情シス担当者向け『サイバーセキュリティ経営ガイドライン』を読み解くセキュリティ講座 https://datahotel.connpass.com/event/44152/ ■セッション3　『サイバーセキュリティ経営ガイドライン』と開発現場への影響 経営者が決めた施策に対して、しわ寄せの対象となりがちな開発現場。セキュアコーディング？セキュリティツールの活用？…良い話も悪い話も、セキュリティ・エンジニアならではの視点から現場の取り組みを紹介します。

1. 『サイバーセキュリティ経営ガイドライン』
開発現場への影響の話
2016年11月22日
NHNテコラス株式会社 データホテル事業本部
セキュリティ・エンジニア 香取 弘徳

2. NHN テコラス株式会社の「ITインフラ・マネージド」を担う事業部門です。
インターネットインフラを安心してご利用頂けますように、セキュリティ強化
に取組んでいます。
東京都新宿区新宿6-27-30
新宿イーストサイドスクエア 13階
https://datahotel.jp

3. http://www.itmedia.co.jp/author/211284/
ITmedia エンタープライズ
現場エキスパートに学ぶ実践的サイバー攻撃対策塾
DATAHOTEL で、開発業務をしています。
でも、本当は…セキュリティ・エンジニアです。
（専門はWeb セキュリティ）
香取 弘徳（かとり ひろのり）

4. 【出典】経済産業省
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html
情報セキュリティ対策を実施する上での
責任者となる担当幹部（CISO 等）に
指示すべき「重要10項目」
“開発現場に
セキュリティ・エンジニアを！“
by CISO

5. 「開発現場のセキュリティエンジニア」の悩み
1. 現場の仲間達との亀裂
2. コスト、納期の問題

6. セキュアコーディング！
リスク＝【情報資産】×【脅威】×【脆弱性】
この式の考え方では【情報資産】、【脅威】、【脆弱性】の
どれかが無くなれば、リスクが無くなる。よって、損害は発
生しないことになる。
脆弱性を作りこまない根本的解決策と、影響を軽減する保険
的対策がある。
【出典】IPA セキュア・プログラミング講座：IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/awareness/vendor/programming/

7. 問題発生！
従来のコーディング
セキュアコーディング
本来の期日 セキュアコーディング時の
終了見込み
セキュアコーディングによる開発期間の増大に、
どう対処しよう？
開発期間のギャップ

8. そうだ！ WAF を使おう
Web Application Firewall

9. WAF
Webアプリケーションの脆弱性を突く攻撃からの防御
正しいアクセスを透過
不正なWebアクセスを遮断
Web Application Firewall

10. 開発費
問題発生！ WAFの導入・運用コストをどうしよう？？
システム全体のコスト
開発費
WAFコスト
WAF分のコストアップ
従来 WAFを導入

11. Give up...
危険なまま、アプリケーションをリリースしてしまおうか

12. 【出典】SOFTIC 判例ゼミ 2014-5 2014.11.13
http://www.softic.or.jp/semi/2014/5_141113/op.pdf
問題発生！
脆弱性を放置しては、いけません。
判例があります。

13. セキュリティ・エンジニアは
あきらめることすら許されないのか...
セキュアコーディング
WAFの導入
あきらめる

14. システムの納入先と「合意」をして、
セキュリティ対策を行うのです。

15. 30.5
50.5
17.5
1.5
非常に脅威 脅威 どちらでもない 脅威ではない
（％）
【出典】AIU保険会社 プレスリリース 国内200名の経営者を対象に「情報漏えいリスクに対する意識調査」を実施
http://www.aiu.co.jp/about_us/press/2013/13_01_23.htm
情報漏えいに対し、
81% の企業経営者が脅威と感じている。
サイバーセキュリティ対策について
合意をすることが出来るはず。
Chance

16. ちゃんと「合意」をすることで、
セキュリティ対策の道が開ける。
セキュアコーディング
WAFの導入
あきらめる

17. ☑ セキュアコーディングによる開発期間の増大
☑ WAF導入によるコストアップ
☑ 加害者にならないための、セキュリティ対策
合意形成

18. 開発期間の増大、コストアップ
簡単に合意できるものでは無い...問題発生！

20. セキュアコーディングによる開発期間の増大
WAF導入によるコストアップ
加害者にならないための、セキュリティ対策
MUST

21. 開発期間、コストの増大は不可
しかし、セキュリティ対策はマスト
どうすれば良いのか...

22. 「共通の認識」が必要です。
サイバーセキュリティ経営ガイドラインを
活用しましょう。

23. ① セキュリティ投資に対するリターンの算出はほぼ不可能である。
セキュリティ投資をどこまでやるのか、経営者がリーダーシップを
とって対策を推進しなければ、企業に影響を与えるリスクが見過ご
されてしまう。
② 自社のみならず、系列企業やサプライチェーンのビジネスパート
ナー等を含めたセキュリティ対策が必要である。
③ 平時からのセキュリティ対策に関する情報開示など、関係者との適
切なコミュニケーションが必要である。
サイバーセキュリティ経営ガイドライン
2. 経営者が認識する必要がある「３原則」
【出典】経済産業省 サイバーセキュリティ経営ガイドライン Ver 1.0
http://www.meti.go.jp/press/2015/12/20151228002/20151228002-2.pdf

24. そして、
もう独りで悩んだりしないで下さい。

25. 守るということ。
護られているということ。
情報セキュリティ分野の第一人者と
して、急増するハイテク犯罪やサイ
バーテロに対抗しうる、社会基盤の
構築、企業の情報管理体制の強化支
援に取り組みます。
安全・安心のITインフラで
ビジネスを強力にサポートします。
ITインフラのプロフェッショナルとして、
より高性能・高品質のサービス基盤の提
供に取り組みます。

26. チームとして、
一緒に取り組みましょう。

27. Managed & Secured
Hosting Service

28. NHNテコラス株式会社 データホテル事業本部