セキュリティとITガバナンス 株式会社ディアイティ セキュリティサービス事業部 河野 省二 すぐにダウンロードしたい人はこちら

Slides:



Advertisements
Similar presentations
セキュリティとITガバナンス 株式会社ディアイティ セキュリティサービス事業部 河野 省二
Advertisements

2015年10月20日 ◇小学校 ◇◇◇◇. ・◇◇市の「私物パソコン利用書」 ・画像をテレビ画面に飛ばす.
2.校務情報の整理と管 理 6 校務の情報化. この項目のねらい 校務に関する情報の整理の考え方について理 解する。校務に関する情報の管理にかかる留 意点について理解する。
1 ( 様式8 ) 提案書雛型ア 資料2 - 1 (提案者名を記載) ○○○○ 受付番号 ア.地域見守りサービス創出における調査 平成 23 年度医療・介護等関連分野における規制改革・産業創出実証事業 ( IT 等を活用した医療・介護周辺サービス産業創出調査事業) 提案書 (提案事業のタイトルを記載:
2012 年 7 月・ 8 月 校内研修用資料(必須1 Hr ) 沖縄市立 教育研究所 二宮寛和 情報セキュリティ 一人 1 台 PC 体制に向けて 1.
セキュリティとITガバナンス 株式会社ディアイティ セキュリティサービス事業部 河野 省二 すぐにダウンロードしたい人はこちら
コンピュータウイル ス ~ウイルスの感染を防ぐには~. ( 1 )コンピュータウイルスとはどんなもの なのか、 どんな被害を及ぼすのかを知る。 ( 2 )コンピュータウイルスに感染しないた めの 方法を知る。 1 課 題 ウイルスの感染を防ぐに は.
身の回りの IT 情報科教育法 後期 10 回 2004/12/18 太田 剛. 目次 1. 最終提出の確認 2. ルータの説明 ( 先週の続き ) 3. 身の回りの IT 1/8 の授業は情報科教員の試験対策です。
セキュリティとITガバナンス 株式会社ディアイティ セキュリティサービス事業部 河野 省二
情報倫理と メディアリテラシー 第 1 章 ネットワーク社会と情報化社 会. ネットワーク社会 携帯電話 コンピュー タ テレビ 家電 カーナビ など ネットワーク 新たなコミュニケーションの場.
© 2012 ISACA. All rights reserved. ISACA の事前の許可 無く、本著作物の全部又は一部について、あらゆる 形式や手段(電磁的、機械的、写真複写、記録、そ の他の方法)による使用、複製、再生、改変、配布 、表示、検索システムへの組込、送信を行うことを 禁じます。本著作物の使用は、個人的に使用する場.
プロジェクトとは.
当社の 「品質マネジメントシステム」(QMS)の 今後の運用について
資料3-7 NIEM等 海外調査報告 経済産業省 CIO補佐官 平本健二.
情報モラル.
「知的財産(活動)による事業貢献の“見える化”に向けて」
PacSec Nov 6, ISMSおよびその重要性 Richard Keirstead CISSP, BS7799 主任監査員
株式会社ディアイティ セキュリティサービス事業部 河野 省二
事業計画 発表者名 | 会社名.
クイズ 「インターネットを使う前に」 ネチケット(情報モラル)について学ぼう.
情報処理学会・経営情報学会 連続セミナー第3回 情報システム構築アプローチ 主旨
(別紙1)プロフェッショナルサービスの概要
社会人基礎Ⅱ 第2回 業界・企業分析の基礎 法令の視点から.
教育情報化 新たなスタートを迎えて 西田 光昭 千葉県柏市立土南部小学校 教諭
第2章 組織はかく思考する プラム.
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
鳴門教育大学 大学院 総合学習開発講座 准教授 藤村 裕一
Security Fundamentals 情報セキュリティのジアタマを作る
セキュリティ・チェックリスト解説 【5~10分】
第三章 会社のグループを形成する.
主催 : 株式会社プライオリティ ゲスト講師:株式会社船井総合研究所
COBIT 5 エグゼクティブ・サマリー.
ランサムウエア (身代金要求型不正プログラム)に注意!
情報セキュリティ - IT時代の危機管理入門 -
(3)女性リーダーのためのマネジメント・プロセス 研修 管理職・リーダーの役割は自分の成長にもつながる!
ICT活用指導力チェックシート(小学校版)
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
社会人基礎Ⅱ 第2回 業界・企業分析の基礎 法令の視点から.
シミュレーション論 Ⅱ 第15回 まとめ.
総合講義B:インターネット社会の安全性 第9回 セキュリティとコスト
鳴門教育大学 大学院 総合学習開発講座 准教授 藤村 裕一
情報の収集と共有 第3章 3節  ネットワーク社会のルールとマナー 2 情報の安全性確保 p68~p71.
情報モラル研修 携帯ゲームの進化 ~フィルタリングで危険回避~.
ウイルス対策 ウイルスから他人と自分を守る 玉川医師会 (医)小倉病院 縄 嘉津記
技術参照モデルとシステム要件定義 に関する学習システム
VIRUS.
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
安全管理体制とリスクマネジメント.
情報モラル研修 携帯ゲームの進化 ~フィルタリングで危険回避~.
上級アドミニストレータ連絡会 関西研修会 平成18年11月25日 公認会計士・公認システム監査人 藤野正純
課題研究ルーブリック評価の 活用マニュアル 平成30年1月10日 愛媛大学高大接続推進委員会 「課題研究」評価ワーキンググループ
Intel SGXを用いた仮想マシンの 安全な監視機構
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
(提案事業のタイトルを記載:80文字以内) ○○○○○○○○○○○○ (提案者名を記載) ○○○○
ビジネス プロジェクトの計画 発表者名 | 会社名.
PaaSの起源.
コミュニケーションと ネットワークを探索する
第11回 内部統制.
第一回 情報セキュリティ 05A1027 後藤航太.
~求められる新しい経営観~ 経済学部 渡辺史門
超短期トレードで生き残るためのテクニックと考え方
佐世保市 保健福祉部 長寿社会課 生活支援体制整備事業 第2回 地域づくりを考える勉強会 佐世保市 第1層 生活支援コーディネーター 成冨努.
佐世保市 保健福祉部 長寿社会課 生活支援体制整備事業 第3回 地域づくりを考える勉強会 佐世保市 第1層 生活支援コーディネーター 成冨努.
修士研究計画 CGM作成・共有支援基盤(仮)の構築
本当は消去できていない!? ~データを完全消去する方法~
本当は消去できていない!? ~データを完全消去する方法~
Microsoft® Office® 2010 トレーニング
資格取得スキルⅠb (ITパスポート試験対策講座)
中等情報科教育Ⅱ 情報セキュリティの確保.
内部統制とは何か.
Presentation transcript:

セキュリティとITガバナンス 株式会社ディアイティ セキュリティサービス事業部 河野 省二 すぐにダウンロードしたい人はこちら

講師の紹介 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 2 河野 省二 愛知県豊田市出身 滋賀大学中退 株式会社ディアイティ セキュリティサービス事業部 副 事業部長 情報処理推進機構 セキュリティセンター 研究員 aip 事業推進委員 大学講師 東京電機大学 未来科学部 岡山理科大学 その他 、 団体役員など

本日のアジェンダ IT ガバナンスの考え方と活用 マネジメントからガバナンスへ IT システムから全体統制へ 情報セキュリティ コンピュータセキュリティから情報セキュリティ 情報セキュリティの目的 透過性の高い情報セキュリティのために 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 3

本日のテーマ 情報セキュリティは ITを最大に活用するための 最小限の安全確保 PC持ち出し禁止とか、USBメモリ利用禁止とか、クラウド利用禁 止とか、ただしい対応とは思っていません 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 4

本日の格言 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 5 ガバナンスで重要なこと 戦略がなければ、 成功か失敗かわからない 目標設定だけで戦略のないプロジェクトは、遠回りをしているこ とに誰も気づかず、途中で引き返すことができない

ITガバナンスの考え方と活用 マネジメントからガバナンスへ IT の活用を最大限にするために構成を考える 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 6

情報はどうして上がってこないのか 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 7 様々な事故が起きている裏側で、経営者が現場のことを知らない ことが大きな問題となっています。どうして現場の情報が経営者 に上がってこないのでしょうか。 月曜日の朝に経営会議を行っている会社の情報管理について考え てみましょう。

極端な例ですが、あながちウソでも・・・ 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 8 月火水木金月 AM 経営会議 担当締め 切り 管理部締 め切り 経営会議 PM 部門会議 担当者締 めの作業 部門締め 切り資料印刷

マネジメントからガバナンスへ 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 9 マネジメントは部門のものだが 、 ガバナンスは経営を含む組織全 体のもの 。 「 現場のマネジメント 」 を経営 陣が統制できるように 、 ガバナ ンスの仕組みを利用して 、 効率 的に全体を統制していく 。 トップダウンではなく 、 現場か らの意見を取り入れることがで きるように 、 報告の体制づくり などをしていくことも重要な要 素となる 。 IT を活用した経営を IT 経営とい い 、 ガバナンスをベースに企業 内の情報管理を行うことで 、 効 果的な経営を行うことを目指す 。 経済産業省 「 IT 経営ポータル 」

経営陣がすべての責任を負う 指示と報告による組織づくり と責任の明確化 上司は部下に指示をし 、 部 下はそれが完了したことを 報告する 。 もしも問題があ る場合は相談や連絡を行う IT 経営の最終責任は経営陣 IT に関する指示は経営陣が 行う それに応えて組織はすべて の報告 ( 情報 ) が経営陣に 集まるようにする 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 10 経営陣 部長 課長 スタッフ 指示報告 指示報告 指示報告

全体最適化とコストダウン ほとんどのシャチョーが 、 費用対効果を知らずに IT を 利用しています メール 1 通送るのに 、 い くらかかってるか知らな いのに 、 メールが効果が あるかなんてわからない 「 見える化 」 とかいっても 、 何を見たいのかがわかって いない経営陣がいる 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 11 5年間で2000万円って、 そのくらいが一般的なん と違うの?よその会社も そんなもんと違うんかい な・・・

重要なのは「学習と成長」 減点主義ではモチベーションを作れない 失敗の原因を学習の糧とできるか 失敗の原因を提供したものに褒賞を与えることができるか 失敗を取り戻すための仕組みづくり → チャレンジの回数を増やす 成功をほめるのは一瞬でいい 営業部門がやっている 「 成功事例発表会 」 はほとんど無駄 結果の共有ではなくプロセスの共有を行うことが重要 プロセスを共有するための 「 モニタリング 」 を設計する 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 12

全体最適化とコストダウン 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 13 ある電装メーカーでは製品の不良率が 40 % を超えていた それぞれの作業を 、 それぞれが行なっている 品質管理報告書を出すとインセンティブがもらえる → 不良率が 2 % に 不良に気づいたら製品をピックアップして報告を書く

目標達成のためのIT活用(IT経営) 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 14 やりたいけどできない… 悩み これらの情報がわからないので 経営判断ができない

学習と成長のためのIT管理 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 15 集積した情報を活用するために情報を公開するというのはわかり ました。 ただし、情報を公開するだけではなく、企業にとってはそれを学 習の材料としなければいけません。企業が成長するために必要な 学習とは何で、それをどのように活かすことができるかを考えて みましょう。

ITによる情報の一元管理 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 16 情報収集 どんな情報を集めるのか 分析 情報をどのようにまとめるか(比較な ど) 共有・利活用 誰が見るのか、使うのか 例えば営業管理だと・・・?

ITガバナンスから生まれたクラウド 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 17

国内のクラウド実証実験 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 18

ちなみにクラウドのロードマップ 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 19

最近では保険業界でもクラウドが 保険業界がこぞってクラウドの世界に 損保ジャパンは IIJ GIO 三井住友海上は Oracle Cloud 東京海上は AWS それぞれが工夫してクラウドを使う時代に FISC の安全対策基準でもクラウドの文字が出てきた 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 20

そして証券業界でも 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 21 FinQloud – NASDAQ の Amazon Web Service を利用した株式取引情報の管理 データと管理の分離 データは暗号化して AWS に置く 管理 ( データ管理・鍵 管理 ) は NASDAQ が行 う データの暗号化 暗号化されたデータと キーの分離 責任分界点が明確に なっている 危殆化した時の主導権 NASDAQ が権利を持っ ている

情報セキュリティを前提にITを活用 情報セキュリティは 「 禁止 」 をしない ! IT システムを効果的に活用していくための情報セキュリ ティの考え方を解説します 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 22

情報セキュリティとは 情報セキュリティは 「 科学 」 です 個人の努力に依存していると情報セキュリティは失敗します 誰でもが同じ方法でやればちゃんと安全を確保できる情報セキュ リティ対策を考えていく必要があります 複雑なパスワード 、 推測しにくいパスワード ? どんなに複雑なパスワードを付けても 、 インターネット上で攻撃 される確率は変わりません 人間が手で打たなくちゃいけない時だけに対応できる対策です 目的に応じたセキュリティ対策を検討して下さい 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 23

情報セキュリティの目的 情報セキュリティは情報資産のセキュリティではありま せん 「 ISMS 認証取得を簡単にするため 」 にやってきた情報セキュリ ティ対策から 、 自社のための情報セキュリティに切り替えられな い企業が山ほどあります USB メモリ利用禁止 、 PC 持ち出し禁止 、 ネットワークの分離な ど・・・ ( もしも USB メモリが 1 万本売れたらいくらの売上 ?) IT を最大限に活用するために情報セキュリティ対策を実 施することを忘れずに IT を活用する上での心配事を解消する どのような心配事があるのかをリストアップし対策を検討する 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 24

そもそも情報セキュリティは必要か? 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 25 企業の情報セキュリティマネジメント 外的要因 内的要因 法律 規制 業界のルール 顧客満足 取引先 株主 企業の信頼 業務の効率化 IT 活用 内部統制 企業価値向上 IT サービス継続 内部不正防止

メールサーバは何分止まっても良いのか 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 26 あなたの会社のメールサーバ は何分間止まってもいいです か?

情報セキュリティのコストを考える たとえば 「 絶対に止まってはいけない 」 を選択した場合 は まずはサービス ( OS やアプリ ) などがダウンしないようにする サービスのパフォーマンスが出るように多重化する ハードウェアのトラブルに備えて多重化する それらのハードウェアの入れ替えのために代替機を導入してメン テナンスする → これはかなりの費用がかかると思いませんか ? 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 27

本当にそこまでする必要があるのか 情報セキュリティの目的は 「 業務が適切に遂行されるこ とをサポートする 」 こと 本当にメールサーバは止まってはいけないのか → どんな業務にどのくらいの影響を与えるのか 自社で持たなきゃいけないという思い込み ? もしかしたら 、 重要なメールサーバほどアウトソーシングしたほ うがいいんじゃないのかな サポートには人間が必要で・・・人件費を効率化するための IT な のに・・・とまた矛盾が ( 笑 ) 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 28

サービスが止まっててもいい時間 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 29 最大許容停止時間! どのくらいの間、サービスが止まっても影響がないかを考えるこ とから始めてください。それが情報セキュリティコストの最適化 の要因となります

もう一つの言い方を・・・ 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 30 リスク受容レベル!! どれくらいの痛みなら受け入れることができるのかを「リスク受 容レベル」といいます。リスク受容レベルは通常2段階で設定し、 一般的なトラブルと重要なトラブルを区別します

情報セキュリティが本当に必要か? 情報セキュリティが必要かどうかの合意をするために もっとも重要な要素は 「 リスク受容レベル 」 を合意する こと 情報セキュリティをどこまでやるか ( いわゆる必要性 ) はリスク受容レベルによって決まります まずはどこまで許容出来るのかを明確にし 、 これを合意 することからスタートしましょう 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 31

情報セキュリティワークショップ これまでの基本的な考え方をもとに 、 自分で考える力 をつけていくためのベースを作ります 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 32

最初はこんな問題から USB メモリ利用禁止の 「 管理目的 」 は 、 なんで しょう ? ヒント ) 管理目的とは対策 の目的のことであり 、 対象 となる脅威や脆弱性のこと 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 33

次にこんな問題 個人情報保護のためにシン クライアントを導入してい る企業がしなくてはいけな いことは 、 なんでしょう ? ヒント ) シンクライアント では何ができて 、 何ができ ないのか 。 すべての機能を 明確にすることが重要です 。 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 34

最後にこんな問題 個人情報保護法を違反した として 、 何らかの処分を受 けた人は 2005 年以降 ( 行 政では 2003 年以降 )、 何 名いるでしょうか ヒント ) 情報漏洩は個人情 報保護違反でしょうか ? ち なみに 、 違反した場合は 6 ヶ月以下の懲役または 30 万円以下 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 35

では、こんな問題はどうでしょう 課長が部門の 5 人にエクセ ルで管理表を送付しました 。 社員がこれらに記入して メールに添付して課長に返 信した場合 、 添付書類は全 部でいくつになったでしょ うか ? 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 36

実際に数えましょう 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 37 課長の PC 課長のメーラー部下のメーラー部下の PC

安全管理のためにできること 情報資産が増えると 、 管理コストが増える 出来る限りコピーを増やさない 情報は一元管理することが最も管理コストが減り 、 ライフサイクルに おける管理が容易になる 個人情報保護法ができた時にも内閣官房からは個人情報を一元管理す ることという提案があった ( はずなのに・・・ ) 紙は管理がしにくい 紙は暗号化できない 、 管理のために物理的な対策が必要など 、 安全性 もコストも増大するばかり たとえば 、 建築現場では紙のデータを車に置いたまま車上ねらいの被 害に → 対策として 、 必要な情報は電子化してタブレットなどに入れた 。 こ れで車の中に情報を置きっぱなしにしなくなった 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 38

報道やカタログに惑わされずに 報道やカタログは真実ではないことがある シンクライアントは個人情報保護のために 「 使える 」 のであって 、 個人情報保護のために開発されたわけではない 。 だから 「 工夫 」 をしないと適切に使うことができない スマートホンから個人情報が漏れるというのは 、 企業にとっては どのくらいの影響があるのかを考えて 、 他にももっと影響のある ことを忘れていないかを考える 企業のセキュリティと個人のセキュリティは別 企業のセキュリティ対策はあくまで企業の重要なビジネスや情報 に対して行うものであって 、 そのリスクについて検討していくこ とが重要 正しい判断ができるために 、 企業にとっての重要なものは何かを 検討することから・・・ 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 39

リスクのフレームワーク 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 40

禁止ではなく「活用」のために 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 41

企業価値向上のための 情報セキュリティガバナンス 情報セキュリティも IT なんだから 、 IT ガバナンスと同じ ようにセキュリティガバナンスもできるはず・・・ 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 42

セキュリティマネジメントからガバナンスへ 情報セキュリティマネジメント 特徴 トップダウンによるポリシー 準拠による統制 ポリシー 、 スタンダード 、 プ ロシージャに記載されている ことを守ることで情報セキュ リティ対策の一貫性を取る メリット・デメリット 外部からの要求には ISMS 認証 、 P マークなどで対応 現場の意見を反映しにくい 情報セキュリティガバナンス 特徴 トップの設定した目標に向け た現場ごとの活動 プロシージャに沿った活動の 記録をモニタリングすること による統制 メリット・デメリット 現場の意見を反映した情報セ キュリティ対策 現場からのフィードバックが ないと向上しない 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 43

セキュリティの成熟とガバナンス 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 44

現場からの報告が全体を変える 現場が全体を知るところから・・・ 自分の仕事が全体のどの部分であるのかを理 解することで 、 自分の役割と責任を明確にす ることができる 自分の失敗をすぐに報告することで被害を最 小限にする 報告しやすい体制づくり 失敗したことを叱責するような上司は信頼さ れない 失敗の原因を考えて再発防止に取り組む 報告をしやすい仕組みづくり ( 情報セキュリ ティの報告は難しいので 、 フォーマットを作 成するなど・・・ ) 現場の報告を取り入れる仕組み 現場の報告を反映していることを正しく伝え る 現場からの意見を反映できるマネジメントシ ステムを構築する 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 45

韓国サイバー攻撃にみる 攻撃者視点の対策の考え方 攻撃者はどうやって内部に入ろうとしているか 万全の対策を破る攻撃者の視点を知る 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 46

韓国へのサイバー攻撃 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 47 「 piyolog 」 から引用

韓国政府のセキュリティ対策 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 48 韓国ではインターネットからの攻撃について日本よりも強固な対策ができて いる 。 外部からの攻撃はかなり難しい状況だと考えられる DDoS 攻撃への対策トロイの木馬への対策

攻撃者はどのように考えるのか 外部からの攻撃は非常に難しい 内部へどのように入るか ( ウイルス感染 ) 内部の目的の場所にどのように到達するか ( ウイルスの拡散 ) 内部から情報をどのように抜くか ( バックドア ) 狙うのは人間系 ? それともシステム系 ? 標的型メールなどは目的の場所に到達しにくい 確実に目的に到達するためには 、 ワークフローやデータフローを事前に調べて おいて 、 その中でキーとなる人を狙う システムであれば誰でもが使うシステム ( プリンタなど )、 人間系であれば 様々な人とコミュニケーションを取る人物 どうやって内部に持ち込んで拡散させるか 外部の IT ベンダーから内部に持ち込ませる 日本の省庁のように外部ネットワークと接続されていない PC ( XP を単独で 使っているなど ) は脆弱性だらけで狙いやすい 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 49

報道は肝心なところを伝えない サイバー犯罪などでのテレビや新聞の情報はほとんど役 に立たない 情報収集のためにテレビや新聞 ( ネットニュースやメルマガ含 む ) は役に立たない 。 時間や紙面が制約されていて 、 インパクト だけしか伝えることができていない 情報を正しく把握するには 、 様々な情報を照らしあわせて 、 最新 の情報を得ることが重要 対岸の火事ではなく自分たちのこととして捉える 事故が発生したことだけが報道されているので自分には関係ない と思ってしまいがちだが 、 なぜその事故が起きたのかを考えて 、 自分たちが被害者になったり 、 加害者になったりする可能性につ いても考えることが重要 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 50

新たなリスクへの対応 新たなリスクへの対応は 「 基本に忠実に 」 対応する リスクのフレームワークにもとづいて 、 自社への影響を明確にす ることが重要 他社がやっているから自社もやるという姿勢では 、 セキュリティ コストがかかりすぎて 、 IT 利用による真の恩恵を受けることがで きなくなってしまう 禁止するのではなく 、 どのようにしたら使えるのかを考 えることから IT ベンダーが 「 紺屋の白袴 」 にならないために 、 自らが安全に使 うことができるように検討する どのような事故が発生する可能性があるのかを現場が考える 2013 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 51

終 ディアイ ティ 年 11 月 27 日 水曜日 (C) 株式会社ディアイティ 52