Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Security = Center of management
Search
OWASP Kansai
December 01, 2018
Business
0
110
Security = Center of management
みんなでやろうセキュリティ
OWASP Kansai
December 01, 2018
Tweet
Share
More Decks by OWASP Kansai
See All by OWASP Kansai
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
74
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
470
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
210
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
770
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
210
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
110
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
170
WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929
owaspkansai
2
280
OWASP Kansai 2019.06/OWASP ASVS 4.0から思うこと
owaspkansai
0
610
Other Decks in Business
See All in Business
AHV環境で利用できるネットワーク/セキュリティ
kuze_k
0
170
【イベント概要資料】AJINOMOTO MissCollegeDancer 2024
jusdl
0
160
Mercari-Fact-book_jp
mercari_inc
3
110k
ファブリカホールディングス_2024年3月期 通期説明資料
fabrica_com
0
1.8k
プロダクトの価値を最大化する「言語化筋トレ」のすすめ / "Verbalizing muscle training” to maximize the value of products
ar_tama
22
10k
KADOKAWA Connected|会社紹介資料/Corporate Introduction
kadokawaconnected
4
51k
プログリット会社紹介資料/We Are Hiring
jobs_progrit
4
84k
株式会社EventHub 会社紹介資料
eventhub
0
21k
アシスト 会社紹介資料
ashisuto_career
3
64k
データ分析基盤構築に役立つAWSマネージドサービス紹介
ryo5043617
0
250
【ScrumFestNiigata2024】a11yを起点とした組織横断を完了するためにアジャイルチームにとって大切だったこと100選
kinocoboy2
0
230
2023年度ICT職専門研修(海外派遣研修)報告書_No.3_行政におけるパブリッククラウド活用の世界動向把握による庁内のDX及び区市町村のDX協働の推進力向上
tokyo_metropolitan_gov_digital_hr
1
170
Featured
See All Featured
Thoughts on Productivity
jonyablonski
60
3.9k
The Illustrated Children's Guide to Kubernetes
chrisshort
32
47k
10 Git Anti Patterns You Should be Aware of
lemiorhan
649
58k
A Modern Web Designer's Workflow
chriscoyier
689
190k
Product Roadmaps are Hard
iamctodd
45
9.8k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
275
13k
Debugging Ruby Performance
tmm1
70
11k
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k
KATA
mclloyd
16
12k
Typedesign – Prime Four
hannesfritz
36
2.1k
Stop Working from a Prison Cell
hatefulcrawdad
266
19k
Building Adaptive Systems
keathley
32
1.9k
Transcript
Security = Center of management 弁護士 OWASPKansai 伊藤 太一
Who are you?? • 名前 伊 藤 太 一 •
弁護士法人淀屋橋・山上合 同弁護士 • 真実は?? • 趣味 献血(82回) • 電気工事士2種,測量士補, 応用情報技術者 • 弁護士初(?)本家 Hardening参加!直後の大 阪マラソン完走。足の爪2つ 飛ぶ
Securityと経営者のあるある Securityって情報漏洩でしょ? 大丈夫,うち情シス一人入れたか ら(ブラック??無色よりえぇやん)。 技術者のいうてることわからんし
エンジニア あるある
ちゃいまんねん!→今日のメッセージ • Security=Businessの継続阻害からの防衛 – After incident から before incidentへ •
誰かがやってくれるSecurityから,みんなでや るSecurityへ→コンクリートと人で作るSecurity • Securityで競争から協争へ
Securityの三要素=ビジネス継続 • 機密性 • 完全性 • 可用性 いろへにほはと ちりねるを わかよかれそ
つねなれむ うゐのおきやま けほこえて あさひゆめみし ゑひもけす 漏洩はセ キュリティ 問題の 一つであっ て全部で はない
技術で防げないセキュリティ • 最も怖い内部犯 – 故意? – 過失?
内部犯防止対策 • 不正のトライアングル 機会(やればできる) 動機 (不正に手を染めたくなる) 正当化 (良心の呵責がなくなる) 事業資産の把握 人事労務管理
コミュニケーショ ン作り
過失防止 • 社員教育・セキュリティポリシー…とはいうけ れど – セキュリティポリシー万能? – 社員教育万能?? – 社長はなぜよくマルウェアを踏むのか?
過失防止 • 守ることができるセキュリティポリシーへ – セキュリティ=不便からの脱却 – 守れるポリシーのための環境開発→内部投資
働き方改革とセキュリティ • テレワークセキュリティGL(総務省)
Riskの定量化(≒Legal的脅し) • 漏洩事故の損害賠償請求(使用者責任) • 役員に対する損害賠償請求 – 無策は免責の理由にならない! ∵全員野球でのセキュリティはもはや国策
サイバーセキュリティ基本法 • 現在,改正法案衆院通過 – サイバーセキュリティ協議会を設置し,大臣を置く – サイバーセキュリティ戦略本部の所管業務に「イ ンシデント発生時の国内外の関係者との連絡調 整」が追加
サイバーセキュリティ経営GL(METI) • 中身も大切だがGLができていると言うことが 重要 – セキュリティは一般常識
みんなで向き合う「みんな」とは? • 社内レベルでは? – 経営層でしか把握できない問題多数 – 人事労務法務もSecurityと無縁ではない – EngineerもSecurityのために頑張る
みんなで向き合う「みんな」とは? • コストを下げるのは社会全体の協力!! – NCA(日本シーサート協議会) – JNSA(日本ネットワークセキュリティ協会) – 保険(ただし,事例の蓄積必要) •
民間コミュニティ→OWASP!!
なぜ協力できるか? • 勧善懲悪の世界 – 協力しないインセンティブがない – セキュリティは攻撃者圧倒的有利 – 100%対応は無理! •
恥と思われる? – 明日は我が身 – 立法論としては早期公開に対するインセンティブや保 険の充実
なぜ協力できるか? • IoT・Webと無縁で新規事業できるとでも?? – 投資としてのSecurity – タクシー事業を始めるのに車買うのと一緒
まとめ • ••にだけ任せておけばOKなSecurityの時代は終 わった – Security人材不足??だったらみんなSecurity! • 協力しながら競い合う協争の場としてのSecurity→経 営方針としての協力の選択 •
経営者層には飴と鞭で理解していただく? • 期待ギャップは要説明
まとめ
お話しできなかったこと…(ネタだし) • 情報漏洩の判決の読み方よくわからん問題 • ガイドラインの法律上の位置づけと裁判上の位 置づけ • セキュリティ関連法規(民事・刑事)の読み方 • テレワーク就業規則のあり方
• 恐怖(?)のGDPR • セキュリティソリューションの契約のあり方 • 弁護士からみた危機管理対応