情報セキュリティ読本 四訂版 - IT時代の危機管理入門 - (第4章 組織の一員としてのセキュリティ対策)
第4章 組織の一員としての情報セキュリティ対策 第4章 組織の一員としての情報セキュリティ対策 組織のセキュリティ対策 従業員としての心得 気を付けたい情報漏えい 終わりのないプロセス
1. 組織のセキュリティ対策 1)計画(Plan) - 体制の整備とポリシーの策定 2)実行(Do) - 導入と運用 第4章 1. 組織のセキュリティ対策 1)計画(Plan) - 体制の整備とポリシーの策定 2)実行(Do) - 導入と運用 3)点検(Check) - 監視と評価 4)処置(Act) - 見直しと改善
1) 計画(Plan)- 体制の整備とポリシーの策定 第4章 > 1. 組織のセキュリティ対策 1) 計画(Plan)- 体制の整備とポリシーの策定 組織内の体制を確立する セキュリティポリシーを策定する 対策事項の立案と手順書の整備
情報セキュリティを推進するための体制を組織内に作ることが出発点 実施担当者と、その役割、権限、責任を定める 望ましい体制 第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan) 組織内の体制を確立する 情報セキュリティを推進するための体制を組織内に作ることが出発点 実施担当者と、その役割、権限、責任を定める 望ましい体制 経営陣が中心となって取り組む 全社横断的な体制 トップダウンの管理体制
セキュリティポリシーの策定 (1) セキュリティポリシーとは セキュリティポリシーの階層 第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan) セキュリティポリシーの策定 (1) セキュリティポリシーとは 組織として一貫したセキュリティ対策を行うために、組織のセキュリティ方針と対策の基準を示したもの セキュリティポリシーの階層 基本方針 対策基準 対策実施手順
情報セキュリティポリシーの階層 セキュリティポリシー 基本方針(基本ポリシー) 対策基準(スタンダード) 実施手順(プロシージャ) 第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan) 情報セキュリティポリシーの階層 セキュリティポリシー 情報セキュリティ対策に対する基本的な考え方 (組織の情報セキュリティに対する取り組み姿勢を示す) 基本方針(基本ポリシー) 情報セキュリティを確保するために遵守すべき規定 対策基準(スタンダード) 対策基準を実施するための詳細な手順書(マニュアル等) 実施手順(プロシージャ)
セキュリティポリシーの策定 (2) 策定前の準備 責任者と担当者を明確にする 情報資産の「何を守るのか」を決定する 第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan) セキュリティポリシーの策定 (2) 策定前の準備 情報資産の「何を守るのか」を決定する 「どのようなリスクがあるのか」を分析する 責任者と担当者を明確にする 組織体の長=情報セキュリティの最高責任者
対策事項の立案と手順書の整備 対策基準とは 実施手順とは 情報資産を脅威から守る方法を具体的に定めたもの 第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan) 対策事項の立案と手順書の整備 対策基準とは 情報資産を脅威から守る方法を具体的に定めたもの 実施手順とは 対策基準を実際の行動に移す際の手順書(マニュアルのようなもの) 最初に設定する内容とその手順 定期的に実施する対策の手順 インシデント発生時の対策と手順
第4章 > 1. 組織のセキュリティ対策 2) 実行(Do)- 導入と運用 導入フェーズ 運用フェーズ
導入フェーズ(1) 構築と設定 設定における注意点 ウイルス対策ソフトやファイアウォールなどのセキュリティ装置の導入、暗号機能の導入 第4章 > 1. 組織のセキュリティ対策 > 2) 実行(Do) 導入フェーズ(1) 構築と設定 ウイルス対策ソフトやファイアウォールなどのセキュリティ装置の導入、暗号機能の導入 OS、アプリケーションのセキュリティ設定 設定における注意点 デフォルト設定は使用しない 不要なサービスの停止 デフォルト設定: 出荷時またはインストール後の初期状態の設定のこと。特に指定しないときは、 この設定値が適用される。
導入フェーズ(2) 脆弱性の解消 レベルに応じたアクセス制御 最新の修正プログラムを適用 組織のメンバーごとにアクセスレベルを設定 第4章 > 1. 組織のセキュリティ対策 > 2) 実行(Do) 導入フェーズ(2) 脆弱性の解消 最新の修正プログラムを適用 レベルに応じたアクセス制御 組織のメンバーごとにアクセスレベルを設定 アクセスできる範囲と操作権限を制限する
セキュリティポリシーの周知徹底とセキュリティ教育 第4章 > 1. 組織のセキュリティ対策 > 2) 実行(Do) 運用フェーズ セキュリティポリシーの周知徹底とセキュリティ教育 役割と責任、セキュリティ対策上のルールを周知 被害に遭わないために脅威と対策を教える 脆弱性対策 定期的な情報収集とパッチの適用 異動/退職社員のフォロー 退職者のアカウントは確実に削除(セキュリティホールになりうる)
第4章 > 1. 組織のセキュリティ対策 3) 点検(Check) - 監視と評価 - 監視と評価 セキュリティ事故への対処
ネットワークを監視し、異常や不正アクセスを検出する 第4章 > 1. 組織のセキュリティ対策 > 3) 点検(Check) 監視と評価 ネットワークを監視し、異常や不正アクセスを検出する 通信、不正アクセスの監視 異常検知、不正アクセス検知、脆弱性検査 ポリシーが守られているか自己または第三者による評価を行う 自己点検(チェックリストなどにより実施) 情報セキュリティ対策ベンチマークでの自己診断 情報セキュリティ監査 組織の情報セキュリティ対策の自己診断-- 情報セキュリティ対策ベンチマーク http://www.ipa.go.jp/security/benchmark/
セキュリティポリシーに則ったインシデント対応 特に注意すべき点 第4章 > 1. 組織のセキュリティ対策 > 3) 点検(Check) セキュリティ事故への対処 セキュリティポリシーに則ったインシデント対応 特に注意すべき点 被害状況を調査し、二次災害を防ぐ 原因を特定し、再発防止策を徹底する 実施した対応の記録、各種届出(必要な場合) 対応窓口を設置し、正確な情報を提供する
4) 処置(Act) - 見直しと改善 セキュリティポリシーを見直し、改善点を検討する 第4章 > 1. 組織のセキュリティ対策 4) 処置(Act) - 見直しと改善 セキュリティポリシーを見直し、改善点を検討する セキュリティマネジメントサイクルの実施にともない、情報セキュリティ対策を高めることが重要
2. 従業員としての心得 規則を知り、遵守する 情報セキュリティ上の脅威と対策を知る 「自分だけは…」、「これぐらいなら…」は通用しない 第4章 2. 従業員としての心得 規則を知り、遵守する 情報セキュリティ上の脅威と対策を知る 「自分だけは…」、「これぐらいなら…」は通用しない 必ず上司に報告・相談する 特に、情報漏えいに気を付ける
3. 気を付けたい情報漏えい 情報漏えいの経路と原因 情報漏えいを防止するための管理対策のポイント 第4章 3. 気を付けたい情報漏えい 情報漏えいの経路と原因 情報漏えいを防止するための管理対策のポイント 企業や組織の一員としての情報セキュリティ心得
情報漏えいの経路と原因 情報漏えいの経路 情報漏えいの原因 人為的なミスを防ぐことが重要 第4章 > 3. 気を付けたい情報漏えい 情報漏えいの経路と原因 情報漏えいの経路 PC本体、スマートフォン、タブレット端末、 外部記憶媒体(USBメモリなど)、 紙媒体、P2Pファイル交換ソフト 情報漏えいの原因 管理ミス、誤操作、紛失・置忘れが約8割 人為的なミスを防ぐことが重要
情報漏えいを防止するための管理対策のポイント 第4章 > 3. 気を付けたい情報漏えい 情報漏えいを防止するための管理対策のポイント P2Pファイル交換ソフトは使用しない 私物パソコン等を業務で使用しない(持ち込ませない) 個人情報や機密情報を外部に持ち出さない(記憶媒体にコピーしない) 社用のノートパソコンを持ち出す場合は、ルールを決めて厳密に管理する
企業や組織の一員としての情報セキュリティ心得(1) 第4章 > 3. 気を付けたい情報漏えい 企業や組織の一員としての情報セキュリティ心得(1) 企業や組織の情報や機器を、許可なく持ち出さない 私物のノートパソコンやプログラムなどを、許可なく、企業や組織に持ち込まない 企業や組織の情報や機器を未対策のまま放置しない 企業や組織の情報や機器を未対策のまま廃棄しない
企業や組織の一員としての情報セキュリティ心得(2) 第4章 > 3. 気を付けたい情報漏えい 企業や組織の一員としての情報セキュリティ心得(2) 個人に割り当てられた権限を他の人に貸与または譲渡しない 業務上知り得た情報を公言しない 情報漏えいを起こした場合は速やかに報告する
4. 終わりのないプロセス 一度、導入・設定すればそれで終わり、というものではない。 運用、見直し、フィードバックを繰り返すプロセスが必要。 第4章 4. 終わりのないプロセス 一度、導入・設定すればそれで終わり、というものではない。 運用、見直し、フィードバックを繰り返すプロセスが必要。 技術面だけでなく、管理面も強化する 技術的対策と管理的対策はクルマの両輪の関係
情報セキュリティにおけるさまざまな対策 第4章 > 4. 終わりのないプロセス 参考) IPAセキュリティセンター「情報セキュリティマネジメントについて」 http://www.ipa.go.jp/security/manager/protect/management.html 参考)読者層別:情報セキュリティ対策実践情報: http://www.ipa.go.jp/security/awareness/awareness.html
本資料の利用条件 著作権は独立行政法人情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。 営利目的の使用はご遠慮下さい。 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。 なお、参考までに、 isec-info@ipa.go.jp 宛に以下をお知らせ下さい。 ・使用する方もしくは組織の名称 ・使用目的 ・教育への参加人数 ご質問、ご要望等は、 isec-info@ipa.go.jp 宛にお知らせ下さい。