情報システムセキュリティのこれまで と 制御システムセキュリティの

情報システムセキュリティのこれまで
と
制御システムセキュリティのこれから
平成25年5月28日
慶應義塾大学名誉教授
土居範久
謝辞
資料を
資料を作成するにあたっては
作成するにあたっては多
するにあたっては多くの方
くの方々の協力を
協力を得た.
とりわけ次
とりわけ次の方々には貴重な
貴重な資料をご
資料をご提供頂
をご提供頂いた
提供頂いた:
いた:
・ (一財)
一財) 日本情報経済社会推進協会情報マネジメント
日本情報経済社会推進協会情報マネジメント推進
マネジメント推進センター
推進センター
・ 経済産業省 商務情報政策局 情報セキュリティ
情報セキュリティ政策室
セキュリティ政策室
・ (独)情報処理推進機構 セキュリティセンター
・ NPO法人
NPO法人 日本セキュリティ
日本セキュリティ監査協会
セキュリティ監査協会
・ (株)三菱総合研究所
・ 防衛庁 管理局 航空機通信電子課 (当時)
当時)
・ (独)製品評価技術基盤機構
2
土居範久(どい
土居範久
のりひさ)
慶應義塾大学名誉教授,
慶應義塾大学名誉教授, 科学技術振興機構 社会技術センター
社会技術センター 参与
日本学術会議 副会長
文部科学省 科学技術・
科学技術・学術審議会 情報科学技術委員会 委員長
文部科学省 次世代スーパーコンピュータ
次世代スーパーコンピュータ戦略委員会
スーパーコンピュータ戦略委員会 主査
総務省 情報通信審議会会長代理・
情報通信審議会会長代理・ 情報通信技術分科会 会長
総務省 電波利用料制度に
電波利用料制度に関する専門調査会
する専門調査会 座長
経済産業省 産業構造審議会 臨時委員(
臨時委員(情報セキュリティ
情報セキュリティ部会委員
セキュリティ部会委員)
部会委員)
経済産業省 情報セキュリティガバナンス
情報セキュリティガバナンス研究会
セキュリティガバナンス研究会 座長
宇宙航空研究開発機構 情報化評価委員会 委員長
などを歴任
などを歴任
現在
文部科学省 HPCI計画推進委員会
計画推進委員会 主査
防衛省 情報流出対策会議 有識者委員
科学技術振興機構 社会技術センター
社会技術センター 「サービス科学研究開発
サービス科学研究開発プログラム
科学研究開発プログラム」
プログラム」 プログラム総括
プログラム総括
NPO法人
NPO法人 日本セキュリティ
日本セキュリティ監査協会
セキュリティ監査協会 会長
情報セキュリティガバナンス
情報セキュリティガバナンス協議会
セキュリティガバナンス協議会 会長
ブロードバンドワイヤレスフォーラム 会長 など.
など.
専門は
専門はソフトウェアを
ソフトウェアを中心とした
中心とした計算機科学
とした計算機科学および
計算機科学
および情報セキュリティ
情報セキュリティ
3 および情報
情報セキュリティ認証制度関連など
・ 情報マネジメントシステム
情報マネジメントシステム(
マネジメントシステム(IMS)
IMS)運営委員会 委員長
・ 制御システムセキュリティマネジメントシステム
制御システムセキュリティマネジメントシステム(
システムセキュリティマネジメントシステム(CSMS)
CSMS)評価認証制度
有識者委員会 委員長
・ ITセキュリティ
ITセキュリティ評価
セキュリティ評価・
評価・認証プログラム
認証プログラム運営委員会
プログラム運営委員会 委員長
・ 暗号モジュール
暗号モジュール試験及
モジュール試験及び
試験及び認証制度運営委員会 委員長
・独立行政法人 情報処理推進機構 :
情報システム
情報システム等
システム等の脆弱性情報の
脆弱性情報の取扱いに
取扱いに関
いに関する研究会
する研究会 座長
・JPCERT/CC:
JPCERT/CC:
制御システム
制御システム用製品
システム用製品の
用製品の脆弱性情報の
脆弱性情報の取扱に
取扱に関する研究会
する研究会 座長
4
情報システムセキュリティのこれまで
5
情報セキュリティの重要性 ①
(情報セキュリティとは?)
情報セキュリティ
情報セキュリティとは
セキュリティとは、
とは、守るべき情報
るべき情報の
情報の機密性、
機密性、完全性、
完全性、
可用性を
可用性を維持すること
維持すること。
すること
・機密性
機密性:
機密性 アクセスを認可された者だけが情報をアクセスできることを確実にすること。
・完全性
完全性:
完全性 情報及び処理方法が、正確であること及び完全であることを保護すること。
・可用性
可用性:
可用性 認可された利用者が、必要なときに、情報及び関連する資産にアクセス
できることを確実にすること。
脅威
情報の
情報の機密性、
機密性、完全性、
完全性、可用性に
可用性に危害を
危害を与える要因
える要因
・外部からの不正行為
・内部での操作・処理ミス
・内部からの不正行為
・偶発的に起きる事故
6
情報セキュリティの重要性②
(脅威:外部からの不正行為)
●サイバー
サイバー攻撃
サイバー攻撃
不正アクセス
不正アクセス、
アクセス、コンピュータウィルス等情報通信
コンピュータウィルス等情報通信ネットワーク
等情報通信ネットワークや
ネットワークや情報システム
情報システムを
システムを利用した
利用した電子的
した電子的
な攻撃(
攻撃(サイバー攻撃
サイバー攻撃)
攻撃)による情報漏
による情報漏えい
情報漏えい、
えい、情報消去、
情報消去、改ざん
・電力供給、交通、電子政府等重要インフラや公共の安全確保等の産業や政府の活動の多くは、
情報システムに依存。基幹となる情報システムに対してサイバー攻撃が行われた場合には、
国民生活や社会経済活動の混乱、国民の生命の危険などの重大な被害が発生。
・他の物理的攻撃と異なり、技術を有する者が一台のコンピュータによって行うことが可能であり、
国民生活や社会経済に混乱を引き起こすこと等を目的として組織的に大規模な攻撃(サイバー
テロ)を行うことも可能。
●物理的破壊
物理的破壊、
物理的破壊、盗難
外部から
外部から侵入
から侵入し
侵入し、書類、
書類、コンピュータ等
コンピュータ等を盗難、
盗難、破壊することによる
破壊することによる情報漏
することによる情報漏えい
情報漏えい及
えい及び情報消去
・大規模な破壊を伴うテロが発生するおそれもある。
7
情報セキュリティの重要性 ③
(脅威:内部での不正行為、誤操作、事故等)
●内部
内部での
内部での不正行為
での不正行為
内部関係者(
内部関係者(社員、
社員、派遣社員、
派遣社員、元社員、
元社員、非常勤職員、
非常勤職員、下請会社社員等、
下請会社社員等、情報資産に
情報資産に対する
正当な
正当なアクセス権
アクセス権を有する者
する者)による意図的
による意図的な
意図的な情報漏えい
情報漏えい、
えい、情報消去、
情報消去、改ざん
・情報漏えいの大部分が内部での不正行為だと言われている。
・情報システム及び記録媒体の発達により、情報を外部に持ち出すことが容易となった
こと、終身雇用制の崩壊等により、内部での不正行為の危険性が増大。
●内部
内部での
内部での操作
での操作・
操作・処理ミス
処理ミス
内部関係者の
内部関係者の誤操作等(
誤操作等(メールの
メールの送信ミス
送信ミス、
ミス、添付ファイル
添付ファイルの
ファイルの間違い
間違い、施錠忘れ
施錠忘れ、PC画面放置
、PC画面放置、
画面放置、
机上の
机上の資料放置、
資料放置、ファイルの
ファイルの誤削除、
誤削除、火の不始末による
不始末による書類焼失
による書類焼失、
書類焼失、コンピュータシステムの
コンピュータシステムの
誤設定・
誤設定・誤操作等)
誤操作等)による情報漏
による情報漏えい
情報漏えい、
えい、情報消去、
情報消去、改ざん
●偶発的
偶発的に
偶発的に起きる事故
きる事故
地震、
地震、洪水、
洪水、台風等の
台風等の自然災害による
自然災害による停電
による停電、
停電、破壊、
破壊、浸水等被害
機器、
機器、ソフトウェアの
ソフトウェアの故障
8
情報セキュリティの重要性 ④
(対応策:技術的措置)
●技術基準
技術基準(ISO
技術基準(ISO15408
(ISO15408(
15408(CC: Common Criteria)
Criteria))を用いた対応策
いた対応策
ISO15408
ISO15408(
15408(CC: Common Criteria)
Criteria)
:情報技術を用いた製品やシステムの開発、製造、運用に係る情報セキュリティ確保
(製品の信頼性保証)に関する基準
対象:OS、コンピュータネットワーク、アプリケーション、ICカード、通信機器、情報家電、モジュール等
Part 1 : 概要、一般モデル、基本設計書及び要求仕様書の規定
Part 2 : 情報セキュリティ機能カタログ(機能要件)
Part 3 : 情報セキュリティ機能評価基準、評価保証レベル(EAL)(保証要件)
機能要件(11項目)
保証要件(10項目)
・監査
・通信
・暗号
・利用者データ保護
・識別/認証
・セキュリティ管理
・プライバシー
・セキュリティ機能保護
・可用性とリソース管理
・アクセス制御 ・高信頼性通信路
・基本設計書の評価 ・要求仕様書の評価
・構成管理
・配布と運用
・開発と実装
・ガイダンス文書
・ライフサイクルサポート
・テスト
・脆弱性評価
・保守保証
EAL1
EAL1~7で規定
9
EAL: Evaluation Assurance Level
国際的な相互認証制度
(認証国:CAP*1)
マレーシア
日 本
カナダ
トルコ
フランス
国際標準ISO/IEC15408セキュリティ評価基準(Common Criteria)
に基づいて評価・認証した認証製品を16ヵ国間で、相互に承認
ドイツ
イタリア
日本は、2003年10月に参加
スウェーデン
さらに、10ヵ国が認証製品を受入
イギリス
セキュリティが保証された安全なIT社会の構築のために認証製品を流通
我が国IT製品の国際競争力強化に必須
スペイン
アメリカ
韓 国
オーストラリア
ノルウェー
ニュージーランド
オランダ
2012年
2012年2月現在
受入れ
(受入国:CCP*2)
フィンランド
ギリシャ
シンガポール
*1
CAP:Certificate authorising participants
イスラエル
オーストリア
デンマーク
インド
*2
ハンガリー
パキスタン
CCP: Certificate consuming participants
チェコ
10
プログラムの対象
IT製品:
:
単独で使用又は様々なシステム内への組み込みを目的に設
計された機能性を提供するITのソフトウェア、ファ-ムウェ
ア、及び/又はハ-ドウェアの集まり。
ITシステム:
:
特定の目的及び運用動作環境を伴う特定のIT設備。
プロテクションプロファイル(PP):セキュリティ要求仕様書
セキュリティ要求仕様書
あるTOEの分野に関して、特定の利用者の要求を満たす実装
に依存しないセキュリティ要件を記述した文書のセット。
セキュリティターゲット(ST):セキュリティ設計仕様書
セキュリティ設計仕様書
識別されたTOEの評価に用いられるセキュリティ要件及び仕
様を記述した文書。
NITE
TOE : Target of evaluation
11
ITセキュリティ評価及び認証制度
(IT製品等の安全性に係る国際的な評価認証制度)
国際基準(
国際基準(ISO/IEC15408)
ISO/IEC15408)に基づき、
づき、 IT製品等
IT製品等の
安全性を評価・
評価・認証する
認証する制度
製品等の安全性を
する制度
http://www.ipa.go.jp/security/jisec/index.html
このイメージは、現在表示できません。
認証機関
独立行政法人 情報処理推進機構
認証
(Certification)
評価報告
認証報告書
評価
認定機関
(Evaluation)
(Evaluation
ISO/IEC
ISO IEC15408
IEC
評価基準
NITE
独立行政法人 製品評価技術基盤機構
評価機関
(ITSC(JEITA)、ECSEC、
MHIR TUViT)*2
認証書
評価機関の認定
(Accreditation)
(Accreditation
CCRA*1
評価依頼
申請
申請者
認証製品数:335
335件
335
(H24..2.9 現在)
メーカ、ベンダ
対象製品
ハードウェア
ソフトウェア
*1:Common Criteria Recognition Arrangement
12
*2 ITSC:一般社団法人ITセキュリティセンター、ECSEC:株式会社電子商取引安全技術研究所、MHIR:みずほ情報総研株式会社、TUViT:TÜV
Informationstechnik
GmbH
情報セキュリティの重要性 ⑤
(対応策:管理的措置)
●管理基準
管理基準(BS
管理基準(BS7799
(BS7799、ISO
7799、ISO17799
、ISO17799)
17799)を用いた対応策
いた対応策
BS7799
BS7799
:組織が保有する情報資産の情報セキュリティ確保のための組織のマネジメントに
関する基準
Part 1 : 情報セキュリティマネジメントの実戦のための規範(ガイドライン)(→ISO17799)
Part 2 : 情報セキュリティマネジメントの仕様(要求事項)
Part 1 の構成
構成
1.適用範囲
2.用語及び定義
3.セキュリティ基本方針
4.組織のセキュリティ
5.資産の分類及び管理
6.人的セキュリティ
7.物理的及び環境的セキュリティ
8.通信及び運用管理
9.アクセス制御
10.システム開発及び保守
11.事業継続管理
12.適合性
3.~12.の10マネジメント領域
について、全部で36項目の目的、
127項目の詳細指針を規定
127
Part 2
セキュリティマネジメントシステムの
構築に当たっての要求事項
13
情報セキュリティ管理(監査・認証等)の進展
(ISMS適合性評価制度の普及)
●ISMS
ISMS適合性評価制度
ISMS適合性評価制度とは
適合性評価制度とは
・組織
組織が
組織が行う情報セキュリティマネジメント
情報セキュリティマネジメントに
セキュリティマネジメントに対して、
して、ISMS認証基準
ISMS認証基準(
認証基準(ISO/IEC17799及
ISO/IEC17799及び
BSBS-7799 Part2に
Part2に基づいた基準
づいた基準)
基準)への適合性
への適合性を
適合性を第三者が
第三者が評価する
評価する制度
する制度。
制度。
・2002年4月より財団法人日本情報処理開発協会(JIPDEC)によって本格運用開始。
→ISMS認証の取得数の伸び(企業への浸透)
・2006
2006年
へ移行
2006年よりISO27000へ
より
(制度活用の
制度活用のメリット)
メリット)
・内部監査では
内部監査では発見困難
では発見困難な
発見困難な情報セキュリティ
情報セキュリティ上
セキュリティ上の欠陥を
欠陥を把握し
把握し、改善することが
改善することが可能
することが可能
・対外的に
対外的に、組織としての
組織としての情報
としての情報セキュリティ
情報セキュリティ対策
セキュリティ対策の
対策の信頼性を
信頼性を確保することが
確保することが可能
することが可能
改善
JIPDEC
認定
ISMS認証基準
(ISO/IEC27000
に基づいた基準)
審査登録機関
組 織
認証
14
認証取得
信頼
取引先
顧客
国民
Information Security Management System
1. マネジメント枠組み
ISMSの概念
経営
5. レビュー
•セキュリティポリシーの策定
•ISMS適用範囲の決定
•リスク評価(脅威・脆弱性)
•リスクマネジメント
•管理策の選択
•適用宣言書の作成
(基本
基本ポリシー
基本ポリシー)
ポリシー
・定期的に確認
2. 管理策の実施
•具体的な対策の実施
運用・管理
(規程類)
3. 実行
•管理
•教育
管理対象
(人、物、金、情報、…)
4. 運用
・運用の記録
記録
(台帳、証書、etc...)
*セキュリティポリシー: 基本方針(ポリシー)、対策基準(スタンダード)、実施手順(プロシージャ)
15
Information Security Management System
マネジメントシステム(PDCA)
[継続的なマネジメントレビュー]
PDCAサイクル
サイクルによる
サイクルによる
スパイラルアップ
継続的改善
Act
代表者によ
代表者によ
る見直し
見直し
ポリシー
作成
監視・
監視・監査
計画
Plan
Check
実装及び
実装及び
運用
Do
16
JIS Q 15001 より引用・加筆
ISMS認証取得組織数の推移
571
504
433
329
196
4~6
84
10~12
148
54
1~3
26
7~9
400
200
4~6
800
600
249
1000
1024
878
674
1400
1200
1378
1182
累計
1800
1600
1903
1784
2200
2000
1639
2400
3009
2885
2764
2493
2257
2082
2800
2600
2381
3200
3000
2632
3400
4209
4170
4147
4105
4076
4022
3949
3911
3809
3736
3685
3503
3422
3190
3800
3600
3336
4200
4000
3618
4400
3975
2012年
年12月
月25日現在
日現在
登録
204 146 158 196 261 145
104 71 67 103
26 28 30 64 48 53 80
119
179 175 124
112 139 132 121 124
181 146
86 81 115 67 51 73 102 38
26 47 54 29 42 23 39
2002年 2003年
2004年
2005年
2006年
2007年
2008年
Copyright JIPDEC ISMS, 2012
17
2009年
2010年
2011年
7~9
10~12
4~6
1~3
7~9
10~12
4~6
1~3
10~12
7~9
4~6
1~3
10~12
7~9
4~6
1~3
10~12
7~9
4~6
1~3
10~12
7~9
4~6
1~3
10~12
7~9
4~6
1~3
10~12
7~9
4~6
1~3
10~12
7~9
4~6
1~3
10~12
月
7~9
0
2012年
各国のISMS認証取得登録発行数
(Version 215 August 2012)
Copyright JIPDEC ISMS, 2012
18
各国のISMS認証取得登録発行数
出典:
出典:http://www.iso27001certificates.com/
2012年
2012年11月現在
11月現在
(Version 215 August 2012)
国
組織数
日本
4152
英国
573
インド
546
台湾
461
中国
393
ドイツ
228
チェコ共和国
112
韓国
107
米国
105
その他
1263
計
7940
米国
1%
その他
16%
韓国
1%
チェコ共和国
1%
ドイツ
3%
中国
5%
日本
53%
台湾
6%
インド
7%
英国
7%
Copyright JIPDEC ISMS, 2012
19
情報セキュリティにおける技術とマネジメント
技術的な
技術的
な対応
・IT製品・システムの安全性に
ついて客観的な基準(ISO/IEC
15408)に基づいて評価する制
度。
情報セキュリティの確保には、
①技術的対応
②マネジメント的対応
マネジメント的対応
が車の両輪
・日本では、2001年4月より
独立行政法人製品評価技術
基盤機構を中心とし、政府利
用のIT関連製品のための評
価・認証体制の創設。
・組織における情報安全対策の
あり方を客観的な基準
(ISO/IEC 27000)に基づいて評
価する制度。組織において、必
要な安全性のレベルの決定、
プランの作成、自らの評価、定
期的な見直し等のマネジメント
を求めている。
・日本では、2002年4月より運
用開始。情報処理開発協会
(JIPDEC)による認証制度
(ISMS認証制度)が開始されて
いる。
・2003年に国際相互承認の
枠組み(CCRA)への参加。
・欧米では既に10年以上の評
価実績があり、相互承認のス
キーム (Common Criteria
Scheme) が1998年から存在。
マネジメント的
マネジメント
的な対応
・国際相互承認をにらんだガイ
ドラインを提示。
製品から
製品からプロセス
からプロセスへ
プロセスへ
・海外では英国を中心に認定制
度が運用されてきた。
機器・ソフトウェアに関する
情報技術セキュリティ評価・認証制度
情報セキュリティマネジメントに関する
適合性評価制度
20
情報セキュリティ監査
21
情報セキュリティ監査制度
http://www.meti.go.jp/policy/netsecurity/is-kansa/index.html
「情報
情報セキュリティ
情報セキュリティ監査制度
セキュリティ監査制度」とは、
監査制度
(1)企業等の情報セキュリティ対策(外部からの不
正アクセス防止の設定をしているか、情報管理責任者を任命しているか等)について、
(2)客観的に定められた国の基準に基づいて、(3)独立した専門家が(4)評価(保証ま
たは助言)する制度。
2003年4月、「情報セキュリティ管理基準」及び「情報セキュリティ監査基準」を、経済産
業省告示により公表。これに基づき、制度運用開始。
監査主体は「情報セキュリティ監査企業台帳」に登録され(約500事業主体)、公表。毎年7
日本セキュティ
月に更新。「日本
日本セキュティ監査協会
セキュティ監査協会」(JASA)にて、監査の質の向上のための取り組み。
監査協会
監査主体
監査を受ける主体(国・自治体・企業)
保証
取引企業
監査報告書
信頼
顧客
国が定めた基準
めた基準
情報セキュリティ管理基準
情報セキュリティ監査基準
国民
改善
助言
セキュリティ対策
セキュリティ対策の
対策の向上
www.jasa.jp
22
客観的に定められた国の基準
「改善のプロセス」までを包含した「管理項目」を定めた基準(監査の際の判断の
尺度)
情報セキュリティ
情報セキュリティ管理基準
監査主体の行為規範を定めた基準
情報セキュリティ
情報セキュリティ監査基
準
•会計監査
会計監査のような
会計監査のような法定監査
のような法定監査ではないものの
法定監査ではないものの、
ではないものの、これらの基準
これらの基準を
基準を国が標
準として示
として示すことで、
すことで、監査結果に
監査結果に対する「
する「公定力」
公定力」や「信頼」
信頼」を付与。
付与。
•事例
事例の
事例の蓄積も
蓄積も容易となり
容易となり、
となり、法的責任の
法的責任の分担も
分担も明確化の
明確化の方向へ
方向へ。
23
客観的に定められた国の基準
(全体像~2つの基準・3つのガイドライン・2つのモデル)
「経済産業省告示」
経済産業省告示」
情報セキュリティ
情報セキュリティ監査
セキュリティ監査の
監査の標準的な
標準的な基準
「システム監査基準
システム監査基準」
監査基準」
効率性
判断の尺度
有効性
ISO 27000
信頼性
※
が基準類
個別組織の
個別組織の情報セキュリ
情報セキュリ
ティ管理基準
ティ管理基準(監査項目
管理基準 監査項目)
監査項目
遵守性
典型例
可用性
情報セキュリティ
情報セキュリティ管理基準
セキュリティ管理基準
個別管理基準(
個別管理基準(監
査項目)
査項目)策定ガイ
策定ガイ
ドライン
完全性
電子政府情報セキュリティ
電子政府情報セキュリティ管理基準
セキュリティ管理基準モデル
管理基準モデル
(庁内ネットワークシステム
庁内ネットワークシステム)
ネットワークシステム)
機密性
個別組織の
個別組織の情報セ
情報セ
キュリティ監査基準
キュリティ監査基準
典型例
行為規範
情報セキュリティ
情報セキュリティ監査基準
セキュリティ監査基準
実施基準ガイドライン
実施基準ガイドライン
電子政府情報セキュリティ
電子政府情報セキュリティ監査基準
セキュリティ監査基準モデル
監査基準モデル
報告基準ガイドライン
報告基準ガイドライン
情報システム
情報システ
ム以外
http://www.meti.go.jp/policy/netsecurity/index.html 「情報セキュリティ監査制度」より入手可能
24
ISMS認証との関係
委託先が
委託先がISMS認証
ISMS認証を
取得していれば、
委託先において的確
情報セ
認証を取得していれば
していれば、委託先において
において的確な
的確な情報セ
キュリティの
マネジメントが
われていると期待
期待できるので
できるので、
一応安心と
キュリティ
のマネジメント
が行われていると
期待
できるので
、一応安心
と考 え
ることができる。
ることができる。
しかし、
しかし、ISMS認証取得
ISMS認証取得は
認証取得は、自社との
自社とのリスク
とのリスク認識
リスク認識が
認識が同じことを保証
じことを保証してくれ
保証してくれ
るわけではない。
るわけではない。
つまり、
つまり、委託先が
委託先がISMS認証
ISMS認証を
認証を取得しているだけでは
取得しているだけでは、
しているだけでは、トータルの
トータルのリスク
対応コスト
対応コストが
最適化されていることにはならない。
コストが最適化されていることにはならない
されていることにはならない。
重要な
重要な情報を
情報を委託先に
委託先に委ねるなどの場合
ねるなどの場合は
場合は、委託先の
委託先の条件として
条件としてISMS
としてISMS
認証取得を
認証取得を求めることが有効
めることが有効だが
さらに保証型情報セキュリティ
有効だが、
だが、さらに保証型情報
保証型情報セキュリティ監査
セキュリティ監査で
監査でリ
スク認識
認識を
共通にすることが
にすることが最善
最善の
対策といえる
といえる。
スク
認識
を共通
にすることが
最善
の対策
といえる
。
25
情報セキュリティ監査の種類
被監査主体
合意方式
保証型監査
実装・
実装・運用監査
利用者
合意方式
社会的
合意方式
マネジメント監査
助言型監査
設計監査
言明書監査
実装・
実装・運用監査
*設計監査
組織が定めた(設計した)情報セキュリティ対策が第三者から求められているレベル
に達していることを保証の内容とする。
*実装監査
組織が定めた(設計した)情報セキュリティ対策と組織の現在の情報セキュ リティ対
26
策に乖離がないことを保証の内容とする。
特定非営利活動法人 日本セキュリティ監査協会
会 長
土居範久
慶應義塾大学名誉教授
慶應義塾大学名誉教授
副会長
増谷洋
NRIセキュアテクノロジーズ
セキュアテクノロジーズ株式会社代表取締役社長
NRI
セキュアテクノロジーズ株式会社代表取締役社長
長尾 慎一郎 新日本有限責任監査法人
27
情報セキュリティガバナンス
28
企業に必要なガバナンス活動
企業の
企業の取るべき対応
るべき対応
情報開示
健全性
内部統制システム
プラス
して
安全性
情報資産・リスク管理
信頼の向上
透明性
これまで
は
企業価値・
利潤拡大
社会からの
社会からの要請
からの要請
財務リスク、労務リスク、法令リスク、
情報セキュリティ上のリスク、
ITシステム上のリスク、等を
経営者が常時、把握できるように
企業のビジネスプロセス全体の
リスクマネジメント、
体制を
つまりERM体制
体制を確立する必要がある
確立
経営者による情報セキュリティ上のリスクマネジメント及び改善活動を
情報セキュリティガバナンス
「情報
情報セキュリティガバナンス」としてまとめることが急務
セキュリティガバナンス
29
情報セキュリティガバナンスの確立とは
すべての企業には守るべき情報資産、対処すべきリスクがある
リスクを低減して情報資産を守ることが情報セキュリティの確保である
適切に評価を行わずに情報セキュリティ対策を施し続けていても投資対効果(ROI)を評価でき
ない
経営者が自身の経営課題として捉え
確
立
プ
ロ
セ
ス
例
①
②
③
④
⑤
⑥
⑦
情報資産の価値、リスクの大きさの判断を行う指標の策定
指標に基づく情報資産評価、リスクアセスメント
アセスメント結果に基づく情報セキュリティ対策の立案
情報セキュリティ対策の実施
A
対策効果のアセスメント
アセスメント結果に基づく情報セキュリティ対策の見直し
情報セキュリティ対策の実施
経営者によるモニタリン
経営者
モニタリン
グ
P
D
C
情報資産管
理
事業継続計
画
法令遵守
リスク管理
企業の活動目的(利潤確保、社会貢献等)を支援する適切な情報セキュリティ対策を実現
情報セキュリティへの取組、ROI等を公開することで投資市場、取引先企業からの評価が向上
リスクを減らし、情報資産を守り、利潤を上げ、社会貢献を果たす、理想的な企業へ
30
情報セキュリティガバナンス 2005.3
(1) IT事故発生
IT事故発生の
事故発生のリスクが
リスクが明確でなく
明確でなく、
でなく、適正な
適正な情報セキュリティ
情報セキュリティ投資
セキュリティ投資の
投資の判断が
判断が困難
問題点
投資判断のための
投資判断のための指標
のための指標が求められているのではないか。
指標
(2) 既存の
既存の情報セキュリティ
情報セキュリティへの
セキュリティへの「
への「対策」「
対策」「取組
」「取組」
取組」が企業価値に
企業価値に直結していない
直結していない
情報セキュリティに係る取組みが、企業価値向上
企業価値向上に寄与する仕組みが必要ではないか。
企業価値向上
(3) 事業継続性確保の
事業継続性確保の必要性が
必要性が十分に
十分に認識されていない
認識されていない
IT事故発生時の対応手続きを事業継続
事業継続の
事業継続の観点から定めておくことが必要ではないか。
観点
問題点を
問題点を克服し
克服し、企業が
企業が情報セキュリティガバナンス
情報セキュリティガバナンスの
セキュリティガバナンスの確立を
確立を促進する
促進するツール
するツール
情報セキュリティ
情報セキュリティ対策
セキュリティ対策ベンチマーク
対策ベンチマーク
情報セキュリティ対策のセルフチェック等
に有用なベンチマークの指標を開発
さらに、IT事故データ収集のあり方や被
害想定額算出手法について調査し、ベン
チマークデータと連動したリスク評価の
可能性を模索
情報セキュリティ
情報セキュリティ報告書
セキュリティ報告書モデル
報告書モデル
事業継続計画策定ガイドライン
事業継続計画策定ガイドライン
企業のコンプライアンスや社会的責任を
説明するIRの一環として、自らの情報セ
キュリティポリシーやそれを実現する対
策の実施状況について対外的に公表す
る「情報セキュリティ報告書」を提唱し、
そのモデル案を策定
企業・
企業・社会への
社会への普及方策
への普及方策
企業がIT事故発生時にも事業運営を継
続的に維持するための事業継続計画
(BCP)について、その策定手順や検討
項目、事例等を紹介する「事業継続計
画策定ガイドライン」を策定
既存施策との
既存施策との連携
との連携
・ISMSや情報セキュリティ監査の「入口」
としての活用
(セルフチェック→第三者認証・評価へ) 等
・情報セキュリティ格付け
・政府調達への活用
・損害保険との連携
等
企業における
における情報
情報セキュリティガバナンス
セキュリティガバナンスの
の確立
企業
における
情報
セキュリティガバナンス
31
情報セキュリティガバナンスの期待される効果
情報セキュリティガバナンスに取り組むことで、情報セキュリティが経営陣に「見える」
ようになり、適切なリスク管理の実現が期待できる。
また、品質の向上はもちろん、コンプライアンスの徹底や経営品質の向上、さらに企
業価値向上、事故時のネガティブな反応を抑制する効果も期待できる。
経営陣によるリスク管理の実現
情報セキュリティ活動の徹底
基盤整備の遂行
法令遵守の徹底
事故時のネガティブ
な反応の抑制
情報セキュリティ
ガバナンスの
確立
経営品質の向上
株式市場の高評価
ブランド価値向上
企業が情報セキュリティガバナンスに取り組むことで得られる効果
32
経営陣に求められる5つの活動
経営陣が主体的かつ適切に情報リスクを管理し、利害関係者に説明する仕組みを構築・運用
→ 方向付け、モニタリング、評価、監督、報告の5つの活動を実施
市場への情報開示と、
市場からの評価
情報リスクの管理状況に
ついて、経営陣が利害関
係者に説明する
利害関係者
情報セキュリティガバナンス
のフレームワーク
目標・目的が達成されている
か、それが適切であったかを
経営陣が評価する
報告
Report
経営陣
CISO
監査役
評価
Evaluate
経営陣が情報リスクの管理方
針や目的(ゴール) ・目標(マ
イルストーン)を示す
監督
Oversee
方向付け
Direct
そうした仕組
みが機能して
いることを監
査役等が確認
する
モニタリング
Monitor
経営陣のコミットメント
経営陣が情報セ
キュリティ対策の
状況を把握する
PDCAの進捗・達成状況
管理者層
情報セキュリティ管理
Information Security Management
情報セキュリティガバナンスのフレームワーク
(出典:経済産業省「情報セキュリティガバナンス」, 2009/08を基に作成)
33
企 業
ITSMS
サービス提供者
サービス提供者が
提供者が、提供する
提供するITサービス
する サービスの
サービスのマネジメントを
マネジメントを効率的、
効率的、効果的に
効果的に運営管
理するための仕組
に基づく制度
年4月
月より運用開始
するための仕組み
仕組み(ISO/IEC 20000に
づく制度。
制度。 2007年
より運用開始)
運用開始)
【対顧客】サービス提供者は、提供のサービスレベルを顧客と合意し、合意に基づいたサービス品質を管理し
、サービスレベル状況を顧客に報告する。
【対サービス提供の関連プロセス】サービスマネジメントは、顧客との合意のサービスレベルを含む各種要求
を満たすよう、サービス提供の関連プロセスを統制する。
【対供給者】サービス提供者は、供給者とサービスレベル(顧客合意のサービスレベルとの整合が条件)を合
意し、監視する。
34
IMS運営委員会
委員長
土居 範久(
範久(慶應義塾大学 名誉教授)
名誉教授)
副委員長 大木 榮二郎(
榮二郎(工学院大学 教授)
教授)
副委員長 島田 洋之(
洋之(大同火災海上保険株式会社)
大同火災海上保険株式会社)
委員 稲垣 隆一(
隆一(稲垣隆一法律事務所)
稲垣隆一法律事務所)
委員 榎木 千昭(
千昭(慶應義塾大学 教授)
教授)
委員 大畑 毅(日本電気株式会社)
日本電気株式会社)
委員 熊谷 堅(KPMGビジネスアドバイザリー
ビジネスアドバイザリー株式会社
ビジネスアドバイザリー株式会社)
株式会社)
委員 小林 憲明(
憲明(日本マネジメントシステム
日本マネジメントシステム認証機関協議会
マネジメントシステム認証機関協議会)
認証機関協議会)
委員 駒瀬 彰彦(
彰彦(株式会社アズジェント
株式会社アズジェント)
アズジェント)
委員 小山 條二(
Japan)
)
條二(特定非営利活動法人itSMF
特定非営利活動法人
委員 笹岡 賢二郎(
賢二郎(独立行政法人 情報処理推進機構)
情報処理推進機構)
委員 塩田 貞夫(
サービス・
貞夫(洛ITサービス
サービス・マネジメント株式会社
マネジメント株式会社)
株式会社)
委員 杉浦 昌(日本電気株式会社)
日本電気株式会社)
委員 田原 幸朗(
幸朗(一般社団法人情報サービス
一般社団法人情報サービス産業協会
サービス産業協会)
産業協会)
委員 出口 幹雄(
幹雄(富士通株式会社)
富士通株式会社)
委員 中尾 康二(KDDI
康二(KDDI株式会社
(KDDI株式会社)
株式会社)
委員 藤本 正代(
正代(富士ゼロックス
富士ゼロックス株式会社
ゼロックス株式会社)
株式会社)
委員 八木 隆(株式会社日立製作所)
株式会社日立製作所)
35
制御システムセキュリティのこれから
36
制御システムセキュリティ上の脅威事例
米国の
の重要インフラ
被害を
を与えた最初
最初の
の事例
米国
重要インフラに
インフラに直接的な
直接的な被害
えた最初
米国
1997年
10代の若者がダイアルアップモデムを使って、マサチューセッツ州ウォーセスター空港の設備にサービスを
提供していた通信事業者NYNEXのデジタル・ループ・キャリア・システムを停止させ、空港の管制塔、セキュ
リティ、消防署、気象サービス及び空港を利用する航空会社の電話サービスを利用不能にした。さらに、管
制塔に設置してある滑走路のライトを制御する送信機をシャットダウンしたため、6時間にわたって同設備が
使えなくなった。
SCADA※システムへの
への攻撃
攻撃の
の事例
システムへの
攻撃
豪州
2000年
オーストラリアのSCADAソフトウエアを開発する企業の元従業員が、上下水処理場の運営会社の職に応募
したものの不採用とされたことに恨みを抱き、2カ月間の間46回にわたって同社の下水処理の制御システム
に侵入し、下水排水施設のデータを書き換えたりオペレーションを妨害し、結果として264,000ガロンもの未
処理の下水を河川や公園に放出した。
ウィルス感染
感染により
する事例
ウィルス
感染により制御
により制御システム
制御システムが
システムが停止する
停止する
事例
米国
2005年
米国のダイムラー・クライスラー(現ダイムラー)の 13の自動車工場が単純なインターネットワームにより操
業停止となった。情報ネットワークと制御ネットワークの間にはファイアウォールが設置されていたにもかか
わらず、Zotobワームが制御システム内に入り込み、プラント中に広がった(外部から持ち込まれ、制御シス
テムに接続されたノート PC 経由の可能性も指摘されている)。自動車生産は50 分間停止する状態となった
ほか、部品サプライヤへの感染も疑われて部品供給の懸念も生じ、およそ 1,400 万ドルの損害をもたらした。
※SCADA(Supervisory
Control And Data Acquisition):コンピュータによるシステム監視とプロセス制御を行う制御システム
制御システムへのウィルス感染事例はインシデントとして最も多く、事例のような持込みPC経
由の感染、中央監視室からのインターネット接続による感染などの事例が報告されている。特
に近年USBメモリによりウィルス感染する事例は頻発している。
37
スタックスネット(Stuxnet)
スタックスネット
・ Windowsで
Windowsで感染する
感染するコンピュータウイルス
するコンピュータウイルス
・ シーメンス社
シーメンス社が遠隔監視制御・
遠隔監視制御・情報取得(
情報取得(SCADA)
SCADA)システムにおいて
システムにおいてプログ
においてプログ
ラマブルロジックコントローラ(
ラマブルロジックコントローラ(PLC)
PLC)に対するWindows
するWindows側
Windows側のインタフェースソフ
トウェアとして
トウェアとして採用
として採用している
採用しているWinCC
しているWinCC/PCS7
WinCC/PCS7を
/PCS7を攻撃目標としている
攻撃目標としている
・ 2010年
2010年9月に、イランの
イランの核燃料施設の
核燃料施設のウラン濃縮用遠心分離機
ウラン濃縮用遠心分離機を
濃縮用遠心分離機を標的として
標的として、
として、
スタックスネットを
スタックスネットを使ったサイバー
ったサイバー攻撃
サイバー攻撃が
攻撃が実施された
実施された
・ インターネットから
インターネットから隔離
から隔離された
隔離されたスタンドアローン
されたスタンドアローンの
スタンドアローンの産業用制御システム
産業用制御システムにおい
システムにおい
ても感染
ても感染し
感染し、かつ実害
かつ実害を
実害を生じるという特徴
じるという特徴がある
特徴がある
・2011年秋
2011年秋に
年秋に出現した
出現したトロイ
したトロイの
トロイの木馬型マルウェア
木馬型マルウェアである
マルウェアであるドゥークー
であるドゥークーは
ドゥークーは、スタックスネットか
スタックスネットか
ら派生したものと
派生したものと考
したものと考えられている
・ シマンテックは
シマンテックは「USBメモリ
USBメモリで
メモリで媒介される
媒介される」
される」として不用意
として不用意な
不用意な接続をしないよう
接続をしないよう呼
をしないよう呼びかけて
いる
38
出典:
出典:Wikipedia
現実的な脅威
USBメモリ
リモートメンテナンス回線
Stuxnet等USBメモリからのマルウェア感染
事例がある
制御システムではUSBメモリデバイスが膨
大であり、なくすことは不可能
操作端末の入れ替え
某社は、米国アトランタの中央監視室か
らリモートメンテナンス回線により世界中
のタービンをリアルタイム監視
リモートメンテナンス回線の先の端末から
の不正アクス
端末からのマルウェア混入
内部犯行
日本の自動車会社では、ベンダが入れ替
えた端末にウィルスが混入していた事例
あり
操作端末は、Windows等汎用パソコンで
あることが一般的
39
内部犯行者は物理的セキュリティをすり
抜ける
スイッチに直接PCを接続すると、不正パ
ケット送信や盗聴可能
制御システムにおける脆弱性
(独)情報処理推進機構では
」という脆弱性対策情報
情報処理推進機構では「
では「JVN iPedia」
という脆弱性対策情報データベース
脆弱性対策情報データベースを
データベースを運営
している。
している。このデータベース
このデータベースに
データベースに登録された
登録された産業用制御
された産業用制御システム
産業用制御システムの
システムの脆弱性対策情報は
脆弱性対策情報は、
2010年
年(21件
件)、2011年
年(89件
件)、2012年
年(162件
件)と大幅な
ソフト
)、
)、
大幅な増加傾向にある
増加傾向にある(
にある(PCソフト
ウェアの
年登録脆弱性件数は
件)。
ウェアの2012年登録脆弱性件数
年登録脆弱性件数は528件
また、脆弱性対策情報全体と比較して深刻度レベルIII(危険)と評価された脆弱性対
策情報が相当に多い。
2倍
4倍
出典:IPA脆弱性対策情報データベースJVN iPediaの登録状況 [2012年第4四半期(10月~12月)]
40
制御システムセキュリティ確保の方向性
評価認証
脆弱性への対応
サイバー演習
制御システムセキュリティ確保の方向性
41
制御システムセキュリティ
における評価認証
制御システムセキュリティにおける評価認証
IEC62443は制御システムセキュリティの全レイヤ/プレイヤーをカバーした規格
先行する評価認証の規格(EDSA認証等)がIEC62443に採用される方向
*1)
評価・認証
標準化
インテグ レータ
事業者
情報ネットワーク
情報 ネットワーク
<評価事業>
ファイアウォール
IEC62443IEC62443-1
生産管理
サーバ
制御情報ネットワーク
制御情報 ネットワーク
IEC62443IEC62443-2
管理・運用・プロセス
IEC62443IEC62443-3
技術・システム
(予定)
CSMS認証
*2)
・CSMS認証
PIMS
HMI
EWS
DCS/Master
PLC
コントロールネットワーク
PLC
フィールドネットワーク
装置ベン ダ
DCS/Slave
センサバス
EDSA認証
・EDSA 認証 *3)
IEC62443IEC62443-4
コンポーネント・デバイス
・Wurldtech Achilles*4)
M
センサ・
センサ ・ アクチュエータなど
アクチュエータなど
*1) IEC62443のCyber securityの標準化作業は、IEC/TC65/WG10が担当(日本国内事務局はJEMIMAが対応)
*2) Cyber Security Management System:ISMSを制御システム関連組織向けに特化した要求事項を規定(認証スキーム開始予定)
*3) EDSA:Embedded Device Security Assurance:制御機器(コンポーネント)の認証プログラム→IEC62443-4に提案されている
*4) ネットワーク接続装置(コントローラ等)の認証(ペネトレーション、ファジングテスト) 調達要件に指定されている(EDSA要件としても引用)
*5)DCS: Distributed Control System PLC: Programmable Logic Controller PIMS: Process Information Management System
1
43
CSMS認証
44
CSMSの認証の対象とする基準案
45
CSMS評価認証制度確立計画
・2013年度:
年度:パイロットプロジェクトにより
パイロットプロジェクトにより、
により、認証基準、
認証基準、スキームを
スキームを立ち上げ
・2014年度:
年度:認証事業の
認証事業の開始。
開始。先行事業者による
先行事業者によるノウハウ
によるノウハウの
ノウハウの蓄積
・2015年度:
年度:業界別の
業界別のガイドライン策定
ガイドライン策定。
策定。事業メリット
事業メリット明確化
メリット明確化、
明確化、認証取得拡大
2013 年
2014 年
2015 年
認証取得の
認証取得の試行
評価認証の
評価認証の拡大
認証の
認証の本格的普及
・先行的な評価・認証による
ノウハウの蓄積(2件程度)
・一般認証事業開始
・蓄積されたノウハウに
基づくガイドラインの策定
・効果的な試行者の選定
・パイロットプロジェクト
国家施策による立上げ
支援
・業界固有の特徴分析、
ノウハウの蓄積
(業界毎に1件程度)
(各業界向けガイドライン公開)
・ガイドラインを活用した
評価・認証の実施
・認証取得の事業メリット
の明確化、活用
出典:IPA CSMS説明資料
46
有識者委員会
氏名
委員長
土居 範久
会社・
会社・機関名
慶應義塾大学
大木 榮二郎
工学院大学
織茂 昌之
株式会社日立製作所
小林 偉昭
技術研究組合 制御システムセキュリティセンター
)
制御システムセキュリティセンター(
システムセキュリティセンター(CSSC)
金野 千里
独立行政法人情報処理推進機構(IPA)
独立行政法人情報処理推進機構
佐々木 良一
東京電機大学
鈴木 剛
東洋エンジニアリング
東洋エンジニアリング株式会社
エンジニアリング株式会社
武部 達明
横河電機株式会社
藤巻 慎二郎
公益財団法人日本適合性認定協会(JAB)
公益財団法人日本適合性認定協会
宮地 利雄
一般社団法人JPCERTコーディネーションセンター
コーディネーションセンター(
)
一般社団法人
コーディネーションセンター(JPCERT/CC)
役割:
役割:CSMS技術専門部会
CSMS技術専門部会で
技術専門部会で作成された
作成されたCSMS
されたCSMS認証
CSMS認証・
認証・認定基準、
認定基準、ユーザーズガイドを
ユーザーズガイドを
承認し
承認し、CSMSパイロット
CSMSパイロット認定
パイロット認定・
認定・認証制度の
認証制度の制度運用について
制度運用について諮問
について諮問し
諮問し、パイロッ
ト事業成果を
事業成果を踏まえて制度開始
まえて制度開始を
制度開始を承認する
承認する。
する。
制御システムセキュリティにおける
脆弱性対策
情報セキュリティ早期警戒パートナーシップ
【期待効果】
①製品開発者及びウェブサイト運営者による脆弱性対策を促進
②脆弱性関連情報の放置・危険な公表を抑制
③個人情報等重要情報の流出や重要システムの停止を予防
49
脆弱性関連情報の届出件数
50
制御システムセキュリティの
早期警戒パートナーシップ
• 経済産業省、IPA、JPCERT/CCを中心に、
CSSCおよび制御システム関係者とともに、制
御システムにおける脆弱性対応を検討中
-
告示および
告示およびガイドライン
およびガイドラインへの
ガイドラインへの反映
への反映に
反映に関して、
して、制御システム
制御システム関
システム関
係者の
係者の意見を
意見を聞きつつ検討
きつつ検討
- 制御システム
制御システム用製品
システム用製品の
用製品の脆弱性情報の
脆弱性情報の取扱に
取扱に関する研究会
する研究会
51
制御システムにおける
サイバー演習
平成24年度経済産業省サイバーセキュリティ演習
制御システムを対象
セキュリティ対策の必
要性が増している制御
システムを対象
制御システムの関係者
(今年度は電力、ガス、
ビル)の協力を得て実
施
模擬システムを構築
継続的に利用可能な模
擬システムを構築
初年度は、模擬システ
ムを用いて脅威と対策
の体感を通じて課題を
抽出
次年度以降は、CSSC東
北多賀城技術研究セン
ターに移設して運用
53
本格的な機能演習を実
施
模擬システムを用いた
制御システムセキュリ
ティにおける対策実装
の課題抽出
攻撃守備演習による課
題抽出
平成24年度サイバーセキュリティ演習の実施体制
経済産業省殿
全体統括事務局
電力
サイバー演習
サイバー演習
実行委員会
ガス
セキュリティベンダ
ビル
ベンダ
各組織の
各組織の役割分担
経済産業省
分野
• 意思決定
電力
全体統括事務局
各分野
(各分野毎に
各分野毎に事務局を
事務局を
設置、
設置、以下分野事務局)
以下分野事務局)
委員長:
委員長: 土居範久
•
•
•
•
全体スケジュール調整
全体進捗管理
脅威特定
報告書とりまとめ
•
•
•
•
シナリオ作成
演習実施方法検討
演習実施
報告書作成
ガス
ビル
全体統括事務
局
54
関係者と
関係者と役割
業界団体(電力業界窓口)、電力事業者(演習
主体)、日立製作所(模擬システム構築)、三菱
総合研究所(事務局)
業界団体(ガス業界窓口)、ガス事業者(演習主
体)、アズビル(模擬システム構築)、セキュリ
ティベンダ(事務局)
ビル事業者等(演習主体・模擬システム構築)、
学識経験者(模擬攻撃者)、三菱総合研究所
(事務局)
三菱総合研究所
サイバーセキュリティ演習の成果
• 各分野関係者における制御システムセキュリティに
係わる意識啓発
• 今後の制御分野のサイバー演習のインフラとなる模
擬システムの構築
• サイバー演習のためのコンテンツ作成
55
CSSCへの期待
CSSCへの期待
• 製造業の中核となる制御システムの競争力の厳選
であるセキュリティ機能の強化
• セキュリティ機能の強化のために評価認証、脆弱性
対応、サイバー演習(普及啓発・人材育成)、研究開
発の推進
• 上記を通した東北と多賀城における復興への貢献
57
以上
58