Slide 1
Slide 1 text
~入門編~
for board member
情報セキュリティ研修
Slide 2
Slide 2 text
アジェンダ
はじめに
経営者の責任
経営者がやるべきこと
インシデント事例
情報セキュリティ10大脅威
まとめ
1.
2.
3.
4.
5.
6.
Slide 3
Slide 3 text
- 3 -
プロフィール
名前:ふみふみ@ゆるふわCIO候補(仮)
趣味:漫画・アニメ・ダーツ・バレーボール
特技:即決力(嫁と家は1日で決めた)
Slide 4
Slide 4 text
- 4 -
職務経歴
1社目
50人くらいのWeb制作
PG/営業
2社目
大手ソシャゲ
社内SE/CS/QA
総務/情シスサポート
3社目
80人くらいのWeb制作
PG/社内SE
4社目
Fintech
情シス
グループリーダー
Slide 5
Slide 5 text
はじめに
Slide 6
Slide 6 text
はじめに
- 6 -
会社の
できていますか?
セキュリティ対策
Slide 7
Slide 7 text
はじめに:経営層アンケート
- 7 -
Q.
あなたの会社で実施しているセキュリティ対策に
ついて当てはまるものをお選び下さい
位
1
位
2
位
3
わからない・情報シス等
社内の担当部署にお任せ
61.1%
25.3%
16.8%
ログ監視
SSL
(Secure Sockets Layer)
【100名未満のサイバーセキュリティ対策企業 n=95】
※1
Slide 8
Slide 8 text
はじめに:日本企業の現状
- 8 - 【セキュリティ対策評価の実施状況】
※2
セキュリティ対策状況
【海外】
%以上が定期的に評価
未実施は1~2%程度
67
【日本】
%程度しか定期評価
していない
40
未実施は
%も...
14
Slide 9
Slide 9 text
はじめに:CISO等設置状況
- 9 -
専任CISO等を設置 兼任CISO等を設置 CISO等を未設置 わからない
0 25 50 75 100
日本
米国
欧米
27.9
67.1
16.5
78.7
29
34.7
17.5 13.3
8.3
2.1
1.1
3.6
【CISO等設置状況】
※3
Slide 10
Slide 10 text
はじめに:CISO等の組織内の位置づけ
- 10 -
経営層・経営層直下 情シストップ(非経営層) 情セキュトップ(非経営層)
CSIRTトップ(非経営層) その他 分からない
0 25 50 75 100
日本
米国
欧米
37.2
56.0
14.1
61.8
18.2
34.7
24.7 12.8
3.8
1.6
0.6
2.8
20.7
4.7
1.9
【CISO等の組織内の位置づけ】
※3
Slide 11
Slide 11 text
経営者の責任
Slide 12
Slide 12 text
経営者の責任
- 12 -
情報セキュリティ対策を怠ることで
を負う可能性があります
「法的責任」「社会的責任」
Slide 13
Slide 13 text
経営者の責任:サイバーセキュリティは経営課題
- 13 -
1 サイバー攻撃は年々高度化・巧妙化
2 攻撃の踏み台にされたり、国民の社会生活に重大な
影響を及ぼす攻撃も発生
3 セキュリティ対策の実施を、将来の事業活動・成長
への
「投資」と捉えることが重要
Slide 14
Slide 14 text
経営者の責任:企業が被る不利益
金銭の損失 情報漏洩による損害賠償など
顧客の喪失 レピュテーションリスク・信用低下による解約など
業務の停滞 障害・インシデントによるシステムや業務の停止など
従業員への影響 モラル低下・離職・訴訟リスクなど
- 14 -
Slide 15
Slide 15 text
経営者の責任:金銭の損失
機密情報や個人情報を漏洩させてしまった場合、
損害賠償請求を受けるなどの経済的損失が発生
- 15 -
Slide 16
Slide 16 text
経営者の責任:顧客の損失
セキュリティインシデントを起こした場合、
企業に対する管理責任が問われ社会的評価が低下
(≒レピュテーションリスク)
- 16 -
Slide 17
Slide 17 text
経営者の責任:業務の停滞
業務システムに障害が発生した場合、
原因調査や被害の拡大防止のために
システムやネットワークを停止する場合がある
- 17 -
Slide 18
Slide 18 text
経営者の責任:従業員への影響
内部不正が容易に行えるような環境は、
従業員のモラル低下を招く要因に
イメージダウンを嫌って離職増加や訴訟リスクも
- 18 -
Slide 19
Slide 19 text
経営者の責任:経営者が負う責任
- 19 -
法的責任 情報漏洩による損害賠償
法律違反による罰金・懲役刑など
社会的責任
レピュテーションリスク
信用低下による解約
業界全体のイメージ低下など
Slide 20
Slide 20 text
立入検査、帳簿書類等の物件検査及び質問
1年以下の懲役又は50万円以下の罰金
利益を侵害された者からの侵害の停止又は予防の請求
信用を害された者からの信用回復措置請求
5年以下の懲役若しくは500万円以下の罰金又はこれらの併科
犯罪行為により得た財産の必要的没収
個人情報保護法
不正競争防止法
金融商品取引法
経営者の責任:法的責任(例
- 20 -
Slide 21
Slide 21 text
経営者の責任:社会的責任(例
情報提供者や顧客などの関係者に対する責任
会社法上の責任を問われ株主代表訴訟の提訴
取引先との信頼関係の喪失
業界全体のイメージダウン
- 21 -
Slide 22
Slide 22 text
経営者がやるべきこと
Slide 23
Slide 23 text
認識すべき「3原則」
と
実行すべき「重要7項目の取組」
経営者がやるべきこと
- 23 -
Slide 24
Slide 24 text
経営者がやるべきこと:3原則
原則1
情報セキュリティ対策は経営者の
リーダーシップで進める
- 24 -
原則2 委託先の情報セキュリティ対策まで考慮する
原則3
関係者とは常に情報セキュリティに関する
コミュニケーションをとる
Slide 25
Slide 25 text
経営者がやるべきこと:3原則
原則1
情報セキュリティ対策は経営者の
リーダーシップで進める
原則2 委託先の情報セキュリティ対策まで考慮する
原則3
関係者とは常に情報セキュリティに関する
コミュニケーションをとる
- 25 -
Slide 26
Slide 26 text
経営者がやるべきこと:3原則
原則1
情報セキュリティ対策は経営者の
リーダーシップで進める
- 26 -
原則2 委託先の情報セキュリティ対策まで考慮する
原則3
関係者とは常に情報セキュリティに関する
コミュニケーションをとる
Slide 27
Slide 27 text
経営者がやるべきこと:3原則
原則1
情報セキュリティ対策は経営者の
リーダーシップで進める
- 27 -
原則2 委託先の情報セキュリティ対策まで考慮する
原則3
関係者とは常に情報セキュリティに関する
コミュニケーションをとる
Slide 28
Slide 28 text
経営者がやるべきこと:重要7項目の取組
- 28 -
取組1 情報セキュリティに関する組織全体の対応方針を定める
取組2 情報セキュリティ対策のための予算や人材などを確保する
取組3 必要と考えられる対策を検討させて実行を指示する
取組4 情報セキュリティ対策に関する適宜の見直しを指示する
取組5 緊急時の対応や復旧のための体制を整備する
取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
取組7 情報セキュリティに関する最新動向を収集する
Slide 29
Slide 29 text
経営者がやるべきこと:重要7項目の取組
- 29 -
取組1 情報セキュリティに関する組織全体の対応方針を定める
取組2 情報セキュリティ対策のための予算や人材などを確保する
取組3 必要と考えられる対策を検討させて実行を指示する
取組4 情報セキュリティ対策に関する適宜の見直しを指示する
取組5 緊急時の対応や復旧のための体制を整備する
取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
取組7 情報セキュリティに関する最新動向を収集する
Slide 30
Slide 30 text
経営者がやるべきこと:重要7項目の取組
- 30 -
取組1 情報セキュリティに関する組織全体の対応方針を定める
取組2 情報セキュリティ対策のための予算や人材などを確保する
取組3 必要と考えられる対策を検討させて実行を指示する
取組4 情報セキュリティ対策に関する適宜の見直しを指示する
取組5 緊急時の対応や復旧のための体制を整備する
取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
取組7 情報セキュリティに関する最新動向を収集する
Slide 31
Slide 31 text
経営者がやるべきこと:重要7項目の取組
- 31 -
取組1 情報セキュリティに関する組織全体の対応方針を定める
取組2 情報セキュリティ対策のための予算や人材などを確保する
取組3 必要と考えられる対策を検討させて実行を指示する
取組4 情報セキュリティ対策に関する適宜の見直しを指示する
取組5 緊急時の対応や復旧のための体制を整備する
取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
取組7 情報セキュリティに関する最新動向を収集する
Slide 32
Slide 32 text
経営者がやるべきこと:重要7項目の取組
- 32 -
取組1 情報セキュリティに関する組織全体の対応方針を定める
取組2 情報セキュリティ対策のための予算や人材などを確保する
取組3 必要と考えられる対策を検討させて実行を指示する
取組4 情報セキュリティ対策に関する適宜の見直しを指示する
取組5 緊急時の対応や復旧のための体制を整備する
取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
取組7 情報セキュリティに関する最新動向を収集する
Slide 33
Slide 33 text
経営者がやるべきこと:重要7項目の取組
- 33 -
取組1 情報セキュリティに関する組織全体の対応方針を定める
取組2 情報セキュリティ対策のための予算や人材などを確保する
取組3 必要と考えられる対策を検討させて実行を指示する
取組4 情報セキュリティ対策に関する適宜の見直しを指示する
取組5 緊急時の対応や復旧のための体制を整備する
取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
取組7 情報セキュリティに関する最新動向を収集する
Slide 34
Slide 34 text
経営者がやるべきこと:重要7項目の取組
- 34 -
取組1 情報セキュリティに関する組織全体の対応方針を定める
取組2 情報セキュリティ対策のための予算や人材などを確保する
取組3 必要と考えられる対策を検討させて実行を指示する
取組4 情報セキュリティ対策に関する適宜の見直しを指示する
取組5 緊急時の対応や復旧のための体制を整備する
取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
取組7 情報セキュリティに関する最新動向を収集する
Slide 35
Slide 35 text
経営者がやるべきこと:重要7項目の取組
- 35 -
取組1 情報セキュリティに関する組織全体の対応方針を定める
取組2 情報セキュリティ対策のための予算や人材などを確保する
取組3 必要と考えられる対策を検討させて実行を指示する
取組4 情報セキュリティ対策に関する適宜の見直しを指示する
取組5 緊急時の対応や復旧のための体制を整備する
取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
取組7 情報セキュリティに関する最新動向を収集する
Slide 36
Slide 36 text
ISMSの取得 / 運用
情報セキュリティガバナンス
できることからやる
情報セキュリティ5ヶ条の遵守
情報セキュリティ基本方針の策定・公開
情報セキュリティ自社診断の実施
経営者がやるべきこと:その他
- 36 -
Slide 37
Slide 37 text
経営者がやるべきこと:情報セキュリティ5ヶ条
- 37 -
1
2
3
4
5
OSやソフトウェアは常に最新の状態にしよう!
ウイルス対策ソフトを導入しよう!
パスワードを強化しよう!
共有設定を見直そう!
脅威や攻撃の手口を知ろう!
Slide 38
Slide 38 text
インシデント事例
Slide 39
Slide 39 text
実際に起きたインシデントにより
インシデント事例
- 39 -
代表取締役や役員が
責任を取っている
Slide 40
Slide 40 text
インシデント事例:株式会社東京証券取引所
東証の株式売買システムでシステム障害発生
2時間半ほどで復旧したが、終日取引停止
自動切換機能のテスト不十分
障害発生時の再開手順・ルール未整備
社長辞任 + 役員陣の月額報酬の減額
概要
原因
影響
- 40 -
Slide 41
Slide 41 text
Gr会社の委託先元社員による個人情報の漏洩
約260億円の特別損失 + 会員数約35%減
アクセス制御やセキュリティアラートの設定不足
セキュリティ責任者・管理部署の未設置
HD社長 + 子会社社長の辞任
概要
原因
影響
インシデント事例:株式会社ベネッセHD
- 41 -
Slide 42
Slide 42 text
サービス開始直後、クレカの不正利用発生
3ヶ月後にサービス停止・被害総額3,800万超
セキュリティ設計・検討が不十分
システム全体の最適化の検証が不十分
社長辞任 + HD社長・副社長の月額報酬の減額
概要
原因
影響
インシデント事例:株式会社セブン・ペイ
- 42 -
Slide 43
Slide 43 text
元従業員が嫌がらせのために求人サイト改ざん、
役員を装った虚偽メッセージの掲載など
アカウント管理等のセキュリティ対策が不十分
管理体制の不備
社長辞任
概要
原因
影響
インシデント事例:株式会社つながり
- 43 -
Slide 44
Slide 44 text
従業員による外部から預かった廃棄用HDD等の
不正転売
管理体制が不十分
社長辞任 + 新規営業1ヶ月停止
入札案件の一定期間停止
概要
原因
影響
インシデント事例:ブロードリンク株式会社
- 44 -
Slide 45
Slide 45 text
インシデント事例:その他
2021年:713件
日に2件程度はどこかしらで発生している
ランサムウェア等のマルウェア感染
不正アクセス
従業員の誤送信...など
国内のインシデント・情報漏洩ニュース
原因
- 45 -
Slide 46
Slide 46 text
情報セキュリティ
10大脅威
Slide 47
Slide 47 text
情報セキュリティ10大脅威 2022
- 47 -
毎年IPAが発表している
社会的に影響が大きかった
セキュリティの脅威ランキング
Slide 48
Slide 48 text
情報セキュリティ10大脅威:組織編
順位 内容 順位 内容
1位 ランサムウェアによる被害 6位 脆弱性対策情報の公開に伴う悪用増加
2位 標的型攻撃による機密情報の窃取 7位 修正プログラムの公開前を狙う攻撃
(ゼロデイ攻撃)
3位 サプライチェーンの弱点を
悪用した攻撃
8位 ビジネスメール詐欺による金銭被害
4位 テレワーク等のニューノーマルな
働き方を狙った攻撃
9位 予期せぬIT基盤の障害に伴う
業務停止
5位 内部不正による情報漏洩 10位 不注意による情報漏洩等の被害
- 48 - 【情報セキュリティ10大脅威 2022】
※4
Slide 49
Slide 49 text
情報セキュリティ10大脅威:個人編
順位 内容 順位 内容
1位 フィッシングによる個人情報等の詐取 6位 偽警告によるインターネット詐取
2位 ネット上の誹謗・中傷・デマ 7位 不正アプリによるスマホ利用者への被害
3位 メールやSMS等を使った脅迫・詐取の
手口による金銭要求
8位 インターネット上のサービスからの
個人情報の窃取
4位 クレジットカード情報の不正利用 9位 インターネットバンキングの不正利用
5位 スマホ決済の不正利用 10位 インターネット上のサービスへの
不正ログイン
- 49 - 【情報セキュリティ10大脅威 2022】
※4
Slide 50
Slide 50 text
まとめ
Slide 51
Slide 51 text
- 51 -
1
2
3
セキュリティインシデントは経営責任
セキュリティ対策に投資しよう
3原則を認識し、重要7項目を取り組もう
情報セキュリティ責任者を任命して、
できることからやろう
まとめ
Slide 52
Slide 52 text
まとめ:3原則
原則1
情報セキュリティ対策は経営者の
リーダーシップで進める
- 52 -
原則2 委託先の情報セキュリティ対策まで考慮する
原則3
関係者とは常に情報セキュリティに関する
コミュニケーションをとる
Slide 53
Slide 53 text
まとめ:重要7項目の取組
- 53 -
取組1 情報セキュリティに関する組織全体の対応方針を定める
取組2 情報セキュリティ対策のための予算や人材などを確保する
取組3 必要と考えられる対策を検討させて実行を指示する
取組4 情報セキュリティ対策に関する適宜の見直しを指示する
取組5 緊急時の対応や復旧のための体制を整備する
取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
取組7 情報セキュリティに関する最新動向を収集する
Slide 54
Slide 54 text
APPENDIX:内容の参照元
IPA
中小企業の情報セキュリティ対策ガイドライン
経済産業省
サイバーセキュリティ経営ガイドライン Ver 2.0
経営リスクとしてのサイバーセキュリティ対策
1.
a.
2.
a.
b.
- 54 -
Slide 55
Slide 55 text
APPENDIX:図の参照元
サイバーセキュリティクラウド株式会社
経営層600人に聞く最新セキュリティ対策調査
NRIセキュアテクノロジー株式会社
日本企業のセキュリティ課題の1位は「インシデント対応」
|NRIセキュア調査結果
経済産業省
経営リスクとしてのサイバーセキュリティ対策
IPA(情報処理推進機構)
情報セキュリティ10大脅威 2022
1.
a.
2.
a.
3.
a.
4.
a.
- 55 -
Slide 56
Slide 56 text
ご静聴
ありがとうございました