ばりかた文__VER0.52pdf_20190120
>100 Views
February 14, 23
スライド概要
「ユーザー企業のセキュリティ担当者としてやってきたことをええとこ取りでお話します」
そこそこの規模があるユーザー企業では
セキュリティ担当の仕事は簡単じゃなかったw
実務オリエンテッドのエピソードで
みなさまと勉強していきたいとおもいます
「大量の個人情報を抱えながらも、専任のセキュリティ部署がない」 課題・悩みを抱える企業/経営幹部のために ユーザー企業のセキュリティ担当として経験豊かな専門家をシェアする 新しいコンサルティングのカタチ これまでのコンサルティングサービスよりリーズナブルに 自社にマッチしたセキュリティのリスク分析・計画・推進の実現を支援します
関連スライド
各ページのテキスト
ユーザー企業のセキュリティ担当者 としてやってきたことを ええとこ取りでお話します そこそこの規模があるユーザー企業では セキュリティ担当の仕事は簡単じゃなかったw 実務オリエンテッドのエピソードで みなさまと勉強していきたいとおもいます Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved ㈱セキュアシステムスタイル 松尾 秀樹 平成31年1月20日 1
会社概要 自己紹介 株式会社セキュアシステムスタイル ◼ ◼ 2014年11月に設立 企業のセキュリティ担当者が実施す るセキュリティ施策について、 規程の制定、具体的ソリューション の提示・運用などを提案させて いただいています。 社名 株式会社セキュアシステムスタイル 設立 2014年11月7日 資本金 2000万円 役員構成 代表取締役 取締役 代表取締役 松尾秀樹 松尾 秀樹 乗口 雅充 5名(エンジニアおよびアナリスト) 従業員数 (東京都千代田区神田小川町3-8) (03-5577-6934) 事業内容 情報セキュリティに関する コンサルティング サービス、セキュリティ・アウトソーシング サービス 企業のセキュリティ担当者が実施する施策や規 定の制定、具体的ソリューションの提示、運用 法などをご提案いたします。 『セキュリティダイレクタを育てる』 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 2
今日のお話 <もくじ> プロローグ PART1 PART2 PART3 PART4 PART5 『文系セキュリティ』ってなんでしょうか? きっかけ(今日のきっかけ、セキュリティのきっかけ) 10の施策(でも4つだけ紹介) コツ(セキュリティをうまいことやるには) 会社を辞める・会社を創る(やめるきっかけ、つくるきっかけ) ケーススタディ(こんなときどうします?) <今日のゴール>勉強会なので目標をw ①文系セキュリティってなんでしょう? ②どんな意識で仕事する? ③明日からはどう動くの? をそれぞれ皆さんがなんとなくイメージできること Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 3
私(matsuo)が考える文系セキュリティ ※写真はイメージです プロローグ Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 4
プロローグ 『文系セキュリティ』ってなんでしょうか? 文系セキュリティというのがどういうものかは、私もふ くめてバリカタ文系参加の皆さんで議論の末見つけてい くのがいいと思います。 これ、文系やん。 でも今日一つは提起しようと思います。 おもんないゎ。 ◼ こんな感じよね← ◼ 目指すのはここよね← SSTの長谷川CTO 情報セキュリティマネジメント(U) (A) 理系 セキュ リティ (A)文系セキュリティ Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 5
プロローグ(私(matsuo)が考える文系セキュリティ) <文系セキュリティってなんでしょうか?> 会社のガバナンス・リスクマネジメントの経営視点+技 術的セキュリティ対策にかかわる仕事 技術的に手が動くことや、システムセキュリティの実務 で提案できることは素敵なことですが、それだけでは ちょっと足らない気がします もっと必要なのはヒューマンスキルだったり組織(人) を動かす力だったり、経営判断の材料を提示するのだと 思います Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 6
プロローグ(私(matsuo)が考える文系セキュリティ) <文系セキュリティってなんでしょうか?> ユーザー企業における情報セキュリティ人材は、『ガバナンス』と『技術的 セキュリティ対策』の二つを結びつけることができる人のことを指します 技術的セキュリティ対策 ガバナンス 経営を守る・事業を守 る 経営判断の材料だし 経営に責任持たせる トラブルを収束させる 事業継続プラン、、、 参照元:IPA>経営者の方>情報セキュリティガバナンス https://www.ipa.go.jp/security/manager/know/meaning/governance.html Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 7
プロローグ(私(matsuo)が考える文系セキュリティ) <文系セキュリティってなんでしょうか?> そして、セキュリティ人材とセキュリティ技術員は明確に異なります。 セキュリティ人材 文系セキュリティ セキュリティ技術員 (技術的対策) 理系セキュリティ 参照元:IPA>経営者の方>情報セキュリティガバナンス https://www.ipa.go.jp/security/manager/know/meaning/governance.html Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 8
プロローグ(私(matsuo)が考える文系セキュリティ) <文系セキュリティってなんでしょうか?> ユーザー企業における情報セキュリティ人材は、『ガバナンス』と『技術的 セキュリティ施策』の二つを結びつけることができる人のことを指します 特に前者はユーザー企業内でないと有効に活躍・実践できない アメリカで制作されるスタンダード(ISO、ガイドライン)をそのまま実行 しようとしても、日本のベンダー委託率の高さからマネジメント・ガバナン スを利かせることには無理がある セキュリティ人材を配置する、育てる、採用するとしても、どうしていいの かわからないと考えらえる つまりIT技術に加えて、情報セキュリティガバナンスを知る・学ぶ・実践 してみることが、情報セキュリティ人材として必要なのです Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 9
プロローグ(私(matsuo)が考える文系セキュリティ) IPA試験の(SG)はどの範囲? https://www.asobou.co.jp/blog/bussiness/sg Copyright 2018 Secure System Style Inc. AllAll Rights Reserved Copyright 2019 Secure System Style Co., Ltd. Rights Reserved 10
プロローグ(私(matsuo)が考える文系セキュリティ) IPA試験の(SG)はどの範囲? https://www.asobou.co.jp/blog/bussiness/sg Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 11
プロローグ(私(matsuo)が考える文系セキュリティ) 報道ではどうか? http://www.security-next.com/070864 これまでセキュリティ 人材とセキュリティ技 術員を分けて語られて はいない 私は、『文系』のほう にもスポットを当てる べきだと思っています (少なくとも区別して ほしい) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 12
プロローグ(私(matsuo)が考える文系セキュリティ) <文系セキュリティってなんでしょうか?> ユーザー企業における情報セキュリティ人材は、『情報セキュリティガバナ ンス』と『技術的セキュリティ対策』の二つを結びつけることができる人の ことを指します 技術的セキュリティ対策 ガバナンス 情報セキュリティガバナンス(U) (B)情報セキュリティ対策 (A) 理系 セキュ リティ 参照元:https://www.ipa.go.jp/security/manager/know/meaning/governance.html Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved (C)経営 私(matsuo)が考える 文系セキュリティ 13
皆さんはどういうきっかけでセキュリティに関わってき たのでしょう。私のきっかけをご紹介します。 ※写真はイメージです PART1 きっかけ (今日のきっかけ、セキュリティのきっかけ) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 14
PART1 きっかけ (今日のきっかけ、セキュリティのきっかけ) <きっかけ1>きょうの登壇 きょうは、乗口さんからリクエストいただき、私の思う 文系セキュリティのはなしをさせていただきます 彼はネットマークス~SSTさんと営業活動するなかで 2000余社に及ぶ事例を集めていて、私がいた会社での活 動が日本でベスト3に入るくらいうまくいってたという評 価をいただいてます うまくいっていたことを勉強会の材料にできたらいいと 思っています Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 15
PART1 きっかけ (今日のきっかけ、セキュリティのきっかけ) <きっかけ2>セキュリティとの出会い 2002年じゃらんの漏洩事故がきっかけ 突然の辞令、なかば拐われてセキュリ ティ担当することに そのときの課題感 3人いたひと、高度な技術員、やんちゃ なマネージャ、若いのに姥捨山 欠落してたこと 「始めた仕事は終わらせる」(終わらない) https://tech.nikkeibp.co.jp/it/free/NNB/NEWS/20021011/1/ ◼ 「仕事と機会は自分で創り出す」(セキュリティベ ンダ任せ) ◼ 「圧倒的に見える社内でのセルフプロデュース」 (なめられたら負け) ◼ Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 16
PART1 きっかけ (今日のきっかけ、セキュリティのきっかけ) <きっかけ2>セキュリティとの出会い 「始めた仕事は終わらせる」(終わらない) 「仕事と機会は自分で創り出す」(セキュリティベンダ任せ) 「圧倒的に見える社内でのセルフプロデュース」(なめられたら負け) ↓ 入れかけのIDS監視が運用に乗らない 入れたてのアップスキャンで見つけた脆弱性が改修されない、拒否されてる 監査シートは配布され、回収されても評価してない 次の対策をスタートできてない いまいち事業部側のみなさんにウケてない プレゼン、デモがマニア向け Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 17
PART1 きっかけ (今日のきっかけ、セキュリティのきっかけ) →見通しが暗い中、終わらせる・次の計画を創る・なめられないよ うにすることがセキュリティ最初の仕事でした 課題感を受け止めて、その年終了 ↓ 2014年までには、10の施策が私から手離れして自律自転していました WEBアプリサービスを主体的事業とする企業は、これで十分。もちろん制作、 本誌、クライアントに提供する機能、勘定系などと、裏方さん機能もふくめて 会社からの要請事項は落ち着いていた Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 18
PART2 10の施策 (でも4つだけ紹介) きょうは、どう考えて来たかをお話しします <10の施策>12年やった完成形はこうでした ◼ <アプリ脆弱性診断>〇 ◼ <侵入検知> ◼ <公開前審査> ◼ <アンドロイドアプリ自主診断> ◼ <セキュアweb開発研修>〇 ◼ <会社のセキュリティルール(システムセキュリティ)の教育>〇 ◼ <セキュリティ相談>〇 ◼ <プラットフォーム診断> ◼ <年次セキュリティ監査> ◼ <セキュリティ連絡会> Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 19
PART2 10の施策 (でも4つだけ紹介) №.1 <アプリ脆弱性診断> 診断は30日200ページが平均値、裕福な事業部は自ら選択。=>いつも頼める 検査会社とつきあうことが私の仕事になる たまたまやったプラットフォーム一斉検査で、まだばれてないアプリ脆弱性が みつかり、主催のコンプライアンス室長により「全件出荷前チェックせよ」と なる 年間400サイト、のべ1200回リニュアルされる。そのうち一般消費者の 個人情報含むものが40% 月間40~60件の検査になる=>4ページ抜き取り 傾向分析とT会への持ち込み報告、連絡会への提示(検出/改修=今月のダメダ メベンダーベスト10・事業部ベスト10) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 20
PART2 10の施策 (でも4つだけ紹介) №.1 <アプリ脆弱性診断> Copyright 2018 Secure System Style Inc. All Rights Reserved 21
PART2 10の施策 (でも4つだけ紹介) №.1 <アプリ脆弱性診断> 報告書により社内に薄い毒(脅威のポイント、インシデント)を撒 き続ける 全件検査なんてできるはずがない、安全を確保するのではなく、安 心できることを確保する 毒が全社にいきわたるころには、共通した脅威認識されていた ◼ こういうことを通じて、自分で何とかする気持ちにさせること Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 22
PART2 10の施策 (でも4つだけ紹介) №.2 <セキュリティ相談> webサービスの企画~設計~製造について、セキュリティ相談をうけること 方針は会社のルールへ適合させるよう誘導。95%くらいはこの範疇、即答できる。「お 墨付きもらった!!」と喜んで帰るひとがほとんど 調査が必要なものは持ち帰る 経営判断が必要なものは、エスカレーションシートを書いてあげて、本人達がT会ボード へ直訴する仕組みをつくる。実行されたのは、3年で3件、2件却下 共感する、誉める、選ばせる ◼ ◼ ◼ 相手をJCだとおもい、業務や企画に共感する 相手の努力・工夫について推察し、誉め讃える 最終的に規程に基づく対策を実施させるのだが、それを選んでいただくようにする、決してやらせない Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 23
PART2 10の施策 (でも4つだけ紹介) №.3 <セキュアweb開発研修> 2ヶ月毎に7.5時間の座学を開催、年間500名程度受講 オリジナルの教科書を策定、毎年冬になると更新作業し春にリリース。最終稿は600P php版追加、アンドロイド版追加 ↓↓ 運営初めて3年後、情報システム部の事業部長が受講必須に指定 4年目に『この本に掲載無いから、CSRFは診断で指摘もらっても修正しない!』というやつ が出現したファイティングポーズで挑んでくる ↓↓ 執筆中の次年度版には掲載し、該当箇所を修正させた Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 24
PART2 10の施策 (でも4つだけ紹介) №.4 <会社のセキュリティルール(システムセキュリティ)の教育> サービスの企画~設計・開発むけにルールの解説とソリューション案を記したテキストを 制作。同時に習熟度を測るCBTを用意した 1200件の相談案件記録から業務ケースごとに原稿を起こした 初年度は全員が必参加で受講(読んでCBT受ける) 次年度は、webサービスの企画~設計・製造する人は必ず受けよとした。120P、60の 開発ケース 年間で800名新規受講者を実施 ↑↑ 会社の人は、ルールの原本(情報管理規程、同規程細則)なんて読まない 業務ケースごとなら関連記事を連想しやすいので読んでくれる サービスの企画、開発時には参照しているらしく、ページのコピーを各所引用していた 公開前レビューや監査の担当者が指摘点根拠として参照している Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 25
<どれほどやったらゴールなの?> ◎前述の施策が10年間で自律自転するようになっていました (パートナーさんへの委託をし、報告を受ける+評価して差し上げる)→ この状態が低廉でセキュリティリスクが低減されている状態「ゴール」 ◎仕事を創って永続的に動かすことが文系セキュリティと考えます。それ には、技術的なことは踏まえた上で、人の感情や利益をよみ、動かす仕組 みを構築することにほかなりません ※写真はイメージです PART3 コツ (セキュリティをうまいことやるには) ※写真はイメージです Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 31
PART3 コツ (セキュリティをうまいことやるには) IPAのロードマップ(多数の施策が置かれている) 全部を選択する必要は無い(簡易なものから進める、気になるところから始める) 出来るはずもない 参照元:IPA 情報セキュリティマネジメントとPDCAサイクル http://www.ipa.go.jp/security/manager/protect/pdca/risk.html Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 32
PART3 コツ (セキュリティをうまいことやるには) <従業者のセキュリティ意識アップこそが鍵を握る> ・意識アップ(改革)のコツ 必要なのは、「圧倒的」であること(愛社、マネジメント力、経営、年次?、・・・、技術、 当事者意識) 社内に薄い毒を流し続けること、エビデンス・データをとり続け見えるようにする 月間40~60件の抜き取り診断、ダメダメ事業部・ダメダメ開発ベンダーランキング 役員間に競争意識をもたせる仕掛け 役員会へ持ち込み、事業部間ランキングみて「おまえとこダメダメやんか」発言 • • • • • 診断結果 診断後の改修期限切れ一覧 監査結果 前年度監査指摘項目の改修結果一覧 教育受講者消化率一覧、成績一覧 1事業部長が一斉検査を始めた 別のところでは、一斉改修を進めた Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 33
PART3 コツ (セキュリティをうまいことやるには) <従業者のセキュリティ意識アップこそが鍵を握る> 現場(事業部)の従業者に味方であると思わせる仕掛け ◼ ◼ ◼ ◼ 云うことがぶれないこと、発言が一貫していること 相手のスキルに合わせて道具を用意する 常に事業部へ露出し、対話のチャンスを作る 季節毎にイベントを仕掛ける(毎年秋には、次年度の施策計画材料出して予算案作り) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 34
PART3 コツ (セキュリティをうまいことやるには) <セキュリティ施策は金を生まないか?> セキュリティベンダのコンサルティングをしていた弊社メンバーは、よく「セキュリティ はお金を生まない(稼ぐことがない仕事)であるから受注が難しい」と語っています。こ れは、それまでのお仕事人生の中で体感してきたことです ところが企業の中ではリスクマネジメントにおいてリスク量をはかっていくことにより、 明示的に提示することが可能です マイナススケール側も見よう(想定したインシデントが発生しなかったら、その年は+値 を加算) コストがかかると思われている (保険でしょ?と発言する役員→それはリスクファイナンスであり論理的に説明可能) 優先順位付けをして、軽いものだけ実行することでも構わない ♦優先11項目+性能曲線 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 35
PART3 コツ (セキュリティをうまいことやるには) <企業内で実証実験が要る> (企業内で誰もがやったことのない仕事、認めていただくのにも苦労いる) 仮説→実施→評価 組織が受け入れてくれることの理由はなんだろう(脅威、上意、技量の差、社内年次の 差) 手離れの良い施策 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 36
※写真はイメージです PART4 会社を辞める・会社を創る (やめるきっかけ、つくるきっかけ) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 37
PART4 会社を辞める・会社を創る (やめるきっかけ、つくるきっかけ) <会社を辞めたきっかけ> そもそも4年前から創業の話をしていた でも後輩がいないことと引き留められるのは、会社のリスク。そういう存在であること~ 強く求められる事のうれしさから残留していた。 2014年会社のIPOをキッカケにセキュリティリスク削減強化のプロジェクト、100名へ 増員となった。後輩がたくさん出来たのでもういい。---① + これまでにはない『むつかしいひと』が担当執行役員になり、方針が合わなかった。議論 をしないで独断な感じ。---② ①と②が揃ったので、4月の組織変更後2週間で退職を決めた。 ♦このときはやった脆弱性4つ(2014年春) OpenSSLハートブリード/キャッシュ汚染、Struts、Windows 秋にはbash Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 38
PART4 会社を辞める・会社を創る (やめるきっかけ、つくるきっかけ) <会社を創ったきっかけ> 創業を奨めてくれるありがたい友達 自分のアセットとマーケットを鑑みてほかにあまり例がない 考え方と具体的な進め方をお商材にしようとかんがえた それまでお付き合いのあったコンサルティングさんのご提案、やったことないだろう?と 思わせるものあり不満 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 39
PART4 会社を辞める・会社を創る (やめるきっかけ、つくるきっかけ) <セキュリティ担当者のモチベーション> 文系セキュリティ:おもしろい、たのしいがないと長続きしません 相手がどう感じるか、その結果どう動くかを突き詰め、考え尽くす 仕掛けをつくって種まき、そこには自律的にうごく世界がまってる 「みたてる、したてる、うごかす」を強く意識し実践できると面白く楽しい仕事になりま す さらに長期稼働する事により、全社の情報が蓄積されてきます。時には現場に、或いは経 営に影響するようになったとき、本領を発揮することになります Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 40
PART4 会社を辞める・会社を創る (やめるきっかけ、つくるきっかけ) <セキュリティ担当者のモチベーション> 理系セキュリティでも動かすという点では「手が動く」ことに高いモチベーション持つこ とはあると思います。 役割的には文系セキュリティ担当が発注する1ファンクションにすぎないので、全体を見 渡す情報が集まることは難しいかもしれないと思います。従って、会社上層部から求めら れる情報(統括、ガバナンス)を提示することが出来ない場合は、1機能として取り扱わ れる運命ではないかと思います。 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 41
PART4 会社を辞める・会社を創る (やめるきっかけ、つくるきっかけ) <セキュリティ担当者のモチベーション> ◎経営に近いレイヤでは、セキュリティも「リスクマネジメント」の一機能であるに過ぎま せん。このとき、経営リスク、人事リスク、事業継続、、、など他のリスクマネジメントと 肩を並べるほど意識され、リスク削減効果を得るための投資として考えられるほどの情報 (エビデンスを元にしたデータ)を提示出来るようになっている事が大切。そこに新たな面 白さがあると考えます。 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 42
<ケーススタディ> 本日のお話を聞いていただいて、あなたは私(松尾)と同じグループに属してセキュリ ティ施策を推進しているものとします。下記のケースではどういうアクションをしたらい いか、考えてみてください。 ※写真はイメージです PART5 ケーススタディ (こんなときどうします?) Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 43
PART5 ケーススタディ (こんなときどうします?) ケーススタディ1 情報管理規程細則(そのうち、システムセキュリティ部分)の教育を進めてきて3期目に なる春のこと、一か所だけ開発企画部の課長から電話が入り『私の部署20名は忙しいか ら受講させません』と庶務に伝言されました。あなたは全員受講させるのが今期目標です。 一つ年次が上のよく知る課長さん、あなたはどうお話をしますか。 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 44
PART5 ケーススタディ (こんなときどうします?) ケーススタディ2 脆弱性診断を情報セキュリティ部署主導で進めてきましたが、指摘点を修正したくないと いう組織がいくつか、また放置してくる組織がそれなりの数に上ってきました。あなたは 「各案件が期限内に全数修正完了させる」のが目標です。対象組織にどうアプローチしま すか。 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 45
PART5 ケーススタディ (こんなときどうします?) ケーススタディ3 新しいシステム開発に際して、パスワードは利便のために4桁の数字にしたい(規定では 6桁英数文字混合)という申告があり、かなり強力に押し込んできています。「リーチを 稼ぐには絶対必要、社運がかかってる!!」という具合です。公開webゆえ危険な感じ です。あなたはどう回答しますか。 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 46
PART5 ケーススタディ (こんなときどうします?) ケーススタディ4 『社内用PCへファイル転送機能(ftp)を使ってファイル送信する機能』の性能が上 がらないので、アンチウイルスソフトのリアルタイムスキャン機能を解除したいという申 告がありました。あなたは許可しますか。 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 47
ご清聴ありがとうございました ご清聴ありがとうございました ユーザー企業のセキュリティ担当者 としてやってきたことを ええとこ取りでお話します ※写真はイメージです ㈱セキュアシステムスタイル 松尾 Copyright 2019 Secure System Style Co., Ltd. All Rights Reserved 48