Enviar búsqueda
Cargar
企業セキュリティ対策の転換点
•
Descargar como PPTX, PDF
•
2 recomendaciones
•
2,980 vistas
UEHARA, Tetsutaro
Seguir
2017.2.6 KIISサイバーセキュリティセミナー「身近な脅威 内部犯行」基調講演資料
Leer menos
Leer más
Liderazgo y gestión
Denunciar
Compartir
Denunciar
Compartir
1 de 26
Descargar ahora
Recomendados
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
UEHARA, Tetsutaro
150828大学のセキュリティ
150828大学のセキュリティ
UEHARA, Tetsutaro
マイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティ
UEHARA, Tetsutaro
Dbsj2020 seminar
Dbsj2020 seminar
UEHARA, Tetsutaro
Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」
UEHARA, Tetsutaro
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
UEHARA, Tetsutaro
マイナンバーがもたらすインパクト
マイナンバーがもたらすインパクト
UEHARA, Tetsutaro
学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ
UEHARA, Tetsutaro
Recomendados
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
UEHARA, Tetsutaro
150828大学のセキュリティ
150828大学のセキュリティ
UEHARA, Tetsutaro
マイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティ
UEHARA, Tetsutaro
Dbsj2020 seminar
Dbsj2020 seminar
UEHARA, Tetsutaro
Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」
UEHARA, Tetsutaro
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
UEHARA, Tetsutaro
マイナンバーがもたらすインパクト
マイナンバーがもたらすインパクト
UEHARA, Tetsutaro
学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ
UEHARA, Tetsutaro
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
UEHARA, Tetsutaro
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
今さら聞けないマイナンバー
今さら聞けないマイナンバー
UEHARA, Tetsutaro
IoTセキュリティの課題
IoTセキュリティの課題
Trainocate Japan, Ltd.
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
Trainocate Japan, Ltd.
ラック社が考える、これからの「セキュリティ・エンジニア」とは
ラック社が考える、これからの「セキュリティ・エンジニア」とは
Trainocate Japan, Ltd.
脆弱性とセキュリティの話 ホワイトハッカーが少し喋ります
脆弱性とセキュリティの話 ホワイトハッカーが少し喋ります
MunetakaSameshima
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
Hiroshi Tokumaru
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
Trainocate Japan, Ltd.
セキュアなテレワークの実現
セキュアなテレワークの実現
Trainocate Japan, Ltd.
パネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクト
Trainocate Japan, Ltd.
20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer
SAKURUG co.
SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題
Katsuhide Hirai
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
NHN テコラス株式会社
できることから始めるセキュリティ対策
できることから始めるセキュリティ対策
NHN テコラス株式会社
従業員が知っておくべき新三大情報セキュリティ事故
従業員が知っておくべき新三大情報セキュリティ事故
良徳 齋藤
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
NHN テコラス株式会社
通信の安全を守るためにエンジニアができること
通信の安全を守るためにエンジニアができること
Kazuaki Fujikura
Secure Navi
Secure Navi
TakumiKudaka
第三回学生LT
第三回学生LT
雄太 望月
20110110日本図書館研究会
20110110日本図書館研究会
UEHARA, Tetsutaro
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
UEHARA, Tetsutaro
Más contenido relacionado
La actualidad más candente
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
UEHARA, Tetsutaro
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
今さら聞けないマイナンバー
今さら聞けないマイナンバー
UEHARA, Tetsutaro
IoTセキュリティの課題
IoTセキュリティの課題
Trainocate Japan, Ltd.
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
Trainocate Japan, Ltd.
ラック社が考える、これからの「セキュリティ・エンジニア」とは
ラック社が考える、これからの「セキュリティ・エンジニア」とは
Trainocate Japan, Ltd.
脆弱性とセキュリティの話 ホワイトハッカーが少し喋ります
脆弱性とセキュリティの話 ホワイトハッカーが少し喋ります
MunetakaSameshima
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
Hiroshi Tokumaru
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
Trainocate Japan, Ltd.
セキュアなテレワークの実現
セキュアなテレワークの実現
Trainocate Japan, Ltd.
パネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクト
Trainocate Japan, Ltd.
20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer
SAKURUG co.
SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題
Katsuhide Hirai
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
NHN テコラス株式会社
できることから始めるセキュリティ対策
できることから始めるセキュリティ対策
NHN テコラス株式会社
従業員が知っておくべき新三大情報セキュリティ事故
従業員が知っておくべき新三大情報セキュリティ事故
良徳 齋藤
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
NHN テコラス株式会社
通信の安全を守るためにエンジニアができること
通信の安全を守るためにエンジニアができること
Kazuaki Fujikura
Secure Navi
Secure Navi
TakumiKudaka
第三回学生LT
第三回学生LT
雄太 望月
La actualidad más candente
(20)
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
今さら聞けないマイナンバー
今さら聞けないマイナンバー
IoTセキュリティの課題
IoTセキュリティの課題
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
ラック社が考える、これからの「セキュリティ・エンジニア」とは
ラック社が考える、これからの「セキュリティ・エンジニア」とは
脆弱性とセキュリティの話 ホワイトハッカーが少し喋ります
脆弱性とセキュリティの話 ホワイトハッカーが少し喋ります
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
セキュアなテレワークの実現
セキュアなテレワークの実現
パネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクト
20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer
SEから見た情報セキュリティの課題
SEから見た情報セキュリティの課題
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
『サイバーセキュリティ経営ガイドライン』開発現場への影響の話
できることから始めるセキュリティ対策
できることから始めるセキュリティ対策
従業員が知っておくべき新三大情報セキュリティ事故
従業員が知っておくべき新三大情報セキュリティ事故
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
アカウントハッキングと戦う!モバイルゲームに今、求められるセキュリティ
通信の安全を守るためにエンジニアができること
通信の安全を守るためにエンジニアができること
Secure Navi
Secure Navi
第三回学生LT
第三回学生LT
Similar a 企業セキュリティ対策の転換点
20110110日本図書館研究会
20110110日本図書館研究会
UEHARA, Tetsutaro
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
UEHARA, Tetsutaro
20200925 iret tech labo #2
20200925 iret tech labo #2
Toshiaki Aoike
20180727 第16回 セキュリティ共有勉強会(テーマ:身近なセキュリティ )
20180727 第16回 セキュリティ共有勉強会(テーマ:身近なセキュリティ )
CloudNative Inc.
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
Tatsuya (達也) Katsuhara (勝原)
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
NHN テコラス株式会社
人的要因から見た情報セキュリティ(Japanese)
人的要因から見た情報セキュリティ(Japanese)
Toru Nakata
MicrosoftのID管理ソリューション-2010年度版
MicrosoftのID管理ソリューション-2010年度版
junichi anno
Zero trust
Zero trust
Takeo Sakaguchi ,CISSP,CISA
セキュリティ投資の必要性を経営陣に納得させた方法
セキュリティ投資の必要性を経営陣に納得させた方法
Takashi Hasegawa
個人情報保護法
個人情報保護法
Toshiboumi Ohta
見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威
Shiojiri Ohhara
情報漏洩、マイナンバー、ビッグデータ/IoTセキュリティ対応を見据えたこれからのセキュリティ対策のポイント
情報漏洩、マイナンバー、ビッグデータ/IoTセキュリティ対応を見据えたこれからのセキュリティ対策のポイント
Eiji Sasahara, Ph.D., MBA 笹原英司
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
decode2016
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprint
satoru koyama
JPC2017 [F2-1] Microsoft 365を働き方改革に合わせて利用するためのセキュリティとは
JPC2017 [F2-1] Microsoft 365を働き方改革に合わせて利用するためのセキュリティとは
MPN Japan
Iotliteracy wg no6
Iotliteracy wg no6
Hiromitsu Jin
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
Developers Summit
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
CSIRT研修サービス
CSIRT研修サービス
IBMソリューション
Similar a 企業セキュリティ対策の転換点
(20)
20110110日本図書館研究会
20110110日本図書館研究会
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
20200925 iret tech labo #2
20200925 iret tech labo #2
20180727 第16回 セキュリティ共有勉強会(テーマ:身近なセキュリティ )
20180727 第16回 セキュリティ共有勉強会(テーマ:身近なセキュリティ )
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
人的要因から見た情報セキュリティ(Japanese)
人的要因から見た情報セキュリティ(Japanese)
MicrosoftのID管理ソリューション-2010年度版
MicrosoftのID管理ソリューション-2010年度版
Zero trust
Zero trust
セキュリティ投資の必要性を経営陣に納得させた方法
セキュリティ投資の必要性を経営陣に納得させた方法
個人情報保護法
個人情報保護法
見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威
情報漏洩、マイナンバー、ビッグデータ/IoTセキュリティ対応を見据えたこれからのセキュリティ対策のポイント
情報漏洩、マイナンバー、ビッグデータ/IoTセキュリティ対応を見据えたこれからのセキュリティ対策のポイント
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
INF-022_情報漏えいを責めるべからず。今必要な対策とは? ~Windows 10 セキュリティ機能徹底解説~
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprint
JPC2017 [F2-1] Microsoft 365を働き方改革に合わせて利用するためのセキュリティとは
JPC2017 [F2-1] Microsoft 365を働き方改革に合わせて利用するためのセキュリティとは
Iotliteracy wg no6
Iotliteracy wg no6
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
CSIRT研修サービス
CSIRT研修サービス
Más de UEHARA, Tetsutaro
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
UEHARA, Tetsutaro
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
UEHARA, Tetsutaro
シンクライアントの解説
シンクライアントの解説
UEHARA, Tetsutaro
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたい
UEHARA, Tetsutaro
データベースセキュリティの重要課題
データベースセキュリティの重要課題
UEHARA, Tetsutaro
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性
UEHARA, Tetsutaro
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへ
UEHARA, Tetsutaro
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けて
UEHARA, Tetsutaro
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現
UEHARA, Tetsutaro
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題
UEHARA, Tetsutaro
サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理
UEHARA, Tetsutaro
サマータイム実施は不可能である
サマータイム実施は不可能である
UEHARA, Tetsutaro
だいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライド
UEHARA, Tetsutaro
ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)
UEHARA, Tetsutaro
証拠保全とは?
証拠保全とは?
UEHARA, Tetsutaro
デジタル・フォレンジックとOSS
デジタル・フォレンジックとOSS
UEHARA, Tetsutaro
CSS2017キャンドルスターセッション
CSS2017キャンドルスターセッション
UEHARA, Tetsutaro
20160924自治体セキュリティ
20160924自治体セキュリティ
UEHARA, Tetsutaro
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)
UEHARA, Tetsutaro
法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!
UEHARA, Tetsutaro
Más de UEHARA, Tetsutaro
(20)
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
シンクライアントの解説
シンクライアントの解説
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたい
データベースセキュリティの重要課題
データベースセキュリティの重要課題
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへ
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けて
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題
サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理
サマータイム実施は不可能である
サマータイム実施は不可能である
だいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライド
ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)
証拠保全とは?
証拠保全とは?
デジタル・フォレンジックとOSS
デジタル・フォレンジックとOSS
CSS2017キャンドルスターセッション
CSS2017キャンドルスターセッション
20160924自治体セキュリティ
20160924自治体セキュリティ
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)
法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!
企業セキュリティ対策の転換点
1.
企業セキュリティ対策の転換点 立命館大学 情報理工学部 上原哲太郎
2.
制御機器への 攻撃 情報セキュリティ界隈が騒がしく 企業の情報システム担当は大変 B社個人情報 大量漏洩事件 日本年金機構 情報漏洩事件 マイナンバー 制度開始 内部不正 サイバー 攻撃 法的義務
3.
だが、それが経営に響いているか セキュリティ うちは 大丈夫だよね ご無体な! IT関連になると 自分の仕事だと 思わなくなる人は 多い 経営も現場も そこで思考停止 セキュリティだと その傾向は さらに強まる マイナンバー 難しいので 後は任せた! でも 予算は ないよ!
4.
それぞれの言い分 経営層 「ITは金食い虫 セキュリティは上乗せコスト」 「セキュリティ頑張ると業務効率下がる」 「競合他社がちゃんとやってないのにウチだけがやると損する」 「セキュリティ確保は義務ではないのでは」 「せっかく予算つけてやったのになんで事故が無くならないんだ」
情報システム担当 「とにかくセキュリティは難しい よく判らない」 「業者は予算が必要と言うが 商売したいだけ?」 「経営に適切な予算が提示できない」 「リスクがあるならとりあえず禁止すればいいのでは」 SIer 「それなりの予算がないと守れない」 「守るのは最終的には顧客の責任」 そこに戦略は あるか?!
5.
サイバーセキュリティ 経営ガイドライン Ver 1.0
2015年12月 経済産業省公表 内容はISO27001(ISMS)的思想 サイバーセキュリティ経営の3原則 1. 経営者は、IT活用を推進する中で、サイバーセキュリティ リスクを認識し、リーダーシップによって対策を進めること が必要 2. 自社は勿論のこと、系列企業やサプライチェーンのビジネ スパートナー、ITシステム管理の委託先を含めたセキュリ ティ対策が必要 3. 平時及び緊急時のいずれにおいても、サイバーセキュリ ティリスクや対策、対応に係る情報の開示など、関係者と の適切なコミュニケーションが必要 これに沿った重要10項目を提示
6.
情報セキュリティマネジメント試験 情報処理安全確保支援士 あたらしい資格試験 より経営サポートをする層を創出 従来の情報セキュリティスペシャリスト 試験合格者を中心に「士業」に 登録・更新制を採る 「3年で15万の維持費用」が話題
7.
これまでの大きな個人情報漏洩は 内部不正が多い 1999年 宇治住民基本台帳漏洩(22万人)
システム再委託先のアルバイトプログラマ 2004年 Yahoo!BB顧客名簿漏洩(460万人) 元従業員 2004年 ジャパネットたかた顧客名簿漏洩(51万人) (元)従業員(システム担当者と上司) 2006年 FXSS社受託戸籍漏洩(400万人) 協力会社のエンジニア 2007年 DNP社個人情報漏洩(863万人) 業務委託先のエンジニア 2009年 三菱UFJ証券顧客名簿漏洩(5万人) 情報システム部長代理 2009年 陸上自衛隊員名簿流出(14万人) 鹿児島地方協力本部一等陸尉 2014年 ベネッセ個人情報漏洩事件(3500万人) 関連会社のエンジニア 正社員 正職員 正社員
8.
2014~15年の主な内部不正事件 (IPA報告書より) 不正競争 防止法改正で 刑事事件化 しやすく なったが 抑止効果は 十分ではない
9.
雇用の流動化は進む 従業員の「ロイヤリティ」にはもう頼れない
10.
情報システムの内部不正は 防ぐのが大変 みんな技術に頼ろうとするが…… 管理者権限を持つ者が不正すると…
アクセス制御を厳格化すると業務が… そもそも外部委託とクラウドが主流に… 従業員の良心に頼るのは限界 アウトソーシングの流れも止まらない かといって技術に銀の弾はない しかし皆どこか幻想を抱いている…
11.
アクセス制御で頑張っても 内部不正はスタートラインが違う 非認証状態 認証 突破 一般従業員権限 安全 危険 管理者権限 権限 昇格 サイバー 攻撃 内部犯行 普通はココが 一番カタい
12.
Neet to know原則の徹底と Border
control 情報 A 情報 B 情報 D 情報 C 情報システム 情報 A 情報 B 情報 D 情報 C 情報システム だれでもアクセス だれでも持ち出し 最小限アクセス 不要な持ち出し禁止
13.
内部不正の原因? IPA「内部不正による情報セキュリティ インシデント実態調査」2016.3 過失:故意=6:4
過失というより悪用意図のないカジュアルな違反 USBメモリ5割、メール3割 しかし中小企業ではほぼUSB禁止されてない 経営者は技術的・物理的対策を重視するが 内部不正経験者は監視と罰則が有効と回答 内部不正経験者はその半数が「シス管」 うち6割が「兼務シス管」
14.
まずは人的対策を IPA内部不正防止 ガイドライン(3版) 犯行を難しくする
捕まるリスクを高める 犯行の見返りを減らす 犯行の誘因を減らす 犯罪の弁明をさせない
15.
データベースセキュリティコンソーシアム 「データベース内部不正対策ガイドライン」 DB管理者を中心に 「誘因」「抑制」 「運用」に分けて リスクポイントを分析 対策を記述
16.
社会的影響として「営業秘密」の変化 かつて営業秘密を持ち出す&譲渡する先が 「競合関係にある者」でなければ罰せなかった デンソー事件を受け不正競争防止法改正 →不正競争防止法改正 「図利加害目的」の持ち出しも処罰対象 ベネッセ事件では名簿を営業秘密と 位置づけられるかが争点に →個人情報保護法を改正(名簿屋規制) 不正競争防止法改正(転得者も処罰対象に)
17.
2015年「営業秘密管理指針」改定 実に12年ぶりの全面改訂 旧指針が事実上 「秘密管理性」 を規定したため 適用範囲を 狭めていた 改定により 広範に 適用可能に
18.
営業秘密管理指針→保護ハンドブック→ハンドブックのてびき! 資料が とても充実
19.
でも、正直者がバカ見てない? アクセス制御が厳しくて手順が増えた 添付ファイルは必ずパスワード? 忙しいのに研修やらe-Learning必修 上司への報告や承認も増えたし とにかく何かと窮屈になった 別に私、悪いことしようと思ってないの に信用されてない感じがイヤ… ロイヤリティを下げては逆効果!
20.
そもそもどうしてIT化してるのに 効率が落ちるのか ルールを決めるのはいいが実装がひどい メールの 暗号化は zipの パスワードで いいんじゃ? 毎度毎度 違うPWを 考えて いちいち 別便で 遅れって?! ルーチンワークはシステム化しよう!
21.
メールの「添付ファイル」に頼った業務 フローを見直す 添付ファイルは現場レベルで ワークフローを構築しやすい だが、それが大きなリスクを生んでいる
メールは送信者が確認できない メールは暗号化できない PW付zipなど「勝手暗号化」がかえって セキュリティ対策を殺してしまうジレンマ これらの対策は存在するが普及が課題 それならば定型化した業務は 「認証のしっかりしたWeb App」に 移した方が効率化とセキュリティ対策が 両立できるのでは?
22.
本当にそれは必要か、を問う 添付ファイルつき メールは業者との 連絡に必須で… 基幹システムに 決裁システムがあって そこにネットからの 文書を添付しないと… メールじゃなくて ファイル授受サーバを クラウド上に作れば? 本当にdocファイル じゃないとだめなの? 決裁のためなら 画像で十分じゃ? 現場から「業務情報化」のアイデアは出ない! 業務の現状を分析して「セキュアな方法」を提示
23.
本当に必要なのは何か? 情報システム全体を 最初からセキュリティ対策しておくのは もちろんのこととして・・・ 「仕事のやり方」を変えて効率化を
いつまで情報機器を清書機にするのか いつまで「印鑑文化」を維持するのか セキュリティ対策で 「業務効率が常に下がる」のは本末転倒 「結果的に業務効率が上がる」ことを示し 「業務のやり方を変える」ことを 現場に受け入れさせられるかが勝負では?!
24.
問題の所在はどこか 経営にITが「正しく」組み込まれていない ITは業務への使われ方が本質的でない
ワープロを清書ツール、Excelをそろばんの代替 メールを郵便の代替として使っている 本質は業務における「データフロー」の最適化 それが整理されないので情報管理ができず リスクポイントばかりが増えてゆく まずは業務をITに合わせ見直し効率化 それがリスクの所在を顕在化させ 効率のよい守りに繋がってゆく!
25.
標的はシステムではなく「人」 人にデータを食わせるWebとメール 現状狙われているのは 「人」に不定型なデータを拾わせる機会 本当にそのデータを人手で扱わせるのは 必要なのかもう一度問い直そう CSVを落として 列を加えて コピペして 一部手で直して 再度Upload… データ選択 クリック おわり! いうのは簡単だが現実は厳しい 例外処理がカギ
26.
今後はこれを比較しよう 業務改善 システム化 コスト セキュリティ 対策コスト セキュリティのために仕事をするのではなく 仕事のためにITを使い、そこにセキュリティを見いだす 26
Descargar ahora