www.ipa.go.jp

情報セキュリティ読本四訂版
情報セキュリティ読本四訂版
- IT時代の危機管理入門 -
（第4章組織の一員としてのセキュリティ対策）
出典：情報セキュリティ読本四訂版
1
第4章組織の一員としての情報セキュリティ対策
1.
2.
3.
4.
組織のセキュリティ対策
従業員としての心得
気を付けたい情報漏えい
終わりのないプロセス
出典：情報セキュリティ読本四訂版
2
第4章
1. 組織のセキュリティ対策
1）計画（Plan） - 体制の整備とポリシーの策定
2）実行（Do） - 導入と運用
3）点検（Check） - 監視と評価
4）処置（Act） - 見直しと改善
出典：情報セキュリティ読本四訂版
3
第4章 > 1. 組織のセキュリティ対策
1）計画（Plan）- 体制の整備とポリシーの策定
•
•
•
組織内の体制を確立する
セキュリティポリシーを策定する
対策事項の立案と手順書の整備
出典：情報セキュリティ読本四訂版
4
第4章 > 1. 組織のセキュリティ対策 > 1）計画（Plan）
組織内の体制を確立する
•
•
•
情報セキュリティを推進するための体制を
組織内に作ることが出発点
実施担当者と、その役割、権限、責任を定
める
望ましい体制
– 経営陣が中心となって取り組む
– 全社横断的な体制
– トップダウンの管理体制
出典：情報セキュリティ読本四訂版
5
第4章 > 1. 組織のセキュリティ対策 > 1）計画（Plan）
セキュリティポリシーの策定（1）
•
セキュリティポリシーとは
– 組織として一貫したセキュリティ対策を行うため
に、組織のセキュリティ方針と対策の基準を示
したもの
•
セキュリティポリシーの階層
– 基本方針
– 対策基準
– 対策実施手順
出典：情報セキュリティ読本四訂版
6
第4章 > 1. 組織のセキュリティ対策 > 1）計画（Plan）
情報セキュリティポリシーの階層
セ
キ
ュ
リ
テ
ィ
ポ
リ
シ
ー
情報セキュリティ対策に対す
る基本的な考え方
基本方針（基本ポリシー）
（組織の情報セキュリティに
対する取り組み姿勢を示す）
対策基準（スタンダード）
情報セキュリティを確保する
ために遵守すべき規定
実施手順（プロシージャ）
対策基準を実施するための
詳細な手順書（マニュアル
等）
出典：情報セキュリティ読本四訂版
7
第4章 > 1. 組織のセキュリティ対策 > 1）計画（Plan）
セキュリティポリシーの策定（2）
•
策定前の準備
– 情報資産の「何を守るのか」を決定する
– 「どのようなリスクがあるのか」を分析する
•
責任者と担当者を明確にする
– 組織体の長＝情報セキュリティの最高責任者
出典：情報セキュリティ読本四訂版
8
第4章 > 1. 組織のセキュリティ対策 > 1）計画（Plan）
対策事項の立案と手順書の整備
•
対策基準とは
– 情報資産を脅威から守る方法を具体的に定め
たもの
•
実施手順とは
– 対策基準を実際の行動に移す際の手順書（マ
ニュアルのようなもの）
– 最初に設定する内容とその手順
– 定期的に実施する対策の手順
– インシデント発生時の対策と手順
出典：情報セキュリティ読本四訂版
9
第4章 > 1. 組織のセキュリティ対策
2）実行（Do）- 導入と運用
•
•
導入フェーズ
運用フェーズ
出典：情報セキュリティ読本四訂版
10
第4章 > 1. 組織のセキュリティ対策 > 2）実行（Do）
導入フェーズ（1）
•
構築と設定
– ウイルス対策ソフトやファイアウォールなどの
セキュリティ装置の導入、暗号機能の導入
– OS、アプリケーションのセキュリティ設定
•
設定における注意点
– デフォルト設定は使用しない
– 不要なサービスの停止
デフォルト設定：
出荷時またはインストール後の初期状態の設定のこと。特に指定しないときは、
この設定値が適用される。
出典：情報セキュリティ読本四訂版
11
第4章 > 1. 組織のセキュリティ対策 > 2）実行（Do）
導入フェーズ（2）
•
脆弱性の解消
– 最新の修正プログラムを適用
•
レベルに応じたアクセス制御
– 組織のメンバーごとにアクセスレベルを設定
– アクセスできる範囲と操作権限を制限する
出典：情報セキュリティ読本四訂版
12
第4章 > 1. 組織のセキュリティ対策 > 2）実行（Do）
運用フェーズ
•
セキュリティポリシーの周知徹底とセキュリ
ティ教育
– 役割と責任、セキュリティ対策上のルールを周知
– 被害に遭わないために脅威と対策を教える
•
脆弱性対策
– 定期的な情報収集とパッチの適用
•
異動/退職社員のフォロー
– 退職者のアカウントは確実に削除（セキュリティ
ホールになりうる）
出典：情報セキュリティ読本四訂版
13
第4章 > 1. 組織のセキュリティ対策
3）点検（Check） - 監視と評価 • 監視と評価
• セキュリティ事故への対処
出典：情報セキュリティ読本四訂版
14
第4章 > 1. 組織のセキュリティ対策 > 3）点検（Check）
監視と評価
•
ネットワークを監視し、異常や不正アクセスを
検出する
– 通信、不正アクセスの監視
– 異常検知、不正アクセス検知、脆弱性検査
•
ポリシーが守られているか自己または第三者
による評価を行う
– 自己点検（チェックリストなどにより実施）
– 情報セキュリティ対策ベンチマークでの自己診断
– 情報セキュリティ監査
組織の情報セキュリティ対策の自己診断-- 情報セキュリティ対策ベンチマーク
http://www.ipa.go.jp/security/benchmark/
出典：情報セキュリティ読本四訂版
15
第4章 > 1. 組織のセキュリティ対策 > 3）点検（Check）
セキュリティ事故への対処
•
•
セキュリティポリシーに則ったインシデント
対応
特に注意すべき点
–
–
–
–
被害状況を調査し、二次災害を防ぐ
原因を特定し、再発防止策を徹底する
実施した対応の記録、各種届出（必要な場合）
対応窓口を設置し、正確な情報を提供する
出典：情報セキュリティ読本四訂版
16
第4章 > 1. 組織のセキュリティ対策
4）処置（Act） - 見直しと改善
•
•
セキュリティポリシーを見直し、改善点を検
討する
セキュリティマネジメントサイクルの実施に
ともない、情報セキュリティ対策を高めるこ
とが重要
出典：情報セキュリティ読本四訂版
17
第4章
2. 従業員としての心得
•
•
•
規則を知り、遵守する
情報セキュリティ上の脅威と対策を知る
「自分だけは…」、「これぐらいなら…」は通
用しない
– 必ず上司に報告・相談する
•
特に、情報漏えいに気を付ける
出典：情報セキュリティ読本四訂版
18
第4章
3. 気を付けたい情報漏えい
•
•
•
情報漏えいの経路と原因
情報漏えいを防止するための管理対策の
ポイント
企業や組織の一員としての情報セキュリ
ティ心得
出典：情報セキュリティ読本四訂版
19
第4章 > 3. 気を付けたい情報漏えい
情報漏えいの経路と原因
•
情報漏えいの経路
– PC本体、スマートフォン、タブレット端末、
外部記憶媒体（USBメモリなど）、
紙媒体、P2Pファイル交換ソフト
•
情報漏えいの原因
– 管理ミス、誤操作、紛失・置忘れが約8割
•
人為的なミスを防ぐことが重要
出典：情報セキュリティ読本四訂版
20
第4章 > 3. 気を付けたい情報漏えい
情報漏えいを防止するための管理対策のポイント
•
•
•
•
P2Pファイル交換ソフトは使用しない
私物パソコン等を業務で使用しない（持ち込
ませない）
個人情報や機密情報を外部に持ち出さな
い（記憶媒体にコピーしない）
社用のノートパソコンを持ち出す場合は、
ルールを決めて厳密に管理する
出典：情報セキュリティ読本四訂版
21
第4章 > 3. 気を付けたい情報漏えい
企業や組織の一員としての情報セキュリティ心得（1）
•
•
•
•
企業や組織の情報や機器を、許可なく持ち
出さない
私物のノートパソコンやプログラムなどを、
許可なく、企業や組織に持ち込まない
企業や組織の情報や機器を未対策のまま
放置しない
企業や組織の情報や機器を未対策のまま
廃棄しない
出典：情報セキュリティ読本四訂版
22
第4章 > 3. 気を付けたい情報漏えい
企業や組織の一員としての情報セキュリティ心得（2）
•
•
•
個人に割り当てられた権限を他の人に貸与
または譲渡しない
業務上知り得た情報を公言しない
情報漏えいを起こした場合は速やかに報告
する
出典：情報セキュリティ読本四訂版
23
第4章
4. 終わりのないプロセス
•
•
•
•
一度、導入・設定すればそれで終わり、とい
うものではない。
運用、見直し、フィードバックを繰り返すプロ
セスが必要。
技術面だけでなく、管理面も強化する
技術的対策と管理的対策はクルマの両輪
の関係
出典：情報セキュリティ読本四訂版
24
第4章 > 4. 終わりのないプロセス
情報セキュリティにおけるさまざまな対策
参考） IPAセキュリティセンター「情報セキュリティマネジメントについて」
http://www.ipa.go.jp/security/manager/protect/management.html
参考）読者層別：情報セキュリティ対策実践情報：
http://www.ipa.go.jp/security/awareness/awareness.html
出典：情報セキュリティ読本四訂版
25
本資料の利用条件
1.
著作権は独立行政法人情報処理推進機構に帰属します。
著作物として著作権法により保護されております。
2.
本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。
セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい
ただいても結構です。
3.
営利目的の使用はご遠慮下さい。
4.
授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは
行っていただいて結構です。
5.
本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。
外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。
6.
上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は
ありません。
なお、参考までに、 [email protected] 宛に以下をお知らせ下さい。
・使用する方もしくは組織の名称
・使用目的
・教育への参加人数
7.
ご質問、ご要望等は、 [email protected] 宛にお知らせ下さい。
出典：情報セキュリティ読本四訂版
26

Download Report