サイバーセキュリティ入門 セキュリティ対策の重要性を分かってもらうための説得術

Presentation on theme: "サイバーセキュリティ入門 セキュリティ対策の重要性を分かってもらうための説得術"— Presentation transcript:

1 サイバーセキュリティ入門 セキュリティ対策の重要性を分かってもらうための説得術
デジタル改革塾 03 デジタル改革塾#5  サイバーセキュリティ入門 セキュリティ対策の重要性を分かってもらうための説得術 Cyber Security 2017年10月19日

2 ITが苦手な方に、ITの価値や付き合い方を伝えたい
人工知能、IoT、FinTech（フィンテック）、シェアリングエコノミ― 、bot（ボット）、農業IT、マーケティングオートメーション・・・　そんな先端事例から“あたらしい常識” の作り方が見えてくる。 決済や融資、国際送金など、既存の金融機関が収益の柱としている事業を、わずかな手数料で、しかもスマートフォンから即座におこなえるようにする 航空機のジェットエンジンや建設機械、自動車のタイヤなどのメーカーが商品をサービスとして貸し出し、使用時間や利用内容に応じて課金する 特注品を標準品と変わらない金額と納期で提供する リモートワークで子育て世代の女性を労働力として活用したり、社員の労働生産性を向上させたりする 個人の自家用車をタクシーや荷物の配送に使えるようにする 個人住宅を宿泊用に貸し出す 本書内で全てのチャートは、ロイヤリティ・フリーの パワーポイント・データとして、ダウンロードできます。

3 増強改訂版 「【図解】コレ１枚でわかる最新ITトレンド」
2017年5月リリース! ITを知るために必携の1冊！ 何ができるようになるのか？ どのような価値を生みだすのか？ なぜ注目されているのか？ 「知っている」から「説明できる」へ、実践で「使える」知識を手に入れる。例えば、 IoT とインダストリー4.0 AR とVR 人工知能と機械学習とディープラーニング サーバ仮想化とコンテナ ネットワーク仮想化とSD-WAN アジャイル開発とDevOps マイクロサービスとサーバレス 言葉は耳にするけど、それが何なのか、何ができるようになるのか、なぜそんなに注目されているのか理解できない？ 最新ITトレンドのキーワードを見開き（右ページ：図表＋左ページ：解説）でわかりやすく説明。 単なる辞書の解説ではなく、全体がひとつの物語として理解できるように構成。 最新のトレンドを理解するためのITの基礎の基礎も掲載し、ITの専門家ではない人や基礎を学び直したい人にも役立つ。 掲載する図版はすべてPowerPointデータでダウンロード、ロイヤリティフリーで利用でき、勉強会の資料や提案書の素材としてご活用いただけます。

4 PPTX形式／ロイヤリティフリー http://www.netcommerce.co.jp/itmedia05 パスワード 1019
パスワード　1019 有効期限：2017年10月20日（金）

5 経営とガバナンス 5

6 そもそも、私たちは何のために仕事をするのか？
評価されるため × その対価はお金 自分で自分を評価し自己満足しているだけでは対価は手に入らない！ 誰に評価されれば仕事の対価を手に入れられるか？

7 評価の仕組み 承認された手順 参照 経営者・管理者 従業員 指示 承認 評価 報連相 進捗を記入 進捗を確認

8 何を評価するのか ルール通りに作業はできている。しかし・・・ 確かに「作業」はしている。しかし・・・
このやり方でビジネス・スピードに追従できているか？ 生産性は向上しているのか？ だれかが「遅くまで仕事をする」ことで、効率の悪さが帳消しになっていないか？ 締め切りを遅らせる「コミュニケーション」が多すぎないか？ 無駄な会議、無駄なメールのやり取りなど・・・ 確かに「作業」はしている。しかし・・・ 評価の「指標」が明確になっているか？ 「目的」は何か その目的を達成するための「目標」は明確か 「目標」達成にはどれだけのことをやらなければならないのか 誰がやればどれくらいで終わらせることができるか 全体の作業工数は明確になっているか 「目的」は達成されたか？

9 ガバナンスができている 目的の達成にはガバナンスが必要 目的 「目的」を達成するために 報告 結果 業務 プロセス 進捗 目標
全てが見えている 改善・変更できる 実行・停止を指示できる 報告 業務 目的 結果 プロセス 進捗 目標 ガバナンスができている

10 評価は報告の連鎖、報告連鎖の仕組みが組織
ステークホルダー 経営者 要望 業務 報告 把握 管理職 改善のサイクル 業務 報告 従業員 最終的な責任を経営者に委譲する仕組み

11 サイバー・セキュリティ 11

12 リスクマネージメントの相関図 事故の発生 事故の影響 受容 脅威 ぜい弱性 機密性 完全性 受容レベル 対策 可用性 コスト 影響
保証×説明 情報セキュリティの３項目 機密性：情報を盗まれない。 完全性：情報をデタラメな内容に書き換えられない。 可用性：システムを停止・破壊され業務継続を妨げられない。 どこまでやればよいのかを？ 対策コスト負担 3項目への影響 業務の受容レベル 最適な組合せ

13 セキュリティ対策は何を評価するのか セキュリティの評価 誰が評価するか ① 安全か IT担当者 ② 安心か IT担当者
③ 効率や利便性は高まったか 利用者 ④ ビジネスは成長したか 経営者

14 こんなことになってはいないだろうか? 情報セキュリティ対策が効率や利便性の向上の障害になっていないか？
ノートPCを購入した　→　危ないので持ち出し禁止 Office 365を契約した　→　危ないので外部からの利用禁止 当初の導入目的は何だったのか。それが満たされているか 利用者に負担をかけない対策を行っているか？ 不審なメールは開かない　→　開いた人の責任 複雑なパスワードを定期変更する　→　パスワードをつけた人の責任 IT利用によってビジネスは成長しているか？ 導入前と導入後で業績は変わらない 期待していた効果が得られない 業務効率は低下している 突発的な損失が起こる可能性を想定しているか？ セキュリティ事故や社内不正によって突発的な事故が起きた時の影響について分からない、検討していない 事故対応（インシデントレスポンス）の準備はしていない

15 セキュリティ対策の狙いと手段 従業員の「判断」を最小化する 業務改善のため、従業員保護のためにできること
創造性の高い業務とそうでない業務を明確に分ける 創造性の必要ない業務における従業員の判断を最小化するために業務の効率化・自動化を行う 従業員に創造性の高い業務をさせる 業務改善のため、従業員保護のためにできること セキュリティの判断を従業員にさせない なにかあった時に従業員を護ることができるように「継続的な監視（Continuous Monitoring）」を行う そのために「IDとログ（記録）の一元管理」が必要

16 認証基盤 認証基盤 R ------ W ------ X ------ 識別 認証 認可 説明責任
Identification 認証 Authentication 認可 Authorization 説明責任 Accountability 識別：ユーザーを識別できるようにそれぞれに固有のユーザーアカウント（ID）を割り当てる。例えば社員番号やメールアドレスなど。 認証：そのユーザーが本人であることを確認する。一般的な運用では、そのユーザーしか知りえないパスワードによる認証が中心。 認可：そのユーザーの属性に応じてアクセスできる範囲を確認する。たとえば、人事部のみアクセスできるファイルやフォルダーには人事部ユーザーだけがアクセスできるようにする。

17 認証基盤 ローカルシステム 説明責任 IDを統合することでローカルとクラウドを両方を管理できる 外部の把握だけではなく、既存のシステムからも同様に情報を取得する必要があり、これも統合基盤に加える。クラウドサービスを利用して、情報を管理し、それを社内の情報管理システムと統合していくことが重要

18 認証に関わる課題 デバイス管理では穴だらけ ユーザモニタリングを行うことで責任を明確に
デバイスが圧倒的に増えているため、利用周期が短くなっているためにデバイス管理ではリスクマネジメントが難しくなってきた ユーザモニタリングを行うことで責任を明確に 誰がなにをしたのかを正しく判断することで、従業員も会社も護ることができる 共通基盤を作れば、責任をインフラ側に客観視してもらうことができ、責任をより明確化できる

19 シングルサインオンとフェデレーション 急速なクラウド普及により、セキュリティ対策 および利便性向上の両面において、 改めてシングルサインオンの需要が急増。 認証連携（フェデレーション）を利用することで パブリック・クラウドへもセキュアなアクセス/シングルサインオンを実現。

20 サイバー・セキュリティ対策の目的 ITを最大限に活用するための最小限のセキュリティ
どのような「心配事」があるかをリストアップする。 「リスク需要レベル」を明確にし、関係者と合意する。 重要度・緊急度を明確にして優先順位を決め対策する。 サイバー・セキュリティの目的は「情報資産の保護」ではない。 リスクを適正に管理し業務の効率や利便性を高めること。 機密性：情報を盗まれないようにすること。 完全性：情報をデタラメな内容に書き換えられないようにすること。 可用性：システムを停止・破壊され業務継続を妨げられないようにすること。 安心・安全に、便利に効率よく仕事ができるようにする取り組み ファイルを受け渡したい 問題を回避する対策：USBメモリー使用禁止 目的を達成する対策：安心・安全なファイル共有・交換サービスを提供

21 ITを最大限に活用するための最小限のセキュリティ
サイバー・セキュリティ対策の範囲 ITを最大限に活用するための最小限のセキュリティ ITを活用する上での心配事を解消し業務の効率や利便性を高めること 1.攻撃を食い止める 2.被害を拡大させない 3.事故を繰り返さない 脅威 脆弱性 説明 不正な行為や攻撃の狙い目となる情報システムの弱点（脆弱性）を無くす対策 仮に攻撃がすり抜けても、直ちに検知し関係者に周知できる仕組みや体制を構築する対策 被害状況を関係者に告知するとともに善後策をとれるルールや法的対応、組織体制を整備する対策 技術的対策 業務的対策 教育・意識改革

22 ネットコマース株式会社 180-0004 東京都武蔵野市吉祥寺本町2-4-17 エスト・グランデール・カーロ 1201
　東京都武蔵野市吉祥寺本町2-4-17 エスト・グランデール・カーロ 1201