セキュリティとITガバナンス 株式会社ディアイティ セキュリティサービス事業部 河野 省二

Slides:



Advertisements
Similar presentations
セキュリティとITガバナンス 株式会社ディアイティ セキュリティサービス事業部 河野 省二
Advertisements

情報セキュリティ 第13回:2005年7月8日(金)   . 2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度  コンピュータ犯罪を取り締まる法律  個人情報保護法.
1 ( 様式8 ) 提案書雛型ア 資料2 - 1 (提案者名を記載) ○○○○ 受付番号 ア.地域見守りサービス創出における調査 平成 23 年度医療・介護等関連分野における規制改革・産業創出実証事業 ( IT 等を活用した医療・介護周辺サービス産業創出調査事業) 提案書 (提案事業のタイトルを記載:
セキュリティとITガバナンス 株式会社ディアイティ セキュリティサービス事業部 河野 省二 すぐにダウンロードしたい人はこちら
セキュリティとITガバナンス 株式会社ディアイティ セキュリティサービス事業部 河野 省二 すぐにダウンロードしたい人はこちら
身の回りの IT 情報科教育法 後期 10 回 2004/12/18 太田 剛. 目次 1. 最終提出の確認 2. ルータの説明 ( 先週の続き ) 3. 身の回りの IT 1/8 の授業は情報科教員の試験対策です。
IT. Meets Fast. サイボウズ中国 kintone ワークフローパック ご説明資料. IT. Meets Fast. アジェンダ こんなことありませんか? kintone の導入でこうなります! kintone 活用イメージ – 申請から承認までの流れ(申請者の流れ) – 申請から承認までの流れ(決裁者の流れ)
当社の 「品質マネジメントシステム」(QMS)の 今後の運用について
「独立事業家を目指す方を支援する制度」 ic(インシュアランス・コンサルタント)
本システムは、従来の財務会計ソフトではありません!
本日のスケジュール 14:45~15:30 テキストの講義 15:30~16:15 設計レビュー 16:15~16:30 休憩
資料3-7 NIEM等 海外調査報告 経済産業省 CIO補佐官 平本健二.
《Ⅴ 解説》 35.監査調書様式体系の全体像 【監査の基本的な方針】 【詳細な監査計画】 【リスク評価手続】 【リスク対応手続の立案】
Anthony and Govindarajan Management Control Systems
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
情報モラル.
「知的財産(活動)による事業貢献の“見える化”に向けて」
株式会社ディアイティ セキュリティサービス事業部 河野 省二
学校におけるネットワークの運用と技術 兵庫県立伊丹北高等学校 佐藤 勝彦.
PaaSの起源とxaaSの今後.
情報は人の行為に どのような影響を与えるか
事業計画 発表者名 | 会社名.
クイズ 「インターネットを使う前に」 ネチケット(情報モラル)について学ぼう.
情報処理学会・経営情報学会 連続セミナー第3回 情報システム構築アプローチ 主旨
社会人基礎Ⅱ 第2回 業界・企業分析の基礎 法令の視点から.
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
Security Fundamentals 情報セキュリティのジアタマを作る
第三章 会社のグループを形成する.
~スマートフォン利用~ 店舗管理システムのご提案 サイボウズ中国.
情報ネットワーク論 最終回 動的ルーティング実験デモ ネットワークの構築・管理 遠隔?講義.
環境の世紀17  第13回 駒場の電気を考える.
ランサムウエア (身代金要求型不正プログラム)に注意!
スライド資料 C4 ICT機器を活用した授業づくり ④特別支援学校における ICT活用 兵庫教育大学の小川です。一応作者です。
ICT活用指導力チェックシート(小学校版)
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
社会人基礎Ⅱ 第2回 業界・企業分析の基礎 法令の視点から.
情報の収集と共有 第3章 3節  ネットワーク社会のルールとマナー 2 情報の安全性確保 p68~p71.
  情報に関する技術       情報モラル授業   .
アップデート 株式会社アプライド・マーケティング 大越 章司
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
上級アドミニストレータ連絡会 関西研修会 平成18年11月25日 公認会計士・公認システム監査人 藤野正純
中国の日系企業に最適のシステム 御社の業務に最適な3つの理由 初期投資なしで すぐに始められる ITに詳しい 担当者不要 何度でも 変更可能.
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
(提案事業のタイトルを記載:80文字以内) ○○○○○○○○○○○○ (提案者名を記載) ○○○○
ビジネス プロジェクトの計画 発表者名 | 会社名.
PaaSの起源.
コミュニケーションと ネットワークを探索する
第11回 内部統制.
第一回 情報セキュリティ 05A1027 後藤航太.
~求められる新しい経営観~ 経済学部 渡辺史門
ダスキン サービスマスターの仕事 清潔で快適な環境づくりのお手伝い! 業務向け もっと たくさんある
超短期トレードで生き残るためのテクニックと考え方
人を幸せにするアプリケーションの開発 2004年度春学期 大岩研究プロジェクト2 2004年4月8日(木) 発表:武田林太郎.
筑波大学附属視覚特別支援学校 情報活用 村山 慎二郎
トピック6 臨床におけるリスクの理解と マネジメント 1 1.
佐世保市 保健福祉部 長寿社会課 生活支援体制整備事業 第2回 地域づくりを考える勉強会 佐世保市 第1層 生活支援コーディネーター 成冨努.
佐世保市 保健福祉部 長寿社会課 生活支援体制整備事業 第3回 地域づくりを考える勉強会 佐世保市 第1層 生活支援コーディネーター 成冨努.
Security Fundamentals 情報セキュリティのジアタマを作る
業務5Sカイゼン ミーティングのしかた 開会宣言 カイゼンネタの確認 あらかじめカードを配って書いてきてもらう
修士研究計画 CGM作成・共有支援基盤(仮)の構築
本当は消去できていない!? ~データを完全消去する方法~
本当は消去できていない!? ~データを完全消去する方法~
Microsoft® Office® 2010 トレーニング
資格取得スキルⅠb (ITパスポート試験対策講座)
ネット時代のセキュリティ3(暗号化) 2SK 情報機器工学.
  情報に関する技術       情報モラル授業   .
中等情報科教育Ⅱ 情報セキュリティの確保.
テクニカル・ライティング 第4回 ~文章の設計法「KJ法」について~.
内部統制とは何か.
ベイジアンネットワークと クラスタリング手法を用いたWeb障害検知システムの開発
Presentation transcript:

セキュリティとITガバナンス 株式会社ディアイティ セキュリティサービス事業部 河野 省二

講師の紹介 2014/07/09 (C) 株式会社ディアイティ 2 河野 省二 愛知県豊田市出身 滋賀大学中退 株式会社ディアイティ セキュリティサービス事業部 副 事業部長 情報処理推進機構 セキュリティセンター 研究員 aip 事業推進委員 大学講師 東京電機大学 未来科学部 岡山理科大学 その他 、 団体役員など

本日のアジェンダ はじめてのガバナンス 電子メールは個人情報か IT ガバナンスの考え方と活用 マネジメントからガバナンスへ IT システムから全体統制へ 情報セキュリティ コンピュータセキュリティから情報セキュリティ 情報セキュリティの目的 2014/07/09 (C) 株式会社ディアイティ 3

本日のテーマ 情報セキュリティは ITを最大に活用するための 最小限の安全確保 PC持ち出し禁止とか、USBメモリ利用禁止とか、クラウド利用禁 止とか、ただしい対応とは思っていません 2014/07/09 (C) 株式会社ディアイティ 4

本日の格言 2014/07/09 (C) 株式会社ディアイティ 5 ガバナンスで重要なこと 戦略がなければ、 成功か失敗かわからない 目標設定だけで戦略のないプロジェクトは、遠回りをしているこ とに誰も気づかず、途中で引き返すことができない

個人情報保護とプラバシー ごっちゃになってると話が通じない 2014/07/09 (C) 株式会社ディアイティ 6

電子メールは個人情報ですか? 2014/07/09 (C) 株式会社ディアイティ 7 という僕のメールアドレス。 これって個人情報ですか?それとも個人情報ではありませんか? 1. 電子メールはすべて個人情報だと思う 2. 名前が含まれてるので個人情報だと思う 3. 電子メールはすべて個人情報ではないと思う 4. どちらともいえない 5. どうでもいい

個人情報とはなにか 「 個人を特定できる情報は個人情報 」 という思い込み 個人情報保護法では 、 それを前提として 「 各事業者で設定 」 する ことになっている つまり 、 個人情報であるかどうかは事業者の宣言によって決まる 。 それは個人情報保護規定やプライバシーポリシーによって公表さ れていなければならない が・・・みなさんの会社はどうですか ? 2014/07/09 (C) 株式会社ディアイティ 8

情報管理の基本的な考え方 情報管理の責任はだれにあるのか 責任はデータオーナーにある 個人情報のデータオーナー ( 主体 ) は 「 本人 」 情報を提供しても責任は移譲できない 個人情報保護法では・・・ 本人が責任をまっとうするために事業者と関係省庁が協力するこ とを求めている 誰のための 「 自己コントロール権 」 かを考えてみよう 2014/07/09 (C) 株式会社ディアイティ 9

一方でプライバシーは? プライバシーはハラスメント系の問題 どんなにちゃんとした個人情報保護をしているつもりでも 、 相手 がダメだと言ったらダメ 。 セクハラやパワハラと同じ 。 ということは 、 なにかがあっても文句を言われたら・・・プライ バシーはアウト 。 じゃあ 、 どうすればいいのか プライバシー問題はカスタマーサポートの課題 普段からお客様との信頼関係を構築すること 。 その一環として 、 情報管理をちゃんとやっていることを示すことは重要な対策では あるが 、 それが全てではない 。 2014/07/09 (C) 株式会社ディアイティ 10

ITガバナンスの考え方と活用 マネジメントからガバナンスへ ITの活用を最大限にするために構成を考える 2014/07/09 (C) 株式会社ディアイティ 11

情報はどうして上がってこないのか 2014/07/09 (C) 株式会社ディアイティ 12 様々な事故が起きている裏側で、経営者が現場のことを知らない ことが大きな問題となっています。どうして現場の情報が経営者 に上がってこないのでしょうか。 月曜日の朝に経営会議を行っている会社の情報管理について考え てみましょう。

極端な例ですが、あながちウソでも・・・ 2014/07/09 (C) 株式会社ディアイティ 13 月火水木金月 AM 経営会議 担当締め 切り 管理部締 め切り 経営会議 PM 部門会議 担当者締 めの作業 部門締め 切り資料印刷

マネジメントからガバナンスへ 2014/07/09 (C) 株式会社ディアイティ 14 マネジメントは部門のものだが 、 ガバナンスは経営を含む組織全 体のもの 。 「 現場のマネジメント 」 を経営 陣が統制できるように 、 ガバナ ンスの仕組みを利用して 、 効率 的に全体を統制していく 。 トップダウンではなく 、 現場か らの意見を取り入れることがで きるように 、 報告の体制づくり などをしていくことも重要な要 素となる 。 IT を活用した経営を IT 経営とい い 、 ガバナンスをベースに企業 内の情報管理を行うことで 、 効 果的な経営を行うことを目指す 。 経済産業省 「 IT 経営ポータル 」

経営陣がすべての責任を負う 指示と報告による組織づくり と責任の明確化 上司は部下に指示をし 、 部 下はそれが完了したことを 報告する 。 もしも問題があ る場合は相談や連絡を行う IT 経営の最終責任は経営陣 IT に関する指示は経営陣が 行う それに応えて組織はすべて の報告 ( 情報 ) が経営陣に 集まるようにする 2014/07/09 (C) 株式会社ディアイティ 15 経営陣 部長 課長 スタッフ 指示報告 指示報告 指示報告

社長は何も知らない・・・ 2014/07/09 (C) 株式会社ディアイティ 16 あんまり使っていないサー ビスのためにハードウェア を確保するのはもったいな い → 仮想化 → 分散処理 現場からの 情報収集 経営者は全体を 把握したい 手打ち 報告書 自動 入力 NG!! 誰も読んでないし 、 集計できない OK! リアルタイムに集計 事業計画 KPI いわゆる IT 経営 IT の効果も 計測したい サービス指向アーキテク チャによる IT サービス開発 と効果測定 クラウドのはじまり SLA

情報セキュリティもKPIが重要 2014/07/09 (C) 株式会社ディアイティ 17 現場からの 情報収集 経営者は全体を 把握したい 組織 ISMS 組織外 サービス 組織のマネジメント だけではたりない 。 もう ISMS だけでは たりなくなった 外部の把握はどうす るか ? 事業計画 KPI セキュリティの指標 リスク受容レベルなど サービスのセキュリティの ために 「 仕組みをよく知 る 」「 リスク情報を共有す る 」 → セキュリティのソー シャル化 事故がゼロ じゃダメ! 事故がゼロというのは 「 KPI 」 としては成り立た ない 。 積み重ねが大事 !! 組織のセキュリティ サービスセキュリティ

全体最適化とコストダウン ほとんどのシャチョーが 、 費用対効果を知らずに IT を 利用しています メール 1 通送るのに 、 い くらかかってるか知らな いのに 、 メールが効果が あるかなんてわからない 「 見える化 」 とかいっても 、 何を見たいのかがわかって いない経営陣がいる 2014/07/09 (C) 株式会社ディアイティ 18 5年間で2000万円って、 そのくらいが一般的なん と違うの?よその会社も そんなもんと違うんかい な・・・

重要なのは「学習と成長」 減点主義ではモチベーションを作れない 失敗の原因を学習の糧とできるか 失敗の原因を提供したものに褒賞を与えることができるか 失敗を取り戻すための仕組みづくり → チャレンジの回数を増やす 成功をほめるのは一瞬でいい 営業部門がやっている 「 成功事例発表会 」 はほとんど無駄 結果の共有ではなくプロセスの共有を行うことが重要 プロセスを共有するための 「 モニタリング 」 を設計する 2014/07/09 (C) 株式会社ディアイティ 19

目標達成のためのIT活用(IT経営) 2014/07/09 (C) 株式会社ディアイティ 20 やりたいけどできない… 悩み これらの情報がわからないので 経営判断ができない

学習と成長のためのIT管理 2014/07/09 (C) 株式会社ディアイティ 21 集積した情報を活用するために情報を公開するというのはわかり ました。 ただし、情報を公開するだけではなく、企業にとってはそれを学 習の材料としなければいけません。企業が成長するために必要な 学習とは何で、それをどのように活かすことができるかを考えて みましょう。

ITによる情報の一元管理 2014/07/09 (C) 株式会社ディアイティ 22 情報収集 どんな情報を集めるのか 分析 情報をどのようにまとめるか(比較な ど) 共有・利活用 誰が見るのか、使うのか 例えば営業管理だと・・・?

ITガバナンスから生まれたクラウド 2014/07/09 (C) 株式会社ディアイティ 23

国内のクラウド実証実験 2014/07/09 (C) 株式会社ディアイティ 24

ちなみにクラウドのロードマップ 2014/07/09 (C) 株式会社ディアイティ 25

最近では保険業界でもクラウドが 保険業界がこぞってクラウドの世界に 損保ジャパンは IIJ GIO 三井住友海上は Oracle Cloud 東京海上は AWS それぞれが工夫してクラウドを使う時代に FISC の安全対策基準でもクラウドの文字が出てきた 2014/07/09 (C) 株式会社ディアイティ 26

そして証券業界でも 2014/07/09 (C) 株式会社ディアイティ 27 FinQloud – NASDAQ の Amazon Web Service を利用した株式取引情報の管理 データと管理の分離 データは暗号化して AWS に置く 管理 ( データ管理・鍵 管理 ) は NASDAQ が行 う データの暗号化 暗号化されたデータと キーの分離 責任分界点が明確に なっている 危殆化した時の主導権 NASDAQ が権利を持っ ている

情報セキュリティを前提にITを活用 情報セキュリティは「禁止」をしない! ITシステムを効果的に活用していくための 情報セキュリティの考え方を解説します 2014/07/09 (C) 株式会社ディアイティ 28

なんでわかってもらえないのか コミュニケーションは前提を合わせることから 「 情報セキュリティは必要だ !」 とみんなが思っていると勘違い していませんか 「 すべての情報を保護しなくてはいけない !」 と思っていません か 世の中に 「 個人情報 」 という共通の情報カテゴリがあると思って いませんか 勘違いをしていると 、 そのあとの説明がうまくいきませ ん まずは土台を合わせることから 2014/07/09 (C) 株式会社ディアイティ 29

土台となるのは「必要性」ではありません 情報セキュリティの必要性 必要性っていうのは提案側の勝手な思いこみ IT がなくなったら情報セキュリティはなくなる 紙が残るじゃないですか ? ← 屁理屈 すべての情報セキュリティは業務のためにある その業務を効率的にするために IT がある 多くの場合は 「 人が楽になる 」 ために IT を導入しているのに 、 情 報セキュリティでは 「 ひとりひとりの注意が必要 」 とか・・・ ベースが合ってない システムでできることはすべてシステムでやる 。 これはセキュリ ティも同じ 。 2014/07/09 (C) 株式会社ディアイティ 30

情報セキュリティとは 情報セキュリティは 「 科学 」 です 個人の努力に依存していると情報セキュリティは失敗します 誰でもが同じ方法でやればちゃんと安全を確保できる情報セキュ リティ対策を考えていく必要があります 複雑なパスワード 、 推測しにくいパスワード ? どんなに複雑なパスワードを付けても 、 インターネット上で攻撃 される確率は変わりません 人間が手で打たなくちゃいけない時だけに対応できる対策です 目的に応じたセキュリティ対策を検討して下さい 2014/07/09 (C) 株式会社ディアイティ 31

情報セキュリティの目的 情報セキュリティは情報資産のセキュリティではありま せん 「 ISMS 認証取得を簡単にするため 」 にやってきた情報セキュリ ティ対策から 、 自社のための情報セキュリティに切り替えられな い企業が山ほどあります USB メモリ利用禁止 、 PC 持ち出し禁止 、 ネットワークの分離な ど・・・ ( もしも USB メモリが 1 万本売れたらいくらの売上 ?) IT を最大限に活用するために情報セキュリティ対策を実 施することを忘れずに IT を活用する上での心配事を解消する どのような心配事があるのかをリストアップし対策を検討する 2014/07/09 (C) 株式会社ディアイティ 32

提案書作成の実際をやってみましょう では、具体的に「説得」のための内容を考えてみます 2014/07/09 (C) 株式会社ディアイティ 33

メールサーバは何分止まっても良いのか 2014/07/09 (C) 株式会社ディアイティ 34 あなたの会社のメールサーバ は何分間止まってもいいです か?

情報セキュリティのコストを考える たとえば 「 絶対に止まってはいけない 」 を選択した場合 は まずはサービス ( OS やアプリ ) などがダウンしないようにする サービスのパフォーマンスが出るように多重化する ハードウェアのトラブルに備えて多重化する それらのハードウェアの入れ替えのために代替機を導入してメン テナンスする → これはかなりの費用がかかると思いませんか ? 2014/07/09 (C) 株式会社ディアイティ 35

本当にそこまでする必要があるのか 情報セキュリティの目的は 「 業務が適切に遂行されるこ とをサポートする 」 こと 本当にメールサーバは止まってはいけないのか → どんな業務にどのくらいの影響を与えるのか 自社で持たなきゃいけないという思い込み ? もしかしたら 、 重要なメールサーバほどアウトソーシングしたほ うがいいんじゃないのかな サポートには人間が必要で・・・人件費を効率化するための IT な のに・・・とまた矛盾が ( 笑 ) 2014/07/09 (C) 株式会社ディアイティ 36

というわけで・・・ あなたが導入したい情報セキュリティについて 、 以下の 項目を正しく把握してください 目的 コスト ( 初期費用 、 運用費用 、 撤去費用など ) まずはこれを決めておかないと 、 上司に最初の相談さえ もできません プロジェクトをはじめる前に少なくとも 、 目的とコストは必要で す 。 それをもって情報セキュリティのプロジェクトが始まります 2014/07/09 (C) 株式会社ディアイティ 37

サービスが止まっててもいい時間 2014/07/09 (C) 株式会社ディアイティ 38 最大許容停止時間! どのくらいの間、サービスが止まっても影響がないかを考えるこ とから始めてください。それが情報セキュリティコストの最適化 の要因となります

もう一つの言い方を・・・ 2014/07/09 (C) 株式会社ディアイティ 39 リスク受容レベル!! どれくらいの痛みなら受け入れることができるのかを「リスク受 容レベル」といいます。リスク受容レベルは通常2段階で設定し、 一般的なトラブルと重要なトラブルを区別します

情報セキュリティが本当に必要か? 情報セキュリティが必要かどうかの合意をするために もっとも重要な要素は 「 リスク受容レベル 」 を合意する こと 情報セキュリティをどこまでやるか ( いわゆる必要性 ) はリスク受容レベルによって決まります まずはどこまで許容出来るのかを明確にし 、 これを合意 することからスタートしましょう 2014/07/09 (C) 株式会社ディアイティ 40

そもそも情報セキュリティは必要か? 2014/07/09 (C) 株式会社ディアイティ 41 企業の情報セキュリティマネジメント 外的要因 内的要因 法律 規制 業界のルール 顧客満足 取引先 株主 企業の信頼 業務の効率化 IT 活用 内部統制 企業価値向上 IT サービス継続 内部不正防止

リスクマネジメントの相関 2014/07/09 (C) 株式会社ディアイティ 42 事故の発生事故の影響受容 脅威ぜい弱性 機密性 完全性 可用性 対策 受容レベル 保証 コスト影響

情報セキュリティワークショップ これまでの基本的な考え方をもとに、自分で考える力 をつけていくためのベースを作ります 2014/07/09 (C) 株式会社ディアイティ 43

USBメモリ利用禁止の目的はなんでしょう 2014/07/09 (C) 株式会社ディアイティ 44 【質問】 USB メモリの利用禁止ルール の主目的はなんですか?

報道メディアによる目的のすりかわり スタックスネットは・・・ USB 利用が原因ではなく 、 アンチウイルスソフトウェアのシグネ チャが最新でなかったことが問題でした でも 、 ニュースなどで 「 USB メモリから感染 」 と書かれたことで 、 USB メモリが原因のように思われていますが 、 実際には CD-R でも 同様の問題は起きたはずだと思いませんか ? 標的型メール攻撃も・・・ 多くの場合はアンチウイルスソフトウェアが防御してくれます 。 だからどんなメールも開いて OK ! 2014/07/09 (C) 株式会社ディアイティ 45

すでに持ってるのにまた買うの? USB メモリ対策のソリュー ションを買うことは 、 無駄遣 いだと思いませんか ? すでにアンチウイルスソフ トウェアを導入してるのに 、 USB メモリの制限システム を買うのは無駄遣いです 効果がないのがわかるので 、 あとから怒られます ( 笑 ) その分を他の対策に回した ほうが良いかも・・・と思 いませんか 2014/07/09 (C) 株式会社ディアイティ 46

禁止はビジネスにならない・・・ 2014/07/09 (C) 株式会社ディアイティ 47 「 禁止 」 してもダメなんですよね 業務に必要な物は使わなくちゃいけな いし 、 例外事項にしてると個人の責任 が・・・ね また人間に負担がかかってる 。 これっ て IT じゃないよね・・・ 利用マニュアルをちゃんと作りましょ う

USBメモリのホントの脆弱性 USB メモリは磁気ディスクではありません USB メモリはいわゆる物理フォーマットや上書きフォーマットで は完全に消去することができません 使いまわすことで 、 他人に情報を見られてしまう可能性がありま す 専門用語で 「 残存オブジェクト 」 といいます 残存オブジェクトの再利用が情報漏えいや不正利用の温床となっ ています USB メモリを管理することが困難なので 、 ISMS 認証を取得するた めに切り捨てることが多いんです 2014/07/09 (C) 株式会社ディアイティ 48

では、こんな問題はどうでしょう 課長が部門の 5 人にエクセ ルで管理表を送付しました 。 社員がこれらに記入して メールに添付して課長に返 信した場合 、 添付書類は全 部でいくつになったでしょ うか ? 2014/07/09 (C) 株式会社ディアイティ 49

実際に数えましょう 2014/07/09 (C) 株式会社ディアイティ 50 課長の PC 課長のメーラー部下のメーラー部下の PC 送信ボックス 受信ボックス

安全管理のためにできること 情報資産が増えると 、 管理コストが増える 出来る限りコピーを増やさない 情報は一元管理することが最も管理コストが減り 、 ライフサイクルに おける管理が容易になる 個人情報保護法ができた時にも内閣官房からは個人情報を一元管理す ることという提案があった ( はずなのに・・・ ) 紙は管理がしにくい 紙は暗号化できない 、 管理のために物理的な対策が必要など 、 安全性 もコストも増大するばかり たとえば 、 建築現場では紙のデータを車に置いたまま車上ねらいの被 害に → 対策として 、 必要な情報は電子化してタブレットなどに入れた 。 こ れで車の中に情報を置きっぱなしにしなくなった 2014/07/09 (C) 株式会社ディアイティ 51

報道やカタログに惑わされずに 報道やカタログは真実ではないことがある シンクライアントは個人情報保護のために 「 使える 」 のであって 、 個人情報保護のために開発されたわけではない 。 だから 「 工夫 」 をしないと適切に使うことができない スマートホンから個人情報が漏れるというのは 、 企業にとっては どのくらいの影響があるのかを考えて 、 他にももっと影響のある ことを忘れていないかを考える 企業のセキュリティと個人のセキュリティは別 企業のセキュリティ対策はあくまで企業の重要なビジネスや情報 に対して行うものであって 、 そのリスクについて検討していくこ とが重要 正しい判断ができるために 、 企業にとっての重要なものは何かを 検討することから・・・ 2014/07/09 (C) 株式会社ディアイティ 52

アレはうまく動いとるのかね? 突然 、 効果を求められたら どうしましょうか この間のソリューション はちゃんと 「 効いてる 」 のかな ? レポート持って きてくれよ 、 頼むよ どんなレポートを出した らいいんでしょうか ? そもそもそんなレポート を書くような情報が取得 できるのかが問題です 2014/07/09 (C) 株式会社ディアイティ 53

偶然なのか必然なのか・・・将来は・・・ 事故が 0 件というのは目標にできても 、 評価基準にはで きません 評価基準というのは 「 客観的 」 で 「 科学的 ( 再現性がある )」 で なければいけません 。 だれもが同じ方法でやれば 、 同じ結果が出 るという前提でルールや対策を決めていくことが重要です 事故 ( インシデント ) ではなく 、 事象 ( イベント ) レベ ルで考えてみてはどうだろうか 大きな事故に至らない 、 その要因レベルで考えてみたら 、 効果的 な対策ができるかも 2014/07/09 (C) 株式会社ディアイティ 54

禁止ではなく「活用」のために 2014/07/09 (C) 株式会社ディアイティ 55

効果が測定できる対策を提供する 効果が測定できたら 、 担当者もあなたもほめられちゃい ますよね 担当者がほめられる → 上司もほめられる → さらに上司もほめられる → 社長もほめられる → 会社がほめられる → 顧客満足度が向上する という連鎖ができれば 「 企業価値を高めるセキュリティ 」 を実現 することができるようになります クリエイティブなセキュリティのために 効果が測定できるセキュリティはクリエイティブ 、 禁止するだけ のセキュリティはネガティブだといえますね・・・ 2014/07/09 (C) 株式会社ディアイティ 56

クラウドセキュリティの最新情報 2014/07/09 (C) 株式会社ディアイティ 57

クラウド固有のセキュリティとは クラウド固有のセキュリティ クラウドコンピューティングのセキュリティ 仮想化などをふまえた技術的なセキュリティ ネットワークやディスク 、 運用について検討する クラウドサービス利用のセキュリティ 構造上の問題を運用でサポート サービスにおける課題を検討する クラウドサービスにおける脅威を入手する リスクアセスメントを行うためには脅威リストが必要になる クラウドサービスに関する脅威はどこから入手するか 2014/07/09 (C) 株式会社ディアイティ 58

クラウドセキュリティガイドブック ガイドラインに触れてもらうために ガイドラインは JIS Q をベースとしたために 、 慣れていない 方には読みにくいものとなってしまった 。 活用ガイドブックはガイドラインの解説ではなく 、 ガイドライン の使い方について説明しており 、 これをきっかけにガイドライン を活用してほしいという思いで作成している 「 クラウドサービス利用のための情報セキュリティマネジメント ガイドライン 」 のさらなる活用のために 、 最新のインシデント事 例を前提としたガイドラインの利用を作成しました 利用者だけではなく事業者にも 利用者だけではなく 、 事業者にも利用していただけるように 、 そ れぞれの活用シーンを事例として提供し 、 ガイドラインを様々な 用途で利用していただけるように解説しています 2014/07/09 (C) 株式会社ディアイティ 59

ガイドブックの構成 2014/07/09 (C) 株式会社ディアイティ はじめに クラウドサービス利用におけるインシデントの 調査をもとに、インシデントの傾向と対策を解 説 2. クラウドセキュリティとは クラウドの構造を解説し、構造上の問題点や運 用上の問題点などを明確にし、事故が発生する 原因や利用者や事業者の責任を明確にする 3. クラウドサービスにおけるリスク クラウドの構造やインシデントを受けて、クラ ウドサービスにおける様々なリスクについて解 説するとともに、クラウドセキュリティガイド ラインの参考となる項番を参照し、重点的な対 応ができるようなガイドとしている。 調査結果を前提とした内容としており、ガイド ラインの重点項目などがわかるような構成とし ている 4. クラウド利用者のためのガイドライン活用 クラウドサービスを利用したシステム構築、クラウド事業者の選択、クラウドサービスの契約、インシデント レスポンスの4つのポイントについて、利用者目線での解説を行なっている。巻末には事業者、利用者共に活 用できる「契約書のサンプルと解説」、「サービスレベル合意のサンプルと解説」を用意した。 5. クラウド事業者のためのガイドライン活用 クラウドサービスの構築、セキュリティホワイトペーパーの活用、第三者認証の活用、監査の4つのポイント について、事業者目線での解説を行なっている。利用者に安全にサービスを提供するための情報発信だけでは なく、事業者組織の情報セキュリティマネジメントについても解説している。

契約書をSLAのサンプル 付録に契約書と SLA のサン プルを付けました 契約の具体的な内容例と 解説 SLA に関する解説と例示 事業者が契約や約款を作る 際の参考に 小規模事業者などが積極 的にサービスを提供でき るようにこのようなサン プルを提供している 2014/07/09 (C) 株式会社ディアイティ 61

IT政策とセキュリティの関係 2014/07/09 (C) 株式会社ディアイティ 62 ITサービスの変化 要求される セキュリティ システム監査 経営の関与 マネジメントガバナンス 内部統制 外部への説明責任 システム構築サービス設計・構築サービス利用マッシュアップ システムレイヤーサービスレイヤーモジュールレイヤー 個別システムシステムコンポーネント セキュリティ監査 サービスコンポーネント 組織事業 データ管理 一元管理 ビッグデータの出現 クラウドサービスの出現

セキュリティの方向性 2014/07/09 (C) 株式会社ディアイティ 63 組織のためのセキュリティ組織のためのセキュリティ 2001 年 ISMS パイロット 2003 年 情報セキュリティ監査制度 2003 年 ISMS 本格運用 2003 年 個人情報保護法(行政) 2005 年 個人情報保護法(一般) 2004 年 情報セキュリティガバナンス ・情報セキュリティ報告書 ・事業継続計画 ・情報セキュリティベンチマーク 2005 年 Common Criteria 2005 年 SaaS/ASP SLA ガイドライン 2011 年 クラウドサービス 2013 年 制御システム

終 ディアイ ティ /07/09 (C) 株式会社ディアイティ 64