|
|
|
|
コメント(288)
下衆の極み&ベッキーのLINEキャプチャ流出で
スマホセキュリティを考えてしまいました
思いつくままツラツラ書いてみます
不足や補足があったら指摘して下さいませ
<個人用スマホ>
・ログイン認証は安全なものに
ショルダーハッキングや操作する指の動きの
盗み見などのソーシャルエンジニアリングを
考慮すると、生体認証を選択した方が
良いのではないだろうか
・そもそも、流出したら身の破滅になるような
情報を、セキュリティレベルも確認出来ない
クラウドに流してはならない
・LINEの通信の殆どの部分はSSLを採用している
らしい
<業務用スマホ>
・MDMを搭載して;
リモートロック
リモートワイプ
アプリケーション管理を行う。
LINEだぁめ!クラウド要注意
・電波が届かない場所でのインシデントを
考慮して、内部データの暗号化を行う
・スマホに関するセキュリティ教育を行う
肌身離さずコレ基本
定期的に上司による現物確認を行う
紛失したら迅速に報告するルールを
徹底すると共に、紛失インシデント
対応訓練を定期的に行う
あと何があるかしら。。。
スマホセキュリティを考えてしまいました
思いつくままツラツラ書いてみます
不足や補足があったら指摘して下さいませ
<個人用スマホ>
・ログイン認証は安全なものに
ショルダーハッキングや操作する指の動きの
盗み見などのソーシャルエンジニアリングを
考慮すると、生体認証を選択した方が
良いのではないだろうか
・そもそも、流出したら身の破滅になるような
情報を、セキュリティレベルも確認出来ない
クラウドに流してはならない
・LINEの通信の殆どの部分はSSLを採用している
らしい
<業務用スマホ>
・MDMを搭載して;
リモートロック
リモートワイプ
アプリケーション管理を行う。
LINEだぁめ!クラウド要注意
・電波が届かない場所でのインシデントを
考慮して、内部データの暗号化を行う
・スマホに関するセキュリティ教育を行う
肌身離さずコレ基本
定期的に上司による現物確認を行う
紛失したら迅速に報告するルールを
徹底すると共に、紛失インシデント
対応訓練を定期的に行う
あと何があるかしら。。。
>>[251]
私も前からふと、気になっていたことだったのでこの際調べてみました。ソースはモバイルシステム技術検定のテキスト。カメラにシールやSIM の排出バネについては書いてませんでした(^^;
【端末設定】
PIN の設定(初期値から適切な値にし、SIM を抜かれて回線を使われるリスクを回避)
電話機の開閉ロックまたはタイマーロックの設定(不正使用、漏洩の防止)
端末暗証番号を初期値から変える
機能の個別ロック(FeliCa、メール、電話等)
データバックアップ(データ消失とスマホ紛失時のため)
覗き見防止シート
【習慣、ルール】
ストラップ
常時端末ロックを設定
SD 禁止または制限
データバックアップ
メール禁止または制限(最低限の連絡にとどめる、社内業務データのスマホへの転送禁止)
画面メモ禁止または制限(業務の画面、閲覧したpdf等を保存しない )
アドレス帳の定期的見直し
【事故発生時の対策】
電話会社へ連絡
警察へ届け出
各種サービス利用停止(ケータイクレジット、社内入室管理Keyなど)
アドレス帳登録者へ連絡
社内報告
私も前からふと、気になっていたことだったのでこの際調べてみました。ソースはモバイルシステム技術検定のテキスト。カメラにシールやSIM の排出バネについては書いてませんでした(^^;
【端末設定】
PIN の設定(初期値から適切な値にし、SIM を抜かれて回線を使われるリスクを回避)
電話機の開閉ロックまたはタイマーロックの設定(不正使用、漏洩の防止)
端末暗証番号を初期値から変える
機能の個別ロック(FeliCa、メール、電話等)
データバックアップ(データ消失とスマホ紛失時のため)
覗き見防止シート
【習慣、ルール】
ストラップ
常時端末ロックを設定
SD 禁止または制限
データバックアップ
メール禁止または制限(最低限の連絡にとどめる、社内業務データのスマホへの転送禁止)
画面メモ禁止または制限(業務の画面、閲覧したpdf等を保存しない )
アドレス帳の定期的見直し
【事故発生時の対策】
電話会社へ連絡
警察へ届け出
各種サービス利用停止(ケータイクレジット、社内入室管理Keyなど)
アドレス帳登録者へ連絡
社内報告
>>[252]
おぉっ、これは見事な資料ですね
ありがとうございます
印刷して使わさせて戴きますね
私も探してみました
個人向けの啓発冊子のようですが、IPAの資料です
スマートフォンのセキュリティ<危険回避>対策のしおり
https://www.ipa.go.jp/files/000011456.pdf
こちらは企業向け資料の模様です
一般社団法人日本スマートフォンセキュリティ協会(JSSEC)の成果物
『スマートフォン&タブレットの業務利用に関するセキュリティガイドライン』 【第二版】
https://www.jssec.org/dl/guidelines_v2.pdf
おぉっ、これは見事な資料ですね
ありがとうございます
印刷して使わさせて戴きますね
私も探してみました
個人向けの啓発冊子のようですが、IPAの資料です
スマートフォンのセキュリティ<危険回避>対策のしおり
https://www.ipa.go.jp/files/000011456.pdf
こちらは企業向け資料の模様です
一般社団法人日本スマートフォンセキュリティ協会(JSSEC)の成果物
『スマートフォン&タブレットの業務利用に関するセキュリティガイドライン』 【第二版】
https://www.jssec.org/dl/guidelines_v2.pdf
今年の旬なネタの大物と言えば「マイナンバー」
ところが自分の勤務先ときたら大部分は「リスク移転」、
つまり社外へのBPOで対応したため、自分は殆ど知識が
ない状態です
と、言うことで、概要部分のリンク集をザッと作って
みました
どこかにいい情報あったら追加お願いいたします!
<公的情報>
マイナンバーガイドライン入門(事業者編)
http://www.ppc.go.jp/files/pdf/151126guideline.pdf
はじめてのマイナンバーガイドライン(事業者編)
http://www.ppc.go.jp/files/pdf/270414firstguideline.pdf
特定個人情報の適正な取扱いに関するガイドライン(事業者編)
http://www.ppc.go.jp/files/pdf/160101_guideline_jigyousya.pdf
<NPO日本ネットワークセキュリティ協会>
マイナンバー業務プロセス・リスク分析シート
http://www.jnsa.org/mynumber/data/mynumber_risk_sheet_ver1_0.pdf
マイナンバーの安全管理措置チェックシート
http://www.jnsa.org/mynumber/data/mynumber_security_checksheet_ver2_0.pdf
最近初めて知ったのですが、2017年度から「情報処理安全確保支援士」という登録制の国家資格制度が導入され、既存の情報セキュリティスペシャリスト試験は廃止されるそうです。
廃止といっても、「情報処理安全確保支援士」の内容はSCをベースとしており、現行制度との大きな変化点は、登録制、更新制の導入とのこと。また、SC資格を持つ人には支援士登録の資格を与えるとのことです。
◆情報経済小委員会試験ワーキンググループの検討結果を取りまとめました(経済産業省)
http://www.meti.go.jp/press/2016/04/20160427006/20160427006.html
廃止といっても、「情報処理安全確保支援士」の内容はSCをベースとしており、現行制度との大きな変化点は、登録制、更新制の導入とのこと。また、SC資格を持つ人には支援士登録の資格を与えるとのことです。
◆情報経済小委員会試験ワーキンググループの検討結果を取りまとめました(経済産業省)
http://www.meti.go.jp/press/2016/04/20160427006/20160427006.html
初めまして!
次回受験予定です。宜しくお願いします〜!
質問させて頂きたいのですが
こちらでよろしいでしょうか・・・?(トピック立てるのも気が引けるので)
できれば合格した方にお聞きしたいのですが、
午後問の過去問は何年分やればよろしいでしょうか?
なるべく多くやった方が良いのは当たり前ですが、時間も限られているので・・・
例えば、問題を解いて解説を読む時間が12回分あるとしたら
「6年分×2回」「4年分×3回」「3年分×4回」「2年分×6回」などパターンがあると思いますが
どれくらいの広さ×深さで進めていくのがオススメでしょうか?
「5年分はやらなきゃダメだ!」とか「3周以上はして理解を深めなきゃ!」などあれば
それに応じてスケジュール組みたいと思っております。
もし宜しければ教えてください!
次回受験予定です。宜しくお願いします〜!
質問させて頂きたいのですが
こちらでよろしいでしょうか・・・?(トピック立てるのも気が引けるので)
できれば合格した方にお聞きしたいのですが、
午後問の過去問は何年分やればよろしいでしょうか?
なるべく多くやった方が良いのは当たり前ですが、時間も限られているので・・・
例えば、問題を解いて解説を読む時間が12回分あるとしたら
「6年分×2回」「4年分×3回」「3年分×4回」「2年分×6回」などパターンがあると思いますが
どれくらいの広さ×深さで進めていくのがオススメでしょうか?
「5年分はやらなきゃダメだ!」とか「3周以上はして理解を深めなきゃ!」などあれば
それに応じてスケジュール組みたいと思っております。
もし宜しければ教えてください!
既支援士です。
登録から3年目を迎え、昨日、集合講習に参加しました。
場所は両国駅近くの国際ファッションセンタービルにある講習業務を受託している内田人材開発センタの研修室です。
9:45から17:30まで(昼休み1時間と合間の10分休憩が4回程度あり)で、午前中は講義、午後はグループワークが中心です。受講者は5人×4グループ=計20名で、私のグループは、大手電気機器メーカの課長さん、大手シンクタンクの中堅さん、大手メーカ系システム会社の中堅さん、AI関係の個人事業主さんとご一緒させていただきました。
グループに分けてグループワーク、というスタイルは私の勤務先の研修でもよくありますが、個人的には今回のような研修には不向きだと考えています。というのは、ディベートやプレゼンの演習を行う研修等では有効でしょうが、答えを探すようなワークは同レベルの受講者が議論しても、高いレベルには至らないからです。私自身も日常的に情報セキュリティの第一線で鍛えられているわけではないですし、逆にそのような方にとっては私のような者とのディスカッションは不毛でしょう。
という訳で、淡々とこなして1日が終わり8万円が飛んでいきました。
講師2名に事務局3名という体制で、僭越ながら講師の質は悪くないと感じましたが、研修の規模から考えると1名で十分ですし、事務局も1名いれば十分です。(私の勤務先の研修なら間違いなくそうです。しかも、事務局は最初と最後以外は通常業務をしています) 人件費を含めてコスト精査が不十分なのが高額な受講料の原因であるような気がしてなりません。
とは言え、継続教育が重要であることについては、全く異存ありません。継続教育制度自体が継続的に見直されていくことを期待します。もちろん、私自身も日々精進するつもりです。
登録から3年目を迎え、昨日、集合講習に参加しました。
場所は両国駅近くの国際ファッションセンタービルにある講習業務を受託している内田人材開発センタの研修室です。
9:45から17:30まで(昼休み1時間と合間の10分休憩が4回程度あり)で、午前中は講義、午後はグループワークが中心です。受講者は5人×4グループ=計20名で、私のグループは、大手電気機器メーカの課長さん、大手シンクタンクの中堅さん、大手メーカ系システム会社の中堅さん、AI関係の個人事業主さんとご一緒させていただきました。
グループに分けてグループワーク、というスタイルは私の勤務先の研修でもよくありますが、個人的には今回のような研修には不向きだと考えています。というのは、ディベートやプレゼンの演習を行う研修等では有効でしょうが、答えを探すようなワークは同レベルの受講者が議論しても、高いレベルには至らないからです。私自身も日常的に情報セキュリティの第一線で鍛えられているわけではないですし、逆にそのような方にとっては私のような者とのディスカッションは不毛でしょう。
という訳で、淡々とこなして1日が終わり8万円が飛んでいきました。
講師2名に事務局3名という体制で、僭越ながら講師の質は悪くないと感じましたが、研修の規模から考えると1名で十分ですし、事務局も1名いれば十分です。(私の勤務先の研修なら間違いなくそうです。しかも、事務局は最初と最後以外は通常業務をしています) 人件費を含めてコスト精査が不十分なのが高額な受講料の原因であるような気がしてなりません。
とは言え、継続教育が重要であることについては、全く異存ありません。継続教育制度自体が継続的に見直されていくことを期待します。もちろん、私自身も日々精進するつもりです。
セキスペ登録が3年毎の更新制となり、5/15から更新受付が始まりました。
目的は「サイバーセキュリティに関する最新の知識・技能の維持のみならず、欠格事由に該当していないかなど、情報処理安全確保支援士としての資格を有しているかを改めて確認することで、情報処理安全確保支援士制度の信頼性向上を目指す」とのことで、まぁ、そうだよね、という感じですが、講習費用が高く、手続きが面倒なのがタマにキズです。
早速、週末に更新申請書類を作成して、郵便局の時間外窓口へ持ち込んだのですが、大行列で3密のリスク大と判断して撤収。今日の朝一番で地元の特定郵便局へ持ち込んだらコロナ対策で営業時間短縮とのこと。昼休みに再度訪ねたら客は私だけ。平準化は難しいですね。兎に角、滞りなく更新できますように。
◆登録セキスペの方々へ
https://www.ipa.go.jp/siensi/forriss/index.html
目的は「サイバーセキュリティに関する最新の知識・技能の維持のみならず、欠格事由に該当していないかなど、情報処理安全確保支援士としての資格を有しているかを改めて確認することで、情報処理安全確保支援士制度の信頼性向上を目指す」とのことで、まぁ、そうだよね、という感じですが、講習費用が高く、手続きが面倒なのがタマにキズです。
早速、週末に更新申請書類を作成して、郵便局の時間外窓口へ持ち込んだのですが、大行列で3密のリスク大と判断して撤収。今日の朝一番で地元の特定郵便局へ持ち込んだらコロナ対策で営業時間短縮とのこと。昼休みに再度訪ねたら客は私だけ。平準化は難しいですね。兎に角、滞りなく更新できますように。
◆登録セキスペの方々へ
https://www.ipa.go.jp/siensi/forriss/index.html
昨日、某大手電機メーカの方と打合せがあり名刺交換したところ、
情報処理安全確保支援士
情報処理技術者(プロジェクトマネージャー)
と記載してありました。
末尾の「ー」(長音)は要らないよ、というツッコミはともかく、私も同じ資格を持っているので少し親近感が湧くとともに、名刺に資格を記載するとキャリアや専門分野を簡潔に伝えられる、という有用性を改めて感じました。
ところで、セキスペは登録番号の記載が必須だと思っていたのですが、改めてIPAのホームページを見ると、ロゴを印刷する場合は必須と明記されているものの、名称のみの場合は「情報処理安全確保支援士(登録番号 XXXXXX)」という記載例のみで必須とは書いてありませんでした。
私はロゴ不使用で登録番号併記です。みなさんは、どうされていますか?
情報処理安全確保支援士
情報処理技術者(プロジェクトマネージャー)
と記載してありました。
末尾の「ー」(長音)は要らないよ、というツッコミはともかく、私も同じ資格を持っているので少し親近感が湧くとともに、名刺に資格を記載するとキャリアや専門分野を簡潔に伝えられる、という有用性を改めて感じました。
ところで、セキスペは登録番号の記載が必須だと思っていたのですが、改めてIPAのホームページを見ると、ロゴを印刷する場合は必須と明記されているものの、名称のみの場合は「情報処理安全確保支援士(登録番号 XXXXXX)」という記載例のみで必須とは書いてありませんでした。
私はロゴ不使用で登録番号併記です。みなさんは、どうされていますか?
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
情報セキュリティスペシャリスト 更新情報
-
最新のイベント
-
まだ何もありません
-
-
最新のアンケート
-
まだ何もありません
-
情報セキュリティスペシャリストのメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- お洒落な女の子が好き
- 90024人
- 2位
- 酒好き
- 170668人
- 3位
- 千葉 ロッテマリーンズ
- 37149人