3818kb - 日本 ISMS ユーザグループ

テーマ2
ISMS規格改訂にともなう実装方法の検討
日本ISMSユーザグループ
インプリメンテーション研究会
2014年12月19日
副主査 魚脇 雅晴
Copyright (c) Japan ISMS User Group. 2014
1
インプリ研 2014活動テーマ(テーマ2)
2014
テーマは実践活用!!
2013
2011
2010
管理策の有効
性評価を効果
的に行うモニタ
リング手法のモ
デル化
ISMS規格改訂
にともなう実装
方法の検討
有効性評価に
基づく
ISMS実践活用
ISMS全体の
有効性評価
手法
2012
ISMS実践手法
BCPのモデル
化の検討
Copyright (c) Japan ISMS User Group. 2014
2
テーマ設定の背景
○大幅な規格改定
⇒認証取得当時に設定したISMS文書の見直し
において原点に立ち戻り、ISMSの新規格要求
事項が何を要求しているのか深堀するチャンス
○ISMS推進事務局の世代交替
⇒ISMSを初期から設計/構築した事務局メンバー
が異動で初期構築経験をしていない新世代が
中心となって活動している組織が増加
Copyright (c) Japan ISMS User Group. 2014
3
テーマの目的/目標
テーマの狙い
目的/目標
ISMS推進事務局として新規 ①重要事項について新規格
格をどのように読み解き、実 で求めている要求事項に
装を行うべきか規格要求事
ついてブレークダウンする
項と現場のプロセスの整合
を行う。
②ユースケースや具体的な
事例を用いて解説すること
で理解を深める
Copyright (c) Japan ISMS User Group. 2014
4
ISMS構築手順の全体像(参考)
ISO/IEC27001規格改定に伴う実装方法について、主に
下記の赤字部分を重点に検討を実施する。
ISMS構築
ISMS導入検討
ISMS導入準備
・組織の経営戦略に伴う
機会と情報セキュリティ
リスクの検討
・ISMS導入推進メンバー
の選定と教育
・ISMS構築体制確立
・現状調査
・ISMS導入スケジュール
とプロジェクト体制の
決定
・リスクアセスメント
・ISMS導入の目的と
適用範囲の検討
・ISMS導入推進体制の
検討
・ISMS導入スケジュール
と費用の見積もり
・情報セキュリティ方針(案)
の作成とISMS適用範囲
の確定
・ISMS導入基本計画
(経営資源の投入含む)
策定と承認
・情報セキュリティ方針と
目的の確立
ISMS運用
ISMS認証登録
・運用計画策定
・ISMS認証登録申請
・ISMS運用開始
・ISMS認証審査
・情報セキュリティ
パフォーマンス測定
・ISMS認証審査対応
・内部監査
・リスク対応計画策定
・マネジメントレビュー
・事業継続マネジメントへの
情報セキュリティ継続の検討
・マネジメントシステム運用計画策定
・文書化された情報の準備
・業務プロセスとISMS要求事項の
統合化の検討
Copyright (c) Japan ISMS User Group. 2014
5
ISMS構築手順と規格改定の重点検討項目
下記の2点を重点検討項目として整理する
ISMS導入検討
・組織の経営戦略に伴う
機会と情報セキュリティ
リスクの検討
ISMS構築
ISMS導入準備
・情報セキュリティ方針(案)
の作成とISMS適用範囲
の確定
・リスクアセスメント
・情報セキュリティ方針と
目的の確立
・ISMS導入の目的と
適用範囲の検討
・リスク対応計画策定
事業目標とISMSの目的/目標について
リスクの定義と
リスクアセスメント
Copyright (c) Japan ISMS User Group. 2014
6
情報セキュリティリスクに
関係する変更点の全体像
Copyright (c) Japan ISMS User Group. 2014
7
リスクマネジメントの 11 の原則
1. 価値を創造し、保護する
2. 組織のすべてのプロセスにおいて不可欠な部分である
3. 意思決定の一部である
4. 不確かさに明確に対処する
5. 体系的かつ組織的で、時宜を得たものである
6. 最も利用可能な情報に基づくものである
7. 組織に合わせて作られる
8. 人的及び文化的要素を考慮に入れる
9. 透明性があり、かつ、包含的である
10. 動的で、繰り返し行われ、変化に対応する
11. 組織の継続的改善を促進する
Copyright (c) Japan ISMS User Group. 2014
8
リスクマネジメントの手順
ビジネス/セキュリティの目的/目標とリスクマネジメントの連携が重要!
Copyright (c) Japan ISMS User Group. 2014
9
情報セキュリティリスクに関係する項目
下記の A 〜 E 項目について新規程を紐解く
A
B
C
D
E
Copyright (c) Japan ISMS User Group. 2014
10
情報セキュリティリスクに関係する整理事項
NO
情報セキュリティリスクに関する項目
A
A
リスクの定義=
目的に対する不確かさ
リスクとは?
不確実性とは?
組織の状況の確定
(課題、範囲、方針、目的)
項番Eと合わせて組織のビジネス
目標とセキュリティ目標や具体的な
方針のブレークダウン
(ユースケースによる事例紹介)
リスクアセスメント
①リスクの特定(リスク源:事象及び
それらの原因、起こりうる結果)
②リスク分析
③リスク評価
①リスクの特定の考え方
(リスク源→事象→結果の関係)
②リスク分析
③リスク評価
リスク対応(7つの選択肢)
リスク対応の選択肢の考え方
・ユースケースの事例
・IPAの10大脅威の事例
情報セキュリティ目的及び計画策定
項番Bと同様
B
B
関連項目
C
C
D
D
E
E
整理すべき事項
Copyright (c) Japan ISMS User Group. 2014
11
本日の説明の流れ (1/2)
A
説明シナリオ
リスクとは?
概念
①不確実性とは?
②目的の設定でリスクの捉え方が変わる
・情報セキュリティの世界では?
・目的/目標とは?
現実世界への
マッピング
B
E
『ラーメン屋のISMS物語』 を題材
とした具体例で理解を深める
ユースケース
◎ビジネスの目的/目標
・ビジネスリスク
◎セキュリティの目的/目標
・セキュリティリスク
Copyright (c) Japan ISMS User Group. 2014
12
本日の説明の流れ (2/2)
C
説明シナリオ
事例:PCのウィルス感染による
情報漏洩リスク
リスクの特定
リスクの特定の
考え方をまとめる
D
リスク対応の分類
リスク対応の選択肢の考え方
○ユースケースの事例
○IPAの10大脅威の事例
Copyright (c) Japan ISMS User Group. 2014
13
D
リスク対応の分類
A
リスクとは?
リスク対応の選択肢
の考え方
C
概念
B
リスクの
特定
E
ユースケースによる事例
ビジネス/セキュリティの
目的/目標とリスク
Copyright (c) Japan ISMS User Group. 2014
14
A リスクの概念
リスクの定義(ISO27000)
=
目的に対する不確かさの影響
『2009年に制定された
ISO31000:2009リスクマネジメントの原則と指針』より
Copyright (c) Japan ISMS User Group. 2014
15
A リスクの概念
目的に対する不確かさの影響とは?
+
プラスのリスク
目的に対して達成率が増える
方向に作用するリスク
目的/目標の
ベースライン
マイナスのリスク
−
目的に対して達成率が下がる
方向に作用するリスク
Copyright (c) Japan ISMS User Group. 2014
16
A
ポジティブリスクとネガティブリスク
リスクは、マイナスのリスクだけではなく、プラスのリスク
金融の世界でのリスク概念は、安全・環境・医学などの
分野とはかなり違う。金融では、原則として「リスク」と
「リターン」が、ワンセットの概念
「リスクとは不確実性のことであって、それゆえプラスにも
マイナスにもばらつく」、となる。「だからマイナス・リスク(脅
威)は避けて、プラスのリスク(好機)はつかめ」というよう
な指針が出てくる。2009年に制定された、ISO 31000:2009
の「リスク・マネジメント-原則と指針」では、「目的に対す
る不確かさの影響」
「目的に対する不確かさの影響」「リスクにはプラスもマイ
ナスもある」と考える立場を『対称型リスク』概念とよび、「リ
スクはマイナスのみ」と考える立場を『非対称型リスク』概
念と呼ぶことにしよう(「両側リスク」と「片側リスク」と呼ぶ
人もいる)。金融分野では対称型、健康・安全などHSE分
野は、非対称型でものを考える傾向が強い。
Copyright (c) Japan ISMS User Group. 2014
17
A
ポジティブリスクとネガティブリスク
一般的には、
○リスクは、マイナスのリスクだけではなく、プラスのリス
ク
セキュリティでは・・・
○リスクはマイナスのみ
非対称型リスク(片側リスク)
Copyright (c) Japan ISMS User Group. 2014
18
A ビジネスとセキュリティの目的/目標とリスクの関係
プラスリスク
プラスリスクなし
ビジネスの目的/目標
セキュリティ目的/目標
○○○の達成
連携
○○○の達成
・秘伝のレシピの保護
・顧客情報の保護
・売上の増加
・販売チャネルの拡大
○ビジネスリスク
○セキュリティリスク
・秘伝のレシピの情報漏えい
による競争力の低下
・顧客情報漏えいによる
信頼度低下
・供給不足、過剰在庫・・・
・秘伝のレシピの情報漏えいによる
競争力の低下
・顧客情報漏えいによる信頼度低下・・・
マイナスリスク
マイナスリスク
Copyright (c) Japan ISMS User Group. 2014
19
A
リスクの基準の考え方
下記の項目の組み合わせを行い、測定可能な
モニタリング指標値を設定
①結果の大きさ
②事象の起りやすさ
③受容可能または許容可能なレベル
Copyright (c) Japan ISMS User Group. 2014
20
A
リスク所有者(risk owner)とは?
①従来の情報オーナーとの違いは?
②通常は部門毎に資産台帳を管理して
いるが、リスクオーナーの粒度は?
Copyright (c) Japan ISMS User Group. 2014
21
A
リスクの性質に着目したオーナーの設定
○戦略的なリスク/機会
ビジネスリスク ⇒ 会社全体として事業目的全体として捉えるリスク
(目的/目標に対する不確実性)
⇒会社全体のリスク、事業部単位でのリスク管理
⇒リスクオーナーとしてはCISOや事業部長レベル
○オペレーショナルな意味でのリスク/機会
管理策レベルのリスク ⇒ 個々の管理策の不確実性
⇒リスクオーナーとしては、担当部長/課長レベル
Copyright (c) Japan ISMS User Group. 2014
22
A セキュリティ全体目標/個別目標&リスクマネジメント
セキュリティ全体目標
セキュリティ
目標
全社のセキュリティリスク
リスクオーナーはCISO
リスク
(A)
リスク
(B)
リスク
(C)
事業部のセキュリティリスク
リスクオーナーは組織長
オペレーショナルリスク
リスクオーナーは課長
Copyright (c) Japan ISMS User Group. 2014
23
D
リスク対応の分類
A
リスクとは?
リスク対応の選択肢
の考え方
C
概念
B
リスクの
特定
E
ユースケースによる事例
ビジネス/セキュリティの
目的/目標とリスク
Copyright (c) Japan ISMS User Group. 2014
24
ユースケースに基づく事例研究
屋台のラーメン屋のISMS物語
Copyright (c) Japan ISMS User Group. 2014
25
屋台のラーメン屋のISMS物語
吾郎の事業目標:
・うまいラーメンを作り、日本中のお客様を幸せにする。
・チェーン展開をして、遠くのお客様にも幸せを届けたい。
・年商1億円企業を目指す。
Copyright (c) Japan ISMS User Group. 2014
26
ある食品会社のビジネス展開
STEP3
インターネット販売展開
インターネット
店舗
顧客
DB 注文
情報
STEP2
フランチャイズ展開
食品工場
との連携
STEP1
屋台の
ラーメン
Copyright (c) Japan ISMS User Group. 2014
27
吾郎の事業目標とビジネスリスク
・うまいラーメンを作り、日本中のお客様を幸せにする。
・チェーン展開をして、離れたお客様にも幸せを届けたい。
・年商1億円企業を目指す。
STEP2
STEP3
事業拡大
インターネット販売
売上:12000万
STEP1
屋台の
ラーメン屋
売上:1000万
ビジネス
リスク
・天候に左右される
・供給量に限界
・BCPが個人に集約
店舗経営&
フランチャイズ展開
売上:6000万
+β:直販チャネル
の導入
+α:ポイントカード
の導入
・売上の拡大
・投資(店舗、POS)の回収
・品質低下リスク
・BCPとしてはリスク分散
Copyright (c) Japan ISMS User Group. 2014
・直販チャネルによる
売上の拡大(注文の殺到)
・投資(ITシステム)の回収
・供給不足、過剰在庫
・BCPとしてはアウトソース管理
28
吾郎の事業目標を支えるセキュリティ目標
・うまいラーメンを作り、日本中のお客様を幸せにする。
・チェーン展開をして、離れたお客様にも幸せを届けたい。
・年商1億円企業を目指す。
STEP2
STEP1
屋台の
ラーメン屋
売上:1000万
店舗経営&
フランチャイズ展開
売上:6000万
STEP3
事業拡大
インターネット販売
売上:12000万
+β:直販チャネル
の導入
+α:ポイントカード
の導入
・売上の拡大
・投資(店舗、POS)の回収
・品質低下リスク
・BCPとしてはリスク分散
・直販チャネルによる
売上の拡大(注文の殺到)
・投資(ITシステム)の回収
・供給不足、過剰在庫
・BCPとしてはアウトソース管理
ビジネス
リスク
・天候に左右される
・供給量に限界
・BCPが個人に集約
セキュリティ
目的/目標
・秘伝のレシピの機密性
と事業継続の両立
・秘伝のレシピの保護と品質の両立
・顧客情報の保護
・従業員教育
左記に加えて
・ITシステムの運用管理の徹底
・委託先管理の徹底
セキュリティ
リスク
・BCPが個人に集約
されているので、
個人の健康リスクと
直結
・秘伝のレシピは厳密
に管理(一子相伝)
・秘伝のレシピの開示
リスク(情報漏洩)
・ポイントカードによる
顧客情報保有リスク
・秘伝のレシピの開示
リスク(情報漏洩)
⇒開示範囲
・Webチャネルによる
顧客情報保有リスク
・ITシステム保有リスク
Copyright (c) Japan ISMS User Group. 2014
29
ビジネスの目的/目標とセキュリティ目的/目標とリスク
STEP3
STEP1
STEP2
事業目標
売上1000万
うまいラーメン、常連客
売上6000万
店舗経営、フランチャイズ展開
ポイントカード導入による顧客
の囲い込み
売上12000万
インターネット販売チャネルへの展開
直販チャネルの導入
事業リスク
・天候に左右される
・供給量に限界
・BCPが個人に集約
・売上の拡大
・投資(店舗、POS)の回収
・品質低下リスク
・BCPとしてはリスク分散
・直販チャネルによる
売上の拡大(注文の殺到)
・投資(ITシステム)の回収
・供給不足、過剰在庫
・BCPとしてアウトソース先供給サービス停止
セキュリティ
目的/目標
・秘伝のレシピの機密
性と事業継続の両
立
・秘伝のレシピの保護と品
質の両立
・顧客情報の保護
・従業員教育
・秘伝のレシピの保護
・顧客情報の保護
・ITシステムの運用管理の徹底
・委託先管理の徹底
セキュリティ
リスク
・BCPが個人に集約
されているので、
個人の健康リスクと
直結
・秘伝のレシピは厳
密
に管理(一子相伝)
・秘伝のレシピの開示
リスク(情報漏洩)
・ポイントカードによる
顧客情報保有リスク
・秘伝のレシピの開示
リスク(情報漏洩)
⇒開示範囲
・Webチャネルによる
顧客情報保有リスク
・ITシステム保有リスク
Copyright (c) Japan ISMS User Group. 2014
30
B E ビジネスの目的/目標とビジネスリスク
ビジネスリスク
プラスリスク
・直販/インターネットチャネルに
よる売上の拡大(注文の殺到)
ビジネスの目的/目標
ビジネスチャンスの最大化
販売チャネルの拡大
・売上の増加(12000万)
・インターネット販売チャネルへの展開
・直販チャネルの導入
・供給不足、過剰在庫
・BCPとしてアウトソース先供給サービス停止
・秘伝のレシピの情報漏えいによる
競争力の低下
・顧客情報漏えいによる信頼度低下
・ITシステムの停止による売上機会の損失
マイナスリスク
Copyright (c) Japan ISMS User Group. 2014
31
B E ビジネスリスクとセキュリティの課題
ビジネスリスク
プラスリスク
・直販/インターネットチャネルに
よる売上の拡大(注文の殺到)
ビジネスの目的/目標
ビジネスチャンスの最大化
販売チャネルの拡大
・売上の増加(12000万)
・インターネット販売チャネルへの展開
・直販チャネルの導入
セキュリティの課題
・秘伝のレシピの情報漏えいによる
競争力の低下
・顧客情報漏えいによる信頼度低下
・ITシステムの停止による売上機会の損失
・供給不足、過剰在庫
・BCPとしてアウトソース先供給サービス停止
・秘伝のレシピの情報漏えいによる
競争力の低下
・顧客情報漏えいによる信頼度低下
・ITシステムの停止による売上機会の損失
マイナスリスク
Copyright (c) Japan ISMS User Group. 2014
32
B E
ビジネスの目的/目標とセキュリティの目的/目標
ビジネスリスク
プラスリスク
・直販/インターネットチャネルに
よる売上の拡大(注文の殺到)
ビジネスの目的/目標
ビジネスチャンスの最大化
販売チャネルの拡大
セキュリティ目的/目標
・秘伝のレシピの保護
・顧客情報の保護
・ITシステムの運用管理の徹底
・委託先管理の徹底
セキュリティの課題
・秘伝のレシピの情報漏えいによる
競争力の低下
・顧客情報漏えいによる信頼度低下
・ITシステムの停止による売上機会の損失
・売上の増加(12000万)
・インターネット販売チャネルへの展開
・直販チャネルの導入
・供給不足、過剰在庫
・BCPとしてアウトソース先供給サービス停止
・秘伝のレシピの情報漏えいによる
競争力の低下
・顧客情報漏えいによる信頼度低下
・ITシステムの停止による売上機会の損失
マイナスリスク
Copyright (c) Japan ISMS User Group. 2014
33
B セキュリティの目的/目標とセキュリティリスク
ビジネスリスク
プラスリスク
・直販/インターネットチャネルに
よる売上の拡大(注文の殺到)
プラスリスクなし
セキュリティリスク
ビジネスの目的/目標
セキュリティ目的/目標
ビジネスチャンスの最大化
販売チャネルの拡大
・秘伝のレシピの保護
・顧客情報の保護
・ITシステムの運用管理の徹底
・委託先管理の徹底
セキュリティの課題
・秘伝のレシピの情報漏えいによる
競争力の低下
・顧客情報漏えいによる信頼度低下
・ITシステムの停止による売上機会の損失
マイナスリスク
・売上の増加(12000万)
・インターネット販売チャネルへの展開
・直販チャネルの導入
・供給不足、過剰在庫
・BCPとしてアウトソース先供給サービス停止
・秘伝のレシピの情報漏えいによる
競争力の低下
・顧客情報漏えいによる信頼度低下
・ITシステムの停止による売上機会の損失
マイナスリスク
Copyright (c) Japan ISMS User Group. 2014
34
B E
セキュリティリスクとリスク受容基準
セキュリティリスク
コストの超過
セキュリティ目的/目標
コスト適性
・秘伝のレシピの保護
・顧客情報の保護
・ITシステムの運用管理の徹底
・委託先管理の徹底
セキュリティの課題
リスク受容水準
・秘伝のレシピの情報漏えいによる
競争力の低下
・顧客情報漏えいによる信頼度低下
・ITシステムの停止による売上機会の損失
マイナスリスク
Copyright (c) Japan ISMS User Group. 2014
35
D
リスク対応の分類
A
リスクとは?
リスク対応の選択肢
の考え方
C
概念
B
リスクの
特定
E
ユースケースによる事例
ビジネス/セキュリティの
目的/目標とリスク
Copyright (c) Japan ISMS User Group. 2014
36
C
リスクの特定
リスク源とは?
事例
・ウィルスの存在
・悪意のあるサイト
存在
リスク源
事例
・インターネット接続
(外部との接続)
・ウィルス対策ソフトの不備
(未導入、定義ファイルの
未更新)
起りやすさ
Copyright (c) Japan ISMS User Group. 2014
それ自体又はほかとの
組み合わせによって、
リスクを生じさせる力を
本来潜在的にもっている
要素
37
C
リスクの特定
事象とは?
事例
・インターネット接続
(外部との接続)
・ウィルス対策ソフトの不備
(未導入、定義ファイルの
未更新)
存在
因果
事例
・ウィルスの存在
・悪意のあるサイト
リスク源
それ自体又はほかとの
組み合わせによって、
リスクを生じさせる力を
本来潜在的にもっている
要素
事象
ある一連の周辺状況の
出現又は変化
起りやすさ
起りやすさ
・リスク源によって引き起こされる
・起ったら困ることに対処/考慮する
(起らないことは事象とならないが・・・)
・確率論(0〜1)
Copyright (c) Japan ISMS User Group. 2014
38
C
リスクの特定
結果とは?
事例
・ウィルスの存在
・悪意のあるサイト
存在
リスク源
因果
起りやすさ
起りやすさ
目的
影響
+/−
事象
ある一連の周辺状況の
出現又は変化
結果
目的に影響を与える事象
の結末
因果
事例
・インターネット接続
(外部との接続)
・ウィルス対策ソフトの不備
(未導入、定義ファイルの
未更新)
それ自体又はほかとの
組み合わせによって、
リスクを生じさせる力を
本来潜在的にもっている
要素
・目的に影響を与えないものを
ヒヤリハットと分類し、リスク
対策を実施する必要がある
・一般的には情報セキュリティ
の世界ではマイナスの影響
のみ
Copyright (c) Japan ISMS User Group. 2014
39
C
リスクの特定とリスク対応の有効性評価
?
減らないインシデント・・・
場当たりの
セキュリティ対策
の積み重ね
リスク源
Copyright (c) Japan ISMS User Group. 2014
40
C
リスクの特定とリスク対応の有効性評価
TIPS
有効なリスク対応を実施するには、リスクの特定
が重要事項となる(X&Yのコントロール)
X
リスク源
因果
Y
存在
起りやすさ
目的
影響
+/−
Copyright (c) Japan ISMS User Group. 2014
事象
因果
起りやすさ
結果
41
D
リスク対応の分類
A
リスクとは?
リスク対応の選択肢
の考え方
C
概念
B
リスクの
特定
E
ユースケースによる事例
ビジネス/セキュリティの
目的/目標とリスク
Copyright (c) Japan ISMS User Group. 2014
42
D リスク対応の選択肢の考え方
ISO/IEC27001:2005
・低減
・受容
・移転
・回避
4つ
ISO/IEC27001:2013
変更
・リスクの回避
・リスク機会の追求
・リスク源の除去
・起り易さを変える
・結果を変える
・リスクの共有
・リスク保有
7つ
Copyright (c) Japan ISMS User Group. 2014
43
D リスク対応の選択肢の考え方
リスク対応選択肢 リスク対応選択肢の説明
選択における考え方
リスクの回避
リスクを発生させる活動を開始しな
い、または継続しないことを決定す
ることによって、そのリスクを回避
(avoid)すること
リスクを発生させるプロセスを始めな
い、始めていても継続しないことで該
当リスクを発生させない。
2
リスク機会の
追求
リスクを取る(take)または増加
(increase)させることにより、機会を
追求すること
3
リスク源の除去
リスク源(risk source)を取り除くこと
脆弱性となっている窓ガラスを無くす
4
起り易さを変え
る
起りやすさ(likelihood)を変えること
マニュアルの作成やウィルス対策ソフ
トの導入により、発生確率を下げる
結果を変える
結果(consequence)を変えること
緊急時対応マニュアル作成による事
後対応、ファイルの暗号化による漏
洩後の実質被害の低減等
リスクの共有
一つまたは複数の他者とそのリス
クを共有(share)すること
損害保険による金額保証、アウトソー
シングによるリスクの共有
リスク保有
十分な情報を得たうえでの決定に
より、そのリスクを保有(retain)する
こと
リスク発生時の損害額や発生確率か
ら考えて、あえて対策をせずにリスク
を受容する
NO
1
リスクコントロール
5
リ
ス
ク
フ
ァ
イ
ナ
シ
ン
グ
6
7
投機的リスク(+/ー)
Copyright (c) Japan ISMS User Group. 2014
44
D リスク対応の分類
1:
リスクの回避
リスクを発生させる活動を開始しない、ま
たは継続しないことを決定することによっ
て、そのリスクを回避(avoid)すること
事例:PCのウィルス感染による情報漏えいのリスク
・ウィルスの存在
・悪意のあるサイト
・不正なリンク先に案内するメール
・重要情報の存在
外部との接続の遮断
・インターネット接続をしない(クローズNW)
・外部媒体の利用禁止(USBポートの遮断)
・重要情報をPCに保管しない
存在
リスク源
因果
起りやすさ
起りやすさ
目的
影響
+/−
Copyright (c) Japan ISMS User Group. 2014
事象
ある一連の周辺状況の
出現又は変化
結果
目的に影響を与える事象
の結末
因果
・インターネット接続(外部との接続)
・USB等の外部接続の利用
・ウィルス対策ソフトの不備(未導入、
定義ファイルの未更新)
・フルスキャンの未実施
・セキュリティアップデート未実施
それ自体又はほかとの
組み合わせによって、
リスクを生じさせる力を
本来潜在的にもっている
要素
45
D リスク対応の分類
3:
リスク源の除
去
リスク源(risk source)を取り除くこと
事例:PCのウィルス感染による情報漏えいのリスク
リスク源の削除
・ウィルスの駆除(媒体の利用前のスキャン、
NWの入り口でのスキャン)
・外部媒体の利用禁止(USBポートの遮断)
・ウィルスの存在
・悪意のあるサイト
・不正なリンク先に案内するメール
存在
リスク源
因果
起りやすさ
起りやすさ
事象
因果
・インターネット接続(外部との接続)
・USB等の外部接続の利用
・ウィルス対策ソフトの不備(未導入、
定義ファイルの未更新)
・フルスキャンの未実施
・セキュリティアップデート未実施
目的
影響
+/−
結果
Copyright (c) Japan ISMS User Group. 2014
それ自体又はほかとの組み合わせ
によって、リスクを生じさせる力を
本来潜在的にもっている要素
ある一連の周辺状況の出現又は
変化
目的に影響を与える事象の結末
46
D リスク対応の分類
4:
起り易さを変える
起りやすさ(likelihood)を変えること
リスク源自体を取り除くことは出来ない
が、ウィルス対策ソフトを導入することで
検知&駆除やOS等のセキュリティアップ
デートを実施することで、脆弱性に対応
することで事象が発生し難い環境を作る。
存在
リスク源
因果
起りやすさ
起りやすさ
事象
因果
目的
影響
+/−
結果
Copyright (c) Japan ISMS User Group. 2014
それ自体又はほかとの組み合わせ
によって、リスクを生じさせる力を
本来潜在的にもっている要素
ある一連の周辺状況の出現又は
変化
目的に影響を与える事象の結末
47
D
リスク対応の分類
5:
結果を変える
結果(consequence)を変えること
リスク源による事象の発生は防げないが、発生後の
事後対応で結果の大きさを小さく変化させる。
・緊急時対応マニュアル作成による事後対応
・ファイルの暗号化による漏洩後の実質被害の低減等
存在
リスク源
因果
起りやすさ
起りやすさ
事象
因果
目的
影響
+/−
結果
Copyright (c) Japan ISMS User Group. 2014
それ自体又はほかとの組み合わせ
によって、リスクを生じさせる力を
本来潜在的にもっている要素
ある一連の周辺状況の出現又は
変化
目的に影響を与える事象の結末
48
D
リスク対応の分類
6:
リスクの共有
損害保険による金額保証、アウトソーシング
によるリスクの共有
一つまたは複数の他者とそのリスク
を共有(share)すること
リスク源による事象の発生は防げないが、
発生後の結果(ビジネスへのインパクト)
を損害保険等で金額補償することで目的
への影響を間接的に減少させる
存在
リスク源
因果
起りやすさ
起りやすさ
事象
因果
目的
結果
影響
+/−
それ自体又はほかとの組み合わせ
によって、リスクを生じさせる力を
本来潜在的にもっている要素
ある一連の周辺状況の出現又は
変化
目的に影響を与える事象の結末
金額補償
Copyright (c) Japan ISMS User Group. 2014
49
D
リスク対応の選択肢(ユースケースの事例)
インターネット経由の受発注システムを利用する上での顧客情報
保有リスクとそのリスク対応策の事例
リスク
リスク対応策
① 顧客情報漏洩時の損害賠償
等の対応コストによる損害
①個人情報漏洩時の保険への加入
(損害賠償、調査費用、顧客対応コスト等)
② 外部/内部からの顧客情報の
漏洩リスク
②−1:FW、IPS/IDSサービスの利用
(不正侵入検知、防御等)
②−2:顧客情報ファイルの暗号化
(漏洩時の実質的なインパクトの軽減)
②−3:クラウドへのログインアカウント管理の徹底
(アカウントの乗っ取り予防等)
②−4:アクセスログの取得&監査の実施
(侵入時の早期発見と被害拡大の防止)
③ 受発注システムの長時間停止 ③−1:SLAの明確化(契約条項)(損害賠償請求)
等による逸失利益
③−2:保険対応
Copyright (c) Japan ISMS User Group. 2014
50
50
D
リスク対応の選択肢(ユースケースの事例)
リスク対応選択肢 リスク対応選択肢の説明
選択したリスク対応
4
起り易さを変える
起りやすさ(likelihood)を変えること
②−1、②−3、②−4
5
結果を変える
結果(consequence)を変えること
②−2、
リスクの共有
一つまたは複数の他者とそのリス
クを共有(share)すること
リスク対応策
①、③−1、③−2
N
O
6
リスク
① 顧客情報漏洩時の損害賠償
等の対応コストによる損害
①個人情報漏洩時の保険への加入
(損害賠償、調査費用、顧客対応コスト等)
② 外部/内部からの顧客情報の
漏洩リスク
②−1:FW、IPS/IDSサービスの利用
(不正侵入検知、防御等)
②−2:顧客情報ファイルの暗号化
(漏洩時の実質的なインパクトの軽減)
②−3:クラウドへのログインアカウント管理の徹底
(アカウントの乗っ取り予防等)
②−4:アクセスログの取得&監査の実施
(侵入時の早期発見と被害拡大の防止)
③ 受発注システムの長時間停止 ③−1:SLAの明確化(契約条項)(損害賠償請求)
等による逸失利益
③−2:保険対応
Copyright (c) Japan ISMS User Group. 2014
51
51
D リスク対応の選択肢(IPA情報セキュリティ10大脅威)
1位:標的型メールを用いた組織へのスパイ・諜報活
動・・・
2位:不正ログイン・不正利用・・・
3位:ウェブサイトの改ざん・・・
4位:ウェブサービスからのユーザ情報の漏洩・・・
5位:オンラインバンキングからの不正送金・・・
6位:悪意あるスマートフォンアプリ・・・
7位:SNSへの軽率な情報公開・・・
8位:紛失や設定不備による情報漏漏えい・・・
9位:ウィルスを使った詐欺・恐喝・・・
10位:サービス妨害・・・
Copyright (c) Japan ISMS User Group. 2014
52
D リスク対応の選択肢(IPA情報セキュリティ10大脅威)
1位 標的型メール・・・
対策:
①「仮想環境(サンドボックス)」による検知
②侵入後にシステム内部を探索させないシステム設計
(重要ファイルへのアクセス時にアラート。監視との連動)
③侵入されたことを検知するためのログ監査(注1)
④標的型攻撃メールの訓練の実施
NO リスク対応選択肢
リスク対応選択肢の説明
選択したリスク対応
1
リスクの回避
リスクを発生させる活動を開始しない、または継続しないこと
を決定することによって、そのリスクを回避(avoid)すること
2
リスク機会の追求
リスクを取る(take)または増加(increase)させてことにより、
機会を追求すること
3
リスク源の除去
リスク源(risk source)を取り除くこと
4
5
起り易さを変える
起りやすさ(likelihood)を変えること
①②④
結果を変える
結果(consequence)を変えること
③(間接的な対応)
6
リスクの共有
一つまたは複数の他者とそのリスクを共有(share)すること
7
リスク保有
注1:インシデント対応
ログ監査により、侵入検知することで被害の拡散を
十分な情報を得たうえでの決定により、そのリスクを保有
(retain)すること
防ぐことで、結果の大きさを変えることを目的とする
Copyright (c) Japan ISMS User Group. 2014
53
D リスク対応の選択肢(IPA情報セキュリティ10大脅威)
2位 不正ログイン・不正利用
対策:
①パスワードの使い回しを止める
②定期的なパスワードの変更
③ワンタイムパスワード/2要素認証方式の利用
NO リスク対応選択肢
リスク対応選択肢の説明
1
リスクの回避
リスクを発生させる活動を開始しない、または継続しないこ
とを決定することによって、そのリスクを回避(avoid)するこ
と
2
リスク機会の追求
リスクを取る(take)または増加(increase)させてことにより、
機会を追求すること
3
リスク源の除去
リスク源(risk source)を取り除くこと
4
起り易さを変え
る
起りやすさ(likelihood)を変えること
5
結果を変える
結果(consequence)を変えること
6
リスクの共有
一つまたは複数の他者とそのリスクを共有(share)すること
7
リスク保有
十分な情報を得たうえでの決定により、そのリスクを保有
(retain)すること
Copyright (c) Japan ISMS User Group. 2014
選択したリスク対応
①②③
54
54
セキュリティリスク低減とコストバランス
セキュリティリスク値の低減と対策する管理策のコストのバランスが
均衡したところが最適値となる。
管理策
コスト
Copyright (c) Japan ISMS User Group. 2014
管理策コスト
セキュリティリスクレベル
リスク
レベル
55
セキュリティリスク低減とコストバランス
セキュリティリスク値の低減と対策する管理策のコストのバランスは現実世界
では様々なパターンが存在する。
ア
イ
ウ
エ
Copyright (c) Japan ISMS User Group. 2014
56
リスク値の算出について
Copyright (c) Japan ISMS User Group. 2014
57
リスク値の算出について
従来の考え方
リスクの大きさ = 資産価値 × 脅威 × 脆弱性
事象の発生可能性
(発生確率)
新規格の定義
リスクの大きさ = 発生時の影響の大きさ × 発生確率
Copyright (c) Japan ISMS User Group. 2014
58
リスク値の算出について
リスク値の算出には下記の掛け算型や足し算型が
利用されている
掛け算型(数学の確率論の期待値)
リスクの大きさ = 発生時の影響の大きさ × 発生確率
期待値の大きさで評価する
足し算型
リスクの大きさ = 発生時の影響の大きさ + 発生確率
発生確率と影響の大きさの両方を点数で評価して、
両者の単位を「点」で同じにすることで表現
Copyright (c) Japan ISMS User Group. 2014
59
リスク値の算出について(事例)
算出については統計、経験、推測等のデータを用いる
ので誤差を考慮する必要があるので、境界値について
は必要に応じて他の方法と併用することもある。
表1 掛け算型を利用したリスク値算出のマトリクス表
率
生
(新規格に基づくリスク値の算出の参考事例)
発 確
影響の大きさ
1
2
3
1
1
2
3
2
3
2
3
4
6
6
9
4
4
8
12
:重点対応リスク
:通常対応リスク
:受容対応リスク
Copyright (c) Japan ISMS User Group. 2014
60
まとめ
本日はリスクの特定&対応、ビジネス&セキュリティの
目的/目標について深堀を実施。
(規格要求事項の考え方と現場でのプロセスの整合の一例)
○規格の大幅な改定をどのように捉えるか?
選択肢
A:事務局として大変だ!
取り合えず、認証だけ更新出来ればよい!
B:自社のビジネスとISMSの取組みを再整理を行う絶好
の機会!
セキュリティのためのセキュリティではなく、ビジネスと
直結したセキュリティ活動の第一歩・・・
Copyright (c) Japan ISMS User Group. 2014
61
最後に活動の紹介(インプリ研)
皆さんも参加してみませんか?
○毎月最終木曜日に定例開催(18:00〜21:00)
○前半テーマ1、後半テーマ2を集中討議
○研究会のテーマだけでなく、各社の疑問や悩みも解決
(コンサル目線ではなく、実践経験に基づく回答・・・)
○会員でなくともオブザーバー制度でお試し参加可能
(事務局へ気軽にご連絡下さい)
Copyright (c) Japan ISMS User Group. 2014
62
本日のセミナーは新規格ISO/IEC27001:2013の重要
な変更点の一つであるリスクの特定と対応及びビジネス
とセキュリティの目的/目標とリスクの関係について事例
として紹介させて頂きました。皆様におかれましては、
新規格への対応はお済みでしょうか?
短い時間の中ですべてをお伝えする事は難しいので、
是非、研究会へご参加されて体験されては如何で
しょうか?
オブザーバー制度があります。
気軽に事務局もしくは各研究会の主査にご連絡下さい。
Copyright (c) Japan ISMS User Group. 2014
63
参考資料
Copyright (c) Japan ISMS User Group. 2014
64
ユースケースに基づく事例研究
屋台のラーメン屋のISMS物語
ビジネスの目的/目標とリスクの関係および
セキュリティの目的/目標とリスクの設定の
考え方を一般論として共有しやすいように
する為に、ユースケースとして設定した物語
です・・・
Copyright (c) Japan ISMS User Group. 2014
65
屋台のラーメン屋のISMS物語
背景:
IT企業を退職した吾郎は、兼ねてから念願だったラーメン屋を始めることを決意
する。会社員だったころから全校のラーメンを食べ歩き、退職してからは3年間
厳しい修行で有名なラーメン屋の門を叩いて弟子入りをして修行をしてきた。
そこで色々と学んだ事は大きかったが、暖簾分けではなく自分だけにしか作れ
ないラーメンの味に拘って吾郎は試行錯誤を重ねてようやく秘伝のスープと麺の
組み合わせを見つけて独立を果たした。簡単な道のりでは無かったが、退職金
をはたいて屋台を購入し、一からビジネスを始めた。最初は売れ残りで利益も
出なかったが、少しずつ口コミで広がって売れるようになってきた。吾郎のラーメン
は型にはまる事無く、自由で広がりがあったので若者を中心に支持を受けて
横浜でも評判のラーメン屋になった。当初は苦労しながら、売れるルートや時間
帯を見つけては分析していたのだが、今では吾郎のラーメンを食べたくて、お客
さんの方がやってくるようになってきた。
すべて順調に進んでいたが、最近は困ったことに屋台では仕込みの量が限られ
ており、営業開始から2時間もしない内に売り切れてしまうためにお客さんから、
何とかならないかという嬉しい悲鳴を常に聞いていた。
そこで吾郎は経営者としての一つの判断をすることになる。
Copyright (c) Japan ISMS User Group. 2014
66
屋台のラーメン屋のISMS物語
吾郎の事業目標:
・うまいラーメンを作り、日本中のお客様を幸せにする。
・チェーン展開をして、遠くのお客様にも幸せを届けたい。
・年商1億円企業を目指す。
Copyright (c) Japan ISMS User Group. 2014
67
屋台のラーメン屋のISMS物語
経営者としての判断:
・屋台のラーメン屋では待っているお客様の数に応えられないので、
店舗経営を実施することとした。
(経営判断 その1)
・店舗経営は順調に進み、固定客(リピータ)も多くなり、遠くから
訪れるお客様も増えて常に行列が出来ていた。その頃には吾郎を慕っ
て弟子となった信吾も一人前に育ち、独立を希望していたので、フラン
チャイズ展開の一号店として信吾に任せることとした。
(経営判断 その2)
・フランチャイズ展開も順調に進んでいたが、もっと手軽に吾郎のラー
メンが食べたい、夜中に夜食として食べたいという要望が吾郎の元に
寄せられた。
また、インスタント食品メーカーの◎◎フーズにも吾郎のラーメンを
扱って欲しいという多数の要望が寄せられたことから新企画としてイン
スタントラーメンを展開することとなった。
(経営判断 その3)
Copyright (c) Japan ISMS User Group. 2014
68
屋台のラーメン屋のISMS物語
Copyright (c) Japan ISMS User Group. 2014
屋台のラーメン屋のISMS物語は続く・・・
Copyright (c) Japan ISMS User Group. 2014