Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Copyright © NTT Communications Corporation. All rights reserved.
2018年10月5日
NTTコミュニケーションズ株式会社
マネージドセキュリティサービス推進室
川端 誠
グローバル企業におけるセキュリティ戦略 ~グローバルセキュリティポリシーによるガバナンス~
Copyright © NTT Communications Corporation. All rights reserved.
本日のアジェンダ
I. グローバル企業におけるセキュリティ
ガバナンス
II. グローバルセキュリティポリシー
III. グローバルセキュリティ実装・運用
IV. グローバルモニタリング
V. さいごに
2
Copyright © NTT Communications Corporation. All rights reserved.
I. グローバル企業におけるセキュリティガバナンス
3
Copyright © NTT Communications Corporation. All rights reserved.
4
出典: 経済産業省「情報セキュリティガバナンス導入ガイダンス」(2009年)より
経営者による方向性付け、活動状況のモニタリングおよび評価、利害関係者への報告、更にこれらを確認する監督のプロセスにより枠組みが構成される。
セキュリティマネジメント
説明(Communicate)
評価(Evaluate)
方向付け (Direct)
モニタリング (Monitor)
監督 (Oversee)
管理者層
監査役
利害関係者
経営陣
コミットメント PDCA進捗状況
セキュリティ
ガバナンスフレームワーク
コーポレート・ガバナンスと、それを支える内部統制のメカニズムを、情報セキュリティの観点から企業内に構築・運用する必要性が国内企業で高まっています。
セキュリティガバナンスとは
4
セキュリティガバナンスフレームワーク
Copyright © NTT Communications Corporation. All rights reserved.
企業グループにおけるセキュリティガバナンス
5
説明
評価
方向付け モニタリング
監督
親会社などリーダ企業
G会社 G会社 G会社 G会社 G会社 G会社
親会社などリーダ企業
グループ全
体を統括す
る会議体
親会社などリーダ企業
G会社 G会社 G会社
リーダ企業が統制する部分
A. リーダ企業に権限集中 B. グループ企業に権限を一部移譲 C. グループ各社に権限移譲
グループの情報セキュリティに関する権限をリーダー企業(親企業)に集中し、グループ内の各社(子会社)は自らの統制構造を持たない。
グループの情報セキュリティに関する権限はリーダー企業が握るが、その一部をグループ各社に委譲し、それぞれが自らの統制構造を有する。
グループの情報セキュリティに関する権限を各社に委譲し、リーダー企業を含むグループ内の各社がそれぞれ自らの統制構造を有する。
企業グループにおけるガバナンスの在り方は、意思決定やモニタリングなどの権限を親会社などリーダ企業に集中させるモデルと、各社に権限移譲するモデルが考えられます。
説明
評価
方向付け モニタリング
監督
出典: 経済産業省「情報セキュリティガバナンス導入ガイダンス 補足編」(2011年)より
セキュリティガバナンスモデル(グループ統制のタイプ)
Copyright © NTT Communications Corporation. All rights reserved.
グローバル企業におけるセキュリティガバナンス
6
国内
グローバル
予算・人的リソース不足
高い人材流動性
法制度・商慣習・文化の違い
カントリーリスクの違い
グローバルに事業展開する企業は、このような条件下で国内外のグループ会社や事業拠点を統制してゆく必要に迫られる。
必ず出てくる課題
グローバルな統制をするときの留意事項
Copyright © NTT Communications Corporation. All rights reserved.
グローバルなセキュリティガバナンスの要諦
動機付け
リソース支援 管理方針
本社から強制力や動機づけをどの程度強く実施できるか? (例: 情報開示にトップレベルの協力依頼が可能か?)
本社にコントロール機能(ログ監視一括提供、共通基盤運用など)を集中させるか、グループ各社個別に運用させるか?
予算や人員不足等の理由で、対策実施の困難なグループ会社に対する財政的補助を行うか?
グローバルに展開する企業グループ横断でセキュリティ対策の統制をとるためには、「動機付け」、「管理方針」、および「リソース支援」の3つの方針を明確化することが成否のカギを握ります。
7
Copyright © NTT Communications Corporation. All rights reserved.
グローバルなセキュリティガバナンスの構成要素
8
グローバルセキュリティポリシー
• グループ企業すべてに共通するミニマムスタンダード
• グループ全体・全拠点で遵守される内容
グローバルセキュリティ基盤
• 一元化されたIT基盤と管理体制
• 本社主導の情報共有と連携
グローバルモニタリング
• 本社-各拠点間のコミュニケーションを目的とした監査
Copyright © NTT Communications Corporation. All rights reserved.
II. グローバルセキュリティポリシー
9
Copyright © NTT Communications Corporation. All rights reserved.
グローバルセキュリティポリシーとは
10
グローバルセキュリティポリシー:
規模・業容・地域等の特性を問わず、グループ内各組織が最低限遵守すべきセキュリティ対策をまとめたミニマムスタンダード
個社別セキュリティポリシー: グループ会社が組織規模・業容・地域法制・商習慣など個社別の事情を反映して、グローバル
の規定内容に追加・修正を加えて策定
本社(日本)のポリシー
中国拠点のポリシー
Copyright © NTT Communications Corporation. All rights reserved.
WAN
Internet
Policy Policy Policy?
WAN
Internet
Policy
関連会社A 本社/持株
関連会社B 関連会社A 本社/持株
関連会社B
グループ会社間でセキュリティポリシーが異なる場合、重要情報のデータベースやネットワーク接続によるインシデント拡散のリスクが懸念される。
グループ横断のセキュリティポリシー統一により、セキュリティ対策の均一化が実現され、重要情報データベースやネットワーク共有が可能となる。
グローバルセキュリティポリシーによる対策均一化
11
複数組織が相互につながるグローバル企業において、グローバルなポリシー展開によりセキュリティポリシーの違いから生じ得るインシデント発生や被害拡散のリスクを低減します。
ポリシーが組織毎に異なる状態 ポリシーが統合された状態
Copyright © NTT Communications Corporation. All rights reserved.
グローバルセキュリティポリシーの策定
12
ドラフト
グループ会社A
グループ会社B
グループ会社C
ギャップ
ギャップ
ギャップ
最終版 ギャップ
分析
過度に厳しい項目、または要件漏れ等はなかったか
グループ会社(複数)を選び、ドラフトしたポリシーと各社現状とのギャップ(達成できていない項目)を洗出す。
課題項目 一覧
日本国内 ポリシー
(規程/基準類)
必要最低限の項目を抽出
I. ドラフティング II. 検証 III. 最終化
各社において所見されたギャップ内容を分析し、ポリシー自体への修正、および本社・グループ会社にて今後対応が必要な課題項目を列挙。
ギャップ洗出
日本本社で運用中のポリシーを精査し、グループ会社でも最低限遵守すべき事項を抽出(必要な場合は英訳)。
ギャップ洗出
ギャップ洗出
グループ会社担当者とのヒアリング
グループ会社担当者とのヒアリング
グループ会社担当者とのヒアリング
本社および各対象拠点にてGSP運用のために解決すべき課題の一覧表
Copyright © NTT Communications Corporation. All rights reserved.
認証/アカウント管理 モバイル/BYOD ホストセキュリティ
アクセス・認証 データ保護 プラットフォーム
対策フレームワーク
13
アプリケーション
エンドポイント
インフラ
SIEM WAF 暗号化 メール対策
DB監視 DLP 文書管
理 ID管理 SSO
AV/ EDR
資産 管理
NAC MDM 多要素認証
PIM パッチ 管理
AAA
ファイアウォール
IPS/IDS/サンドボックス
Webフィルタリング
プロキシ/CASB
NWアンチウィルス
DLP DDoS対策
人・組織 ポリシー/規程類
役割分掌 リスク分析 監査/点検 情報資産分類/棚卸し
教育/啓蒙 CSIRT
グローバルポリシーとして求める対策を体系化して、全体として何が必要かを整理します。
IT運用プロセス 資産/構成管理
インシデント対応
脆弱性管理 変更管理 アクセス管理 イベント監視
グローバルセキュリティ対策体系の例
Copyright © NTT Communications Corporation. All rights reserved.
III.グローバルセキュリティ実装・運用
14
Copyright © NTT Communications Corporation. All rights reserved.
セキュリティ対策のグローバル展開の現実
15
本社(日本) 支社(海外)
おいおい。
こんな内容が、こっちでできるわけないだろ! 予算も人もないのに。
セキュリティ規程の英語版を作成しました。
本社は実施済みなので、そちらでもお願いします。
日本の本社が策定した、セキュリティ規程(の英訳版)
本社と同じような対策はなかなか難しい・・・
Copyright © NTT Communications Corporation. All rights reserved.
本社によるセキュリティ対策運用の支援
計画立案支援
ツール提供
共通基盤提供
研修
情報・ナレッジ共有
相談窓口提供
本社 グループ会社
(国内)
グループ会社(海外)
本社からグループ会社向け支援サービスを提供
指示だけではなく、ポリシーを実現する活動を支援
Copyright © NTT Communications Corporation. All rights reserved.
IT基盤統合と一元管理の例
①NFV(Network Functions Virtualization)でセキュリティ機能を提供
②NWに接続するだけで一定レベルのセキュリティを提供(ex. FW,IPS,AV)
③拠点毎に求められるパラメータ変更やログ参照はカスタマポータルから実施
インターネット 従来ネットワーク
カスタマー
ポータル
SDN+NFV
27
IT基盤統合と一元管理
17
Copyright © NTT Communications Corporation. All rights reserved.
グループ横断施策の事例
18
本社 海外子会社 国内子会社
Internet
本社 海外子会社 国内子会社
共通セキュリティ基盤
Internet
本社・子会社間でセキュリティ対策レベルにバラツキがある。
グループ共通のセキュリティ基盤を構築し、グループ一括での対策レベル向上。
国内の某企業グループにおいて「共通インターネットセキュリティ基盤」を構築・運用し、中小規模の国内子会社と一部の海外子会社を相乗りさせて対策レベルの均一化を図っています。
本社主導で国内外のグループ子会社に対する現状評価~計画策定を実施。
専門業者によるSOC監視サービス(本社契約)
Copyright © NTT Communications Corporation. All rights reserved.
IV.グローバルモニタリング(海外拠点への監査について)
19
Copyright © NTT Communications Corporation. All rights reserved.
海外拠点に対するセキュリティ監査 ①
20
国内本社
海外 グループ会社
国内 グループ会社
①規程雛形の提供
②管理運用
外部 セキュリティ サービス企業
①規程雛形の提供
③監査支援
③監査支援
②管理運用
③監査
③監査
本社が国内外グループ会社の情報セキュリティ運用全般を本社が直接監査。また、監査には外部セキュリティサービス企業による支援も活用している。
事例: 某国内メーカーでの事例
Copyright © NTT Communications Corporation. All rights reserved.
海外拠点に対するセキュリティ監査 ②
21
本社 海外拠点
本社 海外拠点
本社 海外拠点
本社から調査要員が訪問
チェックリストのみやり取り
Web/TV会議によるヒアリング
現状がよく把握でき、効果は高いが、費用・時間がかさむ。
費用・時間を押さえられるが、現状を本当に把握できるか不安材料が多い。
最近多くなってきたパターン。ネットワーク品質が悪いと双方ストレス増。
実施方法別のプロコン
Copyright © NTT Communications Corporation. All rights reserved.
海外拠点に対するセキュリティ監査 ③
22
本社 海外拠点
本社 海外拠点
本社と同等か、本社よりもハイレベル
本社レベルにほど遠い
日本で実施されている対策は以前から導入。 セキュリティや個人情報保護に関する法制度が進んでいる欧米に多い
欧米以外の拠点に多い。専門知識・予算に制約が大きく、情報管理が文化として根付いていない場合もある。
海外拠点を監査した結果・・・
または
Copyright © NTT Communications Corporation. All rights reserved.
海外拠点に対するセキュリティ監査 ④
23
本社 海外拠点
本社 海外拠点
本社と同等か、本社よりもハイレベル
本社レベルにほど遠い
• 本社よりもレベルの高い拠点からは、積極的にナレッジを得る。
• 他の拠点に対する情報共有の可能性も検討。
• 自助努力による是正や改善要求よりも、本社から「何を支援してあげられるか」という方向で改善を検討する。
「監査結果」から何を検討するか?
是正/改善要求 X 支援の検討 ○ 改善策の指導 ○
Copyright © NTT Communications Corporation. All rights reserved.
海外拠点に対するセキュリティ監査 ⑤
24
本社 海外拠点
国内拠点
監査
海外拠点
当面は「チェック」よりも「改善指導(支援)」と「ナレッジ共有」
監査を通じたナレッジ共有により、グローバルポリシーをスパイラルに改善
Copyright © NTT Communications Corporation. All rights reserved.
V. さいごに
25
Copyright © NTT Communications Corporation. All rights reserved.
グローバルなセキュリティガバナンスの留意事項
26
グローバルなセキュリティ対策の展開は
時間がかかる。
本社が情報共有のハブとなり、グループ
企業を支援する姿勢が重要。
基盤統合/クラウド化を常に検討。
Copyright © NTT Communications Corporation. All rights reserved.
本セミナーでご紹介しましたのは 「総合リスクマネジメントサービス WideAngle」です。 ぜひ展示エリアまでお越しください。
印の場所に展示しています。
ご清聴ありがとうございました。