Top Banner
Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 1 情報資産の管理から見る 情報資産の管理から見る 企業 企業 ・組織 ・組織 のセキュリティ対策 のセキュリティ対策 情報セキュリティセミナー2007 マネジメントコース 本テキストのpdfファイルは http://www.ipa.go.jp/security/event/2007/isec-semi/kaisai.html よりダウンロードできます。
136

情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

Jun 29, 2018

Download

Documents

lythuy
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 1

情報資産の管理から見る情報資産の管理から見る企業企業・組織・組織のセキュリティ対策のセキュリティ対策

情報セキュリティセミナー2007マネジメントコース

本テキストのpdfファイルはhttp://www.ipa.go.jp/security/event/2007/isec-semi/kaisai.htmlよりダウンロードできます。

Page 2: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

2Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

マネジメントコース について

対象企業における情報管理面からの情報セキュリティ対策に関して理解を深めたい方

ポイント事例を用いたケーススタディによるリスク(脅威・脆弱性)とその対策の解説

概要具体的な事例を用いて、情報資産を組織的かつ継続的にどう管理すればよいかを、情報セキュリティ対策ベンチマーク、情報管理等に触れながら説明

この印 は、副読本「情報セキュリティ教本」の

対応するページを示しています。教本 p.○-○教本 p.○-○

Page 3: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

3Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

マネジメントコース 内容

1. 背景と基礎知識

2. 情報セキュリティ対策ベンチマーク

3. ケーススタディ : パソコンの紛失

4. そこにある情報資産-情報資産の洗い出し

5. 情報の分類と格付け

6. 情報のライフサイクルと情報の取扱い

7. 情報セキュリティポリシーと情報の管理

8. 情報の管理と対策のヒント

9. 情報の管理と法令遵守

付録. 参考資料など

Page 4: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

4Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

1.1 情報セキュリティに関わる脅威の傾向

1.2 情報セキュリティ対策の目的、方針

1.3 情報セキュリティマネジメントとPDCAサイクル

1.4 情報セキュリティ対策実施上の問題点と

施策ツール

11.背景と基礎知識.背景と基礎知識 ~脅威の傾向と対策~~脅威の傾向と対策~

Page 5: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

5Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

• 社会的影響の大きさから10大脅威を列挙• 利用者、管理者、開発者それぞれの立場での対策

情報セキュリティ白書 2007 年版 編集: 情報セキュリティ検討会 事務局: IPA

http://www.ipa.go.jp/security/vuln/20070309_ISwhitepaper.html

■情報セキュリティ白書 2007年版

第1位 漏えい情報のWinny※による止まらない流通

第2位 表面化しづらい標的型(スピア型)攻撃

第3位 悪質化・潜在化するボット

第4位 深刻化するゼロデイ攻撃

第5位 ますます多様化するフィッシング詐欺

第6位 増え続けるスパムメール

第7位 減らない情報漏えい

第8位 狙われ続ける安易なパスワード

第9位 攻撃が急増するSQLインジェクション※

第10位 不適切な設定のDNSサーバを狙う攻撃の発生

11..1 1 情報セキュリティにかかわる脅威の傾向情報セキュリティにかかわる脅威の傾向

「脅威の“見えない化”が加速する!」

Page 6: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

6Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■ 「なぜ徹底できないのか」久間防衛相が自衛隊のWinny流出に不満示すhttp://internet.watch.impress.co.jp/cda/news/2007/04/11/15390.html

■ ○○市、Winny経由の個人情報漏洩で職員を懲戒処分http://www.security-next.com/005800.html○○市は、Winny経由で個人情報を漏洩させたとして同市交通局の職員を3月30日付けで停職1ヶ月の懲戒処分にした。

■ Winny経由で顧客リストや社員情報が流出http://www.security-next.com/005793.html技術者の人材派遣事業などを手がける○○は、従業員宅の私用パソコンから顧客情報や社員の個人情報などが外部へ流出したと発表した。

■ P2P※情報漏洩の対応策、6割の企業で「禁止通達」実施~警察庁が実態調査http://internet.watch.impress.co.jp/cda/news/2007/04/24/15520.htmlファイル共有ソフトによる情報漏洩の経路として、私物PCからの事例が6割。対応策として、ファイル共有ソフトの禁止通達を実施している割合が6割。

■最近のニュースから:Winny※経由の情報漏えい

Page 7: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

7Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 7

直接損失:紛失や破壊などによる物的、人的な直接的被害間接損失:業務停止、機会損失、賠償被害、社会的信用の失墜等

→ 顧客離れ、解約、入会保留 等対応費用:再発防止対策費用、顧客対応費用(金券送付、窓口対

応、メールアドレス変更)、マスコミ対応、漏洩情報の回収費用等

■情報が漏洩したら?:損失費用と損害賠償想定額

もしも民事訴訟に発展したら?もしも民事訴訟に発展したら? →→ 推定損害賠償額推定損害賠償額

2003年度 2004年度 2005年度

調査対象事業者 57件 366件 1032件

想定損害賠償額想定損害賠償額総計総計

280億6936万円 4666億9250万円 7001億7879万円

1件当り想定損害賠償額

5億5038万円 13億8897万円 7億868万円

出典:JNSA 2005 年度 個人情報漏えいインシデント調査結果 http://www.jnsa.org/result/2005/20060803_pol01/2005incidentsurvey_060731.pdf

Page 8: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

8Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 8

■個人情報漏えいの原因(2005年度 1,032件)

出典:出典:JNSAJNSA 2005 年度 個人情報漏えいインシデント調査結果http://www.jnsa.org/result/2005/20060803_pol01/2005incidentsurvehttp://www.jnsa.org/result/2005/20060803_pol01/2005incidentsurvey_060731.pdfy_060731.pdf

盗難盗難

25.825.8%%

紛失・置忘れ紛失・置忘れ

42.142.1%%

誤操作誤操作

12.412.4%%

Page 9: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

9Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 9

■個人情報漏えいの経路(2005年度 1,032件)

出典:出典:JNSAJNSA 2005 年度 個人情報漏えいインシデント調査結果http://www.jnsa.org/result/2005/20060803_pol01/2005incidentsurvehttp://www.jnsa.org/result/2005/20060803_pol01/2005incidentsurvey_060731.pdfy_060731.pdf

紙媒体経由紙媒体経由

49.949.9%%

PCPC本体本体

16.816.8%%

FDFD等可搬等可搬記録媒体記録媒体

15.715.7%%

Page 10: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

10Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 10出典:平成17年度「不正アクセス行為対策等の実態調査」(警察庁) http://www.npa.go.jp/cyber/research/h17/countermeasures.pdf

11..2 2 情報セキュリティ対策の目的、方針

Page 11: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

11Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 11

■企業における情報セキュリティ(概念図) 教本 p.20-22教本 p.20-22

Page 12: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

12Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 12

■情報セキュリティマネジメント とは?

• 情報セキュリティを対象とする

– 経営管理活動の一環であり、

• 一過性の「情報セキュリティ対策」では不十分

• 組織的・継続的に取り組むべきもの

– 企業のリスクマネジメントの一部である

• 許容されるコストで、情報システムに影響を及ぼす可能性があるセキュリティリスクを識別し、管理し、及び最小限に抑え、除去する過程

1.3 1.3 情報セキュリティマネジメントとPDCAサイクル

教本 p.25-28教本 p.25-28

Page 13: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

13Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 13

■ISMS:情報セキュリティマネジメントシステム

【【ISMSISMS::IInformation nformation SSecurity ecurity MManagement anagement SSystemystem】】

(情報セキュリティマネジメントシステム)(情報セキュリティマネジメントシステム)

情報セキュリティを確保、維持するための、技術、管理、運用それぞれの対策を含んだ、経営者を頂点とした組織的な取組

【情報セキュリティマネジメントシステム】マネジメントシステム全体の中で、事業リスクに対する取組み方に基づいて、情報セキュリティの確立、導入、運用、監視、レビュー、維持及び改善を担う部分。

注:マネジメントシステムには、組織の構造、方針、計画作成活動、責任、実践、手順、プロセス及び経営資源が含まれる。

JIS Q 27001:2006 の定義では

Page 14: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

14Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 14

■情報セキュリティマネジメントとPDCAサイクルPDCAサイクルによるセキュリティレベルの維持・向上

Act

(財)日本情報処理開発協会の資料基に作成

Plan(Plan(計画計画))--Do(Do(実施実施))--Check(Check(点検・監査点検・監査))--Act(Act(見直し・改善見直し・改善))((PDCAPDCAサイクル)を繰り返すことにより、サイクル)を繰り返すことにより、組織全体のセキュリティ組織全体のセキュリティ対策の目標達成レベルを継続的に維持改善する対策の目標達成レベルを継続的に維持改善する

継 続 的 改 善継 続 的 改 善

Plan

Check

管理策の選定

導入・運用

点検・監査

見直し、改善リスクアセスメント

ポリシー作成

Do

Page 15: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

15Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

出典:平成17年度「不正アクセス行為対策等の実態調査」(警察庁) http://www.npa.go.jp/cyber/research/h17/countermeasures.pdf

企業が情報セキュリティ対策を行う上で障害と感じる主な要因は、①費用対効果が見えない(57.8%), コストがかかりすぎる(54.8%)②どこまで行えばよいか基準が示されていない(49.8%)

1.4 1.4 情報セキュリティ対策実施上の問題点と施策ツール

Page 16: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

16Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

• 問題

– IT事故発生のリスクが不明確、適正な情報セキュリティ投資の判断が困難

– 既存の情報セキュリティへの「対策」「取組」が、企業価値に直結していない

– 事業継続性確保の必要性が十分に認識されていない

↑↑• 「情報セキュリティガバナンス」を確立するツール

– ① 情報セキュリティ対策ベンチマーク情報セキュリティ対策ベンチマーク

情報セキュリティガバナンス推進のための

組織の情報セキュリティ対策状況の自己診断用ツール

– ② 情報セキュリティ報告書モデル情報セキュリティ報告書モデル

– ③ 事業継続計画策定ガイドライン事業継続計画策定ガイドライン

経済産業省企業における情報セキュリティガバナンスのあり方に関する研究会報告書http://www.meti.go.jp/policy/netsecurity/sec_gov_report.html

■情報セキュリティガバナンス※の確立に向けて-施策ツールの発表

Page 17: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

17Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

2.1 情報セキュリティガバナンスと

自己診断テストの活用

2.2 情報セキュリティベンチマークの概要

2.3 情報セキュリティベンチマークの利用方法

2.4 情報セキュリティベンチマークの診断結果

2.5 情報セキュリティベンチマークの利用状況

2. 2. 情報セキュリティ対策ベンチマーク情報セキュリティ対策ベンチマーク

http://www.ipa.go.jp/security/benchmark/

教本 p.276-283教本 p.276-283

Page 18: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

18Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

– Web上で自社の現状を入力すると、自動的に結果を表示

– トータルスコアと自社のレベルが示され、望ましい水準とのギャップや、どのような対策が不足かをチェックできる

情報セキュリティ対策ベンチマーク(自己診断テスト)情報セキュリティ対策ベンチマーク(自己診断テスト)http://www.ipa.go.jp/security/benchmark/index.html

「どこまで行えばよいか基準が示されていない」「コストがかかりすぎる」という問題へのひとつの答え

ベンチマーキングベンチマーキングある指標(ベストプラクティス)を探し出し、それと比べて自社のレベルを評価し、ある指標(ベストプラクティス)を探し出し、それと比べて自社のレベルを評価し、足りない部分を改善していく経営改善の手法足りない部分を改善していく経営改善の手法

この自己評価と業務改善の手法を情報セキュリティ対策に応用

情報セキュリティガバナンス推進には経営陣の積極的関与が不可欠情報セキュリティガバナンス推進には経営陣の積極的関与が不可欠

22.1 .1 情報セキュリティガバナンスと自己診断テストの活用

Page 19: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

19Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 19

Plan の段階での活用自社の位置を確認どこから対策を始めたらいいのかをチェック望ましい水準からどの程度不足かチェック他社と比べてどの程度の差があるかチェック

Do & Check & Act の段階での活用日ごろのセキュリティ対策の状況をチェック日々の改善に役立てる

スコアの変化をチェック希望者は、結果の履歴を参照できる希望者にID/パスワードを発行次回評価時に履歴を表示する際には、 ID/パスワードを入力

■情報セキュリティ対策ベンチマークシステムの活用方法

Page 20: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

20Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

セキュリティポリシー・社内規程の策定

アクセス制御

ウイルス対策用ソフトウェアツールの導入

情報セキュリティ監査・第3者認証の実施

社内教育

委託先の検査

事業継続計画の策定

物理的安全管理・・・

・・・・

・・・

・・・

・・・

・・・

・・・・・・

望まれる水準

回答企業の水準

トータルスコアと推奨される取組みを提示

High

Middle

Low推奨される

取組み

レベル

Webで回答Level up!!

企業プロフィール(15項目)

・事業構造上の脆弱性・社会的影響力

セキュリティ対策(25項目)

・組織的な取組み・物理的(環境的)施策・通信・システムの運用管理・開発・保守、アクセス制御・事故対応状況

評価項目(全40項目)

高水準のセキュリティ対策が要求される層

相応の水準のセキュリティ対策が要求される層

セキュリティ対策が喫緊の課題ではない層

企業のタイプに応じて望まれる水準を設定

望まれる水準(高)

望まれる水準(中)

望まれる水準(低) アンケート結果をもとに望まれる水準や推奨される取組みを設定プロフィールから企業をタイプに分類

アンケート結果

・望まれる水準・推奨される取組み

http://www.ipa.go.jp/security/benchmark/

22..22 情報セキュリティ対策ベンチマークの概要

Page 21: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

21Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

「初めての方はこちら」をクリックしてスタート

デモデモ

22..33 情報セキュリティ対策ベンチマークの利用方法

Page 22: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

22Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

ISMS認証基準Ver.2.0の詳細管理策がベース・専門家によるWGの検討を経て策定。

・平易な言葉でわかりやすく表現。・評価項目の量を抑えている。

第1部の設問(評価項目)

5 グループ構成、グループ毎 3~7 項目 計 25 項目

(a) 情報セキュリティに対する組織的な取組状況 (7項目)

(b) 物理的(環境的)セキュリティ上の施策 (5項目)

(c) 通信ネットワーク及び情報システムの運用管理 (5項目)

(d) 情報システムの開発、保守におけるセキュリティ対策

及び情報や情報システムへのアクセス制御※の状況 (5項目)

(e) 情報セキュリティ上の事故対応状況 (3項目)

■ セキュリティ対策に関する質問

Page 23: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

23Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

4.に加え、周囲の環境変化をダイナミックに反映し、常に改善を図った結果、他社の模範となるべきレベルに達している

経営層の指示と承認のもとに方針やルールを定め、全社的に周知・実施しており、かつ責任者による状況の定期的確認も行っている

経営層の承認のもとに方針やルールを定め、全社的に周知・実施しているが、実施状況の確認はできていない

経営層にそのような意識はあり、方針やルールの整備、周知を図りつつあるが、一部しか実現できていない

経営層にそのような意識がないか、意識はあっても方針やルールを定めていない

できていない

できている

第1部の質問へは第1部の質問へは55つのつの選択肢より回答選択肢より回答

■ セキュリティ対策に関する質問の回答(選択肢)

Page 24: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

24Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

第1部、第2部の回答結果より、御社の

位置が表示されます。セキュリティ対策の取り組み状況など、他社と比較した結果になります。

この場合、平均よりも若干セキュリティレベルが低くなっています

2.4 情報セキュリティ対策ベンチマークの診断結果

Page 25: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

25Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

診断結果がレーダーチャートで表示されます。

中心に近い程、セキュリティレベルは低くなります

御社のスコア

■ 診断結果②

望まれる水準

平均

Page 26: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

26Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー20070点

125点

トータルスコア

全体平均値に達していない企業

の暫定的目標

全体平均値

上位1/3

目標

上位1/3における平均値

望まれる水準

上位1上位1//33のの平均値平均値

平均

達成すべき目標達成すべき目標

早期達成すべき暫定的目標早期達成すべき暫定的目標

全体の全体の平均値平均値

■ 望まれる水準とは

Page 27: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

27Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

同業他社との比較結果もレーダーチャートで表示されます。

■診断結果③

Page 28: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

28Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

セキュリティ対策が弱い項目について、推奨される取り組み事例(必要な対策情報)を参照できます。

この情報を参考にして、ワンランク上のセキュリティ対策を実施していきましょう。

デモデモ

■推奨される取り組み例

Page 29: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

29Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

5,425件

回答データ提供無し

9,766件4,341*注件

(300人以下の企業 2,322件(53%)を含む)

合計回答データ提供有り

2007年4月25日現在

ベンチマーク利用ベンチマーク利用件数は件数は9,9,700700件を件を

超える超える

*注 4341件の提供データの内の885件は、ベンチマーク

システムの基礎データに使用する為、協力していただきました企業のデータになります。

22.5 .5 情報セキュリティ対策ベンチマークの利用状況

Page 30: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

30Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

3.1 事故発生の経緯

3.2 事故対応の流れ

3.3 情報の特定

3.4 事故対応:緊急対策会議での決定

3.5 A社の事故対応体制

3.6 対外発表のポイント

3.7 再発防止策の例

3.3. ケーススタディ:ケーススタディ: パソコンの紛失パソコンの紛失

教本 p.222-227教本 p.222-227

Page 31: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

31Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

3.1 事故発生の経緯

• A社では、営業部員に、社外持出用のノート

パソコンを支給

• 営業部員Bが深夜帰宅途中、電車の網棚に

ノートパソコンを入れた鞄を載せたまま下車

• 下車後に気がついて、駅に連絡したが、鞄もノートパソコンもみつからない!

• 青くなって、すぐに上司に連絡

• 翌朝早く、緊急対策会議が開かれる・・・・?

Page 32: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

32Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

3.2 事故対応の流れ

漏えいした情報の内容・範囲により対応も変わる・・・・・

お金にからむ情報の場合、該当する顧客へ即座に連絡

Page 33: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

33Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

ノートパソコンの中に入っていた情報は

はたして、どんな情報だったのか??

その情報をどうやって特定するのか??

情報の管理がきちんとできていれば、情報の特定はそれほど難しくないのだが・・・

3.3 情報の特定

Page 34: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

34Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■ 紛失した情報を特定するには?

• 鞄の中?・・・ノートパソコンの他に顧客の名刺、見積書など

• ノートパソコンの中? ・・・

– 顧客情報リスト(約800件、会社名、部署名、個人名、電話番号、FAX、メールアドレス)

– メール受発信情報(約1000 件、メールアドレスや氏名などの情報含む)

– 見積書、提案書、製品情報、サポート情報(自社・顧客作成分含む)

(個人情報は重複を含み1800件、)

• 顧客情報の保有開始時期:B部員の勤務歴、紛失したパソコンの使用歴より、平成○年○月○日以降に取得した情報と特定

A社では業務上使用する情報は、メール受発信情報を含み、全て上司にコピーを入れることを社内ルールに。ノートパソコンの中の情報の特定は、B部員へのヒアリングとこの社内ルールにもとづき確認。

Page 35: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

35Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

3.4 事故対応:緊急対策会議での決定

• 顧客情報流出の可能性があるため、緊急時対応計画を発動

• 緊急時対応計画に定められた体制と手順で事故対応を行う

• ただちに該当する顧客への連絡

• 次に報道機関、A社ホームページにより対外発表を実施

• 所管省庁や警察等への連絡も行う。(顧客への連絡は対外発表前に着手)

• 紛失ノートパソコン 内の情報の詳細内容を至急調査

• 紛失した情報の第三者による不正使用について監視を行う

• 該当顧客には、できる限り訪問によりお詫び。漏えいした情報の重要度に応じ、役員などが訪問、対処策について説明

• 謝罪文の作成(発生経緯、被害状況、会社の対応を記載)

• 法務チームは、必要な検討を行う。

• 上記対処完了後速やかに、再発防止に向けた措置を検討

Page 36: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

36Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 36

情報漏えい事故等への対応段階において講じる措置を検討する際には、各府省庁から出されている個人情報保護ガイドラインのフレームワークに沿って具体化する。

3.5 A社の事故対応体制

事故対応対策本部事故対応事故対応対策本部対策本部

事務局事務局事務局

総務チーム総務チーム総務チーム 広報・営業チーム広報・営業チーム広報・営業チーム

所管省庁、警察等への通報や連絡

顧客対応(問合せ窓口設置)情報開示(メディア対応、Web対応など)

迅速な報告・連絡体制の整備 対策本部のサポート、全体調整

全社体制

対策本部の指示に従い、情報システム側対応体制を統括する

法務チーム法務チーム法務チーム

訴訟問題等(民事/刑事)への対応、顧問弁護士との窓口

方針決定

情報システム対応チーム情報システム対応チーム情報システム対応チーム

出典:経済産業省資料をもとに作成

Page 37: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

37Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

3.6 対外発表のポイント

• いつ何が起こったか明確にわかるように、

日時、場所、経緯、被害状況などを記載する。

• 事実として確認できたことを記載し、不確実な情報は記載しない。

• 問い合わせ窓口を明記する。

• ホームページへの掲載で、後日更新する可能性がある場合は更新履歴をつける。

事故時の対外発表文書のポイント

Page 38: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

38Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■A社ホームページへ「重要なお知らせ」の掲載

個人情報及び取引先情報の紛失について○年○月○日

A株式会社平成○年○月○日、午後10時頃、弊社社員が○○電車にて帰宅途中、ノートパソコン を入れた鞄

を紛失する事態が発生しました。大切なお客様情報が保存されたノートパソコン を紛失してしまい、お客様ならびに関係者の皆様には多大なるご迷惑、ご心配をおかけすることとなりましたことを心よりお詫び申し上げますとともに、ご報告申し上げます。なお、弊社社員は紛失に気づいた直後○○鉄道へ連絡、翌朝には警察署へ紛失届を出しておりますが、現在のところ紛失したノートパソコンは見つかっておりません。

1. お客様情報の内容紛失したノートパソコン内の情報は、次のものであると確認いたしました。・顧客情報リスト(約800件、会社名、部署名、個人名、電話番号、FAX、メールアドレス)・メール受発信情報(約1000 件、メールアドレスや氏名などの情報含む)・見積書、提案書、製品情報、サポート情報(自社作成、顧客作成分含む)(個人情報は顧客情報リストとメール受発信情報を合わせ1800件、重複を含む)上記のお客様情報の保有開始時期は当該パソコンを紛失した社員の勤務歴および紛失したパソ コンの使用歴より、平成○年○月○日以降に取得した情報となります。弊社では業務上使用する情報は、メール受発信情報を含み、全て上司にコピーを入れることを社内ルールとしており、上記お客様情報は、この社内ルールにもとづき確認したものです。

2. 該当するお客様への連絡について1.で確認されたお客様情報に該当するお客様には、個別に連絡を差し上げております。

3. ノートパソコンとそのセキュリティについて

Page 39: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

39Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

3.7 再発防止策の例

(1) ノートパソコンの持出し原則禁止(持出しが必要な場合用に専用のノートパソコンを許可制で利用)

(2) 持出しノートパソコンのHDD暗号化によるセキュリティ強化(3) パスワードの使用手順書の改定(4) BIOSパスワード※やHDDパスワード※の導入

(各パスワードの特徴に留意した上で導入の可否を判断)

(5) 電子メール等による顧客情報の送受信時の機密保持措置(パスワード設定・暗号化等、手順書の策定と実施)

(6) 使用を終了したお客様情報のノートパソコンからの削除(保管を許可されているものはサーバへ保管)

(7) 全従業員に対する再発防止教育の即時実施(8) 上記全事項の実行徹底を目的とする定期的内部監査の実施(9) インシデント※管理のための社内専門組織の編成(10)社内システムのシンクライアント※化の検討

Page 40: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

40Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

4.1 守るべき情報資産とは

4.2 情報資産の例

4.3 情報資産の価値

4.4 情報資産はどこにある?

4.5 情報資産の洗い出し

4.6 情報の管理責任者、管理担当者、利用者

4.7 機密情報、個人情報、その他の情報

4.8 情報システム、電子文書、紙文書

44..そこにある情報資産そこにある情報資産~情報資産の洗い出し~~情報資産の洗い出し~

教本 p.70 - 75教本 p.70 - 75

Page 41: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

41Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 41

4.1 守るべき情報資産とは ~何から何を守る?~

外部からの要因(脅威)●コンピュータウイルス等●不正アクセス●サービス妨害 等

外部からの要因(脅威)●コンピュータウイルス等●不正アクセス●サービス妨害 等

守るべき資産(情報資産)◆情報システム、ネットワーク◆ハードウェア(PC、サーバ、

通信機器、ケーブル)◆ソフトウェア(アプリ、OS 等)◆データ(財務情報、人事情報、

顧客情報、戦略情報、技術情報 等)× (紙、電子媒体、ネットワーク上、口述、会話)

◆ノウハウ、社会的信用

守るべき資産(情報資産)◆情報システム、ネットワーク◆ハードウェア(PC、サーバ、

通信機器、ケーブル)◆ソフトウェア(アプリ、OS 等)◆データ(財務情報、人事情報、

顧客情報、戦略情報、技術情報 等)× (紙、電子媒体、ネットワーク上、口述、会話)

◆ノウハウ、社会的信用

内在する要因(脅威)●セキュリティ機能の欠如●ソフトウェアの欠陥(セキュリティホール)●セキュリティモラルの欠如 等

内在する要因(脅威)●セキュリティ機能の欠如●ソフトウェアの欠陥(セキュリティホール)●セキュリティモラルの欠如 等

脅威 脅威

脅威

脅威

脅威

脅威

「インシデント」:「リスク」が発現,現実化した事象。

Page 42: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

42Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

4.2 情報資産の例

無形資産(たとえば、組織の評判・イメージ)無形資産

人、保有する資格・技能・経験人、資格等

計算処理、通信サービス、一般ユーティリティ(たとえば、暖房、照明、

電源、空調)

サービス

コンピュータ装置、通信装置、取外し可能な媒体、その他の装置物理的

資産

業務用ソフトウェア、システムソフトウェア、開発用ツール、

ユーティリティソフトウェア

ソフトウェア

資産

データベースおよびデータファイル、契約書および同意書、システムに

関する文書、調査情報、利用者マニュアル、訓練資料、運用手順又は

サポート手順、事業継続計画、監査証跡、保存情報

情報

例示分類

出典:JIS Q 27002:2006の情報資産の例示をもとに作成

Page 43: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

43Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

4.3 情報資産の価値

• 「資産」としての「価値」がある情報

– たとえば顧客情報、製品開発情報、経営計画の情報など

– 取引先から預かった情報(機密保持契約の対象情報など)

• あまり「資産価値」が高くない情報もある– Webページや四季報に載せるような情報

– 所在地、電話番号など

Page 44: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

44Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

• 「顧客情報」と「所在地、電話番号」の違いは?

• 秘密にしておきたいかどうか=漏洩したら困るか?• 無くなったら困るか?• 改ざんされたら困るか?

• 要するに、どれだけビジネスにインパクトがあるかということ

まずは、重要な情報資産の洗い出し

■情報資産の価値とは何か?

Page 45: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

45Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

4.4 情報資産はどこにある?

• 紙の書類はどこにあるのか?

– 紙の書類はどこにあるのか挙げてみてください

• コンピュータ上の書類(電子データ)はどこにあるのか?

紙と電子データでは、管理方法が違う

Page 46: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

46Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■会社、組織にはどんなコンピュータがあるのか

• 普通のコンピュータ

• ノートパソコン

• 携帯電話

• PDA※

• サーバ

どこにどのようなコンピュータがあるのか?

Page 47: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

47Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■電子データはどこにあるのか?

• コンピュータの中(一般利用者、サーバ)

• 携帯電話の中

• USBメモリの中

• CD、DVDの中

• フロッピーディスクの中

• コピー機、ファックス機、プリンターの中

• (一瞬ですが)ネットワークの中

どこにどのようなデータがあるのか?

Page 48: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

48Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■電子データ、紙の書類はどこで使われているのか?

• 外出先

• 出向先

• 派遣先

• (アクセスポイント付き)喫茶、食べ物屋、居酒屋

• 電波が通る電車の中

• 自宅

• もちろん仕事場

データはどこで使われているのか?

Page 49: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

49Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

誰がどの情報をどこで使っているか?従業員が使っている情報資産の棚卸し取引先に預けた情報資産の棚卸し

■情報資産は誰が使っているのか?

• 正社員

• 関係会社、協力会社の社員

• 派遣会社の社員

• 個人事業主

• パートタイマー

• もちろん、取引先も

Page 50: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

50Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■あなたの会社の情報資産は何がありますか?

• 情報資産を挙げてください

Page 51: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

51Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

4.5 情報資産の洗い出し

いつ行う?

誰が行う?

どこで行う?

何に対して行う?

どのように行う?

Page 52: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

52Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■情報資産管理台帳の作成

情報資産管理台帳の例:

・・・・利用者の範囲管理担当者管理責任者用途情報資産名

1. 情報資産の種類、情報資産名

2. 用途

3. 格付け(機密性、完全性、可用性)

4. 情報資産の価値

(事業継続における重要度なども)

5. 管理責任者

6. 管理担当者

7. 利用者の範囲

8. 記録形態

9. 保存場所

10. 保存期間

11. 廃棄方法

12. その他(他の業務との依存性、

バックアップ、ライセンス情報など)

Page 53: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

53Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

部品製造経費一覧原材料仕入れ先情報従業員個人データ

取引先X社の部品図面新製品販売ルート情報B情報購読者データ

取引先X社の

部品製造工程情報新製品開発情報A製品販売先顧客データ

その他の重要な情報営業秘密個人情報

■情報資産のグループ分け

重要な情報をグループ分けすることにより、

情報管理の効率性を高めることができる

情報資産のグループ分けの例:

グループ分けした情報は、機密なのか、極秘なのか、一般情報なのか?

Page 54: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

54Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

4.6 情報の管理責任者、管理担当者、利用者

情報の管理責任者の指示にしたがい、情報を適切に利用する。情報を扱う全従業員等。

情報の利用者

(情報ユーザ)

情報の管理責任者によるプライオリティ付けにもとづき、情報を適切に管理する。情報システム部門や情報システムの管理者等。

情報の管理担当者

情報資産価値の評価(格付けの指定)、アクセス権限※や取扱制限、開示範囲の決定、評価結果に応じた対策の実施に責任を持つ。

情報の管理責任者(情報のオーナーと呼ぶ場合もある)

役割

情報の管理責任者、情報の管理担当者、情報の利用者、それぞれに情報管理上の役割と責務がある

Page 55: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

55Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

4.7 機密情報、個人情報、その他の情報

顧客情報など

情 報 資 産

秘密情報

自社の重要な情報

個人情報

他社より預かりの重要な情報

営業秘密など

まずはここをしっかりと管理

公開情報でも改ざんされると困る情報がある

Page 56: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

56Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

4.8 情報システム、電子文書、紙文書

個人情報機密情報

紙文書

電子化文書 情報システム

システム

文書

会社・組織にはどのようなコンピュータがあるのか

電子化されたデータはどこのあるのか、紙文書はどこにあるのか

情報資産の管理責任者、管理担当者、利用者は誰か

それぞれ、どこでその情報を使い、どのように管理しているのか

Page 57: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

57Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

5.1 情報の分類と格付けはなぜ必要か?

5.2 政府機関統一基準の分類と格付け

5.3 機密性、完全性、可用性に応じた情報の分類

5.4 情報の分類と格付けの基準 (例)5.5 情報漏えい防止に留意した情報の分類例

55..情報の分類と格付け情報の分類と格付け

教本 p.82 - 94教本 p.82 - 94

Page 58: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

58Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

③重要な情報資産(情報及び情報システム)を、その重要性のレベルごとに分類し、さらにレベルに応じた表示や取扱いをするための方法を定めていますか。(情報資産をその重要性に応じて管理するためには、レベル分け、レベルに応じた表示や取扱方法等の指針及び情報の管理責任者を定める必要があります)

■情報セキュリティ対策ベンチマークの質問から~ 大項目1.③情報の分類と格付け~

●情報及び情報システムに関連する重要な資産の目録を作成しているか

●情報資産の管理責任者を明確に定めているか

●情報の重要性に応じた分類及び取扱いの指針を定めているか

●情報システムから出力した情報についても、重要性のレベルや取扱いが

明確になっているか

●分類及び取扱いの指針に従って情報を分類した上で、重要性のレベルに

応じた表示と取扱いを行っているか。

●情報資産を利用できる部署や人などの範囲を定めているか

Page 59: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

59Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

5.1 情報の分類と格付けはなぜ必要か?

• 情報の価値の認識(共通の認識が必要)

• その価値基準の共有

• その価値に応じた取扱い

• etc・・・・

• その価値に応じた対策

Page 60: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

60Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■情報の分類と格付けのために何が必要ですか?

• あなたの会社では、どのように情報資産を分類し格付けしていますか?

• 分類基準と格付け基準は、どのように策定しましたか?

自分で考える

基準やガイドラインを参照する

• 分類と格付けの他に何が必要ですか?

Page 61: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

61Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

5.2 政府機関統一基準の分類と格付け

「重要性」というひとつの観点で分類するのではなく、機密性、完全性、可用性の3つの観点を区別して分類

機密性、完全性、可用性に対する脅威とリスクはそれぞれに違い、よって取るべき対策も違うため。

機密性1、2、3、「要保護情報」など、一般には無い用語を採用

極秘、秘、社外秘など、よく使われる用語を採用した場合、組織により定義が異なる場合、誤解が生じる可能性があるため

分類と格付けの段階を必要最小限にした(機密性は3段階、完全性・可用性は2段階)

段階が多い程細かな制御が必要。対策実施の負荷を減らすため

Page 62: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

62Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 62

機密性 (Confidentiality)機密性 (Confidentiality)

■情報セキュリティの3つの目標‘CIA’

情報の機密性、完全性及び可用性の維持情報の機密性、完全性及び可用性の維持

可用性 (Availability)可用性 (Availability)

完全性 (Integrity)完全性 (Integrity)

アクセスを許可された者だけが、情報にアクセスできること

情報及び処理方法が正確で完全であること、及び完全であることを保護すること

許可された利用者が、必要なときに情報にアクセスできること

5.3 機密性、完全性、可用性に応じた情報の分類

教本 p.22 - 24教本 p.22 - 24

Page 63: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

63Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

機密性、完全性、可用性への脅威と対策はそれぞれ違う

■情報の‘CIA’に対する脅威と対策

完全性(電子署名など)

可用性(二重化

バックアップなど)

機密性(暗号化、認証など)

漏えいしました!

破壊されました!DDoS攻撃されました!

改ざんされました!

Page 64: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

64Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■脅威とは何か

• 情報資産にダメージを与えるもの、現象

– 漏洩しました

– 暴露されました

– 改ざんされました

– 破壊されました

• 脅威の元になるものは何か?

教本 p.103 - 105教本 p.103 - 105

Page 65: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

65Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■脅威の元になるもの

• コンピュータへの不正アクセス

• ネットワークの盗聴

• 無線LANの盗用

• スパイウエア、アドウエアというもの

• しかし、最も多いのは内部関係者による紛失や置き忘れ。次に盗難、誤操作。

情報の取扱方法を決めて周知徹底する

Page 66: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

66Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

5.4 情報の分類と格付けの基準(例)

政府機関統一基準の機密性の格付け基準、分類基準、取扱制限例

機密性2情報又は機密性3情報以外の情報

機密性1情報

秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報

機密性2情報

例)複製禁止再配布禁止暗号化必須

秘密文書に相当する機密性を要する情報

機密性3情報

取扱制限分類基準格付け

注:機密性2および3情報は「要機密情報」と定義されています。「秘密文書」および「公表することを前提としていない情報」という表現は、情報公開法にもとづく政府特有の表現。企業では適宜書き換える。たとえば、機密3情報は「機密情報」、機密2情報は「社内情報」、機密1情報は「それ以外」に該当。

出典:政府機関統一基準(NISD-K303-051)

Page 67: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

67Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■情報の分類と格付けの基準(例)

政府機関統一基準の完全性の格付け基準、分類基準、取扱制限例

注:完全性2情報は「要保全情報」と定義されています。

完全性2情報以外の情報完全性1情報

例)○月○日まで保存

改ざん、誤びゅう又は破損により、国民の権利が侵害され又は行政事務の適確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報

完全性2情報

取扱制限分類基準格付け

出典:政府機関統一基準(NISD-K303-051)

Page 68: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

68Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■情報の分類と格付けの基準(例)

可用性2情報以外の情報可用性1情報

例)1時間以内復旧

滅失、紛失又は当該情報が利用不可能であることにより、国民の権利が侵害され又は行政事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報

可用性2情報

取扱制限分類基準格付け

注:可用性2情報は「要安定情報」と定義されています。

政府機関統一基準の可用性の格付け基準、分類基準、取扱制限例

「要機密情報」「要安定情報」「要保全情報」のいずれかに

該当するものを「要保護情報」といいます。

出典:政府機関統一基準(NISD-K303-051)

Page 69: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

69Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

政府機関統一基準の分類と格付け基準

「重要性」というひとつの観点で分類するのではなく、機密性、完全性、可用性の3つの観点を区別して分類

出典:政府機関統一基準(NISD-K303-051)をもとに作成

■情報の分類と格付けの基準(例)

Page 70: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

70Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

5.5 情報漏えい防止に留意した情報の分類例

極秘

社 内 情 報

極秘(経営層や事業部長が取扱い方法を承認)

経営上極めて重要であり、情報が流出した

場合、事業に致命的な打撃を与えるもの

(特に機密度の高い事業戦略や技術情報など)

秘(情報の管理責任者が取扱い方法を決定)

経営上重要で、情報が流出した場合、競争力

の低減、財産的損失、ビジネス機会の損失、

信用失墜をもたらす可能性のあるもの

(個人情報、ビジネス戦略情報、機密度の高い

事業戦略や技術情報など)

社内情報(その部署の責任者が取扱い方法を決定)

Page 71: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

71Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

6.1 情報のライフサイクル

6.2 情報の作成と入手

6.3 情報の利用・加工

6.4 情報の保存

6.5 情報の移送(送信と運搬)

6.6 情報の公表・提供

6.7 情報の消去

66..情報のライフサイクルと情報のライフサイクルと情報の情報の取扱い取扱い

教本 p.76 - 94教本 p.76 - 94

Page 72: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

72Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

④重要な情報(たとえば個人データや機密情報等)については、入手、作成、利用、保管、交換、消去、破棄等の一連の業務プロセスごとにきめ細かく適切な措置を講じていますか。(適切な措置とは、業務プロセスごとの作業責任者や作業手順の明確化、取扱者の限定、処理の記録や確認等を指します。また、業務プロセスは、手作業で行うか、情報システムに依存するかを問いません。)

■情報セキュリティ対策ベンチマークの質問から~大項目1.④情報のライフサイクルとその取扱い~

●各業務プロセスでの作業責任者や作業手順を明確化。手順に基づいた作業の実施

●各業務プロセスでの作業を適切な担当者のみに限定。作業担当者の認証や権限

付与の状況の確認

●重要情報に対するアクセスの記録や保管、権限外作業の有無の確認など、対策の

実施状況の把握

●組織内外での情報の交換のルールと手順を定め、手順に基づいた作業の実施

●重要な情報が消失、変更、誤用されないよう、操作ミスを考慮した運用方法の規定

●重要な情報について、漏えいや不正利用を防ぐための、保護対策の実施

Page 73: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

73Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■現状の情報資産管理(紙)

• 紙の書類はどう管理していますか?

• 文書管理規程はありますか?

• 文書管理手順はありますか?

• 分類と格付けはされていますか?

• 入手と利用については規定していますか?

• 保存や複製については規定していますか?

• 持ち出しについては規定していますか?

• 廃棄方法については規定していますか?

Page 74: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

74Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■現状での情報資産管理(電子データ)

• 電子データはどう管理していますか?

• 電子データの管理規程はありますか?

• 電子データの取扱手順はありますか?

• 分類と格付けはされていますか?

• 入手と利用については規定していますか?

• 保存や複製については規定していますか?

• 持ち出しについては規定していますか?

• 廃棄方法については規定していますか?

Page 75: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

75Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

情報の入手・作成

利用・加工

保存

提供(送信/返却)

廃棄

6.1 情報のライフサイクル

情報の生成から破棄までのプロセス

ライフサイクルでの脅威に応じた対策

Page 76: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

76Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

6.2 情報の作成と入手

Page 77: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

77Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

6.3 情報の利用・加工

Page 78: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

78Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

6.4 情報の保存

Page 79: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

79Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

6.5 情報の移送(送信と運搬)

Page 80: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

80Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

6.6 情報の公表・提供

Page 81: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

81Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■参考:付加情報からの不用意な漏えいとは

ファイルの名称にマウスをあてて右クリック

プロパティの表示

Page 82: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

82Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

6.7 情報の消去

Page 83: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

83Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■巷では。。。

■ ○○公社に厳重注意、顧客情報29万人分を漏えい、管理態勢に問題http://www.nikkeibp.co.jp/news/biz07q2/531076/

(職員が私物の記録媒体を持ち込み情報を複写、後に盗難に遭い情報流出。記録媒体の持ち込み禁止や、情報の持ち出し禁止のルールはあったが規程が守られていなかった)

■ ○○府、職員1万4000名の個人情報がホームページ上で一時閲覧可能に

http://www.security-next.com/005855.html

(報道資料を公開する際、報道資料と誤って個人情報記載のファイルを公開)

■ 顧客情報の入ったバッグが盗難に遭う

https://www.netsecurity.ne.jp/article/1/14018.html

(駐車場に車を停め、離れている間に、バッグを車内より盗まれる)

■ 個人情報863万件が漏洩した事件で再発防止策と社内処分を発表

http://www.security-next.com/005920.html

(受託したのべ863万7405件の個人情報が流出。起訴、公判中となっている

業務委託先の元従業員が、同社電算処理室から無断で持ち出したもの。

一部個人情報は第三者へ売却され、詐欺事件に発展している。)

Page 84: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

84Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■情報の管理:まとめ

情報資産台帳を整備。重要な情報は漏れなくリストアップ

情報の管理責任者、管理担当者、利用者の役割と責務

情報は、原則として業務上必要な範囲を開示

情報の分類と格付、取扱制限の基準に応じた情報の取扱い

情報の記録形態(紙と電子化情報など)に応じた管理方法

情報のライフサイクルの脅威とリスクに応じた情報管理

情報の外部への持出し、機密情報の複製等は、許可を取得

情報を廃棄する場合は、復元が困難な状態にしてから廃棄

情報の破壊や改ざんに備えバックアップを取得

Page 85: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

85Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

7.1 情報セキュリティポリシーの構成

7.2 情報セキュリティ基本方針

7.3 情報セキュリティ対策基準

7.4 情報セキュリティ実施手順

7.5 対策基準とガイドライン・実施手順の関係

7.6 情報セキュリティポリシー運用上の留意点

7.7 情報の管理に関する複数の諸規程

77..情報セキュリティポリシーと情報の管理情報セキュリティポリシーと情報の管理

教本 p.40 - 68教本 p.40 - 68

Page 86: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

86Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

考え方

要件

手続き

Why

What

How

情報セキュリティ

基本方針

情報セキュリティ対策基準

実施手順

【ポリシー】

【スタンダード】

【プロシージャ】

セキュリティポリシー宣言文

目的/方針/適用範囲/体制などの

基本的事項を記載

セキュリティポリシー宣言文

目的/方針/適用範囲/体制などの

基本的事項を記載

情報セキュリティ対策基準

基準書/標準書/規程書など

要件、遵守事項を記載

情報セキュリティ対策基準

基準書/標準書/規程書など

要件、遵守事項を記載

情報セキュリティ実施手順

アプリケーション利用手順書、

メール/グループウェア/Web/ネットワーク利用手順書 など

各種申請書/届出用紙 など

情報セキュリティ実施手順

アプリケーション利用手順書、

メール/グループウェア/Web/ネットワーク利用手順書 など

各種申請書/届出用紙 など

実施手順【プロシージャ】

ガイドラインGuide to How

How

※ガイドラインを分ける考え方もあります

7.1 情報セキュリティポリシー情報セキュリティポリシーの構成の構成

Page 87: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

87Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 87

• 「なぜセキュリティが必要か」という「Why」について規定– 何をどこまで守るのか(対象範囲)、誰が責任者かを明

確にする。

• 組織の経営者が、「情報セキュリティに本格的に取り組む」という姿勢を示す。– 情報セキュリティの目標と、その目標を達成するために

企業がとるべき行動を社内外に宣言するもの。

• 業界標準、該当する法令、政府規制に適合するための手順が含まれる場合がある。

Why

7.2 情報セキュリティ情報セキュリティ基本方針基本方針

Page 88: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

88Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 88

1. 基本理念および目的

2. 情報セキュリティポリシーの役割と位置付け

3. 情報セキュリティポリシーの見直しと改訂

4. 法令等の順守

5. 適用対象範囲

6. 情報セキュリティポリシーの全体構成

7. 評価

8. 罰則

9. 用語の定義

10.附則Why

■情報セキュリティ基本方針 記載項目例

Page 89: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

89Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 89

1. 本ポリシーは、「情報資産」を守ることを目的に作成されている。

本ポリシーにおいて対象とする「情報資産」は、次に掲げるものとする。

① 対象となる情報には、会社が作成した法人文書のほか、作成途中の

法人文書、会社以外から入手した情報及び個人情報を含む。② 対象となる情報システムには、情報を電子的に処理するためのハード

ウェア、ソフトウェア、ネットワークのほか、運用管理及び保守に必要な文書も含む。

2. 本ポリシーは、前項に掲げる情報及び情報システムを取り扱うすべての

従業者に適用する。ここでいう従業者は、経営層、正社員、派遣、アルバ

イトを含む。

Why

■情報セキュリティ基本方針適用対象範囲 記載例

Page 90: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

90Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 90

(2)適用対象範囲

本統一基準が適用される対象範囲を以下のように定める。

(a)本統一基準は、「情報」を守ることを目的に作成されている。本統一基準において「情報」とは、情報システム内部に記録された情報、情報システム外部の電磁的記録媒体に記録された情報及び情報システムに関係がある書面に記載された情報をいう。したがって、作業途上の文書も適用対象であり、書面に記載された情報には、電磁的に記録されている情報を記載した書面(情報システムに入力された情報を記載した書面、情報システムから出力した情報を記載した書面)及び情報システムに関する設計書が含まれる。

(b)本統一基準は、行政事務従事者のうち、情報及び情報システムを取り扱う者に適用される。なお、本統一基準中、特に断りがないものを除き、「行政事務従事者」とは、情報及び情報システムを取り扱う行政事務従事者をいう。

(c)本統一基準における「府省庁」とは・・・・

■政府機関統一基準の適用対象範囲

出典:政府機関統一基準(NISD-K303-051)

第1部 総則 1.1.2 本統一基準の使い方 (2)適用対象範囲

Page 91: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

91Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 91

■(参考)政府機関統一基準の適用対象範囲

情報

出力

情報システム

入力

出力された情報(印刷物・媒体等)

入力された情報

適用対象

※電子化した際に情報格付けされたのと同等に適切に管理される必要がある

※すべての出力物は対象情報システムに関係する情報

入力される情報

紙などの非電子の情報については、別途規程等により、管理される。

出典:内閣官房情報セキュリティセンター 講演資料

Page 92: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

92Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 92

• 基本方針(ポリシー)で作成した目的を受けて、「何を実施しなければならないか」という「What」について記述する。

• 組織全員が順守しなければならない「規程」が相当する。– 実際に守るべき規定を具体的に記述する。– 適用範囲や対象者を明確にする。

• 理解度、納得度を高めるコツ

– その規定を守らなければならない理由

– 守れなかった場合に考えられる具体的な脅威の例

などを書いておくと効果的。

What

7.3 情報セキュリティ情報セキュリティ対策基準対策基準

Page 93: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

93Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

JIS Q 27002:2006 (ISO/IEC 17799:2005)情報技術-セキュリティ技術-情報セキュリティマネジメントの実践のための規範

7. 資産の管理: 2つのカテゴリと5つの管理策

7.1 資産に対する責任

7.1.1 資産目録

7.1.2 資産の管理責任者

7.1.3 資産利用の許容範囲

7.2 情報の分類

7.2.1 分類の指針

7.2.2 情報のラベル付け及び取扱い

11の管理領域と133の管理策

各領域にセキュリティカテゴリがあり、各セキュリティカテゴリには、管理策、実施の手引き、関連情報が含まれる

13339合計

10315. 順守

5114. 事業継続管理

5213. 情報セキュリティインシデントの管理

16612. 情報システムの取得、開発及び保守

25711. アクセス制御

321010. 通信及び運用管理

1329. 物理的及び環境的セキュリティ

938. 人的資源のセキュリティ

527. 資産の管理

1126. 情報セキュリティのための組織

215. 情報セキュリティ基本方針

管理策カテゴリ管理領域(箇条)

■情報セキュリティ対策基準策定の参照文書

Page 94: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

94Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

第2部 組織と体制の構築

第3部 情報についての対策

第4部 情報セキュリティ要件の明確化に基づく対策

第5部 情報システムについての対策

第6部 個別事項についての対策

統括

全従事者

情報システム関係者

(各事項による)

主たる対象者政府機関統一基準 第2部~第6部

年次

日常業務

情報システムライフサイクル毎・段階毎

(各事項による)

概ねの頻度

■情報セキュリティ対策基準の例~政府機関統一基準~

Page 95: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

95Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

3.6 技術的セキュリティ (コンピュータ及びネットワークの管理、アクセス制御、システム開発・導入・保守等、不正プログラム対策、不正アクセス対策、情報収集)

技術的

3.4 物理的セキュリティ (サーバ等の管理、管理区域の管理、通信回線・通信回線装置の管理、職員等のパソコン等の管理)

物理的技術的対策

3.5 人的セキュリティ (職員等の遵守事項、研修・訓練、事故・欠陥等の報告、ID・パスワード等の管理)

人的

3.8 評価・見直し

(監査、自己点検、ポリシーの見直し)

3.7 運用 (監視、遵守状況確認、侵害時対応、外部委託、例外措置、法令遵守、懲戒処分等)

3.3 情報資産の分類と

管理方法3.2 組織体制

組織的管理的対策

■情報セキュリティ対策基準の例

~地方公共団体における情報セキュリティポリシーに関するガイドライン ~

第3章 情報セキュリティ対策基準の構成

第3章は、3.1 対象範囲から3.8 評価・見直しまで

Page 96: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

96Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 96

• 対策基準で定めた規程を実施する際に、「どのように実施するか」という「How to」について記述する。

• 詳細な手順を記述するマニュアル的な位置づけ• 場合によっては、「Guide to how」を定めた、実施手順の上位文書と

してのガイドラインや基準を策定

• 例えば、

How to

・ 情報の分類と格付け基準

・ 情報の取扱手順書

・ クライアントパソコン利用手順書

・ サーバ設定確認実施手順書

など

7.4 情報セキュリティ情報セキュリティ実施手順実施手順

Page 97: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

97Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

遵守事項を記す情報セキュリティ対策基準

個別ガイドライン実施手順書群

対策基準ガイドライン

●情報の分類と格付の基準●情報取扱手順書●メールクライアント設定ガイドライン

::

●Webサーバ設置ガイドライン:

:情報の管理に関する対策

クライアントに関する対策サーバに関する対策

電子メールに関する対策Webに関する対策

:IDとパスワードに関する対策

暗号と電子署名に関する対策ウイルスに関する対策

それぞれの対策は各部に分散して記載

実施手順を記す

7.5 対策基準とガイドライン・実施手順の関係

出典:内閣官房情報セキュリティセンターの資料をもとに作成

Page 98: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

98Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 98

• 周知徹底

• 実施状況について情報収集– 自動化

• パスワード定期更新状況の確認• ソフトウエア更新の集中管理 など

• 定期的な見直し– 実施状況や監査結果により検討– 適用範囲の対象は確認と修正 など

7.6 情報セキュリティポリシー運用上の留意点

Page 99: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

99Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 99

7.7 情報管理に関する複数の諸規程

情報セキュリティポリシー• 組織の情報セキュリティに関する方針を示した文書• 情報セキュリティマネジメントを実践するための様々

な取り組みを、包括的に規定する。

文書管理規程• 文書管理台帳の作成等、文書の適正管理の規程• 業務効率の向上や情報保全を目的

個人情報保護規程• 個人情報に特化した取扱いを規程• 個人情報保護法への対応

諸規程の整合性、適用対象範囲を考慮

Page 100: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

100Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

■適用対象範囲と関連規程との関係(例)

個人情報

紙文書

電子化文書 システム

システム

文書

文書管理規程

個人情報保護規程

情報セキュリティポリシー(黒太枠の中)

「情報セキュリティポリシー」、「文書管理規程」、「個人情報保護規程」の

3つの規程は、情報の管理に関しては、密接に関連し、重複する部分も多い規程です。各規程の位置づけや守備範囲を明確に定めるようにします。

Page 101: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

101Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 101

■(参考)政府機関統一基準の適用範囲

出典:内閣官房情報セキュリティセンター 講演資料

国家公務員倫理規程による守秘義務の適用範囲

各府省庁の定める情報セキュリティ対策基準の適用範囲

政府機関統一基準の適用範囲

政府機関統一基準準だけで、すべての情報セキュリティ対策を網羅するのではない。

Page 102: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

102Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 102

■参考URL:情報セキュリティポリシー作成

内閣官房情報セキュリティセンター「政府機関の情報セキュリティ対策のための統一基準」http://www.nisc.go.jp/active/general/kijun01.html

(注:「日本政府」情報セキュリティポリシーに関するガイドライン)(平成12年7月18日情報セキュリティ対策推進会議決定、平成17年9月廃止)

政府機関統一基準適用個別マニュアル群

http://www.nisc.go.jp/active/general/kijun_man.html

総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」http://www.soumu.go.jp/s-news/2006/060929_8.html

JNSA「情報セキュリティポリシー・サンプル0.92a版」http://www.jnsa.org/policy/guidance/

Page 103: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

103Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

8.1 情報の管理と対策の基本原則

8.2 リスク対応とは

8.3 リスク対応-相互の関係

88..情報の管理と対策のヒント情報の管理と対策のヒント~リスク対応について~~リスク対応について~

Page 104: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

104Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

• 情報は必要なもののみ保有する

• 情報は業務上必要な人にのみ開示する

• 情報を利用する権限は必要最低限与える

• 最小権限の原則

• 多重防御の原則

• いっそ持たない・・・・ という対策も。。。

情報の管理の基本原則

情報セキュリティ対策の基本原則

8.1 情報管理と対策の基本原則

教本 p.231 - 232教本 p.231 - 232

Page 105: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

105Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 105

(1)リスク低減(管理策の採用)・対策を実施し、リスクの発生の可能性を低減させる・リスクが顕在化した場合の影響度を低減させる

例:ファイアウォールの設置、暗号化装置の採用、社員への教育、等々

(2)リスク回避・業務の廃止、不要なデータの破棄等リスクを生じさせる原因を排除

(3)リスク移転・契約等によりリスクを他者(他社)に移転

→ アウトソーシング(外部委託)、保険(リスクファイナンス)

(4)リスク保有

8.2 リスク対応とは

教本 p.117-121教本 p.117-121

Page 106: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

106Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 106

■リスク対応 – リスク低減(概念図)

リスク保有

リスクを許容するエリア

リスクを許容できるレベルまで最適化する

リスクの発生可能性

小 大リスク発生の際の損害の大きさ(影響度)

リスク低減

管理策の採用

Page 107: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

107Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 107

大小

リスク保有リスク保有

リスクの発生可能性

(脅威×

脆弱性)

リスク発生の際の損害の大きさ(影響度)(情報資産の価値)

リスク回避リスク回避

リスク移転リスク移転

リスク低減リスク低減

8.3 リスク対応 – 相互の関係(概念図)

Page 108: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

108Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

9.1 IT社会の変化と法的対応の変遷

9.2 個人情報保護法

9.3 不正競争防止法

99..情報の管理と法令遵守情報の管理と法令遵守

教本 p.316-326教本 p.316-326

Page 109: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

109Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 109

ITユ

ーザ

の規

業務効率化

競争優位

2000年

国家安全保障

科学技術計算

安全・高信頼の稼動

商取引

経済インフラ

社会・経済・国民生活のライフライン

政府

金融、運輸、エネルギー等

大企業

中小企業

個人情報システムの役割

情報セキュリティの方向性

1950年

政府

金融、運輸、エネルギー等

大企業

中小企業

個人

専用システム 大型・汎用機 C/S PC・インターネット ユビキタス

政府

金融、運輸、エネルギー等

大企業

中小企業

個人

軍事機密の保護

重要インフラの可用性確保

企業システムの可用性確保

企業のネットワークセキュリティ

電子政府セキュリティ

安全な経済活動安心な社会生活

法制度整備

電磁的記録の保護(刑法改正)(1987)

著作権法(自動公衆送信)(1997)

電子署名認証法電子認証・公証制度

不正アクセス禁止法

IT書面一括化法(2000)

迷惑メール規制(特商法)

電子消費者契約法

プロバイダー責任法

個人情報保護法

e-文書法

不正競争防止法改正(営業秘密)

公的個人認証制度

9.1 IT社会の変化と法的対応の変遷

経済産業省資料を基に作成

▼サイバー犯罪を取り締まる法律:不正アクセス禁止法、刑法など▼円滑な電子商取引を支援する法律:電子署名認証法、e-文書法

▼プライバシー保護及び事業者規制:個人情報保護法▼著作権保護 ▼迷惑メール規制

Page 110: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

110Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 110

■法令順守とCSR(Corporate Social Responsibility:企業の社会的責任)

• 企業における不祥事が多発している– 企業のCSRを求める圧力は強くなりつつある– とりわけ法令順守を確実にすることは、社会的責任の基礎とな

るもの– 法令違反をすれば

• 顧客や株主、取引先等の利害関係者から信頼を失うだけでなく、取引停止や顧客離れ、損害賠償など経営問題に発展しかねない

• 法令順守を組織のマネジメントに組み込むことが必要– 企業の経営理念として法律適合性を定め、– それに従った行動をするという「企業風土」を確立させる必要が

ある

(参考URL)情報化関連法令集 http://www.n-i-c.or.jp/it_kanren/ 法令データ提供システム http://law.e-gov.go.jp/cgi-bin/idxsearch.cgi

Page 111: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

111Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 111

• 正式名– 個人情報の保護に関する法律

• 目的– 個人情報の漏洩や不正使用などに対する個人の権利の保護

• 施行日– 2005年4月1日(基本法部分は2003年5月30日)

• 概要– 個人情報を取り扱う事業者の順守すべき義務(安全管理措置や従業員と委

託先の監督義務など)を規定• ただし、個人情報の適正な利用はできるように配慮

– 本人の了解無しに個人情報を流用したり、売買したり、譲渡することを規制– 個人情報保護の基本原則が規定されている

• 個人情報は適正な方法により取得すること• 利用は収集目的の範囲内で行うこと• 個人情報の漏洩を防ぐためのセキュリティ対策を行うこと など

– 罰則• 6ヶ月以下の懲役又は30万円以下の罰金

9.2 個人情報保護法

Page 112: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

112Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 112

【省庁】金融庁

•「金融分野における個人情報の取り扱いについて」

経済産業省•「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」

厚生労働省•「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずるべき措置に関する指針」

など【業界団体】

全国銀行協会•「個人情報の保護と利用に関する自主ルール」

全国スーパーマーケット 協会ほか•「個人情報保護に関する法律の業界ガイドライン」

日本医師会•「医療機関における個人情報の保護」

など

出典:内閣府国民生活局【個人情報に関する法律】 http://www5.cao.go.jp/seikatsu/kojin/

■個人情報保護ガイドライン

Page 113: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

113Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 113

■個人情報のライフサイクル

利用

個人情報個人を特定できる

情報15 ~ 18条、31条

個人データ個人情報をデータベース化したもの

15 ~ 23、31条

保有個人データ個人データを6ヶ月を越えて保有したもの

15 ~ 31条

第三者 委託先

( 提供 )

本人

(開示、訂正、利用の停止)

本人

(利用目的の通知等)

取得消去

(1)利用目的の特定、利用目的による制限(15条、16条)(2)適正な取得、取得に際しての利用目的の通知等(17条、18条)(3)データ内容の正確性の確保(19条)(4)安全管理措置、従業者・委託先の監督(20条~22条)(5)第三者提供の制限(23条)(6)公表等、開示、訂正等、利用停止等(24条~27条)、理由・手続等(28条~30条)(7)苦情の処理(31条)

保存

Page 114: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

114Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 114

• 目的– 「営業秘密」の保護

• 営業秘密とは、著作権や商標権で保護されない企業の重要なノウハウや営業機密など。トレードシークレット。

• 施行日– 1994年5月1月

• 概要– 改訂1(2003年1月)

• 不正アクセス行為による「情報窃盗」がカバーされた– 「営業秘密」の不正取得及び不正使用行為等に対して刑事罰を導

» 3年以下の懲役又は300万円以下の罰金• 「営業秘密管理指針」を経産省が作成

– 「営業秘密」として保護されるための条件» ①秘密管理性(秘密として管理されていること)» ②有用性(事業活動に有用な情報であること)» ③非公知性(公然と知られていないこと)

– 「営業秘密」を侵害する不正競争行為に対しては差止請求や損害賠償請求等が認められる。

9.3 不正競争防止法

Page 115: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

115Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 115

– 改訂2(2005年6月)• ポイント

– 営業秘密の国外使用・開示処分の導入» 営業秘密を日本国外で使用または開示した者を処罰対象とす

る。– 退職者への処罰の導入

» 元役員・元従業員による媒体取得・複製を伴わない「営業秘密」の不正使用・開示を処罰対象とする。

– 法人処罰の導入» 営業秘密を侵害罪した犯人が属する法人について,法人処罰

(1億5,000万円以下の罰金)を導入– 罰則の見直し

» 「5年以下の懲役または500万円以下の罰金」に引き上げ、「懲役刑と罰金刑を併せて科すことができる」という規定を追加

• 「営業秘密管理指針」の改定– 改定不正競争防止法への適合や、昨今の情報流出事件を踏まえて

2005年10月に改定

■不正競争防止法(改訂のポイント)

Page 116: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

116Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

付.1 システム管理基準 追補版(財務報告に係るIT統制ガイダンス)

付.2 情報セキュリティ教本

付.3 情報セキュリティ読本

付.4 IPAセキュリティセンターのホームページ

付録付録..参考資料など参考資料など

Page 117: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

117Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007

2006年6月に成立した金融商品取引法により、上場企業等は、2008年4月以降、財務報告に係る内部統制の整備及び運用状況の有効性について評価、報告することが義務化。

金融商品取引法の枠組みにおいても、 「ITへの対応(→IT統制)」は内部統制の基本的要素の一つ。

経済産業省では、システム管理基準等を活用している企業が「ITへの対応」を行っていくための「参考情報」として、主要なケースを想定しつつ、それぞれの企業がIT統制をどのように構築し、経営者がその有効性をどのように評価するかについての具体的対応事例集である「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」を策定。

付.1 システム管理基準 追補版(財務報告に係るIT統制ガイダンス)

システム管理基準等を活用している企業

IT統制への対応

金融商品取引法における内部統制の6つの基本要素

1. 統制環境2. リスクの評価と対応3. 統制活動4. 情報と伝達5. モニタリング(監視活動)6. ITへの対応(→IT統制)

IT統制の有効性評価

IT統制の構築

企業の経営者システム管理基準 追補版(財務報告に係るIT統制ガイダンス)

具体的対応事例を提供

第Ⅰ章 構成と用語について第Ⅰ章 構成と用語について

第Ⅱ章 IT統制の概要について第Ⅱ章 IT統制の概要について

第Ⅲ章 IT統制の経営者評価第Ⅲ章 IT統制の経営者評価

第Ⅳ章 IT統制の導入ガイダンス第Ⅳ章 IT統制の導入ガイダンス

主に経営者等を想定

主に実務者等を想定

http://www.meti.go.jp/policy/netsecurity/tuihoban.html

参考情報参考情報

経済産業省 商務情報政策局 情報セキュリティ政策室 (03-3501-0397)

経済産業省

Page 118: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

118Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 118

■A5判 / 368ページ

■定価 2,500円(税込)

付.2 情報セキュリティ教本

第1章 はじめに第2章 情報セキュリティの組織第3章 情報セキュリティポリシーのつくり方第4章 情報の分類と管理第5章 リスクマネジメント第6章 技術的対策の基本第7章 セキュリティ製品とセキュリティサービス第8章 導入と運用第9章 セキュリティ監視と侵入検知第10章 セキュリティ評価第11章 見直しと改善第12章 法令遵守

【付録】政府機関統一基準の構成と本書の関係

『情報セキュリティ教本 - 組織の情報セキュリティ対策実践の手引き -』http://www.ipa.go.jp/security/publications/kyohon/index.html

Page 119: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

119Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 119

『情報セキュリティ読本 改訂版 -IT時代の危機管理入門-』http://www.ipa.go.jp/security/publications/dokuhon/2006/

『すぐわかるウイルス対策の基礎知識すぐわかるウイルス対策の基礎知識』 (CD-ROM)http://www.ipa.go.jp/security/y2k/virus/cdrom2/school.htmlhttp://www.ipa.go.jp/security/y2k/virus/cdrom2/index.html

『対策のしおり対策のしおり(ウイルス、(ウイルス、スパイウエア、スパイウエア、ボット、不正アクセス、情報漏えい)ボット、不正アクセス、情報漏えい)』http://www.ipa.go.jp/security/antivirus/shiori.html

■A5判 / 144ページ ■定価 500円(税込)

第1章 IT(情報技術)に潜む危険第2章 今日のセキュリティリスク

第3章 ウイルスなどの不正プログラムによる被害とその対策第4章 実際のセキュリティ対策第5章 もっと知りたいセキュリティ技術第6章 情報セキュリティ関連の法規と制度第7章 IPA セキュリティセンターの活動

付.3 情報セキュリティ読本

Page 120: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

120Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 120

緊急対策情報 情報セキュリティ認証関連

公募

・ウイルス対策・新種ウイルス情報・不正アクセス対策・脆弱性関連情報の取扱い・読者層別対策実践情報

付.4 IPA セキュリティセンターのホームページhttp://www.ipa.go.jp/security/

情報セキュリティ対策

届出

・届出ウイルス一覧・ウイルスの届出・不正アクセスの届出・脆弱性関連情報の届出

資料・報告書等

セミナー・イベント

・JISEC・JCMVP

・調査・研究報告書・海外セキュリティ関連文書・開発成果紹介・セキュリティ関連RFC・PKI関連技術情報

暗号技術・CRYPTREC

Page 121: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

121Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 121

■ IPAからの最新情報をメールで配信http://www.ipa.go.jp/about/mail/

Page 122: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

122Copyright © 2007 独立行政法人 情報処理推進機構 情報セキュリティセミナー2007 122

独立行政法人 情報処理推進機構

セキュリティセンター (IPA/ISEC)

〒113-6591

東京都文京区本駒込2-28-8

文京グリーンコートセンターオフィス16階

電子メール [email protected]

URL http://www.ipa.go.jp/security/

Page 123: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

情報のライフサイクルにおける脅威と対策

Page 124: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

A 社ホームページへの「重要なお知らせ」の掲載 出典:情報セキュリティ教本

重要なお知らせ

個人情報及び取引先情報の紛失について

○年○月○日 A 株式会社

平成○年○月○日、午後 10 時頃、弊社社員が○○電車にて帰宅途中、ノートパソコン を

入れた鞄を紛失する事態が発生しました。 大切なお客様情報が保存されたノートパソコン を紛失してしまい、お客様ならびに関係者

の皆様には多大なるご迷惑、ご心配をおかけすることとなりましたことを心よりお詫び申し上げ

ますとともに、ご報告申し上げます。 なお、弊社社員は紛失に気づいた直後○○鉄道へ連絡、翌朝には警察署へ紛失届を出し

ておりますが、現在のところ紛失したノートパソコンは見つかっておりません。 1. お客様情報の内容 紛失したノートパソコン内の情報は、次のものであると確認いたしました。 ・顧客情報リスト(約 800 件、会社名、部署名、個人名、電話番号、FAX、メールアドレス) ・メール受発信情報(約 1000 件、メールアドレスや氏名などの情報含む) ・見積書、提案書、製品情報、サポート情報(自社作成、顧客作成分含む)

(個人情報は顧客情報リストとメール受発信情報を合わせ 1800 件、重複を含む) 上記のお客様情報の保有開始時期は当該パソコンを紛失した社員の勤務歴および紛失し

たパソコンの使用歴より、平成○年○月○日以降に取得した情報となります。弊社では業務

上使用する情報は、メール受発信情報を含み、全て上司にコピーを入れることを社内ルー

ルとしており、上記お客様情報は、この社内ルールにもとづき確認したものです。 2. 該当するお客様への連絡について

1.で確認されたお客様情報に該当するお客様には、個別に連絡を差し上げております。 3. ノートパソコンとそのセキュリティについて

今回紛失したノートパソコンは○○社製、○○機です。パソコン自体へのアクセスは、指紋

認証で保護されており、OS、メールソフト、データベースの起動には、それぞれパスワードが

設定されております。 4. 連絡先

電話 ○○-○○○○-○○○○ 月曜日から金曜日 09:00 – 17:00 弊社といたしましては、お客さま情報の保護をきわめて重要な事項と認識しており、このたび

の事態の発生を真摯に受け止め、再発の防止に努めてまいります。 お客さまの大切な情報が入ったノートパソコン を紛失してしまい、大変なご迷惑、ご心配を

おかけすることになりましたことを重ねてお詫び申し上げますとともに、ご理解を賜りますようお

願い申し上げます。

更新履歴 ○年○月○日掲載

Page 125: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

1

情報セキュリティ対策ベンチマーク 25 項目の質問一覧

大項目1.貴社における情報セキュリティに対する組織的な取組状況についてうかがいます。

① 情報セキュリティポリシーや情報セキュリティ管理に関する規程を定め、それを実践していますか。

② 経営層を含めた情報セキュリティの推進体制やコンプライアンス(法令遵守)の推進体制を整備していま

すか。

③ 重要な情報資産(情報及び情報システム)については、重要性のレベルごとに分け、そのレベルに応じ

て管理していますか。

④ 個人データなど重要な情報については、取得、利用、保管、開示、消去などの一連の業務工程ごとにき

め細かく適切な措置を講じていますか。

⑤ 社外の組織に業務を委託する際の契約書に、セキュリティ上の理由から相手方に求めるべき事項を記

載していますか。

⑥ 従業者(派遣を含む)に対し、入社、退職の際に機密保持に関する書面を取り交わすなどして就業上の

セキュリティに関する義務を明確にしていますか。

⑦ 従業者(派遣を含む)に対し、情報セキュリティに関する貴社の取組みや関連ルールについての計画的

な教育や指導を実施していますか。

大項目2.貴社における物理的(環境的)セキュリティ上の施策についてうかがいます。

① ベンダや清掃業者など貴社に出入りする様々な人々に対するセキュリティ上のルールを定め、それを

実践していますか。

② 特にセキュリティを強化したい建物や区画について、必要に応じたセキュリティ対策を実施しています

か。

③ 重要な情報機器や配線等は、安全性に配慮して配置・設置していますか。

④ 重要な書類や記憶媒体の適切な管理を行っていますか。

⑤ 実稼働環境の情報システム(本番環境)やデータ(本番データ)を適切に保護していますか。

大項目3.貴社における通信ネットワーク及び情報システムの運用管理に関するセキュリティ対策につ

いてうかがいます。

① 情報システムの運用に必要なセキュリティ対策を実施していますか。

② 不正ソフトウェア(ウイルス、ワーム等)に対する対策を実施していますか。

③ 貴社で導入しているソフトウェアに対して適切な脆弱性対策を実施していますか。

④ 通信ネットワークに流れるデータに関して、暗号化などの適切な保護策を実施していますか。

⑤ 携帯 PC やフロッピーディスク等の記憶媒体に対して、盗難、紛失等を想定した適切なセキュリティ対

策を実施していますか。

大項目4.貴社における情報システムの開発、保守におけるセキュリティ対策及び情報や情報システム

へのアクセス制御の状況についてうかがいます。

① 業務システムの開発に際し、開発したシステムに脆弱性が残らないようにするための施策を実施して

いますか。

② ソフトウェアの選定・購入、システムの開発・保守に際して、工程ごとにセキュリティの観点からチェック

を行うなど、セキュリティ管理が実施されていますか。

③ 情報(データ)へのアクセスを制限するための利用者管理や認証を適切に実施していますか。

④ 業務アプリケーションに対するアクセス制御を適切に実施していますか。

⑤ ネットワークのアクセス制御を適切に実施していますか。

大項目5.貴社における情報セキュリティ上の事故対応状況についてうかがいます。

① 情報システムの障害発生を想定した適切な対策を実施していますか。

② 情報セキュリティに関連する事件や事故が発生した際の行動や報告、判断の基準を定めた対応手続

きを準備していますか。

③ 何らかの理由で情報システムが停止した場合でも事業を継続するための取組みが、組織全体を通じて

検討されていますか。

Page 126: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

2

情報セキュリティ対策ベンチマーク 25 項目の質問と対策のポイント

大項目1.貴社における情報セキュリティに対する組織的な取組状況についてうかがいます。

① 情報セキュリティポリシーや情報セキュリティ管理に関する規程を定め、それを実践していますか。

説明 ポリシーや規程が有効なものであるためには、それらが自社の状況に見合ったものである必要があります。

ポリシーや規程は、サンプルのコピーではなく、自社の事業やリスクを鑑みたものであることが重要です。

対策のポイント

●情報セキュリティポリシーや管理規程が策定されているか

●ひな形、サンプル、他社事例等のコピーではなく、社内で十分な討議を経て、自社の状況に見合った内容となっ

ているか

●ポリシーは全社をカバーしているか

●社長ないし上級役員が承認しているか

●全従業者(派遣を含む)に対して通知・公表済みか

●定期的に見直すための手続きを定めているか

●既に見直し時期が到来していた場合、見直しを実施したか

●改訂結果について、社長ないし上級役員の承認を得て、再度通知・公表したか

●従業員がポリシーや関連規程類を遵守し、率先垂範していることを確認するための手続きを定めているか

●情報システムに対し、いわゆるネットワーク検査やペネトレーションテストを定期的に実施し、ポリシーの実装状

況を確認しているか

② 経営層を含めた情報セキュリティの推進体制やコンプライアンス(法令遵守)の推進体制を整備しています

か。

説明 推進体制の整備のためには、監査を含めた各担当者の責任が明文化されることが重要です。

対策のポイント

●社内の情報セキュリティのあり方を決定する組織が整備されているか

●その組織の責任者は経営層の人間が担当しているか

●その組織において、情報セキュリティに関する適切な責任や資源分配を検討しているか

●その組織は、社内の情報セキュリティ対策に関する監査の実施を推進しているか

●事業を遂行する上で遵守すべき法令、規制、契約等を網羅的に、かつ正確に把握しているか

●他者の知的財産権を保護するための手続きを定めて実践しているか(例えば、ソフトウェアの不正コピーを予防

するための手当てなど)

●自社が実施した様々な活動について、それらを記録する仕組みはあるか

●特に法定の保存文書について、厳格に保管を実施しているか

●個人情報保護法を前提として、個人情報を保護するために必要な対策を定め、それらを実施しているか

●不正競争防止法で保護される情報の要件を把握しているか

●電子署名法について、把握しているか

●情報システムが、業務以外の目的で利用されることを防止するための措置を講じているか

③ 重要な情報資産(情報及び情報システム)については、重要性のレベルごとに分け、そのレベルに応じて

管理していますか。

説明 情報セキュリティ対策を効率的にかつ高いコスト効果をもって実施するためには、情報資産を明確化し、情

報資産の重要度に応じて管理することが必要です。

対策のポイント

●情報システムに関連づけて重要な情報資産の目録を作成しているか

●情報資産の重要度とそれに応じた保護のレベルを分類しているか

●情報資産の管理責任を明確化しているか

●情報の分類を定める責任、定期的な見直しの責任が明確になっているか

●出力した情報について、保護のレベルを明確化しているか

④ 個人データなど重要な情報については、取得、利用、保管、開示、消去などの一連の業務工程ごとにき

め細かく適切な措置を講じていますか。

Page 127: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

3

説明 個人情報保護法の規定やガイドラインにみられるように、重要情報の取得、利用、保管、開示、消去などに

当たっては、作業責任者や手順の明確化、取扱者の限定や処理の記録、確認などが必要です。

対策のポイント

●各工程の作業責任者が明確化されているか

●各工程における作業手順が明確化され、その手順に基づいて作業が実施されているか

●各工程における作業担当者が限定されていて、適切な担当者のみが操作の権限を有しているか

●作業担当者の識別や権限付与の状況を確認しているか

●重要情報に対するアクセスの記録・保管、権限外作業の有無を確認しているか

⑤ 社外の組織に業務を委託する際の契約書に、セキュリティ上の理由から相手方に求めるべき事項を記載

していますか。

説明 社外の組織に業務を委託する際の契約書には、データの漏えいや消失の防止、情報あるいは情報システム

の誤用の防止を徹底するために、これらに関する条件を記載しておく必要があります。

対策のポイント

●どのような業務が外部に委託されているかについて、全件を掌握しているか

●業務委託先と交わす契約書において、記載されるべきセキュリティ上の要求事項をあらかじめ明確に定めている

●外部委託によるソフトウェア開発を行う場合、使用許諾、知的所有権などについて取り決めているか

●外部委託によるソフトウェア開発を行う場合、品質や作業範囲、標準となる契約書や合意書を用意しているか

⑥ 従業者(派遣を含む)に対し、入社、退職の際に機密保持に関する書面を取り交わすなどして就業上のセ

キュリティに関する義務を明確にしていますか。

説明 情報セキュリティ対策の基本の一つは、人のマネジメントです。すべての従業者に対して、入社や退職の際

に、情報セキュリティ上の義務や、業務上知りえた機密情報を(退職後も)外部に漏らさないこと等、セキュリティ上の

遵守事項を誓約させることで、情報セキュリティ上の注意義務を自覚させるとともに、情報セキュリティ対策に実効

性をもたせます。

対策のポイント

●従業者(派遣を含む)を採用する際に、機密保持契約を締結しているか

●従業者(派遣を含む)の退職に際して、退職後における機密保持を約する書面を交わしているか

●雇用契約時に、セキュリティ上の義務を明示しているか

●就業規則ないし服務規律に、従業者(派遣を含む)が遵守すべき事項を明示しているか

⑦ 従業者(派遣を含む)に対し、情報セキュリティに関する貴社の取組みや関連ルールについての計画的な

教育や指導を実施していますか。

説明 従業者に対する教育は、情報セキュリティ対策の有効性を向上させるために必要不可欠なものです。教育を

適切に実施し、効果が得られていることを確認することによって、技術的なセキュリティ対策との相乗効果が期待で

きます。

対策のポイント

●ポリシー及び関連規程を従業者(派遣を含む)が理解し、実践するために必要な教育を実施しているか

●パスワードの管理や、暗号鍵の管理について教育を行なっているか

●出来合いの教材だけでなく、自社の状況に即した適切な教材を用意しているか

●定期的に教育を実施しているか

●教育が有効であることを確認するための仕組みを用意しているか

大項目2.貴社における物理的(環境的)セキュリティ上の施策についてうかがいます。

① ベンダや清掃業者など貴社に出入りする様々な人々に対するセキュリティ上のルールを定め、それを実

践していますか。

説明 建物や事務所の中には、数多くの情報や関連する設備が所在しています。これらの情報や設備に触れる機

会のある外部業者に対しては、それぞれのリスクの状況を踏まえたルールの制定と、それに従った運用を行うこと

が必要です。

Page 128: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

4

対策のポイント

●人々の出入りによって、どのようなリスクが生じるかを評価する手続きを定めているか

●その手続きに従って評価を実施したか

●評価を実施した結果、明らかになったリスクについて適切な対策を実施したか

●出入りする様々な人々について、自社対相手方の組織(ないしは人)との間で、セキュリティに関する取り決めを

契約として定めているか

② 特にセキュリティを強化したい建物や区画について、必要に応じたセキュリティ対策を実施していますか。

説明 重要な情報や関連する設備が数多く所在する場所については、セキュリティ対策として特段の配慮が必要と

なります。このような場所(建物や区画)については、入室可能な人をできるだけ制限したり、外部からの侵入者に

対する防護策を強化することが必要です。対策としては、外部とのセキュリティ上の境界を明確に意識した入退館・

入退室管理や警報装置の設置などがあります。

対策のポイント

●セキュリティ境界を明確に定義し、その安全管理措置に関する規程を整備しているか

●侵入を防止するために必要な建物や警報設備などの基準を設定しているか

●敷地及び建物に入ることができる人を制限しているか

●その制限の対象になる人を識別できるようにしているか

●入退館(室)の履歴を記録し、その記録を適切に管理しているか

●基幹業務システムや機密情報を保有するシステムを許可された者だけが立ち入ることのできる場所に設置して

いるか

③ 重要な情報機器や配線等は、安全性に配慮して配置・設置していますか。

説明 重要な情報機器や配線については、偶然の事故による損壊や悪意による損壊を防ぐなど、安全上の配慮が

必要です。偶然の事故に対しては、機器の転倒防止、漏水被害対策、周辺での飲食禁止、踏みつけや引っ張りに

よる断線の防止など、設備本体や周辺で起こりうる事故を洗い出し、有効な対策を行うことが重要です。また、悪意

のある損壊に対しては、機器や配線などに、容易に接触できないようにすることが重要です。

対策のポイント

●執務室の入口から見えないように情報処理設備を配置しているか

●使用中に画面を盗み見されないように配置を工夫しているか

●電源コードや通信ケーブルが損傷しないように配置しているか

④ 重要な書類や記憶媒体の適切な管理を行っていますか。

説明 書類や電子的な記憶媒体などによって情報が漏えいする事故が数多く発生しています。キャビネットの施錠

やプリント出力の放置禁止、記憶媒体の粉砕廃棄など、重要な情報が記録されている書類や記憶媒体を適切に管

理することが必要です。

対策のポイント

●事務所内の机上、書庫、会議室などの整理整頓が実施されているか

●事務所、机の施錠管理が実施されているか

●郵便物、FAX、印刷物などの放置禁止や保護が実施されているか

●書類や記憶媒体などの廃棄処理が徹底されているか

⑤ 実稼働環境の情報システム(本番環境)やデータ(本番データ)を適切に保護していますか。

説明 システム開発には、多数の作業者が関与するため、通常の運用業務に比べ、大きなリスクが潜在していま

す。そのため、システム開発においては、実稼働システムと開発システムの分離、変更管理手順の策定、本番デー

タの使用制限などの対策が重要となります。

対策のポイント

●実稼働システムを開発システムやテスト用のシステムから隔離しているか

●個人情報等の重要なデータをテストに用いないためのルールを規定しているか

●実稼動システムの変更手順を規定に定めているか

●実稼働システムの変更が規定に沿って行われ、記録されているか

●必要な場合、システムの性能・容量管理が行われているか

Page 129: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

5

大項目3.貴社における通信ネットワーク及び情報システムの運用管理に関するセキュリティ対策につ

いてうかがいます。

① 情報システムの運用に必要なセキュリティ対策を実施していますか。

説明 通信ネットワークや情報システムの運用管理に必要な情報セキュリティ対策には、セキュリティ要件の明確

化、各種手順書の策定、セキュリティに影響するイベントの記録とチェックなどがあります。

対策のポイント

●情報システムを運用する際のセキュリティ要求事項は明確にされているか

●情報システムの運用手順書は整備されているか

●日々のシステム運用に不手際が生じないようにするための工夫はされているか

●システム運用はチェックされているか

② 不正ソフトウェア(ウイルス、ワーム等)に対する対策を実施していますか。

説明 不正ソフトウェア対策にはコンピュータウイルス対策ソフトを導入し、パターンファイルのアップデートを適時

行うことなどが含まれます。

対策のポイント

●ウイルス対策ソフトは適切に配置されているか

●ウイルス対策ソフトのパターンファイルの更新は適切に行われているか

●各サーバ、クライアント PC についての定期的なウイルス検査は行われているか

●システムの利用者は、ウイルス対策や問題が生じた場合における必要な処置について十分に認識しているか

●ウイルスに限らず、不正ソフトウェア対策のためのパッチマネジメントを行っているか

③ 貴社で導入しているソフトウェアに対して適切な脆弱性対策を実施していますか。

説明 適切な脆弱性対策とは、セキュリティを考慮した設定や、パッチ(脆弱性修正プログラム)の適用、定期的な

脆弱性検査などを言います。

対策のポイント

●ソフトウェアのパッチ(脆弱性修正プログラム)についてテスト・適用が適切になされているか

●導入したソフトウェアについてセキュリティ上必要な設定変更を実施しているか

●定期的に脆弱性検査を行い、問題点の検出・解決を行っているか

④ 通信ネットワークに流れるデータに関して、暗号化などの適切な保護策を実施していますか。

説明 適切な保護策にはVPNの使用や、重要な情報の SSL 等による暗号化が含まれます。

対策のポイント

●社外のネットワークから社内のネットワークや情報システムへアクセスする場合に、VPN 等を用いて暗号化され

た通信路を使用しているか

●Web にアクセスする際、必要に応じて SSL 等を用いて通信経路を暗号化しているか

●電子メールをやり取りする場合に、重要な内容については暗号化しているか

⑤ 携帯 PC やフロッピーディスク等の記憶媒体に対して、盗難、紛失等を想定した適切なセキュリティ対策

を実施していますか。

説明 携帯 PC やフロッピーディスク等の記憶媒体の使用場所には、社外のパブリックスペースやリモートオフィ

ス、自宅などを含みます。

対策のポイント

●携帯 PC や USB Key 型のメモリ、FD、CD などの記憶媒体について、社外持ち出し規程を定めているか

●パブリックスペースやリモートオフィスでの使用あるいは在宅作業等、社外で携帯 PC を使用する場合の物理的

な盗難防止策を講じているか

●携帯 PC にログオンする際に、利用者 ID とパスワードによる利用者認証を実施しているか

●社外で使用した携帯 PC を社内ネットワークに接続する前に、ウイルス駆除等の検疫処理を行っているか

●USB Key 型のメモリや FD、CD などの記憶媒体について、紛失・盗難防止などのセキュリティ対策を実施してい

るか

●携帯 PC に保存されているデータを、その重要度に応じて暗号化しているか

Page 130: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

6

大項目4.貴社における情報システムの開発、保守におけるセキュリティ対策及び情報や情報システムへの

アクセス制御の状況についてうかがいます。

① 業務システムの開発に際し、開発したシステムに脆弱性が残らないようにするための施策を実施してい

ますか。

説明 業務システムは完成してしまった後に改変を加えることは困難で、コストも嵩みます。企画、設計の初期の段

階から情報セキュリティについて配慮することが必要です。

対策のポイント

●利用者の認証機能は、必要に応じて適切に実装されているか

●業務処理プロセスは適切に実装されているか

●入力データの正当性チェックは適切に行われているか

●情報の保護機能は適切に実装されているか

●ソフトウェアの構造上潜在しうる脆弱性が残されていないことが確認されているか

② ソフトウェアの選定・購入、システムの開発・保守に際して、工程ごとにセキュリティの観点からチェックを

行うなど、セキュリティ管理が実施されていますか。

説明 ソフトウェアにセキュリティ上の問題が混入しないための管理が重要です。購入に際しては、ソフトウェアの

開発元の確認、開発の際のセキュリティチェックやレビュー記録などを確認できることが望まれます。

対策のポイント

●ソフトウェアの購入に際して、開発元の定評の確認や製品の評価を行った記録のレビューができるか

●ソフトウェアのバージョン変更の記録、導入前の試験記録をレビューできるか

●システムの開発プロセスが整備されているか

●各プロセスで生成される成果物が適切な管理のもとで保管されているか

●そのための方針があり、実施状況の把握ができるか

③ 情報(データ)へのアクセスを制限するための利用者管理や認証を適切に実施していますか。

説明 適切な利用者管理には、利用者 ID の定期的な見直しによる不要 ID の削除や共用 ID の制限、単純なパス

ワードの設定禁止などがあります。

対策のポイント

●利用者の登録及び削除に関する規程は定められているか

●不要な利用者 ID や利用者に対する必要以上の権限の付与の有無などを定期的にチェックしているか

●利用者に、空白のパスワードや単純な文字列のパスワードを設定しないよう要求しているか

●情報にアクセスできる利用者を限定し、利用者ごとに割り当てられた ID とパスワードによる認証を実施している

●重要情報を格納した情報システムについては、利用時間の制限を徹底しているか

④ 業務アプリケーションに対するアクセス制御を適切に実施していますか。

説明 業務アプリケーションに対する適切なアクセス制御には、例えば利用者ごとに利用できる機能を制限するこ

とがあります。

対策のポイント

●利用者ごとにアクセス可能なサービスを制限しているか

●業務アプリケーションの利用者に対して、アクセス制御を実施しているか

⑤ ネットワークのアクセス制御を適切に実施していますか。

説明 適切なネットワークのアクセス制御には、例えばネットワークの分離や社外からの接続時の認証などがあり

ます。

対策のポイント

●社外のネットワークから社内システムへアクセスする際(携帯 PC を使用する場合を含む)に、利用者認証を実施

しているか

●サービスやシステムにアクセス可能な利用者を制限するために、ネットワークを物理的あるいは論理的に切り離

しているか

●許可されていないワイヤレスアクセスポイントの設置を禁止しているか

●社外のホットスポットを利用してネットワークにアクセスする場合のセキュリティ対策を実施しているか

Page 131: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

7

●社内のネットワークに接続する端末機器について、接続時に認証を実施しているか

●外部のネットワークサービスを利用する場合に、そのサービスにどのようなセキュリティ上の対策が実施されて

いるかについて確認しているか

大項目5.貴社における情報セキュリティ上の事故対応状況についてうかがいます。

① 情報システムの障害発生を想定した適切な対策を実施していますか。

説明 情報セキュリティの重要な要素の一つである可用性に影響を与える事象のうち、影響の度合いが最も大き

いのは、情報システム関連機器の故障であると言っても過言ではありません。情報システムに求められる可用性

の条件を満たすためには、可用性に関する要求に対応した適切な障害対策機能のシステムへの組込みが欠かせ

ません。

対策のポイント

●情報システムの可用性に関する要求は明確で妥当なものか

●システム全体としての障害対策のスキームは確立しているか

●事故への即応処理としてのシステムの切り離しや縮退機能、情報の回復や情報システムの復旧に必要となる機

能は、情報システムに組み込まれているか

●復旧に必要なバックアップや運用の記録等の確保は適切に行われているか

●障害発生時の対応手順や障害対策の実施要領は確立しているか

●現場における障害対応能力は確保できているか

●社外にシステムの運用を委託している場合、障害発生時も考慮したサービスレベルが保証されているか

② 情報セキュリティに関連する事件や事故が発生した際の行動や報告、判断の基準を定めた対応手続きを

準備していますか。

説明 情報セキュリティに関連する事件や事故が発生した場合、被害の拡大を防ぎ、被害を限定的なものにする

ためには、組織全体として事件や事故に必要な対応が適切かつ迅速にできなければなりません。そのためには、

事件や事故の形態ごとに、実施すべき作業やその実施要領を確立するとともに、現場の要員がいざというときに対

応作業を円滑に実行できるようにしておくことが必要となります。

対策のポイント

●事件や事故の種類ごとに、必要な対応作業の実施要領を定めているか

●事件や事故の発生に備えて、対応要領の現場の要員への徹底を行っているか

●事件や事故の形態ごとに対応体制を定めているか

●事故対策に必要なツールやリソースの確保と、その稼働確認を定期的に実施しているか

③ 何らかの理由で情報システムが停止した場合でも事業を継続するための取組みが、組織全体を通じて検

討されていますか。

説明 災害、施設・システム機器・業務ソフト・業務データの損壊や、情報システムに生じた重大事故等によって、

情報システムが停止し、短期間での復旧の目処がたたなくなるような事態の発生が考えられます。このような状況

においても事業の継続ができるようにするためには、情報システム全体のバックアップセンターの準備や、ソフトウ

ェア資産・業務データのバックアップとその安全な保管、さらには手作業により業務の遂行ができるようにしておくな

どの準備が必要となります。事業活動の多くを情報システムに依存している組織においては、事業継続への取組

みは十分に検討しておくべきです。

対策のポイント

●業務の重要度や、業務システムのトラブルが業務に及ぼす影響について把握しているか

●情報システムの長期停止を想定した事業継続計画は確立されているか

●バックアップセンターを利用する場合、バックアップセンターへの切替えが円滑に行われるようになっているか

●バックアップセンターへの切替え時や、システム復旧後の業務の再開に用いる業務データやソフトウェアのバッ

クアップがとられ、安全な場所に保管されているか

●非常時において、手作業で業務を遂行するための備えはできているか

Page 132: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

1

用語集(基礎コース、マネジメントコース)

BIOSパスワード

パソコンが起動する時に、OS(Operating System)の立ち上げ前に実行されるBIOS(Basic

Input/Output System)において、パスワード認証を行うこと。ログイン認証は、一般的に

はOSログインのための利用者IDとパスワードにより行われるが、OSログインを行う前に、

BIOSパスワードによる認証を行うこともある。(BIOSパスワードを設定する場合、事前に

BIOSパスワードを忘れた場合の対策を考えておく必要がある。)

DoS(Denial of Service)

「サービス妨害攻撃」参照。

HDDパスワード

HDD(Hard Disk Drive)へのアクセスをパスワード認証により管理するもの。HDDパスワー

ドを設定している場合、HDDを取り出して別のパソコンでその中のデータを読み出そうとし

ても、事前に設定されたパスワードが必要になる。なお、HDDパスワードを忘れた場合には、

パソコンメーカーの修理・保守でも対応できず、HDDの交換が必要となるため注意が必要。

IM(Instant Messenger)

インターネットに接続したパソコン同士で、チャットやファイルのやりとりができるソフ

トウェア。同じソフトを利用している仲間がインターネットに接続しているかどうかがわ

かり、リアルタイムにメッセージを送ることができる。AOL Instant Messagingや MSN

Messengerが有名。

PDA(Personal Digital AssistantまたはPersonal Data Assistance)

情報携帯端末とも呼ばれる。スケジュール表、住所録、メモなどの管理を行う手のひらサ

イズの小型端末で、リアルタイムOSを搭載しているため、電子手帳と異なりアプリケーシ

ョンの追加による機能追加が可能である。携帯電話機能、インターネット接続による web

閲覧やメールの送受信機能を備える場合もある。

P2P(Peer to Peer:ピアツーピア)

従来のクライアント・サーバ型のように、サーバにあるデータをクライアントにダウンロ

ードして利用するのではなく、不特定多数の個人間で、サーバを介さずに、直接データの

やり取りを行うインターネットの利用形態。

SQLインジェクション

データベースと連携した Webアプリケーションの多くは、利用者からの入力情報をもとに

データベースへの命令文を組み立てている。この命令文の組み立て方法に問題がある場合、

Page 133: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

2

攻撃によってデータベースの不正利用を招く可能性がある。この問題を悪用した攻撃手法

を一般に「SQLインジェクション」と呼ぶ。

SQL(Structured Query Language)は、リレーショナルデータベース(RDB)において、デ

ータベースの操作やデータの定義を行うための問い合わせ言語。

Winny(ウイニー)

インターネットを利用してファイルを交換するP2P型のファイル交換ソフトウェアの1つ。

匿名性が高いという特徴を持っている。

アクセス権限

コンピュータシステムなどにおいて、ファイルやフォルダ、データベースなどを使用する

権限のこと。どのシステム、フォルダ、情報などにアクセスできるか、また、アクセスし

た際に、何ができるか(読み、書き、実行など)という権限。

アクセス制御

正当な人、装置、プロセス、通信データ(「主体」と呼ぶ)にはネットワークや情報及び情

報システムにアクセスすることを許し、不当な主体のアクセスは拒否するような制御のこ

と。

インシデント

情報セキュリティ分野において、情報セキュリティリスクが発現・現実化した事象のこと。

ウイルス(virus)

広義または狭義に定義される。

広義:「コンピュータウイルス対策基準」(経済産業省告示)においては、広義の定義を採

用していて、自己伝染機能・潜伏機能・発病機能のいずれかをもつ加害プログラムをウイ

ルスとしている。自己伝染機能については、他のファイルやシステムに寄生・感染するか、

単体で存在するかを問わない定義になっているので「worm(ワーム)」や「ボット」も含む

ことになる。他のファイルやシステムへの寄生・感染機能を持たないがユーザが意図しな

い発病機能をもつ「Trojan(トロイの木馬)」や「スパイウエア」も、この広義の定義では

ウイルスに含まれる。

狭義:PC環境におけるコンピュータウイルスを念頭においた狭義の定義においては、他の

ファイルやシステムに寄生・感染(自己複製)する機能をもつプログラムをいう。この場

合、システム中に単体として存在し、ネットワークを伝わって移動する「worm(ワーム)」

や「ボット」は、ウイルスとは区別される。また、潜伏機能・発病機能しか持たない「Trojan

(トロイの木馬)」や「スパイウエア」もウイルスと区別される。

Page 134: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

3

サービス妨害攻撃(DoS attack: Denial of Service attack)

コンピュータ資源やネットワーク資源を提供できない状態に陥れる攻撃のこと。たとえば、

一般に入手可能なツールを使用して、インターネットサーバーが提供する各種サービスを

妨害する攻撃が行われている。このようなDoS攻撃には次の種類がある。

1) インターネットプロトコルの特性を悪用し、ネットワークに接続されたコンピュータに

過剰な負荷をかけ、サービスを提供できない状態にする攻撃。

2) ネットワークの帯域を渋滞させる攻撃。

3) サーバーアプリケーションの脆弱性を攻略し、サービスに例外処理をさせてサービスを

提供できない状態にする攻撃。

修正プログラム(bugfix、patch)

セキュリティの脆弱性を除去するプログラムで、一般に「バグフィックス」または「パッ

チ」と呼ばれる。ベンダーは、脆弱性の発見に対応して修正プログラムファイルを提供す

る。ユーザは、これらのファイルをコンピュータシステムにインストールする必要がある。

情報セキュリティガバナンス

社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内

部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること。

シンクライアント

ユーザが使うクライアントには必要最小限の処理のみ行わせ、ほとんどの処理をサーバに

集中させる構成のシステムのこと。

脆弱性(vulnerability)

情報セキュリティ分野における脆弱性とは、通常、システム、ネットワーク、アプリケー

ション、または関連するプロトコルのセキュリティを損なうような、予定外の望まないイ

ベントにつながる可能性がある弱点の存在や、設計もしくは実装のエラーのことをいう。

オペレーティングシステムの脆弱性や、アプリケーションシステムの脆弱性がある。また、

ソフトウェアの脆弱性以外に、セキュリティ上の設定が不備である状態も、脆弱性がある

といわれる。

脆弱性は、一般に、セキュリティホール(security hole)と呼ばれることもある。

近年ソフトウェアの脆弱性について、広い語感を与える vulnerability を整理し、予定さ

れたセキュリティ仕様を満たさないものを狭義の vulnerabilityとし、仕様上のセキュリ

ティの欠如をExposure(露出)として区別する動きがある。

このほかにも、広義には vulnerabilityもしくは security holeと呼ばれながらも、ソフ

トウェア自体の問題ではない論点には、弱いパスワード等の本人認証の回避問題、設定ミ

スによる問題がある。

Page 135: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

4

セキュリティホール(security hole)

情報セキュリティ分野における「脆弱性」は、一般に「セキュリティホール」と呼ばれて

いる。

トロイの木馬(trojan horse)

便利なソフトウェアに見せかけて、ユーザに被害を与える不正なプログラム。感染機能は

持っていないので、感染増殖することはない。

トロイの木馬の内部に隠していたウイルスをパソコンに組み込む、パソコン内部の秘密の

ファイルをインターネット上に送信する、ファイルやディスク内容を破壊するなど、さま

ざまな被害をもたらす。

感染増殖はしないので、ワクチンソフトでは必ずしもトロイの木馬を検出できるとは限ら

ない。信頼できないサイトに便利なツールとして掲載されていても、そのプログラムはむ

やみにダウンロードして実行しないようにする。「怪しいプログラムは実行しない」という

原則を守れば、トロイの木馬の被害を防ぐことができる。

バックドア(backdoor)

コンピュータシステムへの侵入者が侵入後、そのシステムに再侵入するために準備する仕

掛け。

パッチ(patch)

「修正プログラム」参照。

分散サービス妨害攻撃(DDoS attack: Distributed Denial of Service attack)

サービス妨害攻撃(DoS攻撃)には、インターネットプロトコルの特性を悪用して、ネット

ワークに接続されたコンピュータに過剰な負荷をかけ、サービスを提供できなくするよう

な攻撃がある。このような DoS攻撃の攻撃元が複数で、標的とされたコンピュータがひと

つであった場合、その標的とされるコンピュータにかけられる負荷は、より大きなものに

なる。このような攻撃をDDoS(Distributed Denial of Service:分散サービス妨害)攻撃

と呼ぶ。攻撃元は、攻撃者(人間)自身であるとは限らず、むしろ、攻撃者が事前に標的

以外の複数サイトに攻撃プログラムを仕掛けておき、遠隔から一斉に DoS攻撃をしかける

手法が広く知られている。

ポートスキャン(port scan)

攻撃・侵入の前段階として、標的のコンピュータの各ポートにおけるサービスの状態を調

査すること。

Page 136: 情報セキュリティセミナー2007 - ipa.go.jp · 情報セキュリティセミナー2007 - ipa.go.jp ... a

5

迷惑メール(UBE: Unsolicited Bulk Email)

商用目的かどうかによらず、個人的、宗教的なものも含めて宣伝や嫌がらせなどの目的で

不特定多数に大量に送信されるメールのこと。一般に、spamメール(スパムメール)とも

呼ばれる。

レジストリ(registry)

Windows系 OSで、システムやアプリケーションソフトウェアなどの各種動作に関する設定

情報を記録したファイル。

Windowsに付属しているレジストリエディタという専用のソフトウェアで編集できる。ただ

し、むやみに設定内容を変えるとシステムが動かなくなる可能性があるため、初心者は、

レジストリの変更は避けた方がよい。

ワーム(worm)

通常のウイルスは感染対象のプログラムを必要とするが、ワームは、感染対象となるプロ

グラムがなく、自分自身の複製をコピーして増殖する。

ネットワーク内を這い回る虫のように見えることから、この名称が付けられた。