Slide 1

Slide 1 text

社内で専任セキュリティ担当者が不在の中 情報セキュリティ推進をいかに実行するか? 一般社団法人日本ビジネステクノロジー協会 理事:長谷川 真 第6回 情報セキュリティ教育サミット

Slide 2

Slide 2 text

今回のお話の ターゲット

Slide 3

Slide 3 text

ターゲット ● 社内にセキュリティの専門家が不在 ● 専任でセキュリティに関われる人がいない ● セキュリティに詳しくないけれど なんとか対応を進めたい こんな想いの方々へ向けたお話です

Slide 4

Slide 4 text

私自身の立ち位置 ● セキュリティの専門家ではありません ● 自身の経験から、どんな考えを持ってセキュリ ティ対応を進めていたかのお話

Slide 5

Slide 5 text

自己紹介

Slide 6

Slide 6 text

お話を進める上で 自分のバックグラウンドを知ってもらう事が イメージをふくらませる手助けになると思います

Slide 7

Slide 7 text

自己紹介 ● 長谷川 真(はせがわ まこと) ● ポート株式会社 VPoE ● 「情シスSlack」というコミュニティの運営 ● 情シス部門(IT企画)の壁打ち役としても活動 ○ 過去のお仕事 ■ WEBエンジニア ■ 人事 ■ 情報システム・業務改善 等 @na2neko

Slide 8

Slide 8 text

今日のお話の前提となったキャリアポジション ● 情報システム部門の立ち上げを実施していた時 ● 中小企業の情シスアドバイザーの実施時 ● 上場準備中の情シスアドバイザーの実施時 参考として これらの時を思い出しながら お話しをさせて頂きます

Slide 9

Slide 9 text

はじめに

Slide 10

Slide 10 text

情報セキュリティ セキュリティ サイバーセキュリティ

Slide 11

Slide 11 text

嫁に聞いてみました(嫁:事務職・アルバイト) セキュリティ 情報セキュリティ サイバーセキュリティ 違いって何だと思う?

Slide 12

Slide 12 text

嫁に聞いてみました(嫁:事務職・アルバイト) 全部一緒だよ!!

Slide 13

Slide 13 text

セキュリティって? ● 興味がなかったり、知らない人からすると ○ セキュリティ ○ 情報セキュリティ ○ サイバーセキュリティ これらはどれも一緒・・・ というよりも、どうでも良い = 興味がない

Slide 14

Slide 14 text

セキュリティって? 興味があっても、非常に難しい分野 対応分野が広いですし 企業の文化、事業内容などによっても 取り組み方が違うと認識しています

Slide 15

Slide 15 text

注意事項 *当資料では「セキュリティ」という大枠の表現で進めますが  「情報セキュリティ」「サイバーセキュリティ」など  違いの説明は専門家ではないため、控えさせて頂きます

Slide 16

Slide 16 text

結論から

Slide 17

Slide 17 text

セキュリティの推進は ぜひ、専門家に相談しながら 進めましょう!!!

Slide 18

Slide 18 text

とはいえ。。。

Slide 19

Slide 19 text

本日のテーマ 社内で 専任セキュリティ担当者が不在の中 情報セキュリティ推進を いかに実行するか?

Slide 20

Slide 20 text

本日のテーマ 社内で 専任セキュリティ担当者が不在の中 情報セキュリティ推進を いかに実行するか? そうそう 我が社も 不在なんです!

Slide 21

Slide 21 text

本日のテーマ

Slide 22

Slide 22 text

本日のテーマ 疑問をもった事はありますか? なぜ 「専任がいないのか」

Slide 23

Slide 23 text

セキュリティの専任担当者が 自社に居ないのは「なぜ?」

Slide 24

Slide 24 text

なぜ「専任」がいないのか? 専任の 必要性 認識あり 認識なし 経営者の方は、どのように思っていそうですか?

Slide 25

Slide 25 text

なぜ「専任」がいないのか? 専任の 必要性 認識あり 認識なし 経営者の方は、どのように思っていそうですか? コストの問題 そもそも知らない 現状維持で大丈夫

Slide 26

Slide 26 text

なぜ「専任」がいないのか? 専任の 必要性 認識あり 経営者の方は、どのように思っていそうですか? コストの問題 専任の 必要性 認識あり コストの問題 コスト感は理解 資金がない 適切な費用感が 分からない 専任の 必要性 認識なし 現状維持で大丈夫 専任の 必要性 認識なし そもそも知らない

Slide 27

Slide 27 text

対応例1 コスト関係の課題 ● 費用対効果での説明 ○ よく言われるが、実は難しいと思っている ■ 参考:LRMさんの「セキュマガ」より ● 「セキュリティの費用対効果は計算できるか?」 ● リソースのかけ方で説明 ○ まずは副業情シス等のアドバイザーと一緒に動く ○ 月1〜2の専門家の相談相手を雇う ○

Slide 28

Slide 28 text

なぜ「専任」がいないのか? 専任の 必要性 認識あり 経営者の方は、どのように思っていそうですか? コストの問題 専任の 必要性 認識あり コストの問題 コスト感は理解 資金がない 適切な費用感が 分からない 専任の 必要性 認識なし 現状維持で大丈夫 専任の 必要性 認識なし そもそも知らない

Slide 29

Slide 29 text

対応例2 認識の課題 ● 経営層への啓蒙活動やインタビュー ○ 本当に現状維持で大丈夫ですか? ■ 「専門家が居ない」中でなぜ大丈夫と思っているか? せっかくなら 経営層へ思っている背景を インタビューしてみては いかがでしょうか

Slide 30

Slide 30 text

こんな言い方しちゃダメよ そんな認識で 大丈夫なんすか? www 表現の引用:「 スクラムとデッドライン壊れゆくチームをつなぎとめるもの 」より

Slide 31

Slide 31 text

対応例2 認識の課題 経営者の視点で考えている事が必ずあります。 その背景を分解するお手伝い 話し相手になってみてはいかがでしょうか。 最近の「セキュリティ関係の事故」の記事を調べ て、自社だったらどういう影響があるかなど、会話 してみても良いかもしれません。

Slide 32

Slide 32 text

セキュリティの専任担当者が 自社に居ないのは「なぜ?」 ここまで 理由の仮説と、その想定課題に対する 対応例をあげてみました

Slide 33

Slide 33 text

ここで給水タイム

Slide 34

Slide 34 text

次に

Slide 35

Slide 35 text

本日のテーマ 社内で 専任セキュリティ担当者が不在の中 情報セキュリティ推進を いかに実行するか?

Slide 36

Slide 36 text

こんな時どうしますか? あなたの好きな人は 「カレー」が大好きなようです。 しかし、あなたは 「カレー」の作り方を知りません。 そして、一人で 「カレー」をつくるだけの時間が 捻出できなさそうです。

Slide 37

Slide 37 text

好きな人に「カレー」を食べさせたい 専門家に 教わりながらつくる 美味しい 専門店へ連れて行く 自分でつくる 提供手段は、いくつかありそうです

Slide 38

Slide 38 text

好きな人に「カレー」を食べさせたい ある程度、工程を理解し ・自分でもで基礎的なものは作れるようにしておく ・出てくる用語を理解する 作る場合、一人だと作る時間が足りなそうです・・・ ・仲間と分担して作れるようになる ・お店に行っても、用語を知ってるので会話しやすい ・好きな人の「カレー」の好みの変化に対応できそう

Slide 39

Slide 39 text

カレーを作る工程や用語は 理解しておいたほうが良さそう 考え方は同じだと思っています

Slide 40

Slide 40 text

対応 流れを理解しておく ● 担当となる方は「兼務」なのかもしれません ● 「兼務」だとしても基礎的な流れは把握した方が良い ○ ISMS(情報セキュリティマネジメントシステム) ■ 「情報セキュリティ」における ■ 「マネジメントシステム」=運用の考え方 ● が、記されています

Slide 41

Slide 41 text

もう1点重要な点があります

Slide 42

Slide 42 text

好きな人に「カレー」を食べさせたい ある程度、工程を理解し ・自分でもで基礎的なものは作れるようにしておく ・出てくる用語を理解する 作る場合、一人だと作る時間が足りなそうです・・・ ・仲間と分担して作れるようになる ・お店に行っても、用語を知ってるので会話しやすい ・好きな人の「カレー」の好みの変化に対応できそう

Slide 43

Slide 43 text

対応 相手の好み = 求められている基準 ● 求められる基準は状況や事業によって変わると思います ● 経営者から見て一番良いのは ○ コストがかからない ○ または ○ かけたコストに見合っているか ISMSには、経営者と話す流れも定義されていますし 自社が扱っている「情報」や「ビジネスの種類」などに応じて 「発生するリスク」を検討して優先順位を決める流れもあります

Slide 44

Slide 44 text

対応 相手の好み = 求められている基準 ● 求められている基準 ○ 経営者がどのように考えているか ○ 自社がどんなビジネスを行っているのか ○ 保持している情報はどんな内容なのか ○ どういった経路で情報が流れているのか ● 実は、会話・自社理解・業務の棚卸し ○ これらから始める事が基本的な流れとなります

Slide 45

Slide 45 text

対応 その他 ● 仲間を増やしましょう ○ 専門家へ依頼する ■ やはり専門家を入れるのがベストです ■ 自身で理解しつつ、専門家にサポートしてもらいましょう ○ コストがまだかけられないなら? ■ コミュニティや勉強会に参加して ■ 仲間を増やしておきましょう

Slide 46

Slide 46 text

対応 その他 「情シスSlack」へ入って情報収集する 「Security Slack」 サイバーセキュリティ連盟が行っている Security Slackというものもあります https://corp-engr.jp/ https://www.cscloud.co.jp/dx-security/dx_news/20230608-1/

Slide 47

Slide 47 text

専任 or 専門家が居ない ・兼務で実施する人は居ると思います ・情報セキュリティ対策となる基本の理解に努め ・相談役(専門家 or 仲間)を探していきましょう 求められる基準の理解 ・経営者と会話をする事で、事業の状況や背景を理解 ・理解した上で対策が考えられる

Slide 48

Slide 48 text

事例 (補足)

Slide 49

Slide 49 text

ケース1 ● エンジニア主導で全社セキュリティへ着手 ○ エンジニアにプロジェクトのオーナーシップをもってもらった ○ 上場準備もあり、プロダクトのセキュリティ対策と全社のISMS認 証取得、セキュリティポリシーが平行して進んだ ○ エンジニアにオーナーを持ってもらうことにより、事業のメインと なるプロダクトの事業プロセスまで考慮して、そこからリスクを洗 い出すことができた

Slide 50

Slide 50 text

ケース2 ● セキュリティ専任を採用したいが、文化が合わない ○ ゼネラリストとして動く専任者を置きたいという相談 ○ 企業文化としてはプロフェッショナルの集まり ○ 企業文化に合わないと分かっている点について ■ 従業員として雇う方のキャリアをつくれない場合 ● 業務委託で一時的に雇う ● または ● 専門の企業さんとお付き合いして対処する ○ 結果:専門企業をご紹介してうまくいっています

Slide 51

Slide 51 text

本日の結論

Slide 52

Slide 52 text

セキュリティの推進は ぜひ、専門家に相談しながら 進めましょう!!!

Slide 53

Slide 53 text

相談先 ● 本日主催のLRMさん ○ ISMSの導入支援 ○ 従業員のリテラシー向上のためのeラーニング ■ 「セキュリティ」の運営

Slide 54

Slide 54 text

相談先 ● 私もご相談は受け付けております ○ 副業としての壁打ち相手実施 ○ 個人のため多数の相談は受けられないため ■ 初回相談事(無料)に ● 適切だと思う企業さん or 個人の副業の方 ● これらをご紹介しています ○ 相談先 ■ 現在X(旧:ツイッター)のみ ■ https://twitter.com/na2neko

Slide 55

Slide 55 text

最後に・・・ ● もしコストをかけられない場合は? ○ 経営者と課題感は話し合っておきましょう ○ また、以下は専門家に相談する際に役に立ちます ○ 可能なら整理しておくと良いです ■ 事業全体の情報の流れの整理 ● どんな情報を、誰が、何を利用して行っているか ● 情報はどこに、どれだけ保管されるのか ● セキュリティに対する規定やポリシーが存在するか

Slide 56

Slide 56 text

以上となります ありがとうございました!