252 Views
June 29, 24
スライド概要
2024年06月28日開催「nakanoshima.dev #37」での発表資料です。
右投げ右打ち一部レフティー
nakanoshima.dev #37 「サイバーセキュリティは経営課題」を 踏まえた組織体制を経験した話 2024年06月28日 chocopurin
Self-Introduction ● 名前:chocopurin ● 職業:とある企業の一般社員 ● 主なお仕事:インフラ時々セキュリティ ◦ ITインフラ構築/維持管理 ◦ セキュア開発周りの整備 ● 直近の出没歴 OWASP Kansai, CCoE実践者コミュニティ関西, tktkセキュリティ勉強会 総関西サイバーセキュリティLT大会, Micro Hardening nakanoshima.dev, レトロゲーム勉強会 [寄稿]ハードニングファン!!2023 2
サイバーセキュリティは経営課題 【出典】https://www.meti.go.jp/policy/netsecurity/mng_guide.html 【出典】https://www.ipa.go.jp/security/economics/csm-practice.html 【出典】https://security-portal.nisc.go.jp/curriculum/torikumi/meti_sec_guide.html 【出典】https://security-portal.nisc.go.jp/guidance/for-executives/index.html 3
実践中の主なセキュリティ施策 ● AWS周りの各種管理 ◦ アカウント/権限管理 ◦ サーバパッチ管理の自動化 ● セキュリティインシデント発生時の対応 ● セキュア開発の仕組みの整備と運用 ◦ SAST/DAST ◦ 教育サービスの利用 ● セキュリティチェックシート回答 ● 可能な限り外部とのGive & Take ◦ サイバーセキュリティは会社問わず横のつながりが必須 4
セキュリティ施策:EC2サーバ群のパッチ管理 5
セキュリティ施策:セキュア開発の仕組みの整備 コードリポジトリ STG環境 AWS CodeBuild DASTツール SASTツール 開発現場 セキュリティ ベンダー 6
セキュリティ関連の課題 ● 人的課題 ◦ 技術者と非技術者の格差 · ITリテラシー · セキュリティ意識★ • • 送受信するメール/ファイルの内容、シャドークラウドの有無 顧客情報の利用許諾有無、社内の各種調査結果の品質 etc ◦ インシデントハンドラーの不足 ● 技術的課題 ◦ セキュリティチェックシート対応の属人化 ◦ インフラライフサイクルの欠如 ● リソース課題(特に予算周り) ◦ 経営層からどれだけお金を引き出せるか★ ★本件の対象 7
セキュリティ管理体制:2024年2月末まで ● 体制が規定にないかつセキュリティに対する現場責任者 (社長とCISOを除く役員) の関与が乏しいため、施策を自分事 として捉えにくい プロダクト担当 製品A担当 製品B担当 製品C担当 ・・・ 部門担当 開発部門担当 社長 営業部門担当 サポート部門担当 ・・・ CISO コーポレート担当 自社担当 ※各担当は部署で選ばれた一般社員 グループ会社X担当 セキュリティ統括 ・全体運営 ・経営会議での報告 etc グループ会社Y担当 ・・・ 8
セキュリティ管理体制:2024年3月以降 (全体) ● 「サイバーセキュリティは経営課題」を満たすべく、各部門長 (役員以上)がセキュリティ管理責任を担う旨を規定として定める 社長 営業,開発等 各部門本部長★ 各部署 直轄部門の長★ 各部署 指揮/命令 助言 情報セキュリティ委員会☆ ★自部門のセキュリティの全責任を負う ☆運営や技術面で困ったときの助言を行う(CISOはココに所属) 助言 情報セキュリティ事務局☆ 9
セキュリティ管理体制:2024年3月以降 (開発系) ● 本部長の指揮のもとで各部署が対応し、必要に応じて開発系と 全社のセキュリティチームが部門横断でサポートする アプリ開発 製品A部署 支援 インフラ構築兼 セキュリティ施策 本部長 製品B部署 新規事業ほか 支援 支援 助言 情報セキュリティ 事務局 10
効果 ● セキュリティ施策に対する指揮命令系統の明確化 ● 各社員に対する啓蒙活動の円滑化 ◦ トップダウンで末端社員まで自分事として行き渡りやすい ● セキュリティ周りの社内成果物に対する品質向上 ◦ 丸投げの削減 ◦ 上長レビューにかかる ● 予算措置に対する上長の理解 11
まとめ ● 実施中のセキュリティ施策の紹介 ● サイバーセキュリティを自分事として捉えるため、組織体制 から見直しを実施 ◦ 効果は出ていそうだが、体制変更から間がなくメリット/デメリットの 具体化はこれから 12