Upgrade to Pro — share decks privately, control downloads, hide ads and more …

中小事業者の情報セキュリティ対策とは~まずなにをやるべきか

Kyoko HANADA
February 19, 2019

 中小事業者の情報セキュリティ対策とは~まずなにをやるべきか

愛知県安城市の安城商工会議所にて開催された中小企業向け情報セキュリティセミナーでの講演資料(公開用)。

Kyoko HANADA

February 19, 2019
Tweet

More Decks by Kyoko HANADA

Other Decks in Business

Transcript

  1. 講師:自己紹介 • 花田 経子(Kyoko Hanada) • 岡崎女子大学 子ども教育学部 講師 •

    2002年 愛知大学大学院経営学研究科博士後期課程満期退学 • 2002~2015年 新島学園短期大学キャリアデザイン学科専任講師 • 外部役員等(一部) • 文部科学省enPiT-Security アドバイザリー委員 • 愛知県警 中小事業者情報セキュリティ対策支援ネットワーク アドバイザー • 研究分野 • 情報システム監査の監査人のキャリア形成と人材育成 • 情報セキュリティ人材のキャリア形成と人材育成 • 初等教育における情報教育と情報セキュリティ教育のための人材育成 • その他 • デジタルネイティブな小学校2年生を育てる母親
  2. 中小事業者が置かれている現状認識 • 企業側の情報セキュリティに係るリスクは増大している • 経営上のリスクとしての認識はほぼ共通理解になっている • 実質的にどのような対応をすればよいか、はバラバラの状況 個人情報漏えい事故が あるといろいろと… DDoSとか、Webを書き換

    えられたりすると… 納品した製品に脆弱性が あると… 取引先からも情報セキュ リティ対策を求められ… 大手さんとちがって、 うちにはヒトもカネも ないんだけど・・・ 自社で何とか対応しよう よそにお願いしよう 実は・・・
  3. その対応方法で本当に大丈夫か? • どの対応方法でもそれなりに利点/欠点がある 利点 欠点 自社で何とかしよう派 コストは押さえられる 自社内の人材が養成できる 知識・経験が十分か? 情報がえらえるか?

    よそにお願いしよう派 専門知識・情報を入手できる コストはサービスに見合っている か? 自社の人材は育たない 実は・・・派 コストはかからない 他企業からの損害賠償などのリ スクも含む
  4. リスクとリスクマネジメント(一般論) • リスク(risk) • 危険のある状態、危険性 • 脅威と脆弱性が露出すると…リスクとなる • リスクマネジメント(risk management)

    • リスクを把握し適切に管理する行動 組織内部 情報資産 脆弱性 脅威 リスク 脅威が表面化し、 実際に事件事故が発生すると インシデントとなる
  5. セキュリティインシデントとは • インシデント(incident) • セキュリティインシデントのことを指す • 情報システムの管理上、重大な事故や事件などが発生すること • 脅威が表面化した状態がインシデントといえる •

    インシデントレスポンス • インシデントが発生した際にどのような対応をすればよいかということをまと めたもの。 • インシデントレスポンスの際のルールと組織化 インシデントレスポンスは特に中小事業者には絶対に必要
  6. 自社のリスクは自社しか判断できない • 自社にとって重要なのは なにをされたら、どれぐらい困るのかを算出すること • Webページを改ざんされてWebを閉鎖したら1日当たりの売上への影響は? • DDoSで社内システムがすべてダウンしたら1日当たりの売上への影響は? • 自社の社員が個人情報を盗んで売ったらどれぐらいの損失が発生するか?

    • 納品したシステム(IoT)に脆弱性があったら、取引企業からの損害賠償が どの程度発生するか? • 自社の金融担当者がフィッシング詐欺にかかり不正送金されたら? • 自社の情報システムを請負う企業が倒産してアップデートされない場合に どれぐらいの対応コストがかかるのか?
  7. 自社のリスクを把握するために必要なこと • どのようなメンバーで実施するか • 意思決定は、経営に責任を持てる人間が最終判断 • 現場で業務プロセスを熟知しているメンバーを巻き込む • 情報システムがどう構築されているか理解しているメンバーを巻き込む •

    ベンダーの協力をどう得るか • 必要なサービスをどう見積もるか(費用対効果) • そのベンダーに能力があるか • 脆弱性対応などを適切にやってくれるか、情報を正しく提供してくれるか • 対策の優先順位をどう決めるか • リスク • やりやすさ
  8. インシデント対応としてのCSIRT設置について • CSIRT(Computer Security Incident Response Team) • インシデント対応のために、専用のチームを作って対応するための仕組み •

    公的機関・金融機関・大企業・大学等では作ることを推奨されている • 日本シーサート協議会(NCA)というCSIRTが所属して情報共有をするための 団体がある • 愛知県内でも、トヨタや中部電力などを中心にNCAの地方WGが開催されている • 中小事業者では… • 正式なCSIRTを作ることはかなりの人的コスト・対応コストを要する • なので、実現させるのはかなり苦労する • 元からある危機管理対応組織の情報連携やBCPの枠組みに乗っかるのが ベター • 外部からの連絡窓口と経営者への情報連携は必須
  9. 中小事業者でできること • 自社でやるべきことと他者にゆだねてもよいものを分ける • 情報資産のリスクは自社でしかわからない • リスク対応の優先順位も自社が責任を持つべき領域 • 事後対策の事前準備 •

    インシンデントレスポンスは重要 • 事後対応は事前対策で決まる • 情報入手のための情報共有を • 良質な情報を入手できる環境の整備 • ベンダーに頼りすぎない、一次情報を適切に見る • 情報共有の枠組みを積極的に利用する すでに用意されている ものは取り入れて使う