情報セキュリティ読本 三訂版 情報セキュリティ読本 三訂版 - IT時代の危機管理入門 - (第4章 組織の一員としてのセキュリティ対策) 出典: 情報セキュリティ読本 三訂版 1 第4章 組織の一員としてのセキュリティ対策 1. 2. 3. 4. 組織のセキュリティ対策 従業員としての心得 気を付けたい情報漏えい 終わりのないプロセス 出典: 情報セキュリティ読本 三訂版 2 第4章 1. 組織のセキュリティ対策 1)計画(Plan) - 体制の整備とポリシーの策定 2)実行(Do) - 導入と運用 3)点検(Check) - 監視と評価 4)処置(Act) - 見直しと改善 出典: 情報セキュリティ読本 三訂版 3 第4章 > 1. 組織のセキュリティ対策 1) 計画(Plan)- 体制の整備とポリシーの策定 • • • 組織内の体制を確立する セキュリティポリシーを策定する 対策事項の立案と手順書の整備 出典: 情報セキュリティ読本 三訂版 4 第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan) 組織内の体制を確立する • • • 情報セキュリティを推進するための体制を 組織内に作ることが出発点 実施担当者と、その役割、権限、責任を定 める 望ましい体制 – 経営陣が中心となって取り組む – 全社横断的な体制 – トップダウンの管理体制 出典: 情報セキュリティ読本 三訂版 5 第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan) セキュリティポリシーの策定 (1) • セキュリティポリシーとは – 組織として一貫したセキュリティ対策を行うため に、組織のセキュリティ方針と対策の基準を示 したもの • セキュリティポリシーの階層 – 基本方針 – 対策基準 – 対策実施手順 出典: 情報セキュリティ読本 三訂版 6 第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan) 情報セキュリティポリシーの階層 セ キ ュ リ テ ィ ポ リ シ ー 情報セキュリティ対策に対す る基本的な考え方 基本方針(基本ポリシー) (組織の情報セキュリティに 対する取り組み姿勢を示す) 対策基準(スタンダード) 情報セキュリティを確保する ために遵守すべき規定 実施手順(プロシージャ) 対策基準を実施するための 詳細な手順書(マニュアル 等) 出典: 情報セキュリティ読本 三訂版 7 第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan) セキュリティポリシーの策定 (2) • 策定前の準備 – 情報資産の「何を守るのか」を決定する – 「どのようなリスクがあるのか」を分析する • 責任者と担当者を明確にする – 組織体の長=情報セキュリティの最高責任者 出典: 情報セキュリティ読本 三訂版 8 第4章 > 1. 組織のセキュリティ対策 > 1) 計画(Plan) 対策事項の立案と手順書の整備 • 対策基準とは – 情報資産を脅威から守る方法を具体的に定め たもの • 実施手順とは – 対策基準を実際の行動に移す際の手順書(マ ニュアルのようなもの) – 最初に設定する内容とその手順 – 定期的に実施する対策の手順 – インシデント発生時の対策と手順 出典: 情報セキュリティ読本 三訂版 9 第4章 > 1. 組織のセキュリティ対策 2) 実行(Do)- 導入と運用 • • 導入フェーズ 運用フェーズ 出典: 情報セキュリティ読本 三訂版 10 第4章 > 1. 組織のセキュリティ対策 > 2) 実行(Do) 導入フェーズ(1) • 構築と設定 – ウイルス対策ソフトやファイアウォールなどの セキュリティ装置の導入、暗号機能の導入 – OS、アプリケーションのセキュリティ設定 • 設定における注意点 – デフォルト設定は使用しない – 不要なサービスの停止 デフォルト設定: 出荷時またはインストール後の初期状態の設定のこと。特に指定しないときは、 この設定値が適用される。 出典: 情報セキュリティ読本 三訂版 11 第4章 > 1. 組織のセキュリティ対策 > 2) 実行(Do) 導入フェーズ(2) • 脆弱性の解消 – 最新の修正プログラムを適用 • レベルに応じたアクセス制御 – 組織のメンバーごとにアクセスレベルを設定 – アクセスできる範囲と操作権限を制限する 出典: 情報セキュリティ読本 三訂版 12 第4章 > 1. 組織のセキュリティ対策 > 2) 実行(Do) 運用フェーズ • セキュリティポリシーの周知徹底とセキュリ ティ教育 – 役割と責任、セキュリティ対策上のルールを周知 – 被害に遭わないために脅威と対策を教える • 脆弱性対策 – 定期的な情報収集とパッチの適用 • 異動/退職社員のフォロー – 退職者のアカウントは確実に削除(セキュリティ ホールになりうる) 出典: 情報セキュリティ読本 三訂版 13 第4章 > 1. 組織のセキュリティ対策 3) 点検(Check) - 監視と評価 • 監視と評価 • セキュリティ事故への対処 出典: 情報セキュリティ読本 三訂版 14 第4章 > 1. 組織のセキュリティ対策 > 3) 点検(Check) 監視と評価 • ネットワークを監視し、異常や不正アクセスを 検出する – 通信、不正アクセスの監視 – 異常検知、不正アクセス検知、脆弱性検査 • ポリシーが守られているか自己または第三者 による評価を行う – 自己点検(チェックリストなどにより実施) – 情報セキュリティ対策ベンチマークでの自己診断 – 情報セキュリティ監査 組織の情報セキュリティ対策の自己診断-- 情報セキュリティ対策ベンチマーク http://www.ipa.go.jp/security/benchmark/ 出典: 情報セキュリティ読本 三訂版 15 第4章 > 1. 組織のセキュリティ対策 > 3) 点検(Check) セキュリティ事故への対処 • • セキュリティポリシーに則ったインシデント 対応 特に注意すべき点 – – – – 被害状況を調査し、二次災害を防ぐ 原因を特定し、再発防止策を徹底する 実施した対応の記録、各種届出(必要な場合) 対応窓口を設置し、正確な情報を提供する 出典: 情報セキュリティ読本 三訂版 16 第4章 > 1. 組織のセキュリティ対策 4) 処置(Act) - 見直しと改善 • • セキュリティポリシーを見直し、改善点を検 討する セキュリティマネジメントサイクルの実施に ともない、情報セキュリティ対策を高めるこ とが重要 出典: 情報セキュリティ読本 三訂版 17 第4章 2. 従業員としての心得 • • • 規則を知り、遵守する 情報セキュリティ上の脅威と対策を知る 「自分だけは…」、「これぐらいなら…」は通 用しない – 必ず上司に報告・相談する • 特に、情報漏えいに気を付ける 出典: 情報セキュリティ読本 三訂版 18 第4章 3. 気を付けたい情報漏えい • • • 情報漏えいの経路と原因 情報漏えいを防止するための管理対策の ポイント 企業や組織の一員としての情報セキュリ ティ心得 出典: 情報セキュリティ読本 三訂版 19 第4章 > 3. 気を付けたい情報漏えい 情報漏えいの経路と原因 • 情報漏えいの経路 – PC本体、外部記憶媒体(CD、DVD、USBメモ リなど)、紙媒体、P2Pファイル交換ソフト • 情報漏えいの原因 – 紛失・盗難、P2Pファイル交換ソフト経由、誤送 信、内部犯行が8割 • 人為的なミスを防ぐことが重要 出典: 情報セキュリティ読本 三訂版 20 第4章 > 3. 気を付けたい情報漏えい 情報漏えいを防止するための管理対策のポイント • • • • P2Pファイル交換ソフトは使用しない 私物パソコンを業務で使用しない(持ち込ま せない) 個人情報や機密情報を外部に持ち出さな い(記憶媒体にコピーしない) 社用のノートブックパソコンを持ち出す場合 は、ルールを決めて厳密に管理する 出典: 情報セキュリティ読本 三訂版 21 第4章 > 3. 気を付けたい情報漏えい 企業や組織の一員としての情報セキュリティ心得(1) • • • • 企業や組織の情報や機器を、許可なく持ち 出さない 私物のノートパソコンやプログラムなどを、 許可なく、企業や組織に持ち込まない 企業や組織の情報や機器を未対策のまま 放置しない 企業や組織の情報や機器を未対策のまま 廃棄しない 出典: 情報セキュリティ読本 三訂版 22 第4章 > 3. 気を付けたい情報漏えい 企業や組織の一員としての情報セキュリティ心得(2) • • • 個人に割り当てられた権限を他の人に貸与 または譲渡しない 業務上知り得た情報を公言しない 情報漏えいを起こした場合は速やかに報告 する 出典: 情報セキュリティ読本 三訂版 23 第4章 4. 終わりのないプロセス • • • • 一度、導入・設定すればそれで終わり、とい うものではない。 運用、見直し、フィードバックを繰り返すプロ セスが必要。 技術面だけでなく、管理面も強化する 技術的対策と管理的対策はクルマの両輪 の関係 出典: 情報セキュリティ読本 三訂版 24 第4章 > 4. 終わりのないプロセス 情報セキュリティにおけるさまざまな対策 参考) IPAセキュリティセンター「情報セキュリティマネジメントについて」 http://www.ipa.go.jp/security/manager/protect/management.html 参考)読者層別:情報セキュリティ対策実践情報: http://www.ipa.go.jp/security/awareness/awareness.html 出典: 情報セキュリティ読本 三訂版 25 本資料の利用条件 1. 著作権は独立行政法人 情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 2. 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい ただいても結構です。 3. 営利目的の使用はご遠慮下さい。 4. 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは 行っていただいて結構です。 5. 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。 6. 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は ありません。 なお、参考までに、 [email protected] まで以下をお知らせ下さい。 ・使用する方もしくは組織の名称 ・使用目的 ・教育への参加人数 7. ご質問、ご要望等は、 [email protected] までお知らせ下さい。 出典: 情報セキュリティ読本 三訂版 26
© Copyright 2024 ExpyDoc