More Related Content
Similar to Security jaws trend and response (20)
Security jaws trend and response
- 9. PwC
サイバーセキュリティ経営ガイドライン Ver2.0
9
サイバーセキュリティ経営の3原則
1. 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
2. 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
3. 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケー
ションが必要
サイバーセキュリティ経営の重要10項目
リスク管理態勢の構築 指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 サイバーセキュリティリスク管理体制の構築
指示3 サイバーセキュリティ対策のための資源(予算、人材等)確保
リスクの特定と対策の実装 指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 サイバーセキュリティリスクに対応するための仕組みの構築
指示6 サイバーセキュリティ対策におけるPDCAサイクルの実施
インシデント発生に備えた
体制構築
指示7 インシデント発生時の緊急対応体制の整備
指示8 インシデントによる被害に備えた復旧体制の整備
サプライチェーンセキュリティ 指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
関係者とのコミュニケーション 指示10 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
引用 : 経済産業省 サイバーセキュリティ経営ガイドラインの改訂ポイント
http://www.meti.go.jp/policy/netsecurity/downloadfiles/overview.pdf
昨今のサイバー攻撃の巧妙化によって求められる対策の高度化により、経済産業省が「サイバーセキュリ
ティ経営ガイドライン」をVer.2.0 (2017/11/16)として改訂しました。
- 12. PwC 12
基準の構成・分類整理
• 新基準(統制/実務/監査)
• 基準の並び替え
リスクベースアプローチ
の導入
• 「金融情報システム」の分類
• 「基準の分類」の設定
• 「必須対策」の設定
読みやすさの対応
• 様式の再定義
• 語尾の曖昧さ排除
外部の統制基準
の整理
• 外部の統制に関する整理
• 外部委託とクラウドの基準整理
• 共同センター固有の基準を新設
安全対策基準
第9版
FISC「金融機関等コンピュータシステムの安全対策基準・解説書(第9版)」
2018年3月にFISC「金融機関等コンピュータシステムの安全対策基準・解説書(第9版)」
が公表されましたが、主な改定のポイントは以下の通りです。
- 15. PwC 15
Continuous Diagnostics Mitigation(継続的診断および緩和策)
・DHS(国土安全保障省)主導による
米国政府のセキュリティプログラム
・全てのシステムを72時間おきにスキャンし、
システムにおけるリスクをタイムリーに可視化
することで是正・緩和を促進し、健全な状態を維持
・マネジメント監査やペネトレーションテストが
年数回の一時的なものであるのに対し、
継続性をもつ取組み
・15カテゴリの診断項目
引用 : DHS Continuous Diagnostics and Mitigation (CDM)
https://www.us-cert.gov/cdm/home
- 20. PwC 20
PwC’s Cloud Evaluation Framework
-リスクアプローチによるクラウド利用の評価フレームワーク
クラウドサービスを利用する際に考慮すべきリスク、公知のガイドラインとのマッピングによる最適化されたコン
トロールをリスクコントロールマトリックスとして構成しています。
クラウド事業者のサービス仕様と特性に応じた対応策としての技術的なベストプラクティスをリファレンスとして
活用することで、リスクベースのコントロール設計に基づいた実装のフレームワークとして提供いたします。
No. Risk LV 1-1 1-2 1-3 2-1 2-2 2-3 3-1 3-2 3-3
R1 ロックイン 高 〇 〇
R2 ガバナンスの喪失 高 〇 〇
R3 コンプライアンスの課題 高 〇 〇 〇
R4 他の共同利用者の行為による信頼の喪失 中 〇
R5 クラウドサービスの終了または障害 中 〇
R6 クラウドプロバイダの買収 中 〇
R7 サプライチェーンにおける障害 中 〇
R8 リソースの枯渇(リソース割当の過不足) 中 〇
C1 C2 C3
分類
組
織
的
リスク
技
術
的
法
的
クラウドに特化しないリスク、および
PwCの知見に基づいて識別したリスク
ク
ラ
ウ
ド
に
特
化
す
る
リ
ス
ク
ベンダーロックイン
ガバナンス
コンプライアンス 等
隔離の失敗
事業者側の内部不正
不完全なデータ消去
電子的証拠開示
司法権の違い 等
リ
ス
ク
• PwCの既存のフレームワーク
• 公知のリスクフレームワーク
• 公知のガイドライン
ガイドラインなど テクニカルリファレンス
• クラウド事業者とPwCが提供する
セキュリティリファレンス
• クラウド事業者が公表するホワイト
ペーパーやとPwCの知見など
コントロール
No. Control
1-1
1-2
1-3
2-1
2-2
2-3
C1
C2
Guideline Reference
クラウド製品の技術情報も参照し
コントロールのガイダンスを提供
考慮すべきリスクに対して
必要なコントロールを紐づけ
テクノロジー
etc...
- 29. PwC
評価サマリー
29
【課題一覧】
項
番
優
先
度
内容 改善方針
C1-
2
M クラウド利用における窓口は定
められているが、クラウドCoEの
体制は構築されていない。
クラウドCoEの体制
構築を実施すること。
C1-
7
M クラウドサービス管理の各種管
理基準が外部委託管理の一
部にしか記載されておらず、規
定が不足している。
クラウドサービス利用
に向けたクラウド利
用規程を策定するこ
と。
C4-
1
L ブルー・グリーンデプロイ等、ク
ラウドを活用し、リスクを軽減し
たリリースが検討されていない。
安全なリリース方式
を検討すること。
C4-
11
H 直接インターネット接続が必要
ないサービスのセキュリティグ
ループに、インターネット接続
が定義されている。
セキュリティグループ
の見直しを実施する
こと。
C4-
13
H VPCフローログが有効化されて
いない。
VPCフローログを有
効化すること
【ヒートマップ】
Example
FY2018 FY2019
1Q 2Q 3Q 4Q
C1-1 対象業務・情報の選定
C1-2 責任者・窓口・体制構築
C1-7 クラウドサービス利用に係る規程整備
C4-1 クラウド開発プランの確立 2 3
C4-2 クラウド運用プランの確立 3 4
C4-3 業務・運用イベントの整理 2 3
C4-4 システム監視・インシデント手続 3 4
C4-5 コスト管理 4 5
C4-6 クラウドサービスの利用制限への対策 5 5
C4-7 新規サービスの検討 2 2
C4-8 マルウェア対策 3 4
C4-9 脆弱性対策 3 4
C4-10 暗号化対策 2 3
C4-11 ネットワーク対策 3 2
C4-12 アクセス制御 2 2
C4-13 ログ管理 3 2
C4-14 バックアップ管理 4 3
C4-15 ライセンス管理 5 5
C4-16 構成管理 5 5
C1.クラウドサービス利用に向けた準備
C4.クラウドサービス利用における継続的構築・運用
4
3
3
- 32. PwC
影響度のレーティング(例)
32
脅威
「効果的なサイバー防御のための CIS クリティカルセキュリティコントロール (CSC)」に基づきレーティングを実施
脆弱性
セキュリティ対策および規程類の整備状況に基づきレーティングを実施
値 判定基準
3 セキュリティ対策/規程類が整備されていないもの
2 セキュリティ対策/規程類が一部整備されているもの
1 セキュリティ対策/規程類がほぼ整備されているもの
値 判定基準
3 「CIS Controls」の ALL 20 Controls のうち、 First 5 CIS Controls に該当するもの
2 「CIS Controls」の ALL 20 Controls のうち、 First 5 CIS Controls に該当しないもの
1 上記に該当しないもの
脅威と脆弱性のマトリックスによって、影響度を3段階(High/Middle/Low)で判定します。
脅威
1 2 3
脆弱性
3
2
1
【影響度の判定方法】
重要度 説明
High
情報資産を脅かす脅威が存在し、セキュリティ対策/規程類の整備が不十分であるこ
とから、早急な改善対応が推奨される事項。
Middle 脅威、脆弱性が「High」に該当しないものの、計画的な改善対応が要求される事項。
Low
脅威、脆弱性が「High」「Middle」に該当しないものの、リスクの顕在化を低減するため、
改善対応が推奨される事項。
- 36. © 2019 PwC. All rights reserved.
PwC refers to the PwC network member firms and/or their specified subsidiaries in Japan, and may sometimes refer to the PwC network. Each of such firms
and subsidiaries is a separate legal entity. Please see www.pwc.com/structure for further details.
This content is for general information purposes only, and should not be used as a substitute for consultation with professional advisors.