その時のメモ、あまり信頼してはならない

いま、企業が守るべきものとは何か？～人、組織、技術から考えるセキュリティの本質と防衛策

サイバー攻撃に対抗する組織のあり方-S＆Jコンサルティング 三輪氏

セキュリティ対策のトレンド
・感染を完全に防ぐことはできない。少しでも早く正しい対処をする
IR(Incident Response)ライフサイクル→発生から再発防止策までのライフサイクルがある
一番重要なポイントはそれがインシデントかどうかを判定すること
最初の1台の感染を見逃すと、すべてに拡がる。その時には痕跡は消されている

サイバー攻撃に対応するためには、CSIRT(Computer Security Incident Response Team)の構築が急務
・またインシデントによりはやく察知するシステム(SOC：Security Operation Center)が必要
　つまりCSIRTは緊急事態だけでなく、日々の活動が大切
・リアルタイム監視と定期監視が必要
　内部犯行は外部からの攻撃と共通するログが多いが、検知が困難
　内部犯行については監視されているという雰囲気で抑制することもできる
・時限爆弾を自社で分解しようと思わない。CSIRTの構築は、外部セキュリティベンダーとの連携が現実解

Yahoo!Japanのセキュリティ対策の実践 ヤフー株式会社 高氏

実際に攻撃を受けた目線で話す

過去3回に攻撃を受けた。しかし検知し最悪のケースは免れた
(最悪のケースは、顧客に迷惑がかかり顧客からの連絡で気がつくこと)

自然災害と違い、意図的に攻撃者を選択し、意図的に手法を変更して攻撃する
また、ルールや時間に制限はない

情報価値と影響を正しく認識する
何を守らなければならないか、攻撃者は何がほしいのかというところ
攻撃手法は変化するが、目的(資産を奪う)は変化しない
そのため、どこまで何を守るかの線引きは決定しておくべき

セキュリティ投資の償却よりも、攻撃手法の進化のほうが早い
そのためツールへの投資よりも、人への投資が大切となる
会社全体でリスクを認知し、地道に対応していく必要がある

Yahooの場合、死守するものは
User First
ユーザアカウントを守ることで、Yahooの価値もあがる

企業のリスク管理としての情報セキュリティ-大成建設 北村氏

情報企画部30名
完全防衛は重要だが難しいため、ダメージコントロールが重要となる

有事の対応内容と平時の対応内容を決めている
平時から有事への切り替えるトリガーを明確にすることが必要

平時は誰がやっても同じ結果が得られることが大切、つまり人である必要がなくツールのほうが好ましい
「技術」は社外からも利用可能、ただしこの会社を守るといった精神は社員が持つべき
「私がやらなきゃ誰がやる」という精神がなければ守れない
情報セキュリティはビジネスを守り、推進するために必要不可欠である

自治体セキュリティの実際とこれからの方向性：求められる包括的視座-公共イノベーション 川島氏

2011年まで佐賀県庁で働いていた
番号制度、オープンデータなど政府、自治体との関係はますます複雑に
公共データもベストエフォートであり、オープンデータとセキュリティ、プライバシーのバランスの取り方が非常に重要

パネルディスカッション

どの部門が主管になるべきか

IT部門？経営企画部門？総務部門？

・そこがどういう機能を持たないといけないか
　有事の際に権限を委譲されうりる部門、社長に近い部門が良い

・連携する必要がある。総務を担いで、社内で対応する。

・自治体にいたとき、自分はIT部門であった
　その時とても動きづらかった。最終決断を任されたり、インシデントの切り分けがはっきりできない。また、責任問題まで問われると難しく、初動が遅れる可能性が高い
　経営企画部門が握りつつ、IT部門が基本的な対応を実施することが好ましい

単一企業体の場合、企画・実施・監査をどの部門で実施すればいいのか

部門連携型？IT予算主導型？

・企業の体質による。経営企画が企画して、あとは餅は餅屋の対応を
　企画のときにIT部門や総務部門も連携しておいたほうがよい

企業グループの場合、対策の底上げ、推進のあり方とは

本社主導？具体的な対策まで踏み込んで、グループ全体の対策を徹底
グループ各社主導？本社が大まかな基準を提示し、グループ各社が状況に応じて判断して実施する

・うちはグループの増減が激しいため、本社主導は難しい
　各社のリスクを加味し、介入の度合いも検討するべし
　また何かあった時の支援はいつでも対応できるようにしておく

・インフラを共通化し、本社が主に対応しており、グループ会社が別途対応する場合は本社に連絡してもらう体制をとっている
　セキュリティ的に問題がある他の会社を子会社化するときは、業界に紳士協定であるが、ルールがある。それに準じさせるようにする

・共通化や標準化を実施している
　ベンダーロックインという問題が発生する可能性があるが、
　外部から技術者を調達し、技術的な格差がないようにしている

新しい脅威、環境に対する取り組み

BYODや場所を選ばない職場環境などによる複雑なセキュリティ環境への対策

・Yahooの場合は、場所を選ばないようにサービスを変えなければならないという考え方をするようにしている
　どこからでもアクセスできるということは非常にリスクが高い
　情報レベルに合わせて、社外から閲覧できるデータは制限している
　基本的にBYODは利用していない
　対応する前提のもといかにリスクを小さくするかという観点で行動している

・大成建設は、BYODをやっている
　作業者自体がひとつもモバイルのようなものとして、以下に守るかを考える
　シンクライアント型で対応している

ビックデータについて
・行政のデータをオープンにして対応しよう
　データ開示後の問題は、開示者の問題とする
　オープンにするメリットを最大にして、その後のリスクについては
　利用者のリテラシーを向上させる必要がある

アドバイス

・IT部門も経営者の意識改革のノウハウを持つべし
　IT部門は情報をお金にして、利便性を付与して届けるかどうか
　経営の意識を持つことでよりよいサービスを提供できる
　この観点を持たないと、良いサービスは作れない
　お互いが歩み寄る必要がある。経営としての利点を言い続ける
　IT部門を守れていても、会社全体として見た時に、デメリットとならないようにするべし

・ダメージコントロール　被害をいかに最小化するか
　いまITで何が起こっているか、報告の場を設けること
　経営陣に普段から伝えていないと、大きな予算をとるときだけ会話しても意味が無い

・起こる事象を正しく伝えること
　救急車への設備投資で、救急車の病院への到着時間が短くなった
　この場合だと若干の費用対効果で人の命が救われる、そのことを強く訴える必要がある