css@dropstone.co.jp

セキュリティ系の資格や肩書きにはいくつか種類があります。 情報処理安全確保支援士（登録セキスペ） 情報セキュリティマネジメント試験（SG） 脆弱性診断士 名前は似ていますが、役割もレベルもまったく違います。 この記事では、経営者視点で整理します。 まず結論：レイヤーが違う 資格・肩書き主な対象レイヤー役割情報処理安全確保支援士高度技術者戦略・高度技術セキュリティ全体設計・専門家情報セキュリティマネジメント試験管理者管理・統制リスク管理・運用設計脆弱性診断士技術者技術実務技術的弱点の発見 ① 情報処理安全確 ...

― クラウドの前提を理解する ― 1-1 クラウドとは何か？ ■ クラウドの本質 クラウドとは、 「自社で持たないIT」 です。 サーバーを購入せず、データセンターを持たず、インターネット経由でIT資源を利用する仕組みです。 しかし本質はそれだけではありません。 クラウドとは、 「物理管理から論理管理への転換」 です。 ■ オンプレミスとの違い 項目オンプレクラウドサーバー自社所有事業者所有物理管理自社事業者設定管理自社原則自社初期投資高額低額拡張性低い高い 重要なのは、 クラウドでも“管理責任は消えない ...

【STAGE 0】全体理解編 ― ISOは“資格”ではなく“経営管理システム”である ― 0-1 ISO27001とは何か？ ISMSの定義 ISO27001の目的 認証取得の意味 審査機関の役割 0-2 取得の全体ロードマップ キックオフ 適用範囲決定 リスクアセスメント 文書整備 内部監査 マネジメントレビュー 本審査 ▶ ゴール定義演習「なぜ自社はISOを取るのか？」 【STAGE 1】規格理解編 ― 条文を読める担当者になる ― 1-1 ISO27001構造理解 Annex SL構造 4〜10章の ...

■ 全体設計思想 クラウドセキュリティ力 ＝ ① 原理理解② リスク想像力③ 設計判断力④ インシデント対応力⑤ 経営視点 この5層を段階的に積み上げます。 【LEVEL 1】基礎理解編 ― クラウドの前提を理解する ― 1-1 クラウドとは何か？ オンプレとの違い SaaS / PaaS / IaaSの違い 共有責任モデル 1-2 クラウドで起きる事故の本質 誤設定事故 アクセス権限漏れ APIキー流出 GitHub公開事故 1-3 情報資産とは何か？ 個人情報 顧客データ ソースコード 経営情報 ▶ ...

1. 事実（What Happened） ■ 公表 2023年 ■ 内容 トヨタ自動車は、クラウド環境の設定ミスにより約10年間にわたり顧客データが外部から閲覧可能状態にあったと発表。 ■ 対象 コネクテッドサービス利用顧客 約215万人分のデータ ■ 公開状態だった情報 車両識別番号 位置情報関連データ 契約番号など ※クレジットカード情報などは含まれていないと報告。 2. 技術的な原因（How It Happened） 問題は、クラウドストレージのアクセス制御設定でした。 具体的には： クラウド上のデ ...

― クラウドは破られたのか、それとも設定が破られたのか ― 1. 事実（What happened） ■ 発生年 2019年 ■ 被害規模 約1億人超の顧客データ 氏名、住所、クレジット情報の一部 社会保障番号（約14万人分） ■ インフラ AWS（Amazon Web Services）上で運用 2. 攻撃の仕組み（How it happened） 今回の侵害は、AWSそのものが破られたわけではありません。 攻撃は以下の流れで進みました。 Step 1：WAF（Web Application Firew ...

1. クラウド・バイ・デフォルトとは何か？ **クラウド・バイ・デフォルト（Cloud by Default）**とは、 新たに情報システムを構築・更新する際に、クラウドサービスの利用を第一選択肢とする原則 のことです。 従来のようにオンプレミス（自社サーバー）を前提とするのではなく、 まずクラウドを検討する 合理的な理由がある場合のみオンプレミスを選択する という考え方に転換するものです。 これは単なるITトレンドではなく、組織の持続可能性を高めるための構造的原則です。 2. 日本政府も正式に採用してい ...