SlideShare a Scribd company logo

サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント

Download as PPTX, PDF
J
jpmemarketing_zoho

経済産業省がサイバーセキュリティに対する経営者の理解を推進するために発行した「サイバーセキュリティ経営ガイドラインVer2.0」ですが、幅広い業務に日々多忙な経営者の方でも簡単に概要を理解できるよう、わかりやすい図解の解説を添えた「サイバーセキュリティ経営ガイドラインVer2.0」の要約版資料を用意させていただきました。

Technology
1 of 22
日本の経営者に向けた 「サイバーセキュリティ経営ガイドラインVer2.0」実践のためのヒント ゾーホージャパン株式会社
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 2 企業を取り巻くサイバー攻撃 非常に多くの企業が被害を受けており、検知・対策に時間がかかるほど被害はより深刻に サイバー攻撃の被害を受けた企業の割合 ますます多くの企業が サイバー攻撃の被害を受けている 最も大規模な被害を与えたサイバー攻撃が 企業環境内で検出されるまでの時間 日本企業はサイバー攻撃の検知能力が 12カ国中最低 0 5 10 15 20 最も遅い国 世界12ヵ国平均 最も早い国 日本 オーストラリア、 ブラジル、カナダ 出典:ソフォス 「エンドポイントセキュリティの7つの気になる真実」 世界12ヵ国(米国、カナダ、メキシコ、コロンビア、ブラジル、英国、フランス、ドイツ、オーストラリア、日本、インド、南アフリカ)約3,100人へインタビュー形式で、2018年12月~2019年1月にて実施 50 55 60 65 70 75 80 従業員数 1,001~5,000人 世界12ヵ国平均 従業員数 100~1,000人 63% 68% 10時間 12時間 17時間73%
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 3 セキュリティ対策の予算 投資額を増加する企業が増えているが、多くの企業がまだまだ予算不足 2017年と2018年との予算額の比較 出典:KPMGコンサルティング「サイバーセキュリティサーベイ2018」 現状のサイバーセキュリティ対策への投資額 適切 34% サイバーセキュリティ対策の予算額は 増加傾向 約 2/3 の企業が予算不足 過剰 1% 大いに不足 13% やや不足 52% 38% 58% 4% 増加 減少 横ばい
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 4 サイバーセキュリティ経営ガイドラインの位置づけ 大企業および中・小企業における全体指針 全体指針 具体的対策 大企業 中小企業 (セキュリティ意識高い) 中小企業 (セキュリティ意識低い) 小規模事業者 サイバーセキュリティ 経営ガイドラインVer2.0 実践のための プラクティス集(IPA) サイバーセキュリティ経営ガイドライン Ver.2.0 (経済産業省、IPA) 中小企業の情報セキュリティ対策 ガイドライン第3版(IPA)
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 5 サイバーセキュリティ経営ガイドラインの構成と実施責任者 経営者をはじめ、CISO、セキュリティ担当者と全方位に向けた内容 もくじ 経営者 CISO セキュリティ 担当者 人材育成・ 支援担当者 サイバーセキュリティ経営ガイドライン・概要 ● ● ● ● 1. はじめに ● ● ● ● 2. 経営者が認識すべき3原則 ● ● ● ● 3. サイバーセキュリティ経営の重要10項目 - ● ● ● 付録A サイバーセキュリティ経営チェックシート - - ● ● 付録B サイバーセキュリティ対策に関する参考情報 - - ● ● 付録D 国際規格 ISO/IEC27001 及び 27002 との関係 - - ● ● 付録E 用語の定義 - - ● ● 構 成 実施責任者  経営者  CISO (サイバー攻撃対策を実施する上での責任者となる幹部)  セキュリティ担当者 (サイバー攻撃対策の担当者、CSIRT※のメンバー等)  人材育成・支援担当者 (上記人材の育成や支援を担当する社内部門や社外の事業者) ※ CSIRT (シーサート: Computer Security Incident Response Team) とは、組織内の情報セキュリティ問題を専門に扱う、インシデント対応チーム
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 6 経営者が認識すべき3原則 リーダーシップ サプライチェーン全体への対策 ステークホルダーとのコミュニケーション 経営者が自ら、3原則をしっかりと理解し行動 経営者は、サイバーセキュリティリス クを認識し、リーダーシップによって 対策を進めることが必要 経営者はリーダーシップをとってサイバー攻撃のリスクと 企業への影響を考慮したサイバーセキュリティ対策を推 進するとともに、企業の成長のためのセキュリティ投資を 実施すべきである。 自社は勿論、ビジネスパートナーや 委託先も含めたサプライチェーンに 対するセキュリティ対策が必要 自社のサイバーセキュリティ対策にとどまらず、サプライ チェーンのビジネスパートナーや委託先も含めた総合的 なサイバーセキュリティ対策を実施すべきである。 平時・緊急時のいずれにおいても、サイバー セキュリティリスクや対策に係る情報開示な ど、関係者との適切なコミュニケーションが必 要 平時からステークホルダー(顧客や株主など)を含めた関係者に サイバーセキュリティ対策に関する情報開示を行うことなどで信頼 関係を醸成し、インシデント発生時にもコミュニケーションが円滑に 進むよう備えるべきである。
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 7 サイバーセキュリティ経営の重要10項目 サイバーセキュリティ経営ガイドライン サイバーセキュリティリスクの管理体制構築 サイバーセキュリティリスクの認識、組織全体での対応方針の策定 サイバーセキュリティリスク管理体制の構築 サイバーセキュリティ対策のための資源(予算、人材等)確保 指示1 指示2 指示3 インシデント発生に備えた体制構築 インシデント発生時の緊急対応体制の整備 インシデントによる被害に備えた復旧体制の整備 指示7 指示8 サイバーセキュリティリスクの特定と対策の実装 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定 サイバーセキュリティリスクに対応するための仕組みの構築 サイバーセキュリティ対策における PDCA サイクルの実施 指示4 指示5 指示6 ステークホルダーを含めた関係者との コミュニケーションの推進 情報共有活動への参加を通じた攻撃情報の入手と その有効活用及び提供 指示10 ビジネスパートナーや委託先等を含めたサプライチェーン全体の 対策及び状況把握 指示9 サプライチェーンセキュリティ対策の推進 経営者は、CISO等に対して以下の10項目を指示し、着実に実施させ、実施内容をCISO等から定期的に報告を受けることが必要である。 自組織での対応が困難な項目については、外部委託によって実施することも検討する。
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 8 対策例 サイバーセキュリティリスクの認識、組織全体での対応方針の策定 サイバーセキュリティ経営ガイドライン 経営者が組織内外に宣言できるセキュリティポリシーを策定する サイバーセキュリティリスクを経営リスクの一つとして認識し、組織全体での対応方針(セキュリティポリシー)を策定させる。 指示1 対策を怠ると 実行内容と組織の方針が合致しない トップの宣言がなければ、ステークホルダーに 伝わらず、企業の信頼性が高まらない 従業員が認識しやすい社内ポータルサイト などへ掲載し、周知徹底する 一般公開することでステークホルダーに伝 え、信頼性を高める 組織内 組織外 株主 取引先 顧客 対応方針を策定 社内 ポータル 株主 取引先 顧客
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 9 対策例 サイバーセキュリティリスク管理体制の構築 サイバーセキュリティ経営ガイドライン 体制の企画・設計 段階からサイバー セキュリティ対策を 考慮する サイバーセキュリティ対策を行うため、サイバーセキュリティリスクの管理体制(各関係者の責任の明確化も含む)を構築させる。 指示2 対策を怠ると 組織全体のサイバーセキュリティリスクが把握できない その他のリスク管理体制と整合を取らない と、組織全体として不整合が生じる恐れあ り CISO等が、 経営リスクに関する 委員会に参加する 取締役、監査役が監査する CISO等は、管理体制を構築し 責任範囲を明確にする ? ? CISO 管理体制 責任範囲
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 10 対策例 サイバーセキュリティ対策のための資源(予算、人材等)確保 サイバーセキュリティ経営ガイドライン サイバーセキュリティリスクへの対策を実施するための予算確保とサイバーセキュリティ人材の育成を実施させる。 指示3 対策を怠ると 予算が確保できていないと・・・ 費用を確保する 外部人材の採用も含めた 人材育成、キャリアパスを 設計検討する 管理体制 研修受講 研修のための 予算を確保する 専用ベンダ 専門的な人材の教育が難しい場合は、 外部研修を検討する 専門的な人材の雇用が難しい場合 は、専用ベンダを検討する 人材確保が困難 外部委託が困難 適切な処遇が維持・改善できないと、 有能な人材を自社に留めておくことが困難 人材流出
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 11 対策例 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定 サイバーセキュリティ経営ガイドライン 経営戦略の観点から守るべき情報を特定させた上で、サイバー攻撃の脅威や影響度からサイバーセキュリティリスクを把握し、リスクに対応するための計画を 策定させる。その際、サイバー保険の活用や守るべき情報について専門ベンダへの委託を含めたリスク移転策も検討した上で、残留リスクを識別させる。 指示4 対策を怠ると 適切ではない過度なリスク対策により、 通常の業務遂行に支障をきたす恐れがある 受容できないリスクが残る場合、想定外の 損失を被る恐れがある 受容できない リスク 発生確率や、発生した際の損害を考慮し、対策の 実施が不要と判断したリスクは残留リスクとする 守るべき情報を特定し、どこに 保存されているのか把握する ! 守るべき情報に対して、発生しうるリスクを把握する リスク 低減 リスク 回避 リスク 移転 把握したリスクに対して、リスク低減/リスク回避 /リスク移転の、3つの観点で対策を検討する 法令上の対策が必要なリスク は、法令上の対応も考慮した 対策となっているか検討する 製品・サービス等、企画・設計 段階からセキュリティ対応を 考慮する 対策必要 残留リスク 対策 必要 不要 !
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 12 対策例 サイバーセキュリティリスクに対応するための仕組みの構築 サイバーセキュリティ経営ガイドライン 指示5 対策を怠ると リスクに応じて適切に対応されていないと、 サイバー攻撃が発生した場合に被害が拡大 する危険性がある 攻撃の検知・分析と対応できるように運用 されていなければ、攻撃を正確に把握でき ず、致命的な被害に発展する危険性がある 重要業務を行う端末・ネットワーク・システム又はサービスには多層防御を実施する アクセスログや通信ログから攻撃を監視・検知 する仕組みを構築する サイバーセキュリティリスクに対応するための保護対策(防御・検知・分析に関する対策)を実施する体制を構築させる。 従業員に対する教育を行い、 適切な対応が行えるよう 日頃から備える ? ?
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 13 対策例 サイバーセキュリティ対策における PDCA サイクルの実施 サイバーセキュリティ経営ガイドライン 計画を確実に実施し、改善していくため、サイバーセキュリティ対策をPDCAサイクルとして実施させる。その中で、定期的に経営者に対策状況を報告させた上で、問 題が生じている場合は改善させる。また、ステークホルダーからの信頼性を高めるため、対策状況を開示させる。 指示6 対策を怠ると PDCAを実施する体制が出来ていないと、 計画が確実に実行されない恐れがある 最新リスクへの対応も踏まえて定期的に 見直さないと、新たに発生した脅威に対 応できない恐れがある PDCA 継続して対応可能な体制・ プロセスを整備する 必要に応じて、ISMSなどの 国際標準となっている認証を活用する KPIを定め、 委員会において報告する 必要に応じてセキュリティ診断や 監査を受け、現状の問題点を 検出し改善する 新たなリスクの出現などで追加的 に対応が必要な場合には、速や かに対処方針を修正する 対策の状況について、情報セキュリティ 報告書や有価証券報告書等への記 載を通じて開示を検討する 適切な開示を行わないとステークホルダー の信頼を失い、インシデント発生時に 企業価値が大きく低下する恐れがある PDCA ? DOWN
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 14 対策例 インシデント発生時の緊急対応体制の整備 サイバーセキュリティ経営ガイドライン 影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を速やかに実施するための組織内の対応体制(CSIRT等)を整備させる。 被害発覚後の通知先や開示が必要な情報を把握させるとともに、情報開示の際に経営者が組織の内外へ説明ができる体制を整備させる。 また、インシデント発生時の対応について、適宜実践的な演習を実施させる。 指示7 対策を怠ると 緊急時の対応体制を整備していないと、 調査において社内外でコミュニケーションが 取れず、速やかな対処ができない 速やかに情報開示されないと、顧客や取 引先等にも被害が及ぶ恐れがあり、損害 賠償請求など責任を問われる場合がある 法的に所管官庁等への報告が義務づけ られている場合、速やかな通知がないこと により、罰則等を受ける場合がある 演習を実施していないと、不測の事態が 起こった際に、担当者が緊急時に適切に 行動することが出来ない 緊急時において、以下を実施できるような対応体制を構築する インシデントに関する被害状況、他社への影 響等について経営者に報告する 緊急連絡網、社外を含む情報開示の通知先 一覧を整備し、メンバーに共有しておく 報告・連絡 ログの保全や感染端末の確保等の証拠 保全が行える体制を構築し、関係機関 と連携して調査する 関係法令を確認し、法的義務が 履行されるよう手続きを確認しておく 証拠保全 法的対応 初動対応時の影響を検討し、各部署が 協力できるよう予め取り決めをしておく インシデント収束後の再発防止策の策 定、所管省庁等への報告手順も含め 演習する 再発防止策の検討にあたっては、 必要に応じて外部の専門家の知見も活 用することも検討する 初動対応 再発防止
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 15 対策例 インシデントによる被害に備えた復旧体制の整備 サイバーセキュリティ経営ガイドライン インシデントにより業務停止等に至った場合、企業経営への影響を考慮していつまでに復旧すべきかを特定し、復旧に向けた手順書策定や、復旧対応体制の整備 をさせる。BCPとの連携等、組織全体として整合のとれた復旧目標計画を定めさせる。 また、業務停止等からの復旧対応について、適宜実践的な演習を実施させる。 指示8 対策を怠ると 重要な業務が適切な時間内に復旧できず、 致命的な影響を与える恐れがある 演習を実施していないと、不測の事態の際 に、担当者が適切に行動することが出来ない 業務停止等に至った場合に、以下を実施できるような復旧体制を構築する ? 復旧手順に従った演習 復旧に向けた指示 復旧の目標 演習復旧手順 指示 速やかに復旧するため、関係 機関との連携や復旧作業を 実施できるよう指示する 対応担当者には復旧手順に 従った演習を実施させる 重要な業務をいつまでに復旧 すべきかの目標について、組 織全体として整合をとる
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 16 対策例 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握 サイバーセキュリティ経営ガイドライン 監査の実施や対策状況の把握を含むサイバーセキュリティ対策のPDCAについて、系列企業、サプライチェーンのビジネスパートナーやシステム管理の運用委託先等 を含めた運用をさせる。システム管理等の委託について、自組織で対応する部分と外部に委託する部分で適切な切り分けをさせる。 指示9 対策を怠ると サプライチェーン全体で対策が行われていないと、これらの 企業を踏み台にして自社が攻撃されることがあり、その結 果他社の2次被害を誘発し、加害者となる恐れもある 緊急時の原因特定などの際に、これらの企業からの 協力を得られないことにより事業継続に支障が生ずる 自組織部分と委託部分の 境界が不明確となり、対策 漏れが生じる恐れがある 自社 他社 攻撃 事業継続に 支障が生じる 対策 漏れ 委託先自社委託元 サプライチェーン全体でのサイバーセキュリティ対策の内容を明確にし契約する SECURITY ACTION 重要な情報を委託先に預ける 場合は、委託先における情報 の安全性を定期的に確認する サプライチェーン全体でSECURITY ACTION を実施していることを確認する サプライチェーン全体でのサイバーセキュ リティ対策状況の報告を受け、把握する ISMS等のセキュリティマネジメント 認証を取得していることが望ましい 緊急時に備え、委託先が サイバー保険に加入して いることが望ましい 踏み台
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 17 対策例 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供 サイバーセキュリティ経営ガイドライン 社会全体において最新のサイバー攻撃に対応した対策が可能となるよう、サイバー攻撃に関する情報共有活動へ参加し、積極的な情報提供及び情報入手を行わ せる。また、入手した情報を有効活用するための環境整備をさせる。 指示10 対策を怠ると 情報の入手と提供という双方向の情報共有を通じて、社会全体でサイバー攻撃の防御につなげることが重要 サイバー攻撃の防御につなげていくため、情報を入手するのみならず、積極的に情報を提供する 情報入手 情報提供 情報入手 情報提供  IPAやJPCERTコーディネーションセンター等による脆弱性情報などの注意喚起情報を、自社の対策に活かす  CSIRTや、日本シーサート協議会等のコミュニティ活動への参加などを通じて、自社の対策に活かす  IPAに対し、告示に基づいてマルウェア情報や不正アクセス情報の届出をする  JPCERTコーディネーションセンターにインシデントに関する情報提供を行い、必要に応じて調整を依頼する  重要インフラ事業者の場合には、J-CSIPなどの情報共有の仕組みを利用する 情報共有ができないと、社会全体において常に新たな 攻撃として対応することとなり、対応コストが低減しない 情報入手 情報提供 主な情報共有方法
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 18 実践に際して 客観的に評価し、改善へ取り組み 客観性を持って回答するのが困難 例:「経営者がサイバーセキュリティリスクを経営リスクの1つとして認識しているか」 サイバーセキュリティ経営ガイドライン 「付録Aサイバーセキュリティ経営チェックシート」 「サイバーセキュリティ評価チェックシート」 無料公開中 https://www.manageengine.jp/solutions/csm_guideline/lp/ 客観的評価がしにくい経営に対して、チェック項目ごとに点数化が可能 例:「サイバーセキュリティリスクに特化したセキュリティポリシーを新たに策定する場合には、サイバーセキュリティリスクを 経営リスクとして認識していること、及び経営者の関与と責任に関する事項が記載されていることを確認する」 「実施の確認事項」に対して客観的に判断可能
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 19 参考情報:サプライチェーンセキュリティ対策 有効と考えられる契約書の見直しに対応した雛形と、セキュリティレベルのチェックシート サプライチェーン攻撃のイメージ 下請業者(中小企業) ターゲット企業(大企業) セキュリティ対策済みのターゲット 企業への直接攻撃は難しくても、 グループ関連会社や子会社など の中で、セキュリティ対策が万全 ではない所を狙うケースが増加 本書の「経営者が認識すべき3原則」や「指示9」に もあるように、近年サプライチェーンに対するセキュリティ の意識が高まっています。 10大脅威でも、4位で初ランクイン 順位 対象となる脅威 昨年 順位 1位 標的型攻撃による被害 1位 2位 ビジネスメール詐欺による被害 3位 3位 ランサムウェアによる被害 2位 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW 5位 内部不正による情報漏えい 8位 IPAが発表した「情報セキュリティ10大脅威2019」 (組織部門)では、1位から3位までは昨年の脅威 とほぼ順位に変動がありません。 そのなか「サプライチェーンの弱点を悪用した攻撃の高 まり」は4位で初ランクインし、新たな脅威として注目さ れています。 「情報セキュリティ10大脅威 2019」 – 抜粋:IPA資料より サプライチェーンセキュリティ対策として 契約関連文書を見直し、責任範囲を明確するための 業務委託契約書(雛形)と契約書別添セキュリティ チェックシート https://www.manageengine.jp/solutions/supply_chain_security/lp/ 無料でダウンロード可能
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 20 参考情報:高度標的型攻撃への包括的なソリューションを最適なコストで 様々なベンダーが協力し、ソリューションをご提供 ベースラインAPT対策コンソーシアム(BAPT: Baseline APT-solution consortium) https://bapt.zohosites.com/ システムインテグレーション セキュリティコンサル 出入口対策 内部対策 セキュリティコンサル ティング支援 出入口対策 統合ログ対策 内部NW振る舞い検知 エンドポイント対策1 2 3 4 5 リスク分析を行い、何から 対策すべきかのロードマップ を定義し、プロセスの整備、 ツールの導入含めた計画の 定義を行う。攻撃訓練や CSIRT構築の支援も行う。 プロクシ型FWをベースとした 多層防御とクラウド型サンド ボックス連携 監視・通信制御 統合型セキュリティ アプライアンス 攻撃の経路となる機器のログを 収集、可視化しアラート定義 インシデント発生時の トレーサビリティの確保 プロキシサーバー メールアーカイブ各機器のログを収集レポート化 内部ネットワークにおける 脅威活動を検知 AIによる相関分析 で脅威検出 脅威の検知で通知 USBデバイス制御、OSや オフィス製品などのパッチ手配 USBデバイスの制御 セキュリティパッチの管理 既知・未知のマルウェア をリアルム防御 PCで閲覧する電子 メールを無害化 次世代型アンチ ウィルス対策 ADサーバー DNSサーバー ログ ログ ログ
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 21 サイバーセキュリティ経営ガイドラインにおける ManageEngine の対応 サイバーセキュリティ経営の重要10項目 リスクや影響範囲の特定のための IT資産管理と端末管理 マルチOSにおけるソフトウェアパッチの 脆弱性情報の把握 特権IDやADのアカウント管理と ログの監視による異常の検知 セキュリティインシデントの記録とプロセスの管理 ITサービスマネジメント 統合エンドポイント管理 Active Directory 統合運用管理 簡易SIEM 機能要件 ManageEngineでの対応 特権ID管理 脆弱性パッチ管理 サイバーセキュリティリスクの認識、組織全体 での対応方針の策定 指示1 サイバーセキュリティリスク管理体制の構築指示2 サイバーセキュリティ対策のための資源 (予算、人材等)確保 指示3 サイバーセキュリティリスクの把握とリスク 対応に関する計画の策定 指示4 サイバーセキュリティリスクに対応する ための仕組みの構築 指示5 サイバーセキュリティ対策における PDCA サイクルの実施 指示6 インシデント発生時の緊急対応体制の整備指示7 インシデントによる被害に備えた復旧 体制の整備 指示8 情報共有活動への参加を通じた攻撃情報の 入手とその有効活用及び提供 指示10 ビジネスパートナーや委託先等を含めたサプライ チェーン全体の対策及び状況把握 指示9
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 22 更なる詳細情報 お問い合わせ/お見積り依頼については、お気軽にご連絡ください ゾーホージャパン株式会社 神奈川県横浜市西区みなとみらい三丁目6番1号 みなとみらいセンタービル13階 045-319-4612(ManageEngine 営業担当) https://www.manageengine.jp/ jp-mesales@zohocorp.com 情報提供元 サイバーセキュリティ経営ガイドラインに関する特設ページ https://www.manageengine.jp/solutions/csm_guideline/lp/ PDF サイバーセキュリティ評価チェックシート サプライチェーンセキュリティに関する特設ページ ベースラインAPT対策コンソーシアム https://www.manageengine.jp/download/enter.php?Categor y=ManageEngine&dl=DL_1&%3bnickname=Security&No=2 889 https://www.manageengine.jp/solutions/supply_chain_security/lp/ https://bapt.zohosites.com/

Recommended

ISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdf
ISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdfISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdf
ISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdfTatsuya Hasegawa
 
Sec007 条件付きアクセス
Sec007 条件付きアクセスSec007 条件付きアクセス
Sec007 条件付きアクセスTech Summit 2016
 
最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみたzaki4649
 
Azureの管理権限について
Azureの管理権限について Azureの管理権限について
Azureの管理権限について junichi anno
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 zaki4649
 
Workspace ONE テクニカルガイド MDM
Workspace ONE テクニカルガイド MDMWorkspace ONE テクニカルガイド MDM
Workspace ONE テクニカルガイド MDMHamamatsu-cho Mobile Club(浜松町モバイル愛好会)
 
Azure Blob Storageへの様々なアクセス方法を比べてみた JAZUG12周年イベント
Azure Blob Storageへの様々なアクセス方法を比べてみた JAZUG12周年イベントAzure Blob Storageへの様々なアクセス方法を比べてみた JAZUG12周年イベント
Azure Blob Storageへの様々なアクセス方法を比べてみた JAZUG12周年イベントShingo Kawahara
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達zaki4649
 

Recommended

ISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdf
ISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdfISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdf
ISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdfTatsuya Hasegawa
 
Sec007 条件付きアクセス
Sec007 条件付きアクセスSec007 条件付きアクセス
Sec007 条件付きアクセスTech Summit 2016
 
最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみたzaki4649
 
Azureの管理権限について
Azureの管理権限について Azureの管理権限について
Azureの管理権限について junichi anno
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 zaki4649
 
Workspace ONE テクニカルガイド MDM
Workspace ONE テクニカルガイド MDMWorkspace ONE テクニカルガイド MDM
Workspace ONE テクニカルガイド MDMHamamatsu-cho Mobile Club(浜松町モバイル愛好会)
 
Azure Blob Storageへの様々なアクセス方法を比べてみた JAZUG12周年イベント
Azure Blob Storageへの様々なアクセス方法を比べてみた JAZUG12周年イベントAzure Blob Storageへの様々なアクセス方法を比べてみた JAZUG12周年イベント
Azure Blob Storageへの様々なアクセス方法を比べてみた JAZUG12周年イベントShingo Kawahara
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達zaki4649
 
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!zaki4649
 
Ansible specでテストをする話
Ansible specでテストをする話Ansible specでテストをする話
Ansible specでテストをする話KeijiUehata1
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWSzaki4649
 
エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩Takuya Tezuka
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfBGA Cyber Security
 
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編abend_cve_9999_0001
 
ユーザーデータ基盤を1からScalaでつくった話し
ユーザーデータ基盤を1からScalaでつくった話しユーザーデータ基盤を1からScalaでつくった話し
ユーザーデータ基盤を1からScalaでつくった話しHideaki Tarumi
 
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended NetworkSCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Networkwind06106
 
大規模負荷試験時にやったこと
大規模負荷試験時にやったこと大規模負荷試験時にやったこと
大規模負荷試験時にやったことまべ☆てっく運営
 
プラクティス厨から始めるアジャイル開発
プラクティス厨から始めるアジャイル開発プラクティス厨から始めるアジャイル開発
プラクティス厨から始めるアジャイル開発Arata Fujimura
 
Workspace ONE テクニカルガイド MAM編
Workspace ONE テクニカルガイド MAM編Workspace ONE テクニカルガイド MAM編
Workspace ONE テクニカルガイド MAM編Hamamatsu-cho Mobile Club(浜松町モバイル愛好会)
 
Always on 可用性グループ 構築時のポイント
Always on 可用性グループ 構築時のポイントAlways on 可用性グループ 構築時のポイント
Always on 可用性グループ 構築時のポイントMasayuki Ozawa
 
株式で揉めないために、創業前に起業家が知っておくべき「創業株主間契約」の結び方 先生:雨宮 美季・佐瀬 和宏
株式で揉めないために、創業前に起業家が知っておくべき「創業株主間契約」の結び方 先生:雨宮 美季・佐瀬 和宏株式で揉めないために、創業前に起業家が知っておくべき「創業株主間契約」の結び方 先生:雨宮 美季・佐瀬 和宏
株式で揉めないために、創業前に起業家が知っておくべき「創業株主間契約」の結び方 先生:雨宮 美季・佐瀬 和宏schoowebcampus
 
Logをs3とredshiftに格納する仕組み
Logをs3とredshiftに格納する仕組みLogをs3とredshiftに格納する仕組み
Logをs3とredshiftに格納する仕組みKen Morishita
 
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編Yusuke Kodama
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıBGA Cyber Security
 
俺とHashiCorp
俺とHashiCorp俺とHashiCorp
俺とHashiCorpToru Makabe
 
テストエンジニアの品格 #automatornight
テストエンジニアの品格 #automatornightテストエンジニアの品格 #automatornight
テストエンジニアの品格 #automatornightkyon mm
 
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...TAKUYA OHTA
 
今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識Minoru Naito
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introductioncsig-info
 
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティymmt
 

More Related Content

What's hot

フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!zaki4649
 
Ansible specでテストをする話
Ansible specでテストをする話Ansible specでテストをする話
Ansible specでテストをする話KeijiUehata1
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWSzaki4649
 
エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩Takuya Tezuka
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfBGA Cyber Security
 
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編abend_cve_9999_0001
 
ユーザーデータ基盤を1からScalaでつくった話し
ユーザーデータ基盤を1からScalaでつくった話しユーザーデータ基盤を1からScalaでつくった話し
ユーザーデータ基盤を1からScalaでつくった話しHideaki Tarumi
 
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended NetworkSCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Networkwind06106
 
大規模負荷試験時にやったこと
大規模負荷試験時にやったこと大規模負荷試験時にやったこと
大規模負荷試験時にやったことまべ☆てっく運営
 
プラクティス厨から始めるアジャイル開発
プラクティス厨から始めるアジャイル開発プラクティス厨から始めるアジャイル開発
プラクティス厨から始めるアジャイル開発Arata Fujimura
 
Always on 可用性グループ 構築時のポイント
Always on 可用性グループ 構築時のポイントAlways on 可用性グループ 構築時のポイント
Always on 可用性グループ 構築時のポイントMasayuki Ozawa
 
株式で揉めないために、創業前に起業家が知っておくべき「創業株主間契約」の結び方 先生:雨宮 美季・佐瀬 和宏
株式で揉めないために、創業前に起業家が知っておくべき「創業株主間契約」の結び方 先生:雨宮 美季・佐瀬 和宏株式で揉めないために、創業前に起業家が知っておくべき「創業株主間契約」の結び方 先生:雨宮 美季・佐瀬 和宏
株式で揉めないために、創業前に起業家が知っておくべき「創業株主間契約」の結び方 先生:雨宮 美季・佐瀬 和宏schoowebcampus
 
Logをs3とredshiftに格納する仕組み
Logをs3とredshiftに格納する仕組みLogをs3とredshiftに格納する仕組み
Logをs3とredshiftに格納する仕組みKen Morishita
 
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編Yusuke Kodama
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıBGA Cyber Security
 
テストエンジニアの品格 #automatornight
テストエンジニアの品格 #automatornightテストエンジニアの品格 #automatornight
テストエンジニアの品格 #automatornightkyon mm
 
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...TAKUYA OHTA
 
今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識Minoru Naito
 

What's hot (20)

フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
 
Ansible specでテストをする話
Ansible specでテストをする話Ansible specでテストをする話
Ansible specでテストをする話
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWS
 
エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩エンジニア必見!Sreへの第一歩
エンジニア必見!Sreへの第一歩
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
 
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
 
ユーザーデータ基盤を1からScalaでつくった話し
ユーザーデータ基盤を1からScalaでつくった話しユーザーデータ基盤を1からScalaでつくった話し
ユーザーデータ基盤を1からScalaでつくった話し
 
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended NetworkSCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
 
大規模負荷試験時にやったこと
大規模負荷試験時にやったこと大規模負荷試験時にやったこと
大規模負荷試験時にやったこと
 
プラクティス厨から始めるアジャイル開発
プラクティス厨から始めるアジャイル開発プラクティス厨から始めるアジャイル開発
プラクティス厨から始めるアジャイル開発
 
Workspace ONE テクニカルガイド MAM編
Workspace ONE テクニカルガイド MAM編Workspace ONE テクニカルガイド MAM編
Workspace ONE テクニカルガイド MAM編
 
Always on 可用性グループ 構築時のポイント
Always on 可用性グループ 構築時のポイントAlways on 可用性グループ 構築時のポイント
Always on 可用性グループ 構築時のポイント
 
株式で揉めないために、創業前に起業家が知っておくべき「創業株主間契約」の結び方 先生:雨宮 美季・佐瀬 和宏
株式で揉めないために、創業前に起業家が知っておくべき「創業株主間契約」の結び方 先生:雨宮 美季・佐瀬 和宏株式で揉めないために、創業前に起業家が知っておくべき「創業株主間契約」の結び方 先生:雨宮 美季・佐瀬 和宏
株式で揉めないために、創業前に起業家が知っておくべき「創業株主間契約」の結び方 先生:雨宮 美季・佐瀬 和宏
 
Logをs3とredshiftに格納する仕組み
Logをs3とredshiftに格納する仕組みLogをs3とredshiftに格納する仕組み
Logをs3とredshiftに格納する仕組み
 
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
 
俺とHashiCorp
俺とHashiCorp俺とHashiCorp
俺とHashiCorp
 
テストエンジニアの品格 #automatornight
テストエンジニアの品格 #automatornightテストエンジニアの品格 #automatornight
テストエンジニアの品格 #automatornight
 
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
 
今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識
 

Similar to サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント

Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introductioncsig-info
 
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティymmt
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
EDRは組織のインシデント対応をどう変えているか
EDRは組織のインシデント対応をどう変えているかEDRは組織のインシデント対応をどう変えているか
EDRは組織のインシデント対応をどう変えているかEiji Hoshimoto
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)Shinobu Yasuda
 
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないことマルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないことIIJ
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝Fumitaka Takeuchi
 
なぜ今 Windows 10 が必要なのか
なぜ今 Windows 10 が必要なのかなぜ今 Windows 10 が必要なのか
なぜ今 Windows 10 が必要なのかMPN Japan
 
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_securityShinichiro Kawano
 
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_versionShinichiro Kawano
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」Masato Kinugawa
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...Amazon Web Services Japan
 
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)appliedelectronics
 
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~Tomohiro Nakashima
 
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践itforum-roundtable
 

Similar to サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント (20)

Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introduction
 
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
 
EDRは組織のインシデント対応をどう変えているか
EDRは組織のインシデント対応をどう変えているかEDRは組織のインシデント対応をどう変えているか
EDRは組織のインシデント対応をどう変えているか
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
Webrisk
WebriskWebrisk
Webrisk
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
 
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないことマルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
 
なぜ今 Windows 10 が必要なのか
なぜ今 Windows 10 が必要なのかなぜ今 Windows 10 が必要なのか
なぜ今 Windows 10 が必要なのか
 
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
 
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
 
IoTセキュリティの課題
IoTセキュリティの課題IoTセキュリティの課題
IoTセキュリティの課題
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
 
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
 
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
 
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
 
P41 Thompson Jp[1]
P41 Thompson Jp[1]P41 Thompson Jp[1]
P41 Thompson Jp[1]
 
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
 

Recently uploaded

Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムsugiuralab
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略Ryo Sasaki
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Danieldanielhu54
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 

Recently uploaded (9)

Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 

サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント

  • 2. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 2 企業を取り巻くサイバー攻撃 非常に多くの企業が被害を受けており、検知・対策に時間がかかるほど被害はより深刻に サイバー攻撃の被害を受けた企業の割合 ますます多くの企業が サイバー攻撃の被害を受けている 最も大規模な被害を与えたサイバー攻撃が 企業環境内で検出されるまでの時間 日本企業はサイバー攻撃の検知能力が 12カ国中最低 0 5 10 15 20 最も遅い国 世界12ヵ国平均 最も早い国 日本 オーストラリア、 ブラジル、カナダ 出典:ソフォス 「エンドポイントセキュリティの7つの気になる真実」 世界12ヵ国(米国、カナダ、メキシコ、コロンビア、ブラジル、英国、フランス、ドイツ、オーストラリア、日本、インド、南アフリカ)約3,100人へインタビュー形式で、2018年12月~2019年1月にて実施 50 55 60 65 70 75 80 従業員数 1,001~5,000人 世界12ヵ国平均 従業員数 100~1,000人 63% 68% 10時間 12時間 17時間73%
  • 3. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 3 セキュリティ対策の予算 投資額を増加する企業が増えているが、多くの企業がまだまだ予算不足 2017年と2018年との予算額の比較 出典:KPMGコンサルティング「サイバーセキュリティサーベイ2018」 現状のサイバーセキュリティ対策への投資額 適切 34% サイバーセキュリティ対策の予算額は 増加傾向 約 2/3 の企業が予算不足 過剰 1% 大いに不足 13% やや不足 52% 38% 58% 4% 増加 減少 横ばい
  • 4. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 4 サイバーセキュリティ経営ガイドラインの位置づけ 大企業および中・小企業における全体指針 全体指針 具体的対策 大企業 中小企業 (セキュリティ意識高い) 中小企業 (セキュリティ意識低い) 小規模事業者 サイバーセキュリティ 経営ガイドラインVer2.0 実践のための プラクティス集(IPA) サイバーセキュリティ経営ガイドライン Ver.2.0 (経済産業省、IPA) 中小企業の情報セキュリティ対策 ガイドライン第3版(IPA)
  • 5. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 5 サイバーセキュリティ経営ガイドラインの構成と実施責任者 経営者をはじめ、CISO、セキュリティ担当者と全方位に向けた内容 もくじ 経営者 CISO セキュリティ 担当者 人材育成・ 支援担当者 サイバーセキュリティ経営ガイドライン・概要 ● ● ● ● 1. はじめに ● ● ● ● 2. 経営者が認識すべき3原則 ● ● ● ● 3. サイバーセキュリティ経営の重要10項目 - ● ● ● 付録A サイバーセキュリティ経営チェックシート - - ● ● 付録B サイバーセキュリティ対策に関する参考情報 - - ● ● 付録D 国際規格 ISO/IEC27001 及び 27002 との関係 - - ● ● 付録E 用語の定義 - - ● ● 構 成 実施責任者  経営者  CISO (サイバー攻撃対策を実施する上での責任者となる幹部)  セキュリティ担当者 (サイバー攻撃対策の担当者、CSIRT※のメンバー等)  人材育成・支援担当者 (上記人材の育成や支援を担当する社内部門や社外の事業者) ※ CSIRT (シーサート: Computer Security Incident Response Team) とは、組織内の情報セキュリティ問題を専門に扱う、インシデント対応チーム
  • 6. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 6 経営者が認識すべき3原則 リーダーシップ サプライチェーン全体への対策 ステークホルダーとのコミュニケーション 経営者が自ら、3原則をしっかりと理解し行動 経営者は、サイバーセキュリティリス クを認識し、リーダーシップによって 対策を進めることが必要 経営者はリーダーシップをとってサイバー攻撃のリスクと 企業への影響を考慮したサイバーセキュリティ対策を推 進するとともに、企業の成長のためのセキュリティ投資を 実施すべきである。 自社は勿論、ビジネスパートナーや 委託先も含めたサプライチェーンに 対するセキュリティ対策が必要 自社のサイバーセキュリティ対策にとどまらず、サプライ チェーンのビジネスパートナーや委託先も含めた総合的 なサイバーセキュリティ対策を実施すべきである。 平時・緊急時のいずれにおいても、サイバー セキュリティリスクや対策に係る情報開示な ど、関係者との適切なコミュニケーションが必 要 平時からステークホルダー(顧客や株主など)を含めた関係者に サイバーセキュリティ対策に関する情報開示を行うことなどで信頼 関係を醸成し、インシデント発生時にもコミュニケーションが円滑に 進むよう備えるべきである。
  • 7. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 7 サイバーセキュリティ経営の重要10項目 サイバーセキュリティ経営ガイドライン サイバーセキュリティリスクの管理体制構築 サイバーセキュリティリスクの認識、組織全体での対応方針の策定 サイバーセキュリティリスク管理体制の構築 サイバーセキュリティ対策のための資源(予算、人材等)確保 指示1 指示2 指示3 インシデント発生に備えた体制構築 インシデント発生時の緊急対応体制の整備 インシデントによる被害に備えた復旧体制の整備 指示7 指示8 サイバーセキュリティリスクの特定と対策の実装 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定 サイバーセキュリティリスクに対応するための仕組みの構築 サイバーセキュリティ対策における PDCA サイクルの実施 指示4 指示5 指示6 ステークホルダーを含めた関係者との コミュニケーションの推進 情報共有活動への参加を通じた攻撃情報の入手と その有効活用及び提供 指示10 ビジネスパートナーや委託先等を含めたサプライチェーン全体の 対策及び状況把握 指示9 サプライチェーンセキュリティ対策の推進 経営者は、CISO等に対して以下の10項目を指示し、着実に実施させ、実施内容をCISO等から定期的に報告を受けることが必要である。 自組織での対応が困難な項目については、外部委託によって実施することも検討する。
  • 8. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 8 対策例 サイバーセキュリティリスクの認識、組織全体での対応方針の策定 サイバーセキュリティ経営ガイドライン 経営者が組織内外に宣言できるセキュリティポリシーを策定する サイバーセキュリティリスクを経営リスクの一つとして認識し、組織全体での対応方針(セキュリティポリシー)を策定させる。 指示1 対策を怠ると 実行内容と組織の方針が合致しない トップの宣言がなければ、ステークホルダーに 伝わらず、企業の信頼性が高まらない 従業員が認識しやすい社内ポータルサイト などへ掲載し、周知徹底する 一般公開することでステークホルダーに伝 え、信頼性を高める 組織内 組織外 株主 取引先 顧客 対応方針を策定 社内 ポータル 株主 取引先 顧客
  • 9. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 9 対策例 サイバーセキュリティリスク管理体制の構築 サイバーセキュリティ経営ガイドライン 体制の企画・設計 段階からサイバー セキュリティ対策を 考慮する サイバーセキュリティ対策を行うため、サイバーセキュリティリスクの管理体制(各関係者の責任の明確化も含む)を構築させる。 指示2 対策を怠ると 組織全体のサイバーセキュリティリスクが把握できない その他のリスク管理体制と整合を取らない と、組織全体として不整合が生じる恐れあ り CISO等が、 経営リスクに関する 委員会に参加する 取締役、監査役が監査する CISO等は、管理体制を構築し 責任範囲を明確にする ? ? CISO 管理体制 責任範囲
  • 10. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 10 対策例 サイバーセキュリティ対策のための資源(予算、人材等)確保 サイバーセキュリティ経営ガイドライン サイバーセキュリティリスクへの対策を実施するための予算確保とサイバーセキュリティ人材の育成を実施させる。 指示3 対策を怠ると 予算が確保できていないと・・・ 費用を確保する 外部人材の採用も含めた 人材育成、キャリアパスを 設計検討する 管理体制 研修受講 研修のための 予算を確保する 専用ベンダ 専門的な人材の教育が難しい場合は、 外部研修を検討する 専門的な人材の雇用が難しい場合 は、専用ベンダを検討する 人材確保が困難 外部委託が困難 適切な処遇が維持・改善できないと、 有能な人材を自社に留めておくことが困難 人材流出
  • 11. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 11 対策例 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定 サイバーセキュリティ経営ガイドライン 経営戦略の観点から守るべき情報を特定させた上で、サイバー攻撃の脅威や影響度からサイバーセキュリティリスクを把握し、リスクに対応するための計画を 策定させる。その際、サイバー保険の活用や守るべき情報について専門ベンダへの委託を含めたリスク移転策も検討した上で、残留リスクを識別させる。 指示4 対策を怠ると 適切ではない過度なリスク対策により、 通常の業務遂行に支障をきたす恐れがある 受容できないリスクが残る場合、想定外の 損失を被る恐れがある 受容できない リスク 発生確率や、発生した際の損害を考慮し、対策の 実施が不要と判断したリスクは残留リスクとする 守るべき情報を特定し、どこに 保存されているのか把握する ! 守るべき情報に対して、発生しうるリスクを把握する リスク 低減 リスク 回避 リスク 移転 把握したリスクに対して、リスク低減/リスク回避 /リスク移転の、3つの観点で対策を検討する 法令上の対策が必要なリスク は、法令上の対応も考慮した 対策となっているか検討する 製品・サービス等、企画・設計 段階からセキュリティ対応を 考慮する 対策必要 残留リスク 対策 必要 不要 !
  • 12. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 12 対策例 サイバーセキュリティリスクに対応するための仕組みの構築 サイバーセキュリティ経営ガイドライン 指示5 対策を怠ると リスクに応じて適切に対応されていないと、 サイバー攻撃が発生した場合に被害が拡大 する危険性がある 攻撃の検知・分析と対応できるように運用 されていなければ、攻撃を正確に把握でき ず、致命的な被害に発展する危険性がある 重要業務を行う端末・ネットワーク・システム又はサービスには多層防御を実施する アクセスログや通信ログから攻撃を監視・検知 する仕組みを構築する サイバーセキュリティリスクに対応するための保護対策(防御・検知・分析に関する対策)を実施する体制を構築させる。 従業員に対する教育を行い、 適切な対応が行えるよう 日頃から備える ? ?
  • 13. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 13 対策例 サイバーセキュリティ対策における PDCA サイクルの実施 サイバーセキュリティ経営ガイドライン 計画を確実に実施し、改善していくため、サイバーセキュリティ対策をPDCAサイクルとして実施させる。その中で、定期的に経営者に対策状況を報告させた上で、問 題が生じている場合は改善させる。また、ステークホルダーからの信頼性を高めるため、対策状況を開示させる。 指示6 対策を怠ると PDCAを実施する体制が出来ていないと、 計画が確実に実行されない恐れがある 最新リスクへの対応も踏まえて定期的に 見直さないと、新たに発生した脅威に対 応できない恐れがある PDCA 継続して対応可能な体制・ プロセスを整備する 必要に応じて、ISMSなどの 国際標準となっている認証を活用する KPIを定め、 委員会において報告する 必要に応じてセキュリティ診断や 監査を受け、現状の問題点を 検出し改善する 新たなリスクの出現などで追加的 に対応が必要な場合には、速や かに対処方針を修正する 対策の状況について、情報セキュリティ 報告書や有価証券報告書等への記 載を通じて開示を検討する 適切な開示を行わないとステークホルダー の信頼を失い、インシデント発生時に 企業価値が大きく低下する恐れがある PDCA ? DOWN
  • 14. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 14 対策例 インシデント発生時の緊急対応体制の整備 サイバーセキュリティ経営ガイドライン 影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を速やかに実施するための組織内の対応体制(CSIRT等)を整備させる。 被害発覚後の通知先や開示が必要な情報を把握させるとともに、情報開示の際に経営者が組織の内外へ説明ができる体制を整備させる。 また、インシデント発生時の対応について、適宜実践的な演習を実施させる。 指示7 対策を怠ると 緊急時の対応体制を整備していないと、 調査において社内外でコミュニケーションが 取れず、速やかな対処ができない 速やかに情報開示されないと、顧客や取 引先等にも被害が及ぶ恐れがあり、損害 賠償請求など責任を問われる場合がある 法的に所管官庁等への報告が義務づけ られている場合、速やかな通知がないこと により、罰則等を受ける場合がある 演習を実施していないと、不測の事態が 起こった際に、担当者が緊急時に適切に 行動することが出来ない 緊急時において、以下を実施できるような対応体制を構築する インシデントに関する被害状況、他社への影 響等について経営者に報告する 緊急連絡網、社外を含む情報開示の通知先 一覧を整備し、メンバーに共有しておく 報告・連絡 ログの保全や感染端末の確保等の証拠 保全が行える体制を構築し、関係機関 と連携して調査する 関係法令を確認し、法的義務が 履行されるよう手続きを確認しておく 証拠保全 法的対応 初動対応時の影響を検討し、各部署が 協力できるよう予め取り決めをしておく インシデント収束後の再発防止策の策 定、所管省庁等への報告手順も含め 演習する 再発防止策の検討にあたっては、 必要に応じて外部の専門家の知見も活 用することも検討する 初動対応 再発防止
  • 15. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 15 対策例 インシデントによる被害に備えた復旧体制の整備 サイバーセキュリティ経営ガイドライン インシデントにより業務停止等に至った場合、企業経営への影響を考慮していつまでに復旧すべきかを特定し、復旧に向けた手順書策定や、復旧対応体制の整備 をさせる。BCPとの連携等、組織全体として整合のとれた復旧目標計画を定めさせる。 また、業務停止等からの復旧対応について、適宜実践的な演習を実施させる。 指示8 対策を怠ると 重要な業務が適切な時間内に復旧できず、 致命的な影響を与える恐れがある 演習を実施していないと、不測の事態の際 に、担当者が適切に行動することが出来ない 業務停止等に至った場合に、以下を実施できるような復旧体制を構築する ? 復旧手順に従った演習 復旧に向けた指示 復旧の目標 演習復旧手順 指示 速やかに復旧するため、関係 機関との連携や復旧作業を 実施できるよう指示する 対応担当者には復旧手順に 従った演習を実施させる 重要な業務をいつまでに復旧 すべきかの目標について、組 織全体として整合をとる
  • 16. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 16 対策例 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握 サイバーセキュリティ経営ガイドライン 監査の実施や対策状況の把握を含むサイバーセキュリティ対策のPDCAについて、系列企業、サプライチェーンのビジネスパートナーやシステム管理の運用委託先等 を含めた運用をさせる。システム管理等の委託について、自組織で対応する部分と外部に委託する部分で適切な切り分けをさせる。 指示9 対策を怠ると サプライチェーン全体で対策が行われていないと、これらの 企業を踏み台にして自社が攻撃されることがあり、その結 果他社の2次被害を誘発し、加害者となる恐れもある 緊急時の原因特定などの際に、これらの企業からの 協力を得られないことにより事業継続に支障が生ずる 自組織部分と委託部分の 境界が不明確となり、対策 漏れが生じる恐れがある 自社 他社 攻撃 事業継続に 支障が生じる 対策 漏れ 委託先自社委託元 サプライチェーン全体でのサイバーセキュリティ対策の内容を明確にし契約する SECURITY ACTION 重要な情報を委託先に預ける 場合は、委託先における情報 の安全性を定期的に確認する サプライチェーン全体でSECURITY ACTION を実施していることを確認する サプライチェーン全体でのサイバーセキュ リティ対策状況の報告を受け、把握する ISMS等のセキュリティマネジメント 認証を取得していることが望ましい 緊急時に備え、委託先が サイバー保険に加入して いることが望ましい 踏み台
  • 17. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 17 対策例 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供 サイバーセキュリティ経営ガイドライン 社会全体において最新のサイバー攻撃に対応した対策が可能となるよう、サイバー攻撃に関する情報共有活動へ参加し、積極的な情報提供及び情報入手を行わ せる。また、入手した情報を有効活用するための環境整備をさせる。 指示10 対策を怠ると 情報の入手と提供という双方向の情報共有を通じて、社会全体でサイバー攻撃の防御につなげることが重要 サイバー攻撃の防御につなげていくため、情報を入手するのみならず、積極的に情報を提供する 情報入手 情報提供 情報入手 情報提供  IPAやJPCERTコーディネーションセンター等による脆弱性情報などの注意喚起情報を、自社の対策に活かす  CSIRTや、日本シーサート協議会等のコミュニティ活動への参加などを通じて、自社の対策に活かす  IPAに対し、告示に基づいてマルウェア情報や不正アクセス情報の届出をする  JPCERTコーディネーションセンターにインシデントに関する情報提供を行い、必要に応じて調整を依頼する  重要インフラ事業者の場合には、J-CSIPなどの情報共有の仕組みを利用する 情報共有ができないと、社会全体において常に新たな 攻撃として対応することとなり、対応コストが低減しない 情報入手 情報提供 主な情報共有方法
  • 18. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 18 実践に際して 客観的に評価し、改善へ取り組み 客観性を持って回答するのが困難 例:「経営者がサイバーセキュリティリスクを経営リスクの1つとして認識しているか」 サイバーセキュリティ経営ガイドライン 「付録Aサイバーセキュリティ経営チェックシート」 「サイバーセキュリティ評価チェックシート」 無料公開中 https://www.manageengine.jp/solutions/csm_guideline/lp/ 客観的評価がしにくい経営に対して、チェック項目ごとに点数化が可能 例:「サイバーセキュリティリスクに特化したセキュリティポリシーを新たに策定する場合には、サイバーセキュリティリスクを 経営リスクとして認識していること、及び経営者の関与と責任に関する事項が記載されていることを確認する」 「実施の確認事項」に対して客観的に判断可能
  • 19. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 19 参考情報:サプライチェーンセキュリティ対策 有効と考えられる契約書の見直しに対応した雛形と、セキュリティレベルのチェックシート サプライチェーン攻撃のイメージ 下請業者(中小企業) ターゲット企業(大企業) セキュリティ対策済みのターゲット 企業への直接攻撃は難しくても、 グループ関連会社や子会社など の中で、セキュリティ対策が万全 ではない所を狙うケースが増加 本書の「経営者が認識すべき3原則」や「指示9」に もあるように、近年サプライチェーンに対するセキュリティ の意識が高まっています。 10大脅威でも、4位で初ランクイン 順位 対象となる脅威 昨年 順位 1位 標的型攻撃による被害 1位 2位 ビジネスメール詐欺による被害 3位 3位 ランサムウェアによる被害 2位 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW 5位 内部不正による情報漏えい 8位 IPAが発表した「情報セキュリティ10大脅威2019」 (組織部門)では、1位から3位までは昨年の脅威 とほぼ順位に変動がありません。 そのなか「サプライチェーンの弱点を悪用した攻撃の高 まり」は4位で初ランクインし、新たな脅威として注目さ れています。 「情報セキュリティ10大脅威 2019」 – 抜粋:IPA資料より サプライチェーンセキュリティ対策として 契約関連文書を見直し、責任範囲を明確するための 業務委託契約書(雛形)と契約書別添セキュリティ チェックシート https://www.manageengine.jp/solutions/supply_chain_security/lp/ 無料でダウンロード可能
  • 20. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 20 参考情報:高度標的型攻撃への包括的なソリューションを最適なコストで 様々なベンダーが協力し、ソリューションをご提供 ベースラインAPT対策コンソーシアム(BAPT: Baseline APT-solution consortium) https://bapt.zohosites.com/ システムインテグレーション セキュリティコンサル 出入口対策 内部対策 セキュリティコンサル ティング支援 出入口対策 統合ログ対策 内部NW振る舞い検知 エンドポイント対策1 2 3 4 5 リスク分析を行い、何から 対策すべきかのロードマップ を定義し、プロセスの整備、 ツールの導入含めた計画の 定義を行う。攻撃訓練や CSIRT構築の支援も行う。 プロクシ型FWをベースとした 多層防御とクラウド型サンド ボックス連携 監視・通信制御 統合型セキュリティ アプライアンス 攻撃の経路となる機器のログを 収集、可視化しアラート定義 インシデント発生時の トレーサビリティの確保 プロキシサーバー メールアーカイブ各機器のログを収集レポート化 内部ネットワークにおける 脅威活動を検知 AIによる相関分析 で脅威検出 脅威の検知で通知 USBデバイス制御、OSや オフィス製品などのパッチ手配 USBデバイスの制御 セキュリティパッチの管理 既知・未知のマルウェア をリアルム防御 PCで閲覧する電子 メールを無害化 次世代型アンチ ウィルス対策 ADサーバー DNSサーバー ログ ログ ログ
  • 21. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 21 サイバーセキュリティ経営ガイドラインにおける ManageEngine の対応 サイバーセキュリティ経営の重要10項目 リスクや影響範囲の特定のための IT資産管理と端末管理 マルチOSにおけるソフトウェアパッチの 脆弱性情報の把握 特権IDやADのアカウント管理と ログの監視による異常の検知 セキュリティインシデントの記録とプロセスの管理 ITサービスマネジメント 統合エンドポイント管理 Active Directory 統合運用管理 簡易SIEM 機能要件 ManageEngineでの対応 特権ID管理 脆弱性パッチ管理 サイバーセキュリティリスクの認識、組織全体 での対応方針の策定 指示1 サイバーセキュリティリスク管理体制の構築指示2 サイバーセキュリティ対策のための資源 (予算、人材等)確保 指示3 サイバーセキュリティリスクの把握とリスク 対応に関する計画の策定 指示4 サイバーセキュリティリスクに対応する ための仕組みの構築 指示5 サイバーセキュリティ対策における PDCA サイクルの実施 指示6 インシデント発生時の緊急対応体制の整備指示7 インシデントによる被害に備えた復旧 体制の整備 指示8 情報共有活動への参加を通じた攻撃情報の 入手とその有効活用及び提供 指示10 ビジネスパートナーや委託先等を含めたサプライ チェーン全体の対策及び状況把握 指示9
  • 22. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 22 更なる詳細情報 お問い合わせ/お見積り依頼については、お気軽にご連絡ください ゾーホージャパン株式会社 神奈川県横浜市西区みなとみらい三丁目6番1号 みなとみらいセンタービル13階 045-319-4612(ManageEngine 営業担当) https://www.manageengine.jp/ jp-mesales@zohocorp.com 情報提供元 サイバーセキュリティ経営ガイドラインに関する特設ページ https://www.manageengine.jp/solutions/csm_guideline/lp/ PDF サイバーセキュリティ評価チェックシート サプライチェーンセキュリティに関する特設ページ ベースラインAPT対策コンソーシアム https://www.manageengine.jp/download/enter.php?Categor y=ManageEngine&dl=DL_1&%3bnickname=Security&No=2 889 https://www.manageengine.jp/solutions/supply_chain_security/lp/ https://bapt.zohosites.com/