ｽﾗｲﾄﾞﾀｲﾄﾙなし - 日本システム監査人協会近畿支部

中小企業におけるリスク認識の手法について
～JNSA西日本支部WG活動を通じて～
嶋倉文裕
JNSA西日本支部
富士通関西中部ネットテック㈱
2014年3月20日
ＪＮＳＡのご紹介
特定非営利活動法人日本ネットワークセキュリティ協会
英文表記はJapan Network Security Association （略称JNSA）
ネットワーク・セキュリティ製品を提供しているベンダー、システムインテグレータ、イン
ターネットプロバイダーなどネットワークセキュリティシステムを護る先駆的な２００を超
える企業が結集して、我が国における情報セキュリティの必要性を社会にアピールし、
かつ、諸問題を解決していく場として設立しました。2001年5月、活動が認められ、
特定非営利活動法人 (NPO)として認可されて以降、一貫して、統計情報や様々なノ
ウハウ集、対処手法などを提供するとともに、ワークショップや勉強会、更には情報セ
キュリティの啓発セミナを開催するなど、よりよい情報環境を作りあげるための情報セ
キュリティの実務的で社会に根差した活動を続けています。
<URL>http://www.jnsa.org/
1/17現在 148社
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 1
ＪＮＳＡ西日本支部の中小企業セキュリティ活動
経済産業省
中小企業情報セキュリティ対策
促進事業
推進WG 参加/セミナー講師対応
IPA
リスク対策ＷＧの成果の取り込み
中小企業の情報セキュリティ対策に関する研究会
協力関係の輪
委員参加
中小企業の
情報セキュリティ
対策ガイドライン
委員参加(WG2)
普及検討ＷＧ
（自社診断シート）
クラウド
セキュリティ
ＷＧ
委員参加
委員参加
ＪＮＳＡ西日本
出社してから退社する
までのリスク対策WG
情報セキュリティチェックシートＷＧ
個人情報保護ＷＧ
▲
1
2005年
情報セキュリティ
チェックシート
ＷＧ
▲
ISO/IEC 27001、27002の規格改版
個人情報保護法完全施行
2
手引書
12 1
2006年
12 1
2007年
12 1
2008年
12 1
2009年
12 1
2010年
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
2011年～2013年
Page 2
今日の話
２００５年からの活動がいったん完了
・成果物のご紹介
・成果物の作成の過程で、我々が考えたことのご紹介
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 3
中小企業の定義
●
法令上の定義（中小企業基本法第２条第１項）
製造業
卸売業
小売業
サービス
その他
資本金３億以下
１億以下５千万以下５千万以下３億以下
従業員３００人以下１００人以下５０人以下１００人以下３００人以下
＊資本金、従業員のどちらか一方を充足する事が条件。
●政令による定義
（中小企業金融公庫法等の中小企業関連立法）
・ｺﾞﾑ製品製造業（資本金３億円以下または従業員９００人以下）
・旅館業（資本金５千万以下または従業員２００人以下）
・ソフトウェア業・情報処理サービス業（資本金３億円以下また
は従業員３００人以下）
我々のＷＧでは情報セキュリティに最も影響があ
ると思われる従業員規模に着目し、便宜的に従業
員３００人以下の企業を中小企業の類型として
扱っている
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 4
ＷＧ対象の中小企業
<積極的>
情
報
セ
キ
ュ
リ
テ
ィ
へ
の
対
応
<無視>
<小>
安心
優等生
<大>
もう少し
気づき
脅威
潜在
確信犯
無自覚
リスク
ﾘｽｸ大
企
業
規
模
<小>
<小>
ＩＴ活用度
<大>
<大>
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 5
西日本支部
成果物の対象
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 6
各ツールの対象
従業員300人以下
9to5
チ
ェ
ッ
ク
シ
ー
ト
ソ
リ
ュ
ー
シ
ョ
ン
ガ
イ
ド
西日本支部 2008年度活動成果物「中小企業の情報セキュリティ対策支援 WG活動報告書」より
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 7
各ツールの位置づけ
•Why: 9to5 (出社してから退社するまで中小企業の情報
セキュリティ対策実践手引き略称)
– リスクの認識
共通
– セキュリティ対策
•How:情報セキュリティチェックシート ISO27001/27002
:2005
– 現状の把握
– セキュリティ対策
– PDCAを回す
•What:JNSAソリューションガイド
– 具体的な製品、サービスの選定
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 8
第一次
情報ｾｷｭﾘﾃｨﾁｪｯｸｼｰﾄＷＧ
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 9
情報セキュリティチェックシートの概要 ①
２つの対象者向けから構成
３８項目
・経営者、経営層向け
１７項目
（ルール、職務分掌、契約など）
・情報セキュリティ責任者・担当者２１項目
（技術的対策、障害管理、システム管理など）
ＩＳＯ２７００１管理策をベースに策定
（システム管理基準も一部、参照）
詳細は下記、URL
http://www.jnsa.org/seminar/2008/1217nsf2008/data/
1217-C2-01checksheetA3.xls
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 10
[参考]情報セキュリティチェックシート
No.
キーワード
ク
ラ
イ
ア
ン
ト
対象
影響
ネ
ッサアデ機完可
ト
ープー密全用
ワ
バリタ性性性
ー
ク
トラブル事象例
質問
回答選択肢
業務委託で
対応されて
いる場合は
□にチェック
をいれて下
さい
質問に該当
しない場合
は□にチェッ
クをいれて
下さい
経営者・経営者層の方
機密性、完全性、可用性のバランスを取ったシステムの
情報セキュリティ方
情報セキュリティを考慮したシステムの利用・活用方
1
○ ○ ○ ○ ○ ○ ○ ○ 利用方針がないと全てのトラブルに発展する可能性が
針
針を明確にしていますか？
ある
①経営方針の中に情報セキュリティに関する記載が無い
②経営方針の中に記載はあるが、周知徹底が不十分である
③経営方針の中に記載をしており、周知徹底もしている
④経営方針の中に記載し、周知徹底しており、定期的に利用方
針を見直している
2 責任の明確化
①情報システムの利用及び情報セキュリティの推進について，
経営陣・各部署の代表者・各自の職務の使命、責任は明確では
ない
②情報システムの利用については経営陣・各部署の代表者・各
自の職務の使命は明確に決まっているが、情報セキュリティの
責任の明確化ができていないとトラブル時の対処が遅情報システムの利用及び情報セキュリティの推進につ
責任については明確ではない
○ ○ ○ ○ ○ ○ ○ ○ れたり、事後の対処が的確に出来ない等の可能性があいて，組織における経営陣・各部署の代表者・各自の
③情報システムの利用及び情報セキュリティの推進について，
る
職務の使命、責任を明確にしていますか？
経営陣・各部署の代表者・各自の職務の使命、責任は明確に決
まっている
④情報システムの利用及び情報セキュリティの推進について，
経営陣・各部署の代表者・各自の職務の使命、責任は明確に決
まっており、定期的に職務の使命、責任を見直している
3 職務の分離
①システムの利用者とシステム管理者を分離していない（例：経
理システムの利用者がシステム管理も兼務している）
②システムの利用者とシステム管理者を分離している
サーバ、データベース、アプリケーションの管理権限を持
③システムの利用者とシステム管理者の分離しており、さらにそ
つシステム管理者が製造情報を保存した文書管理シス情報システムに携わる部門は、組織の規模及び特性
れぞれの業務に対する承認者を分離している
○ ○ ○ ○ ○ ○ ○ ○ テムから製造情報を盗み出し、サーバに保存された
に応じて、職務の分離、専門化、権限付与、外部委託
④システムの利用者、システム管理者、承認者を分離しており、
データベース、アプリケーションのアクセスログを消去し等を考慮した体制にしていますか？
責任範囲は権限の乱用や不正使用のリスクを低減するために
てしまい、誰が犯人か追跡できない
分離している（例：システム管理者の分離[サーバ管理者、DB管
理者、アプリケーション管理者など]）、さらに定期的に職務の分
離を見直している
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 11
情報セキュリティチェックシートの概要 ②
特徴
・対象が中小企業ということから可用性重視
・自ら対策を行うより委託の積極的な活用
委託によるセキュリティ対策
・委託による情報セキュリティ対策は限定
自ら行うべき項目を明確化
（ルール、職務分掌、契約など）
・対策状況は４段階の成熟度で確認
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 12
[参考]情報セキュリティチェックシートの項目 ①
経営者向け大項目
１．情報セキュリティ方針
２．責任の明確化
３．職務の分離
４．委託先の管理
５．情報資産管理台帳
６．文書化された手続き
７．ルール
８．秘密保持
９．ゾーン管理
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 13
[参考]情報セキュリティチェックシートの項目 ②
１０．入退管理
１１．サービスレベルの確保
１２．ソフトウエアの選別と開発
１３．業務データの管理
１４．障害報告
１５．障害対策
１６．情報システム監査
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 14
[参考]情報セキュリティチェックシートの項目 ③
情報システム部門向け大項目
１．ID
２．パスワード
３．アクセス権限
４．ネットワークアクセス制御
５．ウィルス
６．PC・電子媒体・紙の管理
７．電子メール
８．オンライン取引
９．インターネット販売
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 15
[参考]情報セキュリティチェックシートの項目 ④
情報システム部門向け大項目
１０．ホームページ
１１．監査ログ
１２．障害ログ
１３．バックアップ
１４．性能管理
１５．リリース管理
１６．変更管理
１７．構成管理
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 16
情報セキュリティチェックシートアンケート調査
現状の情報セキュリティ対策状況を成熟度モデルで確認
し、リスク認識を促す
→ 中小企業を対象にアンケート形式での実践調査
リスク認識の困難さが明らかに．．
アンケート結果（一部、ヒアリング）から把握したこと
・情報セキュリティチェックシートによる「気づき」を期待
するが企業側がそれを理解できたか疑問
・情報セキュリティチェックシート回答企業の多くは情報
資産管理台帳を作成していない
情報資産管理台帳情報セキュリティ対策の入り口のはず！
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 17
[参考]アンケートの方法
・情報セキュリティチェックシートによるアンケート
・一部、ヒアリング
->中小企業の情報セキュリティ対策の状況調査
-> 情報セキュリティチェックシートの有効性を調査
Ｓｔｅｐ１近畿経済産業局様のご支援により
１５社先行調査
Ｓｔｅｐ２近畿中小企業３３７社に郵送し、
調査（回答１６社）
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 18
[参考]はがきアンケートの追加
郵送によるアンケート調査に回答して頂けなかった理由を
追跡調査も実施
３２７社に対し追加調査（回答４８社）
追加アンケート内容
A.情報セキュリティ対策は必要なし
B.情報セキュリティ対策は必要と考えているが、次の理由で回答できない。
１）アンケートの内容がセンシティブな情報であり、回答は控えたい。
２）同様のアンケートが多く、回答するメリットに疑問を感じている。
３）自社の対策レベルが低く、回答できる状態にない。
４）アンケート内容を理解し、回答できる人材がいない。
５）回答選択肢が複雑で選択が困難。質問数も多すぎる。
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 19
[参考]調査からの事実１
全体的な特徴
・組織的な対策は二極化
（組織的とは情報セキュリティ方針、責任の明確化、
職務の分離などが行われている企業）
組織的対策と相関性あるキーワード
選択肢レベル
1
キーワード
情報セキュリティ基本方針
１７社
責任の明確化
１４社
職務の分離
１２社
情報資産管理台帳
１６社
ルール
１７社
低
2
3
4
３社
６社
１０社
６社
０社
４社
５社
２社
１社
６社
４社
３社
４社
５社
５社
有効回答企業数
２８社
２８社
２８社
２８社
２８社
対策レベル高
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 20
[参考]調査からの事実２
全体的な特徴
・取引先から情報セキュリティ対策を求めれている企業は、
要求事項に沿いバランスよく対策されている
・品質ＩＳＯ、環境ＩＳＯの監査と情報セキュリティ監査を
誤解しているケースあり
・情報資産管理台帳と固定資産との区別がない
・ＩＤ管理、パスワード管理は企業によりばらつき大
・二極化とは関係なく、ウィルス対策や障害対策は実施済
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 21
[参考]調査からの事実３
情報セキュリティが組織化されていない企業
①トラブル経験がなく、自社は大丈夫と考えている
（差し迫った問題ではない）（他人事）
②他社（外部）に迷惑をかける事は無いと思いこんでいる
③性善説尊重（フアミリー的）、信用・信頼がビジネスの
原点
④チェックシートの内容を理解できる人がいない
総務部門等が兼務しており業務に忙殺されている
⑤SI‘er、ベンダーに丸投げ、情報資産の保管・格納場所さえ
分からない。
（リスクを説明・説得できるのは企業に入り込んでいるSI‘er、
コーディネータ
ただし、 SI‘er、コーディネータが正しく情報セキュリティを理解し
ているか？）
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 22
[参考]調査からの事実 4
情報セキュリティが組織化されている企業
①経営層の理解があり対策は自らが行うとの意欲が
高い
②組織的対策レベルと技術的な対策レベルが整合して
いる
③対策が業務の適切な遂行に必要との認識がある
（ITIL思想定着）
④情報セキュリティ対策は環境・品質基準や個人情報
保護と同様に外部に与える影響度が高いとの意識
がハッキリしており、リスクの定量化に意欲的
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 23
[参考]はがき追加調査からの事実
①同様なアンケート調査が多く、メリットを感じないと
いう回答が約３８％
②情報セキュリティ対策の必要はなし、という企業が
回答数の１３％にのぼる
③アンケートがむずかしい、と感じた企業が約１７％
④自社の情報セキュリティレベルが低いため、回答でき
ない企業が約１５％
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 24
[参考]中小企業の対策実践を考える
二極化した企業
情報セキュリティ対策を実践できていない企業
トラブルを経験していない企業
対策レベルが低い企業
リスク認識の啓発は
リスク認識がない．．．？
可能？
トラブルを経験していない企業
ＩＰＡ（中小企業の情報セキュリティ対策に関する
研究会報告書）によるとトラブルによる影響はほと
んどなく、「発生していない」と無回答の合計は9割
を超える
本当にリスクを認識
していないのか？
アプローチ、実践
方法は何か．．．．
情報セキュリティ対策を実践できている企業
リスク対策をトリガーとして受容できる
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 25
[参考]リスク対策をトリガーとして受容できる企業
リスクレベル
リスクのに見合った
評価
対策の実施
情報資産
の洗い出し
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 26
情報資産管理台帳作成の目的と想定効果
情報資産管理台帳の作成作業を行うことで、情報資産
を把握し、その保管状況やその価値を認識
情報資産の価値を認識して頂けた企業は、次のＳｔｅｐで
情報セキュリティチェックシートを利用して、各情報資産の
リスクの把握が可能になるのでは？
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 27
資産管理台帳を基にしたリスクアプローチ①
・資産管理台帳からのアプローチ
企業の保有する情報資産を洗い出し、その資産に
対するリスク分析・評価をおこなうアプローチ
– システム管理者、資産の管理者だけで洗い出し
が可能
ただし、ファイルサーバなどで集約的に管理され
ていなければ難しい
（個人ＰＣの中身は把握できない）
– 資産の名称が同じでも業種、企業、部署、個人
により内容は異なる
– 資産の管理が不十分な場合、洗い出しが困難。
– 洗い出しの粒度が細かくなりがち
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 28
資産管理台帳を基にしたリスクアプローチ②
「情報セキュリティチェックシートＷＧ」で情報資産管理台帳
の洗い出しのアプローチを試みたが、固定資産台帳との
区別がつかない、業界特有の資産名を例示しないと理解
ができない、などの事実がわかりました
当時の活動の詳細
「中小企業の情報セキュリティ対策支援ＷＧ活動報告書」
http://www.jnsa.org/result/2008/west/0812report.pdf
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 29
[参考]調査の方法
情報資産管理台帳の雛形を提示し、実際に作成して頂くことで、
情報資産の把握、リスク認識、および情報セキュリティ対策への
展開につながることを期待
実際の作成とアンケート調査を実施
対象を金型業界、および鞄業界に絞り郵送調査
（約200社に郵送、５社回答）
各業界特有の情報資産名を考慮した記入例、および影響度の
説明を添付
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 30
[参考]アンケートの内容
①情報資産を書くことができたか
②記入例は役に立ったか
③保有する情報資産の何％ぐらいまで書き出すことができた
と思うか
④影響度を理解できたか
⑤影響度が書けなかった理由
⑥実際に情報資産管理台帳を書いてみて今後、対策や環境
整備を行おうと思ったか
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 31
資産管理台帳作成の調査を踏まえて①
①機密性、完全性、可用性の理解あるいは資産管理
台帳の例示が適当であれば、中小企業でも作成が
可能（実際に従業員２１人規模の企業で記入例にな
い資産も挙げることができた）
・企業規模が小さく、経営者(あるいは少数の管理者)
が情報資産の責任者になっている場合は比較的容易
に洗い出しができると思われる
・詳細かつ網羅性を求めなければ、たとえ中小企業
であっても情報資産の洗い出しができると思われる
例えば、ある一定以上の重要な情報資産をまずは
洗い出すなど
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 32
資産管理台帳作成の調査を踏まえて②
②各企業にマッチした具体的な影響を想像できない
ため機密性、完全性、可用性の理解が難しい。
ＩＰＡの報告では多くの企業がトラブルを経験しておら
ず、影響度の理解が課題である。
資産管理台帳の作成ではリスク認識につながらない
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 33
活動から見えた中小企業の限界
これまでの活動から見えた中小企業のセキュリティ
•トラブル経験がなく、自社は大丈夫と考えている。
•情報セキュリティを理解できる人がいない。
•SI‘er、ベンダーに丸投げ、情報資産の保管・格納
場所さえ分からない。
このような状況で、どうすればリスク対策が企業に
とって重要であるかを理解させることができるか？
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 34
出社してから退社するまでの
リスク対策ＷＧ
(9to5リスクWG)
～日常の危機管理～
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 35
業務からのリスクアプローチ手法①
・業務からのアプローチ
企業の持つ業務プロセスを洗い出し、その業務プロ
セスを構成する各業務に対するリスク分析・評価を
おこなうアプローチ
– それぞれの業務を行う担当者が、業務を洗い出す
必要がある
– 業種、企業、部署、個人によって業務はそれほどに
変わらない
例：「業務」の捉え方にもよるが、ＰＣを利用した書類
の作成、共用ファイルサーバへの情報格納、など
仕事のやり方に着目すると変わらないと考える
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 36
業務からのリスクアプローチ手法②
・業務からのアプローチ
– 資産の管理が不十分でも、業務の洗い出しは可能
– 洗い出しの粒度が大雑把になる可能性はある
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 37
出社してから退社するまでのリスク対策ＷＧ
「出社してから退社するまでのリスク対策ＷＧ」で
考えたこと
中小企業では、十分な資産の洗い出しをすることが
難しい
業務からアプローチする方が、リスクと紐付けし易い
（資産価値の把握は困難になるが）、トラブル経験が
なく、自社は大丈夫と考えている中小企業にとって、
セキュリティ対策の契機となる可能性がある
日常の業務のなかで、ヒューマンエラーを少なくする仕
組みと、社員の意識の向上や、スキルアップ
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 38
業務からのアプローチ ①
大きく、５つの日常サイクルと２つの特別な業務に分類
日常サイクル
出社
社内
社外
退館・退出
帰宅
特別な業務
人事管理
システム管理
出社時の会社への入館方法
社内の仕事の仕方
社外の仕事の仕方
会社をでるときの振る舞い、退館方法
自宅での仕事の仕方や家族との会話
入社、退職、人事評価
システム管理者の仕事
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 39
業務からのアプローチ ②
業務の洗い出し方法
とにかく、まずは抽出し、それから整理
“業務“そのものではなく、共通的な業務のやり方に
フォーカスし洗い出す
・ＩＴ系の業務
・非ＩＴ系の業務
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 40
業務からのアプローチ ③
洗い出した業務
ＩＴ系の業務
セキュリティエリアへのアクセス
PCの起動・ログイン
PCを使用した業務
ＰＣ・媒体の廃棄・処分
メールの受信確認
メールの送信(本文）
メールの送信(添付)
PCによる文書の保存
PCによる文書の作成
PCによるプリンタの使用
共有サーバの利用
WEBサイトへのアクセス
インターネットで収集した情報の利用
外部サービスを利用したファイル交換
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 41
業務からのアプローチ ④
洗い出した業務
非ＩＴ系の業務
FAXの送信
コピー使用
社内の人間とのコミュニケーション
書類の受け渡し・発送（見積書等）
記録媒体の発送
書類、記録媒体の保管
書類の保管・廃棄
電話での会話
業務の委託
離席
社外者との打ち合わせ
社内会議
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 42
業務からのアプローチ ⑤
リスクの洗い出し方法
洗い出した業務と情報を保存、処理する場所より
リスクを洗い出し
脆弱性に起因する要素（人が何処何処で何々する）
業務
情報を保存・処理する場所
対象
(
)
)
)
出社
入館
○ ○
社内
セキュリティエリアへのアクセス
○
○
○
○
PCの起動・ログイン
○
○
○
○
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 43
)
外
サ
宅
委
廃
配
託
棄
・
業
業
郵
者
送
外（
外
サ
外
サ
サ
）
(
(
U
ホ
S
表
ワ
B
プ
コ
携
示
F
ゴ
イ
リ
ピ
他
会電帯
モ紙
A ーミ
ト
ン
話話電
X
箱
ニ
ボ
媒
タ
機
話ー
タ
体
ド
(
ア
建部
キ
ネプ
物屋
リ
・ャ
サッ
ビ机 P ートケ
入エ
ネ上 C
ワー
バー
りリ
シ
ッ
口ア
ト
クョ
他
ン
)
業
務
を
管
理
す
る
人
(
業務(人が何々する)
そ
の
業
務
を
す
る
人
フ
ァ
イ
ル
交
換
等
業務からのアプローチ ⑥
リスクの洗い出し方法
目標とするセキュリティ要件、現状のセキュリティレベル
から想定するリスク事象を書き出す
脆弱性に起因する要素（人が何処何処で何々する）
業務(人が何々する)
セキュリティ要件(目的）
現状のセキュリティレベル
リスク事象(リスクシナリオ)
出社
入館
許可されていない第三者のアクセス
を防止する
従業員かどうかを識別、認証する仕
組みが無い
社内
セキュリティエリアへのアクセス
許可されていない部外者のアクセス
を防止する
取り扱う情報の種類・重要度に応じた
許可されていない人間が権限者になりすましセキュリティエリアに入る
エリア分けがされていない
許可されていない部外者のアクセス
を防止する
入退室記録が無い
情報への許可されないアクセスを防
止する
PCに自動ログインの設定を行ってい利用者権限を持たない者がPCにアクセスでき、PCから利用できる情報を漏えいしてし
る
まう
情報へのアクセスを特定する
共通IDを利用している
共通IDを利用しているため、個人を特定するログを残せない、またパスワードの漏えい
する可能性が高い
情報への許可されないアクセスを防
止する
パスワードが簡単なため覗き見で
判ってしまう
パスワードをメモとして書き貼り付け
ている
ログオン時の覗き見やパスワードをメモ書きし貼り付けていることによりパスワードが漏
えいし、重要情報に不正アクセスされる
PCの起動・ログイン
社員以外の人間が社員になりすまし入館する
重要な情報を扱うエリアへの入退室記録が無く、情報漏えい発生後、事件を追跡できな
い
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 44
業務からのアプローチ ⑦
対策の検討
リスクから対策を検討、そのさい技術と人の両方を
考える
脆弱性に起因する要素（人が何処何処で何々する）
業務(人が何々する)
出社
入館
社内
セキュリティエリアへのアクセス
PCの起動・ログイン
対策の仕組み
対策(技術的)
社員証、入館システム(IDカード、バイオ認証、パ
スワード認証）、警備員、社員用と外部用の入り口従業員に個人を特定できる社員証を与え、入館
が分離されている、無人受付がある、セキュリティシステムでチェックする
カメラ
ゾーンニング（エリア分け）、入室システム(IDカー
取り扱う情報の重要度に応じたエリア分けをし、
ド、バイオ認証、パスワード認証）、セキュリティカ
システム的に入退室管理をする
メラ
対策(人的）
従業員に個人を特定できる社員証を与え、人が
チェックする
取り扱う情報の重要度に応じたエリア分けをし、
規程等ルールで入退室管理をする
入退室の担当者が入退室者の入退室記録を管
理台帳に記入する
入退室システム、セキュリティカメラ
システム的に入退室記録（ログ）を残す
システム特権をユーザアカウントに与えない。
自動ログインをさせないツールの導入。
自動ログインの設定をやめる
自動ログインの設定を解除し、ユーザアカウント
自動設定を許可しない旨のルールの作成
から特権を除去する
利用者ごとのIDの作成
利用者ごとのIDの作成
適当な強度（8文字以上、英数字記号の組み合わ
システムのパスワードポリシーを設定しユーザにパスワード文字数、文字列の組み合わせ、変更
せ）を持つパスワードを設定できるIDを作成し、定
強制的に複雑なパスワード、定期的パスワードの周期等についてのパうワードポリシーをルー
期的に変更する
の変更をさせる
ル化しユーザに周知徹底する
パスワードを書いた紙を人目にさらさない
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 45
業務からのアプローチ ⑧
対策が実行されているかのチェック
対策を導入したあと、それが的確に実行されているか、
チェックするポイントも考える
脆弱性に起因する要素（人が何処何処で何々する）
業務(人が何々する)
対策(技術的)
対策(人的）
対策のチェックポイント
出社
入館
従業員に個人を特定できる社員証を与え、入館従業員に個人を特定できる社員証を与え、人が退職、人事異動した社員の社員証のたな卸しを
システムでチェックする
チェックする
定期的におこなう
社内
セキュリティエリアへのアクセス
取り扱う情報の重要度に応じたエリア分けをし、取り扱う情報の重要度に応じたエリア分けをし、入退室（エリア）のアクセス権限表の確認および
システム的に入退室管理をする
規程等ルールで入退室管理をする
実際のカードでの確認
システム的に入退室記録（ログ）を残す
PCの起動・ログイン
入退室の担当者が入退室者の入退室記録を管
システムのログまたは入退室管理台帳の確認
理台帳に記入する
自動ログインの設定を解除し、ユーザアカウント
自動設定を許可しない旨のルールの作成
から特権を除去する
PCの自動設定がされていないことを確認する
利用者ごとのIDの作成
システムまたはPCのアカウントの設定を確認す
る
システムのパスワードポリシーを設定しユーザにパスワード文字数、文字列の組み合わせ、変更
強制的に複雑なパスワード、定期的パスワードの周期等についてのパうワードポリシーをルーシステムのパスワードポリシーを確認する
の変更をさせる
ル化しユーザに周知徹底する
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 46
活動で注意したことアルゴリズム化
定義
①フローとして記述可能
②分岐がある場合は明確な判断基準がある
範囲
プログラムではなく、人が行為を行う場合でも①②を
満たす場合はアルゴリズム化と言う
メリット
１.チェックが可能
2.人が行う場合、工数計算が可能（費用化）
3.プログラム化が可能（費用化）
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 47
アルゴリズム化できないもの
・体制つくり
・法律、規定、ルールの適合性
・モラル、ルールの定着のための教育、訓練
これらについては、別途、解説することとした
これらに共通すること
単純な判断が困難
組織により適切な体制は異なる、また例外事項、状況に
より適用ルールの変更など、人の判断が伴う
定量的な効果測定が困難
教育、訓練を受講したからといって人のミスは防げない
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 48
手引書へのまとめ
この取り組みの結果を手引書にまとめました。
ただし、ＷＧでは「紙」媒体のリスクについても検討しまし
たが、手引書では、“対象がIT”、または“対策がITで可能”
なものとし、それ以外は省いています。
http://www.jnsa.org/result/2010/chusho_security_tebiki.html
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 49
手引書とＷＧの違い
手引書で省いたもの
（１）対象が紙・物に関するもの ※
（２）電源、空調等の設備管理に関するもの
（３）対策できないもの、対策が中小企業レベルでは
難しいもの
・経営者、システム管理者等の権限者の不正
・DoS攻撃
（４）個人情報保護に関するもの
手引書では参考
（５）委託管理に関するもの
資料を提示
（６）対策が教育・啓蒙になるもの
※ 手引書では記憶媒体、PCの持ち出し、廃棄などを盛り込んで
おり、紙についても同様なシーンのリスクの把握は可能
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 50
参考）紙の対策 ①
業務の中で扱う文書の洗い出し
参照
文書取扱のレベル決め
取扱方法の決定
・保管方法
・取扱者/責任者
・持ち出し方法
自社の文書管理規程
不足するときは規程
へのフィードバック
業務手順への盛り込み
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 51
参考）紙の対策 ②
保管方法のポイント
ちょっとしたファイングの方法でミス防止
・書類の混在を防止するファイリングの単位
・ラベルやカラーによる見た目での間違い防止
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 52
手引書の体系 ①
「第1部情報セキュリティ管理策」
「第2部業務に基づく情報セキュリティ対策」
の二部から構成
第１部はＩＳＭＳ的に管理策を中心に整理
第２部は業務ベースに整理
手引書では、この２つを結びつけている
（手引書の第１部は第２部をベースに整理）
→ 中小企業が苦手とするＩＳＭＳアプローチと業務
からのアプローチを結びつけることで、リスク認識
をし易く！
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 53
手引書の体系 ②
「第1部情報セキュリティ管理策」
青字は情報システム管理の観点
1.
2.
3.
4.
5.
6.
7.
8.
9.
セキュリティ境界と入退室管理
認証と権限
ウイルス及び悪意のあるプログラムに対する対策
パッチの適用
バックアップ
ログの取得
記憶媒体の管理
暗号化
アプリケーションの利用
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 54
手引書の体系 ③
「第1部情報セキュリティ管理策」
青字は情報システム管理の観点
10.
11.
12.
13.
14.
15.
16.
17.
18.
電子メールの利用
外部サービスの利用
ネットワークのアクセス制御
クリアデスク・クリアスクリーン
変更管理
構成管理
障害・事故管理
容量・能力の管理
Webの開発・管理
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 55
手引書の体系 ④
1.セキュリティ境界と入退室管理
(1)管理目的
情報と情報機器への許可されていないアクセスを
防止するため
(2)管理策
① 情報と情報機器のある場所を保護するため、門、
入口、壁、仕切り等の物理的な境界を設定する
② 設定された境界を越える権限を許可された者
のみに与え、許可されないアクセスを防止する
ために、境界にカード制御による入口、守衛等の
設備を設置する
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 56
手引書の体系 ⑤
(3)運用で心がけるポイント
① 退職、人事異動に伴う、アクセス権限の見直し
を行う
② 定期的に入退室記録を確認する
(4) 関連する管理項目
認証と権限、クリアデスク・クリアスクリーン
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 57
手引書の体系 ⑥
「第2部業務に基づく情報セキュリティ対策」
「出社」、「社内業務」、「社外業務」、「退社」、「帰宅」、
「システム管理業務」の６種類、６２業務
出社
社内業務
社外業務
退社
帰宅
システム管理業務
１業務
３１業務
１２業務
１業務
２業務
１５業務
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 58
手引書の体系 ⑦
業務No.2
セキュリティエリアへのアクセス
情報を処理・ ■建物・部屋・エリア □キャビネット □机上 □PC □サーバー
保存するた □ネットワーク □アプリケーション □記憶媒体(USBメモリー他)
めの実体
□プリンター □FAX □コピー機 □携帯電話 □電子機器(ＩＣレ
コーダー、カメラ他) □外部のサービス（ファイル交換サービス等）
影響
■機密性 ■完全性 ■可用性 □適法性
脅威の要因
□システム管理者(本人) □システム管理者(本人外)
□従業員(本人) ■従業員(本人外) ■訪問者 □外部
□偶発的要因
実施責任者
□システム管理者 ■業務・人事管理者 □従業員
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 59
手引書の体系 ⑧
セキュリティの対策の目的情報と情報機器への許可されていないアクセスを防止
するため
現状のセキュリティレベル
取り扱う情報の重要度に応じたエリア分けをしていない
リスクシナリオ
許可されていない者がセキュリティエリアに入り権限のな
い情報を閲覧する
技術的対策
取り扱う情報の重要度に応じたエリア分けをし、システ
ム的(入退室管理システム)にエリア管理(入退室管理
)をする
人的対策
取り扱う情報の重要度に応じたエリア分けをし、ルール
等でエリア管理(入退室管理)をする
運用で心がけるポイント
・エリア(室)のアクセス権限表に退職者、人事異動が
反映されているか確認する
・エリア入退(入退室)カードの確認及び棚卸を行う
備考
関連する管理策：1.セキュリティ境界と入退室管理 ①,② 2.認証と権限 ③,④
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 60
[参考]具体的な業務からの
アプローチ案
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 61
電気店で電気製品購入（１）
例：エアコンを購入
お客様
店舗
購入伝票
お客様
情報
店舗
顧客管理システム
ﾌｧｲﾘﾝｸﾞ・氏名、住所、電話番号、
メールアドレス
・購買情報
工事伝票
出荷指示
店舗外
工事業者
・氏名、住所、電話番号
配送業者
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 62
電気店で電気製品購入（２）
例：エアコンを購入
お客様
現場確認連絡
工事業者
店舗外
配送業者
・電話番号
工事業者
お客様
配送、工事事前連絡
店舗外
配送業者
・電話番号
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 63
電気店で電気製品購入（３）
例：エアコンを購入
店舗外
工事業者
お客様
配送業者
受け取り
工事完了
受け取り
工事完了
顧客管理システム
店舗
・氏名、住所、電話番号、
メールアドレス
・購買情報
・配送、工事記録
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 64
情報格納先と業務からの想定リスクの洗い出し ①
最終的に業者側に残った情報
想定リスク
保存先
形式
情報内容
業務
顧客管理
システム
電子
住所、氏名、電
話番号、メール
アドレス、購買記
録
共有サーバの
利用
誤入力
サーバの管理
業務
障害後の
復旧不可
購入伝票
受け取り
工事完了
紙
紙
配送、工事電子
担当者の
携帯電話
住所、氏名、電
話番号、決済情
報、
住所、氏名、電
話番号
業務
不正アクセス
想定リスク
書類の保管
紛失
書類の廃棄
不正持ち出
し
氏名、電話番号
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
誤廃棄
Page 65
情報格納先と業務からの想定リスクの洗い出し ②
一時的に外部に持ち出す情報
保存先
形式
工事見積り
受け取り
工事完了
紙
配送、工事
担当者の
携帯電話
電子
情報内容
住所、氏名、電
話番号
氏名、電話番号
業務
想定リスク
公共の場での
電話使用
電話紛失、
電話番号の
漏洩
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 66
洗い出したリスクと管理策の検討 ①
最終的に事業者側に残った情報
保存先
形式
情報内容
リスク
顧客管理
システム
電子
住所、氏名、電話番アクセス権限のなアクセス時の
号、メールアドレス、い者による不正ア認証とアクセ
購買記録
クセス、情報の漏ス権限管理
洩
購買伝票
紙
住所、氏名、電話番誤廃棄、不正持ち鍵付ロッカーで
号、決済情報
出しによる情報のの保管
漏洩
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
管理策
Page 67
洗い出したリスクと管理策の検討 ②
最終的に事業者側に残った情報
保存先
形式
情報内容
リスク
管理策
工事見積り書紙
受け取り
工事完了
住所、氏名、電話
番号
誤廃棄、不正持ち鍵付ロッカーで
出しによる情報のの保管
漏洩
配送、工事
担当者の
携帯電話
氏名、電話番号
紛失による情報の登録の禁止、
漏洩
リダイヤルの削
除の目視確認
電子
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 68
洗い出したリスクと管理策の検討 ③
一時的に外部に持ち出す情報
保存先
形式
情報内容
リスク
管理策
工事見積り
受け取り
工事完了
紙
住所、氏名、
電話番号
紛失による情報の
漏洩
当日分のみの
持ち出し
配送、工事
担当者の
携帯電話
電子
氏名、電話番
号
紛失による情報の
漏洩
登録の禁止
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 69
業務手順にセキュリティ要素の盛り込み ①
業務の作業チェックリストを作成し、その中にセキュリ
ティ要素を盛り込む
チェックリストに登録時の
チェックについて盛り込み
顧客管理システム
お客様
店舗
購入
伝票お客様
情報
・氏名、住所、電話番号、
メールアドレス
・購買情報
例：書類と登録内容に差異
がないことを確認したか
店舗外
店舗
工事
伝票
出荷
指示
工事業者
・氏名、住所、電話番号
配送業者
チェックリストに持出しに
ついて盛り込み
例：持ち出す書類を確認し、必要の
ない書類は持ち出していないか
業者と受け渡し確認を実施したか
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 70
業務手順にセキュリティ要素の盛り込み ②
業務の作業チェックリストを作成し、その中にセキュリ
ティ要素を盛り込む
お客様
現場確認連絡
工事業者
店舗外
配送業者
・電話番号
お客様
配送、工事事前連絡
工事業者
配送業者
・電話番号
店舗外
チェックリストに携帯電話へ
の電話番号の登録につい
て盛り込み
例：電話帳に登録していない、
リダイヤルを消去したこと
を確認したか
携帯はリモートロック、
リモートワイプか定期的に
確認したか
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 71
第二次
情報ｾｷｭﾘﾃｨﾁｪｯｸｼｰﾄＷＧ
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 72
9to5手引書と
情報セキュリティチェックシート
との紐づけ
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 73
情報セキュリティチェックシートとの紐付け ①
情報セキュリティチェックシートと手引書との紐付け
管理策
No.
キーワード
付属書A他
手引書業務No.
9-5紐付け
トラブル事象例
無し
機密性、完全性、可用性のバランス
を取ったシステムの利用方針がない
と全てのトラブルに発展する可能性
がある
1,2,21
責任の明確化ができていないとトラ
ブル時の対処が遅れたり、事後の対
処が的確に出来ない等の可能性が
ある
システム管理基準 Ⅰ.情報戦略　1.全体最適化(1),(6)
1 情報セキュリティ方針 A.5.1.1 情報セキュリティ基本方針文書
A.5.1.2 情報セキュリティ基本方針のレビュー
2 責任の明確化
システム管理基準 Ⅰ.情報戦略　2.組織体制
2.1(1),2.2(1)
A.6.1.1 情報セキュリティに対する経営陣の責任
A.6.1.2 情報セキュリティの調整
A.6.1.3 情報セキュリティ責任の割当て
A.6.1.4 情報処理設備の認可プロセス
A.6.1.6 関係当局との連絡
A.6.1.7 専門組織との連絡
A.6.1.8 情報セキュリティの独立したレビュー
A.8.1.2 選考
A.8.1.3 雇用条件
A.8.2.1 経営陣の責任
A.8.2.3 懲戒手続き
A.8.3.1 雇用の終了又は変更に関する責任
A.8.3.2 資産の返却
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 74
情報セキュリティチェックシートとの紐付け ②
情報セキュリティチェックシートと手引書のそれぞれの特徴
・情報セキュリティチェックシートはＩＳＭＳベースのため、
手引書の第１部より範囲が広い
・情報セキュリティチェックシートのトラブル事象は、知識、
経験が少ない中小企業の方にとって、管理策からトラ
ブル事象が結びつきにくい
・手引書の第２部は、現状のセキュリティレベルとリスク
シナリオがあり、業務に潜むリスクが理解しやすいが、
リスクの把握、対策がポイント的になる
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 75
情報セキュリティチェックシートとの紐付け ③
情報セキュリティチェックシートと手引書との紐付けが
できると、何が良いのか．．．．
・ＩＳＭＳ管理策ベースの情報セキュリティチェックシートの
網羅性を活かす
・情報セキュリティチェックシートのトラブル事象が、業務
ベースのリスクシナリオと結びつくことで、リスクについ
て、理解しやすい
・情報セキュリティチェックシートでは対策欄の記載レベル
が不十分なため公開していないが、手引書と結びつく
ことで管理策の対策を理解しやすい
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 76
紐付け作業から。。
・9to5ではアルゴリズム化が困難な以下を別扱い
・管理策ベースの情報セキュリティチェックシート
では対象
・体制つくり
・法律、規定、ルールの適合性
・モラル、ルールの定着のための教育、訓練
紐付作業から、これらに関する項目は特別扱いに！
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 77
脅威と脆弱性
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 78
脅威と脆弱性について再考
目的
対策ベースの情報セキュリティチェックシート
各対策の目的を脅威、脆弱性から再確認
9to5での脅威と脆弱性の取り扱い
脅威->記載はなし
脆弱性->現状のセキュリティレベル
インシデント->リスクシナリオ
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 79
脅威と脆弱性を再考する作業で．．
紐付作業で特別扱いにした項目中心に…
脅威、脆弱性って何！
例えば
・情報セキュリティ基本方針
・手続き（ルール）
・監査
脅威、脆弱性はなにか。。
脅威環境の変化（システム変更、働き方の変化）
脆弱性変化に追随できない
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 80
対策状況により脅威が変わる？
情報セキュリティポリシー、手続き（ルール）があるところ
-> 環境の変化が脅威
情報セキュリティポリシー、手続き（ルール）がないところ
-> 脅威は?
不正ソフト対策の場合は．．．
アンチウィルス対策の有無は関係なく脅威はマルウェア
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 81
脅威って？ ①
ISO27005 情報セキュリティリスクマネジメント
ISO27005における脅威の分類
■脅威の区分（大項目） ■脅威（中項目）
物理的損傷
自然現象
重要なサービスの喪失
放射による妨害
火災
水害
汚染
大事故
機器や媒体の破壊
粉塵、腐食、凍結
気候
地震
火山活動
気象現象
洪水
空調・給水システムの故障
電力供給の停止
電気通信機器の故障
電磁放射
熱放射
電磁パルス
Ａ：偶発的なもの
Ｄ：故意によるもの
E：環境的なもの
原因
A D E
○ ○ ○
○ ○ ○
○ ○ ○
○ ○ ○
○ ○ ○
○ ○ ○
○
○
○
○
○
○ ○
○ ○ ○
○ ○
○ ○ ○
○ ○ ○
○ ○ ○
AnnexC(Examples of typical threats)より
ISO27005における脅威の分類
■脅威の区分（大項目） ■脅威（中項目）
情報を危うくすること
危険にさらされている干渉信号の傍受
（ケーブル類からの漏えい電磁波を傍受）
遠隔スパイ行為
（サーバへのクラッキング行為）
盗聴
（スニファーを使ったパケットの傍受、
無線LANの電波傍受）
媒体や文書の盗難
機器の盗難
再利用又は廃棄した媒体からの復元
漏洩
信頼できない情報源からのデータ
ハードウェアの改ざん
ソフトウェアの改ざん
（ネットワーク機器のファーム改ざん）
位置検知
技術的な故障
機器の故障
機器の誤動作
情報システムの飽和
ソフトウェアの誤作動
情報システムの保守に関する違反
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
原因
A D E
○
○
○
○
○
○
○ ○
○ ○
○
○ ○
○
○
○
○ ○
○
○ ○
Page 82
脅威って？ ②
ISO27005における脅威の分類
■脅威の区分（大項目） ■脅威（中項目）
認可されていない行為
機能を危うくすること
認可されていない機器の使用
ソフトウェアの不正コピー
海賊版又は不正コピーソフトウェアの使用
データの破壊
データの違法な処理
使用時のミス
権限の乱用
権限の詐称
（ユーザが管理者になりすますなど）
アクションの拒否
（自分の職務を拒否する事で、システムに
影響を与える事）
要員の可用性に関する違反
（不審ファイルをクリックしてウイルス感染、
誤操作でサービスを停止させたなど）
原因
A D E
○
○
○ ○
○
○
○
○ ○
○
○
○ ○ ○
情報セキュリティポリシー、ルールは全ての脅威への対策
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 83
情報セキュリティフレームワーク
情報セキュリティポリシー、職務分掌、ルール、監査など
情報セキュリティフレームワークを支える対策
計画(Plan)
ISMSの確立
実行(Do)
ISMSの導入
及び運用
ISMSの維持
及び改善
処置(Act)
ISMSの監視
及びレビュー
点検（Check）
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 84
特別扱いの項目と脅威、脆弱性
情報セキュリティポリシー、職務分掌、ルール、監査など
は、情報セキュリティのフレームワークを支える対策
・役割（職務分掌）がなければ、組織だった対策を進める
ことができない
・情報セキュリティポリシー、ルールがなければ、場当たり
な運用しかできない
・監査はフレームワークの要素、監査（チェック）がなけれ
ば変化に対応できない
特別扱いの項目は「ないことによる弊害」を示すことが、
有効ではないか．．．．
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 85
２００５年からスタートした活動
9to5
情報セキュリティチェックシート
集大成
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 86
各ツールの位置付け
•Why: 9to5 (出社してから退社するまで中小企業の情報
セキュリティ対策実践手引き略称)
– リスクの認識
共通
– セキュリティ対策
ISO27001/27002
•How:情報セキュリティチェックシート
:2005
– 現状の把握
– セキュリティ対策
– PDCAを回す
•What:JNSAソリューションガイド
– 具体的な製品、サービスの選定
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 87
9to5の対象者
•企業のシステム管理者
•システム管理を外注している管理者
•中小企業を指導するITコーディネータ、IT企業
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 88
9to5の目的
•中小企業の業務に伴うリスクが認識できる
•中小企業が具体的なリスク対策が行える
•情報の洗い出し無でセキュリティ対策が可能
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 89
9to5の構成
• 導入部
– 1.概要
– 2.本ガイドライの対象企業
– 3.本ガイドラインの対象読者
– 4.本ガイドラインの使用方法
• 第1部
– 21の情報セキュリティ管理項目(2011年版：18)
• 第2部
– 69業務に基づく情報セキュリティ対策例
(2011年版：62)
• 付録
• 参考資料 http://www.jnsa.org/seminar/nsf/2014kansai/
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
公開予定
Page 90
9to5の第１部
本手引き管理項目
1.セキュリティ境界と入退室管理
2.クラウドサービスの利用
3.障害・事故管理
4.IT継続性
5.認証と権限
6.ネットワークのアクセス制御
7.パッチの適用
8.ウイルス及び悪意のあるプログラムに対する対策
9.記憶媒体の管理
10.スマートデバイスの利用
11.電子メールの利用
12.Webの開発・管理
13.ログの取得
14.バックアップ
15.容量・能力の管理
16.変更管理
17.構成管理
18.SNSの利用
19.暗号化
20.アプリケーションの利用
21.クリアデスク・クリアスクリーン
ISMS-ISO/IEC27001:2005-付属書A　対応管理策
A.9.1.1,A.9.1.2
A.10.2.1
A.13.1.1,A.13.1.2,A.13.2.2
A.14.1.1,A.14.1.2,A.14.1.3,A.14.1.4,A.14.1.5
A.11.2.1,A11.2.2,A.11.2.4,A.11.5.1,A.11.5.2,A.11.5.3,A.11.6.1
A.11.4.2,A.11.4.3,A.11.4.5,A.11.4.6,A.11.4.7
A.12.6.1
A.10.4.1,A10.4.2
A.10.7.1,A10.7.2
A.9.2.5,A11.7.1,A.11.7.2
A.10.8.4
A.10.9.1,A.10.9.2,A10.9.3
A.10.10.1,A.10.10.2,A.10.10.3,A.10.10.4,A.10.10.5,A.10.10.6
A.10.5.1
A.10.3.1
A.10.1.2,A12.5.1
A.7.1.1,A.12.4.1
A.10.8.4
A.12.3.1,A.12.3.2
A.11.3.3
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 91
9to5の第2部
•出社
1業務(2011年版：1業務)
•社内業務 31業務(2011年版：31業務)
•社外業務 15業務(2011年版：12業務)
•退社
1業務(2011年版：1業務)
•帰宅
4業務(2011年版：2業務)
•システム管理業務
15業務(2011年版：15業務)
Copyright (c) 2000-2011 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 92
9to5の活用方法
参考資料
暗号アルゴリズ等
具体的な
対策を提示
第2部
業務に基づく情報
セキュリティ対策例
第1部
情報セキュリ
ティ管理策
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 93
[参考]9to5 活用事例
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 94
[参考]9to5 活用事例
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 95
[参考]9to5 活用事例
5.認証と権限
(1)管理目的
情報と情報機器への許可されていないアクセスを防止するため
(2)管理策
①入館・入室設備、PC(BIOS、OS)、サーバー、ネットワーク、アプリケーション、スマートデバイス（スマートフォン、タブレット）、
携帯電話等にアクセスするための個人及びプログラムを認証する仕組みを構築・設定する
②認証には、ワンタイムパスワード、二段階、IDカード、デバイス(ハードウェアトークン、ICカード、USBキー等)、パスワード、
バイオメトリックス(指紋認証、静脈認証等)等及びこれらの組み合わせ(複数要素認証)の第三者が簡単に悪用できない
仕組みを用いる
③認証のためのユーザIDは個人を特定できるように付与する
④ユーザIDは職務権限に応じた、情報と情報機器へのアクセス権限を付与する
⑤特権は、システム管理者、業務の管理者等特別の職務権限を持った者だけに付与する
⑥パスワード(9)は例えば「12文字以上に設定し、
大文字、小文字、数字、特殊文字の4つを組み合わせ、
3カ月に1度変更する」
(以降「」をパスワードポリシーとする)とする。
(3)運用で心がけるポイント
①退職、人事異動に伴う、ユーザID、アクセス権限の見直しを行う
②アクセスする情報の重要度、情報機器のある場所及び情報にアクセスする場所により認証の強度を検討する
(4)関連する管理項目
セキュリティ境界と入退室管理、アプリケーションの利用、電子メールの利用、ネットワークのアクセス制御、Webの開発・管
理、クラウドの利用、SNS、スマートデバイスの利用
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 96
[参考]9to5 活用事例
(9)Japan Vulnerability Notes
「共通セキュリティ設定一覧CCE概説 (パスワード編)」
http://jvndb.jvn.jp/apis/myjvn/cccheck/cce_password.html
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 97
[参考]9to5 活用事例
第１部
本手引き管理項目
1.セキュリティ境界と入退室管理
2.クラウドサービスの利用
3.障害・事故管理
4.IT継続性
5.認証と権限
管理策
①
②
③
①
②
③
①
②
③
①
②
③
①
②
③
④
⑤
⑥
第２部
業務No.
1,.2,22,30,65
1,.2,22,30
3
25,26,28
24,25,26,28
60
59
59
57
1,4,12,21,30,37,44,45,51
4,21,24,45
1,2,3,5,21,45
1,2,21
21
6
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 98
情報セキュリティチェックシートの利用目的
・現状における対策レベルを確認
・リスク度に応じた適切な対策を導く
認識した業務における起こりうるリスクを念頭に、
現状の対策状況を確認
情報セキュリティチェックシート 2008年版改版
9to5、ソリューションガイドとの関連付け、それに伴う内容の見直し、
構成の見直し、以下に公開
http://www.jnsa.org/seminar/nsf/2014kansai/
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 99
情報セキュリティチェックシートの構成①
２つの階層上位層（９項目）と下位層（１８項目）
-上位層
９項目
リスクとは関係なく、情報セキュリティ対策を持続的に
行うためのフレームワーク
9to5では前提条件
サッカーだって
・体制（役割、責任）
・日本サッカー協会
各チーム、FIFA
・ルール
・協会のﾙｰﾙ、FIFAﾙｰﾙ
・文書化
・実施状況の確認など・ﾙｰﾙの文書、通達
情報セキュリティ特有なこと
ではない！
・各ﾁｰﾑのﾙｰﾙ遵守確認
ｸﾗﾌﾞﾗｲｾﾝｽ制債務確認
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 100
情報セキュリティチェックシートの構成②
-上位層
９項目
1.情報セキュリティ基本方針
2.責任の明確化
3.職務の分離
4.委託先の管理
5.情報資産管理台帳
6.規程の文書化とレビュー
7.法令順守
8.秘密保持
9.情報セキュリティの確認
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 101
情報セキュリティチェックシートの構成③
-下位層
１８項目
情報セキュリティ対策とシステム管理
ISO27001管理策、システム管理基準（一部）ベース
1.セキュリティ境界と入退出管理
10.スマートデバイス New!
2.クラウドサービスの利用 New!
11.電子メールの利用
3.障害・事故管理
12.Webの開発管理
4.IT継続性
13.ログの取得
5.認証と権限
14.バックアップ
6.ネットワークのアクセス制限
15.容量・能力の管理
7.パッチの適用
16.変更管理
8.ウイルス及び悪意のあるプログラム
に対する対策
17.構成管理
9.記憶媒体の管理
18.SNSの利用 New!
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 102
上位層の利用ポイント①
No.
キーワード
管理目的
持続可能な計画に必要なフレームワークが確立
されていないことのリスク
1 情報セキュリティ基本経営陣の情報セキュ・組織としての情報セキュリティの取り組みがない
方針
リティへの取り組み、ため、取引先からの信頼を失う
方向性を明確化し全・個人毎に情報セキュリティ対策の遵守が異な
組織がそれを共有しり、対策が不十分なところで事故を起こしてしまう
同じレベルで情報セ
キュリティに取り組む
ため
判断基準
確認内容
・経営陣の情報セキュリティの取り組み方針を含む情報セキュリ
ティ対策指針、基準の有無
・情報セキュリティ対策指針、基準の組織内、組織外への明示
の有無
・組織を取り巻く環境に合わせた情報セキュリティ基本方針の見
直し有無
対策の参考となる
サービス/製品
JNSAソリューションガイド
①経営方針の中に情報セキュリティに関する記載が無い
・セキュリティ基本方針の
②経営方針の中に記載しており、社内にしか明示していない
立案・維持(管理項目)
③経営方針の中に記載しており、社外にも明示している
④経営方針の中に記載し、社内外に明示しており、環境の変化
に合わせて方針を見直している
キーワード
対策項目を一言で…
管理目的
対策の目的を明記
No.
キーワード
管理目的
持続可能な計画に必要なフレームワークが確立
されていないことのリスク
1 情報セキュリティ基本経営陣の情報セキュ・組織としての情報セキュリティの取り組みがない
方針
リティへの取り組み、ため、取引先からの信頼を失う
方向性を明確化し全・個人毎に情報セキュリティ対策の遵守が異な
組織がそれを共有しり、対策が不十分なところで事故を起こしてしまう
同じレベルで情報セ
キュリティに取り組む
ため
フレームワークがないことによる
情報セキュリティ対策推進への
弊害を解説
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 103
上位層の利用ポイント②
No.
キーワード
管理目的
持続可能な計画に必要なフレームワークが確立
されていないことのリスク
1 情報セキュリティ基本経営陣の情報セキュ・組織としての情報セキュリティの取り組みがない
方針
リティへの取り組み、ため、取引先からの信頼を失う
方向性を明確化し全・個人毎に情報セキュリティ対策の遵守が異な
組織がそれを共有しり、対策が不十分なところで事故を起こしてしまう
同じレベルで情報セ
キュリティに取り組む
ため
判断基準
確認内容
・経営陣の情報セキュリティの取り組み方針を含む情報セキュリ
ティ対策指針、基準の有無
・情報セキュリティ対策指針、基準の組織内、組織外への明示
の有無
・組織を取り巻く環境に合わせた情報セキュリティ基本方針の見
直し有無
判断基準
①経営方針の中に情報セキュリティに関する記載が無い
・セキュリティ基本方針の
②経営方針の中に記載しており、社内にしか明示していない
立案・維持(管理項目)
③経営方針の中に記載しており、社外にも明示している
④経営方針の中に記載し、社内外に明示しており、環境の変化
に合わせて方針を見直している
確認内容
・経営陣の情報セキュリティの取り組み方針を含む情報セキュリ
ティ対策指針、基準の有無
・情報セキュリティ対策指針、基準の組織内、組織外への明示
の有無
・組織を取り巻く環境に合わせた情報セキュリティ基本方針の見
直し有無
現状評価の基準を明記
対策の参考となる
サービス/製品
JNSAソリューションガイド
対策の参考となる
サービス/製品
JNSAソリューションガイド
①経営方針の中に情報セキュリティに関する記載が無い
・セキュリティ基本方針の
②経営方針の中に記載しており、社内にしか明示していない
立案・維持(管理項目)
③経営方針の中に記載しており、社外にも明示している
④経営方針の中に記載し、社内外に明示しており、環境の変化
に合わせて方針を見直している
4段階での成熟度モデルで
現状確認内容を明記
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
具体的に対策
を検討するさい
の参照先
Page 104
下位層の利用ポイント①
No.
キーワード
管理目的
対策をしていないことによる
トラブル事象例
1 セキュリティ境界と入退室情報と情報機器への許可され・従業員以外が従業員になりすまし入館する
管理
ていないアクセスを防止する・重要な情報を扱うエリア(室)への入退室記録が無
ため
く、情報漏えい発生時、誰がいつエリア(室)に入退し
たのかわからない
・許可されていない者がセキュリティエリアに入り権
限のない情報を閲覧する
・共有サーバーにアクセス権限を持たない者が直接
サーバーにログインし、情報を閲覧する
・訪問者が重要な情報を閲覧する
・ホワイトボードの消し忘れにより、重要な情報を訪
問者が閲覧する
・会議室に置き忘れた書類を訪問者が社外に持ち
出す
No.
キーワード
確認内容
判断基準
9-5紐付け
・社内におけるセキュリティ境界の識別、アクセスコントロールポ
リシーの有無
・セキュリティ領域の設定有無
例）執務エリアと一般人立ち入り可能な場所の分離
サーバールームと執務エリアの分離
・定期的なポリシー、セキュリティ境界の見直しの有無
①セキュリティ設計・ゾーン管理をしていない
②セキュリティ設計・ゾーン管理はしているが、アクセスコントロールポリシーに基づ
いたセキュリティ設計・ゾーン管理ではない
③アクセスコントロールポリシーに基づいたセキュリティ設計・ゾーン管理をしている
④アクセスコントロールポリシーに基づいたセキュリティ設計・ゾーン管理をしてお
り、定期的にポリシー、設計・ゾーン管理を見直している
・人の入退館、入退室の確認の有無
・入退館、入退室のログ・記録の有無
・定期的な入退館、入退室対策の見直しの有無
①個人を識別した入退管理をしていない
1 入館
②個人を識別した入退管理をしているが、入退に関するログ・記録は残していない 22 共有サーバーの利用2【物理的アクセス】
③個人を識別した入退管理をしており、入退に関するログ・記録も残している
30 訪問者との打ち合わせ1【訪問者の識別】
④個人を識別した入退管理をしており、入退に関するログ・記録も残している。さら
に定期的に入退管理方法を見直している
管理目的
2 セキュリティエリアへのアクセス1【エリア分け】
3 セキュリティエリアへのアクセス2【入退出記録】
22 共有サーバーの利用2【物理的アクセス】
30 訪問者との打ち合わせ1【訪問者の識別】
31 訪問者との打ち合わせ2【会議室の使用】
対策の参考となる
サービス/製品
JNSAソリューションガイド
情報セキュリティポリシーおよび情報セキュリ
ティ管理全般のコンサルテーション(サービス）
入退出管理を行いたい（利用シーン）
対策をしていないことによる
トラブル事象例
1 セキュリティ境界と入退室情報と情報機器への許可され・従業員以外が従業員になりすまし入館する
管理
ていないアクセスを防止する・重要な情報を扱うエリア(室)への入退室記録が無
ため
く、情報漏えい発生時、誰がいつエリア(室)に入退し
たのかわからない
・許可されていない者がセキュリティエリアに入り権
限のない情報を閲覧する
・共有サーバーにアクセス権限を持たない者が直接
サーバーにログインし、情報を閲覧する
・訪問者が重要な情報を閲覧する
・ホワイトボードの消し忘れにより、重要な情報を訪
問者が閲覧する
・会議室に置き忘れた書類を訪問者が社外に持ち
出す
キーワード
対策項目を一言で…
管理目的
対策の目的を明記
9to5の第1部の各管理項目
と同じ
対策をしていないことにより、おこり
うる情報セキュリティ上のトラブル、
インシデントを解説
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 105
下位層の利用ポイント②
No.
キーワード
管理目的
対策をしていないことによる
トラブル事象例
1 セキュリティ境界と入退室情報と情報機器への許可され・従業員以外が従業員になりすまし入館する
管理
ていないアクセスを防止する・重要な情報を扱うエリア(室)への入退室記録が無
ため
く、情報漏えい発生時、誰がいつエリア(室)に入退し
たのかわからない
・許可されていない者がセキュリティエリアに入り権
限のない情報を閲覧する
・共有サーバーにアクセス権限を持たない者が直接
サーバーにログインし、情報を閲覧する
・訪問者が重要な情報を閲覧する
・ホワイトボードの消し忘れにより、重要な情報を訪
問者が閲覧する
・会議室に置き忘れた書類を訪問者が社外に持ち
出す
確認内容
判断基準
9-5紐付け
・社内におけるセキュリティ境界の識別、アクセスコントロールポ
リシーの有無
・セキュリティ領域の設定有無
例）執務エリアと一般人立ち入り可能な場所の分離
サーバールームと執務エリアの分離
・定期的なポリシー、セキュリティ境界の見直しの有無
①セキュリティ設計・ゾーン管理をしていない
②セキュリティ設計・ゾーン管理はしているが、アクセスコントロールポリシーに基づ
いたセキュリティ設計・ゾーン管理ではない
③アクセスコントロールポリシーに基づいたセキュリティ設計・ゾーン管理をしている
④アクセスコントロールポリシーに基づいたセキュリティ設計・ゾーン管理をしてお
り、定期的にポリシー、設計・ゾーン管理を見直している
2 セキュリティエリアへのアクセス1【エリア分け】
3 セキュリティエリアへのアクセス2【入退出記録】
22 共有サーバーの利用2【物理的アクセス】
30 訪問者との打ち合わせ1【訪問者の識別】
31 訪問者との打ち合わせ2【会議室の使用】
・人の入退館、入退室の確認の有無
・入退館、入退室のログ・記録の有無
・定期的な入退館、入退室対策の見直しの有無
①個人を識別した入退管理をしていない
1 入館
②個人を識別した入退管理をしているが、入退に関するログ・記録は残していない 22 共有サーバーの利用2【物理的アクセス】
③個人を識別した入退管理をしており、入退に関するログ・記録も残している
30 訪問者との打ち合わせ1【訪問者の識別】
④個人を識別した入退管理をしており、入退に関するログ・記録も残している。さら
に定期的に入退管理方法を見直している
対策の参考となる
サービス/製品
JNSAソリューションガイド
情報セキュリティポリシーおよび情報セキュリ
ティ管理全般のコンサルテーション(サービス）
入退出管理を行いたい（利用シーン）
確認内容
判断基準
・社内におけるセキュリティ境界の識別、アクセスコントロールポ
リシーの有無
・セキュリティ領域の設定有無
例）執務エリアと一般人立ち入り可能な場所の分離
サーバールームと執務エリアの分離
・定期的なポリシー、セキュリティ境界の見直しの有無
①セキュリティ設計・ゾーン管理をしていない
②セキュリティ設計・ゾーン管理はしているが、アクセスコントロールポリシーに基づ
いたセキュリティ設計・ゾーン管理ではない
③アクセスコントロールポリシーに基づいたセキュリティ設計・ゾーン管理をしている
④アクセスコントロールポリシーに基づいたセキュリティ設計・ゾーン管理をしてお
り、定期的にポリシー、設計・ゾーン管理を見直している
・人の入退館、入退室の確認の有無
・入退館、入退室のログ・記録の有無
・定期的な入退館、入退室対策の見直しの有無
①個人を識別した入退管理をしていない
②個人を識別した入退管理をしているが、入退に関するログ・記録は残していない
③個人を識別した入退管理をしており、入退に関するログ・記録も残している
④個人を識別した入退管理をしており、入退に関するログ・記録も残している。さら
に定期的に入退管理方法を見直している
現状評価の基準を明記
４段階での成熟度モデルで
現状確認内容を明記
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 106
下位層の利用ポイント③
No.
キーワード
管理目的
対策をしていないことによる
トラブル事象例
1 セキュリティ境界と入退室情報と情報機器への許可され・従業員以外が従業員になりすまし入館する
管理
ていないアクセスを防止する・重要な情報を扱うエリア(室)への入退室記録が無
ため
く、情報漏えい発生時、誰がいつエリア(室)に入退し
たのかわからない
・許可されていない者がセキュリティエリアに入り権
限のない情報を閲覧する
・共有サーバーにアクセス権限を持たない者が直接
サーバーにログインし、情報を閲覧する
・訪問者が重要な情報を閲覧する
・ホワイトボードの消し忘れにより、重要な情報を訪
問者が閲覧する
・会議室に置き忘れた書類を訪問者が社外に持ち
出す
確認内容
判断基準
9-5紐付け
・社内におけるセキュリティ境界の識別、アクセスコントロールポ
リシーの有無
・セキュリティ領域の設定有無
例）執務エリアと一般人立ち入り可能な場所の分離
サーバールームと執務エリアの分離
・定期的なポリシー、セキュリティ境界の見直しの有無
①セキュリティ設計・ゾーン管理をしていない
②セキュリティ設計・ゾーン管理はしているが、アクセスコントロールポリシーに基づ
いたセキュリティ設計・ゾーン管理ではない
③アクセスコントロールポリシーに基づいたセキュリティ設計・ゾーン管理をしている
④アクセスコントロールポリシーに基づいたセキュリティ設計・ゾーン管理をしてお
り、定期的にポリシー、設計・ゾーン管理を見直している
・人の入退館、入退室の確認の有無
・入退館、入退室のログ・記録の有無
・定期的な入退館、入退室対策の見直しの有無
①個人を識別した入退管理をしていない
1 入館
②個人を識別した入退管理をしているが、入退に関するログ・記録は残していない 22 共有サーバーの利用2【物理的アクセス】
③個人を識別した入退管理をしており、入退に関するログ・記録も残している
30 訪問者との打ち合わせ1【訪問者の識別】
④個人を識別した入退管理をしており、入退に関するログ・記録も残している。さら
に定期的に入退管理方法を見直している
情報セキュリティポリシーおよび情報セキュリ
ティ管理全般のコンサルテーション(サービス）
入退出管理を行いたい（利用シーン）
対策の参考となる
サービス/製品
JNSAソリューションガイド
9-5紐付け
2 セキュリティエリアへのアクセス1【エリア分け】
3 セキュリティエリアへのアクセス2【入退出記録】
22 共有サーバーの利用2【物理的アクセス】
30 訪問者との打ち合わせ1【訪問者の識別】
31 訪問者との打ち合わせ2【会議室の使用】
9to5の第2部と関連を明記
本対策が不十分なとき、具体的な
業務に潜むリスクの確認先
2 セキュリティエリアへのアクセス1【エリア分け】
3 セキュリティエリアへのアクセス2【入退出記録】
22 共有サーバーの利用2【物理的アクセス】
30 訪問者との打ち合わせ1【訪問者の識別】
31 訪問者との打ち合わせ2【会議室の使用】
対策の参考となる
サービス/製品
JNSAソリューションガイド
情報セキュリティポリシーおよび情報セキュリ
ティ管理全般のコンサルテーション(サービス）
具体的に対策を検討するさいの
参照先
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 107
判断基準、成熟度モデル
レベル４対策が有効か、確認を行う
レベル３リスクを鑑み、ルールに基づき
対策に取り組む、より確実に
対策に取り組む
レベル２とりあえず手をうった
レベル１なにもしていない
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 108
対策立案時の参照先
成熟度モデルで現状把握、対策はどうすれば？
今回の変更で、参照先を明記
・ＪＮＳＡソリューションガイド
http://www.jnsa.org/JNSASolutionGuide/IndexAction.do
・JNSAすぐに使える情報セキュリティお役立ちツール
http://www.jnsa.org/ikusei/form/05_00.html
中小企業情報セキュリティ対策促進事業にあわせて
開設したサイト、基本的な解説もあり
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 109
情報セキュリティチェックシートから始める
PDCAサイクルのCで利用する
チェックシート
チェックシート
業務に潜むリスクを把握したい方
9to5から、自分たちの仕事のやり方に潜むリスクを
認識、チェックシートで現状把握、対策検討
体系的にセキュリティ対策を行いたい方
チェックシートからリスクを認識、対策検討
9to5を参考に、業務のリスクをイメージする
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 110
その他、考えたこと
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 111
情報セキュリティのＶ字構成
人・組織対策
ガバナンス
方向付け
モニタリング
マネージメント
ポリシー
監査
コントロール
実装
運用
システム対策
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 112
PDCAサイクルが確立
・情報ｾｷｭﾘﾃｨ対策を推進する体制が確立
- 経営者から方向付けが明確、ﾓﾆﾀﾘﾝｸﾞ、評価の
実施
- 方向付けに基づきﾏﾈｰｼﾞﾒﾝﾄ、ｺﾝﾄﾛｰﾙが確立
・ﾘｽｸｱｾｽﾒﾝﾄが行われている
・ﾘｽｸｱｾｽﾒﾝﾄ結果に基づき対策が行われている
・対策状況の確認を行い、課題を整理し改善につな
げている
人・組織対策
ガバナンス
方向付け
モニタリング
マネージメント
ポリシー
コントロール
実装
監査
運用
システム対策
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 113
PDCAサイクルが確立している企業の課題
変化への対応ができているか
・ビジネスの拡大、技術革新により、新たなＩＴ活用や
組織の拡大化
→ 拡大した組織での対策の浸透、適用が漏れる
→ 新たな脅威、新たな脆弱性に対応できない
これに対応するには？
・組織の拡大化
-> 導入済の情報セキィリティポリシー、対策の浸透、
適用状況のﾁｪｯｸにより是正
・新たな脅威、脆弱性の登場
-> 第三者視点(外部の目線）で確認
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 114
PDCAサイクルが未確立
・情報ｾｷｭﾘﾃｨ対策を推進する体制がない。
- 経営者から方向付けがあやふや
- 方向付けはあるがﾏﾈｰｼﾞﾒﾝﾄ、ｺﾝﾄﾛｰﾙがない
・ﾘｽｸｱｾｽﾒﾝﾄは行っていない
・なんとなく対策を行っている
×
PDCAｻｲｸﾙがない
人・組織対策
ガバナンス
方向付け？
モニタリング？
マネージメント
ポリシー？
監査？
コントロール
実装？
運用？
システム対策
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 115
PDCAサイクルが未確立の企業の課題
自社の現状を把握できているか
・自社の情報資産に対する脅威と脆弱性を把握できない
・必要な対策、効率的な対策ができない
・部門毎に対策にばらつき、組織全体では脆弱である
これに対応するには？
・情報セキュリティチェックシートを利用
・情報セキュリティチェックシートにより、現状把握
「C」から始める情報セキュリティ
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 116
各ツールの対象
9to5
チ
ェ
ッ
ク
シ
ー
ト
ソ
リ
ュ
ー
シ
ョ
ン
ガ
イ
ド
西日本支部 2008年度活動成果物「中小企業の情報セキュリティ対策支援 WG活動報告書」より
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 117
Ｖ字構成とその他のチェックリスト
人・組織対策
ガバナンス
方向付け
モニタリング
評価リスト
マネージメント
ポリシー
監査
監査リスト
コントロール
実装
運用
システム対策
確認リスト
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 118
コントロールの確認管理者目線
確認したいこと
・対策を適用できているか
対策を止める、対策を回避・無視
・対策の効果を証明できているか
インシデントを検知、発生していない
・対策が維持できているか
アップデートを止める、アップデートを回避・無視
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 119
コントロールの確認管理者目線
確認対象
・システムログ
ネットワークログ、サーバログ、ＰＣログ
・ダッシュボード
管理画面
・人
ヒアリング
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 120
コントロールの確認管理者目線
確認契機
・定期的
対策により異なる
毎日、毎週、毎月
・不定期
イベント時（アップデート、キャンペーン）
インシデント時
確認者
・システム管理者
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 121
コントロールの確認管理者目線
判断基準と事後対応
・問題ありとみなす基準
問題レベルとエスカレーションレベル
パッチ適用未 → 当事者と上司
マルウェア感染 → 情報セキュリティ委員会
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 122
コントロールの確認業務目線
確認したいこと
・セキュリティに絡む手続きを適用できているか
手続きを回避・無視
・セキュリティに絡む手続きの効果を証明できているか
手続き違反を検知、手続きを遵守
・セキュリティに絡む手続きが維持できているか
手続きを回避・無視
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 123
コントロールの確認業務目線
確認対象
・人
業務（業務シーン）手順書＆チェックシート
ヒアリング
・ダッシュボード
管理画面
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 124
コントロールの確認業務目線
確認契機・確認者
・業務（業務シーン）の度
担当者がチェック
・定期的
管理職がチェック
毎日、毎週、毎月
・不定期
管理職がチェック
イベント時（業務監査前）
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 125
コントロールの確認業務目線
判断基準と事後対応
・問題ありとみなす基準
問題レベルとエスカレーションレベル
持ち出し外部媒体へ非暗号で情報格納
→ 当事者と上司
持ち出し外部媒体の紛失
→ 情報セキュリティ委員会
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 126
確認リストを日々の運用でまわすために
人がチェック
人がエビデンスを残す
非現実的
・業務負荷
・チェック負荷
・チェックすることは本業ではない
システム化し、人は本業に注力
Copyright (c) 2000-2014 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会
Page 127
ご清聴ありがとうございました。

Download Report