Upgrade to Pro — share decks privately, control downloads, hide ads and more …

社内で専任セキュリティ担当者が不在の中 情報セキュリティ推進をいかに実行するか?

なーねこ
March 07, 2024
Technology
0
47

社内で専任セキュリティ担当者が不在の中 情報セキュリティ推進をいかに実行するか?

【講演内容】
社内で専任セキュリティ担当者が不在の中、情報セキュリティ推進をいかに実行するか?

----
<イベント内容>
2023年はランサムウェア攻撃が多発し、組織内部による大規模な情報流出も複数発生しました。

本セミナーでは、組織の情報セキュリティ対策やリテラシーを高めるために各著名人をお呼びし、最新の情報セキュリティ対策はもちろんの事、情報セキュリティの担当者様が社内で情報セキュリティ対策を進めるにはどうすればよいかや効果的な情報セキュリティ教育などを解説していきます。
https://www.lrm.jp/seminar/security-summit-6th/

なーねこ

March 07, 2024
Tweet

More Decks by なーねこ

See All by なーねこ
1万人以上が参加するオンラインコミュニティ「情シスSlack」が参加者と運営者の仕事やキャリアに与えたインパクト
na2neko
2
3.7k
情シス・コーポレートエンジニアというキャリアとその転職市場について
na2neko
1
1.2k
josys-learning-20220727
na2neko
0
340
Why_Enterprise_Grid_20220525.pdf
na2neko
0
420
Mac-Jamf Pro-JMUG Meetup #17
na2neko
0
190
IT surf 20210716
na2neko
1
1.5k
Tech Streat 20201223
na2neko
0
1.9k
Slack Tour Japan Mini Session corp-engr 20201112
na2neko
2
2.7k
ZUNDA dev cafe 01 ビジネス成長を加速させるコーポレートITの役割 / zunda dev cafe 01 Corporate IT for Business
na2neko
0
760

Other Decks in Technology

See All in Technology
AI研修【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
130
公共領域から学ぶ クラウド移行についてエンジニアが意識していること
kawakawa2222
0
140
エンジニア向け会社紹介資料
caddi_eng
14
220k
技術負債による事業の失敗はなぜ起こるのか / Why do business failures due to technical debt occur?
i35_267
0
190
開発生産性をむしろ向上させる
セキュリティパートナーの作り方 / Dev Productivity Con 2024
flatt_security
0
360
AWSで”最小権限の原則”を実現するための考え方 /20240722-ssmjp-aws-least-privilege
opelab
10
4.3k
累計ダウンロード数1億8000万を超えるアプリケーションプラットフォームのレガシーシステム脱却とモダン化への道
kmitsuhashi
0
120
AOAI Dev Day LLMシステム開発 Tips集
hirosatogamo
15
3.7k
dxd2024-生成AIに振り回された3か月間の成功と失敗/dxd2024-link-and-motivation
lmi
2
260
たくさん本を読んだけど 1年後には綺麗サッパリ!を乗り越えて 学習の鬼になるぞ👹
yum3
0
160
サービスの持続的な成長と技術負債について
siva_official
PRO
10
4.4k
エンジニアリングマネージャーはどう学んでいくのか #devsumi / How Do Engineering Managers Continue to Learn and Grow?
expajp
4
1.3k

Featured

See All Featured
Fantastic passwords and where to find them - at NoRuKo
philnash
42
2.7k
GraphQLとの向き合い方2022年版
quramy
36
13k
How to Ace a Technical Interview
jacobian
274
23k
A better future with KSS
kneath
231
17k
Scaling GitHub
holman
458
140k
Debugging Ruby Performance
tmm1
71
11k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3.3k
Building Effective Engineering Teams - LeadDev
addyosmani
47
2.2k
Rebuilding a faster, lazier Slack
samanthasiow
78
8.5k
Design by the Numbers
sachag
277
18k
Mobile First: as difficult as doing things right
swwweet
219
8.8k
Code Reviewing Like a Champion
maltzj
517
39k

Transcript

  1. 社内で専任セキュリティ担当者が不在の中 情報セキュリティ推進をいかに実行するか? 一般社団法人日本ビジネステクノロジー協会 理事:長谷川 真 第6回 情報セキュリティ教育サミット

  2. 今回のお話の ターゲット

  3. ターゲット • 社内にセキュリティの専門家が不在 • 専任でセキュリティに関われる人がいない • セキュリティに詳しくないけれど なんとか対応を進めたい こんな想いの方々へ向けたお話です

  4. 私自身の立ち位置 • セキュリティの専門家ではありません • 自身の経験から、どんな考えを持ってセキュリ ティ対応を進めていたかのお話

  5. 自己紹介

  6. お話を進める上で 自分のバックグラウンドを知ってもらう事が イメージをふくらませる手助けになると思います

  7. 自己紹介 • 長谷川 真(はせがわ まこと) • ポート株式会社 VPoE • 「情シスSlack」というコミュニティの運営

    • 情シス部門(IT企画)の壁打ち役としても活動 ◦ 過去のお仕事 ▪ WEBエンジニア ▪ 人事 ▪ 情報システム・業務改善 等 @na2neko

  8. 今日のお話の前提となったキャリアポジション • 情報システム部門の立ち上げを実施していた時 • 中小企業の情シスアドバイザーの実施時 • 上場準備中の情シスアドバイザーの実施時 参考として これらの時を思い出しながら お話しをさせて頂きます

  9. はじめに

  10. 情報セキュリティ セキュリティ サイバーセキュリティ

  11. 嫁に聞いてみました(嫁:事務職・アルバイト) セキュリティ 情報セキュリティ サイバーセキュリティ 違いって何だと思う?

  12. 嫁に聞いてみました(嫁:事務職・アルバイト) 全部一緒だよ!!

  13. セキュリティって? • 興味がなかったり、知らない人からすると ◦ セキュリティ ◦ 情報セキュリティ ◦ サイバーセキュリティ これらはどれも一緒・・・

    というよりも、どうでも良い = 興味がない

  14. セキュリティって? 興味があっても、非常に難しい分野 対応分野が広いですし 企業の文化、事業内容などによっても 取り組み方が違うと認識しています

  15. 注意事項 *当資料では「セキュリティ」という大枠の表現で進めますが  「情報セキュリティ」「サイバーセキュリティ」など  違いの説明は専門家ではないため、控えさせて頂きます

  16. 結論から

  17. セキュリティの推進は ぜひ、専門家に相談しながら 進めましょう!!!

  18. とはいえ。。。

  19. 本日のテーマ 社内で 専任セキュリティ担当者が不在の中 情報セキュリティ推進を いかに実行するか?

  20. 本日のテーマ 社内で 専任セキュリティ担当者が不在の中 情報セキュリティ推進を いかに実行するか? そうそう 我が社も 不在なんです!

  21. 本日のテーマ

  22. 本日のテーマ 疑問をもった事はありますか? なぜ 「専任がいないのか」

  23. セキュリティの専任担当者が 自社に居ないのは「なぜ?」

  24. なぜ「専任」がいないのか? 専任の 必要性 認識あり 認識なし 経営者の方は、どのように思っていそうですか?

  25. なぜ「専任」がいないのか? 専任の 必要性 認識あり 認識なし 経営者の方は、どのように思っていそうですか? コストの問題 そもそも知らない 現状維持で大丈夫

  26. なぜ「専任」がいないのか? 専任の 必要性 認識あり 経営者の方は、どのように思っていそうですか? コストの問題 専任の 必要性 認識あり コストの問題

    コスト感は理解 資金がない 適切な費用感が 分からない 専任の 必要性 認識なし 現状維持で大丈夫 専任の 必要性 認識なし そもそも知らない

  27. 対応例1 コスト関係の課題 • 費用対効果での説明 ◦ よく言われるが、実は難しいと思っている ▪ 参考:LRMさんの「セキュマガ」より • 「セキュリティの費用対効果は計算できるか?」

    • リソースのかけ方で説明 ◦ まずは副業情シス等のアドバイザーと一緒に動く ◦ 月1〜2の専門家の相談相手を雇う ◦

  28. なぜ「専任」がいないのか? 専任の 必要性 認識あり 経営者の方は、どのように思っていそうですか? コストの問題 専任の 必要性 認識あり コストの問題

    コスト感は理解 資金がない 適切な費用感が 分からない 専任の 必要性 認識なし 現状維持で大丈夫 専任の 必要性 認識なし そもそも知らない

  29. 対応例2 認識の課題 • 経営層への啓蒙活動やインタビュー ◦ 本当に現状維持で大丈夫ですか? ▪ 「専門家が居ない」中でなぜ大丈夫と思っているか? せっかくなら 経営層へ思っている背景を

    インタビューしてみては いかがでしょうか

  30. こんな言い方しちゃダメよ そんな認識で 大丈夫なんすか? www 表現の引用:「 スクラムとデッドライン壊れゆくチームをつなぎとめるもの 」より

  31. 対応例2 認識の課題 経営者の視点で考えている事が必ずあります。 その背景を分解するお手伝い 話し相手になってみてはいかがでしょうか。 最近の「セキュリティ関係の事故」の記事を調べ て、自社だったらどういう影響があるかなど、会話 してみても良いかもしれません。

  32. セキュリティの専任担当者が 自社に居ないのは「なぜ?」 ここまで 理由の仮説と、その想定課題に対する 対応例をあげてみました

  33. ここで給水タイム

  34. 次に

  35. 本日のテーマ 社内で 専任セキュリティ担当者が不在の中 情報セキュリティ推進を いかに実行するか?

  36. こんな時どうしますか? あなたの好きな人は 「カレー」が大好きなようです。 しかし、あなたは 「カレー」の作り方を知りません。 そして、一人で 「カレー」をつくるだけの時間が 捻出できなさそうです。

  37. 好きな人に「カレー」を食べさせたい 専門家に 教わりながらつくる 美味しい 専門店へ連れて行く 自分でつくる 提供手段は、いくつかありそうです

  38. 好きな人に「カレー」を食べさせたい ある程度、工程を理解し ・自分でもで基礎的なものは作れるようにしておく ・出てくる用語を理解する 作る場合、一人だと作る時間が足りなそうです・・・ ・仲間と分担して作れるようになる ・お店に行っても、用語を知ってるので会話しやすい ・好きな人の「カレー」の好みの変化に対応できそう

  39. カレーを作る工程や用語は 理解しておいたほうが良さそう 考え方は同じだと思っています

  40. 対応 流れを理解しておく • 担当となる方は「兼務」なのかもしれません • 「兼務」だとしても基礎的な流れは把握した方が良い ◦ ISMS(情報セキュリティマネジメントシステム) ▪ 「情報セキュリティ」における

    ▪ 「マネジメントシステム」=運用の考え方 • が、記されています

  41. もう1点重要な点があります

  42. 好きな人に「カレー」を食べさせたい ある程度、工程を理解し ・自分でもで基礎的なものは作れるようにしておく ・出てくる用語を理解する 作る場合、一人だと作る時間が足りなそうです・・・ ・仲間と分担して作れるようになる ・お店に行っても、用語を知ってるので会話しやすい ・好きな人の「カレー」の好みの変化に対応できそう

  43. 対応 相手の好み = 求められている基準 • 求められる基準は状況や事業によって変わると思います • 経営者から見て一番良いのは ◦ コストがかからない ◦ または

    ◦ かけたコストに見合っているか ISMSには、経営者と話す流れも定義されていますし 自社が扱っている「情報」や「ビジネスの種類」などに応じて 「発生するリスク」を検討して優先順位を決める流れもあります

  44. 対応 相手の好み = 求められている基準 • 求められている基準 ◦ 経営者がどのように考えているか ◦ 自社がどんなビジネスを行っているのか ◦ 保持している情報はどんな内容なのか

    ◦ どういった経路で情報が流れているのか • 実は、会話・自社理解・業務の棚卸し ◦ これらから始める事が基本的な流れとなります

  45. 対応 その他 • 仲間を増やしましょう ◦ 専門家へ依頼する ▪ やはり専門家を入れるのがベストです ▪ 自身で理解しつつ、専門家にサポートしてもらいましょう

    ◦ コストがまだかけられないなら? ▪ コミュニティや勉強会に参加して ▪ 仲間を増やしておきましょう

  46. 対応 その他 「情シスSlack」へ入って情報収集する 「Security Slack」 サイバーセキュリティ連盟が行っている Security Slackというものもあります https://corp-engr.jp/ https://www.cscloud.co.jp/dx-security/dx_news/20230608-1/

  47. 専任 or 専門家が居ない ・兼務で実施する人は居ると思います ・情報セキュリティ対策となる基本の理解に努め ・相談役(専門家 or 仲間)を探していきましょう 求められる基準の理解 ・経営者と会話をする事で、事業の状況や背景を理解

    ・理解した上で対策が考えられる

  48. 事例 (補足)

  49. ケース1 • エンジニア主導で全社セキュリティへ着手 ◦ エンジニアにプロジェクトのオーナーシップをもってもらった ◦ 上場準備もあり、プロダクトのセキュリティ対策と全社のISMS認 証取得、セキュリティポリシーが平行して進んだ ◦ エンジニアにオーナーを持ってもらうことにより、事業のメインと

    なるプロダクトの事業プロセスまで考慮して、そこからリスクを洗 い出すことができた

  50. ケース2 • セキュリティ専任を採用したいが、文化が合わない ◦ ゼネラリストとして動く専任者を置きたいという相談 ◦ 企業文化としてはプロフェッショナルの集まり ◦ 企業文化に合わないと分かっている点について ▪

    従業員として雇う方のキャリアをつくれない場合 • 業務委託で一時的に雇う • または • 専門の企業さんとお付き合いして対処する ◦ 結果:専門企業をご紹介してうまくいっています

  51. 本日の結論

  52. セキュリティの推進は ぜひ、専門家に相談しながら 進めましょう!!!

  53. 相談先 • 本日主催のLRMさん ◦ ISMSの導入支援 ◦ 従業員のリテラシー向上のためのeラーニング ▪ 「セキュリティ」の運営

  54. 相談先 • 私もご相談は受け付けております ◦ 副業としての壁打ち相手実施 ◦ 個人のため多数の相談は受けられないため ▪ 初回相談事(無料)に •

    適切だと思う企業さん or 個人の副業の方 • これらをご紹介しています ◦ 相談先 ▪ 現在X(旧:ツイッター)のみ ▪ https://twitter.com/na2neko

  55. 最後に・・・ • もしコストをかけられない場合は? ◦ 経営者と課題感は話し合っておきましょう ◦ また、以下は専門家に相談する際に役に立ちます ◦ 可能なら整理しておくと良いです ▪

    事業全体の情報の流れの整理 • どんな情報を、誰が、何を利用して行っているか • 情報はどこに、どれだけ保管されるのか • セキュリティに対する規定やポリシーが存在するか

  56. 以上となります ありがとうございました!