Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Perfect Enterprise Security Practice?

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for Riotaro OKADA Riotaro OKADA PRO
February 05, 2025

Perfect Enterprise Security Practice?

完ぺきなセキュリティが 不可能なら いったい どうすれば良いのか
If it's impossible to have perfect security, what the hell are we supposed to do about it?

岡田良太郎

revised: 2025/4/2
revised: 2025/2/5

Avatar for Riotaro OKADA

Riotaro OKADA PRO

February 05, 2025

More Decks by Riotaro OKADA

Other Decks in Business

Transcript

  1. ご挨拶 現場で、防御を手伝ってきました 2006年から、企業の防御の実装とアドバイザリに。研究と現場の両方から。 — OWASP Japan チャプターリーダー/Hardening Project 実行委員・ オーガナイザ

    — 兵庫県警察 サイバーセキュリティ対策アドバイザ — 沖縄型産業中核人材育成事業 実行委員(内閣府 沖縄総合事務局) — CISA・MBA 今日は、経営の言葉でお話しします。 完ぺきなセキュリティが無理なら | 沖縄2026 2 お名刺交換 お願いします
  2. 世界の専門機関の予測より(EU・ENISA/2030年) 世界で見えている危険な環境 世界が見ている 2030年の危険 今日の話 取引先・委託先からの侵入(最大の危険) 資産は、取引先の先まで延びる セキュリティ人材の不足 育てて、つなぐ仕組みがいる 人のミスと、古いまま放置されたシステム

    足元の、いつもの穴 外部サービスへの集中(1か所止まれば皆止まる) 代わりがいない=沖縄の構造 AIの悪用 AIが弱点を見つけ出す(ミュトス) 災害が、デジタルの土台を直撃する サイバーは、新しい台風 完ぺきなセキュリティが無理なら | 沖縄2026 3
  3. 2025–2026|沸騰中 いま、AIの脅威が沸騰している IPA 10大脅威に「AIのリスク」が初登場 IPA・2026.1 AIが脆弱性 2万3千件を自動発見 ミュトス/日経・2026.5 財務相『今そこにある危機』 米政府がAI提供を停止・2026.6

    AIエージェントが情報漏えいの最大要因に Gartner・2028予測 自律型サイバー攻撃の時代へ トレンドマイクロ・2026 偽の重役で 2,500万ドル送金詐欺 ディープフェイク/報道 攻撃者が生成AIを実戦投入 セキュリティ各社・2026 生成AIの社内ルール整備、日本は19% アクセンチュア・2025 完ぺきなセキュリティが無理なら | 沖縄2026 4
  4. 報道ピックアップ|沖縄編 2021–2026 〝沖縄〟で起きている 浦添市 業務用PC83台盗難・11万人流出のおそれ/2026 内閣府 沖縄総合事務局 FileZenの脆弱性・15,091人/2026 沖縄県立看護大学(那覇) ランサムで教務システム暗号化・停止/2026

    沖縄県 裁決書PDFのマスキング不備・39名/2026 リゾーツ琉球(HOTEL SUNSUI NAHA) 予約情報漏えい→宿泊客にフィッシング/2025 沖縄総合事務局 職員情報 近畿地整NW経由で約1,200人/2025 オリオンホテル那覇 予約システム不正アクセス/2024 那覇市立病院 システム障害/2024 那覇市図書館 サイバー攻撃/2022–23 リウボウストア 委託先経由・約6千件流出/2021 嘉手納町 メール誤送信/2023 委託先・ランサム・観光・内部不正・自分のミス——ぜんぶ、ここ数年の沖縄だ。遠い都会の話ではない。 完ぺきなセキュリティが無理なら | 沖縄2026 5
  5. 出発点:脅威を知る × 己の対応力を知る 完璧は無理。では何を?——「対応し続けられる」状態 ガバナンス = 決め方(経営判断) 資産 何を持ち、何を動かすか 識別

    + 取引先管理 国際標準の対策メニュー 仕組み 業務を支える防御 防御(要の筆頭=ID管理) 国際標準の対策メニュー 運用 動かしてから本番 検知・対応・復旧 国際標準の対策メニュー 完ぺきなセキュリティが無理なら | 沖縄2026 7
  6. 沖縄に固有のリスクプロファイル 〝代替が利かない〟3 POINT ① 全員主役 • 観光・物流・公共 〝止められない〟 • 「代わりがいない」

    • 製造は4%=モノは島 の外 ② 緊張感 • 油断こそ、最大の敵 • 平穏は前提ではない。 有事は遠い話ではない • 脅威への感度の共有が 生命線 ③ オープン • 世界中から人が来る土地 =何よりの強み • 長年の付き合いを取引の 前提にできない • どこで線を引くか訓練し 育つ 完ぺきなセキュリティが無理なら | 沖縄2026 9
  7. 報道ピックアップ|沖縄編|〝何が起きたか〟 見るべきは〝何が起きたか〟 バックアップごと暗号化され、復旧に2か月 那覇市立図書館|ランサムウェア/2022 委託先サービスの穴から、1万5千人分が流出 内閣府 沖縄総合事務局|FileZenの脆弱性/2026 業務用PCを83台盗まれ、11万人分が流出のおそれ 浦添市|内部不正・盗難/2026 教務システムがランサムで暗号化され、停止

    沖縄県立看護大学(那覇)/2026 予約システムにID・PWで侵入、宿泊客の連絡先が漏えい オリオンホテル那覇|TL-リンカーン/2024 漏れた予約情報で、宿泊客に偽メールが届いた リゾーツ琉球 HOTEL SUNSUI NAHA/2025 裁決書PDFの黒塗りが甘く、39名の氏名が露出 沖縄県|マスキング不備/2026 委託先を経由して、約6千件の顧客情報が流出 リウボウストア/2021 完ぺきなセキュリティが無理なら | 沖縄2026 10
  8. 重要:事業のためのデータ資産を見える化する - 難しさ 業務はSaaS・クラウド・リモートへ出た。守る対象は〝場所〟でなく〝何を事業として動かしているか。 • 事業はデータで動いている - 顧客・受発注・開発・製品・調達・展開・製造・販売… • 自社の役割を支えるものはデータである

    • 貯めておくもの(ストック) と 動かすもの(フロー) 自社システム/クラウド/AI • データを扱うデバイス:サーバー、PC、スマホ、IoT どこでどのデータが侵害されると、事業が止まるイメージを持っているか どういう資産を回すことで自社の事業が動いているのか。どんな状態なのか 完ぺきなセキュリティが無理なら | 沖縄2026 13
  9. まず、御社の足元 こんなことが起きていませんか 辞めた人のアカウントが、まだ生きている アクセス権の穴 「とりあえず全員に管理者権限」になっている アクセス権の穴 同じパスワードを、あちこちで使い回している 認証の穴 多要素認証を「面倒だから」と外している 認証の穴

    請求や振り込みを、電話だけで調整したことがある なりすましの隙 ウイルス対策を入れて、安心しきっている 思い込み ソフトやWindowsの更新を、先送りにしている 古いまま放置 止めたい古いシステムが、止められず残っている 古いまま放置 公開中の機器を、いつ誰が置いたか分からない 設定の穴 取引先のセキュリティを、確かめたことがない 取引先の穴 バックアップを、戻せるか試したことがない 復旧の備え 入られても、いつ・どこからか分からない 記録がない 何かあったとき、誰が決めるか決まっていない 有事の段取り 完ぺきなセキュリティが無理なら | 沖縄2026 17
  10. 経営の見取り図|OWASP Top 10(世界標準の〝よくあるリスク10分類〟) 事件・事故、根っこは〝足元〟にある よく耳にする事件・事故 根っこ=OWASP Top 10:2025 ランサムウェアで業務・生産が止まる 設定の不備+取引先+アクセス権、の重なり

    委託先・サプライヤー経由で個人情報が大量漏洩 取引先(サプライチェーン)の穴 退職者アカウント残置・弱いパスワード・過大な権限 アクセス権と認証の穴 侵入に数ヶ月気づかず、有事の判断が混乱 記録の不足と、段取りの欠如 完ぺきなセキュリティが無理なら | 沖縄2026 18
  11. 沖縄・産業クラスタ別:固有リスクと、まず打つ一手 クラスタ 固有リスク まず一手 電力・重要インフラ 島の電源は、代わりがない。 制御システムを人質に取られる 情報系と制御系を分ける/復旧できる備え 金融・地域経済 「身内意識と紙の文化」の死角

    操作の記録を残し見る/辞めた人の権限を消す 海運・物流・港湾 島の物流が、一点で寸断される 手作業に切り替える備え/復旧の訓練 観光・宿泊・交通 繁忙期を狙う妨害と搾取 予約・決済のログイン強化/大量アクセス妨害 への備え 小売・サービス・中小 踏み台にされる、取引網の末端 多要素認証/公開資産とアカウントの見直し 行政・教育・医療 見えないIT利用と、慣れの差 委託先の点検/USB等の持ち出し媒体をやめる 完ぺきなセキュリティが無理なら | 沖縄2026 19
  12. Q. AIに任せられること/自社にしか下せない判断 AIに任せられる 自動化が進む領域 — 検知の精度・アラートの選別 — 脆弱性スキャンの網羅 — パッチ適用の優先度づけ

    — 24時間の監視 自社にしか下せない 経営が引き受ける判断 — どの弱点を、どれだけ急いで塞ぐか — 何が止まると、事業が痛むか — 有事に、誰が何を決めるか — どこまで助けを借りるか=受援 判断は、外注できない。 完ぺきなセキュリティが無理なら | 沖縄2026 20
  13. 重要: アクセス権の管理 業務はSaaS・クラウド・リモートへ出た。 守る対象は〝場所〟でなく〝誰がアクセスしているか〟だ。 • 侵入は〝正規のID・パスワードを盗んで正面から入る〟 • MFA・パスキー=盗まれても、それだけでは入れない • 必要な権限を必要なときに与える

    権限最小化=一つ破られても、被害が横展開しない • 退職者・特権・委託先アカウントはどうなっているか=〝放置された合鍵〟を消す 壁から鍵へ。会社を守る一手は、アクセス管理だ。 完ぺきなセキュリティが無理なら | 沖縄2026 21
  14. 踏み絵 セキュリティがまわっているか ー 経営チェック ✓ 自社のサイバー影響は定期的に報告され共有されているか ✓ 経営陣へのセキュリティブリーフィング、社員全員の訓練はいつやったか ✓ 情報資産とシステムの台帳は、去年から更新されたか

    ✓ 問題発生時のセキュリティ管理手順を、年に一度でも訓練に使ったか ✓ セキュリティ方針や手段の話は、経営会議の議題に挙がっているか 完ぺきなセキュリティが無理なら | 沖縄2026 25
  15. 経営の意義|沖縄の実例から逆引き 逆引き:あの沖縄の事故に、★3が効く 沖縄で実際に起きたこと そのとき要ったスキル ランサムでバックアップごと暗号化、復旧2か月 バックアップと復旧(オフライン保管) ・監視ログ分析/事故調査(復旧・検知 ★3→★4) 委託先サービスの穴から1.5万人が流出 取引先調査と調達の改善

    ・委託先の脆弱性アップデート(取引先管理 ★3→★4) 業務用PCを83台盗難・内部不正 端末監視・管理(EDR/XDR) ・アカウント管理(退職者・権限)(識別・防御 ★3) 予約システムにID・パスワードで侵入 強化された認証(多要素)・アカウント管理(防御の筆頭 ★3) 漏れた予約情報で、宿泊客にフィッシング CSIRT(対応・通知)・SIEM運用/監視ログ分析(対応 ★3) 裁決書PDFの黒塗り不備で氏名が露出 アプリケーションセキュリティ・点検整備(ガバナンス ★3) 完ぺきなセキュリティが無理なら | 沖縄2026 28
  16. 改善のリズム——事業を起点に、回し続ける 出発点 事業活動 守る目的は、事業を止めないこと 知る 脅威の理解 狼より先に、自分の柵を見る 守る 資産の保護 何を持ち、どう守るか=資産と仕組み

    鍛える 組織の強化 動かし続ける力。人・運用、受援も借 りて 改善のリズム 完璧でなく、回し続ける 特別なことは、何もいらない。止めずに、回し続けるだけだ。 完ぺきなセキュリティが無理なら | 沖縄2026 29
  17. ③ 経営の意義|同心円 自助・共助・公助で、同心円に広げる 自助 自社(事業) • 自社の地図の鮮度で守る • 有事の判断を平時に決め ておく

    • 運用を訓練で鍛える 共助 取引先・地域(連携) • 現場知 × 脅威知を共有 • 育てる + 借りる=受援 • 地域をみなで上げる 公助 社会・国(仕組み) • SCS評価制度・お助け隊 • 判断=ガバナンスを、 セキュリティ経営の筆頭 に • 見直し前進のしなやかさ 自社 → 取引先・地域 → 社会。守りを、同心円に広げていく。 完ぺきなセキュリティが無理なら | 沖縄2026 31