9月30日に情報セキュリティSummit2014に行って来た!その内容をメモメモ。の第二段
モバイルセキュリティ対策の「松・竹・梅」を考える
〜つながる時代のセキュリティ対策〜
日本スマートフォンセキュリティ協会 事務局長 西本氏
をメモメモ
日本スマートフォンセキュリティ協会
・3年目になる
・JSSEC(じぇーせっく)
・いろんな成果物
1.現状理解
→今起きていることを理解
昔:バスに乗ってる
今:バイクにいろいろ、かっ飛ばす→あやうい
若い人
→スマホから、ゲーム感覚、群れると楽しい
バカッター:世界共通
スマホ不正アプリ
→電池革命
(会場)iphoneのほうが増えている
ワンクリック詐欺:多い
Googleグループの情報漏えい
→だれも気づかないまま運用
少しは用心しよう!
スマート時代:あらゆる機器と人がつながる
IoT→IoTへ
Line
おじさんは、説教すらできない。
大人も子供も技術・用心ともに未熟のまま暴走
→危なっかしい
システムの状況変化
・もともとIT化は合理化が目的
今まで見向きもされなかった、データに着目
20世紀:機能(昨日は、機能の時代)
21世紀:データの活用→ビッグデータ
(今はデータの時代(データ経営、機械経営)
・合理化でいいのなら、高度なITを入れる必要あるのか?
・シャドウIT(だまって利用)
BYOD:自分たちのを使う→じゃま
天動説:社会が進化している
→社会のIT装置化→自分の会社システムは周辺
→社会ITに存在している従業員を活用する
地動説では、社会ITの適応が鍵
現在・過去・未来
1980年くらいから始まっている現在の変革
2030年ごろに一区切りするらしい
2005年革命は後半戦へ
ドラッガーの産業革命 前半と後半
ITも
社会のITに適応する
1)スマホは社会ITへの窓
2)社会ITへの窓の社内利用
(1)社内システムを社会ITに限定公開
(2)社会ITの活用
(3)社会ITへ→事業展開
見積もり、請求・・社会ITが用意すれば・・
よく見かける「一律禁止」
ある面、仕方ないけど、3ヶ月が限度
→そのうち理由つけて利用
→お客さんが向こう側にいるから
→形骸化
ウェアラブル
ウェアラブルで健康管理など
スマホ持込禁止はほとんど不可能
→基本的人権の侵害など
脅威と騒がれているが・・
スマホの現実的な脅威は?あおりすぎ?
JSSECで情報収集モジュールの調査を開始
日本多い
プライバシーポリシー
情報収集モジュール
アプリの脆弱性管理
1)アプリ
危険度の測定=利用機能X配布数Xブランド
危険な機能→連絡帳、位置情報など
悪意度(攻撃性)=危険度ー説明X分かりやすさー信頼度
2)スマート利用
リテラシー利用技術と知見
3)BYOD
管理責任と責任分解点→個人も責任が
現実的な脅威
1)スマホの噴出・盗難
1)過失
2)故意→特に内部の故意、常識の欠如
→必須
2)だまされる・理解不足
1)技術力・リテラシー
2)無関心
3)不正プログラム
1)閲覧するだけ→基本的ない
そもそも論
なぜ、そのシステムを?
なぜ、そのデータを
→何をやっても100%はないから
従業員の人にみつからないと思わせない
見つかってもやる
たいしたことない
自爆→重要な仕事させない
仕掛け→構造変革
垂直構造
利用部門
システム
セキュリティ
松竹梅で考える
経営陣の理解:非常に難しい
社会のIT化
経営者としてはずせないこと
1)ビジネスインパクトの把握
→職責分離など、「必要な無駄」への指令
2)丸投げ先の状況把握
→縦の先から違反を抽出(システムの無理)
→でーあおーなーへ改善命令(取り締まり)
ぷらんA これ以上のIT依存をやめる
ぷらんB 突き進む
1)社会ITへの従業員
2)社会ITの活用
3)社会ITへ展開
4)データ経営
多くは「他がやり出したら」
考え方
1)スマホはどっち
社内
社外
行ったりきたり
社内で使うなら制限
2)端末やアプリの管理
3)社内システムの利用
4)社会ITの利用
5)端末
会社支給
私物活用
私物排除
対策
1)物理的対策
2)技術的対策
3)制度的対策
会社にとって、ITシステムは松竹梅のどれ?
対策
保護責任
社会的責任
データ経営の志向
ITシステムの位置づけ
モバイルセキュリティ対策の「松・竹・梅」を考える
〜つながる時代のセキュリティ対策〜
日本スマートフォンセキュリティ協会 事務局長 西本氏
をメモメモ
日本スマートフォンセキュリティ協会
・3年目になる
・JSSEC(じぇーせっく)
・いろんな成果物
1.現状理解
→今起きていることを理解
昔:バスに乗ってる
今:バイクにいろいろ、かっ飛ばす→あやうい
若い人
→スマホから、ゲーム感覚、群れると楽しい
バカッター:世界共通
スマホ不正アプリ
→電池革命
(会場)iphoneのほうが増えている
ワンクリック詐欺:多い
Googleグループの情報漏えい
→だれも気づかないまま運用
少しは用心しよう!
スマート時代:あらゆる機器と人がつながる
IoT→IoTへ
Line
おじさんは、説教すらできない。
大人も子供も技術・用心ともに未熟のまま暴走
→危なっかしい
システムの状況変化
・もともとIT化は合理化が目的
今まで見向きもされなかった、データに着目
20世紀:機能(昨日は、機能の時代)
21世紀:データの活用→ビッグデータ
(今はデータの時代(データ経営、機械経営)
・合理化でいいのなら、高度なITを入れる必要あるのか?
・シャドウIT(だまって利用)
BYOD:自分たちのを使う→じゃま
天動説:社会が進化している
→社会のIT装置化→自分の会社システムは周辺
→社会ITに存在している従業員を活用する
地動説では、社会ITの適応が鍵
現在・過去・未来
1980年くらいから始まっている現在の変革
2030年ごろに一区切りするらしい
2005年革命は後半戦へ
ドラッガーの産業革命 前半と後半
ITも
社会のITに適応する
1)スマホは社会ITへの窓
2)社会ITへの窓の社内利用
(1)社内システムを社会ITに限定公開
(2)社会ITの活用
(3)社会ITへ→事業展開
見積もり、請求・・社会ITが用意すれば・・
よく見かける「一律禁止」
ある面、仕方ないけど、3ヶ月が限度
→そのうち理由つけて利用
→お客さんが向こう側にいるから
→形骸化
ウェアラブル
ウェアラブルで健康管理など
スマホ持込禁止はほとんど不可能
→基本的人権の侵害など
脅威と騒がれているが・・
スマホの現実的な脅威は?あおりすぎ?
JSSECで情報収集モジュールの調査を開始
日本多い
プライバシーポリシー
情報収集モジュール
アプリの脆弱性管理
1)アプリ
危険度の測定=利用機能X配布数Xブランド
危険な機能→連絡帳、位置情報など
悪意度(攻撃性)=危険度ー説明X分かりやすさー信頼度
2)スマート利用
リテラシー利用技術と知見
3)BYOD
管理責任と責任分解点→個人も責任が
現実的な脅威
1)スマホの噴出・盗難
1)過失
2)故意→特に内部の故意、常識の欠如
→必須
2)だまされる・理解不足
1)技術力・リテラシー
2)無関心
3)不正プログラム
1)閲覧するだけ→基本的ない
そもそも論
なぜ、そのシステムを?
なぜ、そのデータを
→何をやっても100%はないから
従業員の人にみつからないと思わせない
見つかってもやる
たいしたことない
自爆→重要な仕事させない
仕掛け→構造変革
垂直構造
利用部門
システム
セキュリティ
松竹梅で考える
経営陣の理解:非常に難しい
社会のIT化
経営者としてはずせないこと
1)ビジネスインパクトの把握
→職責分離など、「必要な無駄」への指令
2)丸投げ先の状況把握
→縦の先から違反を抽出(システムの無理)
→でーあおーなーへ改善命令(取り締まり)
ぷらんA これ以上のIT依存をやめる
ぷらんB 突き進む
1)社会ITへの従業員
2)社会ITの活用
3)社会ITへ展開
4)データ経営
多くは「他がやり出したら」
考え方
1)スマホはどっち
社内
社外
行ったりきたり
社内で使うなら制限
2)端末やアプリの管理
3)社内システムの利用
4)社会ITの利用
5)端末
会社支給
私物活用
私物排除
対策
1)物理的対策
2)技術的対策
3)制度的対策
会社にとって、ITシステムは松竹梅のどれ?
対策
保護責任
社会的責任
データ経営の志向
ITシステムの位置づけ