-
一般ユーザ向け
-
インターネットを安全に利用するための情報セキュリティ対策9か条 【NISC・IPA】
- OS やソフトウェアは常に最新の状態にしておこう
- パスワードは貴重品のように管理しよう
- ログインID・パスワード絶対教えない用心深さ
- 身に覚えのない添付ファイルは開かない
- ウイルス対策ソフトを導入しよう
- ネットショッピングでは信頼できるお店を選ぼう
- 大切な情報は失う前に複製しよう
- 外出先では紛失・盗難に注意しよう
- 困ったときはひとりで悩まず まず相談
-
ネットワークビギナーのための情報セキュリティハンドブック(小冊子)【2016年02月02日NISC】⇒【2016年12月02日NISC】
-
目次
- 人物紹介
- おうちのCSIRTになってね
- Black Hat the Cracker
-
プロローグ サイバー攻撃ってなに?誰がやっているの?どんなことが起こるの?~サイバー攻撃のイメージ
-
S1. サイバー攻撃のイメージ
- S1. サイバー攻撃って誰がやっているの?どうするの?
- コラム:攻撃者とハッカーとクラッカー
- コラム:攻撃者が使う武器「マルウェア」
- どんな種類があるの?
- どんな機能を持つの?
- どんなものが感染したり、感染させたり、悪さするようになるのか
- S2. サイバー攻撃の例
- 偽サイトでのフィッシング詐欺や重要情報の不正送信
- ランサムウェアで身代金要求
- ボットネットに組み込まれる
- S3. サイバー関連の犯罪やトラブル
- なりすましや略取・誘拐(連れ去り)
- セクスティング
- ネットいじめ
- S4. 人の心の隙を突く「ソーシャルエンジニアリング」攻撃
- 「ソーシャルエンジニアリング」は現実でもネットでも心の隙を突いてだます
-
第1章 基本のセキュリティ~ステップバイステップでセキュリティを固めよう!
-
S1. 4つのポイントでセキュリティを守る
- P1. システムを最新に保つ。セキュリティソフトを入れて防ぐ
- 様々な段階でセキュリティを守る
- P2. 複雑なパスワードと多要素認証で侵入されにくくする
- P3. 攻撃されにくくするには侵入に手間(コスト)がかかるようにする
- 守りを何重にもして侵入されにくくする
- P4. 心の隙を作らないようにする(対ソーシャルエンジニアリング)
-
S2. 環境を最新に保つ、セキュリティソフトを導入する
- P1. セキュリティソフトを導入して守りを固めよう
- 単純なウイルス検知ソフト
- 進化したセキュリティソフト(ふるまい検知、ヒューリスティック分析)
- 手配書が間に合わないゼロディ攻撃も
- P2. パソコン本体とセキュリティの状態を最新に保とう
- 本体もOSもセキュリティソフトも重要ソフトもアップデート
- P3. スマートフォンやネットワーク機器も最新に保とう
- アプリやセキュリティソフトの更新は基本的に自動にし、まめにチェック
- ネットにつながる家電もファームウェア更新、設定ページのID・パスワードは変更しておくこと
- P4. ソフトやアプリは信頼できる場ところ所から。権限にも気をつける
- 不審な場所からアプリをインストールしない。権限に気をつける
- コラム:必要ならばスマホにはセキュリティパックを検討しよう
- 必要性を感じるなら、スマホにはセキュリティパック導入を検討しよう
- スマホの改造をしてはいけません
- スマート家電の中にはパソコンやスマホがある?
- コラム:パソコンやスマホを最新の状態に保っても防げない攻撃がある。それがゼロディ攻撃!
- ゼロディ攻撃とは? 対処の例
- ゼロディ攻撃に対抗するには?
-
S3. 複雑なパスワードと多要素認証で侵入されにくくする
- P1. パスワードの安全性を高める
- パスワードは少なくとも英大文字小文字+数字+記号で10桁
- P2. パスワードの使い回しをしない
- 同じパスワードを使い回さない。似たパスワード、法則性のあるパスワードは×
- P3. パスワードを適切に保管する
- パスワードを使用する場所に置かない。パソコンの中も×
- パスワードはノートに書いて保管するか、パスワード管理アプリで守る
- ブラウザの自動入力にパスワードを覚えさせない
- P4. 秘密の質問にはまじめに答えない。多要素や生体認証を使う
- 秘密の質問にはまじめに答えない。答えは使い回さない
- 多要素認証やログイン通知でセキュリティを向上
- コラム:パスワードはどうやって漏れるの?どう使われるの?
- 様々なID・パスワードの抜き取り方法
- 盗んだID・パスワードを使い様々なサービスを乗っ取れるか試す
-
S4. 攻撃されにくくするには、手間(コスト)がかかるようにする
- 攻撃されにくくするには手間がかかるようにする
- 金銭目的ではない攻撃にも備えよう
- 攻撃者に操られて内側から鍵を開けてしまわないように心がまえを持とう
-
S5. 心の隙を作らないようにする(対ソーシャルエンジニアリング)
- 古典的なソーシャルエンジニアリング
- デジタル世代のソーシャルエンジニアリング
- 標的型メールの例
- フィッシングメールの例
- 悪意はないが拡散してしまう例
- コラム:軍事スパイ、産業スパイに狙われてしまったら
- 職業スパイにはコストによる防御が効かない
- スパイ活動の今昔
- コラム:映画「ザ・ハッカー」にみるソーシャルエンジニアリング
- コラム:スパムメールとその由来
-
第2章セキュリティを理解して、ネットを安全に使う
-
S1. パスワードを守る、 パスワードで守る
- P1. パスワードってなに?
- P2. 3種類の「パスワード」を理解する
- 1を「PINコード」
- 2を「ログインパスワード」
- 3を「暗号キー」
- P3. 「PI Nコード」と「ログインパスワード」に求められる複雑さの違い
- P4. 「暗号キー」に求められる複雑さ
- P5. どちらの「パスワード」か、わかりにくい例
- トピック:パスワードを破る手段は色々
- ブルートフォース攻撃(総当たり攻撃)
- リスト型攻撃(アカウントリスト/パスワードリスト攻撃)
- 辞書攻撃(ディクショナリアタック)
- P6. 総当たり攻撃以外のパスワードを破る攻撃や生体認証を使った防御
- トピック:多要素認証の構成要素は?
- ①知っているもの
- ②持っているもの
- ③本人自身に関するもの
- トピック:指紋認証が破られることも…
- P7. パスワードの定期変更は必要なし。流出時は速やかに変更する
- P8. パスワード流出時の便乗攻撃に注意
- P9. 厳重なパスワードの保管
- トピック:ブラウザにはパスワード保存しない
- トピック:パスワード管理方法の例
- トピック:パスワード管理方法のメリットデメリット
- P10. パスワード情報をクラウドで利用する善し悪し
- P11. ノートやスマホを失くした場合のリカバリ考察
- P12. 次善の策のソーシャルログイン。二段階認証などで防御
- P13. ソーシャルログインで連携される情報に注意
- トピック:ソーシャルログインに使えるアカウント
- 二段階認証
- ログイン通知
- トピック:ソーシャルログインとサービス・アプリ連携の違い
- ソーシャルログイン
- アプリ・サービス連携
- トピック:アプリなどの連携は定期的に棚卸ししよう
- P14. ソーシャルログインとは性格が違うサービス連携
- コラム:暗号化の超簡単説明
- トピック:暗号化ってなに?
- 平文での通信は読めてしまう
- 暗号化の魔法は内容を読めなくする
- 暗号化したものを送れば攻撃者が読めない
- 事前に決めておいた方法(暗号化方法)と呪文(「暗号キー」)で暗号文を復元(復号)する
- トピック:暗号が破られる場合
- 暗号化方法の種類はいろいろ
- 暗号破られ① 呪文がバレている!
- 暗号破られ② 方法が古くて解読可能!
- 暗号破られ③ 呪文が簡単すぎて解読される
-
S2. 通信を守る、無線LANを安全に利用する
- P1. それぞれの状況に合わせた暗号化の必要性
- トピック:それぞれの状況に合わせた暗号化
- 通信の暗号化
- ファイルの暗号化
- P2. 無線LAN通信(Wi-Fi)の構成要素
- トピック:暗号を使う無線LANの構成要素
- トピック:公衆無線LANが安全とは限らない
- トピック:「暗号キー」共有は接続しちゃダメ
- P3. 暗号化なしや、方式が安全ではないものは危険
- P4. 暗号化方式が安全でも「暗号キー」が漏れれば危険
- P5. 家庭内での安全な無線LANの設定(暗号化方式
- P6. 家庭内での安全な無線LANの設定(その他
- トピック:家庭でのWi-Fiの利用
- ①出荷時の管理者パスワード、「暗号キー」の変更
- ②「暗号キー」は家族のヒミツ
- ③ルータと機器の安全な運用
- P7. 公衆無線LAN の安全な利用
- P8. 個別の「暗号キー」を用いる方式の無線LAN
- P9. 公衆無線LAN に関して新規に購入したスマホなどで行うこと
- トピック:公衆無線LAN通信の表示の意味
- ①スマホやパソコンの画面から見た無線LAN暗号化
- ②詳細な区分けから見た無線LAN暗号化
- トピック:新しいスマホを購入したら…
- P10. 公衆無線LAN が安全ではない場合の利用方法
- P11. 自前の暗号化による盗聴対策
- P12. まとめて暗号化するVPN、現状は過信できないが今後に期待
- トピック:様々な場所から安全なアクセスを可能にするVPN新しいスマホを購入したら…
- ①詳細なVPNのイメージ
- ②簡単なVPNのイメージ
-
S3. ウェブを安全に利用する、暗号化で守る
- P1. 無線LAN の暗号化とVPNの守備範囲
- トピック:それぞれの暗号化の守備範囲
- ①無線LANの暗号化
- ②VPNによる暗号化
- ③ウェブ、メールの暗号化
- ④VPN+ウェブメールの暗号化
- P2. 全ての通信と、その一部であるウェブの通信
- P3. httpsで始まる暗号化通信にはどんなものがあるか
- P4. より厳格な審査の「EVSSL証明書
- P5. 「EV-SSL証明書」を持つサイトを見分ける方法
- P6. 有効期限が切れた証明書は拒否する
- P7. 他にも証明書に関する警告が出るサイトは接続しない
- P8. ウェブサービスのログインは二段階認証などを使う
- トピック:httpsの暗号化通信で情報を守る
- 個人情報の入力は基本的には……
- トピック:攻撃者が不正に取得した証明書に注意
- トピック:証明書の内容をチェックする
- P9. 二段階認証を破る「中間者攻撃」
- トピック:間に入ってなりすます中間者攻撃の例
- ①中間者攻撃で二段階認証が破られる例
- ②中間者攻撃で二段階認証が破られにくい例
- トピック:ウェブを使ったサイバー攻撃の例
- ①メール等による感染
- ②水飲み場攻撃による感染
- P10. ウェブを使ったサイバー攻撃に対応する
-
S4. メールを安全に利用する、暗号化で守る
- P1. メールにおける暗号化
- P2. スパムメールの嵐と、メールの暗号化
- P3. 受信側も暗号化で保護
- P4. メールにおける暗号化の守備範囲
- トピック:メールの送受信は暗号化されているか
- メールソフトやアプリが暗号化(SSL)利用になっているか?
- トピック:しかしSSLの通信は自分のサーバまで
- トピック:暗号化している同じサービスを利用する
- P5. 暗号化から見たウェブメールの利用と、同一サービス内の暗号化
- P6. 怪しいメールとはなにか.. .
- P7. マルウェア入りの添付ファイルに気をつける
- トピック:ウェブメールの送受信は暗号化されているか
- トピック:怪しいメールとはなにか
- ①仕事のメールを装う
- ② 銀行、カード会社、ECサイト、プロバイダ関係を装うメール
- トピック:本当の仕事仲間のメールでも攻撃は来る
- P8. メールアドレスのウェブサービスなどからの流出
- P9. 流出・スパム対策としての、変更可能メールアドレスの利用
- P10. 通信の安全と永続性を考えたSNSやメールの利用
- トピック:マルウェア入りファイルの偽装
- トピック:メールアドレスを変えてスパムメールから逃げる
-
S5. データファイルを守る、暗号化で守る
- トピック:データの暗号化は保険
- トピック:データを持ち運ぶときは必ず暗号化メディアを使う
- トピック:「暗号キー」が1個の方式(共通鍵暗号方式)
- トピック:「暗号キー」が2個の方式(公開鍵暗号方式)
- コラム:クラウドサービスからのデータ流出。原因は?
-
第3 章 スマホ・パソコンのより進んだ使い方やトラブルの対処の仕方
-
1. スマホのセキュリティ設定.. .
- 1 スマホにはロックをかけよう。席において離れたり、人に貸したりするのは×
- 2 情報漏れを防ぐ①
- 3 情報漏れを防ぐ②
- 4 スムーズな機種変更と、予期せぬデータ流出の防ぎ方
- 5 防水機能を過信してデータを失わないように
- コラム:GPS、位置情報、ジオタグの管理
-
2. パソコンのセキュリティ設定..
- 1 パソコンを買ったら初期設定などを確実に
- 2 暗号化機能等でセキュリティレベルを高める
- 3 マルウェア感染に備え、バックアップ体制を整える
- 4 売却や廃棄するときはデータを消去する
- 5 盗難や紛失のとき、スマホとパソコン、どっちが安全?
- コラム:ダブルラインでトラブルに備える
-
3. 屋外・海外でのネットワーク利用..
- 1 一見なにもないように見えて、危険がいっぱい
- 2 インターネットカフェの利用
-
4. それでも攻撃を受けてしまったときの対処..
- 1 兆候に気をつけて被害が出たら対処
- コラム:究極の防御手段「ネットにつながない」エアギャップ
- 有線でも無線でも、つながっていないパソコンにはマルウェアは感染しない
- しかし、USBメモリを介して感染することも
- ネットに接続していなくても、少量のデータであれば盗める
- オンラインで銀行口座が狙われるなら
- インターネットバンキングを止めるという手も
- コラム:無料ということの意味は何か
- 試食サービスのコストの例
- 無料ウェブサービスの例
- 無料の公衆無線LANサービスの例
-
第4章 被害に遭わないために、知らない間に加害者にならないために
-
1. 攻撃者に乗っ取られるとこんなことが起こる
- 1 被害に遭わない、そして加害者にならないために
- 2 盗まれた情報は犯罪に使われる
- 3 乗っ取られた機器はサイバー攻撃に使われる
- 4 IoTも乗っ取られる。知らずにマルウェアの拡散も…
-
2. サイバー関連でやってはいけないこと
- 1 アニメ・マンガ・音楽の違法なシェア。パクリなどの著作権侵害
- 2 ゲームの不正行為。恋人や家族でもプライバシーは守る
- 3 クラッキングはクールじゃない!
- コラム:モラルを逸脱すると炎上を生む
- モラルを逸脱することが炎上を生む
- 自作自演やアオリ行為、嘘の書き込み
-
第5 章 自分を守る、家族を守る、災害に備える
-
1. SNSやネットとのつきあい方、守り方
- 1 SNSやネットの楽しみと気をつけること
- 2 SNSやネットの怖さ、こんなことが実際に起こっている
- 略取
- ストーカー
- 犯罪勧誘
- ネットいじめ
- リベンジポルノ・デジタルタトゥー
- 3 SNSやネットとのつきあい方の基本
- 個人情報は基本的に公開しない
- 会ったことがない人とむやみに友だちにならない
- 現実世界で会おうとする人を警戒する。出会い系に近づかない
- 個人が特定される情報はSNSなどに投稿しない
- 4 存在するデータは流出することがある。流出したら消すことは難しい
- コラム:SNSや学校裏サイトを使ったいじめに備える(いじめ経験者からのアドバイス)
- コラム:デマに踊らされない! ソースを探せ! 確かめよう!
-
2. デジタルテクノロジーで家族を守る.. .
- 1 子ども達を守る
- 2 お年寄りを守る
-
3. 大災害やテロに備える..
- 1 まずは自分の身の安全を確保する
- 2 電池をもたす、情報収集をする
- 3 ラジオ、ワンセグを使った情報収集
- 4 徒歩帰宅。海外での災害やテロに備えて
- コラム:屋外でのゲームを安全に楽しむ
- 5 ネットを使わない移動トレーニング(現代オリエンテーリング)
- コラム:デジタル遺産相続
-
エピローグ 来たるべき新世界
- 1 ネットの「今」と、どう守っていくか
- 2 デジタルネイティブと未来
- 3 バーチャル空間を超えて世界へ
- 4 おわりに
- 用語集.
-
情報セキュリティ関連サイト一覧
- 情報セキュリティ関連のサイト
- 海外旅行関連のサイト
- 災害時関連のサイト
- 災害時関連のサイト
- いじめ対策関連
- Twitterアカウント
- アプリ(Android、iOS)
- その他
- 索引..
-
マンガで学ぶサイバーセキュリティ【NISC】【初心者向け】
-
スマートフォンのセキュリティ
-
注意点
- 最近ではパソコンだけでなく、スマートフォンでも悪意のあるウイルスが横行している
- ウイルス感染は「無料のアプリ」からが多い
- OSやアプリのバージョンが古いままだと、ウイルス感染の危険性あり
-
対策
- スマートフォンへのウイルス対策ソフトの導入を検討しよう
- アプリの詳細、提供企業やレビューを確認し、信頼できるサイトからアプリをダウンロードしよう
- OSやアプリは常に最新のバージョンにアップデートしよう
-
豆知識
- 最近ではマンガのような、画面をロックしてお金を要求するウイルス(ランサムウェアと呼ぶ)が流行している
- スマートフォンだけでなく、PCも被害が出ているので注意しよう
- 迷惑メールの添付ファイルを実行すると、ウイルスに感染してしまうこともあるため、注意しよう
-
無線LANのセキュリティ
-
注意点誰でも接続できる無線LANのアクセスポイントの中には、悪意をもって設置されているものがある
- 悪意をもって設置されたアクセスポイントに接続すると、通信内容を見られてしまうことがある
- インターネット接続業者が提供している公衆無線LANでも、通信が暗号化などで保護されていないものがあり、通信内容が傍受されるおそれがある
-
対策
- 不審な公衆Wi-Fiには接続しない
- 公衆Wi-Fiに接続する場合は、出来るだけ暗号化された、信頼できるWi-Fiを利用しよう
-
豆知識
- ファイル共有機能をONにして公衆Wi-Fiに接続すると、同じWi-Fiにつないでいる人からデータが見られてしまう
- 公衆Wi-Fiを使う場合は、設定に注意しよう
- 自宅のWi-Fiにはきちんとパスワードをかけ、知らない人が接続できないようにしよう
-
インターネット上の詐欺
-
注意点
- インターネット上には、ネットショッピングやインターネットバンキング等を利用する上で、お金に関する詐欺が存在する
- ユーザを巧妙な偽サイト(フィッシングサイト)に誘導して騙す手法も増加している
- 安易にjメールを信用してUrlや添付ファイルを開くと、偽物のサイトに飛んでしまったり、ウイルスに感染してしまうことがある
-
対策
- ウェブサイトのURLやメール所送付先が正規のものか、注意深く確認しよう
- 言語がカタコトだったり。連絡先が書いていないなど、疑わしいサイトは利用しない
-
豆知識
- フィッシングサイトでは銀行のウェブサイトを模倣して、インターネットバンキングのIDやパスワードを盗むものも多く存在するため、注意しよう。
-
SNSの利用上の注意
-
注意点
- SNSでは、悪意のあるユーザが、女性などの画像を使用してなりすまし、接触を図ってくることがある
- 悪意のあるユーザは「直接会おう」などと接近してくることもあり、犯罪に巻き込まれることもある
-
対策
- 見知らぬユーザとは、コンタクトをとらない
- 「会おう」などと誘われても絶対に会わない
-
豆知識
- 見知らぬ人が接触してくるのは、悪事を目的としていることが多い
- 見知らぬ人が写真や住所、電話番号など、個人情報を要求してくることもあるが、決して応じないこと
- 知り合いに成りすまして接近してくることも有るので、知っている人だからと言って油断しない
-
基礎知識|国民のための情報セキュリティサイト【総務省】
-
インターネットを使ったサービス|基礎知識|国民のための情報セキュリティサイト【総務省】
- インターネットって何?
- インターネットの仕組み
- ホームページの仕組み
- 電子メールの仕組み
- ブログの仕組み
- 電子掲示板の仕組み
- SNS(ソーシャルネットワーキングサービス)の仕組み
- チャットの仕組み
- メーリングリストの仕組み
- ショッピングサイトの仕組み
- ネットオークションの仕組み
- インターネットバンキングの仕組み
- クラウドサービスとは?
- スマートフォンとは?
- 無線LANの仕組み
-
どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト【総務省】
- ウイルスとは?
-
ウイルスの感染経路と主な活動
- ウイルスの感染経路
- ウイルスの主な活動
-
不正アクセスとは?
- ホームページやファイルの改ざん
- 他のシステムへの攻撃の踏み台に
- 詐欺等の犯罪
- 事故・障害
- 脆弱性(ぜいじゃくせい)とは?
- 情報発信に関するトラブル
-
インターネットの安全な歩き方|基礎知識|国民のための情報セキュリティサイト【総務省】
-
IDとパスワード
- 認証の仕組みと必要性
- 設定と管理のあり方
- ウイルスに感染しないために
- 不正アクセスに遭わないために
- 詐欺や犯罪に巻き込まれないために
- 事故・障害への備え
- 情報発信の心得
-
情報セキュリティ関連の技術|基礎知識|国民のための情報セキュリティサイト【総務省】
- ファイアウォールの仕組み
- 暗号化の仕組み
- SSLの仕組み
- ファイル共有ソフトとは?
-
情報セキュリティ関連の法律・ガイドライン|基礎知識|国民のための情報セキュリティサイト
- 法律違反の事例
- 刑法
- サイバーセキュリティ基本法
- 著作権法
- 電気通信事業法
- 電子署名及び認証業務に関する法律
- 電子署名に係る地方公共団体の認証業務に関する法律
- 電波法
- 特定電子メールの送信の適正化等に関する法律
- 不正アクセス行為の禁止等に関する法律
- 有線電気通信法
-
一般利用者の対策|国民のための情報セキュリティサイト【総務省】
-
基本的な対策
- ソフトウェアを最新に保とう
-
ウイルス対策をしよう
- ウイルス対策ソフト
- 記憶媒体からのウイルス感染
- ホームページ閲覧の危険性
- パスワードの設定と管理
- フィッシング詐欺に注意
- ワンクリック詐欺に注意
- 無線LANの安全な利用
- 機器の廃棄
- 個人に関する情報の取扱い
- プライバシー情報の取扱い
- サポート期間が終了するソフトウェアに注意
- サーバ証明書の切り替えによる影響について
-
インターネット上のサービス利用時の脅威と対策
-
【インターネット】
- ホームページ閲覧における注意点
- ネットオークションにおける危険性
- ショッピングサイトの利用
- インターネットバンキングの注意点
- SNS利用上の注意点
- クラウドサービス利用上の注意点
- 動画配信サイトなどの注意点
- オンラインゲームの注意点
-
【電子メール】
- ウイルス添付メールなどへの対応
- 迷惑メールへの対応
- チェーンメールの問題点
- メールの誤送信
-
【情報機器】
- 家族共用パソコンの注意点
- 携帯電話・スマートフォン・タブレット端末の注意点
- ゲーム機の注意点
- インターネット対応機器(家電、記憶媒体等)の注意点
-
【その他】
- ファイル共有ソフトの利用とその危険性
-
情報発信の際の注意
- 著作権侵害に注意
- 個人情報の公開の危険性
- ネットを使ったいやがらせや迷惑行為
- 発信内容は慎重に
-
事故・被害の事例
- 事例1:資料請求の情報が漏洩した
- 事例2:私の名前で誰かがメールを
- 事例3:ホームページを見ただけで・・・
- 事例4:猛威!デマウイルス
- 事例5:メールが他人に読まれている?
- 事例6:ネットストーカーに注意
- 事例7:ウイルス対策はしていたはずなのに・・・
- 事例8:送った覚えがないのに・・・
- 事例9:オークションの商品が届かない
- 事例10:メールの儲け話に注意
- 事例11:中古パソコンによるデータの漏洩
- 事例12:クレジットカード番号が盗まれた
- 事例13:ファイル共有ソフトが原因で・・・
- 事例14:ワンクリック詐欺に注意
- 事例15:自分の名前で勝手に書き込みが・・・
- 事例16:インターネットバンキングで情報が盗まれた
- 事例17:有名サイトからダウンロードしたはずなのに・・・
- 事例18:ブロードバンドルータから認証情報が盗まれた・・・
-
企業向け(特に中小企業)
-
中小企業の情報セキュリティ対策ガイドライン(第2版)【2016年11月15日IPA】
- 一式公開ページ
-
本文
-
経営者の皆様へ
- 情報セキュリティ対策は、経営に大きな影響を与えます!
- 経営者が自ら動かなければ、法的・道義的責任を問われます!
- 組織として対策するために、担当者への指示が必要です!
-
対象組織と想定する読者
- 経営者層・システム管理者層
- 対象組織
- 本ガイドラインは、業種を問わず中小企業及び小規模事業者(法人のほか、個人事業
主や各種団体も含む) 1を対象として作成されています。
- 想定読者
- 組織の経営者と、経営者の指示のもとで重要な情報を管理する方を読者と想定して
います。
-
全体解説
- (1)本ガイドラインの構成
- 本編2部と付録より構成
- (2)本ガイドラインの使い方
- ①経営者の方
- ②経営者の指示のもとで重要な情報を管理する方
- 【図3】情報セキュリティ対策の進め方
- Step1 まず始める
- 情報セキュリティ5か条
- Step2 現状を知り改善する
- 情報セキュリティ自社診断
- Step3 本格的に取り組む
- 情報セキュリティポリシーの策定
- Step4 改善を続ける
- 情報セキュリティ対策のさらなる改善に向けて
-
第 1部 経営者編
- 情報セキュリティ対策を怠ることで企業が被る不利益
- (1) 金銭の喪失
- 【表2】最近のサイバー攻撃等による情報漏えい等の経済的損失例
- 情報漏えい
- 教育サービス事業者で顧客の個人情報が3504件が漏えい(2014年)
- システム開発・運用を行っている委託先の再委託先社員による不正取得と名簿の売却
- 株式を公開している雑貨卸事業者でインターネット上の株主向けサービスに登録された株主の個人情報6187件(他社の株主個人情報含め12014件)が漏えいした(2015年)
- 運営委託先サービスサイトへの不正アクセス
- 航空会社の顧客の個人情報4131件が漏えいした(2014年)
- 菓子食品製造事業者で個人情報29999件が漏えいした(2015年)
- 国内半導体製造事業者の技術jに関する機密情報が韓国の同業者に漏えい(2014年)
- メガネ販売事業者でオンラインショップ顧客のクレジットカード情報2059件の漏えい(2013年)
- ウイルス感染
- 米国の病院で院内ネットワークで共有する電子カルテシステムがウイルスによる攻撃により動作しなくなり診療不能に(2016年)
- ランサムウェアに感染し、ファイルが暗号化されたため
- ウェブサイト改ざん
- 観光バス事業者のホームページが改ざんされ閲覧するとウイルスに感染する恐れ(2014年)
- (2) 顧客の喪失
- (3) 業務 の喪失
- (4) 従業員 への影響
- 経営者が負う責任
- (1) 経営者などに問われる法的責任
- ・個人情報
- ・他社から預かった秘密情報
- ・自社の秘密情報
- ・株価に影響を与える可能性のある未公開内部情報
- (2) 関係者や社会に対する責任
- ・営業停止、売上高の減少、企業イメージの低下などで、自社に損害をもたらずだけでなく、取引先に対する信頼関係の喪失、業界やサービス全体のイメージダウン
- 法令順守・顧客・取引先・従業員
- 経営者は何をすればよいか
- サイバーセキュリティ経営ガイドライン【2015年12月MEIT・IPA】の内容を中小企業向けに編集
- 経営者が認識する必要な「3原則」
- 原則1 情報セキュリティ対策は経営者のリーダシップのもとで進める
- さまざまな脅威がもたらすリスクに対する対策は、経営者が判断して意思決定し、自社の事業に見合った情報セキュリティ対策を実施します。
- セキュリティ対策をしないことによる損失、対策に要する投資、ITの利活用を推進することによる利益を勘案して判断
- セキュリティ対策をしないことによる損失>対策に要する投資
- ITの利活用を推進することによる利益>対策に要する投資
- 原則2 委託先における情報セキュリティ対策まで考慮する
- 自社同様に十分な注意を払い、必要に応じて委託先が実施している情報セキュリティ対策も確認
- 原則3 情報セキュリティに関する関係者とのコミュニケーションは、どんなときにも怠らない
- 普段から自社の情報セキュリティ対策や、事故が起きたときの対応について、関係者に明確に説明できるように経営者自身が理解し、整理しておくことが重要です。
- 企業が重要 として実施する「重要 7項目の取組」
- 取組1 情報 セキュリティ に関するリスクを認識し組織全体での対応方針を定める
- 「当社は中小企業の情報セキュリティ対策ガイドラインに基づき情報セキュリティ対策を実践する。」「当社は顧客情報の流出防止を徹底することから情報セキュリティ対策を開始する。」
- 取組2 情報セキュリティ対策を行うための資源(予約、人材など)を確保する
- 万が一事故(インシデント7)が起きてしまった場合、被害を最小限に止めるために、あらかじめ準備することも含みます。
- 取組3 情報セキュリティのリスクを把握し、どこまで情報セキュリティ対策を行うのかを定めたうえで担当者に実行させる
- 事業を行う上で見込まれる情報セキュリティのリスクを把握した上で、必要十分な対策を検討させます。検討した対策ごとに予算を与え、担当者を任命し、実行を指示します。
- 取組4 情報セキュリティ対策に関する定期的な見直しを行う
- 最初から最適な形で実現することはどんな会社でも難しいもの。また情報技術は進化が早く、加えて脅威も変化します。
- 取組5 業務委託する場合や外部ITシステムやサービスを利用する場合は、自社で必要と考える情報セキュリティ対策が担保されるようにする
- 契約書に情報セキュリティに関する相手先の責任や実施すべき対策を明記し、合意する
- 利用規約やサービスに付随する情報セキュリティ対策等を確認したうえで選定するよう担当者に指示する
- 取組6 情報セキュリティに関する最新動向を収集する
- 情報セキュリティに関する最新動向を発信している公的機関8などを把握しておき、常時参照することで、新たな脅威に備えるようにします。また、知り合いやコミュニティへの参加で情報交換を積極的に行い、得られた情報について、業界団体、委託先などと共有します。
- 取組7 緊急時の社内外の連絡先や被害発生時に行うべき内容について準備しておく
- 万が一のインシデントに備えて、緊急時の連絡体制を整備します。、経営者の対応についても、あらかじめ決めておけば、冷静で的確な対応が可能になります。
-
第 2部 管理実践編
- 情報セキュリティ管理の進め方
- 【図5】ガイドラインの使用方法
- 情報セキュリティ5か条
- 【表4】情報セキュリティ5か条
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
- 5分でできる!情報セキュリティ自社診断
- Part1 基本的対策
- Part2 従業員としての対策
- Part3 組織としての対策
- 情報セキュリティポリシーの策定
- (1)基本的な考え方
- ① 自社に適合したポリシーを策定
- 【図6】セキュリティポリシー文書構成
- ② 情報セキュリティリスクの大きなものから重点的に対策を実施
- 【図7】リスクの「保有」の考え方
- (2) ポリシー策定までの流れ
- 【図8】情報セキュリティポリシー策定までの流れ
- 手順1 情報資産台帳を作成する
- どのような情報資産があるか洗い出して重要度を判断する
- 機密性、完全性、可用性それぞれの評価値11を記入します(表6)。
- 機密性・完全性・可用性の評価値から重要度を判定します(表7)。
- 【表6】情報資産の機密性・完全性・可用性の評価基準
- 機密性・完全性・可用性→重要度
- 【表7】情報資産の重要度判断基準
- 付録の利用方法(手順1)
- 手順2 リスク値の算定
- リスク値=重要度(機密性×完全性×機密性)×被害発生可能性の合計(脅威の起きる可能性×脆弱性の大きさ)
- 【表9】リスク値の算定基準
- 【表10】脅威例に応じたリスクのレベル
- 付録の利用方法(手順2)
- 手順3 情報セキュリティ対策を決定(対策を決める)
- ア)リスクを低減する
- 自社で実行できる情報セキュリティ対策を導入ないし強化することで、脆弱性を改善し、事故が起きる可能性を下げます。
- イ)リスクを保有する
- 事故が発生しても許容できる、あるいは対策にかかる費用が損害額を上回る場合などは対策を講じず、現状を維持します。
- ウ)リスクを回避する
- 仕事のやりかたを変える、情報システムの利用方法を変えるなどして、想定されるリスクそのものをなくします。
- リスクを許容する
- 付録の利用方法(ツールA)
- 手順4 情報セキュリティポリシーを策定(対策をルールにする)
- 付録の利用方法(手順4)
- 【表11】情報セキュリティポリシーサンプル
- 1 組織的対策
- 2 人的対策
- 3 情報資産管理
- 4 マイナンバー対応
- 5 アクセス制御及び認証
- 6 物理的対策
- 7 IT機器利用
- 8 IT基盤運用管理
- 9 システムの開発及び保守
- 社内でシステム開発を行う場合
- 10 委託管理
- 業務委託を行う場合
- 11 情報セキュリティインシデント対応及び事業継続管理
- 12 社内体制図
- 従業員数2名以上
- 13 委託契約書サンプル
- 委託先と秘密情報や個人情報等の重要な情報の授受が発生する場合
- (3)委託時の情報セキュリティ対策
- (4)情報セキュリティ対策の実行
- ① 通常時の役割
- 経営者
- 管理者層
- 一般従業員
- ② 緊急時の対応
- ※しおり
- ① 緊急時の指揮命令と対応の優先順位の決定
- ② インシデントへの対応(インシデントレスポンス)
- ③ インシデントの影響と被害の分析
- ④ 情報収集と自社に必要な情報の選別
- ⑤ 社内関係者への連絡と周知
- ⑥ 外部関係機関との連絡
- (5)チェックと改善
- ① チェックの方法
- ② 改善の方法
- 情報セキュリティ対策のさらなる改善に向けて
- (1)情報セキュリティマネジメントサイクルによる継続的改善
- ISO/IEC27001 が定めているマネジメントシステム(管理のしくみ)の考え方の基本は、Plan(計画)、Do(実行)、Check(チェック)、Act(改善)の4段階の活動(PDCA サイクル13)を順に繰り返すことを通じて改善していくことにあります。情報セキュリティ対策で見ると、それぞれ次の活動に相当します。
- Plan:情報セキュリティ対策の計画立案または見直し
- Do:情報セキュリティ対策の実践
- Check:監査・点検による活動の有効性確認と経営者による必要な改善箇所の決定
- Act:改善の実施
- (2)情報セキュリティ対策に関する標準規格
- 付録3で示す対策は、中小企業でも取り組みやすいように情報セキュリティの国際規格であるISO/IEC 27002(情報セキュリティ管理策の実践のための規範)から抜粋し、解りやすい表現にしています。
- (3)情報セキュリティ監査・点検の実施
- 質問(ヒアリング):従業員や委託先の管理者などに直接質問して回答を求める
- 閲覧(レビュー):情報セキュリティポリシーの関連手続きで申請書などの帳票や、コンピュータのログ、設定内容など実行の証拠となるものを見て確認する
- 観察(視察):監査・点検者が現場に赴き、情報セキュリティ対策を行う当事者が情報セキュリティポリシーに従った行動をしていることを目視で確認する
- 技術診断:技術的対策の運用状況などについて、監査・点検者が自ら機器を操作することによって検証する(情報システムや社内ネットワークの脆弱性を確認するために、専用ソフトウェアを使い技術的な脆弱性を診断することもある)
- (4)改善の実施
- 経営者や管理者層での議論、検討を通じて、情報セキュリティポリシーや具体的な対策に関する従業員や関係者の理解を促し、不備を改善し、今後に向けた改善につなげていきます。
-
おわりに
- 標的型攻撃の巧妙化により、適切な対策を実施していても被害を完全に防ぐことが困難になる中、異常事態の発生を素早く検知し、被害を最小限に抑制するための体制が注目されるなど、対策面も変化しています。また、マイナンバー法の施行、個人情報保護法の改正などに伴い、企業規模を問わず情報セキュリティに対する社会的要請、法的責任が拡大し、中小企業においても情報セキュリティへの取り組みは優先課題となっています。
- 一方で、中小企業では依然として資金面や人材面での制約から情報セキュリティ対策の実施が難しいといわれており、実際の統計からも大企業に比較すれば対策が進んでいない傾向が認められます。
- 。こうした状況を踏まえ、近年、変化・増大する脅威に対する情報セキュリティ対策を、適切かつ有効なものとすることを目的として、本ガイドラインの初版の内容を抜本的に見直し、改訂版を作成することとしました。
- 中小企業は情報セキュリティ対策に十分な経営資源を割り当てることができないという不利を抱える一方で、経営者を含め「従業員の顔が見える」という有利な条件を備えています。
- 情報セキュリティの第一歩は、経営者が情報セキュリティの重要性を自ら認識し、そのことを従業員に伝え、従業員がその対策を行う意義を理解することです
- 。つまり、「従業員の顔が見える」ということは経営者が直接管理者・担当者に対策を指示することができ、対策の結果についても直接報告を受けることができるなど、大企業に比べて迅速に対応ができるという有利な条件を備えています。
- また、この特質を生かすことで、大企業では必要となるセキュリティ監視や情報共有のための設備が不要とできるため、大企業よりも費用をかけずに対策を実現することも可能です。
-
本書で用いてる語の説明
- インシデント
- (情報の)可用性
- (情報の)完全性
- (情報の)機密性
- クラウドサービス
- 個人情報
- サイバーセキュリティ
- CSIRT( シーサート、Computer Security Incident Response Team)
- 情報セキュリティ
- 情報セキュリティインシデント
- 情報セキュリティに関連した保険商品
- 情報セキュリティポリシー
- 情報セキュリティマネジメントサイクル
- ソーシャルエンジニアリング
- ランサムウェア
-
◦付録1:
-
情報セキュリティ5か条(全2ページ、721KB)pdf
- こんな情報があるはず!
- 従業員のマイナンバー、住所、給与明細
- お客様や取引先の連絡先一覧
- 取引先ごとの仕切り額や取引実績
- 新製品の設計図などの開発情報
- 組織の経理情報
- 取引先から取扱注意と言われた情報
- 漏れたら大変!こんなダメージが!
- 被害者への損害賠償などの支払い
- 取引停止、顧客の他社への流出
- ネットの遮断などによる生産効率のダウン
- 従業員の士気低下
- まずは始めてみよう
- ①OSやソフトウェアは常に最新の状態に使用!
- OSやソフトウェアのセキュリティ上の問題点を放置していると、それを悪用したウイルスに感染してしまう危険性があります。お使いのOSやソフトウェアに修正プログラムを適用する、もしくは最新版を利用しましょう。
- ②ウイルス対策ソフトを導入しよう!
- ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増えています。ウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)は常に最新の状態になるようにしましょう。
- ③パスワードを強化しよう!
- パスワードが推測や解析されたり、ウェブサービスから窃取したID・パスワードが流用されることで、不正にログインされる被害が増えています。パスワードは「長く」「複雑に」「使い回さない」ようにして強化しましょう。
- ④共有設定を見直そう!
- データ保管などのクラウドサービスやネットワーク接続の複合機の設定を間違ったため無関係な人に情報を覗き見られるトラブルが増えています。クラウドサービスや機器は必要な人にのみ共有されるよう設定しましょう。
- ⑤脅威や攻撃の手口を知ろう!
- 取引先や関係者と偽ってウイルス付のメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げてID・パスワードを盗もうとする巧妙な手口が増えています。脅威や攻撃の手口を知って対策をとりましょう。
-
◦付録2:
-
5分でできる!情報セキュリティ自社診断シート(全2ページ、417KB)pdf
- Part1 基本的対策
- 1.Windows Update※1 を行うなどのように、常にOS やソフトウェアを安全な状態にしていますか?
- 2.パソコンにはウイルス対策ソフトを入れてウイルス定義ファイル※2 を自動更新するなどのように、パソコンをウイルスから守るための対策を行っていますか?
- 3,パスワードは自分の名前、電話番号、誕生日など推測されやすいものを避けて複数のウェブサイトで使いまわしをしないなどのように、強固なパスワードを設定していますか?
- 4.ネットワーク接続の複合機やハードディスクの共有設定を必要な人だけに限定するなどのように、重要情報に対する適切なアクセス制限を行っていますか?
- 5.利用中のウェブサービス※3 や製品メーカーが発信するセキュリティ注意喚起を確認して社内共有するなどのように、新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?
- Part2 従業員としての対策
- 6.受信した不審な電子メールの添付ファイルを安易に開いたり本文中のリンクを安易に参照したりしないようにするなど、電子メールを介したウイルス感染に気をつけていますか?
- 7.電子メールを送る前に目視にて送信アドレスを確認するなどのように、宛先の送信ミスを防ぐ仕組みを徹底していますか?
- 8.重要情報をメールで送る時は重要情報を添付ファイルに書いてパスワード保護するなどのように、重要情報の保護をしていますか?
- 9.無線LAN を利用する時は強固な暗号化を必ず利用するなどのように、無線LAN を安全に使うための対策をしていますか?
- 10.業務端末でのウェブサイトの閲覧やSNS への書き込みに関するルールを決めておくなどのように、インターネットを介したトラブルへの対策をしていますか?
- 11.重要情報のバックアップを定期的に行うなどのように、故障や誤操作などに備えて重要情報が消失しないような対策をしていますか?
- 12.重要情報を机の上に放置せず書庫に保管し施錠するなどのように、重要情報の紛失や漏えいを防止していますか?
- 13.重要情報を社外へ持ち出す時はパスワード保護や暗号化して肌身離さないなどのように、盗難や紛失の対策をしていますか?
- 14.離席時にコンピュータのロック機能を利用するなどのように、他人に使われないようにしていますか?
- 15.事務所で見知らぬ人を見かけたら声をかけるなどのように、無許可の人の立ち入りがないようにしていますか?
- 16.退社時に机の上のノートパソコンや備品を引き出しに片付けて施錠するなどのように、盗難防止対策をしていますか?
- 17.最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所の施錠を管理していますか?
- 18.重要情報を廃棄する場合は、書類は細断したり、データは消去ツールを使ったりするなどのように、重要情報が読めなくなるような処分をしていますか?
- Part3 組織としての対策
- 19.クラウドサービスなど外部サービスを利用する時は利用規約やセキュリティ対策を確認するなどのように、サービスの安全・信頼性を把握して選定していますか?
- 20.社内外での個人所有のパソコンやスマートフォンの業務利用を許可制にするなどのように、業務で個人所有端末の利用の可否を明確にしていますか?
- 21.採用の際に守秘義務や罰則規定があることを知らせるなどのように、従業員に秘密を守らせていますか?
- 22.情報管理の大切さなどを定期的に説明するなどのように、従業員に意識付けを行っていますか?
- 23.契約書に秘密保持(守秘義務)の項目を盛り込むなどのように、取引先に秘密を守ることを求めていますか?
- 24.秘密情報の漏えいや紛失、盗難があった場合の対応手順書を作成するなどのように、事故が発生した場合に備えた準備をしていますか?
- 25.情報セキュリティ対策(上記1~24 など)を会社のルールにするなどのように、情報セキュリティ対策の内容を明確にしていますか?
- さらなる情報セキュリティ対策の検討するには
- 「5 分でできる!情報セキュリティ自社診断」の次のステップとして、ガイドラインを活用したポリシーの策定やベンチマークでの自己診断を実施してみよう。
- 中小企業の情報セキュリティ対策ガイドライン
- https://www.ipa.go.jp/security/keihatsu/sme/guideline/
- 情報セキュリティ対策ベンチマーク
- https://www.ipa.go.jp/security/benchmark/
- 自社診断シートで100 点満点を目指すには
- 「5 分でできる!情報セキュリティ自社診断パンフレット」のほか、以下のページで提供されている資料もより具体的な対策の検討に有用ですのでご活用ください。
- 情報セキュリティ対策支援サイトiSupport
- https://www.ipa.go.jp/security/isec-portal/
- 対策のしおり
- https://www.ipa.go.jp/security/antivirus/shiori.html
- 映像で知る情報セキュリティ
- https://www.ipa.go.jp/security/keihatsu/videos/
-
一般職員向け 情報セキュリティハンドブックひな形(全11ページ、444KB)PowerPoint
- 1 全社基本ルール
- OSとソフトウェアのアップデート
- ウイルス対策ソフトの導入
- パスワードの管理
- アクセス制限
- セキュリティに対する注意
- 独立行政法人情報処理推進機構((略称:IPA) 重要なセキュリティ情報
- http://www.ipa.go.jp/security/index.html
- JVN (Japan Vulnerability Notes)
- http://jvn.jp/index.html
- 一般社団法人 JPCERT コーディネーションセンター(略称:JPCERT/CC)
- https://www.jpcert.or.jp/
- 2 仕事中のルール
- 電子メールの利用
- インターネットの利用
- データのバックアップ
- クリアデスク・クリアスクリーン
- 重要情報の持ち出し
- 入退室
- 電子媒体・書類の廃棄
- 3 全社共通のルール
- 私有情報機器の利用
- クラウドサービスの利用
- 3 従業員のみなさんへ
- 従業員の守秘義務
- 事故が起きてしまったら
-
◦付録3:
-
<ツールA>リスク分析シート(全5シート、79KB)excel
- 情報資産台帳記入例
- 情報資産管理台帳
- 脅威の状況
- 書類
- 秘密書類の事務所からの盗難
- 秘密書類の外出先での紛失・盗難
- 情報搾取目的の内部不正による書類の不正持ち出し
- 業務遂行に必要な情報が記載された書類の紛失
- 可搬電子媒体
- 秘密情報が格納された電子媒体の事務所からの盗難
- 秘密情報が格納された電子媒体の外出先での紛失・盗難
- 情報搾取目的の内部不正による電子媒体の不正持ち出し
- 業務遂行に必要な情報が記載された電子媒体の紛失
- 事務所PC
- 情報搾取目的の事務所PCへのサイバー攻撃
- 情報搾取目的の事務所PCでの内部不正
- 事務所PCの故障による業務に必要な情報の喪失
- 事務所PC内データがランサムウェアに感染して閲覧不可
- 不正送金を狙った事務所PCへのサイバー攻撃
- モバイル機器
- 情報搾取目的でのモバイル機器へのサイバー攻撃
- 情報搾取目的の不正アプリをモバイル機器にインストール
- 秘密情報が格納されたモバイル機器の紛失・盗難
- 社内サーバー
- 情報搾取目的の社内サーバーへのサイバー攻撃
- 情報搾取目的の社内サーバーでの内部不正
- 社内サーバーの故障による業務に必要な情報の喪失
- クラウド
- 安易なパスワードの悪用によるアカウントの乗っ取り
- バックアップを怠ることによる業務に必要な情報の喪失
- 対策状況チェック
- (1) 組織的セキュリティ対策
- 経営者の主導で情報セキュリティの方針を示していますか?
- 情報セキュリティの方針に基づき、具体的な対策の内容を明確にしていますか?
- 情報セキュリティ対策を実施するための体制を整備していますか?
- 情報セキュリティ対策のためのリソース(人材、費用)の割当を行っていますか?
- (2) 人的セキュリティ対策
- 秘密情報を扱う全ての者(パートタイマー、アルバイト、派遣社員、顧問、社内に常駐する委託先要員等を含む)に就業規則や契約等を通じて秘密保持義務を課していますか?
- 従業員の退職に際しては、退職後の秘密保持義務への合意を求めていますか?
- 会社の秘密情報や個人情報を扱うときの規則や、関連法令による罰則に関して全従業員に説明していますか?
- (3) 情報資産管理
- 管理を必要とする情報資産は、すべて情報資産管理台帳に記載することを定めていますか?
- 秘密情報は業務上必要な範囲でのみ利用を認めていますか?
- 秘密情報の対象となるファイルやデータを丸秘マークや格付け表示等で識別可能とすることを定めていますか?
- 秘密情報を社外へ持ち出す時はデータを暗号化したり、パスワード保護をかけたりするなどの盗難・紛失対策を定めていますか?
- 秘密情報を机の上に放置せず施錠保管するなどして、のぞき見されたり紛失しないようにしていますか?
- 情報資産のバックアップに関する手順を定め、手順が遵守されていることを確認していますか?
- 秘密情報の入ったパソコンや紙を含む記録媒体を廃棄する場合、ゴミとして処分する前に、データの完全消去用のツールを用いたり、物理的に破壊したりすることで、データを復元できないようにすることを定めていますか?
- (4) マイナンバー対応
- 特定個人情報の取扱ルール(管理担当者の割当て、関連規程の整備、記録の保存、定期的点検)が定められていますか?
- 特定個人情報に関する漏えい等の事案に備えた報告連絡体制が整備されていますか?
- 特定個人情報の保護のための安全管理措置(人的、物理的、技術的のそれぞれ)を行うことが定められていますか?
- (5) アクセス制御と認証
- 業務で利用するすべてのサーバに対して、アクセス制御の方針が定められていますか?
- サーバのアクセス権限は、従業員の退職や異動に応じて随時更新され、定期的なレビューを通じてその適切性が検証されていますか?
- 情報を社外のサーバ等に保存したり、グループウェアやファイル受渡サービスなどを用いたりする場合は、アクセスを許可された人以外が閲覧できることのないよう、適切なアクセス制御を行うことを定めていますか?
- サーバで用いるパスワードは、適切なもののみが受け入れられる機能を通じて設定されていますか?
- 業務で利用する暗号化機能及び暗号化に関するアプリケーションは、その運用方針が明確に定められていますか?
- (6) 物理的セキュリティ対策
- 業務を行う場所に、第三者が許可無く立入できないようにするための対策(物理的に区切る、見知らぬ人には声をかける、等)が講じられていますか?
- 最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所の施錠を管理していますか?
- 高いセキュリティを確保する区域には、許可された者以外は接近できないような保護措置がなされていますか?
- 秘密情報を保管および扱う場所への個人所有のパソコン・記録媒体等の持込み・利用は禁止されていますか?
- (7) IT機器利用
- セキュリティ更新を自動的に行うなどにより、常にソフトウェアを安全な状態にすることを定めていますか?
- ウイルス対策ソフトウェアが提供されている製品については、用途に応じて導入し、定義ファイルを常に最新の状態にすることを定めていますか?
- 業務で利用するIT機器で用いるパスワードに関するルール(他人に推測されにくいものを選ぶ、機器やサービスごとに使い分ける、他人にわからないように管理する、等)ことを定めていますか?
- 業務で利用する機器が誰かに勝手に使われないようにするための措置(離席時にパスワード付きのスクリーンセーバーが動作する、持ち運び可能な機器は施錠できる場所に格納する、等)を定めていますか?
- 業務で利用するIT機器の設定について、不要な機能は無効にする、セキュリティを高める機能を有効にするなどの見直しを行うことを定めていますか?
- 社外で業務を行う場合のルールを定めていますか?
- 業務での個人所有機器の利用について、禁止しているか、利用する場合のルールを定めていますか?
- 受信した電子メールが不審かどうかを確認することを求めていますか?
- 電子メールアドレスの漏えい防止のためのBCC利用ルールを定めていますか?
- インターネットバンキングやオンラインショップなどを利用する場合に偽サイトにアクセスしないための対策を定めていますか?
- (8) IT基盤運用管理
- IT機器と台帳との棚卸(実機確認)を行うとともに、社内ネットワークに許可なく接続された機器や無線LAN基地局がないことを確認していますか?
- サーバで利用するアプリケーションは、ブラックリスト方式(利用してはいけないものを明示)またはホワイトリスト方式(利用してよいものを明示)のいずれかで特定していますか?
- 業務で利用するすべてのサーバに対して、脆弱性及びマルウェアからの保護のための対策を講じていますか?
- サーバで用いた機器の廃棄の手順を定めていますか?
- 業務で利用するすべてのサーバやネットワーク機器に対して、必要性に応じてイベントログや通信ログの取得及び保存の手順を定めた上で、定期的にレビューしていますか?
- サーバを対象とする監査を行うことを定めていますか?
- ファイアウォールなど、外部からの攻撃の影響を防ぐための対策を導入していますか?
- 業務で使っているネットワーク機器のパスワードを初期状態のまま使わず、推測できないパスワードを設定して運用していますか?
- クラウドサービスを利用する場合は、費用だけでなく、情報セキュリティや信頼性に関する仕様を考慮して選定していますか?
- 最新の脅威や攻撃についての情報収集を行い、必要に応じて社内で共有していますか?
- (9) システム開発及び保守
- 情報システムの開発を行う場合、開発環境と運用環境とを分離していますか?
- セキュアな開発を行うための手続きを定めていますか?
- 情報システムの保守を行う場合、既知の脆弱性が存在する状態で情報システムを運用しないようにするための対策を講じていますか?
- (10) 外部委託管理
- 契約書に秘密保持(守秘義務)、漏洩した場合の賠償義務、再委託の制限についての項目を盛り込むなどのように、委託先が遵守すべき事項について具体的に規定していますか?
- 委託先との秘密情報の受渡手順を定めていますか?
- 委託先に提供した秘密情報の廃棄または消去の手順を定めていますか?
- (11) 情報セキュリティインシデント対応ならびに事業継続管理
- 秘密情報の漏えいや紛失、盗難があった場合の対応手順書を作成するなどのように、事故の発生に備えた準備をしていますか?
- インシデントの発生に備えた証拠情報の収集手順を定め、運用していますか?
- 事業継続計画における情報セキュリティ対策を定めていますか?
- 診断結果
-
<ツールB>情報セキュリティポリシーサンプル【2016年11月30日IPA】
- 組織的対策(基本方針)
- 情報セキュリティ基本方針を当社のホームページで公表する。/情報セキュリティ基本方針を本社各部署に掲示し従業員及び関係者に周知する。/情報セキュリティ基本方針を顧客の要請の応じ適宜に公表する。
- 1.情報セキュリティ基本方針
- 2. 個人番号及び特定個人情報の適正な取扱いに関する基本方針
- 3.安全管理措置に関する事項
- 4.委託の取り扱い
- 5.継続的改善
- 6.特定個人情報等の開示
- 組織的対策(当社全体)
- 情報セキュリティ対策活動を推進するための組織として、情報セキュリティ委員会を設置する。情報セキュリティ委員会は以下の構成とし、情報セキュリティ対策状況の把握、情報セキュリティ対策に関する指針の策定・見直し、情報セキュリティ対策に関する情報の共有を実施する。
- 1.情報セキュリティのための組織
- 2.情報セキュリティ取組みの監査・点検/点検
- 3.情報セキュリティに関する情報共有
- 人的対策(全従業員(役員、社員、派遣社員、パート・アルバイトを含む))
- 1.雇用条件
- 2.取締役及び従業員の責務
- 3.雇用の終了
- 4.情報セキュリティ教育
- 5.人材育成
- <情報セキュリティに関わる推奨資格>
- 情報資産管理(当社事業に必要で価値がある情報及び個人情報)
- 1.情報資産の管理
- 1.1情報資産の特定と重要度の評価
- 1.2情報資産の分類と表示
- 1.3情報資産の管理責任者
- 1.4情報資産の利用者
- 2.情報資産の社外持ち出し
- 3.媒体の処分
- 3.1媒体の廃棄
- 3.2媒体の再利用
- 4.バックアップ
- 4.1バックアップ取得対象
- 4.2バックアップ媒体の取扱い
- 4.3クラウドサービスを利用したバックアップ
- マイナンバー対応(特定個人情報(マイナンバーを内容に含む個人情報))
- 1.総則
- 1.1目的
- 1.2定義
- 2.特定個人情報等の取り扱い
- 2.1利用目的の特定
- 2.2取得に際しての利用目的の通知等
- 2.3取得の制限
- 2.4個人番号の提供の求めの制限
- 2.5本人確認
- 2.6利用目的外の利用の制限
- 2.7特定個人情報ファイルの作成の制限
- 2.8特定個人情報等の保管
- 2.9データ内容の正確性の確保
- 2.10特定個人情報等の提供
- 2.11特定個人情報等の削除・廃棄
- 2.12特定個人情報等を誤って収集した場合の措置
- 2.13安全管理措置
- 3. 組織及び体制
- 3.1事務取扱担当者・責任者
- 3.2苦情対応
- 3.3従業員の義務
- 4.委託の取扱い
- 4.1委託
- 4.2再委託
- 5.安全管理措置
- 5.1組織的安全管理措置
- 5.1.2取扱規程等に基づく運用
- 5.1.2取扱規程等に基づく運用
- 5.1.3取扱状況を確認する手段の整備
- 5.1.4情報漏えい等事案に対応する体制の整備
- 5.2人的安全管理措置
- 5.3物理的安全管理措置
- 5.3.1特定個人情報等を取り扱う領域の管理
- 5.3.2IT機器及び電子媒体等の盗難等の防止
- 5.3.3電子媒体等を持ち出す場合の漏えい等の防止
- 5.3.4個人番号の削除、機器及び電子媒体等の廃棄
- 5.4技術的安全管理措置
- 5.4.1アクセス制御
- 5.4.2アクセス者の識別と認証
- 5.4.3外部の不正アクセス等の防止
- 5.4.4情報漏えい等の防止
- 6.特定個人情報等の開示、訂正等、利用停止等
- 6.1特定個人情報等の開示等
- 6.2特定個人情報等の訂正等
- 6.3特定個人情報等の利用停止等
- アクセス制御及び認証(情報資産の利用者及び情報処理施設)
- 1.アクセス制御方針
- 2.利用者の認証
- 3.利用者アカウントの登録
- 4.利用者アカウントの管理
- 5.パスワードの設定
- 6.従業員以外の者に対する利用者アカウントの発行
- 7.機器の識別による認証
- 8.端末のタイムアウト機能
- 9.標準設定等
- 9.1アクセス制御対象情報システム及びアクセス制御方法
- 9.2利用者認証方法
- 9.3利用者アカウント・パスワードの条件
- 9.4機器の認証方法
- 物理的対策(情報処理設備が設置される領域)
- 1.セキュリティ領域の設定
- 2.関連設備の管理
- 3.セキュリティ領域内注意事項
- 4.搬入物の受け渡し
- IT機器利用(業務で利用する情報処理設備・機器)
- 1.ソフトウェアの利用
- 1.1標準ソフトウェア
- 1.2ソフトウェアの利用制限
- 1.3ソフトウェアのアップデート
- 1.4ウイルス対策ソフトウェアの利用
- 1.4.1ウイルス検知
- 1.4.2ウイルス対策ソフト定義ファイルの更新
- 1.4.3社外機器のLAN接続
- 1.5ウイルス対策の啓発
- 2.IT機器の利用
- 3.クリアデスク・クリアスクリーン
- 3.1クリアデスク
- 3.2クリアスクリーン
- 4.インターネットの利用
- 4.1ウェブ閲覧
- 4.2オンラインサービス
- <インターネットバンキング・電子決済>
- <オンラインストレージ>
- 4.3SNSの利用
- 4.4電子メールの利用
- <誤送信防止>
- <メールアドレス漏えい防止>
- <傍受による漏えい防止>
- <クラウド型メールの利用>
- <禁止事項>
- 4.5ウイルス感染の防止
- 5.私有IT機器・電子媒体の利用
- 5.1利用開始時
- 5.2利用期間中
- 5.2.1社内での利用
- 5.3利用終了時
- 6.標準等
- 6.1標準ソフトウェア
- 6.2ソフトウェアのアップデート方法
- 6.3ウイルス対策ソフトウェアの定義ファイルの更新方法
- IT基盤運用管理(情報資産を扱うサーバ・ネットワーク等のITインフラ)
- 1.管理体制
- 1.1 IT基盤の情報セキュリティ対策
- 1.1.1サーバー機器の情報セキュリティ要件
- 1.1.2サーバー機器に導入するソフトウェア
- 1.1.3ネットワーク機器の情報セキュリティ要件
- 2.IT基盤の運用
- 3.クラウドサービスの導入
- 4.脅威や攻撃に関する情報の収集
- 5.廃棄・返却・譲渡
- 6.IT基盤標準
- 6.1サーバー機器情報セキュリティ要件
- 6.2IT基盤標準ソフトウェア
- 6.3標準ネットワーク機器
- 6.4ネットワーク機器情報セキュリティ要件
- 6.5クラウドサービス情報セキュリティ対策評価基準
- <適合性評価制度の種類>
- システム開発及び保守(当社が独自に開発及び保守を行う情報システム)
- 1.情報システムの開発
- 1.1新規システム開発・改修
- 1.2脆弱性への対処
- 1.3情報システムの開発環境
- 1.4情報システムの保守
- 1.5情報システムの変更
- 外部委託管理(情報資産を取り扱う業務の委託)
- 1.委託先の評価(クラウドサービスの利用を除く)
- 1.1委託先評価基準
- 1.2委託先の選定
- 1.3委託契約の締結
- 1.4委託先の評価
- 1.5再委託
- 情報セキュリティインシデント対応ならびに事業継続管理(情報セキュリティ事故対応及び事業継続管理)
- 事象が発生した場合に、混乱しないように事前に対応策を明確にしておくことが肝要
- 1.対応体制
- 最高責任者、対応責任者、一次対応者を明確にする
- 2.情報セキュリティインシデントの影響範囲と対応者
- 想定する影響範囲を事故レベル(0~3)で分類し、それぞれの対応者を明確にする
- 3.インシデントの連絡及び報告
- レベル1以上のインシデントが発生した場合、発見者が速やかに指示を仰ぐべき対応者を明確にする
- 4.対応手順
- 基本【中山】
- 事象の検知、報告受付(Detect)
- 事実確認、対応の判断 被害の局所化(拡大防止)(Triage)
- 緊急連絡
- 原状保全
- 原因調査
- 早期復旧・事業継続 (Respond)
- 恒久的対策(再発防止策)
- 通常運用
- 4.1漏えい・流出発生時の対応
- 事象:社外秘又は極秘情報資産の盗難、流出、紛失
- 事故レベル3【中分類付け】【中山】
- 事象の検知、報告受付(Detect)
- ①発見者は即座にインシデント対応責任者及び代表取締役社長に報告する。
- 事実確認、対応の判断 被害の局所化(拡大防止)(Triage)
- ②インシデント対応責任者は原因を特定するとともに、二次被害が想定される場合には防止策を実行する。
- ③インシデント対応責任は被害者/本人対応を準備する。
- ④インシデント対応責任は問合せ対応を準備する。
- 緊急連絡
- ⑤インシデント対応責任は影響範囲・被害の大きさによっては総務部に報道発表の準備を申請する。
- ⑥インシデント対応責任者はサイバー攻撃等の不正アクセスによる被害の場合は都道府県警察本部のサイバー犯罪相談窓口に届け出る。
- ⑦インシデント対応責任者は個人情報の漏えいの場合には監督官庁に届け出る。
- 代表取締役は社内及び影響範囲の全ての組織・人に対応結果及び対策を公表する。
- 原状保全
- 原因調査
- 早期復旧・事業継続 (Respond)
- 恒久的対策(再発防止策)
- 通常運用
- 事故レベル3【基本手順】
- ①発見者は即座にインシデント対応責任者及び代表取締役社長に報告する。
- ②インシデント対応責任者は原因を特定するとともに、二次被害が想定される場合には防止策を実行する。
- ③インシデント対応責任は被害者/本人対応を準備する。
- ④インシデント対応責任は問合せ対応を準備する。
- ⑤インシデント対応責任は影響範囲・被害の大きさによっては総務部に報道発表の準備を申請する。
- ⑥インシデント対応責任者はサイバー攻撃等の不正アクセスによる被害の場合は都道府県警察本部のサイバー犯罪相談窓口に届け出る。
- ⑦インシデント対応責任者は個人情報の漏えいの場合には監督官庁に届け出る。
- 代表取締役は社内及び影響範囲の全ての組織・人に対応結果及び対策を公表する。
- 事故レベル2
- ①発見者は発見次第、システム管理者に報告する。
- ②システム管理者は漏えい先を調査し、インシデント対応責任者に報告する。
- ③システム管理者は社内関係者に周知する。
- 事故レベル1
- ※情報漏えい・流出は全て事故レベル2以上
- 4.2改ざん・消失・破壊・サービス停止発生時の対応
- 情報資産の意図しない改ざん、消失、破壊
情報資産が必要なときに利用できない
- 事故レベル3【中分類付け】【中山】
- 事象の検知、報告受付(Detect)
- 手順の確認
- 作業記録の作成
- ①発見者は即座にインシデント対応責任者及び代表取締役社長に報告する。
- 事実確認、対応の判断 被害の局所化(拡大防止)(Triage)
- ②システム管理者は原因を特定し、応急処置を実行する。
- 影響範囲の特定
- ネットワーク接続やシステムの遮断もしくは停止
- 緊急連絡
- ③インシデント対応責任者は社内に周知するとともに総務部情報システム担当に連絡する。
- 原状保全
- 各種ログの保全
- スナップショットの保存
- 場合によっては、ストレージ装置全体
- 原因調査
- ⑦システム管理者は原因対策を実施する。
- 要因の特定
- 早期復旧・事業継続 (Respond)
- ④電子データの場合はシステム管理者がバックアップによる復旧を実行する。
- ⑤機器の場合はシステム管理者が修理、復旧、交換等の手続きを行う。
- ⑥書類・フィルム原本の場合は情報セキュリティ部門責任者が可能な範囲で修復する。
- 恒久的対策(再発防止策)
- 再発防止策の実施
- 監視体制の強化
- 作業結果の報告
- 作業の評価、ポリシー・運用体制・運用手順の見直し
- 通常運用
- 代表取締役は社内及び影響範囲の全ての組織・人に対応結果及び対策を公表する。
- 事故レベル3【基本手順】
- ①発見者は即座にインシデント対応責任者及び代表取締役社長に報告する。
- ②システム管理者は原因を特定し、応急処置を実行する。
- ③インシデント対応責任者は社内に周知するとともに総務部情報システム担当に連絡する。
- ④電子データの場合はシステム管理者がバックアップによる復旧を実行する。
- ⑤機器の場合はシステム管理者が修理、復旧、交換等の手続きを行う。
- ⑥書類・フィルム原本の場合は情報セキュリティ部門責任者が可能な範囲で修復する。
- ⑦システム管理者は原因対策を実施する。
- 代表取締役は社内及び影響範囲の全ての組織・人に対応結果及び対策を公表する。
- 事故レベル2
- ①発見者は発見次第、システム管理者に報告する。
- ②システム管理者は原因を特定し、応急処置を実行する。
- ③インシデント対応責任者は社内に周知するとともに総務部情報システム担当に連絡する。
- ④電子データの場合はシステム管理者がバックアップによる復旧を実行する。
- ⑤機器の場合はシステム管理者が修理、復旧、交換等の手続きを行う。
- ⑥書類・フィルム原本の場合は情報セキュリティ部門責任者が可能な範囲で修復する。
- ⑦システム管理者は原因対策を実施する。
- 事故レベル1
- ①発見者は発見次第、システム管理者に報告する。
- ②システム管理者は原因を特定し、応急処置を実行する。
- ③電子データの場合はシステム管理者がバックアップによる復旧もしくは再作成・入手を実行する。
- ④機器の場合はシステム管理者が修理、復旧、交換等の手続きを行う。
- ⑤書類・フィルム等の原本の場合は情報セキュリティ部門責任者が可能な範囲で修復する
- ⑥システム管理者は原因対策を実施する
- 事故レベル0
- 発見者は発見次第、発生可能性のあるインシデントと想定される被害をシステム管理者に報告する。
- 4.3ウイルス感染時の初期対応
- 悪意のあるソフトウェアに感染
- 従業員は、業務に利用しているパソコン、サーバー又はスマートフォン、タブレット(以下「コンピュータ」といいます。)がウイルスに感染した場合には、以下を実行する。
- ①ネットワークからコンピュータを切断する。
- ②システム管理者に連絡する。
- ③ウイルス対策ソフトの定義ファイルを最新版に更新する。
- ④ウイルス対策ソフトを実行しウイルス名を確認する。
- ⑤ウイルス対策ソフトで駆除可能な場合は駆除する。
- ⑥駆除後再度ウイルス対策ソフトでスキャンし、駆除を確認する。
- ⑦システム管理者に報告する。
- 以下の場合など従業員自身で対応できないと判断される場合はシステム管理者に問い合わせる。
- ウイルス対策ソフトで駆除できない。
- システムファイルが破壊・改ざんされている。
- ファイルが改ざん・暗号化・削除されている。
- 4.5届け出及び相談
- システム管理者は、インシデント対応後に以下の機関への届け出又は相談を検討する。
- <届け出・相談先>
- 独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)
- ウイルスの届け出先
https://www.ipa.go.jp/security/outline/todokede-j.html
TEL: 03-5978-7518
E-mail:virus@ipa.go.jp
- 不正アクセスに関する届出
E-Mail:crack@ipa.go.jp
FAX:03-5978-7518
- 情報セキュリティ安心相談窓口
https://www.ipa.go.jp/security/anshin/index.html
TEL:03-5978-7509
E-mail:anshin@ipa.go.jp
- 5.情報セキュリティインシデントによる事業中断と事業継続管理
- 代表取締役は、情報セキュリティインシデントの影響により当社事業が中断した場合に備え、以下を定める。
- 5.1想定される情報セキュリティインシデント
- 以下のインシデントによる事業の中断を想定する。
- 情報セキュリティインシデント:大型地震の発生に伴う設備の倒壊、回線の途絶、停電等にによる○○システム停止
- 想定理由:当社の事業は、商品の販売から請求回収までの業務を○○システムに依存しているため、停止した場合は事業の継続が困難になり多大な損失が発生
- 5.2復旧責任者及び関連連絡先
- 被害対象毎に、復旧責任者、関係者連絡先をリスト化しておく
- 5.3事業継続計画
- インシデント対応責任者は、想定する情報セキュリティインシデントが発生し、事業が中断した際の復旧責任者の役割認識及び関係者連絡先について、有効に機能するか検証する。
- 復旧責任者は、被害対象に応じて復旧から事業再開までの計画を立案する。
- 社内体制図(当社の情報セキュリティ管理)
- 1.情報セキュリティのための組織
- 委託契約書機密保持条項サンプル(外部委託契約の締結時)
- 1.委託契約時の機密保持契約条項
- <機密保持条項サンプル>
-
中小企業の情報セキュリティ対策ガイドライン(パブコメ版)【IPA】
-
経営者の皆様へ
- 情報セキュリティ対策は、経営に大きな影響を与えます!
- 経営者が自ら動かなければ、法的・道義的責任を問われます!
- 組織として対策するために、担当者への指示が必要です!
-
対象組織と想定する読者 対象組織と想定する読者
- 経営者層・システム管理者層
-
全体解説
-
Step1 未対策
- 情報セキュリティを意識していない企業または個人事業主
-
Step2 何らかは実施済み
- 基準や規則はないが何らかの対策を実施している企業
-
Step3 自己診断達成
- 自社診断25項目の基本対策を全て実施できている企業
-
Step4 ポリシー策定済
- 情報セキュリティポリシーを策定・導入済の企業
-
第 1部 経営者編
-
情報セキュリティ対策を怠ることで企業が被る不利益
- (1) 資金の喪失
- (2) 顧客の喪失
- (3) 業務 の喪失
- (4) 従業員 への影響
-
経営者が負う責任
- (1) 経営者などに問われる法的責任
- ・個人情報
- ・他社から預かった秘密情報
- ・自社の秘密情報
- (2) 関係者や社会に対する責任
- ・営業停止、売上高の減少、企業イメージの低下などで、自社に損害をもたらずだけでなく、取引先に対する信頼関係の喪失、業界やサービス全体のイメージダウン
-
経営者は何をすればよいか
- 経営者が認識する必要な「3原則」
- 原則1 情報セキュリティ対策は経営者のリーダシップのもとで進める
- 原則2 委託先における情報セキュリティ対策まで考慮する
- 原則3 情報セキュリティに関する関係者とのコミュニケーションは、どんなときにも怠らない
- 企業 として重要 として実施する「重要 7項目の取組」
- 取組1 情報 セキュリティ に関するリスクを認識し組織全体での対応方針を定める
- 取組2 情報セキュリティ対策を行うための資源(予約、人材など)を確保する
- 取組3 情報セキュリティのリスクを把握し、どこまで情報セキュリティ対策を行うのかを定めたうえで担当者に実行させる
- 取組4 情報セキュリティ対策に関する定期的な見直しを行う
- 取組5 業務委託する場合や外部ITシステムやサービスを利用する場合は、自社で必要と考える情報セキュリティ対策が担保されるようにする
- 取組6 情報セキュリティに関する最新動向を収集する
- 取組7 緊急時の社内外の連絡先や被害発生時に行うべき内容について準備しておく
-
第 2部 管理実践編
-
情報セキュリティポシーの策定手順 情報セキュリティポシーの策定手順
- 基本的な考え方
- 自社に適合したポリシーを策定
- 情報セキュリティリスクの大きなものから重点的に対策を実施
- 情報セキュリティ対策の策定まで流れ
- 対象とすべき情報資産の選定、重要度定義
- (機密性、完全性、可用性レベル)
- リスク値算定
- (リスク値=(a)資産価値×(b)脅威の発生確率/頻度×(c) 脆弱性)
- 情報セキュリティ対策決定
- (1)リスクを低減する
- (2)リスクを保有する
- (3)リスクを回避する
- (4)リスクを移転する
- ポリシー策定
- (1)組織的対策
- (2)人的対策
- (3)情報資産管理
- (4)アクセス制御
- (5)物理的対策
- (6)IT機器利用
- (7)IT基盤運用管理
- (8)システムの開発及び 保守
- (9)委託管理
- (10)情報セキュリティインシデント対処及び事業継続管理
- (11)マイナンバー対応
- (12)秘密保持契約書
- (13)社内体制図
- 委託時の情報セキュリティ対策
- 機密情報の種類、業務委託関係など諸条件を考慮して、委託先と協議のうえ、委託先が実施する適切な情報セキュ リティ対策を 契約条件に含めて締結します 。
-
情報セキュリティ対策の実行
- 通常時の実行における役割
- 経営者、管理者層、一般従業員
- 緊急時の対応
- ① 緊急時における 指揮命令と対応の優先順位決定
- ② インシデントへの対応(インシデントレスポンス)
- ③ インシデントの影響と被害分析
- ④ 情報収集と自社に必要な情報の選別
- ⑤ 社内関係者への連絡と周知
- ⑥ 外部関係機との連絡
-
チェックと改善
- チェック方法
- 改善の方法
-
情報セキュリティ対策のさらなる改善に向けて
- 情報セキュリティマネジメントサイクルによる継続的改善
- 情報セキュリティ対策に関する標準規格
- 情報セキュリティ監査・点検の実施
- 改善の実施
- おわりに
- 本書で用いてる語の説明
-
付録 1 情報セキュリティ 5か条
- ソフトウェアはつねに更新しよう
- 機器に応じたマルウェア対策をしよう
- パスワードなど、認証を強化しよう
- 業務に使うすべてのサービスの設定を見直そう
- 脅威や攻撃の手口を知ろう
-
付録 2 【旧】5分できる!情報セキュリティ自社診断
-
Part 1 最重要事項
- 自社診断シートNo.1 ソフトウェアは常に最新の状態に更新
- 自社診断シートNo.2 マルウェア対策が提供されていれば導入
- 自社診断シートNo.3 推測されにくいパスワードを使用する
- 自社診断シートNo.4 すべてのサービスの設定を見直す
- 自社診断シートNo.5 脅威や攻撃に関する最新情報を集める
-
Part 2 ネットの脅威への対処
- 自社診断シートNo.6 電子メールは疑ってみる
- 自社診断シートNo.7 共有不可の電子メールアドレスはBCC に記入
- 自社診断シートNo.8 インターネットバンキングの偽サイトに注意する
- 自社診断シートNo.9 機器のパスワードは初期設定で使わない
- 自社診断シートNo.10 信頼できるクラウドを使う
-
Part 3 情報資産の保護
- 自社診断シートNo.11 社外保存データへのアクセス権に注意する
- 自社診断シートNo.12 バックアップを励行する
- 自社診断シートNo.13 秘密情報は安全な方法で持ち出す
- 自社診断シートNo.14 秘密情報は復元できないように消去する
- 自社診断シートNo.15 従業員の私物機器の業務での利用可否を決める
-
Part 4 職場のセキュリティ
- 自社診断シートNo.16 重要情報の放置を禁止する
- 自社診断シートNo.17 機器の盗難防止対策を講じる
- 自社診断シートNo.18 機器を勝手に操作させない
- 自社診断シートNo.19 見知らぬ人には声をかける
- 自社診断シートNo.20 オフィスの戸締まりに気を配る
-
Part 5 組織的対策事項
- 自社診断シートNo.21 従業員に守秘義務について理解してもらう
- 自社診断シートNo.22 従業員への定期的な教育・啓発を行う
- 自社診断シートNo.23 取引先にも秘密保持を要請する
- 自社診断シートNo.24 事故発生に備えて事前に準備する
- 自社診断シートNo.25 情報セキュリティ対策をルール化する
-
5分でできる自社診断シート
-
付録 3 わが社の情報セキュリティポリシー
- 情報セキュリティポリシーは、外部のひな型をもってくるだけではうまく機能しません。企業の特徴に応じて中身を調整する必要があります。
- ここでは、企業にどのような情報があるか、どのような脅威への対策が必要かをもとに情報セキュリティ診断に回答いただくと、情報セキュリティポリシーにどのような項目を盛り込む必要があるかがわかるようになっています。
-
手順1:情報資産管理台帳を作成して重要情報を確認
- この付録で紹介している情報セキュリティポリシーは、情報資産管理台帳の作成を前提としています。企業で管理している情報を、<ツール3-1>のワークシートに書き出し、それぞれの重要度を判定してください。
- また、それぞれの情報を管理している担当者を対象に、情報資産管理に関する役割を割り当てることになりますので、管理状況の実態についても正確に書き出すことが重要です。
-
手順2:警戒すべき脅威について確認
- <ツール3-2>では、企業でIT機器やインターネット上のサービスなどを利用するときに警戒すべき脅威について紹介しています。
- これをご一読いただいた上で、自社でも気になるものを選び、<ツール3-3>の「脅威」シートの該当欄に○印を記入してください。
- なお、<ツール3-2>では機器の盗難など、以前から存在する脅威については紹介していませんが、脅威として想定する必要がないことを意味するわけではありませんのでご留意ください。
- サブトピック 4
-
手順3:情報セキュリティ診断を実施
- <ツール3-3>の「診断」シートを開き、現時点における自社の状況をもとに、項目ごとに以下から適切なものを1つ選択してください。
- 1: 実施している・・・対策を実施済みの場合, 2: 一部実施している・・・対策を実施しているが、十分でない場合, 3: 実施してない/わからない・・・対策を実施していないか、関連情報がない場合, 4: 自社には該当しない
-
手順4;必要なひな形を選んで編集すれば完成!
- 手順2と手順3が済むと、<ツール3-3>の「判定」シートに診断結果と自社で選択すべきひな型の一覧が表示されます。
- <ツール3-4>からひな型をコピーし、自社の状況に反映するように編集(カスタマイズ)すれば、自社専用の情報セキュリティポリシーが完成します。
- なお必要に応じて、さらに項目を追加していただいてもかまいません。
- ツール 3-1 情報資産管理台帳
- ツール 3-2 脅威一覧
- ツール 3-3 対策状況チェックシート
- ツール 3-4 情報セキュリティポリシー サンプル
-
付録 4 情報セキュリティ関連ガイド・法令一覧
-
1. 1. 法令
- 1-1 個人情報保護法
- 1-2 マイナンバー法
- 1-3 不正競争防止法
- 1-4 不正アクセス禁止法
- 1-5 不正指令電磁的記録に関する罪
- 1-6 労働契約法
-
2. 2. ガイドライン
- 2-1 特定個人情報の適正な取扱いに関するガイドラン (事業者編)(個人情報保護委員会)
- 2-2 個人情報の 保護に関する法律ついての分野別 ガイドライン(各府省庁)
- 2-3 サイバーセキュリティ経営ガイドライン(経済産業省)
- 2-4 営業秘密管理指針(経済産業省)
- 2-5 秘密情報の保護ハンドブック(経済産業省)
- 2-6 組織における内部不正防止ガイドラン(IPA)
-
付録 5 情報セキュリティ相談窓口
- マルウェアに関する技術的な相談
- 標的型攻撃に関する相談
- 情報セキュリティに関する普及啓発の相談
- Web改ざんやDoS攻撃に関する技術的な相談、攻撃元への調整依頼
- 不正アクセス/ウイルス感染による被害、事件性のあるもの、刑事罰対象の被害
-
中小企業における組織的な情報セキュリティ対策ガイドラインチェック項目【2012年9月3日IPA】
-
1. 情報セキュリティに対する組織的な取り組み
-
1.1 情報セキュリティに関する経営者の意図が従業員に明確に示されている
- 経営者が情報セキュリティポリシーの策定に関与し、実現に対して責任を持つこと。
- 情報セキュリティポリシーを定期的に見直しすること。
-
1.2 情報セキュリティ対策に関わる責任者と担当者を明示する
- 責任者として情報セキュリティと経営を理解する立場の人を任命すること。
- 責任者は、各セキュリティ対策について(社内外を含め)、責任者、担当者それぞれの役割を具体化し、役割を徹底すること。
-
1.3 管理すべき重要な情報資産を区分する
- 管理すべき重要な情報資産を、他の情報資産と分類すること。
- 情報資産の管理者を定めること。
- 重要度に応じた情報資産の取り扱い指針を定めること。
- 重要な情報資産を利用できる人の範囲を定めること。
-
1.4 重要な情報については、入手、作成、利用、保管、交換、提供、消去、破棄における取り扱い手順を定める
- 各プロセスにおける作業手順を明確化し、決められた担当者が、手順に基づいて作業を行っていること。
- 重要な情報に対して、漏洩や不正利用を防ぐ保護対策を行っていること。
- (例)
- 重要な情報を利用できる人に対してのみ、アクセス可能とすること。
- 重要な情報の利用履歴を残しておくこと。
- 重要な情報を確実に消去・廃棄すること。 等
-
1.5 外部の組織と情報をやり取りする際に、情報の取り扱いに関する注意事項について合意を取る
- 契約書や委託業務の際に取り交わす書面等に、情報の取り扱いに関する注意事項を含めること。
- (例)
- システム開発を委託する際の本番データ利用時の際の情報管理、例えば管理体制や受託情報の取り扱い・受け渡し・返却、廃棄等について、注意事項を含めること。
- 関係者のみにデータの取り扱いを制限すること。
- 外部の組織との間で情報を授受する場合、情報受渡書を持っておこなうこと。
- 契約に基づく作業を遂行することによって新たに発生する情報(例:新たに作製された、金型・図面・モックアップ等々)の取扱を含めること。
- 等
-
1.6 従業者(派遣を含む)に対し、セキュリティに関して就業上何をしなければいけないかを明示する
- 従業者を採用する際に、守秘義務契約や誓約書を交わしていること。
- 従業者が順守すべき事項を明確にしていること。
- 違反を犯した従業員に対する懲戒手続きが整備されていること。
- 在職中及び退職後の機密保持義務を明確化するため、プロジェクトへの参加時など、具体的に企業機密に接する際に、退職後の機密保持義務も含む誓約書を取ること。
-
1.7 情報セキュリティに関するルールの周知と、情報セキュリティに関わる知識習得の機会を与える
- ポリシーや関連規程を従業員に理解させること。
- 実践するために必要な教育を定期的に行っていること。
-
2. 物理的セキュリティ
-
2.1 重要な情報を保管したり、扱ったりする場所の入退管理と施錠管理を行う
- 重要な情報を保管したり、扱ったりする区域を定めていること。
- 重要な情報を保管している部屋(事務室)又はフロアーへの侵入を防止するための対策を行っていること。
- 重要な情報を保管している部屋(事務室)又はフロアーに入ることができる人を制限し、入退の記録を取得していること。
-
2.2 重要なコンピュータや配線は地震などの自然災害や、ケーブルの引っ掛けなどの人的災害が起こらないように配置・設置する
- 重要なコンピュータは許可された人だけが入ることができる安全な場所に設置すること。
- 電源や通信ケーブルなどは、他の人が容易に接触できないようにすること。
- 重要なシステムについて、地震などによる転倒防止、水濡れ防止、停電時の代替電源の確保などを行っていること。
-
2.3 重要な書類、モバイルPC、記憶媒体などについて、整理整頓を行うと共に、盗難防止対策や確実な廃棄を行う
- (重要な書類について)
- 不要になった場合、シュレッダーや焼却などして確実に処分すること。
- 重要な書類を保管するキャビネットには、施錠管理を行うこと。
- 重要な情報が存在する机上、書庫、会議室などは整理整頓を行うこと。
- 郵便物、FAX、印刷物などの放置は禁止。重要な書類の裏面を再利用しないこと。
- (モバイルPC、記憶媒体について)
- 保存した情報が不要になった場合、消去ソフトを用いるなど、確実に処分していること。
- モバイルPC、記憶媒体については、盗難防止の対策を行うこと。
- 私有PCを会社に持ち込んだり、私有PCで業務を行ったりしないこと。
-
3. 情報システム及び通信ネットワークの運用管理
-
3.1 情報システムの運用に関して運用ルールを策定する
- システム運用におけるセキュリティ要求事項を明確にしていること。
- 情報システムの運用手順書(マニュアル)を整備していること。
- システムの運用状況を点検していること。
- システムにおいて実施した操作や障害、セキュリティ関連イベントについてログ(記録)を取得していること。
- 設備(具体例)の使用状況を記録していること。
-
3.2 ウイルス対策ソフトをはじめとしたアプリケーションの運用を適切に行う
- ウイルス対策ソフトを導入し、パターンファイルの更新を定期的に行っていること。
- ウイルス対策ソフトが持っている機能(ファイアウォール機能、スパムメール対策機能、有害サイト対策機能)を活用すること。
- 各サーバやクライアントPCについて、定期的なウイルス検査を行っていること。
- Winny等、組織で許可されていないソフトウェアのインストールの禁止、あるいは使用制限を行っていること。
-
3.3 導入している情報システムに対して、最新のパッチを適用するなどの脆弱性対策を行う
- 脆弱性の解消(修正プログラムの適用、Windows update等)を行っていること。
- 脆弱性情報や脅威に関する情報の入手方法を確認し、定期的に収集すること。
- 情報システム導入の際に、不要なサービスの停止など、セキュリティを考慮した設定を実施するなどの対策が施されているかを確認すること。
- Webサイトの公開にあたっては、不正アクセスや改ざんなどを受けないような設定・対策を行い、脆弱性の解消を行うこと。
- Webブラウザや電子メールソフトのセキュリティ設定を行うこと。
-
3.4 通信ネットワークを流れる重要なデータに対して、暗号化などの保護策を実施する
- 必要に応じて、SSL等を用いて通信データを暗号化すること。
- 外部のネットワークから内部のネットワークや情報システムにアクセスする場合に、VPNなどを用いて暗号化した通信路を使用していること。
- 電子メールをやり取りする際に、重要な情報についてはファイルにパスワードを付ける、又は暗号化すること。
-
3.5 モバイルPCやUSBメモリなどの記憶媒体やデータを外部に持ち出す場合、適切なパスワード設定や暗号化などの対策を実施する
- モバイルPCやUSBメモリ等の使用や外部持ち出しについて、規程を定めていること。
- 外部でモバイルPCやUSBメモリ等を使用する場合の紛失や盗難対策を講じていること。
- モバイルPCやUSBメモリ等を外部に持出す際は、利用者の認証(ID・パスワード設定、USBキーやICカード認証、バイオメトリクス認証等)を行うこと。
- 保存されているデータを、重要度に応じてHDD暗号化、BIOSパスワード設定などの技術的対策を実施すること。
- PCを持出す場合の持出者、持出・返却管理を実施すること。
- 盗難、紛失時に情報漏えいの脅威にさらされた情報が何かを正確に把握するため、持ち出し情報の一覧、内容管理を行うこと。
-
4. 情報システムのアクセス制御の状況及び情報システムの開発、保守におけるセキュリティ対策
-
4.1 情報(データ)や情報システムへのアクセスを制限するために、利用者IDの管理(パスワードの管理など)を行う
- 利用者毎にIDとパスワードを割当て、そのIDとパスワードによる識別と認証
- を確実に行うこと。
- 利用者IDの登録や削除に関する規程を整備すること。
- パスワードの定期的な見直しを求めること。また、空白のパスワードや単純な文字列のパスワードを設定しないよう利用者に求めること。
- 離席する際は、パスワードで保護されたスクリ
- ーンセーバーでパソコンを保護すること。
- 不要になった利用者IDを削除すること。
-
4.2 重要な情報に対するアクセス権限の設定を行う
- 重要な情報に対するアクセス管理方針を定め、利用者毎にアクセス可能な情報、情報システム、業務アプリケーション、サービス等を設定すること。
- 職務の変更や異動に際して、利用者のアクセス権限を見直すこと。
-
4.3 インターネット接続に関わる不正アクセス対策(ファイアウォール機能、パケットフィルタリング、ISPサービス 等)を行う
- (外部から内部へのアクセス)
- 外部から内部のシステムにアクセスする際、利用者認証を実施すること。
- 保護すべき重要な情報が保存されるシステムは、それ以外のシステムが接続しているネットワークから物理的に遮断する、もしくはセグメント分割することによりアクセスできないようにすること。
- (内部から外部へのアクセス)
- 不正なプログラムをダウンロードさせる恐れのあるサイトへのアクセスを遮断するような仕組み(フィルタリングソフトの導入等)を行っていること。
-
4.4 無線LANのセキュリティ対策(WPA2の導入等)を行う
- 無線LANにおいて重要な情報の通信を行う場合は、暗号化通信(WPA2等)の設定を行うこと。
- 無線LANの使用を許可する端末(MAC認証)や利用者の認証を行うこと。
-
4.5 ソフトウェアの選定や購入、情報システムの開発や保守に際して、情報セキュリティを前提とした管理を行う
- ソフトウェアの導入や変更に関する手順を整備していること。
- システム開発において、レビューの実施と記録を残していること。
- 外部委託によるソフトウェア開発を行う場合、使用許諾、知的所有権などについて取り決めていること。
- 開発や保守を外部委託する場合に、セキュリティ管理の実施状況を把握できること。
-
5. 情報セキュリティ上の事故対応
-
5.1 情報システムに障害が発生した場合、業務を再開するために何をすべきかを把握する
- 情報システムに障害が発生した場合の、最低限運用の必要な時間帯と許容停止時間を明確にしておくこと。
- 障害対策の仕組みが組織として効果的に機能するよう、よく検討していること。
- システムの切り離し(即応処理)、必要なサービスを提供できるような機能(縮退機能)、情報の回復や情報システムの復旧に必要となる機能などが、障害時に円滑に機能するよう確認しておくこと。
- 日常のシステム運用の中で、バックアップデータや運用の記録などを確保しておくこと。
- 障害発生時に必要な対応として、障害発生時の報告要領(電話連絡先の認知等)、障害対策の責任者と対応体制、システム切替え・復旧手順、障害発生時の業務実施要領等の準備を整えておくこと。
- (例)
- 大容量データの復元には時間を要するため、復元に要する時間の事前見積りの実施。
- 関係者への障害対応要領の周知や、必要なスキルに関する教育や訓練などの実施を行っていること。
-
5.2 情報セキュリティに関連する事件や事故等(ウイルス感染、情報漏えい等)の緊急時に、何をすべきかを把握する
- ウイルス感染や情報漏えい等の発生時、組織内の関係者への報告、緊急処置の適用基準や実行手順、被害状況の把握、原因の把握と対策の実施、被害者への連絡や外部への周知方法、通常システムへの復旧手順、業務再開手順などを整えておくこと。
- (例)
- ウイルス感染の場合、ウイルス定義ファイルを最新の状態にしたワクチンソフトにより、コンピュータの検査を実施し、ワクチンソフトのベンダのWebサイト等の情報を基に、検出されたウイルスの駆除方法などを試すことが必要となる。
- 情報漏えいの場合、事実を確認したら速やかに責任者に報告し、対応体制を取ること、対応についての判断を行うため5W1Hの観点で調査し情報を整理すること、対策本部で対応方針を決定すること、被害の拡大防止と復旧のための措置を行うことが必要となる。また、漏洩した個人情報の本人、取引先などへの通知、監督官庁等への報告、ホームページやマスコミ等による公表についても検討する必要がある。
-
中小企業における組織的な情報セキュリティ対策ガイドライン事例集【2012年9月3日IPA】
-
Case 1. 従業員の情報持ち出し
- 様々な情報が分類・整理されていない
- 従業員が機密情報か否かを判別できない
- 重要な情報に誰でもアクセスできるようになっている(アクセス制御が出来ていない)
-
Case 2. 退職者の情報持ち出し、競合他社への就職
- 退職後の機密保持策や競業避止対策の未整備
- 営業秘密管理の不徹底
-
Case 3. 従業員による私物PCの業務利用と Winnyの利用による業務情報の漏洩事故
- 業務に必要なPCを支給していなかった
- 規定の存在が周知されていなかった
- 守られることが期待されない実効性の低い社内規定の存在
- 情報が第三者に流出した場合も想定した対策の不備
-
Case 4. ホームページへの不正アクセス
- 開発管理の不備
- 脆弱な運用体制
- 不十分な不正アクセス対策
- 事故対応体制の未整備
-
Case 5. 無許可の外部サービスの利用
- 外部サービスの無許可利用
- 外部サービスのサービス内容についての不十分な理解
-
Case 6. 委託した先からの情報漏えい
- 委託先管理の不十分さ
- 法令遵守に対する意識の低さ
-
Case 7. 在庫管理システム障害の発生
- 事業継続への意識の低さ
-
Case 8. 無線LANのパスワードのいい加減な管理
- 無線LANの危険性に対する認識の不足
- パスワード管理の重要性に対する認識の不足
-
Case 9. IT管理者の不在
- 特定の個人や委託先のスキルに依存しすぎている
- 代替要員やマニュアル等の未整備
-
Case 10. 電子メール経由でのウイルス感染
- ウイルス対策ソフト等の動作の確認を定期的にしていない
- ウイルス対策等が十分に出来ないPCへの考慮が不十分
- エンドユーザーがシステム構成等を変更することへの考慮が不十分
- 付録1:情報セキュリティ対策チェックリスト
-
SECURITY ACTION【2017年4月IPA】
- 中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度
-
経営に欠かせない 情報セキュリティ
- IT社会では、企業経営においても、IT活用による「攻め」と同時に、情報セキュリティによる「守り」が不可欠です。身近なところから情報セキュリティ対策を始めましょう。
-
一つ星
- 中小企業の情報セキュリティ対策ガイドライン付録の「情報セキュリティ5か条」に取組むことを宣言した中小企業等であることを示すロゴマーク
- 情報セキュリティ5か条
-
二つ星
- 中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、情報セキュリティポリシー(基本方針)*1を定め、外部に公開したことを宣言した中小企業等であることを示すロゴマーク
- 5分でできる!情報セキュリティ自社診断パンフレット(PDF)
- 5分でできる!情報セキュリティ自社診断シート(PDF)
- 中小企業の情報セキュリティ対策ガイドライン(PDF)
- SECURITY ACTIONロゴマークの使用申込
-
中小企業における情報セキュリティの普及促進に関する共同宣言
- 第四次産業革命の波が押し寄せる中、急速に変化する社会に対応するために、中小企業においてもITの利活用による新たな商品・サービスの開発、業務の高度化・効率化等が重要になってくる
- しかし、ITの利活用の進展と相まって、サイバー攻撃・犯罪の巧妙化等により、情報セキュリティ上の脅威がこれまで以上に悪質化・多様化してきている
- そのため、中小企業におけるITの利活用の拡大に向け、中小企業における情報セキュリティへの意識啓発及び自発的な対策の策定、実践を推進するよう、下記団体は連携して活動することを宣言する
-
連携団体
- 一般社団法人中小企業診断協会
- 全国社会保険労務士会連合会
- 全国商工会連合会
- 全国中小企業団体中央会
- 特定非営利活動法人ITコーディネータ協会
- 特定非営利活動法人日本ネットワークセキュリティ協会
- 独立行政法人情報処理推進機構
- 独立行政法人中小企業基盤整備機構
- 日本商工会議所
- 日本税理士会連合会
-
企業向け(全ての企業・組織)
-
情報セキュリティ白書2017【2017年7月IPA】
- 序章 2016年度の情報セキュリティの概況
-
第1章 情報セキュリティインシデント・脆弱性の現状と対策
- 1.1 2016年度に観測されたインシデント状況
- 1.2 情報セキュリティインシデント別の状況と事例
- 1.3 攻撃・手口の動向と対策
- 1.4 情報システムの脆弱性の動向
- 1.5 情報セキュリティ対策の状況
-
第2章 情報セキュリティを支える基盤の動向
- 2.1 日本の情報セキュリティ政策の状況
- 2.2 情報セキュリティ関連法の整備状況
- 2.3 国別・地域別の情報セキュリティ政策の状況
- 2.4 情報セキュリティ人材の現状と育成
- 2.5 情報セキュリティマネジメント
- 2.6 国際標準化活動
- 2.7 評価認証制度
- 2.8 情報セキュリティの普及啓発活動
- 2.9 情報セキュリティ産業の規模と成長の動向
- 2.10 その他の情報セキュリティの状況
-
第3章 個別テーマ
- 3.1 制御システムの情報セキュリティ
- 3.2 IoTの情報セキュリティ
- 3.3 スマートデバイスの情報セキュリティ
- 3.4 金融の情報セキュリティ
- 3.5 オリンピックに向けた情報セキュリティ対策
-
付録 情報セキュリティ10大脅威2017・資料・ツール
- 情報セキュリティ10大脅威2017
- 資料A 2016年のコンピュータウイルス届出状況
- 資料B 2016年のコンピュータ不正アクセス届出状況
- 資料C ソフトウェア等の脆弱性関連情報に関する届出状況
- ツール 各ツールの紹介
-
情報セキュリティ白書2016【2016年7月IPA】
- 第Ⅰ部 情報セキュリティの概要と分析
-
序章 2015年度の情報セキュリティの概況~10の主な出来事~
- 標的型攻撃により日本年金機構から個人情報が流出
- インターネットバンキングの不正送金、被害額は過去最悪を更新
- オンライン詐欺・脅迫被害が拡大
- 広く普及しているソフトウェアの脆弱性が今年も問題に
- DDoS攻撃の被害が拡大、IoT端末が狙われる
- 重要インフラへの攻撃と重要インフラのセキュリティを強化する国内の取り組み
- 法改正による政府機関のセキュリティ強化
- 企業のセキュリティ強化に経営層の参画が重要
- セキュリティ人材育成への取り組み
- 自動車・IoTのセキュリティ脅威が高まる
-
第1章情報セキュリティインシデント・脆弱性の現状と対策
-
1.1 2015年度に観測されたインシデント状況
- 1.1.1 世界における情報セキュリティインシデント状況
- 1.1.2 国内における情報セキュリティインシデント状況
-
1.2 情報セキュリティインシデント別の状況と事例
- 1.2.1 広く普及しているソフトウェアの脆弱性
- 1.2.2 活動妨害を狙った攻撃
- 1.2.3 インターネットバンキングを狙った攻撃
- 1.2.4 個人情報の大量取得を狙った攻撃
- 1.2.5 政府関連・重要インフラの機密情報を狙った攻撃
- 1.2.6 オンライン詐欺
- 1.2.7 ランサムウェアによる被害
- 1.2.8 内部者による情報の不正な持ち出し
- 1.2.9 不適切な運用による情報漏えい
-
1.3 攻撃・手口の動向と対策
- 1.3.1 広く普及しているソフトウェアの脆弱性を悪用する攻撃
- 1.3.2 巧妙化する標的型攻撃
- 1.3.3 巧妙化するばらまき型メール
- 1.3.4 DDoS攻撃
- 1.3.5 インターネットバンキングを狙った攻撃
- 1.3.6 オンライン詐欺
- 1.3.7 ランサムウェア
-
1.4 情報システムの脆弱性の動向
- 1.4.1 脆弱性対策情報の登録状況
- 1.4.2 脆弱性の状況
- 1.4.3 脆弱性評価の取り組み
-
1.5 情報セキュリティ対策の状況
- 1.5.1 企業における対策状況
- 1.5.2 政府における対策状況
- 1.5.3 地方公共団体における対策状況
- 1.5.4 教育機関における対策状況
- 1.5.5 一般利用者における対策状況
-
第2章情報セキュリティを支える基盤の動向
-
2.1 日本の情報セキュリティ政策の状況
- 2.1.1 政府全体の政策動向
- 2.1.2 経済産業省の政策
- 2.1.3 総務省の政策
- 2.1.4 警察におけるサイバー犯罪対策
- 2.1.5 電子政府システムの安全性確保への取り組み
-
2.2 情報セキュリティ関連法の整備状況
- 2.2.1 行政機関個人情報保護法等の改正
- 2.2.2 サイバーセキュリティ基本法の改正
- 2.2.3 情報処理の促進に関する法律の改正
-
2.3 国別・地域別の情報セキュリティ政策の状況
- 2.3.1 国際社会と連携した取り組み
- 2.3.2 米国のセキュリティ政策
- 2.3.3 欧州のセキュリティ政策
- 2.3.4 アジア各国におけるセキュリティへの取り組み
- 2.3.5 アフリカ地域におけるセキュリティへの取り組み
-
2.4 情報セキュリティ人材の現状と育成
- 2.4.1 情報セキュリティ人材の育成に関する政策と政府の取り組み事例
- 2.4.2 情報セキュリティ人材育成のための資格制度
- 2.4.3 情報セキュリティ人材育成のための活動
-
2.5 情報セキュリティマネジメント
- 2.5.1 情報セキュリティ対策の実施状況
- 2.5.2 情報セキュリティマネジメントシステム(ISMS)と関連規格
-
第3章個別テーマ
-
3.1 SSL/TLSの安全な利用に向けて
- 3.1.1 安全性と相互接続性を考慮した三つの設定基準
- 3.1.2 要求設定の概要
- 3.1.3 チェックリストと具体的な設定方法の紹介
-
3.2 自動車の情報セキュリティ
- 3.2.1 2015年度の攻撃研究事例
- 3.2.2 各国の取り組み
- 3.2.3 今後の見通し
-
3.3 制御システムの情報セキュリティ
- 3.3.1 制御システムの概要
- 3.3.2 制御システムのインシデント事例
- 3.3.3 海外における制御システムセキュリティの動向
- 3.3.4 国内における制御システムセキュリティの動向
-
3.4 IoTの情報セキュリティ
- 3.4.1 今、そこにあるIoTのセキュリティ脅威
- 3.4.2 IoTセキュリティへの取り組み
-
3.5 スマートデバイスの情報セキュリティ
- 3.5.1 スマートデバイスの普及状況
- 3.5.2 スマートデバイスを取り巻く脅威
- 3.5.3 今後の展望
-
3.6 情報システムにおけるログ管理の現状と対策
- 3.6.1 ログ管理の必要性
- 3.6.2 企業におけるログ管理の現状と課題
- 3.6.3 ログ管理ソフトウェアの特徴とログ管理要件
- 3.6.4 ログ管理の導入プロセス
- 3.6.5 取り組むべきログ管理のステップ
-
第II部 情報セキュリティ10大脅威2016 ~個人と組織で異なる脅威、立場ごとに適切な対応を~
- 情報セキュリティ10大脅威2016
-
付録 資料・ツール
- 資料A 2015年のコンピュータウイルス届出状況
- 資料B 2015年のコンピュータ不正アクセス届出状況
- 資料C ソフトウェア等の脆弱性関連情報に関する届出状況
-
ツール1 企業や組織の情報セキュリティ対策自己診断テスト(情報セキュリティ対策ベンチマーク)
- 本ツールの設間は、ISMS認証基準であるJIS Q 27001:2006をもとに作成された「セキュリティ対策の取り組み状況に関する評価項目」27間と、自社の状況を回答する「企業プロフィールに関する評価項目」19間の計46間で構成しています
-
ツール2 脆弱性体験学習ツール「AppGoat」―突いてみますか?脆弱性!―
- 職場や自宅のパソコンにインストールし、ナビゲーシ∃ンに従つて脆弱性の検証手法から原理、影響、対策までを自習することができる
-
ツール3 脆弱性対策情報データベース「JVN iPedia」
- 入手したい情報が特定されている場合に、検索機能によって効果的に探すことが可能です
-
ツール4 MyJVN脆弱性対策情報収集ツール
- JVN IPediaに登録された情報の中から、利用者自身に関係する情報のみを効率的に収集できるよう、IPAが開発したツール
- ツール5 MyJVNバージョンチェッカ
- ツール6 MyJVNセキュリテイ設定チェッカ
- ツール7 サイバーセキュリティ注意喚起サービス「icat for JSON」
- ツール8 ウェブサイトの攻撃兆候検出ツール「iLogscanner」
- ツール9 知つていますか?脆弱性-アニメで見るウェブサイトの脅威と仕組み-
- ツール10 5分でできる!情報セキュリティポイント学習-事例で学ぶ中小企業のためのセキュリティ対策-
- ツール11 情報セキュリテイ対策支援サイト「iSupport」
- ツール12 セキュリテイ要件確認支援ツール
- ツール13 情報セキュリテイ・ポータルサイト「ここからセキュリテイ!」
- ツール14 JPEGテスト支援ツール「iFuzzMaker」
- ツール15 情報漏えい対策ツール
-
企業(組織)における最低限の情報セキュリティ対策のしおり【2015年8月21日IPA】
- 情報セキュリティ対策とは
- 5分でできる!中小企業のための情報セキュリティ自社診断
-
情報(資産)の扱いは
-
№1 保管について
- 重要情報を机の上に放置せず鍵付き書庫に保管し施錠するなどのように、重要情報がみだりに扱われないようにしていますか?
-
№2 持ち出しについて
- 重要情報を社外へ持ち出す時はパスワードロックをかけるなどのように、盗難・紛失対策をしていますか?
- サブトピック 2
-
№3 廃棄について(紙媒体等)
- 重要な書類やCDなどを廃棄する場合は、シュレッダーで裁断するなどのように、重要情報が読めなくなるような処分をしていますか?
-
№4 廃棄について(電子機器・電子媒体等)
- 重要情報の入ったパソコン・記憶媒体を廃棄する場合は、消去ソフトを利用したり、業者に消去を依頼するなどのように、電子データが読めなくなるような処理をしていますか?
-
事務所では
-
№5 事務所について
- 事務所で見知らぬ人を見かけたら声をかけるなどのように、無許可の人の立ち入りがないようにしていますか?
-
№6 事務所について
- 退社時に、机の上の備品やノートパソコンを引き出しに片付けるなどのように、盗難防止対策をしていますか?
-
№7 事務所について
- 最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所の施錠を管理していますか?
-
パソコンは
-
№8 パソコンについて
- Windows Update を行うなどのように、常にソフトウェアを安全な状態にしていますか?
-
№9 パソコンについて
- ファイル交換ソフト を入れないようにするなどのように、ファイルが流出する危険性が高いソフトウェアの使用を禁止していますか?
-
№10 パソコンについて
- 社内外での個人パソコンの業務使用を許可制にするなどのように、業務で個人パソコンを使用することの是非を明確にしていますか?
-
№11 パソコンについて
- 退社時にパソコンの電源を落とすなどのように、他人に使われないようにしていますか?
-
パスワードは
-
№12 パスワードについて
- パスワードは自分の名前を避けるなどのように、他人に推測されにくいものに設定していますか?
-
№13 パスワードについて
- パスワードを他人が見えるような場所に貼らないなどのように、他人にわからないように管理していますか?
-
№14 パスワードについて
- ログイン用のパスワードを定期的に変更するなどのように、他人に見破られにくくしていますか?
-
ウイルス対策は
-
№15 ウイルス対策について
- パソコンにはウイルス対策ソフトを入れるなどのように、怪しいWebサイトや不審なメールを介したウイルスから、パソコンを守るための対策をおこなっていますか?
-
№16 ウイルス対策について
- ウイルス対策ソフトのウイルス定義ファイルを自動更新するなどのように、常に最新のウイルス定義ファイルになるようにしていますか?
-
メールは
-
№17 メールについて
- 電子メールを送る前に、目視にて送信先アドレスの確認をするなどのように、宛先の送信ミスを防ぐ仕組みを徹底しいますか?
-
№18 メールについて
- お互いのメールアドレスを知らない複数人にメールを送る場合は、Bcc 機能を活用するなどのように、メールアドレスを誤って他人に伝えてしまわないようにしていますか?
-
№19 メールについて
- 重要情報をメールで送る場合は、重要情報を添付ファイルに書いてパスワード保護するなどのように、重要情報の保護をしていますか?
-
バックアップは
-
№20 バックアップについて
- 重要情報のバックアップを定期的に行うなどのように、故障や誤操作などに備えて重要情報が消失しないような対策をしていますか?
-
従業員・取引先は
-
№21 従業者について
- 採用の際に守秘義務があることを知らせるなどのように、従業者に機密を守らせていますか?
-
№22 従業者について
- 情報管理の大切さなどを定期的に説明するなどのように、従業者に意識付けを行っていますか?
-
№23 取引先について
- 契約書に秘密保持(守秘義務)の項目を盛り込むなどのように、取引先に機密を守ることを求めていますか?
-
事故対応・セキュリティルールは
-
№24 事故対応について
- 重要情報の流出や紛失、盗難があった場合の対応手順書を作成するなどのように、事故が発生した場合に備えた準備をしていますか?
-
№25 ルールについて
- 情報セキュリティ対策(№1~№24 など)を会社のルールにするなどのように、情報セキュリティ対策の内容を明確していますか?
-
いかがでしたか
- 情報セキュリティ(対策)実施の成功ポイント(PDCAサイクル)
- 参考情報
- 5分でできる!!情報セキュリティポイント学習
-
組織における内部不正防止ガイドライン(日本語版) 第4版ガイドライン【2017年1月31日IPA】
- 1.背景
-
2.概要
- 2-1.内部不正防止の基本原則
- 2-2.本ガイドラインの構成と活用方法
- 2-3.内部不正対策の体制構築の重要性
-
2-4.内部不正対策の体制
- 2-4-1.最高責任者
- 2-4-2.総括責任者
- 2-4-3.総括責任者の任命について
- 2-4-4.各部門/担当者の参画及び協力体制
-
3. 用語の定義と関連する法律
- 3-1.用語
- 3-2.関連する法律
-
4. 内部不正を防ぐための管理のあり方
- 4-1.基本方針(経営者の責任、ガバナンス)
-
4-2.資産管理(秘密指定、アクセス権指定、アクセス管理等)
- 4-2-1.秘密指定
- 4-2-2.アクセス権指定
- 4-3.物理的管理
- 4-4.技術・運用管理
- 4-5.証拠確保
- 4-6.人的管理
- 4-7.コンプライアンス
- 4-8.職場環境
- 4-9.事後対策
- 4-10.組織の管理
- 付録Ⅰ:内部不正事例集
- 付録Ⅱ:内部不正チェックシート
- 付録Ⅲ:Q&A 集
- 付録Ⅳ:他ガイドライン等との関係
- 付録Ⅴ:基本方針の記述例
- 付録Ⅵ:内部不正防止の基本5原則と25分類
- 付録Ⅶ:対策の分類
-
スマートフォン等の業務利用における情報セキュリティ対策の実施手順策定手引書【2015年 5月21日NISC】
-
1.総則
- 1.1 本書の目的・位置付け
- 1.2 本書が対象とする者
- 1.3 本書の使い方
- 1.4 用語の定義
-
2.スマートフォン等の特性と業務利用におけるリスク
- 2.1 スマートフォン等の特性
-
2.2 スマートフォン等の特性及び業務利用における脅威
- 表2-1 スマートフォン等の業務利用における脅威と対策の例
-
3.スマートフォン等の業務利用の形態
- 3.1 端末の配備
- 3.2 利用する場所
- 3.3 私物端末の利用
- 3.4 情報システムの利用形態
-
4.目的及び適用範囲の明確化
- 4.1 目的の明確化
- 4.2 対象とする業務
- 4.3 利用者
-
5.業務・サービスの利用要件の策定
- 5.1 端末やOSの種類
-
5.2 端末機能・サービスの要件
- 表5-1 端末機能・サービスの利用要件及び利用制限の例
- 5.3 業務用アプリの導入
- 5.4 通信ネットワークの要件
-
5.5 情報セキュリティ対策要件
- (1) ソフトウェアの脆弱性対策
- (2) 不正プログラム対策
- (3) のぞき見防止対策
- (4) 盗難・紛失対策
- (5) ログ管理機能
- (6) 端末管理ツール(MDM:Mobile Device Management)の導入
- 表5-2 MDMの主な機能
- 端末ロックの遠隔制御
- 端末個体ごとに、遠隔制御でロック、アンロックを実施
- リモートデータワイプ
- 端末内全データ削除、個別データ/特定フォルダ削除、業務領域のみ削除 等
- 暗号化
- 外部メモリ出力時のデータ暗号化/復号、個別データの暗号化/復号
- 端末機能制御
- カメラ、スクリーンショット、近距離無線通信、外部メモリ出力等の機能制限
- 端末状態監視
- 端末状態の取得(OS、アプリ、改造の有無、起動中アプリ 等)
- 死活監視、ログ収集、位置情報取得、アラートメールの送信、管理者向け統計処理
- ポリシー設定及び実行
- パスワードポリシー設定、MDMポリシー(リモートデータワイプの条件、機能制限 等)設定
- メーラーや無線LAN接続、証明書等の端末構成の設定変更 等
- 資産管理
- 端末所有者の属性管理や端末個体情報(機種、電話番号 等)の管理 等
- アプリ配信及び削除
- 業務用アプリの配信と自動インストール、遠隔削除
- アプリ利用制限
- 非公認アプリのインストール制限や強制終了、アプリのアクセス許可制御
- 外部媒体経由のアプリインストール制御 等
- MDMサーバ接続
- SSL・VPNによる通信路暗号化、GCM等によるエージェント・MDMサーバ間通信路の維持 等
- フィルタリング機能
- ウェブフィルタ、メールフィルタ等の設定情報管理やアクセスログの収集
- 不正プログラム対策ソフトウェアの管理
- 不正プログラム対策ソフトウェアのバージョンやパターンファイルの管理、最新版への更新、スキャンログの収集、スキャン実行の要求 等
- バックアップ
- 端末データのバックアップやリスア
-
5.6 私物端末の業務利用に際して留意すべき事項
- 表5-3 私物端末の業務利用する際に留意すべき事項と要件策定例
- 業務情報と私的な情報の混在の回避
- 端末内の私的な情報と業務情報を混在させないよう、これらを明確に分けるための仕組みを導入する
- 業務用アプリ導入又は端末に業務情報を保存させない仕組みを導入する
- 家族や友人への貸与の禁止
- 私的な利用においても家族や友人が利用することを禁止することを合意した者のみに私物端末の利用を認める
- 外出先等での端末の盗難・紛失
- 業務利用する際の利用場所を限定する
- 私的利用時を含めて端末ロックやデータワイプ機能の設定を必須し、対策の実施について合意した者のみに私物端末の利用を認める
- 利用するネットワークの制限
- 私的な利用時であっても安全性の確認できないサイトや通信ネットワークへの接続を禁止するなどの利用手順を策定し、合意した者のみに私物端末の利用を認める
- ソフトウェア更新や不正プログラム対策の実施
- ソフトウェア更新や不正プログラム対策ソフトウェアの実行を義務付け、合意したのみに私物端末の利用を認める(OSの更新により業務用アプリが正常動作しなくなる可能性について留意が必要)
- 業務用アプリのインストール
- 業務用アプリのインストール可能な端末を所有していて、かつインストールに合意した者のみに私物端末の利用を認める
- 点検内容の明確化
- 業務用アプリ、MDMやMAMにより点検を自動化する
- あらかじめ点検内容を明確化し、合意した者のみに私物端末の利用を認める
-
6.実施手順の整備
- 6.1 責任者の設置と運用管理体制の整備
-
6.2 利用手順の整備
- 表6-1 利用者が遵守すべき端末の利用手順に関する注意事項の例
- 利用の原則
- 行政事務の遂行以外の目的で端末を利用しないこと
- 不要不急な業務においては極力利用しないこと
- 不要な情報は端末に残留させず、速やかに消去すること
- 他の手段が無い場合に限り利用すること
- 利用手順の遵守
- 利用手順を遵守すること
- 定められた手順以外の方法で業務を行わないこと
- 手順外の処理を行う必要が生じた場合は、事前に責任者の許可又は承認を得ること
- 利用を終了した場合は、速やかに手続すること
- 利用中にインシデント等が発生した場合は、手順に従って管理者等へ速やかに連絡し、必要な措置を講ずること
- 端末管理の徹底
- 盗難・紛失が起こらないように、日常的に端末の管理を厳重に行うこと
- 家族や知人、第三者が端末操作や画面をのぞき見する行為に注意すること
- 禁止事項
- 管理責任者の許可なく、端末の設定を変更しないこと
- 安全性が確認できないアプリケーションや利用が禁止されているソフトウェアをインストールしないこと
- 許可された通信回線以外に接続しないこと
- PCに接続しないこと(充電等の場合であってもNG)
- 端末は家族や知人、第三者に端末を貸与しないこと
- 6.3 運用管理手順の整備
-
情報セキュリティ読本 四訂版- IT時代の危機管理入門 -【2014年11月4日IPA】
- 第4章 組織の一員としての情報セキュリティ対策
-
1. 1. 組織のセキュリティ対策
- 計画(Plan) - 体制の整備とポリシーの策定
- 実行(Do) - 導入と運用
- 点検(Check) - 監視と評価
- 処置(Act) - 見直しと改善
-
1.1. 1) 計画(Plan)- 体制の整備とポリシーの策定
- 組織内の体制を確立する
- セキュリティポリシーを策定する
- 対策事項の立案と手順書の整備
- 1.1.1. 組織内の体制を確立する
- 情報セキュリティを推進するための体制を組織内に作ることが出発点
- 実施担当者と、その役割、権限、責任を定める
- 望ましい体制
- 経営陣が中心となって取り組む
- 全社横断的な体制
- トップダウンの管理体制
- 1.1.2. セキュリティポリシーの策定
- セキュリティポリシーとは
- 組織として一貫したセキュリティ対策を行うために、組織のセキュリティ方針と対策の基準を示したもの
- セキュリティポリシーの階層
- 基本方針
- 対策基準
- 対策実施手順
- 策定前の準備
- 情報資産の「何を守るのか」を決定する
- 「どのようなリスクがあるのか」を分析する
- 責任者と担当者を明確にする
- 組織体の長=情報セキュリティの最高責任者
- 1.1.3. 対策事項の立案と手順書の整備
- 対策基準とは
- 情報資産を脅威から守る方法を具体的に定めたもの
- 実施手順とは
- 対策基準を実際の行動に移す際の手順書(マニュアルのようなもの)
- 最初に設定する内容とその手順
- 定期的に実施する対策の手順
- インシデント発生時の対策と手順
-
1.2. 2) 実行(Do)- 導入と運用
- 導入フェーズ
- 運用フェーズ
- 1.2.1. 導入フェーズ
- 構築と設定
- ウイルス対策ソフトやファイアウォールなどのセキュリティ装置の導入、暗号機能の導入
- OS、アプリケーションのセキュリティ設定
- 設定における注意点
- デフォルト設定は使用しない
- 不要なサービスの停止
- 脆弱性の解消
- 最新の修正プログラムを適用
- レベルに応じたアクセス制御
- 組織のメンバーごとにアクセスレベルを設定
- アクセスできる範囲と操作権限を制限する
- 1.2.2. 運用フェーズ
- セキュリティポリシーの周知徹底とセキュリティ教育
- 役割と責任、セキュリティ対策上のルールを周知
- 被害に遭わないために脅威と対策を教える
- 脆弱性対策
- 定期的な情報収集とパッチの適用
- 異動/退職社員のフォロー
- 退職者のアカウントは確実に削除(セキュリティホールになりうる)
-
1.3. 3) 点検(Check) - 監視と評価 -
- 監視と評価
- セキュリティ事故への対処
- 1.3.1. 監視と評価
- ネットワークを監視し、異常や不正アクセスを検出する
- 通信、不正アクセスの監視
- 異常検知、不正アクセス検知、脆弱性検査
- ポリシーが守られているか自己または第三者による評価を行う
- 自己点検(チェックリストなどにより実施)
- 情報セキュリティ対策ベンチマークでの自己診断
- 情報セキュリティ監査
- 1.3.2. セキュリティ事故への対処
- セキュリティポリシーに則ったインシデント対応
- 特に注意すべき点
- 被害状況を調査し、二次災害を防ぐ
- 原因を特定し、再発防止策を徹底する
- 実施した対応の記録、各種届出(必要な場合)
- 対応窓口を設置し、正確な情報を提供する
-
1.4. 4) 処置(Act) - 見直しと改善
- セキュリティポリシーを見直し、改善点を検討する
- セキュリティマネジメントサイクルの実施にともない、情報セキュリティ対策を高めることが重要
-
2. 2. 従業員としての心得
- 規則を知り、遵守する
- 情報セキュリティ上の脅威と対策を知る
-
「自分だけは…」、「これぐらいなら…」は通用しない
- 必ず上司に報告・相談する
- 特に、情報漏えいに気を付ける
-
3. 3. 気を付けたい情報漏えい
- 情報漏えいの経路と原因
- 情報漏えいを防止するための管理対策のポイント
- 企業や組織の一員としての情報セキュリティ心得
-
3.1. 情報漏えいの経路と原因
- 情報漏えいの経路
- PC本体、スマートフォン、タブレット端末、
- 外部記憶媒体(USBメモリなど)、
- 紙媒体、P2Pファイル交換ソフト
- 情報漏えいの原因
- 管理ミス、誤操作、紛失・置忘れが約8割
- 人為的なミスを防ぐことが重要
-
3.2. 情報漏えいを防止するための管理対策のポイント
- P2Pファイル交換ソフトは使用しない
- 私物パソコン等を業務で使用しない(持ち込ませない)
- 個人情報や機密情報を外部に持ち出さない(記憶媒体にコピーしない)
- 社用のノートパソコンを持ち出す場合は、ルールを決めて厳密に管理する
-
3.3. 企業や組織の一員としての情報セキュリティ心得
- 企業や組織の情報や機器を、許可なく持ち出さない
- 私物のノートパソコンやプログラムなどを、許可なく、企業や組織に持ち込まない
- 企業や組織の情報や機器を未対策のまま放置しない
- 企業や組織の情報や機器を未対策のまま廃棄しない
- 個人に割り当てられた権限を他の人に貸与または譲渡しない
- 業務上知り得た情報を公言しない
- 情報漏えいを起こした場合は速やかに報告する
-
4. 4. 終わりのないプロセス
- 一度、導入・設定すればそれで終わり、というものではない。
- 運用、見直し、フィードバックを繰り返すプロセスが必要。
- 技術面だけでなく、管理面も強化する
- 技術的対策と管理的対策はクルマの両輪の関係
-
5. 情報セキュリティにおけるさまざまな対策
- 参考) IPAセキュリティセンター「情報セキュリティマネジメントについて」
- http://www.ipa.go.jp/security/manager/protect/management.html
- 参考)読者層別:情報セキュリティ対策実践情報:
- http://www.ipa.go.jp/security/awareness/awareness.html
-
情報セキュリティ 10 大脅威【IPA】
-
情報セキュリティ 10 大脅威(組織)【2017年3月IPA】
-
標的型攻撃による情報流出
- ウイルスを添付したメールや、不正なWebサイトへ誘導するためのURLを記載したメール
- チェックリスト
- □送信者の名前やアドレスが見慣れないものである。
- □組織内の話題なのに、外部のメールアドレスから届いている。
- □フリーのメールアドレスから届いている。
- □添付ファイルを開くよう、記載URLをクリックするよう不自然に誘導している。
- □「緊急」などと急がせて、メールの内容を吟味させまいとしている。
- □送信者の署名が無いか曖昧である。
- □送信者の名前や組織名として、架空のものを名乗っている。
- □受信者が信頼しそうな組織になりすまし、ウェブでの公開情報を送付してくる。
- □上記以外で不審な箇所がある。
- 経営者層
- •問題に迅速に対応できる体制の構築
- •対策予算の確保と継続的な対策実施
- システム管理者
- •情報の取扱い・保管状態の確認
- •システム設計対策・アクセス制限
- •ネットワーク監視・分離
- セキュリティ担当部署
- •セキュリティ教育の実施
- •情報の保管方法ルール策定
- •サイバー攻撃に関する情報共有
- 従業員・職員
- •セキュリティ教育の受講
- •OS・ソフトウェアの更新
- •ウイルス対策ソフトの導入・更新
-
ランサムウェアを使った詐欺・恐喝
- 悪意のあるプログラムによって、PC内のファイルが閲覧・編集できない形に暗号化され、ファイル復元の身代金として、利用者が金銭を要求される被害
- PC利用者
- •定期的なバックアップ(PCだけではなく、共有サーバーも)
- また、復元できるかの事前の確認
- •OS・ソフトウェアの更新
- •ウイルス対策ソフトの導入・更新
- •メールの添付ファイル・リンクのURLを不用意に開かない
- スマートフォン利用者
- •ウイルス対策ソフトの導入・更新
-
ウェブサービスからの個人情報の搾取
- ウェブサービス運営者
- •セキュアなウェブサービスの構築
- (登録する個人情報も必要最低限に)
- •OS・ソフトウェアの更新
- •WAF・IPSの導入
- ウェブサービス利用者
- •不要な情報は極力サイトに登録しない
-
サービス妨害攻撃によるサービスの停止
- 個人・組織
- •OS・ソフトウェアの更新
-
内部不正による情報漏えいとそれに伴う業務停止
- 組織
- •情報取扱ポリシー作成および周知徹底・機密保護に関する誓約
- •資産の把握・体制の整備
- •情報の取扱教育の実施
- •重要情報の管理・保護
- •アカウント、権限の管理・定期監査
- •システム操作の記録・監視
- サービス利用者
- •情報の管理が適切かを確認
-
ウェブサイトの改ざん
- ウェブサイト運営者
- •OS・サーバーソフトウェアの更新
- •サーバーソフトウェアの設定の見直し
- •ウェブアプリケーションの脆弱性対策
- •アカウント・パスワードの適切な管理
- •信頼できないサーバーソフトウェアを利用しない
- •改ざん検知ソフトウェアの利用
- ウェブサイト利用者
- •OS・ソフトウェアの更新
- •ウイルス対策ソフトの導入
-
ウェブサービスへの不正ログイン
- 攻撃者が不正に入手したIDやパスワードでログインを試みる
-
IoT 機器の脆弱性の顕在化
- IoT 機器のボットネットを悪用した大規模なDDoS 攻撃を観測
- 攻撃手口
- IoT 機器の脆弱性を悪用してウイルスに感染させる
- ウイルス感染したIoT 機器をボットとして悪用して、インターネット上にウイルス感染した機器を増殖させる
- ボットに感染したIoT 機器群を攻撃者が遠隔から操作し、ウェブサイトの公開サービス等をDDoS 攻撃で麻痺させる
- IoT 機器からの機密情報を窃取する
- 組織(IoT機器の開発者)
- 初期パスワード変更の強制化
- セキュアプログラミング技術の適用
- 脆弱性の解消(脆弱性検査、ソースコード検査、ファジング等)
- ソフトウェア更新手段の自動化
- 分り易い取扱説明書の作成
- 迅速なセキュリティパッチの提供
- 不要な機能の無効化(telnet 等)
- 安全なデフォルト設定
- 設計の見直し:
- 機器の中で複数のパスワードを管理する場合、パスワードの変更漏れがないよう
- に設計を見直す。
- 利用者への適切な管理の呼びかけ:IoT 機器の利用者は必ずしも情報リテラシーが高いとは限らない。マニュアルやウェブページ等で適切な管理を呼びかけることも重要である。
- 組織(システム管理者・利用者)、個人
- 情報リテラシーの向上
- 機器使用前に取扱説明書を確認
- 初期設定済のパスワードを変更
- 被害の予防
- 不要な機能の無効化(telnet 等):利用上の注意や初期設定から変更が必要な設定等を把握し、適切に運用する。
- 外部からの不要アクセスを制限
- ソフトウェアの更新(自動化設定を含む)
-
攻撃のビジネス化(アンダーグラウンドサービス)
- ~サイバー犯罪を目的としたサービスやツールの売買~
- 攻撃手口
- ツールやサービスを購入し攻撃
- 組織(PC 利用者)
- 情報リテラシーの向上
- セキュリティ教育の受講
- 受信メール、ウェブサイトの十分な確認
- 添付ファイルやリンクを安易にクリックしない
- 事例・手口の情報収集
- 被害の予防
- OS・ソフトウェアの更新
- セキュリティソフトの導入
- 多要素認証等の強い認証方式の利用
- 被害の早期検知
- 不審なログイン履歴の確認
- 被害を受けた後の対策
- バックアップからの復旧
- 組織(システム管理者)
- 被害の予防
- DDoS 攻撃の影響を緩和するISP 等によるサービスの利用
- システムの冗長化等の軽減策
- 被害を受けた後の対策
- 通信制御(DDoS 攻撃元をブロック等)
- ウェブサイト停止時の代替サーバーの用意(告知手段)
-
インターネットバンキングやクレジットカード情報の不正利用
- •OS・ソフトウェアの更新
- •ウイルス対策ソフトの導入
- •事例や手口を知る
- •二要素認証等の強い認証方式の利用
-
踏み台にならないため、利用している機器も含めて管理
- 組織
- •DDoS攻撃の影響を緩和するISP等によるサービスの利用
- •通信制御(DDoS攻撃元をブロック等)
- •システムの冗長化等の軽減策
- •サイト停止時の代替サーバーの用意
-
脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
- システム管理者
- •担当するシステムの把握・管理の徹底
- •継続的な脆弱性対策情報の収集
- •脆弱性発見時の対応手順の作成
- •ソフトウェアの更新または緩和策
- •ネットワークの適切なアクセス制限
- ソフトウェア利用者
- •利用しているソフトウェアの把握
- •定期的な脆弱性情報の収集
- •ソフトウェアの更新または緩和策
- ソフトウェア開発ベンダー
- •製品に組み込まれているソフトウェアの把握・管理の徹底
- •継続的な脆弱性対策情報の収集
- •脆弱性発見時の対応手順の作成
- •情報を迅速に展開できる仕組みの整備
-
過失による情報漏えい
- ルールの明文化と遵守
- フールプルーフ
- ヒューマンエラー(利用者が行う誤った操作)が起こっても、危険な状況にならないようにするか、そもそも間違った操作が出来ないようにする設計
-
企業・組織の対策|国民のための情報セキュリティサイト【総務省】
-
組織幹部のための情報セキュリティ対策
- 【技術的対策】
- 情報セキュリティ対策の必要性
- 情報セキュリティの概念
- 必要な情報セキュリティ対策
-
情報セキュリティマネジメントとは
- 情報セキュリティマネジメントの実施サイクル
- 情報セキュリティポリシーの概要と目的
- 情報セキュリティポリシーの内容
- 情報セキュリティポリシーの策定
- 情報セキュリティ教育の実施
- 情報セキュリティポリシーの評価と見直し
- 事故やトラブル発生時の対応
- 個人情報取扱事業者の責務
-
社員・職員全般の情報セキュリティ対策
- 安全なパスワード管理
- ソフトウェアの情報セキュリティ対策
- ウイルス対策
- 電子メールの誤送信
- 標的型攻撃への対策
- 悪意のあるホームページ
- バックアップ
- 安全な無線LANの利用
- 廃棄するパソコンやメディアからの情報漏洩(ろうえい)
- 外出先で業務用端末を利用する場合の対策
- 持ち運び可能なメディアや機器を利用する上での危険性と対策
- ソーシャルエンジニアリングの対策
- クラウドサービス利用時の注意点
- SNS利用上の注意点
-
情報管理担当者の情報セキュリティ対策
-
【技術的対策】
- ソフトウェアの更新
- ウイルス対策
- ネットワークの防御
- 不正アクセスによる被害と対策
- 外出先で業務用端末を利用する場合の対策
- SQLインジェクションへの対策
- 標的型攻撃への対策
- 安全な無線LAN利用の管理
- ユーザ権限とユーザ認証の管理
- バックアップの推奨
- セキュリティ診断
- ログの適切な取得と保管
- サポート期間が終了するソフトウェアに注意
-
【情報セキュリティポリシー】
- 情報セキュリティポリシーの導入と運用
- ソーシャルエンジニアリングの対策
- クラウドサービスを利用する際の情報セキュリティ対策
- SNSを利用する際の情報セキュリティ対策
- 社員の不正による被害と対策
- 廃棄するパソコンやメディアからの情報漏洩
- 持ち運び可能な記憶媒体や機器を利用する上での危険性と対策
-
【物理セキュリティ】
- サーバの設置と管理
- 機器障害への対策
-
事故・被害の事例
-
事故・被害の事例
- 事例1:資料請求の情報が漏洩した
- 事例2:ホームページが書き換えられた
- 事例3:顧客のメールアドレスが漏洩
- 事例4:他人のIDで不正にオンライン株取引
- 事例5:中古パソコンによるデータの漏洩
- 事例6:情報セキュリティ対策は万全だったはずなのに・・・
- 事例7:ファイル共有ソフトが原因で・・・
- 事例8:SQLインジェクションでサーバの情報が・・・
- 事例9:標的型攻撃で、企業の重要情報が・・・
- 事例10:自分の名前で勝手に書き込みが・・・
- 事例11:公式アカウントが乗っ取られた
- 事例12:有名サイトからダウンロードしたはずなのに・・・
- 事例13:クラウドサービスに預けていた重要データが消えた
-
脆弱性の注意喚起
- Internet Explorerの脆弱性について
- Apache Strutsの脆弱性について
- OpenSSLの脆弱性について
-
@police-被害事例と対処法【警察庁】
-
PCユーザ 被害事例と対処法
- ID・パスワードを盗まれて「なりすまし」に遭った
- 身に覚えのない料金請求をされた
- パソコンのハードディスクの中身がインターネット上に公開された
- 携帯電話の情報が勝手に登録された
- Keylogger(キーロガー)によって個人情報を盗まれた
- フィッシング詐欺に遭った
- 会社の顧客情報が流出した
- 身に覚えの無い国際電話利用料金の請求が来た
- 有料サイトの利用料金を請求するメールが来た
- インターネットを利用中に、ブラウザクラッシャーに遭った
- ネットストーカーに困っている
- 悪徳商法やネット詐欺にあった
- 掲示板に個人情報を書き込まれた
- パソコンがウイルスに感染してしまった
- 迷惑メールが来たがどうすれば良いか
-
システム/ネットワーク管理者 被害事例と対処法
- 自組織内の機密情報が、ファイル共有ソフトにより流出した
- 組織内で管理する個人情報がスタッフによって外部へ流出した
- Webサイトの掲示板に、悪意のある書き込みを大量にされた
- 自組織のドメイン名に詐称された迷惑メールをばらまかれた
- 自分が管理する掲示板上の書き込みに対して削除を求められた
- 他組織のホストへウイルスを感染させてしまった
- サーバがウイルスに感染してしまった
- サーバがクラックされ、ページが書き換えられた
- スパムメールの踏み台にされた
- DoS攻撃を受けて、サーバが利用不能になった
- サーバに侵入され個人情報が流出した
- 情報セキュリティポリシーサンプル改版(1.0版)【2016年3月29日JNSA】
-
すぐ役立つ!法人で行うべきインシデント初動対応 ~「不審な通信」その時どうする~【トレンドマイクロ】
- 1 はじめに インシデント対応の実情
-
2 「インシデント発生」を把握し対応開始を判断する
- 2.1 インシデントの発生に気づくために
- 2.2 インシデント対応を判断するために
- 2.3 まとめ インシデントの把握と対応判断のポイント
-
3 「不審な通信」、その時に行うべきインシデント対応
- 3.1 インシデント対応の考え方
- 3.2 「影響範囲の確認」のために必要な対応
- 3.3 「脅威の封じ込め/根絶」のために必要な対応
- 3.4 被疑端末への対応
- 3.5 まとめ 具体的なインシデント対応のポイント
-
4 「適切な対応」を迅速に行うために
- 4.1 インシデント発生を把握し対応開始を判断するための事前準備
- 4.2 インシデント対応を適切かつ迅速に行うための事前準備
- 5 まとめ
-
【てびき】情報管理も企業力~秘密情報の保護と活用~【2016年12月5日METI】
- 秘密情報の保護ハンドブックの手引き
-
1.こんなこと、あるある!? 秘密情報にまつわるトラブル
- 大口の取引先から図面を見せてほしいと言われて提示したら・・・
- プロジェクトの開発リーダーだった従業員が退職を申し出てきたが、転職先は競合他社で・・・
- 自社開発の技術にもかかわらず、他社から「盗まれた!」と言われた。
- コラム:トラブルに巻き込まれないよう、社内の秘密情報をうまく把握し、活用させて企業力を高めていきましょう!
-
2.対策は身近なところから!企業を守るための漏えい対策3ステップ
- 保有する情報を洗い出します
- 秘密とする情報を決めましょう
-
情報に合わせた対策の選択と決定をしましょう
- 物理的・技術的な防御
- 1.秘密情報に近寄りにくくするための対策
- 接近の制御
- 2.秘密情報の持ち出しを困難に「するための対策
- 持出し困難化
- 心理的な抑止
- 3.漏えいが見つかりやすい環境づくりのための対策
- 視認性の確保
- 4.秘密情報だと思わなかった!という事態を招かないための対策
- 秘密情報に対する認識向上
- 働きやすい環境の整備
- 5.社員のやる気を高め、秘密情報を持ち出そうという考えを起こさせないための対策
- 信頼関係の維持・向上等
-
3.実際にあった!?事例と対策とそのポイント
- 従業員向けの対策
- 従業員・退職者向けの対策
- 取引先向けの対策
- 外部者向けの対策
- 自社技術で商品をつくったのに、他社の技術を使ったと言われた
- コラム:備えあれば憂いなし!自社の立場を守るためにできること
- コラム:他社の秘密情報を意図せず侵害しないために
- 転職者を受け入れて新製品を開発したら、秘密情報の侵害だと訴えられた
-
4.万が一秘密情報が漏えいしてしまったら・・・
- 情報漏えいには兆候があります!
- 漏えいの疑いがあったらできるだけ早く適切な対応を取りましょう
- 被害回復のためにも日頃からの備えが大切です
-
情報漏えいしたら早めの相談を!
- 独立行政法人工業所有権情報・研修館(INPIT)
- 営業秘密・知財戦略ポータルサイト
- 相談窓口:03-3581-1101 ex.3844
- 全国47都道府県の知財総合支援窓口
- ナビダイヤル:0570-082100
- 情報処理推進機構(IPA)
- 全国都道府県警察 営業秘密侵害事犯窓口
- 警視庁生活経済課
-
「企業における営業秘密管理に関する実態調査」報告書について【2017年3月17日IPA】
- 調査報告書(PDF:1.7MB)
- 概要説明資料(PDF:1.42MB)
- 調査報告書-資料編(アンケート調査結果)(PDF:1.75MB)
- 調査報告書-資料編(判例調査結果)(PDF:867KB)
-
改正個人情報保護法(2017年5月改正施行)対応
-
背景
- 攻撃を検知するためだけのIT投資とは、いわば“守りの投資”であり、企業に利益を生み出すものではありません
- そのため、経営者に投資の目的を納得させるのが難しい場合もあるでしょう
- 事実としてサイバー攻撃への対処は経営課題であり、そのための投資は企業にとって不可欠
- なぜなら、それによって企業のイノベーションに弊害が及ぶからです
-
「全体最適」の視点でバランスの取れたセキュリティ対策を
- サイバー攻撃の脅威を無視することは、新しい事業を生み出す先進的なアイデアとエネルギーを奪ってしまうことを意味する
- マルウェアの侵入には入口対策とエンドポイント対策で対処し、外部との通信路の確立やサーバとの不正通信は出口対策や内部対策で防ぐといった具合
- さらに、もしこれらが突破されてしまった場合にはログを取得/保全して説明責任を果たせるように
するなど、システム全体でバランスの取れた設計を考えることが何よりも重要
-
統合的にデザインすることがセキュリティの強化につながる
- セキュリティの強化を意識しすぎるあまり、業務運用にまで悪影響を及ぼしては本末転倒だ。業務上、必要な経路は開きつつ、適切に監視を行うことが肝要
- システムを設計する際やイノベーションを起こすためのプラットフォームを構築する際、セキュリティは全体最適の視点で設計する
- 業務全体のデザインとセキュリティのデザインを合わせて統合的にデザイン
- こうすることでセキュリティ施策の価値が一層高まり、セキュリティのための投資ではなくイノベーションのための投資として説明し、経営者から必要な投資を得やすくなるのです
-
改正個人情報保護法のポイント
- 個人情報の定義が変更され、従来の個人情報に加えて個人識別符号の定義(免許証番号、マイナンバー、生体情報など)が追加
- 人種や病歴、犯罪歴といった要配慮個人情報が新設
-
改正個人情報保護法にどう対応すべきかを解説したガイドラインは2016年11月30日に公開
- ポイントは「組織的安全管理措置」に記載された「取扱状況の把握及び安全管理措置の見直し」
- これは監査できちんとチェックし、経営者に報告して改善を図っているかを問うもの
- もし現状の安全管理措置が十分でない場合でも、きちんと監査が行われていれば対応レベルは向上していくはず
- 今後は、個人情報に関して何かインシデントが起きた際には、報告命令や業務改善命令、緊急命令などの大きな権限を持つ個人情報保護委員会から何らかの指導を受けるといった事態も起こり得るため
-
匿名加工情報でデータの利活用が容易に
- 匿名加工を施して本人を再識別できないようにした情報ならば、本人の同意なしで他社に提供できるようになる
-
クレジットカード番号など民間付与の番号も個人情報に海外移転にも規制
- 個人情報の定義が明確化され、氏名、住所、電話番号などの一般的な個人情報に加えて、マスターと突合して個人が特定できる情報も個人情報として取り扱われることとなった。
- 例えば、民間企業が扱うクレジットカード番号、口座番号、企業固有の顧客番号、社員番号、会社のメールアドレスなども対象となる。
- また、個人識別符号が新たに定義され、パスポート番号、運転免許証番号、健康保険者番号、マイナンバーなどの公文書に振られた番号、さらにはDNA配列、指紋、静脈、虹彩といった身体の一部および歩行時の姿勢や動作など人の動きを表したものも対象となり、これらに対して格別の安全管理措置が求められる
- 技術的安全管理対策の観点では、暗号化について新たな指針が提示された。
- 2017年2月16日に個人情報保護委員会が告示「個人データの漏えい等の事案が発生した場合等の対応について」を公表。この中では、個人情報を高度に暗号化した場合は秘匿性が高まるため、万一漏えいした際にも、国(および本人)への報告義務は許容されるなどの指針が示されている。
-
2018年には「EUデータ保護規則」が施行
- 「忘れられる権利」や、自分の個人情報を持つ企業に対して他社への移転を要求する「データポータビリティ」が追加されるなど、いくつかの規制強化が図られている。
- EUデータ保護規則では、これに対応した仕組みを初めから設計(バイデザイン)して業務に組み込む(バイデフォルト)ことを求めており、自社で監査して何か問題があれば報告すべしとされている。これは企業の情報セキュリティ施策にも大きくかかわる方針であり、今後、各社のIT部門が特に留意すべき点だと言えよう。
-
データを中心に据えた「多層防御」で機密情報を守る
- システム側で対応すべき事項として「暗号化」と「ログの収集と監査/検知」、そして「アクセス制御」
- バイデザイン/バイデフォルトでシステムおよびデータベースにセキュリティを組み込んでいくアプローチ
-
「暗号化、アクセス制御が不十分」─アセスメントで見えた日本企業の課題
- 1つ目の視点はデータの暗号化と伏字化、
- 2つ目は職務分掌、
- 3つ目はデータの漏えい検知と証跡管理
- 「個人情報の保護に関する法律」(2005年4月施行,2017年5月改正施行)
-
コンピュータセキュリティインシデント対応ガイド(NIST SP 800-61)【2008年3月NIST】
- NIST(米国立標準技術研究所)が体系化した英文で80ページほどの文書。セキュリティ対策を次の4つのフェーズに分けて考えている。
- (1)準備:やられないよう備える
- (2)検知・分析:やられてもすぐに察知できる
- (3)根絶・復旧・封じ込め:やられた場合の被害を小さくし、すぐビジネスを復旧させる
- (4)事件発生後の対応:再発防止と最後の水際の対策を考える
-
企業向け(零細企業を除く)
-
サイバーセキュリティ経営ガイドライン Ver 1.1【2016年12月8日METI】
-
2.サイバーセキュリティ経営の3原則
- 経営者は、以下の3原則を認識し、対策を進めることが重要である。
-
(1)経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
- ビジネス展開や企業内の生産性の向上のためにITサービス等の提供やITを利活用する機会は増加傾向にあり、サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。
- また、サイバー攻撃などにより情報漏えいや事業継続性が損なわれるような事態が起こった後、企業として迅速かつ適切な対応ができるか否かが会社の命運を分ける。
- このため、サイバーセキュリティリスクを多様な経営リスクの中での一つとし適切に位置づけ、その対応方針を組織の内外に明確に示しつつ、経営者自らがリーダーシップを発揮して経営資源を用いて対策を講じることが必要である。その際、変化するサイバーセキュリティリスクへの対応や、被害を受けた場合の経験を活かした再発防止も必要である。
-
(2)自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要
- サプライチェーンのビジネスパートナーやITシステム管理の委託先がサイバー攻撃に対して無防備であった場合、自社から提供した重要な情報が流出してしまうなどの問題が生じうる。
- 自社のみならず、サプライチェーンのビジネスパートナーやITシステム管理の委託先を含めたセキュリティ対策を徹底することが必要である。
-
(3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要
- 事業のサイバーセキュリティリスクへの対応等に係る情報開示により、関係者や取引先の信頼性を高める。
- 万一サイバー攻撃による被害が発生した場合、関係者と、平時から適切なセキュリティリスクのコミュニケーションができていれば,関係者や取引先の不信感の高まりを抑え、説明を容易にすることができる。また、サイバー攻撃情報(インシデント情報)を共有することにより、同様の攻撃による他社への被害の拡大防止に役立つことを期待できる。
- 事業のサイバーセキュリティリスク対応として平時から実施すべきサイバーセキュリティ対策を行っていることを明らかにするなどのコミュニケーションを積極的に行うことが必要である。
-
3.サイバーセキュリティ経営の重要10項目
- 経営者は、CISO等に対して、以下の10項目を指示し、着実に実施させることが必要である。
-
3.1.リーダーシップの表明と体制の構築
- (1)サイバーセキュリティリスクの認識、組織全体での対応の策定
- サイバーセキュリティリスクを経営リスクの一つとして認識し、組織全体での対応方針(セキュリティポリシー)を策定していますか?
- 対策を怠った場合のシナリオ
- ・経営者がサイバーセキュリティリスクへの対応を策定し、宣言することにより、組織のすべての構成員にサイバーセキュリティリスクに対する考え方を周知することができる。宣言がないと、構成員によるサイバーセキュリティ対策などの実行が組織の方針と一貫したものとならない。
- ・トップの宣言により、株主、顧客、取引先などの信頼性を高め、ブランド価値向上につながるが、宣言がない場合は信頼性を高める根拠がないこととなる。
- 対策例
- ・経営者が組織全体の対応方針を組織の内外に宣言できるよう、企業の経営方針と整合を取り、サイバーセキュリティリスクマネジメントを考慮したセキュリティポリシーを策定する。
- (2)サイバーセキュリティリスク管理体制の構築
- サイバーセキュリティ対策を行うため、経営者とセキュリティ担当者をつなぐ仲介者としてのCISO等からなる適切なサイバーセキュリティリスクの管理体制の構築は出来ていますか?
各関係者の責任は明確になっていますか?
また、防犯対策など組織内のその他のリスク管理体制と整合をとらせていますか?
- 対策を怠った場合のシナリオ
- ・サイバーセキュリティリスクの管理体制が整備されていない場合、サイバーセキュリティリスクの把握が出来ない。
- ・CISO等が任命され、権限を付与されていないと、技術的観点と事業戦略の観点からサイバーセキュリティリスクをとらえることができない。仮にサイバー攻撃を受け、事業の継続性に支障が生じるようなシステム停止等の判断が必要な局面において、経営者レベルでの権限が付与されていないと、適時適切な対応ができない。また、責任の所在が不明となる。
- ・組織内におけるリスク管理体制など他の体制との整合を取らないと、同様の活動を重複して実施することになり、また関連情報の共有ができず、非効率である
- ・万が一、インシデントが発生した場合、組織としての対応ができず、被害の状況の把握、原因究明、被害を抑える手法、インシデント再発の防止などの対策を組織として取ることができない。
- 対策例
- ・組織内に経営リスクに関する委員会を設置し、サイバーセキュリティリスクに責任を持った者が参加する体制とする。
- ・組織の対応方針(セキュリティポリシー)に基づき、CISO等の任命及び、組織内サイバーセキュリティリスク管理体制を構築する。
- ・CISO等には、組織の事業戦略を把握するため取締役会への参加及び緊急時のシステム停止等の経営者レベルの権限を付与することを検討する。
- ・取締役、監査役はそのサイバーセキュリティリスク管理体制が構築、運用されているかを監査する。
-
3.2 サイバーセキュリティリスク管理の枠組み決定
- (3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
- サイバー攻撃の脅威に対し、経営戦略の観点から、守るべき資産を特定させた上で、社内ネットワークの問題点などのサイバーセキュリティリスクを把握させていますか?
その上で、暗号化やネットワークの分離など複数のサイバーセキュリティ対策を組み合わせた多層防御など、リスクに応じた対策の目標と計画を策定させていますか?
また、サイバー保険の活用や守るべき資産について専門企業への委託を含めたリスク移転策も検討した上で、残留リスクを識別させていますか?
- 対策を怠った場合のシナリオ
- ・ITを活用するすべての企業・組織は、何らかのサイバーセキュリティリスクを抱えている。ただし、リスクは、企業の守るべき資産(個人情報や重要技術等)の内容や現在の企業・組織内のネットワーク環境などによって企業ごとに異なる。
- ・企業の経営戦略に基づき、各企業の状況に応じた適切なリスク対策をしなければ、過度な対策により通常の業務遂行に支障をきたすなどの不都合が生じる恐れがある。
- ・受容できないリスクが残る場合、想定外の損失を被る恐れがある。
- 対策例
- ・経営戦略に基づくさまざまな事業リスクの一つとして、サイバー攻撃に伴うリスク(例えば、戦略上重要な営業秘密の流出による損害)を識別する。
- ・識別したリスクに対し、実現するセキュリティレベルを踏まえた対策の検討を指示する。その際、ITへの依存度を把握した上で、セキュリティの三要件(機密性、完全性、可用性)の観点からリスクを分析する。その結果、リスク低減、回避、移転(サイバー保険の活用や守るべき資産について専門企業への委託等)が可能なものについてはリスク対応策を実施する。例えば、ソフトウェア更新の徹底、マルウェア対策ソフトの導入などによるマルウェア感染リスクの低減策を実施する。また、重要業務を行う端末、ネットワーク、ITシステム又はITサービス(クラウドサービスを含む)には、暗号化や情報資産別のネットワークの分離等の多層防御の実施を検討する。
- (4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
- 計画を確実に実施し、改善していくため、サイバーセキュリティ対策をPDCAとして実施するフレームワークを構築させていますか?
その中で、監査(または自己点検)の実施により、定期的に経営者に対策状況を報告させた上で、必要な場合には、改善のための指示をしていますか?
また、ステークホルダーからの信頼性を高めるため、対策状況について、適切な開示をさせていますか?
- 対策を怠った場合のシナリオ
- ・PDCA(Plan[計画]、Do[実行]、Check[実施状況の確認・評価]、Act[改善])を実施するフレームワークが出来ていないと、立てた計画が確実に実行されない恐れがある。また、組織のサイバーセキュリティ対策の状況を、最新の脅威への対応ができているかといった視点も踏まえつつ正しく把握し、対策を定期的に見直すことが必要。これを怠ると、サイバーセキュリティを巡る環境変化に対応できず、対策が陳腐化するとともに、新たに発生した脅威に対応するための追加的に必要な対策の実施が困難となる。
- ・適切な開示が行われなかった場合、社会的責任の観点から、事業のリスク対応についてステークホルダーの不安感や不信感を惹起させるとともに、サイバーセキュリティリスクの発生時に透明性をもった説明ができない。また、取引先や顧客の信頼性が低下することによって、企業価値が毀損するおそれがある。
- 対策例
- ・サイバーセキュリティリスクに継続して対応可能な体制(プロセス)を整備する(PDCAの実施体制の整備)。なお、その他の内部統制に係るPDCAのフレームワークが存在する場合には、当該フレームワークとの連動も含め、効率的に実施することも可能である。
- ・重点項目(2)で設置した経営リスクに関する委員会において、PDCAの実施状況について報告すべき時期や内容を定め、経営者への報告の機会を設けるとともに、新たな環境変化によるサイバーセキュリティリスクが生じていないかを確認する。
- ・必要に応じて監査を受け、現状のサイバーセキュリティ対策の問題点を検出し、改善を行う。
- ・新たなサイバーセキュリティリスクの発見等により、追加的に対応が必要な場合には、速やかに対処方針の修正を指示する。
- (5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
- 自社のサイバーセキュリティが確保されるためには、系列企業やサプライチェーンのビジネスパートナーを含めてサイバーセキュリティ対策が適切に行われていることが重要。このため、監査の実施や対策状況の把握を含むサイバーセキュリティ対策のPDCAについて、系列企業やサプライチェーンのビジネスパートナーを含めた運用をさせていますか?
- 対策を怠った場合のシナリオ
- ・系列企業やサプライチェーンのビジネスパートナーにおいて適切なサイバーセキュリティ対策が行われていないと、これらの企業を踏み台にして自社が攻撃されることもある。その結果、他社の2次被害の誘因となる恐れや、加害者になる恐れもある。また、緊急時の原因特定などの際に、これらの企業からの協力を得られないことにより事業継続に支障が生ずる。
- 対策例
- ・系列企業やサプライチェーンのビジネスパートナーのサイバーセキュリティ対策の内容を契約書等で合意する。
- ・系列企業やサプライチェーンのビジネスパートナーのサイバーセキュリティ対策状況(監査を含む)の報告を受け、把握している。
-
3.3.サイバー攻撃を防ぐための事前対策
- (6)サイバーセキュリティ対策のための資源(予算、人材等)確保
- サイバーセキュリティリスクへの対策を実施するための予算確保は出来ていますか?
また、サイバーセキュリティ人材の育成や適切な処遇をさせていますか?
- 対策を怠った場合のシナリオ
- ・適切な予算確保が出来ていない場合、組織内でのサイバーセキュリティ対策の実施や人材の確保が困難となるほか、信頼できる外部のベンダへの委託が困難となる恐れがある。
- ・適切な処遇の維持、改善ができないと、有能なサイバーセキュリティ人材を自社にとどめておくことができない。
- 対策例
- ・必要なサイバーセキュリティの事前対策を明確にし、それに要する費用を明らかにするよう、指示を行う。
- ・セキュリティ担当者以外も含めた従業員向け研修等のための予算を確保し、継続的にセキュリティ教育を実施する。
- ・経営会議などで対策の内容に見合った適切な費用かどうかを評価した上で、予算として承認を得る。
- ・サイバーセキュリティ人材を組織内で雇用することが困難な場合は、専門ベンダの活用を検討する。
- ・組織内人事部門に対して、組織内のIT人材育成の戦略の中で、セキュリティ人材育成、キャリアパス構築を指示し、内容を確認する。
- サイバーセキュリティリスクへの対策を実施するための予算確保は出来ていますか?
- また、サイバーセキュリティ人材の育成や適切な処遇をさせていますか?
- (7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
- サイバーセキュリティ対策を効率的かつ着実に実施するため、リスクの程度や自組織の技術力などの実態を踏まえ、ITシステムの管理等について、自組織で対応する部分と外部に委託する部分で適切な切り分けをさせていますか?また、ITシステム管理を外部委託する場合、当該委託先へのサイバー攻撃等も想定し、当該委託先のサイバーセキュリティの確保をさせていますか?
- 対策を怠った場合のシナリオ
- ・ITシステムなどの運用について、自組織に技術がない場合はシステム管理を十分に行えず、システムに脆弱性が残り、その脆弱性を突いた攻撃を受ける恐れが高まる。
- ・委託先のサイバーセキュリティリスク対応が事業にリスクを及ぼす状況であると、自社のみが対応をしてもリスクにさらされる恐れがある。
- 対策例
- ・自組織の技術力を踏まえ、各対策項目を自組織で対応できるかどうか整理する。
- ・委託先のサイバーセキュリティリスク対応を徹底するため、委託先のセキュリティレベルを契約書等で合意し、それに基づいて委託先の監査を実施する。
- ・個人情報や技術情報などの重要な資産を委託先に預ける場合は、委託先の経営状況などを踏まえて、資産の安全性の確保が可能であるかどうかを定期的に確認する。
- (8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
- 社会全体において最新のサイバー攻撃に対応した対策が可能となるよう、サイバー攻撃に関する情報共有活動への参加と、入手した情報を有効活用するための環境整備をさせていますか?
- 対策を怠った場合のシナリオ
- ・情報共有活動への参加により、解析した攻撃手法などの情報を用いて、他社における同様の被害を未然に防止することができるが、情報共有ができていないと、社会全体において常に新たな攻撃として対応することとなり、全体最適化ができない
- 対策例
- ・情報の入手と提供という双方向の情報共有を通じて、社会全体でサイバー攻撃の防御につなげることが重要。情報共有を通じたサイバー攻撃の防御につなげていくため、情報を入手するのみならず、積極的な情報提供が望ましい。
- ・IPAや一般社団法人JPCERTコーディネーションセンター等による注意喚起情報を、自社のサイバーセキュリティ対策に活かす。
- ・CSIRT間における情報共有や、日本シーサート協議会等のコミュニティ活動への参加による情報収集等を通じて、自社のサイバーセキュリティ対策に活かす。
- ・IPAに対し、告示(コンピュータウイルス対策基準、コンピュータ不正アクセス対策基準)に基づいてマルウェア情報や不正アクセス情報の届出をする。
- ・一般社団法人JPCERTコーディネーションセンターにインシデントに関する情報提供を行い、必要に応じて調整を依頼する。
- ・重要インフラ事業者の場合には、J-CSIPなどの情報共有の仕組みを利用する。
-
3.4.サイバー攻撃を受けた場合に備えた準備
- (9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
- 適切な初動対応により、被害拡大防止を図るため、迅速に影響範囲や損害を特定し、ITシステムを正常化する手順を含む初動対応マニュアル策定や組織内のCSIRT構築など対応体制の整備をさせていますか?また、定期的かつ実践的な演習を実施させていますか?
- 対策を怠った場合のシナリオ
- ・緊急時の対応体制が整備されていないと、原因特定のための調査作業において、組織の内外の関係部署間の情報の共有やコミュニケーションが取れず、速やかな原因特定、応急処置を取ることができない。
- ・緊急時は、定常業務時と異なる環境となり規定された通りの手順を実施することが容易でないことが多い。演習を実施していないと、担当者は、緊急に適切に行動することが出来ない。
- 対策例
- ・企業の組織に合わせた緊急時における対応体制を構築する。
- ・サイバー攻撃による被害を受けた場合、被害原因の特定および解析を速やかに実施するため、関係機関との連携や、ログの調査を速やかにできるようにしておくよう指示する。また、対応担当者にはサイバー攻撃に対応する演習を実施する。なお、インシデント収束後の再発防止策の策定も含めて訓練を行うことが望ましい。
- ・緊急連絡網を整備する。その際には、システム運用、Webサイト保守・運用、契約しているセキュリティベンダなどの連絡先も含める。
- ・初動対応時にはどのような業務影響が出るか検討し、緊急時に組織内各部署(総務、企画、営業等)が速やかに協力できるよう予め取り決めをしておく。
- ・訓練においては技術的な対応のみならず、プレスリリースの発出や、所管官庁等への報告手順も含めて想定する。
- (10)被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
- 外部に対して迅速な対応を行うため、被害の発覚後の通知先や開示が必要な情報について把握させていますか?また、情報開示の際、経営者が組織の内外への説明が出来る体制の整備をさせていますか?
- 対策を怠った場合のシナリオ
- ・速やかに通知や注意喚起が行われない場合、顧客や取引先等へ被害が及ぶ恐れがあり、損害賠償請求など責任を問われる場合がある。
- ・法的な取り決めがあり、所管官庁への報告等が義務付けられている場合、速やかな通知がないことにより、罰則等を受ける場合がある。
- ・組織内情報管理の責任者である経営者が感染被害を発表しないと、ステークホルダーに対し、組織としての責任を明らかにすることができない。
- 対策例
- ・サイバー攻撃の被害が発覚後、速やかに通知や注意喚起が行えるよう、通知先の一覧や通知用のフォーマットを作成し、対応に従事するメンバーに共有しておく。また、情報開示の手段について確認をしておく。
- ・関係法令を確認し、法的義務が履行されるよう手続きを確認しておく。
- ・経営者が組織の内外への発表を求められた場合に備えて、インシデントに関する被害状況、他社への影響などについて経営者に報告を行う。
- ・インシデントに対するステークホルダーへの影響を考慮し、速やかにこれを公表する。
- ・社外への公表は、インシデントや被害の状況に応じて、初期発生時、被害状況把握時、インシデント収束時など、それぞれ適切なタイミングで行う。
-
付録A サイバーセキュリティ経営チェックシート
-
(1)サイバーセキュリティリスクの認識、組織全体での対応の策定
- □経営者がサイバーセキュリティリスクを経営リスクの1つとして認識している
- □経営者が、組織全体としてのサイバーセキュリティリスクを考慮した対応方針(セキュリティポリシー)を策定し、宣言している
-
(2)サイバーセキュリティリスク管理体制の構築
- □組織の対応方針(セキュリティポリシー)に基づき、CISO等からなるサイバーセキュリティリスク管理体制を構築している
- □サイバーセキュリティリスク管理体制において、各関係者の責任を明確にしている
- □組織内のリスク管理体制とサイバーセキュリティリスク管理体制の関係を明確に規定している
-
(3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
- □守るべき資産を特定している
- □特定した守るべき資産に対するサイバー攻撃の脅威を識別し、経営戦略を踏まえたサイバーセキュリティリスクとして把握している
- □サイバーセキュリティリスクが事業にいかなる影響があるかを推定している
- □サイバーセキュリティリスクの影響の度合いに従って、低減、回避のための目標や計画を策定している
- □低減策、回避策を取らないと判断したサイバーセキュリティリスクの移転策(サイバー保険の活用や守るべき資産について専門企業への委託等)を実施している
- □サイバーセキュリティリスクの影響の度合いに従って対策を取らないと判断したものを残留リスクとして識別している
-
(4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
- □経営者が定期的に、サイバーセキュリティ対策状況の報告を受け、把握している
- □サイバーセキュリティにかかる外部監査を実施している
- □サイバーセキュリティリスクや脅威を適時見直し、環境変化に応じた取組体制(PDCA)を整備・維持している
- □サイバーセキュリティリスクや取組状況を外部に公開している
-
(5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
- □系列企業や、サプライチェーンのビジネスパートナーのサイバーセキュリティ対策状況(監査を含む)の報告を受け、把握している
-
(6)サイバーセキュリティ対策のための資源(予算、人材等)確保
- □必要なサイバーセキュリティ対策を明確にし、経営会議などで対策の内容に見合った適切な費用かどうかを評価し、必要な予算を確保している
- □サイバーセキュリティ対策を実施できる人材を確保している(組織の内外問わず)
- □組織内でサイバーセキュリティ人材を育成している
- □組織内のサイバーセキュリティ人材のキャリアパスを構築し、適正な処遇をしている
- □セキュリティ担当者以外も含めた従業員向けセキュリティ研修等を継続的に実施している
-
(7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
- □ITシステムの管理等について、自組織で対応できる部分と外部に委託する部分で適切な切り分けをしている
- □委託先へのサイバー攻撃を想定し、委託先のサイバーセキュリティを確保している
-
(8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
- □各種団体が提供するサイバーセキュリティに関する注意喚起情報やコミュニティへの参加等を通じて情報共有を行い、自社の対策に活かしている
- □マルウェア情報、不正アクセス情報、インシデントがあった場合に、IPAへの届出や一般社団法人JPCERTコーディネーションセンターへの情報提供、その他民間企業等が推進している情報共有の仕組みへの情報提供を実施している
-
(9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
- □組織の内外における緊急連絡先・伝達ルートを整備している(緊急連絡先には、システム運用、Webサイト保守・運用、契約しているセキュリティベンダの連絡先含む)
- □他の災害と同様に、サイバー攻撃の初動対応マニュアルを整備している
- □インシデント対応の専門チーム(CSIRT等)を設置している
- □インシデント収束後の再発防止策の策定も含めて、定期的に対応訓練や演習を行っている
-
(10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
- □組織外の報告先(ステークホルダーや所管官庁等を含む)をリスト化している
- □開示・報告すべき情報を把握・整備している
- □経営者が、責任を持って組織の内外へ説明ができるように、経営者への報告ルート、公表すべき内容やタイミング等について事前に検討している
-
付録B 望ましい技術対策と参考文献
- 付録B-2 技術対策の例
- 付録C 国際規格ISO/IEC27001及び27002との関係
- 付録D 用語の定義
-
旧版(Ver.1.0付録)
-
付録A サイバーセキュリティ経営チェックシート
- (1)サイバーセキュリティリスクの認識、組織全体での対応の策定
- ●5.1 リーダーシップ及びコミットメント
- ●5.2 方針
- (2)サイバーセキュリティリスク管理体制の構築
- ●5.3 組織の役割、責任及び権限
- ・6.1.1 情報セキュリティの役割及び責任
- (3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
- ●6.1 リスク及び機会に対処する活動
- ●6.2 情報セキュリティ目的及びそれを達成するための計画策定
- ・5.1.1 情報セキュリティのための方針群
- ・5.1.2 情報セキュリティのための方針群のレビュー
- (4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
- ●7.4 コミュニケーション
- ●8.1 運用の計画及び管理
- ●8.2 情報セキュリティリスクアセスメント
- ●8.3 情報セキュリティリスク対応
- ●9.1 監視、測定、分析及び評価
- ●9.2 内部監査
- ●9.3 マネジメントレビュー
- ●10.1 不適合及び是正処置
- ●10.2 継続的改善
- ・17.1.1 情報セキュリティ継続の計画
- ・17.1.2 情報セキュリティ継続の実施
- ・17.1.3 情報セキュリティ継続の検証、レビュー及び評価
- ・18.1.1 適用法令及び契約上の要求事項の特定
- ・18.2.1 情報セキュリティの独立したレビュー
- ・18.2.2 情報セキュリティのための方針群及び標準の順守
- ・18.2.3 技術的順守のレビュー
- (5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
- ●8.1 運用の計画及び管理
- (6)サイバーセキュリティ対策のための資源(予算、人材等)確保
- ●7.1 資源
- ●7.2 力量
- (7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
- ●8.1 運用の計画及び管理
- ・15.1.1 供給者関係のための情報セキュリティの方針
- ・15.1.2 供給者との合意におけるセキュリティの取扱い
- ・15.1.3 ICTサプライチェーン
- ・15.2.1 供給者のサービス提供の管理及びレビュー
- ・15.2.2 供給者のサービス提供の変更に対する管理
- (8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
- ・6.1.3 関係当局との連絡
- ・6.1.4 専門組織との連絡
- (9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
- ・16.1.1 責任及び手順
- ・16.1.2 情報セキュリティ事象の報告
- ・16.1.3 情報セキュリティ弱点の報告
- ・16.1.4 情報セキュリティ事象の評価及び決定
- ・16.1.5 情報セキュリティインシデントの対応
- (10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
- ・6.1.3 関係当局との連絡
- ・6.1.4 専門組織との連絡
-
サイバーセキュリティ経営ガイドライン解説書Ver.1.0【2016年12月IPA】
-
0. はじめに
- 本解説書の想定読者
- 本解説書の構成
- サイバーセキュリティ経営の原則
- 経営者が決定すべき事項
- 経営者が責務を果たしているかどうかの問い
- 解説の記述方法
-
1.サイバーセキュリティ対応方針の策定
-
セキュリティポリシーの策定
- セキュリティポリシーの主な検討項目
-
セキュリティポリシーの周知
- 組織内への周知の重要性
- 組織外への公開の重要性
- セキュリティポリシー群の種類
- セキュリティポリシーの公開
- 企業例示について
- 企業例示「セキュリティポリシーの策定」
-
2.リスク管理体制の構築
-
サイバーセキュリティリスク管理体制
- サイバーセキュリティリスク管理体制の構築方法
- サイバーセキュリティリスク管理体制の構築の必要性と経営者の責任
-
CISO 等に求められること
- CISO 等の役割
-
既存のリスク管理体制との関係
- 既存の管理体制との整合
- 既存のリスク管理体制との関係性の明確化
- 企業例示「管理体制の構築検討」
-
3.リスクの把握、目標と対応計画策定
-
資産の特定
- 守るべき資産の特定
- 法令等による要求事項の明確化
- 情報のライフサイクルに着目した資産のリスト化
- ネットワーク上の守るべき資産の特定
- サイバー攻撃の脅威を識別
-
リスクの把握
- 適切なリスク分析の重要性
- リスク分析手法の種類について
- 事業継続を踏まえたビジネスインパクト分析
-
リスク対応計画の策定
- リスク対応方法の検討
- リスクに応じた対策の目標と対応計画の策定
- 企業例示「リスク対応の検討」
-
4.PDCAサイクルの実施と対策の開示
-
環境変化に応じたフレームワーク(PDCA)の構築
- フレームワーク(PDCA)の構築
- フレームワーク(PDCA)のサイクル
- 計画見直し方法の検討
-
対策状況の把握
- 対策状況の把握方法
- 経営者への報告内容
- KPI の設定・モニタリング
- 経営層による評価
- 内部監査と外部監査
-
対策状況の開示
- 企業例示「PDCA の検討」
-
5.系列企業・ビジネスパートナーの対策実施及び状況把握
-
系列企業・ビジネスパートナーを含めた対策の実施
- ビジネスパートナー等との対策実施・連携の検討
-
ビジネスパートナーの対策状況の把握
- ビジネスパートナーの対策状況を把握する方法
- より効果的に対策状況を確認する方法
- 企業例示「関係者の対応状況把握
-
6.予算確保・人材配置及び育成
-
必要な対策費用の確保
- 対策費用の承認を得るためのポイント
- 経営者が判断できる材料とは
-
必要な人材の確保・育成
- 必要な人材と育成
- セキュリティ担当者の育成
- 一般従業員の研修
- 積極的な外部リソースの活用
- 企業例示「資源の確保」
-
7.ITシステム管理の外部委託
-
自組織による対応と外部委託による対応
- 外部委託する範囲を選択するポイント
-
委託先のサイバーセキュリティの確保
- 委託先への依頼方法
- 連携体制の整備・構築
- 外部委託先としてクラウドサービス事業者を選定する際のポイント
- 企業例示「IT システム管理の外部委託先への対応」
-
8.情報収集と情報共有
-
情報収集と自社での有効活用
- 情報収集の重要性
- 情報を常に最新の状態に保つ
- 収集した情報を活用するための環境整備
-
情報共有・情報提供
- 情報共有・提供の重要性
- 社会全体での対策向上
- 企業例示「情報収集及び情報共有の検討」
-
9.緊急時対応体制の整備と演習の実施
-
CSIRT の構築
- CSIRT の構築方法
- CSIRT の設計で検討すべき事項
- 危機管理に求められる機能
-
緊急連絡先・初動対応マニュアルの整備
- 緊急時の初動対応フローの整備(マニュアルの策定)
- 報告体制・エスカレーション基準
- 社外を含めた緊急連絡先
- 初動対応事項・復旧事項
- 事後対応事項
-
定期的・実践的な演習の実施
- 初動対応マニュアルの有効性の検証
- 社内組織(部門)間のコミュニケーション、共同作業の有効性の検証
- CSIRT 要員のスキル・量の十分性の確認
- セキュリティ技術対策の効率性・十分性の確認
- 訓練・演習の考え方
- 定期的な訓練実施
- 企業例示「緊急時の対策検討」
-
10.被害発覚後の必要な情報の把握、開示体制の整備
-
被害発覚後の情報収集体制および開示すべき項目の整備
- 開示・報告すべき情報の把握
- 通知先のリスト化と通知用のフォーマット作成
- 通知に必要な情報の整理と周知
- 組織の内外への開示・報告内容、タイミング
- 開示・報告先について留意すべき点
-
組織内外へ経営者が説明できる体制の整備
- 経営者への報告ルートや報告ルールの整備
- 企業例示「被害発覚時の準備」
- 付録1:ガイドラインの3原則と重要10項目の概要図
- 付録2:参照情報
- 付録3:サイバーセキュリティ経営チェックシートの実施の目安と確認事項
- 別添 :サイバーセキュリティ対策に関連する被害事例
-
<付録1ガイドラインの3原則と重要10項目の概要図>
- サイバーセキュリティ経営ガイドライン解説書Ver.1.0別添:被害事例集【2017年5月IPA】
- 企業経営のためのサイバーセキュリティの考え方の策定について【2016年8月2日NISC】
-
米国の「20の重要なセキュリティ対策」及びオーストラリアの「35の標的型サイバー侵入に対する軽減戦略」
- サブトピック 1
-
重要インフラ・政府機関向け(独法を含む)
- サイバーセキュリティ2016【2016年8月31日NISC】
- 政府機関の情報セキュリティ対策のための統一規範
- 政府機関等の情報セキュリティ対策の運用等に関する指針
-
政府機関の情報セキュリティ対策のための統一基準(平成28年度版)
-
第1 部 総則
-
1.1 本統一基準の目的・適用範囲
- (1) 本統一基準の目的
- 本統一基準は、「政府機関の情報セキュリティ対策のための統一規範」(サイバーセキュリティ戦略本部決定)に基づく政府機関における統一的な枠組みの中で、それぞれの府省庁が情報セキュリティの確保のために採るべき対策、及びその水準を更に高めるための対策の基準を定めたもの
- (2) 本統一基準の適用範囲
- (a) 本統一基準において適用範囲とする者は、全ての行政事務従事者とする。
- (3) 本統一基準の改定
- (4) 法令等の遵守
- (5) 対策項目の記載事項
- 各項に対して目的、趣旨及び遵守事項を示している。
- 遵守事項は、府省庁対策基準において必ず実施すべき対策事項である。
- 府省庁は、内閣官房内閣サイバーセキュリティセンターが別途整備する府省庁対策基準策定のためのガイドライン及び政府機関統一基準適用個別マニュアル群において規定する統一基準の遵守事項に対応した個別具体的な対策実施要件、対策の実施例や解説等も参照し、府省庁対策基準を策定する必要がある。
- 1.2 情報の格付の区分・取扱制限
- 1.3 用語定義
-
第2 部 情報セキュリティ対策の基本的枠組み
-
2.1 導入・計画
- 2.1.1 組織・体制の整備
- 2.1.2 府省庁対策基準・対策推進計画の策定
-
2.2 運用
- 2.2.1 情報セキュリティ関係規程の運用
- 2.2.2 例外措置
- 2.2.3 教育
- 2.2.4 情報セキュリティインシデントへの対処
-
2.3 点検
- 2.3.1 情報セキュリティ対策の自己点検
- 2.3.2 情報セキュリティ監査
-
2.4 見直し
- 2.4.1 情報セキュリティ対策の見直し
-
第3 部 情報の取扱い
- 3.1 情報の取扱い
- 3.2 情報を取り扱う区域の管理
-
第4 部 外部委託
-
4.1 外部委託
- 4.1.1 外部委託
- 4.1.2 約款による外部サービスの利用
- 4.1.3 ソーシャルメディアサービスによる情報発信
- 4.1.4 クラウドサービスの利用
- 取り扱う情報の格付及び取扱制限を踏まえ、情報の取扱いを委ねることの可否を判断する
- クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用されるリスクを評価して委託先を選定
- クラウドサービスの中断や終了時に円滑に業務を移行するための対策を検討し、委託先を選定する際の要件とする
- クラウドサービス部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上でセキュリティ要件を定める
- クラウドサービスに対する情報セキュリティ監査による報告書の内容 、各種の認定・認証制度の適用状況等から、クラウドサービス及び当該サービスの委託先の信頼性が十分であることを総合的・客観的に評価し判断する
-
第5 部 情報システムのライフサイクル
-
5.1 情報システムに係る文書等の整備
- 5.1.1 情報システムに係る台帳等の整備
- 5.1.2 機器等の調達に係る規定の整備
-
5.2 情報システムのライフサイクルの各段階における対策
- 5.2.1 情報システムの企画・要件定義
- 5.2.2 情報システムの調達・構築
- 5.2.3 情報システムの運用・保守
- 5.2.4 情報システムの更改・廃棄
- 5.2.5 情報システムについての対策の見直し
-
5.3 情報システムの運用継続計画
- 5.3.1 情報システムの運用継続計画の整備・整合的運用の確保
-
第6 部 情報システムのセキュリティ要件
-
6.1 情報システムのセキュリティ機能
- 6.1.1 主体認証機能
- 6.1.2 アクセス制御機能
- 6.1.3 権限の管理
- 6.1.4 ログの取得・管理
- 6.1.5 暗号・電子署名
-
6.2 情報セキュリティの脅威への対策 .
- 6.2.1 ソフトウェアに関する脆弱性対策
- 6.2.2 不正プログラム対策
- 6.2.3 サービス不能攻撃対策
- 6.2.4 標的型攻撃対策
-
6.3 アプリケーション・コンテンツの作成・提供
- 6.3.1 アプリケーション・コンテンツの作成時の対策
- 6.3.2 アプリケーション・コンテンツ提供時の対策
-
第7 部 情報システムの構成要素
-
7.1 端末・サーバ装置等
- 7.1.1 端末
- 7.1.2 サーバ装置
- 7.1.3 複合機・特定用途機器
-
7.2 電子メール・ウェブ等
- 7.2.1 電子メール
- 7.2.2 ウェブ
- 7.2.3 ドメインネームシステム(DNS)
- 7.2.4 データベース
-
7.3 通信回線
- 7.3.1 通信回線
- 7.3.2 IPv6 通信回線
-
第8 部 情報システムの利用
-
8.1 情報システムの利用
- 8.1.1 情報システムの利用
-
8.2 府省庁支給以外の端末の利用
- 8.2.1 府省庁支給以外の端末の利用
-
政府機関向け「アマゾン ウェブ サービス」対応セキュリティリファレンス
- NISC「政府機関等の情報セキュリティ対策のための統一基準群(平成28年度版)」の最新基準に対応したAWS利用のためのリファレンス
- 【参考】政府機関の情報セキュリティ対策のための統一基準(平成28年度版)
- 【参考】府省庁対策基準策定のためのガイドライン(平成28年度版)
-
企業経営のためのサイバーセキュリティの考え方の策定について【2016年8月2日NISC】
- サイバーセキュリティ戦略本部
- 経営層に期待される“認識”や経営戦略を企画する人材層に向けた実装のためのツールを示す
-
基本方針
- ーサイバーセキュリティは、より積極的な経営への「投資」へー
- サイバーセキュリティをやむを得ない「費用」でなく、積極的な経営への「投資」と位置づけ、企業としての「挑戦」と、それに付随する「責任」として取り組むことが期待される
-
I.基本的考え方
-
二つの基本的認識
- <①挑戦>
- 新しい製品やサービスを創造するための戦略の一環として考えていく
- <②責任>
- サイバーセキュリティに取り組むことは社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与する
-
三つの留意事項
- <①情報発信による社会的評価の向上>
- • 「セキュリティ品質」を高め、品質向上に有効な経営基盤の一つとしてセキュリティ対策を位置付けることで企業価値を高めることが必要。
- • そのような取組に係る姿勢や方針を情報発信することが重要。
- <②リスクの一項目としてのサイバーセキュリティ>
- • 提供する機能やサービスを全うする(機能保証)という観点から、リスクの一項目としてのサイバーセキュリティの視点も踏まえ、リスクを分析し、総合的に判断。
- • 経営層のリーダーシップが必要。
- <③サプライチェーン全体でのサイバーセキュリティの確保>
- • サプライチェーンの一部の対策が不十分な場合でも、自社の重要情報が流出するおそれあり。
- • 一企業のみでの対策には限界があるため、関係者間での情報共有活動への参加等が必要。
-
II.企業の視点別の取組
- ITの利活用やサイバーセキュリティへの取組において、各企業の事業規模のみならず、その認識の違いなどを踏まえて取り組んでいく必要がある
-
ITの利活用を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争力強化に活用しようとしている企業
- (積極的にITによる革新と高いレベルのセキュリティに挑戦するあらゆる企業)
- 【経営者に期待される認識】
- • 積極的なITの利活用を推進する中で、製品やサービスの「セキュリティ品質」を一層高め、自社のブランド価値の向上につなげるべく、システムの基盤におけるセキュリティの向上、情報・データの保護、製品等の安全品質向上に取り組む。
- • 様々な関係者との協働が重要であるため、情報提供に主体的に取り組む。
- • 決して現存する標準や取り組みなどに満足することなく、実空間とサイバー空間の融合が高度に深化した明日の世界をリードし、変革していく存在となることが期待される。
- 【実装に向けたツール】
- • IoTセキュリティに関するガイドライン(「IoTセキュリティのための一般的枠組」等)
- • 自社のブランド価値としてのサイバーセキュリティに係る積極的な情報発信
-
IT・セキュリティをビジネスの基盤として捉えている企業
- (IT・サイバーセキュリティの重要性は理解しているものの、積極的な事業戦略に組み込むところまでは位置づけていない企業)
- 【経営者に期待される認識】
- • 経営者のリーダーシップによって、社会的責任としてのサイバーセキュリティ対策に取り組む。
- • サプライチェーンやビジネスパートナー、委託先を含めた対策を行う。
- • 平時・緊急時のいずれにおいても、情報開示などの適切なコミュニケーションを行う。
- 【実装に向けたツール】
- • サイバーセキュリティ経営ガイドライン
- • 企業等がセキュリティ対策に取り組む上での保険等のリスク管理手法の活用
- • サイバーセキュリティを経営上の重要課題として取り組んでいることの情報発信
-
自らセキュリティ対策を行う上で、事業上のリソースの制約が大きい企業
- (主に中小企業等でセキュリティの専門組織を保持することが困難な企業)
- 【経営者に期待される認識】
- • サプライチェーンを通じて中小企業等の役割はますます重要となる中、消費者や取引先との信頼関係醸成の観点から経営者自らサイバーセキュリティ対策に関心を持ち、取り組む。
- • 外部の能力や知見を活用しつつ、効率的に進める方策を検討する。
- 【実装に向けたツール】
- • 効率的なセキュリティ対策のためのサービスの利用(中小企業向けクラウドサービス等)
- • サイバーセキュリティに関する相談窓口やセミナー、地域の相談員等の活用
-
「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」の策定について【2015年5月NISC】
- 情報システムに係る政府調達におけるセキュリティ要件策定マニュアル ◦「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」
- 「同 マニュアル 付録A.対策要件集」
- 「同 マニュアル 付録B.政府機関統一基準群対応表」
-
「同 マニュアル 付録D.用語解説」
- 「同 マニュアル活用ワークシート」(MS-Excel形式)
- 「同 マニュアル活用ワークシート」(活用例)
- 「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」概要
- 情報セキュリティを企画・設計段階から確保するための方策に係る検討会 報告書
-
知的財産関連
-
「第四次産業革命を視野に入れた知財システムの在り方に関する検討会」の報告書の中小企業部分抜粋
-
中小企業等の視点からの検討
-
現状と課題
- IoTが進む中、中小企業等においても、
- データや標準化を活用して、国境を越えて世界展開できる
- 一方、その裏返しで、突如知財の問題にさらされるリスクが高まっている
- 中小企業等を取り巻くビジネス環境が変化している状況の下
- IoT化に対応したビジネスに飛鳥な特許を国内外で取得できない恐れがある
- 第四次産業革命の下で、オープン・イノベーションが促進される中
- 自社のクローズ領域を守る手段としての知財の重要性に関する認識が十分でない
- 社会を改革するキーテクノロジーの多くが中小企業等で生み出されてきたことに鑑み
- 中小企業等の有する技術の標準化をすいしんしていくこと
- 大企業と中小企業との間で一方の有する技術を他方が活用することの重要性
- 大企業と中小企業との連携促進が不可欠
- 中小企業の分類
- IT化に対応できている企業
- ITを活用してサービスを提供する側の企業
- そのような企業から提供されるサービスを利用する企業
- IT化に対応できていない企業
-
今後実施することが適当な取り組み
- 第四次産業革命やIoT化に対応したビジネス環境の変化に対応するため
- 中小企業等が知財戦略を推進し、知財を権利化・活用することが一層求められる
- 一方、特許庁では
- 知財分野における地域・中小企業支援という観点から
- 2016年9月に「地域知財活性化行動計画」を策定
- 本計画に基づいて、中小企業等に対し
- 知財制度や支援施策の普及啓発、情報提供、各種相談・支援対応等の取り組みが実施されている
- 国内外での特許取得支援
- 相談から出願、侵害対策まで一体となった海外旋回支援
- 中小企業等が有する優れた技術については
- 新市場創造型標準化制度を利用した迅速な標準化を実現することにより、市場拡大を支援する
- 加えて、中小企業等と大企業との連携の推進への取り組みの一環として
- 「地方創生のための事業プロデューサー派遣事業」を活用し、大企業と中小企業との間での知財のマッチング等を推進
- 金融機関が有する地域の企業情報を活用した知財マッチングびじねすの促進を図る
- 中小企業等と大企業との連携に当たっては
- 企業における営業秘密に関する認識
- 双方のコンプライアンスに対する意識を向上させることが不可欠
- 知財総合支援窓口で大企業と連携する中小企業等を支援
- 中小企業等が大企業と連携する際の留意点や連携の過程で発生した懸念等についての相談受付
- 中小企業等の営業秘密が他社に渡ることを防ぐべく
- 不正競争防止法の精度や秘密情報の保護ハンドブック等の周知など営業秘密の保護。管理に関する普及啓発を進めていく
- 中小企業等と大企業との対応な連携への取り組みが推進される環境の醸成
-
次世代IT技術及び市場動向
-
IoTセキュリティガイドラインver1.0【2016年7月5日総務省・経済産業省】
-
目的等
- セキュリティ確保の観点から求められる基本的な取組を、セキュリティ・バイ・デザインを基本原則としつつ、明確化することによって、産業界による積極的な開発等の取組を促すとともに、利⽤者が安⼼してIoT機器やシステム、サービスを利⽤できる環境を生み出す
- 関係者が取り組むべきIoTのセキュリティ対策の認識を促すとともに、その認識のもと、関係者間の相互の情報共有を促すための材料を提供すること
- 守るべきものやリスクの⼤きさ等を踏まえ、役割・⽴場に応じて適切なセキュリティ対策の検討が⾏われることを期待
-
各指針と要点
-
方針
- IoTの性質を考慮した基本方針を定める
- • 経営者がIoTセキュリティにコミットする
- • 内部不正やミスに備える
-
分析
- IoTのリスクを認識する
- • 守るべきものを特定する
- • つながることによるリスクを想定する
-
設計
- 守るべきものを守る・設計を考える
- • つながる相手に迷惑をかけない設計をする
- • 不特定の相手とつなげられても安全安心を確保できる設計をする
- • 安全安心を実現する設計の評価・検証を行う
-
構築・接続
- ネットワーク上での対策を考える
- • 機能及び用途に応じて適切にネットワーク接続する
- • 初期設定に留意する
- • 認証機能を導入する
-
運用・保守
- 安全安心な状態を維持し、情報発信・共有を行う
- • 出荷・リリース後も安全安心な状態を維持する
- • 出荷・リリース後もIoTリスクを把握し、関係者に守ってもらいたいことを伝える
- • IoTシステム・サービスにおける関係者の役割を認識する
- • 脆弱な機器を把握し、適切に注意喚起を行う
-
一般利用者のためのルール
- • 問合せ窓口やサポートがない機器やサービスの購入・利用を控える
- インターネットに接続する機器やサービスの問合せ窓口やサポートがない場合、何か不都合が生じたとしても、適切に対処すること等が困難になる。問合せ窓口やサポートがない機器やサービスの購入・利用は行わないようにする。
- • 初期設定に気をつける
- ・機器を初めて使う際には、IDやパスワードの設定を適切に行う。パスワードの設定では、「機器購入時のパスワードのままとしない」、「他の人とパスワードを共有しない」、「他のパスワードを使い回さない」等に気をつける。
- ・取扱説明書等の手順に従って、自分でアップデートを実施してみる。
- • 使用しなくなった機器については電源を切る
- 使用しなくなった機器や不具合が生じた機器をインターネットに接続した状態のまま放置すると、不正利用される恐れがあることから、使用しなくなった機器は、そのまま放置せずに電源を切る。
- • 機器を手放す時はデータを消す
- 情報が他の人に漏れることのないよう、機器を捨てる、売るなど機器を手放す時は、事前に情報を削除する。
-
今後の検討
-
リスク分析に基づく分野別の対策について
- IoTは、様々な分野に浸透していくことになるが、分野ごとに求められるセキュリティレベルが異なるため、多くのIoT機器が利用されている、もしくは利用が想定される分野では、具体的なIoTの利用シーンを想定し、詳細なリスク分析を行った上で、その分野の性質、特徴に応じた対策を検討する必要がある。
-
法的責任関係について
- IoTにおいては、製造メーカ、SIer、サービス提供者、利用者が複雑な関係になることが多い。よって、サイバー攻撃により被害が生じた場合の責任の在り方については、今後出現するIoTサービスの形態や、IoTが利用されている分野において規定されている法律などに応じて整理を行っていく必要がある。
-
IoT時代のデータ管理の在り方について
- IoTシステムでは、利用者の個人情報等のデータを保持・管理等を行う者又は場所が、サービスの形態により変わってくる。IoTシステムの特徴を踏まえつつ、個人情報や技術情報など重要データを適切に保持・管理等を行うことが必要であり、その具体的な方法について、検討していく必要がある。
-
IoTに対する総合的なセキュリティ対策について
- IoT社会の健全な発展の実現には、既に実施されている、情報処理推進機構(IPA)、情報通信研究機構(NICT)、JPCERT/CC及びTelecom ISAC Japan(ICT ISAC Japan)のサイバーセキュリティに関する取組に加え、一般利用者に対するIoT機器のマルウェア感染に関する注意喚起などの取組について、官民連携による強化を検討する。
-
本ガイドラインの見直しについて
- 上記のような検討事項の取組や、IoTを取り巻く社会的な動向、脆弱性・脅威事象の変化、対策技術の進歩等を踏まえて、今後、必要に応じて改訂を行っていく必要がある。
-
安全なIoTシステムの創出【2016年3月1日NISC】
-
• 任務保証の考え方に基づく取組
- 業務責任者(任務責任者)がシステム責任者(資産責任者)と、機能やサービスを全うするという観点からリスクを分析し、協議し、残存リスクの情報も添えて経営者層に対し提供し総合的な判断を受ける「機能保証(任務保証)」の考え方に基づく取組が必要
-
• セキュリティ品質の実現が企業価値
- ・IoTシステムのサービスの効用と比較してセキュリティリスクを許容し得る程度まで低減
- ・高いレベルのセキュリティ品質の実現が企業価値や国際競争力の源泉に
-
• セキュリティ・バイ・デザインの推進
- ・連携される既存システムを含めて、IoTシステム全体の企画・設計段階からセキュリティの確保を盛り込むセキュリティ・バイ・デザインの推進が重要。
-
• データとシステム全体のセキュリティ確保
- IoTシステムはデータの流通プラットフォーム。
- データとシステム全体のセキュリティ確保を行う必要がある。
-
• システム間の相互連携の際のリスク評価
- レベルの異なるIoTシステムを相互連携させる場合は、残存リスクを客観的に評価し、許容範囲内に収めるためのリスク評価が必要
- コンシューマ向けIoTセキュリティガイド【2016年6月24日JNSA】
- IoT早期導入者のためのセキュリティガイダンス【2016年2月24日CSA】
- クラウドセキュリティガイドライン活用ガイドブック2013年版【METI】
- クラウドサービス提供における情報セキュリティ対策ガイドライン【2014年4月総務省】
-
クラウドセキュリティ関連ISO規格
- ■ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(スライド)【JIPDEC】
- ■ISMSクラウドセキュリティ認証の概要(スライド)【JIPDEC】
- ■ISO/IEC27017:2015に基づくクラウドセキュリティの構築のポイント(スライド)【JIPDEC】
-
教育分野におけるクラウド導入に対応する情報セキュリティに関する手続きガイドブック【総務省】
-
第1章 クラウド導入のプロセスと情報セキュリティに係る手続き
- 1.1 調達のプロセスと情報セキュリティの関係
-
第2章 情報セキュリティ手続きにおける「準備段階」の留意点
- 2.1 教育用コンテンツに関する情報収集
- 2.2 法令やポリシーに関する情報収集
-
第3章 情報セキュリティ手続きにおける「計画段階」の留意点
- 3.1 クラウド上で取り扱う情報資産の洗い出し
- 3.2 クラウドを中心としたICT環境に関するリスクの洗い出し
- 3.3 リスクおよび情報セキュリティポリシーを踏まえた仕様書の作成
-
第4章 情報セキュリティに関する手続きにおける「運用段階」の留意点
- 4.1 緊急時対応計画の整備
- 4,2 研修の実施
- 4.3 情報セキュリティに関する監査
- 4.4 著作権等
-
教育ICTの新しいスタイルクラウド導入ガイドブック2015【総務省】
-
第5 章情報セキュリティポリシー
- 5.1 教育現場にふさわしい情報セキュリティポリシーとは
- 5.2 クラウドに対応した情報セキュリティポリシーとは
- 5.3 学校における情報セキュリティポリシーの事例
- Column 先進事例④ 教育用SNS
-
システム化及びサイバーセキュリティ管理規約等
-
人材育成・人材確保
- ■iコンピテンシ・ディクショナリ【IPA】
-
■ITのスキル指標を活用した情報セキュリティ人材育成ガイド【2015年5月IPA】
- あなたの企業に迫る脅威~ あなたの企業は大丈夫ですか?
-
<脅威1> 標的型攻撃・サイバー攻撃
- 必要な対策は実施されていますか?
- □ ウィルス対策ソフトを社内のすべてのコンピュータに導入し、ウィルスチェックやウィルス対策ソフトの更新を頻繁に実施していますか。
- □ 社内のメール利用者に対して、「怪しいメールは開封しない」、「疑わしいメールのURLはクリックしない」、「不審な添付ファイルは開かない」などの基本事項についての教育が徹底されていますか。
- □ ウィルス対策ソフトから「ウィルスに感染した」という警告メッセージが表示された場合、まず何をすればよいか、すべての従業員が十分に理解していますか。
- □ 標的型攻撃を防御・検知するためのシステムの監視を行っていますか。また、そのような機能をもったセキュリティ対策ソフトを導入していますか。
- □ ウィルス感染や情報漏えいが発覚した場合の組織としての緊急対応手順は定められていますか。また、その手順は関係者に周知されていますか。
- あなたの企業は 大丈夫?被害を防ぐためには、こんな役割も重要です!
- システム運用において、セキュリティ障害管理 (事故の検知、初動対応、分析、復旧等)のタスクを実行する役割
- その役割を担う人材の例
- セキュリティ アドミニストレータ (インシデントハンドラ)
- 自社内のセキュリティインシデント発生直後の初動対応(被害拡大防止策の実施)や被害からの復旧業務の実施において、自らあるいは適切な対応者をアサインして対応にあたる役割。被害の拡大防止のために、適切かつ迅速な対応が求められる。
- ITサービスマネジメント(システム管理)
- 顧客の情報システムの日々の運用業務やシステム基盤の管理業務を担い、円滑な運用を実現する役割。運用時にセキュリティインシデントをモニタリングし、インシデントが発生した場合には、被害拡大防止等の初動対応を担う。
-
<脅威2> 不正アクセス
- 必要な対策は実施されていますか?
- □ 123456, admin, password などの単語を避けることは当然ながら、意味のある単語にしない、最低8文字以上にする、定期的に変更するなど、パスワードに関する基本的なルールが社内で徹底されていますか。
- □ 自分の席を離れる際は、パスワードで保護されたスクリーンセーバーでパソコンを保護することをルール化していますか。
- □ 退職した従業員の ID など、不要な ID を放置せず、きちんと削除していますか。
- □ ユーザーごとにアクセス権を設定し、定期的な見直しや管理を行っていますか。
- □ 企業内のネットワークやコンピュータに、ファイアウォールなどの外部からの不正アクセスを検知・遮断する仕組みを導入していますか。
- □ 自社が提供しているサービスについて、不正アクセス対策を実施していますか。 (例:不正アクセス対策 http://www.ipa.go.jp/security/fusei/ciadr.html)
- 被害を防ぐためには、こんな役割も重要です
- システム運用において、セキュリティ管理のタスクを実行する役割
- その役割を担う人材の例
- セキュリティ アドミニストレータ (ISセキュリティアドミニストレータ)
- 自社の情報セキュリティ対策の具体化や実施を統括する役割。企業全体としての情報セキュリティ戦略やポリシーを具体的な計画や手順に落とし込み、対策の立案や実施(指示・統括)、その見直しなどを行う。また、利用者に対する教育等も実施する。
- ITサービスマネジメント(運用管理)
- 顧客の情報システムの運用管理の責任者として、ITサービスマネジメントの統括責任を担う。セキュリティの面では、運用するシステムのセキュリティマネジメントに関する方針や計画を策定し、具体的な対策の実施を統括する。
-
<脅威3> エクスプロイト
- 必要な対策は実施されていますか?
- □社内のコンピュータ上で利用しているソフトウェアの修正プログラム(セキュリティパッチ)が公表されたら迅速に適用していますか。セキュリティパッチが適用されずに長期間そのまま利用されているコンピュータはありませんか。
- □セキュリティパッチの適用状況をきちんと把握していますか。また、それを把握し、管理する担当者は決められていますか。
- □情報システムを設計・開発する際に、セキュリティに関する仕様や基準、要求事項などを明確にしていますか。
- □開発した情報システムのテストを行う際に、外部からの攻撃などを意識したセキュリティに関するテストも実施していますか。
- □現在運用している自社のWEBシステムに脆弱性がないか、検査を行ったことはありますか。
- 被害を防ぐためには、こんな役割も重要です!
- システム開発・構築において、システム設計における セキュリティ面の検討や決定などのタスクを実行する役割
- その役割を担う人材の例
- システムテザイナー
- 自社で用いるシステムの要件定義から、システム基盤(インフラストラクチャ)の分析・設計及び構築を担う役割。ネットワークの構成やアプリケーション基盤の設計の際に、セキュリティを考慮した設計を行う。
- ITスペシャリスト(セキュリティ)
- 情報システムの設計・開発・運用において、情報セキュリティに関する高い専門性を発揮するスペシャリスト。
- セキュリティインシデントが発生した際は、高度な技術的スキルを駆使して原因の究明や復旧対応等も担う。
-
<脅威4> クラウド利用におけるデータ消失・流出
- 必要な対策は実施されていますか?
- □外部のクラウドサービスを利用する際のリスク(データの消失・流出や改ざんなど)について認識していますか。
- 情報セキュリティ強化対応スキル指標のご紹介
- □自社のどのような情報がクラウドサービス上にあるか、把握していますか。
- 情報セキュリティを担う人材育成のヒント
- □クラウドサービスの利用・管理に関する責任者や実務担当者を決めていますか。
- 組織において求められる情報セキュリティ対策
- □クラウドサービスを提供する事業者が実施しているセキュリティ対策の具体的な内容や水準を把握していますか。
- □クラウドサービスを利用する際の ID やパスワードは、適切に管理していますか。特に「なりすまし」を防ぐために、推測されにくいものになっていますか。
- □クラウドサービスの停止時や障害発生時に、情報が手元で(自社内で)利用できるような対策が取られていますか。
- 被害を防ぐためには、こんな役割も重要です!
- ITシステム企画において、システム化計画の具体化 (要件定義、アーキテクチャの設計等)のタスクを実行する役割
- その役割を担う人材の例
- ISアーキテクト
- 自社内の情報システム基盤の構築・維持・管理を主に担う役割。自社のIT戦略に基づき、自社システムのアーキテクチャ設計を行うほか、基盤の整備や品質統制のための取り組みなども行う。
- ITアーキテクト(セキュリティアーキテクチャ)
- 強固なセキュリティ対策が求められる情報システムのアーキテクチャの設計を担う役割。システムの企画・開発・構築・運用の各工程において、情報セキュリティ対策が十分に機能し、維持されることを担保する組織設計、ルール設計、プロセス設計もあわせて行う。
-
<脅威5> スマートデバイスからの情報漏えい
- 必要な対策は実施されていますか?
- □ 紛失・盗難対策として、スマートフォンなどのモバイル機器の利用時に、パスワード入力しなければ使えない「パスワードロック」を設定していますか。
- □ ウィルス対策として、スマートフォンなどのモバイル機器のOSを、常に最新のバージョンにアップデートしていますか。
- □ スマートフォンのアプリは、メーカーやキャリアのアプリケーション・ストアなど、信頼できる場所からインストールしていますか。
- □ 業務で利用するスマートフォンなどのモバイル機器に、業務とは関係のないアプリが数多くインストールされていませんか。
- □ 私用のモバイル機器を業務上で利用することは、現状ではあまり推奨されませんが、利用可とする場合は、モバイル機器用のセキュリティソフトを導入するなど、適切なセキュリティ対策を利用者に義務付けていますか。
- 被害を防ぐためには、こんな役割も重要です
- 事業戦略、経営戦略の中で情報セキュリティ戦略の策定のタスクを実行する役割
- その役割を担う人材の例
- セキュリティアドミニストレータ(情報セキュリティアドミニストレータ)
- 自社の情報セキュリティ戦略やポリシーの策定等を推進する役割。戦略策定のほか、戦略実行体制の確立や開発組織の統括も担う。また、企業内のセキュリティ業務全体を俯瞰し、アウトソース等のリソース配分の判断・決定も行う。
- コンサルタント(情報リスクマネジメント)
- ビジネス機能内で情報マネジメントが適切に実現される土台としての組織体制の整備や組織内の各種ルール整備等に関する支援を担う役割。組織ガバナンスやリスクマネジメント、コンプライアンス等に関する領域において、ITソリューションを前提としたコンサルティングを行う。
-
<脅威6> 内部不正・うっかりミス
- 必要な対策は実施されていますか?
- □ 一時的な従業員も含め、重要な情報を扱う作業は、管理監督者の目の届くところで行われていますか。単独で重要な情報にアクセスしている従業員はいませんか。
- □ 社員の管理・監督権限に応じて、適切なアクセス権限を設定していますか。多くの従業員が、管理者アカウントを自由に利用できるような設定になっていませんか。
- □ 重要な顧客情報などを保存しているコンピュータは、管理者の目の届くところに置く、別室に置いて入退室記録をつける、部屋に鍵をかけるなどの対策を行っていますか。
- □ 個人情報などの機密情報については、保存されているファイルにもパスワードを設定するなど、二重三重の対策を工夫していますか。
- □ 重要な情報が保存されているコンピュータでは、アクセスログを記録していますか。
- □ 重要な情報については、担当者を決めて定期的にバックアップを取っていますか。
- 被害を防ぐためには、こんな役割も重要です!
- 情報セキュリティマネジメントにおいて、セキュリティ方針の策定、 セキュリティ基準の策定のタスクを実行する役割
- その役割を担う人材の例
- セキュリティアドミニストレータ(ISセキュリティアドミニストレータ)
- 情報セキュリティ戦略やポリシーを具体的なルールや計画に落とし込み、その実行(ないしは実行の指示)のほか、維持・管理や見直しを行う役割。また、インシデント対応に備えて日頃のマネジメントや教育等の実施も担当する。
- コンサルタント(情報リスクマネジメント)
- ビジネス機能内で情報マネジメントが適切に実現される土台としての組織体制の整備や組織内の各種ルール整備等に関する支援を担う役割。組織ガバナンスやリスクマネジメント、コンプライアンス等に関する領域において、ITソリューションを前提としたコンサルティングを行う。
-
情報セキュリティ強化対応スキル指標のご紹介
- 「iコンピテンシ・ディクショナリ」とは、ITスキル標準(ITSS)や情報システムユーザースキル標準(UISS)、組込みスキル標準(ETSS)の3つのスキル標準を包含する形で整理した、タスクとスキルのデータのことです。この iコンピテンシ・ディクショナリを参照することで、3つのスキル標準の区別を意識することなく、スキル指標としてIT関連業務に携わる人材の役割、タスクやスキルを確認することができます。
-
情報セキュリティを担う人材育成のヒント
- 情報セキュリティを担う人材の育成についての悩み
- 自社の情報セキュリティ対策
- 現場が情報セキュリティの重要性を理解してくれない。
- セキュリティに関する事故を経験したことがあるかないかによって、現場のセキュリティ意識は大きく異なる。以前事故が発生したことをきっかけに、経営者がセキュリティ対策を現場横断的な重要なテーマとして掲げ、全社的な取り組みを始めることができた
- 経営層に対して、情報セキュリティ対策の重要性を効果的に伝えられず、企業全体としての対策が進まない。
- 企業にとってのセキュリティ対策は、今や単なる事故の予防ではなく、企業のサービスの機能・品質の向上の一環であるということを、経営者に伝える必要がある。
- 経営層に対してセキュリティの重要性を伝えられる人材の有無によって、経営層の理解が変わる。これは、経営とITの関係と同じであり、“経営と現場をつなぐキーマンの育成”が鍵である。
- 情報セキュリティ担当者のスキルアップが難しい。
- ユーザー企業には、専任の情報セキュリティ担当者は少なく、担当者は数年で異動・交代することが一般的であるため、限られた期間で効果的にスキルアップする必要がある。情報セキュリティマネジメントに関する資格などの学習も効果的である。
- 情報セキュリティを担う専門人材の育成
- 専門性の高い人材の育成方法が分からない。
- 専門性は高いが、スキルの幅が広がらない。
- 専門性は高いが、ビジネスマインドが身につかない。
-
組織において求められる 情報セキュリティ対策のレベル
- 自社の属性に合った情報セキュリティ対策のレベルを見極めていく
-
情報処理安全確保支援士試験チェックシート
-
第1章 情報セキュリティ及びITの基礎
- 口情報セキュリティの主な特性として,機密性・完全性・可用性の三つがある。また,真正性,責任追跡性,否認防止及び信頼性を,情報セキュリティの付加的な特性とする場合がある。
- 口情報セキュリティ対策には,抑止・抑制,予防・防止,検知・追跡,回復などの機能がある。情報セキュリティ対策は,これらの機能のうち必ず一つ以上の機能をもっている。
- ロサイバー攻撃とは, 企業,組織,個人のコンビュータや情報システムに対し,ネットワークを介して侵入したり,不正なプログラムやコマンド,パケットを送りつけたりして,情報窃取,改ざん,破壊,サービス妨害等の攻撃や不正行為をすることである。
- 口情報資産にアクセスする人間,プロセス,プログラム等に対して,常に必要最小限の権限のみを付与するように徹底する。これをf最小権限の原則Jという。
- 口同ーの者に関連する複数の業務を行う権限を与えると,確認不足によるミスや不正行為などを発生させる原因となるため,業務ごとに担当を適切に分離する。これを「責務の分離(職務分離)の原則jという。
- 口組織内やシステムで発生する様々な事象について,それを発生させた主体(利用者,端末,プロセス,プログラム等)を一意に識別・特定し追跡・検証できるようにする。
- 口情報セキュリティマネジメントとは,「明確な方針や規定に基づいて,組織の情報資産の機密性,完全性,可用性などの特性を適切に維持・管理すること」と定義できる。
- 口問合せ元のアドレスや問合せ対象ドメインの制限なく,名前解決要求に応じるDNSサーバ(キャッシュサーバ)は「オープンリゾルバjと呼ばれる。オープンリゾルバはDNSキャッシュボイズニング攻撃に対して脆弱である。
- 口GETメソッドを使用したWebアフリケーションでは,URしから入力データが読み取られたり,改ざんされたりする可能性がある。また, Referrerログから入力データが漏えいする可能性がある。
- 口POSTメソッドを使用すれば入力データがURLに含まれないため,GETメソッドよりも秘匿性が高まるが,入力データをログに記録するにはアプリケーション側で対応する必要がある。
- 口シンクライアントを実現する主な方式として,ネットワークブート方式と画面転送方式がある。画面転送方式には,サーバベース型,プレードPC型, VDI型があり,これらの中で近年主流となっているのがユーザの利便性とコストバフォーマンスのバランスのとれたVDIである。
-
第2章 情報セキュリティにおける脅威
- ロポートスキャンとはターゲツ卜となるホスト上で開いている(通信可能な状態となっている)ポートをスキャン(探査)することである。
- 口TCPハーフスキャン(ステルススキャン)はコネクションを確立しないためターゲットホストのログには記録されない。
- 口管理者権限で実行されているサービスに対してBOF攻撃を行い,シェルなどに置き換えることに成功すれば,侵入者は管理者権限でそのホストを操作できることになる。
- 口BOF攻撃はソフトウ工アのバグが原因となっているため,その対策は, OSや使用しているソフトウェアのバージョンアップ,パッチの適用を確実に行うことで,既知のセキュリティホールを塞ぐことである。
- 口侵入者は,所有者がrootで, setuid/setgid属性をもってプログラムを実行し,非常にサイズの大きい入力データを与えることでBOF状態を引き起こし, root権限を手に入れることができる。
- 口BOF攻撃への対策として所有者がrootで'setuid/setgid属性をもつフログラムを探し,不要なものを削除するか, setuid/setgid属性を解除する。
- 口rootkitとは,侵入に成功した攻撃者が,その後の不正な活動を行いやすくするために自身の存在を隠ぺいすることを目的として{吏用するソフトウェアなどをまとめたパッケージの呼称(俗称)である。
- 口パスワードクラックとは, 何通りものパスワードを繰返し試してパスワードを破る行為であり,推測によるもの,辞書ファイルを用いたもの,総当たりによるもの(ブルートフォース攻撃)などがある。
- ロワンタイムパスワード方式,バイオメトリック認証システムなど,パスワードクラックが困難な認証システムにするのが確実な対策手段であり,従来の固定式パスワードを用いる場合にはアカウントのロックアウト設定が有効な対策手段となる。
- 口TCPでは,シーケンス番号の交換によって通信の信頼性を高めているが,この仕組みを悪用し,他のホストのセッションに割り込んでシーケンス番号やIPアドレスを矛盾なく操作することができればセッションハイジャックが成立する可能性がある。
- 口UDPでは,クライアントからのリクエストに対し,正規のサーバよりも先にレスポンスを返すことでセッションハイジャックが成立する可能性がある。
- 口Webアプリケーションではセッション管理の脆弱性を攻略し,URL,クッキー, hiddenフィールド、などlこセットされたセッション管理情報を推測/盗聴することによってセッションハイジヤックが成立する可能性がある。
- 口攻撃者自身のMACアドレスと正規のホストのIPアドレスとを組み合わせた偽のARP応答パケットを送信することでARPキャッシュの内容を書き換え,セッションをハイジャックする手法をARPスプーフイングもしくはARPキャッシュポイズニングという。
- 口DNSサーバがゾーン転送要求に制限をかけていないと,不正なゾーン転送要求により,サイトのネットワーク構成やサーバの構成が攻撃者に推測されてしまう可能性がある。
- 口DNSキャッシュボイス・ニンク攻撃とは,DNSサーバからの名前解決要求に対して不正な名前解決情報を付加して返すことでDNSのキャッシュを汚染し,ユーザを悪意あるサイトに誘導する攻撃である。DNSの送信元ポート番号とトランザクションIDが推測されやすいと,この攻撃による被害を受けやすい。
- 口SYNFlood攻撃とは,発信元アドレスを偽装したSYNパケットを特定のポートに大量に送りつけることで,正常なサービスの提供を妨害する行為である。
- 口コネクションレスであるUDPやICMPでは発信元アドレスの偽装が容易であるため,攻撃に悪用された場合,攻撃者を特定するのは困難である。
- 口smurf攻撃とは,ターゲヅトホストのIPアドレスに発信元アドレスを偽装したICMPecho requestを踏み台ネットワークのブロードキャストアドレスに送りつけ,その応答パケットによってDoS攻撃を成立させる手法で、ある。
- 口DDoS攻撃とはインターネット上にある多数の踏み台サイトにあらかじめ仕掛けておいた攻撃プログラムから,一斉にDos攻撃を仕掛けることで,ターゲットサイトのネットワークの帯域をあふれさせる攻撃手法である。近年, DDoS攻撃はポットネットによって実行されるケースが大半となっている。
- 口DDoS攻撃への対策として,十分な回線帯域を確保し,十分な処理能力を有する機器を使用するとともに,負荷分散,帯域制限などによって攻撃を緩和するほか,CONサービスやCONプロバイダ等が提供するDDoS攻撃対策サービスを利用することも選択肢となる。
- ロクロスサイトスクリプティング(XSS)とは,ユーザの入力データを処理するWebアプリケーションや,Web ページ.を操作するJavaScript等に存在する脆弱性を悪用し,ユーザのPC上で不正なスクリプトを実行させる攻撃手法である。
- 口xssは,その仕組みにより,反射型xss,格納型XSS,DOM Based XSSの3種類に分類される。DOMBasedxssは,スクリプ卜によるWebページ出力処理(DOM操作)に不備があることによる脆弱性である。
- ロSQLインジヱクションとは,ユーザの入力データをもとにSOL文を編集してDBにアクセスする仕組みに
- なっているWebアプリケーションに対して不正なSOL文を入力することで,機密情報を不正に取得したり,DBを不正に操作したりする攻撃手法である。
- ロOSコマンドインジェクションとはユーザの入力データをもとに,OSのコマンドを呼び出して処理する
- Webアプリケーションにおいて,不正なコマンドを入力することで,任意のファイルの読出し,変更,削除,パスワードの不正取得などを行う攻撃手法である。
- ロHTTPヘッダインジェクションとは,ユーザの入力データをもとに, HTTPメッセージのレスポンスを生成するWebアプリケーションにおいて,不正なデータを入力することで任意のヘッダフィールドやメッセージボディを追加したり複数のレスポンスに分割したりするなどの攻撃を行う手法である。
- ロメールヘッダインジェクションとはユーザがフォームに入力したデータをもとにメールを送信するWebアプリケーションにおいて,不正なメールヘッダを混入させることにより意図していないアドレスに迷惑メールを送信するなど,メール送信機能を悪用した攻撃手法である。
- 口xssやSOLインジェクションに対しては,ユーザの入力データ中にスクリプトやSQL文として特別な意味をもっメタキャラクタが存在した場合,それらをエスケープ処理することで対処する。
- 口OSコマンドインジェクションに対しては,OSコマンドの呼出しが可能な関数を極力使用しないようにすることと,使用する場合にはルールに従わないデータを無効とし,一切処理しないようにする必要がある。
- 口HTTPヘッダインジ、エクションに対しては,HTTPレスポンスヘッダ生成に用いるユーザ入力データに改行コードが含まれていた場合には削除するほか,ヘッダ出力用のAPIやライブラリを使用するなどの対策が有効である。
- ロマルウェアへの対策は各ホストにウイルス対策ソフトを導入することに加え,ファイアウオール, IPS,サンドボックス,SMTPゲートウェイ,プロキシサーバなど,通信経路上での検知・駆除対策を複合的に実施する必要がある。
- ロボット(bot)とはワームの一種で,コンビュータに感染するだけでなく攻撃者によって遠隔地から操作ができ,機能拡張なども行うよう作られた悪質なプログラムであり,その操作にはIRC,P2Pソフトなどが悪用される。
- 口ランサムウェアとは感染したコンビュータのファイルやハードディスクを勝手に暗号化する等して正常に利用できない状態にした後それを解除するための身代金の支払いを要求するタイフのマルウェアである。
- 口標的型攻撃とは特定の組織や団体等をターゲットとして,その取引先や関係者,公的機関などを煽ってマルウェアや不正なリンクが埋め込まれたメールを送信することで相手を編し,情報を盗もうとする手法である。
- 口水飲み場型攻撃とは攻撃者がターゲツトとなる組織の社員/職員等が日頃頻繁に利用しているWebサイト(水飲み場)を改ざんすることで同組織のPCをマルウェアに感染させる手口である。
- 口出口対策とは,マルウェアの侵入・感染を許したとしても,その拡散や,機密情報や個人情報の外部への流出などの被害を防ぐために行う対策である。
- 口マルウェアの検出手法としては,パターンマッチング法が代表的だが,パターンファイルに登録されていないものは検出できない。既知のウイルスの亜種や,未知のウイルスなどの検出にはヒューリスティック法やビヘイビア法が有効である。
-
第3章 情報セキュリティにおける脆弱性
- 口公開Webサーバと社内専用のファイルサーバなど,アクセスを許可する範囲(人,機器等)が明らかに異なるホストが同一セグメントに混在しているネットワークは脆弱であり,機密性,完全性の侵害につながるリスクが高い。
- 口発信元IPアドレスにプライベートアドレスが設定されたインターネットからのインバウンド、パケットなど,明らかに発信元アドレスが偽装されているパケットについては,ルータやファイアウオールによって遮断する必要がある。
- 口広く普及しているメールサーバソフトウェアの旧バージョンでは,メールの投稿にあたってユーザを認証する仕組みがなかったため発信元メールアドレスの詐称が堂々と行われるほか,組織外の第三者から別な第三者へのメール投稿を受け付け$中継してしまう。
- 口組織外の第三者から別の第三者へのメール投稿を受け付け,中継してしまうことを第三者中継(Third-PartyMail Relay)という。なお,第三者中継をオープンリレー,それを行うSMTPサーバをオープンリレー(SMTP)サーバとも呼ぶ。
- 口OP25Bとは,ISPのSMTPサーバを経由せず,直接インターネットに出ていく25番ポートあてのパケットを遮断することで,スパムメールの発信を防ぐ技術である。
- 口OP25Bが設定された環境で正当なユーザがISP以外のSMTPサーバを使用してメールを発信する場合には,投稿専用のSubmissionポート(587/TCP)を使用するとともに, SMTP-AUTHによってユーサ.認証を行う。
- 口発信元情報を偽装したメールを発見し,排除する技術として,発信元のIPアドレスやディジタル署名によってメール受信側で発信元SMTPサーバを認証する仕組み(送信ドメイン認証)が近年実用化されている。
- 口標準的なPOP3ではUSER/PASSコマンドによってユーザ認証を行うが,その際ユーザIDとパスワードは
- 平文のままネットワーク中を流れていくため,経路上でのパケット盗聴により,ユーザの認証情報が盗まれてしまう可能性が高い。
- 口POP3の脆弱性への対策としては,APOP,POP3over TLS (POP3S) SSHによるポートフォワーデイングなどがある。
- 口DNSSECは,ディジタル署名を用いて応答レコードの正当性,完全性を確認する方式であり,DNSキャッシュポイズニング攻撃への有効な対策となる。
- 口UDP53番ポートを使用するDNSの通常の名前解決では,一つのパケットに格納できるデータが512オクテットに制限されているがDNSの拡張機構であるEDNSOを用いることにより,最大65,535オクテットまで拡張することができる。
- 口DNSの脆弱性への対策として, DNSサーバを,代理名前解決を行わないコンテンツサーバと,ゾーン情報をもたない代理名前解決専用のキャッシュサーバに分離し,後者を利用可能なホストの範囲を制限する方法などがある。
- 口Webアプリケーションでは, URLパラメタ,hiddenフィールド,クッキーのいずれかの手段でセッション管理を行うが,それらのうちどれを用いていたとしても,HTTPで通信していればセッション管理情報の漏えいが発生する可能性がある。
- 口クッキーの有効期限は可能な限り短く,また有効範囲は可能な限り狭くすることに加え, HTTPS(TLS)を使用しているページでは必ず、secure属性を設定し,盗聴によってクッキーが盗まれるのを防ぐ必要がある。
- 口HttpOnly属性をクッキーに設定することにより,適用範囲をHTIP/HTIPS通信だけに限定し,xssによってクッキーが盗まれるのを防ぐことが可能となる。
- 口重要なセッション管理情報はすべてWebサーバ側で管理し, URLパラメタ,クッキー, hiddenフィールドには,セッションの識別情報(ID)しか含めないようにする。
- ロセッションIDには十分な長さをもった乱数やハッシュ値を用いる(GETメソッドを使用している場合は特に重要)。
- 口HTTPのベーシック認証では盗聴によって認証情報が漏えいする可能性があるため,使用する場合にはHTTPSによって暗号化する。
- 口Webサーバが詳細なエラーメッセージをクライアントに返す設定になっていると機密情報の漏えいにつながる可能性があるため,必要最小限のエラーメッセージのみを返すように設定する。
- 口CSRFとは, Webアプリケーションのユーザ認証やセッション管理の不備を突いて,サイトの利用者に,Web アプリケーションに対する不正な処理要求を行わせる手法である。
-
第4章 情報セキュリティマネジメントの実践
- 口情報セキュリティ対策の効果を高めるためには,リスク分析によって組織に内在する様々な情報リスクを洗い出すとともに,その影響度を分析・評価し,有効な対策を導き出す必要がある。この一連の取組みをリスクアセスメントという。
- 口詳細リスク分析では,分析の対象となる組織や情報システムにおける情報資産,脅威,脆弱性を洗い出し,それらの関連性からリスクを洗い出し,その大きさを評価する。
- ロリスクコントロールとは,潜在的なリスクに対して,物理的対策,技術的対策,運用管理的対策によって,発生を抑止したり,損失を低減させたりすることである。
- 口リスクファイナンシングとは, リスクが顕在化して損失が発生した場合に備えて,損失の補壌や対応費用などの確保をしておくことである。
- 口組織の重要な情報資産を適切に保護するためには,その重要度などに応じて整理・分類するとともに,取扱い方法を明確にする必要がある。
- 口特定組織におけるCSIRTには,インシデン卜発生時にその対応を主導し,情報を集約して顧客,株主,経営者,監督官庁等に適時報告するとともに,現場組織等に適時対応を指示することなどが求められる。 また,平常時の活動として,セキュリティ情報の収集,業界団体,他のCSIRT等と連携し,インシデント発生に備えた対応を行うことなども重要な役割となる。
- 口BCMを確立するには,まずビジネスインパクト分析(BIA)を行い,重要業務の停止時に目標時間内に復旧させるための具体的な計画や手順を事業継続計画(BCP)として策定する必要がある。
-
第5章 情報セキュリティ対策技術
- (1)侵入検知・防御
- ロホスト要塞化の主な実施項目としては,最適なパーティション設計とセキュアなファイルシステムの選択,最新バージョンのソフトウェアのインストールとパッチ適用,不要なサービスや機能の停止,アカウントの停止/削除とパスワードの強化,システムリソースに対する最小限のアクセス権の設定適切なロギング設定,などがある。
- 口OS,サーバソフトウェアに対する脆弱性検査で、は,発見された脆弱性に直ちに対処するとともに,同じ製品構成の他のホストにも同様の脆弱性が存在する可能性が高いため,それを確認し,対処する必要がある。
- 口Webアプリケーションに対する脆弱性検査では,発見された脆弱性に直ちに対処するとともに,そのページを開発したベンダが開発した他のアプリケーションにも同様な脆弱性が存在する可能性が高いため,それを確認し,対処する必要がある。
- ロパケットフィルタ型(スタティックパケットフィルタ型)ファイアウオールとは,パケットのヘッダ情報に含まれるIPアドレスポート番号などによって中継の可否を判断するもので,パケットのアプリケーション層のデータ(ぺイロード)についてはチェックしない。
- ロダイナミックパケットフィルタ型ファイアウオールとは,最初にコネクションを確立する方向のみを意識した基本的なACしを事前に登録しておき,実際に接続要求があると,個々の通信を管理テーブルに登録するとともに必要なルールが動的に作成され,フィルタリング処理を行う方式である。
- 口ファイアウオールでは,許可されたプロトコルに対するポートスキャンや,BOF攻撃などOSやミドルウェアの脆弱性を突いた攻撃, SOLインジエクションなどWebアプリケーションの脆弱性を突いた攻撃,DoS系の攻撃などを防ぐことはできない。
- 口一般的なNIDSは主に登録されたシグネチャ(攻撃パターンのデータベース)とのマッチング,異常検知(アノマリ検知)というこつの手法を用いて攻撃や不正アクセスを検知する。
- ロアノマリ検知とは取り込んだパケットをRFCのプロトコル仕様など(正常なパターン)と比較し,仕様から逸脱したものを異常として検知する手法である。
- 口HIDSは監視対象となるホストに常駐し,ログインの成功/失敗,特権ユーザへの昇格,システム管理者用プログラムの起動,特定のファイルへのアクセス,プログラムのインストールなどのイベントをリアルタイムに監視する。
- ロIDSの誤検知の割合を測るための指標として,フォールスポジティブとフォールスネガティブの二つがある。前者は不正ではない事象を不正行為として検知してしまうことを指し,後者は本来検知すべき不正行為を見逃してしまうことを指す。
- ロNIDSには誤検知のほか,一部の高性能な機種を除き暗号化されたパケットを検知できない,サイト独自のアプリケーションの脆弱性を突いた攻撃を検知できない,不正アクセスを防御できない,内部犯罪の検知は困難,などの機能上の限界や運用上の課題がある。
- 口侵入防御システム(IPS)とは,従来のNIDSをインライン接続することで' ,NI DSと同等の侵入検知機能と,NIDSよりも強力な防御機能を備えた製品である。誤検知が発生しやすかったアノマリ検知機能の強化などが図られている。
- ロIPSをインライン接続することによってパケットを遮断する場合,フォールスポジティブが発生すれば正常なアクセスが遮断されてしまう。逆に,フォールスネガティブが発生すれば攻撃を見逃してしまう。また,誤検知ではなくとも攻撃が多発すればIPSの処理能力等の問題でネットワークのパフォーマンスやアベイラビリティを低下させてしまう可能性がある。
- ロ一般的なIPSでは,フェールオープン機能を用いることで,障害が発生した場合にはパケットをそのまま通過させ, トラフィックが遮断されないようにすることも可能である。
- 口Webアプリケーションファイアウオール(WAF)とは, XSS, SQLインジェクションなど, Webアプリケーションに対する攻撃を検知・排除する製品である。
- 口一般的なWAFにはSSL暗号化/復号機能や負荷分散機能が内蔵されている。そのため, SSLアクセラレータ,ロードバランサを併用することなくWebサイトを運用することも可能である。
- 口リバースプロキシ型のWAFを経由したリクエストは,発信元の情報がWAFに置き換えられるため, Webサーバのアクセスロク上では実際の発信者を特定できなくなる。そのため, WAFによっては実際の発信者のアドレスを引き継いで渡す機能もある。
- 口近年普及しつつあるサンドボックスとは,実環境から隔離されたセキュアな仮想環境のことであり,当該環境でマルウェアの可能性がある不審なファイル等を実行させ,その振る舞いを観察することでマルウェアであるかどうかを判定する。
- (2)アクセス制御と認証
- 口ファイルやシステム資源などの所有者が,読取り,書込み,実行などのアクセス権を設定する方式を任意アクセス制御(DAC)という。DACでは所有者の裁量次第でファイルなどへのアクセス権が決定するため,十分な機密保護を行うのは困難である。
- 口保護する対象である情報と,それを操作するユーザなどに対してそれぞれセキュリティのレベルを付し,それを比較することによって強制的にアクセス制限を行う方式を強制アクセス制御(MAC)という。MACでは,たとえファイルの所有者であったとしても,アクセス権を自由に決定することはできない。
- 口認証の対象として,人の認証(本人認証),物(機器,デバイス等)の認証情報の認証(メッセージ認証)の三つがある。また,本人認証として,バイオメトリクスによる認証,所有物による認証,記憶や秘密による認証の三つがある。
- 口認証された利用者に対して,定められた機能などを実行するための権限を与えることを「認可(Authorization)J という。
- 口チャレンジレスポンス方式とはサーバから送られた乱数文字列である「チャレンジ」と,クライアントのパスワードである「シード」(Seed :種)を組み合わせて計算した結果を「レスポンス」としてサーバに返し,サーバも同様の計算を行って求めたレスポンスとの比較によってユーザ‘を認証する方式である。
- 口ワンタイムパスワード方式は,認証のたびに毎回異なるパスワードを使用することでセキュリティを確保するが,そのためには生成するパスワードに規則性や連続性がなく(ランダムであることにユーザがパスワードを覚えなくてもよいようになっている必要がある。
- 口チャレンジレスポンス方式やS/Keyによる認証における問題として,サーバの正当性を確認する仕組みがないと通信経路上に不正なホストが存在し,それによってセッションをハイジヤックされてしまう可能性がある。これを中間者攻撃(Man-in-the-MiddleAttack)と呼ぶ。
- 口認証システムに対する中間者攻撃の脅威に対しては,SSL/TLSのように通信に先立ちディジタル証明書によってクライアントがサーバの正当性を確認する方式を採用することなどが対抗策となる。
- 口ICカードに対する攻撃手法は, ICチップの破壊を伴うもの(破壊攻撃)と伴わないもの(非破壊攻撃,もしくはサイドチャネル攻撃)に大別される。前者の代表的なものとして,プロービングやリバースエンジニアリングがあり,後者の代表的なものとしては, DPA,SPA,グリッチ,光照射などがある。
- 口ICチップの脆弱性評価に関する事実上の基準となっているのはJIWGである。JIWGはICカードの評価の公平性や客観性を実現するための解釈の統ーや, ISO/IEC 15408をICカードの評価に適用する際の解釈の統一を目的としたワーキンググループである。
- 口IEEE802.1Xは,ネットワーク環境でユーザ認証を行うための規格である。もともとは有線LAN向けの仕様として策定が進められたがその後EAPとして実装され,現在では無線LAN環境における認証システムの標準仕様として広く利用されている。
- 口IEEE802.1Xは,クライアントであるサプリカント(Supplicant)システム,アクセスポイン卜やLANスイッチなど,認証の窓口となる機器である認証装置(Authenticator),認証サーバ(RADIUSサーバなど)から構成される。
- 口EAP-TLSは,サーバ・サフリカントでTLSによる相互認証を行う方式であり認証成立後にはTLSのマスタシークレットをもとにユーザごとに異なる暗号鍵を生成・配付し,定期的に変更するため,無線LANのセキュリティを高めることができる。
- 口EAP-TTLSは,TLSによるサーバ認証によってEAPトンネルを確立後,そのトンネル内で様々な方式を用いてサプリカントを認証する方式であり, EAP-TLSと閉じ仕組みにより,無線LANのセキュリティを高めることができる。
- 口PEAPは,EAP-TTLSとほぼ問機の方式だが,サプリカントの認証はEAP準拠の方式に限られる。EAPTLS,EAP-TTLSと同じ仕組みにより,無線LANのセキュリティを高めることができる。
- 口EAP-MD5は, M05によるチャレンジレスポンス方式によってパスワードを暗号化しサプリカントの認証のみを行う方式である。認証フロセスそのものは暗号化されず,暗号鍵の生成・配付等も行わないため,無線LANでの使用には向かない(有線LAN向き)。
- 口シングルサインオン(SSO)を実現するには,各サーバ間でユーザの識別情報を交換する必要があるが,それを行うための仕組みとして,クッキーを用いる方式,リバースプロキシサーバを用いる方式, SAMLを用いる方式があるo
- ロクッキーを用いたsso認証システムでは,クッキーが共有可能な範囲内(同一ドメイン内)でしか使用できない,クライアントがクッキーの使用を制限している場合には使用できない等の問題がある。一方,リパースプロキシ方式については,ネットワーク構成の制約により,複数のドメインにまたがったシステムでssoを実現するのは困難である。
- 口SAMLとは,認証情報を安全に交換するためのXML仕様であり,OASISによって策定された。SAMLはSOAPをベースとしており同一ドメイン内や特定のベンダ製品にとどまらない大規模なサイトなどにおいて,相互運用性の高いssoの仕組みゃ,セキュアな認証情報管理を実現する技術である。
- 口SAMLでは,認証結果の伝達,属性情報の伝達,アクセス制御情報の伝達,のそれぞれにアサーションと呼ばれるセキュリティ情報を扱うほかアサーションへのリファレンス情報などからなる「Artifact」と呼ばれる情報が使用されている。
- 口SAMLでは,ldPとSP闘で要求・応答メッセージを送受信するためにHTTPやSOAP等のプロトコルにマッピングする方法(バインディング方法) として,SOAP, HTTP Redirect, HTTP POST, HTTPArtifactなどの穫類がある。
- 口一般的に,アイデンティティ管理(ID管理)は,ディレクトリ,プロビジョニング,アクセス制御(管理),ワークフローなどのシステムとそれを運用管理するためのポリシ,手順,体制などによって実現される。
- (3)暗号
- 口AESとは,DESの後継となる米国政府標準の共通鍵暗号方式である。NISTによる審査の結果,ベルギーのJoanDaemen氏とVincentRijmen氏が開発したfRjjndaelJ (レインダール)という方式が選ばれた。ブロック長は128ビットで\ 使用する鍵の長さは128/192/256ビ、ツトの中から選択できる。
- 口ブロック暗号では,処理を複雑にし,暗号の強度を高める暗号化手法(暗号モード)が確立されており,CBC(Ci pher Block Chaining)やCFB(Cipher Feedback)などがある。CBCは一つ前の平文ブロックの暗号結果と次の平文ブロックをXOR演算し,その結果を暗号化する方式であり,広く使用されている。
- 口ハッシュ関数とは,任意の長さの入力データをもとに,固定長のビット列(ハッシュ値メッセージダイジ、エスト)を出力する関数であり,衝突発見困難性,第2原像計算困難性,原像計算困難性(一方向性)の三つの性質が求められる。
- 口SHA-1には,ある条件下でハッシュ値の衝突を意図的に起こすことができるという脆弱性が発見されていることから,次世代ハッシュ関数(SHA-3)が決定されるまでの措置として, SHA-2に移行することが推奨されていたが,NIST主催の次世代暗号コンペティションの結果,2012年10月にfKeccakJ がSHA-3に選出された。
- 口MAC(メッセージ認証コード)とは通信データの改ざん有無を検知し完全性を保証するために通信データから生成する固定長のコード(ビット列)である。MACには,ブロック暗号を用いたCMAC,ハッシュ関数を用いたもの(HMAC)などがある。
- 口HMACは,ハッシュ値の計算時に,通信を行う両者が共有している秘密鍵の値を加えてその通信固有のハッシュ値を求めるようにすることで通信データの改ざんを検知する仕組みである。
- ロフィンガプリントとは,ディジタル証明書や公開鍵,メールなどの電子データが改ざんされていないことを証明するために使用するデータであり,ハッシュ関数を用いて対象となる電子データから生成する。
- ロPC環境において暗号化に用いる鍵を安全に生成して格納したり,暗号化・復号処理等を実行したりするための技術として, 近年TPM(Trusted PlatformModule)が広く用いられている。TPMは耐タンパ性に優れたセキュリティチッフであり,通常PCのマザーボードに直付けする形で搭載されている。
- 口Diffie-Hellman鍵交換アルゴリズムは,離散対数問題が困難であることを安全性の根拠にしており,安全でない通信路を使って暗号化に用いる秘密対称鍵を生成し,共有することを可能にするものである。
- ロSAとは,IPsecにおける論理的なコネクション(トンネル)であり,制御用に用いるISAKMPSAと,実際の通信データを送るために用いるIPsecSAがある。IPsec通信を始める際には最初に制御用のISAK MPSAが作られ,次にIPsecSAが作られる。
- 口ISAKMPSAはIPsecゲートウ工イ聞で一つ(上り下り兼用)作られるが, IPsecSAは,各ホスト問において,通信の方向や使用するプロトコル(AH, ESP)ごとに別々のSAが作られる。IPsecSAの識別情報として,あて先IPアドレス,フロトコル,SPIが使用される。
- 口AH(認証ヘッダ)は,主に通信データの認証(メツセージ認証)のために使用されるプロトコルであり,通信データを暗号化する機能はない。
- ロESP(暗号化ぺイロード) は通信データの認証(メッセージ、認証)と,暗号化の両方の機能を提供するプロトコルである。
- 口AHではMACを用いてパケット全体のICVを作成するため,完全性チェックの精度を高めることが可能だが,その反面, NATを使用している場合には経路上でIPアドレスが変更されてしまうため完全性チェックが正常に行えなくなってしまうという問題がある。
- 口ESPもAHと同様にMACを用いてICVを生成するが,AHとは異なり,IPアドレスについては計算の対象としていないため,NATを行ってもICVは影響を受けずに済む。ただし, NAPTについては正常に行えないため,対処が必要となる。
- ロIKEバージョン1(IKEv1)は, SAや鍵管理の仕様を規定したISAKMP/Oakleyを実装した汎用的なプロトコルであり,500/UDPを使用する。IKEv1の鍵交換方式として,ISAKMPSAの作成に使用するメインモード\ アグレッシブモード, IPsecSAの作成に使用するクイックモードなどが、ある。
- 口IKEでは,通信に先立って通信相手を認証する。その方式としては,通信を行う者同士が,あらかじめ鍵を共有しておき,それによって相手を認証する[事前共有鍵認証jのほか,「ディジタル署名認証jや「公開鍵暗号認証jなどがある。
- 口メインモードで事前共有鍵認証を行う場合,通信相手を識別するIDは暗号化されるが,IDにはIPアドレスしか使用できないという制約がある。そのため,モバイル接続のように,毎回動的にIPアドレスが、設定される環境では使用できない。
- 口アグレッシブモードで事前共有鍵認証を行う場合,IDは暗号化されないが,最初に送信されるため,IDにFQDNなどを使用して事前共有鍵との対応付けを行うことができる。そのためIPアドレスが動的に設定される環境でも使用することができる。
- ロクイックモードでは前フェース‘で確立したISAKMPSAを使用して通信が行われるためパケットのぺイロード部分が暗号化される。
- 口リモートアクセス環境でのIPsec通信では,SAの作成時に端末機器を認証(デバイス認証)するだけでなく,端末の使用者も認証(ユーザ認証)する必要がある。IPsecでは,これを行う手段として, XAUTHが広く利用されている。
- 口NAPTを使用する環境では,AH,ESPともにそのままではIPsecを使用することができないため, IPsecのパケットに新たなUDPヘッダを追加(カプセル化)することによって対応する方法が広く用いられている。
- 口SSL/TLSは, トランスポート層とアプリケーション層の間に位置付けられ,その内部は下位層のRecordプロトコルと,上位層の四つのプロトコル(HandshakeプロトコJレ,ChangeCipher Specプロトコル,Alertプロトコル,ApplicationDataプ口トコル)から構成される。
- 口Recordプロトコルは,上位層からのデータを214バイト以下のブロックに分割し,圧縮,MACの生成,暗号化の処理を行って送信する。データ受信時には,復号,MACの検証,伸張の処理を行って上位層に引き渡す。
- 口Handshakeフ口トコルはサーバ・クライアント間で新たにセッションを確立する,もしくは既存のセッションを再開する際に,暗号化アルゴリズム,鍵,ディジタル証明書など,通信に必要なパラメタを相手とネゴシエーションして決定する。
- 口SSL/TLSにおける「セッションjとは, Handshakeプ口トコルによるサーバとクライアントの鍵交換(ネゴシエーション)の結果生成された,マスタシークレツトによって特定される仮想的な概念である。一方「コネクションJは,セッションに従属して存在する通信チャネルであり,一つのセッションには,必要に応じて複数のコネクションが存在する。
- 口HSTSは, Webサイトが, HTTPSでアクセスしたブラウザに対し,当該ドメイン(サフドメインにも適用可能)への次回以降のアクセスにおいて,”max-age”で指定した有効期限(秒単位)まで, HTTPSの使用を強制させる機構である。
- 口S/MIMEは不特定多数のユーザ問で安全性,信頼性の高い通信を行うことを想定しているため,利用にあたって各ユーザは公的な第三者機関が発行するディジタル証明書(S/MIME証明書)を取得することが前提となる。
- 口X.509は,ITU-Tが1988年に勧告したディジタル証明書及びCALの標準仕様でありISO/IEC 9594-8として国際規格化されている。X.509では,ディジタル証明書の発行者が拡張フィールドに独自の情報を追加できるようになったほか, 2000年にはX.509v3の改訂が行われ,新たにAC(属性証明書),ACAL (属性証明書失効リスト)が定義された。
- 口OCSPレスポンダとは,ディジタル証明書の失効有無をリアルタイムで応答するサーバであり,CAやVAが運営する。クライアン卜はOCSPレスポンダに問い合わせることによって自力でCRしを取得したり照合したりする手間を省くことができる。
- 口SCVPはOCSPと同様に証明書の有効性検証をリアルタイムで行う仕組みであるがOCSPではディジタル証明書の失効情報のみをチェックするのに対し,SCVPでは信頼関係(有効期限,署名など)も含めてチェックする。
- ロタイムスタンプとは,電子文書に対して,信頼される第三者機関である時刻認証局(TSA)が付す時刻情報を含んだ電子データでありその電子文書が「いつ」作成されたかということと「その時刻以降改ざんされていなしリことを保証するものである。
- 口過去のある時点でディジタル署名が有効であったことを検証するために,当該署名に対する公開鍵証明書,当該証明書からルート証明書に至るまでのパス上のすべての公開鍵証明書, 及びそれらに関する失効情報等をすべて集め,それらに対するタイムスタンプを付したものをアーカイブタイムスタンプという。
- 口アーカイブタイムスタンプは関連する技術の危殆化によって有効性が失われてしまう前に,その時点の最新技術を用いて次のアーカイブタイムスタンプを取得する必要がある。これは,電子文書を保存している限り,必要に応じて繰返し行っていく必要がある。
-
第8章 システム開発におけるセキュリティ対策
- ロシステム要件や利用環境等に応じた適切なセキュリティ機構を有し,脆弱性への対処がなされたセキュアなアプリケーションを開発するためには,開発工程の初期段階からセキュリティ対策に取り組む必要がある。
- 口CIC++ 言語のgets,strcpy, strcat, sprintf, scant,sscanf, fscanfなどの関数では,入力データをサイズの制限なくメモリ内の変数領域に格納してしまうため,バッファオーバフロー(BOF)状態を引き起こす可能性が高い。
- 口上記の関数への対策としては,バッファに書き込むサイズを指定できる関数(fgets, strncpy, strncat,snprintf等)で代用するか,精度を指定してバッファに書き込む最大サイズを制限することである。
- 口CIC++言語をはじめ,多くのプログラム言語で,ナル文字は文字列の終端を示すものとなるため,文字列を処理する関数はナル文字を見付けると読込みなどの処理を終了する,バッファに文字列を格納する関数は,末尾にナル文字を付加する,などの処理を行う場合が多い。
- 口末尾にナル文字を付加する関数を使用する際には,文字列を格納する先のバッファのサイズとして,格納する対象となる文字列の長さに加えナル文字分(1バイト)が必要である。これを怠るとBOFの問題が発生する可能性が高まる。
- 口Javaで採用されているサンドボックスモデルとは,ネットワークなどを通じて外部から受け取ったプログラムを,セキュリティが確保された領域で動作させることによって,プログラムが不正な操作や動作をするのを防ぐ仕組みである。
- 口レースコンディション(競合状態)とは,並列して動作する複数のプロセスやスレッドが,同一のリソース(ファイル,メモリ,デバイス等)ヘほぼ同時にアクセスしたことによって競合状態が.引き起こされ,その結果,予定外の処理結果が生じるという問題である。
- 口ECMAScriptにおいて,外部からの入力値を文字列リテラルとして扱う場合にはメタキャラクタをエスケープ処理する必要がある。エスケープ処理が必要な文字として最低限次の四つが挙げられる。「\ → \\」「’→ \’」「”→ \”」「改行→ \n」。
- 口ECMAScriptにおいて,グローバル変数は関数の外で「var」を用いて定義し ローカル変数は使用する関数の中で「var」を用いて定義する。「var」を使用せずに定義した変数はすべてグローバル変数として解釈されるが,発見が困難なバクを作り出す大きな要因となるため,避けなければならない。
- 口Ajax(Asynchronous JavaScript + XML) とは,JavaScriptなどのスクリプト言語を使ってサーバと非同期通信を行うことで、Webページ全体を再描画することなく,ページの必要な箇所だけを部分的に更新することを可能にする技術である。
- 口XMLHttpRequestは各種ブラウザに実装されている組込みオブジエクト(API)であり,周期通信,非同期通信の双方をサポートしている。
- 口JSON(JavaScript Object Notation)とは,ECMA-262標準第3版準拠のJavaScript(ECMAScript)をもとにした軽量のデータ記述方式である。
- 口JSONP (JSON with Padding)とは,くscript>タグのsrc属性にはクロスドメイン通信の制限がなく,別ドメインのURしを指定できることを利用することで,JavaScript (ECMAScript)とJSONを用いてクロスドメイン通信を実現する技術である。
-
第9章 情報セキュリティに関する法制度
- 口ISO/IEC 15408は,オペレーテイングシステム,アプリケーションプログラム,通信機器,情報家電など,セキュリティ機能を備えたすべてのIT関連製品や,それらを組み合わせた一連の情報システムのセキュリティレベルを評価するための国際規格である。
- 口CMMI(能力成熟度モデル統合版)は,米国国防総省が米国カーネギーメロン大学に設置したソフトウェア工学研究所で考案された能力成熟度モデルの一つであり,システム開発を行う組織がプロセス改善を行うためのガイドラインとなるものである。
- ロPCIDSS (Payment Card Industry Data SecurityStandard)とは,クレジットカード情報や取引情報の保護を目的として国際ぺイメントブランド5社が共同で策定したセキュリティ基準であり,対策を実施する頻度や許容期間などが具体的に示されているのが大きな特徴となっている。
- 口ISO/IEC 20000とはIT関連サービスを提供する組織が,顧客の求める品質を確保し,維持・改善するための要求事項を規定した国際規格であり, ITサービスマネジメントにおける業務プロセスや管理手法を体系的に整理した書籍群であるITILに基づいている。
- ロ行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)は,年金や納税等,異なる分野の個人情報を照合できるようにするとともに,行政の効率化や公正な給付と負担を実現し,手続の簡素化による国民の負担軽減を図ることなどを主な目的としている。
- ロサイバーセキュリティ基本法は,サイバーセキュリティに関する施策や戦略を明確に定め,総合的かつ効果的に推進することにより,経済社会の活力向上,持続的発展,国民が安全で安心して暮らせる社会の実現,国際社会の平和及び安全の確保,国の安全保障への寄与などを目的にしている。
- ロ知的財産権のうち,特許権,実用新案権,意匠権,商標権の四つを[産業財産権Jという。
- ロ産業財産権の存続期間は,特許権が出願日から20年,実用新案権が出願白から10年,意匠権が登録日から最長20年,商標権が登録日から10年(継続使用による更新可能)となっている。
- ロ著作権とは,創作された表現を保護する権利であり,著作物を創作した時点で成立し,著作者の死後, 50年を経過するまでの間,存続する。ただし,映画の著作物の保護期間は公表後70年となっているo
- ロ不正競争防止法が保護の対象としているのは「秘密として管理されている有用な技術上又は営業上の情報であって,公然と知られていないもの」である。
- 口内部統制とは,企業において業務が正常かつ有効に行われるよう各種の手続や仕組み,プロセスを整備し,それを遂行することによって,企業の活動全般を適切にコントロールすることをいう。
- 口COBIT(COBITS)は,ITガバナンス及びITマネジメントに関する実践規範であり,ガイドライン文書, フレームワーク,プロセス参照モデル等からなる。
-
ISMS関連
- ■ISMSユーザーズガイド-JISQ27001:2014(ISO/IEC27001:2013)対応【JIPDEC】
- ■ISMSユーザーズガイド-JISQ27001:2014(ISO/IEC27001:2013)対応-リスクマネジメント編【JIPDEC】
-
情報セキュリティマネジメントシステム(ISMS)
適合性評価制度
-
ISMS適合性評価制度とは
- JIS Q 27001:2014もしくはISO/IEC 27001:2013を認証基準とした情報セキュリティの運用管理に対する第三者評価制度である
-
認証審査
- 評価機関により、JIS Q 27001:2014もしくはISO/IEC 27001:2013に基づいて認証審査が行われる
-
JIPDEC
-
適合性評価制度に基づく適合性評価機関(認証機関)を認定する
- 適合性評価機関の認定、不認定、保留、取消し又は一時停止等を審議する。
-
情報セキュリティ関連の調達時に提示する要件(例)
-
情報セキュリティマネジメントシステム(ISMS)適合性評価制度の認証機関により、ISMS認証を取得した機関(企業、部署)
- 補足:外部委託作業時及び内容に関してのセキュリティ要件ではないが、作業時に情報セキュリティに対するルールを順守する意識が高いと想定される
-
参考資料
-
情報セキュリティマネジメントシステム(ISMS)適合性評価制度の概要
- https://www.isms.jipdec.or.jp/about/index.html
- ISMS適合性評価制度の運用
- ISMS適合性評価制度は、組織が構築したISMSがJIS Q 27001(ISO/IEC 27001)に適合しているか審査し登録する「認証機関」、審査員の資格を付与する「要員認証機関」、及びこれら各機関がその業務を行う能力を備えているかをみる「認定機関」からなる総合的な仕組みである。なお、審査員になるために必要な研修を実施する「審査員研修機関」は要員認証機関が承認する。
-
ISMS認証機関一覧
- https://www.isms.jipdec.or.jp/lst/isr/index.html
-
ISMS認証取得組織検索
- https://www.isms.jipdec.or.jp/lst/ind/index.html
-
情報セキュリティマネジメント(ISMS)に準拠した対策【ISO/IEC27001:2013(管理項目35, 管理策114)】
-
管理的対策
-
A5.情報セキュリティのための方針群
- 情報セキユリティのための経営陣の方向性
- 情報セキュリティのための方針群
- 情報セキュリティのための方針群は, これを定義し, 管理層が承認し, 発行し, 従業員及び関連する外部関係者に通知しなければならない
- 情報セキュリティのための方針群のレビュー
- 情報セキュリティのための方針群は, あらかじめ定めた間隔で, 又は重大な変化が発生した場合に, それが引き続き適切, 妥当かつ有効であることを確実にするためにレビューしなければならない。
-
A6.情報セキュリティのための組織
- 内部組織
- 情報セキュリティの役割及び責任
- 全ての情報セキュリティの責任を定め, 割り当てなければならない
- 職務の分離
- 相反する職務及び責任範囲は組織の資産に対する, 認可されていない若しくは意図しない変更又は不正使用の危険性を低減するために, 分離しなければならない。
- 関係当局との連絡
- 関係当局との適切な連絡体制を維持しなければならない。
- 専門組織との連絡
- 情報セキュリティに関する研究会又は会議、及び情報セキュリティの専門家による協会・団体との適切な連絡体制を維持しなければならない。
- プロジェクトマネジメントにおける情報セキュリティ
- プロジェクトの種類にかかわらず, プロジェクトマネジメントにおいては, 情報セキュリティに取り組まなければならない。
- モバイル機器及びテレワーキング
- モバイル機器の方針
- モバイル機器を用いることによって生じるリスクを管理するために、方針及びその方針を支援するセキュリティ対策を採用しなければならない
- テレワーキング
- テレワーキングの場所でアクセス, 処理及び保存される情報を保護するために方針及びその方針を支援するセキュリティ対策を実施しなければならない。
-
A8.資産の管理
- 資産に対する責任
- 資産目録
- 情報,情報に関連するその他の資産及び情報処理施設を特定しなければならない。また,これらの資産の目録を,作成し,維持しなければならない。
- 資産の管理責任
- 目録の中で維持される資産は,管理されなければならない。
- 注6.1.2及び6.1.3では,情報セキュリティのリスクを運用管理することについて責任及び権限をもつ人又は主体をリスク所有者としている。情報セキュリティにおいて,多くの場合,資産の管理責任を負う者はリスク所有者でもある。
- 資産利用の許容範囲
- 情報の利用の許容範囲,並びに情報及び情報処理施設と関連する資産の利用の許容範囲に関する規則は,明確にし,文書化し,実施しなければならない。
- 資産の返却
- 全ての従業員及び外部の利用者は,雇用,契約又は合意の終了時に,自らが所持する組織の資産の全てを返却しなければならない。
- 情報分類
- 情報の分類
- 情報は,法的要求事項,価値,重要性,及び認可されていない開示又は変更に対して取扱いに慎重を要する度合いの観点から,分類しなければならない。
- 情報のラベル付け
- 情報のラベル付けに関する適切な一連の手順は,組織が採用した情報分類体系に従って策定し,実施しなければならない。
- 資産の取り扱い
- 資産の取扱いに関する手順は,組織が採用した情報分類体系に従って策定し,実施しなければならない
- 媒体の取扱い
- 取外し可能な媒体の管理
- 組織が採用した分類体系に従って、取外し可能な媒体の管理のための手順を実施しなければならない
- 媒体の処分
- 媒体が不要になった場合は、正式な手順を用いて、セキュリティを保って処分しなければならない
- 物理的媒体の輸送
- 情報を格納した媒体は,輸送の途中における,認可されていないアクセス、不正使用又は破損から保護しなければならない。
-
A12.運用のセキュリティ
- 運用の手順及び責任
- 操作手順
- 変更管理
- 容量・能力の管理
- 開発環境、試験環境及び運用環境の分離
- マルウェアからの保護
- マルウェアに対する管理策
- バックアップ
- 情報のバックアップ
- ログ取得及び監視
- イベントログ取得
- ログ情報の保護
- 実務管理者及び運用担当者の作業ログ
- クロックの同期
- 運用ソフトウエアの管理
- 運用システムに関わるソフトウェアの導入
- 技術的ぜい弱性管理
- 技術的脆弱性の管理
- ソフトウェアのインストールの制限
- 情報システムの監査に対する考慮事項
- 情報システムの監査に対する管理
-
A15.供給者関係
- 供給者関係における情報セキュリティ
- 供給者関係のための情報セキュリティの方針
- 組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項について,供給者と合意し,文書化しなければならない。
- 供給者との合意におけるセキュリティの取扱い
- 関連する全ての情報セキュリティ要求事項を確立しなければならず,また,組織の情報に対して,アクセスラ処理,保存若しくは通信を行う,又は組織の情報のためのIT基盤を提供する可能性のあるそれぞれの供給者と,この要求事項について合意しなければならない
- ICTサプライチェーン
- 供給者との合意には,情報通信技術(ICT)サービス及び製品のサプライチェーンに関連する情報セキュリティリスクに対処するための要求事項を含めなければならない
- 供給者のサービス提供の管理
- 供給者のサービス提供の監視及びレビュー
- 組織は,供給者のサービス提供を定常的に監視し,レビューし,監査しなければならない。
- 供給者のサービス提供の変更に対する管理
- 関連する業務情報業務システム及び業務プロセスの重要性,並びにリスクの再評価を考慮して,供給者によるサービス提供の変更(現行の情報セキュリティの方針群,手順及び管理策の保守及び改善を含む。)を管理しなければならない。
-
A16.情報セキュリティインシデント管理
- 情報セキュリティインシデントの管理及びその改
- 責任及び手順
- 情報セキュリティインシデントに対する迅速,効果的かつ順序だった対応を確実にするために,管理層の責任及び手順を確立しなければならない
- 情報セキュリティ事象の報告
- 情報セキュリティ事象は,適切な管理者への連絡経路を通して,できるだけ速やかに報告しなければならない。
- 情報セキュリティ弱点の報告
- 組織の情報システム及びサービスを利用する従業員及び契約相手に,システム又はサービスの中で発見した又は疑いをもった情報セキュリティ弱点はどのようなものでも記録し報告するように要求しなければならない。
- 情報セキュリティ事象の評価及び決定
- 情報セキュリティ事象は,これを評価し,情報セキュリティインシデントに分類するか否かを決定しなければならない。
- 情報セキュリティインシデントへの対応
- 情報セキュリティインシデントは,文書化した手順に従って対応しなければならない。
- 情報セキュリティインシデントからの学習
- 情報セキュリティインシデントの分析及び解決から得られた知識は,インシデントが将来起こる可能性又はその影響を低減するために用いなければならない。
- 証拠の収集
- 組織は,証拠となり得る情報の特定,収集,取得及び保存のための手順を定め,適用しなければならない。
-
A17.事業継続マネジメントにおける情報セキュリティの側面
- 情報セキュリティ継続
- 情報セキュリティ継続の計画
- 組織は,困難な状況( adversesituation) (例えば,危機又は災害)における情報セキュリティ及び情報セキュリティマネジメントの継続のための要求事項を決定しなければならない。
- 情報セキュリティ継続の実施
- 組織は,困難な状況の下で情報セキュリティ継続に対する要求レベルを確実にするための,プロセス,手順及び管理策を確立し,文書化し,実施し,維持しなければならない
- 情報セキュリティ継続の検証、レビュー及び評価
- 確立及び実施した情報セキュリティ継続のための管理策が,困難な状況の下で妥当かつ有効であることを確実にするために,組織は,定められた間隔でこれらの管理策を検証しなければならない。
- 冗長性
- 情報処理施設の可用性
- 情報処理施設は可用性の要求事項を満たすのに十分な冗長性をもって,導入しなければならない
-
A18.順守
- 法的及び契約上の要求事項の順守
- 適用法令及び契約上の要求事項の特定
- 知的財産権
- 記録の保護
- プライバシー及び個人を特定できる情報(PII)の保護
- 暗号化機能に対する規制
- 情報セキュリティのレビュー
- 情報セキュリティの独立したレビュー
- 情報セキュリティのための方針群及び標準の順守
- 技術的順守のレビュー
-
人的対策
-
A7.人的資源のセキュリティ
- 雇用前
- 選考
- 全ての従業員候補者についての経歴などの確認は, 関連する法令, 規制及び、倫理に従って行わなければならない。また, この確認は, 事業上の要求事項アクセスされる情報の分類及び認識されたリスクに応じて行わなければならない
- 雇用条件
- 従業員及び契約相手との雇用契約書には, 情報セキュリティに関する各自の責任及び組織の責任を記載しなければならない。
- 雇用期間中
- 経営陣の責任
- 経営陣は, 組織の確立された方針及び手順に従った情報セキュリティの適用を全ての従業員及び契約相手に要求しなければならない
- 情報セキュリティの意識向上, 教育及び訓練
- 組織の全ての従業員, 及び関係する場合には契約相手は, 職務に関連する組織の方針及び手順についての, 適切な, 意識向上のための教育及び訓練を受けなければならず, また, 定めに従ってその更新を受けなければならない。
- 懲戒手続き
- 情報セキュリティ違反を犯した従業員に対して処置をとるための, 正式かつ周知された懲戒手続を備えなければならない
- 雇用の終了及び変更
- 雇用の終了又は変更に関する責任
- 雇用の終了又は変更の後もなお有効な情報セキュリティに関する責任及び義務を定めその従業員又は契約相手に伝達し,かつ,遂行させなければならない。
-
物理的対策
-
A11.物理的及び環境的セキュリティ
- セキュリティを保つべき領
- 物理的セキュリティ境界
- 物理的入退管理策
- オフィス, 部屋及び施設のセキュリティ
- 外部及び環境の脅威からの保護
- セキュリティを保つべき領域での作業
- 受渡場所
- 装置
- 装置の設置及び保護
- サポートユーティリティ(ライフライン事業者)
- ケーブル配線のセキュリティ
- 装置の保守
- 資産の移動
- 構外にある装置及び資産のセキュリティ
- 装置のセキュリティを保った処分又は再利用
- 無人状態にある利用者装置
- クリアデスク・クリアスクリーン方針
-
技術的対策
-
A9.アクセス制御
- アクセス制御に対する業務上の要求事項
- アクセス制御方針
- ネットワークおよびネットワークサービスへのアクセス
- 利用者アクセスの管理
- 利用者登録及び登録削除
- 利用者アクセスの提供(プロビジョニング)
- 特権的アクセス権の管理
- 利用者の秘密認証情報の管理
- 利用者アクセス権のレビュー
- アクセス権の削除または修正
- 利用者の責任
- 秘密認証情報の利用
- システム及びアプリケーションのアクセス制御
- 情報へのアクセス制限
- セキュリティに配慮したログオン手順
- パスワード管理システム
- 特権的なユーティリティプログラムの使用
- プログラムソースコードへのアクセス制御
-
A10.暗号
- 暗号による管理策
- 暗号による管理策の利用方針
- 鍵管理
-
A13.通信のセキュリティ
- ネットワークセキュリティ管理
- ネットワーク管理策
- ネットワークサービスのセキュリティ
- ネットワークの分離
- 情報の転送
- 情報転送の方針及び手順
- 情報転送に関する合意
- 電子的メッセージ通信
- 秘密保持契約又は守秘義務契約
-
A14.システムの取得、開発及び保守
- 情報システムのセキユリティ要求事項
- 情報セキュリティ要求事項の分析及び仕様化
- 公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮
- アプリケーションサービスのトランザクションの保護
- 開発及びサポートプロセスにおけるセキュリティ
- セキュリティに配慮した開発のための方針
- システムの変更管理手順
- オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー
- パッケージソフトウェアに対する制限
- セキュリティに配慮したシステム構築の原則
- セキュリティに配慮したシステム開発環境
- 外部委託による開発
- システムセキュリティの試験
- システムの受入れ試験
- 試験データ
- 試験データの保護
-
施策・政策・統計
- サイバーセキュリティ関連施策に関する平成29年度予算重点化方針
- サイバーセキュリティ政策の評価に係る基本方針