組織のセキュリティって、どう確認するの？

Transcript

1. 組織のセキュリティってどう 確認するの？ ― ポリシー‧ルール‧体制‧開発 しがないセキュリティアーキテクト

2. ⾃⼰紹介 ‧キーグ ‧妻が最推し ‧しがないセキュリティアーキテクト ‧Microsoft Defender が好き ‧セキュリティ歴 ⼗年程 2

3. お願い事項 3 本資料は、内容の正確性には配慮しています が、作成者の理解不⾜や表現の不⼗分さが含ま れる可能性があります。 お気づきの点がありましたら、ご指摘いただけ ますと幸いです。

4. はじめに 第01回shirosec セキュリティ共通編 私のコメント 4 セキュリティが強い組織とは、個々⼈の判断に依存しないセキュリティの共通 対策が整い運⽤されている状態です。 そのうえで、ポリシーやルールを理解し、⾃分で⾏動できることが 重要です。

5. 最終的なゴール 以下の流れを想定してます、今回は左の「キーワードの解像度をあげる」です 5 セキュリティにおける キーワードの解像度を上げる （組織∕ポリシー∕ルール∕ プロセス） 「⾃組織の現状を⾒⽴て、次 の改善活動につなげる」 『⾃分たちはどう守るか』を

   説明できるようにする 本資料の対象 各組織によって様々

6. ⽬次 1. “組織”とは何か 2. 組織を理解するための3つの視点 3. 視点① 仕組みを⾒る 4. 視点②

   判断軸を⾒る 5. 視点③ 運⽤を⾒る 6. まとめ 6

7. 組織とは何か 「組織＝⼈の集まり」ではない。「組織＝⽬的を達成する仕組み」 7 ‧判断が⼈に依存 ‧ルールがない、守れない ‧連絡経路が曖昧 ⽬的を達成するために、役割‧ ルール‧意思決定‧情報の流れが 設計された仕組み セキュリティは「⼈」ではなく、「組織=⽬的を達成する仕組み」で担保

   デジタル⼤辞泉では、「⼀定の共通⽬標を達成するために、成員間の役割や機能が分化‧統合されている集団。」と定義 ⼈（属⼈） 組織（仕組み） 企業には顧客に価値を提供する 事業があり、その事業を継続す るためにセキュリティが必要 セキュリティ要件を満たす対策 は、⼀⼈の努⼒では限界があ り、仕組みで担保 組織（全体）の中に構造（設計）があり、構造を動かすために仕組み（実装）がある

8. C 組織を理解するための 3つの視点 8

9. 組織を理解するための3つの視点 ( 1 / 2 ) 組織を理解するための３つの視点（セキュリティ限定の話じゃないです） 9 仕組み （設計）

   判断軸 （意思決定） 運⽤ （実⾏） 迷わない導線 迷ったときの 優先順位 決めた⼿順で 回っている 3つの視点で⾃分の組織を確認

10. 組織を理解するための3つの視点 ( 2 / 2 ) 例. 従業員が不審メールのようなものを受信‧開封してしまった時（セキュリティのケース） 10 仕組み

    （設計） 判断軸 （意思決定） 運⽤ （実⾏） ワンクリック通報 迷ったら即報告 会社の⼿順に従う ⼈の判断を前提にせず、構造で初動が統⼀されてますか？

11. C 視点① 仕組みを⾒る 11

12. 視点① 仕組みを⾒る ( 1 / 3 ) 組織の決まりごとは、バラバラに存在するのではなく、上から下へ”階層”になっています。上にあるほど抽 象的（原則‧⽅針）で、下に⾏くほど具体的（現場でどう動くかの⼿順）となります。 12

    法律‧省令‧ガイドライン 契約（取引‧委託など） 基本⽅針（ポリシー） 規程‧ルール（守るべき事項） ⼿順‧運⽤（現場の導線） 品質やセキュリティなど、軸ごとに“上位（原則）→下位（⼿順）”の上下がある 契約については、階層に含めるか悩みました。⼀旦、わかりやすい形ということで本構成とさせていただいております。

13. 視点① 仕組みを⾒る ( 2 / 3 ) 情報セキュリティに当てはめた場合の参考例、⼤半の⽅は⻘ラインのところが⾒るべきポイント 13 階層

    名称 概要 例 責任（誰が決める） 社外のルール 法律・省令・ガイドライン 会社が必ず守る必要がある最低ライン 個人情報の扱い、事故報告の義務、 委託先管理など 国・監督官庁 社内外のルール 契約（取引、委託等） 契約とは、取引の約束。守られない場合 は法的な責任が生じるもの 秘密保持契約、監査対応、再委託の 条件など 会社の契約権限者 社内のルール① 情報セキュリティ基本方 針（ポリシー） 「自組織は何を守り、どういう考えでやる か」の宣言 守る対象（資産）、責任体制 社長、取締役会 社内のルール② 情報管理規則 “守らなきゃいけないルール ”を文章にした もの アクセス権限、持ち出し禁止 会社の規程の承認ルート 社内のルール③ 情報管理細則 ルールを「ここまでやる」に落とした最低ラ イン MFA必須、ログ保存期間 CISO、情シス責任者 チーム/プロジェク トのルール① PRJの設計書や運用設 計書 チームやプロジェクトのルールを文章にし たもの コーディング規約 PRJ/運用責任者 チーム/プロジェク トのルール② 手順書 “実際にどうやるか”のやり方メモ（行動の 手順） インシデント対応手順書 PRJ/運用責任者から権限 を委任された人 細則や⼿順書でわからないところは、ひとつ上の階層を確認

14. 視点① 仕組みを⾒る ( 3 / 3 ) 14 ☑ 必要な⽂書（ポリシー、規則、細則、設計書、⼿順書）は、揃っていますか

    ☑ 内容が明確になっており、読んで適切に動けますか ☑ “現場がどう動けばよいか”、現場の⼈が分かっていますか 仕組みが整っているか、⾃分はどう動けばいいかを把握しましょう 例1  怪しいメールにひっかかったら、    対応⼿順がわかるか？ 例2  マルウェアに感染して    警告メッセージが出た際の    ⾏動を理解しているか？ チェックができなかった箇所は、上司や先輩（責任がある⼈）に相談しましょう！

15. C 視点② 判断軸を⾒る 15

16. 視点② 判断軸を⾒る 判断軸がない組織では、現場が“勝⼿に判断”して事故が発⽣します。判断軸は、迷っ たときの優先順位と、例外を扱うルール（リスク受容‧承認）が明⽂化され、実際に 使われていることが重要です。 16 情報セキュリティ基本⽅針 情報セキュリティ管理規則/細則 ⼿順書、チェックリスト 現場の判断

    判断軸＝「誰が‧何を根拠に‧どこまで決めてよいか」を組織として合意されていること！ 迷 っ た ら 上 に 戻 る 例外は所定のルートにて、しかるべきところ （上⻑やCSIRT部隊）に判断してもらうこと ‧例外を報告せず、現場で勝⼿に判断 ‧判断者が誰かわからない ‧早く対応しないといけない焦りで勝⼿に判断 よくある失敗例 ‧協⼒会社から、サービスが提供できないため、⼀時的に「緊急で  管理者権限付与してほしい」→現場裁量にすると事故が起きます ‧アカウントが海外IPからログインされているが、本⼈が出張中  → 即ロックか、本⼈確認かが決まっていなかった場合 ありそうな例外ケース

17. C 視点③ 運⽤を⾒る 17

18. 定期的な学習と訓練で、 迷わず初動が 出る状態 にする 視点③ 運⽤を⾒る 運⽤では、「実際に動けるのか」を確認します。 18 ‧定期的に実施しているe-learning ‧標的型メール訓練

    定着度（擦り込み）の確認 シナリオで初動を確認し、 いざの時に⽌ まらない 状態にする a. ⾃分のPCがマルウェアに感染した時の初動 b. 怪しいメールを開いてしまった時の初動 再現性（シナリオでの⾏動）の確認 組織は、迷わず初動が出るように擦り込ませていますか？

19. まとめ 組織を理解するための3つの視点  視点① 仕組みを⾒る  視点② 判断軸を⾒る  視点③ 運⽤を⾒る 19

20. まとめ 組織を理解するための３つの視点 20 仕組み （設計） 判断軸 （意思決定） 運⽤ （実⾏） どう動くのかを

    明確にする 誰が‧どこまで判 断するかを揃える 実際に動けるか を確認する セキュリティを組織の⼒として捉える要点は、この3つ（仕組み‧判断軸‧ 運⽤）を⾒ることです。強みと弱みが⾒えたら、そこから⼀歩⾏動する と、現場の迷いが減り、⾃⾛できる⼈が増えて、組織のセキュリティは確 実に強くなります。

21. Thank you for your attention. 21