Microsoft PowerPoint - am2_shimakura.ppt [互換モード]

出社してから退社するまで中小企業の情報セキュリティ対策実践手引きの活用嶋倉文裕 JNSA 西日本支部 2011 年 10 月 5 日

JNSA 西日本支部の中小企業セキュリティ活動経済産業省中小企業情報セキュリティ対策促進事業 IPA 推進 WG 参加 / セミナー講師対応リスク対策 WG の成果の取り込み協力関係の輪中小企業の情報セキュリティ対策に関する研究会委員参加中小企業の情報セキュリティ対策ガイドライン普及検討 WG ( 自社診断シート ) 委員参加 (WG2) 委員参加クラウドセキュリティ WG JNSA 西日本個人情報保護 WG 情報セキュリティチェックシート WG 出社してから退社するまでのリスク対策 WG 委員参加手引書作成情報セキュリティチェックシートWG 個人情報保護法完全施行改正不正競争防止法施行改正不正競争防止法施行ウィルス罪施行 Smart Phone iphone 発売 Android 発売 Windows Phone 7 発売 Cloud and Social Media Amazon S3 Twitter Amazon EC2 Google App Engine FaceBook 日本語版 2 1 12 1 12 1 12 1 12 1 12 1 12 2005 年 2006 年 2007 年 2008 年 2009 年 2010 年 2011 年 Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 1

これまでの活動で認識した中小企業の限界これまでの活動から見えた中小企業のセキュリティトラブル経験がなく自社は大丈夫と考えている情報セキュリティを理解できる人がいない SI er ベンダーに丸投げ情報資産の保管格納場所さえ分からないこのような状況でリスク対策が企業にとって重要であるかを理解させることができるか? Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 3

リスクアプローチ手法資産管理台帳からのアプローチ企業の保有する情報資産を洗い出しその資産に対するリスク分析評価をおこなうアプローチシステム管理者資産の管理者だけで洗い出しが可能ただしファイルサーバなどで集約的に管理されていなければ難しい資産の名称が同じでも業種企業部署個人により内容は異なる資産の管理が不十分な場合洗い出しが困難洗い出しの粒度が細かくなりがち Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 5

リスクアプローチ手法実は情報セキュリティチェックシートWG で情報資産管理台帳の洗い出しのアプローチを試みたが固定資産台帳との区別がつかない業界特有の資産名を例示しないと理解ができないなどの事実がわかりましたなどの事実がわかりました当時の活動の詳細中小企業の情報セキュリティ対策支援 WG 活動報告書 http://www.jnsa.org/result/2008/west/0812report.pdf pdf Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 6

リスクアプローチ手法業務からのアプローチ企業の持つ業務プロセスを洗い出しその業務プロセスを構成する各業務に対するリスク分析評価をおこなうアプローチそれぞれの業務を行う担当者が業務を洗い出す必要がある業種企業部署個人によって業務はそれほどに変わらない例 : 業務の捉え方にもよるが PC を利用した書類の作成共用ファイルサーバへの情報格納など仕事のやり方に着目すると変わらないと考える Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 7

出社してから退社するまでのリスク対策 WG 出社してから退社するまでのリスク対策 WG が考えたこと中小企業では十分な資産の洗い出しをすることが難しい業務からアプローチする方がリスクと紐付けし易い ( 資産価値の把握は困難になるが ) トラブル経験がなく自社は大丈夫と考えている中小企業にとっててセキュリティ対策の契機となる可能性がある日常の業務のなかでヒューマンエラーを少なくする仕組みと社員の意識の向上やスキルアップ Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 9

業務からのアプローチ手法大きく 5 つの日常サイクルと 2 つの特別な業務に分類日常サイクル出社出社時の会社への入館方法の入館方法社内社外退館退出帰宅特別な業務人事管理社内の仕事の仕方社外の仕事の仕方会社をでるときの振る舞い退館方法自宅での仕事の仕方や家族との会話入社退職人事評価システム管理システム管理者の仕事 Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 10

業務からのアプローチ手法洗い出した業務 IT 系の業務セキュリティエリアへのアクセス PCの起動ログイン PCを使用した業務 PC 媒体の廃棄処分メールの受信確認メールの送信 ( 本文 ) メールの送信 ( 添付 ) PC による文書の保存 PCによる文書の作成 PCによるプリンタの使用共有サーバの利用 WEBサイトへのアクセスインターネットで収集した情報の利用外部サービスを利用したファイル交換 Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 12

業務からのアプローチ手法リスクの洗い出し方法洗い出した業務と情報を保存処理する場所よりリスクを洗い出し脆弱性に起因する要素 ( 人が何処何処で何々する ) 業務情報を保存処理する場所対象業務 ( 人が何々する ) そ業ア U 建部の務物屋キャネップ S 表業をリ B ( 務管ビ机 P サー示ト入エケー他を理りリネモ紙 (ッ上 C バワーすす口アショニ媒タるるトク体 )他 )人人ンプリンタ F A X コピー機ゴ会電ミ話話箱携帯電話ホワイトボードファ宅委イ廃配託ル棄業交業郵 (換者(送 (等外外 (サ外サ )外)ササ ))出社入館社内セキュリティエリアへのアクセス PC の起動ログイン Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 14

業務からのアプローチ手法リスクの洗い出し方法目標とするセキュリティ要件現状のセキュリティレベルから想定するリスク事象を書き出す脆弱性に起因する要素 ( 人が何処何処で何々する ) 業務 ( 人が何々する ) セキュリティ要件 ( 目的 ) 現状のセキュリティレベルリスク事象 ( リスクシナリオ ) 出社入館許可されていない第三者のアクセスを防止する従業員かどうかを識別認証する仕組みが無い社員以外の人間が社員になりすまし入館する社内セキュリティエリアへのアクセス許可されていない部外者のアクセスを防止する取り扱う情報の種類重要度に応じたエリア分けがされていない許可されていない人間が権限者になりすましセキュリティエリアに入る許可されていない部外者のアクセスを防止する入退室記録が無い重要な情報を扱うエリアへの入退室記録が無く情報漏えい発生後事件を追跡できない PC の起動ログイン情報への許可されないアクセスを防止する情報へのアクセスを特定する PC に自動ログインの設定を行っている共通 ID を利用している利用者権限を持たない者が PC にアクセスでき PC から利用できる情報を漏えいしてしまう共通 ID を利用しているため個人を特定するログを残せないまたパスワードの漏えいする可能性が高い情報への許可されないアクセスを防止するパスワードが簡単なため覗き見で判ってしまうパスワードをメモとして書き貼り付けているログオン時の覗き見やパスワードをメモ書きし貼り付けていることによりパスワードが漏えいし重要情報に不正アクセスされる Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 15

業務からのアプローチ手法対策の検討リスクから対策を検討そのさい技術と人の両方を考える脆弱性に起因する要素 ( 人が何処何処で何々する ) 業務 ( 人が何々する ) 対策の仕組み対策 ( 技術的 ) 対策 ( 人的 ) 出社社内入館セキュリティエリアへのアクセス PC の起動ログイン社員証入館システム (ID カードバイオ認証パスワード認証 ) 警備員社員用と外部用の入り口従業員に個人を特定できる社員証を与え入館が分離されている無人受付があるセキュリティシステムでチェックするカメラゾーンニング ( エリア分け ) 入室システム(IDカー取り扱う情報の重要度に応じたエリア分けをしドバイオ認証パスワード認証 ) セキュリティカシステム的に入退室管理をするメラ入退室システムセキュリティカメラシステム的に入退室記録 ( ログ ) を残すシステム特権をユーザアカウントに与えない自動ログインをさせないツールの導入自動ログインの設定をやめる利用者ごとのIDの作成自動ログインの設定を解除しユーザアカウントから特権を除去する利用者ごとの ID の作成従業員に個人を特定できる社員証を与え人がチェックする取り扱う情報の重要度に応じたエリア分けをし規程等ルールで入退室管理をする入退室の担当者が入退室者の入退室記録を管理台帳に記入する自動設定を許可しない旨のルールの作成適当な強度 (8 文字以上英数字記号の組み合わシステムのパスワードポリシーを設定しユーザにパスワード文字数文字列の組み合わせ変更文字列の組み合わせせ ) を持つパスワードを設定できるIDを作成し定強制的に複雑なパスワード定期的パスワードの周期等についてのパうワードポリシーをルー期的に変更するの変更をさせるル化しユーザに周知徹底するパスワードを書いた紙を人目にさらさない Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 16

業務からのアプローチ手法対策が実行されているかのチェック対策を導入したあとそれが的確に実行されているかチェックするポイントも考える脆弱性に起因する要素 ( 人が何処何処で何々する ) 業務 ( 人が何々する ) 対策 ( 技術的 ) 対策 ( 人的 ) 対策のチェックポイント出社社内入館セキュリティエリアへのアクセス従業員に個人を特定できる社員証を与え入館従業員に個人を特定できる社員証を与え人が退職人事異動した社員の社員証のたな卸しを社員証たな卸システムでチェックするチェックする定期的におこなう取り扱う情報の重要度に応じたエリア分けをしシステム的に入退室管理をする取り扱う情報の重要度に応じたエリア分けをし規程等ルールで入退室管理をする入退室 ( エリア ) のアクセス権限表の確認および実際のカードでの確認システム的に入退室記録 ( ログ ) を残す入退室の担当者が入退室者の入退室記録を管理台帳に記入するシステムのログまたは入退室管理台帳の確認 PC の起動ログイン自動ログインの設定を解除しユーザアカウントから特権を除去する自動設定を許可しない旨のルールの作成 PC の自動設定がされていないことを確認する利用者ごとの ID の作成システムまたは PC のアカウントの設定を確認するシステムのパスワードポリシーを設定しユーザにパスワード文字数文字列の組み合わせ変更文字列の組み合わせ強制的に複雑なパスワード定期的パスワードの周期等についてのパうワードポリシーをルーシステムのパスワードポリシーを確認するの変更をさせるル化しユーザに周知徹底する Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 17

手引書へのまとめこの取り組みの結果を手引書にまとめましたましただし WGでは紙媒体のリスクについても検討しましたが手引書では対象がIT または対策が IT で可能なものとしそれ以外は省いています http://www.jnsa.org/result/2010/chusho_security_tebiki.html Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 18

手引書と WG の違い手引書で省いたもの (1) 対象が紙物に関するもの (2) 電源空調等の設備管理に関するもの (3) 対策できないもの対策が中小企業レベルでは難しいもの経営者システム管理者等の権限者の不正 DoS 攻撃 (4) 個人情報保護に関するもの手引書では参考 (5) 委託管理に関するもの資料を提示 (6) 対策が教育啓蒙になるもの手引書では記憶媒体 PCの持ち出し廃棄などを盛り込んでおり紙についても同様なシーンのリスクの把握は可能 Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 19

手引書の体系第 1 部情報セキュリティ管理策第 2 部業務に基づく情報セキュリティ対策の二部から構成第 1 部はISMS 的に管理策を中心に整理第 2 部は業務ベースに整理手引書ではこの2つを結びつけている ( 手引書の第 1 部は第 2 部をベースに整理 ) 中小企業が苦手とする ISMS アプローチと業務からのアプローチを結びつけることでリスク認識をし易く! Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 22

手引書の体系第 1 部情報セキュリティ管理策青字は情報システム管理の観点 1. セキュリティ境界と入退室管理 2. 認証と権限 3. ウイルス及び悪意のあるプログラムに対する対策 4. パッチの適用 5. バックアップ 6. ログの取得 7. 記憶媒体の管理 8. 暗号化 9. アプリケーションの利用 Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 23

手引書の体系第 1 部情報セキュリティ管理策青字は情報システム管理の観点 10. 電子メールの利用 11. 外部サービスの利用 12. ネットワークのアクセス制御 13. クリアデスククリアスクリーン 14. 変更管理 15. 構成管理 16. 障害事故管理 17. 容量能力の管理 18. Webの開発管理 Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 24

手引書の体系 1. セキュリティ境界と入退室管理 (1) 管理目的情報と情報機器への許可されていないアクセスを防止するため (2) 管理策 1 情報と情報機器のある場所を保護するため門入口壁仕切り等の物理的な境界を設定する 2 設定された境界を越える権限を許可された者のみに与え許可されないアクセスを防止するために境界にカード制御による入口守衛等の設備を設置する Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 25

手引書の体系業務 No.2 セキュリティエリアへのアクセス情報を処理建物部屋エリアキャビネット机上 PC サーバー保存するたネットワークアプリケーション記憶媒体 (USBメモリー他) めの実体プリンター FAX コピー機携帯電話電子機器 (IC レコーダーカメラ他 ) 外部のサービス ( ファイル交換サービス等 ) 影響機密性完全性可用性適法性脅威の主体システム管理者 ( 本人 ) システム管理者 ( 本人外 ) 従業員 ( 本人 ) 従業員 ( 本人外 ) 訪問者外部偶発的要因責任者システム管理者業務人事管理者従業員 Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 28

手引書の体系セキュリティの対策の目的現状のセキュリティレベルリスクシナリオ技術的対策人的対策運用で心がけるポイント備考情報と情報機器への許可されていないアクセスを防止するため取り扱う情報の重要度に応じたエリア分けをしていない許可されていない者がセキュリティエリアに入り権限のない情報を閲覧する取り扱う情報の重要度に応じたエリア分けをしシステム的 ( 入退室管理システム ) にエリア管理 ( 入退室管理 ) をする取り扱う情報の重要度に応じたエリア分けをしルール等でエリア管理 ( 入退室管理 ) をするエリア( 室 ) のアクセス権限表に退職者人事異動が反映されているか確認するエリア入退( 入退室 ) カードの確認及び棚卸を行う関連する管理策 :1. セキュリティ境界と入退室管理 1,2 2. 認証と権限 3,4 Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 29

情報セキュリティチェックシートとの紐付け情報セキュリティチェックシート 2つの対象者向けから構成経営者経営者経営層向け経営層向け情報セキュリティ責任者担当者 ISO27001 管理策をベースに策定詳細は下記 URL を http://www.jnsa.org/seminar/2008/1217nsf2008/data/ 1217-C2-01checksheetA3.xls Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 31

情報セキュリティチェックシートとの紐付け情報セキュリティチェックシートと手引書との紐付け管理策手引書業務 No. No. キーワード付属書 A 他 9-5 紐付けトラブル事象例システム管理基準 Ⅰ. 情報戦略 1. 全体最適化 (1),(6) 1 情報セキュリティ方針 A.5.1.1 情報セキュリティ基本方針文書 2 責任の明確化 A.5.1.2 情報セキュリティ基本方針のレビューシステム管理基準 Ⅰ. 情報戦略 2. 組織体制 2.1(1),2.2(1) A.6.1.1 情報セキュリティに対する経営陣の責任 A.6.1.2 情報セキュリティの調整 A.6.1.3 情報セキュリティ責任の割当て A.6.1.4 情報処理設備の認可プロセス A.6.1.6 6 関係当局との連絡 A.6.1.7 専門組織との連絡 A.6.1.8 情報セキュリティの独立したレビュー A.8.1.2 選考 A.8.1.3 雇用条件 A.8.2.1 経営陣の責任 A.8.2.3 懲戒手続き A.8.3.1 雇用の終了又は変更に関する責任 A.8.3.2 資産の返却無し 1,2,21 機密性完全性可用性のバランスを取ったシステムの利用方針がないと全てのトラブルに発展する可能性がある責任の明確化ができていないとトラブル時の対処が遅れたり事後の対処が的確に出来ない等の可能性がある Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 32

情報セキュリティチェックシートとの紐付け情報セキュリティチェックシートと手引書のそれぞれの特徴情報セキュリティチェックシートはISMSベースのため手引書の第 1 部より範囲が広い情報セキュリティチェックシートのトラブル事象は知識経験が少ない中小企業の方にとって管理策からトラブル事象が結びつきにくい手引書の第 2 部は現状のセキュリティレベルとリスクシナリオがあり業務に潜むリスクが理解しやすいがリスクの把握対策がポイント的になる Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 33

情報セキュリティチェックシートとの紐付け情報セキュリティチェックシートと手引書との紐付けができると何が良いのか... ISMS 管理策ベースの情報セキュリティチェックシートの網羅性を活かす情報セキュリティチェックシートのトラブル事象が業務ベースのリスクシナリオと結びつくことでリスクについて理解しやすい情報セキュリティチェックシートには対策欄がない( ) が手引書と結びつくことで管理策の対策を理解しやすいオリジナルのシートには対策欄は存在するが未記入 Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 34

情報格納先と業務からの想定リスクの洗い出し最終的に業者側に残った情報保存先形式情報内容業務想定リスク顧客管理電子住所氏名電共有サーバの誤入力システム話番号メール利用不正アクセスアドレス購買記サーバの管理障害後の録業務復旧不可購入伝票紙住所氏名電話番号決済情報業務想定リスク受け取り工事完了紙住所氏名電話番号配送工事電子氏名電話番号担当者の携帯電話書類の保管書類の廃棄紛失不正持ち出し誤廃棄 Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 40

洗い出したリスクと管理策の検討最終的に事業者側に残った情報保存先形式情報内容リスク管理策顧客管理電子住所氏名電話番アクセス権限のなアクセス時のシステム号メールアドレス購買記録い者による不正アクセス情報の漏洩認証とアクセス権限管理購買伝票紙住所氏名電話番号決済情報誤廃棄不正持ち出しによる情報の漏洩鍵付ロッカーでの保管 Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 42

業務手順にセキュリティ要素の盛り込み業務の作業チェックリストを作成しその中にセキュリティ要素を盛り込むお客様購入伝票お客様情報店舗顧客管理システム氏名住所電話番号メールアドレス購買情報店舗外チェックリストに登録時のチェックについて盛り込み例 : 書類と登録内容に差異がないことを確認したか店舗工事伝票出荷指示工事業者氏名住所電話番号配送業者チェックリストに持出しについて盛り込み例 : 持ち出す書類を確認し必要のない書類は持ち出していないか業者と受け渡し確認を実施したか Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 45

業務手順にセキュリティ要素の盛り込み業務の作業チェックリストを作成しその中にセキュリティ要素を盛り込むお客様現場確認連絡工事業者配送業者店舗外チェックリストに携帯電話への電話番号の登録について盛り込みお客様配送工事事前連絡電話番号工事業者配送業者電話番号店舗外例 : 電話帳に登録していないリダイヤルを消去したことを確認したか携帯はリモートロックリモートワイプか定期的に確認したか Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 46

今後の作業手引書情報セキュリティチェックシートとの紐付けで検出した出社してから退社するまで中小企業の情報セキュリティ対策実践手引き修正情報セキュリティチェックシート中小企業が実際に実践できる情報セキュリティ対策アプローチ手法の提示チェックシートのバージョンアップやライフプロセスベースのリスク視点での対策シート作成 Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 48

今後の作業共通クラウドスマートフォンなどの新デバイスへの対応の対応 - クラウド利用のリスク中小企業のクラウド利用シーン Public Cloud SaaS 利用 ASP 利用自社でシステムをもつリスク持たないリスクどっち? -スマートフォン利用のリスク中小企業のスマート利用シーン社外での Public Cloudにアクセスする端末会社支給 or 個人所有 Android vs iphone スマートフォンのリスク PCのリスク違いは? Copyright (c) 2000-2011 NPO 日本ネットワークセキュリティ協会 Page 49