ぼくの全チ全ノウ

公開: 2023/12/27
改訂: -

# Work History

  • 私の社会人経験を公開します。


# インフラ時代(2010年〜2018年)

  • ITインフラサービスの運営管理
  • 以下の職務を担当しました。

# 担当職務一覧

No 職務 概要
01 ファイルサーバ運営管理 Windowsファイル共有機能を使ったファイルサーバシステムの運営管理です。
02 XenApp運営管理 Citrix社のXenAppを使い、私用端末から安全に会社リソースを使用するサービスの運営管理です。
03 標準業務プロセス構築及び運営管理 部署標準となる業務プロセスを定義し、webシステム化することで承認等のプロセスを確実に実施してもらう仕組みの構築とシステムの運営管理です。
04 IPアドレス自動発行システム運営 Excel VBAを使い、依頼メールからIPアドレスを全自動で発行(発行後の返信含む)するシステムの開発とその運営です。
05 ガラケーアクセス運営管理 ガラパゴス携帯から会社内のリソースを使用するサービスの運営管理です。

# 1. ファイルサーバ運営管理

準備中〜

# 2. XenApp運営管理

準備中〜

# 3. 標準業務プロセス構築及び運営管理

準備中〜

# 4. IPアドレス自動発行システム運営

準備中〜

# 5. ガラケーアクセス運営管理

準備中〜


# セキュリティ支援時代(2018年〜2021年)

  • 2018年に情報システムセキュリティの部署に異動しました。
  • 異動先では持ち株会社と事業会社のセキュリティを支援する役割を担いました。
  • 以下の職務を担当しました。

# 担当職務一覧

No 職務 概要
01 従業員向けセキュリティ教育 従業員向けに情報セキュリティの重要性を伝えるプレゼンを定期的に行う活動です。
02 セキュリティ関連規則作成 情報システムセキュリティに関する規則を作成する活動です。
03 CSIRT対応手順整備 CSIRTとしての対応手順や関連部署との連携フローを整備する活動です。
04 インシデント対応訓練 インシデント発生を想定したシナリオを作成し、各参加者に実施するべきアクションを議論をしてもらう活動です。
05 CASB検討 自社向けにCASBの導入に向けた有効性の検討をする活動です。
06 拠点隔離フロー検討 マルウェア感染等が発生したときに感染が広がらないように拠点を隔離する判断基準を定める活動です。

# 1. 従業員向けセキュリティ教育

::: tips 概要
いくつかのシチュエーションで従業員向けの教育プレゼンテーションを行いました。
:::

# シチュエーション1: 新入社員向けプレゼン

  • 約200名を前にマイク片手に40分の説明を行いました。
  • 年1回の一大イベントです。
  • 以下の内容をプレゼンしました。
    • セキュリティの脅威動向
    • 自社が行っている対策の紹介
    • みなさま一人一人が気をつけること
    • 問題が起きた時に取るべきアクション
  • コロナウィルス感染症の頃から、対面での説明から事前収録動画の配信に変わりました。

# シチュエーション2: IT担当向けプレゼン

  • オンラインで約600名を相手に15〜20分の説明を行いました。
  • 四半期ごとに異なるテーマを説明しました。
  • 以下の内容をプレゼンしました。
    • セキュリティ関連の最近の脅威動向
    • 今後実施する予定の対策
    • IT担当として気をつけるべきこと
    • 問題が起きた時に取るべきアクション

# 気づき

  • 相手が知りたいことに合わせてプレゼンの内容を変えてお話することが大事だということがわかりました。
  • プレゼンは苦手意識がありましたが、周りからの評価が高く、自分の認識と「周りから見える自分」のギャップがあることに気づけました。
  • フィードバックをもらうことで自分の「新たな強み」を見つけられることに気づけました。
  • プレゼン資料作りには作法があって、それを守ると見やすい資料になることがわかりました。

# 2. セキュリティ関連規則作成

::: tips 概要

  • 情報システムセキュリティに関する新たな規則の策定を行いました。
  • 社内に基本的な規則はあったもののクラウドサービスやソーシャルメディアといった外部リソースに関する関する規則がありませんでした。それらを作成しました。
    :::

# 作成規則1: ソーシャルメディア利用規則

  • 業務でソーシャルメディアを利用する際の規則です。
  • ソーシャルメディアの定義が非常に難しかったです。何かを投稿して他者とコミュニケーションを取れるものと考えました。
    • 口コミ欄があるウェブサイトもソーシャルメディアなのか?これは企業によって見解がわかれるポイントかと思います。
  • 考えられるものは次のようなものがあります。1つ1つ含むかどうか悩みながら、適切な適用範囲となる言葉の定義を検討しました。
    • SNS(Twitter、Facebook等)
    • チャット(LINE等)
    • レシピサイト
    • 飲食店検索サイト
    • 対象者限定のコミュニティ(Discord等)
    • ショッピングサイト(Amazon、楽天等)

# 作成規則2: クラウドサービス利用規則

  • 業務でクラウドサービスを利用する際の規則です。
  • クラウドサービスを利用するときは、特定の社内手続き(申請)を行うように定めました。
    • クラウドサービスごとに運用の責任者を定めることや、CSIRT長が承認すること等を記載しました。
  • また、申請時のチェックシートを用意しました。
    • 運用を続けていくと、企業としてのクラウド活用が進み、1日あたりの申請件数が増えていきました。
    • Excelチェックシートはやっぱり大変だと気づき、この数年後に申請をWEBシステム化することになります。そのベースとなります。
  • 色々と議論をした結果、チェックシートにはクラウドサービス提供事業者が記載すべき事項を用意しました。
    • ISO27017/ISO27018、CSA STAR、SOC Level2/Level3等の認証制度を持っている企業はいくつかの質問をスキップできるようにしました。
    • しかし、ISO27001(ISMS)を持っている企業が、誤って 27017/27018 を持っていると申告してくることが非常に多かったです。

# 作成規則3: ウェブサイト公開規則

準備中〜

# 気づき

  • クラウドやSNS等の社外リソースを使うものについては、社内で行なっているセキュリティ対策が適用できないので、実態を調査したり利用者が注意することが大事だとわかりました。
  • 申請手続きは受ける側が許可を出す基準の用意も必要だとわかりました。
    • 申請を受けた後、複数名でレビューをして承認していましたが、基準が明確でないと議論が長引きます。
    • また、日に日に申請件数が増えていく状況もあり、将来を考えた早期の運用設計が重要だと考えます。

# 3. CSIRT対応手順整理

::: tips 概要

  • CSIRTとして、インシデントが発生したときに実施する対応を手順として整理する活動を行いました。
    :::

# 作成ドキュメント1: インシデントレベル表

  • インシデントの規模によって集めるメンバーが異なります。判明している状況からインシデントの規模を判断する基準表を作成しました。
    • 事業影響がほとんどないもの: 最も軽微なインシデントとしました。
    • 何らかの影響があるがCSIRTのみで対応できる規模のもの: 中規模インシデントとしました。
    • 他部署と連携した対応が必要なもの: 重大インシデントとしました。
  • ただし、このような判定基準を用意してもセキュリティイベントの種類によっては判別が困難なものがあります。そこで、イベントの種類ごとに判断例を用意することにしました。
    • マルウェア感染
    • DoS攻撃の被害
    • ビジネスメール詐欺(BEC)
    • デバイスの紛失
    • 情報漏洩
    • 不正アクセス
    • ウェブサイトの改ざん
    • なりすまし

# 作成ドキュメント2: インシデント連携フロー

準備中〜

# 作成ドキュメント3: インシデント対応マニュアル

準備中〜

# 気づき

  • インシデントの判断は、可能性があるものも含めて最大の影響を想定した判断が必要だとわかりました。

# 4. インシデント対応訓練

::: tips 概要

  • インシデントを想定した訓練の企画、実行を行いました。

  • 当日の進行や振り返りを経て、自社の課題を見つける活動を行いました。
    :::

  • 役割

    • 企画(目的、日程、規模等の決定)
    • シナリオ作成
    • 関係者調整
    • 「CSIRTとしての心得」を説明する資料の作成、演習当日に説明
    • 当日の演習進行
    • 演習振り返り会の進行
    • 課題抽出、セキュリティ委員会への提言

  • 参加部署

    • 事業会社IT
    • ITベンダー
    • OT
    • 法務
    • 総務

  • シナリオ

    • 2019年は、不正アクセスシナリオで侵害経路を調べるようなシナリオを作成ました。
    • 2020年は、ランサムウェア感染で制御システムまで被害が発生するシナリオを作成しました。

# 気づき

  • 演習は企業の特徴(ネットワーク構成や、IT/OTシステムとの関係)などを反映したシナリオが重要です。
  • 参加者全員が役割を持てるようなシナリオを用意し、それぞれの部署が気づきを得られる仕組みが大事だとわかりました。
  • 相手の業務を知っていると、演習の品質が変わります。制御システムや法律のことを勉強しておいてよかったです。

# 5. CASB検討

::: tips 概要

  • 企業グループ全体で使用するCASB導入に向けて、4社製品を比較検討しました。
    :::

  • PoC期間はそれぞれ2ヶ月ほど頂きましたが、4製品並行で実施するし他業務もたんまりあったため、1製品あたりに取れる時間が少なかったです。

    • 複数製品を同時並行でやろうとしたのは、同じイベントを検知する製品/検知しない製品を比べる等の目的です。

  • 9カテゴリの検証項目を用意したものの、全てを消化できない事態に陥りました。

    • 中でも優先度の高い検証項目は確実に終わらせることを

# 6. 拠点隔離フロー検討

::: tips 概要

  • ランサムウェアなどの影響が大きいセキュリティインシデントが発生した時に、事業拠点をネットワークから切り離すための検討を行いました。
    :::

    準備中〜


# 研修時代(2021年〜2022年)

  • IPA中核人材育成プログラムに参加しました(第5期生)

# 1-1. ITセキュリティの学習

準備中〜

# 1-2. OTセキュリティの学習

準備中〜

# 1-3. ビジネス汎用スキルの学習

準備中〜

# 2-1. 組織論プロジェクト

準備中〜

# 2-2. ICSクラウドプロジェクト

準備中〜

# 2-3. 海外セキュリティプロジェクト

準備中〜


# 事業会社セキュリティ時代(2022年〜2024年)

  • 以下の職務を担当しました。

# 担当職務一覧

No 職務 概要
01 従業員向けセキュリティ教育
02 CSIRT初動対応体制整備
03 セキュリティ情報発信ポータル構築
04 グループ会社セキュリティアセスメント
05 PCの管理者権限取り上げ
06 メール警告タグ付与
07 PPAP(PW付きzip)受信禁止
08 USBメモリ読み取り制限

# 01. 従業員向けセキュリティ教育

準備中〜

# 02. CSIRT初動対応体制整備

準備中〜

# 03. セキュリティ情報発信ポータル構築

準備中〜

# 04. グループ会社セキュリティアセスメント

準備中〜

# 05. PCの管理者権限取り上げ

準備中〜

# 06. メール警告タグ付与

準備中〜

# 07. PPAP(PW付きzip)受信禁止

::: tips 概要

  • パスワード設定された圧縮フォルダは、メール受信時のウイルス検査をすり抜けてしまうリスクがあるので、経営判断で受信を止めることになりました。
  • 業務影響を考え、受信時に「隔離」する方針とし、従業員への説明を行いながら受信禁止を実現しました。
    :::

    準備中〜

# 08. USBメモリ読み取り制限

準備中〜

以上