セキュリティのリテラシーを高めて備えを強化!社内セキュリティ共有勉強会

社内セキュリティを確保するための知見やノウハウの共有をする「第6回 社内セキュリティ共有勉強会」が21cafeで開催されました。今回のテーマは前回要望があった「リテラシー」!その勉強会の様子をレポートします。

リテラシー不足によるリスクや啓蒙方法をLT形式で紹介!

■ どこまでリテラシーを求めるべきか?

発表者:奥山歩 氏

「社内のセキュリティリテラシーが低い」と嘆きがちですが、要求する側も「どこまで理解してほしいか?」が明確になってないのではと反省したという奥山氏。セキュリティに興味のない人にとっては、一通りマニュアルを見るだけでも大変であり、セキュリティに関する資格を全社員が取得するというのも非現実な話です。

セキュリティに興味を持ってもらうために最も重要なことは、「自分には関係ない」というひとの意識を変え、ITセキュリティには「絶対の安全地帯」はないと理解してもらうことです。
セキュリティ対策を講じれば、新たな攻撃手法が開発されるいたちごっこの中では、どれだけ対策しても「比較的に安全」までにしかなりません。エンジニアが安全のために鍵を取り付けるので、みなさんが毎回、鍵をしめる程度の意識を持ち実践してもらえれば、より安全な環境を実現できます。

そして、経営者にはさらなる注意が必要です。
実際にあったセキュリティ対策の責務の判例によると、開発依頼時にセキュリティ対策の指示はなく、その後、攻撃による損害が発生した場合でも、「セキュリティ対策は実施して当然」という判断からシステム納入業者に処罰が下ったそうです。

それを防ぐためにも、経営者がリーダーシップをとり、パートナーや委託先も平時から備え、少なくともサーバーセキュリティ経営ガイドライン(3原則)を読んでおくことを奥山氏は推奨していました。

■ 情報リテラシー・情報モラル~サイバーリスク対策~

発表者:hiro 氏

情報リテラシーや情報モラルが欠けていることによって発生するリスクを事例と共に紹介したhiro氏。

不正は三要素によって発生します。
①機会・・・不正を起こせる機会がある
②動機・・・不正を働く動機がある
③正当化・・・正当な行為と考える

近年では未成年の不正も発生しており、モラル教育によって正しい道に導く必要があります。

増加するサイバー攻撃のリスクを少しでも減らすためには、リスクを他社に移すのも1つの手段です。サイバーリスクに対する保険販売は、日本では2015年頃から始まりました。保険に入っておくことで、サイバー攻撃を受けた際い発生する多大な損失額を大幅に減らすことができます。

内部犯行を防ぐためには、内部統制によるリスクの軽減、セキュリティ教育、罰金制度などが必要です。端末操作ログを収集していることを周知することも抑止効果があるとhiro氏は伝えていました。

資料はこちら:情報リテラシー・情報モラル ~サイバーリスク対策~

■ 効果的な社内のセキュリティ啓蒙

発表者:hiro4848 氏

社内のセキュリティ水準の引き上げ方法を紹介したhiro4848氏。

社内CTFの開催・・・SECCON(情報セキュリティコンテストイベント)やGitHub(共有ウェブサービス)に掲載されている例題や過去問によって、簡単に準備が出来ます。コストを許容できるのであれば、セキュリティチームが自前で作成するのもおすすめです。

Red Teamingやペネトレーションテストの実施・・・社内のセキュリティ担当がハッカー役として、社内ネットワークに外から侵入しリスクをあぶりだします。
その結果をマネージメントチームに対しては、実演デモやビデオでプレゼン。セキュリティに対する漠然とした不安に対し、具体的なリスクと対策案を示し、実際に対策してもらうようにします。一般ユーザーに対してはマネージメントチーム越しに啓蒙メッセージとして伝えます。意識向上を図る社内ポリシーやフィッシング防止ビデオ・トレーニングの義務化、データ共有等の際のプロセスの統一として落とし込みます。

「セキュリティ対策を怠ることによってどれほどビジネスに多大な影響を与えるか」「どのような判断を下すべきか」をいかにマネージメントに伝え、行動に移させることが重要であるとhiro4848氏は伝えていました。

資料はこちら:効果的な社内のセキュリティ啓蒙

お悩み相談室

それぞれが抱えているセキュリティの悩みを相談し、他の人はどう対応したか聞いてみるコーナーです!

事前アンケートの結果、特に多かったお悩みが ”社内のセキュリティ教育について”。どのような対策をしているのかを発表し合いました。

・関心度合いにばらつきがあるため、まずは関心を呼ぶことに注力した
・自分事化させるために簡単な動画によって危機感を持たせた
・全社的に普及させるマニュアルは難しいため、対象ごと・項目ごとに分けて対策している
・制度の導入のみだと足りないため、規定を更にわかりやすく書き伝える努力した
・eラーニング動画はグループ上映会方式にし、集中して最後まで見てもらえるよう工夫した

また、「ソフトの認証方法や基準はどうしていますか?」という問いかけに対してもそれぞれの対応法が発表されました。

・ある程度有名ならOKにしている
・オープンソース使いたい時はGitHubでメンテナンスの間隔を調査してる(1年UPdateないと厳しい)

終了時間になっても盛り上がり続ける「社内セキュリティ共有勉強会」!セキュリティ情報についての技術・知見を共有してくれる登壇者も大募集中です!

「社内セキュリティ共有勉強会」とは

内部セキュリティの啓蒙資料・ノウハウを共有するLT方式の勉強会です。社内セキュリティについての技術・知見の共有会をコンセプトにしており、上手くいった取り組みを共有したり、危険なセキュリティ問題に関する対策を共有したりする会です。

▼公式アカウント
connpassグループ:https://intra-security.connpass.com/

▼これまでの社内セキュリティ共有勉強会のレポート
どこまで出来るの?0円セキュリティ!?セキュリティを学ぶ勉強会
サイバー攻撃って簡単なの?敵を知り対策を練る、社内セキュリティ共有勉強会レポ
カフェや施設の無線LANもリスクあり!?セキュリティを学ぶ勉強会
暗号化ZIP添付は危険!?メールのセキュリティを学ぶ勉強会
セキュリティがわからない人へ!セキュリティの重要性を“パスワード“を軸に学ぼう!

今後も随時イベント情報を更新していきます。
21cafeの勉強会などのイベント情報はこちらをチェック!

関連する記事

facebook

案件情報や最新記事をお届けします。
ぜひチェックしてみてください。

geechs

ChatBot

《1分で登録できる!》
Facebook Messengerを使って
最新記事を受け取れます。

利用する