Request Query Result SQL Injection により改ざんされた「悪意のあるURLを 含む投稿」を返してしまう。 SELECT * FROM abcde_posts WHERE ID=xx; Drive-by download attack Response 正常時 SQL Injection による改ざん後 もちろん、WordPressもコードレベルで対策されていますが「バグや対策漏れによる脆弱性」が存在する可能性は否めません。 WAFを利用し、SQL Injection 対策(入口対策)を行うことをおすすめします。 そして、SQL Injection以外の方法で投稿を改ざんされてしまった際の対策も必要です。WAFのアウトバウンド検査で「Gumblar 攻撃特有の振舞い(Behavior)を含むレスポンス」を遮断し、仮に改ざんされても、ユーザーに悪意のあるURLを含むレスポンス をしない様にすること(出口対策)を提案いたします。
  • 9. CONFIDENTIAL 2-3. 改ざん検知 gred セキュリティサービス Sophia Research Institute,Ltd. Confidential 8 定期的に Webサイトを解析 改ざんを検知 アラート送信 安全な画面に 切り替え レポート提供 【課題】改ざんの検知 • 検知した際、管理者にアラート メールを送信 【課題】改ざん発生時 / 検知時 • 悪意のあるURLに、お客様を アクセスさせない仕組みが必要 【課題】改ざん検知時 • 改ざん内容の詳細レポート が必要 「1-2. 課題の抽出」に述べた、改ざん検知関係の課題を全て解決出来る製品として セキュアブレイン社の gred セキュリティサービスを提案いたします。 1日4回の クローリング クロスドメイン 管理・警告機能 自社ドメイン以外のスクリプトを警告。 ウェブサイト閲覧者を守ります。 改ざんページを 自動で切り替え 改ざんが検知されたら即時にメンテナ ンス画面に切り替え。 gred 証明書 ウェブサイトの安全を証明。 gredによって守られている検証 結果を表示。 Webサイトのコンテンツやリンク先等、複数の要素を解析します。 ドライブバイダウンロード攻撃(Drive-by download attack)の「踏み台としての改ざん」等 従来の対策では検知が難しいウェブサイトの改ざんも検知が可能です。
  • 10. CONFIDENTIAL 2-4. Sophia Protective Shield(SPS) + gred のご提案 Sophia Research Institute,Ltd. Confidential 9 貴社Webサイトのピーク時トラフィックが5~6Mbps 専用WAFよりも、SPS+gred のパックサービスをお勧めいたします。 初期費 月額 SPS + gred パックサービス 98,000円 98,000円 • WAFによる入口対策・出口対策に対応 • 改ざん検知の課題を解決 • パックサービスはランニングコスト(月額)が、お得! SPS 通常の月額 89,800円 + gred 通常の月額 15,000円 ↓ 104,800円 ※ 表示価格は全て、税抜きです。 月額 98,000円 月々6,800円、お得です。 (クローリング 4回/日) SPS仕様 Internet ピーク時トラフィックの目安 10Mbps以内 FQDN数 2 まで SSL証明書 1 まで 機能概要 ※ 詳しくはSSS Webサイトをご参照下さい。 • WAF (Reverse Proxy mode) • DDoS攻撃防御 【SSS Webサイト】 http://www.sps.jp.net 貴社Webサーバ ご利用イメージ • 改ざんアラート • レポート Sophia Protective Shield クローリング ユーザー Proxied Connection
  • 11. CONFIDENTIAL Sophia Research Institute,Ltd. Confidential 10 3.お客様のメリット 本章では「SPS + gred パックサービス」ご利用いただいた際の、貴社のメリットを述べます。 1. 防御開始までの時間的なメリット 2. コストのメリット 3. 付加価値 : SPSのアドバンテージ「DDoS攻撃防御」
  • 12. CONFIDENTIAL 3-1. 防御開始までの時間的なメリット Sophia Research Institute,Ltd. Confidential 11 ヒアリング 設計・構築作業 (オフサイト) ポリシー チューニング 運用開始 (ブロックモード) 約1週間 3~4週間 1日 約1ヶ月 本格的な運用 約2ヶ月間(危険な状態) 他社 WAF + 運用サービス 機器設置・導入 (オンサイト) SPS + gred パックサービスは、お申込みの受付から最短3営業日で利用可能です。 本格的な運用が先延ばしになるということは、それだけ「危険な状態が続く」ということです。 SPS + gred はクラウド型サービスの利点を活かし、短時間でWAF運用を開始することが可能です。 SPS + gred 3~5営業日 デフォルトポリシーで 運用開始 (ブロックモード) 本格的な運用 初期設定 お申込書の ご記入 (お客様作業) ⇒ 受付 デフォルトポリシーとは、SQL Injection / XSS の2種類の攻撃 防御に特化した設定です。 運用開始後にログを取得・解析し、貴社サイトの安全性を高め る「おすすめポリシー」を提案いたします(逐次)。 おすすめポリシー設定による料金の追加はござません。
  • 13. CONFIDENTIAL 3-2. コストのメリット Sophia Research Institute,Ltd. Confidential 12 初期費 月額 SPS + gred パックサービス 98,000 98,000 他社 WAF + 運用サービス 1,000,000 300,000 他社WAF + 運用サービス • 「最小構成の料金プラン」を選択した場合の価格です。 • WAF機器本体の提供を含みます。 • 別途設置スペースや電源等が必要です。 • 改ざん検知機能はありません。 初期費 月額 (12ヶ月) 計 SPS + gred パックサービス 98,000 1,176,000 1,274,000 他社 WAF + 運用サービス 1,000,000 3,600,000 4,600,000 0 1,000,000 2,000,000 3,000,000 4,000,000 5,000,000 SPS + gred パックサービス 他社 WAF + 運用サービス 1年間利用した場合 1年間利用で 3,326,000円 お得! 初期費 月額 (36ヶ月) 計 SPS + gred パックサービス 98,000 3,528,000 3,626,000 他社 WAF + 運用サービス 1,000,000 10,800,000 11,800,000 3年間利用した場合 0 2,000,000 4,000,000 6,000,000 8,000,000 10,000,000 12,000,000 14,000,000 SPS + gred パックサービス 他社 WAF + 運用サービス 3年間利用で 8,174,000円 お得! SPS+gredパックサービスと、実際にWAFを導入するコストを比較しています。 1年間のご利用で、300万円以上もコストに差がつきます。 ほぼ同等の機能に加え、改ざん検知・DDoS攻撃防御まで付いて非常にお得です。 (円・税抜き)
  • 14. CONFIDENTIAL 3-3. 付加価値 : SPSのアドバンテージ「DDoS攻撃防御」 Sophia Research Institute,Ltd. Confidential 13 Sophia Protective Shield(SPS) には、WAF機能以外に「DDoS攻撃防御機能」があります。 本格的なDDoS攻撃防御機能を、利用料金(月額)内でご利用いただけます。 WAF 改ざん 検知 DDoS攻撃 防御 SPS + gred パックサービス ○ ○ ○ 他社 WAF + 運用サービス ○ △ △ ○ 機能あり △ 機種 / オプションによる ☓ なし 一 般 的 に WAF 製 品 の DDoS 攻 撃 防 御 機 能 は ス ル ー プ ッ ト が 最 大 1 ~ 2Gbps 程 度 で あ り 、 別途契約のミティゲーションサービス※ との組み合わ せを前提としています。 ※ 大規模なDDoS攻撃を上流でクリーニングするサービス  Secure OS  Multi-core (64) processor + ASIC  10G Anti-DDoS Cleaning Capacity  2*10GE XFP  8 *GE, 12* GE SFP  2U  Power Redundancy (AC/DC), 150W NSFOCUS ADS 6020 SPSのDDoS攻撃防御機能 通信キャリア、ISP、iDC事業者向けの、本格的なDDoS攻撃クリーナーNSFOCUS ADS 6020 を使用 しています。ADS は DDoS攻撃を含む通信を取り込み、「クリーニング」します。 正常な通信のみを透過し、DDoS攻撃を受けている最中でも、サービスの継続が可能です。 NSFOCUS ADS の対応する主な DoS / DDoS 攻撃 TCP - Syn flood - Ack flood - Fins flood - Fragments UDP - random port floods - Fragments Anonymous attacks Connection Exhaustion Stream Flood Malformed HTTP GET/POST Flood ICMP - Unreachable - Echo - fragments HTTP header attacks DNS flood attacks SIP attacks
  • 15. CONFIDENTIAL 会社情報 Sophia Research Institute,Ltd. Confidential 14 ソフィア総合研究所株式会社 〒160-0022 東京都新宿区新宿六丁目24-20 Welship東新宿2階 TEL:03-6205-5333 (代表) 050-5515-0300 (IP-Phone) FAX:03-6205-5332 http://sri.jp Memo ソフィア総合研究所株式会社 セキュア・ソリューション部 Sophia Secured Solutions(SSS) http://www.sps.jp.net クラウド型セキュリティ・サービスや、安全・安心なクラウド環境、脆弱性診断 サービス等のご案内しております。 また、ブログでは技術者による最新のセキュリティニュースの解説や、攻撃防 御に関するホットな情報を提供しています。ぜひ、ご来訪下さい。