情報セキュリティ - IT時代の危機管理入門 - （第4章 組織の一員としてのセキュリティ対策） 株式会社エージェント BPO通信事業本部 井上　龍児

第4章 組織の一員としての情報セキュリティ対策 第4章　組織の一員としての情報セキュリティ対策 組織のセキュリティ対策 従業員としての心得 気を付けたい情報漏えい 終わりのないプロセス

1. 組織のセキュリティ対策 1）計画（Plan） - 体制の整備とポリシーの策定 2）実行（Do） - 導入と運用 3）点検（Check） - 監視と評価 4）処置（Act） - 見直しと改善

1） 計画（PLAN）- 体制の整備とポリシーの策定 ・ 組織内の体制を確立する ・ セキュリティポリシーを策定する ・ 対策事項の立案と手順書の整備

組織内の体制を確立する ・ 情報セキュリティを推進するための体制を 組織内に作ることが出発点 ・ 実施担当者と、その役割、権限、責任を定める ・ 望ましい体制 ・経営陣が中心となって取り組む ・全社横断的な体制 ・トップダウンの管理体制

セキュリティポリシーの策定 （1） ・ セキュリティポリシーとは ・組織として一貫したセキュリティ対策を行うために、 ・　セキュリティポリシーとは ・組織として一貫したセキュリティ対策を行うために、 組織のセキュリティ方針と対策の基準を示したもの ・　セキュリティポリシーの階層 ・基本方針 ・対策基準 ・対策実施手順

情報セキュリティポリシーの階層 セキュリティポリシー 基本方針（基本ポリシー） 対策基準（スタンダード） 実施手順（プロシージャ） 情報セキュリティ対策に対する基本的な考え方 （組織の情報セキュリティに対する取り組み姿勢を示す） 基本方針（基本ポリシー） 情報セキュリティを確保するために遵守すべき規定 対策基準（スタンダード） 対策基準を実施するための詳細な手順書（マニュアル等） 実施手順（プロシージャ）

セキュリティポリシーの策定 （2） ・ 策定前の準備 ・情報資産の「何を守るのか」を決定する ・「どのようなリスクがあるのか」を分析する ・　策定前の準備 ・情報資産の「何を守るのか」を決定する ・「どのようなリスクがあるのか」を分析する ・　責任者と担当者を明確にする ・組織体の長＝情報セキュリティの最高責任者

対策事項の立案と手順書の整備 ・ 対策基準とは ・情報資産を脅威から守る方法を具体的に定めたもの ・ 実施手順とは ・対策基準を実際の行動に移す際の手順書 （マニュアルのようなもの） ・最初に設定する内容とその手順 ・定期的に実施する対策の手順 ・インシデント発生時の対策と手順

2） 実行（DO）- 導入と運用 ・ 導入フェーズ ・ 運用フェーズ

導入フェーズ（1） ・ 構築と設定 ・ウイルス対策ソフトやファイアウォールなどの セキュリティ装置の導入、暗号機能の導入 ・OS、アプリケーションのセキュリティ設定 ・ 設定における注意点 ・デフォルト設定は使用しない ・不要なサービスの停止 　デフォルト設定： 　出荷時またはインストール後の初期状態の設定のこと。 　特に指定しないときは、この設定値が適用される。

導入フェーズ（2） ・ 脆弱性の解消 ・最新の修正プログラムを適用 ・ レベルに応じたアクセス制御 ・組織のメンバーごとにアクセスレベルを設定 ・アクセスできる範囲と操作権限を制限する

運用フェーズ ・ セキュリティポリシーの周知徹底とセキュリティ教育 ・役割と責任、セキュリティ対策上のルールを周知 ・被害に遭わないために脅威と対策を教える ・ 脆弱性対策 ・定期的な情報収集とパッチの適用 ・ 異動/退職社員のフォロー ・退職者のアカウントは確実に削除 （セキュリティホールになりうる）

3） 点検（CHECK） - 監視と評価 - ・ 監視と評価 ・ セキュリティ事故への対処

監視と評価 ・ ネットワークを監視し、異常や不正アクセスを検出する ・通信、不正アクセスの監視 ・異常検知、不正アクセス検知、脆弱性検査 ・ ポリシーが守られているか自己または第三者による評価 を行う ・自己点検（チェックリストなどにより実施） ・情報セキュリティ対策ベンチマークでの自己診断 ・情報セキュリティ監査 組織の情報セキュリティ対策の自己診断– 情報セキュリティ対策ベンチマーク http://www.ipa.go.jp/security/benchmark/　

セキュリティ事故への対処 ・ セキュリティポリシーに則ったインシデント対応 ・ 特に注意すべき点 ・被害状況を調査し、二次災害を防ぐ ・　セキュリティポリシーに則ったインシデント対応 ・　特に注意すべき点 ・被害状況を調査し、二次災害を防ぐ ・原因を特定し、再発防止策を徹底する ・実施した対応の記録、各種届出（必要な場合） ・対応窓口を設置し、正確な情報を提供する

4） 処置（ACT） - 見直しと改善 セキュリティポリシーを見直し、改善点を検討する セキュリティマネジメントサイクルの実施にともない、 　　　情報セキュリティ対策を高めることが重要

2. 従業員としての心得 ・ 規則を知り、遵守する ・ 情報セキュリティ上の脅威と対策を知る ・ 「自分だけは…」、「これぐらいなら…」は通用しな い ・必ず上司に報告・相談する ・ 特に、情報漏えいに気を付ける

3. 気を付けたい情報漏えい ・ 情報漏えいの経路と原因 ・ 情報漏えいを防止するための管理対策のポイン ト ・ 企業や組織の一員としての情報セキュリティ心 得

情報漏えいの経路と原因 ・ 情報漏えいの経路 ・　情報漏えいの経路 ・PC本体、スマートフォン、タブレット端末、 外部記憶媒体（USBメモリなど）、 紙媒体、P2Pファイル交換ソフト ・　情報漏えいの原因 ・管理ミス、誤操作、紛失・置忘れが約8割 ・　人為的なミスを防ぐことが重要

情報漏えいを防止するための管理対策のポイント ・　P2Pファイル交換ソフトは使用しない ・　私物パソコン等を業務で使用しない（持ち込ませな い） ・　個人情報や機密情報を外部に持ち出さない 　　（記憶媒体にコピーしない） ・　社用のノートパソコンを持ち出す場合は、 　　ルールを決めて厳密に管理する

企業や組織の一員としての情報セキュリティ心得（1） ・ 企業や組織の情報や機器を、許可なく持ち出さない ・ 私物のノートパソコンやプログラムなどを、許可なく、 企業や組織に持ち込まない ・ 企業や組織の情報や機器を未対策のまま放置しない ・ 企業や組織の情報や機器を未対策のまま廃棄しない

企業や組織の一員としての情報セキュリティ心得（2） ・　個人に割り当てられた権限を他の人に貸与または 　　譲渡しない ・　業務上知り得た情報を公言しない ・　情報漏えいを起こした場合は速やかに報告する

4. 終わりのないプロセス 一度、導入・設定すればそれで終わり、というもので はない。 運用、見直し、フィードバックを繰り返すプロセスが 必要。 技術面だけでなく、管理面も強化する 技術的対策と管理的対策はクルマの両輪の関係

情報セキュリティにおけるさまざまな対策 参考） IPAセキュリティセンター「情報セキュリティマネジメントについて」 http://www.ipa.go.jp/security/manager/protect/management.html　 参考）読者層別：情報セキュリティ対策実践情報： http://www.ipa.go.jp/security/awareness/awareness.html