本日のメニュー 1. 弊社紹介 2. セキュリティチェックシートについて 3. GigaCCで出来る事 4. まとめ PDF 無料ダウンロード

大手 100 社のセキュリティチェックシートから読み解く! ~ 企業が求めるセキュリティ基準の最新トレンドと導入事例 ~ 2016 年 12 月 2 日日本ワムネット株式会社代表取締役社長石澤幸信 -1-

本日のメニュー 1. 弊社紹介 2. セキュリティチェックシートについて 3. GigaCCで出来る事 4. まとめ -2-

弊社紹介会社名設立主要株主事業概要日本ワムネット株式会社 1999 年 8 月株式会社ティーガイア NTT コミュニケーションズ株式会社大容量データ伝送サービスオンラインストレージサービス FAX サーバー -3-

弊社紹介 ( 主なサービス ) 超大容量データ転送サービスファイル送信共有サービス -4-

IPA: 情報セキュリティ 10 大脅威 -5-

セキュリティチェックシートセキュリティチェックシートとはサービスを導入する際自社のセキュリティポリシーに適合するかどうか確認するためのチェック事項大企業金融中心件数は年々増加傾向要求レベルが上がっている ( 厳格さ内容の深さが求められる ) -6-

セキュリティチェックシートセキュリティチェックシート項目例電源冗長化震災対策 DR サイトの有無脆弱性検査データセンターデータの保管場所システム回線の冗長化サーバ内通信経路暗号化第 3 者認証取得入退出管理不正侵入の検知 -7-

セキュリティチェックシート直近の傾向以前は個人情報中心最近はそれに加えインフラ設備に関する項目増 -8-

セキュリティチェックシート項目例データの持ち出しについての対策がされているか業務に関係のない者が勝手に DC に入館できないようにどういった仕組みを持っているかアプリケーションと NW の脆弱性検査を定期的に実施しているか DC の地震対策停電対策をどのように行っているか -9-

セキュリティチェックシートセキュリティチェックシートは規格等を基に作成されることが多いどういったものがある? 違いは? -10-

セキュリティチェックシート ( 参照規格例 ) 1. プライバシーマーク認定機関一般財団法人日本情報経済社会推進協会 (JIPDEC) 概要個人情報保護マネジメントシステム個人情報の適切な取り扱い体制が整備されている事業者を認定する制度適用規格 JIS Q 15001:2006-11-

セキュリティチェックシート ( 参照規格例 ) プライバシーマークの要点個人情報取得の際利用目的の通知同意の取得同意した内容通りの利用取得した個人情報の安全かつ正確な管理個人情報を他社に委託する場合の業者選定管理監督個人情報保護方針 ( プライバシーポリシー ) として Web サイトなどに公表 -12-

セキュリティチェックシート ( 参照規格例 ) 2.ISMS 認定機関一般財団法人日本情報経済社会推進協会 (JIPDEC) 概要情報セキュリティマネジメントシステム組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること -13-

セキュリティチェックシート ( 参照規格例 ) 2.ISMS 適用規格 JISQ27001:2014 (ISO/IEC27001:2013) 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項構成 114 項目の詳細管理策 -14-

セキュリティチェックシート ( 参照規格例 ) ISMS の要点情報の機密性完全性可用性の維持かつリスクを適切に管理しているという信頼を利害関係者に与えることが求められる機密性許可されていない個人エンティティ又はプロセスに対して情報を使用させずまた開示しない特性完全性正確さ及び完全さの特性可用性認可されたエンティティが要求したときにアクセス及び使用が可能である特性 -15-

セキュリティチェックシート ( 参照規格例 ) 3. 安全なウェブサイトの作り方発行元独立行政法人情報処理推進機構 (IPA) 概要 IPA が届出を受けた脆弱性関連情報を基に届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料 -16-

セキュリティチェックシート ( 参照規格例 ) 安全なウェブサイトの作り方要点ウェブアプリケーションの各脆弱性の対策内容を記載したチェックリストがありセキュリティ実装の対応状況を確認する事が出来る例 SQL インジェクション OS コマンドインジェクションやクロスサイトスクリプティング等 -17-

セキュリティチェックシート ( 参照規格例 ) 4.ISMS クラウドセキュリティ認証 ISMS を取得していることが前提認定機関一般財団法人日本情報経済社会推進協会 (JIPDEC) 概要 2016 年 8 月 1 日に開始されたクラウドサービスの情報セキュリティ規格 (ISO/IEC 27017) のガイドラインに沿ったクラウドサービスの情報セキュリティ管理を満たしている組織を追加の扱いで認証する仕組み -18-

セキュリティチェックシート ( 参照規格例 ) 4.ISMS クラウドセキュリティ認証適用規格 JIP-ISMS517-1.0 ISO/IEC27017:2015 に基づく ISMS クラウドセキュリティ認証に関する要求事項構成 114 項目 +44 項目の詳細管理策から構成されている 114 項目は ISMS と同じ内容 44 項目はクラウド認証で追加された管理策 -19-

セキュリティチェックシート ( 参照規格例 ) ISMS クラウドセキュリティの要点 ISMS に基づいたものでクラウドサービス固有の情報セキュリティ脅威及びリスクに対処するために追加の管理策を提供するものクラウドサービス固有のリスク項目追加 ( 方針役割教育特権的アクセス権暗号鍵管理ネットワーク分離責任及び手順脆弱性管理バックアップ等 ) カスタマーとプロバイダーの概念 -20-

セキュリティチェックシート ( 参照規格例 ) 5.FISC( 金融機関等コンピュータシステムの安全対策基準 ) 発行元公益財団法人金融情報システムセンター (FISC) 概要構成主に金融機関が情報システムを利用するための指針となる安全対策基準自主基準であるため強制力はなく第三者機関等による認定制度もない設備基準 (138) 運用基準 (120) 技術基準 (53) の合計 311 項目で構成 -21-

セキュリティチェックシート ( 参照規格例 ) FISC の要点 ( 頻度が高いヒアリング項目例 ) データの所在 SLA( サービスレベル合意書の締結 ) 情報開示再委託先管理データ暗号化データ消去立入監査再委託先監査 -22-

セキュリティチェックシート ( 参照規格例 ) ISMS と FISC の比較 FISC の安全対策基準のほうが具体的な要求が含まれているため厳しい -23-

セキュリティチェックシート例えば ISMS A.12.3.1 情報のバックアップ情報ソフトウェア及びシステムイメージのバックアップは合意されたバックアップ方針に従って定期的に取得し検査しなければならないつまり DR サイトの構築までは要求されていない FISC 技 25 バックアップサイトを保有すること -24-

GigaCC で出来る事サービスの導入においてセキュリティチェックシートは第一関門突破すると機能要件の合致が求められますそんな中選定のポイントとなる機能をピックアップしてご紹介します -25-

GigaCC で出来る事 GigaCC ASP/OFFICE( オンプレ版 ) とは約 20 万人が利用する純国産の企業向けオンラインストレージですファイル送受信ファイル共有 -26-

GigaCC で出来る事 ASP 版オンプレ版充実の管理運用セキュリティ機能 -27-

GigaCC で出来る事 Case1 大学病院様 (GigaCC オンプレ版 ) での事例現状症例や研究内容医療プロジェクトでの情報共有は俗人的にファイル共有ツールを利用課題セキュアな共通のファイル共有ツールがないトレース対策ができていない ( 誰がいつどんなファイルをやり取りしたか ) -28-

GigaCC で出来る事 Case1 大学病院様 (GigaCC オンプレ版 ) での事例要求ポイント 1: 柔軟なアクセスコントロール関連文書 ISMS :A.6.1.2 A.9.1.1 A.9.2 全般等 FISC : 運用基準 16 運用基準 18 等 GigaCC で出来ることアクセス権の設定フォルダ ( ディレクトリ ) にアカウント毎の読み :R 書き :W 閲覧 :V 削除 :D のアクセス権設定 CSV ファイルでの一括登録 -29-

GigaCC で出来る事 Case1 大学病院様 (GigaCC オンプレ版 ) での事例要求ポイント 2: 履歴ログ管理関連文書 ISMS 明記はされていないが運用ルールが遵守されている証拠として記録 ( ログ等 ) の開示を求められる GigaCC のログ管理ファイル伝送時共有時管理サイト利用時の全てのアクションファイル伝送時の関連情報ファイル容量有効期限 URL 情報アクセス元グローバルIPアドレス -30-

GigaCC で出来る事 Case1 大学病院様 (GigaCC オンプレ版 ) での事例ログ検索ログ検索条件の記録ログ検索結果 (CSV) いつ誰が何処に何を何処から成功 / 失敗 -31-

GigaCC で出来る事 Case1 大学病院様 (GigaCC オンプレ版 ) での事例効果 1. アクセスコントロール柔軟なアクセス権設定変更の自動化 2. 内部統制対応管理者を含む全ユーザ全アクションのログ履歴取得 ( 監査対策も可能 ) 3. アーカイブ全トランザクションデータのアーカイブ -32-

GigaCC で出来る事 Case1 大学病院様 (GigaCC オンプレ版 ) での事例キャンパス内における医療情報等の共有医療現場 A 医療現場 B アップロードアップロード GigaCC OFFICE サーバ全トランザクションデータのアーカイブ領域ダウンロード医療情報の研究者 ( 含む学生 ) -33-

GigaCC で出来る事 Case2 大手人材会社様 (GigaCC オンプレ版 ) での事例現状セキュリティ強化の一環で VDI 環境を構築課題異なるネットワーク環境でファイルの受渡しを安全に実行できるツールがない 2 段階承認できる機能がない誰がいつ利用したか不明確である -34-

GigaCC で出来る事 Case2 大手人材会社様 (GigaCC オンプレ版 ) での事例要求ポイント 1: 承認のワークフロー関連文書 ISMS A.13.2 FISC 運用基準 25 情報の持ち出しに厳しいユーザは上長機能を重視する傾向 GigaCC で出来ること様々なワークフローパターンの設定全承認任意承認代理承認スキップ機能承認状態の把握任意階層数任意承認者の設定 -35-

GigaCC で出来る事 Case2 大手人材会社様 (GigaCC オンプレ版 ) での事例 -36-

GigaCC で出来る事 Case2 大手人材会社様 (GigaCC オンプレ版 ) での事例要求ポイント 2: 分離されたネットワーク間でのセキュアな受渡し関連文書 ISMS A.13.2 FISC 運用基準 25 GigaCC で出来ること承認ワークフロー宛先制限 IP アドレス制限履歴ログ管理ファイル自動削除 -37-

GigaCC で出来る事 Case2 大手人材会社様 (GigaCC オンプレ版 ) での事例効果 1. 安心のセキュリティ ( 承認制限等 ) 2 段階承認宛先制限 IP アドレス制限等による不正アクセス対策 2. 内部統制対応管理者を含む全ユーザ全アクションのログ履歴取得 ( 監査対策も可能 ) -38-

GigaCC で出来る事 Case2 大手人材会社様 (GigaCC オンプレ版 ) での事例ネットワーク分離環境下でのファイル共有業務系ネットワーク ( 個人情報あり ) 承認者 1 担当者 A GigaCC OFFICE サーバ標準系ネットワーク ( 個人情報なし ) 担当者 A 承認者 2 承認依頼メール 12 承認 / 否認 2 段階承認ネットワーク分離環境 -39-

まとめセキュリティチェックシート : 自社のセキュリティポリシーに適合するかのチェックセキュリティシート参照規定例 : 1プライバシーマーク 2ISMS 3 安全なウェブサイトの作り方 4ISMSクラウドセキュリティ認証 5FISC ( ) 出典 :ITR ITR Market View: ファイル共有転送市場 2015/2016 GigaCC: セキュリティ規定に準拠した国産オンラインストレージ (ASP/ オンプレ版 ) -40-

日本ワムネット株式会社ソリューション営業部 TEL:03-5117-2150 Mail:japan.sales@wamnet.jp -41-