情報セキュリティ - IT時代の危機管理入門 -

Slides:



Advertisements
Similar presentations
情報セキュリティ 第13回:2005年7月8日(金)   . 2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度  コンピュータ犯罪を取り締まる法律  個人情報保護法.
Advertisements

個人情報保護講座 目 次 第1章 はじめに 第2章 個人情報と保有個人情報 第3章 個人情報保護条例に規定されている県の義務 第4章 個人情報の漏えい 第5章 個人情報取扱事務の登録 第6章 保有の制限 第7章 個人情報の取得制限 第8章 利用及び提供の制限 第9章 安全性及び正確性の確保 第 10.
学校での個人情報漏えい例 修正パッチ未適用で ウィルス侵入 修正パッチ未適用で ウィルス侵入 無線LANに 外部から侵入 無線LANに 外部から侵入 校内LANから 成績データ流失 校内LANから 成績データ流失 生徒個人情報入 り ノートPC盗難 生徒個人情報入 り ノートPC盗難 ファイル交換ソフトか.
2.校務情報の整理と管 理 6 校務の情報化. この項目のねらい 校務に関する情報の整理の考え方について理 解する。校務に関する情報の管理にかかる留 意点について理解する。
2015/03/12 事故事例分析に基づく 情報システム調達のリスク対策 静岡大学 齋田芽久美 平林元明 湯浦克彦.
  IronKey セキュアデバイスWEBサイト 
労働安全衛生マネジメントシステム OHSAS18001:2007
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
手順書作りの鬼!? 顧客情報の漏洩を防ぎ、 情報をうまく活用するために手順書を作りませんか? 手順書工房寿寿壱です
Android と iPhone (仮題) 情報社会とコンピュータ 第13回
セキュリティ・アーキテクチャに基づく IT 設計
Novell ZENworks Desktop Management Starter Campaign
受動的攻撃について Eiji James Yoshida penetration technique research site
経営トップの「安全衛生方針」に基づく 労働災害防止活動を推進しましょう! ○ 労働災害防止に当たっては、具体的な取組に先立ち、労働者の安
緊急時の初期対応について ~ポジションペーパーの作成を通して~
いじめ防止全体指導計画 【対応1】 未然防止・早期発見 【対応2】 緊急対応・早期対応 いじめ発生 基本姿勢 雲仙市立千々石第一小学校
マイナンバー対策 実演セミナー 1 2 第一部 13:30~14:30 2015年7月21日(火) 第二部 14:40~15:40
PacSec Nov 6, ISMSおよびその重要性 Richard Keirstead CISSP, BS7799 主任監査員
IPネットワーク設備委員会 安全・信頼性検討作業班 報告概要 平成19年4月17日 情報通信審議会 情報通信技術分科会
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
大谷経営労務管理事務所のISO9001認証取得について
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
(別紙1)プロフェッショナルサービスの概要
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
於:県立中村高等学校 同朋学園本部事務局 河邊憲二
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
第5章 情報セキュリティ(前半) [近代科学社刊]
2009年7月16日 (初版 ) 駒澤大学 経営学部 教授 西村 和夫
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
セキュリティ・チェックリスト解説 【5~10分】
パッケージソフトウェア利用コンピュータシステム構築委託契約書 パッケージソフトウェア、OS、第三者ソフトウェアの使用許諾契約
顧客 「ISO9001」と「ISO22000」の違い ISO22000 ISO9001 リスクをなくす 顧客満足 食の安全性 品質の差別化
教育支援センター技術支援課 関根啓由・吉元貴士・加茂清一 吉澤好良・牧嶋良美・千葉顕
情報ネットワーク論 最終回 動的ルーティング実験デモ ネットワークの構築・管理 遠隔?講義.
コンピュータウィルスと脆弱性 情報社会と情報倫理 第13回.
映像で知る情報セキュリティ あなたの会社のセキュリティドクター ~中小企業向け情報セキュリティ対策の基本~
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
マイナンバーは 企業のさまざまな場面で 取り扱われるため 企業の規模を問わず 情報漏えい対策は必須です!
Winny(ウィニー),Share(シェア)等の ファイル交換ソフトウェアによる 情報流出の防止策
経営情報論B ⑬ 情報技術と社会(第11章).
情報セキュリティについて                         総務部ネットワーク管理G 2017年4月11日                        
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
東京大学における不正アクセス対策 東京大学 情報基盤センター 中山雅哉 2000年4月18日.
情報セキュリティ - IT時代の危機管理入門 -
情報基盤センター 分散システムセキュリティ支援掛 2000年4月18日
第2回 コンピュータ化システム 適正ガイドラインについて
情報セキュリティ - IT時代の危機管理入門 -
情報の収集と共有 第3章 3節  ネットワーク社会のルールとマナー 2 情報の安全性確保 p68~p71.
経営情報論B 第5回 経営情報システムの管理③(第7章).
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
改正 個人情報保護法が全面施行 どう対策 すればいいの? 何が変わるの? POINT.1 小規模取扱い事業者への対応 POINT.2
セキュリティ・チェックリスト 【5分】 セキュリティ全般について USBメモリ等でデータを持ち出す際について
課題研究ルーブリック評価の 活用マニュアル 平成30年1月10日 愛媛大学高大接続推進委員会 「課題研究」評価ワーキンググループ
今回作成する情報セキュリティ戦略(仮称)等及び情報セキュリティ管理規程等の関係
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
校内研修・導入編 【10分】 ① ② ☞研修例=研修の導入として10分程度,情報セキュリティに関する基本的な
情報セキュリティ - IT時代の危機管理入門 -
コミュニケーションと ネットワークを探索する
第一回 情報セキュリティ 05A1027 後藤航太.
~求められる新しい経営観~ 経済学部 渡辺史門
パッケージソフトウェア利用コンピュータシステム構築委託契約書 パッケージソフトウェア、OS、第三者ソフトウェアの使用許諾契約
安全活動の取り組み アサヒプリテック株式会社 2018/9/27  一般社団法人 埼玉県環境産業振興協会主催 労働安全衛生大会 講演用資料.
資格取得スキルⅠb (ITパスポート試験対策講座)
内部統制とは何か.
長野大学における科研費等の運営・管理について
情報モラル06 情報 セキュリティ.
学校における教育の情報化の推進と校内研修の企画運営
個人情報に関する基本方針 基本方針 具体的な取り組み 相談体制
Presentation transcript:

情報セキュリティ - IT時代の危機管理入門 - (第4章 組織の一員としてのセキュリティ対策) 株式会社エージェント BPO通信事業本部 井上 龍児

第4章 組織の一員としての情報セキュリティ対策 第4章 組織の一員としての情報セキュリティ対策 組織のセキュリティ対策 従業員としての心得 気を付けたい情報漏えい 終わりのないプロセス

1. 組織のセキュリティ対策 1)計画(Plan) - 体制の整備とポリシーの策定 2)実行(Do) - 導入と運用 3)点検(Check) - 監視と評価 4)処置(Act) - 見直しと改善

1) 計画(PLAN)- 体制の整備とポリシーの策定 ・ 組織内の体制を確立する ・ セキュリティポリシーを策定する ・ 対策事項の立案と手順書の整備

組織内の体制を確立する ・ 情報セキュリティを推進するための体制を 組織内に作ることが出発点 ・ 実施担当者と、その役割、権限、責任を定める ・ 望ましい体制 ・経営陣が中心となって取り組む ・全社横断的な体制 ・トップダウンの管理体制

セキュリティポリシーの策定 (1) ・ セキュリティポリシーとは ・組織として一貫したセキュリティ対策を行うために、 ・ セキュリティポリシーとは ・組織として一貫したセキュリティ対策を行うために、 組織のセキュリティ方針と対策の基準を示したもの ・ セキュリティポリシーの階層 ・基本方針 ・対策基準 ・対策実施手順

情報セキュリティポリシーの階層 セキュリティポリシー 基本方針(基本ポリシー) 対策基準(スタンダード) 実施手順(プロシージャ) 情報セキュリティ対策に対する基本的な考え方 (組織の情報セキュリティに対する取り組み姿勢を示す) 基本方針(基本ポリシー) 情報セキュリティを確保するために遵守すべき規定 対策基準(スタンダード) 対策基準を実施するための詳細な手順書(マニュアル等) 実施手順(プロシージャ)

セキュリティポリシーの策定 (2) ・ 策定前の準備 ・情報資産の「何を守るのか」を決定する ・「どのようなリスクがあるのか」を分析する ・ 策定前の準備 ・情報資産の「何を守るのか」を決定する ・「どのようなリスクがあるのか」を分析する ・ 責任者と担当者を明確にする ・組織体の長=情報セキュリティの最高責任者

対策事項の立案と手順書の整備 ・ 対策基準とは ・情報資産を脅威から守る方法を具体的に定めたもの ・ 実施手順とは ・対策基準を実際の行動に移す際の手順書 (マニュアルのようなもの) ・最初に設定する内容とその手順 ・定期的に実施する対策の手順 ・インシデント発生時の対策と手順

2) 実行(DO)- 導入と運用 ・ 導入フェーズ ・ 運用フェーズ

導入フェーズ(1) ・ 構築と設定 ・ウイルス対策ソフトやファイアウォールなどの セキュリティ装置の導入、暗号機能の導入 ・OS、アプリケーションのセキュリティ設定 ・ 設定における注意点 ・デフォルト設定は使用しない ・不要なサービスの停止  デフォルト設定:  出荷時またはインストール後の初期状態の設定のこと。  特に指定しないときは、この設定値が適用される。

導入フェーズ(2) ・ 脆弱性の解消 ・最新の修正プログラムを適用 ・ レベルに応じたアクセス制御 ・組織のメンバーごとにアクセスレベルを設定 ・アクセスできる範囲と操作権限を制限する

運用フェーズ ・ セキュリティポリシーの周知徹底とセキュリティ教育 ・役割と責任、セキュリティ対策上のルールを周知 ・被害に遭わないために脅威と対策を教える ・ 脆弱性対策 ・定期的な情報収集とパッチの適用 ・ 異動/退職社員のフォロー ・退職者のアカウントは確実に削除 (セキュリティホールになりうる)

3) 点検(CHECK) - 監視と評価 - ・ 監視と評価 ・ セキュリティ事故への対処

監視と評価 ・ ネットワークを監視し、異常や不正アクセスを検出する ・通信、不正アクセスの監視 ・異常検知、不正アクセス検知、脆弱性検査 ・ ポリシーが守られているか自己または第三者による評価 を行う ・自己点検(チェックリストなどにより実施) ・情報セキュリティ対策ベンチマークでの自己診断 ・情報セキュリティ監査 組織の情報セキュリティ対策の自己診断– 情報セキュリティ対策ベンチマーク http://www.ipa.go.jp/security/benchmark/ 

セキュリティ事故への対処 ・ セキュリティポリシーに則ったインシデント対応 ・ 特に注意すべき点 ・被害状況を調査し、二次災害を防ぐ ・ セキュリティポリシーに則ったインシデント対応 ・ 特に注意すべき点 ・被害状況を調査し、二次災害を防ぐ ・原因を特定し、再発防止策を徹底する ・実施した対応の記録、各種届出(必要な場合) ・対応窓口を設置し、正確な情報を提供する

4) 処置(ACT) - 見直しと改善 セキュリティポリシーを見直し、改善点を検討する セキュリティマネジメントサイクルの実施にともない、    情報セキュリティ対策を高めることが重要

2. 従業員としての心得 ・ 規則を知り、遵守する ・ 情報セキュリティ上の脅威と対策を知る ・ 「自分だけは…」、「これぐらいなら…」は通用しな い ・必ず上司に報告・相談する ・ 特に、情報漏えいに気を付ける

3. 気を付けたい情報漏えい ・ 情報漏えいの経路と原因 ・ 情報漏えいを防止するための管理対策のポイン ト ・ 企業や組織の一員としての情報セキュリティ心 得

情報漏えいの経路と原因 ・ 情報漏えいの経路 ・ 情報漏えいの経路 ・PC本体、スマートフォン、タブレット端末、 外部記憶媒体(USBメモリなど)、 紙媒体、P2Pファイル交換ソフト ・ 情報漏えいの原因 ・管理ミス、誤操作、紛失・置忘れが約8割 ・ 人為的なミスを防ぐことが重要

情報漏えいを防止するための管理対策のポイント ・ P2Pファイル交換ソフトは使用しない ・ 私物パソコン等を業務で使用しない(持ち込ませな い) ・ 個人情報や機密情報を外部に持ち出さない   (記憶媒体にコピーしない) ・ 社用のノートパソコンを持ち出す場合は、   ルールを決めて厳密に管理する

企業や組織の一員としての情報セキュリティ心得(1) ・ 企業や組織の情報や機器を、許可なく持ち出さない ・ 私物のノートパソコンやプログラムなどを、許可なく、 企業や組織に持ち込まない ・ 企業や組織の情報や機器を未対策のまま放置しない ・ 企業や組織の情報や機器を未対策のまま廃棄しない

企業や組織の一員としての情報セキュリティ心得(2) ・ 個人に割り当てられた権限を他の人に貸与または   譲渡しない ・ 業務上知り得た情報を公言しない ・ 情報漏えいを起こした場合は速やかに報告する

4. 終わりのないプロセス 一度、導入・設定すればそれで終わり、というもので はない。 運用、見直し、フィードバックを繰り返すプロセスが 必要。 技術面だけでなく、管理面も強化する 技術的対策と管理的対策はクルマの両輪の関係

情報セキュリティにおけるさまざまな対策 参考) IPAセキュリティセンター「情報セキュリティマネジメントについて」 http://www.ipa.go.jp/security/manager/protect/management.html  参考)読者層別:情報セキュリティ対策実践情報: http://www.ipa.go.jp/security/awareness/awareness.html