グローバル企業におけるセキュリティ戦略グローバルセキュリティポリシーによるガバナンス 2018年10月５日 NTTコミュニケーションズ株式会社マネージドセキュリティサービス推進室川端誠 Copyright NTT Communications Corporation. All rights

Size: px

Start display at page:

Download "グローバル企業におけるセキュリティ戦略グローバルセキュリティポリシーによるガバナンス 2018年10月５日 NTTコミュニケーションズ株式会社マネージドセキュリティサービス推進室川端誠 Copyright NTT Communications Corporation. All rights"

うのすけとどろき
5 years ago
Views:

1 グローバル企業におけるセキュリティ戦略グローバルセキュリティポリシーによるガバナンス 2018年10月５日 NTTコミュニケーションズ株式会社マネージドセキュリティサービス推進室川端誠

2 本日のアジェンダ I. グローバル企業におけるセキュリティガバナンス II. グローバルセキュリティポリシー III. グローバルセキュリティ実装運用 IV. グローバルモニタリング V. さいごに 2

3 I. グローバル企業におけるセキュリティガバナンス 3

セキュリティガバナンスとはコーポレートガバナンスとそれを支える内部統制のメカニズムを情報セキュリティの観点から企業内に構築運用する必要性が国内企業で高まっていますセキュリティガバナンスフレームワーク利害関係者経営陣経営者による方向性付け活動状況のモニタリングおよび評価利害関係者への報告更にこれらを確

4 セキュリティガバナンスとはコーポレートガバナンスとそれを支える内部統制のメカニズムを情報セキュリティの観点から企業内に構築運用する必要性が国内企業で高まっていますセキュリティガバナンスフレームワーク利害関係者経営陣経営者による方向性付け活動状況のモニタリングおよび評価利害関係者への報告更にこれらを確認する監督のプロセスにより枠組みが構成されるセキュリティガバナンスフレームワーク説明(Communicate) 監査役評価(Evaluate) 方向付け (Direct) 監督 (Oversee) モニタリング (Monitor) コミットメント PDCA進捗状況セキュリティマネジメント管理者層出典: 経済産業省情報セキュリティガバナンス導入ガイダンス 2009年より 4 4

5 企業グループにおけるセキュリティガバナンス企業グループにおけるガバナンスの在り方は意思決定やモニタリングなどの権限を親会社などリーダ企業に集中させるモデルと各社に権限移譲するモデルが考えられますセキュリティガバナンスモデル ( グループ統制のタイプ ) A. リーダ企業に権限集中 B. グループ企業に権限を一部移譲 C. グループ各社に権限移譲親会社などリーダ企業説明監督親会社などリーダ企業説明監督グループ全体を統括す親会社などリーダ企業評価評価る会議体方向付けモニタリング方向付けモニタリングリーダ企業が統制する部分 G 会社 G 会社 G 会社 G 会社 G 会社 G 会社 G 会社 G 会社 G 会社グループの情報セキュリティに関する権限をリーダー企業 ( 親企業 ) に集中しグループ内の各社 ( 子会社 ) は自らの統制構造を持たないグループの情報セキュリティに関する権限はリーダー企業が握るがその一部をグループ各社に委譲しそれぞれが自らの統制構造を有するグループの情報セキュリティに関する権限を各社に委譲しリーダー企業を含むグループ内の各社がそれぞれ自らの統制構造を有する出典 : 経済産業省情報セキュリティガバナンス導入ガイダンス補足編 (2011 年 ) より 5

6 グローバル企業におけるセキュリティガバナンスグローバルな統制をするときの留意事項国内グローバル必ず出てくる課題グローバルに事業展開する企業はこのような条件下で国内外のグループ会社や事業拠点を統制してゆく必要に迫られる予算人的リソース不足高い人材流動性法制度商慣習文化の違いカントリーリスクの違い 6

7 グローバルなセキュリティガバナンスの要諦グローバルに展開する企業グループ横断でセキュリティ対策の統制をとるためには動機付け管理方針およびリソース支援の 3 つの方針を明確化することが成否のカギを握ります動機付け本社から強制力や動機づけをどの程度強く実施できるか? ( 例 : 情報開示にトップレベルの協力依頼が可能か?) 管理方針リソース支援本社にコントロール機能 ( ログ監視一括提供共通基盤運用など ) を集中させるかグループ各社個別に運用させるか? 予算や人員不足等の理由で対策実施の困難なグループ会社に対する財政的補助を行うか? 7

8 グローバルなセキュリティガバナンスの構成要素グローバルセキュリティポリシーグループ企業すべてに共通するミニマムスタンダードグループ全体全拠点で遵守される内容グローバルセキュリティ基盤一元化された IT 基盤と管理体制本社主導の情報共有と連携グローバルモニタリング本社 - 各拠点間のコミュニケーションを目的とした監査 8

9 II. グローバルセキュリティポリシー 9

10 グローバルセキュリティポリシーとはグローバルセキュリティポリシー : 規模業容地域等の特性を問わずグループ内各組織が最低限遵守すべきセキュリティ対策をまとめたミニマムスタンダード個社別セキュリティポリシー : グループ会社が組織規模業容地域法制商習慣など個社別の事情を反映してグローバルの規定内容に追加修正を加えて策定本社 ( 日本 ) のポリシー中国拠点のポリシー 10

11 グローバルセキュリティポリシーによる対策均一化複数組織が相互につながるグローバル企業においてグローバルなポリシー展開によりセキュリティポリシーの違いから生じ得るインシデント発生や被害拡散のリスクを低減しますポリシーが組織毎に異なる状態ポリシーが統合された状態 Internet 関連会社A Policy? 本社/持株 Policy Internet 関連会社B Policy WAN グループ会社間でセキュリティポリシーが異なる場合重要情報のデータベースやネットワーク接続によるインシデント拡散のリスクが懸念される Copyright NTT Communications Corporation. All rights reserved. 関連会社A 本社/持株関連会社B Policy WAN グループ横断のセキュリティポリシー統一によりセキュリティ対策の均一化が実現され重要情報データベースやネットワーク共有が可能となる 11

12 グローバルセキュリティポリシーの策定 I. ドラフティング II. 検証 III. 最終化日本本社で運用中のポリシーを精査しグループ会社でも最低限遵守すべき事項を抽出 ( 必要な場合は英訳 ) 日本国内ポリシー ( 規程 / 基準類 ) 必要最低限の項目を抽出ドラフトグループ会社 ( 複数 ) を選びドラフトしたポリシーと各社現状とのギャップ ( 達成できていない項目 ) を洗出すギャップ洗出グループ会社担当者とのヒアリングギャップ洗出グループ会社担当者とのヒアリングギャップ洗出グループ会社 A グループ会社 B グループ会社 C ギャップギャップギャップ各社において所見されたギャップ内容を分析しポリシー自体への修正および本社グループ会社にて今後対応が必要な課題項目を列挙ギャップ分析過度に厳しい項目または要件漏れ等はなかったか最終版課題項目一覧本社および各対象拠点にて GSP 運用のために解決すべき課題の一覧表グループ会社担当者とのヒアリング 12

13 対策フレームワークグローバルポリシーとして求める対策を体系化して全体として何が必要かを整理しますグローバルセキュリティ対策体系の例アプリケーションプラットフォーム WAF SIEM 暗号化メール対策データ保護 DB 監視 DLP 文書管理アクセス認証 ID 管理 SSO エンドポイントホストセキュリティ資産管理 AV/ EDR パッチ管理モバイル /BYOD NAC MDM 認証 / アカウント管理多要素 PIM AAA 認証インフラファイアウォール IPS/IDS/ サンドボックス Web フィルタリングプロキシ /CASB NW アンチウィルス DLP DDoS 対策 IT 運用プロセス資産 / 構成管理インシデント対応脆弱性管理変更管理アクセス管理イベント監視人組織ポリシー / 規程類情報資産分役割分掌リスク分析監査 / 点検類 / 棚卸し教育 / 啓蒙 CSIRT 13

14 III. グローバルセキュリティ実装運用 14

15 セキュリティ対策のグローバル展開の現実本社 ( 日本 ) 支社 ( 海外 ) セキュリティ規程の英語版を作成しました本社は実施済みなのでそちらでもお願いします日本の本社が策定したセキュリティ規程 ( の英訳版 ) おいおいこんな内容がこっちでできるわけないだろ! 予算も人もないのに本社と同じような対策はなかなか難しい 15

16 本社によるセキュリティ対策運用の支援本社からグループ会社向け支援サービスを提供本社計画立案支援ツール提供グループ会社 ( 国内 ) 共通基盤提供指示だけではなくポリシーを実現する活動を支援研修情報ナレッジ共有相談窓口提供グループ会社 ( 海外 )

17 IT基盤統合と一元管理 IT基盤統合と一元管理の例 ①NFV(Network Functions Virtualization でセキュリティ機能を提供 ②NWに接続するだけで一定レベルのセキュリティを提供 ex. FW,IPS,AV ③拠点毎に求められるパラメータ変更やログ参照はカスタマポータルから実施カスタマーポータル従来ネットワークインターネット SDN+NFV 17 27

18 グループ横断施策の事例国内の某企業グループにおいて共通インターネットセキュリティ基盤を構築運用し中小規模の国内子会社と一部の海外子会社を相乗りさせて対策レベルの均一化を図っています Internet Internet 専門業者による SOC監視サービス本社契約共通セキュリティ基盤本社主導で国内外のグループ子会社に対する現状評価計画策定を実施海外子会社本社国内子会社本社子会社間でセキュリティ対策レベルにバラツキがある海外子会社本社国内子会社グループ共通のセキュリティ基盤を構築しグループ一括での対策レベル向上 18

19 IV. グローバルモニタリング ( 海外拠点への監査について ) 19

20 海外拠点に対するセキュリティ監査 1 事例 : 某国内メーカーでの事例国内本社 1 規程雛形の提供 1 規程雛形の提供国内グループ会社 2 管理運用 3 監査 3 監査支援海外グループ会社 2 管理運用外部セキュリティサービス企業 3 監査 3 監査支援本社が国内外グループ会社の情報セキュリティ運用全般を本社が直接監査また監査には外部セキュリティサービス企業による支援も活用している 20

21 海外拠点に対するセキュリティ監査 2 実施方法別のプロコン本社から調査要員が訪問本社海外拠点現状がよく把握でき効果は高いが費用時間がかさむチェックリストのみやり取り本社海外拠点費用時間を押さえられるが現状を本当に把握できるか不安材料が多い Web/TV 会議によるヒアリング本社海外拠点最近多くなってきたパターンネットワーク品質が悪いと双方ストレス増 21

22 海外拠点に対するセキュリティ監査 3 海外拠点を監査した結果本社と同等か本社よりもハイレベル本社海外拠点日本で実施されている対策は以前から導入セキュリティや個人情報保護に関する法制度が進んでいる欧米に多いまたは本社レベルにほど遠い本社海外拠点欧米以外の拠点に多い専門知識予算に制約が大きく情報管理が文化として根付いていない場合もある 22

23 海外拠点に対するセキュリティ監査 4 監査結果から何を検討するか? 本社と同等か本社よりもハイレベル本社海外拠点本社よりもレベルの高い拠点からは積極的にナレッジを得る他の拠点に対する情報共有の可能性も検討本社レベルにほど遠い本社是正 / 改善要求 X 支援の検討改善策の指導海外拠点自助努力による是正や改善要求よりも本社から何を支援してあげられるかという方向で改善を検討する 23

24 海外拠点に対するセキュリティ監査 5 当面はチェックよりも改善指導 ( 支援 ) とナレッジ共有本社海外拠点監査国内拠点海外拠点監査を通じたナレッジ共有によりグローバルポリシーをスパイラルに改善 24

25 V. さいごに 25

26 グローバルなセキュリティガバナンスの留意事項グローバルなセキュリティ対策の展開は時間がかかる本社が情報共有のハブとなりグループ企業を支援する姿勢が重要基盤統合 / クラウド化を常に検討 26

27 ご清聴ありがとうございました本セミナーでご紹介しましたのは総合リスクマネジメントサービス WideAngle ですぜひ展示エリアまでお越しください印の場所に展示しています

[ 指針 ] 1. 組織体および組織体集団におけるガバナンスプロセスの改善に向けた評価組織体の機関設計については株式会社にあっては株主総会の専決事項であり業務運営組織の決定は取締役会等の専決事項であるまた組織体集団をどのように形成するかも親会社の取締役会等の専決事項であるしたがってこ

[ 指針 ] 1. 組織体および組織体集団におけるガバナンスプロセスの改善に向けた評価組織体の機関設計については株式会社にあっては株主総会の専決事項であり業務運営組織の決定は取締役会等の専決事項であるまた組織体集団をどのように形成するかも親会社の取締役会等の専決事項であるしたがってこ実務指針 6.1 ガバナンスプロセス平成 29( 2017) 年 5 月公表 [ 根拠とする内部監査基準 ] 第 6 章内部監査の対象範囲第 1 節ガバナンスプロセス 6.1.1 内部監査部門はガバナンスプロセスの有効性を評価しその改善に貢献しなければならない (1) 内部監査部門は以下の視点からガバナンスプロセスの改善に向けた評価をしなければならない 1 組織体として対処すべき課題の把握と共有