社内で専任セキュリティ担当者が不在の中 情報セキュリティ推進をいかに実行するか？

Transcript

1. 社内で専任セキュリティ担当者が不在の中 情報セキュリティ推進をいかに実行するか？ 一般社団法人日本ビジネステクノロジー協会 理事：長谷川 真 第6回 情報セキュリティ教育サミット

2. 今回のお話の ターゲット

3. ターゲット • 社内にセキュリティの専門家が不在 • 専任でセキュリティに関われる人がいない • セキュリティに詳しくないけれど なんとか対応を進めたい こんな想いの方々へ向けたお話です

4. 私自身の立ち位置 • セキュリティの専門家ではありません • 自身の経験から、どんな考えを持ってセキュリ ティ対応を進めていたかのお話

5. 自己紹介

6. お話を進める上で 自分のバックグラウンドを知ってもらう事が イメージをふくらませる手助けになると思います

7. 自己紹介 • 長谷川 真（はせがわ まこと） • ポート株式会社 VPoE • 「情シスSlack」というコミュニティの運営

   • 情シス部門（IT企画）の壁打ち役としても活動 ◦ 過去のお仕事 ▪ WEBエンジニア ▪ 人事 ▪ 情報システム・業務改善 等 @na2neko

8. 今日のお話の前提となったキャリアポジション • 情報システム部門の立ち上げを実施していた時 • 中小企業の情シスアドバイザーの実施時 • 上場準備中の情シスアドバイザーの実施時 参考として これらの時を思い出しながら お話しをさせて頂きます

9. はじめに

10. 情報セキュリティ セキュリティ サイバーセキュリティ

11. 嫁に聞いてみました（嫁：事務職・アルバイト） セキュリティ 情報セキュリティ サイバーセキュリティ 違いって何だと思う？

12. 嫁に聞いてみました（嫁：事務職・アルバイト） 全部一緒だよ！！

13. セキュリティって？ • 興味がなかったり、知らない人からすると ◦ セキュリティ ◦ 情報セキュリティ ◦ サイバーセキュリティ これらはどれも一緒・・・

    というよりも、どうでも良い　＝　興味がない

14. セキュリティって？ 興味があっても、非常に難しい分野 対応分野が広いですし 企業の文化、事業内容などによっても 取り組み方が違うと認識しています

15. 注意事項 ＊当資料では「セキュリティ」という大枠の表現で進めますが 　「情報セキュリティ」「サイバーセキュリティ」など 　違いの説明は専門家ではないため、控えさせて頂きます

16. 結論から

17. セキュリティの推進は ぜひ、専門家に相談しながら 進めましょう！！！

18. とはいえ。。。

19. 本日のテーマ 社内で 専任セキュリティ担当者が不在の中 情報セキュリティ推進を いかに実行するか？

20. 本日のテーマ 社内で 専任セキュリティ担当者が不在の中 情報セキュリティ推進を いかに実行するか？ そうそう 我が社も 不在なんです！

21. 本日のテーマ

22. 本日のテーマ 疑問をもった事はありますか？ なぜ 「専任がいないのか」

23. セキュリティの専任担当者が 自社に居ないのは「なぜ？」

24. なぜ「専任」がいないのか？ 専任の 必要性 認識あり 認識なし 経営者の方は、どのように思っていそうですか？

25. なぜ「専任」がいないのか？ 専任の 必要性 認識あり 認識なし 経営者の方は、どのように思っていそうですか？ コストの問題 そもそも知らない 現状維持で大丈夫

26. なぜ「専任」がいないのか？ 専任の 必要性 認識あり 経営者の方は、どのように思っていそうですか？ コストの問題 専任の 必要性 認識あり コストの問題

    コスト感は理解 資金がない 適切な費用感が 分からない 専任の 必要性 認識なし 現状維持で大丈夫 専任の 必要性 認識なし そもそも知らない

27. 対応例１ コスト関係の課題 • 費用対効果での説明 ◦ よく言われるが、実は難しいと思っている ▪ 参考：LRMさんの「セキュマガ」より • 「セキュリティの費用対効果は計算できるか？」

    • リソースのかけ方で説明 ◦ まずは副業情シス等のアドバイザーと一緒に動く ◦ 月1〜2の専門家の相談相手を雇う ◦

28. なぜ「専任」がいないのか？ 専任の 必要性 認識あり 経営者の方は、どのように思っていそうですか？ コストの問題 専任の 必要性 認識あり コストの問題

    コスト感は理解 資金がない 適切な費用感が 分からない 専任の 必要性 認識なし 現状維持で大丈夫 専任の 必要性 認識なし そもそも知らない

29. 対応例２ 認識の課題 • 経営層への啓蒙活動やインタビュー ◦ 本当に現状維持で大丈夫ですか？ ▪ 「専門家が居ない」中でなぜ大丈夫と思っているか？ せっかくなら 経営層へ思っている背景を

    インタビューしてみては いかがでしょうか

30. こんな言い方しちゃダメよ そんな認識で 大丈夫なんすか？ www 表現の引用：「 スクラムとデッドライン壊れゆくチームをつなぎとめるもの 」より

31. 対応例２ 認識の課題 経営者の視点で考えている事が必ずあります。 その背景を分解するお手伝い 話し相手になってみてはいかがでしょうか。 最近の「セキュリティ関係の事故」の記事を調べ て、自社だったらどういう影響があるかなど、会話 してみても良いかもしれません。

32. セキュリティの専任担当者が 自社に居ないのは「なぜ？」 ここまで 理由の仮説と、その想定課題に対する 対応例をあげてみました

33. ここで給水タイム

34. 次に

35. 本日のテーマ 社内で 専任セキュリティ担当者が不在の中 情報セキュリティ推進を いかに実行するか？

36. こんな時どうしますか？ あなたの好きな人は 「カレー」が大好きなようです。 しかし、あなたは 「カレー」の作り方を知りません。 そして、一人で 「カレー」をつくるだけの時間が 捻出できなさそうです。

37. 好きな人に「カレー」を食べさせたい 専門家に 教わりながらつくる 美味しい 専門店へ連れて行く 自分でつくる 提供手段は、いくつかありそうです

38. 好きな人に「カレー」を食べさせたい ある程度、工程を理解し ・自分でもで基礎的なものは作れるようにしておく ・出てくる用語を理解する 作る場合、一人だと作る時間が足りなそうです・・・ ・仲間と分担して作れるようになる ・お店に行っても、用語を知ってるので会話しやすい ・好きな人の「カレー」の好みの変化に対応できそう

39. カレーを作る工程や用語は 理解しておいたほうが良さそう 考え方は同じだと思っています

40. 対応 流れを理解しておく • 担当となる方は「兼務」なのかもしれません • 「兼務」だとしても基礎的な流れは把握した方が良い ◦ ISMS（情報セキュリティマネジメントシステム） ▪ 「情報セキュリティ」における

    ▪ 「マネジメントシステム」＝運用の考え方 • が、記されています

41. もう1点重要な点があります

42. 好きな人に「カレー」を食べさせたい ある程度、工程を理解し ・自分でもで基礎的なものは作れるようにしておく ・出てくる用語を理解する 作る場合、一人だと作る時間が足りなそうです・・・ ・仲間と分担して作れるようになる ・お店に行っても、用語を知ってるので会話しやすい ・好きな人の「カレー」の好みの変化に対応できそう

43. 対応 相手の好み　＝　求められている基準 • 求められる基準は状況や事業によって変わると思います • 経営者から見て一番良いのは ◦ コストがかからない ◦ または

    ◦ かけたコストに見合っているか ISMSには、経営者と話す流れも定義されていますし 自社が扱っている「情報」や「ビジネスの種類」などに応じて 「発生するリスク」を検討して優先順位を決める流れもあります

44. 対応 相手の好み　＝　求められている基準 • 求められている基準 ◦ 経営者がどのように考えているか ◦ 自社がどんなビジネスを行っているのか ◦ 保持している情報はどんな内容なのか

    ◦ どういった経路で情報が流れているのか • 実は、会話・自社理解・業務の棚卸し ◦ これらから始める事が基本的な流れとなります

45. 対応 その他 • 仲間を増やしましょう ◦ 専門家へ依頼する ▪ やはり専門家を入れるのがベストです ▪ 自身で理解しつつ、専門家にサポートしてもらいましょう

    ◦ コストがまだかけられないなら？ ▪ コミュニティや勉強会に参加して ▪ 仲間を増やしておきましょう

46. 対応 その他 「情シスSlack」へ入って情報収集する 「Security Slack」 サイバーセキュリティ連盟が行っている Security Slackというものもあります https://corp-engr.jp/ https://www.cscloud.co.jp/dx-security/dx_news/20230608-1/

47. 専任 or 専門家が居ない ・兼務で実施する人は居ると思います ・情報セキュリティ対策となる基本の理解に努め ・相談役（専門家 or 仲間）を探していきましょう 求められる基準の理解 ・経営者と会話をする事で、事業の状況や背景を理解

    ・理解した上で対策が考えられる

48. 事例 （補足）

49. ケース１ • エンジニア主導で全社セキュリティへ着手 ◦ エンジニアにプロジェクトのオーナーシップをもってもらった ◦ 上場準備もあり、プロダクトのセキュリティ対策と全社のISMS認 証取得、セキュリティポリシーが平行して進んだ ◦ エンジニアにオーナーを持ってもらうことにより、事業のメインと

    なるプロダクトの事業プロセスまで考慮して、そこからリスクを洗 い出すことができた

50. ケース２ • セキュリティ専任を採用したいが、文化が合わない ◦ ゼネラリストとして動く専任者を置きたいという相談 ◦ 企業文化としてはプロフェッショナルの集まり ◦ 企業文化に合わないと分かっている点について ▪

    従業員として雇う方のキャリアをつくれない場合 • 業務委託で一時的に雇う • または • 専門の企業さんとお付き合いして対処する ◦ 結果：専門企業をご紹介してうまくいっています

51. 本日の結論

52. セキュリティの推進は ぜひ、専門家に相談しながら 進めましょう！！！

53. 相談先 • 本日主催のLRMさん ◦ ISMSの導入支援 ◦ 従業員のリテラシー向上のためのeラーニング ▪ 「セキュリティ」の運営

54. 相談先 • 私もご相談は受け付けております ◦ 副業としての壁打ち相手実施 ◦ 個人のため多数の相談は受けられないため ▪ 初回相談事（無料）に •

    適切だと思う企業さん or 個人の副業の方 • これらをご紹介しています ◦ 相談先 ▪ 現在X（旧：ツイッター）のみ ▪ https://twitter.com/na2neko

55. 最後に・・・ • もしコストをかけられない場合は？ ◦ 経営者と課題感は話し合っておきましょう ◦ また、以下は専門家に相談する際に役に立ちます ◦ 可能なら整理しておくと良いです ▪

    事業全体の情報の流れの整理 • どんな情報を、誰が、何を利用して行っているか • 情報はどこに、どれだけ保管されるのか • セキュリティに対する規定やポリシーが存在するか

56. 以上となります ありがとうございました！