1. CISOが、適切にセキュリティ機能とレベル
を決めるには
― 現状維持か変革かを分けるポイント
岡田 良太郎
アスタリスク・リサーチ

2. Riotaro OKADA
(c) Riotaro OKADA / Asterisk Research, Inc.
2

3. アスタリスク・リサーチ “シフトレフト”実現企業
asteriskresearch.com
(c) Riotaro OKADA / Asterisk Research, Inc.
3
Professional Tools
実践段階のQCDを高める道具
・トレーニング
・Eラーニング
・開発環境向けツール(CI/CD)
・トレーニングイベントデザイン
・リスクプロファイルトレーニング
・脅威分析トレーニング
Advisory Service
経営陣の高速な意思決定を実現するアドバイザリ
・PSIRT/CSIRT Advisory
・DevOps Transformation
・セキュリティ・スコアカード分析
・エグゼクティブ向けブリーフィング
・CISO, CTO, CROハンズオン
Security Test Managed Service
セキュリティ脆弱性発見から改善に効くサービス ・設計の脅威対応分析 Threat Analysis
・コンポーネント分析 SCA
・ソースコード分析 SAST
・システム脆弱性テスト DAST
・プラットフォームテスト NST

4. 本日の構成
0. Prologue
1. 変革を迫る要素
2. Right Now 今すぐできること
(c) Riotaro OKADA / Asterisk Research, Inc. 4

5. 0. Prologue
(c) Riotaro OKADA / Asterisk Research, Inc. 5

6. アフターコロナ見えてきた？

7. 7, 8月…
FEN
FLAVA
Hoick
MBT
MOUSE
NTTぷらら
NTTロジスコ
SHIONOGI
TRANSIC
TSUTAYA
YAMASHITA
アイディホーム
オリコン
キャンディル
ゴルフネットワーク
ソングブックカフェ
ビズアップ
フォレスト出版
ますも証券
モリサワ
ロゴストロンショップ
国立印刷局
埼玉りそな銀行
札幌日信電子
出入国在留管理庁
摂津金属
東大阪医療センター
東北工業大学
読売ファミリー
日新
日本ケミカル
日本空港給油
弥生
琉球銀行
ALSOC介護
Bewith
FUKUYA
JR西日本住宅サービス
NETMARKETING
SHIONOGI
アニマルヘルスジャパン
オーケー食品
ニップン
フィッシング対策協議会
メルカリ
岡山大学
港区
川崎重工
日本船用工業会
富士通

8. アフターコロナへの準備、
大丈夫でしたか？
• VPN依存の仕組みの排除
• SMBベースのファイルサーバの廃止
• クラウドサービスへのリプレース
• 認証基盤の整備とアカウントの棚卸し
• ネットワーク増強
• 情報システム部門の経験値
• サイバー訓練・演習のデジタル化
• オンプレからクラウドへ
• サービス調達
(c) Riotaro OKADA / Asterisk Research, Inc. 8

9. (c) Riotaro OKADA / Asterisk Research, Inc. 9
https://www.optiv.com/navigating-security-landscape-guide-technologies-and-providers
セキュリティサービスはさらにカオス

10. 「CISOの2つの難題」
• 外部ステイクホルダー・攻撃者
• 脅威と攻撃
• サプライチェイン
• 事業継続
• 社会の要請
• 社内・事業部門・
身内とのせめぎあい
• ビジネス目標
• コンプライアンス
• 内部犯行
• ROI
(c) Riotaro OKADA / Asterisk Research, Inc. 10
参考：「CISOハンドブック」前書き

11. 「安心して助けを求められる組織を作る」
- ６ Concepts
1. 人間関係を築く
2. 弱さを認める
3. 他者を理解する
4. 他者を承認する
5. 自分でコントロールする
6. 外部の力を借りる
(c) Riotaro OKADA / Asterisk Research, Inc. 12
“What I Learnd When I was Burned Out” HBR.org

12. 事業部門と共通のゴールからリスク対策に落とし込むこと
1. 事業の構成を言葉にして共通目標をもつ
2. それを支える関連システムとデータを明らか
3. 障害の定義と復旧までの許容時間
4. 基本的対策をマッピング
5. 有事を想定したリスク対応演習
(c) Riotaro OKADA / Asterisk Research, Inc. 13

13. TOKYO2020
無事の閉幕
(c) Riotaro OKADA / Asterisk Research, Inc. 14

14. 2021/7,8 オリンピック！
• 五輪サイバー攻防戦、火ぶた ネット中継増加に
リスクも(2021/7/12）日経
• 五輪サイバー攻撃に警戒…競技場の照明ダウ
ン？測定システム不能に？（2021/7/16）読売
新聞online
• 東京五輪「サイバー攻撃」でダウン寸前 ハッ
カーたちの「裏オリンピック」金メダルは？
（2021/7/19)

15. 2021/7,8 オリンピック！
• 「無観客開催」がサイバー攻撃から東京オリンピックを守っ
ているという事実（2021/7/29）YAHOO!
• 日本へのサイバー攻撃、五輪開始後は約10倍に 組織委「対
策を徹底する」（2021/7/29）ITmedia
• オリンピック：ハッカーのための遊び場（2021/8/2）
• 急増する東京五輪へのサイバー攻撃、だが一番危険なのは
「便乗詐欺」（2021/8/10）
• 東京オリンピックのサイバー関連の出来事についてまとめて
みた(2021/8/9）piyolog
https://radar.cloudflare.com/olympics2020

16. TOKYO2020 閉幕！
• 電力、インフラなどの便乗テ
ロもなかった！
• 開会式当日の閲覧障害は発生
• ランサムウェア、フィッシン
グサイトは多発
• 誹謗中傷やデマ、詐欺犯罪
多発
• 人の問題も
• ユニフォーム販売するバカ
• WiFiアクセス情報が漏
大きな妨害が成功して事案
に至ったものは「ゼロ」！
2021年8月 Hardening Drivers Conference

17. TOKYO 2020 - 何を学べるか
「事前のトレーニングが徹底していた」
サイバーコロッセオ
• https://colosseo.nict.go.jp/
東京圏および地方競技会場周辺の自治体については、
NICTが別途実施する実践的サイバー防御演習CYDER
により、セキュリティ対応の強化

18. 情報入手を最大化
大勢の連携によるモニタリングと応援
• 直前も呼びかけ
• 五輪でサイバー攻撃懸念 政府
事業者に速やかな情報共有求
める（2021/7/20）NHK
https://piyolog.hatenadiary.jp/entry/2021/08/09/070000
VirusTotalサイトで共有

19. 何をどこまでやるか
東京オリンピック・パラリンピック競
技大会のサイバーセキュリティの確保
に向けたリスク評価資料一式を公開
（2021年４月）NISC
https://www.nisc.go.jp/active/2020/index.html

20. 別添3「TOKYO2020リスクアセスメントの実施目的」
1. 会場設営が予定どおり実施できること {主に開催前}
2. 開閉会式のプログラム、各競技が予定どおり安全に実施できること [期間中]
3. 選手の能力の発揮に必要な環境を提供すること [期間中]
4. 来賓・観客の不満のない観戦やスタッフの安定した業務遂行に必要な環境を提供
すること [開催前・期間中]
5. 会場にいなくても大会を楽しむために必要な環境を提供すること [期間中]
(c) Riotaro OKADA / Asterisk Research, Inc. 21

21. みてみましょう
(c) Riotaro OKADA / Asterisk Research, Inc. 22

22. 事業部門と共通のゴールからリスク対策に落とし込むこと
1. 事業の構成を言葉にして共通目標をもつ
2. それを支える関連システムとデータを明らか
3. 障害の定義と復旧までの許容時間
4. 基本的対策をマッピング
5. 有事を想定したリスク対応演習
(c) Riotaro OKADA / Asterisk Research, Inc. 23

23. 必ずぶち当たる難問：
データはどこにある？
変革の強い動機
(c) Riotaro OKADA / Asterisk Research, Inc. 24

24. (c) Riotaro OKADA / Asterisk Research, Inc.
ノーコード？ローコード？連携？

25. (c) Riotaro OKADA / Asterisk Research, Inc. 26
セキュリティは非機能？
endpoint
endpoint
No, It’s 横断的機能

26. 標準化されていない！
• アカウント認証
• データの取り扱い（暗号化、符号化）
• セキュア開発レベル
• ログ
• 障害時のアクション
(c) Riotaro OKADA / Asterisk Research, Inc. 27
ブランドという代理変数で評価をサボるのはやめよう。

27. Closing: Right Now?
(c) Riotaro OKADA / Asterisk Research, Inc. 28

28. 週明けすぐにシフトレフト
• 事業の目的と目標を事業部門の言葉で言語化しよう。
1. セットアップ
2. デッドラインのあるイベントの遂行
3. 日常の業務環境の確保
4. ワーカーの安定した業務遂行の支援
5. 顧客の利便
(c) Riotaro OKADA / Asterisk Research, Inc. 29

29. 数ヶ月で急いでシフトレフト
• ITシステムとの関連をマップしてみる
• 障害対応期待と現状の対策のギャップを見つける
• ばらばらのものをまとめられる方法を探る
• 上記をもとにロードマップを作る
(c) Riotaro OKADA / Asterisk Research, Inc. 30

30. 半年以内に: ぐぐっとシフトレフト
•実施方法の見直し
• ざるな「認可」の廃止
• 横断的なモニタリングの検討
• 異常事態の検知と対応のスピードは
マッチしているか
• ばらばらから、まとめる
(c) Riotaro OKADA / Asterisk Research, Inc. 31

31. Ask riotaro@rsrch.jp
Follow @okdt
(c) Riotaro OKADA / Asterisk Research, Inc. 32
お待ちしています。

32. 2021年、IT版「家庭の医学」でました
「もはや経験のあるベテランの勘で経営
判断できる状況ではなく、持てる限りの
データを活用し、迅速に判断し、アクショ
ンを取らなければなりません」
「一方で、未成熟な技術に甘んじなけれ
ばならない側面もあります」
「そこで、DXを進める上での前提は」
13の章と21のコラム
理解を深める8つの付章
全400ページ、11名の執筆陣
2018年刊に次ぐ改訂新版。

33. Hardening 2021 Active Fault
ITシステムの活断層
に対応する総合力を
体感できます。
御社からぜひ、
おすすめください。
(c) Riotaro OKADA / Asterisk Research, Inc.
34