Security Fundamentals 情報セキュリティのジアタマを作る

Slides:



Advertisements
Similar presentations
2.校務情報の整理と管 理 6 校務の情報化. この項目のねらい 校務に関する情報の整理の考え方について理 解する。校務に関する情報の管理にかかる留 意点について理解する。
Advertisements

最上 亮.  近年標的型と呼ばれるサイバー攻撃が増え、大 企業や、政府機関が情報窃取型の標的型メール 攻撃の被害を受けている。  標的型メール攻撃による個人情報漏えいは、企 業に莫大な損失を与えるとともに、信頼を失う。  現在サイバー攻撃における攻撃者、防御者の戦 略をゲーム理論的にモデル化する研究がおこな.
CMU2005 海外エンジニアリングワークショップ参加報告書 1 「真の要求を見極めろ!」: teamB 要求定義をどう捉えるか ● 要求定義とは何か? 製品には、顧客の望むことを正しく反映させる必要がある。 そのために必要なものが要求仕様である。 すなわち、要求仕様とは、顧客と製品を結ぶものであり、これを作ることが要求定義である。
2015/03/12 事故事例分析に基づく 情報システム調達のリスク対策 静岡大学 齋田芽久美 平林元明 湯浦克彦.
EDI 接続によるメーカー側 のメリット 2003 年 9 月 4 システム部会 所属企業 : ジョンソン・エンド・ジョンソン株式 会社 仁瓶 太郎.
1 会社名: 氏名: 日付: 会社名: 氏名: 日付:. 2 内容 企業のセキュリティ対策状況 ユーザー管理の重要性 ユーザー管理製品 市場状況 Active Directory とは Active Directory 利用に最低限必要な準備 ユーザー管理のご提案内容 最初の取り組み:ユーザー情報の統合管理.
テスト環境の見直しで貴社の開発が劇的に変わる!! 納期や品質の向上の決め手は、テスト環境の最適化にあります。
1 Copyright © Japanese Nursing Association. All Rights Reserved. Copyright 2016, Japanese Nursing Association. 日本看護協会 情報システム部 会員情報課 2016年7月29日 新会員情報管理(ナースシップ)
当社の 「品質マネジメントシステム」(QMS)の 今後の運用について
佐藤周行(情報基盤センター/ 基盤情報学専攻) 日本ベリサイン・コンサルティング部
資料3-7 NIEM等 海外調査報告 経済産業省 CIO補佐官 平本健二.
全国社会保険協会連合会 社会保険相模野病院 内野直樹
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
組織の経営学 第1章 ニモ・クルー・からあげ.
安全管理体制と リスクマネジメント.
クラスタ分析手法を用いた新しい 侵入検知システムの構築
セキュリティ・アーキテクチャに基づく IT 設計
ここに若林の絵が入る Ⅰ 従来型サービスの課題 Ⅴ Solaris基盤ヘルスチェックサービス ●従来型サービス Ⅱ 新サービスの概要
共通設定.
PacSec Nov 6, ISMSおよびその重要性 Richard Keirstead CISSP, BS7799 主任監査員
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
大谷経営労務管理事務所のISO9001認証取得について
第5章 要約 イノベーション・プロセスを設計する
FOODS eBASE Cloudプラットフォームで構築
(別紙1)プロフェッショナルサービスの概要
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
鳴門教育大学 大学院 総合学習開発講座 准教授 藤村 裕一
第5章 情報セキュリティ(前半) [近代科学社刊]
Security Fundamentals 情報セキュリティのジアタマを作る
経営情報論B⑩ 情報技術と組織革新①(第9章).
映像で知る情報セキュリティ あなたの会社のセキュリティドクター ~中小企業向け情報セキュリティ対策の基本~
COBIT 5 エグゼクティブ・サマリー.
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
日本マイクロソフト株式会社 Chief Security Officer 技術統括室 河野 省二, CISSP
情報セキュリティ - IT時代の危機管理入門 -
○○○○ 事業継続計画 BCP:Business continuity planning     年  月  日(  )
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
クラウド型メールセキュリティゲートウェイ
鳴門教育大学 大学院 総合学習開発講座 准教授 藤村 裕一
情報の収集と共有 第3章 3節  ネットワーク社会のルールとマナー 2 情報の安全性確保 p68~p71.
「コンピュータと情報システム」 10章 システムの運用と管理
サイバーセキュリティ入門 セキュリティ対策の重要性を分かってもらうための説得術
製造準備段階における 工程FMEAの実施と不具合未然防止
経営情報論B 第5回 経営情報システムの管理③(第7章).
XP Extreme Programming.
アップデート 株式会社アプライド・マーケティング 大越 章司
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
平成19年度青年部会「第2回~第4回研修会」(人材育成研修会)実施計画書
安全管理体制とリスクマネジメント.
改正 個人情報保護法が全面施行 どう対策 すればいいの? 何が変わるの? POINT.1 小規模取扱い事業者への対応 POINT.2
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
コミュニケーションと ネットワークを探索する
第11回 内部統制.
第一回 情報セキュリティ 05A1027 後藤航太.
~求められる新しい経営観~ 経済学部 渡辺史門
エコアクション21で企業価値を高めることができます
Security Fundamentals 情報セキュリティのジアタマを作る
地方公共団体オープンデータ推進ガイドラインの概要
資料10-1 エコアクション21  事業概要.
コージェネレーション(エネファーム・ヒートポンプ等) システムメンテナンスにおけるiPad活用
1業務の実施方針等に関する事項 【1.1調査内容の妥当性、独創性】
1業務の実施方針等に関する事項 【1.1事業実施の基本方針、業務内容等】
トピック6 臨床におけるリスクの理解と マネジメント 1 1.
サイバー攻撃シミュレーション サービス Cisco Cyber Range (シスコ サイバー レンジ)サービス
Microsoft® Office® 2010 トレーニング
資格取得スキルⅠb (ITパスポート試験対策講座)
本来の開発・制作業務に集中できる.
内部統制とは何か.
ベイジアンネットワークと クラスタリング手法を用いたWeb障害検知システムの開発
ITC顧問業務サービス内容 ご相談内容事例 ■ 定期訪問 年間4回、半日程度訪問し、ご相談に応じます。
Presentation transcript:

Security Fundamentals 情報セキュリティのジアタマを作る 株式会社ディアイティ クラウドセキュリティ研究所 河野 省二<kawano.shoji@security-policy.jp>

暗号の強度とかパスワードの強度とか ITソリューション塾:Security Fundamental 2017年6月19日

これまでは「強度」の話をしていた 暗号の強度 複雑なパスワード どんな暗号でも、暗号鍵がもれたらおしまい → ケルクホフスの原理 どんな暗号でも、暗号鍵がもれたらおしまい → ケルクホフスの原理 複雑なパスワード 時間をかければ解けてしまう Excelファイルにつけたパスワードが誰かに漏れたときに、そのファイルを開くのを阻止することができない → Zipファイルのパスワードも同じ ITソリューション塾:Security Fundamental 2017年6月19日

どうして強度にこだわっていたんだろ? どうして強度にこだわらなければいけなかったのか 暗号の標準が決まっていた 最新の暗号技術だった 暗号解読に時間のかかるものが必要だった ITソリューション塾:Security Fundamental 2017年6月19日

今は暗号強度よりも説明責任 正しくファイル管理していたと言うことを証明しなければならない ちゃんとやっているということを説明する ファイルを暗号化していましたでは説明にならない 誰がパスワードを知っていたか 権限がない人がパスワードを知ったときにどのような行動をとったのか →もちろんパスワードを無効にする ちゃんとやっているということを説明する ちゃんとやっているというのは「事故が起きても被害が少ない」ということ ITソリューション塾:Security Fundamental 2017年6月19日

なにが変化したのか? 急に説明責任時代になったわけではない 目標は変化せず、環境の変化だった これまでも説明責任(説明の根拠)が求められてきたが、それを実現するための技術がなかった → 年に1回の監査や検査で証明していた すべてのデバイスやデータをネットワークに結びつけることができるようになったので、リアルタイムに状況を把握することができるようになった 目標は変化せず、環境の変化だった 多くの対策は技術もしくはコストの問題で実現できない → クラウドサービスによって技術を低コスト、短期間で実ん弦できるようになった ITソリューション塾:Security Fundamental 2017年6月19日

リスクマネジメントフレームワーク 事故の発生 事故の影響 リスク受容 脅威 ぜい弱性 機密性 受容レベル 完全性 対策 可用性 対策費用 説明責任・保証 ITソリューション塾:Security Fundamental 2017年6月19日

リーンスタートアップ時代のセキュリティ ITソリューション塾:Security Fundamental 2017年6月19日

ビジネスサイクルが早くなっている ビジネスサイクルが早くなり、ITのリリース時間も短縮されている クラウドの利用によってプロビジョニングが必要なくなった → シンプロビジョニング、シンリクレメーション ITのスピードアップに答えるためにDevOpsができた サーバのキャパシティ管理は運用で行う 現場に合わせた設定は運用側で行う Infa as code、Config as Code ←セルフサービス化 ITソリューション塾:Security Fundamental 2017年6月19日

例えば、サーバの増強では・・・ セルフサービスのない環境 セルフサービス 運用担当者 開発担当者 運用担当者 業務責任者 依頼 開発が用意したコード 報告 確認 運用担当者 開発担当者 運用担当者 設定 業務責任者 セルフサービスのない環境 セルフサービス ITソリューション塾:Security Fundamental 2017年6月19日

情報セキュリティのフェーズ 影響のレベル 検知 是正・対応 補正的対策 復旧 抑止・防止 ポリシー策定 計画 実装 事故の発生 対応 再発防止 ITソリューション塾:Security Fundamental 2017年6月19日

開発(実装)、運用保守、事故対応 業務設計・実装 運用・保守 事故対応 業務 運用・保守 封じ込め ITサービス・システム 監視・検知 原因究明 既存のリスク 新規リスク 復旧 補修・改善 補修・改善 補修改善が終わるまでの対応 ITソリューション塾:Security Fundamental 2017年6月19日

DevSecOpsに向き合うために 「要件定義のための聴く力」とかはもういらない コンプライアンスからデータ主義へ 現場のデータを集めて、それを実現する力が求められている どのような情報をあつめるか どこを改善するか 改善した内容は目的に反していないか、効果的か コンプライアンスからデータ主義へ ITの変化が早いのは、ビジネスの変化が早いから ITの変化が早くなれば、セキュリティも早くなる必要がある ITソリューション塾:Security Fundamental 2017年6月19日

情報セキュリティ活動とは・・・ ◯ 普遍化による学習と成長 ✕ IT制限による効率悪化 検知 予防 対応 復旧 平常時 事故対応 対策は期待通りに 機能しているか ① 封じ込め ② 調査・分析 ③ 再発防止策の計画 ✕ IT制限による効率悪化 ITソリューション塾:Security Fundamental 2017年6月19日

セキュリティのスパイラルアップではない 情報セキュリティのスパイラルアップ? 正規サービス、業務のスパイラルアップ セキュリティ対策を重ねていくだけでは業務に支障が出る IT活用を前提とした業務改革のためにセキュリティを活かす 正規サービス、業務のスパイラルアップ 本来はITサービスにセキュリティ機能を取り込んだり、手順の中にセキュリティ対策を取り込んで「正規のITサービス」「正規の業務手順」を作っていくこと これを「普遍化」と言っています ITソリューション塾:Security Fundamental 2017年6月19日

正しい情報管理や業務、ITサービスを作る そもそも正しい情報管理ができていないのに、正しい情報セキュリティはできない 電子化と情報化の違いがわかっていない Wordで作ったデータを印刷したときに、どっちがプライマリーになるのか・・・対象が明確になっていない 正しい情報管理のために必要なこと 情報の分類と全体の指針 現場が実施できる明確な手順 従業員の責任の軽減 ITソリューション塾:Security Fundamental 2017年6月19日

DevSecOpsを成功させるためのエッセンス ITソリューション塾:Security Fundamental 2017年6月19日

情報システム部門が独立していると・・・ 情報システム部門への作業が依頼ベースだと・・・ セルフサービスだと・・・ 仕事の進捗を把握することが難しい 作業ミスがあったときにすぐに変更できない 現在の状態を確認できない セルフサービスだと・・・ 作業担当者の責任が明確になる すべての作業をオンラインにすればガバナンスが容易 ただし、業務スキルが必要 ← だからUI/UXが大事!! ITソリューション塾:Security Fundamental 2017年6月19日

人間の関与を最小限にする 人間の関与を最小限にすることが情報セキュリティの目標の一つ 情報セキュリティのシステム化ができる人材は必要 人間はミスをする 人間はルールを守れない だから「教育をする」ではなく「人間の関与」を最小限にする 情報セキュリティのシステム化ができる人材は必要 ルール作り、ルールの順守というコンプライアンスから、経営層が情報を適切に入手し、判断するためのガバナンスへ移行している ITソリューション塾:Security Fundamental 2017年6月19日

どんな対策が人に依存しているか セキュリティ対策を人に依存していると事業計画ができない ガバナンスを確保するためになにができるか だれか一人の失敗で数億円の損失!それは経営者の目論見が甘かったとしか言いようがありません。アメリカのスーパーマーケットのターゲットでのクレジットカード情報の流出で経営者が責任を取らされたのは当たり前。現場の把握ができていなかった(ガバナンスの欠如)のは経営者の責任 ガバナンスを確保するためになにができるか 「ネットワークにつながっていないPCとつながっているPCはどちらが把握しやすいのか」という観点を持っているかどうか ガバナンス確保に寄与しないIT投資は必要ないという判断をすることができるかどうかが現場との信頼関係を築く基盤となります ITソリューション塾:Security Fundamental 2017年6月19日

情報セキュリティとはなにか ITソリューション塾:Security Fundamental 2017年6月19日

情報セキュリティの目的 情報セキュリティは情報資産の保護ではありません ITを最大限に活用するための最小限のセキュリティ 「ISMS認証取得を簡単にするため」にやってきた情報セキュリティ対策から、自社のための情報セキュリティに切り替えられない企業が山ほどある USBメモリ利用禁止、PC持ち出し禁止、ネットワークの分離など・・・(もしもUSBメモリが1万本売れたらいくらの売上?) ITを最大限に活用するための最小限のセキュリティ ITを活用する上での心配事を解消する どのような心配事があるのかをリストアップし対策を検討する ITソリューション塾:Security Fundamental 2017年6月19日

情報セキュリティがちゃんとできているか リスク受容レベルを経営者と合意する 情報セキュリティが必要かどうかの合意をするためにもっとも重要な要素は「リスク受容レベル」を合意すること 情報セキュリティをどこまでやるか(いわゆる必要性)はリスク受容レベルによって決まります まずはどこまで許容出来るのかを明確にし、これを合意することからスタートしましょう ITソリューション塾:Security Fundamental 2017年6月19日

国内における情報セキュリティのトレンド ITソリューション塾:Security Fundamental 2017年6月19日

サイバーセキュリティ経営の3原則 ビジネス展開や企業内の生産性の向上のために、ITサービス等の提供やITを利活用す る機会は増加傾向にあり、サイバー攻撃が゙避けられないリスクとなっている現状におい て、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。 このため、サイバー攻撃のリスクをどの程度受容するのか、セキュリティ投資をどこま でやるのか、経営者がリーダーシップをとって対策を推進しなければ、企業に影響を与 えるリスクが゙見過ごされてしまう 子会社で発生した問題はもちろんのこと、自社から生産の委託先などの外部に提供した 情報がサイバー攻撃により流出してしまうことも大きなリスク要因となる。このため、 自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュ リティ対策が必要である ステークホルダー(顧客や株主等)の信頼感を高めるとともに、サイバー攻撃を受けた場 合の不信感を抑えるため、平時からのセキュリティ対策に関する情報開示など、関係者 との適切なコミュニケーションが必要である ITソリューション塾:Security Fundamental 2017年6月19日

担当幹部(CISOなど)に指示すべき10項目 サイバーセキュリティリスクへの対応について、組織の内外に示すための方針(セキュリティポリシー)を策定すること。 経営戦略を踏まえて守るべき資産を特定し、セキュリティリスクを洗い出すとともに、そのリスクへの対処に向けた計画を策定すること。 計画が確実に実施され、改善が図られるよう、PDCAを実施すること。また、対策状況については、CISO等が定期的に経営者に対して報告をするとともに、ステークホルダーからの信頼性を高めるべく適切に開示すること。 方針に基づく対応策を実装できるよう、経営者とセキュリティ担当者、両者をつなぐ仲介者としての CISO 等からなる適切な管理体制を構築すること。その中で、責任を明確化すること。 系列企業やサプライチェーンのビジネスパートナーを含め、自社同様にPDCAの運用を含むサイバーセキュリティ対策を行わせること。 ITソリューション塾:Security Fundamental 2017年6月19日

担当幹部(CISOなど)に指示すべき10項目 PDCAの運用を含むサイバーセキュリティ対策 の着実な実施に備え、必要な予算の確保や人材 育成など資源の確保について検討すること。 サイバー攻撃を受けた場合、迅速な初動対応に より被害拡大を防ぐため、CSIRT(サイバー攻撃 による情報漏えいや障害など、コンピュータセ キュリティにかかるインシデントに対処するた めの組織)の整備や、初動対応マニュアルの策定 など緊急時の対応体制を整備すること。また、 定期的かつ実践的な演習を実施す ること。 ITシステムの運用について、自社の技術力や効 率性などの観点から自組織で対応する部分と他 組織に委託する部分の適切な切り分けをするこ と。また、他組織に委託する場合においても、 委託先への攻撃を想定したサイバーセキュリ ティの確保を確認すること。 サイバー攻撃を受けた場合に備え、被害発覚後 の通知先や開示が必要な情報項目の整理をする とともに、組織の内外に対し、経営者がスムー ズに必要な説明ができるよう準備しておくこと。 攻撃側のレベルは常に向上することから、情報 共有活動に参加し、最新の状況を自社の対策に 反映すること。また、可能な限り、自社への攻 撃情報を公的な情報共有活動に提供するなどに より、同様の被害が社会全体に広がることの未 然防止に貢献すること。 ITソリューション塾:Security Fundamental 2017年6月19日

G R C 企業におけるリスク管理と体制づくり 会社としての目標を決め、 リスクを識別し、 対応するルールを作る ガバナンス リスクマネジメント C コンプライアンス 会社としての目標を決め、 リスクを識別し、 対応するルールを作る ITソリューション塾:Security Fundamental 2017年6月19日

ガバナンスの範囲はどこまで? ガバナンスという言葉が独り歩きしています ガバナンスの範囲はどこまで? ITガバナンスというのは、ITそのもののガバナンスも指しますし、ITを使ったガバナンスも指しています セキュリティガバナンスはルールによる統制ではなく、セキュリティを確保するための全体把握を指しています ガバナンスの範囲はどこまで? ガバナンスの範囲を明確にすることで、責任者を明確にし、情報を収集するための基盤を明確にすることができます ITソリューション塾:Security Fundamental 2017年6月19日

ガバナンスのためのPDCAサイクル PDCAサイクルを回すためにも、経営者やCISOが適切な判断を行うことができる情報を収集することが重要。 マネジメント PDCAサイクルを回すためにも、経営者やCISOが適切な判断を行うことができる情報を収集することが重要。 そのためにどのような組織づくりをし、役割と責任を明確にするかという観点で、情報セキュリティに取り組む ステークホルダー 経営者 (責任者) 経営判断(A) 各部門の担当者 各部門の担当者 計画(P) 各部門の担当者 一貫性の確保 それぞれの顧客 各現場 各部門の担当者 実行(D) 各部門の担当者 ITソリューション塾:Security Fundamental 2017年6月19日

良いマネジメントと悪いマネジメント ダメなマネジメントは 責任が末端に集中する 良いマネジメントは 上が責任をとってくれる 適切な情報収集と判断 ダメなマネジメントは 責任が末端に集中する 良いマネジメントは 上が責任をとってくれる 難しいパスワード・不審なメールの判断 ITソリューション塾:Security Fundamental 2017年6月19日

情報セキュリティ対策の評価 情報セキュリティ対策をどのように評価されるのか 評価されない仕事はするだけ時間のムダである ITソリューション塾:Security Fundamental 2017年6月19日

攻撃単位で考えると・・・ メールの 添付・リンク ウイルス感染 権限の昇格 情報窃取 標的型メール攻撃の一般的な例 ITソリューション塾:Security Fundamental 2017年6月19日

ランサムウェアでは メールの 添付・リンク ウイルス感染 権限の昇格 情報窃取 ファイル暗号化 結果が変わればランサムウェア ITソリューション塾:Security Fundamental 2017年6月19日

スタックスネットはベイティング攻撃 メールの 添付・リンク ウイルス感染 権限の昇格 情報窃取 CD-ROM USBメモリ ファイル暗号化 入り口が変わればベイティング攻撃 イランはこれでやられた 不正操作 ITソリューション塾:Security Fundamental 2017年6月19日

最近流行りのアレは・・・ メールの 添付・リンク ウイルス感染 権限の昇格 情報窃取 CD-ROM USBメモリ ファイル暗号化 最近流行りのアレはこんな感じ 入り口が変わったので、監視が変わる SMBサービス 不正操作 ITソリューション塾:Security Fundamental 2017年6月19日

多層防御と対策効率 入り口対策 内部対策 出口対策 メールの 添付・リンク ウイルス感染 権限の昇格 情報窃取 CD-ROM USBメモリ ファイル暗号化 SMBサービス 不正操作 ITソリューション塾:Security Fundamental 2017年6月19日

脅威のモデル化が重要 セキュリティベンダーは「○○攻撃」というが、それを名乗っている攻撃者はいない・・・ 攻撃は脅威にさらされることの連鎖であり、これをどこで止めるかが重要になる サービス設計者は脅威をよく理解すること 攻撃はどんどん出てくるので「事前に対応」するためには、これまでの攻撃のパターンを良く理解して重要なポイントがどこかを特定することが重要 ITソリューション塾:Security Fundamental 2017年6月19日

そもそも標的型メールとは・・・ 受信メール全体 標的型メールとは、1日にたくさん来るメールの中のスパムメールの中のごく一部 必要なメール 不必要なメール(スパムメール) 広告 悪意のあるメール 標的型メール 標的型メールとは、1日にたくさん来るメールの中のスパムメールの中のごく一部 どうすれば「効率的に」洗い出すことができるのか ITソリューション塾:Security Fundamental 2017年6月19日

従業員を護るIT基盤の構築が事故を軽減する 従業員の「判断」を最小化する 創造性の高い業務とそうでない業務を明確に分け、創造性の必要ない業務における従業員の判断を最小化するために、業務の効率化を行う 業務改善のため、従業員保護のためにできること 情報セキュリティの判断を従業員にさせないために、そしてなにかあった時に従業員を護ることができるように「継続的な監視(Continuous Monitoring)」を行う そのために「IDとログ(記録)の一元管理」が必要になる ITソリューション塾:Security Fundamental 2017年6月19日

基本は「説明責任」 「だれがいつ何をしたのか」を説明する ID管理とログ管理 サーバ上で何が起きたのかではなく、誰がなにをしたかを説明する必要がある 一つのサービスログだけで完結しない事象がある。他のサービスのログとの融合が重要 ID管理とログ管理 説明責任を明確にするための基盤としてID管理を行う 出来る限りパスワードを使わない認証を心がける ITソリューション塾:Security Fundamental 2017年6月19日

IoTセキュリティ セキュリティサービスが売れる時代がもうそこに来ている 何を握ればビジネスは続いていくのか、何に乗れば良いのか ITソリューション塾:Security Fundamental 2017年6月19日

インダストリー4.0は産業革命 第1次産業革命:機械工業化 マニュファクチャからマシナリ 第2次産業革命:電気と石油 第1次産業革命:機械工業化  マニュファクチャからマシナリ 第2次産業革命:電気と石油  電気による大量生産と輸送革命 第3次産業革命:ITの活用  ITによる場所を選ばない生産 インダストリー4.0: ネットワーク接続によるガバナンスと自動制御 ITソリューション塾:Security Fundamental 2017年6月19日

協調して動く自律型のシステムづくり ITソリューション塾:Security Fundamental 2017年6月19日

IoTとCPSのちがい IoTはセンサーネットワーク。だからデータセキュリティだけで良かった ITソリューション塾:Security Fundamental 2017年6月19日

現在行われているIoTセキュリティ 2016年7月5日にIoTセキュリティガイドラインが総務省と経産省から出ています 脅威は「遠隔操作」と「情報流出」がメインになっていて、ネットワークセキュリティや情報の保護などが中心的な内容 これから内容が充実していくことに期待したい http://www.meti.go.jp/press/2016/07/20160705002/20160705002.html ITソリューション塾:Security Fundamental 2017年6月19日

ハッキングしなくても遠隔操作できる ネットワークをハッキングしなくても、ナレッジデータを狂わせれば、アクチュエータをご作動させることができる。 データを改ざんしなくても、ニセのデバイスを設置して、情報を偏らせることで誤動作を誘発させることができる ITソリューション塾:Security Fundamental 2017年6月19日

デバイスの管理 スマートメーターは8000万個の設置 これからはじまる電力会社によるスマートメーター(電力使用量計)の設置 ファームウェアのアップデートなどもかなりの手間がかかる デバイスの仕様変更なども頻繁に行うことが出来ない。デバイスが安いものでも、交換にコストがかかる。デバイスの値段ではなく、交換コストなどデバイスのライフサイクルで計算しておく必要がある ITソリューション塾:Security Fundamental 2017年6月19日

正しく動いているという証明 ② 異常時の対応は「交換」「廃棄」 ① デバイスが正しく動いているかをリアルタイムに判断 ③ 誰がその作業を行うのか ① デバイスが正しく動いているかをリアルタイムに判断 これらを証明するためにはどうするか ITソリューション塾:Security Fundamental 2017年6月19日

運用コストを考える 自動できることと人間がやることを区別 IoTやCPSはワークフローの一部であるということを考えて、ビジネス全般における人間がやるべきこと、システムが自動でやることを決める 人間が行うことはコストが高い 人間は初日から正しく働けない 人間は失敗をするし、気が付かないことがある 人間は何かを維持することが出来ない 機械はそれ自体では学習できない だから、機械学習が注目されてい ITソリューション塾:Security Fundamental 2017年6月19日

ガバナンスのためのIDマネジメント R ------ W ------ X ------ そして、業務の効果と不正の両方を見極めるために、認可の明確化と説明責任の確保が重要なポイントとなります。 識別 認証 認可 説明責任 R ------ W ------ X ------ ITソリューション塾:Security Fundamental 2017年6月19日

ガバナンス確保のために、IT基盤の再設計 外部の把握だけではなく、既存のシステムからも同様に情報を取得する必要があり、これも統合基盤に加える。クラウドサービスを利用して、情報を管理し、それを社内の情報管理システムと統合していくことが重要 説明責任 ローカルシステム IDを統合することでローカルとクラウドを両方を管理できる ITソリューション塾:Security Fundamental 2017年6月19日

デバイス管理からユーザ管理へ・・・ デバイス管理では穴だらけ ユーザモニタリングを行うことで責任を明確に デバイスが圧倒的に増えているため、利用周期が短くなっているためにデバイス管理ではリスクマネジメントが難しくなってきた ユーザモニタリングを行うことで責任を明確に 誰がなにをしたのかを正しく判断することで、従業員も会社も護ることができる 共通基盤を作れば、責任をインフラ側に客観視してもらうことができ、責任をより明確化できる ITソリューション塾:Security Fundamental 2017年6月19日

Office 365のAzure ADなら ITソリューション塾:Security Fundamental 2017年6月19日

河野 省二 <セキュリティは科学だと伝えたい> 株式会社ディアイティ クラウドセキュリティ研究所 所長 kawano.shoji@security-policy.jp 経済産業省 日本セキュリティ監査協会 クラウドセキュリティ研究会 スキル部会副部会長 NPO クラウド利用促進機構 セキュリティガバナンス研究会 セキュリティアドバイザー セキュリティ監査研究会 など JTC1/SC27 WG1委員 東京電機大学未来科学部 非常勤講師 情報処理推進機構 セキュリティセンター 研究員 (ISC)2 認定主席講師 など http://japan.zdnet.com/article/35076749/ ITソリューション塾:Security Fundamental 2017年6月19日