OWASP Kansai 20181201 LT1

Security = Center of management 弁護士 OWASPKansai 伊藤太一

Who are you?? • 名前伊藤太一 •
弁護士法人淀屋橋・山上合同弁護士 • 真実は？？ • 趣味献血（８２回） • 電気工事士２種，測量士補，応用情報技術者 • 弁護士初（？）本家 Hardening参加！直後の大阪マラソン完走。足の爪2つ飛ぶ

Securityと経営者のあるある Securityって情報漏洩でしょ？大丈夫，うち情シス一人入れたから（ブラック？？無色よりえぇやん）。技術者のいうてることわからんし

エンジニアあるある

ちゃいまんねん！→今日のメッセージ • Security=Businessの継続阻害からの防衛 – After incident から before incidentへ •
誰かがやってくれるSecurityから，みんなでやるSecurityへ→コンクリートと人で作るSecurity • Securityで競争から協争へ

Securityの三要素＝ビジネス継続 • 機密性 • 完全性 • 可用性いろへにほはとちりねるをわかよかれそ
つねなれむうゐのおきやまけほこえてあさひゆめみしゑひもけす漏洩はセキュリティ問題の一つであって全部ではない

技術で防げないセキュリティ • 最も怖い内部犯 – 故意？ – 過失？

内部犯防止対策 • 不正のトライアングル機会（やればできる）動機（不正に手を染めたくなる）正当化（良心の呵責がなくなる）事業資産の把握人事労務管理
コミュニケーション作り

過失防止 • 社員教育・セキュリティポリシー…とはいうけれど – セキュリティポリシー万能？ – 社員教育万能？？ – 社長はなぜよくマルウェアを踏むのか？

過失防止 • 守ることができるセキュリティポリシーへ – セキュリティ＝不便からの脱却 – 守れるポリシーのための環境開発→内部投資

働き方改革とセキュリティ • テレワークセキュリティGL(総務省)

Riskの定量化（≒Legal的脅し） • 漏洩事故の損害賠償請求（使用者責任） • 役員に対する損害賠償請求 – 無策は免責の理由にならない！ ∵全員野球でのセキュリティはもはや国策

サイバーセキュリティ基本法 • 現在，改正法案衆院通過 – サイバーセキュリティ協議会を設置し，大臣を置く – サイバーセキュリティ戦略本部の所管業務に「インシデント発生時の国内外の関係者との連絡調整」が追加

サイバーセキュリティ経営GL(METI) • 中身も大切だがGLができていると言うことが重要 – セキュリティは一般常識

みんなで向き合う「みんな」とは？ • 社内レベルでは？ – 経営層でしか把握できない問題多数 – 人事労務法務もSecurityと無縁ではない – EngineerもSecurityのために頑張る

みんなで向き合う「みんな」とは？ • コストを下げるのは社会全体の協力！！ – NCA(日本シーサート協議会） – JNSA（日本ネットワークセキュリティ協会） – 保険（ただし，事例の蓄積必要） •
民間コミュニティ→OWASP!!

なぜ協力できるか？ • 勧善懲悪の世界 – 協力しないインセンティブがない – セキュリティは攻撃者圧倒的有利 – 100%対応は無理！ •
恥と思われる？ – 明日は我が身 – 立法論としては早期公開に対するインセンティブや保険の充実

なぜ協力できるか？ • IoT・Webと無縁で新規事業できるとでも？？ – 投資としてのSecurity – タクシー事業を始めるのに車買うのと一緒

まとめ • ••にだけ任せておけばOKなSecurityの時代は終わった – Security人材不足？？だったらみんなSecurity！ • 協力しながら競い合う協争の場としてのSecurity→経営方針としての協力の選択 •
経営者層には飴と鞭で理解していただく？ • 期待ギャップは要説明

まとめ

お話しできなかったこと…（ネタだし） • 情報漏洩の判決の読み方よくわからん問題 • ガイドラインの法律上の位置づけと裁判上の位置づけ • セキュリティ関連法規（民事・刑事）の読み方 • テレワーク就業規則のあり方
• 恐怖（？）のGDPR • セキュリティソリューションの契約のあり方 • 弁護士からみた危機管理対応

OWASP Kansai 20181201 LT1

OWASP Kansai 20181201 LT1

tito0330

More Decks by tito0330

Other Decks in Business

Featured

Transcript

Security = Center of management 弁護士 OWASPKansai 伊藤太一

Who are you?? • 名前伊藤太一 •

Securityと経営者のあるある Securityって情報漏洩でしょ？大丈夫，うち情シス一人入れたから（ブラック？？無色よりえぇやん）。技術者のいうてることわからんし

エンジニアあるある

ちゃいまんねん！→今日のメッセージ • Security=Businessの継続阻害からの防衛 – After incident から before incidentへ •

Securityの三要素＝ビジネス継続 • 機密性 • 完全性 • 可用性いろへにほはとちりねるをわかよかれそ

技術で防げないセキュリティ • 最も怖い内部犯 – 故意？ – 過失？

内部犯防止対策 • 不正のトライアングル機会（やればできる）動機（不正に手を染めたくなる）正当化（良心の呵責がなくなる）事業資産の把握人事労務管理

過失防止 • 社員教育・セキュリティポリシー…とはいうけれど – セキュリティポリシー万能？ – 社員教育万能？？ – 社長はなぜよくマルウェアを踏むのか？

過失防止 • 守ることができるセキュリティポリシーへ – セキュリティ＝不便からの脱却 – 守れるポリシーのための環境開発→内部投資

働き方改革とセキュリティ • テレワークセキュリティGL(総務省)

Riskの定量化（≒Legal的脅し） • 漏洩事故の損害賠償請求（使用者責任） • 役員に対する損害賠償請求 – 無策は免責の理由にならない！ ∵全員野球でのセキュリティはもはや国策

サイバーセキュリティ基本法 • 現在，改正法案衆院通過 – サイバーセキュリティ協議会を設置し，大臣を置く – サイバーセキュリティ戦略本部の所管業務に「インシデント発生時の国内外の関係者との連絡調整」が追加

サイバーセキュリティ経営GL(METI) • 中身も大切だがGLができていると言うことが重要 – セキュリティは一般常識

みんなで向き合う「みんな」とは？ • 社内レベルでは？ – 経営層でしか把握できない問題多数 – 人事労務法務もSecurityと無縁ではない – EngineerもSecurityのために頑張る

みんなで向き合う「みんな」とは？ • コストを下げるのは社会全体の協力！！ – NCA(日本シーサート協議会） – JNSA（日本ネットワークセキュリティ協会） – 保険（ただし，事例の蓄積必要） •

なぜ協力できるか？ • 勧善懲悪の世界 – 協力しないインセンティブがない – セキュリティは攻撃者圧倒的有利 – 100%対応は無理！ •

なぜ協力できるか？ • IoT・Webと無縁で新規事業できるとでも？？ – 投資としてのSecurity – タクシー事業を始めるのに車買うのと一緒

まとめ • ••にだけ任せておけばOKなSecurityの時代は終わった – Security人材不足？？だったらみんなSecurity！ • 協力しながら競い合う協争の場としてのSecurity→経営方針としての協力の選択 •

まとめ