Upgrade to Pro — share decks privately, control downloads, hide ads and more …

情報セキュリティ研修 ~入門編~

情報セキュリティ研修 ~入門編~

note埋め込み用
副業先で行ったボードメンバー向けの情報セキュリティ研修の資料です。

初回の研修なので、入門編として作成しました。

More Decks by ふみふみ@ゆるふわCIO候補(仮)

Other Decks in Business

Transcript

  1. ~入門編~ for Board Member 情報セキュリティ研修

  2. アジェンダ はじめに 経営者の責任 経営者がやるべきこと インシデント事例 情報セキュリティ10大脅威 まとめ 1. 2. 3.

    4. 5. 6.
  3. - 3 - プロフィール 名前:ふみふみ@ゆるふわCIO候補(仮) 趣味:漫画・アニメ・ダーツ・バレーボール 特技:即決力(嫁と家は1日で決めた)

  4. - 4 - 職務経歴 1社目 50人くらいのWeb制作 PG/営業 2社目 大手ソシャゲ 社内SE/CS/QA

    総務/情シスサポート 3社目 80人くらいのWeb制作 PG/社内SE 4社目 Fintech 情シス グループリーダー
  5. はじめに

  6. はじめに - 6 - 会社の            できていますか? セキュリティ対策

  7. はじめに:経営層アンケート - 7 - Q.  あなたの会社で実施しているセキュリティ対策に ついて当てはまるものをお選び下さい 位 1 位

    2 位 3 わからない・情報シス等 社内の担当部署にお任せ 61.1% 25.3% 16.8% ログ監視 SSL (Secure Sockets Layer) 【100名未満のサイバーセキュリティ対策企業 n=95】 ※1
  8. はじめに:日本企業の現状 - 8 - 【セキュリティ対策評価の実施状況】 ※2 セキュリティ対策状況 【海外】 %以上が定期的に評価 未実施は1~2%程度

    67 【日本】 %程度しか定期評価 していない 40 未実施は   %も... 14
  9. はじめに:CISO等設置状況 - 9 - 専任CISO等を設置 兼任CISO等を設置 CISO等を未設置 わからない 0 25

    50 75 100 日本 米国 欧米 27.9 67.1 16.5 78.7 29 34.7 17.5 13.3 8.3 2.1 1.1 3.6 【CISO等設置状況】 ※3
  10. はじめに:CISO等の組織内の位置づけ - 10 - 経営層・経営層直下 情シストップ(非経営層) 情セキュトップ(非経営層) CSIRTトップ(非経営層) その他 分からない

    0 25 50 75 100 日本 米国 欧米 37.2 56.0 14.1 61.8 18.2 34.7 24.7 12.8 3.8 1.6 0.6 2.8 20.7 4.7 1.9 【CISO等の組織内の位置づけ】 ※3
  11. 経営者の責任

  12. 経営者の責任 - 12 - 情報セキュリティ対策を怠ることで を負う可能性があります 「法的責任」「社会的責任」

  13. 経営者の責任:サイバーセキュリティは経営課題 - 13 - 1 サイバー攻撃は年々高度化・巧妙化 2 攻撃の踏み台にされたり、国民の社会生活に重大な 影響を及ぼす攻撃も発生 3

    セキュリティ対策の実施を、将来の事業活動・成長 への 「投資」と捉えることが重要
  14. 経営者の責任:企業が被る不利益 金銭の損失 情報漏洩による損害賠償など 顧客の喪失 レピュテーションリスク・信用低下による解約など 業務の停滞 障害・インシデントによるシステムや業務の停止など 従業員への影響 モラル低下・離職・訴訟リスクなど -

    14 -
  15. 経営者の責任:金銭の損失 機密情報や個人情報を漏洩させてしまった場合、 損害賠償請求を受けるなどの経済的損失が発生 - 15 -

  16. 経営者の責任:顧客の損失 セキュリティインシデントを起こした場合、 企業に対する管理責任が問われ社会的評価が低下 (≒レピュテーションリスク) - 16 -

  17. 経営者の責任:業務の停滞 業務システムに障害が発生した場合、 原因調査や被害の拡大防止のために システムやネットワークを停止する場合がある - 17 -

  18. 経営者の責任:従業員への影響 内部不正が容易に行えるような環境は、 従業員のモラル低下を招く要因に イメージダウンを嫌って離職増加や訴訟リスクも - 18 -

  19. 経営者の責任:経営者が負う責任 - 19 - 法的責任 情報漏洩による損害賠償 法律違反による罰金・懲役刑など 社会的責任 レピュテーションリスク 信用低下による解約

    業界全体のイメージ低下など
  20. 立入検査、帳簿書類等の物件検査及び質問 1年以下の懲役又は50万円以下の罰金 利益を侵害された者からの侵害の停止又は予防の請求 信用を害された者からの信用回復措置請求 5年以下の懲役若しくは500万円以下の罰金又はこれらの併科 犯罪行為により得た財産の必要的没収 個人情報保護法 不正競争防止法 金融商品取引法 経営者の責任:法的責任(例

    - 20 -
  21. 経営者の責任:社会的責任(例 情報提供者や顧客などの関係者に対する責任 会社法上の責任を問われ株主代表訴訟の提訴 取引先との信頼関係の喪失 業界全体のイメージダウン - 21 -

  22. 経営者がやるべきこと

  23. 認識すべき「3原則」 と 実行すべき「重要7項目の取組」 経営者がやるべきこと - 23 -

  24. 経営者がやるべきこと:3原則 原則1 情報セキュリティ対策は経営者の リーダーシップで進める - 24 - 原則2 委託先の情報セキュリティ対策まで考慮する 原則3

    関係者とは常に情報セキュリティに関する コミュニケーションをとる
  25. 経営者がやるべきこと:3原則 原則1 情報セキュリティ対策は経営者の リーダーシップで進める 原則2 委託先の情報セキュリティ対策まで考慮する 原則3 関係者とは常に情報セキュリティに関する コミュニケーションをとる -

    25 -
  26. 経営者がやるべきこと:3原則 原則1 情報セキュリティ対策は経営者の リーダーシップで進める - 26 - 原則2 委託先の情報セキュリティ対策まで考慮する 原則3

    関係者とは常に情報セキュリティに関する コミュニケーションをとる
  27. 経営者がやるべきこと:3原則 原則1 情報セキュリティ対策は経営者の リーダーシップで進める - 27 - 原則2 委託先の情報セキュリティ対策まで考慮する 原則3

    関係者とは常に情報セキュリティに関する コミュニケーションをとる
  28. 経営者がやるべきこと:重要7項目の取組 - 28 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する
  29. 経営者がやるべきこと:重要7項目の取組 - 29 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する
  30. 経営者がやるべきこと:重要7項目の取組 - 30 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する
  31. 経営者がやるべきこと:重要7項目の取組 - 31 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する
  32. 経営者がやるべきこと:重要7項目の取組 - 32 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する
  33. 経営者がやるべきこと:重要7項目の取組 - 33 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する
  34. 経営者がやるべきこと:重要7項目の取組 - 34 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する
  35. 経営者がやるべきこと:重要7項目の取組 - 35 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する
  36. ISMSの取得 / 運用 情報セキュリティガバナンス できることからやる 情報セキュリティ5ヶ条の遵守 情報セキュリティ基本方針の策定・公開 情報セキュリティ自社診断の実施 経営者がやるべきこと:その他 -

    36 -
  37. 経営者がやるべきこと:情報セキュリティ5ヶ条 - 37 - 1 2 3 4 5 OSやソフトウェアは常に最新の状態にしよう!

    ウイルス対策ソフトを導入しよう! パスワードを強化しよう! 共有設定を見直そう! 脅威や攻撃の手口を知ろう!
  38. インシデント事例

  39. 実際に起きたインシデントにより インシデント事例 - 39 - 代表取締役や役員が 責任を取っている

  40. インシデント事例:株式会社東京証券取引所 東証の株式売買システムでシステム障害発生 2時間半ほどで復旧したが、終日取引停止 自動切換機能のテスト不十分 障害発生時の再開手順・ルール未整備 社長辞任 + 役員陣の月額報酬の減額 概要 原因

    影響 - 40 -
  41. Gr会社の委託先元社員による個人情報の漏洩 約260億円の特別損失 + 会員数約35%減 アクセス制御やセキュリティアラートの設定不足 セキュリティ責任者・管理部署の未設置 HD社長 + 子会社社長の辞任 概要

    原因 影響 インシデント事例:株式会社ベネッセHD - 41 -
  42. サービス開始直後、クレカの不正利用発生 3ヶ月後にサービス停止・被害総額3,800万超 セキュリティ設計・検討が不十分 システム全体の最適化の検証が不十分 社長辞任 + HD社長・副社長の月額報酬の減額 概要 原因 影響

    インシデント事例:株式会社セブン・ペイ - 42 -
  43. 元従業員が嫌がらせのために求人サイト改ざん、 役員を装った虚偽メッセージの掲載など アカウント管理等のセキュリティ対策が不十分 管理体制の不備 社長辞任 概要 原因 影響 インシデント事例:株式会社つながり -

    43 -
  44. 従業員による外部から預かった廃棄用HDD等の 不正転売 管理体制が不十分 社長辞任 + 新規営業1ヶ月停止 入札案件の一定期間停止 概要 原因 影響

    インシデント事例:ブロードリンク株式会社 - 44 -
  45. インシデント事例:その他 2021年:713件 日に2件程度はどこかしらで発生している ランサムウェア等のマルウェア感染 不正アクセス 従業員の誤送信...など 国内のインシデント・情報漏洩ニュース 原因 - 45

    -
  46. 情報セキュリティ 10大脅威

  47. 情報セキュリティ10大脅威 2022 - 47 - 毎年IPAが発表している 社会的に影響が大きかった セキュリティの脅威ランキング

  48. 情報セキュリティ10大脅威:組織編 順位 内容 順位 内容 1位 ランサムウェアによる被害 6位 脆弱性対策情報の公開に伴う悪用増加 2位

    標的型攻撃による機密情報の窃取 7位 修正プログラムの公開前を狙う攻撃 (ゼロデイ攻撃) 3位 サプライチェーンの弱点を 悪用した攻撃 8位 ビジネスメール詐欺による金銭被害 4位 テレワーク等のニューノーマルな 働き方を狙った攻撃 9位 予期せぬIT基盤の障害に伴う 業務停止 5位 内部不正による情報漏洩 10位 不注意による情報漏洩等の被害 - 48 - 【情報セキュリティ10大脅威 2022】 ※4
  49. 情報セキュリティ10大脅威:個人編 順位 内容 順位 内容 1位 フィッシングによる個人情報等の詐取 6位 偽警告によるインターネット詐取 2位

    ネット上の誹謗・中傷・デマ 7位 不正アプリによるスマホ利用者への被害 3位 メールやSMS等を使った脅迫・詐取の 手口による金銭要求 8位 インターネット上のサービスからの 個人情報の窃取 4位 クレジットカード情報の不正利用 9位 インターネットバンキングの不正利用 5位 スマホ決済の不正利用 10位 インターネット上のサービスへの 不正ログイン - 49 - 【情報セキュリティ10大脅威 2022】 ※4
  50. まとめ

  51. - 51 - 1 2 3 セキュリティインシデントは経営責任 セキュリティ対策に投資しよう 3原則を認識し、重要7項目を取り組もう 情報セキュリティ責任者を任命して、

    できることからやろう まとめ
  52. まとめ:3原則 原則1 情報セキュリティ対策は経営者の リーダーシップで進める - 52 - 原則2 委託先の情報セキュリティ対策まで考慮する 原則3

    関係者とは常に情報セキュリティに関する コミュニケーションをとる
  53. まとめ:重要7項目の取組 - 53 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する
  54. APPENDIX:内容の参照元 IPA 中小企業の情報セキュリティ対策ガイドライン 経済産業省 サイバーセキュリティ経営ガイドライン Ver 2.0 経営リスクとしてのサイバーセキュリティ対策 1. a.

    2. a. b. - 54 -
  55. APPENDIX:図の参照元 サイバーセキュリティクラウド株式会社 経営層600人に聞く最新セキュリティ対策調査 NRIセキュアテクノロジー株式会社 日本企業のセキュリティ課題の1位は「インシデント対応」 |NRIセキュア調査結果  経済産業省 経営リスクとしてのサイバーセキュリティ対策  IPA(情報処理推進機構) 情報セキュリティ10大脅威

    2022 1. a. 2. a. 3. a. 4. a. - 55 -
  56. ご静聴 ありがとうございました