Mr.SEQの出題履歴
過去全ての出題を確認できます
2016-08-30【講師:Mr.SEQ】ITセキュリティ&リスクマネージメント担当
■PCデポの問題から考える、押さえておきたいリスクマネジメント
8月に起こったPCデポ高額請求問題。簡単にこれまでの経緯をまとめます。
8月14日 Twitterでの書き込みをきっかけにネットで拡散され炎上。
8月15日 Twitterで謝罪。
8月16日 その後同様の謝罪文をPCデポの公式ページに掲載。「クレーマー対応している」とも取れる謝罪文で状況が分かっていない、とさらに炎上。
8月17日 PCデポ公式ページに謝罪文とともに今後の対策を掲載。炎上鎮火せず。
8月23日 人気ライターのヨッピーさんが関わり記事を書いたことでさらに炎上し株価にも大きく影響。
PCデポ高額請求問題では、そもそものサービスや価格が問題になっていることもありますが、会社として誠意を持った対応ができていなかったこと、そして問題が起こった後の初動対応のまずさが理由としてあげられます。
何か問題が起こったときに企業としてどう対応するのか、を事前に考えておくことはとても大切です。
これから起こるかもしれない危機や脅威などのリスクへの対策を考えておくリスクマネジメントは企業規模に関わらずやっておいたほうがよいでしょう。
そこで今回はウェブ担当者として初動対応にどう向き合うかを考えてみてください。
公式な謝罪文などの作成は広報や社長室が行い、サイトやTwitterを運用しているウェブ担当者はそのままそれを掲載することになります。「初動対応は迅速に」、が基本ですのでその時に一ウェブ担当者が「文章がおかしい」と言っても誰にもその意見は聞いてもらえません。
これらを踏まえて、日頃からウェブ担当者としてやっておいたほうがよいと思うことはどのようなことでしょうか?
今最優先でやっておきたいと考えたこと、もしくはやっていることを下からひとつ選び、それを選んだ理由を教えてください。
1. 2chやTwitterなど、会社やサービスの評判を自分で定期的に調べる
2. 外部にネット風評調査や投稿監視を委託する
3. 社員教育
4. リスク対応マニュアル作成委員会を立ち上げる
5. ネット炎上での企業対応の事例をまとめて社内のリスク対応チームに情報を上げておく
6. その他
8月に起こったPCデポ高額請求問題。簡単にこれまでの経緯をまとめます。
8月14日 Twitterでの書き込みをきっかけにネットで拡散され炎上。
8月15日 Twitterで謝罪。
8月16日 その後同様の謝罪文をPCデポの公式ページに掲載。「クレーマー対応している」とも取れる謝罪文で状況が分かっていない、とさらに炎上。
8月17日 PCデポ公式ページに謝罪文とともに今後の対策を掲載。炎上鎮火せず。
8月23日 人気ライターのヨッピーさんが関わり記事を書いたことでさらに炎上し株価にも大きく影響。
PCデポ高額請求問題では、そもそものサービスや価格が問題になっていることもありますが、会社として誠意を持った対応ができていなかったこと、そして問題が起こった後の初動対応のまずさが理由としてあげられます。
何か問題が起こったときに企業としてどう対応するのか、を事前に考えておくことはとても大切です。
これから起こるかもしれない危機や脅威などのリスクへの対策を考えておくリスクマネジメントは企業規模に関わらずやっておいたほうがよいでしょう。
そこで今回はウェブ担当者として初動対応にどう向き合うかを考えてみてください。
公式な謝罪文などの作成は広報や社長室が行い、サイトやTwitterを運用しているウェブ担当者はそのままそれを掲載することになります。「初動対応は迅速に」、が基本ですのでその時に一ウェブ担当者が「文章がおかしい」と言っても誰にもその意見は聞いてもらえません。
これらを踏まえて、日頃からウェブ担当者としてやっておいたほうがよいと思うことはどのようなことでしょうか?
今最優先でやっておきたいと考えたこと、もしくはやっていることを下からひとつ選び、それを選んだ理由を教えてください。
1. 2chやTwitterなど、会社やサービスの評判を自分で定期的に調べる
2. 外部にネット風評調査や投稿監視を委託する
3. 社員教育
4. リスク対応マニュアル作成委員会を立ち上げる
5. ネット炎上での企業対応の事例をまとめて社内のリスク対応チームに情報を上げておく
6. その他
【PCデポの当初謝罪文】
平成28年8月16日
お客様各位
株式会社ピーシーデポコーポレーション
取締役管理本部長 山口 司
弊社サービスに対するインターネット上のご指摘について
この度は、弊社のサービスに関しインターネット上をお騒がせし申し訳ございません。
ご契約者様とご家族の皆様には、ご理解・ご納得いただけるように働きかけをしてまいる所存です。
またお客様、特に高齢者のお客様に弊社のサービスをより十分にご理解いただきご 契約いただけるように改善策を検討して参ります。
改めてご報告申し上げますので、ご理解のほどよろしくお願い申し上げます。
以上
平成28年8月16日
お客様各位
株式会社ピーシーデポコーポレーション
取締役管理本部長 山口 司
弊社サービスに対するインターネット上のご指摘について
この度は、弊社のサービスに関しインターネット上をお騒がせし申し訳ございません。
ご契約者様とご家族の皆様には、ご理解・ご納得いただけるように働きかけをしてまいる所存です。
またお客様、特に高齢者のお客様に弊社のサービスをより十分にご理解いただきご 契約いただけるように改善策を検討して参ります。
改めてご報告申し上げますので、ご理解のほどよろしくお願い申し上げます。
以上
2016-03-31【講師:Mr.SEQ】ITセキュリティ&リスクマネージメント担当
■あなたのウェブサイト大丈夫?確認方法とポイントとは?
某海外ネットワークベンダの社長がこのように言っています。
「ネットワークに接続している全ての企業はインターネットから攻撃を受けているか、もしくは攻撃を受けていることを自覚していないかのどちらかだ」と・・・
事実、私が1月より世話になっている会社のWebサイトは毎月数百の攻撃と判断できる通信を受けています。
この会社では、Webサーバを自社ではなく外部にホスティングし、運用してもらっています。
また防御にはFirewallのみを導入しており、Firewallのログは過去課題でも述べている通り、ルール通りの遮断をするだけなので、攻撃者にとっては障壁とは言えません。
では、攻撃者がWebサイトに攻撃をしてきたことを判断するために有効なログはWebのアクセスログとなります。
今回みなさんが、日々のWebアクセスログをどのように見て運用されているのかをお答えください。
また、攻撃と判断した場合の現状対策ややりたい対策などもあれば回答をお願いいたします。
Q1.現状の攻撃に対するWeb防御としてどのようなことを行っていますか?
たとえば、
・Firewall
・IPS
・WAF
・その他(SOCサービスなど)
Q2.Webアクセスログのどのような内容が攻撃なのか分かりますか?どのように判断していますか?
WebログやWAF/IPSのアラート、ツールによる分析など、自由に記述ください。
できれば、xxxログで****というログが出ていれば攻撃と判断している、など詳細が書ける範囲で記述してください。
Q3.攻撃が見つかった場合にウェブ担当者としてどのように対応していますか?ご自由に記述してください。
某海外ネットワークベンダの社長がこのように言っています。
「ネットワークに接続している全ての企業はインターネットから攻撃を受けているか、もしくは攻撃を受けていることを自覚していないかのどちらかだ」と・・・
事実、私が1月より世話になっている会社のWebサイトは毎月数百の攻撃と判断できる通信を受けています。
この会社では、Webサーバを自社ではなく外部にホスティングし、運用してもらっています。
また防御にはFirewallのみを導入しており、Firewallのログは過去課題でも述べている通り、ルール通りの遮断をするだけなので、攻撃者にとっては障壁とは言えません。
では、攻撃者がWebサイトに攻撃をしてきたことを判断するために有効なログはWebのアクセスログとなります。
今回みなさんが、日々のWebアクセスログをどのように見て運用されているのかをお答えください。
また、攻撃と判断した場合の現状対策ややりたい対策などもあれば回答をお願いいたします。
Q1.現状の攻撃に対するWeb防御としてどのようなことを行っていますか?
たとえば、
・Firewall
・IPS
・WAF
・その他(SOCサービスなど)
Q2.Webアクセスログのどのような内容が攻撃なのか分かりますか?どのように判断していますか?
WebログやWAF/IPSのアラート、ツールによる分析など、自由に記述ください。
できれば、xxxログで****というログが出ていれば攻撃と判断している、など詳細が書ける範囲で記述してください。
Q3.攻撃が見つかった場合にウェブ担当者としてどのように対応していますか?ご自由に記述してください。
1日数万、数十万のアクセスログ解析は手ではできません。有償/無償でのツールを有効活用していれば、数分で解析できちゃいます。
2015-12-01【講師:Mr.SEQ】ITセキュリティ&リスクマネージメント担当
■業務に関連するセキュリティ法令・法規
今回は皆さんに以下のセキュリティ法令・法規から自社に関連するものを選んでいただきます。
1.みなさんがウェブ担当者をしている会社もしくはクライアントの業種を教えてください。
(業種について答えづらいようであれば空けておいていただいて結構です。)
2.その業種に関連するセキュリティ法令・法規を記入してください。セキュリティ法令・法規は以下より選択してください。
3.関連する理由がわかるものについては理由を書いてみてください。
ちなみに法令・法規名は親しみのある略称で記入しています。
併記も考えましたが、正式名称を並べると混乱しそうなので、正式名称や内容解説は回答に回したいと思います。
【セキュリティ法令・法規】
1.不正アクセス禁止法
2.e-文書法
3.個人情報保護法
4.不正競争防止法
5.著作権法
6.刑法
7.特定個人譲歩保護法
8.サイバーセキュリティ基本法
9.電子署名法
10.電波法
今回は皆さんに以下のセキュリティ法令・法規から自社に関連するものを選んでいただきます。
1.みなさんがウェブ担当者をしている会社もしくはクライアントの業種を教えてください。
(業種について答えづらいようであれば空けておいていただいて結構です。)
2.その業種に関連するセキュリティ法令・法規を記入してください。セキュリティ法令・法規は以下より選択してください。
3.関連する理由がわかるものについては理由を書いてみてください。
ちなみに法令・法規名は親しみのある略称で記入しています。
併記も考えましたが、正式名称を並べると混乱しそうなので、正式名称や内容解説は回答に回したいと思います。
【セキュリティ法令・法規】
1.不正アクセス禁止法
2.e-文書法
3.個人情報保護法
4.不正競争防止法
5.著作権法
6.刑法
7.特定個人譲歩保護法
8.サイバーセキュリティ基本法
9.電子署名法
10.電波法
2015-06-28【講師:Mr.SEQ】ITセキュリティ&リスクマネージメント担当
■他人ごとではないマイナンバー制度
マイナンバーが始まります。テレビでも色々情報が流れ始めました。
今回はマイナンバーについて、yes/noでお題を出させていただきます。
自社でどのような対応が必要か、ご自分の業務にどう影響するか、チョット考えてみてください。
回答はYES/NO/どちらでもない、のいずれかでお答えください。
第1問
マイナンバーは企業が個人から取得した後、自社の営利目的(勧誘や情報収集)に使っても良い。
第2問
従業員のマイナンバーは企業が自由に取得して良い。
第3問
マイナンバーにはクレジット機能が付いており、マーケティングに利用できる。
第4問
マイナンバーは個人情報と同じく、5000人までなら特別な管理はしなくて良い。
第5問
マイナンバーの企業利用開始は個人への配布と同じく平成27年の10月からである。
第6問
マイナンバー制度は改定が予定されており、金融業務と連携するようになる予定である。
第7問
企業は、個人のマイナンバー利用後(退職などでもう使わなくなった場合)、直ちに削除しなければならない。
マイナンバーが始まります。テレビでも色々情報が流れ始めました。
今回はマイナンバーについて、yes/noでお題を出させていただきます。
自社でどのような対応が必要か、ご自分の業務にどう影響するか、チョット考えてみてください。
回答はYES/NO/どちらでもない、のいずれかでお答えください。
第1問
マイナンバーは企業が個人から取得した後、自社の営利目的(勧誘や情報収集)に使っても良い。
第2問
従業員のマイナンバーは企業が自由に取得して良い。
第3問
マイナンバーにはクレジット機能が付いており、マーケティングに利用できる。
第4問
マイナンバーは個人情報と同じく、5000人までなら特別な管理はしなくて良い。
第5問
マイナンバーの企業利用開始は個人への配布と同じく平成27年の10月からである。
第6問
マイナンバー制度は改定が予定されており、金融業務と連携するようになる予定である。
第7問
企業は、個人のマイナンバー利用後(退職などでもう使わなくなった場合)、直ちに削除しなければならない。
2015-02-28【講師:Mr.SEQ】ITセキュリティ&リスクマネージメント担当
■商用サイトのシステム対策と課題とは
企業が公開するWebサイトは、コーポレートサイトとECサイトがあります。それそれで求められるシステム対策も少し違いますし、対策後の課題も違ってきます。また、自社専用サーバーを設置せず、レンタルサーバーなど外部で運用してコンテンツのみ管理している場合もあると思います。
今回は自社サーバーで運用しており、Firewallは対策として設置している状況で、あとどのような対策が必要か、対策後にどのような課題が想定できるのか考えてみてください。
コーポレートサイト、ECサイトどちらかでも、両方でも構いません。
企業が公開するWebサイトは、コーポレートサイトとECサイトがあります。それそれで求められるシステム対策も少し違いますし、対策後の課題も違ってきます。また、自社専用サーバーを設置せず、レンタルサーバーなど外部で運用してコンテンツのみ管理している場合もあると思います。
今回は自社サーバーで運用しており、Firewallは対策として設置している状況で、あとどのような対策が必要か、対策後にどのような課題が想定できるのか考えてみてください。
コーポレートサイト、ECサイトどちらかでも、両方でも構いません。
Firewallとは、一言で言えば「防火壁になるマシン」のこと。文字通り、インターネットから社内への入り口に設置し、内外からの不正アクセスを防ぎます。詳しくはこちら
▼Firewallとは
http://www.atmarkit.co.jp/ait/articles/0203/01/news002.html
上記Firewallだけでは機能として不足と考える人は、別の対策に入れ替えることを考えてください。
また、対策後の課題というのは主に運用の課題になると思いますので、対策を増やすと運用において何が増えるかも考えてみてください。
またレンタルサーバーにおいても、貸し出している会社内では同じ問題を抱えており、その会社の技術レベルによって、セキュリティリスクはかわります。このあたりの事を考えることで、正しいレンタルサーバー選びの第一歩を踏み出せますので、この機会に内部の仕組みを考えてみましょう。
▼Firewallとは
http://www.atmarkit.co.jp/ait/articles/0203/01/news002.html
上記Firewallだけでは機能として不足と考える人は、別の対策に入れ替えることを考えてください。
また、対策後の課題というのは主に運用の課題になると思いますので、対策を増やすと運用において何が増えるかも考えてみてください。
またレンタルサーバーにおいても、貸し出している会社内では同じ問題を抱えており、その会社の技術レベルによって、セキュリティリスクはかわります。このあたりの事を考えることで、正しいレンタルサーバー選びの第一歩を踏み出せますので、この機会に内部の仕組みを考えてみましょう。
2014-12-01【講師:Mr.SEQ】ITセキュリティ&リスクマネージメント担当
■SSLの脆弱性とは?
SSLの脆弱性が話題になっていますが、コレってどういう影響があるのか、正確に把握されていないお客様より問合せが多く来ていました。
さて、今回はこのSSLの脆弱性から課題です。
SSLの脆弱性とは、具体的に誰がどのような被害を受ける可能性があるのでしょうか?
また、その対策としては、誰が何をすべきなのか?
皆さんに回答をお願いしたいと思います。
SSLの脆弱性が話題になっていますが、コレってどういう影響があるのか、正確に把握されていないお客様より問合せが多く来ていました。
さて、今回はこのSSLの脆弱性から課題です。
SSLの脆弱性とは、具体的に誰がどのような被害を受ける可能性があるのでしょうか?
また、その対策としては、誰が何をすべきなのか?
皆さんに回答をお願いしたいと思います。
▼SSL 3.0 の脆弱性
https://www.ipa.go.jp/security/announce/20141017-ssl.html
対策は一つではない。というところでしょうか。
解説では、攻撃方法含めて説明したいと思います。
https://www.ipa.go.jp/security/announce/20141017-ssl.html
対策は一つではない。というところでしょうか。
解説では、攻撃方法含めて説明したいと思います。
2014-08-01【講師:Mr.SEQ】ITセキュリティ&リスクマネージメント担当
■個人情報漏洩で想定される被害
今回は世間を騒がしている、教育関連事業の個人情報漏洩から、課題を出したいと思います。
漏れた個人情報は約2300万件とされ、対応の為に用意した資金は200億円だそうです。犯人が得た金額は公表されていませんが、多く見ても数百万といったところでしょう、大変なギャップですよね。
さて、今回の課題ですが、これら個人情報が漏洩してしまった場合の損失として想定される被害を思いつく限りあげて下さい。
自社想定でも、教育関連事業想定でも構いません。
被害が想定できると対応策も導き出されるため、被害を想定することは重要とされています。
今回は世間を騒がしている、教育関連事業の個人情報漏洩から、課題を出したいと思います。
漏れた個人情報は約2300万件とされ、対応の為に用意した資金は200億円だそうです。犯人が得た金額は公表されていませんが、多く見ても数百万といったところでしょう、大変なギャップですよね。
さて、今回の課題ですが、これら個人情報が漏洩してしまった場合の損失として想定される被害を思いつく限りあげて下さい。
自社想定でも、教育関連事業想定でも構いません。
被害が想定できると対応策も導き出されるため、被害を想定することは重要とされています。
2014-04-30【講師:Mr.SEQ】ITセキュリティ&リスクマネージメント担当
■もしクラッカーならどんな手法でどんな情報を取得する?
クラッカー達はシステムを攻略する時、あらゆる手段で情報収集を行います。
これにはパスワードをパソコンの後ろから覗くなどのアナログな手法も考えられます。
これらは総称してソーシャルエンジニアリングと言われています。
では、皆さんがクラッカーだとしたら、「どのような手法で」「どんな情報を取得」しますか?
また、守る側で気を付けるポイントを挙げて下さい。
クラッカー達はシステムを攻略する時、あらゆる手段で情報収集を行います。
これにはパスワードをパソコンの後ろから覗くなどのアナログな手法も考えられます。
これらは総称してソーシャルエンジニアリングと言われています。
では、皆さんがクラッカーだとしたら、「どのような手法で」「どんな情報を取得」しますか?
また、守る側で気を付けるポイントを挙げて下さい。
▼ソーシャルエンジニアリングとは?
http://e-words.jp/w/E382BDE383BCE382B7E383A3E383ABE382A8E383B3E382B8E3838BE382A2E383AAE383B3E382B0.html
最終的にシステムを攻略するための情報なので、様々な情報が有効に使われます。技術的に細かいところでいうと、社内でプライベートドメイン(自社で独自につけたドメイン名)で運用している時、それが外部にばれた場合は、外部による成りすましも可能となるかも知れません。そういった観点で内部リスクも考えてみましょう。
http://e-words.jp/w/E382BDE383BCE382B7E383A3E383ABE382A8E383B3E382B8E3838BE382A2E383AAE383B3E382B0.html
最終的にシステムを攻略するための情報なので、様々な情報が有効に使われます。技術的に細かいところでいうと、社内でプライベートドメイン(自社で独自につけたドメイン名)で運用している時、それが外部にばれた場合は、外部による成りすましも可能となるかも知れません。そういった観点で内部リスクも考えてみましょう。
2014-02-01【講師:Mr.SEQ】ITセキュリティ&リスクマネージメント担当
■CGIはリスク?
cgiは古くからカウンタや掲示板、ショップサイトなどでも利用されています。またそれだけにcgiの仕組みを利用した攻撃手法もいくつもあります。
それではお題です。
WEB管理者として、最低限やっておきたいCGIに関する対策や心構えを思いつく限り挙げてみてください。
最低限で、いくつ思い当たるか、またどのような被害を受ける可能性があるか、ご回答をお待ちしています。
今回はノーヒントです。
なるべくググらないでご自身の現状の知識でお答えください。
cgiは古くからカウンタや掲示板、ショップサイトなどでも利用されています。またそれだけにcgiの仕組みを利用した攻撃手法もいくつもあります。
それではお題です。
WEB管理者として、最低限やっておきたいCGIに関する対策や心構えを思いつく限り挙げてみてください。
最低限で、いくつ思い当たるか、またどのような被害を受ける可能性があるか、ご回答をお待ちしています。
今回はノーヒントです。
なるべくググらないでご自身の現状の知識でお答えください。
2013-10-01【講師:Mr.SEQ】ITセキュリティ&リスクマネージメント担当
■自称ホワイトハッカーからメールが届いた。どう対処する?
あなたは企業のWeb管理者です。
webadmin宛てに自称ハッカーより以下のメールが届きました。
「貴社のWebサイトで利用されているCGIは既知の脆弱性が発見されています、
自身のウェブサイトを守る為にも、対処を行ったが良いと思います。
~ホワイトハッカーより~」
メールアドレスはプロバイダのアドレスで、返信することは可能です、
あなたならどのような対処を行いますか?
あなたは企業のWeb管理者です。
webadmin宛てに自称ハッカーより以下のメールが届きました。
「貴社のWebサイトで利用されているCGIは既知の脆弱性が発見されています、
自身のウェブサイトを守る為にも、対処を行ったが良いと思います。
~ホワイトハッカーより~」
メールアドレスはプロバイダのアドレスで、返信することは可能です、
あなたならどのような対処を行いますか?
実際にこのようなメールが企業のWeb管理者向けに来ることがあります、
ここでの自称ホワイトハッカーが何を考えてこのようなメールを送ってきたのか、
あとは企業のWeb管理者として対処するべきことを優先順位をつけて
考えてみてください。
単純にセキュリティ対策をするではなく、企業内の人との対応、
企業外の人との対応と考えると、やるべきことは山程あります。
ここでの自称ホワイトハッカーが何を考えてこのようなメールを送ってきたのか、
あとは企業のWeb管理者として対処するべきことを優先順位をつけて
考えてみてください。
単純にセキュリティ対策をするではなく、企業内の人との対応、
企業外の人との対応と考えると、やるべきことは山程あります。
2013-07-30【講師:Mr.SEQ】ITセキュリティ&リスクマネージメント担当
■もしWebサイトを書き換えられたら?
もしも、あなたが管理しているWebサイトを書き換えられてしまった場合、管理者としてのあなたはどのような対応を取るべきでしょうか?
ただし、Webサイトも様々なタイプがあるので、以下の中からあなたの管理しているWebサイトに近いものを想定して思いつく限りで対処を考えてみてください。(複数該当する場合もあると思います、その場合複数該当での対処を考えてください)
セキュリティ専門企業や専門家に依頼をかけることも立派な手段ですが、その前にできること・対処方法を考えてください。
1.情報発信のみのWebサイトの場合(サイト側からの一方通行)
2.Web通販等を実施して、顧客を持つWebサイトの場合
3.掲示板やソーシャル機能を持ち、コミュニケーションをとる機能があるWebサイトの場合
※書き換えられた内容ですが、「宣伝目的の、本来のサイトとは違う趣旨の内容」とします
※自社で運営しているWebサイト(レンタル、ホスティング問わず)であるとします
もしも、あなたが管理しているWebサイトを書き換えられてしまった場合、管理者としてのあなたはどのような対応を取るべきでしょうか?
ただし、Webサイトも様々なタイプがあるので、以下の中からあなたの管理しているWebサイトに近いものを想定して思いつく限りで対処を考えてみてください。(複数該当する場合もあると思います、その場合複数該当での対処を考えてください)
セキュリティ専門企業や専門家に依頼をかけることも立派な手段ですが、その前にできること・対処方法を考えてください。
1.情報発信のみのWebサイトの場合(サイト側からの一方通行)
2.Web通販等を実施して、顧客を持つWebサイトの場合
3.掲示板やソーシャル機能を持ち、コミュニケーションをとる機能があるWebサイトの場合
※書き換えられた内容ですが、「宣伝目的の、本来のサイトとは違う趣旨の内容」とします
※自社で運営しているWebサイト(レンタル、ホスティング問わず)であるとします
・答えは複数あります、思いつく限り並べてみることから始めましょう
・とるべき行動はいくつか出てくるとは思いますが、優先順位をつけて考えてください
・Webサイトのタイプによっても守るものが違うかもしれません
・とるべき行動はいくつか出てくるとは思いますが、優先順位をつけて考えてください
・Webサイトのタイプによっても守るものが違うかもしれません