Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Security = Center of management
Search
OWASP Kansai
December 01, 2018
Business
0
150
Security = Center of management
みんなでやろうセキュリティ
OWASP Kansai
December 01, 2018
Tweet
Share
More Decks by OWASP Kansai
See All by OWASP Kansai
OWASP KansaiDAY 2025.09_文系OSINTハンズオン
owaspkansai
0
74
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
owaspkansai
0
80
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
510
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
1.3k
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
380
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
1k
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
520
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
200
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
260
Other Decks in Business
See All in Business
freeeを軸に変えていく記帳代行の概念
yuki_yano
PRO
0
110
提案レベルを上げてみたら、私の『提案』が『進捗』になっていた件
natty_natty254
26
16k
Leveraging Guest Podcasting to Boost SEO & Build Your Brand
brandonleibowitz
1
170
株式会社Domuz会社紹介資料(採用)
kimpachi_d
0
42k
中期経営計画・成長可能性資料
kuradashi
0
650
アッテル会社紹介資料/culture deck
attelu
10
15k
straya/company deck
takuyaaaaa325
0
120
なぜ人はすれ違うのか_製造業で当たり前に行っていた根回しから考える、事前の配慮で顧客やチームとの対話を促進する方法
katsuakihoribe8
1
3.8k
ユーザー数10万人規模のアプリで挑んだトップ画面のUI刷新
tochi86
0
390
「つくる」から「考える」へ ― PdMの重⼼をシフトさせるために
itsukikacky
0
650
社内LTで醸成する開発組織のアウトプット文化
tonegawa07
0
220
小さな開発会社を作った理由(再)
polidog
PRO
0
130
Featured
See All Featured
Testing 201, or: Great Expectations
jmmastey
45
7.7k
jQuery: Nuts, Bolts and Bling
dougneiner
64
7.9k
Principles of Awesome APIs and How to Build Them.
keavy
127
17k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
2.6k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
45
2.5k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
51k
Writing Fast Ruby
sferik
629
62k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
127
53k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
9
850
Visualization
eitanlees
148
16k
Building Adaptive Systems
keathley
43
2.8k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Transcript
Security = Center of management 弁護士 OWASPKansai 伊藤 太一
Who are you?? • 名前 伊 藤 太 一 •
弁護士法人淀屋橋・山上合 同弁護士 • 真実は?? • 趣味 献血(82回) • 電気工事士2種,測量士補, 応用情報技術者 • 弁護士初(?)本家 Hardening参加!直後の大 阪マラソン完走。足の爪2つ 飛ぶ
Securityと経営者のあるある Securityって情報漏洩でしょ? 大丈夫,うち情シス一人入れたか ら(ブラック??無色よりえぇやん)。 技術者のいうてることわからんし
エンジニア あるある
ちゃいまんねん!→今日のメッセージ • Security=Businessの継続阻害からの防衛 – After incident から before incidentへ •
誰かがやってくれるSecurityから,みんなでや るSecurityへ→コンクリートと人で作るSecurity • Securityで競争から協争へ
Securityの三要素=ビジネス継続 • 機密性 • 完全性 • 可用性 いろへにほはと ちりねるを わかよかれそ
つねなれむ うゐのおきやま けほこえて あさひゆめみし ゑひもけす 漏洩はセ キュリティ 問題の 一つであっ て全部で はない
技術で防げないセキュリティ • 最も怖い内部犯 – 故意? – 過失?
内部犯防止対策 • 不正のトライアングル 機会(やればできる) 動機 (不正に手を染めたくなる) 正当化 (良心の呵責がなくなる) 事業資産の把握 人事労務管理
コミュニケーショ ン作り
過失防止 • 社員教育・セキュリティポリシー…とはいうけ れど – セキュリティポリシー万能? – 社員教育万能?? – 社長はなぜよくマルウェアを踏むのか?
過失防止 • 守ることができるセキュリティポリシーへ – セキュリティ=不便からの脱却 – 守れるポリシーのための環境開発→内部投資
働き方改革とセキュリティ • テレワークセキュリティGL(総務省)
Riskの定量化(≒Legal的脅し) • 漏洩事故の損害賠償請求(使用者責任) • 役員に対する損害賠償請求 – 無策は免責の理由にならない! ∵全員野球でのセキュリティはもはや国策
サイバーセキュリティ基本法 • 現在,改正法案衆院通過 – サイバーセキュリティ協議会を設置し,大臣を置く – サイバーセキュリティ戦略本部の所管業務に「イ ンシデント発生時の国内外の関係者との連絡調 整」が追加
サイバーセキュリティ経営GL(METI) • 中身も大切だがGLができていると言うことが 重要 – セキュリティは一般常識
みんなで向き合う「みんな」とは? • 社内レベルでは? – 経営層でしか把握できない問題多数 – 人事労務法務もSecurityと無縁ではない – EngineerもSecurityのために頑張る
みんなで向き合う「みんな」とは? • コストを下げるのは社会全体の協力!! – NCA(日本シーサート協議会) – JNSA(日本ネットワークセキュリティ協会) – 保険(ただし,事例の蓄積必要) •
民間コミュニティ→OWASP!!
なぜ協力できるか? • 勧善懲悪の世界 – 協力しないインセンティブがない – セキュリティは攻撃者圧倒的有利 – 100%対応は無理! •
恥と思われる? – 明日は我が身 – 立法論としては早期公開に対するインセンティブや保 険の充実
なぜ協力できるか? • IoT・Webと無縁で新規事業できるとでも?? – 投資としてのSecurity – タクシー事業を始めるのに車買うのと一緒
まとめ • ••にだけ任せておけばOKなSecurityの時代は終 わった – Security人材不足??だったらみんなSecurity! • 協力しながら競い合う協争の場としてのSecurity→経 営方針としての協力の選択 •
経営者層には飴と鞭で理解していただく? • 期待ギャップは要説明
まとめ
お話しできなかったこと…(ネタだし) • 情報漏洩の判決の読み方よくわからん問題 • ガイドラインの法律上の位置づけと裁判上の位 置づけ • セキュリティ関連法規(民事・刑事)の読み方 • テレワーク就業規則のあり方
• 恐怖(?)のGDPR • セキュリティソリューションの契約のあり方 • 弁護士からみた危機管理対応