PowerPoint プレゼンテーション

Similar documents

預金を確保しつつ資金調達手段も確保する収益性を示す指標として営業利益率を採用し営業利益率の目安となる数値を公表する株主の皆様への還元については持続的な成長による配当可

平成25年度　独立行政法人日本学生支援機構の役職員の報酬・給与等について

18 国立高等専門学校機構

（２）大学・学部・研究科等の理念・目的が、大学構成員（教職員および学生）に周知され、社会に公表されているか

<6D313588EF8FE991E58A778D9191E5834B C8EAE DC58F4992F18F6F816A F990B32E786C73>

<6D33335F976C8EAE CF6955C A2E786C73>

する ( 評定の時期 ) 第条成績評定の時期は第 3 次評定者にあっては完成検査及び部分引渡しに伴う検査の時とし第次評定者及び第次評定者にあっては工事の完成の時とする ( 成績評定

<4D F736F F D F8D828D5A939982CC8EF68BC697BF96B38F9E89BB82CC8A6791E52E646F63>

その他事業推進体制平成 20 年 3 月 26 日に石垣島国営土地改良事業推進協議会を設立し事業を推進 ( 構成 : 石垣市石垣市議会石垣島土地改良区石垣市農業委員会沖縄県農

独立行政法人国立病院機構呉医療センター医療機器安全管理規程

<819A955D89BF92B28F BC690ED97AA8EBA81418FA48BC682CC8A8890AB89BB816A32322E786C7378>

(Microsoft Word - \212\356\226{\225\373\220j _\217C\220\263\201j.doc)

Microsoft PowerPoint - 報告書(概要).ppt

質問票 ( 様式 3) 質問番号 62-1 質問内容鑑定評価依頼先は千葉県などは入札制度にしているが神奈川県は入札なのか?または随契なのか?その理由は? 地価調査業務は単にそれぞれの地点の鑑定

続に基づく一般競争 ( 指名競争 ) 参加資格の再認定を受けていること ) c) 会社更生法に基づき更生手続開始の申立てがなされている者又は民事再生法に基づき再生手続開始の申立てがなさ

文化政策情報システムの運用等

<4D F736F F D C482C682EA817A89BA90BF8E7793B1834B A4F8D91906C8DDE8A A>

自衛官俸給表の１等陸佐、１等海佐及び１等空佐の（一）欄又は（二）欄に定める額の俸給の支給を受ける職員の占める官職を定める訓令

<8BB388F58F5A91EE82A082E895FB8AEE967B95FB906A>

為が行われるおそれがある場合に都道府県公安委員会がその指定暴力団等を特定抗争指定暴力団等として指定しその所属する指定暴力団員が警戒区域内において暴力団の事務所を新たに設

2 役員の報酬等の支給状況平成 27 年度年間報酬等の総額就任退任の状況役名報酬 ( 給与 ) 賞与その他 ( 内容 ) 就任退任 2,142 ( 地域手当 ) 17,205 11,580 3,311 4 月 1

Microsoft Word - 全国エリアマネジメントネットワーク規約.docx

社会保険加入促進計画に盛込むべき内容

別紙第号高知県立学校授業料等徴収条例の一部を改正する条例議案高知県立学校授業料等徴収条例の一部を改正する条例を次のように定める平成 26 年 2 月日提出高知県知事尾

●幼児教育振興法案

航空隊及び教育航空隊の編制に関する訓令

入札参加者は入札の執行完了に至るまではいつでも入札を辞退することができこれを理由として以降の指名等において不利益な取扱いを受けることはない 12 入札保証金免除 13 契約保証金免除 14 入

Transcription:

Cybersecurity-Frameworkを用いた対策案合意形成手法の提案東京電機大学情報セキュリティ研究室福島章太

目次 2 背景課題提案実装今後の方針まとめ

目次 3 背景課題提案実装今後の方針まとめ

背景 4 現状 Cybersecurity-Frameworkについて IntelのCybersecurity-Framework 利用例本研究の目的について

背景 5 現状 Cybersecurity-Frameworkについて IntelのCybersecurity-Framework 利用例本研究の目的について

現状 (1/2) 6 経営陣と管理者層のセキュリティ管理に対する共通認識が乏しい 1セキュリティの技術的な説明セキュリティは技術問題 2セキュリティ管理の委任経営陣管理者層係長セキュリティから社長セキュリティへ: 日本的経営と情報セキュリティ, 2010 年, 林紘一郎情報セキュリティ総合科学第 2 号収録

現状 (2/2) 7 アプローチの一つ Cybersecurity-Framework 重要インフラのサイバーセキュリティを向上させるためのフレームワーク 1.0 版, 2014 年, 米国国立標準技術研究所 (NIST)

背景 8 現状 Cybersecurity-Frameworkについて IntelのCybersecurity-Framework 利用例本研究の目的について

Cybersecurity-Frameworkについて(1/6) 9 Cybersecurity-Frameworkとは 2014 年に米国国立標準技術研究所 (NIST)が公表セキュリティリスク管理原則を企業が適用できるようにするセキュリティのリスクを把握管理表現することを補助する 3つの要素から成り立つフレームワークコアフレームワークインプレメンテーションティアフレームワークプロファイル

Cybersecurity-Frameworkについて(2/6) 10 フレームワークコアとはセキュリティリスクを管理する上で役に立つ主な成果一覧機能カテゴリーサブカテゴリー参考情報からなる

Cybersecurity-Frameworkについて(3/6) 11 フレームワークインプレメンテーションティアとは企業がセキュリティのリスクをどのように捉えているかリスク管理にどのようなプロセスを実施しているかの段階ティア1~ティア4まで段階があるティア1: 部分的であるティア2: リスク情報を活用しているティア3: 繰り返し適用可能であるティア4: 適応している

Cybersecurity-Frameworkについて(4/6) 12 フレームワークプロファイルとは企業の要件に基づいて調整されたフレームワークコア企業がフレームワークコアから必要なカテゴリーを選択しそれに基いて現状や目標を記述するサイバーセキュリティの現状と目標を比較する為に使用可能

Cybersecurity-Frameworkについて(5/6) 13 まとめフレームワークコア (コア) 対策をすることで効果が得られることが認められた分野一覧フレームワークインプレメンテーションティア (ティア) リスク管理の認識やプロセスを4 段階で示したものフレームワークプロファイル (プロファイル) 企業がコアから必要なカテゴリーを抜粋し評価したもの

Cybersecurity-Frameworkについて(6/6) 14 経営陣と管理者層のリスクコミュニケーションに有効 1 評価したプロファイルで現状のセキュリティを説明 2リスクコミュニケーション経営陣管理者層どの規模の企業にもそのまま適用可能ではない各企業で部分的に独自のカスタマイズが必要

背景 15 現状 Cybersecurity-Frameworkについて IntelのCybersecurity-Framework 利用例本研究の目的について

IntelのCybersecurity-Framework 利用例 (1/4) 16 Pilot Projectについて米 Intel 社は Pilot Project としてフレームワークを試用した 4つのフェーズで7ヶ月間行動 1. ティアの目標設定 2. 現状評価 3. 結果を分析 4. 結果を協議 The Cybersecurity Framework in Action: An Intel Use Case, 2015 年,Intel Corporation

IntelのCybersecurity-Framework 利用例 (2/4) 17 プロジェクトの全体的な方針についてコアのサブカテゴリーは簡略化のため利用しない方針にした代わりにカテゴリーを独自に充実させたティアについてティア毎に独自の定義を設け評価の指標とした

IntelのCybersecurity-Framework 利用例 (3/4) 18 評価結果について各担当者の現状評価とティアの目標値を比較したカテゴリー各担当者の評価目標値

IntelのCybersecurity-Framework 利用例 (4/4) 19 まとめ CISOやCISO 補佐等のセキュリティ専門家がカテゴリー毎に目標ティアを設定各分野の担当者がカテゴリー毎に現状のティアを入力目標と現状を比較し意思決定者とコミュニケーション

背景 20 現状 Cybersecurity-Frameworkについて IntelのCybersecurity-Framework 利用例本研究の目的について

本研究の目的について(1/4) 21 Cybersecurity-Frameworkの課題組織の要件を満たすためには目標に至るための対策が必要フレームワークは現状と目標の差異を分析するためのもの対策案を列挙選定するという部分まで至っていない

本研究の目的について(2/4) 22 経営陣管理者層の利用イメージ 2 現状把握 1 現状入力 DB 経営陣,CISO Cybersecurity-Framework 適用範囲管理者層 3 対策必要範囲把握 4 対策列挙

本研究の目的について(3/4) 23 本研究の目的現状のティアが目標に到達するための対策を列挙し選定する手法が必要 Intelの利用例を基に対策列挙手法を提案

本研究の目的について(4/4) 24 本研究の目的 2 現状把握 1 現状入力 DB 経営陣,CISO Cybersecurity-Framework 適用範囲管理者層 3 対策必要範囲把握 4 対策列挙

目次 25 背景課題提案実装今後の方針まとめ

課題 (1/2) 26 現状把握イメージ管理者 1 管理者 2 管理者 3 管理者 4 目標値カテゴリー 1 1 2 2 2 2 カテゴリー 2 2 3 1 2 3 カテゴリー 3 1 2 1 3 3 カテゴリー 4 4 3 3 4 4 カテゴリー 5 3 4 3 4 4

課題 (2/2) 27 一般的に対策の効果は定量的定性的に表される対策列挙をする際の課題従来の様に対策の効果を数値とすると問題が発生する対策 1と2を実行しただけでティアの定義を満たすとは限らない対策一覧ティア定義一覧対策名対策 1 外部講師による教育対策 2 リスク情報で対策会議上昇ティア 0.7 0.5 ティア2 ティア3 ティア4 定義 2-1 教育の実施定義 2-2 リスク情報で対策を決定定義 3-1 試験による能力把握定義 3-2 リスク情報から対策を改善定義 4-1 方針に応じた教育改善定義 4-2 リスク情報から兆候察知

目次 28 背景課題提案実装今後の方針まとめ

提案 (1/3) 29 対策の効果をティア定義の不足部分を補う形とする例 : 対策一覧対策名対策 1 外部講師による教育対策 2 リスク情報で対策会議ティア定義一覧ティア2 ティア3 ティア4 定義 2-1 教育の実施定義 2-2 リスク情報で対策を決定定義 3-1 試験による能力把握定義 3-2 リスク情報から対策を改善定義 4-1 方針に応じた教育改善定義 4-2 リスク情報から兆候察知

提案 (2/3) 30 満たしたティア定義に応じてティアを算出対策後の状況とティアの値に矛盾が無くなるティア定義一覧ティア2 ティア3 ティア4 定義 2-1 教育の実施定義 2-2 リスク情報で優先順位付け定義 3-1 試験による能力把握定義 3-2 リスク情報から対策を改善定義 4-1 方針に応じた教育改善定義 4-2 リスク情報から兆候察知

提案 (3/3) 31 経営陣管理者層の利用イメージ 2 現状把握 1 現状入力 DB 経営陣,CISO Cybersecurity-Framework 適用範囲管理者層 3 対策必要範囲把握 4 対策列挙

目次 32 背景課題提案実装今後の方針まとめ

実装 (1/11) 33 経営陣管理者層の利用イメージ 2 現状把握 1 現状入力 DB 経営陣,CISO 1234を行えるツールや機能を実装 Cybersecurity-Framework 適用範囲管理者層 3 対策必要範囲把握 4 対策列挙

実装 (2/11) 34 開発ツール機能一覧 1 現状入力ツール 2 現状把握ツール 3 対策必要範囲把握機能 4 対策列挙機能経営陣,CISO 2 現状把握 DB 3 対策必要範囲把握 4 対策列挙 1 現状入力管理者層

実装 (3/11) 現状入力イメージ経営陣,CISO 2 現状把握 DB 3 対策必要範囲把握 4 対策列挙 1 現状入力管理者層 35 管理者評価対象 (カテゴリー一覧 ) カテゴリー名カテゴリー1 カテゴリー2 カテゴリー3 評価項目 (ティア定義一覧 ) ティア2 ティア3 ティア4 定義 2-1 定義 3-1 定義 4-1 定義 2-2 定義 3-2 定義 4-2 定義 2-3 定義 3-3 定義 4-3

実装 (4/11) 36 管理者に対する現状入力ツールカテゴリー毎に達成しているティア定義を選択可能満たしているティア定義から現状のティアを算出ティア定義に厳密な現状評価が可能となった

実装 (5/11) 現状把握イメージ経営陣,CISO 2 現状把握 DB 3 対策必要範囲把握 4 対策列挙 1 現状入力管理者層 37 管理者 1 管理者 2 管理者 3 管理者 4 目標値カテゴリー 1 1 2 2 2 2 カテゴリー 2 2 3 1 2 3 カテゴリー 3 1 2 1 3 3

実装 (6/11) 38 現状把握ツール管理者毎にどのティアに至っているか閲覧可能管理者と経営陣の認識の差異を比較することも可能経営陣に対してティアの数値による現状報告が可能となった

実装 (7/11) 対策必要範囲把握イメージ経営陣,CISO 2 現状把握 DB 3 対策必要範囲把握 4 対策列挙 1 現状入力管理者層 39 管理者カテゴリー名カテゴリー1 カテゴリー2 カテゴリー3 目標ティアティア2 ティア3 ティア4 定義 2-1 定義 3-1 定義 4-1 定義 2-2 定義 3-2 定義 4-2 定義 2-3 定義 3-3 定義 4-3 対策必要範囲

実装 (8/11) 40 対策必要範囲把握機能 : 現状満たしているティア定義 : 満たす必要があるティア定義 ( 対策が必要な部分 ) -: 満たす必要がないティア定義

実装 (9/11) 対策列挙イメージ経営陣,CISO 2 現状把握 DB 3 対策必要範囲把握 4 対策列挙 1 現状入力管理者層 41 管理者対策一覧対策名対策 1 対策 2 カテゴリー名カテゴリー1 カテゴリー2 カテゴリー3 目標ティアティア2 ティア3 ティア4 定義 2-1 定義 3-1 定義 4-1 定義 2-2 定義 3-2 定義 4-2 定義 2-3 定義 3-3 定義 4-3

実装 (10/11) 42 対策列挙機能対策が影響する管理者カテゴリーティア定義を選択可能定義に厳密な対策を列挙することが可能となった

実装 (11/11) 43 提案実装の利点フレームワークの目標と現状の差分を取るという点に加え目標に至る為に対策が必要な範囲が分かるようになった目標に至るための具体的な対策を列挙出来るようになった

目次 44 背景課題提案実装今後の方針まとめ

今後の方針 45 提案の実用性を検証対策選定を補助する機能作成各対策の効果を明示する機能対策後のティアを表示する機能対策案の最適化機能利便性の充足カテゴリー編集機能 GUIの調整プログラムの最適化

目次 46 背景課題提案実装今後の方針まとめ

まとめ 47 経営陣と管理者層のセキュリティリスクに対するコミュニケーションが上手くいっていない NISTのCybersecurity-Frameworkというアプローチがあるフレームワークは対策について講じられていない Intelの例から経営陣との合意を図れる対策列挙手法を提案対策列挙手法を利用出来るようにツールを実装提案実装により目標に至るための対策列挙が可能に今後は提案手法の実用性を検証する

試適用のプロセス案東京電機大学情報セキュリティ研究室福島章太

研究概要 49 各管理者カテゴリー毎のティアを目標値にするための対策を列挙する手法を提案管理者 1 管理者 2 管理者 3 管理者 4 目標値カテゴリー 1 1 2 2 2 2 2 カテゴリー 2 2 3 1 2 3 カテゴリー 3 1 2 1 3 3

試適用の目的 50 研究室内の情報管理体制に不備はないか提案手法である対策列挙手法は実行可能か列挙した対策を実行することでティアは上昇するか (or ティアの定義が部分的にでも満たされるか)

プロセス案 51 提案手法のプロセス

プロセス案 52 試適用の役割分担案経営陣 : 佐々木先生 ( 結果閲覧と対策指示 ) CISO: 福島 ( 試適用の進行役 ) 管理者層 : 研究室内の各係のリーダー ( 主に外部に漏れてはいけない情報を持つ係 )

プロセス案 53 プロセス案の概念図要件と目標の決定現状の調査現状と目標の比較対策の協議対策の実施対策の評価現在

まとめ 54 経営陣と管理者層のセキュリティリスクに対するコミュニケーションが上手くいっていない NISTのCybersecurity-Frameworkというアプローチがあるフレームワークは対策について講じられていない Intelの例から経営陣との合意を図れる対策列挙手法を提案対策列挙手法を利用出来るようにツールを実装提案実装により目標に至るための対策列挙が可能に今後は提案手法の実用性を検証する