情報セキュリティ - IT時代の危機管理入門 - (第4章 組織の一員としてのセキュリティ対策) 株式会社エージェント BPO通信事業本部 井上 龍児
第4章 組織の一員としての情報セキュリティ対策 第4章 組織の一員としての情報セキュリティ対策 組織のセキュリティ対策 従業員としての心得 気を付けたい情報漏えい 終わりのないプロセス
1. 組織のセキュリティ対策 1)計画(Plan) - 体制の整備とポリシーの策定 2)実行(Do) - 導入と運用 3)点検(Check) - 監視と評価 4)処置(Act) - 見直しと改善
1) 計画(PLAN)- 体制の整備とポリシーの策定 ・ 組織内の体制を確立する ・ セキュリティポリシーを策定する ・ 対策事項の立案と手順書の整備
組織内の体制を確立する ・ 情報セキュリティを推進するための体制を 組織内に作ることが出発点 ・ 実施担当者と、その役割、権限、責任を定める ・ 望ましい体制 ・経営陣が中心となって取り組む ・全社横断的な体制 ・トップダウンの管理体制
セキュリティポリシーの策定 (1) ・ セキュリティポリシーとは ・組織として一貫したセキュリティ対策を行うために、 ・ セキュリティポリシーとは ・組織として一貫したセキュリティ対策を行うために、 組織のセキュリティ方針と対策の基準を示したもの ・ セキュリティポリシーの階層 ・基本方針 ・対策基準 ・対策実施手順
情報セキュリティポリシーの階層 セキュリティポリシー 基本方針(基本ポリシー) 対策基準(スタンダード) 実施手順(プロシージャ) 情報セキュリティ対策に対する基本的な考え方 (組織の情報セキュリティに対する取り組み姿勢を示す) 基本方針(基本ポリシー) 情報セキュリティを確保するために遵守すべき規定 対策基準(スタンダード) 対策基準を実施するための詳細な手順書(マニュアル等) 実施手順(プロシージャ)
セキュリティポリシーの策定 (2) ・ 策定前の準備 ・情報資産の「何を守るのか」を決定する ・「どのようなリスクがあるのか」を分析する ・ 策定前の準備 ・情報資産の「何を守るのか」を決定する ・「どのようなリスクがあるのか」を分析する ・ 責任者と担当者を明確にする ・組織体の長=情報セキュリティの最高責任者
対策事項の立案と手順書の整備 ・ 対策基準とは ・情報資産を脅威から守る方法を具体的に定めたもの ・ 実施手順とは ・対策基準を実際の行動に移す際の手順書 (マニュアルのようなもの) ・最初に設定する内容とその手順 ・定期的に実施する対策の手順 ・インシデント発生時の対策と手順
2) 実行(DO)- 導入と運用 ・ 導入フェーズ ・ 運用フェーズ
導入フェーズ(1) ・ 構築と設定 ・ウイルス対策ソフトやファイアウォールなどの セキュリティ装置の導入、暗号機能の導入 ・OS、アプリケーションのセキュリティ設定 ・ 設定における注意点 ・デフォルト設定は使用しない ・不要なサービスの停止 デフォルト設定: 出荷時またはインストール後の初期状態の設定のこと。 特に指定しないときは、この設定値が適用される。
導入フェーズ(2) ・ 脆弱性の解消 ・最新の修正プログラムを適用 ・ レベルに応じたアクセス制御 ・組織のメンバーごとにアクセスレベルを設定 ・アクセスできる範囲と操作権限を制限する
運用フェーズ ・ セキュリティポリシーの周知徹底とセキュリティ教育 ・役割と責任、セキュリティ対策上のルールを周知 ・被害に遭わないために脅威と対策を教える ・ 脆弱性対策 ・定期的な情報収集とパッチの適用 ・ 異動/退職社員のフォロー ・退職者のアカウントは確実に削除 (セキュリティホールになりうる)
3) 点検(CHECK) - 監視と評価 - ・ 監視と評価 ・ セキュリティ事故への対処
監視と評価 ・ ネットワークを監視し、異常や不正アクセスを検出する ・通信、不正アクセスの監視 ・異常検知、不正アクセス検知、脆弱性検査 ・ ポリシーが守られているか自己または第三者による評価 を行う ・自己点検(チェックリストなどにより実施) ・情報セキュリティ対策ベンチマークでの自己診断 ・情報セキュリティ監査 組織の情報セキュリティ対策の自己診断– 情報セキュリティ対策ベンチマーク http://www.ipa.go.jp/security/benchmark/
セキュリティ事故への対処 ・ セキュリティポリシーに則ったインシデント対応 ・ 特に注意すべき点 ・被害状況を調査し、二次災害を防ぐ ・ セキュリティポリシーに則ったインシデント対応 ・ 特に注意すべき点 ・被害状況を調査し、二次災害を防ぐ ・原因を特定し、再発防止策を徹底する ・実施した対応の記録、各種届出(必要な場合) ・対応窓口を設置し、正確な情報を提供する
4) 処置(ACT) - 見直しと改善 セキュリティポリシーを見直し、改善点を検討する セキュリティマネジメントサイクルの実施にともない、 情報セキュリティ対策を高めることが重要
2. 従業員としての心得 ・ 規則を知り、遵守する ・ 情報セキュリティ上の脅威と対策を知る ・ 「自分だけは…」、「これぐらいなら…」は通用しな い ・必ず上司に報告・相談する ・ 特に、情報漏えいに気を付ける
3. 気を付けたい情報漏えい ・ 情報漏えいの経路と原因 ・ 情報漏えいを防止するための管理対策のポイン ト ・ 企業や組織の一員としての情報セキュリティ心 得
情報漏えいの経路と原因 ・ 情報漏えいの経路 ・ 情報漏えいの経路 ・PC本体、スマートフォン、タブレット端末、 外部記憶媒体(USBメモリなど)、 紙媒体、P2Pファイル交換ソフト ・ 情報漏えいの原因 ・管理ミス、誤操作、紛失・置忘れが約8割 ・ 人為的なミスを防ぐことが重要
情報漏えいを防止するための管理対策のポイント ・ P2Pファイル交換ソフトは使用しない ・ 私物パソコン等を業務で使用しない(持ち込ませな い) ・ 個人情報や機密情報を外部に持ち出さない (記憶媒体にコピーしない) ・ 社用のノートパソコンを持ち出す場合は、 ルールを決めて厳密に管理する
企業や組織の一員としての情報セキュリティ心得(1) ・ 企業や組織の情報や機器を、許可なく持ち出さない ・ 私物のノートパソコンやプログラムなどを、許可なく、 企業や組織に持ち込まない ・ 企業や組織の情報や機器を未対策のまま放置しない ・ 企業や組織の情報や機器を未対策のまま廃棄しない
企業や組織の一員としての情報セキュリティ心得(2) ・ 個人に割り当てられた権限を他の人に貸与または 譲渡しない ・ 業務上知り得た情報を公言しない ・ 情報漏えいを起こした場合は速やかに報告する
4. 終わりのないプロセス 一度、導入・設定すればそれで終わり、というもので はない。 運用、見直し、フィードバックを繰り返すプロセスが 必要。 技術面だけでなく、管理面も強化する 技術的対策と管理的対策はクルマの両輪の関係
情報セキュリティにおけるさまざまな対策 参考) IPAセキュリティセンター「情報セキュリティマネジメントについて」 http://www.ipa.go.jp/security/manager/protect/management.html 参考)読者層別:情報セキュリティ対策実践情報: http://www.ipa.go.jp/security/awareness/awareness.html