情報セキュリティ 第14回 2016年7月22日(金) 1/25 本日学ぶこと 本日の授業を通じて 「組織におけるセキュリティ」の基本的な考え方を学びます. 組織の持つ情報や計算機などを,継続的かつ安全に管理・運 用するのに有用な「セキュリティポリシー」を学習します. セキュリティ管理の仕組みである「ISMS」を,規格・制度と関連 づけて理解します. コンピュータ犯罪を取り締まる法律を概観したあと,個人情報の 機密性・完全性・可用性について法律化された「個人情報保護 法」を学習します. 2 セキュリティポリシー セキュリティポリシーとは? あるとどうなる? 組織の情報資産を守るための方針や基準を明文化したもの 情報セキュリティレベルの向上 セキュリティ対策の費用対効果の向上 対外的な信頼性の向上 何を書く? 組織の長の,情報セキュリティに関する方針・考え 適切な情報セキュリティを確保・維持するために遵守すべき ルール 3 セキュリティポリシーの基本構成 Policy Standard Procedure 概要 情報 セキュリティ 基本方針 情報セキュリティ 対策基準 情報セキュリティ 対策実施手続き,規定類 詳細 4 セキュリティポリシーを誰が作る?どう書く? セキュリティポリシー策定担当者の例 情報システム部門の責任者 総理(総務,庶務)部門・法務部門・監査部門の責任者 人事部門・人材育成部門の責任者 組織内システム管理者,組織内ネットワーク管理者 セキュリティポリシー策定の注意点 ポリシーを策定する範囲を明確にする 適用対象者を明確にする 目的や罰則を明確にする 運用を意識して,実現可能な内容にする 「パスワードは毎週変更すること」と書いて,みんなやって くれる? 5 情報セキュリティに関する規格・制度:背景 なぜ規格や制度が必要? 一体どこまでコストをかけて,セキュリティ対策を実施すれば いいのか? 自分の組織の情報セキュリティの水準は,同業者や世間一般 と比較してどの程度なのだろうか? 情報セキュリティの水準を客観的に評価するための基準や 制度があればいい! 6 規格・制度 ISO/IEC 15408 (JIS X 5070) プライバシーマーク制度 (JIS Q 15001) 企業における個人情報保護措置の適切性を評価・認定 ISO/IEC 27000/ISMS (JIS Q 27001) IT関連製品のセキュリティ品質を評価・認証 ISMS: Information Security Management System 情報セキュリティマネジメントの適切性を評価・認定 ISO 9000:品質マネジメントシステム ISO 14000:環境マネジメントシステム 7 ISO/IEC 27000/ISMSおよび関連する規格 ISO 27000シリーズが情報セキュリティマネジメントの 世界標準として規格化され,ISMSはその一部に BS 7799-2 → ISO/IEC 27001,JIS Q 27001 BS 7799-1 → ISO/IEC 17799,JIS X 5080 → ISO/IEC 27002,JIS Q 27002 ISMS 要求事項 情報セキュリティマネジメントの実践のための規範 ISO 31000 → JIS Q 31000 リスクマネジメント規格 8 規格の略称等 略称 ISO: International Organization for Standardization (国際標準化機構) IEC: International Electrotechnical Commission (国際電気標準会議) BS: British Standards(イギリス標準規格) JIS: Japanese Industrial Standards(日本工業規格) JIS規格番号の例 JIS Q 27001:2014 Qは管理システム Xは情報処理 制定・改正年 9 ISMSの概略 組織の情報マネジメント体制を維持管理していくための管理 文書・管理体制・実施記録等からなる一連の仕組み Plan-Do-Check-Act (PDCA)のサイクル やりっぱなしでは Plan: 情報セキュリティ対策の計画・ 方針・目標などを策定 Do: 計画に基づいて対策を実施 Check: 対策の実施・運用状況を 点検・監視 Act: 対策の適切性について評価・ 是正処置 いけない P A D C 10 ISMS認証 評価希望事業者の申請により,日本情報経済社会推進協会 (旧・日本情報処理開発協会,JIPDEC)が指定した認証機 関が審査・認証する 認証希望 事業者 認証機関 認定機関 (JIPDEC) 文書審査・実地審査を受け,合格すれば認証される 認証後も,1年ごとのサーベイランス審査,3年ごとの再認証 審査がある ISMS適合性評価制度 http://www.isms.jipdec.or.jp/isms.html 11 ISMS認証を受けるために 「ISMS基本方針」は,事業目的を反映したものでなければな らない リスクアセスメントへの取り組みが不可欠 借り物は不可 (セキュリティ)リスクとは,何かしらの損失を発生させる事態や 状況への可能性のこと 管理策の有効性検証を行う ウイルスや不正アクセスの被害回数などを監視・報告する 内部監査(組織自身による監査)も行う セキュリティポリシーは「策定」と「公表」 ISMSは「認証」と「継続」 12 コンピュータ犯罪を取り締まる法律 電子計算機損壊等業務妨害(刑法第234条の2) 電子計算機使用詐欺(刑法第246条の2) コンピュータや電子データの破壊 コンピュータの動作環境面での妨害 財産権に関する不実の電子データを作成 財産権に関する偽の電子データを使用 不正アクセス行為の禁止等に関する法律(不正アクセス防 止法) 権限を持たない者がアクセス そのようなアクセスを助長 他人のパスワードを勝手に公開,販売 具体的な被害を与えていなくても処罰の対象になる 13 個人情報保護法 正式名称:個人情報の保護に関する法律 目的(第1条) 個人の権利と利益の保護 個人情報は,データ化した企業・組織のものではなく, 個人情報の本人のもの 機密性 高度情報通信社会における 可用性 個人情報の有用性の配慮 企業・組織が,個人情報を 個人 適切に管理・使用するため 情報 の方針を定める 完全性 14 個人情報とは 定義(第2条):「個人情報」とは、生存する個人に関する情報であって、当該 情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別 することができるもの(他の情報と容易に照合することができ、それにより特 定の個人を識別することができることとなるものを含む。)をいう。 例:氏名,生年月日,住所,電話番号,メールアドレス,マイ ナンバー,学生番号,社員番号,所属や職位,電話帳や刊 行物などで公表されている個人情報,名刺に記載の情報 電子化するしないに関わらず対象 施行前に収集した情報も対象 個人情報でないもの 法人などの団体に関する情報(企業の財務情報など) 役員氏名などは個人情報になり得る 特定の個人を識別できない形にした統計情報 15 個人情報とプライバシーの違い 個人情報保護 プライバシーの保護 事業者の個人情報に対する管理責任に関するもの 他人に知られたくないことを秘匿すること ハガキの表裏 ハガキの表(宛名)に書かれるのは個人情報 ハガキの裏(文面)に書かれるのはプライバシー 16 個人情報取扱事業者 事業活動を行っていれば,個人でも法人でも非営利団体で も任意団体でも対象となる 個人情報取扱事業者に該当しないもの 国の機関,地方公共団体,独立行政法人,独立地方行政法人 同じ役割の別の法律がすでに施行 個人情報の数が,過去6か月で5000件以下の事業者 法には基づかないが,社会的な信頼を考えると,対応して おくべきである 報道・著述・学術研究・宗教活動・政治活動の目的には適用 除外がある(第50条) 17 運用上の義務(1) 利用目的をはっきりさせ,本人の同意を得る. 適切な方法で個人情報を取得する. 利用目的は具体的に 利用目的・利用者が変更する場合も,事前に告知と同意を 子供から親の情報を聞き出すのは違法 名簿業者から買うのはもってのほか 個人情報は安全に管理する. アクセス制限やデータの暗号化も 委託してもよいが,管理・監督の責任を負う ノートPCやUSBメモリに入れて,紛失することのないように 18 運用上の義務(2) 本人からの依頼には適切に対処 個人情報の破棄にも細心の注意を 開示・訂正・利用停止など 問い合わせ窓口を設置 本人確認も忘れずに 紙…シュレッダー,溶解処理 コンピュータ…抹消用ソフトウェア,物理的な破壊 個人情報保護への取り組み プライバシーポリシー・個人情報保護規定を制定し, PDCAのサイクルで運用 プライバシーマークの取得 19 オプトアウト 「あらかじめ同意を得る」という原則(オプトイン)の例外規定 第三者提供におけるオプトアウト(第23条第2項) 第三者への提供にあたり,あらかじめ本人に通知するか,本人 が容易に知り得る状態にしておき,本人の求めに応じて第三者 への提供を停止すること 目的・手段・対象のほか,本人の求めに応じて第三者への 提供を停止することを明記しておく. 20 個人情報保護 運用上の注意(1) メールアドレスは個人情報にならない? 電話帳にある氏名や電話番号は個人情報ではない? 個人情報であるかどうかは,公にされているかとは関係ない 暗号化しておけば,個人情報としての取り扱い義務が免除 される? [email protected]は個人情報になるかも 暗号化しても個人情報であることには変わりない 社会貢献だけを目的とする団体なら,個人情報取扱事業者 にならない? 営利であるか,法人であるかに関係なく,社会通念上「事業」と 認められる活動をしていれば,なり得る NECネクサソリューションズ『よくわかる「個人情報保護」』(東洋経済新報社) 21 個人情報保護 運用上の注意(2) 名刺は社員個人で収集管理するので,個人情報にあたらな い? 学校でクラス名簿を作ってはいけない? 事業に関連して収集するので,会社の責任で管理する.した がって個人情報になり得る 生徒がお互いを知るためであれば,作ってよい 病室の入口に患者の名前を記入してはいけない? 緊急援助や患者の取り違い防止のためならば,禁止する必要 はない 牧野二郎『間違いだらけの個人情報保護』(インプレス) 22 情報セキュリティ まとめ(1) この科目で何を学んできたか:情報資産の守り方 キーワード 暗号系:古典暗号(単一換字暗号),秘密鍵暗号(DES,AES), 公開鍵暗号(RSA) 認証:ディジタル署名,一方向ハッシュ関数,PKI セキュリティソフトウェア:PGP,SSL,SSH 個人・組織のセキュリティ:パスワード,セキュリティポリシー, 個人情報保護法 システムセキュリティ:ファイアウォール,安全なアプリケーショ ン開発 基礎:計算理論,暗号プロトコル 23 情報セキュリティ まとめ(2) 暗号技術は圧縮技術 鍵は,機密性のエッセンス ハッシュ値や署名文は,完全性のエッセンス アクセス制限(Apache, iptablesなど)は可用性のエッセンス 乱数の種は,予測不可能性のエッセンス 『新版暗号技術入門』 pp.373-375 を改変 24 情報セキュリティ まとめ(3) できる/できない(解ける/解けない) 例:どこかの本に秘密のメモを挟み,忘れてしまう 例:中間者攻撃による情報共有・秘密の取得 例:決定可能/決定不能,多項式時間/指数時間 「どんな範囲で」「何によって」できる/できないかに注意 基礎と応用 基礎となる暗号技術が安全であっても,それを用いた暗号プロ トコルが安全であるとは限らない. ⇒「基礎(基盤)」「応用(システム)」それぞれで検証が必要 25E
© Copyright 2024 ExpyDoc