Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティ基礎 / 01:情報セキュリティ
Search
yd46
September 11, 2020
Technology
1
56
セキュリティ基礎 / 01:情報セキュリティ
yd46
September 11, 2020
Tweet
Share
More Decks by yd46
See All by yd46
研修資料: PC基礎(2)
backyard46
0
55
研修資料: PC基礎(3)
backyard46
0
94
IT入門2(3)コンピューターの種類と構成要素
backyard46
1
100
IT業界用語紹介 1
backyard46
0
270
IT業界用語紹介 2
backyard46
1
89
Other Decks in Technology
See All in Technology
PHPカンファレンス名古屋-テックリードの経験から学んだ設計の教訓
hayatokudou
2
520
Reading Code Is Harder Than Writing It
trishagee
2
110
わたしのOSS活動
kazupon
2
320
Windows の新しい管理者保護モード
murachiakira
0
180
Swiftの “private” を テストする / Testing Swift "private"
yutailang0119
0
140
コンテナサプライチェーンセキュリティ
kyohmizu
1
120
全文検索+セマンティックランカー+LLMの自然文検索サ−ビスで得られた知見
segavvy
2
140
php-conference-nagoya-2025
fuwasegu
0
120
Raycast Favorites × Script Command で実現するお手軽情報チェック
smasato
1
110
システム・ML活用を広げるdbtのデータモデリング / Expanding System & ML Use with dbt Modeling
i125
1
290
ディスプレイ広告(Yahoo!広告・LINE広告)におけるバックエンド開発
lycorptech_jp
PRO
0
140
MIMEと文字コードの闇
hirachan
2
770
Featured
See All Featured
GraphQLとの向き合い方2022年版
quramy
44
13k
A Modern Web Designer's Workflow
chriscoyier
693
190k
A designer walks into a library…
pauljervisheath
205
24k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
7k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
29
1k
Optimising Largest Contentful Paint
csswizardry
34
3.1k
Bash Introduction
62gerente
611
210k
Code Reviewing Like a Champion
maltzj
521
39k
Navigating Team Friction
lara
183
15k
Designing Experiences People Love
moore
140
23k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.4k
Git: the NoSQL Database
bkeepers
PRO
427
65k
Transcript
08 : 情報セキュリティ基礎 1. 情報セキュリティマネジメント概要 1
2 おさらい:情報セキュリティ
おさらい:情報セキュリティ 3 情報セキュリティ(Information Security) 情報セキュリティとは、情報システム等に対する攻撃から、情報システムや情報資産を 保護すること。 情報セキュリティの3要素 • 機密性(Confidentiality) •
完全性(Integrity) • 可用性(Availability)
おさらい:情報セキュリティ 4 情報セキュリティの6大要素 1996年に、さらに3つが追加されました。 • 真正性(しんせいせい、Authenticity) …… 情報システムや情報がなりすまし や偽物でないことを証明できる。 •
責任追跡性(Accountability) …… 情報システムや情報を扱った人や、その 取扱い責任を明確にできること、追跡可能であること。 • 信頼性(Reliability) …… 情報システムの動きや 処理に矛盾がなく一貫して動作すること、し続けること。
おさらい:情報セキュリティ 5 情報セキュリティの7大要素 2006年に、さらに1つが追加されました。 • 否認防止(Non-Repudiation) …… 情報システムや情報に関する活動、事 象に対して責任のある者があとからその行為等を否定できないよう証明すること。
おさらい:情報セキュリティ 6 脅威と脆弱性 • 情報セキュリティの各要素を脅かす可能性を「脅威(threat)」といいます。 • 脅威を起こす要因や欠陥のことを「脆弱性(vulnerability)」といいます。
おさらい:情報セキュリティ 7 リスク リスクとは、何かが起きる可能性に関する不確実さのことです。情報セキュリティの世界 では、情報資産に対して何かしらの損害や悪影響を発生させる可能性のことを指しま す。
おさらい:情報セキュリティ 8 リスクの種類 本来、リスクには2種類あります。情報資産に関するリスクは、後者の「純粋リスク」を指 します。 • 投機的リスク …… 損失発生の可能性もありますが、利益が生まれる可能性もあ るリスク。株価や為替相場などがそれに相当します。
• 純粋リスク …… 損失しか生まないリスクです。
おさらい:情報セキュリティ 9 リスク管理とリスク分析 リスクを想定し対策を打つことを「リスク管理」と呼びます。リスク管理のためには、一般 に下記の「リスクアセスメント」と呼ばれる一連の作業を行います。 1. リスク管理対象の情報資産を洗い出す。 2. それぞれごとに存在するリスクを検討する(リスク分析) 3.
各リスクを評価し、発生頻度や影響度を 明確にする(リスク評価) 4. 各リスクについて、評価結果を鑑みて 対応方法を検討する(リスク対応)
おさらい:情報セキュリティ 10 リスク管理とリスク対応 リスク対応にはいくつかの方法があります。それぞれについて説明します。 • リスク受容 …… あえて無視するという選択を取る場合のやりかたです。 • リスク低減
…… 被害を小さくするような準備や措置をとるやりかたです。 • リスク移転 …… 金銭や代替手段で損失を相殺する処置をとるやりかたです。 • リスク回避 …… リスクの根本原因を断ち、 問題を起こさないやり方です。
おさらい:情報セキュリティ 11 リスク分析時の注意点 セキュリティを確保するための対策を適切に講じるためには、攻撃の規模や範囲、また、 攻撃の目的などを把握することが重要です。 攻撃側の観点や手法を学ぶためには十分な技術的な知識が必要になりますので、常 に新しい技術などに目を向けて、リスクを洗い出し漏らすことがないようにしましょう。
12 情報セキュリティマネジメント
情報セキュリティマネジメント 13 情報セキュリティマネジメントとは 情報セキュリティマネジメントとは、 • 明確な方針や規定に基づいて • 情報資産を適切に維持、管理すること です。
情報セキュリティマネジメント 14 情報セキュリティポリシーとは 情報セキュリティマネジメントにおける「明確な方針や規定」を「情報セキュリティポリ シー」と呼びます。ポリシーは組織によって異なるため、組織ごとに自組織が持つ情報 資産やその重要性、特性に応じたポリシーを策定する必要があります。
情報セキュリティマネジメント 15 情報セキュリティポリシーの内容 情報セキュリティポリシーを策定する際には、以下のような点を決定します。 • 組織の基本方針 …… セキュリティを維持する必要性や、顧客情報などの取り扱 い方針など。 •
組織の対策基準 …… セキュリティを維持するための対策指針。入退出や情報 管理、機器管理などにおいて「どうするか」を大まかに述べたもの。 • 実施手順、運用手順 …… 上記の対策基準を実際に守り続けるために各従業 員が行うべき作業の手順や、教育のための資料や体制。
情報セキュリティマネジメント 16 情報セキュリティポリシーの策定手順 情報セキュリティポリシーを策定する際の手順は以下の通りです。 • ポリシー策定のための組織や体制を確立させる …… セキュリティ対策対象組織か ら責任者を選任し、セキュリティ委員会を組織します。 •
セキュリティ基本方針を策定する …… セキュリティ対策の目的、対象範囲などか ら組織としてのあるべき姿を明確にします(対外的にアピールできるくらいに)。 • セキュリティ対策基準を策定する …… リスク分析などを行い、基本方針を満たす ようにそれぞれの情報資産を守るための具体的な指針を立てます。 • 自組織内での承認を受ける …… 委員会が決定した事項を、最終的に自組織 全体のポリシーとして扱えるようしかるべき権限者による承認を受けます。
情報セキュリティマネジメント 17 情報セキュリティポリシー/基本方針の記載内容 情報セキュリティ基本方針には、以下のような内容を含めます。 • 情報セキュリティに対する基本的な姿勢、考え方。適用範囲。 • 管理対象組織と各担当者の責務および組織の管理体制。 • 洗い出した情報資産と、それらについての脅威、脆弱性。
• 情報セキュリティ対策内容(最終的に決定したら記載する)。 • ポリシーの導入と長期的な運用に関する規定。 • ポリシーの見直しに関する方針。 • ポリシーの適用開始日。
情報セキュリティマネジメント 18 情報セキュリティポリシーの運用 情報システムやセキュリティに関する環境、状況、技術は日々進歩し続けることから、 情報セキュリティポリシーは一度決めたら終わりではなく、適宜更新していく必要があり ます。 情報セキュリティポリシーは、定期的に内容が古くなっていないか、今の顧客、組織、人 員などの要求に合っているかを確認し、必用に応じて改訂していかなければなりません。
情報セキュリティマネジメント 19 情報セキュリティポリシーの例 大手企業や組織の外部に公開されているセキュリティポリシーを実際に見てみましょう。 • NTTドコモ: https://www.nttdocomo.co.jp/utility/security/ • ソフトバンク株式会社: https://www.softbank.jp/corp/group/sbm/security/
• 東京大学: https://www.u-tokyo.ac.jp/gen03/public16_j.html • 大阪府泉佐野市 http://www.city.izumisano.lg.jp/kakuka/koushitsu/seisaku/menu /jyohosekyurithiporisi/securitypolicyb.html
20 情報セキュリティ監査
情報セキュリティ監査 21 情報セキュリティ監査とは 情報セキュリティ監査は、ここまでで述べた情報セキュリティマネジメントを運用維持する 一環として、対象組織のセキュリティ管理状況について調査したり、改善策の助言を 行う行為全般を指します。
情報セキュリティ監査 22 情報セキュリティ監査の種類 情報セキュリティ監査には2種類あります。 • 保証型監査 …… セキュリティレベルが一定であるかどうかを判定し、特定のレベル を満たしていることを保証する。 •
助言監査 …… セキュリティ管理上の問題点や課題を洗い出し、改善や向上の ための助言を行う。
情報セキュリティ監査 23 保証型監査結果の例(セキュリティレベルの判定) 保証型監査では、以下のようなレベル付けを行うことで結果を出します。 • レベル5: すべての運用が有機的に結合している。 • レベル4: サイクルの見直しを定期的に実施する。
• レベル3: まずは管理体制が回っている。 • レベル2: ポリシーを決めて動き始めている。 • レベル1: ポリシーは決めたが実施されていない。 • レベル0: ポリシーも決めていない。
情報セキュリティ監査 24 保証型監査結果の例(セキュリティレベルの判定) 前述のレベルが高ければ、ISO27001に定めるISMS(情報セキュリティマネジメント システム、Information Security Management System)の認証を受けるべく 保証型監査を受けるのが好ましいと考えられます。 逆にレベルが低い場合は、まずは助言型監査で運用の改善を
図ることが好ましいと考えられます。 このように、どのようなレベルであっても監査を受けて 自組織の問題を認識することは有用です。
backyard46
hayatokudou
trishagee
kazupon
murachiakira
yutailang0119
kyohmizu
segavvy
fuwasegu
smasato
i125
lycorptech_jp
hirachan
quramy
chriscoyier
pauljervisheath
eileencodes
garrettdimon
csswizardry
62gerente
maltzj
lara
moore
mongodb
bkeepers
