情報セキュリティ リテラシーの醸成〜株式会社

自由民主党政務調査会
IT戦略特命委員会 御中
“情報セキュリティ リテラシーの醸成”
2015年4月8日
株式会社アズジェント
セキュリティ・プラス本部
コンサルティング部 部長
セキュリティ・プラス ラボ
室長
駒瀬 彰彦
Copyright © 2015 Asgent,Inc. All Rights Reserved
株式会社アズジェント
概要
【会社名】
会社概要
セキュリティソリューションポートフォリ
株式会社 アズジェント
(英文名 Asgent, Inc.)
【本 社】
東京都中央区明石町6-4
【設 立】
1997年11月10日
【役 員】
代表取締役社長 : 杉本隆洋
取締役 : 葛城岳典、杉山卓也、清
瀬紀次
【資本金】
7億7,111万円
【大株主】
アズウェルマネジメント、杉本隆洋、
みずほ銀行、
みずほキャピタル
【上 場】
【社員数】
主な取扱プロダクト
JASDAQ (4288)
113名(2015年4月1日現在)
【主業務】
セキュリティ及び運用管理ソリュー
ションの提供
2
Copyright © 2015 Asgent,Inc. All Rights Reserved
株式会社アズジェント
位置付け
■国内外でのセキュリティ普及活動を推進
• 官公庁、大手企業への豊富なコンサルティング実績
• ISO27001シリーズ教育のトップシェア
(70%)
• ISMS適合性評価制度運営委員会
• BCMS(事業継続マネジメントシステム)準備委員会
• 各種セキュリティ団体への加盟
• 日本でのBlack Hat(※2) Japan の開催に協力 等
■ビジネスパートナーとして表彰多数
・ Check Point
受賞
・ HP 他
通算11回、連続7年
■「工業標準化功労者表彰(※1)」受
賞
■国内外におけるリレーション
・ イスラエルのサイバーセキュリティ・コミュニティ
に太いパイプ
・ 米国におけるSE(Social Engineering)の第一人
者の
プログラムを国内でいち早く導入
・ 米国大使館商務部協力によるセミナーを開催
「クラウド時代のセキュリティ “セキュア・クラウド”
セミナー」
※1 国際規格や日本工業規格の作成、普及に対する功績が顕著であると
認められる者、組織に対しておくられる表彰
※2 テクニカルインフォメーションセキュリティカンファレンス
3
Copyright © 2015 Asgent,Inc. All Rights Reserved
講師紹介
こませ あきひこ
駒瀬
彰彦 ,
任監査人
CISSP,
公認情報セキュリティ主
暗号技術を用いた機密情報保護、認証システムの設計、開発などを
経て、ネットワーク・セキュリティ・コンサルティングを担当。
リスクアセスメント・リスクマネジメント,監査支援ツールである
「M@gicPolicyシリーズ」の開発, ISMS/ITSMS/BCMS/CSMS構築,
個人情報保護のためのコンサルティングや情報セキュリティ監査を担当。サイバーセキュリティ
分野における,新たな制度, ガイドライン作成のための研究や対策に邁進。
ISMS/ITSMS制度 説明会や官庁や企業、各種イベントやセミナーなどでの講演や新聞・雑
誌などへの寄稿など多数実施。
株式会社 アズジェント セキュリティ・プラス 本部 コンサルティング部 部長 兼 セキュリ
ティ・プラス ラボ 室長
一般財団法人 日本情報経済社会推進協会(JIPDEC) ISMS/ITSMS/CSMS適合性評価制度 運営委
員
ISMS技術部会 主査
公益財団法人 日本適合性認定協会 (JAB) MS運営委員会委員
一般財団法人 日本規格協会
ISMS/ITSMS JIS原案作成委員会 委員
特定非営利活動法人 日本ネットワークセキュリティ協会 幹事
特定非営利活動法人 日本セキュリティ監査協会 幹事
2012年 経済産業書 産業技術環境局長表彰(工業標準化功労者表彰)
経済産業省 ASEAN地域の重要インフラ関係者に対する情報セキュリティ強化支援研修
講師
Copyright © 2015 Asgent,Inc.
All Rights な
Reserved
4
目次
1. 情報を取り巻く脅
威・・・・・・・・・・・・・・・・・・・・・・・・
・・ P6
2. 情報セキュリティ人材育成の必要
性・・・・・・・・・・・・・・ P23
3. 情報セキュリティ エコシステムの確
立・・・・・・・・・・・・・ P30
4. まと
め・・・・・・・・・・・・・・・・・・・・・・・・
・・・・・・・・・・・・・ P33
5
Copyright © 2015 Asgent,Inc. All Rights Reserved
1.情報を取り巻く脅威
順位変動
対象
企業
利用者
企業
国
企業
国
企業
国
企業
利用者
情報セキュリティ10大脅威 2015
-IPA 独立行政法人情報処理推進機構セキュリティセンター
6
2015年3月25日発行
引用
Copyright © 2015 Asgent,Inc. All Rights Reserved
第1位
インターネットバンキングやクレジットカード情報の
不正利用
• ウイルスやフィッシング詐欺により、オンラインバンキングの認証情報や
クレジットカード情報が窃取され、本人になりすまして不正に利用や送金
が行われた。2014年は個人口座だけでなく法人口座からの不正送金被害が
急増した。
• ネットバンキング不正送金は約29億円で法人被害が激増
2014年のインターネットバンキングに関する不正送金被害発生状況 警察庁発表資料よ
り引用
2倍超に激増
7
Copyright © 2015 Asgent,Inc. All Rights Reserved
第1位
インターネットバンキングやクレジットカード情報の
不正利用
• 地銀等被害の拡大
 被害が地方銀行や信用金庫,
信用組合に拡大
地銀単体→ 3倍超に激増
地・信金・信組 合計 →
4倍超に
• 法人被害が激増
 法人名義口座の被害額が10倍
法人: 98(百万) → 1088(百万)
10倍超に激増
2014年のインターネットバンキングに関する不正送金被害発生状況 警察庁発表資料より
8
Copyright © 2015 Asgent,Inc. All Rights Reserved
第1位
インターネットバンキングやクレジットカード情報の
不正利用
• 攻撃手口
• ウイルス感染:

悪意のあるウェブサイトを閲覧する等によってパソコンがウイルスに感染する。そのパソコン
で利用者が入力したID とパスワードや口座番号等の情報が攻撃者に窃取される。攻撃者は窃取
した情報を使用して、正規の利用者になりすましてインターネットバンキングにログインし、
不正送金を行う。
• MITB:

悪意の攻撃者がユーザーのPCにトロイの木馬などのマルウェアを侵入させ通信を監視し、オン
ラインバンクにログインされた後の通信を乗っ取り、ユーザーの預金を盗み取る攻撃のこと。
• フィッシング詐欺
 攻撃者は、実在する銀行やクレジットカー
ド会社、オンラインゲーム運営会社等を装った
メールを送信する。被害者は、実在する
企業・組織からのメールと思い込み、メールに記載されている
リンクから偽のサイトに誘導され、認証情報や
マルウェア
クレジットカード情報を入力してしまう。
攻撃者は、その情報を悪用して不正ログイン
や不正送金を行い、金銭を窃取する。
正規銀行/ECサイト
決済代行業者
氏名:ASGENT TARO
カード番号:XXXX-XXXX-XXXX-XXXX
有効期限:2018年9月
閲覧
悪意のあるサイト
• 「やりとり型」といったソーシャルエンジニアリングの活用を組
Copyright © 2015 Asgent,Inc. All Rights Reserved
9
み合わせた攻撃
第2位 内部不正による情報漏えい
• 企業の従業員が内部情報を窃取し、第三者に販売した事件が社会的な問題
となった。内部の人間が悪意を持つと、その人間がアクセスできる範囲で
自由に情報を窃取できるため、情報の重要度に応じたアクセス権限の設定
や退職者のアクセス権の抹消等、厳重な管理と監視を継続的に行う必要が
ある。
• 主な事例と傾向
 内部犯行による膨大な個人情報漏えい
 2014 年7 月、通信教育大手のベネッセコーポレーションは、システムを保守管理す
る委託先企業の社員が、顧客の個人情報を不正に持ち出し、約3,504 万件分を名簿業
者に販売していたと公表した。この事件は、当該企業に提供した個人情報を使ったダ
イレクトメールが届いた等の顧客からの問い合わせにより発覚した。情報が漏えいし
た顧客への補償として総額200 億円を準備したことを発表した。
 海外への技術情報の漏えい
 東芝と業務提携していた半導体メーカーのサンディスクの社員が、東芝の研究データ
を不正に持ち出し、転職先の韓国の半導体大手SK ハイニックスに流出させた。2014
年12 月、SK ハイニックスが東芝に約330億円の損害賠償を支払うことで企業間の和
解が成立した。
10
Copyright © 2015 Asgent,Inc. All Rights Reserved
情報漏えい
(直近の例)
•
原子力規制委員会は2015年3月31日、新人職員の研修用の内部資料がイ
ンターネット上に流出したことを明らかにした。資料は、英訳を受託した
会社が、業務を外部に依頼する過程で流出させたという。契約に違反して
いる可能性がある。規制委は過去に同様の事案がないか確認している。安
全や核物質防護上問題のある情報は含まれていないという。
•
2015年3月30日に外部からの問い合わせで発覚した。規制委によると、
流出したのは研修用資料の一部で、使用済み燃料の再処理工場(青森県六
ケ所村)などの施設の概要や安全規制について、基礎的な事項が書かれて
いた。核物質防護上の秘密の情報は含まれていないが、機密扱いだった。
受託した会社は、規制委の了承を得ずにネットで外部に業務を依頼。資料
を受け渡すサイトから流出したという。
出典:2015年3月31日 朝日新聞デジタル
11
Copyright © 2015 Asgent,Inc. All Rights Reserved
第10位
悪意のあるスマートフォンアプリ
• 便利な機能があるように見せかけた悪意あるスマートフォンアプリ
により、端末内の電話帳等の個人情報を知らない間に窃取されてし
まう。窃取された情報がスパムメールや詐欺に悪用され、友人や知
人にまで被害が及ぶ場合もある。
• 端末情報・電話帳・写真・メール内容等の個人情報の窃取
• スマートフォンの機能(カメラやマイク、GPS)を悪用した盗撮・
盗聴・追跡等
• 窃取した情報を悪用した、スパムメール等による二次的被害
• 人気のAndroid アプリの偽物アプリ
 Android の公式ストアであるGoogle Playに掲載されている無料の人気
アプリ50本のうち40 本の偽アプリが、非公式のダウンロードサイト上
で確認された。
12
Copyright © 2015 Asgent,Inc. All Rights Reserved
昨今の潮流と課題
• 情報の不正利用
 インターネットバンキングやクレジット情報不正利用
 POS(販売時点情報管理)システムをウイルス感染させクレジットカー
ド情報を窃取する事件が発生。海外ではその被害が年々増加しており、
国内でも今後被害が拡大する可能性がある。
• Target, Kmart, Michael‘s, Dairy Queen, Staples, Goodwill,
Nieman Marcus,
JP Morgan Chase, Verizon, EA Games
など
• ビックデータ
 大量データ、データの多様性、高速性、リアルタイム性を損なう
 資源(人材、ストーレッジ、並列処理機器など)不足、 プライバシー
保護の課題
• IoT、スマホ
 多様なデバイス・アイディアが創出される一方、セキュリティリスクの
増大
• 2020年 東京都オリンピック・パラリンピック
 サイバー攻撃、テロ対策の必要性
• 2015年 10月
マイナンバー制度
 プライバシー保護、認証、アクセス制御(人、デバイス、システム)、
Copyright © 2015 Asgent,Inc. All Rights Reserved
暗号、バックアップの必要性 13
昨今の潮流と課題
• 仮想化、クラウド
 2014年9月に11カ国で実施した調査によると、IT関連の意思決定に
携わる人間の75%以上が、クラウドサービスのセキュリティに対し
て「非常に不安だ」と回答している。にもかかわらず、全世界で
70%、米国では79%もの企業が、クラウドストレージやウェブアプ
リケーションを採用している。
• SNS
 Facebook 詐欺の横行
• Facebook詐欺は巨大なビジネス。数多くのFacebook詐欺は、
トロイの木馬を使って銀行やブラウザのパスワードを手に入れる
ことで金を稼いでいる。
• ナイジェリア詐欺:2013年の世界全体での被害額は127億ドル
になった。
14
Copyright © 2015 Asgent,Inc. All Rights Reserved
IoT攻撃 (例1)
• プリウスなどのハッキング「指南書」、米専門家が公開へ
[ボストン 2013年7月28日 ロイター] 米政府の助成を受けて車のセキュリティーシステム
について研究している専門家2人が、
トヨタの「プリウス」などのハッキング方法を発見し、
注意喚起を目的にその「指南書」を近く公開する
ことになった。
ツイッターの研究者チャーリー・ミラー氏と
セキュリティーコンサルタント会社IOActiveの
クリス・バラセク氏は、プリウスのほかフォードの「エスケープ」の重要なシ
ステムを攻撃するための技術文書を作成。ロサンゼルスで今週開かれる、ハッ
カーやセキュリティー関係者らのイベント「デフコン」で、これらの車種を
ハッキングするためのソフトも披露する。
ミラー氏らによると、プリウスについては時速約130キロで走行中に急ブ
レーキをかけたり、運転手の意思とは関係なくハンドルを動かしたりできたほ
か、エスケープは低速走行中にブレーキが利かないようにすることができたと
いう。ただハッキング中は、2人とも車内からノートパソコンを使って直接車
出典: 2013年 7月 29日 ロイター
のネットワークに侵入していたため、遠隔操作の方法が明らかになるわけでは
Copyright © 2015 Asgent,Inc. All Rights Reserved
15
ない。
IoT 攻撃
こんなのも?
(例2)
ビデやおしり洗浄を遠隔操作!? LIXIL製トイレアプリに脆弱性- 米
Trustwave
米Trustwaveは、LIXIL製トイレ「SATIS」のAndroid向け
アプリにセキュリティの脆弱性があると発表した。
SATISは、スマートフォンアプリ連携機能を備えたトイレ。ス
マートフォンとBluetooth接続することで、アプリからシャワー
トイレの個人設定を行ったり、端末に保存している音楽をトイレ
本体のスピーカーで再生できる。専用アプリ「MY SATIS」は
Google Playより無料でダウンロード可能。
今回、発表された脆弱性は、BluetoothのPIN(識別番号)が
「0000」にハードコードされているというもの。脆弱性を悪用
することで、専用アプリを外部から操作し、任意のトイレを思う
ままに制御できるという。この件についてLIXIL広報部では「現
在、脆弱性の有無を含めて調査中」としている。
出典: Black Hat USA 2013における発表
16
Copyright © 2015 Asgent,Inc. All Rights Reserved
情報セキュリティ
リテラシーの向上
利用者
• 「ウィルス・不正送金・詐欺、恐喝(ランサムウェア)」の脅威が増大
• 端末やスマートフォン等のウィルス、遠隔操作
• 「やりとり型」といったソーシャルエンジニアリングを活用した不
正送金 など
リテラシー醸成が重要
• 若年層から高齢層といったあらゆる世代や、個人、家庭、職場、公共
施設などのあらゆる場面など、日常生活や社会経済活動のあらゆる活
動にITCが浸透している。
• このように全ての一般国民がIT(サイバー空間)と共存している状況
においては、裾野が広い一般国民を対象としたリテラシーの向上を図
ることが必要
17
Copyright © 2015 Asgent,Inc. All Rights Reserved
情報セキュリティ
リテラシー醸成対象者の低年
齢化
青少年の携帯電話・スマートフォンの利用率
平成26年度 平成25年度 平成24年度 平成23年度 平成22年度
総数
66.4%
59.5%
54.8%
52.6%
52.4%
小学生
46.1%
36.6%
27.5%
20.3%
20.9%
中学生
60.4%
51.9%
51.6%
47.8%
49.3%
高校生
95.2%
97.2%
98.1%
95.6%
97.1%
「青少年インターネット環境の整備等に関する検討会」報告書(案) 平成27年
4月 より
青少年及び保護者のインターネット・リテラシー及び問題意識の格差の顕在化
インターネットに関する啓発や学習の経験のある保護者とない保護者との間
では、家庭におけるルールや取り決めについて大きな差異が認められる
親、PTA,教師達も、どうして良いかわからないのが現状
18
Copyright © 2015 Asgent,Inc. All Rights Reserved
提言
1
情報セキュリティ リテラシー醸成の
ための提言
• 提言
– 利用者教育
• プログラミング講義などにもセキュリティに関する教育を導入
• リテラシー向上のためのプログラム
– 禁止事項ばかりでなく、ネットにつながる楽しみ、ネットの仕組みなどを踏
まえながら
– 保護者が青少年のインターネット利用を適切に管理できるようにす
るための啓発活動
– 地方自治体、NPOによる有害情報に触れないようにするための取組
の促進
– 初等中等生 + 保護者を対象としたトレーニングの実施
US事例 ソーシャルエンジニアリング※ トレーニング
19
Copyright © 2015 Asgent,Inc. All Rights Reserved
提言
1
情報セキュリティ リテラシー醸成のた
めの提言
• 提言
– 国が情報セキュリティに関する情報を集約し、地方自治体に落とし
込み、
児童、保護者、NPO,情報セキュリティ専門企業によるセ
キュリティエコシステムを構築
– 被害・加害者になりやすい者を保護するための教育基盤の構築
20
Copyright © 2015 Asgent,Inc. All Rights Reserved
※
参考
SE(ソーシャルエンジニアリング)
標的型攻撃の特徴
A) 攻撃の成功率を高めるため、その組織・人を信じ込ませるようにその
組織と業務上関係のある組織・人、あるいは公的機関を装ってメールを
送信するなど
(ソーシャル・エンジニアリング)して、そのメー
ルの添付ファイルに情報を窃取等するプログラムを密かに埋め込むなど
の手法を使うことが多い。
B) 攻撃者がソーシャル・エンジニアリングによらずに、攻撃対象の組
織・人の使用する IT システム中のセキュリティ上の弱点を直接突くこと
により、密かに内部システムに侵入することもある。
C) 攻撃者は、攻撃対象に気付かれないよう、内部を物色して機密情報が
格納されているサーバの特定や当該サーバの管理者権限の奪取を試行す
る。
D) 攻撃者は、C)が成功し、情報窃取に成功した後、対象の組織等が攻撃
に気付かないよう、攻撃の痕跡、すなわちログ等を消去する。
A)のような詐欺的なメールの送信行為を「スピア・フィッシング(Spear
phishing )」又は「ターゲッテッド・フィッシング」と呼ぶことがある。
出典: 経済産業省
とりまとめ
2011年8月5日
サイバーセキュリティと経済 研究会
21
報告書
中間
Copyright © 2015 Asgent,Inc. All Rights Reserved
※
参考
SE:
不自然に思えないメール内容
なぜ?
• 職種、立場などを想定し、創造するパターン
• アンダーグラウンドにより、緻密に計画される
ソーシャルエンジニアリング(SE)の定
パターン
義
依頼主
①
アンダークランド
での取引
仲介者
②
②
不正プログラム
提供者
SEであること
も!!
コンピュータ・システムをコントロールするた
めに、
人を操作する、影響を及ぼす、または欺くため
秘密情報、
の手法
③
ペイメントガード情報、
インタネットバンキング
情報
などの流出
攻撃者
④
情報 アズジェントは、USパートナーと
提供者 ともに
被害者
Copyright © 2015 Asgent,Inc. All Rights Reserved
SE、ブラックマーケットなどの調
22
2.
情報セキュリティ人材育成の必要性
リスクの深刻化
• リスクの甚大化
• リスクの拡散
• リスクのグローバル化
国・企業
• 「サイバー攻撃」の脅威が増大
• 不正プログラムの実行, DDoS攻撃 ウェブサイトの改ざん
• 制御系ネットワークに対する攻撃
• 「やりとり型」といったソーシャルエンジニアリングを活用した標
的型攻撃 など
情報セキュリティ人材育成が重要
23
Copyright © 2015 Asgent,Inc. All Rights Reserved
情報セキュリティ人材育成の課題
サイバー空間の拡大・浸透に伴う情報通信技術の利活用の広がりにより、高
度かつ
国際的な人材の裾野を広げていくことが必要
課題
人材不足
• 潜在的には約8万人のセキュリティ人材が不足している状態
• 約26.5万人中、必要なスキルを満たしていると考えられる人材は
10.5万人強であり、残りの16万人あまりの人材に対しては更に
何らかの教育やトレーニングを行う必要があると考えられている。
• 情報通信技術の利活用の広がりにより、新たな課題に対応しなければ
ならない、セキュリティ人材も今後ますます不足する。
政策により、情報セキュリティ技術者の人材育成のための土壌は構築さ
れつつある。
しかしながら、それだけでは不十分
24
Copyright © 2015 Asgent,Inc. All Rights Reserved
経営陣がセキュリティに理解を示さない
情報の重要性は理解するも、ITは、情報処理の道具であり、コス
トである
– ITに依存もするも、メール等情報交換程度のやり取りであり、
ITを活用したビジネスモデル変革まで及ばない
– 情報または情報システムに業務上の‘期待’なくして、セキュリ
ティ投資はない
– 情報セキュリティとは、組織の状況を鑑み、業務目標達成のため
の、ステークホルダの期待に応えるべく対応を阻害するリスクに
立ち向かうものである。
25
Copyright © 2015 Asgent,Inc. All Rights Reserved
攻めのIT投資が進まない
PCの清書機化(情報のデータ化/破
• 攻めのIT投資が進んでいない(経営陣の意識)
壊)
– 米国:製品/サービス開発強化
– 日本:業務効率化/コスト削減
攻めの
IT投資
こういう状況では、セキュリティ投資は
すべくことは、大量データからの情
プライベートクラウドの導入のた
困難
報の抽出, 差別化
改革(攻め)
め
モバイルテクノロジーへの投資
50
そのための業務
定期的なシステム更新サイクル
45
40
市場や顧客の変化への迅速な対応
未IT化業務プロセスのIT化の
35
ため
30
25
新たな技術/製品/サービス利用
20
守りの
IT投資
ITによる業務効率化/コスト削減
15
10
5
0
ITを活用したビジネスモデル変革
法規制対応のため
ITによる製品/サービス開発強化
売り上げが増えているから
ITによる顧客行動/市場の分析強化
日本
米国
利益が増えているから
事業内容/製品ライン拡大による
会社規模が拡大したため
出典:一般社団法人 電子情報技術産業協会(JEITA) 「ITを活用した経営に対する日米企業の相違分析」調査結果(2013年10月)
26
Copyright © 2015 Asgent,Inc. All Rights Reserved
IT部門に対する期待が薄い
• 企業内のIT部門は「守りのIT」が担当業務と認識
社内の利用部門がIT部門に期待する業務とIT部門が注力する業務
(n=916)
安定稼働のための運用・管理
利用部門がIT部門に抱くイメージ
(n=912)
守りのIT
セキュリティ体制の維持・運用
利用部門のニーズに応じた構築
全社的IT戦略・施策の統括
業務プロセス標準化の旗振り
PCなどの管理
ビジネスにおけるIT活用の目利き
攻めのIT
最新ITを用いた新ビジネスの提案
経営戦略の推進
PCなどの使い方に関する相談相手
ステークホルダの取りまとめ
ITの最新動向に関する相談相手
その他
請負人
39.6%
門番
21.6%
抵抗勢力
14.8%
参謀
11.7%
パート
ナー
11.2%
先導者
1.1%
IT部門が注力する業務
0
20
40
60
80
利用部門がIT部門に期待する業務
出典:日経コンピューター(2014
IT部門
27
1/23)
特集:崖っぷちの
Copyright © 2015 Asgent,Inc. All Rights Reserved
セキュリティ人材育成のためのキーポイント
従来型:組織図上、問題はないが、実態は・・・
結果的に
測定不能
腹におちない報
告
経営陣
ポリシー策定後
丸投げ
リスク識別が不十分
セキュリティ担当が情報セキュリ
ティに関連する対象を決めるため、
対象や対策に 偏りが生じる
内部監査室
推進委員会
リスクの転嫁
利
用
者
部
門
丸投げ
シ
ス
テ
ム
部
門
丸投げ
セ
キ
ュ
リ
テ
ィ
担
当
セキュリティ担当には、守るべく情
報の価値(例えば、被害額)が分か
らないため定量的なリスク分析がで
きない
先延ばし
・・・・
★
「高度サイバー攻撃対処のためのリスク評価等のガイド
に記載されたリスクアセスメントのガイドでは、情報管理責任
KPIが不明なソリューション
対象システムを恣意的に決定してから実施するアプローチであ
結果に偏りが生じ、本来のリスクアセスメントのアプローチと
リスク所有者 リスク管理責任リスク対応責任
・
CIO、CISOによるセキュリティ業務改革
が必要
外部委託先
28
Copyright © 2015 Asgent,Inc. All Rights Reserved
提言2
セキュリティ人材育成のための提言
提言
機能的な社内情報セキュリティ組織の構築
CIO, CISOの育成
社内情報セキュリティエコシステムの構築
情報セキュリティ技術者の人材育成と同 コンプライアンス/技術を含めた
認識向上
リスク所有者
様に
組織に業務改革、サービス差別化に対す
利用
部門
るICT利活用を提案できるCIOの育成が重
要
セキュリティ
目的
また、ICT利活用による業務目的遂行を阻
むリスクを特定し、対応できるCISOの育
成が重要
経営課題
抽出
監査
経営
アズジェントは、政府外郭団体の依頼を受け、
事業サービスへの
期待される効果
ヨーロッパ諸国の有識者等とCIO、CISOについ 適応
ての資格制度の仕組み、導入を検討
システム
網羅的にリスクを特定し、
偏りのない、定量的なリスクアセスメン
トを介して、
高度な標的型攻撃などにも、最適なセ
キュリティ対策を導入する
CIO
リスク
管理責任者
29
セキュリティ要求
導入
抑制
監査
セキュリティの有効性評
価
事業環境の
リスク把握
セキュリ
ティCISO
リスク対応
責任者
Copyright © 2015 Asgent,Inc. All Rights Reserved
3.情報セキュリティエコシステムの確立
~効果的なリスクマネジメント~
期待される情報セキュリティの
レベル、
事業目標を阻むリスクの識別
状況の設定
リスクアセスメント
リ
ス
ク
コ
ミ
ュ
ニ
ケ
ー
シ
ョ
ン
リスク分析
リスクの特定
リスクの算定
リスクの評価
リスク判定 1
アセスメントは十分か
リ
ス
ク
の
監
視
及
び
レ
ビ
ュ
ー
No
Yes
リスク対応
•
リスク判定 2
No
ISMS/ITSMS制度の活用
対応は十分か
Yes
– ICT利活用による業務効率化を実現
リスクの受容
– 業務フローの整理及び明確化によることでリスクを顕在化
– セキュアシステム構築と教育・監査の実施
– ICTによる業務効率化とセキュリティ向上の両立を目指す
30
Copyright © 2015 Asgent,Inc. All Rights Reserved
サイバー情報の共有
• 特にサイバーセキュリティ分野においては、情報共有がkey
オバマ米大統領は13日、サイバー攻撃による相次ぐデータ流出を受け、政府と企業
との間で
サイバー攻撃に関する情報共有を促す大統領令に署名した。米政府は軍や情報機関、捜
査
当局などが持つ情報を一元化する新組織を設立。民間企業とも情報共有することで攻撃
に素
早く対応できるようにする。
米アップルやクレジットカード大手のビザなど金融・IT(情報技術)企業も協力を表
明した。
大統領令では米国家情報長官の下に「サイバー脅威情報統合センター」を新設。各
機関が縦割りで集めていた情報を集約するほか、企業同士の情報交換も促す。オバマ氏
は「政府だけでは対応できない」と企業に協力を要請した。
国内:
出典:日本経済新聞 2015年3月14日付
JPCERT/CCとNISC、パートナーシップを締結 - 情報共有を推進
JPCERTコーディネーションセンター(JPCERT/CC)と内閣サイバーセキュリティ
センター(NISC)は、サイバーセキュリティ対策の推進に向けてパートナーシップ
を締結した。
31
Copyright © 2015 Asgent,Inc. All Rights Reserved
提言3
情報セキュリティ
の提言
エコシステム確立
政府(内閣)、セキュリティ専門組織、企業による情報セキュリティエコシス
テムの確立
NISC【政府(内閣)】, JPCERT/CC【セキュリティ専門組織】,
ンフラ】
による情報セキュリティに関する情報の共有化を推進する
企業【特に重要イ
• 最新の攻撃や脅威について分析し、迅速な対応をとるために、対策に関する情
報を共有化する
• 被害にあったとしても、被害を局所化・最小化させるために、連携する
• そのための横断的な演習の実施
32
Copyright © 2015 Asgent,Inc. All Rights Reserved
4.
まとめ
• 国・企業を対象としたリテラシーの向上
– 攻めのCIO,CISOの育成によるセキュリティエコシステム
の構築
• 国・企業・情報セキュリティ専門企業による情報共有
– 偏りのない、定量的なリスクアセスメント
• ROIを考慮した適切な管理策の導入
• 高度な標的型攻撃、Web改ざん、内部不正にも柔軟に
対応
• 被害にあったとしても、迅速な対応により被害の最小
化
33
Copyright © 2015 Asgent,Inc. All Rights Reserved
まとめ
ITやセキュリティの専門家だけでは
→ 対応できない時代。 連携するにも、まずは社内体制
から
機能的な社内情報セキュリティ組織の構築
ステークホルダ、関係者との「期待」「理解」「抑制」「信頼」を得るため
のコミュニケーション
業務改革など、サービス差別化、利便性など 7~9割(ICTの利活
脅威の発生
用)
可能性
3割~1割程度が情報セキュリティリスクコミュニケーション
(長続きのこつ)
→ 役割と責任、機能的な社内情報セキュリティ組織の構築
影響度
重要情報など限定された環境を十分調査し、そ
リスク
れらの情報のライフサイクル、如何に利用され
予
ているのか、接続しているデバイス IT機
算・
コス
器、人はなんであるのかを把握 →ICTを利活用
ト
に伴う業務目標設定
目標達成を阻害するリスクの特
定
網羅的にリスクを識別し、偏り
最適なセキュリティ対
のない
策
定量的なリスクアセスメントの
34
Copyright © 2015 Asgent,Inc. All Rights Reserved