もしも突然、社内セキュリティ担当に任命されたら

Transcript

1. NGK2018冬 LT もしも突然、社内セキュリティ担当に任命されたら セキュリティのことなんて やったことないよ〜(泣)

2. 今回のLTで伝えたいこと 1年間セキュリティ担当をやったので 初めてやる人の参考になれるよう 最初のとっかかりをシェアしたい！

3. 今回のLTで伝えたいこと(具体的には) ・ イチから社内のセキュリティ体制を構築する際、何が 参考にするべきか ・ 予算はどれくらい必要か ・ オススメのセキュリティ認証について ・ 骨太のセキュリティ対策を進めるために知っておくべき

   セキュリティ潮流

4. 今回のLTで話さないこと ・ 細かいサイバーセキュリティのことには触れません ・ IPAの資格のことにも触れません ・ (情報処理安全確保支援士とか)

5. 自己紹介 ・ 名古屋の医療系スタートアップでエンジニア ・ 最近はNode.js, Vue.js, TypeScriptとかがホット ・ 今年度は3つのセキュリティ認証取得業務と、10社以上 の顧客監査対応

   注意) 決してセキュリティエンジニアではありません @aritaku03 @aritaku

6. もしも突然社長が貴方をセキュリティ担当に指名したら これからの時代ISMSや！ 君、セキュリティ担当やってね

7. 右も左も分からない貴方ならどうしますか？ セキュリティのことなんて やったことないよ〜(泣)

8. もしも突然、セキュリティ担当になったら

9. 前提の整理 ・ 30人くらいの中小企業(ベンチャー) ・ ビジネスとして求められるのはセキュリティ認証 ・ サイバーセキュリティよりもまずはルール・組織作り ・ とは言え、本質的な取り組みも進めていきたい

10. 方針 1. 最近のセキュリティ潮流について知る 2. 個人情報周りの法律について知る 3. 自社の守るべき情報について知る 4. オススメのセキュリティ認証は何か 5.

    予算を確保する 6. 無料のチェックリストを活用する 7. 担当者だけの取り組みから全社的な取り組みにする

11. 最近のセキュリティ潮流

12. 世界でも国内でもニュースは多い ・ 近年、世界的にも個人情報とセキュリティに関する話題が多くなっている Huawei Facebook GDPR etc… ・ サイバーセキュリティ単体でも、話題が多い Huawei

    CoinCheck Zaif 金融庁による仮想通貨取引所の参入条件の引き上げ etc…

13. 最近ニュース多い

14. [補足]特に欧州が個人情報の扱いに厳しい訳 ・ 歴史的に、ナチスドイツによるユダヤ人虐殺の際、個人情 報が悪用されたことから、個人情報の扱いに関して敏感に なっていると言われている。

15. IoTの進展によるセキュリティ脅威レベルの向上 ܦࡁ࢈ۀল
    αΠόʔηΩϡϦςΟՊʮ֤ࠃͷηΩϡϦςΟମ੍ͷಈ޲ͱ೔ຊͷऔΓ૊ΈʯΑΓ IUUQTXXXKJQEFDPSKQTQUPQJDTFWFOUVLCBMPTIBUUQEG

16. 世界のセキュリティ潮流を簡単に説明すると ・ 組織的な取り組みルールだけではダメ。 ・ 個人情報利用はより厳しい目で見られる ・ 本質的なサイバーセキュリティ対策が求められる ・ 一部の企業だけでなく、サプライチェーン全体での対策が 求められうように。

17. 日本の個人情報周りの法律

18. 日本における個人情報関連法律の流れ ・ 個人情報保護法 ・ マイナンバー法 ・ 匿名加工情報の取り扱いに関するガイドライン -> セキュリティに関する法律・ガイドラインが続々出ている ex:

    医療の場合 - 3省3ガイドライン - 次世代医療基盤法

19. 自社の守るべき情報は何か

20. 情報の区分(自社の保有する情報はどこに入る？？) 機密情報 個人情報 要配慮個人情報 マイナンバー 匿名加工情報

21. オススメのセキュリティ認証

22. 日本の代表的なセキュリティ認証 ・ プライバシーマーク ・ ISMS(ISO/IEC27001) ・ JAPHICマーク

23. 認証マークと情報区分の対応関係 ػີ৘ใ ݸਓ৘ใ ಗ໊Ճ޻৘ใ

24. 自社にあったセキュリティ認証マークを選ぶ ・ 目的は第三者認証の確保と骨太の対策 ・ Pマークだけが正義じゃない。 企業が保有する情報に合わせて 認証を選ぼう

25. 予算を確保する

26. 認証取得やその他の取り組みにそれなりにお金はかかる 認証取得のための費用(組織規模によって変動) 1ϚʔΫ 
    d
    ສ *4.4 
    d
    ສ +"1)*$ϚʔΫ 
    d
    ສ ೝূऔಘίϯαϧ 
    d
    ສ

27. 認証取得やその他の取り組みにそれなりにお金はかかる 社内のルールや設備投資、安全な開発のための費用 伴෇͖ΩϟϏωοτ ʁ ؂ࢹΧϝϥ ສ
    
    ೥ ೖୀࣨ؅ཧγεςϜ ສ
    
    ೥ ϖωτϨʔγϣϯςετ 
    d
    ສ

    ηΩϡϦςΟιϑτ ສ
    
    ೥

28. 無料のチェックリストを活用しよう

29. [規約系]JAPHICマークの申請用チェックリスト ・ JAPHICマークの申請用チェックリストが便利！ ・ 個人情報、特定個人情報、匿名加工情報に対応 IUUQTKBQIJDPSKQK@NBSLBQQMZ

30. [開発系] NIST SP800-53 IUUQTDTSDOJTUHPWQVCMJDBUJPOTEFUBJMTQSFWpOBM

31. [開発系] CyberSecurity Framework 1.1 IUUQTOWMQVCTOJTUHPWOJTUQVCT$481/*45$481QEG

32. 最後！ 全社的な取り組みにする

33. 必ず役員以上を巻き込んで、各部署に担当者を置く みんなでセキュリティ対策 取り組んでね。

34. まとめ ・ ISMSとJAPHICマークがオススメ ・ 企業が保有する情報に合わせて 認証を選ぼう ・ それなりにお金かかるのでちゃん と予算申請しよう ・

    一人でやってると絶対長続きしな いので必ず役員以上を巻き込もう

35. おわり