きのう(3月14日)EnterpriseZine Seminar
裁判事例と経産省ガイドラインで読み解く、経営課題としてのセキュリティ対策
に行ってきた!その内容をメモメモ
■セキュリティ関連判例に見る、経営リスクとしてのセキュリティ事故
その時、企業は何を問われるか?
・自己紹介
ITの調停
多くは、ろくでもないソフトとかいう話
IT専門委員:つめたく証言
→セキュリティ関係もある
予備知識:不正アクセス防止法 第2条の4
・アクセス機能を有する~・・・
→アクセス機能が不十分なコンピューターは、法律でも守られません!
個人情報、営業機密
・窃盗罪?
→ちがいます。窃盗罪:モノがなくなることが要件→コピーした場合、モノがなくならない
もはや、セキュリティ事故は日常茶飯事
→守り切る仕組みとともに、漏えいした時のことも考えましょう
どちらでしょう
・漏えいを起こした会社
被害者・加害者
情報を守る専門化?・素人だから仕方ない?
加害者か被害者か?素人か専門家か?
・インターネット検索サービス会社による個人情報漏えい
500円の金券→5人が納得しない
やることやってなかったら加害者→不法行為
:専門家であるべき
→旅館・民宿の宿帳:葉書出すために→個人情報
情報盗まれたら、不法行為
→素人だからしょうがないねと裁判所はみなさない
加害者にならないために、何をどこまでやっておくの?
・クレジットカードの個人情報漏えい
決済代行会社→不正利用されている
→裁判所はこれぐらい必要と判断したこと
入力検証、不正データ無効化
パスワード、セッション
データ暗号化
アクセス制御
ログ
昔は、ファイヤーウォールで暗号化でよかった
平成35年だったら?
→時流に合わせてセキュリティ
・新聞または雑誌で周知されている技術は、適用する義務がある
大切なことは、タイムリーな仕組み
・日々学び続ける
→情報を取り扱う会社は
人:モチベーション
・情報源、キャリアパス
どこで学びましょう
・JP-CERT
・警視庁のリンク集
→会社の中で、だれが学ぶ?
セキュリティ脅威は日進月歩だけど
・ウィルスによる個人情報流出
経済産業省のHP→ソフトハウス発注→個人がデザイン:そのパソコンに感染
P2Pソフトで→300万賠償(P2Pソフトは知られていたので)
→420万が損害だった:発注者側も管理不備があったから
→情報提供する側もセキュリティ
個人情報って、いくら
・規則はない
・下限は500円(お見舞金だけど)
多いのは5000円(高め?)
ただし・・・
・エステティックサロン:訴えたのは14人→100万円で提訴
→3万円になった
→請求者の気持ちによる
→お客さんがいなくなる
裁判なんてやるもんじゃない。失うものが多い
まずは心構えとビジネスモデルの検証
→責任を持って管理といわれても
情報を守れないのなら、そんな商売するな
とはいえ、すべての情報をがちがちに管理していたのでは、商売にならない
→情報の取りアー時
情報の分類
どんな情報を持っているか洗い出し
分類する
経営に重大な影響があっても守る
上記ほどではないが、対外的に影響が大きい
外部に及ぶ損害は限定的
限定的
→分類はいろいろ
トリアージに基づく情報保護法新
→一般的なウィルス対策やファイヤーウォールをやった上で
お金と謝罪についても考えておきましょう
・もう一つのトリアージ
情報の値札付け(だいたいでいいけど)
謝る人を決めておく:トップが謝らなきゃしょうがない。
→初動を誤り、中間管理職が誤って問題が起こることも
→会社つぶれないために必要
体制こそ大事
・情報保護方針の制定者は経営者、経営層
・情報アクセスは立ち会う中で
・常時監視
→派遣社員、よその会社が盗むほうが多い
昨日まで許されたことが、今日は許されなくなる。
■サイバーセキュリティ経営ガイドラインから読み解く企業のすべきこと
12月28日に出た
・サイバーセキュリティガイドラインVer1.0
サイバーセキュリティと情報セキュリティの違いは?
→サイバーセキュリティのほうが広い
情報セキュリティ:コンピューター、ネットワーク
サイバーセキュリティ:組み込み、不正送金も
多発しているセキュリティ事故
・2013年から急に
ビジネスとしてのサイバー犯罪
・プロフェッショナル化するセキュリティ犯罪
犯罪支援のツール
ブラックマーケット
セキュリティ事故事例
・事故多発
サイバー攻撃の変化
・明確な目的を持って、企業等を狙っている
対策ソフト研究:検知されていないマルウェア(ゼロデイ攻撃)
ネットワーク機器のぜい弱性を利用
人間の心理を利用した標的型攻撃
→ランサムウェア
ファイルが暗号化されてロック:Wordに添付されて送られてくる
サイバー攻撃で何が狙われるか
・個人情報だけではない
・設計図、CAD、作業工程、デザイン、医療情報
→他社(海外)からみると、おたからかも?
ガイドライン誕生へ
・サイバー攻撃により企業活動の停止
ノウハウ流出
海外競争力の低下
企業規模、業種を問わないセキュリティへの対応が不可欠
ガイドラインの構成
・はじめに:メッセージ
・3原則
・10項目
はじめにに見るガイドラインの位置づけ
・サイバー攻撃に対処するのは経営者の責務
→ガイドラインをやっているかどうか
・保険会社もチェック→保険料変わる?
サイバーセキュリティ経営の3原則
・リーダーシップ
・自社はもちろん、協力会社、サプライチェーンも対策
・関係者と適切なコミュニケーション
重要な10項目
(ガイドラインでわかれているわけではないが)4つのカテゴリー
・1.リーダーシップと耐性
CISO:セキュリティ責任者情報システム部役員とか
指示1,2
・2.リスクの管理と計画
経営者巻き込んで対策リスク
指示3、4、5
・3、サイバー攻撃の事前対策
予算の管理、情報収集
指示6,7,8
・4.サイバー攻撃の事後対策
指示9,10
リーダーシップと体制
・経営者を説得する材料になった
・予算をつけて、計画的に、経営者が
リスクの管理と計画
・リスク→外部のコンサルタントと
・昔のリスク分析は陳腐化してるかも?
セキュリティリスクの考え方
・可視化して
リスクの管理と計画
・サプライチェーン
サイバー攻撃の事前対策
・教育しろ!
→意識低い人が狙われる
・従来、ファイヤーウォールいれておわり
→いまはモニタリングしないとだめ
・技術対策
多層防御:多重にセキュリティ入れる。どの企業も入れている
→入口対策、出口対策
→ログの相関分析
サイバー攻撃の事後対策
・起きた時のフロー、マニュアル化
・CISRT(しいさーと)の構築
・ログ分析→つきあわせてみないと(帰っているのに通信)
まとめ
・リスクの把握
・ビデオ
・特徴
技術
人
組織
■クロストーク
これだけは最低限やっておきたい背旧知ティ対策に必要な10のこと
1.自分だけの持っている情報を洗い出せ
2.情報トリアージ
3.リスクを洗い出す
4.社内の対策、社外の対策の仕分けをする
5.経営幹部、経営層を巻き込む
6.予算を確保する
7.セキュリティ以外の情報システム部門との連携を取る
8.社員全員への意義づけ
9.セキュリティ情報について継続的に学ぶ
10.情報を預かるモノは、防衛策を講じないと不法行為になること
トップが無事でない事例はある→啓蒙する
→経営陣の中に味方をつける
セキュリティ予算付いている:社長にインプット→情報を与えないと
→ベンチマーク有効
モニタリング→入れてすぐにわかることも
資産のチェック→脆弱性モニタリング
「おまかせしてました」「裏切られました」
→裁判所のNGワード
ポリシーはユーザーさん
セキュリティ人材
ジョブローテーション
業務改善として入れていく
まず、ガイドラインのインプット
危機感の共有→伝えるための仕組み
裁判事例と経産省ガイドラインで読み解く、経営課題としてのセキュリティ対策
に行ってきた!その内容をメモメモ
■セキュリティ関連判例に見る、経営リスクとしてのセキュリティ事故
その時、企業は何を問われるか?
・自己紹介
ITの調停
多くは、ろくでもないソフトとかいう話
IT専門委員:つめたく証言
→セキュリティ関係もある
予備知識:不正アクセス防止法 第2条の4
・アクセス機能を有する~・・・
→アクセス機能が不十分なコンピューターは、法律でも守られません!
個人情報、営業機密
・窃盗罪?
→ちがいます。窃盗罪:モノがなくなることが要件→コピーした場合、モノがなくならない
もはや、セキュリティ事故は日常茶飯事
→守り切る仕組みとともに、漏えいした時のことも考えましょう
どちらでしょう
・漏えいを起こした会社
被害者・加害者
情報を守る専門化?・素人だから仕方ない?
加害者か被害者か?素人か専門家か?
・インターネット検索サービス会社による個人情報漏えい
500円の金券→5人が納得しない
やることやってなかったら加害者→不法行為
:専門家であるべき
→旅館・民宿の宿帳:葉書出すために→個人情報
情報盗まれたら、不法行為
→素人だからしょうがないねと裁判所はみなさない
加害者にならないために、何をどこまでやっておくの?
・クレジットカードの個人情報漏えい
決済代行会社→不正利用されている
→裁判所はこれぐらい必要と判断したこと
入力検証、不正データ無効化
パスワード、セッション
データ暗号化
アクセス制御
ログ
昔は、ファイヤーウォールで暗号化でよかった
平成35年だったら?
→時流に合わせてセキュリティ
・新聞または雑誌で周知されている技術は、適用する義務がある
大切なことは、タイムリーな仕組み
・日々学び続ける
→情報を取り扱う会社は
人:モチベーション
・情報源、キャリアパス
どこで学びましょう
・JP-CERT
・警視庁のリンク集
→会社の中で、だれが学ぶ?
セキュリティ脅威は日進月歩だけど
・ウィルスによる個人情報流出
経済産業省のHP→ソフトハウス発注→個人がデザイン:そのパソコンに感染
P2Pソフトで→300万賠償(P2Pソフトは知られていたので)
→420万が損害だった:発注者側も管理不備があったから
→情報提供する側もセキュリティ
個人情報って、いくら
・規則はない
・下限は500円(お見舞金だけど)
多いのは5000円(高め?)
ただし・・・
・エステティックサロン:訴えたのは14人→100万円で提訴
→3万円になった
→請求者の気持ちによる
→お客さんがいなくなる
裁判なんてやるもんじゃない。失うものが多い
まずは心構えとビジネスモデルの検証
→責任を持って管理といわれても
情報を守れないのなら、そんな商売するな
とはいえ、すべての情報をがちがちに管理していたのでは、商売にならない
→情報の取りアー時
情報の分類
どんな情報を持っているか洗い出し
分類する
経営に重大な影響があっても守る
上記ほどではないが、対外的に影響が大きい
外部に及ぶ損害は限定的
限定的
→分類はいろいろ
トリアージに基づく情報保護法新
→一般的なウィルス対策やファイヤーウォールをやった上で
お金と謝罪についても考えておきましょう
・もう一つのトリアージ
情報の値札付け(だいたいでいいけど)
謝る人を決めておく:トップが謝らなきゃしょうがない。
→初動を誤り、中間管理職が誤って問題が起こることも
→会社つぶれないために必要
体制こそ大事
・情報保護方針の制定者は経営者、経営層
・情報アクセスは立ち会う中で
・常時監視
→派遣社員、よその会社が盗むほうが多い
昨日まで許されたことが、今日は許されなくなる。
■サイバーセキュリティ経営ガイドラインから読み解く企業のすべきこと
12月28日に出た
・サイバーセキュリティガイドラインVer1.0
サイバーセキュリティと情報セキュリティの違いは?
→サイバーセキュリティのほうが広い
情報セキュリティ:コンピューター、ネットワーク
サイバーセキュリティ:組み込み、不正送金も
多発しているセキュリティ事故
・2013年から急に
ビジネスとしてのサイバー犯罪
・プロフェッショナル化するセキュリティ犯罪
犯罪支援のツール
ブラックマーケット
セキュリティ事故事例
・事故多発
サイバー攻撃の変化
・明確な目的を持って、企業等を狙っている
対策ソフト研究:検知されていないマルウェア(ゼロデイ攻撃)
ネットワーク機器のぜい弱性を利用
人間の心理を利用した標的型攻撃
→ランサムウェア
ファイルが暗号化されてロック:Wordに添付されて送られてくる
サイバー攻撃で何が狙われるか
・個人情報だけではない
・設計図、CAD、作業工程、デザイン、医療情報
→他社(海外)からみると、おたからかも?
ガイドライン誕生へ
・サイバー攻撃により企業活動の停止
ノウハウ流出
海外競争力の低下
企業規模、業種を問わないセキュリティへの対応が不可欠
ガイドラインの構成
・はじめに:メッセージ
・3原則
・10項目
はじめにに見るガイドラインの位置づけ
・サイバー攻撃に対処するのは経営者の責務
→ガイドラインをやっているかどうか
・保険会社もチェック→保険料変わる?
サイバーセキュリティ経営の3原則
・リーダーシップ
・自社はもちろん、協力会社、サプライチェーンも対策
・関係者と適切なコミュニケーション
重要な10項目
(ガイドラインでわかれているわけではないが)4つのカテゴリー
・1.リーダーシップと耐性
CISO:セキュリティ責任者情報システム部役員とか
指示1,2
・2.リスクの管理と計画
経営者巻き込んで対策リスク
指示3、4、5
・3、サイバー攻撃の事前対策
予算の管理、情報収集
指示6,7,8
・4.サイバー攻撃の事後対策
指示9,10
リーダーシップと体制
・経営者を説得する材料になった
・予算をつけて、計画的に、経営者が
リスクの管理と計画
・リスク→外部のコンサルタントと
・昔のリスク分析は陳腐化してるかも?
セキュリティリスクの考え方
・可視化して
リスクの管理と計画
・サプライチェーン
サイバー攻撃の事前対策
・教育しろ!
→意識低い人が狙われる
・従来、ファイヤーウォールいれておわり
→いまはモニタリングしないとだめ
・技術対策
多層防御:多重にセキュリティ入れる。どの企業も入れている
→入口対策、出口対策
→ログの相関分析
サイバー攻撃の事後対策
・起きた時のフロー、マニュアル化
・CISRT(しいさーと)の構築
・ログ分析→つきあわせてみないと(帰っているのに通信)
まとめ
・リスクの把握
・ビデオ
・特徴
技術
人
組織
■クロストーク
これだけは最低限やっておきたい背旧知ティ対策に必要な10のこと
1.自分だけの持っている情報を洗い出せ
2.情報トリアージ
3.リスクを洗い出す
4.社内の対策、社外の対策の仕分けをする
5.経営幹部、経営層を巻き込む
6.予算を確保する
7.セキュリティ以外の情報システム部門との連携を取る
8.社員全員への意義づけ
9.セキュリティ情報について継続的に学ぶ
10.情報を預かるモノは、防衛策を講じないと不法行為になること
トップが無事でない事例はある→啓蒙する
→経営陣の中に味方をつける
セキュリティ予算付いている:社長にインプット→情報を与えないと
→ベンチマーク有効
モニタリング→入れてすぐにわかることも
資産のチェック→脆弱性モニタリング
「おまかせしてました」「裏切られました」
→裁判所のNGワード
ポリシーはユーザーさん
セキュリティ人材
ジョブローテーション
業務改善として入れていく
まず、ガイドラインのインプット
危機感の共有→伝えるための仕組み
アクセス
トータル
ランキング
