Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
もしも突然、社内セキュリティ担当に任命されたら
Search
Takuma Arimura
December 22, 2018
Business
0
160
もしも突然、社内セキュリティ担当に任命されたら
Takuma Arimura
December 22, 2018
Tweet
Share
More Decks by Takuma Arimura
See All by Takuma Arimura
自分のキャリアをどうやって作っていくのか?
aritaku
0
43
美容医療市場の動向と考察
aritaku
2
770
デジタルヘルス倶楽部 Vol.1
aritaku
0
740
初めてのOKRの導入と運用方法まとめ
aritaku
0
36
Other Decks in Business
See All in Business
会社説明について~株式会社リハス~
re9010matsubara
0
190
GitHubを使わずDatabricksだけで お手軽にライブラリ共有やCIが できる環境を作ってみた/Creating an Environment for Easy Library Sharing and CI Using Only Databricks Without GitHub
kakehashi
1
310
福岡から小樽へ、 1400kmのマネジメントの旅
mshdfukui86
0
120
三井物産のデジタル証券〜浅草・まちなか旅館〜徹底解説セミナースライド(20240408)
c0rp_mdm
0
1.8k
株式会社CAMPFIRE|会社紹介資料
campfire
0
61k
LED TOKYO_会社説明資料
nishimuraryuma
0
520
ツクリンク 会社説明資料
tanashu
0
21k
プロダクトの価値を最大化する「言語化筋トレ」のすすめ / "Verbalizing muscle training” to maximize the value of products
ar_tama
13
5.2k
20240401 新卒研修 - ピクシブにおける技術領域
harukasan
PRO
1
540
スタートアップ新卒合同入社式ワークショップ
wakayamaguchi
1
3k
【新卒採用】BuySell Technologies会社紹介資料
buyselltechnologies
0
150k
KADOKAWA Connected|会社紹介資料/Corporate Introduction
kadokawaconnected
4
50k
Featured
See All Featured
Debugging Ruby Performance
tmm1
70
11k
Designing Experiences People Love
moore
136
23k
Pencils Down: Stop Designing & Start Developing
hursman
117
11k
Side Projects
sachag
451
41k
How GitHub (no longer) Works
holman
305
140k
Optimizing for Happiness
mojombo
370
69k
No one is an island. Learnings from fostering a developers community.
thoeni
16
2.1k
Statistics for Hackers
jakevdp
790
220k
Six Lessons from altMBA
skipperchong
22
3k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
123
39k
VelocityConf: Rendering Performance Case Studies
addyosmani
321
23k
Transcript
NGK2018冬 LT もしも突然、社内セキュリティ担当に任命されたら セキュリティのことなんて やったことないよ〜(泣)
今回のLTで伝えたいこと 1年間セキュリティ担当をやったので 初めてやる人の参考になれるよう 最初のとっかかりをシェアしたい!
今回のLTで伝えたいこと(具体的には) ・ イチから社内のセキュリティ体制を構築する際、何が 参考にするべきか ・ 予算はどれくらい必要か ・ オススメのセキュリティ認証について ・ 骨太のセキュリティ対策を進めるために知っておくべき
セキュリティ潮流
今回のLTで話さないこと ・ 細かいサイバーセキュリティのことには触れません ・ IPAの資格のことにも触れません ・ (情報処理安全確保支援士とか)
自己紹介 ・ 名古屋の医療系スタートアップでエンジニア ・ 最近はNode.js, Vue.js, TypeScriptとかがホット ・ 今年度は3つのセキュリティ認証取得業務と、10社以上 の顧客監査対応
注意) 決してセキュリティエンジニアではありません @aritaku03 @aritaku
もしも突然社長が貴方をセキュリティ担当に指名したら これからの時代ISMSや! 君、セキュリティ担当やってね
右も左も分からない貴方ならどうしますか? セキュリティのことなんて やったことないよ〜(泣)
もしも突然、セキュリティ担当になったら
前提の整理 ・ 30人くらいの中小企業(ベンチャー) ・ ビジネスとして求められるのはセキュリティ認証 ・ サイバーセキュリティよりもまずはルール・組織作り ・ とは言え、本質的な取り組みも進めていきたい
方針 1. 最近のセキュリティ潮流について知る 2. 個人情報周りの法律について知る 3. 自社の守るべき情報について知る 4. オススメのセキュリティ認証は何か 5.
予算を確保する 6. 無料のチェックリストを活用する 7. 担当者だけの取り組みから全社的な取り組みにする
最近のセキュリティ潮流
世界でも国内でもニュースは多い ・ 近年、世界的にも個人情報とセキュリティに関する話題が多くなっている Huawei Facebook GDPR etc… ・ サイバーセキュリティ単体でも、話題が多い Huawei
CoinCheck Zaif 金融庁による仮想通貨取引所の参入条件の引き上げ etc…
最近ニュース多い
[補足]特に欧州が個人情報の扱いに厳しい訳 ・ 歴史的に、ナチスドイツによるユダヤ人虐殺の際、個人情 報が悪用されたことから、個人情報の扱いに関して敏感に なっていると言われている。
IoTの進展によるセキュリティ脅威レベルの向上 ܦࡁ࢈ۀলαΠόʔηΩϡϦςΟՊʮ֤ࠃͷηΩϡϦςΟମ੍ͷಈͱຊͷऔΓΈʯΑΓ IUUQTXXXKJQEFDPSKQTQUPQJDTFWFOUVLCBMPTIBUUQEG
世界のセキュリティ潮流を簡単に説明すると ・ 組織的な取り組みルールだけではダメ。 ・ 個人情報利用はより厳しい目で見られる ・ 本質的なサイバーセキュリティ対策が求められる ・ 一部の企業だけでなく、サプライチェーン全体での対策が 求められうように。
日本の個人情報周りの法律
日本における個人情報関連法律の流れ ・ 個人情報保護法 ・ マイナンバー法 ・ 匿名加工情報の取り扱いに関するガイドライン -> セキュリティに関する法律・ガイドラインが続々出ている ex:
医療の場合 - 3省3ガイドライン - 次世代医療基盤法
自社の守るべき情報は何か
情報の区分(自社の保有する情報はどこに入る??) 機密情報 個人情報 要配慮個人情報 マイナンバー 匿名加工情報
オススメのセキュリティ認証
日本の代表的なセキュリティ認証 ・ プライバシーマーク ・ ISMS(ISO/IEC27001) ・ JAPHICマーク
認証マークと情報区分の対応関係 ػີใ ݸਓใ ಗ໊Ճใ
自社にあったセキュリティ認証マークを選ぶ ・ 目的は第三者認証の確保と骨太の対策 ・ Pマークだけが正義じゃない。 企業が保有する情報に合わせて 認証を選ぼう
予算を確保する
認証取得やその他の取り組みにそれなりにお金はかかる 認証取得のための費用(組織規模によって変動) 1ϚʔΫ dສ *4.4 dສ +"1)*$ϚʔΫ dສ ೝূऔಘίϯαϧ dສ
認証取得やその他の取り組みにそれなりにお金はかかる 社内のルールや設備投資、安全な開発のための費用 伴͖ΩϟϏωοτ ʁ ࢹΧϝϥ ສ ೖୀࣨཧγεςϜ ສ ϖωτϨʔγϣϯςετ dສ
ηΩϡϦςΟιϑτ ສ
無料のチェックリストを活用しよう
[規約系]JAPHICマークの申請用チェックリスト ・ JAPHICマークの申請用チェックリストが便利! ・ 個人情報、特定個人情報、匿名加工情報に対応 IUUQTKBQIJDPSKQK@NBSLBQQMZ
[開発系] NIST SP800-53 IUUQTDTSDOJTUHPWQVCMJDBUJPOTEFUBJMTQSFWpOBM
[開発系] CyberSecurity Framework 1.1 IUUQTOWMQVCTOJTUHPWOJTUQVCT$481/*45$481QEG
最後! 全社的な取り組みにする
必ず役員以上を巻き込んで、各部署に担当者を置く みんなでセキュリティ対策 取り組んでね。
まとめ ・ ISMSとJAPHICマークがオススメ ・ 企業が保有する情報に合わせて 認証を選ぼう ・ それなりにお金かかるのでちゃん と予算申請しよう ・
一人でやってると絶対長続きしな いので必ず役員以上を巻き込もう
おわり