社内で専任セキュリティ担当者が不在の中情報セキュリティ推進をいかに実行するか？

Slide 1

Slide 1 text

社内で専任セキュリティ担当者が不在の中情報セキュリティ推進をいかに実行するか？一般社団法人日本ビジネステクノロジー協会理事：長谷川真第6回情報セキュリティ教育サミット

Slide 2

Slide 2 text

今回のお話のターゲット

Slide 3

Slide 3 text

ターゲット ● 社内にセキュリティの専門家が不在 ● 専任でセキュリティに関われる人がいない ● セキュリティに詳しくないけれどなんとか対応を進めたいこんな想いの方々へ向けたお話です

Slide 4

Slide 4 text

私自身の立ち位置 ● セキュリティの専門家ではありません ● 自身の経験から、どんな考えを持ってセキュリティ対応を進めていたかのお話

Slide 5

Slide 5 text

自己紹介

Slide 6

Slide 6 text

お話を進める上で自分のバックグラウンドを知ってもらう事がイメージをふくらませる手助けになると思います

Slide 7

Slide 7 text

自己紹介 ● 長谷川真（はせがわまこと） ● ポート株式会社 VPoE ● 「情シスSlack」というコミュニティの運営 ● 情シス部門（IT企画）の壁打ち役としても活動 ○ 過去のお仕事 ■ WEBエンジニア ■ 人事 ■ 情報システム・業務改善等 @na2neko

Slide 8

Slide 8 text

今日のお話の前提となったキャリアポジション ● 情報システム部門の立ち上げを実施していた時 ● 中小企業の情シスアドバイザーの実施時 ● 上場準備中の情シスアドバイザーの実施時参考としてこれらの時を思い出しながらお話しをさせて頂きます

Slide 9

Slide 9 text

はじめに

Slide 10

Slide 10 text

情報セキュリティセキュリティサイバーセキュリティ

Slide 11

Slide 11 text

嫁に聞いてみました（嫁：事務職・アルバイト）セキュリティ情報セキュリティサイバーセキュリティ違いって何だと思う？

Slide 12

Slide 12 text

嫁に聞いてみました（嫁：事務職・アルバイト）全部一緒だよ！！

Slide 13

Slide 13 text

セキュリティって？ ● 興味がなかったり、知らない人からすると ○ セキュリティ ○ 情報セキュリティ ○ サイバーセキュリティこれらはどれも一緒・・・というよりも、どうでも良い　＝　興味がない

Slide 14

Slide 14 text

セキュリティって？興味があっても、非常に難しい分野対応分野が広いですし企業の文化、事業内容などによっても取り組み方が違うと認識しています

Slide 15

Slide 15 text

注意事項＊当資料では「セキュリティ」という大枠の表現で進めますが　「情報セキュリティ」「サイバーセキュリティ」など　違いの説明は専門家ではないため、控えさせて頂きます

Slide 16

Slide 16 text

結論から

Slide 17

Slide 17 text

セキュリティの推進はぜひ、専門家に相談しながら進めましょう！！！

Slide 18

Slide 18 text

とはいえ。。。

Slide 19

Slide 19 text

本日のテーマ社内で専任セキュリティ担当者が不在の中情報セキュリティ推進をいかに実行するか？

Slide 20

Slide 20 text

本日のテーマ社内で専任セキュリティ担当者が不在の中情報セキュリティ推進をいかに実行するか？そうそう我が社も不在なんです！

Slide 21

Slide 21 text

本日のテーマ

Slide 22

Slide 22 text

本日のテーマ疑問をもった事はありますか？なぜ「専任がいないのか」

Slide 23

Slide 23 text

セキュリティの専任担当者が自社に居ないのは「なぜ？」

Slide 24

Slide 24 text

なぜ「専任」がいないのか？専任の必要性認識あり認識なし経営者の方は、どのように思っていそうですか？

Slide 25

Slide 25 text

なぜ「専任」がいないのか？専任の必要性認識あり認識なし経営者の方は、どのように思っていそうですか？コストの問題そもそも知らない現状維持で大丈夫

Slide 26

Slide 26 text

なぜ「専任」がいないのか？専任の必要性認識あり経営者の方は、どのように思っていそうですか？コストの問題専任の必要性認識ありコストの問題コスト感は理解資金がない適切な費用感が分からない専任の必要性認識なし現状維持で大丈夫専任の必要性認識なしそもそも知らない

Slide 27

Slide 27 text

対応例１コスト関係の課題 ● 費用対効果での説明 ○ よく言われるが、実は難しいと思っている ■ 参考：LRMさんの「セキュマガ」より ● 「セキュリティの費用対効果は計算できるか？」 ● リソースのかけ方で説明 ○ まずは副業情シス等のアドバイザーと一緒に動く ○ 月1〜2の専門家の相談相手を雇う ○

Slide 28

Slide 28 text

Slide 29

Slide 29 text

対応例２認識の課題 ● 経営層への啓蒙活動やインタビュー ○ 本当に現状維持で大丈夫ですか？ ■ 「専門家が居ない」中でなぜ大丈夫と思っているか？せっかくなら経営層へ思っている背景をインタビューしてみてはいかがでしょうか

Slide 30

Slide 30 text

こんな言い方しちゃダメよそんな認識で大丈夫なんすか？ www 表現の引用：「スクラムとデッドライン壊れゆくチームをつなぎとめるもの」より

Slide 31

Slide 31 text

対応例２認識の課題経営者の視点で考えている事が必ずあります。その背景を分解するお手伝い話し相手になってみてはいかがでしょうか。最近の「セキュリティ関係の事故」の記事を調べて、自社だったらどういう影響があるかなど、会話してみても良いかもしれません。

Slide 32

Slide 32 text

セキュリティの専任担当者が自社に居ないのは「なぜ？」ここまで理由の仮説と、その想定課題に対する対応例をあげてみました

Slide 33

Slide 33 text

ここで給水タイム

Slide 34

Slide 34 text

次に

Slide 35

Slide 35 text

本日のテーマ社内で専任セキュリティ担当者が不在の中情報セキュリティ推進をいかに実行するか？

Slide 36

Slide 36 text

こんな時どうしますか？あなたの好きな人は「カレー」が大好きなようです。しかし、あなたは「カレー」の作り方を知りません。そして、一人で「カレー」をつくるだけの時間が捻出できなさそうです。

Slide 37

Slide 37 text

好きな人に「カレー」を食べさせたい専門家に教わりながらつくる美味しい専門店へ連れて行く自分でつくる提供手段は、いくつかありそうです

Slide 38

Slide 38 text

好きな人に「カレー」を食べさせたいある程度、工程を理解し・自分でもで基礎的なものは作れるようにしておく・出てくる用語を理解する作る場合、一人だと作る時間が足りなそうです・・・・仲間と分担して作れるようになる・お店に行っても、用語を知ってるので会話しやすい・好きな人の「カレー」の好みの変化に対応できそう

Slide 39

Slide 39 text

カレーを作る工程や用語は理解しておいたほうが良さそう考え方は同じだと思っています

Slide 40

Slide 40 text

対応流れを理解しておく ● 担当となる方は「兼務」なのかもしれません ● 「兼務」だとしても基礎的な流れは把握した方が良い ○ ISMS（情報セキュリティマネジメントシステム） ■ 「情報セキュリティ」における ■ 「マネジメントシステム」＝運用の考え方 ● が、記されています

Slide 41

Slide 41 text

もう1点重要な点があります

Slide 42

Slide 42 text

Slide 43

Slide 43 text

対応相手の好み　＝　求められている基準 ● 求められる基準は状況や事業によって変わると思います ● 経営者から見て一番良いのは ○ コストがかからない ○ または ○ かけたコストに見合っているか ISMSには、経営者と話す流れも定義されていますし自社が扱っている「情報」や「ビジネスの種類」などに応じて「発生するリスク」を検討して優先順位を決める流れもあります

Slide 44

Slide 44 text

対応相手の好み　＝　求められている基準 ● 求められている基準 ○ 経営者がどのように考えているか ○ 自社がどんなビジネスを行っているのか ○ 保持している情報はどんな内容なのか ○ どういった経路で情報が流れているのか ● 実は、会話・自社理解・業務の棚卸し ○ これらから始める事が基本的な流れとなります

Slide 45

Slide 45 text

対応その他 ● 仲間を増やしましょう ○ 専門家へ依頼する ■ やはり専門家を入れるのがベストです ■ 自身で理解しつつ、専門家にサポートしてもらいましょう ○ コストがまだかけられないなら？ ■ コミュニティや勉強会に参加して ■ 仲間を増やしておきましょう

Slide 46

Slide 46 text

対応その他「情シスSlack」へ入って情報収集する「Security Slack」サイバーセキュリティ連盟が行っている Security Slackというものもあります https://corp-engr.jp/ https://www.cscloud.co.jp/dx-security/dx_news/20230608-1/

Slide 47

Slide 47 text

専任 or 専門家が居ない・兼務で実施する人は居ると思います・情報セキュリティ対策となる基本の理解に努め・相談役（専門家 or 仲間）を探していきましょう求められる基準の理解・経営者と会話をする事で、事業の状況や背景を理解・理解した上で対策が考えられる

Slide 48

Slide 48 text

事例（補足）

Slide 49

Slide 49 text

ケース１ ● エンジニア主導で全社セキュリティへ着手 ○ エンジニアにプロジェクトのオーナーシップをもってもらった ○ 上場準備もあり、プロダクトのセキュリティ対策と全社のISMS認証取得、セキュリティポリシーが平行して進んだ ○ エンジニアにオーナーを持ってもらうことにより、事業のメインとなるプロダクトの事業プロセスまで考慮して、そこからリスクを洗い出すことができた

Slide 50

Slide 50 text

ケース２ ● セキュリティ専任を採用したいが、文化が合わない ○ ゼネラリストとして動く専任者を置きたいという相談 ○ 企業文化としてはプロフェッショナルの集まり ○ 企業文化に合わないと分かっている点について ■ 従業員として雇う方のキャリアをつくれない場合 ● 業務委託で一時的に雇う ● または ● 専門の企業さんとお付き合いして対処する ○ 結果：専門企業をご紹介してうまくいっています

Slide 51

Slide 51 text

本日の結論

Slide 52

Slide 52 text

セキュリティの推進はぜひ、専門家に相談しながら進めましょう！！！

Slide 53

Slide 53 text

相談先 ● 本日主催のLRMさん ○ ISMSの導入支援 ○ 従業員のリテラシー向上のためのeラーニング ■ 「セキュリティ」の運営

Slide 54

Slide 54 text

相談先 ● 私もご相談は受け付けております ○ 副業としての壁打ち相手実施 ○ 個人のため多数の相談は受けられないため ■ 初回相談事（無料）に ● 適切だと思う企業さん or 個人の副業の方 ● これらをご紹介しています ○ 相談先 ■ 現在X（旧：ツイッター）のみ ■ https://twitter.com/na2neko

Slide 55

Slide 55 text

最後に・・・ ● もしコストをかけられない場合は？ ○ 経営者と課題感は話し合っておきましょう ○ また、以下は専門家に相談する際に役に立ちます ○ 可能なら整理しておくと良いです ■ 事業全体の情報の流れの整理 ● どんな情報を、誰が、何を利用して行っているか ● 情報はどこに、どれだけ保管されるのか ● セキュリティに対する規定やポリシーが存在するか

Slide 56

Slide 56 text

以上となりますありがとうございました！