セキュリティとITガバナンス 株式会社ディアイティ セキュリティサービス事業部 河野 省二
講師の紹介 2014/07/09 (C) 株式会社ディアイティ 2 河野 省二 愛知県豊田市出身 滋賀大学中退 株式会社ディアイティ セキュリティサービス事業部 副 事業部長 情報処理推進機構 セキュリティセンター 研究員 aip 事業推進委員 大学講師 東京電機大学 未来科学部 岡山理科大学 その他 、 団体役員など
本日のアジェンダ はじめてのガバナンス 電子メールは個人情報か 個人情報とプライバシー IT ガバナンスの考え方と活用 マネジメントからガバナンスへ IT システムから全体統制へ 情報セキュリティ コンピュータセキュリティから情報セキュリティ 情報セキュリティの目的 2014/07/09 (C) 株式会社ディアイティ 3
本日のテーマ 情報セキュリティは ITを最大に活用するための 最小限の安全確保 PC持ち出し禁止とか、USBメモリ利用禁止とか、クラウド利用禁 止とか、ただしい対応とは思っていません 2014/07/09 (C) 株式会社ディアイティ 4
本日の格言 2014/07/09 (C) 株式会社ディアイティ 5 ガバナンスで重要なこと 戦略がなければ、 成功か失敗かわからない 目標設定だけで戦略のないプロジェクトは、遠回りをしているこ とに誰も気づかず、途中で引き返すことができない
個人情報保護とプラバシー ごっちゃになってると話が通じない 2014/07/09 (C) 株式会社ディアイティ 6
電子メールは個人情報ですか? 2014/07/09 (C) 株式会社ディアイティ 7 という僕のメールアドレス。 これって個人情報ですか?それとも個人情報ではありませんか? 1. 電子メールはすべて個人情報だと思う 2. 名前が含まれてるので個人情報だと思う 3. 電子メールはすべて個人情報ではないと思う 4. どちらともいえない 5. どうでもいい
個人情報とはなにか 「 個人を特定できる情報は個人情報 」 という思い込み 個人情報保護法では 、 それを前提として 「 各事業者で設定 」 する ことになっている つまり 、 個人情報であるかどうかは事業者の宣言によって決まる 。 それは個人情報保護規定やプライバシーポリシーによって公表さ れていなければならない が・・・みなさんの会社はどうですか ? 2014/07/09 (C) 株式会社ディアイティ 8
情報管理の基本的な考え方 情報管理の責任はだれにあるのか 責任はデータオーナーにある 個人情報のデータオーナー ( 主体 ) は 「 本人 」 情報を提供しても責任は移譲できない 個人情報保護法では・・・ 本人が責任をまっとうするために事業者と関係省庁が協力するこ とを求めている 誰のための 「 自己コントロール権 」 かを考えてみよう 2014/07/09 (C) 株式会社ディアイティ 9
一方でプライバシーは? プライバシーはハラスメント系の問題 どんなにちゃんとした個人情報保護をしているつもりでも 、 相手 がダメだと言ったらダメ 。 セクハラやパワハラと同じ 。 ということは 、 なにかがあっても文句を言われたら・・・プライ バシーはアウト 。 じゃあ 、 どうすればいいのか プライバシー問題はカスタマーサポートの課題 普段からお客様との信頼関係を構築すること 。 その一環として 、 情報管理をちゃんとやっていることを示すことは重要な対策では あるが 、 それが全てではない 。 2014/07/09 (C) 株式会社ディアイティ 10
ITガバナンスの考え方と活用 マネジメントからガバナンスへ ITの活用を最大限にするために構成を考える 2014/07/09 (C) 株式会社ディアイティ 11
情報はどうして上がってこないのか 2014/07/09 (C) 株式会社ディアイティ 12 様々な事故が起きている裏側で、経営者が現場のことを知らない ことが大きな問題となっています。どうして現場の情報が経営者 に上がってこないのでしょうか。 月曜日の朝に経営会議を行っている会社の情報管理について考え てみましょう。
極端な例ですが、あながちウソでも・・・ 2014/07/09 (C) 株式会社ディアイティ 13 月火水木金月 AM 経営会議 担当締め 切り 管理部締 め切り 経営会議 PM 部門会議 担当者締 めの作業 部門締め 切り資料印刷
マネジメントからガバナンスへ 2014/07/09 (C) 株式会社ディアイティ 14 マネジメントは部門のものだが 、 ガバナンスは経営を含む組織全 体のもの 。 「 現場のマネジメント 」 を経営 陣が統制できるように 、 ガバナ ンスの仕組みを利用して 、 効率 的に全体を統制していく 。 トップダウンではなく 、 現場か らの意見を取り入れることがで きるように 、 報告の体制づくり などをしていくことも重要な要 素となる 。 IT を活用した経営を IT 経営とい い 、 ガバナンスをベースに企業 内の情報管理を行うことで 、 効 果的な経営を行うことを目指す 。 経済産業省 「 IT 経営ポータル 」
経営陣がすべての責任を負う 指示と報告による組織づくり と責任の明確化 上司は部下に指示をし 、 部 下はそれが完了したことを 報告する 。 もしも問題があ る場合は相談や連絡を行う IT 経営の最終責任は経営陣 IT に関する指示は経営陣が 行う それに応えて組織はすべて の報告 ( 情報 ) が経営陣に 集まるようにする 2014/07/09 (C) 株式会社ディアイティ 15
社長は何も知らない・・・ 2014/07/09 (C) 株式会社ディアイティ 16 あんまり使っていないサー ビスのためにハードウェア を確保するのはもったいな い → 仮想化 → 分散処理 現場からの 情報収集 経営者は全体を 把握したい 手打ち 報告書 自動 入力 NG!! 誰も読んでないし 、 集計できない OK! リアルタイムに集計 事業計画 KPI いわゆる IT 経営 IT の効果も 計測したい サービス指向アーキテク チャによる IT サービス開発 と効果測定 クラウドのはじまり SLA
情報セキュリティもKPIが重要 2014/07/09 (C) 株式会社ディアイティ 17 現場からの 情報収集 経営者は全体を 把握したい 組織 ISMS 組織外 サービス 組織のマネジメント だけではたりない 。 もう ISMS だけでは たりなくなった 外部の把握はどうす るか ? 事業計画 KPI セキュリティの指標 リスク受容レベルなど サービスのセキュリティの ために 「 仕組みをよく知 る 」「 リスク情報を共有す る 」 → セキュリティのソー シャル化 事故がゼロ じゃダメ! 事故がゼロというのは 「 KPI 」 としては成り立た ない 。 積み重ねが大事 !! 組織のセキュリティ サービスセキュリティ
IT経営の肝は「学習と成長」 2014/07/09 (C) 株式会社ディアイティ 18 やりたいけどできない… 悩み これらの情報がわからないので 経営判断ができない
ITガバナンスから生まれたクラウド 2014/07/09 (C) 株式会社ディアイティ 19
情報セキュリティを前提にITを活用 情報セキュリティは「禁止」をしない! ITシステムを効果的に活用していくための 情報セキュリティの考え方を解説します 2014/07/09 (C) 株式会社ディアイティ 20
なんでわかってもらえないのか コミュニケーションは前提を合わせることから 「 情報セキュリティは必要だ !」 とみんなが思っていると勘違い していませんか 「 すべての情報を保護しなくてはいけない !」 と思っていません か 世の中に 「 個人情報 」 という共通の情報カテゴリがあると思って いませんか 勘違いをしていると 、 そのあとの説明がうまくいきませ ん まずは土台を合わせることから 2014/07/09 (C) 株式会社ディアイティ 21
土台となるのは「必要性」ではありません 情報セキュリティの必要性 必要性っていうのは提案側の勝手な思いこみ IT がなくなったら情報セキュリティはなくなる 紙が残るじゃないですか ? ← 屁理屈 すべての情報セキュリティは業務のためにある その業務を効率的にするために IT がある 多くの場合は 「 人が楽になる 」 ために IT を導入しているのに 、 情 報セキュリティでは 「 ひとりひとりの注意が必要 」 とか・・・ ベースが合ってない システムでできることはすべてシステムでやる 。 これはセキュリ ティも同じ 。 2014/07/09 (C) 株式会社ディアイティ 22
情報セキュリティとは 情報セキュリティは 「 科学 」 です 個人の努力に依存していると情報セキュリティは失敗します 誰でもが同じ方法でやればちゃんと安全を確保できる情報セキュ リティ対策を考えていく必要があります 複雑なパスワード 、 推測しにくいパスワード ? どんなに複雑なパスワードを付けても 、 インターネット上で攻撃 される確率は変わりません 人間が手で打たなくちゃいけない時だけに対応できる対策です 目的に応じたセキュリティ対策を検討して下さい 2014/07/09 (C) 株式会社ディアイティ 23
情報セキュリティの目的 情報セキュリティは情報資産のセキュリティではありま せん 「 ISMS 認証取得を簡単にするため 」 にやってきた情報セキュリ ティ対策から 、 自社のための情報セキュリティに切り替えられな い企業が山ほどあります USB メモリ利用禁止 、 PC 持ち出し禁止 、 ネットワークの分離な ど・・・ ( もしも USB メモリが 1 万本売れたらいくらの売上 ?) IT を最大限に活用するために情報セキュリティ対策を実 施することを忘れずに IT を活用する上での心配事を解消する どのような心配事があるのかをリストアップし対策を検討する 2014/07/09 (C) 株式会社ディアイティ 24
提案書作成の実際をやってみましょう では、具体的に「説得」のための内容を考えてみます 2014/07/09 (C) 株式会社ディアイティ 25
メールサーバは何分止まっても良いのか 2014/07/09 (C) 株式会社ディアイティ 26 あなたの会社のメールサーバ は何分間止まってもいいです か?
情報セキュリティのコストを考える たとえば 「 絶対に止まってはいけない 」 を選択した場合 は まずはサービス ( OS やアプリ ) などがダウンしないようにする サービスのパフォーマンスが出るように多重化する ハードウェアのトラブルに備えて多重化する それらのハードウェアの入れ替えのために代替機を導入してメン テナンスする → これはかなりの費用がかかると思いませんか ? 2014/07/09 (C) 株式会社ディアイティ 27
本当にそこまでする必要があるのか 情報セキュリティの目的は 「 業務が適切に遂行されるこ とをサポートする 」 こと 本当にメールサーバは止まってはいけないのか → どんな業務にどのくらいの影響を与えるのか 自社で持たなきゃいけないという思い込み ? もしかしたら 、 重要なメールサーバほどアウトソーシングしたほ うがいいんじゃないのかな サポートには人間が必要で・・・人件費を効率化するための IT な のに・・・とまた矛盾が ( 笑 ) 2014/07/09 (C) 株式会社ディアイティ 28
というわけで・・・ あなたが導入したい情報セキュリティについて 、 以下の 項目を正しく把握してください 目的 コスト ( 初期費用 、 運用費用 、 撤去費用など ) まずはこれを決めておかないと 、 上司に最初の相談さえ もできません プロジェクトをはじめる前に少なくとも 、 目的とコストは必要で す 。 それをもって情報セキュリティのプロジェクトが始まります 2014/07/09 (C) 株式会社ディアイティ 29
サービスが止まっててもいい時間 2014/07/09 (C) 株式会社ディアイティ 30 最大許容停止時間! どのくらいの間、サービスが止まっても影響がないかを考えるこ とから始めてください。それが情報セキュリティコストの最適化 の要因となります
もう一つの言い方を・・・ 2014/07/09 (C) 株式会社ディアイティ 31 リスク受容レベル!! どれくらいの痛みなら受け入れることができるのかを「リスク受 容レベル」といいます。リスク受容レベルは通常2段階で設定し、 一般的なトラブルと重要なトラブルを区別します
情報セキュリティが本当に必要か? 情報セキュリティが必要かどうかの合意をするために もっとも重要な要素は 「 リスク受容レベル 」 を合意する こと 情報セキュリティをどこまでやるか ( いわゆる必要性 ) はリスク受容レベルによって決まります まずはどこまで許容出来るのかを明確にし 、 これを合意 することからスタートしましょう 2014/07/09 (C) 株式会社ディアイティ 32
リスクマネジメントの相関 2014/07/09 (C) 株式会社ディアイティ 33 事故の発生事故の影響受容 脅威ぜい弱性 機密性 完全性 可用性 対策 受容レベル 保証 コスト影響
情報セキュリティワークショップ これまでの基本的な考え方をもとに、自分で考える力 をつけていくためのベースを作ります 2014/07/09 (C) 株式会社ディアイティ 34
禁止はビジネスにならない・・・ 2014/07/09 (C) 株式会社ディアイティ 35 「 禁止 」 してもダメなんですよね 業務に必要な物は使わなくちゃいけな いし 、 例外事項にしてると個人の責任 が・・・ね また人間に負担がかかってる 。 これっ て IT じゃないよね・・・ 利用マニュアルをちゃんと作りましょ う
では、こんな問題はどうでしょう 課長が部門の 5 人にエクセ ルで管理表を送付しました 。 社員がこれらに記入して メールに添付して課長に返 信した場合 、 添付書類は全 部でいくつになったでしょ うか ? 2014/07/09 (C) 株式会社ディアイティ 36
実際に数えましょう 2014/07/09 (C) 株式会社ディアイティ 37 課長の PC 課長のメーラー部下のメーラー部下の PC 送信ボックス 受信ボックス
安全管理のためにできること 情報資産が増えると 、 管理コストが増える 出来る限りコピーを増やさない 情報は一元管理することが最も管理コストが減り 、 ライフサイクルに おける管理が容易になる 個人情報保護法ができた時にも内閣官房からは個人情報を一元管理す ることという提案があった ( はずなのに・・・ ) 紙は管理がしにくい 紙は暗号化できない 、 管理のために物理的な対策が必要など 、 安全性 もコストも増大するばかり たとえば 、 建築現場では紙のデータを車に置いたまま車上ねらいの被 害に → 対策として 、 必要な情報は電子化してタブレットなどに入れた 。 こ れで車の中に情報を置きっぱなしにしなくなった 2014/07/09 (C) 株式会社ディアイティ 38
報道やカタログに惑わされずに 報道やカタログは真実ではないことがある シンクライアントは個人情報保護のために 「 使える 」 のであって 、 個人情報保護のために開発されたわけではない 。 だから 「 工夫 」 をしないと適切に使うことができない スマートホンから個人情報が漏れるというのは 、 企業にとっては どのくらいの影響があるのかを考えて 、 他にももっと影響のある ことを忘れていないかを考える 企業のセキュリティと個人のセキュリティは別 企業のセキュリティ対策はあくまで企業の重要なビジネスや情報 に対して行うものであって 、 そのリスクについて検討していくこ とが重要 正しい判断ができるために 、 企業にとっての重要なものは何かを 検討することから・・・ 2014/07/09 (C) 株式会社ディアイティ 39
禁止ではなく「活用」のために 2014/07/09 (C) 株式会社ディアイティ 40
効果が測定できる対策を提供する 効果が測定できたら 、 担当者もあなたもほめられちゃい ますよね 担当者がほめられる → 上司もほめられる → さらに上司もほめられる → 社長もほめられる → 会社がほめられる → 顧客満足度が向上する という連鎖ができれば 「 企業価値を高めるセキュリティ 」 を実現 することができるようになります クリエイティブなセキュリティのために 効果が測定できるセキュリティはクリエイティブ 、 禁止するだけ のセキュリティはネガティブだといえますね・・・ 2014/07/09 (C) 株式会社ディアイティ 41
クラウドセキュリティの最新情報 2014/07/09 (C) 株式会社ディアイティ 42
クラウド固有のセキュリティとは クラウド固有のセキュリティ クラウドコンピューティングのセキュリティ 仮想化などをふまえた技術的なセキュリティ ネットワークやディスク 、 運用について検討する クラウドサービス利用のセキュリティ 構造上の問題を運用でサポート サービスにおける課題を検討する クラウドサービスにおける脅威を入手する リスクアセスメントを行うためには脅威リストが必要になる クラウドサービスに関する脅威はどこから入手するか 2014/07/09 (C) 株式会社ディアイティ 43
クラウドセキュリティガイドブック ガイドラインに触れてもらうために ガイドラインは JIS Q をベースとしたために 、 慣れていない 方には読みにくいものとなってしまった 。 活用ガイドブックはガイドラインの解説ではなく 、 ガイドライン の使い方について説明しており 、 これをきっかけにガイドライン を活用してほしいという思いで作成している 「 クラウドサービス利用のための情報セキュリティマネジメント ガイドライン 」 のさらなる活用のために 、 最新のインシデント事 例を前提としたガイドラインの利用を作成しました 利用者だけではなく事業者にも 利用者だけではなく 、 事業者にも利用していただけるように 、 そ れぞれの活用シーンを事例として提供し 、 ガイドラインを様々な 用途で利用していただけるように解説しています 2014/07/09 (C) 株式会社ディアイティ 44
IT政策とセキュリティの関係 2014/07/09 (C) 株式会社ディアイティ 45 ITサービスの変化 要求される セキュリティ システム監査 経営の関与 マネジメントガバナンス 内部統制 外部への説明責任 システム構築サービス設計・構築サービス利用マッシュアップ システムレイヤーサービスレイヤーモジュールレイヤー 個別システムシステムコンポーネント セキュリティ監査 サービスコンポーネント 組織事業 データ管理 一元管理 ビッグデータの出現 クラウドサービスの出現
セキュリティの方向性 2014/07/09 (C) 株式会社ディアイティ 46 組織のためのセキュリティ組織のためのセキュリティ 2001 年 ISMS パイロット 2003 年 情報セキュリティ監査制度 2003 年 ISMS 本格運用 2003 年 個人情報保護法(行政) 2005 年 個人情報保護法(一般) 2004 年 情報セキュリティガバナンス ・情報セキュリティ報告書 ・事業継続計画 ・情報セキュリティベンチマーク 2005 年 Common Criteria 2005 年 SaaS/ASP SLA ガイドライン 2011 年 クラウドサービス 2013 年 制御システム
安全と安心を正しく理解する 安全機能 ( Safety ) と安心 ( Secure ) 安全機能がが実装されているからといって 、 それがそのまま安心 につながるわけではない 。 パスワード入力機能があったとしても 、 適切な管理がされていなければ安心できない 安全のために 安全のための機能は十分検討されているか 安全のための機能が実装されているか 安心のために 正しい手順が示されているか 手順通りに行うことで安全が確保されることが証明できるか 2014/07/09 (C) 株式会社ディアイティ 47
ITサービス活用のためのセキュリティ だれでもが適切に実施できる手順が示されることで 、 IT サービス活用のための情報セキュリティ対策が実現でき 、 企業の価値を向上することができる 対象の明確化・・・ リスクベースの対策の選択 対策の選択・・・ 複数の対策から選択する 活用のメリット・・・ なぜその IT サービスが出来たのか 情報セキュリティは科学です だれもが同じ手順で実施すれば同じ効果が得られるような情報セ キュリティ対策を目指して 人間の努力にだけ頼っている情報セキュリティは破綻します 2014/07/09 (C) 株式会社ディアイティ 48
クラウド時代の情報管理 2014/07/09 (C) 株式会社ディアイティ 49 アクセス制御 → 利用者の特定 → データのライフサイクル管理 セキュリティコストの削減 → データの一元化 → プライバシーへの配慮
ビッグデータ時代のセキュリティ 2014/07/09 (C) 株式会社ディアイティ 50 データの内容の精査 → 情報分類 → プライバシーへの配慮 アクセス制御 → 利用者の特定 → データのライフサイクル管理 データの利用
デバイスがどんどん増えてきた 2014/07/09 (C) 株式会社ディアイティ 51 デバイスそのもののセキュリティ → 機器の仕様やプロトコル → ファームウェアアップデート デバイス管理のセキュリティ → どこになにがあるのか → 事故が起きた時に気づけるか データの利用
事故に早く気がつくために! 2014/07/09 (C) 株式会社ディアイティ 52 データの利用 クラウドは一元管理で事故に気づきや すくなったのに 、 IoT ではまた 管理ポイントがバラバラに なって難しくなった 。 コストも増加する !!
とにかくデバイス管理が大変!! スマートメーターは 8000 万個の設置 これからはじまる電力会社によるスマートメーター ( 電力使用量 計 ) の設置 ファームウェアのアップデートなどもかなりの手間がかかる デバイスの仕様変更なども頻繁に行うことが出来ない 。 デバイス が安いものでも 、 交換にコストがかかる 。 デバイスの値段ではな く 、 交換コストなどデバイスのライフサイクルで計算しておく必 要がある 2014/07/09 (C) 株式会社ディアイティ 53
端末管理よりID管理! 2014/07/09 (C) 株式会社ディアイティ 54 いろんな クラウドサービス 共通ID 個人が複数の端末を利用するようになり 、 端末ベースでのガバナンスより も 、 ID ベースでの管理のほうが容易になっている 。 これらを端末ベースで 管理しようとすると 、 管理コストは増すばかり 。 にもかかわらず 、 会社支 給のスマートフォンなど 、 端末数が増えていることで個人の管理負担が増 えている 。
IDをキーにしたガバナンス 2014/07/09 (C) 株式会社ディアイティ 55
システム管理のベースとなるID管理 情報資産のセキュリティから ID ベースのセキュリティへ ID ベースのセキュリティについてより慎重に考える必要がある ID ベースの監査について実施できるような仕組みと知識が必要に なる ガバナンスの範囲を広げるために 取引先まで管理を広げるためには・・・ ID 管理を共通にできる基 盤づくりが必要になる 個別組織の管理をさらに大きくするためにはどのようなしくみが 必要になるのかを検討する 2014/07/09 (C) 株式会社ディアイティ 56
終 ディアイ ティ /07/09 (C) 株式会社ディアイティ 57