1 / 24

MSKK Security Fundamentals

MSKK Security Fundamentals. マイクロソフト株式会社 Strategic Security Advisor 奥天 陽司 youjio@microsoft.com. Introduction. 1990 年 バブル最後の社会人となり、多額のボーナスをもらう。主に OS/V, Solaris 上での開発 1995 年 ダウンサイジングの波に呑まれ、 PC に目覚める。 Windows NT 3.51 を溺愛 1996 年 マイクロソフト株式会社入社、半年で退職を考えるが、インターネット製品技術支援チームを設立

nedra
Download Presentation

MSKK Security Fundamentals

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. MSKK Security Fundamentals マイクロソフト株式会社 Strategic Security Advisor 奥天 陽司 youjio@microsoft.com

  2. Introduction • 1990年 バブル最後の社会人となり、多額のボーナスをもらう。主に OS/V, Solaris 上での開発 • 1995年 ダウンサイジングの波に呑まれ、PC に目覚める。Windows NT 3.51 を溺愛 • 1996年 マイクロソフト株式会社入社、半年で退職を考えるが、インターネット製品技術支援チームを設立 • 2001年 SAdmin/IIS で3日徹夜 • 2001年 CodeRed/Nimda でほぼ2週間帰れず • 2001年 いい加減うんざりしたので、セキュリティチーム立ち上げ • 2001年 KLEZ でクライアントの進出し、失敗の事始め • 2003年 Blaster で廃人を経験。セキュリティ業界との連携は微妙 • 2005年 社外のセキュリティ関連組織との連携を通じて、様々な取り組みを開始 • Winny/Antinny 対応 • Law Enforcement 対応

  3. Computer Environment • 日本は、マイクロソフトの第2のマーケット • 情報機器は、既に一般的なものとなっている • 国民の、情報機器に対する関心は高い 情報通信機器の世帯普及率 主な情報通信機器の国内出荷台数(2005年)

  4. Internet Environment • 日本のネットワークインフラは、世界トップレベル • 家庭での利用者が引き続き増加傾向にある • モバイル用途のデバイスが高度化 日本のユーザーが インターネットに与える 影響力は小さくない

  5. Government Protection Mobilize influencer Ministry of Communi-cations Ministry of Economics and Trade National Police Agency JPCERT/CC and TelecomISAC Japan Defense Force Cabinet Secretariat ISP Media Security Venders and Partners University Community Industry Organization Internet Protection Security movement Industry Security Education Cyber Crime Technical Cooperation Microsoft Cyber War Broad Notification Cooperation Internet Protection External Relationships

  6. 1998年 2001年 脆弱性情報の日本語化開始 約 1-2 週間遅れで公開 SAdminD/IIS の検出、日本での解析、対策情報作成、 24時間対応窓口、顧客向けレター、お客様訪問 CodeRed の検出、日本での解析、対策情報の作成、 24時間対応窓口などなど Nimda の検出、日本での解析、対策情報の作成、 24時間対応窓口など。消費者向け窓口50名体制に拡張 新聞への社告の掲載(5千万部)、量販店へのチラシ、 対策CDの無償提供 セキュリティ情報の8時間以内公開 History…

  7. 2003年 SQL Slammer の対策、日本で動作の解析、 米国への緊急連絡、日本語情報の早期作成と、 翻訳資料の提供、企業向けガイドの提供、 24時間無償回線への問い合わせ日に3万件 Blaster の対応、日本での解析と対策情報の作成、 24時間無償対応窓口の要員として200名の外注、100名の 社員、1億5千万の新聞記事、テレビ CM へのメッセージ 電話着信待呼 14万6千 (ワールドカップの予約時を超えた) 家庭向けセキュリティサイトオープン Protect your PC セキュリティ情報の2時間以内公開 History…

  8. Do you know our customer?

  9. 私は、パソコンの 質問を受けることが多い 8~9 の評価 8~9 の評価 1~7 の評価 1~7 の評価 コンピュータのことが 大好きで、わくわくする 高い 高い 低い 低い パソコンの知識は 高いほうだとおもう Enthused Pragmatic Enthused Beginner Super Reluctant Definition of “Customer” General

  10. PC Admin? By segments “Super Users” (71.2%) と “General Users” (59.7%)は自分でPCを管理 “Reluctant” (41.3%) は自分以外が管理

  11. PC Admin? By age 男性:25~49才では、3分の2以上が自分自身でPCを管理している 女性:35~59才は、配偶者が管理 19歳以下は、男女共に両親が管理している場合が多い

  12. We pay money for campaign…but… A B C C B By User Segment By Age (Male) • 知り合い • Enth Beginners, Reluctants, Female 16-29 • PYPC (Web and Newspaper Ad) は、多くのセグメントでは影響力が無い • PC 雑誌は、影響力が無い • Reluctants, Male 20-29, Female 16-19 C A B By Age (Female)

  13. Could we reach to customers? “Protect Your PC”の、キャンペーン名の認知率は4.2% “MSのセキュリティ対策方法” 認知率は56.5% 56.5%

  14. They didn’t know “how to resolve” “Reluctant“と “Enthused Beginners”は対策方法を知らない 56.5 71.4 65.9 68.4 44.0 73.3 48.3

  15. Analysis par user segment • 認知率が高い「男性の25~59才(7割以上)」 • 認知率が低い「女性29才以下」「男性16~19才」の若年層 68.0 41.8 12.0 37.5 31.3 55.3 28.1 71.1 56.7 73.7 50.0 77.4 76.9 43.4 47.8 80.0 63.2 57.8

  16. 2004年 2005年 • セキュリティ情報の日米同時公開 • セキュリティガイダンスセンター • 現在4000ページの日本語情報 • 学校向けセキュリティ授業、NPO 向けセキュリティ啓発 • シニアネット向けセキュリティ啓発、中小企業向け講師派遣 • 脆弱性報告の日本語対応 • インターネット安全運動への協力 • インターネット安全教室 • Protect your PC CD • 全国各地でのセキュリティイベント • テレビ CM • Sasser への対応、米国での調査、日本語情報の公開 We accelerated…

  17. Edutainment Event for family • Date & Place: 18,19/June, Shinagawa Tokyo

  18. Security class at high school • 2004年より、高校生向けにセキュリティ授業を提供 • コンテンツは、全国の高校で利用可能

  19. TV-Ad. Have you ever seen?

  20. Localized Security Pages Portal For ITPro For Consumer Japanese Original

  21. Response Document Release Partnership • Software Security Incident Response Process • Security Update Validation Program • Vulnerability Response • Incident Response • Lifecycle • Security Bulletin release • Security Advisory release • Security Notification, News Letter, MSN Alert • All security related documents such as SGC, AtHome • Localized internal document • Global Infrastructure Alliance for Internet Safety • Virus Information Alliance • L.E. Engagement and Cooperation • Community Mobilization • Press call down • Internal SME • Business Integrity • Industry leadership • Responsibility for Products, Technologies and Services of security • Quality improvement • System lifecycle momentum • Provide localized contents • Release at the same time as US. • Document quality • Predictable information • Raise user awareness • Quick modification • Emergency response • Early identification • Government elite approach • Focus on cyber crime • Consistent messaging • Critical Infrastructure Protection Security Response Activities Activities Purpose

  22. Results by actions • Windows XP SP2 の展開が世界最速 • Windows Update の活用 • Firewall の有効化 • Default secure • ウイルス対策ソフトの普及度が高い • 利用に関しての、啓発が必要 • P2P の利用による Malware 被害 • Phising や ID Theft の認知 • Spyware への危機感

  23. Bear in our mind… • 私たちの常識 = 彼らの非常識 • 技術者の意見は、彼らには伝わらない • 彼らを守るには、default secure へ • 彼らは痛い目をみても忘れる、しかし怒らない • 彼らは面倒なセキュリティ機能は、利用しない • 彼らは、 “みんなと同じ” を望む • マイクロソフトは、おもったより影響力がない • だから、みんなの協力が必要だ!

More Related