１

Transcription

1 ISMS Ver.1.0 (JIPDEC ) GMITS(ISO/IEC TR Guideline for the management of IT Security) 1,2,3,4 6,8,9 12,16,18 24,27,36

2

3 1 テ ータ基幹 DB 3 2 テ ータ基幹 DB 3 3 テ ータ基幹 DB 3 4 テ ータ基幹 DB 3 第 3 者がインターネット経由でシステムに侵入しテ ータを書テ ータ インターネット 改竄 2 6 ログ収集及び定期的チェック F/W 設置 テ ータハ ックアッフ き換えた IDS セキュリティホールに対しハ ッチ適用 アクセスコントロールの強化 ハ スワート 保護 ( サーハ ー ファイルetc) 接続形態の変更 ( RAS) 第 3 者がインターネット経由でシステムに侵入しテ ータを盗テ ータ インターネット 窃取 2 6 ログ収集及び定期的チェック F/W 設置 み出した IDS セキュリティホールに対しハ ッチ適用 アクセスコントロールの強化 ハ スワート 保護 ( サーハ ー ファイルetc) 接続形態の変更 ( RAS) 暗号化 未知のウィルスセキュリティホール パッチ未発行のセキュリティホール 未知のウィルスセキュリティホール パッチ未発行のセキュリティホール 第 3 者が協力会社の名前を語って社屋に侵入しすでに接続されている社内端末経由でシステムに侵入しテ ータを書き換えた テ ータ 無断侵入 改竄 1 3 ICカート 化 < 入室 > テ ータのバックアップ ICカード / 許可証の盗難 偽造 第 3 者が協力会社の名前を語って社屋に侵入しすでに接続されている社内端テ ータ末経由でシステムに侵入しテ ータを盗み出した 無断侵入 社内端末の不正使用 指紋 ( 角膜 ) 照合 < 入室 > 入館許可書 ( 写真入 ) の着用 ICカート 化 < 端末使用 > 離席時にハ スワート 付スクリーンセー バーを活用 の入館時に社員が同行する 社員のセキュリティ教育 暗証番号化 窃取 1 3 外部者の持ち込み検査 IC カート 化 < 入室 > IC カード / 許可証の盗難 偽造 指紋 ( 角膜 ) 照合 < 入室 > 入館許可書 ( 写真入 ) の着用 ICカート 化 < 端末使用 > 離席時にハ スワート 付スクリーンセー バーを活用 の入館時に社員が同行する 社員のセキュリティ教育 暗証番号化

4 5 テ ータ基幹 DB 3 6 テ ータ基幹 DB 3 7 DB ファイル基幹 DB 3 第 3 者がショールームで誰もいない隙に すでに接続されている営業端末を利用テ ータしてシステムに侵入しテ ータを書き換えた 第 3 者がショールームで誰もいない隙に すでに接続されている営業端末を利用テ ータ利してシステムに侵入しテ ータを盗み出した 第 3 者がサーハ 室に侵入して DB ファイルを破壊した テ ータ 営業部社内端末の不正利用 営業端末の不正利用 システム部の管理用端末の不正利用 改竄 1 3 端末設置場所を隔離テ ータのバックアップ 店内を無人にしない 離席時にはログオフ ログオフ忘れ 監視カメラ設置 カメラ故障 社員のセキュリティ教育 窃取 1 3 監視カメラ設置カメラ故障 ICカート 化 < 端末使用 > 離席時にハ スワート 付スクリーンセーバーを活用 離席時にはログオフ ログオフ忘れ 社員のセキュリティ教育 破壊 1 3 暗証番号の定期的変更テ ータのバックアップ暗証番号の漏洩 解読 IC カート 化 < 入室 > 予備機の設置 IC カード / 許可証の盗難 偽造 指紋 ( 角膜 ) 照合 ログインID/ ハ スワート の定期変更 離席時にはログオフ 社員のセキュリティ教育 8 DB ファイル基幹 DB 3 第 3 者がサーハ 室に侵入して DB ファイルを盗み出したテ ータ システム部の管理用端末の不正利用 窃取 1 3 暗証番号の定期的変更暗証番号の漏洩 解読 ICカート 化 < 入室 > ICカードの盗難 偽造 指紋 ( 角膜 ) 照合 ログインID/ ハ スワート の定期変更 離席時にはログオフ 社員のセキュリティ教育 管理用端末から外部送信できないようにする ( メーラ,FTP) 管理端末にドライブが接続できないようにする

5 ウィルス感染した端末経由で 9 DBファイル基幹 DB 3 DBファイルが破壊されたテ ータウィルス ( 社破壊 3 9 ウイルスチェック ウィルス対策ソフトパターンファイルの自内端末 ) 動アップデート ( 起動時 ) ( 大 ) ( 多い ) ログ収集及び定期的チェック Outlook 系メーラーの使用規制 ( セキュリティホールが多い為 ) 10 DB ファイル基幹 DB 3 11 DB ファイル基幹 DB 3 12 テ ータ基幹 DB 3 13 DB 基幹 DB 3 ウィルス感染した端末経由で DB ファイルが盗み出されたテ ータ ウィルス ( 社内端末 ) 外部テ ータを持ち込む (FD 等 ) 場合はウィ ルスチェックを実施する ハ ッチ適用 窃取 3 9 ウイルスチェック ウィルス対策ソフトパターンファイルの自動アップデート ( 起動時 ) ( 大 ) ( 多い ) Outlook 系メーラーの使用規制 ( セキュリティホールが多い為 ) ウィルス感染した端末経由で DBファイルが改ざんされたテ ータ 更新 削除を含む ウィルス ( 社内端末 ) 外部テ ータを持ち込む (FD 等 ) 場合はウィ ルスチェックを実施する ハ ッチ適用 データの暗号化 ( 重要データのみ ) 改竄 3 9 ウイルスチェック ウィルス対策ソフトパターンファイルの自動アップデート ( 起動時 ) ( 大 ) ( 多い ) ログ収集及び定期的チェック Outlook 系メーラーの使用規制 ( セキュリティホールが多い為 ) 社内の内部者がインターネット経由でシステムに侵入しテ ータを書き換えた テ ータ 外部テ ータを持ち込む (FD 等 ) 場合はウィ ルスチェックを実施する ハ ッチ適用 テ ータのバックアップ テ ータのバックアップ 内部者 ( 社員 関インターネット 改竄 1 3 ログ収集及び定期的チェック 社員のセキュリティ教育 テ ータのバックアップ 係会社 ) ( 大 ) ( 少ない ) IDS 営業部の社員が企画部の社員の ID/PASSWORD を不正に入手して基幹系 DB にアクセスした テ ータ 営業部の社員 ID/PASSW 不正アクセ ORDの不ス正取得 1 3 ログ収集及び定期的チェック 社員のセキュリティ教育 ( パスワードの管理方法など ) ( 大 ) ( 少ない ) ログインID/ ハ スワート の定期変更 ICカート / 指紋 ( 角膜 ) 照合 14 テ ータ 情報系 DB 3 第 3 者がインターネット経由でシステムに侵入しテ ータを書テ ータ インターネット 改竄 2 6 ログ収集及び定期的チェック F/W 設置 テ ータハ ックアッフ き換えた ( 大 ) <1と同じ> ( 普通 ) IDS セキュリティホールに対しハ ッチ適用 アクセスコントロールの強化 ハ スワート 保護 ( サーハ ー ファイルetc) 接続形態の変更 ( RAS) 15 テ ータ 情報系 DB 3 第 3 者がインターネット経由でシステムに侵入しテ ータを盗テ ータ インターネット 窃取 2 6 ログ収集及び定期的チェック F/W 設置 み出した ( 大 ) <2と同じ> ( 普通 ) IDS セキュリティホールに対しハ ッチ適用 アクセスコントロールの強化 ハ スワート 保護 ( サーハ ー ファイルetc) 接続形態の変更 ( RAS) 暗号化

6 資産 所在地 資産価値 脅威 対象 攻撃者 手段 脅威 発生頻度 リスク値 検知 防止 復旧 残存リスク 16 テ ータ 情報系 DB 3 第 3 者が協力会社の名前無断侵を語って社屋に侵入しすで ICカート 入館許可書の紛失 ( 偽入 社内に接続されている社内端テ ータ改竄 1 3 ICカート 化 < 入室 > テ ータのバックアップ造 ) 時のリスク ( 入室 機器破壊 ) 端末の不末経由でシステムに侵入しのみ正使用テ ータを書き換えた ( 大 ) <3と同じ> ( 少ない ) 指紋 ( 角膜 ) 照合 < 入室 > 入館許可書 ( 写真入 ) の着用 ICカート 化 < 端末使用 > 離席時にハ スワート 付スクリーンセーバーを活用 の入館時に社員が同行する 社員のセキュリティ教育 暗証番号化 17 テ ータ 情報系 DB 3 第 3 者が協力会社の名前無断侵を語って社屋に侵入しすで入 社内に接続されている社内端テ ータ端末の不末経由でシステムに侵入し正使用テ ータを盗み出した 窃取 1 3 外部者の持ち込み検査 ICカート 化 < 入室 > ( 大 ) <4と同じ> ( 少ない ) 指紋 ( 角膜 ) 照合 < 入室 > 入館許可書 ( 写真入 ) の着用 ICカート 化 < 端末使用 > 離席時にハ スワート 付スクリーンセーバーを活用 の入館時に社員が同行する 社員のセキュリティ教育 暗証番号化 18 テ ータ情報系 DB 3 19 テ ータ情報系 DB 3 第 3 者がショールームで誰もいない隙に すでに接続されている営業端末を利用テ ータ利してシステムに侵入しテ ータを書き換えた 営業端末の不正利用 改竄 1 3 端末設置場所を隔離テ ータのバックアップ特になし ( 大 ) <5と同じ> ( 少ない ) 店内を無人にしない 離席時にはログオフ 監視カメラ設置 社員のセキュリティ教育 第 3 者がショールームで誰 もいない隙に すでに接続されている営業端末を利用テ ータ 営業端末の不正利 窃取 2 6 監視カメラ設置 利してシステムに侵入しテ ータを盗み出した 用 <6と同じ> ICカート 化 < 端末使用 > 離席時にハ スワート 付スクリーンセーバーを活用 離席時にはログオフ 社員のセキュリティ教育 IC カート 入館許可書の紛失 ( 偽造 ) 時のリスク ( 入室 機器破壊 ) のみ ショールームでの人手が少ない頃を見計らって端末から情報を取得

7 20 DB ファイル情報系 DB 3 第 3 者がサーハ 室に侵入して DB ファイルを破壊した テ ータ システム部の管理用端末の不正利用 破壊 2 6 暗証番号の定期的変更テ ータのバックアップ <7と同じ> ICカート 化 < 入室 > 予備機の設置 指紋 ( 角膜 ) 照合 入室許可をもった内部スタッフによる意図的破壊行為 ログイン ID/ ハ スワート の定期変更 21 DBファイル情報系 DB 3 22 DBファイル情報系 DB 3 23 DBファイル情報系 DB 3 24 DBファイル情報系 DB 3 第 3 者がサーハ 室に侵入して DB ファイルを盗み出したテ ータ システム部の管理用端末の不正利用 離席時にはログオフ 社員のセキュリティ教育 窃取 2 6 暗証番号の定期的変更 <8と同じ> ICカート 化 < 入室 > 指紋 ( 角膜 ) 照合 ログインID/ ハ スワート の定期変更 離席時にはログオフ 社員のセキュリティ教育 管理用端末から外部送信できないようにする ( メーラ,FTP) 管理端末にドライブが接続できないようにする ウィルス感染した端末経由で DBファイルが破壊されたテ ータウィルス ( 社破壊 3 9 ウイルスチェック ウィルス対策ソフトパターンファイルの自内端末 ) 動アップデート ( 起動時 ) <9と同じ> ログ収集及び定期的チェック Outlook 系メーラーの使用規制 ( セキュリティホールが多い為 ) ウィルス感染した端末経由で DB ファイルが盗み出されたテ ータ ウィルス ( 社内端末 ) 外部テ ータを持ち込む (FD 等 ) 場合はウィ ルスチェックを実施する ハ ッチ適用 窃取 3 9 ウイルスチェック ウィルス対策ソフトパターンファイルの自動アップデート ( 起動時 ) <10 と同じ > Outlook 系メーラーの使用規制 ( セキュリティホールが多い為 ) ウィルス感染した端末経由で DBファイルが改ざんされたテ ータ 更新 削除を含む ウィルス ( 社内端末 ) 外部テ ータを持ち込む (FD 等 ) 場合はウィ ルスチェックを実施する ハ ッチ適用 データの暗号化 ( 重要データのみ ) 改竄 3 9 ウイルスチェック ウィルス対策ソフトパターンファイルの自動アップデート ( 起動時 ) <11 と同じ > ログ収集及び定期的チェック Outlook 系メーラーの使用規制 ( セキュリティホールが多い為 ) 外部テ ータを持ち込む (FD 等 ) 場合はウィ ルスチェックを実施する ハ ッチ適用 テ ータのバックアップ テ ータのバックアップ 入室許可をもった内部スタッフによる意図的破壊行為 未確認のウイルスへの感染 未確認のウイルスへの感染 未確認のウイルスへの感染

8 25 テ ータ情報系 DB 3 26 情報系 DB 情報系 DB 3 27 ホームページ情報 28 サーハ ー情報 一般公開 HP サーハ 一般公開 HP サーハ 2 2 社員がインターネット経由でシステムに侵入しテ ータを書きテ ータ換えた 内部者 ( 社員 関インターネット 改竄 1 3 ログ収集及び定期的チェック 社員のセキュリティ教育 テ ータのバックアップ 内部犯行 係会社 ) <12 と同じ > IDS 企画部の社員が営業部の社員の ID/PASSWORD を不正に入手して情報系 DB にアクセスした テ ータ 営業部の社員 ID/PASSW 不正アクセ ORDの不ス正取得 1 3 ログ収集及び定期的チェック 社員のセキュリティ教育 ( パスワードの管理方法など ) <13と同じ> ログインID/ ハ スワート の定期変更 ICカート / 指紋 ( 角膜 ) 照合 第 3 者がインターネット経由で フィルタリンク (F/W) の設定公開用ホームページを書き HPテ ータインターネット改竄 3 6 ログ収集及び定期的チェック ( ポート80のみ許容 ) 換えた ハ ックアッフ 未確認の脆弱性を利用した改竄 認証 / アクセス制御 改竄摘出ツールの適用 ハ ッチ適用 第 3 者がインターネット経由で 一般公開 HP 用サーハ を踏み他サーハ の他社サーハ インターネット台にして他社のサーハ を攻攻撃 3 6 ログ収集及び定期的チェック ファイアーウォール 未確認の脆弱性を利用した改竄 撃 ウィルスチェック 内部犯行 29 DB 一般公開 HP サーハ ユーザID 一般公開 HP 30 ハ スワート ファサーハ イル ユーザID 一般公開 HP 31 ハ スワート ファサーハ までのイル経路 第 3 者がインターネット経由でホームページの DB を盗み出した がインターネット経由で社員のユーザID ハ スワート ID/PASSW ファイルを盗み出して社内 ORD システムにアクセスした がインターネット経由で社員のユーザID ハ スワート ID/PASSW ファイルを盗み出して社内 ORD システムにアクセスした HP テ ータインターネット窃盗 1 2 影響なしのため不要 ハ ッチ適用定期的にフ ロク ラムチェック ( 有無 タイムスタン フ サイス ) 影響なしのため対策なし ( 個人情報なし ) インターネット窃盗 3 9 ログ収集及び定期的チェック ファイアーウォール未確認の脆弱性を利用した窃取 IDS パッチ適用 暗号化 インターネット窃盗 1 3 SSL を使用する未確認の脆弱性 - なし 32 ファイル社内端末 2 33 ファイル社内端末 2 社員がWeb 閲覧中にパソコ PC 社員 Web 閲覧ンがウィルス感染した ウィルス感染した社内端末か取引会社ら 社員及び取引会社宛に PC/ 社内 P 社内端末メールウィルスメールが送信された C ウィルス感染 ウィルス感染 3 6 ウィルス対策ソフトパターンファイルの自動アップデート ( 起動時 ) パッチ適用 Webアクセスの規制 3 6 ウィルスメールを送信しない機能の導入 ( サーバ ) ウィルス対策ソフトパターンファイルの自動アップデート ( 起動時 ) Outlook 系メーラーの使用規制 ( セキュリティホールが多い為 ) 外部テ ータを持ち込む (FD 等 ) 場合はウィルスチェックを実施する 未知のウィルス 未知のウィルス 未確認の脆弱性

9 34 PC 2 35 PC 本社ビル 2 36 顧客情報 37 メールの内容 38 メール 39 ハ スワート 40 メール 41 ハ スワート 営業マン携帯 PC 営業マン携帯 PC 営業マン携帯 PC 営業マン携帯 PC 営業マン携帯 PC 営業マン携帯 PC 社内機密文本社ビル 3 書 ( 紙 ) 社内一般文本社ビル 2 書 ( 紙 ) 社内一般文本社ビル 2 書 ( 紙 ) 45 社内テ ータ基幹 DB 3 3 社員がウィルスメールを受信し 感染した 社内 PC メール 協力会社の社員がパソコンをネットワークに接続し 本社ビル内そこからウィルスファイルが社 PC 内に紛れ込んだ ウィルス ウィルス感染 ウィルス感染 3 6 ウィルスメールを受信しない機能の導入 ( サーバ ) ウィルス対策ソフトパターンファイルの自動アップデート ( 起動時 ) Outlook 系メーラーの使用規制 ( セキュリティホールが多い為 ) 外部テ ータを持ち込む (FD 等 ) 場合はウィルスチェックを実施する 未知のウィルス 未確認の脆弱性 3 6 ウイルスチェック PC のビル内持込禁止警戒情報の通知 PC 持込みチェック漏れ ログ収集及び定期的チェック 協力会社社員のセキュリティ教育 PC のネットワーク接続の対策強化 ( 許可された PC の表示 ) 感染により生じた問題の除去全マシンのウイルスチェック 第 3 者に盗まれて ハードディスク内の顧客情報が流顧客情報 物理的に 窃盗 2 6 PCの持ち出し管理 自己管理の徹底 失した 暗号化ソフトの使用 暗号解読 2 メールの内容が盗聴されたメールメール窃盗 2 4 ( 不可 ) 暗号化ソフトの使用 ( 不可 ) 暗号解読 ショールームに戻って無線 LAN で接続中にメールが盗聴された メールメール窃盗 2 4 ( 不可 ) 暗号化ソフトの使用 ( 不可 ) 暗号解読 ショールームに戻って無線 LANで接続中にハ スワート がハ スワート LAN 窃盗 2 6 ( 不可 ) 暗号化ソフトの使用 ( 不可 ) 暗号解読 盗聴された PHS でインターネット接続中にメールが盗聴された PHS でインターネット接続中にハ スワート が盗聴された 本社社員が社内文書 ( 紙 ) を不正に持ち出した 協力会社の社員が社内文書 ( 紙 ) を不正に持ち出した が社内文書 ( 紙 ) を不正に持ち出した 企画部の社員が社内テ ータを不正に電子メールで社外に持ち出した メールメール窃盗 2 4 ( 不可 ) 暗号化ソフトの使用 ( 不可 ) 暗号解読 ハ スワート インターネット窃盗 2 6 暗号化ソフトの使用暗号解読 社内文書 本社社員 物理的に 窃盗 1 3 機密文書管理の徹底 ( 番号管理 廃棄方法 ) ( 机上整理 機密情報の鍵管理 ) 社員のセキュリティ教育 社内文書 協力会社文書管理の徹底物理的に窃盗 1 2 社員 ( 机上整理 機密情報の鍵管理 ) 協力会社社員のセキュリティ教育 社内文書 来客者 物理的に 窃盗 1 2 文書管理の徹底 ( 机上整理 機密情報の鍵管理 ) の入室規制 社内テ ータ本社社員メール窃盗 1 3 ログ収集及び定期的チェック 社員のセキュリティ教育 悪意による持ち出し 悪意による持ち出し 悪意による持ち出し テ ータアクセスログの記録 事後対処となる可能性 社外へのメールは上司にCC 社外へのメール規制

10 46 社内テ ータ基幹 DB 3 47 社内テ ータ基幹 DB 3 48 社内テ ータ基幹 DB 3 49 顧客テ ータ基幹 DB 3 50 社内テ ータ情報 DB 一般公開 HP サーハ 一般公開 HP サーハ 一般公開 HP サーハ 一般公開 HP サーハ 協力会社の社員が社内テ ータを不正に電子メールで社外に持ち出した 企画部の社員が社内テ ータを不正に FD で社外に持ち出した 協力会社の社員が社内テ ータを不正に FD で社外に持ち出した 協力会社の社員が管理用端末を使用して顧客テ ータを持ち出した 第 3 者がショールームの社内端末で社内情報を盗み見た 2 第 3 者から PING 攻撃 2 第 3 者から DoS 攻撃 社内テ ータ 協力会社社員 メール窃盗 1 3 ログ収集及び定期的チェック 協力会社用 ID の設定 社内テ ータ本社社員 FD 窃盗 1 3 ログ収集及び定期的チェック 社員のセキュリティ教育 社内テ ータ 顧客テ ータ 協力会社社員 協力会社社員 FD 窃盗 1 3 ログ収集及び定期的チェック 協力会社用 ID の設定 システム部の管理用端末の不正利用 窃盗 1 3 協力会社用 ID の設定 協力会社社員のセキュリティ教育 テ ータアクセスログの記録 事後対処となる可能性 テ ータアクセスの規制 協力会社社員のメール使用禁止 テ ータアクセスログの記録 事後対処となる可能性 FDドライブを本体より撤去 協力会社社員のセキュリティ教育 テ ータアクセスログの記録 事後対処となる可能性 テ ータアクセスの規制 FDドライブを本体より撤去 ログ収集及び定期的チェック 協力会社社員のセキュリティ教育 テ ータアクセスログの記録 事後対処となる可能性 データの暗号化 暗号化 文書管理ツール (ID パスワード要 ) の導入 社内テ ータ目窃盗 1 3 監視カメラ設置 ハ スワート 付きスクリーンセーバー 一般公開 HP 一般公開 HP インターネット インターネット 不正アクセス 不正アクセス 離席時はログオフ ログオフ忘れ 端末設置場所を隔離 データの暗号化 暗号化 文書管理ツール (ID パスワード要 ) の導入 2 4 ログ収集及び定期的チェック ファイアーウォール 0 パッチ適用 不要サービスの停止 2 4 ログ収集及び定期的チェック ファイアーウォール パッチ適用 未知のウィルスセキュリティホール パッチ未発行のセキュリティホール 未知のウィルスセキュリティホールパッチ未発行のセキュリティホール

11 53 ノートパソコン 本社ビル 2 社員がノートパソコンを不正に持ち出した ノートパソコン 本社社員物理的に窃盗 1 2 PC のビル外持出禁止悪意による持出し 54 社内機密文本社ビル 3 書 第 3 者が社員証を不正に取得し本社に入り込み社内文書を持ち出した 社内 社員証の不正取得 社員のセキュリティ教育 侵入 1 3 監視カメラ設置 IC 内蔵社員証 ( 写真入 ) への移行悪意による持出し

12

13 15 xx xx 15 xx xx