情報セキュリティ研修 ~入門編~

Transcript

1. ~入門編~ for Board Member 情報セキュリティ研修

2. アジェンダ はじめに 経営者の責任 経営者がやるべきこと インシデント事例 情報セキュリティ10大脅威 まとめ 1. 2. 3.

   4. 5. 6.

3. - 3 - プロフィール 名前：ふみふみ＠ゆるふわCIO候補（仮） 趣味：漫画・アニメ・ダーツ・バレーボール 特技：即決力（嫁と家は1日で決めた）

4. - 4 - 職務経歴 1社目 50人くらいのWeb制作 PG/営業 2社目 大手ソシャゲ 社内SE/CS/QA

   総務/情シスサポート 3社目 80人くらいのWeb制作 PG/社内SE 4社目 Fintech 情シス グループリーダー

5. はじめに

6. はじめに - 6 - 会社の 　　　　　　　　　　 できていますか？ セキュリティ対策

7. はじめに：経営層アンケート - 7 - Q. 　あなたの会社で実施しているセキュリティ対策に ついて当てはまるものをお選び下さい 位 1 位

   2 位 3 わからない・情報シス等 社内の担当部署にお任せ 61.1% 25.3% 16.8% ログ監視 SSL (Secure Sockets Layer) 【100名未満のサイバーセキュリティ対策企業 n=95】 ※1

8. はじめに：日本企業の現状 - 8 - 【セキュリティ対策評価の実施状況】 ※2 セキュリティ対策状況 【海外】 %以上が定期的に評価 未実施は1~2%程度

   67 【日本】 %程度しか定期評価 していない 40 未実施は 　　%も... 14

9. はじめに：CISO等設置状況 - 9 - 専任CISO等を設置 兼任CISO等を設置 CISO等を未設置 わからない 0 25

   50 75 100 日本 米国 欧米 27.9 67.1 16.5 78.7 29 34.7 17.5 13.3 8.3 2.1 1.1 3.6 【CISO等設置状況】 ※3

10. はじめに：CISO等の組織内の位置づけ - 10 - 経営層・経営層直下 情シストップ（非経営層） 情セキュトップ（非経営層） CSIRTトップ（非経営層） その他 分からない

    0 25 50 75 100 日本 米国 欧米 37.2 56.0 14.1 61.8 18.2 34.7 24.7 12.8 3.8 1.6 0.6 2.8 20.7 4.7 1.9 【CISO等の組織内の位置づけ】 ※3

11. 経営者の責任

12. 経営者の責任 - 12 - 情報セキュリティ対策を怠ることで を負う可能性があります 「法的責任」「社会的責任」

13. 経営者の責任：サイバーセキュリティは経営課題 - 13 - 1 サイバー攻撃は年々高度化・巧妙化 2 攻撃の踏み台にされたり、国民の社会生活に重大な 影響を及ぼす攻撃も発生 3

    セキュリティ対策の実施を、将来の事業活動・成長 への 「投資」と捉えることが重要

14. 経営者の責任：企業が被る不利益 金銭の損失 情報漏洩による損害賠償など 顧客の喪失 レピュテーションリスク・信用低下による解約など 業務の停滞 障害・インシデントによるシステムや業務の停止など 従業員への影響 モラル低下・離職・訴訟リスクなど -

    14 -

15. 経営者の責任：金銭の損失 機密情報や個人情報を漏洩させてしまった場合、 損害賠償請求を受けるなどの経済的損失が発生 - 15 -

16. 経営者の責任：顧客の損失 セキュリティインシデントを起こした場合、 企業に対する管理責任が問われ社会的評価が低下 （≒レピュテーションリスク） - 16 -

17. 経営者の責任：業務の停滞 業務システムに障害が発生した場合、 原因調査や被害の拡大防止のために システムやネットワークを停止する場合がある - 17 -

18. 経営者の責任：従業員への影響 内部不正が容易に行えるような環境は、 従業員のモラル低下を招く要因に イメージダウンを嫌って離職増加や訴訟リスクも - 18 -

19. 経営者の責任：経営者が負う責任 - 19 - 法的責任 情報漏洩による損害賠償 法律違反による罰金・懲役刑など 社会的責任 レピュテーションリスク 信用低下による解約

    業界全体のイメージ低下など

20. 立入検査、帳簿書類等の物件検査及び質問 1年以下の懲役又は50万円以下の罰金 利益を侵害された者からの侵害の停止又は予防の請求 信用を害された者からの信用回復措置請求 5年以下の懲役若しくは500万円以下の罰金又はこれらの併科 犯罪行為により得た財産の必要的没収 個人情報保護法 不正競争防止法 金融商品取引法 経営者の責任：法的責任（例

    - 20 -

21. 経営者の責任：社会的責任（例 情報提供者や顧客などの関係者に対する責任 会社法上の責任を問われ株主代表訴訟の提訴 取引先との信頼関係の喪失 業界全体のイメージダウン - 21 -

22. 経営者がやるべきこと

23. 認識すべき「3原則」 と 実行すべき「重要7項目の取組」 経営者がやるべきこと - 23 -

24. 経営者がやるべきこと：3原則 原則1 情報セキュリティ対策は経営者の リーダーシップで進める - 24 - 原則2 委託先の情報セキュリティ対策まで考慮する 原則3

    関係者とは常に情報セキュリティに関する コミュニケーションをとる

25. 経営者がやるべきこと：3原則 原則1 情報セキュリティ対策は経営者の リーダーシップで進める 原則2 委託先の情報セキュリティ対策まで考慮する 原則3 関係者とは常に情報セキュリティに関する コミュニケーションをとる -

    25 -

26. 経営者がやるべきこと：3原則 原則1 情報セキュリティ対策は経営者の リーダーシップで進める - 26 - 原則2 委託先の情報セキュリティ対策まで考慮する 原則3

    関係者とは常に情報セキュリティに関する コミュニケーションをとる

27. 経営者がやるべきこと：3原則 原則1 情報セキュリティ対策は経営者の リーダーシップで進める - 27 - 原則2 委託先の情報セキュリティ対策まで考慮する 原則3

    関係者とは常に情報セキュリティに関する コミュニケーションをとる

28. 経営者がやるべきこと：重要7項目の取組 - 28 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する

29. 経営者がやるべきこと：重要7項目の取組 - 29 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する

30. 経営者がやるべきこと：重要7項目の取組 - 30 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する

31. 経営者がやるべきこと：重要7項目の取組 - 31 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する

32. 経営者がやるべきこと：重要7項目の取組 - 32 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する

33. 経営者がやるべきこと：重要7項目の取組 - 33 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する

34. 経営者がやるべきこと：重要7項目の取組 - 34 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する

35. 経営者がやるべきこと：重要7項目の取組 - 35 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する

36. ISMSの取得 / 運用 情報セキュリティガバナンス できることからやる 情報セキュリティ5ヶ条の遵守 情報セキュリティ基本方針の策定・公開 情報セキュリティ自社診断の実施 経営者がやるべきこと：その他 -

    36 -

37. 経営者がやるべきこと：情報セキュリティ5ヶ条 - 37 - 1 2 3 4 5 OSやソフトウェアは常に最新の状態にしよう！

    ウイルス対策ソフトを導入しよう！ パスワードを強化しよう！ 共有設定を見直そう！ 脅威や攻撃の手口を知ろう！

38. インシデント事例

39. 実際に起きたインシデントにより インシデント事例 - 39 - 代表取締役や役員が 責任を取っている

40. インシデント事例：株式会社東京証券取引所 東証の株式売買システムでシステム障害発生 2時間半ほどで復旧したが、終日取引停止 自動切換機能のテスト不十分 障害発生時の再開手順・ルール未整備 社長辞任 + 役員陣の月額報酬の減額 概要 原因

    影響 - 40 -

41. Gr会社の委託先元社員による個人情報の漏洩 約260億円の特別損失 + 会員数約35%減 アクセス制御やセキュリティアラートの設定不足 セキュリティ責任者・管理部署の未設置 HD社長 + 子会社社長の辞任 概要

    原因 影響 インシデント事例：株式会社ベネッセHD - 41 -

42. サービス開始直後、クレカの不正利用発生 3ヶ月後にサービス停止・被害総額3,800万超 セキュリティ設計・検討が不十分 システム全体の最適化の検証が不十分 社長辞任 + HD社長・副社長の月額報酬の減額 概要 原因 影響

    インシデント事例：株式会社セブン・ペイ - 42 -

43. 元従業員が嫌がらせのために求人サイト改ざん、 役員を装った虚偽メッセージの掲載など アカウント管理等のセキュリティ対策が不十分 管理体制の不備 社長辞任 概要 原因 影響 インシデント事例：株式会社つながり -

    43 -

44. 従業員による外部から預かった廃棄用HDD等の 不正転売 管理体制が不十分 社長辞任 + 新規営業1ヶ月停止 入札案件の一定期間停止 概要 原因 影響

    インシデント事例：ブロードリンク株式会社 - 44 -

45. インシデント事例：その他 2021年：713件 日に2件程度はどこかしらで発生している ランサムウェア等のマルウェア感染 不正アクセス 従業員の誤送信...など 国内のインシデント・情報漏洩ニュース 原因 - 45

    -

46. 情報セキュリティ 10大脅威

47. 情報セキュリティ10大脅威 2022 - 47 - 毎年IPAが発表している 社会的に影響が大きかった セキュリティの脅威ランキング

48. 情報セキュリティ10大脅威：組織編 順位 内容 順位 内容 1位 ランサムウェアによる被害 6位 脆弱性対策情報の公開に伴う悪用増加 2位

    標的型攻撃による機密情報の窃取 7位 修正プログラムの公開前を狙う攻撃 （ゼロデイ攻撃） 3位 サプライチェーンの弱点を 悪用した攻撃 8位 ビジネスメール詐欺による金銭被害 4位 テレワーク等のニューノーマルな 働き方を狙った攻撃 9位 予期せぬIT基盤の障害に伴う 業務停止 5位 内部不正による情報漏洩 10位 不注意による情報漏洩等の被害 - 48 - 【情報セキュリティ10大脅威 2022】 ※4

49. 情報セキュリティ10大脅威：個人編 順位 内容 順位 内容 1位 フィッシングによる個人情報等の詐取 6位 偽警告によるインターネット詐取 2位

    ネット上の誹謗・中傷・デマ 7位 不正アプリによるスマホ利用者への被害 3位 メールやSMS等を使った脅迫・詐取の 手口による金銭要求 8位 インターネット上のサービスからの 個人情報の窃取 4位 クレジットカード情報の不正利用 9位 インターネットバンキングの不正利用 5位 スマホ決済の不正利用 10位 インターネット上のサービスへの 不正ログイン - 49 - 【情報セキュリティ10大脅威 2022】 ※4

50. まとめ

51. - 51 - 1 2 3 セキュリティインシデントは経営責任 セキュリティ対策に投資しよう 3原則を認識し、重要7項目を取り組もう 情報セキュリティ責任者を任命して、

    できることからやろう まとめ

52. まとめ：3原則 原則1 情報セキュリティ対策は経営者の リーダーシップで進める - 52 - 原則2 委託先の情報セキュリティ対策まで考慮する 原則3

    関係者とは常に情報セキュリティに関する コミュニケーションをとる

53. まとめ：重要7項目の取組 - 53 - 取組1 情報セキュリティに関する組織全体の対応方針を定める 取組2 情報セキュリティ対策のための予算や人材などを確保する 取組3 必要と考えられる対策を検討させて実行を指示する

    取組4 情報セキュリティ対策に関する適宜の見直しを指示する 取組5 緊急時の対応や復旧のための体制を整備する 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする 取組7 情報セキュリティに関する最新動向を収集する

54. APPENDIX：内容の参照元 IPA 中小企業の情報セキュリティ対策ガイドライン 経済産業省 サイバーセキュリティ経営ガイドライン Ver 2.0 経営リスクとしてのサイバーセキュリティ対策 1. a.

    2. a. b. - 54 -

55. APPENDIX：図の参照元 サイバーセキュリティクラウド株式会社 経営層600人に聞く最新セキュリティ対策調査 NRIセキュアテクノロジー株式会社 日本企業のセキュリティ課題の1位は「インシデント対応」 ｜NRIセキュア調査結果 　経済産業省 経営リスクとしてのサイバーセキュリティ対策 　IPA（情報処理推進機構） 情報セキュリティ10大脅威

    2022 1. a. 2. a. 3. a. 4. a. - 55 -

56. ご静聴 ありがとうございました