Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
セキュリティ対策は経営課題
情報セキュリティリスクに
備える Cy-SIRT の軌跡
Cy-SIRT
伊藤 彰嗣
Copyright (C) Cybozu,Inc. 1
⾃⼰紹介
• 伊藤彰嗣(@springmoon6)
• サイボウズの CSIRT(Cy-SIRT)窓⼝(PoC)担当
• 経歴
• 2006年 新卒⼊社
• 2009年 サイボウズ Garoon 品質保証責任者
• 2011年 cybozu.c...
Cy-SIRT
• サイボウズの CSIRT
• Computer Security Incident Response Team
Copyright (C) Cybozu,Inc. 3
https://www.cybozu.com/jp/fe...
サイボウズのセキュリティ施策
お客様の情報資産を守ること
• 不正アクセス対策
• 不正ログイン対策
• 脆弱性対策
製品セキュリティ
• 災害対策
• 障害検知・復旧対策
• ⼈的エラー対策
運⽤基盤
Copyright (C) Cybozu...
Cy-SIRT:ミッション
Copyright (C) Cybozu,Inc. 5
社外の組織・専⾨家と協⼒して、インシデント発⽣の予防、
早期検知、早期解決、被害が発⽣した場合の最⼩化を主眼
とした活動をすること
インシデント
対応⽀援
外部...
今⽇お話しすること
Copyright (C) Cybozu,Inc. 6
進まない
セキュリティ対策
増え続ける業務量組織を横断する業務
に関する⼈材不⾜
Cy-SIRT が今年抱えた課題
サイボウズの
セキュリティ体制の変遷
Copyright (C) Cybozu,Inc. 7
2009 年当時のセキュリティ体制
開発本部
情報
システム部
カスタマー
本部
内部統制
本部
経営管理本
部
⼈事本部
本部⻑会
Copyright (C) Cybozu,Inc. 8
• IT 全般統制対応により内部監査を⾏う部⾨ができる
2009 年当時の課題
Copyright (C) Cybozu,Inc. 9
外部からのセキュリティに関する窓⼝に
専任担当者がいない
製品だけでなくより広いセキュリティ問題に
取り組むチームとして Cy-SIRT	を設⽴(2011	年)
h...
2013 年のセキュリティ体制
Cy-SIRT
運⽤本部
情報
システム部
事業⽀援
本部
内部統制部
BM本部
カスタマー
本部
海外拠点
本部⻑会
Copyright (C) Cybozu,Inc. 10
開発本部
• クラウドサービスの開...
2013 年当時の課題
組織横断的なセキュリティに関する所管部⾨が不明瞭
Copyright (C) Cybozu,Inc. 11
Cy-SIRT	は開発本部の下にあり、
主なコンシチュエンシーは
サービスをご利⽤いただくお客様と開発本部
CSM(Cybozu Security Meeting)
Copyright (C) Cybozu,Inc. 12
CSM
(Cybozu Security Meeting)
内部
統制
CSI
RT
製品
情
シ
ス
社内
事業戦略会議/本部...
2016 年のセキュリティ体制
CSM
開発本部
Cy-SIRT
運⽤本部
情報
システム部
事業⽀援
本部
内部統制部
BM本部
カスタマー
本部
海外拠点
本部⻑会
Copyright (C) Cybozu,Inc. 13
2016 年に起きたこと
Copyright (C) Cybozu,Inc. 14
進まない
セキュリティ対策
増え続ける業務量組織を横断する業務
に関する⼈材不⾜
セキュリティ組織を再編成することを検討
再編成に向けた議論
Copyright (C) Cybozu,Inc. 15
サイボウズの⾵⼟
• 権限で仕事をする⽂化ではない
• 質問責任 /	説明責任
議論をして合意を取り仕事を進める⽂化
• Action	5	
(理想への共感、あくなき探求、知識を付ける、⼼を動かす、不屈の⼼
体)
• 問題解決メソッド
議論のフ...
最初に考えたこと
Copyright (C) Cybozu,Inc. 17
CSIRT の業務範囲を⾒直そう
CSIRT に求められる役割と実現に必要な⼈材のスキル、キャリアパスに
ついて、対象企業を 3 つのパターン例に分けて解説したドキュメ...
分かったこと
Copyright (C) Cybozu,Inc. 18
他の職能組織は CSIRT を知らない
Cy-SIRT は他の職能組織を知らない
組織のセキュリティ機能を俯瞰し、各職能組織が
理解できる具体的な業務内容を精査する必要がある
組織におけるセキュリティ機能
産業横断サイバーセキュリティ⼈材育成検討会の成果物を元に、
組織に存在するセキュリティ機能を俯瞰します
Copyright (C) Cybozu,Inc. 19
サイバーセキュリティ対策の強化に向けた提⾔
2015 年 2 ⽉ 17 ⽇に経団連から提⽰された
サイバーセキュリティ対策の強化に向けた具体的な
取り組みの提⾔
Copyright (C) Cybozu,Inc. 20
http://www.k...
産業横断サイバーセキュリティ⼈材育成検討会
提⾔を受け⼈材育成に関する実際の活動を
どう具体化し推進していくかを検討する会議体
Copyright (C) Cybozu,Inc. 21
http://cyber-risk.or.jp/sansa...
情報システム部⾨における役割分化
Copyright (C) Cybozu,Inc. 22
情報システム
システム運⽤ システム構築
基幹システム
運⽤
インフラ環境
運⽤
ユーザ
サポート
ヘルプデスク
システム監査
購買
調達
全体統括
管...
セキュリティ対策の機能定義
Copyright (C) Cybozu,Inc. 23
統括判断
セキュリティ対策
計画・企画
セキュリティ対策
構築・運⽤
監査
4つの機能分類を定義
機能定義 – 関係図 –
Copyright (C) Cybozu,Inc. 24
統括判断
計画
企画
構築
運⽤
監査
中期 年次 年次〜四半期〜随時 随時
全体統括
IT	戦略
システム
企画
基幹
システム
インフラ
構築 /	
実装
...
監査
構築
運⽤
計画
企画
統括判断
セキュリティ機能(2009 年)
Copyright (C) Cybozu,Inc. 25
中期 年次 年次〜四半期〜随時 随時
全体統括
IT	戦略
基幹
システム
インフラ
構築 /	
実装
ヘルプ
...
監査
構築
運⽤
計画
企画
統括判断
セキュリティ機能(2013 年)
Copyright (C) Cybozu,Inc. 26
中期 年次 年次〜四半期〜随時 随時
全体統括
IT	戦略
基幹
システム
インフラ
構築 /	
実装
ヘルプ
...
監査
構築
運⽤
計画
企画
統括判断
セキュリティ機能(2016 年)
Copyright (C) Cybozu,Inc. 27
中期 年次 年次〜四半期〜随時 随時
全体統括
IT	戦略
基幹
システム
インフラ
構築 /	
実装
ヘルプ
...
新しい組織に求められていた業務
• 認証取得 /	更新業務(ISMS	クラウドセキュリティ認証 /	ISMS	認証)
• 情報資産の保護基準・保護⽅法の改善
• 情報資産の棚卸
情報セキュリティマネジメント
• 社内のICTリテラシー向上のため...
組織におけるセキュリティ機能
Copyright (C) Cybozu,Inc. 29
• 既存の固有業務の中での実施事項
• 複数の部署で複数の役割を掛け持ちでになうことが多い
セキュリティに特化した機能は限られる
セキュリティ担当職が担う業...
セキュリティ組織の再編成
先ほどの成果物を元にサイボウズのセキュリティ機能を俯瞰し、
新たなセキュリティ組織「セキュリティ室」を⽴ち上げました
Copyright (C) Cybozu,Inc. 30
セキュリティ関連組織の理想
Copyright (C) Cybozu,Inc. 31
Trust	&	Secure
・お客様が安⼼してサイボウズのサービスを利⽤できる
・サイボウズの重要情報を守る
迅速な意思決定
業務が
執⾏できる体制
⼈材育...
セキュリティ室の設置
Copyright (C) Cybozu,Inc. 32
統
制
Q
A
他各
部⾨
事業戦略会議/本部⻑会
CSM:横断会議体
各部セキュリティ責任者
事務局:セキュリティ室
連携
情
シ
ス
セキュリティ室
Cy-SI...
PSIRT の分離
• Cybozu,Inc.	Product	Security	Incident Response	Team
• 製品に関する脆弱性情報を取り扱うチーム
Cy-PSIRT
• Cybozu,Inc.	Computer	Secu...
セキュリティ室の業務
Copyright (C) Cybozu,Inc. 34
インシデント
対応⽀援
外部機関との
連携
セキュリティ
情報収集
ユーザサポート ヘルプデスク
セキュリティ
マネジメント
セキュリティに関する専⾨知識に基づき、...
PSIRT の業務
Copyright (C) Cybozu,Inc. 35
脆弱性情報
管理
報奨⾦制度
運営
脆弱性検査
外部機関との
連携
セキュリティチームと連携しサービスを提供
監査
構築
運⽤
計画
企画
統括判断
セキュリティ機能(セキュリティ室設置後)
Copyright (C) Cybozu,Inc. 36
中期 年次 年次〜四半期〜随時 随時
全体統括
IT	戦略
基幹
システム
インフラ
構築 /	
実装
...
まとめ
Copyright (C) Cybozu,Inc. 37
組織のセキュリティ対策
• 担当職が担うセキュリティ機能を明確化
• セキュリティ担当者が機能をかけもちしないように配慮
担当職を⽀援・補佐する体制を構築
• 社⻑直下に Cy-SIRT を中⼼としたセキュリティ室を構築
Cy-SIRT	の変遷...
成果物を利⽤した所感
• 対象となる業務を担当する部署・部⾨の把握
• 既存の組織間で業務内容の調整をする際に、
各部⾨の現状の業務領域を可視化できる
組織のセキュリティ機能を俯瞰できる
• 参照元となるドキュメントを参照するなど追加のコストが...
今後の課題
Copyright (C) Cybozu,Inc. 40
• これまでの施策の引継ぎに伴う諸対応
業務領域の拡⼤
• 専⾨的な技術を持つ⼈材をどのように育てるか
• アウトソーシング計画
⼈材の確保
• 各担当者の教育をどのように進...
Q&A
ご清聴いただき、誠にありがとうございました。
Copyright (C) Cybozu,Inc. 41
参考⽂書
• 「産業横断サイバーセキュリティ⼈材育成検討会」
第⼀期最終報告書
• http://cyber-
risk.or.jp/sansanren/xs_20160914_02_Report_JinzaiTeigiWG_1.
0.pdf
...
Appendix
各セキュリティ機能の業務例
サイバーセキュリティ対策機能を実現する業務の具体例を、
機能別にまとめます。
Copyright (C) Cybozu,Inc. 43
情報システム部⾨における役割分化
Copyright (C) Cybozu,Inc. 44
情報システム
システム運⽤ システム構築
基幹システム
運⽤
インフラ環境
運⽤
ユーザ
サポート
ヘルプデスク
システム監査
購買
調達
全体統括
管...
業務例:全体統括 / 事業継続
• サイバーセキュリティ対策に関する全社的統括
サイバーセキュリティ 統括
• ICT環境における事業継続計画の策定
• サイバーセキュリティ保険の導⼊検討
IT-BCP
Copyright (C) Cybozu...
業務例:システム企画
Copyright (C) Cybozu,Inc. 46
• ユーザビリティに基づく機能改善・実装計画の企画⽴案
エンドポイントおよび、UI	に関するセキュリティ機能改善計
画の策定
• システムセキュリティの観点に基づく...
業務例:基幹システムインフラ構築・実装(1)
• セキュア構築・運⽤設計の企画⽴案
• 各開発プロセスおよび、運⽤改善におけるセキュアデザイン
• 多層防御に基づくセキュア設計管理
• ネットワーク及びシステム構成に対するセキュアデザイン
セキ...
業務例:基幹システムインフラ構築・実装(2)
• システム構築及びシステム運⽤のセキュリティ対策分野に関する
プロジェクトマネジメント及びプロジェクト運⽤⽀援
システムセキュリティ対応
• 脆弱性診断(導⼊時・運⽤時)パッチ適⽤時の評価テスト
...
業務例:基幹システムインフラ構築・実装(3)
• 全システムに対するパッチ管理及び脆弱性診断に関する計画
の企画⽴案
• セキュリティ対策関連の製品・サービスの選定及び実装⽀援
• セキュリティ対策におけるシステム的機能の継続的改善活動
セキュ...
業務例:権限管理 / SOC
• ActiveDirectry管理 /	シングルサインオン管理
• システム、フォルダ等アクセス権管理
ID管理 /	アクセス権管理
• セキュリティオペレーション業務における導⼊・構築
• セキュリティオペレー...
業務例:基幹システム運⽤
• OS・プラットフォーム・ミドルウェア等に対する版管理
OS管理
• 基幹システム等のアプリケーションに関するバージョン管理
アプリケーション管理
• クラウドサービス選定及び利⽤管理、セキュリティ対策
クラウドサー...
業務例:インフラ環境運⽤
• DB機器管理 /	構成管理
• DB データセキュリティ(設定・格納されるデータ)
データベース管理
• 通信環境管理(FW	、プロキシ、WAF	などの設定)
• 通信監視(死活、パケット監視)、通信遮断管理
• ...
業務例:システム監査 / 購買・調達
• 情報セキュリティ監査、物理的セキュリティ監査
• システム監査
監査
• 取引先選定
• 製品・サービス調達
購買・調達
Copyright (C) Cybozu,Inc. 53
システム監査
購買
調達
業務例:ユーザーサポート / ヘルプデスク
• 社内のICTリテラシー向上のためのユーザー⽀援
• リスク対応教育の企画・計画・実施
サポート教育
• インシデント発⽣時の問合せ窓⼝
• 端末・機器異常(インシデント発⽣以前)の相談窓⼝
ヘルプ...
業務例: IT 戦略
• コンプライアンス、ガバナンス、RM	の観点に基づくセキュリティ対策
事業戦略 /	中期計画
• セキュリティ対策に係る実施計画の企画⽴案、規定・ルールの策定
年次計画
• IT	導⼊・構築運⽤改善計画の企画⽴案、ガイド...
業務例:セキュリティ対策
• ICT	環境・ICT 運⽤改善計画の策定
• 情報資産の保護基準・保護⽅法の改善、情報漏えい保険の導⼊検討
• 情報資産の棚卸
情報セキュリティマネジメント
• 災害対策(DR)に関する ICT	環境改善計画の策定...
Upcoming SlideShare
Loading in …5
×

セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -

662 views

Published on

ビジネスを脅かすサイバー攻撃は避けられないリスクとなりつつあります。
サイボウズではこうしたリスクに対処するセキュリティ体制を、2017 年に見直すこととしました。

本セッションでは、その過程を Cy-SIRT 事務局の伊藤からご紹介いたします。

Published in: Business
  • Be the first to comment

  • Be the first to like this

セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -

  1. 1. セキュリティ対策は経営課題 情報セキュリティリスクに 備える Cy-SIRT の軌跡 Cy-SIRT 伊藤 彰嗣 Copyright (C) Cybozu,Inc. 1
  2. 2. ⾃⼰紹介 • 伊藤彰嗣(@springmoon6) • サイボウズの CSIRT(Cy-SIRT)窓⼝(PoC)担当 • 経歴 • 2006年 新卒⼊社 • 2009年 サイボウズ Garoon 品質保証責任者 • 2011年 cybozu.com 品質保証責任者 • 2011年 Cy-SIRT ⽴ち上げ • 2014年 脆弱性報奨⾦制度運営 • 2016年 セキュリティキャンプ講師 2Copyright (C) Cybozu,Inc.
  3. 3. Cy-SIRT • サイボウズの CSIRT • Computer Security Incident Response Team Copyright (C) Cybozu,Inc. 3 https://www.cybozu.com/jp/features/manage ment/cysirt.html http://www.nca.gr.jp/member/cy-sirt.html
  4. 4. サイボウズのセキュリティ施策 お客様の情報資産を守ること • 不正アクセス対策 • 不正ログイン対策 • 脆弱性対策 製品セキュリティ • 災害対策 • 障害検知・復旧対策 • ⼈的エラー対策 運⽤基盤 Copyright (C) Cybozu,Inc. 4
  5. 5. Cy-SIRT:ミッション Copyright (C) Cybozu,Inc. 5 社外の組織・専⾨家と協⼒して、インシデント発⽣の予防、 早期検知、早期解決、被害が発⽣した場合の最⼩化を主眼 とした活動をすること インシデント 対応⽀援 外部機関との 連携 インシデント 発⽣予防 脆弱性検査 脆弱性報奨⾦ 制度運営 脆弱性管理
  6. 6. 今⽇お話しすること Copyright (C) Cybozu,Inc. 6 進まない セキュリティ対策 増え続ける業務量組織を横断する業務 に関する⼈材不⾜ Cy-SIRT が今年抱えた課題
  7. 7. サイボウズの セキュリティ体制の変遷 Copyright (C) Cybozu,Inc. 7
  8. 8. 2009 年当時のセキュリティ体制 開発本部 情報 システム部 カスタマー 本部 内部統制 本部 経営管理本 部 ⼈事本部 本部⻑会 Copyright (C) Cybozu,Inc. 8 • IT 全般統制対応により内部監査を⾏う部⾨ができる
  9. 9. 2009 年当時の課題 Copyright (C) Cybozu,Inc. 9 外部からのセキュリティに関する窓⼝に 専任担当者がいない 製品だけでなくより広いセキュリティ問題に 取り組むチームとして Cy-SIRT を設⽴(2011 年) http://www.slideshare.net/akitsuguito/appsec-akitsugu-ito
  10. 10. 2013 年のセキュリティ体制 Cy-SIRT 運⽤本部 情報 システム部 事業⽀援 本部 内部統制部 BM本部 カスタマー 本部 海外拠点 本部⻑会 Copyright (C) Cybozu,Inc. 10 開発本部 • クラウドサービスの開始に伴い Cy-SIRT が発⾜ • 開発本部と運⽤本部が分離
  11. 11. 2013 年当時の課題 組織横断的なセキュリティに関する所管部⾨が不明瞭 Copyright (C) Cybozu,Inc. 11 Cy-SIRT は開発本部の下にあり、 主なコンシチュエンシーは サービスをご利⽤いただくお客様と開発本部
  12. 12. CSM(Cybozu Security Meeting) Copyright (C) Cybozu,Inc. 12 CSM (Cybozu Security Meeting) 内部 統制 CSI RT 製品 情 シ ス 社内 事業戦略会議/本部⻑会 セキュリティ責任者(本部長、部長、副部長等) 全社、各部⾨ ISMS 意思決定をする機関ではなく、 セキュリティに関する事項を 議論するための会議体 関 係 事 業 部 社外
  13. 13. 2016 年のセキュリティ体制 CSM 開発本部 Cy-SIRT 運⽤本部 情報 システム部 事業⽀援 本部 内部統制部 BM本部 カスタマー 本部 海外拠点 本部⻑会 Copyright (C) Cybozu,Inc. 13
  14. 14. 2016 年に起きたこと Copyright (C) Cybozu,Inc. 14 進まない セキュリティ対策 増え続ける業務量組織を横断する業務 に関する⼈材不⾜ セキュリティ組織を再編成することを検討
  15. 15. 再編成に向けた議論 Copyright (C) Cybozu,Inc. 15
  16. 16. サイボウズの⾵⼟ • 権限で仕事をする⽂化ではない • 質問責任 / 説明責任 議論をして合意を取り仕事を進める⽂化 • Action 5 (理想への共感、あくなき探求、知識を付ける、⼼を動かす、不屈の⼼ 体) • 問題解決メソッド 議論のフレームワークは整備されている Copyright (C) Cybozu,Inc. 16
  17. 17. 最初に考えたこと Copyright (C) Cybozu,Inc. 17 CSIRT の業務範囲を⾒直そう CSIRT に求められる役割と実現に必要な⼈材のスキル、キャリアパスに ついて、対象企業を 3 つのパターン例に分けて解説したドキュメント http://www.nca.gr.jp/activity/training-hr.html
  18. 18. 分かったこと Copyright (C) Cybozu,Inc. 18 他の職能組織は CSIRT を知らない Cy-SIRT は他の職能組織を知らない 組織のセキュリティ機能を俯瞰し、各職能組織が 理解できる具体的な業務内容を精査する必要がある
  19. 19. 組織におけるセキュリティ機能 産業横断サイバーセキュリティ⼈材育成検討会の成果物を元に、 組織に存在するセキュリティ機能を俯瞰します Copyright (C) Cybozu,Inc. 19
  20. 20. サイバーセキュリティ対策の強化に向けた提⾔ 2015 年 2 ⽉ 17 ⽇に経団連から提⽰された サイバーセキュリティ対策の強化に向けた具体的な 取り組みの提⾔ Copyright (C) Cybozu,Inc. 20 http://www.keidanren.or.jp/policy/2015/017.html 情報共有の 強化 演習の実施 技術開発と システム運⽤ 国際連携の 推進 重要インフラ 分野の⾒直し インターネット の安全性向上 ⼈材育成の 強化 ⼈材育成の 強化
  21. 21. 産業横断サイバーセキュリティ⼈材育成検討会 提⾔を受け⼈材育成に関する実際の活動を どう具体化し推進していくかを検討する会議体 Copyright (C) Cybozu,Inc. 21 http://cyber-risk.or.jp/sansanren/index.html
  22. 22. 情報システム部⾨における役割分化 Copyright (C) Cybozu,Inc. 22 情報システム システム運⽤ システム構築 基幹システム 運⽤ インフラ環境 運⽤ ユーザ サポート ヘルプデスク システム監査 購買 調達 全体統括 管理 基幹システム インフラ構築・実装 IT 戦略 システム企画 事業継続 セキュリティ 対策 権限管理 CSIRT SOC
  23. 23. セキュリティ対策の機能定義 Copyright (C) Cybozu,Inc. 23 統括判断 セキュリティ対策 計画・企画 セキュリティ対策 構築・運⽤ 監査 4つの機能分類を定義
  24. 24. 機能定義 – 関係図 – Copyright (C) Cybozu,Inc. 24 統括判断 計画 企画 構築 運⽤ 監査 中期 年次 年次〜四半期〜随時 随時 全体統括 IT 戦略 システム 企画 基幹 システム インフラ 構築 / 実装 ユーザ サポート ヘルプ デスク 調達 ID 管理 CSIRT 基幹シス テム運⽤ インフラ 環境運⽤ SOC システム監査 Sec マネジメ ント 事業 継続 DR CSIRT SOC Sec マネジメ ント 事業 継続 DR
  25. 25. 監査 構築 運⽤ 計画 企画 統括判断 セキュリティ機能(2009 年) Copyright (C) Cybozu,Inc. 25 中期 年次 年次〜四半期〜随時 随時 全体統括 IT 戦略 基幹 システム インフラ 構築 / 実装 ヘルプ デスク ユーザ サポート 調達 ID 管理 基幹シス テム運⽤ インフラ 環境運⽤ システム監査 情報システム部 内部統制 本部 システム 企画 Sec マネジメ ント 事業 継続 DR
  26. 26. 監査 構築 運⽤ 計画 企画 統括判断 セキュリティ機能(2013 年) Copyright (C) Cybozu,Inc. 26 中期 年次 年次〜四半期〜随時 随時 全体統括 IT 戦略 基幹 システム インフラ 構築 / 実装 ヘルプ デスク ユーザ サポート 調達 ID 管理 CSIRT 基幹シス テム運⽤ インフラ 環境運⽤ システム監査 運⽤本部 情報システム部 事業⽀援 本部 SOC システム 企画 Sec マネジメ ント 事業 継続 DR
  27. 27. 監査 構築 運⽤ 計画 企画 統括判断 セキュリティ機能(2016 年) Copyright (C) Cybozu,Inc. 27 中期 年次 年次〜四半期〜随時 随時 全体統括 IT 戦略 基幹 システム インフラ 構築 / 実装 ヘルプ デスク ユーザ サポート 調達 ID 管理 基幹シス テム運⽤ インフラ 環境運⽤ システム監査 CSM 運⽤本部 情報システム部 事業⽀援 本部 SOC システム 企画 CSIRT Sec マネジメ ント 事業 継続 DR
  28. 28. 新しい組織に求められていた業務 • 認証取得 / 更新業務(ISMS クラウドセキュリティ認証 / ISMS 認証) • 情報資産の保護基準・保護⽅法の改善 • 情報資産の棚卸 情報セキュリティマネジメント • 社内のICTリテラシー向上のためのユーザー⽀援 • リスク対応教育の企画・計画・実施 サポート教育 Copyright (C) Cybozu,Inc. 28
  29. 29. 組織におけるセキュリティ機能 Copyright (C) Cybozu,Inc. 29 • 既存の固有業務の中での実施事項 • 複数の部署で複数の役割を掛け持ちでになうことが多い セキュリティに特化した機能は限られる セキュリティ担当職が担う業務を明確にし、 担当職を⽀援・補佐する体制を構築することが重要
  30. 30. セキュリティ組織の再編成 先ほどの成果物を元にサイボウズのセキュリティ機能を俯瞰し、 新たなセキュリティ組織「セキュリティ室」を⽴ち上げました Copyright (C) Cybozu,Inc. 30
  31. 31. セキュリティ関連組織の理想 Copyright (C) Cybozu,Inc. 31 Trust & Secure ・お客様が安⼼してサイボウズのサービスを利⽤できる ・サイボウズの重要情報を守る 迅速な意思決定 業務が 執⾏できる体制 ⼈材育成 ノウハウの蓄積
  32. 32. セキュリティ室の設置 Copyright (C) Cybozu,Inc. 32 統 制 Q A 他各 部⾨ 事業戦略会議/本部⻑会 CSM:横断会議体 各部セキュリティ責任者 事務局:セキュリティ室 連携 情 シ ス セキュリティ室 Cy-SIRT ISMS事務局 社⻑ 直下組織 Cy- PSRT
  33. 33. PSIRT の分離 • Cybozu,Inc. Product Security Incident Response Team • 製品に関する脆弱性情報を取り扱うチーム Cy-PSIRT • Cybozu,Inc. Computer Security Incident Response Team • インシデント対応を⾏うチーム Cy-SIRT Copyright (C) Cybozu,Inc. 33
  34. 34. セキュリティ室の業務 Copyright (C) Cybozu,Inc. 34 インシデント 対応⽀援 外部機関との 連携 セキュリティ 情報収集 ユーザサポート ヘルプデスク セキュリティ マネジメント セキュリティに関する専⾨知識に基づき、 各事業部で⾏うセキュリティ施策に対して⽀援する
  35. 35. PSIRT の業務 Copyright (C) Cybozu,Inc. 35 脆弱性情報 管理 報奨⾦制度 運営 脆弱性検査 外部機関との 連携 セキュリティチームと連携しサービスを提供
  36. 36. 監査 構築 運⽤ 計画 企画 統括判断 セキュリティ機能(セキュリティ室設置後) Copyright (C) Cybozu,Inc. 36 中期 年次 年次〜四半期〜随時 随時 全体統括 IT 戦略 基幹 システム インフラ 構築 / 実装 ヘルプ デスク ユーザ サポート 調達 ID 管理 CSIRT 基幹シス テム運⽤ インフラ 環境運⽤ システム監査 セキュリティ室 運⽤本部 情報システム部 事業⽀援 本部 SOC システム 企画 Sec マネジメ ント 事業 継続 DR
  37. 37. まとめ Copyright (C) Cybozu,Inc. 37
  38. 38. 組織のセキュリティ対策 • 担当職が担うセキュリティ機能を明確化 • セキュリティ担当者が機能をかけもちしないように配慮 担当職を⽀援・補佐する体制を構築 • 社⻑直下に Cy-SIRT を中⼼としたセキュリティ室を構築 Cy-SIRT の変遷 Copyright (C) Cybozu,Inc. 38
  39. 39. 成果物を利⽤した所感 • 対象となる業務を担当する部署・部⾨の把握 • 既存の組織間で業務内容の調整をする際に、 各部⾨の現状の業務領域を可視化できる 組織のセキュリティ機能を俯瞰できる • 参照元となるドキュメントを参照するなど追加のコストが必要 機能定義に対する説明が不⾜気味 Copyright (C) Cybozu,Inc. 39
  40. 40. 今後の課題 Copyright (C) Cybozu,Inc. 40 • これまでの施策の引継ぎに伴う諸対応 業務領域の拡⼤ • 専⾨的な技術を持つ⼈材をどのように育てるか • アウトソーシング計画 ⼈材の確保 • 各担当者の教育をどのように進めていくか 全社的なベースラインの底上げ
  41. 41. Q&A ご清聴いただき、誠にありがとうございました。 Copyright (C) Cybozu,Inc. 41
  42. 42. 参考⽂書 • 「産業横断サイバーセキュリティ⼈材育成検討会」 第⼀期最終報告書 • http://cyber- risk.or.jp/sansanren/xs_20160914_02_Report_JinzaiTeigiWG_1. 0.pdf • 総務省 平成 27 年通信利⽤動向調査 • http://www.soumu.go.jp/menu_news/s- news/01tsushin02_02000099.html Copyright (C) Cybozu,Inc. 42
  43. 43. Appendix 各セキュリティ機能の業務例 サイバーセキュリティ対策機能を実現する業務の具体例を、 機能別にまとめます。 Copyright (C) Cybozu,Inc. 43
  44. 44. 情報システム部⾨における役割分化 Copyright (C) Cybozu,Inc. 44 情報システム システム運⽤ システム構築 基幹システム 運⽤ インフラ環境 運⽤ ユーザ サポート ヘルプデスク システム監査 購買 調達 全体統括 管理 基幹システム インフラ構築・実装 IT 戦略 システム企画 事業継続 セキュリティ 対策 権限管理 CSIRT SOC
  45. 45. 業務例:全体統括 / 事業継続 • サイバーセキュリティ対策に関する全社的統括 サイバーセキュリティ 統括 • ICT環境における事業継続計画の策定 • サイバーセキュリティ保険の導⼊検討 IT-BCP Copyright (C) Cybozu,Inc. 45 全体統括 管理 事業継続
  46. 46. 業務例:システム企画 Copyright (C) Cybozu,Inc. 46 • ユーザビリティに基づく機能改善・実装計画の企画⽴案 エンドポイントおよび、UI に関するセキュリティ機能改善計 画の策定 • システムセキュリティの観点に基づく機能改善・実装計画の 企画⽴案 • システム構成に関するセキュリティ機能改善計画の策定 セキュリティ実装計画 システム 企画
  47. 47. 業務例:基幹システムインフラ構築・実装(1) • セキュア構築・運⽤設計の企画⽴案 • 各開発プロセスおよび、運⽤改善におけるセキュアデザイン • 多層防御に基づくセキュア設計管理 • ネットワーク及びシステム構成に対するセキュアデザイン セキュリティ対策導⼊・開発計画 • セキュリティ対策関連の製品・サービスに対する評価検証 セキュリティ製品 品質管理 Copyright (C) Cybozu,Inc. 47 基幹システム インフラ構築・実装
  48. 48. 業務例:基幹システムインフラ構築・実装(2) • システム構築及びシステム運⽤のセキュリティ対策分野に関する プロジェクトマネジメント及びプロジェクト運⽤⽀援 システムセキュリティ対応 • 脆弱性診断(導⼊時・運⽤時)パッチ適⽤時の評価テスト 運⽤テスト・パッチ管理 Copyright (C) Cybozu,Inc. 48 基幹システム インフラ構築・実装
  49. 49. 業務例:基幹システムインフラ構築・実装(3) • 全システムに対するパッチ管理及び脆弱性診断に関する計画 の企画⽴案 • セキュリティ対策関連の製品・サービスの選定及び実装⽀援 • セキュリティ対策におけるシステム的機能の継続的改善活動 セキュリティ機能評価/改善 Copyright (C) Cybozu,Inc. 49 基幹システム インフラ構築・実装
  50. 50. 業務例:権限管理 / SOC • ActiveDirectry管理 / シングルサインオン管理 • システム、フォルダ等アクセス権管理 ID管理 / アクセス権管理 • セキュリティオペレーション業務における導⼊・構築 • セキュリティオペレーション業務における運⽤管理 • セキュリティオペレーション業務におけるインシデント対応 SOC Copyright (C) Cybozu,Inc. 50 権限管理 SOC
  51. 51. 業務例:基幹システム運⽤ • OS・プラットフォーム・ミドルウェア等に対する版管理 OS管理 • 基幹システム等のアプリケーションに関するバージョン管理 アプリケーション管理 • クラウドサービス選定及び利⽤管理、セキュリティ対策 クラウドサービス管理 Copyright (C) Cybozu,Inc. 51 基幹システム 運⽤
  52. 52. 業務例:インフラ環境運⽤ • DB機器管理 / 構成管理 • DB データセキュリティ(設定・格納されるデータ) データベース管理 • 通信環境管理(FW 、プロキシ、WAF などの設定) • 通信監視(死活、パケット監視)、通信遮断管理 • 脅威情報の活⽤ ネットワーク管理 Copyright (C) Cybozu,Inc. 52 基幹システム 運⽤
  53. 53. 業務例:システム監査 / 購買・調達 • 情報セキュリティ監査、物理的セキュリティ監査 • システム監査 監査 • 取引先選定 • 製品・サービス調達 購買・調達 Copyright (C) Cybozu,Inc. 53 システム監査 購買 調達
  54. 54. 業務例:ユーザーサポート / ヘルプデスク • 社内のICTリテラシー向上のためのユーザー⽀援 • リスク対応教育の企画・計画・実施 サポート教育 • インシデント発⽣時の問合せ窓⼝ • 端末・機器異常(インシデント発⽣以前)の相談窓⼝ ヘルプデスク Copyright (C) Cybozu,Inc. 54 ヘルプ デスク ユーザ サポート
  55. 55. 業務例: IT 戦略 • コンプライアンス、ガバナンス、RM の観点に基づくセキュリティ対策 事業戦略 / 中期計画 • セキュリティ対策に係る実施計画の企画⽴案、規定・ルールの策定 年次計画 • IT 導⼊・構築運⽤改善計画の企画⽴案、ガイドライン・マニュアルの作成 • ライセンス管理を踏まえたリプレイス計画、固定資産管理・ソフトウェア会計 管理 ICT 企画 Copyright (C) Cybozu,Inc. 55 IT 戦略
  56. 56. 業務例:セキュリティ対策 • ICT 環境・ICT 運⽤改善計画の策定 • 情報資産の保護基準・保護⽅法の改善、情報漏えい保険の導⼊検討 • 情報資産の棚卸 情報セキュリティマネジメント • 災害対策(DR)に関する ICT 環境改善計画の策定 • 災害対策および、災害発⽣時に関する稼働計画の策定 ディザスタリカバリ(DR) Copyright (C) Cybozu,Inc. 56 セキュリティ 対策

×