Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
中小事業者の情報セキュリティ対策とは~まずなにをやるべきか
Search
Kyoko HANADA
February 19, 2019
Business
0
240
中小事業者の情報セキュリティ対策とは~まずなにをやるべきか
愛知県安城市の安城商工会議所にて開催された中小企業向け情報セキュリティセミナーでの講演資料(公開用)。
Kyoko HANADA
February 19, 2019
Tweet
Share
More Decks by Kyoko HANADA
See All by Kyoko HANADA
インターネットで困ったらどうする?
cchanabo
0
100
20210904_OWAPS nagoya Day
cchanabo
3
990
20210812_SNSを使う上で保護者・子どもにお願いしたいこと
cchanabo
0
490
20201013住所晒し案件の関係図:自分用メモ
cchanabo
0
200
3年ゼミ5/6分資料:新型コロナウィルスによって何が変わったか~教育編
cchanabo
0
130
愛知県警察『サイバーポリスゲーム』のあそびかた
cchanabo
0
330
子どもたちとSNS~保護者・地域の大人はどうやって見守ればいいのかな?
cchanabo
1
630
SNS講座~正しく安全に使おう(学内講座)
cchanabo
0
490
SNSをつかう子どもたちとどう向き合うか(公開用)
cchanabo
0
790
Other Decks in Business
See All in Business
STUDIO ZERO 組織紹介 2024
plaid
PRO
0
4.6k
Sales Marker Culture book
salesmarker
PRO
1
15k
私のスクラムフェスの歩き方
rakuraku0615
0
200
eXtreme recording
aki_moon
4
490
一般社団法人ディレクションサポート協会(DiSA)
masakisukeda
0
310
Company Deck for Engineers
cuolega
0
150
GLP_SustainabilityReport_2023
glp_jp
1
240
TOKYOスマート・カルチャー・プロジェクト
tokyo_metropolitan_gov_digital_hr
0
300
PROLE株式会社 COMPANY DECK
prole
PRO
0
600
直積は便利/direct_product_is_useful
florets1
3
170
鹿児島日産 採用資料
kamimurayu
0
260
レイド株式会社_会社紹介資料
rayd
0
310
Featured
See All Featured
A better future with KSS
kneath
237
17k
GitHub's CSS Performance
jonrohan
1030
450k
Unsuck your backbone
ammeep
668
57k
BBQ
matthewcrist
85
9.2k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
246
1.3M
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
26
4.1k
We Have a Design System, Now What?
morganepeng
50
7.2k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Building a Modern Day E-commerce SEO Strategy
aleyda
38
6.9k
Bash Introduction
62gerente
608
210k
Done Done
chrislema
181
16k
Transcript
中小事業者の情報セキュリティ対策とは ~なにをまずやるべきか 2019年02月19日 岡崎女子大学 子ども教育学部 講師 花田経子(
[email protected]
)
講師:自己紹介 • 花田 経子(Kyoko Hanada) • 岡崎女子大学 子ども教育学部 講師 •
2002年 愛知大学大学院経営学研究科博士後期課程満期退学 • 2002~2015年 新島学園短期大学キャリアデザイン学科専任講師 • 外部役員等(一部) • 文部科学省enPiT-Security アドバイザリー委員 • 愛知県警 中小事業者情報セキュリティ対策支援ネットワーク アドバイザー • 研究分野 • 情報システム監査の監査人のキャリア形成と人材育成 • 情報セキュリティ人材のキャリア形成と人材育成 • 初等教育における情報教育と情報セキュリティ教育のための人材育成 • その他 • デジタルネイティブな小学校2年生を育てる母親
愛知県警:サイバーポリスゲーム
中小事業者が置かれている現状 • 情報セキュリティは大事・・・わかっちゃいるけど 情報もない カネがない ヒトがいない うち以外を攻撃して くれないかなぁ… わかっちゃいるけど、どうすれば
「まあ、うちが狙われることはないですよ」 2019年2月16日(土)のNHKニュースより 大阪商工会議所&神戸大学の調査 • 調査対象のすべての企業が、攻撃を受けた形跡がある。 • 5社は不審な通信先とのデータのやりとりが記録されていた。 https://www3.nhk.or.jp/news/html/20190216/k10011817471000.html 「うち」はもうとっくに 攻撃されている
中小事業者が置かれている現状認識 • 企業側の情報セキュリティに係るリスクは増大している • 経営上のリスクとしての認識はほぼ共通理解になっている • 実質的にどのような対応をすればよいか、はバラバラの状況 個人情報漏えい事故が あるといろいろと… DDoSとか、Webを書き換
えられたりすると… 納品した製品に脆弱性が あると… 取引先からも情報セキュ リティ対策を求められ… 大手さんとちがって、 うちにはヒトもカネも ないんだけど・・・ 自社で何とか対応しよう よそにお願いしよう 実は・・・
その対応方法で本当に大丈夫か? • どの対応方法でもそれなりに利点/欠点がある 利点 欠点 自社で何とかしよう派 コストは押さえられる 自社内の人材が養成できる 知識・経験が十分か? 情報がえらえるか?
よそにお願いしよう派 専門知識・情報を入手できる コストはサービスに見合っている か? 自社の人材は育たない 実は・・・派 コストはかからない 他企業からの損害賠償などのリ スクも含む
結論的には… • 最も効率のいい方法は、ハイブリッド型 ①リスクの見極めは自社で実施 ②技術的な対応は自社/他社で分ける ③他社に任せきりにしない(報告大事)
リスクとリスクマネジメント(一般論) • リスク(risk) • 危険のある状態、危険性 • 脅威と脆弱性が露出すると…リスクとなる • リスクマネジメント(risk management)
• リスクを把握し適切に管理する行動 組織内部 情報資産 脆弱性 脅威 リスク 脅威が表面化し、 実際に事件事故が発生すると インシデントとなる
セキュリティインシデントとは • インシデント(incident) • セキュリティインシデントのことを指す • 情報システムの管理上、重大な事故や事件などが発生すること • 脅威が表面化した状態がインシデントといえる •
インシデントレスポンス • インシデントが発生した際にどのような対応をすればよいかということをまと めたもの。 • インシデントレスポンスの際のルールと組織化 インシデントレスポンスは特に中小事業者には絶対に必要
自社のリスクはどうやって見積もればいいか • 一般的には… なにをされたら、どれぐらい困るのかを見積もってみる 発生確率 × 影響度 (その事象がどれぐらい の頻度で発生するのか) (その事象はどの程度
ビジネスに影響するか)
自社のリスクは自社しか判断できない • 自社にとって重要なのは なにをされたら、どれぐらい困るのかを算出すること • Webページを改ざんされてWebを閉鎖したら1日当たりの売上への影響は? • DDoSで社内システムがすべてダウンしたら1日当たりの売上への影響は? • 自社の社員が個人情報を盗んで売ったらどれぐらいの損失が発生するか?
• 納品したシステム(IoT)に脆弱性があったら、取引企業からの損害賠償が どの程度発生するか? • 自社の金融担当者がフィッシング詐欺にかかり不正送金されたら? • 自社の情報システムを請負う企業が倒産してアップデートされない場合に どれぐらいの対応コストがかかるのか?
本質的にどこをおさえておけばよいか 業務プロセス全体 Output Input リスク リスク ①自社のサプライチェーンを含め た業務プロセスの全体像が把握 できているか ②業務プロセスの全体像のどこ
にリスクが存在するかを把握でき ているか
自社のリスクを把握するために必要なこと • どのようなメンバーで実施するか • 意思決定は、経営に責任を持てる人間が最終判断 • 現場で業務プロセスを熟知しているメンバーを巻き込む • 情報システムがどう構築されているか理解しているメンバーを巻き込む •
ベンダーの協力をどう得るか • 必要なサービスをどう見積もるか(費用対効果) • そのベンダーに能力があるか • 脆弱性対応などを適切にやってくれるか、情報を正しく提供してくれるか • 対策の優先順位をどう決めるか • リスク • やりやすさ
対策のために何をするべきなのか 事前のリスク対応 事後のインシデント対応 結局は、どちらも 事前に対応して 置くことが重要
サイバーセキュリティ経営ガイドライン 経済産業省とIPAが 2017年11月に2版策定 本文は 指示1~10で構成
サイバーセキュリティ経営ガイドラインの枠 組み ①経営者が積極的に 関与しなければならない ②自社の影響範囲、 自社外の影響範囲を 検討する ③担当者と経営側、 業者と企業側の連携が できているかを確認
まずは付録Aでチェックしましょう
最もお勧めするのが付録C • 付録C:インシデント発生時に組織内で整理しておくべき事項
インシデント対応としてのCSIRT設置について • CSIRT(Computer Security Incident Response Team) • インシデント対応のために、専用のチームを作って対応するための仕組み •
公的機関・金融機関・大企業・大学等では作ることを推奨されている • 日本シーサート協議会(NCA)というCSIRTが所属して情報共有をするための 団体がある • 愛知県内でも、トヨタや中部電力などを中心にNCAの地方WGが開催されている • 中小事業者では… • 正式なCSIRTを作ることはかなりの人的コスト・対応コストを要する • なので、実現させるのはかなり苦労する • 元からある危機管理対応組織の情報連携やBCPの枠組みに乗っかるのが ベター • 外部からの連絡窓口と経営者への情報連携は必須
中小事業者でできること • 自社でやるべきことと他者にゆだねてもよいものを分ける • 情報資産のリスクは自社でしかわからない • リスク対応の優先順位も自社が責任を持つべき領域 • 事後対策の事前準備 •
インシンデントレスポンスは重要 • 事後対応は事前対策で決まる • 情報入手のための情報共有を • 良質な情報を入手できる環境の整備 • ベンダーに頼りすぎない、一次情報を適切に見る • 情報共有の枠組みを積極的に利用する すでに用意されている ものは取り入れて使う
情報セキュリティをどのようにとらえるか • 企業という車を安全に前にすすめるために必須な要素 企業 アクセル=企業経営のための経営資源 さらなる 発展 経営資源を守り、企業の信用を 高めるブレーキ=情報セキュリティ ブレーキをどう使うかが
これからの経営のカギ