フェーズ毎に活用するチェックシートの作成

フェーズ毎に活用できる
チェックシートの作成
嶋倉文裕
富士通関西中部ネットテック株式会社
JNSA西日本支部
２０１４年７月
ＪＮＳＡのご紹介
特定非営利活動法人日本ネットワークセキュリティ協会
英文表記はJapan Network Security Association （略称JNSA）
ネットワーク・セキュリティ製品を提供しているベンダー、システムインテグレータ、イン
ターネットプロバイダーなどネットワークセキュリティシステムを護る先駆的な２００を超
える企業が結集して、我が国における情報セキュリティの必要性を社会にアピールし、
かつ、諸問題を解決していく場として設立しました。2001年5月、活動が認められ、
特定非営利活動法人 (NPO)として認可されて以降、一貫して、統計情報や様々なノ
ウハウ集、対処手法などを提供するとともに、ワークショップや勉強会、更には情報セ
キュリティの啓発セミナを開催するなど、よりよい情報環境を作りあげるための情報セ
キュリティの実務的で社会に根差した活動を続けています。
<URL>http://www.jnsa.org/
6/16現在 153社
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 1
ＪＮＳＡ西日本支部の中小企業セキュリティ活動
経済産業省
中小企業情報セキュリティ対策
促進事業
推進WG 参加/セミナー講師対応
IPA
リスク対策ＷＧの成果の取り込み
中小企業の情報セキュリティ対策に関する研究会
協力関係の輪
委員参加
中小企業の
情報セキュリティ
対策ガイドライン
委員参加(WG2)
普及検討ＷＧ
（自社診断シート）
クラウド
セキュリティ
ＷＧ
委員参加
委員参加
第一次
ＪＮＳＡ西日本
出社してから退社する
までのリスク対策WG
情報セキュリティチェックシートＷＧ
個人情報保護ＷＧ
▲
1
2005年
手引書
情報セキュリティ
チェックシート
ＷＧ
▲
ISO/IEC 27001、27002の規格改版
個人情報保護法完全施行
2
第二次
12 1
2006年
12 1
2007年
12 1
2008年
12 1
2009年
12 1
2010年
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
2011年～2013年
Page 2
中小企業の定義
●
法令上の定義（中小企業基本法第２条第１項）
製造業
卸売業
小売業
サービス
その他
資本金３億以下
１億以下５千万以下５千万以下３億以下
従業員３００人以下１００人以下５０人以下１００人以下３００人以下
＊資本金、従業員のどちらか一方を充足する事が条件。
●政令による定義
（中小企業金融公庫法等の中小企業関連立法）
・ｺﾞﾑ製品製造業（資本金３億円以下または従業員９００人以下）
・旅館業（資本金５千万以下または従業員２００人以下）
・ソフトウェア業・情報処理サービス業（資本金３億円以下また
は従業員３００人以下）
我々のＷＧでは情報セキュリティに最も影響があ
ると思われる従業員規模に着目し、便宜的に従業
員３００人以下の企業を中小企業の類型として
扱っている
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 3
ＷＧ対象の中小企業
<積極的>
情
報
セ
キ
ュ
リ
テ
ィ
へ
の
対
応
<無視>
<小>
安心
優等生
<大>
もう少し
気づき
脅威
潜在
確信犯
無自覚
リスク
ﾘｽｸ大
企
業
規
模
<小>
<小>
ＩＴ活用度
<大>
<大>
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 4
チェックシート使う、作る
いつ使う？
誰が使う？（誰の視点？）
何の目的で使う？
誰が作る？
いつ作る？
ちゃんと考えているか？
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 5
よくあるPDCAサイクルの状態
・ＰとＤの繰り返し
・対策はしている
例）ウィルス対策ソフト
・なんとなく対策
例）ＩＰＳを導入した！
・リスクアセスメント実施せず
うちは大丈夫か？
「現状の見える化」！
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 6
現状把握のためのチェックシート
ＩＰＡ
・５分でできる！自社診断シート
・中小企業における組織的な情報セキュリティ
対策ガイドライン
（付録1：情報セキュリティ対策チェックリスト）
ＩＳＯ２７００１がベース
・情報セキュリティベンチマーク
ＪＮＳＡ
ＩＳＯ２７００１、システム管理
・情報セキュリティチェックシート
基準がベース
・出社してから退社するまで
中小企業の情報セキュリティ対策実践手引き
“基準“を元に現状把握（初めの一歩）
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 7
第一次情報ｾｷｭﾘﾃｨﾁｪｯｸｼｰﾄＷＧ
誰が使うか
・中堅、中小企業自ら．．．
いつ使うか
・うちは大丈夫か？
目的は
・現状把握、俯瞰する
・リスク認識．．．（当初、考えた大きな目的
とくに経営層）
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 8
ＷＧ活動軌道修正。。
実際の中小企業で試す
対策していないことによる起こりうるトラブル事例
チェックシートに記載するが。。。
→ リスク認識はつながらず
ISO27001管理策ベースで中小企業が
リスク認識するにはハードルが高い
→ SI’erには好評
企業が自ら現状認識、リスク認識するには？
・情報資産管理台帳！
自社の情報資産の状況が判れば．．．
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 9
情報資産管理台帳作成からのｱﾌﾟﾛｰﾁ
情報資産を把握
その保管状況やその価値を認識
情報資産の価値を認識
その保管状況の把握
→価値とその保管状況からリスク認識に！
懸念事項
・情報資産が管理されているのか？
・洗い出しの粒度が細かくなる？
・そもそもSI‘er、ベンダーに丸投げ？
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 10
資産管理台帳からのアプローチ結果
・固定資産台帳との区別がつかない
・業界特有の資産名でないと理解ができない
（金型工業製造系ﾈｯﾄﾜｰｸはDNCと表記）
・企業規模が小さく、経営者（少数の管理者）が
情報資産の責任者の場合
洗い出しはできたが．．．
・丸投げ！自社の情報の保管場所はどこ？
→ 具体的な影響を想像できない、ことが判明
資産管理台帳の作成はリスク認識につながらない
当時の活動の詳細：「中小企業の情報セキュリティ対策支援ＷＧ活動報告書」
http://www.jnsa.org/result/2008/west/0812report.pdf
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 11
業務に潜むリスクアプローチ
・業務プロセスを洗い出し
・業務プロセスを構成する各業務に対するリスク
分析、評価
– 業種、企業、部署、個人によって業務はそれ
ほどに変わらない。
例：「業務」の捉え方
ＰＣを利用した書類の作成
共用ファイルサーバへの情報格納、など
仕事のやり方に着目！
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 12
業務分類
５つの日常サイクルと２つの特別な業務
日常サイクル
出社
社内
社外
退館・退出
帰宅
特別な業務
人事管理
システム管理
出社時の会社への入館方法
社内の仕事の仕方
社外の仕事の仕方
会社をでるときの振る舞い、退館方法
自宅での仕事の仕方や家族との会話
入社、退職、人事評価
システム管理者の仕事
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 13
手引書（通称、9to5）でリスク認識
「出社してから退社するまで
中小企業の情報セキュリティ対策実践手引き」
第1版(2011年3月発行）
http://www.jnsa.org/result/2010/chusho_security_tebiki.html
第２版(2014年4月改定）
http://www.jnsa.org/result/2013/chusho_sec/index.html
本手引書で業務に潜むリスクを認識
情報セキュリティチェックシートで対策状況の把握
・リスク度に応じた適切な対策を導く
（第２版第二次情報ｾｷｭﾘﾃｨﾁｪｯｸｼｰﾄと9to5をﾘﾝｸ）
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 14
ＪＮＳＡのツールの関係
•Why: 9to5
– リスクの認識
– セキュリティ対策
共通
•How:チェックシート
ISO27001/27002:
– 現状の把握
2005
– セキュリティ対策
– PDCAを回す
•What:JNSAソリューションガイド
– 具体的な製品、サービスの選定
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 15
出社してから退社するまで
中小企業の情報ｾｷｭﾘﾃｨ対策実践手引き
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 16
9to5の構成
• 導入部
– 1.概要
– 2.本ガイドライの対象企業
– 3.本ガイドラインの対象読者
– 4.本ガイドラインの使用方法
• 第1部
– 21の情報セキュリティ管理項目(2011年版：18)
• 第2部
– 69業務に基づく情報セキュリティ対策例(2011年版：62)
• 付録
• 参考資料
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 17
9to5の管理策から省いた項目
•対象が紙・物に関するもの
•電源、空調等の設備管理に関するもの
•対策できないもの、対策が中小企業レベルでは
難しいもの
– 経営者、システム管理者等の権限者の不正
– DoS攻撃
•個人情報保護法に関するもの
•委託管理に関するもの（契約事項）
•対策が教育・啓発になるもの（効果測定が困難）
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 18
9to5の活用方法
参考資料
暗号アルゴリズム等
具体的な対策を提示
第2部
業務に基づく情報
セキュリティ対策例
第1部
情報セキュリティ
管理策
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 19
手引書の体系（2011年版）
「第1部情報セキュリティ管理策」
青字は情報システム管理の観点
1.
2.
3.
4.
5.
6.
7.
8.
9.
セキュリティ境界と入退室管理
認証と権限
ウイルス及び悪意のあるプログラムに対する対策
パッチの適用
2014年版修正ポイント
バックアップ
・SNS、Smart Deviceの追加
・情報ｾｷｭﾘﾃｨﾁｪｯｸｼｰﾄとの整合性を
ログの取得
とるため、IT継続性の追加と管理策の
記憶媒体の管理
記載の順番の入れ替え
・その他、内容の見直し
暗号化
アプリケーションの利用
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 20
手引書の体系（2011年版）
10.
11.
12.
13.
14.
15.
16.
17.
18.
電子メールの利用
外部サービスの利用
ネットワークのアクセス制御
クリアデスク・クリアスクリーン
変更管理
構成管理
障害・事故管理
容量・能力の管理
Webの開発・管理
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 21
第２部からの利用
業務のやり方
対象となるもの
CIA、コンプライアンスのどこ
に影響があるか
なにが脅威か
対策を実施する人
何のために対策を行うのか
想定する現状
想定する現状から起こりうるトラブル
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 22
第２部からの利用
参照先の第1部の管理策
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 23
関連する第１部管理策
5.認証と権限
(1)管理目的
情報と情報機器への許可されていないアクセスを防止するため
(2)管理策
①入館・入室設備、PC(BIOS、OS)、サーバー、ネットワーク、アプリケーション、スマートデバイス（スマートフォン、タブレット）、
携帯電話等にアクセスするための個人及びプログラムを認証する仕組みを構築・設定する
②認証には、ワンタイムパスワード、二段階、IDカード、デバイス(ハードウェアトークン、ICカード、USBキー等)、パスワード、
バイオメトリックス(指紋認証、静脈認証等)等及びこれらの組み合わせ(複数要素認証)の第三者が簡単に悪用できない
仕組みを用いる
③認証のためのユーザIDは個人を特定できるように付与する
④ユーザIDは職務権限に応じた、情報と情報機器へのアクセス権限を付与する
⑤特権は、システム管理者、業務の管理者等特別の職務権限を持った者だけに付与する
⑥パスワード(9)は例えば「12文字以上に設定し、
大文字、小文字、数字、特殊文字の4つを組み合わせ、
3カ月に1度変更する」
(以降「」をパスワードポリシーとする)とする。
参照すべき参照資料
(3)運用で心がけるポイント
①退職、人事異動に伴う、ユーザID、アクセス権限の見直しを行う
②アクセスする情報の重要度、情報機器のある場所及び情報にアクセスする場所により認証の強度を検討する
(4)関連する管理項目
セキュリティ境界と入退室管理、アプリケーションの利用、電子メールの利用、ネットワークのアクセス制御、Webの開発・
管理、クラウドの利用、SNS、スマートデバイスの利用
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 24
関連する参考資料
(9)Japan Vulnerability Notes
「共通セキュリティ設定一覧CCE概説 (パスワード編)」
http://jvndb.jvn.jp/apis/myjvn/cccheck/cce_password.html
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 25
第１部と第２部の関係
第１部
本手引き管理項目
1.セキュリティ境界と入退室管理
2.クラウドサービスの利用
3.障害・事故管理
4.IT継続性
5.認証と権限
管理策
①
②
③
①
②
③
①
②
③
①
②
③
①
②
③
④
⑤
⑥
第２部
業務No.
1,.2,22,30,65
1,.2,22,30
3
25,26,28
24,25,26,28
60
59
59
57
1,4,12,21,30,37,44,45,51
4,21,24,45
1,2,3,5,21,45
1,2,21
21
6
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 26
9to5作成最初に行ったこと
業務、情報の保存、処理する場所の洗いだし
業務数７５
脆弱性に起因する要素（人が何処何処で何々する）
業務
情報を保存・処理する場所
対象
(
)
)
出社
入館
○ ○
社内
セキュリティエリアへのアクセス
○
○
○
○
PCの起動・ログイン
○
○
○
○
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 27
)
外
サ
宅
委
廃
配
託
棄
・
業
業
郵
者
送
外（
外
サ
外
サ
サ
）
(
ホ
ワ
イ
ト
ボ
ー
ド
フ
ァ
イ
ル
交
換
等
(
U
S
表
B
プ
コ
携
示
F
ゴ
リ
ピ
他
会電帯
モ紙
A ーミ
ン
話話電
X
箱
ニ
媒
タ
機
話
タ
体
)
ア
プ
リ
ケ
ー
シ
ョ
ン
(
建部
キ
ネ
物屋
・ャ
サッ
ビ机 P ート
入エ
ネ上 C
ワ
バー
りリ
ッ
口ア
ト
ク
他
)
業
務
を
管
理
す
る
人
(
業務(人が何々する)
そ
の
業
務
を
す
る
人
9to5作成最初に行ったこと
目標のセキュリティ要件、現状の業務のセキュリティ
レベルの想定、リスク事象を書き出す
想定２１２
脆弱性に起因する要素（人が何処何処で何々する）
業務(人が何々する)
セキュリティ要件(目的）
現状のセキュリティレベル
リスク事象(リスクシナリオ)
出社
入館
許可されていない第三者のアクセス
を防止する
従業員かどうかを識別、認証する仕
組みが無い
社内
セキュリティエリアへのアクセス
許可されていない部外者のアクセス
を防止する
取り扱う情報の種類・重要度に応じた
許可されていない人間が権限者になりすましセキュリティエリアに入る
エリア分けがされていない
許可されていない部外者のアクセス
を防止する
入退室記録が無い
情報への許可されないアクセスを防
止する
PCに自動ログインの設定を行ってい利用者権限を持たない者がPCにアクセスでき、PCから利用できる情報を漏えいしてし
る
まう
情報へのアクセスを特定する
共通IDを利用している
共通IDを利用しているため、個人を特定するログを残せない、またパスワードの漏えい
する可能性が高い
情報への許可されないアクセスを防
止する
パスワードが簡単なため覗き見で
判ってしまう
パスワードをメモとして書き貼り付け
ている
ログオン時の覗き見やパスワードをメモ書きし貼り付けていることによりパスワードが漏
えいし、重要情報に不正アクセスされる
PCの起動・ログイン
社員以外の人間が社員になりすまし入館する
重要な情報を扱うエリアへの入退室記録が無く、情報漏えい発生後、事件を追跡できな
い
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 28
9to5作成最初に行ったこと
対策の検討、技術と人の両方を考える
脆弱性に起因する要素（人が何処何処で何々する）
業務(人が何々する)
出社
入館
社内
セキュリティエリアへのアクセス
PCの起動・ログイン
対策の仕組み
対策(技術的)
社員証、入館システム(IDカード、バイオ認証、パ
スワード認証）、警備員、社員用と外部用の入り口従業員に個人を特定できる社員証を与え、入館
が分離されている、無人受付がある、セキュリティシステムでチェックする
カメラ
ゾーンニング（エリア分け）、入室システム(IDカー
取り扱う情報の重要度に応じたエリア分けをし、
ド、バイオ認証、パスワード認証）、セキュリティカ
システム的に入退室管理をする
メラ
対策(人的）
従業員に個人を特定できる社員証を与え、人が
チェックする
取り扱う情報の重要度に応じたエリア分けをし、
規程等ルールで入退室管理をする
入退室の担当者が入退室者の入退室記録を管
理台帳に記入する
入退室システム、セキュリティカメラ
システム的に入退室記録（ログ）を残す
システム特権をユーザアカウントに与えない。
自動ログインをさせないツールの導入。
自動ログインの設定をやめる
自動ログインの設定を解除し、ユーザアカウント
自動設定を許可しない旨のルールの作成
から特権を除去する
利用者ごとのIDの作成
利用者ごとのIDの作成
適当な強度（8文字以上、英数字記号の組み合わ
システムのパスワードポリシーを設定しユーザにパスワード文字数、文字列の組み合わせ、変更
せ）を持つパスワードを設定できるIDを作成し、定
強制的に複雑なパスワード、定期的パスワードの周期等についてのパうワードポリシーをルー
期的に変更する
の変更をさせる
ル化しユーザに周知徹底する
パスワードを書いた紙を人目にさらさない
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 29
9to5作成最初に行ったこと
対策が的確に実行されているか
チェックするポイントも考える
脆弱性に起因する要素（人が何処何処で何々する）
業務(人が何々する)
対策(技術的)
対策(人的）
対策のチェックポイント
出社
入館
従業員に個人を特定できる社員証を与え、入館従業員に個人を特定できる社員証を与え、人が退職、人事異動した社員の社員証のたな卸しを
システムでチェックする
チェックする
定期的におこなう
社内
セキュリティエリアへのアクセス
取り扱う情報の重要度に応じたエリア分けをし、取り扱う情報の重要度に応じたエリア分けをし、入退室（エリア）のアクセス権限表の確認および
システム的に入退室管理をする
規程等ルールで入退室管理をする
実際のカードでの確認
システム的に入退室記録（ログ）を残す
PCの起動・ログイン
入退室の担当者が入退室者の入退室記録を管
システムのログまたは入退室管理台帳の確認
理台帳に記入する
自動ログインの設定を解除し、ユーザアカウント
自動設定を許可しない旨のルールの作成
から特権を除去する
PCの自動設定がされていないことを確認する
利用者ごとのIDの作成
システムまたはPCのアカウントの設定を確認す
る
システムのパスワードポリシーを設定しユーザにパスワード文字数、文字列の組み合わせ、変更
強制的に複雑なパスワード、定期的パスワードの周期等についてのパうワードポリシーをルーシステムのパスワードポリシーを確認する
の変更をさせる
ル化しユーザに周知徹底する
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 30
第一次
情報ｾｷｭﾘﾃｨﾁｪｯｸｼｰﾄＷＧ
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 31
情報セキュリティチェックシートの概要
２つの対象者向けから構成
３８項目
・経営者、経営層向け
１７項目
（ルール、職務分掌、契約など）
・情報セキュリティ責任者・担当者２１項目
（技術的対策、障害管理、システム管理など）
ＩＳＯ２７００１管理策をベースに策定
（システム管理基準も一部、参照）
詳細は下記、URL
http://www.jnsa.org/seminar/2008/1217nsf2008/data/
1217-C2-01checksheetA3.xls
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 32
情報セキュリティチェックシートの項目
経営者向け大項目
１．情報セキュリティ方針
２．責任の明確化
３．職務の分離
４．委託先の管理
５．情報資産管理台帳
６．文書化された手続き
７．ルール
８．秘密保持
９．ゾーン管理
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 33
情報セキュリティチェックシートの項目
１０．入退管理
１１．サービスレベルの確保（２項目）
１２．ソフトウエアの選別と開発
１３．業務データの管理
１４．障害報告
１５．業務継続
１６．情報システム監査
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 34
情報セキュリティチェックシートの項目
情報システム部門向け大項目
１．ID
２．パスワード
３．アクセス権限
４．ネットワークアクセス制御（４項目）
５．ウィルス（２項目）
６．PC・電子媒体・紙の管理
７．電子メール
８．オンライン取引
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 35
情報セキュリティチェックシートの項目
情報システム部門向け大項目
９．インターネット販売
１０．ホームページ
１１．監査ログ
１２．障害ログ
１３．バックアップ
１４．性能管理
１５．リリース管理
１６．変更管理
１７．構成管理
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 36
チェックシートの構成
各情報セキュリティ対策が
対象とする資産
ISO27001、システム
管理基準との関係
各情報セキュリティ対策
のＣ．Ｉ．Ａ対象
各情報セキュリティ
対策の項目
No.
キーワード
ク
ラ
イ
ア
ン
ト
対象
影響
ネ
ッサアデ機完可
ト
ープー密全用
ワ
バリタ性性性
ー
ク
未対策が招く想定
トラブル
付属書A他
トラブル事象例
システム管理基準 Ⅰ.情報戦略　1.全体最適化(1),(6)
1
情報セキュリティ方
○ ○ ○ ○ ○ ○ ○ ○ A.5.1.1 情報セキュリティ基本方針文書
針
機密性、完全性、可用性のバランスを取ったシステムの
利用方針がないと全てのトラブルに発展する可能性が
ある
A.5.1.2 情報セキュリティ基本方針のレビュー
Copyright (c) 2000-20014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 37
チェックシートの構成
回答選択肢
各情報セキュリティ対
策のチェック内容
質問
委託先での対応
回答選択肢
情報セキュリティを考慮したシステムの利用・活用
方針を明確にしていますか？
業務委託で
対応されて
いる場合は
□にチェック
をいれて下
さい
対策が対象か
否か
質問に該当
しない場合
は□に
チェックをい
れて下さい
①経営方針の中に情報セキュリティに関する記載が無い
②経営方針の中に記載はあるが、周知徹底が不十分である
③経営方針の中に記載をしており、周知徹底もしている
④経営方針の中に記載し、周知徹底しており、定期的に利用
方針を見直している
①情報システムの利用及び情報セキュリティの推進につい
て，経営陣・各部署の代表者・各自の職務の使命、責任は明
確ではない
②情報システムの利用については経営陣・各部署の代表者・
各自の職務の使命は明確に決まっているが、情報セキュリ
情報システムの利用及び情報セキュリティの推進ティの責任については明確ではない
について，組織における経営陣・各部署の代表者・ ③情報システムの利用及び情報セキュリティの推進につい
各自の職務の使命、責任を明確にしていますか？て，経営陣・各部署の代表者・各自の職務の使命、責任は明
確に決まっている
④情報システムの利用及び情報セキュリティの推進につい
て，経営陣・各部署の代表者・各自の職務の使命、責任は明
確に決まっており、定期的に職務の使命、責任を見直してい
る
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 38
回答選択肢
チェックシートの選択肢
できていない
できている
1 経営方針の中に情報セキュリティに関する記載が無い
2 経営方針の中に記載はあるが、周知徹底が不十分である
3 経営方針の中に記載をしており、周知徹底もしている
経営方針の中に記載し、周知徹底しており、定期的に利用
4
方針を見直している
成熟度を問う
参考）IPA ベンチマークの選択肢
できていない
できている
1 方針やルールを定めておらず、実施されていない
2 方針やルールの整備、周知を図りつつあるが、一部しか実現
できていない
3 方針やルールを定め、全社的に周知・実施しているが、実施状
況の確認はできていない
4 経営層の指示と承認のもとに方針やルールを定め、全社的に
周知・実施しており、かつ責任者による状況の定期的確認も
行っている
5 4.に加え、周囲の環境変化をダイナミックに反映し、常に改善を
図った結果、他社の模範となるべきレベルに達している
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 39
情報セキュリティチェックシートの特徴
・可用性重視
・委託の積極的な活用
委託によるセキュリティ対策
・委託による情報セキュリティ対策は限定
自ら行うべき項目を明確化
（ルール、職務分掌、契約など）
・必須な対策項目は、「質問に該当しない場合
は□にチェックをいれて下さい」で斜線
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 40
情報セキュリティチェックシートの作成
・ISMS 27001 Annex A をひたすらたたく
・133の管理策を分類
- 技術的
- 組織的（人も含む）
- 物理的
・133の管理策を簡単に！
結構、現場目線で．．
セキュリティ原理主義はだめ
情報を使えるようにどうするか（可用性重視）
・システム管理基準、も参照
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 41
第二次
情報ｾｷｭﾘﾃｨﾁｪｯｸｼｰﾄＷG
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 42
9to5との紐付け
情報セキュリティチェックシートと手引書との紐付け
管理策
No.
キーワード
付属書A他
手引書業務No.
9-5紐付け
トラブル事象例
無し
機密性、完全性、可用性のバランス
を取ったシステムの利用方針がない
と全てのトラブルに発展する可能性
がある
1,2,21
責任の明確化ができていないとトラ
ブル時の対処が遅れたり、事後の対
処が的確に出来ない等の可能性が
ある
システム管理基準 Ⅰ.情報戦略　1.全体最適化(1),(6)
1 情報セキュリティ方針 A.5.1.1 情報セキュリティ基本方針文書
A.5.1.2 情報セキュリティ基本方針のレビュー
2 責任の明確化
システム管理基準 Ⅰ.情報戦略　2.組織体制
2.1(1),2.2(1)
A.6.1.1 情報セキュリティに対する経営陣の責任
A.6.1.2 情報セキュリティの調整
A.6.1.3 情報セキュリティ責任の割当て
A.6.1.4 情報処理設備の認可プロセス
A.6.1.6 関係当局との連絡
A.6.1.7 専門組織との連絡
A.6.1.8 情報セキュリティの独立したレビュー
A.8.1.2 選考
A.8.1.3 雇用条件
A.8.2.1 経営陣の責任
A.8.2.3 懲戒手続き
A.8.3.1 雇用の終了又は変更に関する責任
A.8.3.2 資産の返却
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 43
情報ｾｷｭﾘﾃｨﾁｪｯｸｼｰﾄと手引書
・情報セキュリティチェックシートはＩＳＭＳベース
手引書の第１部より範囲が広い
・情報ｾｷｭﾘﾃｨﾁｪｯｸｼｰﾄのトラブル事象例
知識、経験が少ない中小企業は、管理策から
トラブル事象が結びつきにくい
・手引書の第２部
現状のセキュリティレベルとリスクシナリオがあり
業務に潜むリスクが理解しやすいが…
リスクの把握、対策がポイント的になる
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 44
9to5との紐付けると良いこと
情報セキュリティチェックシートと手引書との紐付け
ができると、何が良いのか．．．．
・ＩＳＭＳ管理策ベースの情報セキュリティチェック
シートの網羅性を活かす
・情報セキュリティチェックシートのトラブル事象が、
業務ベースのリスクシナリオと結びつく
リスクについて、理解しやすい
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 45
脅威と脆弱性について再考
目的
情報セキュリティチェックシートの各対策
の目的を脅威、脆弱性から再確認
9to5での脅威と脆弱性の取り扱い
脅威->記載はなし
脆弱性->現状のセキュリティレベル
インシデント->リスクシナリオ
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 46
脅威と脆弱性を再考する作業で．．
紐付作業で特別扱いにした項目中心に…
脅威、脆弱性って何！
例えば
・情報セキュリティ基本方針
・手続き（ルール）
・監査
脅威、脆弱性はなにか。。
脅威環境の変化
（システム変更、働き方の変化）
脆弱性変化に追随できない
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 47
対策状況により脅威が変わる？
情報セキュリティポリシー、手続き（ルール）がある
-> 環境の変化が脅威
情報セキュリティポリシー、手続き（ルール）がない
-> 脅威は?
不正ソフト対策の場合は．．．
アンチウィルス対策の有無は関係なく脅威は
マルウェア
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 48
脅威って？
ISO27005 情報セキュリティリスクマネジメント
ISO27005における脅威の分類
■脅威の区分（大項目） ■脅威（中項目）
物理的損傷
自然現象
重要なサービスの喪失
放射による妨害
火災
水害
汚染
大事故
機器や媒体の破壊
粉塵、腐食、凍結
気候
地震
火山活動
気象現象
洪水
空調・給水システムの故障
電力供給の停止
電気通信機器の故障
電磁放射
熱放射
電磁パルス
Ａ：偶発的なもの
Ｄ：故意によるもの
E：環境的なもの
原因
A D E
○ ○ ○
○ ○ ○
○ ○ ○
○ ○ ○
○ ○ ○
○ ○ ○
○
○
○
○
○
○ ○
○ ○ ○
○ ○
○ ○ ○
○ ○ ○
○ ○ ○
AnnexC(Examples of typical threats)より
ISO27005における脅威の分類
■脅威の区分（大項目） ■脅威（中項目）
情報を危うくすること
危険にさらされている干渉信号の傍受
（ケーブル類からの漏えい電磁波を傍受）
遠隔スパイ行為
（サーバへのクラッキング行為）
盗聴
（スニファーを使ったパケットの傍受、
無線LANの電波傍受）
媒体や文書の盗難
機器の盗難
再利用又は廃棄した媒体からの復元
漏洩
信頼できない情報源からのデータ
ハードウェアの改ざん
ソフトウェアの改ざん
（ネットワーク機器のファーム改ざん）
位置検知
技術的な故障
機器の故障
機器の誤動作
情報システムの飽和
ソフトウェアの誤作動
情報システムの保守に関する違反
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
原因
A D E
○
○
○
○
○
○
○ ○
○ ○
○
○ ○
○
○
○
○ ○
○
○ ○
Page 49
脅威って？
ISO27005における脅威の分類
■脅威の区分（大項目） ■脅威（中項目）
認可されていない行為
機能を危うくすること
認可されていない機器の使用
ソフトウェアの不正コピー
海賊版又は不正コピーソフトウェアの使用
データの破壊
データの違法な処理
使用時のミス
権限の乱用
権限の詐称
（ユーザが管理者になりすますなど）
アクションの拒否
（自分の職務を拒否する事で、システムに
影響を与える事）
要員の可用性に関する違反
（不審ファイルをクリックしてウイルス感染、
誤操作でサービスを停止させたなど）
原因
A D E
○
○
○ ○
○
○
○
○ ○
○
○
○ ○ ○
情報セキュリティポリシー、ルールは全ての脅威へ
の対策
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 50
情報セキュリティフレームワーク
情報ｾｷｭﾘﾃｨﾎﾟﾘｼｰ、職務分掌、ルール、監査など
情報セキュリティフレームワークを支える対策
計画(Plan)
ISMSの確立
実行(Do)
ISMSの導入
及び運用
ISMSの維持
及び改善
処置(Act)
ISMSの監視
及びレビュー
点検（Check）
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 51
特別扱いの項目と脅威、脆弱性
情報ｾｷｭﾘﾃｨﾎﾟﾘｼｰ、職務分掌、ルール、監査
→情報ｾｷｭﾘﾃｨのフレームワークを支える対策
・役割（職務分掌）がなければ、組織だった対策を
進めることができない
・情報ｾｷｭﾘﾃｨﾎﾟﾘｼｰ、ﾙｰﾙがなければ、場当たり
な運用しかできない
・フレームワークの要素、監査（チェック）がなければ
変化に対応できない
特別扱いの項目は「ないことによる弊害」を示すこ
とが、有効ではないか．．．．
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 52
情報ｾｷｭﾘﾃｨﾁｪｯｸｼｰﾄ利用目的再整理
・現状における対策レベルを確認
・リスク度に応じた適切な対策を導く
認識した業務における起こりうるリスクを
念頭に、現状の対策状況を確認
9to5、ソリューションガイドとの関連付け、内容
の見直し、構成の見直し
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 53
情報セキュリティチェックシート再構成
２つの階層上位層（９項目）と下位層（１８項目）
詳細は下記、URL
http://www.jnsa.org/seminar/nsf/2014kansai または
http://www.jnsa.org/seminar/nsf/2014kansai/data/3_shimakura_2.xlsx
-上位層
９項目
リスクとは関係なく、情報セキュリティ対策を
持続的に行うためのフレームワーク
9to5では前提条件
・体制（役割、責任）
情報セキュリティ特有な
・ルール
ことではない！
・文書化
・実施状況の確認など
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 54
情報ｾｷｭﾘﾃｨﾁｪｯｸｼｰﾄ上位層構成
-上位層
９項目
1.情報セキュリティ基本方針
2.責任の明確化
3.職務の分離
4.委託先の管理
5.情報資産管理台帳
6.規程の文書化とレビュー
7.法令順守
8.秘密保持
9.情報セキュリティの確認
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 55
情報ｾｷｭﾘﾃｨﾁｪｯｸｼｰﾄ下位層構成
-下位層
１８項目
情報セキュリティ対策とシステム管理
ISO27001管理策、システム管理基準（一部）
1.セキュリティ境界と入退出管理
10.スマートデバイス New!
ベース
2.クラウドサービスの利用 New!
11.電子メールの利用
3.障害・事故管理
12.Webの開発管理
4.IT継続性
13.ログの取得
5.認証と権限
14.バックアップ
6.ネットワークのアクセス制限
15.容量・能力の管理
7.パッチの適用
16.変更管理
8.ウイルス及び悪意のあるプログラム
に対する対策
17.構成管理
9.記憶媒体の管理
18.SNSの利用 New!
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 56
上位層の利用ポイント①
No.
キーワード
管理目的
持続可能な計画に必要なフレームワークが確立
されていないことのリスク
1 情報セキュリティ基本経営陣の情報セキュ・組織としての情報セキュリティの取り組みがない
方針
リティへの取り組み、ため、取引先からの信頼を失う
方向性を明確化し全・個人毎に情報セキュリティ対策の遵守が異な
組織がそれを共有しり、対策が不十分なところで事故を起こしてしまう
同じレベルで情報セ
キュリティに取り組む
ため
判断基準
・経営陣の情報セキュリティの取り組み方針を含む情報セキュリ
ティ対策指針、基準の有無
・情報セキュリティ対策指針、基準の組織内、組織外への明示
の有無
・組織を取り巻く環境に合わせた情報セキュリティ基本方針の見
直し有無
確認内容
対策の参考となる
サービス/製品
JNSAソリューションガイド
①経営方針の中に情報セキュリティに関する記載が無い
・セキュリティ基本方針の
②経営方針の中に記載しており、社内にしか明示していない
立案・維持(管理項目)
③経営方針の中に記載しており、社外にも明示している
④経営方針の中に記載し、社内外に明示しており、環境の変化
に合わせて方針を見直している
キーワード
対策項目を一言で…
管理目的
対策の目的を明記
No.
キーワード
管理目的
持続可能な計画に必要なフレームワークが確立
されていないことのリスク
1 情報セキュリティ基本経営陣の情報セキュ・組織としての情報セキュリティの取り組みがない
方針
リティへの取り組み、ため、取引先からの信頼を失う
方向性を明確化し全・個人毎に情報セキュリティ対策の遵守が異な
組織がそれを共有しり、対策が不十分なところで事故を起こしてしまう
同じレベルで情報セ
キュリティに取り組む
ため
フレームワークがないことによる
情報セキュリティ対策推進への
弊害を解説
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 57
上位層の利用ポイント②
No.
キーワード
管理目的
持続可能な計画に必要なフレームワークが確立
されていないことのリスク
1 情報セキュリティ基本経営陣の情報セキュ・組織としての情報セキュリティの取り組みがない
方針
リティへの取り組み、ため、取引先からの信頼を失う
方向性を明確化し全・個人毎に情報セキュリティ対策の遵守が異な
組織がそれを共有しり、対策が不十分なところで事故を起こしてしまう
同じレベルで情報セ
キュリティに取り組む
ため
判断基準
確認内容
・経営陣の情報セキュリティの取り組み方針を含む情報セキュリ
ティ対策指針、基準の有無
・情報セキュリティ対策指針、基準の組織内、組織外への明示
の有無
・組織を取り巻く環境に合わせた情報セキュリティ基本方針の見
直し有無
判断基準
①経営方針の中に情報セキュリティに関する記載が無い
・セキュリティ基本方針の
②経営方針の中に記載しており、社内にしか明示していない
立案・維持(管理項目)
③経営方針の中に記載しており、社外にも明示している
④経営方針の中に記載し、社内外に明示しており、環境の変化
に合わせて方針を見直している
確認内容
・経営陣の情報セキュリティの取り組み方針を含む情報セキュリ
ティ対策指針、基準の有無
・情報セキュリティ対策指針、基準の組織内、組織外への明示
の有無
・組織を取り巻く環境に合わせた情報セキュリティ基本方針の見
直し有無
現状評価の基準を明記
対策の参考となる
サービス/製品
JNSAソリューションガイド
対策の参考となる
サービス/製品
JNSAソリューションガイド
①経営方針の中に情報セキュリティに関する記載が無い
・セキュリティ基本方針の
②経営方針の中に記載しており、社内にしか明示していない
立案・維持(管理項目)
③経営方針の中に記載しており、社外にも明示している
④経営方針の中に記載し、社内外に明示しており、環境の変化
に合わせて方針を見直している
4段階での成熟度モデ具体的に対策
を検討するさい
ルで現状確認内容を
の参照先
明記
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 58
下位層の利用ポイント①
No.
キーワード
管理目的
対策をしていないことによる
トラブル事象例
1 セキュリティ境界と入退室情報と情報機器への許可され・従業員以外が従業員になりすまし入館する
管理
ていないアクセスを防止する・重要な情報を扱うエリア(室)への入退室記録が無
ため
く、情報漏えい発生時、誰がいつエリア(室)に入退し
たのかわからない
・許可されていない者がセキュリティエリアに入り権
限のない情報を閲覧する
・共有サーバーにアクセス権限を持たない者が直接
サーバーにログインし、情報を閲覧する
・訪問者が重要な情報を閲覧する
・ホワイトボードの消し忘れにより、重要な情報を訪
問者が閲覧する
・会議室に置き忘れた書類を訪問者が社外に持ち
出す
No.
キーワード
確認内容
判断基準
9-5紐付け
・社内におけるセキュリティ境界の識別、アクセスコントロールポ
リシーの有無
・セキュリティ領域の設定有無
例）執務エリアと一般人立ち入り可能な場所の分離
サーバールームと執務エリアの分離
・定期的なポリシー、セキュリティ境界の見直しの有無
①セキュリティ設計・ゾーン管理をしていない
②セキュリティ設計・ゾーン管理はしているが、アクセスコントロールポリシーに基づ
いたセキュリティ設計・ゾーン管理ではない
③アクセスコントロールポリシーに基づいたセキュリティ設計・ゾーン管理をしている
④アクセスコントロールポリシーに基づいたセキュリティ設計・ゾーン管理をしてお
り、定期的にポリシー、設計・ゾーン管理を見直している
・人の入退館、入退室の確認の有無
・入退館、入退室のログ・記録の有無
・定期的な入退館、入退室対策の見直しの有無
①個人を識別した入退管理をしていない
1 入館
②個人を識別した入退管理をしているが、入退に関するログ・記録は残していない 22 共有サーバーの利用2【物理的アクセス】
③個人を識別した入退管理をしており、入退に関するログ・記録も残している
30 訪問者との打ち合わせ1【訪問者の識別】
④個人を識別した入退管理をしており、入退に関するログ・記録も残している。さら
に定期的に入退管理方法を見直している
管理目的
2 セキュリティエリアへのアクセス1【エリア分け】
3 セキュリティエリアへのアクセス2【入退出記録】
22 共有サーバーの利用2【物理的アクセス】
30 訪問者との打ち合わせ1【訪問者の識別】
31 訪問者との打ち合わせ2【会議室の使用】
対策の参考となる
サービス/製品
JNSAソリューションガイド
情報セキュリティポリシーおよび情報セキュリ
ティ管理全般のコンサルテーション(サービス）
入退出管理を行いたい（利用シーン）
対策をしていないことによる
トラブル事象例
1 セキュリティ境界と入退室情報と情報機器への許可され・従業員以外が従業員になりすまし入館する
管理
ていないアクセスを防止する・重要な情報を扱うエリア(室)への入退室記録が無
ため
く、情報漏えい発生時、誰がいつエリア(室)に入退し
たのかわからない
・許可されていない者がセキュリティエリアに入り権
限のない情報を閲覧する
・共有サーバーにアクセス権限を持たない者が直接
サーバーにログインし、情報を閲覧する
・訪問者が重要な情報を閲覧する
・ホワイトボードの消し忘れにより、重要な情報を訪
問者が閲覧する
・会議室に置き忘れた書類を訪問者が社外に持ち
出す
キーワード
対策項目を一言で…
管理目的
対策の目的を明記
9to5の第1部の各管理
項目と同じ
対策をしていないことにより、おこり
うる情報セキュリティ上のトラブル、
インシデントを解説
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 59
下位層の利用ポイント②
No.
キーワード
管理目的
対策をしていないことによる
トラブル事象例
1 セキュリティ境界と入退室情報と情報機器への許可され・従業員以外が従業員になりすまし入館する
管理
ていないアクセスを防止する・重要な情報を扱うエリア(室)への入退室記録が無
ため
く、情報漏えい発生時、誰がいつエリア(室)に入退し
たのかわからない
・許可されていない者がセキュリティエリアに入り権
限のない情報を閲覧する
・共有サーバーにアクセス権限を持たない者が直接
サーバーにログインし、情報を閲覧する
・訪問者が重要な情報を閲覧する
・ホワイトボードの消し忘れにより、重要な情報を訪
問者が閲覧する
・会議室に置き忘れた書類を訪問者が社外に持ち
出す
確認内容
判断基準
対策の参考となる
サービス/製品
JNSAソリューションガイド
9-5紐付け
・社内におけるセキュリティ境界の識別、アクセスコントロールポ
リシーの有無
・セキュリティ領域の設定有無
例）執務エリアと一般人立ち入り可能な場所の分離
サーバールームと執務エリアの分離
・定期的なポリシー、セキュリティ境界の見直しの有無
①セキュリティ設計・ゾーン管理をしていない
②セキュリティ設計・ゾーン管理はしているが、アクセスコントロールポリシーに基づ
いたセキュリティ設計・ゾーン管理ではない
③アクセスコントロールポリシーに基づいたセキュリティ設計・ゾーン管理をしている
④アクセスコントロールポリシーに基づいたセキュリティ設計・ゾーン管理をしてお
り、定期的にポリシー、設計・ゾーン管理を見直している
2 セキュリティエリアへのアクセス1【エリア分け】
3 セキュリティエリアへのアクセス2【入退出記録】
22 共有サーバーの利用2【物理的アクセス】
30 訪問者との打ち合わせ1【訪問者の識別】
31 訪問者との打ち合わせ2【会議室の使用】
・人の入退館、入退室の確認の有無
・入退館、入退室のログ・記録の有無
・定期的な入退館、入退室対策の見直しの有無
①個人を識別した入退管理をしていない
1 入館
②個人を識別した入退管理をしているが、入退に関するログ・記録は残していない 22 共有サーバーの利用2【物理的アクセス】
③個人を識別した入退管理をしており、入退に関するログ・記録も残している
30 訪問者との打ち合わせ1【訪問者の識別】
④個人を識別した入退管理をしており、入退に関するログ・記録も残している。さら
に定期的に入退管理方法を見直している
情報セキュリティポリシーおよび情報セキュリ
ティ管理全般のコンサルテーション(サービス）
入退出管理を行いたい（利用シーン）
確認内容
判断基準
・社内におけるセキュリティ境界の識別、アクセスコントロールポ
リシーの有無
・セキュリティ領域の設定有無
例）執務エリアと一般人立ち入り可能な場所の分離
サーバールームと執務エリアの分離
・定期的なポリシー、セキュリティ境界の見直しの有無
①セキュリティ設計・ゾーン管理をしていない
②セキュリティ設計・ゾーン管理はしているが、アクセスコントロールポリシーに基づ
いたセキュリティ設計・ゾーン管理ではない
③アクセスコントロールポリシーに基づいたセキュリティ設計・ゾーン管理をしている
④アクセスコントロールポリシーに基づいたセキュリティ設計・ゾーン管理をしてお
り、定期的にポリシー、設計・ゾーン管理を見直している
・人の入退館、入退室の確認の有無
・入退館、入退室のログ・記録の有無
・定期的な入退館、入退室対策の見直しの有無
①個人を識別した入退管理をしていない
②個人を識別した入退管理をしているが、入退に関するログ・記録は残していない
③個人を識別した入退管理をしており、入退に関するログ・記録も残している
④個人を識別した入退管理をしており、入退に関するログ・記録も残している。さら
に定期的に入退管理方法を見直している
評価ポイントを明記
４段階での成熟度モデル
で現状確認内容を明記
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 60
下位層の利用ポイント③
No.
キーワード
管理目的
対策をしていないことによる
トラブル事象例
1 セキュリティ境界と入退室情報と情報機器への許可され・従業員以外が従業員になりすまし入館する
管理
ていないアクセスを防止する・重要な情報を扱うエリア(室)への入退室記録が無
ため
く、情報漏えい発生時、誰がいつエリア(室)に入退し
たのかわからない
・許可されていない者がセキュリティエリアに入り権
限のない情報を閲覧する
・共有サーバーにアクセス権限を持たない者が直接
サーバーにログインし、情報を閲覧する
・訪問者が重要な情報を閲覧する
・ホワイトボードの消し忘れにより、重要な情報を訪
問者が閲覧する
・会議室に置き忘れた書類を訪問者が社外に持ち
出す
確認内容
判断基準
9-5紐付け
・社内におけるセキュリティ境界の識別、アクセスコントロールポ
リシーの有無
・セキュリティ領域の設定有無
例）執務エリアと一般人立ち入り可能な場所の分離
サーバールームと執務エリアの分離
・定期的なポリシー、セキュリティ境界の見直しの有無
①セキュリティ設計・ゾーン管理をしていない
②セキュリティ設計・ゾーン管理はしているが、アクセスコントロールポリシーに基づ
いたセキュリティ設計・ゾーン管理ではない
③アクセスコントロールポリシーに基づいたセキュリティ設計・ゾーン管理をしている
④アクセスコントロールポリシーに基づいたセキュリティ設計・ゾーン管理をしてお
り、定期的にポリシー、設計・ゾーン管理を見直している
・人の入退館、入退室の確認の有無
・入退館、入退室のログ・記録の有無
・定期的な入退館、入退室対策の見直しの有無
①個人を識別した入退管理をしていない
1 入館
②個人を識別した入退管理をしているが、入退に関するログ・記録は残していない 22 共有サーバーの利用2【物理的アクセス】
③個人を識別した入退管理をしており、入退に関するログ・記録も残している
30 訪問者との打ち合わせ1【訪問者の識別】
④個人を識別した入退管理をしており、入退に関するログ・記録も残している。さら
に定期的に入退管理方法を見直している
情報セキュリティポリシーおよび情報セキュリ
ティ管理全般のコンサルテーション(サービス）
入退出管理を行いたい（利用シーン）
対策の参考となる
サービス/製品
JNSAソリューションガイド
9-5紐付け
2 セキュリティエリアへのアクセス1【エリア分け】
3 セキュリティエリアへのアクセス2【入退出記録】
22 共有サーバーの利用2【物理的アクセス】
30 訪問者との打ち合わせ1【訪問者の識別】
31 訪問者との打ち合わせ2【会議室の使用】
9to5の第2部と関連を明記
本対策が不十分なとき、具体的な
業務に潜むリスクの確認先
2 セキュリティエリアへのアクセス1【エリア分け】
3 セキュリティエリアへのアクセス2【入退出記録】
22 共有サーバーの利用2【物理的アクセス】
30 訪問者との打ち合わせ1【訪問者の識別】
31 訪問者との打ち合わせ2【会議室の使用】
対策の参考となる
サービス/製品
JNSAソリューションガイド
情報セキュリティポリシーおよび情報セキュリ
ティ管理全般のコンサルテーション(サービス）
具体的に対策を検討する
さいの参照先
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 61
判断基準、成熟度モデル
レベル４対策が有効か、確認を行う
レベル３リスクを鑑み、ルールに基づき
対策に取り組む、より確実に
対策に取り組む
レベル２とりあえず手をうった
レベル１なにもしていない
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 62
対策立案時の参照先
成熟度モデルで現状把握、対策はどうすれば？
今回の変更で、参照先を明記
・ＪＮＳＡソリューションガイド
http://www.jnsa.org/JNSASolutionGuide/IndexAction.do
・JNSAすぐに使える情報セキュリティ
お役立ちツール
http://www.jnsa.org/ikusei/form/05_00.html
METI中小企業情報セキュリティ対策促進事業に
あわせて開設したサイト、基本的な解説もあり
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 63
情報ｾｷｭﾘﾃｨﾁｪｯｸｼｰﾄから始める
PDCAサイクルのCで利用する
チェックシート
チェックシート
これまでの話
9to5から、自分たちの仕事のやり方に潜むリスク
を認識、チェックシートで現状把握、対策検討
体系的にセキュリティ対策を行いたい方
チェックシートからリスクを認識、対策検討
9to5を参考に、業務のリスクをイメージする
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 64
情報セキュリティ対策を進める
チェックシート
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 65
情報ｾｷｭﾘﾃｨ対策Ｖ字フェーズ
人・組織対策
ガバナンス
方向付け
モニタリング
マネージメント
ポリシー
監査
監査リスト
情報ｼｽﾃﾑ部門
業務部門
運用
コントロール
実装
確認リスト
役割による
システム対策
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
確認
Page 66
ｺﾝﾄﾛｰﾙ異なる確認、役割
情報システム部門
業務部門
確認したいこと
(1)対策の定着
・対策の全社展開
(2)対策の効果
・脅威の検知、抑止、防御
(3)対策の維持
・対策の回避、無効化の有無
(1)対策に伴う手続きの定着
・全社での申請、確認
(2)対策による業務への効果
・安全な業務遂行
(3)対策に伴う手続きの維持
・申請/確認行為の無視有無
確認の対象
(1)システムログ
・ｻｰﾊﾞﾛｸﾞ、PCﾛｸﾞ、ﾈｯﾄﾜｰｸﾛｸﾞ
(2)管理画面
・統計、適用、検知/防御状況
(3)人(対象：部門管理者）
・定着、課題などのﾋｱﾘﾝｸﾞ
(1)人（対象：自部門）
・手順書&チェックシート
・ワークフロー
(2)管理画面
・適用状況
(1)定期的
・毎週、毎月etc.
(2)不定期
・イベント（ｷｬﾝﾍﾟｰﾝ)
・インシデント
(1)日常業務
・情報持出し
(2)定期的
・毎週、毎月
(3)不定期
・イベント
確認契機
9to5の運用で心がけるポイントと同じ！
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
例）情報の持出し
・許可は現場
・ﾄﾚｰｽ機能提供
情報ｼｽﾃﾑ部
・持出し可情報か
確認は現場
Page 67
情報システム部門の運用で必要な確認
(1)対策の定着
全社への定着率
(2)対策の効果
・脅威を検知し防御、抑止していること
・異常事態の検知
(3)対策の維持
・対策の回避、無効化がないこと
ｺﾝﾄﾛｰﾙでは運用で確認すべきこと（ﾁｪｯｸﾘｽﾄ)
の明確とそれを実現することが必要
ｺﾝﾄﾛｰﾙの検討時にﾁｪｯｸ事項の確立が重要
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 68
事故対応をみすえて
OODAループ
監視
Observe
情勢判断
Orient
意思決定
Decide
行動
Act
V字コントロール
運用
インシデントレスポンス
検知、復旧
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 69
事故発生を考慮した
事前対策
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 70
インシデントレスポンス
インシデントの定義
人為的な要因で発生する、意図的、偶発的な
情報セキュリティ（可用性・完全性・機密性）に
かかわる事象のこと。
インシデントレスポンスの定義
インシデントを検知し、或いはその報告を受ける
ことにより認知し、影響の拡大を防ぐとともに、
情報を収集して分析を加え、ｲﾝｼﾃﾞﾝﾄの全体像
や原因について把握し、復旧措置や再発防止
のための措置を取る一連の活動。
（ JPCERT/CC http://www.jpcert.or.jp/ ）
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 71
インシデントレスポンスの目的
(1)被害の最小化
被害が発生する前に対処を行い、発生した場合
はその拡大を防ぐ。
(2)ビジネスの継続・復旧
事業の継続を維持、または重要なﾋﾞｼﾞﾈｽﾌﾟﾛｾｽ
の復旧を行う。事業停止を防ぐ対策と、停止した
場合のリスクと復旧策を考慮する。
(3)再発防止
二度と同じインシデントを発生させないために、
原因を調査し、対処する。
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 72
ｲﾝｼﾃﾞﾝﾄﾚｽﾎﾟﾝｽとV字、OODAﾙｰﾌﾟ
ＣＳＩＲＴ：
準備
検知
復旧
事故後
対応
Computer Security Incident Response Team
・緊急時の連絡体制（ＣＳＩＲＴの設置）
・手順書の作成
V字ｺﾝﾄﾛｰﾙ実装
・検知、調査機能の実装
V字ｺﾝﾄﾛｰﾙ運用
・前兆や兆候、事故の検出
OODA 監視
・兆候、事故の分析
・優先順位付け
OODA 情勢判断
意思決定
・拡大の防止
・原因調査と対策
OODA 行動
・復旧
・関連部門への連絡（社内、社外）
・再発防止改善
・インシデント対応の評価、改善
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 73
ｲﾝｼﾃﾞﾝﾄﾚｽﾎﾟﾝｽとV字、OODAﾙｰﾌﾟ
・緊急時の連絡体制（ＣＳＩＲＴの設置）
・手順書の作成
・検知、調査機能の実装
V字ｺﾝﾄﾛｰﾙ運用
OODA 監視
・前兆や兆候、事故の検出
検知
・誰が
・兆候、事故の分析
・優先順位付け
・何を
・いつ
・拡大の防止
復旧
・原因調査と対策
OODA 情勢判断
・復旧
・関連部門への連絡（社内、社外）
意思決定
行動
・再発防止改善
事故後
・インシデント対応の評価、改善
対応
ｲﾝｼﾃﾞﾝﾄﾚﾍﾞﾙに応じて
・ｲﾝｼﾃﾞﾝﾄﾚｽﾎﾟﾝｽ・誰が
・コントロール
・判断基準
-防御が機能していること・判断基準
・意志決定者
-被害の検知
・責任と行動
準備
両方のチェックが重要
・行動
想定手順書の作成が重要
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 74
参考）インシデントレスポンスのポイント
(1)外部との連携
スムーズに対応するため、公的機関、協力会社などと
連携が可能な活動を日頃から行う。
(2)訓練
実際にｲﾝｼﾃﾞﾝﾄが発生した場合、被害の特定、拡大
の防止、原因の分析、解消、ユーザからのｸﾚｰﾑ対応
などを同時並行となるため、準備を兼ねた訓練が重要
となる。
(3)拡大防止策が招く新たな問題
被害の拡大防止策が新たな問題を引き起こす可能性
を考慮すること。例えばｼｽﾃﾑのｳｨﾙｽ感染に伴うその
ｼｽﾃﾑの停止が、業務やユーザに影響を及ぼす。
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 75
ご清聴ありがとうございました。
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 76
Copyright (c) 2000-2013 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 77

Download Report