Microsoft PowerPoint - U-7 関西3G_アニメーションなし.pptx

Size: px

Start display at page:

Download "Microsoft PowerPoint - U-7 関西3G_アニメーションなし.pptx"

たいちいくのや
5 years ago
Views:

1 どこまでやるのセキュリティ守るべき情報に応じた情報漏えい対策の検討 2014 年度研究活動関 3 グループ株式会社ノエビアホールディングス松原太けいしんシステムリサーチ株式会社永喜洋

2 ユニシス研究会関 3G についてメンバー構成名所属会社役割松原太株式会社ノエビアホールディングスリーダー永喜洋けいしんシステムリサーチ株式会社サブリーダー室井昭広因幡電機産業株式会社川智治 G&Uシステムサービス株式会社粟野恵介松本靖本ユニシス株式会社アドバイザー中和宏本ユニシス株式会社アドバイザー 2

3 アジェンダ 1. 研究テーマ選定 2. 指すべきゴールとゴールへのアプローチ 3. セキュリティ基準の作成 4. セキュリティ基準の検証 5. まとめ 3

4 研究テーマどこまでやるのセキュリティ選定背景関部はユニシス研究会史上初分野別エントリー式メンバー募集時は情報セキュリティに関する研究ステップ1 ブレインストーミングの会社へWAF(WebApllicationFirewall) 導の提案をしたが上司から却下されたどうすれば良いのか却下理由費 WAF or IPS/IDS 4

5 研究テーマテーマ候補 IE の脆弱性業務効率利便性社のセキュリティ対策の有効性クレジットカードのセキュリティスマートデバイス費対効果情報漏えい組み込み機器セキュリティ災害時の備え 5

6 研究テーマテーマ候補社のセキュリティ対策の有効性業務効率利便性費対効果分? 不分? セキュリティとどちらを優先? どこまで費をかけるべき? 6

7 研究テーマテーマ候補社のセキュリティ対策の有効性基準と較して過不確認! 業務効率利便性不便でも基準通りに! 費対効果費に合わないと思っても基準通りに! 7

8 研究テーマ採るべきセキュリティ対策の基準を作成したい!! セキュリティしなきゃいけないのはわかってるでも時間もないおもないいったいどこまでしたらいいの? 8

9 研究テーマ採るべきセキュリティ対策の基準を作成したい!! セキュリティしなきゃいけないのはわかってるでも時間もないおもないいったいどこまでしたらいいの? 9

10 サブテーマ守るべき情報に応じた情報漏えい対策の検討 10

11 指すべきゴールここまでやるのという答え (3G 基準 ) を出すまとめた基準を誰でもが使えるツールにする条件さえすればしなければならない対策が出るセキュリティ対策の成績表になるようなツールにするセキュリティ対策をポイント換算し条件実施状況をすれば点数が出るそのセキュリティ基準を使ったツールが実際に使えるものかどうかを検証する 11

12 ゴールへのアプローチステップ1 守るべきもの / リスク / 対策のピックアップから始めた個情報新製品情報 Webサイト PC サーバ企業イメージブランドイメージ社員の安全 12

13 サブテーマ守るべき情報に応じた情報漏えい対策の検討某通信教育企業の事件のニュース守るべきもの個情報リスク情報漏えい情報内容利法保管場所等の条件毎に採るべき情報漏えい対策は異なるはず 13

14 ゴールへのアプローチステップ2 個情報にもいろいろ最も価値がいものは? 漏えいした際に最も被害額がいものは? クレジットカード情報国際カードブランド 5 社が共同で作ったセキュリティ基準 PCIDSS(Payment Card Industry Data Security Standards) 14

15 PCIDSS 要件 1 カード会員データを保護するためにファイアウォールを導し最適な設定を維持すること ~ ~ 要件 6 安全性のいシステムとアプリケーションを開発し保守すること要件 12 情報セキュリティに関するポリシーを整備すること 300 個以上のセキュリティ項からなるセキュリティ基準 15

16 セキュリティ基準の作成関 3G が作成するセキュリティ基準 (3G 基準 ) のイメージ条件 A 条件 B 条件 C セキュリティ対策項 1 セキュリティ対策項 2 セキュリティ対策項 3 16

17 セキュリティ基準の作成縦軸 ( セキュリティ対策項 ) PCIDSS 具体的定量的で理解し易いが部我々なりに咀嚼し分かり易い表現に変更 300 以上のセキュリティ対策項類似性の強いものを集約した結果 230 項 17

18 セキュリティ基準の作成横軸 ( 条件 ) 個情報の種類 1 基本情報 : 名住所年性別電話番号 2 機微情報 : 病歴犯歴思想宗教など 3カード情報 : カード番号有効期限セキュリティコード情報の出経路 (Web イントラ) 保存法 ( データベース紙 ) 18

19 セキュリティ基準の作成横軸 ( 条件 ) 個情報なし個情報ありクレシットカート機微情報基本情報 Web イントラ Web イントラ Web イントラ DB 格納あり DB 格納なし DB 格納あり DB 格納なし DB 格納あり DB 格納なし DB 格納あり DB 格納なし紙で保存 DB 格納あり DB 格納なし DB 格納あり DB 格納なし紙で保存 15 条件 19

20 230 項のセキュリティ対策 15 条件 =3, セキュリティ基準の作成条件 A 条件 B 条件 C セキュリティ対策項 1 セキュリティ対策項 2 セキュリティ対策項 3 項 15 条件 20

21 230 項のセキュリティ対策 15 条件 =3, セキュリティ基準の作成条件 A 条件 B 条件 C セキュリティ対策項 1 セキュリティ対策項 2 セキュリティ対策項 3 項 15 条件 21

22 セキュリティ基準の作成メンバー間の意の分かれ 4:0 致 40% 3:1 多数決 42% 2:2 不致 18% 617 件グループ内で討議し 3Gとして意を致させた 3G 基準 (β 版 ) の完成 22

23 セキュリティ基準の検証 3G 基準の妥当性の検証法 & ブラッシュアップ 1サンプル企業に評価を依頼 2-a 3G 基準と致 2-b 3G 基準と不致同意 3 再検討 2-c 3G 基準に不同意 43G 基準に反映 23

24 セキュリティ基準の検証 3G 基準の妥当性の検証サンプル企業 3 社企業基本情報 DB 格納サンプルA 社あり WebサイトありサンプルB 社ありイントラのみありサンプルC 社ありイントラのみあり要件 6(25 項 ) 安全性のいシステムとアプリケーションを開発し保守する妥当性の判断基準判断条件が3G 基準と致しているが3G 基準と不致だが 3G 基準に同意するが3G 基準と不致で 3G 基準に同意しない妥当性妥当である妥当である妥当でない 24

25 セキュリティ基準の検証 3G 基準の評価結果判断条件 / 企業 A 社 B 社 C 社合計が3G 基準と致しているが3G 基準と不致だが 3G 基準に同意するが3G 基準と不致で 3G 基準に同意しない妥当性 88% 72% 64% 75% 不致不同意の項について再討議 25

26 セキュリティ基準の検証不致不同意項の再討議イントラメンバー間の認識相違前提イントラのみのシステムに対して外部からのアクセスはないセキュリティホールをついてまで攻撃をう攻撃者は内部には存在しない要件 6.2 OSおよびソフトウェアの重要なセキュリティパッチをリリース後 1カ以内に適する要件アプリケーション開発において SQLインジェクションに対応したセキュアコーディングをう 26

27 セキュリティ基準の検証 3G 基準の評価結果判断条件 / 企業 A 社 B 社 C 社合計が3G 基準と一致しているが3G 基準と不一致だが 3G 基準に同意するが3G 基準と不一致で 3G 基準に同意しない妥当性 88% 72% 64% 75% 3G 基準の再評価結果判断条件 / 企業 A 社 B 社 C 社合計が3G 基準と一致しているが3G 基準と不一致だが 3G 基準に同意するが3G 基準と不一致で 3G 基準に同意しない妥当性 88% 88% 85% 86%

28 セキュリティ基準の検証不同意の項要件 6.2 OSおよびソフトウェアの重要なセキュリティパッチをリリース後 1カ以内に適する 3G 基準 C 社 B 社要件アプリケーション開発において適切なエラー処理をう ( 具体的なエラー表をせず汎エラーメッセージを表する ) 3G 基準 B 社 C 社 28

29 セキュリティ基準の検証不同意の項企業基本情報 DB 格納サンプルA 社あり WebサイトありサンプルB 社ありイントラのみありサンプル C 社ありイントラのみあり妥当性 100% 存在する? 判断条件 / 企業 A 社 B 社 C 社合計が3G 基準と一致しているが3G 基準と不一致だが 3G 基準に同意するが3G 基準と不一致で 3G 基準に同意しない妥当性 88% 88% 85% 86% 29

30 まとめ成果どこまでやるの個情報に絞り PCIDSSを基に 230 項のセキュリティ対策項 15 条件 3,450の項からなるセキュリティ基準の作成基準の検証同意 = 妥当という考え要件 6(25 項 ) 2 条件の50 項妥当性 86% の信頼できるセキュリティ基準基準のツール化残念ながら 30

31 まとめ成果ご来場の皆さま全項検証済みの信頼できるセキュリティ基準セキュリティ対策状況を評価できるツール関 3Gメンバーセキュリティに関する知識セキュリティに関する意識 31

32 ご清聴ありがとうございました 32

＝ SaaS型総合決済サービス＝「PGマルチペイメントサービス」のご案内

＝ SaaS型総合決済サービス＝「PGマルチペイメントサービス」のご案内加盟店様向けセキュリティセミナー PCIDSS 要件に学ぶセキュリティ対策について ~ 非保持型サービスは安全か? 来るべき非通過型サービスへのパラダイムシフトに備えて~ 2015/8/18 GMOペイメントゲートウェイ株式会社 ITサービス部セキュリティグループ齊藤元彦アジェンダ 1. 情報セキュリティを取り巻く環境 2. 決済サービスにおけるカード情報の流れ 3. 加盟店様にてまずは取り組むべきこと