Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

情報セキュリティとの正しい付き合い方

379 views

Published on

2015年のID&IT Management conferenceでIT系企業の新入社員に対して行ったセキュリティ教育のプレゼンテーション。三部構成となっておりはじめは沢渡あまねさん(ビジネス系業務改善、オフィス改善などでベストセラーを連発されていらっしゃる超有名人)によるセキュリティ全般のお話と、Identity Management界では知らない人がいない超第一人者富士榮さんの間という恐れ多い場所でお話させていただきました。

久しぶりに見つけて読んでみたら、内容的に全然古くなっていないどころか、今まさに意識していただきたいことばかりでしたので公開します。

Published in: Technology
  • Be the first to comment

情報セキュリティとの正しい付き合い方

  1. 1. Copyright © 2014 NTT DATA Corporation Security& ID の基礎教育 株式会社NTTデータ 山田 達司 情報セキュリティとの正しい付き合い方 情 報 種 別 : 公開 会 社 名 : NTTデータ 情報所有者 : 技術開発本部「
  2. 2. 2Copyright © 2014 NTT DATA Corporation INDEX 01 自己紹介 02 情報セキュリティとビジネスの関係 03 セキュリティ対策の進め方 04 終わりに
  3. 3. Copyright © 2014 NTT DATA Corporation 3 自己紹介
  4. 4. 4Copyright © 2014 NTT DATA Corporation 自己紹介 山田 達司 NTTデータ 技術開発本部 エボリューショナルITセンタ AR/VR エバンジェリスト、セキュリティプリンシパル お仕事 ⚫専門は情報セキュリティとモバイルコンピューティン グによるワークスタイルイノベーション ⚫現在はテレワーク、AR/VRに関するR&D、コンサルティングに 従事 ⚫東京大学、名古屋大学、筑波大学非常勤講師 ライフワーク ⚫ 電子手帳ブームの際にPalm,Clieで動作する日本語OSを 開発 ⚫ 書籍執筆、メディア出演、開発者支援サイト運営 ⚫ 2chで「神降臨」というフレーズを生み出す
  5. 5. Copyright © 2014 NTT DATA Corporation 5 情報セキュリティとビジネスの関係
  6. 6. 6Copyright © 2014 NTT DATA Corporation セキュリティとは 人、建物、資産など価値あるものを 害から守ること ・ホームセキュリティ ・ナショナルセキュリティ ・サイバーセキュリティ …
  7. 7. 7Copyright © 2014 NTT DATA Corporation 情報セキュリティとは 企業が保有する紙、電子ファイル、ノウハウ、等 様々な形態をした情報を守ること そのためには多面的なセキュリティが必要となる ・サイバーセキュリティ ・オフィスセキュリティ ・アナログなセキュリティ (IT系では セキュリティ≒情報セキュリティ)
  8. 8. 8Copyright © 2014 NTT DATA Corporation ビジネスにはリスクがたくさん ビジネス 財務上の リスク 業務上の リスク セキュリティ リスク コンプライアンス リスク 自然災害・事故 リスク 社会・政治 リスク
  9. 9. 9Copyright © 2014 NTT DATA Corporation ビジネスにはリスクがたくさん 業務上の リスク 財務上の リスク セキュリティ リスク コンプライアンス リスク 自然災害・事故 リスク 社会・政治 リスク ビジネス
  10. 10. 10Copyright © 2014 NTT DATA Corporation セキュリティのビジネスへの貢献 守るセキュリティ 攻めるセキュリティ
  11. 11. 11Copyright © 2014 NTT DATA Corporation セキュリティのビジネスへの貢献 守るセキュリティ 攻めるセキュリティ ・現在のビジネスを守る。 外部/内部からの攻撃を防ぐ 偶発的な事故を防ぐ
  12. 12. 12Copyright © 2014 NTT DATA Corporation セキュリティのビジネスへの貢献 新規ビジネスの立ち上げ ・ビッグデータ、IoT、個人情報活用、マイナンバー ビジネススタイル変革 ・ペーパーレス、テレワーク、モバイル ・グローバル 変化へのスピーディな対応 ・組織の変更 ・人の多様化(アウトソース、バリューチェーン) ・プロジェクト型組織(≠たこつぼ型組織) 守るセキュリティ 攻めるセキュリティ
  13. 13. Copyright © 2014 NTT DATA Corporation 13 セキュリティ対策の進め方
  14. 14. 14Copyright © 2014 NTT DATA Corporation オフィスの情報は以下3つのステップで守ります。 セキュリティ対策とは (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行
  15. 15. 15Copyright © 2014 NTT DATA Corporation 情報資産とは 企業はさまざまな情報資産を持つ PC内のオフィスファイル 紙のファイル 提案書 顧客名簿 マニュアル・手順書 記憶・会話 サーバ内のデータベース (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行
  16. 16. 16Copyright © 2014 NTT DATA Corporation リスクとは 資産の持つ 脆弱性 = 脅威の発生 する頻度 事故発生時 の被害x x リスクとは (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行
  17. 17. 17Copyright © 2014 NTT DATA Corporation 脆弱性とは 脆弱性の例 インターネット セッション管理 の不備 運用手順 の不備 容易に 持出可能な 媒体 OS/PP/APの セキュリティホール 暗号アルゴリズム の強度不足 安易な パスワード 設定ミス 侵入可能な 建物構造 モラルの低い 管理者 モラルの低い 利用者 (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行一つ以上の脅威がつけ込むことのできる,資産又は資産グループがも つ弱点。
  18. 18. 18Copyright © 2014 NTT DATA Corporation 脅威とは インターネット DoS攻撃 災害・故障 盗聴 なりすまし 物理的破壊 媒体の盗難 誤操作 不正 プログラム 脅威の例 (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行システム又は組織に損害を与える可能性があるインシデントの潜在的な 原因。攻撃、事故など
  19. 19. 19Copyright © 2014 NTT DATA Corporation リスク・脆弱性・脅威 脆弱性:弱点 脅威:攻撃、事故 被害:金額 リスクとは 一定期間内にどれくらいの被害が生じるかの推定値 資産の持つ 脆弱性 = 脅威の発生 する頻度 事故発生時 の被害x x リスクとは 攻撃、事故が成功する確率 (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行
  20. 20. 20Copyright © 2014 NTT DATA Corporation リスク・脆弱性・脅威 ケース1) 100年に一度発生し、発生すると1億円の被害が生じる場合 ケース2) 毎年一度発生し、発生すると100万円の被害が生じる場合 リスク = ( 1回 / 100年 ) * 1億円 = 100万円/年 リスク = ( 1回 / 1年 ) * 100万円 = 100万円/年 (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行
  21. 21. 21Copyright © 2014 NTT DATA Corporation 情報のCIAとは Confidentiality 機密性 Integrity 完全性 Availability 可用性 情報 正しい 情報 情報 許可されていない 利用者はアクセス 不可 許可された利用者 は必要な時にアク セス可能いつでも確実に アクセスできる 記録された 情報 情報は正確な 状態である C I A 情報のリスクはCIAの観点で抽出する。 (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行
  22. 22. 22Copyright © 2014 NTT DATA Corporation CIAにかかわるリスク 顧客プレゼンのために社外へPCを持ち出す業務にかかわるリスク リスクの 種類 被害 C(機密性) ・盗み見による情報漏えい ・PCの紛失、盗難による情報漏えい ・PCからのリモートアクセスによる社内システムの不正利用、情報漏えい I(完全性) ・PCに格納した情報が古いバージョン ・PCからのリモートアクセスによる社内システムの情報の改ざん A(可用性) ・PCの紛失、盗難によるプレゼン失敗 ・ネットワーク不達によるプレゼン失敗 ・認証失敗によるプレゼン失敗 (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行
  23. 23. 23Copyright © 2014 NTT DATA Corporation リスクの 種類 持ち出しPCのシンクライアント化 C(機密性) ・盗み見による情報漏えい ・PCの紛失、盗難による情報漏えい ・PCからのリモートアクセスによる社内システムの不正利用、情報漏えい I(完全性) ・PCに格納した情報が古いバージョン ・PCからのリモートアクセスによる社内システムの情報の改ざん A(可用性) ・PCの紛失、盗難によるプレゼン失敗 ・ネットワーク不達によるプレゼン失敗 ・認証失敗によるプレゼン失敗 対策によるリスクの変化 1/2 顧客プレゼンのために社外へPCを持ち出す業務にかかわるリスク 持ち出しPCのシンクライアント化によるリスクの変化 (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行
  24. 24. 24Copyright © 2014 NTT DATA Corporation リスクの 種類 ハードディスクの暗号化及び二要素認証の導入 C(機密性) ・盗み見による情報漏えい ・PCの紛失、盗難による情報漏えい ・PCからのリモートアクセスによる社内システムの不正利用、情報漏えい I(完全性) ・PCに格納した情報が古いバージョン ・PCからのリモートアクセスによる社内システムの情報の改ざん A(可用性) ・PCの紛失、盗難によるプレゼン失敗 ・ネットワーク不達によるプレゼン失敗 ・認証失敗によるプレゼン失敗 対策によるリスクの変化 2/2 顧客プレゼンのために社外へPCを持ち出す業務にかかわるリスク ハードディスクの暗号化と二要素認証の導入によるリスクの変化 (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行
  25. 25. 25Copyright © 2014 NTT DATA Corporation C(機密性)とA(可用性)の両立 機密性と可用性の両立は難しい。最適な方法は 業務を知らないと決められない。 A)vailability 可用性 機密性を向上させると 可用性が下がる 可用性を向上させる と機密性が下がる がちがち 管理 ゆるゆる 管理 (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行
  26. 26. 26Copyright © 2014 NTT DATA Corporation リスクのコントロール:0リスクはだめ リスク 大 小 現在のリスク 対策後のリスク 許容できない 許容できる 0 0リスク (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行
  27. 27. 27Copyright © 2014 NTT DATA Corporation セキュリティ情報のI(完全性)がCとAの基礎 ・ セキュリティ情報のI(完全性)が C(機密性)/A(可用性)の基礎 ID管理はセキュリティのかなめ ”Identity is the next Perimeter!” (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行 ・ID、パスワード、属性、権限 ・情報のアクセスコントロールリスト ・デバイスのID(機体識別、利用者) Confidentiality 機密性 Availability 可用性 Integirity 完全性
  28. 28. 28Copyright © 2014 NTT DATA Corporation ライフサイクルとは ・あるものが生まれてからなくなるまでの状態の変化をあらわしたもの ・もの(人、情報、アカウントなど)を扱うときはまずライフサイクルを考える ことで、セキュリティ対策におけるルール、手続き、管理の方法をもれなく 検討することが可能になる (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行
  29. 29. 29Copyright © 2014 NTT DATA Corporation 社員のライフサイクル ライフサイクルは状態を箱、状態の変化(遷移と呼ぶ) を矢印で記載。 ある状態にあった情報がなんらかのきっかけ(一定の時 間が経過する。人から要求されるなど)により、別の状 態に変わる。 勤務 入社・採用・出向受け 退職・辞職 昇進・降格・異動 出向出 出向 出向戻り 休職 出向先企業に「出向受 け」が生成 休職 転籍 復帰 転籍先企業に「勤務」が生成 なし 退職者 (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行
  30. 30. 30Copyright © 2014 NTT DATA Corporation 有効 作成 入手 廃棄 参照 ・アクセス権のチェック ・アクセスの記録 提供・送信 ・提供可否の判断 ・提供の記録 変更要求 バックアップ ・一定期間ごとに実行 相手が情報を入手 バックアップ先に情報が作成 (バックアップは個別の情報ライ フサイクルが必要) 保管暫定 承認 却下 (変更要求の場合 は有効へ) なし 一定期間 利用無し 情報の 利用要求 保管期限 切れ 廃棄 情報のライフサイクル ライフサイクルを元に、管理の方法、管理に必要と なる情報を定める 情報の開示範囲 情報の所有者 最終アクセス日 保管期限日 変更履歴 情報の所有者、 編集者 (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行
  31. 31. 31Copyright © 2014 NTT DATA Corporation 多層防御 資産に対する脅威は連続する。どこかが被害にあっても、途中で 止めるためには、どういったリスクがあるかのリスクアセスメントと、 途中で止めるための多層防御が必要 モバイル デバイス 紛失 情報 漏えい 情報漏えい (デバイス内 の情報) 不正 利用(社内 システム、 クラウド) 情報漏えい、 破壊、改ざん (社内システ ム、クラウドシ ステム) 覗き見 紛失、盗難 デバイスの 不正利用 社内NW,クラ ウドへのアク セス (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行
  32. 32. 32Copyright © 2014 NTT DATA Corporation セキュリティ対策とは (1)守るべき情報資産の特定 (2)資産のリスクを推定 (3)対策を定めて実行 敵(脆弱性、事故、攻撃)を 正しく知り、リスクを推定 本当に大事なもの、守るべきものを 決める 0リスクを求めず、適切なレベルまで リスクを低減する。
  33. 33. Copyright © 2014 NTT DATA Corporation 33 おわりに
  34. 34. 34Copyright © 2014 NTT DATA Corporation 社員として ・既存のビジネスを守りつつ、変化をとらえ、成長するためにはセキュリティが重要。 ・セキュリティで企業は成功し、社員もより幸せに仕事ができる。 ・セキュリティ対策は正しく怖がること大切。どのようなリスクがあるのかを知り、納得して セキュリティを守りましょう。
  35. 35. 35Copyright © 2014 NTT DATA Corporation セキュリティ、ID管理のプロとして ・セキュリティはビジネスを支えるためのもの ・顧客の経営層は守るセキュリティよりも攻めるセキュリティに投資します。 ・セキュリティ対策ではC(機密性)とA(可用性)のバランスが重要。そのためセキュリティ 対策立案ではセキュリティを理解する人と業務を理解する人の参画が必要。 ・セキュリティを守り、ビジネスを改善するためには情報のIntegrity(完全性)が重要です。 そのために情報のライフサイクルを理解し、適切なルール、運用を行いましょう。 Identity is the Next Perimeter. 次のセッションをお楽しみに
  36. 36. 36Copyright © 2014 NTT DATA Corporation 最後に 当社新入社員 「ストーリー仕立てで、用語などの解説も詳しいた め、詰まらずにさくさく読める。」 セキュリティコンサルタントA 「内容が正確で、網羅的。」 「文系の人でも、我が事としてセキュリティをとら えられる」 「顧客にがんがん買わせています。」 セキュリティコンサルタントB 「セキュリティとビジネスの両立が可能な対策をわ かり易く豊富な事例で説明している良書」 今日お話した内容に加え、オフィスのセキュリティ、アナログのセキュリティ、コミュニケーション改善など をスムースに理解できます。お客様にもどうぞ。
  37. 37. Copyright © 2011 NTT DATA Corporation Copyright © 2014 NTT DATA Corporation 本資料には、当社の秘密情報が含まれております。当社の許可なく第三者へ開示することはご遠慮ください。

×