グローバル企業におけるセキュリティ戦略 · copyright © ntt communications...

Copyright © NTT Communications Corporation. All rights reserved.

2018年10月５日

NTTコミュニケーションズ株式会社

マネージドセキュリティサービス推進室

川端誠

グローバル企業におけるセキュリティ戦略～グローバルセキュリティポリシーによるガバナンス～


本日のアジェンダ

I. グローバル企業におけるセキュリティ

ガバナンス

II. グローバルセキュリティポリシー

III. グローバルセキュリティ実装・運用

IV. グローバルモニタリング

V. さいごに

2


I. グローバル企業におけるセキュリティガバナンス

3


4

出典: 経済産業省「情報セキュリティガバナンス導入ガイダンス」（2009年）より

経営者による方向性付け、活動状況のモニタリングおよび評価、利害関係者への報告、更にこれらを確認する監督のプロセスにより枠組みが構成される。

セキュリティマネジメント

説明(Communicate)

評価(Evaluate)

方向付け (Direct)

モニタリング (Monitor)

監督 (Oversee)

管理者層

監査役

利害関係者

経営陣

コミットメント PDCA進捗状況

セキュリティ

ガバナンスフレームワーク

コーポレート・ガバナンスと、それを支える内部統制のメカニズムを、情報セキュリティの観点から企業内に構築・運用する必要性が国内企業で高まっています。

セキュリティガバナンスとは

4

セキュリティガバナンスフレームワーク


企業グループにおけるセキュリティガバナンス

5

説明

評価

方向付けモニタリング

監督

親会社などリーダ企業

G会社 G会社 G会社 G会社 G会社 G会社


グループ全

体を統括す

る会議体


G会社 G会社 G会社

リーダ企業が統制する部分

A. リーダ企業に権限集中 B. グループ企業に権限を一部移譲 C. グループ各社に権限移譲

グループの情報セキュリティに関する権限をリーダー企業（親企業）に集中し、グループ内の各社（子会社）は自らの統制構造を持たない。

グループの情報セキュリティに関する権限はリーダー企業が握るが、その一部をグループ各社に委譲し、それぞれが自らの統制構造を有する。

グループの情報セキュリティに関する権限を各社に委譲し、リーダー企業を含むグループ内の各社がそれぞれ自らの統制構造を有する。

企業グループにおけるガバナンスの在り方は、意思決定やモニタリングなどの権限を親会社などリーダ企業に集中させるモデルと、各社に権限移譲するモデルが考えられます。

説明

評価

方向付けモニタリング

監督

出典: 経済産業省「情報セキュリティガバナンス導入ガイダンス補足編」（2011年）より

セキュリティガバナンスモデル（グループ統制のタイプ）


グローバル企業におけるセキュリティガバナンス

6

国内

グローバル

予算・人的リソース不足

高い人材流動性

法制度・商慣習・文化の違い

カントリーリスクの違い

グローバルに事業展開する企業は、このような条件下で国内外のグループ会社や事業拠点を統制してゆく必要に迫られる。

必ず出てくる課題

グローバルな統制をするときの留意事項


グローバルなセキュリティガバナンスの要諦

動機付け

リソース支援管理方針

本社から強制力や動機づけをどの程度強く実施できるか？（例: 情報開示にトップレベルの協力依頼が可能か？）

本社にコントロール機能（ログ監視一括提供、共通基盤運用など）を集中させるか、グループ各社個別に運用させるか？

予算や人員不足等の理由で、対策実施の困難なグループ会社に対する財政的補助を行うか？

グローバルに展開する企業グループ横断でセキュリティ対策の統制をとるためには、「動機付け」、「管理方針」、および「リソース支援」の３つの方針を明確化することが成否のカギを握ります。

7


グローバルなセキュリティガバナンスの構成要素

8

グローバルセキュリティポリシー

• グループ企業すべてに共通するミニマムスタンダード

• グループ全体・全拠点で遵守される内容

グローバルセキュリティ基盤

• 一元化されたIT基盤と管理体制

• 本社主導の情報共有と連携

グローバルモニタリング

• 本社-各拠点間のコミュニケーションを目的とした監査


II. グローバルセキュリティポリシー

9


グローバルセキュリティポリシーとは

10

グローバルセキュリティポリシー:

規模・業容・地域等の特性を問わず、グループ内各組織が最低限遵守すべきセキュリティ対策をまとめたミニマムスタンダード

個社別セキュリティポリシー: グループ会社が組織規模・業容・地域法制・商習慣など個社別の事情を反映して、グローバル

の規定内容に追加・修正を加えて策定

本社（日本）のポリシー

中国拠点のポリシー


WAN

Internet

Policy Policy Policy?

WAN

Internet

Policy

関連会社A 本社/持株

関連会社B 関連会社A 本社/持株

関連会社B

グループ会社間でセキュリティポリシーが異なる場合、重要情報のデータベースやネットワーク接続によるインシデント拡散のリスクが懸念される。

グループ横断のセキュリティポリシー統一により、セキュリティ対策の均一化が実現され、重要情報データベースやネットワーク共有が可能となる。

グローバルセキュリティポリシーによる対策均一化

11

複数組織が相互につながるグローバル企業において、グローバルなポリシー展開によりセキュリティポリシーの違いから生じ得るインシデント発生や被害拡散のリスクを低減します。

ポリシーが組織毎に異なる状態ポリシーが統合された状態


グローバルセキュリティポリシーの策定

12

ドラフト

グループ会社A

グループ会社B

グループ会社C

ギャップ

ギャップ

ギャップ

最終版ギャップ

分析

過度に厳しい項目、または要件漏れ等はなかったか

グループ会社（複数）を選び、ドラフトしたポリシーと各社現状とのギャップ（達成できていない項目）を洗出す。

課題項目一覧

日本国内ポリシー

(規程/基準類)

必要最低限の項目を抽出

I. ドラフティング II. 検証 III. 最終化

各社において所見されたギャップ内容を分析し、ポリシー自体への修正、および本社・グループ会社にて今後対応が必要な課題項目を列挙。

ギャップ洗出

日本本社で運用中のポリシーを精査し、グループ会社でも最低限遵守すべき事項を抽出（必要な場合は英訳）。

ギャップ洗出

ギャップ洗出

グループ会社担当者とのヒアリング



本社および各対象拠点にてGSP運用のために解決すべき課題の一覧表


認証/アカウント管理モバイル/BYOD ホストセキュリティ

アクセス・認証データ保護プラットフォーム

対策フレームワーク

13

アプリケーション

エンドポイント

インフラ

SIEM WAF 暗号化メール対策

DB監視 DLP 文書管

理 ID管理 SSO

AV/ EDR

資産管理

NAC MDM 多要素認証

PIM パッチ管理

AAA

ファイアウォール

IPS/IDS/サンドボックス

Webフィルタリング

プロキシ/CASB

NWアンチウィルス

DLP DDoS対策

人・組織ポリシー/規程類

役割分掌リスク分析監査/点検情報資産分類/棚卸し

教育/啓蒙 CSIRT

グローバルポリシーとして求める対策を体系化して、全体として何が必要かを整理します。

IT運用プロセス資産/構成管理

インシデント対応

脆弱性管理変更管理アクセス管理イベント監視

グローバルセキュリティ対策体系の例


III.グローバルセキュリティ実装・運用

14


セキュリティ対策のグローバル展開の現実

15

本社（日本）支社（海外）

おいおい。

こんな内容が、こっちでできるわけないだろ！予算も人もないのに。

セキュリティ規程の英語版を作成しました。

本社は実施済みなので、そちらでもお願いします。

日本の本社が策定した、セキュリティ規程（の英訳版）

本社と同じような対策はなかなか難しい・・・


本社によるセキュリティ対策運用の支援

計画立案支援

ツール提供

共通基盤提供

研修

情報・ナレッジ共有

相談窓口提供

本社グループ会社

（国内）

グループ会社（海外）

本社からグループ会社向け支援サービスを提供

指示だけではなく、ポリシーを実現する活動を支援


IT基盤統合と一元管理の例

①NFV(Network Functions Virtualization）でセキュリティ機能を提供

②NWに接続するだけで一定レベルのセキュリティを提供（ex. FW,IPS,AV）

③拠点毎に求められるパラメータ変更やログ参照はカスタマポータルから実施

インターネット従来ネットワーク

カスタマー

ポータル

SDN+NFV

27

IT基盤統合と一元管理

17


グループ横断施策の事例

18

本社海外子会社国内子会社

Internet

本社海外子会社国内子会社

共通セキュリティ基盤

Internet

本社・子会社間でセキュリティ対策レベルにバラツキがある。

グループ共通のセキュリティ基盤を構築し、グループ一括での対策レベル向上。

国内の某企業グループにおいて「共通インターネットセキュリティ基盤」を構築・運用し、中小規模の国内子会社と一部の海外子会社を相乗りさせて対策レベルの均一化を図っています。

本社主導で国内外のグループ子会社に対する現状評価～計画策定を実施。

専門業者によるSOC監視サービス（本社契約）


IV.グローバルモニタリング（海外拠点への監査について）

19


海外拠点に対するセキュリティ監査 ①

20

国内本社

海外グループ会社

国内グループ会社

①規程雛形の提供

②管理運用

外部セキュリティサービス企業

①規程雛形の提供

③監査支援

③監査支援

②管理運用

③監査

③監査

本社が国内外グループ会社の情報セキュリティ運用全般を本社が直接監査。また、監査には外部セキュリティサービス企業による支援も活用している。

事例: 某国内メーカーでの事例


海外拠点に対するセキュリティ監査 ②

21

本社海外拠点

本社海外拠点

本社海外拠点

本社から調査要員が訪問

チェックリストのみやり取り

Web/TV会議によるヒアリング

現状がよく把握でき、効果は高いが、費用・時間がかさむ。

費用・時間を押さえられるが、現状を本当に把握できるか不安材料が多い。

最近多くなってきたパターン。ネットワーク品質が悪いと双方ストレス増。

実施方法別のプロコン


海外拠点に対するセキュリティ監査 ③

22

本社海外拠点

本社海外拠点

本社と同等か、本社よりもハイレベル

本社レベルにほど遠い

日本で実施されている対策は以前から導入。セキュリティや個人情報保護に関する法制度が進んでいる欧米に多い

欧米以外の拠点に多い。専門知識・予算に制約が大きく、情報管理が文化として根付いていない場合もある。

海外拠点を監査した結果・・・

または


海外拠点に対するセキュリティ監査 ④

23

本社海外拠点

本社海外拠点

本社と同等か、本社よりもハイレベル

本社レベルにほど遠い

• 本社よりもレベルの高い拠点からは、積極的にナレッジを得る。

• 他の拠点に対する情報共有の可能性も検討。

• 自助努力による是正や改善要求よりも、本社から「何を支援してあげられるか」という方向で改善を検討する。

「監査結果」から何を検討するか？

是正/改善要求 X 支援の検討 ○ 改善策の指導 ○


海外拠点に対するセキュリティ監査 ⑤

24

本社海外拠点

国内拠点

監査

海外拠点

当面は「チェック」よりも「改善指導（支援）」と「ナレッジ共有」

監査を通じたナレッジ共有により、グローバルポリシーをスパイラルに改善


V. さいごに

25


グローバルなセキュリティガバナンスの留意事項

26

グローバルなセキュリティ対策の展開は

時間がかかる。

本社が情報共有のハブとなり、グループ

企業を支援する姿勢が重要。

基盤統合/クラウド化を常に検討。


本セミナーでご紹介しましたのは「総合リスクマネジメントサービス WideAngle」です。ぜひ展示エリアまでお越しください。

印の場所に展示しています。

ご清聴ありがとうございました。

グローバル企業におけるセキュリティ戦略 · copyright © ntt communications...

Documents