講義スライド



情報セキュリティ
第14回
2016年7月22日(金)

1/25

本日学ぶこと

本日の授業を通じて




「組織におけるセキュリティ」の基本的な考え方を学びます.
組織の持つ情報や計算機などを,継続的かつ安全に管理・運
用するのに有用な「セキュリティポリシー」を学習します.
セキュリティ管理の仕組みである「ISMS」を,規格・制度と関連
づけて理解します.
コンピュータ犯罪を取り締まる法律を概観したあと,個人情報の
機密性・完全性・可用性について法律化された「個人情報保護
法」を学習します.
2
セキュリティポリシー

セキュリティポリシーとは?


あるとどうなる?




組織の情報資産を守るための方針や基準を明文化したもの
情報セキュリティレベルの向上
セキュリティ対策の費用対効果の向上
対外的な信頼性の向上
何を書く?


組織の長の,情報セキュリティに関する方針・考え
適切な情報セキュリティを確保・維持するために遵守すべき
ルール
3
セキュリティポリシーの基本構成
Policy
Standard
Procedure
概要
情報
セキュリティ
基本方針
情報セキュリティ
対策基準
情報セキュリティ
対策実施手続き,規定類
詳細
4
セキュリティポリシーを誰が作る?どう書く?

セキュリティポリシー策定担当者の例





情報システム部門の責任者
総理(総務,庶務)部門・法務部門・監査部門の責任者
人事部門・人材育成部門の責任者
組織内システム管理者,組織内ネットワーク管理者
セキュリティポリシー策定の注意点




ポリシーを策定する範囲を明確にする
適用対象者を明確にする
目的や罰則を明確にする
運用を意識して,実現可能な内容にする
 「パスワードは毎週変更すること」と書いて,みんなやって
くれる?
5
情報セキュリティに関する規格・制度:背景

なぜ規格や制度が必要?



一体どこまでコストをかけて,セキュリティ対策を実施すれば
いいのか?
自分の組織の情報セキュリティの水準は,同業者や世間一般
と比較してどの程度なのだろうか?
情報セキュリティの水準を客観的に評価するための基準や
制度があればいい!
6
規格・制度

ISO/IEC 15408 (JIS X 5070)


プライバシーマーク制度 (JIS Q 15001)




企業における個人情報保護措置の適切性を評価・認定
ISO/IEC 27000/ISMS (JIS Q 27001)


IT関連製品のセキュリティ品質を評価・認証
ISMS: Information Security Management System
情報セキュリティマネジメントの適切性を評価・認定
ISO 9000:品質マネジメントシステム
ISO 14000:環境マネジメントシステム
7
ISO/IEC 27000/ISMSおよび関連する規格


ISO 27000シリーズが情報セキュリティマネジメントの
世界標準として規格化され,ISMSはその一部に
BS 7799-2 → ISO/IEC 27001,JIS Q 27001


BS 7799-1 → ISO/IEC 17799,JIS X 5080
→ ISO/IEC 27002,JIS Q 27002


ISMS 要求事項
情報セキュリティマネジメントの実践のための規範
ISO 31000 → JIS Q 31000

リスクマネジメント規格
8
規格の略称等

略称





ISO: International Organization for Standardization
(国際標準化機構)
IEC: International Electrotechnical Commission
(国際電気標準会議)
BS: British Standards(イギリス標準規格)
JIS: Japanese Industrial Standards(日本工業規格)
JIS規格番号の例

JIS Q 27001:2014
Qは管理システム
Xは情報処理
制定・改正年
9
ISMSの概略


組織の情報マネジメント体制を維持管理していくための管理
文書・管理体制・実施記録等からなる一連の仕組み
Plan-Do-Check-Act (PDCA)のサイクル
やりっぱなしでは




Plan: 情報セキュリティ対策の計画・
方針・目標などを策定
Do: 計画に基づいて対策を実施
Check: 対策の実施・運用状況を
点検・監視
Act: 対策の適切性について評価・
是正処置
いけない
P
A
D
C
10
ISMS認証

評価希望事業者の申請により,日本情報経済社会推進協会
(旧・日本情報処理開発協会,JIPDEC)が指定した認証機
関が審査・認証する
認証希望
事業者


認証機関
認定機関
(JIPDEC)
文書審査・実地審査を受け,合格すれば認証される
認証後も,1年ごとのサーベイランス審査,3年ごとの再認証
審査がある
ISMS適合性評価制度 http://www.isms.jipdec.or.jp/isms.html
11
ISMS認証を受けるために

「ISMS基本方針」は,事業目的を反映したものでなければな
らない


リスクアセスメントへの取り組みが不可欠


借り物は不可
(セキュリティ)リスクとは,何かしらの損失を発生させる事態や
状況への可能性のこと
管理策の有効性検証を行う

ウイルスや不正アクセスの被害回数などを監視・報告する

内部監査(組織自身による監査)も行う

セキュリティポリシーは「策定」と「公表」
ISMSは「認証」と「継続」

12
コンピュータ犯罪を取り締まる法律

電子計算機損壊等業務妨害(刑法第234条の2)



電子計算機使用詐欺(刑法第246条の2)



コンピュータや電子データの破壊
コンピュータの動作環境面での妨害
財産権に関する不実の電子データを作成
財産権に関する偽の電子データを使用
不正アクセス行為の禁止等に関する法律(不正アクセス防
止法)




権限を持たない者がアクセス
そのようなアクセスを助長
他人のパスワードを勝手に公開,販売
具体的な被害を与えていなくても処罰の対象になる
13
個人情報保護法


正式名称:個人情報の保護に関する法律
目的(第1条)


個人の権利と利益の保護
 個人情報は,データ化した企業・組織のものではなく,
個人情報の本人のもの
機密性
高度情報通信社会における
可用性
個人情報の有用性の配慮
 企業・組織が,個人情報を
個人
適切に管理・使用するため
情報
の方針を定める
完全性
14
個人情報とは
定義(第2条):「個人情報」とは、生存する個人に関する情報であって、当該
情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別
することができるもの(他の情報と容易に照合することができ、それにより特
定の個人を識別することができることとなるものを含む。)をいう。

例:氏名,生年月日,住所,電話番号,メールアドレス,マイ
ナンバー,学生番号,社員番号,所属や職位,電話帳や刊
行物などで公表されている個人情報,名刺に記載の情報



電子化するしないに関わらず対象
施行前に収集した情報も対象
個人情報でないもの


法人などの団体に関する情報(企業の財務情報など)
 役員氏名などは個人情報になり得る
特定の個人を識別できない形にした統計情報
15
個人情報とプライバシーの違い

個人情報保護


プライバシーの保護


事業者の個人情報に対する管理責任に関するもの
他人に知られたくないことを秘匿すること
ハガキの表裏


ハガキの表(宛名)に書かれるのは個人情報
ハガキの裏(文面)に書かれるのはプライバシー
16
個人情報取扱事業者


事業活動を行っていれば,個人でも法人でも非営利団体で
も任意団体でも対象となる
個人情報取扱事業者に該当しないもの



国の機関,地方公共団体,独立行政法人,独立地方行政法人
 同じ役割の別の法律がすでに施行
個人情報の数が,過去6か月で5000件以下の事業者
 法には基づかないが,社会的な信頼を考えると,対応して
おくべきである
報道・著述・学術研究・宗教活動・政治活動の目的には適用
除外がある(第50条)
17
運用上の義務(1)

利用目的をはっきりさせ,本人の同意を得る.



適切な方法で個人情報を取得する.



利用目的は具体的に
利用目的・利用者が変更する場合も,事前に告知と同意を
子供から親の情報を聞き出すのは違法
名簿業者から買うのはもってのほか
個人情報は安全に管理する.



アクセス制限やデータの暗号化も
委託してもよいが,管理・監督の責任を負う
ノートPCやUSBメモリに入れて,紛失することのないように
18
運用上の義務(2)

本人からの依頼には適切に対処




個人情報の破棄にも細心の注意を



開示・訂正・利用停止など
問い合わせ窓口を設置
本人確認も忘れずに
紙…シュレッダー,溶解処理
コンピュータ…抹消用ソフトウェア,物理的な破壊
個人情報保護への取り組み


プライバシーポリシー・個人情報保護規定を制定し,
PDCAのサイクルで運用
プライバシーマークの取得
19
オプトアウト


「あらかじめ同意を得る」という原則(オプトイン)の例外規定
第三者提供におけるオプトアウト(第23条第2項)

第三者への提供にあたり,あらかじめ本人に通知するか,本人
が容易に知り得る状態にしておき,本人の求めに応じて第三者
への提供を停止すること
 目的・手段・対象のほか,本人の求めに応じて第三者への
提供を停止することを明記しておく.
20
個人情報保護 運用上の注意(1)

メールアドレスは個人情報にならない?


電話帳にある氏名や電話番号は個人情報ではない?


個人情報であるかどうかは,公にされているかとは関係ない
暗号化しておけば,個人情報としての取り扱い義務が免除
される?


[email protected]は個人情報になるかも
暗号化しても個人情報であることには変わりない
社会貢献だけを目的とする団体なら,個人情報取扱事業者
にならない?

営利であるか,法人であるかに関係なく,社会通念上「事業」と
認められる活動をしていれば,なり得る
NECネクサソリューションズ『よくわかる「個人情報保護」』(東洋経済新報社)
21
個人情報保護 運用上の注意(2)

名刺は社員個人で収集管理するので,個人情報にあたらな
い?


学校でクラス名簿を作ってはいけない?


事業に関連して収集するので,会社の責任で管理する.した
がって個人情報になり得る
生徒がお互いを知るためであれば,作ってよい
病室の入口に患者の名前を記入してはいけない?

緊急援助や患者の取り違い防止のためならば,禁止する必要
はない
牧野二郎『間違いだらけの個人情報保護』(インプレス)
22
情報セキュリティ まとめ(1)

この科目で何を学んできたか:情報資産の守り方

キーワード






暗号系:古典暗号(単一換字暗号),秘密鍵暗号(DES,AES),
公開鍵暗号(RSA)
認証:ディジタル署名,一方向ハッシュ関数,PKI
セキュリティソフトウェア:PGP,SSL,SSH
個人・組織のセキュリティ:パスワード,セキュリティポリシー,
個人情報保護法
システムセキュリティ:ファイアウォール,安全なアプリケーショ
ン開発
基礎:計算理論,暗号プロトコル
23
情報セキュリティ まとめ(2)

暗号技術は圧縮技術




鍵は,機密性のエッセンス
ハッシュ値や署名文は,完全性のエッセンス
アクセス制限(Apache, iptablesなど)は可用性のエッセンス
乱数の種は,予測不可能性のエッセンス
『新版暗号技術入門』 pp.373-375 を改変
24
情報セキュリティ まとめ(3)

できる/できない(解ける/解けない)





例:どこかの本に秘密のメモを挟み,忘れてしまう
例:中間者攻撃による情報共有・秘密の取得
例:決定可能/決定不能,多項式時間/指数時間
「どんな範囲で」「何によって」できる/できないかに注意
基礎と応用

基礎となる暗号技術が安全であっても,それを用いた暗号プロ
トコルが安全であるとは限らない.
⇒「基礎(基盤)」「応用(システム)」それぞれで検証が必要
25E