Sec01-14サイバーセキュリティガイドブック企画説明資料(図表作成材料)
2016年10月6日
2016年9月29日
2016年9月21日
中山正樹
【2017年12月1日】
ガイドブックの位置付けと構成
ガイドブックの目的、対象、期待する効果
目的
サイバーセキュリティの脅威と対策の実践に関して意識の低い経営者に対しての啓発
経営者が情報セキュリティ対策の必要性を認識し、システ管理者に対して、対策の実施を指示するように
システム管理者が、経営者に対して、情報セキュリティ対策の実施に投資することを説得できるように
経営者層
システム管理者を置くことの動機づけ
システム管理者層
最低ITパスポート試験レベル、基礎情報技術者試験レベルのスキルを持つことの動機づけ
対象組織
中小企業、特に小企業、零細企業
システム管理者がいる組織
システム管理者がいない組織(経営者が管理)
対象者のスキルレベル
サブトピック 1
啓発したい内容(期待したい効果)
経営者が、情報セキュリティ対策の必要性を認識して、自組織の問題として、情報セキュリティ対策をシステム管理者に指示し、具体的な対策を実施するようになること
情報セキュリティ対策の必要性の認識が低い
対岸の火事ではない
セキュリティ侵害により、経済的損失、社会的信用の喪失⇒組織存続の危機
セキュリティ対策はIT化の一環、事業継続計画の1つ
セキュリティ対策は、IT化と同様に、費用ではなく投資
情報資産のリスク以上の対策は無駄。リスクに見合った対策を実施すれば、投資は抑えられる
情報セキュリティ対策の方法がわからない
まずはセキュリティ対策の9か条から、最終的には体系的に網羅的な対策を
抜本的な対策は、組織の保有情報資産の状況に応じて、体系的、網羅的に
組織内にシステム管理者がいない
組織内で基礎情報処理技術者(最低でもITパスポートレベル)以上のITスキルを持つ管理者を育成・確保
情報処理技術者試験は、網羅的な知識のレベルを認定するものであり、実務において持つべきスキル、知識は、組織に状況により取捨選択することが効率的
例えば、iコンピテンシディクショナリを活用すれば、組織に応じて、必要なスキル・知識を選択的に効率的に習得できる
人材育成される前に設計・構築・運用を外部委託する場合は、ベンダーに依存しないコンサルタントにマネジメントを外部委託
(ただし外部委託のための最低限のスキルは、組織内で確保)
コンサルタントと共同作業でのOJTによりマネジメントのスキル習得を期待できる
(設計・構築業者との共同作業でのOJTは業者独自手法を習得することになる可能性があり好ましくない)
内容構成、シナリオの作成方法
体系的・網羅的な対策の列挙(相談対応用手引書、相談者の対策ガイドとなる教科書的手引き)
シナリオ、構成概要の作成
中小企業、特に零細企業、小企業の経営者向けの内容を抜粋
内容構成(案)
骨子
何のために情報セキュリティ対策が必要なのか
【現状認識】インシデント発生の事例
【ステップ1】【今やろう】全ての従業員、個人が知っておくべきこと
【即効性のある対策】最低限の対策(本格的な対策前でも今すぐに)
【ステップ2】【組織を維持するために】経営者、管理者に認識していただきたいこと
管理者が知っておくべきこと(管理者を設置していない場合は経営者が自ら知っておくべきこと)
組織の状況・課題
リスクの認識
【ステップ3】【抜本的な対策】恒久的対策(予防・予兆・事象発生時のための備え)
体系的な対策
チェックリスト
【ステップ4】【将来を見据えて】組織の発展を目指した戦略的なIT活用とセキュリティ対策
IT活用の必然性
ITを活用したサービスを継続するためには、情報セキュリティ対策は必須
情報公開とセキュリティ対策
【付録】役立つ情報のインデックス
用語解説
セキュリティ侵害以外のインシデントと対策
インシデント発生時に役立つ対策の解説
PDCAサイクルのそれぞれのセキュリティ対策の知識
セキュリティ関連法規【IPAガイドライン案】
各種ガイドライン
セキュリティ関係機関
参考文献・参考サイト
普及・啓発・教育教材
難易度
「東京防災」と同レベル
表現
イラスト中心で、本文中は文字を少なく
マルチ媒体での配布
冊子体
電子版
EPUBリフロー版
費用対効果の観点から、中小企業に対しての網羅的な啓発媒体としてのTCYSSウェブページ上、各種電子書籍サイトから無償で提供する
Web版
TCYSSの情報公開Webサイトにhtml形式で
【補足資料】
ガイドブック作成の意義
中小企業の現状
情報セキュリティ対策の必要性の認識が低い
被害にあった場合、影響が如何に大きいかを認識させる⇒事例に基づいた被害と対策の必要性の啓発。
情報セキュリティ対策の方法がわからない
守るべき情報資産を洗い出して、管理的、技術的、人的、物理的対策の個別の対策の検討方法をレクチャー⇒情報セキュリティマネジメントシステム(ISMS)に準拠した情報セキュリティ対策の考え方
組織内にシステム管理者がいない
システム企画、導入において
システムをベンダーの言いなりでセキュリティ対策を考慮しない開発もしくは導入、運用
セキュリティ対策を明確にした調達仕様書のためのスキル教育の方法をレクチャー
システムの運用において
。。。
TCYSSの役割
TCYSSとは
東京中小企業サイバーセキュリティ支援ネットワーク
事業対応・点検
相談
情報共有・発信
東京都
中小企業に対するサイバーセキュリティ対策の総括
財政支援
相談窓口
中小企業事業者からの相談対応
警視庁
サイバーセキュリティ対策の啓発活動
被害発生時の捜査
サイバーセキュリティ対策機関等
サイバー空間の脅威について情報共有、連携対処
研究機関・セキュリティ企業等
セミナーにおける講演等
技術動向の情報共有
中小企業支援機関
弁護士
国全体のセキュリティ対策の中での位置づけ
国全体は、「高度情報通信ネットワーク社会推進戦略本部(内閣官房IT総合戦略本部)」
サイバーセキュリティ戦略本部(事務局:内閣サイバーセキュリティセンター(NISC))
内閣官房、警察庁、総務省、経済産業省(IPA, JPCERT/CC)…
サイバーセキュリティ法(2014年11月成立)
サイバーセキュリティ戦略(2015年9月閣議決定)
2020年東京オリンピック・パラリンピック、その先2020年代初頭まで見据えた政策の基本的な方向性
サイバーセキュリティ2016(2016年8月戦略本部決定)
年次計画(2期目)、政府が実施する具体的な取り組みを戦略の体系に沿って示す
取組に当たっては、政府機関は元より、重要インフラ事業者、企業、個人等の多様な主体と連携し取組を推進
(中小企業に関しても多少の言及あり)
具体的な取り組み主体
全国の重要インフラ、政府機関は、NISC
全国の企業、組織、個人の情報セキュリティ全般は
総務省、経済産業省、警察庁
IPAセキュリティセンター
。。。
都庁を含め東京都全体の企業、個人を対象としたセキュリティ対策の支援組織
なし
2020年東京オリンピック・パラリンピック開催に向けた東京都全体の支援主体
東京サイバーセキュリティ官民合同会議?
中小企業向けサイバーセキュリティ対策の支援組織
国全体の中小企業向けの支援組織は、なし
東京都の中小企業は、TCYSS(東京都、警視庁)
他道府県は?
犯罪の予兆、犯罪は、警察庁、警視庁、道府県警察本部
東京都で中小企業向けのガイドブックを作成する意義
何故、中小企業に特化した支援が必要か?
中小企業のセキュリティ対策の意識が低い
社会的信用、経済的損失により、中小企業自身の組織の存立を脅かす事態になることを未然に防ぐ
中小企業が踏み台になって、重要インフラを含めた大企業のセキュリティが侵害されることを未然に防ぐ
他組織から預かった機密情報の漏えい
DoS攻撃、標的型攻撃により、他組織のサイバー攻撃の踏み台となってしまう
何故、IPA等の機関からガイドライン、ガイドブックが発行されているのに、東京都として作成する必要があるのか
IPAからも有用な各種ガイドブックがあるが、特にシステム管理者がいない、もしくはシステム管理者のスキルが十分でない組織に向けた、平易なガイドブックが必要(?)
商工部としての中小企業に向けた事業継続計画策定支援の一環(?)
何故、紙媒体なのか?
インターネットで情報発信することが効率的、効果的であるが、特に小企業ではインターネットよりも紙媒体のほうが効果が見込める(?)
サイバーセキュリティ相談窓口運営の課題
検討過程メモ
相談対応は、相談員が自ら収集した情報に基づいて対応している
相談事例によってFAQを蓄積することは困難
相談対応には、組織的に共有できるデータベースが必要
相談対応に必要な情報がTCYSSから収集できていない
TCYSSでセキュリティの技術動向、脅威の情報等が蓄積されていない
コミュニケーション環境(Yammer)が十分に機能していない
