サイバーセキュリティ入門 セキュリティ対策の重要性を分かってもらうための説得術

Slides:



Advertisements
Similar presentations
1 会社名: 氏名: 日付: 会社名: 氏名: 日付:. 2 内容 企業のセキュリティ対策状況 ユーザー管理の重要性 ユーザー管理製品 市場状況 Active Directory とは Active Directory 利用に最低限必要な準備 ユーザー管理のご提案内容 最初の取り組み:ユーザー情報の統合管理.
Advertisements

従業員用端末における 手のひら静脈認証の導入について 2015年 月 日 提 案 資 料 0. 目次 第1章/情報セキュリティに関する課題、システム強化の目的 1-1 現在の認証セキュリティにおける情報漏えいのリスク 1-2 従来型のセキュリティ強化対策が抱える課題 第2章/手のひら静脈認証の導入検討.
当社の 「品質マネジメントシステム」(QMS)の 今後の運用について
多々納 裕一 京都大学防災研究所社会システム研究分野
①プロジェクトとは ②プロジェクト・マネジメント
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
Ad / Press Release Plan (Draft)
セキュリティ・アーキテクチャに基づく IT 設計
情報モラル.
Microsoft® UC&C向けデル導入計画
ミーティングマネジメントの実践 ~会議革命~
多々納 裕一 京都大学防災研究所社会システム研究分野
オムニチャネル、グローバルリスク対応 R&Dコンサルティングのご提案 オムニチャネル、グローバルリスク対応
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
大谷経営労務管理事務所のISO9001認証取得について
第5章 要約 イノベーション・プロセスを設計する
FOODS eBASE Cloudプラットフォームで構築
東京経営短期大学 経営総合学科 准教授 玉田 和恵
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
3.労働時間の弾力化と課題 ◇新しい労働時間制度の導入◇ ◇弾力的な労働時間制度とは◇ 1987年、93年、98年
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
鳴門教育大学 大学院 総合学習開発講座 准教授 藤村 裕一
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
Security Fundamentals 情報セキュリティのジアタマを作る
セキュリティ・チェックリスト解説 【5~10分】
映像で知る情報セキュリティ あなたの会社のセキュリティドクター ~中小企業向け情報セキュリティ対策の基本~
カンファレンス、学会資料教育、研修等での活用
アグリノート 防災 減災 少子 高齢 産業 創出 アグリノート にオープンデータが追加されたキッカケ
COBIT 5 エグゼクティブ・サマリー.
小規模オフィス向け グループワークシステム 導入のご提案
1 2 ワークスタイルを変えるOffice変革 クラウド導入をサポートする Microsoft CSPプログラムのご案内
情報セキュリティ - IT時代の危機管理入門 -
○○○○ 事業継続計画 BCP:Business continuity planning     年  月  日(  )
経営情報論B ⑬ 情報技術と社会(第11章).
「経理・財務サービス スキルスタンダード」の作成について - ダイジェスト版 -
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
SaaS アプリとの SSO を使った業務イメージの共有
東京経営短期大学 経営総合学科 准教授 玉田 和恵
情報セキュリティとは? 環境情報学部1年      卯野木邦宏.
鳴門教育大学 大学院 総合学習開発講座 准教授 藤村 裕一
外部共有サーバーによる認証設定と そのセキュリティ問題に関する基礎的考察 施設設計工学研究室 馬場 健.
「コンピュータと情報システム」 10章 システムの運用と管理
経営情報論B 第5回 経営情報システムの管理③(第7章).
すぐできるBOOK -プロジェクト編-.
アップデート 株式会社アプライド・マーケティング 大越 章司
ブロックチェーン 株式会社アプライド・マーケティング 大越 章司
すぐできるBOOK -基本設定編-.
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
改正 個人情報保護法が全面施行 どう対策 すればいいの? 何が変わるの? POINT.1 小規模取扱い事業者への対応 POINT.2
セキュリティ・チェックリスト 【5分】 セキュリティ全般について USBメモリ等でデータを持ち出す際について
可視化機能と Azure 運用自動化ツール により eco クラウドを実現
私立大学情報教育協会 研修運営委員長 南 雄三
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
その他 手法の組合せ.
第一回 情報セキュリティ 05A1027 後藤航太.
エコアクション21で企業価値を高めることができます
事業区分: 課題調査事業 コンソーシアム等名称: ○○ 事業名: △△ 代表団体名: □□ 参加団体: ▲▲、■■ 協力団体: ●●、◎◎
Security Fundamentals 情報セキュリティのジアタマを作る
資料10-1 エコアクション21  事業概要.
鳥取県震災対策アドバイザー派遣事業 震災等への備えとして、簡易なリスク診断・改善提案等を行う
1業務の実施方針等に関する事項 【1.1事業実施の基本方針、業務内容等】
Security Fundamentals 情報セキュリティのジアタマを作る
修士研究計画 CGM作成・共有支援基盤(仮)の構築
知識の開発や活用を評価に役立てる 評価システムが知識を行動に変えるのを助けている企業がある。 ↓原理は???
資格取得スキルⅠb (ITパスポート試験対策講座)
チームワークによる成功 第二副地区ガバナー研修.
内部統制とは何か.
災害対策や計画停止でも止まらないサーバーを可能にします。
ITC顧問業務サービス内容 ご相談内容事例 ■ 定期訪問 年間4回、半日程度訪問し、ご相談に応じます。
Presentation transcript:

サイバーセキュリティ入門 セキュリティ対策の重要性を分かってもらうための説得術 デジタル改革塾 03 デジタル改革塾#5  サイバーセキュリティ入門 セキュリティ対策の重要性を分かってもらうための説得術 Cyber Security 2017年10月19日

ITが苦手な方に、ITの価値や付き合い方を伝えたい 人工知能、IoT、FinTech(フィンテック)、シェアリングエコノミ― 、bot(ボット)、農業IT、マーケティングオートメーション・・・ そんな先端事例から“あたらしい常識” の作り方が見えてくる。 決済や融資、国際送金など、既存の金融機関が収益の柱としている事業を、わずかな手数料で、しかもスマートフォンから即座におこなえるようにする 航空機のジェットエンジンや建設機械、自動車のタイヤなどのメーカーが商品をサービスとして貸し出し、使用時間や利用内容に応じて課金する 特注品を標準品と変わらない金額と納期で提供する リモートワークで子育て世代の女性を労働力として活用したり、社員の労働生産性を向上させたりする 個人の自家用車をタクシーや荷物の配送に使えるようにする 個人住宅を宿泊用に貸し出す 本書内で全てのチャートは、ロイヤリティ・フリーの パワーポイント・データとして、ダウンロードできます。

増強改訂版 「【図解】コレ1枚でわかる最新ITトレンド」 2017年5月リリース! ITを知るために必携の1冊! 何ができるようになるのか? どのような価値を生みだすのか? なぜ注目されているのか? 「知っている」から「説明できる」へ、実践で「使える」知識を手に入れる。例えば、 IoT とインダストリー4.0 AR とVR 人工知能と機械学習とディープラーニング サーバ仮想化とコンテナ ネットワーク仮想化とSD-WAN アジャイル開発とDevOps マイクロサービスとサーバレス 言葉は耳にするけど、それが何なのか、何ができるようになるのか、なぜそんなに注目されているのか理解できない? 最新ITトレンドのキーワードを見開き(右ページ:図表+左ページ:解説)でわかりやすく説明。 単なる辞書の解説ではなく、全体がひとつの物語として理解できるように構成。 最新のトレンドを理解するためのITの基礎の基礎も掲載し、ITの専門家ではない人や基礎を学び直したい人にも役立つ。 掲載する図版はすべてPowerPointデータでダウンロード、ロイヤリティフリーで利用でき、勉強会の資料や提案書の素材としてご活用いただけます。

PPTX形式/ロイヤリティフリー http://www.netcommerce.co.jp/itmedia05 パスワード 1019 パスワード 1019 有効期限:2017年10月20日(金)

経営とガバナンス 5

そもそも、私たちは何のために仕事をするのか? 評価されるため × その対価はお金 自分で自分を評価し自己満足しているだけでは対価は手に入らない! 誰に評価されれば仕事の対価を手に入れられるか?

評価の仕組み 承認された手順 参照 経営者・管理者 従業員 指示 承認 評価 報連相 進捗を記入 進捗を確認

何を評価するのか ルール通りに作業はできている。しかし・・・ 確かに「作業」はしている。しかし・・・ このやり方でビジネス・スピードに追従できているか? 生産性は向上しているのか? だれかが「遅くまで仕事をする」ことで、効率の悪さが帳消しになっていないか? 締め切りを遅らせる「コミュニケーション」が多すぎないか? 無駄な会議、無駄なメールのやり取りなど・・・ 確かに「作業」はしている。しかし・・・ 評価の「指標」が明確になっているか? 「目的」は何か その目的を達成するための「目標」は明確か 「目標」達成にはどれだけのことをやらなければならないのか 誰がやればどれくらいで終わらせることができるか 全体の作業工数は明確になっているか 「目的」は達成されたか?

ガバナンスができている 目的の達成にはガバナンスが必要 目的 「目的」を達成するために 報告 結果 業務 プロセス 進捗 目標 全てが見えている 改善・変更できる 実行・停止を指示できる 報告 業務 目的 結果 プロセス 進捗 目標 ガバナンスができている

評価は報告の連鎖、報告連鎖の仕組みが組織 ステークホルダー 経営者 要望 業務 報告 把握 管理職 改善のサイクル 業務 報告 従業員 最終的な責任を経営者に委譲する仕組み

サイバー・セキュリティ 11

リスクマネージメントの相関図 事故の発生 事故の影響 受容 脅威 ぜい弱性 機密性 完全性 受容レベル 対策 可用性 コスト 影響 保証×説明 情報セキュリティの3項目 機密性:情報を盗まれない。 完全性:情報をデタラメな内容に書き換えられない。 可用性:システムを停止・破壊され業務継続を妨げられない。 どこまでやればよいのかを? 対策コスト負担 3項目への影響 業務の受容レベル 最適な組合せ

セキュリティ対策は何を評価するのか セキュリティの評価 誰が評価するか ① 安全か IT担当者 ② 安心か IT担当者 ③ 効率や利便性は高まったか 利用者 ④ ビジネスは成長したか 経営者

こんなことになってはいないだろうか? 情報セキュリティ対策が効率や利便性の向上の障害になっていないか? ノートPCを購入した → 危ないので持ち出し禁止 Office 365を契約した → 危ないので外部からの利用禁止 当初の導入目的は何だったのか。それが満たされているか 利用者に負担をかけない対策を行っているか? 不審なメールは開かない → 開いた人の責任 複雑なパスワードを定期変更する → パスワードをつけた人の責任 IT利用によってビジネスは成長しているか? 導入前と導入後で業績は変わらない 期待していた効果が得られない 業務効率は低下している 突発的な損失が起こる可能性を想定しているか? セキュリティ事故や社内不正によって突発的な事故が起きた時の影響について分からない、検討していない 事故対応(インシデントレスポンス)の準備はしていない

セキュリティ対策の狙いと手段 従業員の「判断」を最小化する 業務改善のため、従業員保護のためにできること 創造性の高い業務とそうでない業務を明確に分ける 創造性の必要ない業務における従業員の判断を最小化するために業務の効率化・自動化を行う 従業員に創造性の高い業務をさせる 業務改善のため、従業員保護のためにできること セキュリティの判断を従業員にさせない なにかあった時に従業員を護ることができるように「継続的な監視(Continuous Monitoring)」を行う そのために「IDとログ(記録)の一元管理」が必要

認証基盤 認証基盤 R ------ W ------ X ------ 識別 認証 認可 説明責任 Identification 認証 Authentication 認可 Authorization 説明責任 Accountability 識別:ユーザーを識別できるようにそれぞれに固有のユーザーアカウント(ID)を割り当てる。例えば社員番号やメールアドレスなど。 認証:そのユーザーが本人であることを確認する。一般的な運用では、そのユーザーしか知りえないパスワードによる認証が中心。 認可:そのユーザーの属性に応じてアクセスできる範囲を確認する。たとえば、人事部のみアクセスできるファイルやフォルダーには人事部ユーザーだけがアクセスできるようにする。

認証基盤 ローカルシステム 説明責任 IDを統合することでローカルとクラウドを両方を管理できる 外部の把握だけではなく、既存のシステムからも同様に情報を取得する必要があり、これも統合基盤に加える。クラウドサービスを利用して、情報を管理し、それを社内の情報管理システムと統合していくことが重要

認証に関わる課題 デバイス管理では穴だらけ ユーザモニタリングを行うことで責任を明確に デバイスが圧倒的に増えているため、利用周期が短くなっているためにデバイス管理ではリスクマネジメントが難しくなってきた ユーザモニタリングを行うことで責任を明確に 誰がなにをしたのかを正しく判断することで、従業員も会社も護ることができる 共通基盤を作れば、責任をインフラ側に客観視してもらうことができ、責任をより明確化できる

シングルサインオンとフェデレーション 急速なクラウド普及により、セキュリティ対策 および利便性向上の両面において、 改めてシングルサインオンの需要が急増。 認証連携(フェデレーション)を利用することで パブリック・クラウドへもセキュアなアクセス/シングルサインオンを実現。

サイバー・セキュリティ対策の目的 ITを最大限に活用するための最小限のセキュリティ どのような「心配事」があるかをリストアップする。 「リスク需要レベル」を明確にし、関係者と合意する。 重要度・緊急度を明確にして優先順位を決め対策する。 サイバー・セキュリティの目的は「情報資産の保護」ではない。 リスクを適正に管理し業務の効率や利便性を高めること。 機密性:情報を盗まれないようにすること。 完全性:情報をデタラメな内容に書き換えられないようにすること。 可用性:システムを停止・破壊され業務継続を妨げられないようにすること。 安心・安全に、便利に効率よく仕事ができるようにする取り組み ファイルを受け渡したい 問題を回避する対策:USBメモリー使用禁止 目的を達成する対策:安心・安全なファイル共有・交換サービスを提供

ITを最大限に活用するための最小限のセキュリティ サイバー・セキュリティ対策の範囲 ITを最大限に活用するための最小限のセキュリティ ITを活用する上での心配事を解消し業務の効率や利便性を高めること 1.攻撃を食い止める 2.被害を拡大させない 3.事故を繰り返さない 脅威 脆弱性 説明 不正な行為や攻撃の狙い目となる情報システムの弱点(脆弱性)を無くす対策 仮に攻撃がすり抜けても、直ちに検知し関係者に周知できる仕組みや体制を構築する対策 被害状況を関係者に告知するとともに善後策をとれるルールや法的対応、組織体制を整備する対策 技術的対策 業務的対策 教育・意識改革

ネットコマース株式会社 180-0004 東京都武蔵野市吉祥寺本町2-4-17 エスト・グランデール・カーロ 1201 180-0004 東京都武蔵野市吉祥寺本町2-4-17 エスト・グランデール・カーロ 1201 http://www.netcommerce.co.jp/