IPA 情報セキュリティセミナー マネージメントコース
リンクはPDFを含みます。ざっと、気になったポイントとか、資料入手先とか。口頭のみの部分は検索後リンクをしてみたり。
(1)背景及び基礎知識 ウィルスの脅威 ・かつては愉快犯→今は、経済目的が増加している 内閣官房に情報セキュリティセンターが設立され対策が強化されている ・重要インフラを以下に守っていくかを計画している 今年末までに、発表がされる可能性 ・情報セキュリティガバナンスの重要性 ガバナンスの確立「情報セキュリティベンチマーク」 さまざまな対策 ・ツールを使った脆弱性検知 ・外部システム監査の利用 ・仕事の持ち帰りなどが発生しないように、個人の仕事量を調整する ・個人のパソコンで仕事をしないですむように、必要な設備は与える ・会社風土の改善 情報セキュリティのCIA ・C 機密性 ・I 完全性 ・A 可用性 (2)情報セキュリティマネジメント 情報セキュリティ:何から 何を 守るのか? ・内からの脅威から資産を守るために情報セキュリティマネジメントが必要 情報セキュリテルマネジメントのPDCA(Plan Do Check Action)サイクルをまわすには ・見直し改善(Action)は経営層が行うべき →経営陣のかかわりが必須、かかわりをなくして情報セキュリティマネジメントはありえない 情報セキュリティマネジメントの管理策をJIS X 5080(ISO 17799)を参考にする。 ISO/IEC 17799:2005 2005年6月に更新されている NIST文書の翻訳の紹介 SP800-53→2005年11月翻訳完了 IPA、Web掲載予定 情報セキュリティの投資効果が見えない、企業価値に直結しない、必要性が認識されていない ・情報セキュリティ対策ベンチマーク:ベストプラクティスから自社の不足内容を把握するためのツール ・情報セキュリティ報告書モデル:投資家への説明するためのツール ・事業継続計画策定ガイドライン:資料として読むべき (3)情報セキュリティポリシー 情報セキュリティポリシー:なぜ? 何を? どのように? →組織の経営者が社内外に宣言して、徹底を図るべき 情報セキュリティ実施基準 ・守らないといけない理由や、脅威によって発生する事例を示す 情報セキュリティ実施手順(マニュアルのようなもの) ポリシーは普遍的、実施手順は頻繁に変更される。 (4)リスクマネジメント リスクマネジメント:許容されるコストで行うこと リスクマネジメントの分析手法の種類 ・ベースラインアプローチ:既存の標準や基準を元にチェック ・非形式的アプローチ ・組合せアプローチ ISMSユーザーズガイドに詳細有り ・世間一般的なリスク因子のテーブル参考資料 IPA セキュリティ対策セルフチェックシート、ウィルス対策チェックシート ECOM 情報セキュリティ対策評価モデル ・セキュリティ対策評価モデル第1分冊:モデルのコンセプトと対策要求の解説.pdf ・セキュリティ対策評価モデル第2分冊:モデルの使用法と対策強度レベル判定基準.pdf (5)事業継続計画 経済産業省の事業策定計画ガイドラインを参考にするとよい 対応体制:責任、権限をきちんと決めておく ・当局対応 ・マスコミ対応 ・取引先・顧客対応 ・社内対応 ビジネス影響度分析:本当に大切なものは何なのか? 完全法規 ・災害対策基本法等に見合った計画を練る必要がある (6)法令・規格 個人情報保護法 ・罰則で示される金額だけが企業が請け負うものではなく、訴訟時の保障費用なども必要 不正競争防止法→2003年に情報窃盗がカバーされた 2005年に退職者へ罰則対象を広げた 2005年度内に改定予定 経済産業省の営業機密管理指針を公開 ・秘密管理性→きちんとしたセキュリティで情報が管理されているかどうかが大切 ・有用性 ・非公知性 不正アクセス禁止法 ・不正アクセス行為を助長する行為 →他人のパスワードを許可なく他人に教えるのも駄目 ・必要な対策を行っていないと、法律によって保護されない e-文書法 ・紙だけではなく電子文書の保存も許可した法律 ・対象範囲・対象外を把握しておく必要がある ・情報セキュリティに対する対策が必須 ISO/IEC 17799:2005→2007年に 27002に名称改定予定 ・JIS化される名称が27002に ・情報セキュリティ関連は27000シリーズとしてわかりやすくなる ソフトウェア等脆弱性関連情報取扱基準(経済産業省) ・脆弱性の届出、脆弱性関連情報に関する製品開発者への連絡など ・情報セキュリティ早期警戒パートナーシップ (7)教育 情報セキュリティの周知徹底には必要 ・情報セキュリティスキルマップ(用途:採用、人事育成、能力評価、人員調達のための指針) ・ITスキル標準 ・情報処理試験 (8)監査 経済産業省の情報セキュリティ監査企業台帳が参考になる 準拠する基準:JIS X 5080:2002を元に策定 監査時期:1年に1回の割合で定期的に、監査実施はPDCAの「C」 情報セキュリティ監査実施のフレームワークについては経済産業省のサイトを確認するとよい ISMS適合性評価制度による認証 ガイドブックが以下のサイトから入手可能