More Related Content Similar to セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Similar to セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 - (20) More from Cybozucommunity
More from Cybozucommunity (20) セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -2. ⾃⼰紹介
• 伊藤彰嗣(@springmoon6)
• サイボウズの CSIRT(Cy-SIRT)窓⼝(PoC)担当
• 経歴
• 2006年 新卒⼊社
• 2009年 サイボウズ Garoon 品質保証責任者
• 2011年 cybozu.com 品質保証責任者
• 2011年 Cy-SIRT ⽴ち上げ
• 2014年 脆弱性報奨⾦制度運営
• 2016年 セキュリティキャンプ講師
2Copyright (C) Cybozu,Inc.
3. Cy-SIRT
• サイボウズの CSIRT
• Computer Security Incident Response Team
Copyright (C) Cybozu,Inc. 3
https://www.cybozu.com/jp/features/manage
ment/cysirt.html
http://www.nca.gr.jp/member/cy-sirt.html
9. 2009 年当時の課題
Copyright (C) Cybozu,Inc. 9
外部からのセキュリティに関する窓⼝に
専任担当者がいない
製品だけでなくより広いセキュリティ問題に
取り組むチームとして Cy-SIRT を設⽴(2011 年)
http://www.slideshare.net/akitsuguito/appsec-akitsugu-ito
12. CSM(Cybozu Security Meeting)
Copyright (C) Cybozu,Inc. 12
CSM
(Cybozu Security Meeting)
内部
統制
CSI
RT
製品
情
シ
ス
社内
事業戦略会議/本部⻑会
セキュリティ責任者(本部長、部長、副部長等)
全社、各部⾨
ISMS
意思決定をする機関ではなく、
セキュリティに関する事項を
議論するための会議体
関
係
事
業
部
社外
16. サイボウズの⾵⼟
• 権限で仕事をする⽂化ではない
• 質問責任 / 説明責任
議論をして合意を取り仕事を進める⽂化
• Action 5
(理想への共感、あくなき探求、知識を付ける、⼼を動かす、不屈の⼼
体)
• 問題解決メソッド
議論のフレームワークは整備されている
Copyright (C) Cybozu,Inc. 16
17. 最初に考えたこと
Copyright (C) Cybozu,Inc. 17
CSIRT の業務範囲を⾒直そう
CSIRT に求められる役割と実現に必要な⼈材のスキル、キャリアパスに
ついて、対象企業を 3 つのパターン例に分けて解説したドキュメント
http://www.nca.gr.jp/activity/training-hr.html
20. サイバーセキュリティ対策の強化に向けた提⾔
2015 年 2 ⽉ 17 ⽇に経団連から提⽰された
サイバーセキュリティ対策の強化に向けた具体的な
取り組みの提⾔
Copyright (C) Cybozu,Inc. 20
http://www.keidanren.or.jp/policy/2015/017.html
情報共有の
強化
演習の実施
技術開発と
システム運⽤
国際連携の
推進
重要インフラ
分野の⾒直し
インターネット
の安全性向上
⼈材育成の
強化
⼈材育成の
強化
24. 機能定義 – 関係図 –
Copyright (C) Cybozu,Inc. 24
統括判断
計画
企画
構築
運⽤
監査
中期 年次 年次〜四半期〜随時 随時
全体統括
IT 戦略
システム
企画
基幹
システム
インフラ
構築 /
実装
ユーザ
サポート
ヘルプ
デスク
調達
ID
管理
CSIRT
基幹シス
テム運⽤
インフラ
環境運⽤
SOC
システム監査
Sec
マネジメ
ント
事業
継続
DR CSIRT
SOC
Sec
マネジメ
ント
事業
継続
DR
45. 業務例:全体統括 / 事業継続
• サイバーセキュリティ対策に関する全社的統括
サイバーセキュリティ 統括
• ICT環境における事業継続計画の策定
• サイバーセキュリティ保険の導⼊検討
IT-BCP
Copyright (C) Cybozu,Inc. 45
全体統括
管理
事業継続
46. 業務例:システム企画
Copyright (C) Cybozu,Inc. 46
• ユーザビリティに基づく機能改善・実装計画の企画⽴案
エンドポイントおよび、UI に関するセキュリティ機能改善計
画の策定
• システムセキュリティの観点に基づく機能改善・実装計画の
企画⽴案
• システム構成に関するセキュリティ機能改善計画の策定
セキュリティ実装計画
システム
企画
50. 業務例:権限管理 / SOC
• ActiveDirectry管理 / シングルサインオン管理
• システム、フォルダ等アクセス権管理
ID管理 / アクセス権管理
• セキュリティオペレーション業務における導⼊・構築
• セキュリティオペレーション業務における運⽤管理
• セキュリティオペレーション業務におけるインシデント対応
SOC
Copyright (C) Cybozu,Inc. 50
権限管理
SOC
52. 業務例:インフラ環境運⽤
• DB機器管理 / 構成管理
• DB データセキュリティ(設定・格納されるデータ)
データベース管理
• 通信環境管理(FW 、プロキシ、WAF などの設定)
• 通信監視(死活、パケット監視)、通信遮断管理
• 脅威情報の活⽤
ネットワーク管理
Copyright (C) Cybozu,Inc. 52
基幹システム
運⽤
53. 業務例:システム監査 / 購買・調達
• 情報セキュリティ監査、物理的セキュリティ監査
• システム監査
監査
• 取引先選定
• 製品・サービス調達
購買・調達
Copyright (C) Cybozu,Inc. 53
システム監査
購買
調達
54. 業務例:ユーザーサポート / ヘルプデスク
• 社内のICTリテラシー向上のためのユーザー⽀援
• リスク対応教育の企画・計画・実施
サポート教育
• インシデント発⽣時の問合せ窓⼝
• 端末・機器異常(インシデント発⽣以前)の相談窓⼝
ヘルプデスク
Copyright (C) Cybozu,Inc. 54
ヘルプ
デスク
ユーザ
サポート
55. 業務例: IT 戦略
• コンプライアンス、ガバナンス、RM の観点に基づくセキュリティ対策
事業戦略 / 中期計画
• セキュリティ対策に係る実施計画の企画⽴案、規定・ルールの策定
年次計画
• IT 導⼊・構築運⽤改善計画の企画⽴案、ガイドライン・マニュアルの作成
• ライセンス管理を踏まえたリプレイス計画、固定資産管理・ソフトウェア会計
管理
ICT 企画
Copyright (C) Cybozu,Inc. 55
IT 戦略
56. 業務例:セキュリティ対策
• ICT 環境・ICT 運⽤改善計画の策定
• 情報資産の保護基準・保護⽅法の改善、情報漏えい保険の導⼊検討
• 情報資産の棚卸
情報セキュリティマネジメント
• 災害対策(DR)に関する ICT 環境改善計画の策定
• 災害対策および、災害発⽣時に関する稼働計画の策定
ディザスタリカバリ(DR)
Copyright (C) Cybozu,Inc. 56
セキュリティ
対策