1.リスクの概念とリスクアセスメント
・投機的リスクと純粋リスク
- リスク:何らかの事象が発生することに関する不確実性
- リスクには、「投機的リスク」と「純粋リスク」がある。
・リスクの構成要素と損失
- リスクの構成要素:「情報資産」、「脅威」、「脆弱性」
- 純粋リスクが顕在化 ⇒ 損失発生
- 損失の種類 ⇒ 「直接損失」、「間接損失」、「対応費用」
- 損失額の算出が大きな課題。直接損失は測定しやすいが、間接損失の測定は困難。
・リスクアセスメントの概要
- 情報セキュリティマネジメント体制を確立するためのPlanフェーズとして必須の作業。
- リスク分析とリスク評価までのプロセスからなる
- 目的:内在するリスクの大きさや影響度を知ることで、効果的な対策プランを導き出すこと
- 効果:限られた予算を有効活用して最大限の対策効果を得ることが可能
- リスク分析方法の種類:ベースラインアプローチ(簡易リスク分析)、非公式アプローチ、詳細リスク分析、組合せアプローチ(ベースラインアプローチと詳細リスク分性を組み合わせたもの)
- リスク分析で用いる調査方法:アンケート、チェックリスト法、ドキュメントレビュー法、現地調査法、インタビュー法、リスク分析ツール、脆弱性検査ツール
- リスク評価方法の種類:定性的評価(金額以外で表す)、定量的評価(金額で表す)
・詳細リスク分析・評価の手順
- リスク分析範囲の決定
- 対象とする情報資産の種別の決定
- 情報資産の洗い出し
- 情報資産の分類
- 脅威の洗い出し
- 脆弱性の洗い出し
- リスクの洗い出し
- リスクの大きさの評価
2.リスクマネジメントとリスク対応
リスクマネジメント:様々なリスクを分析・評価し、適切な処置を施すことで、損失発生の可能性を最小限に留めるために、組織を指揮し、行われる一連の活動。リスク分析やリスクアセスメントもリスクマネジメントの中の一つのプロセス。
リスク対応:リスクアセスメントによって洗い出されたリスクに対処すること。
・リスクマネジメントのプロセス
- リスクアセスメント
- リスク対応方法の洗い出し
- リスク対応の実施
- リスク及びリスク対応方法の見直し
・リスク対応の概要
リスク対応には大きく分けて以下がある。
・リスクコントロール
潜在的なリスクに対して、物理的対策、技術的対策、運用管理的対策によって、発生を抑止したり、損失を低減させること。
・リスクファイナンシング
リスクが顕在化して損失が発生した場合に備えて、損失の補填や対応費用などを確保しておくこと。
・リスクの受容
リスクコントロール、リスクファイナンシングを行っても対処しきれないリスク(残余リスク、残留リスク)が残る。リスクの存在を認識しながらも、その強度や予算などとの兼ね合いにより、あえて対処を行わない選択をすること。
・リスク対応手法の種類
・リスクコントロール
- リスク回避
- リスク低減
- リスク移転
・リスクファイナンシング
- リスク保有
- リスク移転
※PMBOKでは、回避、転嫁、軽減、受容
3.情報セキュリティポリシの策定
情報セキュリティポリシ:組織の情報資産を守るための方針や基準を明文化したもの
・情報セキュリティポリシの概要
・情報セキュリティポリシの基本構成
- 情報セキュリティ基本方針
-
- 情報セキュリティのための方針群は管理層が承認・発行し、従業員及び外部関係者に通知すること。
- 情報セキュリティのための方針群は、その有効性や適切性を維持するため、定期的に、又は重大な変化が発生した場合にレビューすること。
- 情報セキュリティ対策基準
- 情報セキュリティ対策実践手順、規定類
・情報セキュリティポリシの策定・運用による効果
- 情報セキュリティレベルの向上
- セキュリティ対策の費用対効果の向上
- 対外的な信頼性の向上
・情報セキュリティポリシ策定における留意事項
- 策定体制の整備
- 外部の専門家の活用
- 対象とする情報資産の明確化
- 適用対象者の明確化
- 目的や罰則の明確化
- 曖昧な表現の排除、主体の明確化
- ポリシ運用方法の明確化
4.情報セキュリティのための組織
・組織のあるべき姿と役割の例
・情報セキュリティのための組織に関するISMSの要求事項
- すべての情報セキュリティの責任を定め、割り当てること。
- 組織の資産に対する認可されていない、もしくは意図しない変更や、不正使用の危険性を低減するため、相反する職務及び責任範囲を分離すること(職務の分離)
- 関係当局との適切な連絡体制を維持すること。
- 情報セキュリティに関する研究会や会議、情報セキュリティの専門家による協会・団体との適切な連絡体制を維持すること。
- プロジェクトの種類にかかわらず、プロジェクトマネジメントにおいては情報セキュリティに取り組むこと
・情報セキュリティ管理体制と役割の例
- CISO(最高情報セキュリティ責任者)
- 情報セキュリティ委員会
- 情報セキュリティ委員会事務局
- 情報セキュリティ推進会議
- 情報管理者
- 情報システム管理者
- 監査担当
- 自分が所属する部門の監査を行うことがないようにする
・CSIRTとの連携
- CSIRT(Computer Security Incident Response Team)
5.情報資産の管理およびクライアントPCのセキュリティ
・情報資産の洗い出しと分類
・情報資産の管理に関するISMSの要求事項
- 組織の情報資産を適切に取り扱う。
- 保護すべき情報資産を洗い出し、台帳などに整理・分類する必要がある。
・情報資産の洗出し方法
- 洗出し方法の決定
- 洗出し対象となる情報資産の特定
- 情報資産の洗出し
・情報資産の分類方法
- 機密性
- 求められる機密性のレベルが異なる
- 完全性
- 本来はすべての情報資産に求められるため、完全性が損なわれる危険性の度合い(脆弱性)で分類する方法もある。
- 可用性
- 情報資産の内容というよりも、情報システムごとに求められる可用性のレベルが決まる。停止許容時間によって分類する方法もある。
・情報資産のラベル付け
情報資産の重要度や保管期間などの情報を情報資産自体に明示すること。
・情報資産の取扱い方法の明確化
・情報資産のライフサイクルとセキュリティ
- 情報資産のライフサイクル:情報が発生してから廃棄されるまでの一連の流れ
・個人情報の取扱いにおける留意点
自組織に存在するものであっても、本来の情報の持ち主はあくまでも各々の個人であるため、本人が認識していない範囲や目的で取り扱われることがないよう特別な注意を払う必要がある。
・クライアントPCの管理及びセキュリティ対策
・クライアントPC管理の必要性
適切なセキュリティ対策を施し、ネットワークへの接続や持ち出し/持ち込みなどのルールを情報セキュリティポリシとして定めて、徹底することが不可欠。
・クライアントPC管理及びセキュリティ対策における留意点
- 利用及び管理に関するルール
- 所在、利用者、管理者を明確にする。
- 複数名で共有しているかどうか
- 個人所有の取扱い方法
- クライアントPCにおけるセキュリティ対策
- TPM(Trusted Platform Module)を用いた暗号かぎの生成、保管等が一例
- ネットワーク接続におけるルール
- 社外への持出し/持込みに関するルール
- 持出し時の取扱いに関するルール
6.物理的・環境的セキュリティ
サーバ室の設置、防水、防火、電源、空調などの各種設備、入退室管理システムの導入、回線/通信機器の二重化、情報資産の物理的な保護など。
・災害や障害への物理環境面の対策
・ISMSの要求事項
- 物理的セキュリティ境界を定める
- 入退室管理策
- 物理的セキュリティ、保護を設計し適用
- 作業手順の設計、適用
- 来訪者などが出入りする場所を管理し、情報処理施設から離す
- 通信ケーブル、電源ケーブルの保護
- 装置の保守
- 記憶媒体のデータ消去
- クリアデスク、クリアスクリーン方針の適用
・災害や障害への設備面の主な対策
- 専用室/専用区画への設置
- 地震対策
- 電源障害対策
- 空調対策
- 火災対策
- 回線障害対策
・IDC(Internet Data Center)の活用
- IDC:防災/防犯設備、大容量電源などの堅牢な設備を備え、かつ高速なインターネット通信回線を引き込んだ施設
- 以下のセキュリティ要件がある
- 耐震性や耐火性などの様々な設備や対策が施され、入館、入室管理が徹底された専用の施設であること。
- 信頼性の高いインターネット接続環境を有していること。
- 10%に近い高い可用性を確保できること。
・運用管理上の留意点
- 管理者を明確に
- 定期点検、保守を実施
- 対応手順や連絡体制を明確にし、訓練を実施
・物理的な不正行為への対策
・不法侵入などの人的脅威への物理環境面の主な対策
- セキュリティレベルに応じた物理区画の分類/管理者/入室者の明確化
- 各区画の入退室管理方法の決定
- 入退室管理システムの導入
- 情報資産を適切な区画に設置・保管
・運用管理上の留意点
- 管理者、手順を明確に
- 定期点検、保守
- 入退室権限の管理を徹底
- 入退室ログや監視記録を保存、分析
7.人的セキュリティ
・人的セキュリティ対策実施の要点
・ISMSの要求事項
- 雇用契約書に情報セキュリティに関する責任を記載すること。
- すべての従業員、契約相手は教育、訓練を受けること。
- 違反行為に対する懲戒手続きを備えること。
・人的セキュリティ対策として実施すべき事項
- 社員の責務の明確化
- 体制面での対策
- 作業環境の整備、健康維持、メンタル面のケアなど
- 教育・訓練の計画及び実施
- 委託先の管理
8.情報セキュリティインシデント管理
・情報セキュリティインシデント管理の流れと留意事項
・ISMSの要求事項
- 管理層の責任及び手順を確立すること
- 速やかに報告すること
- 情報セキュリティ弱点は、どのようなものでも記録、報告するよう要求すること
- 文書化した手順に沿って対応すること
- インシデントの証拠となりうる情報の特定、収集、取得、保存のための手順を定め、適用すること
・CSIRTとSOCの概要
- CSIRT(Computer Security Incident Response Team):インシデント発生時にその対応を主導し、情報を集約して顧客、株主、経営者、監督官庁等に適時報告するとともに、現場組織等に適時対応を指示すること等が求められる。また、インシデント発生時だけでなく、情報セキュリティに関する最新情報を収集したり、外部のセキュリティベンダや関連機関、業界団体、他のCSIRT等と連携して情報を共有したりすることにより、インシデントに備えた対応を行うことなども重要な役割。再発防止の対応も求められる。⇒インシデントマネジメント/インシデント管理
- SOC(Security Operation Center):IDS、IPS、SIEM等からのアラートや各種ログの分析を定常的に行い、その結果を適時CSIRTにエスカレーションすることが役割。
・インシデント管理における留意点
2~5をインシデントハンドリングという
- インシデント発生に備えた対応
- インシデントの検知/連絡受付
- インシデントのトリアージ(優先順位付け)/対応要否の決定
- 影響範囲の特定/応急処置
- 対応策(復旧措置・連絡・広報など)の決定/実施
- インシデント収束後の対応
・インシデント管理のまとめ
対応を迅速かつ適切に行うとともに、対応後には徹底的に評価・見直しを行い、二度と同じことを繰り返さないように組織全体で取り組んでいくことが重要である。
9.事業継続管理
・BCP,BCMの概要
・ISMSの要求事項
- 困難な状況における情報セキュリティおよび情報セキュリティマネジメントの継続のための要求事項を決定すること
- 継続のためのプロセス、手順、管理策を確立して文書化、実施、維持すること
- 継続のための管理策が妥当かつ有効であるかを定期的に検証すること
- 施設は可用性の要求事項を満たすのに十分な冗長性をもって導入すること
・BCMとBCPの動向
- BCM(Business Continuity Management):事業継続管理
- BCP(Business Continuity Plan):事業継続計画
・BCMに関する規格及び認証制度
- 規格:ISO 22301:2012 社会セキュリティー事業継続マネジメントシステムー要求事項
- 認証制度:一般財団法人 日本情報経済社会推進協会(JIPDEC)により、BCMS適合性評価制度が運用されている。
・BCP策定,BCM確率における要点
- もっとも重要度の高い事業やサービスを優先的に復旧・継続させることが前提
- BCPの策定において、まずビジネスインパクト分析(BIA)によって、事業継続においてボトルネックとなる業務プロセスやリスクを把握する。
- BIAによって認識された重要な業務について、損失額を算出するとともに、以下の目標値を設定する。
- 目標復旧時間(Recovery Time Objective:RTO):いつまでに業務を復旧させるのか
- 目標復旧レベル:RTO内にどのレベルまで業務を復旧させるのか
- 目標復旧地点(Recovery Point Objective:RPO):いつの時点の状態まで戻すのか
10.情報セキュリティ監査及びシステム監査
情報セキュリティマネジメントの有効性を維持するためには、監査を実施し、問題点を改善していく必要がある。
・情報セキュリティ監査の必要性と監査制度の概要
・情報セキュリティ監査の必要性
情報セキュリティ監査:独立かつ専門的知識を有する専門家が客観的に評価を行うこと。(PDCAのCheckに該当)
定期的に監査を実施し、問題点を改善していく必要がある。
・情報セキュリティ監査によって期待される効果
- 情報セキュリティ対策の欠陥箇所の発見
- 情報セキュリティマネジメントの確立
- 顧客や社会からの信頼の獲得
・情報セキュリティ監査制度の登場
・情報セキュリティ監査制度の概要
- 情報セキュリティ監査基準:監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範
- 一般基準
- 実施基準
- 報告基準
・ISMS適合性評価制度と情報セキュリティ監査制度
- ISMS適合性評価制度:保証型監査
- 情報セキュリティ監査制度:助言型監査
・システム監査制度の概要