クラウドサービス利用のための 情報セキュリティセミナー ISO マネジメント研究所
あなたにも こんなメールがくる!? 会社の上司が 部下に対して送付したメールを装っています ファイルとは その会社の重要な機密情報を意味しています CopyrightcIso-mi. All rights reserved 2
情報セキュリティの 3 要素 1. 機密性 2. 完全性 3. 可用性 CopyrightcIso-mi. All rights reserved 3
情報セキュリティとは? 情報セキュリティとは である CopyrightcIso-mi. All rights reserved 4
経産省が示したガイドライン 参照 :2011 年 4 月 1 日経済産業省の HP より 経済産業者は クラウドサービスを安全に安心して利用するためにガイドラインを策定した 本ガイドラインは クラウド利用者が クラウドサービス利用の際に 情報セキュリティ対策の観点から活用することを企図した 本ガイドラインは 情報セキュリティマネジメントの国際規格 (ISO/IEC27002:2005) をベースに策定した CopyrightcIso-mi. All rights reserved 5
ISO とは? ISO は 各国独自の規格 ( たとえば 日本では JIS 規格 ) とは違い 世界共通の規格です ISO: 国際標準化機構 ( 本部 : ジュネーブ ) (International Organization for Standardization) 1947 年に設立され 現在は加盟国 162 カ国あり 国際標準化を推進する非政府組織 公共部門と民間部門の橋渡しを行う役割 規格は任意規格で強制 ( 規制 ) ではない 物の規格 写真フィルム感度 ネシ の形状 クレシ ットカート の寸法 タイヤ 非常燈の出口のマーク 等 仕組みの規格 ISO9001 品質マネシ メントの国際規格 ISO14001 環境マネシ メントの国際規格 ISO27001 情報セキュリティマネシ メントの国際規格 CopyrightcIso-mi. All rights reserved 6
ISO の審査制度 認定機関と ISO との関係は直接はない ISO は規格を作成し 認定機関はその規格の認定認証活動をするという関係 ISO( 国際標準化機構 ) 非営利組織 認定機関 ( 日 JAB) 認定機関 ( 英 UKAS) 認定機関 ( 米 ANAB) 審査機関は認定機関から認証を受ける必要がある 審査機関 企 認証 業 登録 認証 登録 審査機関 企 認証 業 登録 審査機関 企 認証 業 登録 申請申請申請 審査審査審査 認定機関は各国 1 機関 ( 日本では非営利法人のJAB) どの認定機関 どの審査機関を経てもよい ISOの審査機関は 民間 公的 非営利組織を含め 62 機関ある 企業はどの審査機関を選んでもよい CopyrightcIso-mi. All rights reserved 7
ISO/IEC 27002 とは? ISO/IEC27001(JIS Q 27001) 情報セキュリティマネシ メントシステム - 要求事項 1. 適用範囲 2. 引用規格 3. 用語及び定義 4. 情報セキュリティマネシ メントシステム 5. 経営陣の責任 6.ISMS 内部監査 7.ISMS のマネジメントレビュー 8.ISMS の改善 付属書 A 管理目的及び管理策 ISO/IEC27002(JIS Q 27002) 情報セキュリティマネジメントの実践のための規範 1. 適用範囲 2. 用語及び定義 3. 規格の構成 4. リスクアセスメント及びリスク対応 5. 情報セキュリティ基本方針 6. 情報セキュリティのための組織 7. 資産の管理 8. 人的資源のセキュリティ 9. 物理的及び環境的セキュリティ 10. 通信及び運用管理 11. アクセス制御 12. 情報システムの取得 開発及び保守 13. 情報セキュリティインシデントの管理 14. 事業継続管理 15. 順守 CopyrightcIso-mi. All rights reserved 8
具体的なガイドラインの中身 組織的管理事項 セキュリティ基本方針経営者による組織横断的なセキュリティ基本方針の発行 及び支援について規定 人的資源のセキュリティ人的問題によるリスクを軽減するため 業務責任 採用時の審査 採用条件 教育などについて規定 技術的管理事項 物理的及び環境的セキュリティ入退出管理 施設 ( 事務所など ) 装置の設置などのセキュリティについて規定 情報セキュリティのための組織 内部組織対応責任権限の割り当て 秘密保持契約の手順 他組織との情報交換方法について規定 外部組織対応顧客対応におけるセキュリティ 第三者との契約についての規定 通信及び運用の管理情報処理システムの管理 運用を安全に実施するため 操作手順書の整備 運用の変更管理 セキュリティ問題管理 不正ソフトウェア対策 バックアップ 媒体の取扱い 監査ログの取得などについて規定 情報セキュリティ事件 事故のマネジメント事件 事故に対し 効果的な取組みを直ちにかつ確実に実施するために その報告や管理について規定 資産の管理組織の資産を保護するための資産目録や資産 ( 情報 ) 分類について規定 アクセス制御情報へのアクセス制御 利用者のアクセス管理 特権管理 ネットワークにおけるアクセス制御などについて規定 事業継続管理情報システムの重大な故障又は災害などにおける事業継続管理について規定 順守 ( コンプライアンス ) 知的所有権 記録の保管 個人情報保護など法的要求事項への適合について規定 情報システムの調達 開発及び保守セキュリティを考慮した調達 開発 運用のため システムへのセキュリティ要件や業務プログラムに対するセキュリティ要件情報の暗号による管理策などについて規定 CopyrightcIso-mi. All rights reserved 9
ISO/IEC27001 の概要 基本方針 リスクアセスメントの実施 管理策の選択 残留リスクの承認 ISMS 導入運用許可 1Plan (ISMS の確立 ) 2Do リスク対応計画の策定 実施 教育訓練 運用管理 経営資源の管理 事件 事故の検出 対応 改善策の実施 是正 予防の実施 改善目標の達成 4Act 3Check 運用監視 ISMS の定期的な見直し リスクの見直し 内部監査実施 マネシ メントレヒ ュー実施 CopyrightcIso-mi. All rights reserved 10
クラウド利用者が行うべきこと 1. 情報セキュリティの仕組みを整備すること 2. クラウド利用者のみでは行うことができない管理策 ( 対応策 ) を認識し クラウド事業者に対して情報を求めること ( 要求及び期待 ) クラウド利用者 ガイドライン クラウド事業者 要求事項及び期待 運営管理された情報セキュリティ CopyrightcIso-mi. All rights reserved 11
ガイドラインが求める事項の全体図 利用者 顧客 取引先 運営管理された情報セキュリティ 要求事項及び期待 ISMS の確立 クラウド利用者 Plan Do ISMS の導入及び運用 要求事項及び期待 クラウド事業者 ISMS の維持及び改善 Act Check ISMS の監視及びレビュー 運営管理された情報セキュリティ Plan Act Do Check リスクアセスメント 管理と責任の変化の検討 リスク受容レベル 組織のリスク受容レベルとの比較 管理策の選択 JISQ27002 などから選択 責任の明確化 クラウド利用者と事業者双方による管理策の実施 CopyrightcIso-mi. All rights reserved 12 参考 : 経済産業省クラウト 利用のための情報セキュリティマネシ メントカ イト ライン
ガイドラインの具体的な中身 1 管理策 (5.1.1 情報セキュリティ基本方針文書 ) 情報セキュリティ基本方針文書は 経営陣によって承認され 全従業員及び関連する外部関係者に公表し 通知することが望ましい クラウド利用者のための実施の手引 クラウド利用者は 情報セキュリティ基本方針にクラウドサービスを利用している旨を記載する必要はないが クラウドサービスを利用している場合には 自らの基本方針とクラウド事業者の基本方針を比較し その差異について検討することが望ましい クラウド利用者は クラウド事業者が適切な情報セキュリティ基本方針に反しない管理を行っていることを確認し その旨を経営陣 ( 又は情報セキュリティ委員会 ) に報告することが望ましい クラウド事業者の実施が望まれる事項 クラウド事業者は 情報セキュリティ基本方針をクラウド利用者に明示することが望ましい CopyrightcIso-mi. All rights reserved 13
ガイドラインの具体的な中身 2 管理策 (9.1.5 セキュリティを保つべき領域での作業 ) セキュリティを保つべき領域での作業に関する物理的な保護及び指針を設計し 適用することが望ましい クラウド利用者のための実施の手引 クラウド利用者は, クラウドサービスを利用する場合に セキュリティを保つべき領域が拡大しないか確認し セキュリティを保つべき領域が拡大する場合は 作業に関する物理的な保護及び指針を設計し 適用することが望ましい クラウド事業者の実施が望まれる事項 クラウド事業者は クラウドサービスによって クラウド利用者の利用環境を拡大させるような機能が存在する場合は その機能を開示することが望ましい ( 例モバイルコンピューティングからの利用が可能になる など ) CopyrightcIso-mi. All rights reserved 14
ガイドラインの具体的な中身 3 管理策 (7.1.1 資産目録 ) すべての資産を明確に識別し また 重要な資産すべての目録を作成し 維持することが望ましい クラウド利用者のための実施の手引 クラウド利用者は 資産目録の管理場所の項目にクラウドサービス名 クラウド事業者名を追加することが望ましい クラウド事業者の実施が望まれる事項 クラウド事業者は クラウドコンピューティング環境にあるクラウド利用者の資産に関する資産目録の一覧が取得できるインタフェースをクラウド利用者に提供することが望ましい CopyrightcIso-mi. All rights reserved 15
具体的な適用方法
リスクアセスメント及びリスク対応 STEP1 情報資産目録 ( 台帳 ) の作成 1. 情報の分類を決定 2. 管理責任者を決定 3. 資産価値を決定 4. 情報資産台帳へ記入 STEP2 リスクアセスメントの実施 1. 情報資産のク ルーフ 化 2. 脅威の特定 3. ぜい弱性の評価 4. リスクの算定 リスク算定後の対応 リスク対応 ( リスクの低減 回避 移転 保有 ) CopyrightcIso-mi. All rights reserved 17
情報資産の分類を決定 情報資産の分類紙情報電子データハードウェア資産ソフトウェア資産 具体的な資産例 経営資料 人事資料 開発計画 顧客情報等 顧客テ ータ 経営テ ータ 上記の電子情報等 サーバ PC ルータ ファクシミリ ネットワーク機器 電源設備等 市販ソフト 業務用ソフト グループウェア等 資産洗い出しの目的は 適切なセキュリ ティ対策を決めることで 詳細な資産目録を作成することではない! CopyrightcIso-mi. All rights reserved 18
情報資産の価値評価 1 資産価値 評価基準 情報の機密性喪失による影響 ( 機密レベル ) 情報の完全性喪失による影響 1 影響は小さい ( 公開可能 ) 影響は小さい 2 影響は大きい ( 社外秘 ) 影響は大きい 3 影響は重大 ( 関係社外秘 ) 影響は重大 情報システムの可用性喪失による影響 1 日程度の停止が許容される 1 時間程度の停止が許容される 99.9% の利用が要求される 情報に関しては機密性 システムやハードウェアに関しては可用性を重点に評価するとよい! CopyrightcIso-mi. All rights reserved 19
情報資産の価値評価 2 資産価値 5 特別企業機密 別に取扱い規定がある場合には適用外としても可 資産価値 4 顧客情報 資産価値 3 極秘 資産価値 3 関係者外秘 資産価値 2 関係者外秘 資産価値 2 社外秘 資産価値 1 社外秘 資産価値 1 公開資料 管理対象にする必要はない 資産価値の評価項目が多ければ 正確に算定できるとは限らない CopyrightcIso-mi. All rights reserved 20
情報資産目録 ( 台帳 ) の作成 CopyrightcIso-mi. All rights reserved 21
情報資産のク ルーフ 化 1. 資産価値に応じてク ルーフ 化 2. 保管形態や取扱いに応じてク ルーフ 化 例 ) 資産価値 3: 契約書 顧客情報 社員関連情報 等 経営関連情報資産価値 2: 営業関連資料 運営管理資料 各種マニュアル 等 業務関連情報資産価値 1: 購入関連資料 請求書 総務関連資料 等 総務関連情報 CopyrightcIso-mi. All rights reserved 22
リスクの想定 リスクの想定は 対象とする情報資産が 機密性 ( 許可されたものだけがアクセスできるか ) 完全性 ( 完全及び正確であるか ) 可用性 ( 必要な時 必要な人が使えるか ) が失われたらどういう状態かを考えてみること 例 : 顧客データ 機密性が失われたら 情報の漏えい 完全性が失われたら 情報の改ざん ここをリスクとして想定する 可用性が失われたら システム停止 情報の紛失 CopyrightcIso-mi. All rights reserved 23
脅威の特定 脅威の分類人為的意図的脅威 ( 攻撃 ) 人為的偶発的脅威技術的脅威環境的脅威 具体的な脅威例 不正アクセス 不正ソフトウェア 利用者の意図的違反 権限の乱用 機器の盗難 通信の盗聴 サービス妨害攻撃 操作ミス 設定ミス 保守ミス 媒体の紛失 情報取扱い上の不注意 機器の故障 誤動作 ソフトウェアのバグ 情報システムへの過負荷 能力 容量の低下 停電 空調の停止 通信サービスの停止 地震 洪水 火災 広域事故 気候 温湿度 電磁放射 参考 :ISMS ユーザーガイド - リスクマネジメント編 ISO/IEC27005 付属書 C CopyrightcIso-mi. All rights reserved 24
ぜい弱性の特定 ぜい弱性の分類ハードウェアソフトウェアネットワーク組織 要員サイト 具体的なぜい弱性の例 不十分な受入れ試験 保守 管理 廃棄時の注意欠如 不十分な試験 不十分なアクセス権 パスワード管理 手順書の不備 複雑な利用者インターフェース 公知のソフトウェア欠陥 不要サービスの実行可能 保護されていない通信回線 送受信の識別 認証の欠如 単一障害点のある構成 不適切なネットワーク管理 次における不備または欠如教育訓練 利用者管理 情報取扱い手順 インシデント管理 第三者との契約等 入退室管理の不備 災害対策の不備等 参考 :ISMS ユーザーガイド - リスクマネジメント編 ISO/IEC27005 付属書 C CopyrightcIso-mi. All rights reserved 25
脅威の評価 脅威のレベル 定義脅威の発生頻度 ( 自社を基準として ) 1 脅威が小発生の可能性が小さい 2 脅威が中発生の可能性がある 3 脅威が大発生の可能性が大きい たとえば 不正アクセスの発生が 今までないとすれば 発生の可能性が小さい 脅威は小さいと考える ( 但し 状況が以前と変わっている場合はそれを考慮すること ) CopyrightcIso-mi. All rights reserved 26
ぜい弱性の評価 ぜい弱性のレベル 定義 1 ぜい弱性が小 2 ぜい弱性が中 3 ぜい弱性が大 自社におけるセキュリティ対策の実施状況 適切な管理策が講じられており 問題が発生しにくい 管理策は講じられているが 脅威によっては問題が発生しやすい 改善の余地がある 管理策が講じられておらず 問題が発生しやすい 評価は 実施している既存の管理策及び実施予定の管理策を考慮する CopyrightcIso-mi. All rights reserved 27
リスクの算定 脅威のレベル ぜい弱性のレベル 資産価値 1 2 3 1 2 3 1 2 3 1 2 3 1 3 4 5 4 5 6 5 6 7 2 4 5 6 5 6 7 6 7 8 3 5 6 7 6 7 8 7 8 9 リスク算定 ( リスクレヘ ル ) = 資産価値 + 脅威のレヘ ル + ぜい弱性のレヘ ル リスク対応が必要 ( リスク値 7 以上とした場合 ) CopyrightcIso-mi. All rights reserved 28
リスク対応リスクの発生可能性リスク保有 リスク発生の際の損害度低高リスク回避 ( リスクのある状況から撤退すること ) リスク低減 ( セキュリティ対策を講じることにより 脅威発生の可能性を下げること ) リスク移転 ( リスクを他社などに移すこと ) 小大 CopyrightcIso-mi. All rights reserved 29
具体的なリスクアセスメントの記入例 CopyrightcIso-mi. All rights reserved 30
ご静聴 ありがとうございました! 連絡先 : ISO マネジメント研究所所長 : 人見隆之 279-0026 千葉県浦安市弁天 1-21-8-204 TEL:047-354-5145 FAX:047-355-6507 E-mail:hitomi@iso-mi.com http://www.iso-mi.com