SlideShare une entreprise Scribd logo

サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント

Télécharger en tant que PPTX, PDF
J
jpmemarketing_zoho

経済産業省がサイバーセキュリティに対する経営者の理解を推進するために発行した「サイバーセキュリティ経営ガイドラインVer2.0」ですが、幅広い業務に日々多忙な経営者の方でも簡単に概要を理解できるよう、わかりやすい図解の解説を添えた「サイバーセキュリティ経営ガイドラインVer2.0」の要約版資料を用意させていただきました。

Technologie
1  sur  22
日本の経営者に向けた 「サイバーセキュリティ経営ガイドラインVer2.0」実践のためのヒント ゾーホージャパン株式会社
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 2 企業を取り巻くサイバー攻撃 非常に多くの企業が被害を受けており、検知・対策に時間がかかるほど被害はより深刻に サイバー攻撃の被害を受けた企業の割合 ますます多くの企業が サイバー攻撃の被害を受けている 最も大規模な被害を与えたサイバー攻撃が 企業環境内で検出されるまでの時間 日本企業はサイバー攻撃の検知能力が 12カ国中最低 0 5 10 15 20 最も遅い国 世界12ヵ国平均 最も早い国 日本 オーストラリア、 ブラジル、カナダ 出典:ソフォス 「エンドポイントセキュリティの7つの気になる真実」 世界12ヵ国(米国、カナダ、メキシコ、コロンビア、ブラジル、英国、フランス、ドイツ、オーストラリア、日本、インド、南アフリカ)約3,100人へインタビュー形式で、2018年12月~2019年1月にて実施 50 55 60 65 70 75 80 従業員数 1,001~5,000人 世界12ヵ国平均 従業員数 100~1,000人 63% 68% 10時間 12時間 17時間73%
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 3 セキュリティ対策の予算 投資額を増加する企業が増えているが、多くの企業がまだまだ予算不足 2017年と2018年との予算額の比較 出典:KPMGコンサルティング「サイバーセキュリティサーベイ2018」 現状のサイバーセキュリティ対策への投資額 適切 34% サイバーセキュリティ対策の予算額は 増加傾向 約 2/3 の企業が予算不足 過剰 1% 大いに不足 13% やや不足 52% 38% 58% 4% 増加 減少 横ばい
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 4 サイバーセキュリティ経営ガイドラインの位置づけ 大企業および中・小企業における全体指針 全体指針 具体的対策 大企業 中小企業 (セキュリティ意識高い) 中小企業 (セキュリティ意識低い) 小規模事業者 サイバーセキュリティ 経営ガイドラインVer2.0 実践のための プラクティス集(IPA) サイバーセキュリティ経営ガイドライン Ver.2.0 (経済産業省、IPA) 中小企業の情報セキュリティ対策 ガイドライン第3版(IPA)
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 5 サイバーセキュリティ経営ガイドラインの構成と実施責任者 経営者をはじめ、CISO、セキュリティ担当者と全方位に向けた内容 もくじ 経営者 CISO セキュリティ 担当者 人材育成・ 支援担当者 サイバーセキュリティ経営ガイドライン・概要 ● ● ● ● 1. はじめに ● ● ● ● 2. 経営者が認識すべき3原則 ● ● ● ● 3. サイバーセキュリティ経営の重要10項目 - ● ● ● 付録A サイバーセキュリティ経営チェックシート - - ● ● 付録B サイバーセキュリティ対策に関する参考情報 - - ● ● 付録D 国際規格 ISO/IEC27001 及び 27002 との関係 - - ● ● 付録E 用語の定義 - - ● ● 構 成 実施責任者  経営者  CISO (サイバー攻撃対策を実施する上での責任者となる幹部)  セキュリティ担当者 (サイバー攻撃対策の担当者、CSIRT※のメンバー等)  人材育成・支援担当者 (上記人材の育成や支援を担当する社内部門や社外の事業者) ※ CSIRT (シーサート: Computer Security Incident Response Team) とは、組織内の情報セキュリティ問題を専門に扱う、インシデント対応チーム
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 6 経営者が認識すべき3原則 リーダーシップ サプライチェーン全体への対策 ステークホルダーとのコミュニケーション 経営者が自ら、3原則をしっかりと理解し行動 経営者は、サイバーセキュリティリス クを認識し、リーダーシップによって 対策を進めることが必要 経営者はリーダーシップをとってサイバー攻撃のリスクと 企業への影響を考慮したサイバーセキュリティ対策を推 進するとともに、企業の成長のためのセキュリティ投資を 実施すべきである。 自社は勿論、ビジネスパートナーや 委託先も含めたサプライチェーンに 対するセキュリティ対策が必要 自社のサイバーセキュリティ対策にとどまらず、サプライ チェーンのビジネスパートナーや委託先も含めた総合的 なサイバーセキュリティ対策を実施すべきである。 平時・緊急時のいずれにおいても、サイバー セキュリティリスクや対策に係る情報開示な ど、関係者との適切なコミュニケーションが必 要 平時からステークホルダー(顧客や株主など)を含めた関係者に サイバーセキュリティ対策に関する情報開示を行うことなどで信頼 関係を醸成し、インシデント発生時にもコミュニケーションが円滑に 進むよう備えるべきである。
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 7 サイバーセキュリティ経営の重要10項目 サイバーセキュリティ経営ガイドライン サイバーセキュリティリスクの管理体制構築 サイバーセキュリティリスクの認識、組織全体での対応方針の策定 サイバーセキュリティリスク管理体制の構築 サイバーセキュリティ対策のための資源(予算、人材等)確保 指示1 指示2 指示3 インシデント発生に備えた体制構築 インシデント発生時の緊急対応体制の整備 インシデントによる被害に備えた復旧体制の整備 指示7 指示8 サイバーセキュリティリスクの特定と対策の実装 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定 サイバーセキュリティリスクに対応するための仕組みの構築 サイバーセキュリティ対策における PDCA サイクルの実施 指示4 指示5 指示6 ステークホルダーを含めた関係者との コミュニケーションの推進 情報共有活動への参加を通じた攻撃情報の入手と その有効活用及び提供 指示10 ビジネスパートナーや委託先等を含めたサプライチェーン全体の 対策及び状況把握 指示9 サプライチェーンセキュリティ対策の推進 経営者は、CISO等に対して以下の10項目を指示し、着実に実施させ、実施内容をCISO等から定期的に報告を受けることが必要である。 自組織での対応が困難な項目については、外部委託によって実施することも検討する。
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 8 対策例 サイバーセキュリティリスクの認識、組織全体での対応方針の策定 サイバーセキュリティ経営ガイドライン 経営者が組織内外に宣言できるセキュリティポリシーを策定する サイバーセキュリティリスクを経営リスクの一つとして認識し、組織全体での対応方針(セキュリティポリシー)を策定させる。 指示1 対策を怠ると 実行内容と組織の方針が合致しない トップの宣言がなければ、ステークホルダーに 伝わらず、企業の信頼性が高まらない 従業員が認識しやすい社内ポータルサイト などへ掲載し、周知徹底する 一般公開することでステークホルダーに伝 え、信頼性を高める 組織内 組織外 株主 取引先 顧客 対応方針を策定 社内 ポータル 株主 取引先 顧客
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 9 対策例 サイバーセキュリティリスク管理体制の構築 サイバーセキュリティ経営ガイドライン 体制の企画・設計 段階からサイバー セキュリティ対策を 考慮する サイバーセキュリティ対策を行うため、サイバーセキュリティリスクの管理体制(各関係者の責任の明確化も含む)を構築させる。 指示2 対策を怠ると 組織全体のサイバーセキュリティリスクが把握できない その他のリスク管理体制と整合を取らない と、組織全体として不整合が生じる恐れあ り CISO等が、 経営リスクに関する 委員会に参加する 取締役、監査役が監査する CISO等は、管理体制を構築し 責任範囲を明確にする ? ? CISO 管理体制 責任範囲
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 10 対策例 サイバーセキュリティ対策のための資源(予算、人材等)確保 サイバーセキュリティ経営ガイドライン サイバーセキュリティリスクへの対策を実施するための予算確保とサイバーセキュリティ人材の育成を実施させる。 指示3 対策を怠ると 予算が確保できていないと・・・ 費用を確保する 外部人材の採用も含めた 人材育成、キャリアパスを 設計検討する 管理体制 研修受講 研修のための 予算を確保する 専用ベンダ 専門的な人材の教育が難しい場合は、 外部研修を検討する 専門的な人材の雇用が難しい場合 は、専用ベンダを検討する 人材確保が困難 外部委託が困難 適切な処遇が維持・改善できないと、 有能な人材を自社に留めておくことが困難 人材流出
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 11 対策例 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定 サイバーセキュリティ経営ガイドライン 経営戦略の観点から守るべき情報を特定させた上で、サイバー攻撃の脅威や影響度からサイバーセキュリティリスクを把握し、リスクに対応するための計画を 策定させる。その際、サイバー保険の活用や守るべき情報について専門ベンダへの委託を含めたリスク移転策も検討した上で、残留リスクを識別させる。 指示4 対策を怠ると 適切ではない過度なリスク対策により、 通常の業務遂行に支障をきたす恐れがある 受容できないリスクが残る場合、想定外の 損失を被る恐れがある 受容できない リスク 発生確率や、発生した際の損害を考慮し、対策の 実施が不要と判断したリスクは残留リスクとする 守るべき情報を特定し、どこに 保存されているのか把握する ! 守るべき情報に対して、発生しうるリスクを把握する リスク 低減 リスク 回避 リスク 移転 把握したリスクに対して、リスク低減/リスク回避 /リスク移転の、3つの観点で対策を検討する 法令上の対策が必要なリスク は、法令上の対応も考慮した 対策となっているか検討する 製品・サービス等、企画・設計 段階からセキュリティ対応を 考慮する 対策必要 残留リスク 対策 必要 不要 !
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 12 対策例 サイバーセキュリティリスクに対応するための仕組みの構築 サイバーセキュリティ経営ガイドライン 指示5 対策を怠ると リスクに応じて適切に対応されていないと、 サイバー攻撃が発生した場合に被害が拡大 する危険性がある 攻撃の検知・分析と対応できるように運用 されていなければ、攻撃を正確に把握でき ず、致命的な被害に発展する危険性がある 重要業務を行う端末・ネットワーク・システム又はサービスには多層防御を実施する アクセスログや通信ログから攻撃を監視・検知 する仕組みを構築する サイバーセキュリティリスクに対応するための保護対策(防御・検知・分析に関する対策)を実施する体制を構築させる。 従業員に対する教育を行い、 適切な対応が行えるよう 日頃から備える ? ?
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 13 対策例 サイバーセキュリティ対策における PDCA サイクルの実施 サイバーセキュリティ経営ガイドライン 計画を確実に実施し、改善していくため、サイバーセキュリティ対策をPDCAサイクルとして実施させる。その中で、定期的に経営者に対策状況を報告させた上で、問 題が生じている場合は改善させる。また、ステークホルダーからの信頼性を高めるため、対策状況を開示させる。 指示6 対策を怠ると PDCAを実施する体制が出来ていないと、 計画が確実に実行されない恐れがある 最新リスクへの対応も踏まえて定期的に 見直さないと、新たに発生した脅威に対 応できない恐れがある PDCA 継続して対応可能な体制・ プロセスを整備する 必要に応じて、ISMSなどの 国際標準となっている認証を活用する KPIを定め、 委員会において報告する 必要に応じてセキュリティ診断や 監査を受け、現状の問題点を 検出し改善する 新たなリスクの出現などで追加的 に対応が必要な場合には、速や かに対処方針を修正する 対策の状況について、情報セキュリティ 報告書や有価証券報告書等への記 載を通じて開示を検討する 適切な開示を行わないとステークホルダー の信頼を失い、インシデント発生時に 企業価値が大きく低下する恐れがある PDCA ? DOWN
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 14 対策例 インシデント発生時の緊急対応体制の整備 サイバーセキュリティ経営ガイドライン 影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を速やかに実施するための組織内の対応体制(CSIRT等)を整備させる。 被害発覚後の通知先や開示が必要な情報を把握させるとともに、情報開示の際に経営者が組織の内外へ説明ができる体制を整備させる。 また、インシデント発生時の対応について、適宜実践的な演習を実施させる。 指示7 対策を怠ると 緊急時の対応体制を整備していないと、 調査において社内外でコミュニケーションが 取れず、速やかな対処ができない 速やかに情報開示されないと、顧客や取 引先等にも被害が及ぶ恐れがあり、損害 賠償請求など責任を問われる場合がある 法的に所管官庁等への報告が義務づけ られている場合、速やかな通知がないこと により、罰則等を受ける場合がある 演習を実施していないと、不測の事態が 起こった際に、担当者が緊急時に適切に 行動することが出来ない 緊急時において、以下を実施できるような対応体制を構築する インシデントに関する被害状況、他社への影 響等について経営者に報告する 緊急連絡網、社外を含む情報開示の通知先 一覧を整備し、メンバーに共有しておく 報告・連絡 ログの保全や感染端末の確保等の証拠 保全が行える体制を構築し、関係機関 と連携して調査する 関係法令を確認し、法的義務が 履行されるよう手続きを確認しておく 証拠保全 法的対応 初動対応時の影響を検討し、各部署が 協力できるよう予め取り決めをしておく インシデント収束後の再発防止策の策 定、所管省庁等への報告手順も含め 演習する 再発防止策の検討にあたっては、 必要に応じて外部の専門家の知見も活 用することも検討する 初動対応 再発防止
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 15 対策例 インシデントによる被害に備えた復旧体制の整備 サイバーセキュリティ経営ガイドライン インシデントにより業務停止等に至った場合、企業経営への影響を考慮していつまでに復旧すべきかを特定し、復旧に向けた手順書策定や、復旧対応体制の整備 をさせる。BCPとの連携等、組織全体として整合のとれた復旧目標計画を定めさせる。 また、業務停止等からの復旧対応について、適宜実践的な演習を実施させる。 指示8 対策を怠ると 重要な業務が適切な時間内に復旧できず、 致命的な影響を与える恐れがある 演習を実施していないと、不測の事態の際 に、担当者が適切に行動することが出来ない 業務停止等に至った場合に、以下を実施できるような復旧体制を構築する ? 復旧手順に従った演習 復旧に向けた指示 復旧の目標 演習復旧手順 指示 速やかに復旧するため、関係 機関との連携や復旧作業を 実施できるよう指示する 対応担当者には復旧手順に 従った演習を実施させる 重要な業務をいつまでに復旧 すべきかの目標について、組 織全体として整合をとる
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 16 対策例 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握 サイバーセキュリティ経営ガイドライン 監査の実施や対策状況の把握を含むサイバーセキュリティ対策のPDCAについて、系列企業、サプライチェーンのビジネスパートナーやシステム管理の運用委託先等 を含めた運用をさせる。システム管理等の委託について、自組織で対応する部分と外部に委託する部分で適切な切り分けをさせる。 指示9 対策を怠ると サプライチェーン全体で対策が行われていないと、これらの 企業を踏み台にして自社が攻撃されることがあり、その結 果他社の2次被害を誘発し、加害者となる恐れもある 緊急時の原因特定などの際に、これらの企業からの 協力を得られないことにより事業継続に支障が生ずる 自組織部分と委託部分の 境界が不明確となり、対策 漏れが生じる恐れがある 自社 他社 攻撃 事業継続に 支障が生じる 対策 漏れ 委託先自社委託元 サプライチェーン全体でのサイバーセキュリティ対策の内容を明確にし契約する SECURITY ACTION 重要な情報を委託先に預ける 場合は、委託先における情報 の安全性を定期的に確認する サプライチェーン全体でSECURITY ACTION を実施していることを確認する サプライチェーン全体でのサイバーセキュ リティ対策状況の報告を受け、把握する ISMS等のセキュリティマネジメント 認証を取得していることが望ましい 緊急時に備え、委託先が サイバー保険に加入して いることが望ましい 踏み台
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 17 対策例 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供 サイバーセキュリティ経営ガイドライン 社会全体において最新のサイバー攻撃に対応した対策が可能となるよう、サイバー攻撃に関する情報共有活動へ参加し、積極的な情報提供及び情報入手を行わ せる。また、入手した情報を有効活用するための環境整備をさせる。 指示10 対策を怠ると 情報の入手と提供という双方向の情報共有を通じて、社会全体でサイバー攻撃の防御につなげることが重要 サイバー攻撃の防御につなげていくため、情報を入手するのみならず、積極的に情報を提供する 情報入手 情報提供 情報入手 情報提供  IPAやJPCERTコーディネーションセンター等による脆弱性情報などの注意喚起情報を、自社の対策に活かす  CSIRTや、日本シーサート協議会等のコミュニティ活動への参加などを通じて、自社の対策に活かす  IPAに対し、告示に基づいてマルウェア情報や不正アクセス情報の届出をする  JPCERTコーディネーションセンターにインシデントに関する情報提供を行い、必要に応じて調整を依頼する  重要インフラ事業者の場合には、J-CSIPなどの情報共有の仕組みを利用する 情報共有ができないと、社会全体において常に新たな 攻撃として対応することとなり、対応コストが低減しない 情報入手 情報提供 主な情報共有方法
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 18 実践に際して 客観的に評価し、改善へ取り組み 客観性を持って回答するのが困難 例:「経営者がサイバーセキュリティリスクを経営リスクの1つとして認識しているか」 サイバーセキュリティ経営ガイドライン 「付録Aサイバーセキュリティ経営チェックシート」 「サイバーセキュリティ評価チェックシート」 無料公開中 https://www.manageengine.jp/solutions/csm_guideline/lp/ 客観的評価がしにくい経営に対して、チェック項目ごとに点数化が可能 例:「サイバーセキュリティリスクに特化したセキュリティポリシーを新たに策定する場合には、サイバーセキュリティリスクを 経営リスクとして認識していること、及び経営者の関与と責任に関する事項が記載されていることを確認する」 「実施の確認事項」に対して客観的に判断可能
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 19 参考情報:サプライチェーンセキュリティ対策 有効と考えられる契約書の見直しに対応した雛形と、セキュリティレベルのチェックシート サプライチェーン攻撃のイメージ 下請業者(中小企業) ターゲット企業(大企業) セキュリティ対策済みのターゲット 企業への直接攻撃は難しくても、 グループ関連会社や子会社など の中で、セキュリティ対策が万全 ではない所を狙うケースが増加 本書の「経営者が認識すべき3原則」や「指示9」に もあるように、近年サプライチェーンに対するセキュリティ の意識が高まっています。 10大脅威でも、4位で初ランクイン 順位 対象となる脅威 昨年 順位 1位 標的型攻撃による被害 1位 2位 ビジネスメール詐欺による被害 3位 3位 ランサムウェアによる被害 2位 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW 5位 内部不正による情報漏えい 8位 IPAが発表した「情報セキュリティ10大脅威2019」 (組織部門)では、1位から3位までは昨年の脅威 とほぼ順位に変動がありません。 そのなか「サプライチェーンの弱点を悪用した攻撃の高 まり」は4位で初ランクインし、新たな脅威として注目さ れています。 「情報セキュリティ10大脅威 2019」 – 抜粋:IPA資料より サプライチェーンセキュリティ対策として 契約関連文書を見直し、責任範囲を明確するための 業務委託契約書(雛形)と契約書別添セキュリティ チェックシート https://www.manageengine.jp/solutions/supply_chain_security/lp/ 無料でダウンロード可能
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 20 参考情報:高度標的型攻撃への包括的なソリューションを最適なコストで 様々なベンダーが協力し、ソリューションをご提供 ベースラインAPT対策コンソーシアム(BAPT: Baseline APT-solution consortium) https://bapt.zohosites.com/ システムインテグレーション セキュリティコンサル 出入口対策 内部対策 セキュリティコンサル ティング支援 出入口対策 統合ログ対策 内部NW振る舞い検知 エンドポイント対策1 2 3 4 5 リスク分析を行い、何から 対策すべきかのロードマップ を定義し、プロセスの整備、 ツールの導入含めた計画の 定義を行う。攻撃訓練や CSIRT構築の支援も行う。 プロクシ型FWをベースとした 多層防御とクラウド型サンド ボックス連携 監視・通信制御 統合型セキュリティ アプライアンス 攻撃の経路となる機器のログを 収集、可視化しアラート定義 インシデント発生時の トレーサビリティの確保 プロキシサーバー メールアーカイブ各機器のログを収集レポート化 内部ネットワークにおける 脅威活動を検知 AIによる相関分析 で脅威検出 脅威の検知で通知 USBデバイス制御、OSや オフィス製品などのパッチ手配 USBデバイスの制御 セキュリティパッチの管理 既知・未知のマルウェア をリアルム防御 PCで閲覧する電子 メールを無害化 次世代型アンチ ウィルス対策 ADサーバー DNSサーバー ログ ログ ログ
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 21 サイバーセキュリティ経営ガイドラインにおける ManageEngine の対応 サイバーセキュリティ経営の重要10項目 リスクや影響範囲の特定のための IT資産管理と端末管理 マルチOSにおけるソフトウェアパッチの 脆弱性情報の把握 特権IDやADのアカウント管理と ログの監視による異常の検知 セキュリティインシデントの記録とプロセスの管理 ITサービスマネジメント 統合エンドポイント管理 Active Directory 統合運用管理 簡易SIEM 機能要件 ManageEngineでの対応 特権ID管理 脆弱性パッチ管理 サイバーセキュリティリスクの認識、組織全体 での対応方針の策定 指示1 サイバーセキュリティリスク管理体制の構築指示2 サイバーセキュリティ対策のための資源 (予算、人材等)確保 指示3 サイバーセキュリティリスクの把握とリスク 対応に関する計画の策定 指示4 サイバーセキュリティリスクに対応する ための仕組みの構築 指示5 サイバーセキュリティ対策における PDCA サイクルの実施 指示6 インシデント発生時の緊急対応体制の整備指示7 インシデントによる被害に備えた復旧 体制の整備 指示8 情報共有活動への参加を通じた攻撃情報の 入手とその有効活用及び提供 指示10 ビジネスパートナーや委託先等を含めたサプライ チェーン全体の対策及び状況把握 指示9
© ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 22 更なる詳細情報 お問い合わせ/お見積り依頼については、お気軽にご連絡ください ゾーホージャパン株式会社 神奈川県横浜市西区みなとみらい三丁目6番1号 みなとみらいセンタービル13階 045-319-4612(ManageEngine 営業担当) https://www.manageengine.jp/ jp-mesales@zohocorp.com 情報提供元 サイバーセキュリティ経営ガイドラインに関する特設ページ https://www.manageengine.jp/solutions/csm_guideline/lp/ PDF サイバーセキュリティ評価チェックシート サプライチェーンセキュリティに関する特設ページ ベースラインAPT対策コンソーシアム https://www.manageengine.jp/download/enter.php?Categor y=ManageEngine&dl=DL_1&%3bnickname=Security&No=2 889 https://www.manageengine.jp/solutions/supply_chain_security/lp/ https://bapt.zohosites.com/

Recommandé

FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」Motohiko Sato
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 zaki4649
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達zaki4649
 
Azure Kubernetes Service Overview
Azure Kubernetes Service OverviewAzure Kubernetes Service Overview
Azure Kubernetes Service OverviewTakeshi Fukuhara
 
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit Guard
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit GuardIT エンジニアのための 流し読み Windows - Microsoft Defender Exploit Guard
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit GuardTAKUYA OHTA
 
Aligning to the NIST Cybersecurity Framework in the AWS
Aligning to the NIST Cybersecurity Framework in the AWSAligning to the NIST Cybersecurity Framework in the AWS
Aligning to the NIST Cybersecurity Framework in the AWSAmazon Web Services
 
S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...
S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...
S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...日本マイクロソフト株式会社
 
Spring Day 2016 - Web API アクセス制御の最適解
Spring Day 2016 - Web API アクセス制御の最適解Spring Day 2016 - Web API アクセス制御の最適解
Spring Day 2016 - Web API アクセス制御の最適解都元ダイスケ Miyamoto
 

Recommandé

FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」Motohiko Sato
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 zaki4649
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達zaki4649
 
Azure Kubernetes Service Overview
Azure Kubernetes Service OverviewAzure Kubernetes Service Overview
Azure Kubernetes Service OverviewTakeshi Fukuhara
 
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit Guard
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit GuardIT エンジニアのための 流し読み Windows - Microsoft Defender Exploit Guard
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit GuardTAKUYA OHTA
 
Aligning to the NIST Cybersecurity Framework in the AWS
Aligning to the NIST Cybersecurity Framework in the AWSAligning to the NIST Cybersecurity Framework in the AWS
Aligning to the NIST Cybersecurity Framework in the AWSAmazon Web Services
 
S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...
S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...
S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...日本マイクロソフト株式会社
 
Spring Day 2016 - Web API アクセス制御の最適解
Spring Day 2016 - Web API アクセス制御の最適解Spring Day 2016 - Web API アクセス制御の最適解
Spring Day 2016 - Web API アクセス制御の最適解都元ダイスケ Miyamoto
 
IBM AppScan - the total software security solution
IBM AppScan - the total software security solutionIBM AppScan - the total software security solution
IBM AppScan - the total software security solutionhearme limited company
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Edureka!
 
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~Genki WATANABE
 
Software Composition Analysis Deep Dive
Software Composition Analysis Deep DiveSoftware Composition Analysis Deep Dive
Software Composition Analysis Deep DiveUlisses Albuquerque
 
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield AdvancedAmazon Web Services Japan
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクションzaki4649
 
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)Masaya Tahara
 
Effective Security Operation Center - present by Reza Adineh
Effective Security Operation Center - present by Reza AdinehEffective Security Operation Center - present by Reza Adineh
Effective Security Operation Center - present by Reza AdinehReZa AdineH
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top TenChristian Heinrich
 
AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016
AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016
AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016Amazon Web Services Korea
 
AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?YOJI WATANABE
 
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak ÇözümlerSOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak ÇözümlerBGA Cyber Security
 
ISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdf
ISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdfISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdf
ISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdfTatsuya Hasegawa
 
AWS IoTアーキテクチャパターン
AWS IoTアーキテクチャパターンAWS IoTアーキテクチャパターン
AWS IoTアーキテクチャパターンAmazon Web Services Japan
 
文科省セキュリティセミナー_20220818.pdf
文科省セキュリティセミナー_20220818.pdf文科省セキュリティセミナー_20220818.pdf
文科省セキュリティセミナー_20220818.pdfHisaho Nakata
 
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model 20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model Amazon Web Services Japan
 
AWS初心者向けWebinar AWS上でのDDoS対策
AWS初心者向けWebinar AWS上でのDDoS対策AWS初心者向けWebinar AWS上でのDDoS対策
AWS初心者向けWebinar AWS上でのDDoS対策Amazon Web Services Japan
 
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)Motohiko Sato
 
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Alper Başaran
 
AWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめAWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめTrainocate Japan, Ltd.
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introductioncsig-info
 
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティymmt
 

Contenu connexe

Tendances

IBM AppScan - the total software security solution
IBM AppScan - the total software security solutionIBM AppScan - the total software security solution
IBM AppScan - the total software security solutionhearme limited company
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Edureka!
 
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~Genki WATANABE
 
Software Composition Analysis Deep Dive
Software Composition Analysis Deep DiveSoftware Composition Analysis Deep Dive
Software Composition Analysis Deep DiveUlisses Albuquerque
 
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield AdvancedAmazon Web Services Japan
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクションzaki4649
 
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)Masaya Tahara
 
Effective Security Operation Center - present by Reza Adineh
Effective Security Operation Center - present by Reza AdinehEffective Security Operation Center - present by Reza Adineh
Effective Security Operation Center - present by Reza AdinehReZa AdineH
 
AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016
AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016
AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016Amazon Web Services Korea
 
AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?YOJI WATANABE
 
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak ÇözümlerSOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak ÇözümlerBGA Cyber Security
 
ISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdf
ISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdfISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdf
ISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdfTatsuya Hasegawa
 
文科省セキュリティセミナー_20220818.pdf
文科省セキュリティセミナー_20220818.pdf文科省セキュリティセミナー_20220818.pdf
文科省セキュリティセミナー_20220818.pdfHisaho Nakata
 
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model 20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model Amazon Web Services Japan
 
AWS初心者向けWebinar AWS上でのDDoS対策
AWS初心者向けWebinar AWS上でのDDoS対策AWS初心者向けWebinar AWS上でのDDoS対策
AWS初心者向けWebinar AWS上でのDDoS対策Amazon Web Services Japan
 
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)Motohiko Sato
 
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Alper Başaran
 
AWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめAWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめTrainocate Japan, Ltd.
 

Tendances (20)

IBM AppScan - the total software security solution
IBM AppScan - the total software security solutionIBM AppScan - the total software security solution
IBM AppScan - the total software security solution
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
 
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~
第34回Office 365勉強会 : Microsoftサポート活用術 ~ Microsoft Azureを中心に ~
 
Software Composition Analysis Deep Dive
Software Composition Analysis Deep DiveSoftware Composition Analysis Deep Dive
Software Composition Analysis Deep Dive
 
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクション
 
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
 
Effective Security Operation Center - present by Reza Adineh
Effective Security Operation Center - present by Reza AdinehEffective Security Operation Center - present by Reza Adineh
Effective Security Operation Center - present by Reza Adineh
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top Ten
 
AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016
AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016
AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016
 
AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?
 
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak ÇözümlerSOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
 
ISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdf
ISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdfISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdf
ISACA名古屋支部_2023年7月SR分科会_フィッシング詐欺.pdf
 
AWS IoTアーキテクチャパターン
AWS IoTアーキテクチャパターンAWS IoTアーキテクチャパターン
AWS IoTアーキテクチャパターン
 
文科省セキュリティセミナー_20220818.pdf
文科省セキュリティセミナー_20220818.pdf文科省セキュリティセミナー_20220818.pdf
文科省セキュリティセミナー_20220818.pdf
 
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model 20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
 
AWS初心者向けWebinar AWS上でのDDoS対策
AWS初心者向けWebinar AWS上でのDDoS対策AWS初心者向けWebinar AWS上でのDDoS対策
AWS初心者向けWebinar AWS上でのDDoS対策
 
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
 
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)
 
AWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめAWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめ
 

Similaire à サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント

Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introductioncsig-info
 
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティymmt
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
EDRは組織のインシデント対応をどう変えているか
EDRは組織のインシデント対応をどう変えているかEDRは組織のインシデント対応をどう変えているか
EDRは組織のインシデント対応をどう変えているかEiji Hoshimoto
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)Shinobu Yasuda
 
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないことマルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないことIIJ
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝Fumitaka Takeuchi
 
なぜ今 Windows 10 が必要なのか
なぜ今 Windows 10 が必要なのかなぜ今 Windows 10 が必要なのか
なぜ今 Windows 10 が必要なのかMPN Japan
 
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_securityShinichiro Kawano
 
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_versionShinichiro Kawano
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」Masato Kinugawa
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...Amazon Web Services Japan
 
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)appliedelectronics
 
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~Tomohiro Nakashima
 
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践itforum-roundtable
 

Similaire à サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント (20)

Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introduction
 
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
 
EDRは組織のインシデント対応をどう変えているか
EDRは組織のインシデント対応をどう変えているかEDRは組織のインシデント対応をどう変えているか
EDRは組織のインシデント対応をどう変えているか
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
Webrisk
WebriskWebrisk
Webrisk
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
 
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないことマルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
 
なぜ今 Windows 10 が必要なのか
なぜ今 Windows 10 が必要なのかなぜ今 Windows 10 が必要なのか
なぜ今 Windows 10 が必要なのか
 
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
 
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
 
IoTセキュリティの課題
IoTセキュリティの課題IoTセキュリティの課題
IoTセキュリティの課題
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
 
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
 
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
 
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
 
P41 Thompson Jp[1]
P41 Thompson Jp[1]P41 Thompson Jp[1]
P41 Thompson Jp[1]
 
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
 

Dernier

LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスCRI Japan, Inc.
 
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptxsn679259
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...Toru Tamaki
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Gamesatsushi061452
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video UnderstandingToru Tamaki
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。iPride Co., Ltd.
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。iPride Co., Ltd.
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルCRI Japan, Inc.
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。iPride Co., Ltd.
 
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsUtilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsWSO2
 

Dernier (10)

LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsUtilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
 

サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント

  • 2. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 2 企業を取り巻くサイバー攻撃 非常に多くの企業が被害を受けており、検知・対策に時間がかかるほど被害はより深刻に サイバー攻撃の被害を受けた企業の割合 ますます多くの企業が サイバー攻撃の被害を受けている 最も大規模な被害を与えたサイバー攻撃が 企業環境内で検出されるまでの時間 日本企業はサイバー攻撃の検知能力が 12カ国中最低 0 5 10 15 20 最も遅い国 世界12ヵ国平均 最も早い国 日本 オーストラリア、 ブラジル、カナダ 出典:ソフォス 「エンドポイントセキュリティの7つの気になる真実」 世界12ヵ国(米国、カナダ、メキシコ、コロンビア、ブラジル、英国、フランス、ドイツ、オーストラリア、日本、インド、南アフリカ)約3,100人へインタビュー形式で、2018年12月~2019年1月にて実施 50 55 60 65 70 75 80 従業員数 1,001~5,000人 世界12ヵ国平均 従業員数 100~1,000人 63% 68% 10時間 12時間 17時間73%
  • 3. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 3 セキュリティ対策の予算 投資額を増加する企業が増えているが、多くの企業がまだまだ予算不足 2017年と2018年との予算額の比較 出典:KPMGコンサルティング「サイバーセキュリティサーベイ2018」 現状のサイバーセキュリティ対策への投資額 適切 34% サイバーセキュリティ対策の予算額は 増加傾向 約 2/3 の企業が予算不足 過剰 1% 大いに不足 13% やや不足 52% 38% 58% 4% 増加 減少 横ばい
  • 4. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 4 サイバーセキュリティ経営ガイドラインの位置づけ 大企業および中・小企業における全体指針 全体指針 具体的対策 大企業 中小企業 (セキュリティ意識高い) 中小企業 (セキュリティ意識低い) 小規模事業者 サイバーセキュリティ 経営ガイドラインVer2.0 実践のための プラクティス集(IPA) サイバーセキュリティ経営ガイドライン Ver.2.0 (経済産業省、IPA) 中小企業の情報セキュリティ対策 ガイドライン第3版(IPA)
  • 5. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 5 サイバーセキュリティ経営ガイドラインの構成と実施責任者 経営者をはじめ、CISO、セキュリティ担当者と全方位に向けた内容 もくじ 経営者 CISO セキュリティ 担当者 人材育成・ 支援担当者 サイバーセキュリティ経営ガイドライン・概要 ● ● ● ● 1. はじめに ● ● ● ● 2. 経営者が認識すべき3原則 ● ● ● ● 3. サイバーセキュリティ経営の重要10項目 - ● ● ● 付録A サイバーセキュリティ経営チェックシート - - ● ● 付録B サイバーセキュリティ対策に関する参考情報 - - ● ● 付録D 国際規格 ISO/IEC27001 及び 27002 との関係 - - ● ● 付録E 用語の定義 - - ● ● 構 成 実施責任者  経営者  CISO (サイバー攻撃対策を実施する上での責任者となる幹部)  セキュリティ担当者 (サイバー攻撃対策の担当者、CSIRT※のメンバー等)  人材育成・支援担当者 (上記人材の育成や支援を担当する社内部門や社外の事業者) ※ CSIRT (シーサート: Computer Security Incident Response Team) とは、組織内の情報セキュリティ問題を専門に扱う、インシデント対応チーム
  • 6. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 6 経営者が認識すべき3原則 リーダーシップ サプライチェーン全体への対策 ステークホルダーとのコミュニケーション 経営者が自ら、3原則をしっかりと理解し行動 経営者は、サイバーセキュリティリス クを認識し、リーダーシップによって 対策を進めることが必要 経営者はリーダーシップをとってサイバー攻撃のリスクと 企業への影響を考慮したサイバーセキュリティ対策を推 進するとともに、企業の成長のためのセキュリティ投資を 実施すべきである。 自社は勿論、ビジネスパートナーや 委託先も含めたサプライチェーンに 対するセキュリティ対策が必要 自社のサイバーセキュリティ対策にとどまらず、サプライ チェーンのビジネスパートナーや委託先も含めた総合的 なサイバーセキュリティ対策を実施すべきである。 平時・緊急時のいずれにおいても、サイバー セキュリティリスクや対策に係る情報開示な ど、関係者との適切なコミュニケーションが必 要 平時からステークホルダー(顧客や株主など)を含めた関係者に サイバーセキュリティ対策に関する情報開示を行うことなどで信頼 関係を醸成し、インシデント発生時にもコミュニケーションが円滑に 進むよう備えるべきである。
  • 7. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 7 サイバーセキュリティ経営の重要10項目 サイバーセキュリティ経営ガイドライン サイバーセキュリティリスクの管理体制構築 サイバーセキュリティリスクの認識、組織全体での対応方針の策定 サイバーセキュリティリスク管理体制の構築 サイバーセキュリティ対策のための資源(予算、人材等)確保 指示1 指示2 指示3 インシデント発生に備えた体制構築 インシデント発生時の緊急対応体制の整備 インシデントによる被害に備えた復旧体制の整備 指示7 指示8 サイバーセキュリティリスクの特定と対策の実装 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定 サイバーセキュリティリスクに対応するための仕組みの構築 サイバーセキュリティ対策における PDCA サイクルの実施 指示4 指示5 指示6 ステークホルダーを含めた関係者との コミュニケーションの推進 情報共有活動への参加を通じた攻撃情報の入手と その有効活用及び提供 指示10 ビジネスパートナーや委託先等を含めたサプライチェーン全体の 対策及び状況把握 指示9 サプライチェーンセキュリティ対策の推進 経営者は、CISO等に対して以下の10項目を指示し、着実に実施させ、実施内容をCISO等から定期的に報告を受けることが必要である。 自組織での対応が困難な項目については、外部委託によって実施することも検討する。
  • 8. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 8 対策例 サイバーセキュリティリスクの認識、組織全体での対応方針の策定 サイバーセキュリティ経営ガイドライン 経営者が組織内外に宣言できるセキュリティポリシーを策定する サイバーセキュリティリスクを経営リスクの一つとして認識し、組織全体での対応方針(セキュリティポリシー)を策定させる。 指示1 対策を怠ると 実行内容と組織の方針が合致しない トップの宣言がなければ、ステークホルダーに 伝わらず、企業の信頼性が高まらない 従業員が認識しやすい社内ポータルサイト などへ掲載し、周知徹底する 一般公開することでステークホルダーに伝 え、信頼性を高める 組織内 組織外 株主 取引先 顧客 対応方針を策定 社内 ポータル 株主 取引先 顧客
  • 9. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 9 対策例 サイバーセキュリティリスク管理体制の構築 サイバーセキュリティ経営ガイドライン 体制の企画・設計 段階からサイバー セキュリティ対策を 考慮する サイバーセキュリティ対策を行うため、サイバーセキュリティリスクの管理体制(各関係者の責任の明確化も含む)を構築させる。 指示2 対策を怠ると 組織全体のサイバーセキュリティリスクが把握できない その他のリスク管理体制と整合を取らない と、組織全体として不整合が生じる恐れあ り CISO等が、 経営リスクに関する 委員会に参加する 取締役、監査役が監査する CISO等は、管理体制を構築し 責任範囲を明確にする ? ? CISO 管理体制 責任範囲
  • 10. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 10 対策例 サイバーセキュリティ対策のための資源(予算、人材等)確保 サイバーセキュリティ経営ガイドライン サイバーセキュリティリスクへの対策を実施するための予算確保とサイバーセキュリティ人材の育成を実施させる。 指示3 対策を怠ると 予算が確保できていないと・・・ 費用を確保する 外部人材の採用も含めた 人材育成、キャリアパスを 設計検討する 管理体制 研修受講 研修のための 予算を確保する 専用ベンダ 専門的な人材の教育が難しい場合は、 外部研修を検討する 専門的な人材の雇用が難しい場合 は、専用ベンダを検討する 人材確保が困難 外部委託が困難 適切な処遇が維持・改善できないと、 有能な人材を自社に留めておくことが困難 人材流出
  • 11. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 11 対策例 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定 サイバーセキュリティ経営ガイドライン 経営戦略の観点から守るべき情報を特定させた上で、サイバー攻撃の脅威や影響度からサイバーセキュリティリスクを把握し、リスクに対応するための計画を 策定させる。その際、サイバー保険の活用や守るべき情報について専門ベンダへの委託を含めたリスク移転策も検討した上で、残留リスクを識別させる。 指示4 対策を怠ると 適切ではない過度なリスク対策により、 通常の業務遂行に支障をきたす恐れがある 受容できないリスクが残る場合、想定外の 損失を被る恐れがある 受容できない リスク 発生確率や、発生した際の損害を考慮し、対策の 実施が不要と判断したリスクは残留リスクとする 守るべき情報を特定し、どこに 保存されているのか把握する ! 守るべき情報に対して、発生しうるリスクを把握する リスク 低減 リスク 回避 リスク 移転 把握したリスクに対して、リスク低減/リスク回避 /リスク移転の、3つの観点で対策を検討する 法令上の対策が必要なリスク は、法令上の対応も考慮した 対策となっているか検討する 製品・サービス等、企画・設計 段階からセキュリティ対応を 考慮する 対策必要 残留リスク 対策 必要 不要 !
  • 12. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 12 対策例 サイバーセキュリティリスクに対応するための仕組みの構築 サイバーセキュリティ経営ガイドライン 指示5 対策を怠ると リスクに応じて適切に対応されていないと、 サイバー攻撃が発生した場合に被害が拡大 する危険性がある 攻撃の検知・分析と対応できるように運用 されていなければ、攻撃を正確に把握でき ず、致命的な被害に発展する危険性がある 重要業務を行う端末・ネットワーク・システム又はサービスには多層防御を実施する アクセスログや通信ログから攻撃を監視・検知 する仕組みを構築する サイバーセキュリティリスクに対応するための保護対策(防御・検知・分析に関する対策)を実施する体制を構築させる。 従業員に対する教育を行い、 適切な対応が行えるよう 日頃から備える ? ?
  • 13. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 13 対策例 サイバーセキュリティ対策における PDCA サイクルの実施 サイバーセキュリティ経営ガイドライン 計画を確実に実施し、改善していくため、サイバーセキュリティ対策をPDCAサイクルとして実施させる。その中で、定期的に経営者に対策状況を報告させた上で、問 題が生じている場合は改善させる。また、ステークホルダーからの信頼性を高めるため、対策状況を開示させる。 指示6 対策を怠ると PDCAを実施する体制が出来ていないと、 計画が確実に実行されない恐れがある 最新リスクへの対応も踏まえて定期的に 見直さないと、新たに発生した脅威に対 応できない恐れがある PDCA 継続して対応可能な体制・ プロセスを整備する 必要に応じて、ISMSなどの 国際標準となっている認証を活用する KPIを定め、 委員会において報告する 必要に応じてセキュリティ診断や 監査を受け、現状の問題点を 検出し改善する 新たなリスクの出現などで追加的 に対応が必要な場合には、速や かに対処方針を修正する 対策の状況について、情報セキュリティ 報告書や有価証券報告書等への記 載を通じて開示を検討する 適切な開示を行わないとステークホルダー の信頼を失い、インシデント発生時に 企業価値が大きく低下する恐れがある PDCA ? DOWN
  • 14. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 14 対策例 インシデント発生時の緊急対応体制の整備 サイバーセキュリティ経営ガイドライン 影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を速やかに実施するための組織内の対応体制(CSIRT等)を整備させる。 被害発覚後の通知先や開示が必要な情報を把握させるとともに、情報開示の際に経営者が組織の内外へ説明ができる体制を整備させる。 また、インシデント発生時の対応について、適宜実践的な演習を実施させる。 指示7 対策を怠ると 緊急時の対応体制を整備していないと、 調査において社内外でコミュニケーションが 取れず、速やかな対処ができない 速やかに情報開示されないと、顧客や取 引先等にも被害が及ぶ恐れがあり、損害 賠償請求など責任を問われる場合がある 法的に所管官庁等への報告が義務づけ られている場合、速やかな通知がないこと により、罰則等を受ける場合がある 演習を実施していないと、不測の事態が 起こった際に、担当者が緊急時に適切に 行動することが出来ない 緊急時において、以下を実施できるような対応体制を構築する インシデントに関する被害状況、他社への影 響等について経営者に報告する 緊急連絡網、社外を含む情報開示の通知先 一覧を整備し、メンバーに共有しておく 報告・連絡 ログの保全や感染端末の確保等の証拠 保全が行える体制を構築し、関係機関 と連携して調査する 関係法令を確認し、法的義務が 履行されるよう手続きを確認しておく 証拠保全 法的対応 初動対応時の影響を検討し、各部署が 協力できるよう予め取り決めをしておく インシデント収束後の再発防止策の策 定、所管省庁等への報告手順も含め 演習する 再発防止策の検討にあたっては、 必要に応じて外部の専門家の知見も活 用することも検討する 初動対応 再発防止
  • 15. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 15 対策例 インシデントによる被害に備えた復旧体制の整備 サイバーセキュリティ経営ガイドライン インシデントにより業務停止等に至った場合、企業経営への影響を考慮していつまでに復旧すべきかを特定し、復旧に向けた手順書策定や、復旧対応体制の整備 をさせる。BCPとの連携等、組織全体として整合のとれた復旧目標計画を定めさせる。 また、業務停止等からの復旧対応について、適宜実践的な演習を実施させる。 指示8 対策を怠ると 重要な業務が適切な時間内に復旧できず、 致命的な影響を与える恐れがある 演習を実施していないと、不測の事態の際 に、担当者が適切に行動することが出来ない 業務停止等に至った場合に、以下を実施できるような復旧体制を構築する ? 復旧手順に従った演習 復旧に向けた指示 復旧の目標 演習復旧手順 指示 速やかに復旧するため、関係 機関との連携や復旧作業を 実施できるよう指示する 対応担当者には復旧手順に 従った演習を実施させる 重要な業務をいつまでに復旧 すべきかの目標について、組 織全体として整合をとる
  • 16. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 16 対策例 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握 サイバーセキュリティ経営ガイドライン 監査の実施や対策状況の把握を含むサイバーセキュリティ対策のPDCAについて、系列企業、サプライチェーンのビジネスパートナーやシステム管理の運用委託先等 を含めた運用をさせる。システム管理等の委託について、自組織で対応する部分と外部に委託する部分で適切な切り分けをさせる。 指示9 対策を怠ると サプライチェーン全体で対策が行われていないと、これらの 企業を踏み台にして自社が攻撃されることがあり、その結 果他社の2次被害を誘発し、加害者となる恐れもある 緊急時の原因特定などの際に、これらの企業からの 協力を得られないことにより事業継続に支障が生ずる 自組織部分と委託部分の 境界が不明確となり、対策 漏れが生じる恐れがある 自社 他社 攻撃 事業継続に 支障が生じる 対策 漏れ 委託先自社委託元 サプライチェーン全体でのサイバーセキュリティ対策の内容を明確にし契約する SECURITY ACTION 重要な情報を委託先に預ける 場合は、委託先における情報 の安全性を定期的に確認する サプライチェーン全体でSECURITY ACTION を実施していることを確認する サプライチェーン全体でのサイバーセキュ リティ対策状況の報告を受け、把握する ISMS等のセキュリティマネジメント 認証を取得していることが望ましい 緊急時に備え、委託先が サイバー保険に加入して いることが望ましい 踏み台
  • 17. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 17 対策例 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供 サイバーセキュリティ経営ガイドライン 社会全体において最新のサイバー攻撃に対応した対策が可能となるよう、サイバー攻撃に関する情報共有活動へ参加し、積極的な情報提供及び情報入手を行わ せる。また、入手した情報を有効活用するための環境整備をさせる。 指示10 対策を怠ると 情報の入手と提供という双方向の情報共有を通じて、社会全体でサイバー攻撃の防御につなげることが重要 サイバー攻撃の防御につなげていくため、情報を入手するのみならず、積極的に情報を提供する 情報入手 情報提供 情報入手 情報提供  IPAやJPCERTコーディネーションセンター等による脆弱性情報などの注意喚起情報を、自社の対策に活かす  CSIRTや、日本シーサート協議会等のコミュニティ活動への参加などを通じて、自社の対策に活かす  IPAに対し、告示に基づいてマルウェア情報や不正アクセス情報の届出をする  JPCERTコーディネーションセンターにインシデントに関する情報提供を行い、必要に応じて調整を依頼する  重要インフラ事業者の場合には、J-CSIPなどの情報共有の仕組みを利用する 情報共有ができないと、社会全体において常に新たな 攻撃として対応することとなり、対応コストが低減しない 情報入手 情報提供 主な情報共有方法
  • 18. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 18 実践に際して 客観的に評価し、改善へ取り組み 客観性を持って回答するのが困難 例:「経営者がサイバーセキュリティリスクを経営リスクの1つとして認識しているか」 サイバーセキュリティ経営ガイドライン 「付録Aサイバーセキュリティ経営チェックシート」 「サイバーセキュリティ評価チェックシート」 無料公開中 https://www.manageengine.jp/solutions/csm_guideline/lp/ 客観的評価がしにくい経営に対して、チェック項目ごとに点数化が可能 例:「サイバーセキュリティリスクに特化したセキュリティポリシーを新たに策定する場合には、サイバーセキュリティリスクを 経営リスクとして認識していること、及び経営者の関与と責任に関する事項が記載されていることを確認する」 「実施の確認事項」に対して客観的に判断可能
  • 19. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 19 参考情報:サプライチェーンセキュリティ対策 有効と考えられる契約書の見直しに対応した雛形と、セキュリティレベルのチェックシート サプライチェーン攻撃のイメージ 下請業者(中小企業) ターゲット企業(大企業) セキュリティ対策済みのターゲット 企業への直接攻撃は難しくても、 グループ関連会社や子会社など の中で、セキュリティ対策が万全 ではない所を狙うケースが増加 本書の「経営者が認識すべき3原則」や「指示9」に もあるように、近年サプライチェーンに対するセキュリティ の意識が高まっています。 10大脅威でも、4位で初ランクイン 順位 対象となる脅威 昨年 順位 1位 標的型攻撃による被害 1位 2位 ビジネスメール詐欺による被害 3位 3位 ランサムウェアによる被害 2位 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW 5位 内部不正による情報漏えい 8位 IPAが発表した「情報セキュリティ10大脅威2019」 (組織部門)では、1位から3位までは昨年の脅威 とほぼ順位に変動がありません。 そのなか「サプライチェーンの弱点を悪用した攻撃の高 まり」は4位で初ランクインし、新たな脅威として注目さ れています。 「情報セキュリティ10大脅威 2019」 – 抜粋:IPA資料より サプライチェーンセキュリティ対策として 契約関連文書を見直し、責任範囲を明確するための 業務委託契約書(雛形)と契約書別添セキュリティ チェックシート https://www.manageengine.jp/solutions/supply_chain_security/lp/ 無料でダウンロード可能
  • 20. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 20 参考情報:高度標的型攻撃への包括的なソリューションを最適なコストで 様々なベンダーが協力し、ソリューションをご提供 ベースラインAPT対策コンソーシアム(BAPT: Baseline APT-solution consortium) https://bapt.zohosites.com/ システムインテグレーション セキュリティコンサル 出入口対策 内部対策 セキュリティコンサル ティング支援 出入口対策 統合ログ対策 内部NW振る舞い検知 エンドポイント対策1 2 3 4 5 リスク分析を行い、何から 対策すべきかのロードマップ を定義し、プロセスの整備、 ツールの導入含めた計画の 定義を行う。攻撃訓練や CSIRT構築の支援も行う。 プロクシ型FWをベースとした 多層防御とクラウド型サンド ボックス連携 監視・通信制御 統合型セキュリティ アプライアンス 攻撃の経路となる機器のログを 収集、可視化しアラート定義 インシデント発生時の トレーサビリティの確保 プロキシサーバー メールアーカイブ各機器のログを収集レポート化 内部ネットワークにおける 脅威活動を検知 AIによる相関分析 で脅威検出 脅威の検知で通知 USBデバイス制御、OSや オフィス製品などのパッチ手配 USBデバイスの制御 セキュリティパッチの管理 既知・未知のマルウェア をリアルム防御 PCで閲覧する電子 メールを無害化 次世代型アンチ ウィルス対策 ADサーバー DNSサーバー ログ ログ ログ
  • 21. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 21 サイバーセキュリティ経営ガイドラインにおける ManageEngine の対応 サイバーセキュリティ経営の重要10項目 リスクや影響範囲の特定のための IT資産管理と端末管理 マルチOSにおけるソフトウェアパッチの 脆弱性情報の把握 特権IDやADのアカウント管理と ログの監視による異常の検知 セキュリティインシデントの記録とプロセスの管理 ITサービスマネジメント 統合エンドポイント管理 Active Directory 統合運用管理 簡易SIEM 機能要件 ManageEngineでの対応 特権ID管理 脆弱性パッチ管理 サイバーセキュリティリスクの認識、組織全体 での対応方針の策定 指示1 サイバーセキュリティリスク管理体制の構築指示2 サイバーセキュリティ対策のための資源 (予算、人材等)確保 指示3 サイバーセキュリティリスクの把握とリスク 対応に関する計画の策定 指示4 サイバーセキュリティリスクに対応する ための仕組みの構築 指示5 サイバーセキュリティ対策における PDCA サイクルの実施 指示6 インシデント発生時の緊急対応体制の整備指示7 インシデントによる被害に備えた復旧 体制の整備 指示8 情報共有活動への参加を通じた攻撃情報の 入手とその有効活用及び提供 指示10 ビジネスパートナーや委託先等を含めたサプライ チェーン全体の対策及び状況把握 指示9
  • 22. © ZOHO Japan Corporation. All rights reserved. サイバーセキュリティ経営ガイドライン 実践のための支援ツール 22 更なる詳細情報 お問い合わせ/お見積り依頼については、お気軽にご連絡ください ゾーホージャパン株式会社 神奈川県横浜市西区みなとみらい三丁目6番1号 みなとみらいセンタービル13階 045-319-4612(ManageEngine 営業担当) https://www.manageengine.jp/ jp-mesales@zohocorp.com 情報提供元 サイバーセキュリティ経営ガイドラインに関する特設ページ https://www.manageengine.jp/solutions/csm_guideline/lp/ PDF サイバーセキュリティ評価チェックシート サプライチェーンセキュリティに関する特設ページ ベースラインAPT対策コンソーシアム https://www.manageengine.jp/download/enter.php?Categor y=ManageEngine&dl=DL_1&%3bnickname=Security&No=2 889 https://www.manageengine.jp/solutions/supply_chain_security/lp/ https://bapt.zohosites.com/