Microsoft PowerPoint - A1.ppt

Size: px

Start display at page:

Download "Microsoft PowerPoint - A1.ppt"

とらふみさくもと
5 years ago
Views:

1 業務に基づく中小企業の情報セキュリティ対策ガイドライン作成についてのご報告元持哲郎アイネットシステムズ株式会社 JNSA 西日本支部 2011 年 1 月 25 日

2 概要西日本支部では 2004 年に開始した中小企業向け個人情報保護 WG 活動をステップとして中小企業向けにセキュリティ対策のガイドラインとして情報セキュリティチェックシートを作成しましたさらに 2009 年 3 月より中小企業向を対象にした業務に基づくリスク分析評価対応対策方法を検討し作業してきました今回は 2 年間の作業結果を中小企業が負担に感じる事無く実践できるアプローチとして作成した業務に基づく中小企業の情報セキュリティ対策ガイドラインについて概説致します Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 2

3 ガイドラインの目的情報の洗い出し無でセキュリティ対策が可能対象とする中小企業に業務に伴うリスクが判別できる対象とする中小企業が具体的なリスク対策が行える対策を継続的に行っていける Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 3

4 ガイドラインの構成導入部 1. 概要 2. 本ガイドライの対象企業 3. 本ガイドラインの対象読者 4. 本ガイドラインの使用方法第 1 部 18の情報セキュリティ管理項目第 2 部 62 業務に基づく情報セキュリティ対策例付録参考資料 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 4

5 従業員 300 人以下対象の企業西日本支部 2008 年度活動成果物中小企業の情報セキュリティ対策支援 WG 活動報告書より Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 5

6 対象読者企業のシステム管理者システム管理を外注している管理者 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 6

7 使用方法 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 7

8 ガイドライン第 1 部 1. セキュリティ境界と入退室管理 2. 認証と権限 3. ウイルス及び悪意のあるプログラムに対する対策 4. パッチの適用 5. バックアップ 6. ログの取得 7. 記憶媒体の管理 8. 暗号化 9. アプリケーションの利用 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 8

9 ガイドライン第 1 部 10. 電子メールの利用 11. 外部サービスの利用 12. ネットワークのアクセス制御 13. クリアデスククリアスクリーン 14. 変更管理 15. 構成管理 16. 障害事故管理 17. 容量能力の管理 18.Webの開発管理 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 9

10 管理策から省いた項目対象が紙物に関するもの電源空調等の設備管理に関するもの対策できないもの対策が中小企業レベルでは難しいもの経営者システム管理者等の権限者の不正 DoS 攻撃個人情報保護に関するもの委託管理に関するもの対策が教育啓蒙になるもの Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 10

11 ISMS との対応 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 11

12 第 1 部 9. アプリケーションの利用 (1) 管理目的アプリケーションの利用に伴う情報の漏えい改ざんから情報を保護するため (2) 管理策 1 有償無償を問わず組織が許可したソフトウエアのみを使用する 2 大きな脆弱性の存在が明らかなファイル共有ソフト P2P(Winny Share 等 ) の使用は禁止する 3 電子ファイルを外部に提供する必要がある場合は情報そのもの以外にファイルのプロパティヘッダーフッターにある情報も確認し外部に公開すべきでない情報は消去する 4プレゼンテーションソフトを使用し外部に提案を行う場合は PCのデスクトップ上にある外部に公開すべきでない情報は見えないようにする 5 登録機能を使用してFAX 送信する場合にも登録間違いによる誤送信を防止するために宛先番号を確認して送信する 6FAX 送信する場合は送信前に送信相手に送信することの連絡送信後に受信確認を行う 7 重要な情報を保存する場合は後に情報の重要度及び属性が容易に判断可能なようにファイル名を命名する (3) 運用で心がけるポイント 1 無許可ソフトがユーザPCにインストールされていないか定期的に棚卸を実施する (4) 関連する管理項目認証と権限ウイルス及び悪意のあるプログラムに対する対策暗号化 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 12

13 ガイドライン第 2 部出社 1 業務社内業務 31 業務社外業務 12 業務退社 1 業務帰宅 2 業務システム管理業務 15 業務 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 13

14 ガイドライン第 2 部 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 14

15 ガイドライン第 2 部 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 15

16 第 1 部と第 2 部との対応 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 16

17 強度程度のわかる参考資料を紹介パスワードポリシー暗号リストデータ消去物理的理論的 SaaS SLA Web 開発 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 17

18 各部の関係 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 18

19 Sample1 2 認証と権限 (1) 管理目的情報と情報機器への許可されていないアクセスを防止するため (2) 管理策 1 入館入室設備 PC(BIOS,OS) サーバーネットワークアプリケーション携帯電話等にアクセスするための個人及びプログラムを認証する仕組みを構築設定する 2 認証には IDカードデバイス (ICカード USBキー等 ) パスワードバイオメトリックス( 指紋認証静脈認証等 ) 等の第三者が簡単に利用できない仕組みを用いる 3 認証のためのユーザIDは個人を特定できるように付与する 4ユーザIDは職務権限に応じた情報と情報機器へのアクセス権限を付与する 5 特権はシステム管理者業務の管理者等特別の職務権限を持った者だけに付与する 6パスワード (9) は例えば 8 文字以上に設定し大文字小文字数字特殊文字の4つを組み合わせ 3カ月に1 度変更する ( 以降をパスワードポリシーとする ) とする (3) 運用で心がけるポイント 1 退職人事異動に伴うユーザID 権限の見直しを行う 2 特権は初期設定のAdministratorは使用せずシステム管理者の個別ユーザIDに特権を付与する Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 19

20 Sample 1 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 20

21 Sample 1 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 21

22 Sample 1 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 22

23 Sample 1 (9)Japan Vulnerability Notes 共通セキュリティ設定一覧 CCE 概説 ( パスワード編 ) ssword.html Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 23

24 Sample1 共通セキュリティ設定一覧 CCE 概説 ( パスワード編 ) Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 24

25 Sample 2 7. 記憶媒体の管理 (1) 管理目的情報の漏えい改ざん消去破壊を防止するため (2) 管理策 1 記憶媒体の数量所在を管理する 2 使用した記憶媒体 ( ハードディスクテープ USBメモリー CD DVD スマートカード等) を廃棄する場合は保存した情報が解読できないように信頼できる方法で記憶媒体の物理的破壊 (10) 情報の磁気的な消去または上書き消去 (11) を行う 3 重要な情報を保存した記憶媒体は製造者の仕様に従って適切な環境 ( 磁気湿度温度などの制限 ) 及びセキュリティの確保 ( 耐火金庫施錠管理 ) できる場所に保存する 4 許可されていない記憶媒体の使用ができないように PC サーバーのデバイス制御を行う( 参考 ) 5バックアップデータを記憶媒体に長期保管する場合は記憶媒体の寿命を考慮し定期的にバックアップデータを新規記憶媒体に移動する等適切な処置を行う ( 参考 ) (3) 運用で心がけるポイント 1 定期的に記憶媒体の棚卸を実施し数量所在を確認する 2 理論的にデータ消去した場合は廃棄前に情報を消去したことを確認する (4) 関連する管理策ウイルス及び悪意のあるプログラムに対する対策バックアップ Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 25

26 Sample 2 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 26

27 Sample 2 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 27

28 Sample 2 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 28

29 Sample 2 (10) 社団法人電子情報技術産業協会パソコンの廃棄譲渡時におけるハードディスク上のデータ消去に関する留意事項 Ddata100219F.pdf (11) 社団法人電子情報技術産業協会データ消去に関する各種規格のご紹介 ne0407/standard.html Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 29

30 団法人電子情報技術産業協会Sample 2 社データ消去に関する各種規格のご紹Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 30 介

31 課題実際の事件事故に基づき対策例を提示クラウドサービス利用に特化して対策例を提示スマートフォンタブレットなど新しいデバイスへの対応 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 31

WG メンバ浅野二郎礒元芳昭株式会社 OSK 50 音順敬称略宇佐川道信パナソニック電工株式会社 - 大財健治株式会社ケーケーシー情報システム久保寧富士通関西中部ネットテック株式会社小柴宏記株式会社ケーケーシー情報システム斎藤聖悟株式会社インターネットイニシアティブ嶋倉文裕

32 WG メンバ浅野二郎礒元芳昭株式会社 OSK 50 音順敬称略宇佐川道信パナソニック電工株式会社 - 大財健治株式会社ケーケーシー情報システム久保寧富士通関西中部ネットテック株式会社小柴宏記株式会社ケーケーシー情報システム斎藤聖悟株式会社インターネットイニシアティブ嶋倉文裕富士通関西中部ネットテック株式会社田口智子株式会社ラック宮下勝彦ヒューベルサービス株式会社元持哲郎 WGリーダアイネットシステムズ株式会社近畿経済産業局地域経済部情報政策課井上陽一 JNSA 顧問西日本支部長 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 32

33 ご清聴ありがとうございました Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 33

34 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 34

最初に情報セキュリティは中小企業にこそ必要!! 機密性は情報資産へのアクセスを最小限度に留めることで購入する情報資産の金額を最小にします完全性は情報資産が正確正しく動くことを保証し業務を効率化します可用性は欲しい情報を欲しい時に入手できることで業務時間を短縮します Copyrig

最初に情報セキュリティは中小企業にこそ必要!! 機密性は情報資産へのアクセスを最小限度に留めることで購入する情報資産の金額を最小にします完全性は情報資産が正確正しく動くことを保証し業務を効率化します可用性は欲しい情報を欲しい時に入手できることで業務時間を短縮します Copyrig 出社してから退社するまで中小企業の情報セキュリティ対策実践手引き活用方法元持哲郎アイネットシステムズ株式会社 JNSA 西日本支部 2014 年 2 月 21 日最初に情報セキュリティは中小企業にこそ必要!! 機密性は情報資産へのアクセスを最小限度に留めることで購入する情報資産の金額を最小にします完全性は情報資産が正確正しく動くことを保証し業務を効率化します可用性は欲しい情報を欲しい時に入手できることで