Pro Yearly is on sale from $80 to $50! »

第一回ばりかた文系専門セキュリティ勉強会講演資料(2019.1.20)

F0856be980530bf77e83c0f31b2b9313?s=47 barikatabunkei
January 28, 2019
340

 第一回ばりかた文系専門セキュリティ勉強会講演資料(2019.1.20)

F0856be980530bf77e83c0f31b2b9313?s=128

barikatabunkei

January 28, 2019
Tweet

Transcript

  1. そこそこの規模があるユーザー企業では セキュリティ担当の仕事は簡単じゃなかったw 実務オリエンテッドのエピソードで みなさまと勉強していきたいとおもいます ㈱セキュアシステムスタイル 松尾 秀樹 平成31年1月20日 1 ユーザー企業のセキュリティ担当者

    としてやってきたことを ええとこ取りでお話します Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  2. 会社概要 自己紹介 2 社名 株式会社セキュアシステムスタイル 設立 2014年11月7日 資本金 2000万円 役員構成

    代表取締役 松尾 秀樹 取締役 乗口 雅充 従業員数 5名(エンジニアおよびアナリスト) (東京都千代田区神田小川町3-8) (03-5577-6934) 事業内容 情報セキュリティに関する コンサルティング サービス、セキュリティ・アウトソーシング サービス 企業のセキュリティ担当者が実施する施策や規 定の制定、具体的ソリューションの提示、運用 法などをご提案いたします。 代表取締役 松尾秀樹  株式会社セキュアシステムスタイル ◼ 2014年11月に設立 ◼ 企業のセキュリティ担当者が実施す るセキュリティ施策について、 規程の制定、具体的ソリューション の提示・運用などを提案させて いただいています。  『セキュリティダイレクタを育てる』 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  3. 今日のお話 <もくじ>  プロローグ 『文系セキュリティ』ってなんでしょうか?  PART1 きっかけ(今日のきっかけ、セキュリティのきっかけ)  PART2

    10の施策(でも4つだけ紹介)  PART3 コツ(セキュリティをうまいことやるには)  PART4 会社を辞める・会社を創る(やめるきっかけ、つくるきっかけ)  PART5 ケーススタディ(こんなときどうします?) <今日のゴール>勉強会なので目標をw ①文系セキュリティってなんでしょう? ②どんな意識で仕事する? ③明日からはどう動くの? をそれぞれ皆さんがなんとなくイメージできること 3 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  4. プロローグ 私(matsuo)が考える文系セキュリティ 4 Copyright 2019 Secure System Style Co., Ltd.

    All Rights Reserved ※写真はイメージです
  5. 『文系セキュリティ』ってなんでしょうか? 文系セキュリティというのがどういうものかは、私もふ くめてバリカタ文系参加の皆さんで議論の末見つけてい くのがいいと思います。 でも今日一つは提起しようと思います。 ◼ こんな感じよね← ◼ 目指すのはここよね← 5

    プロローグ (A)文系セキュリティ (A) 理系 セキュ リティ 情報セキュリティマネジメント(U) SSTの長谷川CTO これ、文系やん。 おもんないゎ。 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  6. <文系セキュリティってなんでしょうか?> 会社のガバナンス・リスクマネジメントの経営視点+技 術的セキュリティ対策にかかわる仕事 技術的に手が動くことや、システムセキュリティの実務 で提案できることは素敵なことですが、それだけでは ちょっと足らない気がします もっと必要なのはヒューマンスキルだったり組織(人) を動かす力だったり、経営判断の材料を提示するのだと 思います 6

    プロローグ (私(matsuo)が考える文系セキュリティ) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  7. <文系セキュリティってなんでしょうか?>  ユーザー企業における情報セキュリティ人材は、『ガバナンス』と『技術的 セキュリティ対策』の二つを結びつけることができる人のことを指します 7 参照元:IPA>経営者の方>情報セキュリティガバナンス https://www.ipa.go.jp/security/manager/know/meaning/governance.html ガバナンス 技術的セキュリティ対策 プロローグ

    (私(matsuo)が考える文系セキュリティ) 経営を守る・事業を守 る 経営判断の材料だし 経営に責任持たせる トラブルを収束させる 事業継続プラン、、、 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  8. <文系セキュリティってなんでしょうか?>  そして、セキュリティ人材とセキュリティ技術員は明確に異なります。 8 参照元:IPA>経営者の方>情報セキュリティガバナンス https://www.ipa.go.jp/security/manager/know/meaning/governance.html セキュリティ人材 セキュリティ技術員 (技術的対策) プロローグ

    (私(matsuo)が考える文系セキュリティ) 文系セキュリティ 理系セキュリティ Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  9. <文系セキュリティってなんでしょうか?>  ユーザー企業における情報セキュリティ人材は、『ガバナンス』と『技術的 セキュリティ施策』の二つを結びつけることができる人のことを指します  特に前者はユーザー企業内でないと有効に活躍・実践できない  アメリカで制作されるスタンダード(ISO、ガイドライン)をそのまま実行 しようとしても、日本のベンダー委託率の高さからマネジメント・ガバナン スを利かせることには無理がある

     セキュリティ人材を配置する、育てる、採用するとしても、どうしていいの かわからないと考えらえる  つまりIT技術に加えて、情報セキュリティガバナンスを知る・学ぶ・実践 してみることが、情報セキュリティ人材として必要なのです 9 プロローグ (私(matsuo)が考える文系セキュリティ) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  10.  IPA試験の(SG)はどの範囲? Copyright 2018 Secure System Style Inc. All Rights

    Reserved 10 https://www.asobou.co.jp/blog/bussiness/sg プロローグ (私(matsuo)が考える文系セキュリティ) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  11.  IPA試験の(SG)はどの範囲? 11 https://www.asobou.co.jp/blog/bussiness/sg プロローグ (私(matsuo)が考える文系セキュリティ) Copyright 2019 Secure System

    Style Co., Ltd. All Rights Reserved
  12. Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved

     報道ではどうか? 12 これまでセキュリティ 人材とセキュリティ技 術員を分けて語られて はいない 私は、『文系』のほう にもスポットを当てる べきだと思っています (少なくとも区別して ほしい) http://www.security-next.com/070864 プロローグ (私(matsuo)が考える文系セキュリティ)
  13. <文系セキュリティってなんでしょうか?>  ユーザー企業における情報セキュリティ人材は、『情報セキュリティガバナ ンス』と『技術的セキュリティ対策』の二つを結びつけることができる人の ことを指します 13 参照元:https://www.ipa.go.jp/security/manager/know/meaning/governance.html ガバナンス 技術的セキュリティ対策 プロローグ

    (私(matsuo)が考える文系セキュリティ) 私(matsuo)が考える 文系セキュリティ (B)情報セキュリティ対策 (A) 理系 セキュ リティ 情報セキュリティガバナンス(U) (C)経営 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  14. PART1 きっかけ (今日のきっかけ、セキュリティのきっかけ) 皆さんはどういうきっかけでセキュリティに関わってき たのでしょう。私のきっかけをご紹介します。 14 Copyright 2019 Secure System

    Style Co., Ltd. All Rights Reserved ※写真はイメージです
  15. <きっかけ1>きょうの登壇 きょうは、乗口さんからリクエストいただき、私の思う 文系セキュリティのはなしをさせていただきます 彼はネットマークス~SSTさんと営業活動するなかで 2000余社に及ぶ事例を集めていて、私がいた会社での活 動が日本でベスト3に入るくらいうまくいってたという評 価をいただいてます うまくいっていたことを勉強会の材料にできたらいいと 思っています 15

    PART1 きっかけ (今日のきっかけ、セキュリティのきっかけ) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  16. <きっかけ2>セキュリティとの出会い 2002年じゃらんの漏洩事故がきっかけ 突然の辞令、なかば拐われてセキュリ ティ担当することに そのときの課題感 3人いたひと、高度な技術員、やんちゃ なマネージャ、若いのに姥捨山 欠落してたこと ◼ 「始めた仕事は終わらせる」(終わらない)

    ◼ 「仕事と機会は自分で創り出す」(セキュリティベ ンダ任せ) ◼ 「圧倒的に見える社内でのセルフプロデュース」 (なめられたら負け) 16 PART1 きっかけ (今日のきっかけ、セキュリティのきっかけ) https://tech.nikkeibp.co.jp/it/free/NNB/NEWS/20021011/1/ Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  17. <きっかけ2>セキュリティとの出会い  「始めた仕事は終わらせる」(終わらない)  「仕事と機会は自分で創り出す」(セキュリティベンダ任せ)  「圧倒的に見える社内でのセルフプロデュース」(なめられたら負け) ↓  入れかけのIDS監視が運用に乗らない

     入れたてのアップスキャンで見つけた脆弱性が改修されない、拒否されてる  監査シートは配布され、回収されても評価してない  次の対策をスタートできてない  いまいち事業部側のみなさんにウケてない  プレゼン、デモがマニア向け 17 PART1 きっかけ (今日のきっかけ、セキュリティのきっかけ) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  18. →見通しが暗い中、終わらせる・次の計画を創る・なめられないよ うにすることがセキュリティ最初の仕事でした 課題感を受け止めて、その年終了 ↓  2014年までには、10の施策が私から手離れして自律自転していました  WEBアプリサービスを主体的事業とする企業は、これで十分。もちろん制作、 本誌、クライアントに提供する機能、勘定系などと、裏方さん機能もふくめて 

    会社からの要請事項は落ち着いていた 18 PART1 きっかけ (今日のきっかけ、セキュリティのきっかけ) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  19. きょうは、どう考えて来たかをお話しします <10の施策>12年やった完成形はこうでした ◼ <アプリ脆弱性診断>〇 ◼ <侵入検知> ◼ <公開前審査> ◼ <アンドロイドアプリ自主診断>

    ◼ <セキュアweb開発研修>〇 ◼ <会社のセキュリティルール(システムセキュリティ)の教育>〇 ◼ <セキュリティ相談>〇 ◼ <プラットフォーム診断> ◼ <年次セキュリティ監査> ◼ <セキュリティ連絡会> 19 PART2 10の施策 (でも4つだけ紹介) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  20. <アプリ脆弱性診断>  診断は30日200ページが平均値、裕福な事業部は自ら選択。=>いつも頼める 検査会社とつきあうことが私の仕事になる  たまたまやったプラットフォーム一斉検査で、まだばれてないアプリ脆弱性が みつかり、主催のコンプライアンス室長により「全件出荷前チェックせよ」と なる  年間400サイト、のべ1200回リニュアルされる。そのうち一般消費者の

    個人情報含むものが40% 月間40~60件の検査になる=>4ページ抜き取り  傾向分析とT会への持ち込み報告、連絡会への提示(検出/改修=今月のダメダ メベンダーベスト10・事業部ベスト10) 20 PART2 10の施策 (でも4つだけ紹介) №.1 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  21. <アプリ脆弱性診断> Copyright 2018 Secure System Style Inc. All Rights Reserved

    21 PART2 10の施策 (でも4つだけ紹介) №.1
  22. <アプリ脆弱性診断> 報告書により社内に薄い毒(脅威のポイント、インシデント)を撒 き続ける 全件検査なんてできるはずがない、安全を確保するのではなく、安 心できることを確保する 毒が全社にいきわたるころには、共通した脅威認識されていた ◼ こういうことを通じて、自分で何とかする気持ちにさせること 22 PART2

    10の施策 (でも4つだけ紹介) №.1 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  23. PART2 10の施策 (でも4つだけ紹介) №.2 <セキュリティ相談>  webサービスの企画~設計~製造について、セキュリティ相談をうけること  方針は会社のルールへ適合させるよう誘導。95%くらいはこの範疇、即答できる。「お 墨付きもらった!!」と喜んで帰るひとがほとんど

     調査が必要なものは持ち帰る  経営判断が必要なものは、エスカレーションシートを書いてあげて、本人達がT会ボード へ直訴する仕組みをつくる。実行されたのは、3年で3件、2件却下  共感する、誉める、選ばせる ◼ 相手をJCだとおもい、業務や企画に共感する ◼ 相手の努力・工夫について推察し、誉め讃える ◼ 最終的に規程に基づく対策を実施させるのだが、それを選んでいただくようにする、決してやらせない 23 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  24. <セキュアweb開発研修>  2ヶ月毎に7.5時間の座学を開催、年間500名程度受講  オリジナルの教科書を策定、毎年冬になると更新作業し春にリリース。最終稿は600P  php版追加、アンドロイド版追加 ↓↓  運営初めて3年後、情報システム部の事業部長が受講必須に指定

     4年目に『この本に掲載無いから、CSRFは診断で指摘もらっても修正しない!』というやつ が出現したファイティングポーズで挑んでくる ↓↓ 執筆中の次年度版には掲載し、該当箇所を修正させた 24 PART2 10の施策 (でも4つだけ紹介) №.3 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  25. <会社のセキュリティルール(システムセキュリティ)の教育>  サービスの企画~設計・開発むけにルールの解説とソリューション案を記したテキストを 制作。同時に習熟度を測るCBTを用意した  1200件の相談案件記録から業務ケースごとに原稿を起こした  初年度は全員が必参加で受講(読んでCBT受ける)  次年度は、webサービスの企画~設計・製造する人は必ず受けよとした。120P、60の

    開発ケース  年間で800名新規受講者を実施 ↑↑  会社の人は、ルールの原本(情報管理規程、同規程細則)なんて読まない  業務ケースごとなら関連記事を連想しやすいので読んでくれる  サービスの企画、開発時には参照しているらしく、ページのコピーを各所引用していた  公開前レビューや監査の担当者が指摘点根拠として参照している 25 PART2 10の施策 (でも4つだけ紹介) №.4 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  26. PART3 コツ (セキュリティをうまいことやるには) <どれほどやったらゴールなの?> ◎前述の施策が10年間で自律自転するようになっていました (パートナーさんへの委託をし、報告を受ける+評価して差し上げる)→ この状態が低廉でセキュリティリスクが低減されている状態「ゴール」 ◎仕事を創って永続的に動かすことが文系セキュリティと考えます。それ には、技術的なことは踏まえた上で、人の感情や利益をよみ、動かす仕組 みを構築することにほかなりません

    31 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved ※写真はイメージです ※写真はイメージです
  27.  IPAのロードマップ(多数の施策が置かれている)  全部を選択する必要は無い(簡易なものから進める、気になるところから始める)  出来るはずもない 32 PART3 コツ (セキュリティをうまいことやるには)

    参照元:IPA 情報セキュリティマネジメントとPDCAサイクル http://www.ipa.go.jp/security/manager/protect/pdca/risk.html Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  28. <従業者のセキュリティ意識アップこそが鍵を握る> ・意識アップ(改革)のコツ  必要なのは、「圧倒的」であること(愛社、マネジメント力、経営、年次?、・・・、技術、 当事者意識)  社内に薄い毒を流し続けること、エビデンス・データをとり続け見えるようにする  月間40~60件の抜き取り診断、ダメダメ事業部・ダメダメ開発ベンダーランキング 

    役員間に競争意識をもたせる仕掛け 役員会へ持ち込み、事業部間ランキングみて「おまえとこダメダメやんか」発言 • 診断結果 • 診断後の改修期限切れ一覧 • 監査結果 • 前年度監査指摘項目の改修結果一覧 • 教育受講者消化率一覧、成績一覧  1事業部長が一斉検査を始めた  別のところでは、一斉改修を進めた 33 PART3 コツ (セキュリティをうまいことやるには) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  29. <従業者のセキュリティ意識アップこそが鍵を握る>  現場(事業部)の従業者に味方であると思わせる仕掛け ◼ 云うことがぶれないこと、発言が一貫していること ◼ 相手のスキルに合わせて道具を用意する ◼ 常に事業部へ露出し、対話のチャンスを作る ◼

    季節毎にイベントを仕掛ける(毎年秋には、次年度の施策計画材料出して予算案作り) 34 PART3 コツ (セキュリティをうまいことやるには) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  30. <セキュリティ施策は金を生まないか?>  セキュリティベンダのコンサルティングをしていた弊社メンバーは、よく「セキュリティ はお金を生まない(稼ぐことがない仕事)であるから受注が難しい」と語っています。こ れは、それまでのお仕事人生の中で体感してきたことです  ところが企業の中ではリスクマネジメントにおいてリスク量をはかっていくことにより、 明示的に提示することが可能です  マイナススケール側も見よう(想定したインシデントが発生しなかったら、その年は+値

    を加算)  コストがかかると思われている (保険でしょ?と発言する役員→それはリスクファイナンスであり論理的に説明可能)  優先順位付けをして、軽いものだけ実行することでも構わない ♦優先11項目+性能曲線 35 PART3 コツ (セキュリティをうまいことやるには) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  31. <企業内で実証実験が要る>  (企業内で誰もがやったことのない仕事、認めていただくのにも苦労いる)  仮説→実施→評価  組織が受け入れてくれることの理由はなんだろう(脅威、上意、技量の差、社内年次の 差)  手離れの良い施策

    36 PART3 コツ (セキュリティをうまいことやるには) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  32. PART4 会社を辞める・会社を創る (やめるきっかけ、つくるきっかけ) 37 Copyright 2019 Secure System Style Co.,

    Ltd. All Rights Reserved ※写真はイメージです
  33. <会社を辞めたきっかけ>  そもそも4年前から創業の話をしていた  でも後輩がいないことと引き留められるのは、会社のリスク。そういう存在であること~ 強く求められる事のうれしさから残留していた。  2014年会社のIPOをキッカケにセキュリティリスク削減強化のプロジェクト、100名へ 増員となった。後輩がたくさん出来たのでもういい。---① +

     これまでにはない『むつかしいひと』が担当執行役員になり、方針が合わなかった。議論 をしないで独断な感じ。---② ①と②が揃ったので、4月の組織変更後2週間で退職を決めた。 ♦このときはやった脆弱性4つ(2014年春)  OpenSSLハートブリード/キャッシュ汚染、Struts、Windows  秋にはbash 38 PART4 会社を辞める・会社を創る (やめるきっかけ、つくるきっかけ) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  34. <会社を創ったきっかけ>  創業を奨めてくれるありがたい友達  自分のアセットとマーケットを鑑みてほかにあまり例がない  考え方と具体的な進め方をお商材にしようとかんがえた  それまでお付き合いのあったコンサルティングさんのご提案、やったことないだろう?と 思わせるものあり不満

    39 PART4 会社を辞める・会社を創る (やめるきっかけ、つくるきっかけ) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  35. <セキュリティ担当者のモチベーション>  文系セキュリティ:おもしろい、たのしいがないと長続きしません  相手がどう感じるか、その結果どう動くかを突き詰め、考え尽くす  仕掛けをつくって種まき、そこには自律的にうごく世界がまってる  「みたてる、したてる、うごかす」を強く意識し実践できると面白く楽しい仕事になりま す

     さらに長期稼働する事により、全社の情報が蓄積されてきます。時には現場に、或いは経 営に影響するようになったとき、本領を発揮することになります 40 PART4 会社を辞める・会社を創る (やめるきっかけ、つくるきっかけ) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  36. <セキュリティ担当者のモチベーション>  理系セキュリティでも動かすという点では「手が動く」ことに高いモチベーション持つこ とはあると思います。  役割的には文系セキュリティ担当が発注する1ファンクションにすぎないので、全体を見 渡す情報が集まることは難しいかもしれないと思います。従って、会社上層部から求めら れる情報(統括、ガバナンス)を提示することが出来ない場合は、1機能として取り扱わ れる運命ではないかと思います。 41

    PART4 会社を辞める・会社を創る (やめるきっかけ、つくるきっかけ) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  37. <セキュリティ担当者のモチベーション> ◎経営に近いレイヤでは、セキュリティも「リスクマネジメント」の一機能であるに過ぎま せん。このとき、経営リスク、人事リスク、事業継続、、、など他のリスクマネジメントと 肩を並べるほど意識され、リスク削減効果を得るための投資として考えられるほどの情報 (エビデンスを元にしたデータ)を提示出来るようになっている事が大切。そこに新たな面 白さがあると考えます。 42 PART4 会社を辞める・会社を創る (やめるきっかけ、つくるきっかけ)

    Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  38. PART5 ケーススタディ (こんなときどうします?) <ケーススタディ> 本日のお話を聞いていただいて、あなたは私(松尾)と同じグループに属してセキュリ ティ施策を推進しているものとします。下記のケースではどういうアクションをしたらい いか、考えてみてください。 43 Copyright 2019

    Secure System Style Co., Ltd. All Rights Reserved ※写真はイメージです
  39. ケーススタディ1  情報管理規程細則(そのうち、システムセキュリティ部分)の教育を進めてきて3期目に なる春のこと、一か所だけ開発企画部の課長から電話が入り『私の部署20名は忙しいか ら受講させません』と庶務に伝言されました。あなたは全員受講させるのが今期目標です。 一つ年次が上のよく知る課長さん、あなたはどうお話をしますか。 44 PART5 ケーススタディ (こんなときどうします?)

    Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  40. ケーススタディ2  脆弱性診断を情報セキュリティ部署主導で進めてきましたが、指摘点を修正したくないと いう組織がいくつか、また放置してくる組織がそれなりの数に上ってきました。あなたは 「各案件が期限内に全数修正完了させる」のが目標です。対象組織にどうアプローチしま すか。 45 PART5 ケーススタディ (こんなときどうします?)

    Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  41. ケーススタディ3  新しいシステム開発に際して、パスワードは利便のために4桁の数字にしたい(規定では 6桁英数文字混合)という申告があり、かなり強力に押し込んできています。「リーチを 稼ぐには絶対必要、社運がかかってる!!」という具合です。公開webゆえ危険な感じ です。あなたはどう回答しますか。 46 PART5 ケーススタディ (こんなときどうします?)

    Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved
  42. ケーススタディ4  『社内用PCへファイル転送機能(ftp)を使ってファイル送信する機能』の性能が上 がらないので、アンチウイルスソフトのリアルタイムスキャン機能を解除したいという申 告がありました。あなたは許可しますか。 47 PART5 ケーススタディ (こんなときどうします?) Copyright

    2019 Secure System Style Co., Ltd. All Rights Reserved
  43. ※写真はイメージです ご清聴ありがとうございました ㈱セキュアシステムスタイル 松尾 ご清聴ありがとうございました 48 Copyright 2019 Secure System

    Style Co., Ltd. All Rights Reserved ユーザー企業のセキュリティ担当者 としてやってきたことを ええとこ取りでお話します