Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ基礎 / 01:情報セキュリティ

Avatar for yd46 yd46
September 11, 2020
Technology
1
70

セキュリティ基礎 / 01:情報セキュリティ

Avatar for yd46

yd46

September 11, 2020
Tweet

More Decks by yd46

See All by yd46
研修資料: PC基礎(2)
Avatar for yd46 backyard46
0
79
研修資料: PC基礎(3)
Avatar for yd46 backyard46
0
120
IT入門2(3)コンピューターの種類と構成要素
Avatar for yd46 backyard46
1
130
IT業界用語紹介 1
Avatar for yd46 backyard46
0
310
IT業界用語紹介 2
Avatar for yd46 backyard46
1
100

Other Decks in Technology

See All in Technology
AWS DMS で SQL Server を移行してみた/aws-dms-sql-server-migration
Avatar for emi emiki
0
260
OTEPsで知るOpenTelemetryの未来 / Observability Conference Tokyo 2025
Avatar for Arthur arthur1
0
320
dbtとAIエージェントを組み合わせて見えたデータ調査の新しい形
Avatar for 10xinc 10xinc
6
1.4k
Behind Postgres 18: The People, the Code, & the Invisible Work | Claire Giordano | PGConfEU 2025
Avatar for Claire Giordano clairegiordano
0
150
MCP ✖️ Apps SDKを触ってみた
Avatar for hisuzuya hisuzuya
0
400
OPENLOGI Company Profile for engineer
Avatar for OPENLOGI hr01
1
46k
仕様駆動開発を実現する上流工程におけるAIエージェント活用
Avatar for sergicalsix sergicalsix
6
2.3k
マルチエージェントのチームビルディング_2025-10-25
Avatar for shino shinoyamada
0
210
Amazon Athena で JSON・Parquet・Iceberg のデータを検索し、性能を比較してみた
Avatar for ShigeruOda shigeruoda
1
170
GPUをつかってベクトル検索を 扱う手法のお話し ~NVIDIA cuVSとCAGRA~
Avatar for fshuhe fshuhe
0
170
東京大学「Agile-X」のFPGA AIデザインハッカソンを制したソニーのAI最適化
Avatar for ソニー株式会社 sony
0
150
Retrospectiveを振り返ろう
Avatar for なかしょ nakasho
0
130

Featured

See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3.1k
Writing Fast Ruby
Avatar for Erik Berlin sferik
630
62k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
44
7.8k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
5
700
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
33k
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
7
650
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
359
30k
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
2.8k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
116
20k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
431
66k
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
13
930

Transcript

  1. 08 : 情報セキュリティ基礎 1. 情報セキュリティマネジメント概要 1

  2. 2 おさらい:情報セキュリティ

  3. おさらい:情報セキュリティ 3 情報セキュリティ(Information Security) 情報セキュリティとは、情報システム等に対する攻撃から、情報システムや情報資産を 保護すること。 情報セキュリティの3要素 • 機密性(Confidentiality) •

    完全性(Integrity) • 可用性(Availability)

  4. おさらい:情報セキュリティ 4 情報セキュリティの6大要素 1996年に、さらに3つが追加されました。 • 真正性(しんせいせい、Authenticity) …… 情報システムや情報がなりすまし や偽物でないことを証明できる。 •

    責任追跡性(Accountability) …… 情報システムや情報を扱った人や、その 取扱い責任を明確にできること、追跡可能であること。 • 信頼性(Reliability) …… 情報システムの動きや 処理に矛盾がなく一貫して動作すること、し続けること。

  5. おさらい:情報セキュリティ 5 情報セキュリティの7大要素 2006年に、さらに1つが追加されました。 • 否認防止(Non-Repudiation) …… 情報システムや情報に関する活動、事 象に対して責任のある者があとからその行為等を否定できないよう証明すること。

  6. おさらい:情報セキュリティ 6 脅威と脆弱性 • 情報セキュリティの各要素を脅かす可能性を「脅威(threat)」といいます。 • 脅威を起こす要因や欠陥のことを「脆弱性(vulnerability)」といいます。

  7. おさらい:情報セキュリティ 7 リスク リスクとは、何かが起きる可能性に関する不確実さのことです。情報セキュリティの世界 では、情報資産に対して何かしらの損害や悪影響を発生させる可能性のことを指しま す。

  8. おさらい:情報セキュリティ 8 リスクの種類 本来、リスクには2種類あります。情報資産に関するリスクは、後者の「純粋リスク」を指 します。 • 投機的リスク …… 損失発生の可能性もありますが、利益が生まれる可能性もあ るリスク。株価や為替相場などがそれに相当します。

    • 純粋リスク …… 損失しか生まないリスクです。

  9. おさらい:情報セキュリティ 9 リスク管理とリスク分析 リスクを想定し対策を打つことを「リスク管理」と呼びます。リスク管理のためには、一般 に下記の「リスクアセスメント」と呼ばれる一連の作業を行います。 1. リスク管理対象の情報資産を洗い出す。 2. それぞれごとに存在するリスクを検討する(リスク分析) 3.

    各リスクを評価し、発生頻度や影響度を 明確にする(リスク評価) 4. 各リスクについて、評価結果を鑑みて 対応方法を検討する(リスク対応)

  10. おさらい:情報セキュリティ 10 リスク管理とリスク対応 リスク対応にはいくつかの方法があります。それぞれについて説明します。 • リスク受容 …… あえて無視するという選択を取る場合のやりかたです。 • リスク低減

    …… 被害を小さくするような準備や措置をとるやりかたです。 • リスク移転 …… 金銭や代替手段で損失を相殺する処置をとるやりかたです。 • リスク回避 …… リスクの根本原因を断ち、 問題を起こさないやり方です。

  11. おさらい:情報セキュリティ 11 リスク分析時の注意点 セキュリティを確保するための対策を適切に講じるためには、攻撃の規模や範囲、また、 攻撃の目的などを把握することが重要です。 攻撃側の観点や手法を学ぶためには十分な技術的な知識が必要になりますので、常 に新しい技術などに目を向けて、リスクを洗い出し漏らすことがないようにしましょう。

  12. 12 情報セキュリティマネジメント

  13. 情報セキュリティマネジメント 13 情報セキュリティマネジメントとは 情報セキュリティマネジメントとは、 • 明確な方針や規定に基づいて • 情報資産を適切に維持、管理すること です。

  14. 情報セキュリティマネジメント 14 情報セキュリティポリシーとは 情報セキュリティマネジメントにおける「明確な方針や規定」を「情報セキュリティポリ シー」と呼びます。ポリシーは組織によって異なるため、組織ごとに自組織が持つ情報 資産やその重要性、特性に応じたポリシーを策定する必要があります。

  15. 情報セキュリティマネジメント 15 情報セキュリティポリシーの内容 情報セキュリティポリシーを策定する際には、以下のような点を決定します。 • 組織の基本方針 …… セキュリティを維持する必要性や、顧客情報などの取り扱 い方針など。 •

    組織の対策基準 …… セキュリティを維持するための対策指針。入退出や情報 管理、機器管理などにおいて「どうするか」を大まかに述べたもの。 • 実施手順、運用手順 …… 上記の対策基準を実際に守り続けるために各従業 員が行うべき作業の手順や、教育のための資料や体制。

  16. 情報セキュリティマネジメント 16 情報セキュリティポリシーの策定手順 情報セキュリティポリシーを策定する際の手順は以下の通りです。 • ポリシー策定のための組織や体制を確立させる …… セキュリティ対策対象組織か ら責任者を選任し、セキュリティ委員会を組織します。 •

    セキュリティ基本方針を策定する …… セキュリティ対策の目的、対象範囲などか ら組織としてのあるべき姿を明確にします(対外的にアピールできるくらいに)。 • セキュリティ対策基準を策定する …… リスク分析などを行い、基本方針を満たす ようにそれぞれの情報資産を守るための具体的な指針を立てます。 • 自組織内での承認を受ける …… 委員会が決定した事項を、最終的に自組織 全体のポリシーとして扱えるようしかるべき権限者による承認を受けます。

  17. 情報セキュリティマネジメント 17 情報セキュリティポリシー/基本方針の記載内容 情報セキュリティ基本方針には、以下のような内容を含めます。 • 情報セキュリティに対する基本的な姿勢、考え方。適用範囲。 • 管理対象組織と各担当者の責務および組織の管理体制。 • 洗い出した情報資産と、それらについての脅威、脆弱性。

    • 情報セキュリティ対策内容(最終的に決定したら記載する)。 • ポリシーの導入と長期的な運用に関する規定。 • ポリシーの見直しに関する方針。 • ポリシーの適用開始日。

  18. 情報セキュリティマネジメント 18 情報セキュリティポリシーの運用 情報システムやセキュリティに関する環境、状況、技術は日々進歩し続けることから、 情報セキュリティポリシーは一度決めたら終わりではなく、適宜更新していく必要があり ます。 情報セキュリティポリシーは、定期的に内容が古くなっていないか、今の顧客、組織、人 員などの要求に合っているかを確認し、必用に応じて改訂していかなければなりません。

  19. 情報セキュリティマネジメント 19 情報セキュリティポリシーの例 大手企業や組織の外部に公開されているセキュリティポリシーを実際に見てみましょう。 • NTTドコモ: https://www.nttdocomo.co.jp/utility/security/ • ソフトバンク株式会社: https://www.softbank.jp/corp/group/sbm/security/

    • 東京大学: https://www.u-tokyo.ac.jp/gen03/public16_j.html • 大阪府泉佐野市 http://www.city.izumisano.lg.jp/kakuka/koushitsu/seisaku/menu /jyohosekyurithiporisi/securitypolicyb.html

  20. 20 情報セキュリティ監査

  21. 情報セキュリティ監査 21 情報セキュリティ監査とは 情報セキュリティ監査は、ここまでで述べた情報セキュリティマネジメントを運用維持する 一環として、対象組織のセキュリティ管理状況について調査したり、改善策の助言を 行う行為全般を指します。

  22. 情報セキュリティ監査 22 情報セキュリティ監査の種類 情報セキュリティ監査には2種類あります。 • 保証型監査 …… セキュリティレベルが一定であるかどうかを判定し、特定のレベル を満たしていることを保証する。 •

    助言監査 …… セキュリティ管理上の問題点や課題を洗い出し、改善や向上の ための助言を行う。

  23. 情報セキュリティ監査 23 保証型監査結果の例(セキュリティレベルの判定) 保証型監査では、以下のようなレベル付けを行うことで結果を出します。 • レベル5: すべての運用が有機的に結合している。 • レベル4: サイクルの見直しを定期的に実施する。

    • レベル3: まずは管理体制が回っている。 • レベル2: ポリシーを決めて動き始めている。 • レベル1: ポリシーは決めたが実施されていない。 • レベル0: ポリシーも決めていない。

  24. 情報セキュリティ監査 24 保証型監査結果の例(セキュリティレベルの判定) 前述のレベルが高ければ、ISO27001に定めるISMS(情報セキュリティマネジメント システム、Information Security Management System)の認証を受けるべく 保証型監査を受けるのが好ましいと考えられます。 逆にレベルが低い場合は、まずは助言型監査で運用の改善を

    図ることが好ましいと考えられます。 このように、どのようなレベルであっても監査を受けて 自組織の問題を認識することは有用です。