情報セキュリティ読本 第4章 - IPA 独立行政法

情報セキュリティ読本 三訂版
情報セキュリティ読本 三訂版
- IT時代の危機管理入門 -
(第4章 組織の一員としてのセキュリティ対策)
出典: 情報セキュリティ読本 三訂版
1
第4章 組織の一員としてのセキュリティ対策
1.
2.
3.
4.
組織のセキュリティ対策
従業員としての心得
気を付けたい情報漏えい
終わりのないプロセス
出典: 情報セキュリティ読本 三訂版
2
第4章
1. 組織のセキュリティ対策
1)計画(Plan) - 体制の整備とポリシーの策定
2)実行(Do) - 導入と運用
3)点検(Check) - 監視と評価
4)処置(Act) - 見直しと改善
出典: 情報セキュリティ読本 三訂版
3
第4章 > 1. 組織のセキュリティ対策
1) 計画(Plan)- 体制の整備とポリシーの策定
•
•
•
組織内の体制を確立する
セキュリティポリシーを策定する
対策事項の立案と手順書の整備
出典: 情報セキュリティ読本 三訂版
4
第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan)
組織内の体制を確立する
•
•
•
情報セキュリティを推進するための体制を
組織内に作ることが出発点
実施担当者と、その役割、権限、責任を定
める
望ましい体制
– 経営陣が中心となって取り組む
– 全社横断的な体制
– トップダウンの管理体制
出典: 情報セキュリティ読本 三訂版
5
第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan)
セキュリティポリシーの策定 (1)
•
セキュリティポリシーとは
– 組織として一貫したセキュリティ対策を行うため
に、組織のセキュリティ方針と対策の基準を示
したもの
•
セキュリティポリシーの階層
– 基本方針
– 対策基準
– 対策実施手順
出典: 情報セキュリティ読本 三訂版
6
第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan)
情報セキュリティポリシーの階層
セ
キ
ュ
リ
テ
ィ
ポ
リ
シ
ー
情報セキュリティ対策に対す
る基本的な考え方
基本方針(基本ポリシー)
(組織の情報セキュリティに
対する取り組み姿勢を示す)
対策基準(スタンダード)
情報セキュリティを確保する
ために遵守すべき規定
実施手順(プロシージャ)
対策基準を実施するための
詳細な手順書(マニュアル
等)
出典: 情報セキュリティ読本 三訂版
7
第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan)
セキュリティポリシーの策定 (2)
•
策定前の準備
– 情報資産の「何を守るのか」を決定する
– 「どのようなリスクがあるのか」を分析する
•
責任者と担当者を明確にする
– 組織体の長=情報セキュリティの最高責任者
出典: 情報セキュリティ読本 三訂版
8
第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan)
対策事項の立案と手順書の整備
•
対策基準とは
– 情報資産を脅威から守る方法を具体的に定め
たもの
•
実施手順とは
– 対策基準を実際の行動に移す際の手順書(マ
ニュアルのようなもの)
– 最初に設定する内容とその手順
– 定期的に実施する対策の手順
– インシデント発生時の対策と手順
出典: 情報セキュリティ読本 三訂版
9
第4章 > 1. 組織のセキュリティ対策
2) 実行(Do)- 導入と運用
•
•
導入フェーズ
運用フェーズ
出典: 情報セキュリティ読本 三訂版
10
第4章 > 1. 組織のセキュリティ対策 > 2) 実行(Do)
導入フェーズ(1)
•
構築と設定
– ウイルス対策ソフトやファイアウォールなどの
セキュリティ装置の導入、暗号機能の導入
– OS、アプリケーションのセキュリティ設定
•
設定における注意点
– デフォルト設定は使用しない
– 不要なサービスの停止
デフォルト設定:
出荷時またはインストール後の初期状態の設定のこと。特に指定しないときは、
この設定値が適用される。
出典: 情報セキュリティ読本 三訂版
11
第4章 > 1. 組織のセキュリティ対策 > 2) 実行(Do)
導入フェーズ(2)
•
脆弱性の解消
– 最新の修正プログラムを適用
•
レベルに応じたアクセス制御
– 組織のメンバーごとにアクセスレベルを設定
– アクセスできる範囲と操作権限を制限する
出典: 情報セキュリティ読本 三訂版
12
第4章 > 1. 組織のセキュリティ対策 > 2) 実行(Do)
運用フェーズ
•
セキュリティポリシーの周知徹底とセキュリ
ティ教育
– 役割と責任、セキュリティ対策上のルールを周知
– 被害に遭わないために脅威と対策を教える
•
脆弱性対策
– 定期的な情報収集とパッチの適用
•
異動/退職社員のフォロー
– 退職者のアカウントは確実に削除(セキュリティ
ホールになりうる)
出典: 情報セキュリティ読本 三訂版
13
第4章 > 1. 組織のセキュリティ対策
3) 点検(Check) - 監視と評価 • 監視と評価
• セキュリティ事故への対処
出典: 情報セキュリティ読本 三訂版
14
第4章 > 1. 組織のセキュリティ対策 > 3) 点検(Check)
監視と評価
•
ネットワークを監視し、異常や不正アクセスを
検出する
– 通信、不正アクセスの監視
– 異常検知、不正アクセス検知、脆弱性検査
•
ポリシーが守られているか自己または第三者
による評価を行う
– 自己点検(チェックリストなどにより実施)
– 情報セキュリティ対策ベンチマークでの自己診断
– 情報セキュリティ監査
組織の情報セキュリティ対策の自己診断-- 情報セキュリティ対策ベンチマーク
http://www.ipa.go.jp/security/benchmark/
出典: 情報セキュリティ読本 三訂版
15
第4章 > 1. 組織のセキュリティ対策 > 3) 点検(Check)
セキュリティ事故への対処
•
•
セキュリティポリシーに則ったインシデント
対応
特に注意すべき点
–
–
–
–
被害状況を調査し、二次災害を防ぐ
原因を特定し、再発防止策を徹底する
実施した対応の記録、各種届出(必要な場合)
対応窓口を設置し、正確な情報を提供する
出典: 情報セキュリティ読本 三訂版
16
第4章 > 1. 組織のセキュリティ対策
4) 処置(Act) - 見直しと改善
•
•
セキュリティポリシーを見直し、改善点を検
討する
セキュリティマネジメントサイクルの実施に
ともない、情報セキュリティ対策を高めるこ
とが重要
出典: 情報セキュリティ読本 三訂版
17
第4章
2. 従業員としての心得
•
•
•
規則を知り、遵守する
情報セキュリティ上の脅威と対策を知る
「自分だけは…」、「これぐらいなら…」は通
用しない
– 必ず上司に報告・相談する
•
特に、情報漏えいに気を付ける
出典: 情報セキュリティ読本 三訂版
18
第4章
3. 気を付けたい情報漏えい
•
•
•
情報漏えいの経路と原因
情報漏えいを防止するための管理対策の
ポイント
企業や組織の一員としての情報セキュリ
ティ心得
出典: 情報セキュリティ読本 三訂版
19
第4章 > 3. 気を付けたい情報漏えい
情報漏えいの経路と原因
•
情報漏えいの経路
– PC本体、外部記憶媒体(CD、DVD、USBメモ
リなど)、紙媒体、P2Pファイル交換ソフト
•
情報漏えいの原因
– 紛失・盗難、P2Pファイル交換ソフト経由、誤送
信、内部犯行が8割
•
人為的なミスを防ぐことが重要
出典: 情報セキュリティ読本 三訂版
20
第4章 > 3. 気を付けたい情報漏えい
情報漏えいを防止するための管理対策のポイント
•
•
•
•
P2Pファイル交換ソフトは使用しない
私物パソコンを業務で使用しない(持ち込ま
せない)
個人情報や機密情報を外部に持ち出さな
い(記憶媒体にコピーしない)
社用のノートブックパソコンを持ち出す場合
は、ルールを決めて厳密に管理する
出典: 情報セキュリティ読本 三訂版
21
第4章 > 3. 気を付けたい情報漏えい
企業や組織の一員としての情報セキュリティ心得(1)
•
•
•
•
企業や組織の情報や機器を、許可なく持ち
出さない
私物のノートパソコンやプログラムなどを、
許可なく、企業や組織に持ち込まない
企業や組織の情報や機器を未対策のまま
放置しない
企業や組織の情報や機器を未対策のまま
廃棄しない
出典: 情報セキュリティ読本 三訂版
22
第4章 > 3. 気を付けたい情報漏えい
企業や組織の一員としての情報セキュリティ心得(2)
•
•
•
個人に割り当てられた権限を他の人に貸与
または譲渡しない
業務上知り得た情報を公言しない
情報漏えいを起こした場合は速やかに報告
する
出典: 情報セキュリティ読本 三訂版
23
第4章
4. 終わりのないプロセス
•
•
•
•
一度、導入・設定すればそれで終わり、とい
うものではない。
運用、見直し、フィードバックを繰り返すプロ
セスが必要。
技術面だけでなく、管理面も強化する
技術的対策と管理的対策はクルマの両輪
の関係
出典: 情報セキュリティ読本 三訂版
24
第4章 > 4. 終わりのないプロセス
情報セキュリティにおけるさまざまな対策
参考) IPAセキュリティセンター「情報セキュリティマネジメントについて」
http://www.ipa.go.jp/security/manager/protect/management.html
参考)読者層別:情報セキュリティ対策実践情報:
http://www.ipa.go.jp/security/awareness/awareness.html
出典: 情報セキュリティ読本 三訂版
25
本資料の利用条件
1.
著作権は独立行政法人 情報処理推進機構に帰属します。
著作物として著作権法により保護されております。
2.
本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。
セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい
ただいても結構です。
3.
営利目的の使用はご遠慮下さい。
4.
授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは
行っていただいて結構です。
5.
本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。
外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。
6.
上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は
ありません。
なお、参考までに、 [email protected] まで以下をお知らせ下さい。
・使用する方もしくは組織の名称
・使用目的
・教育への参加人数
7.
ご質問、ご要望等は、 [email protected] までお知らせ下さい。
出典: 情報セキュリティ読本 三訂版
26