中小事業者の情報セキュリティ対策とは～まずなにをやるべきか

Transcript

1. 中小事業者の情報セキュリティ対策とは ～なにをまずやるべきか ２０１９年０２月１９日 岡崎女子大学 子ども教育学部 講師 花田経子（[email protected]）

2. 講師：自己紹介 • 花田 経子（Kyoko Hanada） • 岡崎女子大学 子ども教育学部 講師 •

   2002年 愛知大学大学院経営学研究科博士後期課程満期退学 • 2002～2015年 新島学園短期大学キャリアデザイン学科専任講師 • 外部役員等（一部） • 文部科学省enPiT-Security アドバイザリー委員 • 愛知県警 中小事業者情報セキュリティ対策支援ネットワーク アドバイザー • 研究分野 • 情報システム監査の監査人のキャリア形成と人材育成 • 情報セキュリティ人材のキャリア形成と人材育成 • 初等教育における情報教育と情報セキュリティ教育のための人材育成 • その他 • デジタルネイティブな小学校2年生を育てる母親

3. 愛知県警：サイバーポリスゲーム

4. 中小事業者が置かれている現状 • 情報セキュリティは大事・・・わかっちゃいるけど 情報もない カネがない ヒトがいない うち以外を攻撃して くれないかなぁ… わかっちゃいるけど、どうすれば

5. 「まあ、うちが狙われることはないですよ」 2019年2月16日（土）のNHKニュースより 大阪商工会議所＆神戸大学の調査 • 調査対象のすべての企業が、攻撃を受けた形跡がある。 • 5社は不審な通信先とのデータのやりとりが記録されていた。 https://www3.nhk.or.jp/news/html/20190216/k10011817471000.html 「うち」はもうとっくに 攻撃されている

6. 中小事業者が置かれている現状認識 • 企業側の情報セキュリティに係るリスクは増大している • 経営上のリスクとしての認識はほぼ共通理解になっている • 実質的にどのような対応をすればよいか、はバラバラの状況 個人情報漏えい事故が あるといろいろと… DDoSとか、Webを書き換

   えられたりすると… 納品した製品に脆弱性が あると… 取引先からも情報セキュ リティ対策を求められ… 大手さんとちがって、 うちにはヒトもカネも ないんだけど・・・ 自社で何とか対応しよう よそにお願いしよう 実は・・・

7. その対応方法で本当に大丈夫か？ • どの対応方法でもそれなりに利点／欠点がある 利点 欠点 自社で何とかしよう派 コストは押さえられる 自社内の人材が養成できる 知識・経験が十分か？ 情報がえらえるか？

   よそにお願いしよう派 専門知識・情報を入手できる コストはサービスに見合っている か？ 自社の人材は育たない 実は・・・派 コストはかからない 他企業からの損害賠償などのリ スクも含む

8. 結論的には… • 最も効率のいい方法は、ハイブリッド型 ①リスクの見極めは自社で実施 ②技術的な対応は自社／他社で分ける ③他社に任せきりにしない(報告大事)

9. リスクとリスクマネジメント（一般論） • リスク(risk) • 危険のある状態、危険性 • 脅威と脆弱性が露出すると…リスクとなる • リスクマネジメント(risk management)

   • リスクを把握し適切に管理する行動 組織内部 情報資産 脆弱性 脅威 リスク 脅威が表面化し、 実際に事件事故が発生すると インシデントとなる

10. セキュリティインシデントとは • インシデント(incident) • セキュリティインシデントのことを指す • 情報システムの管理上、重大な事故や事件などが発生すること • 脅威が表面化した状態がインシデントといえる •

    インシデントレスポンス • インシデントが発生した際にどのような対応をすればよいかということをまと めたもの。 • インシデントレスポンスの際のルールと組織化 インシデントレスポンスは特に中小事業者には絶対に必要

11. 自社のリスクはどうやって見積もればいいか • 一般的には… なにをされたら、どれぐらい困るのかを見積もってみる 発生確率 × 影響度 （その事象がどれぐらい の頻度で発生するのか） （その事象はどの程度

    ビジネスに影響するか）

12. 自社のリスクは自社しか判断できない • 自社にとって重要なのは なにをされたら、どれぐらい困るのかを算出すること • Webページを改ざんされてWebを閉鎖したら1日当たりの売上への影響は？ • DDoSで社内システムがすべてダウンしたら1日当たりの売上への影響は？ • 自社の社員が個人情報を盗んで売ったらどれぐらいの損失が発生するか？

    • 納品したシステム（IoT）に脆弱性があったら、取引企業からの損害賠償が どの程度発生するか？ • 自社の金融担当者がフィッシング詐欺にかかり不正送金されたら？ • 自社の情報システムを請負う企業が倒産してアップデートされない場合に どれぐらいの対応コストがかかるのか？

13. 本質的にどこをおさえておけばよいか 業務プロセス全体 Output Input リスク リスク ①自社のサプライチェーンを含め た業務プロセスの全体像が把握 できているか ②業務プロセスの全体像のどこ

    にリスクが存在するかを把握でき ているか

14. 自社のリスクを把握するために必要なこと • どのようなメンバーで実施するか • 意思決定は、経営に責任を持てる人間が最終判断 • 現場で業務プロセスを熟知しているメンバーを巻き込む • 情報システムがどう構築されているか理解しているメンバーを巻き込む •

    ベンダーの協力をどう得るか • 必要なサービスをどう見積もるか（費用対効果） • そのベンダーに能力があるか • 脆弱性対応などを適切にやってくれるか、情報を正しく提供してくれるか • 対策の優先順位をどう決めるか • リスク • やりやすさ

15. 対策のために何をするべきなのか 事前のリスク対応 事後のインシデント対応 結局は、どちらも 事前に対応して 置くことが重要

16. サイバーセキュリティ経営ガイドライン 経済産業省とＩＰＡが 2017年11月に2版策定 本文は 指示１～１０で構成

17. サイバーセキュリティ経営ガイドラインの枠 組み ①経営者が積極的に 関与しなければならない ②自社の影響範囲、 自社外の影響範囲を 検討する ③担当者と経営側、 業者と企業側の連携が できているかを確認

18. まずは付録Ａでチェックしましょう

19. 最もお勧めするのが付録Ｃ • 付録Ｃ：インシデント発生時に組織内で整理しておくべき事項

20. インシデント対応としてのCSIRT設置について • CSIRT（Computer Security Incident Response Team） • インシデント対応のために、専用のチームを作って対応するための仕組み •

    公的機関・金融機関・大企業・大学等では作ることを推奨されている • 日本シーサート協議会（NCA）というCSIRTが所属して情報共有をするための 団体がある • 愛知県内でも、トヨタや中部電力などを中心にNCAの地方WGが開催されている • 中小事業者では… • 正式なCSIRTを作ることはかなりの人的コスト・対応コストを要する • なので、実現させるのはかなり苦労する • 元からある危機管理対応組織の情報連携やBCPの枠組みに乗っかるのが ベター • 外部からの連絡窓口と経営者への情報連携は必須

21. 中小事業者でできること • 自社でやるべきことと他者にゆだねてもよいものを分ける • 情報資産のリスクは自社でしかわからない • リスク対応の優先順位も自社が責任を持つべき領域 • 事後対策の事前準備 •

    インシンデントレスポンスは重要 • 事後対応は事前対策で決まる • 情報入手のための情報共有を • 良質な情報を入手できる環境の整備 • ベンダーに頼りすぎない、一次情報を適切に見る • 情報共有の枠組みを積極的に利用する すでに用意されている ものは取り入れて使う

22. 情報セキュリティをどのようにとらえるか • 企業という車を安全に前にすすめるために必須な要素 企業 アクセル＝企業経営のための経営資源 さらなる 発展 経営資源を守り、企業の信用を 高めるブレーキ＝情報セキュリティ ブレーキをどう使うかが

    これからの経営のカギ