2015年2月2日月曜日

【参加】サイバーセキュリティ月刊 キックオフ・シンポジウム

2月といえば、情報セキュリティ月刊です!
そのキックオフに行ってきました。

情報セキュリティ月刊は2月1日から3月16日までです。
この間に情報セキュリティに関する様々なイベントが開かれます。
詳細はこちら
http://www.nisc.go.jp/security-site/month/



メモ
サイバーセキュリティ月刊 キックオフ・シンポジウム
「費用」から「投資」へ -経営の活力を支えるサイバーセキュリティ-

http://www.nisc.go.jp/security-site/files/symposium_150201.pdf

挨拶
・東京五輪オリンピックでのサイバー攻撃はなんとかオリンピックの20億件を超えることが想定される。攻撃を防ぐことによって日本の強さを見せなくてはいけない。情報セキュリティは国だけでは行えない。民間と国が協力して対応したい。
・サイバーセキュリティ基本法では、情報セキュリティは投資にしなくてはいけないこと、人材育成をすることを記載されている。


■サイバーセキュリティ基本法とこれからの日本
・最初は愉快犯→金銭目的→政治目的→今はそれらが混ざっている状態。
防御への投資が必要なほど攻撃が大きくなった。
・初めての攻撃がいつかは正確にはわかっていない。
1990年代に攻撃が確認されるようになり、2000年になってから攻撃が検挙に増えるようになった。
→情報セキュリティの指令塔が必要であると考えるようになった。
・サイバーセキュリティ戦略本部はIT戦略本部から分離したもの。
もともとは法的機関はIT戦略本部だった。今はサイバーセキュリティ戦略本部が法的機関。
IT戦略本部とNSCをつなぐ存在がサイバーセキュリティ戦略本部。
サイバー・インシデントの特性
・実行者の特定が難しい。また、コンテンツが本物なのか偽物なのかもわからない。
現在は攻撃側が有利な環境になっている。
・被害が潜在的(ステルス性)がある。ウイする感染、不正アクセスなどによる情報の盗聴あるいは乗っ取りにんも痕跡が残されないので被害者も気が付かない。
・インシデントから攻撃までの連続性・協会性・偶発的インシデント、いたずら、営利目的、攻撃、テロ、武力攻撃の準備までが、連続的に発生してしまう。
また、国をまたぐことが多いため、法的機関が
・防御が難しい理由
一点突破対全面防御
法的覚悟対合法の範囲内
ゲリラ軍対正規軍(縦割り)
ゆるやかな国際連携対国内機関
多数の予備軍対少数精鋭部隊
一部の国家は暗黙の援助対国際的秩序の遵守
・防御側で重要なのは情報共有
攻撃があった場合は一般化せず一部のメンバーで共有し対策を行う。
・アメリカのサイバーセキュリティ機関NCFTA
日本でもNCFTが設立した。


■日本経済の変化とサイバーセキュリティ
・経営環境
少子化・高齢化:国内市場の縮小と変化、女性の活用や国際的な展開が必要
売上を確保するためにはグローバル化が必須になる。
世界中に日本人が存在し、日本に多数の外国人がいるようになるため同等性するか。
経営におけるダイバーシティ、経営と監督の分離が必須になると思われる。
物から情報へ。物があまり、雑賀、情報的価値の方が重要になる。
時間資本主義になる。時間が足りなくて何もできない人が増える。
・環境への適応
A型(情報を会社が統合し人事は分散される)とI型(人事で統合し情報は分散)。今後の日本はどっちになるか?ハイブリッドになる可能性もあるがどういう状態かわかっていない。
企業が情報システムであることを理解していない企業が多い。
情報セキュリティの面から見た経営、組織分散が必要
・need to know
必要な人にしか情報を出さないで不要な人には知らせない。アメリカでは当たり前だが日本ではまだまだ。
アメリカでは仕事あって誰をアサインするかを考えるが日本は逆
イージス艦の情報漏えい事件:アメリカは人によって教える内容が違う。日本人にも同じような方法だがDB化して共有した。
昔はチームでアドレスが一つだったが最近は個人がアドレスを持つようになった。
若者の上司との飲み会を嫌うようになり個人ベースの社会になっている
防災の反省として、自助・共助・控除の3本の矢が必要とされたが共助が一番「どっちつかず」になりがち
・need to share
アメリカはインテリジェンス・コミュニティでは9.11で多くの予兆を感知しながら防ぐことができなかった。
部門や組織を超えた情報共有をどうするか難しい
・need to knowとneed to shareの両立の状態は不明。議論を重ねてきたが世界が見えない。
・アメリカはトップダウン、日本はボトムアップだが、形を変えなくてはいけない。
海外でのインシデント対応
ローテーション人事ではドッグイヤーに対応できない
人的雇用年数>企業の寿命
アメリカの強欲主義は崩壊を始めている。日本の人主義は
・特定情報保護法は
秘密の法的保護ということを一般論で提起し、量刑についてバランスをとった
従来欠落していた国家の秘密というが概念を明確にした。指定や解除の法律など「セキュリティ・マネジメント」面にまで踏み込んだ
これからは民間が特定情報保護を学習が必要
特定管理秘密という@法的な根拠薄弱な存在」を解消し、明示的・限定的に保護することにした。
・差異化としての品質と管理システム
ものを売るはやりやすかったがサービスを売るのは難しい。
アレンとヤーゴの「金融は人類に何をもたらしたか」における藤野の監訳者解説
トヨタはジャストインタイムを広めたが資格制度にしなかった。これは情報・サービスの流出になってしまった。
・会計的理解:費用は多数年度・収益に直接関与しない、投資は長期的・収益につながり償却対資本。
・セキュリティは費用か投資か
日本のサービス業界は効率で売ってきた。セキュリティはおまけだった。
セキュリティだけのサービスを売ることもできた。
セキュリティ的に安全じゃないサービスは使われなくなる。
遅れているのは供給サイドのトップで利益を生ませる意識が必要
イベントにはセキュリティが不可欠との理解が広まれば「利益の一部はセキュリティのおかげ」という理解が必要
・インターネットはレジリエンス(resilience)を実現する手段として最適だがセキュリティの発想は希薄だった。
起きるのは仕方ないに意識を変化させ起きても問題内容な体制が必要(セキュリティ経営)。
セキュリティは単年度で成立するものではなく長期的な戦略が必要。


■サイバーセキュリティに影響を与える経営の視点
・経営から情報セキュリティ
情報システムをどのように事業に活用するかは重要な経営課題。
セキュリティは情報システム活用のための重要機能
情報セキュリティだけ切り取って議論することに問題がある(可能なのか)
経営にとって重要なのはどのような情報システムを造るかということであってセキュリティはどうするではない
情報セキュリティを軽んじているシステムは事故を起こす。
・統合化がポイント。今までISOはそれぞれの分野で作っていたが、同じ構造化をした。
マネジメントレベルは個々に見ていたのでは他のマネジメントに強く影響するようになった。
・攻めるための基盤としての守り
変化する社会状況下では現状維持するにも投資が必要な時代になっている。
目指す状況を実現するための対応の重要性を認識していればコストも投資も同じこと
現状から見れば投資
未来から見れば費用
どういう状態になりたいという姿を組織でイメージできているか?
その状態の計画はあるか?(今年末はどういう状態?来年末にはどういう状態?・・・)
経営者は、経営効率を考える。情報システム担当者は情報セキュリティの投資効果(費用の必要性)を経営の言葉で説明することが重要。
経営者が安全を学習するように、安全を作る側も経営の勉強が必要。
情報システムに関する経営でのリスクの把握が重要
・ISO31000のリスクの定義(リスクの最先端の考えたにそっている)
リスクとは、目的に対する不確かさの影響
影響とは期待されていることから良い方向および悪い方向に逸脱すること
諸目的はたとえば財務。安全衛生・環境に関する到達目的など、さまざまな側面をもち、戦略・組織全体・プロジェクト・製品・プロセスなどさまざまなレベルで設定されえる。
不確かさとは、事象、その結果、その起こりやすさに関する情報、理解、知識が部分的にでも欠落している状態。
リスクは内外の環境によって変化する。
経営が目指すリスクは、ポジティブとネガティブのバランスとる。
・安全は現場の問題であるという意識が強い。この意識のままだと「悪のサイクル」になってしまう。
問題が発生した場合に社長による記者会見は部下の代替ではなく、自分の責任であることを理解しないといけない。
・リスクマネジメントは管理ではなくマネジメントである。
今までのリスクマネジメントは点を取られることへの対応
安全も全体最適化の中で考えることが重要
・リスクマネジメントにおける経営者の課題
業務ミッションと経営方針の明確化、経営最適化のためのリスクリテラシーの向上
再発防止ではなく、未然防止を行い教育する。


■企業における被害状況
・近年のセキュリティインシデントは
リスト型アカウントハッキング
基盤となるソフトウェアの脆弱性
情報漏えい
情報漏えい7つがリスト型アカウントハッキング。
OpenSSLに纏わる3つのインシデントが大きな話題となった。
・正規アカウントを悪党など対象が幅広く検出や対策が難しい攻撃が増えている。
・3大情報漏えいは、管理ミス、操作ミス、紛失・置き忘れ
・個人情報漏えい業種は、公務、金融、教育等。
個人情報漏えい原因は、ヒューマンエラー。件数は不正アクセスが多い。
個人情報漏えい経路は、件数では紙が一番多く、人数ではインターネット。
・費用から投資へ
被害を金額にするチャレンジをJNSAで実施した。
情報セキュリティサービスの売買についても金額化した。


■パネルディスカッション
・経営者の企業のIT投資は守りに偏っている。
資本金一兆円以上の企業だけを抜き出すとほとんどが攻めになっている。
小さい企業ほど守りにばかり投資している。
・情報セキュリティを情報システム部門に任せている企業が6割以上。
一兆円規模以上の企業は経営者の関与率が高い。
・人材不足はどの企業でも不足している。企業規模によらない。
一方、情報セキュリティ人材育成計画がある企業が多い。大手ほど多い。
経営が情報セキュリティに関与していない企業ほど人材育成計画がないことが多い。
・富士ゼロックスでは情報セキュリティ報告書を作成している。
規定→ガイドライン→マニュアルという形で啓蒙活動を進めている。
fujixrox
・ガイドラインの作成は情報システム部門、リスクマネジメント部門、品質保証部で担っている。
品質保証部門が入っていることが、独自性があると感じている。
IT利活用
・20世紀のITは業務省力化だったが21世紀は今までできなかったことをできるようにすること。
情報システムを使わないと稼げない時代になっている。
世界全体がステークフォルダという認識を持たないといけない。
情報システムはインフラになっているので、どうインフラを使い倒すかでビジネスチャンスが変わってくる。
・情報セキュリティの被害を考えるにあたって必要な知識は、何が起きるか「情報システムの知識」、社会的なインパクトをわかる人。
・セキュリティインシデントは発生確率を出す必要がある。
社会での会社の位置づけからのものの見方によって考えるのがよい。
情報セキュリティは会社の評価指標であることを理解しないといけない。
また、情報セキュリティは大人の礼儀と感じている。
・攻めのIT企業の銘柄を5月に発表。(経済産業省と証券取引所で調査)
情報セキュリティが評価指標の1つに入っている。基盤という位置づけ。
・過去の統計が役に立たない。しかし、現場からは評価結果を出す必要がある。(数字)
また、現場の情報が必要なため、会社全員の人とのコミュニケーション力がないといけない。
・安全第1というが安全だからって利益は出ていない。
車業界で安全第1というのは50年かかった。IT業界はまだ10年しか立っていない。
だからと言ってはじめないという選択肢はないため、もっと言い続ける必要があると感じている。
しかし日本では残り5年で東京オリンピックがあるため急激な成長が求められている。
・日本の製品は安全で品質が高いと世界から見られている。
また、イノベーション力もあると言われている。
・3.11で海外からの意見は、暴動や混乱が起きないことがすごい。一方で原子力発電所の事故は日本だけはないと思っていたことに対する失望。
企業へのインパクトも一緒で社会からの評価から高い企業ほどインパクトが大きい。
そして、評価を維持するための費用は投資と考えることがよいと思う。

0 件のコメント: