NEC
サイバーセキュリティ戦略本部
info@cybersecurity.jp.nec.com http://jpn.nec.com/cybersecurity 【お問い合わせ】 2016年9月 初版 © NEC Corporation 2016サイバーセキュリティ
経営ガイドライン
これでスッキリ!!
サイバーセキュリティ
経営ガイドライン
これでスッキリ!!
セキュリティ対策を怠ることによるリスク
事故発生時には次の責任を問われます。1.事業者の責任
(1)役員責任 (2)個人情報保護法上の責任 (3)ユーザの顧客に対する民事責任2.データ流出・消失関与者の責任
3.委託事業者の責任
民事上・契約上の損害賠償責任
セキュリティ事故が発生した際に、「会社の損害賠償」だけにとどまらず、「役員の業務違反による個人責任」を 追及される可能性があります。セキュリティ対策を怠ると……
サイバーセキュリティ脅威はすぐそこに……
会社の損害賠償は?
問われる責任は?
情報漏えいによる 1人あたりの平均損害 賠償額は約3万円です。 我社では約10万件の 個人情報を管理している ので、理論上30億円の 損害です! 30億!? それはマズイ…… うちの弁護士によると、 セキュリティ対策を怠る と、会社法上の「内部統 制構築義務違反」として、 会社(法人)のみならず、 役員個人の責任も 問われる可能性がある ようですよ! 俺個人も 訴えられるのか!! 出典:JNSA 「2015年 情報セキュリティインシデントに関する調査 報告書 【速報版】Ver.1.0」 漏えい人数 インシデント件数 想定損害賠償総額 一件あたりの漏えい人数 一件あたり平均想定損害賠償額 一人あたり平均想定損害賠償額 496万63人 799件 2541億3663万円 6578人 3億3705万円 2万8020円社長! 大変です!
会社のネットワークに外部
から不正なアクセスがあった
模様です!
な
ん
だ
っ
て
!?
悪いが任せた。
至急対応を頼む。
今日は忙しいんだ!!
はい。
わかりました。
昨日…A君の席にて
後日…会議にて
新着メール
営業セミナーのお知らせ?
おやっ、
添付ファイルがある。
開いてみるか。
何も起きないぞ?
変なの。
情報システム部門にて
あら、
いつもと違う
通信が発生
している…。
これは
おかしいわ。
先日の件、
調査結果と
しては
幸いなことに
機密情報が
漏えいした
形跡はありま
せんでした。
それはよかった。
今後の対応は
全部部長に
任せるよ。
うまいことやって
おいてくれ。
ちょっと待ってください!
本件は情報システム部門だけの
問題ではなく経営問題です!
そ、そうか…。
社長にもしっかり関わって
いただく必要があります。
1 2 3 4 5 7 6 8 9 10 11セキュリティはそんなに
大切なのか??
こちらをご覧ください。
もし、セキュリティ事故が
発生してしまった場合、
我社の損害は計りしれません!!
セキュリティ対策を怠ることによるリスク
事故発生時には次の責任を問われます。1.事業者の責任
(1)役員責任 (2)個人情報保護法上の責任 (3)ユーザの顧客に対する民事責任2.データ流出・消失関与者の責任
3.委託事業者の責任
民事上・契約上の損害賠償責任
セキュリティ事故が発生した際に、「会社の損害賠償」だけにとどまらず、「役員の業務違反による個人責任」を 追及される可能性があります。セキュリティ対策を怠ると……
サイバーセキュリティ脅威はすぐそこに……
会社の損害賠償は?
問われる責任は?
情報漏えいによる 1人あたりの平均損害 賠償額は約3万円です。 我社では約10万件の 個人情報を管理している ので、理論上30億円の 損害です! 30億!? それはマズイ…… うちの弁護士によると、 セキュリティ対策を怠る と、会社法上の「内部統 制構築義務違反」として、 会社(法人)のみならず、 役員個人の責任も 問われる可能性がある ようですよ! 俺個人も 訴えられるのか!! 出典:JNSA 「2015年 情報セキュリティインシデントに関する調査 報告書 【速報版】Ver.1.0」 漏えい人数 インシデント件数 想定損害賠償総額 一件あたりの漏えい人数 一件あたり平均想定損害賠償額 一人あたり平均想定損害賠償額 496万63人 799件 2541億3663万円 6578人 3億3705万円 2万8020円社長! 大変です!
会社のネットワークに外部
から不正なアクセスがあった
模様です!
な
ん
だ
っ
て
!?
悪いが任せた。
至急対応を頼む。
今日は忙しいんだ!!
はい。
わかりました。
昨日…A君の席にて
後日…会議にて
新着メール
営業セミナーのお知らせ?
おやっ、
添付ファイルがある。
開いてみるか。
何も起きないぞ?
変なの。
情報システム部門にて
あら、
いつもと違う
通信が発生
している…。
これは
おかしいわ。
先日の件、
調査結果と
しては
幸いなことに
機密情報が
漏えいした
形跡はありま
せんでした。
それはよかった。
今後の対応は
全部部長に
任せるよ。
うまいことやって
おいてくれ。
ちょっと待ってください!
本件は情報システム部門だけの
問題ではなく経営問題です!
そ、そうか…。
社長にもしっかり関わって
いただく必要があります。
1 2 3 4 5 7 6 8 9 10 11セキュリティはそんなに
大切なのか??
こちらをご覧ください。
もし、セキュリティ事故が
発生してしまった場合、
我社の損害は計りしれません!!
経済産業省 サイバーセキュリティ 経営ガイドライン Ver 1.0 経済産業省 独立行政法人 情報処理推進機構 民間企業の経営者向けにサイバー攻撃から企業を守る原則や、重要項目をまとめたガイドラインです。2015年 12月に経済産業省より公開されました。 主な内容として、「経営者が認識すべき3原則」、「経営者が指示すべき重要10項目」が紹介されています。 サイバー攻撃から企業を守るうえで経営者が認識すべきことをまとめています。 セキュリティ効果の算出は難しく、投資を敬遠しがちです。 ですが、経営者はIT利活用におけるサイバーセキュリ ティリスクをしっかりと認識し、自身のリーダーシップに より対策を進める必要があります。
サイバーセキュリティ経営ガイドラインとは?
サイバーセキュリティ経営ガイドラインとは?
サイバー攻撃により社会に損害を与えた場合、社会からリスク対応の是非、経営責任が問われることもあります。 経営者は「どの程度、セキュリティ投資を行って企業価値を高めるか」経営判断が求められます。 そこで、「経営層の意識改革」、「経営能力を高めるサイバーセキュリティ人材の育成」等を目的として本ガイド ラインは策定されました。ガイドライン策定の背景
ガイドライン策定の背景
経営者が認識すべきサイバーセキュリティの
3
原則とは?
経営者が認識すべきサイバーセキュリティの
3
原則とは?
経営者が認識すべきサイバーセキュリティの
3
原則
サイバーセキュリティ経営ガイドライン
経営者 民間企業 経済産業省 経営者向けということは、 俺がちゃんと 理解しないといけない ということだな。困ったな~。
なんとかしないと。
いったい何から始めたら
いいのやら……
サイバーセキュリティ 経営ガイドライン Ver 1.0 経済産業省 独立行政法人 情報処理推進機構サイバー攻撃から企業を守る原則、
重要事項を記載
経営者が指示すべき重要10項目
経営者が認識すべき3原則
やっと気づいて くれたか。 はい。そうです!! 社長が主体的に 取り組んでいただく 必要があります。経済産業省が、
「サイバーセキュリティ
経営ガイドライン」
を発表しています。
まずはこれを
読んで頂けますか!
其の一 経営者によるリーダーシップ
自社だけでなく、系列企業・ビジネスパートナー・委託 先を含めたセキュリティ対策が必要です。系列企業、委 託先、ビジネスパートナーの情報漏えいは自社の情報 漏えいに直結します。其の弐 系列企業、ビジネスパートナーを含めた対策
サイバーセキュリティリスクや対策、対応に係る情報の 開示など、関係者との適切なコミュニケーションが必要 です。たとえば、平時から適切なセキュリティリスクへ の対応に関わる情報共有を行ったり、サイバー攻撃情 報をステークホルダーと共有します。其の参 平時・緊急時の情報開示及び情報共有
うちは認識が甘かった かもしれん。 サイバーセキュリティ についてもっと真剣に 取り組まないと…… 委託先社員の 情報漏えいはよく聞く 話だな。 うちは大丈夫だろう か…… 普段から対策を行って いることを共有すれば、 顧客・株主への アピールにもなるな。3 原 則
①経営者によるリーダーシップ ②系列企業、ビジネスパートナー を含めた対策 ③平時・緊急時の情報開示及び 情報共有3 原 則
①経営者によるリーダーシップ ②系列企業、ビジネスパートナー を含めた対策 ③平時・緊急時の情報開示及び 情報共有なるほど。
では、具体的には、
どんなことをしていけば
いいのだろうか。
まず、ガイドラインには、
「経営者が認識すべき3原則」
があります。
経済産業省 サイバーセキュリティ 経営ガイドライン Ver 1.0 経済産業省 独立行政法人 情報処理推進機構 民間企業の経営者向けにサイバー攻撃から企業を守る原則や、重要項目をまとめたガイドラインです。2015年 12月に経済産業省より公開されました。 主な内容として、「経営者が認識すべき3原則」、「経営者が指示すべき重要10項目」が紹介されています。 サイバー攻撃から企業を守るうえで経営者が認識すべきことをまとめています。 セキュリティ効果の算出は難しく、投資を敬遠しがちです。 ですが、経営者はIT利活用におけるサイバーセキュリ ティリスクをしっかりと認識し、自身のリーダーシップに より対策を進める必要があります。
サイバーセキュリティ経営ガイドラインとは?
サイバーセキュリティ経営ガイドラインとは?
サイバー攻撃により社会に損害を与えた場合、社会からリスク対応の是非、経営責任が問われることもあります。 経営者は「どの程度、セキュリティ投資を行って企業価値を高めるか」経営判断が求められます。 そこで、「経営層の意識改革」、「経営能力を高めるサイバーセキュリティ人材の育成」等を目的として本ガイド ラインは策定されました。ガイドライン策定の背景
ガイドライン策定の背景
経営者が認識すべきサイバーセキュリティの
3
原則とは?
経営者が認識すべきサイバーセキュリティの
3
原則とは?
経営者が認識すべきサイバーセキュリティの
3
原則
サイバーセキュリティ経営ガイドライン
経営者 民間企業 経済産業省 経営者向けということは、 俺がちゃんと 理解しないといけない ということだな。困ったな~。
なんとかしないと。
いったい何から始めたら
いいのやら……
サイバーセキュリティ 経営ガイドライン Ver 1.0 経済産業省 独立行政法人 情報処理推進機構サイバー攻撃から企業を守る原則、
重要事項を記載
経営者が指示すべき重要10項目
経営者が認識すべき3原則
やっと気づいて くれたか。 はい。そうです!! 社長が主体的に 取り組んでいただく 必要があります。経済産業省が、
「サイバーセキュリティ
経営ガイドライン」
を発表しています。
まずはこれを
読んで頂けますか!
其の一 経営者によるリーダーシップ
自社だけでなく、系列企業・ビジネスパートナー・委託 先を含めたセキュリティ対策が必要です。系列企業、委 託先、ビジネスパートナーの情報漏えいは自社の情報 漏えいに直結します。其の弐 系列企業、ビジネスパートナーを含めた対策
サイバーセキュリティリスクや対策、対応に係る情報の 開示など、関係者との適切なコミュニケーションが必要 です。たとえば、平時から適切なセキュリティリスクへ の対応に関わる情報共有を行ったり、サイバー攻撃情 報をステークホルダーと共有します。其の参 平時・緊急時の情報開示及び情報共有
うちは認識が甘かった かもしれん。 サイバーセキュリティ についてもっと真剣に 取り組まないと…… 委託先社員の 情報漏えいはよく聞く 話だな。 うちは大丈夫だろう か…… 普段から対策を行って いることを共有すれば、 顧客・株主への アピールにもなるな。3 原 則
①経営者によるリーダーシップ ②系列企業、ビジネスパートナー を含めた対策 ③平時・緊急時の情報開示及び 情報共有3 原 則
①経営者によるリーダーシップ ②系列企業、ビジネスパートナー を含めた対策 ③平時・緊急時の情報開示及び 情報共有なるほど。
では、具体的には、
どんなことをしていけば
いいのだろうか。
まず、ガイドラインには、
「経営者が認識すべき3原則」
があります。
経営者が責任者となる担当幹部に指示すべきことをまとめています。 サイバー攻撃のリスク(営業秘密の流出による損害など)を識別し、リスク分析を行います。リスク分析結果より、 リスク管理策(低減、回避、移転等)の計画策定を行います。
経営者が指示すべき重要
10
項目とは?
経営者が指示すべき重要
10
項目とは?
項目
3
「リスクの把握と実現するレベルの目標・計画策定」の具体例
項目
3
「リスクの把握と実現するレベルの目標・計画策定」の具体例
経営者が指示すべき重要
10
項目
経営者が指示すべき重要
10
項目
項目
3
「リスクの把握と実現するレベルの目標・計画策定」について
サイバーセキュリティリスクに継続して対応可能なPDCA体制(プロセス)を整備します。また、対策などを 情報セキュリティ報告書・CSR報告書等で情報開示します。項目
4
「セキュリティ対策のフレームワーク構築と開示」について
外部委託 製品・サービス導入 設備更新 システム構成見直し❶
リスク分析
セキュリティ責任者 セキュリティ担当者❷
リスク管理策の計画策定
Action
改善方針Check
評価・分析Plan
状況把握 施策立案Do
実行 先日、NECの例を 聞いてきましたので、 紹介しますね。 リスク分析、PDCAは重要だが、 イマイチイメージがわかない なぁ。具体例はないかね。 NECでは、守るべき資産に対するサイバーセキュリティリスクを分析し、 経営トップに対してリスクや影響度などの情報を共有するとともに、 リスクに応じた計画を策定します。また、分析結果から計画を立案すると ともに、施策へのフィードバックも実施するそうです。 NECでは、サイバーセキュリティリスク分析を踏まえ、対策を実施します。 たとえば、標的型攻撃対策では、ゲートウェイ対策、PC/サーバ対策、 人的対策を多層的に実施するそうです。NEC
のサイバーセキュリティリスク分析の例
関連する主な活動 ・攻撃の監視や対処、サイバー事案対応 ・マルウェア解析 ・脅威/脆弱性の情報収集やサービス活用 ・各機関との情報共有 ・セキュリティ管理センター(SOC)やCSIRT*1によるサイバーセキュリティ運用 ・国内外のカンファレンス参加/調査 ・外部機関やベンダーとの情報共有 ・PoC*2等の導入評価 ・情報セキュリティ戦略会議での計画審議/承認/実績評価 リスク分析の種類 サイバー脅威分析 監視運用分析 ソリューション ・IT分析 対策分析 毎 日 頻 度 の 目 安 四半期 ゲートウェイ対策 PC・サーバ対策 人的対策 全社向け 特定部門・対象向け 未知のマルウェア検知システム導入 メールサーバの対策強化(送信ドメイン認証等) PC ・サーバの脆弱性対策強化 サーバセキュリティ対策ガイド活用徹底 暗号化徹底 脆弱性緩和SW等導入 標的型攻撃に関する教育・訓練NEC
の標的型攻撃対策の例
うちでやるのは 大変そうだな ここまでやらないと いけないのか……。重要10項目
1. ~省略~ 2. 3.リスクの把握と実現する~ 4.セキュリティ対策の~ ~省略~ 9.緊急時の対応体制~重要10項目
1. ~省略~ 2. 3.リスクの把握と実現する~ 4.セキュリティ対策の~ ~省略~ 9.緊急時の対応体制~なるほど、3原則に
ついては理解したぞ。
では、3原則を実現
するためには、
どんな取り組みが
必要だろうか。
そうですね。ガイドラインには
「経営者が指示すべき
重要10項目」
も提示されています。
その中のいくつかを
紹介しますね。
*1 CSIRT…コンピュータセキュリティインシデントに対応するための専門チーム *2 PoC…実際のシステム構成で、性能などを事前検証すること経営者が責任者となる担当幹部に指示すべきことをまとめています。 サイバー攻撃のリスク(営業秘密の流出による損害など)を識別し、リスク分析を行います。リスク分析結果より、 リスク管理策(低減、回避、移転等)の計画策定を行います。
経営者が指示すべき重要
10
項目とは?
経営者が指示すべき重要
10
項目とは?
項目
3
「リスクの把握と実現するレベルの目標・計画策定」の具体例
項目
3
「リスクの把握と実現するレベルの目標・計画策定」の具体例
経営者が指示すべき重要
10
項目
経営者が指示すべき重要
10
項目
項目
3
「リスクの把握と実現するレベルの目標・計画策定」について
サイバーセキュリティリスクに継続して対応可能なPDCA体制(プロセス)を整備します。また、対策などを 情報セキュリティ報告書・CSR報告書等で情報開示します。項目
4
「セキュリティ対策のフレームワーク構築と開示」について
外部委託 製品・サービス導入 設備更新 システム構成見直し❶
リスク分析
セキュリティ責任者 セキュリティ担当者❷
リスク管理策の計画策定
Action
改善方針Check
評価・分析Plan
状況把握 施策立案Do
実行 先日、NECの例を 聞いてきましたので、 紹介しますね。 リスク分析、PDCAは重要だが、 イマイチイメージがわかない なぁ。具体例はないかね。 NECでは、守るべき資産に対するサイバーセキュリティリスクを分析し、 経営トップに対してリスクや影響度などの情報を共有するとともに、 リスクに応じた計画を策定します。また、分析結果から計画を立案すると ともに、施策へのフィードバックも実施するそうです。 NECでは、サイバーセキュリティリスク分析を踏まえ、対策を実施します。 たとえば、標的型攻撃対策では、ゲートウェイ対策、PC/サーバ対策、 人的対策を多層的に実施するそうです。NEC
のサイバーセキュリティリスク分析の例
関連する主な活動 ・攻撃の監視や対処、サイバー事案対応 ・マルウェア解析 ・脅威/脆弱性の情報収集やサービス活用 ・各機関との情報共有 ・セキュリティ管理センター(SOC)やCSIRT*1によるサイバーセキュリティ運用 ・国内外のカンファレンス参加/調査 ・外部機関やベンダーとの情報共有 ・PoC*2等の導入評価 ・情報セキュリティ戦略会議での計画審議/承認/実績評価 リスク分析の種類 サイバー脅威分析 監視運用分析 ソリューション ・IT分析 対策分析 毎 日 頻 度 の 目 安 四半期 ゲートウェイ対策 PC・サーバ対策 人的対策 全社向け 特定部門・対象向け 未知のマルウェア検知システム導入 メールサーバの対策強化(送信ドメイン認証等) PC ・サーバの脆弱性対策強化 サーバセキュリティ対策ガイド活用徹底 暗号化徹底 脆弱性緩和SW等導入 標的型攻撃に関する教育・訓練NEC
の標的型攻撃対策の例
うちでやるのは 大変そうだな ここまでやらないと いけないのか……。重要10項目
1. ~省略~ 2. 3.リスクの把握と実現する~ 4.セキュリティ対策の~ ~省略~ 9.緊急時の対応体制~重要10項目
1. ~省略~ 2. 3.リスクの把握と実現する~ 4.セキュリティ対策の~ ~省略~ 9.緊急時の対応体制~なるほど、3原則に
ついては理解したぞ。
では、3原則を実現
するためには、
どんな取り組みが
必要だろうか。
そうですね。ガイドラインには
「経営者が指示すべき
重要10項目」
も提示されています。
その中のいくつかを
紹介しますね。
*1 CSIRT…コンピュータセキュリティインシデントに対応するための専門チーム *2 PoC…実際のシステム構成で、性能などを事前検証することNECグループ内において、サイバー攻撃を監視し、攻撃やマルウェアの特徴等 を分析するとともに、インシデント発生時には証拠の保全や攻撃の解析を実施し、 原因究明や事態の収束を行う専門組織を整備しているそうです。 ●未知のマルウェアの探索、解析 ●フォレンジック解析 ●ログ解析、パケット解析 ●内部不正の捜査 ●対策の指示 緊急時の対応体制を構築し、関係機関との連携や、ログの調査を速やかにできるように指示します。また、いつ 攻撃を受けても対応できるように、集合教育による演習(サイバー攻撃への対応等)や緊急対応手順のリハー サル等も定期的に行います。
項目
4
「セキュリティ対策のフレームワーク構築と開示」の具体例
項目
4
「セキュリティ対策のフレームワーク構築と開示」の具体例
項目
項目
9
9
「緊急時の対応体制整備と定期的な演習の実施」について
「緊急時の対応体制整備と定期的な演習の実施」について
項目
9
「緊急時の対応体制整備」の具体例
項目
9
「緊急時の対応体制整備」の具体例
経営者が指示すべき重要
10
項目(項目
9
について)
経営者が指示すべき重要
10
項目(項目
3
、
4
について)
NECでは国内だけでなくグローバルで接続している150拠点以上に対しても、 サイバーセキュリティリスクや脅威動向を把握しながら、PDCAを実施しており、
これらの取り組みを毎年『情報セキュリティ報告書』として公開している そうです。 そうですね。うちのリソースだけで行うのは限界とリスクがあるので 各種セキュリティ支援サービスも考慮した方がいいですね。 そうだな。セキュリティ支援サービスか。 NECに相談できたら安心だな。 なるほど。ここまで大がかりだと、うちの中だけで行うのはかなり大変そうだな……。 セキュリティ投資についても真剣に考えないと…… NEC情報セキュリティ基本方針 ・サイバーセキュリティ実行計画 ・サイバーセキュリティ維持 ・リスク / インシデント低減 ・進捗管理 ・CISO による実績評価結果 ・課題、残留リスク ・来年度以降の計画ポイント ・見直し / 改善ポイントPlan
情報セキュリティを統括する担当役員 (CISO*)配下の組織において、自社のIT インフラだけでなく、お客様へ提供する製 品・サービスの対策も含めて国内外共通 で計画策定Action
各組織に情報セキュリティ管理責任者を置 き、状況に応じて、ルール/計画/施策の修 正見直し、改善Do
海外現地法人を含むNECグループ全社、 約1,600社のサプライチェーンパートナー に対する指示/実行/進捗把握Check
NEC内18万台の運用実績を持つ基盤と 知見でリスクを管理 ・サイバー脅威動向とリスク把握 ・施策の有効性分析と実績評価 ・インシデント把握・対応評価 ・監査/点検状況評価ステークホルダへの報告(情報セキュリティ報告書等)
Information Security Report 2016
情報セキュリティ報告書 2016 情報セキュリティ報告書 http://jpn.nec.com/csr/ja/security/ やはり専門組織が必要なのか。うちは情シス部門に任せっきりだったが、 対応体制について一度真剣に考えないといかんなぁ。 *CISO…最高情報セキュリティ責任者。企業内で情報セキュリティを統括する担当役員。
緊急時の対応体制整備
定期的な演習の実施
緊急対応リハーサル 手 順 書 集合教育 外部機関 (IPA,JPCERT, 警察庁等)セキュリティ専門組織
情報提供 フィード バック 指示 連携 ユーザ報告(ML等) 報告 調整 システムでの検知 検知 セキュリティ 管理センター インターネット サービスセンター CSR部門、人事部門、 法務部門、広報部門、 社内情シス部門 技術開発 事業部 研究所 外部ベンダーNEC
の対応体制整備の例
研修
/
演習
/
訓練
NECグループ内において、サイバー攻撃を監視し、攻撃やマルウェアの特徴等 を分析するとともに、インシデント発生時には証拠の保全や攻撃の解析を実施し、 原因究明や事態の収束を行う専門組織を整備しているそうです。 ●未知のマルウェアの探索、解析 ●フォレンジック解析 ●ログ解析、パケット解析 ●内部不正の捜査 ●対策の指示 緊急時の対応体制を構築し、関係機関との連携や、ログの調査を速やかにできるように指示します。また、いつ 攻撃を受けても対応できるように、集合教育による演習(サイバー攻撃への対応等)や緊急対応手順のリハー サル等も定期的に行います。
項目
4
「セキュリティ対策のフレームワーク構築と開示」の具体例
項目
4
「セキュリティ対策のフレームワーク構築と開示」の具体例
項目
項目
9
9
「緊急時の対応体制整備と定期的な演習の実施」について
「緊急時の対応体制整備と定期的な演習の実施」について
項目
9
「緊急時の対応体制整備」の具体例
項目
9
「緊急時の対応体制整備」の具体例
経営者が指示すべき重要
10
項目(項目
9
について)
経営者が指示すべき重要
10
項目(項目
3
、
4
について)
NECでは国内だけでなくグローバルで接続している150拠点以上に対しても、 サイバーセキュリティリスクや脅威動向を把握しながら、PDCAを実施しており、
これらの取り組みを毎年『情報セキュリティ報告書』として公開している そうです。 そうですね。うちのリソースだけで行うのは限界とリスクがあるので 各種セキュリティ支援サービスも考慮した方がいいですね。 そうだな。セキュリティ支援サービスか。 NECに相談できたら安心だな。 なるほど。ここまで大がかりだと、うちの中だけで行うのはかなり大変そうだな……。 セキュリティ投資についても真剣に考えないと…… NEC情報セキュリティ基本方針 ・サイバーセキュリティ実行計画 ・サイバーセキュリティ維持 ・リスク / インシデント低減 ・進捗管理 ・CISO による実績評価結果 ・課題、残留リスク ・来年度以降の計画ポイント ・見直し / 改善ポイントPlan
情報セキュリティを統括する担当役員 (CISO*)配下の組織において、自社のIT インフラだけでなく、お客様へ提供する製 品・サービスの対策も含めて国内外共通 で計画策定Action
各組織に情報セキュリティ管理責任者を置 き、状況に応じて、ルール/計画/施策の修 正見直し、改善Do
海外現地法人を含むNECグループ全社、 約1,600社のサプライチェーンパートナー に対する指示/実行/進捗把握Check
NEC内18万台の運用実績を持つ基盤と 知見でリスクを管理 ・サイバー脅威動向とリスク把握 ・施策の有効性分析と実績評価 ・インシデント把握・対応評価 ・監査/点検状況評価ステークホルダへの報告(情報セキュリティ報告書等)
Information Security Report 2016
情報セキュリティ報告書 2016 情報セキュリティ報告書 http://jpn.nec.com/csr/ja/security/ やはり専門組織が必要なのか。うちは情シス部門に任せっきりだったが、 対応体制について一度真剣に考えないといかんなぁ。 *CISO…最高情報セキュリティ責任者。企業内で情報セキュリティを統括する担当役員。