Upgrade to Pro — share decks privately, control downloads, hide ads and more …

リーグオブ情シス 第5回 チーム:Fintech

リーグオブ情シス 第5回 チーム:Fintech

リーグオブ情シス 第五回 スーパーリーグ Presented by メタップス #LoI
https://league-of-infosys.connpass.com/event/210224/

発表順:2番目
チーム:Fintech

発表資料になります。

83fb83b29043352865f8818daa67802b?s=128

humihumi

May 28, 2021
Tweet

Transcript

  1. リーグオブ情シス 第5回 セキュリティ投資提案書 チーム:Fintech

  2. アドバイザー 12ban 情シス歴:6年 セキュリティエンジニア歴:1年 発表者 ふみふみ@ゆるふわ情シス 情シス歴:2年⽬ なんでも屋歴:5年 - 2

    -
  3. アジェンダ 企業情報 企業背景・状態 情シスからの提案事項 発生費用 提案詳細 まとめ 1. 2. 3.

    4. 5. 6.
  4. 社名 :株式会社シゲオン オフィス:港区麻布十番 沿革 :2007年創業 業種 :電子決済サービス 社員数 :200名 資本金

    :30億円 企業情報 - 4 -
  5. 前年度売上:20億円。今期は25億円の見込み 上場を目指しているという噂 DMマーケや開発の一部をオフショア中 ベトナム・シンガポール・韓国・中国 過去、セキュリティに関する上申あり 当時は売上を優先し断念 企業背景・状態 - 5 -

  6. システム構成図 - 6 -

  7. - 7 -

  8. - 8 -

  9. 今後も事業を拡大し、 売上・利益を伸ばしていきたいですよね? 前提について質問 - 9 -

  10. 技術やオフショアに注力したからこそ、 20億円の売上とサービスがある それは素晴らしい!感謝! 今までについて - 10 -

  11. 情シスからの 提案事項

  12. セキュリティへの継続的な投資をしましょう 情報資産を正しく管理・制御しましょう 1. 2. 提案事項 - 12 -

  13. セキュリティへの継続的な投資をしましょう must:PCI DSSの取得・準拠 need:セキュリティ専任者の設置 must:クレカに焦点を絞ったリスクアセスメント 提案事項1 - 13 -

  14. 発生費用

  15. 概算費用と必要な期間 - 15 - スポット:26,000,000円 ランニング:22,500,000円

  16. 提案事項の詳細

  17. 提案事項の詳細①:PCI DSSの取得・準拠 改正割賦販売法により、弊社はPCI DSS準拠が必須! 非準拠のままインシデントが発生した場合、PCIに準拠 するまで約1年間の「事業停止 = 売上0」 PCI準拠 or

    事業停止 or 祈る しかない a. b. c. 【理由】重大な事業継続リスクあり - 17 -
  18. PCI DSSとは? クレカ会員の情報保護を目的に定められた、クレカ業界の 国際的な情報セキュリティ基準 VISA / MasterCard / JCB /

    AMEX / Discover によって策定 6つの目標とそれに対する12の要件がある - 18 -
  19. - 19 -

  20. PCI DSSへの準拠は必須? 経産省への登録が必要 改正割賦販売法と日本クレジットカード協会のガイドライ ンでは、以下のいずれかを満たす必要がある PCIに準拠する(対策指針) 同等以上の措置を講じる必要がある 独自で同等以上をやるくらいならPCI準拠する方が易しい - 20

    -
  21. 改正割賦販売法とは? 元々クレカや分割・後払いなどに関する法律 2016年12月9日公布 2018年6月1日施行 近年の不正被害拡大に伴い改正 クレカを取り扱う事業者は経産省への登録が必須に PCI準拠 or それと同等以上の措置が必要 -

    21 -
  22. 【想定】インシデント発生で何が起きるか 1 2 3 4 事業停止 損害賠償 追加投資 人材流出 5

    風評被害 PCI準拠まで1年程度事業停止・上場が遠のく 加盟店の事業停止等に伴う賠償 セキュリティに数千万~数億の追加投資が必要 退職者が増える・事業運営できなくなる 契約できない・解約される・入社する人がいない - 22 -
  23. フォレンジック調査費用 カード再発行費用 不正モニタリング費用 加盟店の事業停止補填 加盟店の謝罪費用補填 【例】1万件・2000加盟店分の カード情報が流出したら... 1 2 3

    4 5 1,000万 3,000万 = 3,000円*10,000件 500万 = 500円*10,000件 2,000億 = 1億*2000店 60億 = 300万*2000店 それ以外にも、行政指導・社会的信頼の失墜・倒産も... - 23 -
  24. 提案事項の詳細①:PCI DSSの取得・準拠 過去インシデントが起きていないは、事実だが非論理的 将来発生しない保証はない 日本でも大小含め、毎日なんらかインシデント起きてる 不正アクセス・脆弱性・設定不備などいたる所に脅威が a. i. b. c.

    【理由2】サイバー攻撃・内部不正は増えている - 24 -
  25. 提案事項の詳細①:PCI DSSの取得・準拠 アカウント設計や権限設定、データガバナンスが行われ ているのか把握できていない オフショア先のセキュリティ体制も不明瞭 設定不備を突かれるかもしれないし、内部・オフショア から情報漏洩するかもしれない a. b. c.

    【理由3】今のシゲオンは穴だらけ - 25 -
  26. - 26 -

  27. - 27 -

  28. - 28 -

  29. 提案事項の詳細①:PCI DSSの取得・準拠 世界的に攻撃は増えてるし、インシデントもよく見る 結局うちがどれくらい狙われているのかピンとこない じゃあ実際に確認してみたらどうなるか a. b. c. 【検証】弊社は攻撃を受けているの? -

    29 -
  30. 【検証】一時的WAFを設置して攻撃を可視化 - 30 -

  31. 提案事項の詳細①:PCI DSSの取得・準拠 弊社は法的にPCI準拠する必要がある 厳密には同等の措置でもOKだが、非常に困難 加盟店やカード会社から指摘されていないことが奇跡 関係省庁へ報国されたらアウト a. i. b. c.

    【理由4】法律はちゃんと遵守しましょう - 31 -
  32. 提案事項の詳細②:クレカに絞ったアセスメント 時間をかければかけるほど、攻撃や指摘リスクが高まる ひとまず最重要資産であるクレカ情報に焦点を絞る 分析後、発見されたリスクの緊急度が高いものから対応 a. b. c. 【理由】クイックにどんなリスクがあるか分析 - 32

    -
  33. 組織として継続的にセキュリティ対策・対応をするため セキュリティ担当者の採用を行なう もしくは繋ぎで情シス1名を割り当て、代わりに情シスを 1名増やす a. b. c. 提案事項の詳細③:セキュリティ担当者の設置 【理由】継続的に対応するために専任を置く -

    33 -
  34. - 34 - PCI DSSの取得・準拠が 最優先事項! とにかく

  35. - 35 - やった方が絶対にいいし 実際にneedは行なうが コスト・優先度の問題 これ以降いわば おまけ

  36. 情報資産を正しく管理・制御しましょう need:各種アプリ・ツールのアクセス権限の見直し want:ISMSの取得 need:オフショア委託に関する確認 提案事項2 - 36 -

  37. 役割に沿った権限を設定する 過剰な権限を付与していないか 設定不備はないか 権限の付与ルールはちゃんとあるか a. b. c. d. 提案事項の詳細④:各種アクセス権限の見直し 【理由】過剰な権限や設定不備による

    攻撃・漏洩リスクを減らす - 37 -
  38. オフショア先のセキュリティ体制は? 漏洩する可能性のある情報資産はなにか? 政治的・法的リスク a. b. c. 提案事項の詳細⑤:オフショア委託に関する確認 【理由】攻撃・漏洩するのは自社だけではない - 38

    -
  39. 一定のフォーマットに沿った管理・運用ができる 外部監査が入ることで、PDCAを回しやすくなる 社内・外部にどういう情報資産があり、どういう重要 度・リスクがあるか管理・把握しやすくなる a. b. c. 提案事項の詳細⑥:ISMSの取得 【理由】情報資産の適切な管理と継続的な更新 -

    39 -
  40. まとめ

  41. - 41 - 1 2 3 PCI DSSを取得・準拠しましょう リスクアセスメントしましょう 情報資産の再確認・再設定をしましょう

    とにかく
  42. 概算費用と必要な期間 - 42 - スポット:26,000,000円 ランニング:22,500,000円

  43. - 43 - 1 2 3 売上0となる未来を回避できる ユーザーへの安心・信頼を与えられる 流出時の特別損失を軽減できる 結果的に

  44. ご静聴 ありがとうございました