情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -

Slides:



Advertisements
Similar presentations
情報セキュリティ 第13回:2005年7月8日(金)   . 2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度  コンピュータ犯罪を取り締まる法律  個人情報保護法.
Advertisements

情報セキュリティ読本 情報セキュリティ読本 – プレゼンテーション資料 - 1 情報セキュリティ読本 - IT 時代の危機管理入門 - プレゼンテーション資料 (第 1 章 IT (情報技術)に潜む危険)
学校での個人情報漏えい例 修正パッチ未適用で ウィルス侵入 修正パッチ未適用で ウィルス侵入 無線LANに 外部から侵入 無線LANに 外部から侵入 校内LANから 成績データ流失 校内LANから 成績データ流失 生徒個人情報入 り ノートPC盗難 生徒個人情報入 り ノートPC盗難 ファイル交換ソフトか.
2.校務情報の整理と管 理 6 校務の情報化. この項目のねらい 校務に関する情報の整理の考え方について理 解する。校務に関する情報の管理にかかる留 意点について理解する。
従業員用端末における 手のひら静脈認証の導入について 2015年 月 日 提 案 資 料 0. 目次 第1章/情報セキュリティに関する課題、システム強化の目的 1-1 現在の認証セキュリティにおける情報漏えいのリスク 1-2 従来型のセキュリティ強化対策が抱える課題 第2章/手のひら静脈認証の導入検討.
  IronKey セキュアデバイスWEBサイト 
情報セキュリティ読本 - IT時代の危機管理入門 -
情報セキュリティ読本 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
Android と iPhone (仮題) 情報社会とコンピュータ 第13回
セキュリティ・アーキテクチャに基づく IT 設計
企業における母性健康管理体制の現状と課題についてお話いたします。
Novell ZENworks Desktop Management Starter Campaign
受動的攻撃について Eiji James Yoshida penetration technique research site
いじめ防止全体指導計画 【対応1】 未然防止・早期発見 【対応2】 緊急対応・早期対応 いじめ発生 基本姿勢 雲仙市立千々石第一小学校
マイナンバー対策 実演セミナー 1 2 第一部 13:30~14:30 2015年7月21日(火) 第二部 14:40~15:40
PacSec Nov 6, ISMSおよびその重要性 Richard Keirstead CISSP, BS7799 主任監査員
自宅で仕事をする時 ワークシート③ ☞研修例=各自記入5分+グループ協議7分+全体共有7分(1シート約20分)
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
大谷経営労務管理事務所のISO9001認証取得について
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
(別紙1)プロフェッショナルサービスの概要
情報セキュリティ読本 - IT時代の危機管理入門 -
実例1 テスト結果の入ったPC盗難 静岡市の市立小学校の男性教諭(39) 仕事のため私物パソコンを自宅に持ち帰る
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
於:県立中村高等学校 同朋学園本部事務局 河邊憲二
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
第5章 情報セキュリティ(前半) [近代科学社刊]
2009年7月16日 (初版 ) 駒澤大学 経営学部 教授 西村 和夫
セキュリティ・チェックリスト解説 【5~10分】
パッケージソフトウェア利用コンピュータシステム構築委託契約書 パッケージソフトウェア、OS、第三者ソフトウェアの使用許諾契約
教育支援センター技術支援課 関根啓由・吉元貴士・加茂清一 吉澤好良・牧嶋良美・千葉顕
情報ネットワーク論 最終回 動的ルーティング実験デモ ネットワークの構築・管理 遠隔?講義.
映像で知る情報セキュリティ あなたの会社のセキュリティドクター ~中小企業向け情報セキュリティ対策の基本~
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
マイナンバーは 企業のさまざまな場面で 取り扱われるため 企業の規模を問わず 情報漏えい対策は必須です!
Winny(ウィニー),Share(シェア)等の ファイル交換ソフトウェアによる 情報流出の防止策
情報セキュリティ - IT時代の危機管理入門 -
ケースで学ぶ! 個人情報保護の基礎 個人情報保護の最新対策 年版 eラーニングコースで対策を!
情報セキュリティについて                         総務部ネットワーク管理G 2017年4月11日                        
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
社内 本 人 委託先 提供先 委託元 委託先 ①社内での取得 ①社内での取得 ③移送・送信 ④入力 ②社外での取得 ⑤利用・加工 ⑥提供
情報基盤センター 分散システムセキュリティ支援掛 2000年4月18日
第2回 コンピュータ化システム 適正ガイドラインについて
情報セキュリティ - IT時代の危機管理入門 -
情報の収集と共有 第3章 3節  ネットワーク社会のルールとマナー 2 情報の安全性確保 p68~p71.
「コンピュータと情報システム」 10章 システムの運用と管理
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
学校から持ち出す時 ワークシート② ☞研修例=各自記入5分+グループ協議7分+全体共有7分(1シート約20分)
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
改正 個人情報保護法が全面施行 どう対策 すればいいの? 何が変わるの? POINT.1 小規模取扱い事業者への対応 POINT.2
セキュリティ・チェックリスト 【5分】 セキュリティ全般について USBメモリ等でデータを持ち出す際について
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
校内研修・導入編 【10分】 ① ② ☞研修例=研修の導入として10分程度,情報セキュリティに関する基本的な
情報セキュリティ - IT時代の危機管理入門 -
コミュニケーションと ネットワークを探索する
第一回 情報セキュリティ 05A1027 後藤航太.
~求められる新しい経営観~ 経済学部 渡辺史門
資料10-1 エコアクション21  事業概要.
パッケージソフトウェア利用コンピュータシステム構築委託契約書 パッケージソフトウェア、OS、第三者ソフトウェアの使用許諾契約
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
内部統制とは何か.
長野大学における科研費等の運営・管理について
学校における教育の情報化の推進と校内研修の企画運営
個人情報に関する基本方針 基本方針 具体的な取り組み 相談体制
Presentation transcript:

情報セキュリティ読本 三訂版 - IT時代の危機管理入門 - (第4章 組織の一員としてのセキュリティ対策)

第4章 組織の一員としてのセキュリティ対策 組織のセキュリティ対策 従業員としての心得 気を付けたい情報漏えい 終わりのないプロセス

1. 組織のセキュリティ対策 1)計画(Plan) - 体制の整備とポリシーの策定 2)実行(Do) - 導入と運用 第4章 1. 組織のセキュリティ対策 1)計画(Plan) - 体制の整備とポリシーの策定 2)実行(Do) - 導入と運用 3)点検(Check) - 監視と評価 4)処置(Act) - 見直しと改善

1) 計画(Plan)- 体制の整備とポリシーの策定 第4章 > 1. 組織のセキュリティ対策 1) 計画(Plan)- 体制の整備とポリシーの策定 組織内の体制を確立する セキュリティポリシーを策定する 対策事項の立案と手順書の整備

情報セキュリティを推進するための体制を組織内に作ることが出発点 実施担当者と、その役割、権限、責任を定める 望ましい体制 第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan) 組織内の体制を確立する 情報セキュリティを推進するための体制を組織内に作ることが出発点 実施担当者と、その役割、権限、責任を定める 望ましい体制 経営陣が中心となって取り組む 全社横断的な体制 トップダウンの管理体制

セキュリティポリシーの策定 (1) セキュリティポリシーとは セキュリティポリシーの階層 第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan) セキュリティポリシーの策定 (1) セキュリティポリシーとは 組織として一貫したセキュリティ対策を行うために、組織のセキュリティ方針と対策の基準を示したもの セキュリティポリシーの階層 基本方針 対策基準 対策実施手順

情報セキュリティポリシーの階層 セキュリティポリシー 基本方針(基本ポリシー) 対策基準(スタンダード) 実施手順(プロシージャ) 第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan) 情報セキュリティポリシーの階層 セキュリティポリシー 情報セキュリティ対策に対する基本的な考え方 (組織の情報セキュリティに対する取り組み姿勢を示す) 基本方針(基本ポリシー) 情報セキュリティを確保するために遵守すべき規定 対策基準(スタンダード) 対策基準を実施するための詳細な手順書(マニュアル等) 実施手順(プロシージャ)

セキュリティポリシーの策定 (2) 策定前の準備 責任者と担当者を明確にする 情報資産の「何を守るのか」を決定する 第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan) セキュリティポリシーの策定 (2) 策定前の準備 情報資産の「何を守るのか」を決定する 「どのようなリスクがあるのか」を分析する 責任者と担当者を明確にする 組織体の長=情報セキュリティの最高責任者

対策事項の立案と手順書の整備 対策基準とは 実施手順とは 情報資産を脅威から守る方法を具体的に定めたもの 第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan) 対策事項の立案と手順書の整備 対策基準とは 情報資産を脅威から守る方法を具体的に定めたもの 実施手順とは 対策基準を実際の行動に移す際の手順書(マニュアルのようなもの) 最初に設定する内容とその手順 定期的に実施する対策の手順 インシデント発生時の対策と手順

第4章 > 1. 組織のセキュリティ対策 2) 実行(Do)- 導入と運用 導入フェーズ 運用フェーズ

導入フェーズ(1) 構築と設定 設定における注意点 ウイルス対策ソフトやファイアウォールなどのセキュリティ装置の導入、暗号機能の導入 第4章 > 1. 組織のセキュリティ対策 > 2) 実行(Do) 導入フェーズ(1) 構築と設定 ウイルス対策ソフトやファイアウォールなどのセキュリティ装置の導入、暗号機能の導入 OS、アプリケーションのセキュリティ設定 設定における注意点 デフォルト設定は使用しない 不要なサービスの停止  デフォルト設定:  出荷時またはインストール後の初期状態の設定のこと。特に指定しないときは、  この設定値が適用される。

導入フェーズ(2) 脆弱性の解消 レベルに応じたアクセス制御 最新の修正プログラムを適用 組織のメンバーごとにアクセスレベルを設定 第4章 > 1. 組織のセキュリティ対策 > 2) 実行(Do) 導入フェーズ(2) 脆弱性の解消 最新の修正プログラムを適用 レベルに応じたアクセス制御 組織のメンバーごとにアクセスレベルを設定 アクセスできる範囲と操作権限を制限する

セキュリティポリシーの周知徹底とセキュリティ教育 第4章 > 1. 組織のセキュリティ対策 > 2) 実行(Do) 運用フェーズ セキュリティポリシーの周知徹底とセキュリティ教育 役割と責任、セキュリティ対策上のルールを周知 被害に遭わないために脅威と対策を教える 脆弱性対策 定期的な情報収集とパッチの適用 異動/退職社員のフォロー 退職者のアカウントは確実に削除(セキュリティホールになりうる)

第4章 > 1. 組織のセキュリティ対策 3) 点検(Check) - 監視と評価 - 監視と評価 セキュリティ事故への対処

ネットワークを監視し、異常や不正アクセスを検出する 第4章 > 1. 組織のセキュリティ対策 > 3) 点検(Check) 監視と評価 ネットワークを監視し、異常や不正アクセスを検出する 通信、不正アクセスの監視 異常検知、不正アクセス検知、脆弱性検査 ポリシーが守られているか自己または第三者による評価を行う 自己点検(チェックリストなどにより実施) 情報セキュリティ対策ベンチマークでの自己診断 情報セキュリティ監査 組織の情報セキュリティ対策の自己診断-- 情報セキュリティ対策ベンチマーク http://www.ipa.go.jp/security/benchmark/ 

セキュリティポリシーに則ったインシデント対応 特に注意すべき点 第4章 > 1. 組織のセキュリティ対策 > 3) 点検(Check) セキュリティ事故への対処 セキュリティポリシーに則ったインシデント対応 特に注意すべき点 被害状況を調査し、二次災害を防ぐ 原因を特定し、再発防止策を徹底する 実施した対応の記録、各種届出(必要な場合) 対応窓口を設置し、正確な情報を提供する

4) 処置(Act) - 見直しと改善 セキュリティポリシーを見直し、改善点を検討する 第4章 > 1. 組織のセキュリティ対策 4) 処置(Act) - 見直しと改善 セキュリティポリシーを見直し、改善点を検討する セキュリティマネジメントサイクルの実施にともない、情報セキュリティ対策を高めることが重要

2. 従業員としての心得 規則を知り、遵守する 情報セキュリティ上の脅威と対策を知る 「自分だけは…」、「これぐらいなら…」は通用しない 第4章 2. 従業員としての心得 規則を知り、遵守する 情報セキュリティ上の脅威と対策を知る 「自分だけは…」、「これぐらいなら…」は通用しない 必ず上司に報告・相談する 特に、情報漏えいに気を付ける

3. 気を付けたい情報漏えい 情報漏えいの経路と原因 情報漏えいを防止するための管理対策のポイント 第4章 3. 気を付けたい情報漏えい 情報漏えいの経路と原因 情報漏えいを防止するための管理対策のポイント 企業や組織の一員としての情報セキュリティ心得

情報漏えいの経路と原因 情報漏えいの経路 情報漏えいの原因 人為的なミスを防ぐことが重要 第4章 > 3. 気を付けたい情報漏えい 情報漏えいの経路と原因 情報漏えいの経路 PC本体、外部記憶媒体(CD、DVD、USBメモリなど)、紙媒体、P2Pファイル交換ソフト 情報漏えいの原因 紛失・盗難、P2Pファイル交換ソフト経由、誤送信、内部犯行が8割 人為的なミスを防ぐことが重要

情報漏えいを防止するための管理対策のポイント 第4章 > 3. 気を付けたい情報漏えい 情報漏えいを防止するための管理対策のポイント P2Pファイル交換ソフトは使用しない 私物パソコンを業務で使用しない(持ち込ませない) 個人情報や機密情報を外部に持ち出さない(記憶媒体にコピーしない) 社用のノートブックパソコンを持ち出す場合は、ルールを決めて厳密に管理する

企業や組織の一員としての情報セキュリティ心得(1) 第4章 > 3. 気を付けたい情報漏えい 企業や組織の一員としての情報セキュリティ心得(1) 企業や組織の情報や機器を、許可なく持ち出さない 私物のノートパソコンやプログラムなどを、許可なく、企業や組織に持ち込まない 企業や組織の情報や機器を未対策のまま放置しない 企業や組織の情報や機器を未対策のまま廃棄しない

企業や組織の一員としての情報セキュリティ心得(2) 第4章 > 3. 気を付けたい情報漏えい 企業や組織の一員としての情報セキュリティ心得(2) 個人に割り当てられた権限を他の人に貸与または譲渡しない 業務上知り得た情報を公言しない 情報漏えいを起こした場合は速やかに報告する

4. 終わりのないプロセス 一度、導入・設定すればそれで終わり、というものではない。 運用、見直し、フィードバックを繰り返すプロセスが必要。 第4章 4. 終わりのないプロセス 一度、導入・設定すればそれで終わり、というものではない。 運用、見直し、フィードバックを繰り返すプロセスが必要。 技術面だけでなく、管理面も強化する 技術的対策と管理的対策はクルマの両輪の関係

情報セキュリティにおけるさまざまな対策 第4章 > 4. 終わりのないプロセス 参考) IPAセキュリティセンター「情報セキュリティマネジメントについて」 http://www.ipa.go.jp/security/manager/protect/management.html  参考)読者層別:情報セキュリティ対策実践情報: http://www.ipa.go.jp/security/awareness/awareness.html

本資料の利用条件 著作権は独立行政法人 情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。 営利目的の使用はご遠慮下さい。 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。   上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。 なお、参考までに、 isec-info@ipa.go.jp まで以下をお知らせ下さい。   ・使用する方もしくは組織の名称   ・使用目的   ・教育への参加人数 ご質問、ご要望等は、 isec-info@ipa.go.jp までお知らせ下さい。