これでスッキリ! サイバーセキュリティ経営ガイドライン
サイバーセキュリティ脅威はすぐそこに はい 悪いが任せた 至急対応を頼む 今日は忙しいんだ わかりました 会社のネットワークに外部 から不正なアクセスがあった 模様です なんだって 社長 大変です 1 2 昨日 A君の席にて 営業セミナーのお知らせ おやっ 添付ファイルがある 開いてみるか 新着メール 4 6 何も起きないぞ 変なの 5 情報システム部門にて 7 後日 会議にて 先日の件 調査結果と しては 幸いなことに 機密情報が 漏えいした 形跡はありま せんでした 2 あら いつもと違う 通信が発生 している これは おかしいわ 8 それはよかった ちょっと待ってください 本件は情報システム部門だけの 今後の対応は 問題ではなく経営問題です 全部部長に 任せるよ うまいことやって おいてくれ 10 9 3 社長にもしっかり関わって いただく必要があります 11 そ そうか
セキュリティ対策を怠ることによるリスク セキュリティはそんなに 大切なのか こちらをご覧ください もし セキュリティ事故が 発生してしまった場合 我社の損害は計りしれません セキュリティ対策を怠ると セキュリティ事故が発生した際に 会社の損害賠償 だけにとどまらず 役員の業務違反による個人責任 を 追及される可能性があります 会社の損害賠償は 496万63人 漏えい人数 799件 インシデント件数 想定損害賠償総額 2541億3663万円 6578人 一件あたりの漏えい人数 一件あたり平均想定損害賠償額 3億3705万円 一人あたり平均想定損害賠償額 2万8020円 情報漏えいによる 1人あたりの平均損害 賠償額は約3万円です 我社では約10万件の 個人情報を管理している ので 理論上30億円の 損害です 30億 それはマズイ 出典 JNSA 2015年 情報セキュリティインシデントに関する調査 報告書 速報版 Ver.1.0 問われる責任は 事故発生時には次の責任を問われます 1 事業者の責任 1 役員責任 2 個人情報保護法上の責任 3 ユーザの顧客に対する民事責任 うちの弁護士によると セキュリティ対策を怠る と 会社法上の 内部統 制構築義務違反 として 会社 法人 のみならず 役員個人の責任も 問われる可能性がある ようですよ 2 データ流出 消失関与者の責任 3 委託事業者の責任 民事上 契約上の損害賠償責任 俺個人も 訴えられるのか 3
サイバーセキュリティ経営ガイドライン 困ったな~ なんとかしないと いったい何から始めたらいいのやら 経済産業省が サイバーセキュリティ経営ガイドライン を発表しています まずはこれを読んで頂けますか! サイバーセキュリティ経営ガイドライン Ver 1.0 経済産業省独立行政法人情報処理推進機構 経済産業省 サイバーセキュリティ経営ガイドラインとは? 民間企業の経営者向けにサイバー攻撃から企業を守る原則や 重要項目をまとめたガイドラインです 2015 年 12 月に経済産業省より公開されました 主な内容として 経営者が認識すべき3 原則 経営者が指示すべき重要 10 項目 が紹介されています サイバーセキュリティ経営ガイドライン Ver 1.0 サイバー攻撃から企業を守る原則 重要事項を記載 民間企業 経営者 経済産業省独立行政法人情報処理推進機構 経済産業省 経営者が認識すべき 3 原則 経営者が指示すべき重要 10 項目 ガイドライン策定の背景 サイバー攻撃により社会に損害を与えた場合 社会からリスク対応の是非 経営責任が問われることもあります 経営者は どの程度 セキュリティ投資を行って企業価値を高めるか 経営判断が求められます そこで 経営層の意識改革 経営能力を高めるサイバーセキュリティ人材の育成 等を目的として本ガイドラインは策定されました 4 経営者向けということは 俺がちゃんと理解しないといけないということだな はい そうです! 社長が主体的に取り組んでいただく必要があります やっと気づいてくれたか
経営者が認識すべきサイバーセキュリティの 3 原則 なるほど では 具体的には どんなことをしていけばいいのだろうか まず ガイドラインには 経営者が認識すべき 3 原則 があります 3 原則 1 経営者によるリーダーシップ 2 系列企業 ビジネスパートナーを含めた対策 3 平時 緊急時の情報開示及び情報共有 経営者が認識すべきサイバーセキュリティの 3 原則とは? サイバー攻撃から企業を守るうえで経営者が認識すべきことをまとめています 其の一経営者によるリーダーシップ セキュリティ効果の算出は難しく 投資を敬遠しがちです ですが 経営者はIT 利活用におけるサイバーセキュリティリスクをしっかりと認識し 自身のリーダーシップにより対策を進める必要があります うちは認識が甘かったかもしれん サイバーセキュリティについてもっと真剣に取り組まないと 其の弐系列企業 ビジネスパートナーを含めた対策 自社だけでなく 系列企業 ビジネスパートナー 委託先を含めたセキュリティ対策が必要です 系列企業 委託先 ビジネスパートナーの情報漏えいは自社の情報漏えいに直結します 委託先社員の情報漏えいはよく聞く話だな うちは大丈夫だろうか 其の参平時 緊急時の情報開示及び情報共有 サイバーセキュリティリスクや対策 対応に係る情報の開示など 関係者との適切なコミュニケーションが必要です たとえば 平時から適切なセキュリティリスクへの対応に関わる情報共有を行ったり サイバー攻撃情報をステークホルダーと共有します 普段から対策を行っていることを共有すれば 顧客 株主へのアピールにもなるな 5
経営者が指示すべき重要 10 項目 なるほど 3 原則については理解したぞ では 3 原則を実現するためには どんな取り組みが必要だろうか そうですね ガイドラインには 経営者が指示すべき重要 10 項目 も提示されています その中のいくつかを紹介しますね 重要 10 項目 1. ~ 省略 ~ 2. 3. リスクの把握と実現する ~ 4. セキュリティ対策の ~ ~ 省略 ~ 9. 緊急時の対応体制 ~ 経営者が指示すべき重要 10 項目とは? 経営者が責任者となる担当幹部に指示すべきことをまとめています 項目 3 リスクの把握と実現するレベルの目標 計画策定 について サイバー攻撃のリスク ( 営業秘密の流出による損害など ) を識別し リスク分析を行います リスク分析結果より リスク管理策 ( 低減 回避 移転等 ) の計画策定を行います ❶ リスク分析 ❷ リスク管理策の計画策定 製品 サービス導入 設備更新 セキュリティ責任者セキュリティ担当者 システム構成見直し 外部委託 項目 4 セキュリティ対策のフレームワーク構築と開示 について サイバーセキュリティリスクに継続して対応可能な PDCA 体制 ( プロセス ) を整備します また 対策などを 情報セキュリティ報告書 CSR 報告書等で情報開示します Action 改善方針 Plan 状況把握施策立案 リスク分析 PDCA は重要だが イマイチイメージがわかないなぁ 具体例はないかね Check 評価 分析 6 Do 実行 先日 NEC の例を聞いてきましたので 紹介しますね
日頻度の目安四半期対策分析毎経営者が指示すべき重要 10 項目 項目 3 リスクの把握と実現するレベルの目標 計画策定 の具体例 NEC では 守るべき資産に対するサイバーセキュリティリスクを分析し 経営トップに対してリスクや影響度などの情報を共有するとともに リスクに応じた計画を策定します また 分析結果から計画を立案するとともに 施策へのフィードバックも実施するそうです NEC のサイバーセキュリティリスク分析の例 リスク分析の種類 サイバー脅威分析 監視運用分析 ソリューション IT 分析 関連する主な活動 攻撃の監視や対処 サイバー事案対応 マルウェア解析 脅威 / 脆弱性の情報収集やサービス活用 各機関との情報共有 セキュリティ管理センター (SOC) や CSIRT *1 によるサイバーセキュリティ運用 国内外のカンファレンス参加 / 調査 外部機関やベンダーとの情報共有 PoC *2 等の導入評価 情報セキュリティ戦略会議での計画審議 / 承認 / 実績評価 *1 CSIRT コンピュータセキュリティインシデントに対応するための専門チーム *2 PoC 実際のシステム構成で 性能などを事前検証すること NEC では サイバーセキュリティリスク分析を踏まえ 対策を実施します たとえば 標的型攻撃対策では ゲートウェイ対策 PC/ サーバ対策 人的対策を多層的に実施するそうです ゲートウェイ対策 PC サーバ対策 人的対策 NEC の標的型攻撃対策の例 全社向け特定部門 対象向け未知のマルウェア検知システム導入メールサーバの対策強化 ( 送信ドメイン認証等 ) PC サーバの脆弱性対策強化サーバセキュリティ対策ガイド活用徹底暗号化徹底脆弱性緩和 SW 等導入標的型攻撃に関する教育 訓練 ここまでやらないといけないのか うちでやるのは大変そうだな 7
経営者が指示すべき重要 10 項目 ( 項目 3 4 について ) 項目 4 セキュリティ対策のフレームワーク構築と開示 の具体例 NEC では国内だけでなくグローバルで接続している 150 拠点以上に対しても サイバーセキュリティリスクや脅威動向を把握しながら PDCA を実施しており これらの取り組みを毎年 情報セキュリティ報告書 として公開しているそうです 来年度以降の計画ポイント 見直し / 改善ポイント Plan 情報セキュリティを統括する担当役員 (CISO*) 配下の組織において 自社の IT インフラだけでなく お客様へ提供する製品 サービスの対策も含めて国内外共通で計画策定 サイバーセキュリティ実行計画 Action 各組織に情報セキュリティ管理責任者を置き 状況に応じて ルール / 計画 / 施策の修正見直し 改善 NEC 情報セキュリティ基本方針 Do 海外現地法人を含む NEC グループ全社 約 1,600 社のサプライチェーンパートナーに対する指示 / 実行 / 進捗把握 CISO による実績評価結果 課題 残留リスク Check NEC 内 18 万台の運用実績を持つ基盤と知見でリスクを管理 サイバー脅威動向とリスク把握 施策の有効性分析と実績評価 インシデント把握 対応評価 監査 / 点検状況評価 サイバーセキュリティ維持 リスク / インシデント低減 進捗管理 情報セキュリティ報告書 2016 Information Security Report 2016 *CISO 最高情報セキュリティ責任者 企業内で情報セキュリティを統括する担当役員 ステークホルダへの報告 ( 情報セキュリティ報告書等 ) 情報セキュリティ報告書 http://jpn.nec.com/csr/ja/security/ なるほど ここまで大がかりだと うちの中だけで行うのはかなり大変そうだな セキュリティ投資についても真剣に考えないと そうですね うちのリソースだけで行うのは限界とリスクがあるので各種セキュリティ支援サービスも考慮した方がいいですね そうだな セキュリティ支援サービスか NEC に相談できたら安心だな 8
順書集合教育 経営者が指示すべき重要 10 項目 ( 項目 9 について ) 項目 9 緊急時の対応体制整備と定期的な演習の実施 について 緊急時の対応体制を構築し 関係機関との連携や ログの調査を速やかにできるように指示します また いつ攻撃を受けても対応できるように 集合教育による演習 ( サイバー攻撃への対応等 ) や緊急対応手順のリハーサル等も定期的に行います 緊急時の対応体制整備 定期的な演習の実施 緊急対応リハーサル手項目 9 緊急時の対応体制整備 の具体例 NEC グループ内において サイバー攻撃を監視し 攻撃やマルウェアの特徴等を分析するとともに インシデント発生時には証拠の保全や攻撃の解析を実施し 原因究明や事態の収束を行う専門組織を整備しているそうです NEC の対応体制整備の例 外部機関 (IPA,JPCERT, 警察庁等 ) 情報提供 フィードバック 報告 研修 / 演習 / 訓練指示セキュリティ専門組織調整 セキュリティ管理センターインターネットサービスセンター CSR 部門 人事部門 法務部門 広報部門 社内情シス部門 ユーザ報告 (ML 等 ) システムでの検知 検知 未知のマルウェアの探索 解析 フォレンジック解析 ログ解析 パケット解析 内部不正の捜査 対策の指示 連携 技術開発事業部研究所外部ベンダー やはり専門組織が必要なのか うちは情シス部門に任せっきりだったが 対応体制について一度真剣に考えないといかんなぁ 9
経営者が指示すべき重要 10 項目 項目 9: 定期的な演習の実施 の具体例 NEC では 訓練として対象者に疑似的な標的型攻撃メールを送信し 攻撃への注意力向上を図るとともに 訓練結果の分析による施策へのフィードバックを実施しているそうです NEC の演習実施例 疑似メールを配信 注意力の向上 リンクやファイルをクリックされた方には訓練である旨を表示 セキュリティ訓練です 実施部門 訓練対象部門 イメージサンプル どこまでの対応が必要かは組織の規模によって様々ですし まずは NEC のアセスメントサービスを受けてみませんか 重要 10 項目すべてについて相談に乗ってもらえますよ! よし 何をぐずぐずしてるんだ! 早速 NEC に連絡だ! 参考 経営者が指示すべき重要 10 項目 1 2 3 4 5 6 7 8 9 10 リスクの認識と組織全体での対応の策定リスクの管理体制構築リスクの把握と実現するレベルの目標 計画策定セキュリティ対策のフレームワーク構築と開示サプライチェーンを含めたセキュリティ対策セキュリティ対策のためのリソース確保 ITシステム管理外部委託時のセキュリティ確保攻撃情報の入手と有効活用のための環境整備緊急時の対応体制整備と定期的な演習の実施インシデント発生時の対応準備 10 詳しくは右の Web サイトをご覧下さい http://jpn.nec.com/cybersecurity/journal/03/news.html
NEC が提供するサービス STEP 1 対策状況の見える化 サイバーセキュリティ経営ガイドライン対応セキュリティリスクアセスメント STEP 2 リスクへの対処 まずはリスクを見える化し 優先度をつけて対応する必要があるようです セキュリティコンサルティング お客様の情報セキュリティの運用体制や対策の分析により お客様に最適な展開方法や運用まで含めた今後のセキュリティ施策を立案し お客様をサポートします 情報セキュリティコンサルティングお客様の情報セキュリティ対策の現状を分析し 将来のIT 投資を視野に入れた情報セキュリティの整備計画や御社に適したセキュリティポリシーをご提案します 情報セキュリティポリシー策定サービス 情報セキュリティリスクアセスメントサービス CSIRT 構築支援サービス 情報セキュリティ監査サービス 脆弱性診断分析コンサルティングネットワークに接続されるサーバ クライアント ネットワーク機器やWebアプリケーションの脆弱性を診断し 分析結果の報告や今後必要な対策をご提案します プラットフォーム脆弱性診断サービス Web アプリケーション脆弱性診断サービス サイバーセキュリティ人材育成支援 セキュリティ基礎教育やサイバー攻撃の疑似体験演習などを通じて 従業員のセキュリティ意識向上や技術レベルの強化を支援します セキュリティインシデント対応教育 標的型攻撃メール対応トレーニング マルウェア感染体験トレーニング e ラーニング教材標的型攻撃メール対策 他にも様々なソリューションがあるそうですよ 詳細は NEC のホームページ (http://jpn.nec.com/security/) で確認できます! よし 早速 ホームページにアクセスだ! 11
これでスッキリ! サイバーセキュリティ経営ガイドライン お問い合わせ NEC サイバーセキュリティ戦略本部 info@cybersecurity.jp.nec.com http://jpn.nec.com/cybersecurity 2016 年 9 月初版 NEC Corporation 2016