最初に 情報セキュリティは中小企業にこそ必要!! 機密性は 情報資産へのアクセスを最小限度に留めることで 購入する情報資産の金額を最小にします 完全性は 情報資産が正確 正しく動くことを保証し 業務を効率化します 可用性は 欲しい情報を欲しい時に入手できることで 業務時間を短縮します Copyrig

Similar documents
Microsoft PowerPoint - A1.ppt

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

スマートデバイス利用規程 1 趣旨 対象者 対象システム 遵守事項 スマートデバイスのセキュリティ対策 スマートデバイスの使用 スマートデバイスに導入するソフトウェア スマー

マイナンバー対策マニュアル(技術的安全管理措置)

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

<4D F736F F F696E74202D F8FEE95F1835A834C A E B F E B8CDD8AB B83685D>

Microsoft Word - sp224_2d.doc

Microsoft PowerPoint - am2_shimakura.ppt [互換モード]

目次 1. はじめに 2. 内部不正による情報漏えいの危険性 3. 情報漏えい対策ポイント 4. 情報漏えい発生時の対応ポイント 5. 参考資料の紹介 ( 講師用 ) Copyright 2015 独立行政法人情報処理推進機構 2

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

中小企業向け サイバーセキュリティ対策の極意

スマートデバイスの企業導入に潜むリスクと対策のポイント

(3) 個人情報保護管理者の有無 位置づけ CPO は取締役である (4) 認証取得の有無 ( 時期 ) 認証の種類 その認証を取得した理由 効果 プライバシーマーク ISO9001 ISO14001 ISO27001 の認証を取得 情報セキュリティ格付 A AAis( トリプルA) IT-BCP

2 章必要なものを用意する パソコン (PC) 推奨環境以下の Windows パソコンのみでのご利用となり スマートフォンやタブレットは推奨環境対象外です なお 携帯電話からはご利用いただけません 最新の利用環境および留意事項につきましては 当金庫までお問い合わせください ( 平成 28 年 1

5 ISMS 5 4 PC PC USB PDA 2

中小企業向け サイバーセキュリティ対策の極意

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

CONTENTS 1. テレワーク導入における課題 2. 総務省テレワークセキュリティガイドラインについて 3. 技術 制度 人に関する情報セキュリティ対策例 4. 情報へのアクセス方法とその特徴 5. マネジメント ( 労務管理等 ) の対策 2

スライド 1

CONTENTS 1. テレワークをするために必要な ICT 環境とは 2. 情報セキュリティの 課題解決策 3. コミュニケーションの 課題解決策 4. マネジメント ( 労務管理 ) の課題解決策 2

借上くんマイナンバー制度対応

マイナンバー対策セミナー(実践編) 「マイナンバー対策マニュアル」を利用した具体的な対策方法について

「作業所におけるスマートフォンなど     フィールド情報機器活用について」パートⅡ      ~情報セキュリティについて~

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

Microsoft PowerPoint - ISMS詳細管理策講座

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

中小企業の情報セキュリティ対策ガイドライン付録 8 情報資産管理台帳 (Ver.1.4) 業務分類 情報資産名称 備考 利用者範囲 管理部署 個人情報 個人情報の種類要配慮個人情報 マイナンバー 機密性 評価値 完全性 可用性 重要度 保存期限 登録日 脅威の発生頻度 ( 脅威の状況 シートで設定

中小企業のための Security by Design WG 活動紹介 NPO 日本ネットワークセキュリティ協会西日本支部株式会社インターネットイニシアティブ大室光正

ハードディスクパスワードが設定されたパソコンを起動すると 図 2のようなパスワードの入力を要求する画面が表示され 正しいパスワードを入力しなければパソコンを起動することができません 以下の通りです (1) 文書を作成して [ 名前を付けて保存 ] をクリックすると 図 3の画面が表示されます (2)

KARTE セキュリティホワイトペーパー KARTE セキュリティホワイトペーパー 2.1 版 株式会社プレイド 1

目 次 はじめに a 版との違い 版の文書構成 版の情報セキュリティポリシーの構成 版の情報セキュリティポリシー構成とサンプル文書 情報セキュリティポリシー文書間 他文書との関連性...

スライド 1

導入設定ガイド

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

どこでも連絡帳 で利用するスマホ タブレットのセキュリティ対策盗難 紛失対策 1) メディカルケアステーションのパスワードは保存しない 2) パスワードで 画面をロックする (8 桁以上の英数字 & 記号の組み合わせで ) アンドロイドと iphone での設定の方法は 以下を参照してください 被害

OSI(Open Systems Interconnection)参照モデル

JP1 Version 12

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

ムの共有アドレス帳 インスタント メッセージングの宛先に活用することも考えられる 統合アカウント管理 認証 認可 ( アクセス制御 ) の機能 サービス機能 サービス定義統合アカウント管理利用者の認証情報 ( ユーザ ID パスワード) と属性情報 ( グループ 所属部門等 ) を一元的に管理する機

携帯情報端末の・・・

スマートデバイス導入に潜むリスクと対策のポイント

PowerPoint プレゼンテーション

これだけは知ってほしいVoIPセキュリティの基礎

PowerPoint プレゼンテーション

<4D F736F F F696E74202D202895CA8E86816A89638BC694E996A78AC7979D8EC091D492B28DB88A E >

FUJITSU Cloud Service K5 認証サービス サービス仕様書

Office365 AL-Mail

<4D F736F F D204E4F2E CC2906C8FEE95F195DB8CEC82C982A882AF82E98AC48DB882C98AD682B782E98B4B92F68DC C5>

1-1 全社基本ルール OS とソフトウェアのアップデート <OS のアップデート > パソコンの OS は Windows Update の自動更新を有効にする 業務に利用するスマートフォンの OS は以下を参考にして手動で更新する Android 端末の場合 : 機種毎の情報を常に調べて必要に応

ISMS情報セキュリティマネジメントシステム文書化の秘訣

Software Token のセット価格 398,000 円 (25 ユーザ版 税別 ) をはじめ RSA SecurID Software Token を定価の半額相当の特別価格を設定した大変お得な スマートモバイル積極活用キャンペーン! を 3 月 31 日 ( 木 ) まで実施します また

改版履歴 版数 改訂日 該当頁 / 該当項目 改訂の要点 /03/31 6 対応 OSの変更に伴う修正 動作環境 の OS に以下を追加 Windows 8.1 Update (64Bit) Windows 8.1 Update Pro (64Bit) 動作環境 の OS から以

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

基本編_個人情報管理の重要性(本編)

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2018 独立行政法人情報処理推進機構 2

dc_h1

第5回_ネットワークの基本的な構成、ネットワークの脆弱性とリスク_pptx

Microsoft PowerPoint iDoors製品紹介資料(デモキット無し).pptx

dc_h1

スライド 1

untitled

Microsoft PowerPoint - 【Webnner】はじめてのHULFT-WebFT.pptx

システム利用規程 1 趣旨 対象者 対象システム 遵守事項 PCにおけるセキュリティ対策 PCの利用 PCで使用できるソフトウェア PCのパスワード管理

<4D F736F F F696E74202D D312E A90A78CE48AC28BAB93B193FC835C838A B E707074>

SHODANを悪用した攻撃に備えて-制御システム編-

1. ロック画面の操作方法変更 セキュリティ強化のため ロック画面の操作方法が変更となります 画面ロックを変更する場合 バックアップパスワードを入力する必要があります 端末のロック解除に指紋認証を設定している場合 端末の再起動時も 初回のみバックアップパスワードを入力する必要があります < 画面ロッ

3. 対応している基本的な Microsoft Exchange 機能 サーバとの同期 Microsoft Exchange Server 上にあるメール 連絡先 カレンダーなどの情報をスマートフォンと自動同期 ( ダイレクトプッシュ ) できます スマートフォン利用者が特に意識することなくリアルタ

Ⅰ. マイナンバー制度概要 マイナンバー法の厳しい罰則規定 ( 民間企業 個人に係わるもの ) 行為懲役罰金 1 正当な理由がなく マイナンバーファイルを 提供 4 年以下 200 万円以下 2 不正な利益を得る目的で マイナンバーを 提供 盗用 3 年以下 150 万円以下 3 不正アクセス等によ

管理者マニュアル

PowerPoint プレゼンテーション


目次 1 調査の目的等 情報セキュリティ現状調査概要 情報セキュリティ現状調査の目的 情報セキュリティ現状調査の範囲 情報セキュリティ現状調査の方法 調査のスケジュール 調査結果要

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

<4D F736F F D2095BD90AC E93788CC2906C8FEE95F182CC8EE688B582A282C982A882AF82E98E968CCC95F18D902E646F63>

LINE WORKS 管理者トレーニング 4. セキュリティ管理 Ver 年 6 月版

製品概要

_EMS概要_クラウドを使う上で考慮すべきこと(セキュリティ視点で60分語るv4)_E5まで

Lorem ipsum dolor sit amet, consectetur adipiscing elit.

目次 1 サービス概要 3 あんしんフィルター for auとは 4 動作環境 5 2 利用開始 6 アプリをインストールする 7 サービスを開始する 8,9 あんしんフィルター for au アプリアイコンの移動 10 3 設定変更 11 管理者を登録する 12 管理者画面を表示する 13 管理す

<4D F736F F D2082C782B182C582E D92A FE382CC97AF88D38E968D E646F6378>


PowerPoint プレゼンテーション

1. 無線 LAN 設定情報の取得 接続に必要な SSID と暗号化キーの情報を取得します キャンパス内では開放教室の PC などを活用して取得してください 1-1 TMUNER Web サイト のトップページ ( の [ 利用者メニュー ] を選

QMR 会社支給・貸与PC利用管理規程180501

目次はじめに... 2 Office365ProPlus のインストール 複数の Office 製品の共存インストールについて ソフトウェア使用許諾契約の確認 Office365 ProPlus のダウンロードとインストール

2 物理的対策関連サーバ故障時にあってもサービスを継続させるため 主要なサーバおよび接続機器は 別な物理サーバによるアクティブ - コールドスタンバイ構成による冗長構成とする (1) データ多重化ストレージ ( ハードディスク ) 故障時にあってもサービスを継続させるため 主要なサーバにおけるストレ

目次 1. 目的と適用範囲 定義 原則 使用機器 審査資料交付システム タブレット端末 管理運用体制 電磁的記録管理運用責任者の役割 電磁的記録管理運用担当者の役割

この資料は マイナンバー制度 実施にともない企業( 事業者 ) が行われることをご紹介し情報セキュリティ対策や罰則についての誤った情報のため過大な準備をされることがないようお伝えし その上で なりすまし 犯罪等防止のため自社に応じたムダの少ない情報セキュリティ対策を検討されるための資料です

metis ami サービス仕様書

_RL_FIN

Enterprise Premium 電子証明書発行サービス Windows ストア電子証明書インストール手順書 Ver2.0 三菱電機インフォメーションネットワーク株式会社

第 1 章 OS 1-1 OS OS 各種 OS 特徴 1-2 Windows 箱 Windows

ENI ファーマシー受信プログラム ユーザーズマニュアル Chapter1 受信プログラムのインストール方法 P.1-1 受信プログラムのシステム動作環境 P.1-2 受信プログラムをインストールする P.1-9 受信プログラムを起動してログインする P.1-11 ログインパスワードを変更する

スライド 1

IT 製品の利用でセキュリティを考慮すべき場面 IT 製品 OS DBMS FW IDS/IPS 1-1 製品調達時 製品に必要なセキュリティ機能は? セキュリティ要件 ( 要求仕様 ) の検討 2 運用 保守時 セキュリティ機能を正しく動作させる 適切な設定値 パッチの適用 IC カード デジタル

ESET Mobile Security V4.1 リリースノート (Build )

1 名称 三田市議会ペーパーレス会議システム導入 運用業務 2 目的電子データによる議会関連資料やその他関係資料の共有 情報の伝達 共有及びペーパーレス会議を実現するためのツールを導入することにより 議会運営の活性化及び議会 議員活動の効率化を図るとともに用紙類や印刷費 作業時間等に関わる経費等の削

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

PowerPoint Presentation

Transcription:

出社してから退社するまで中小企業の情報セキュリティ対策実践手引き 活用方法 元持哲郎アイネット システムズ株式会社 JNSA 西日本支部 2014 年 2 月 21 日

最初に 情報セキュリティは中小企業にこそ必要!! 機密性は 情報資産へのアクセスを最小限度に留めることで 購入する情報資産の金額を最小にします 完全性は 情報資産が正確 正しく動くことを保証し 業務を効率化します 可用性は 欲しい情報を欲しい時に入手できることで 業務時間を短縮します Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 2

各ツールの位置付け Why: 9to5 ( 出社してから退社するまで中小企業の情報セキュリティ対策実践手引き略称 ) リスクの認識 セキュリティ対策 How: 情報セキュリティチェックシート 現状の把握 セキュリティ対策 PDCAを回す What:JNSAソリューションガイド 具体的な製品 サービスの選定 共通 ISO27001/27002:2005 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 3

ソリューションガイド9to5 ェック従業員 300 人以下 9to5 の対象企業 チシート西日本支部 2008 年度活動成果物 中小企業の情報セキュリティ対策支援 WG 活動報告書 より Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 4

9to5 の目的 中小企業の業務に伴うリスクが認識できる 中小企業が具体的なリスク対策が行える 情報の洗い出し無でセキュリティ対策が可能 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 5

9to5 の対象者 企業のシステム管理者 システム管理を外注している管理者 中小企業を指導するITコーディネータ IT 企業 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 6

9to5 の管理策から省いた項目 対象が紙 物に関するもの 電源 空調等の設備管理に関するもの 対策できないもの 対策が中小企業レベルでは難しいもの 経営者 システム管理者等の権限者の不正 DoS 攻撃 個人情報保護に関するもの 委託管理に関するもの 対策が教育 啓蒙になるもの Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 7

9to5 の対応範囲 JIPDEC ISMS ユーザーズガイドより 情報セキュリティチェックシートの範囲 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 8

9to5 の構成 導入部 1. 概要 2. 本ガイドライの対象企業 3. 本ガイドラインの対象読者 4. 本ガイドラインの使用方法 第 1 部 21の情報セキュリティ管理項目(2011 年版 :18) 第 2 部 69 業務に基づく情報セキュリティ対策例 (2011 年版 :62) 付録 参考資料 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 9

9to5 の第 1 部 本手引き管理項目 ISMS-ISO/IEC27001:2005- 付属書 A 対応管理策 1. セキュリティ境界と入退室管理 A.9.1.1,A.9.1.2 2. クラウドサービスの利用 A.10.2.1 3. 障害 事故管理 A.13.1.1,A.13.1.2,A.13.2.2 4.IT 継続性 A.14.1.1,A.14.1.2,A.14.1.3,A.14.1.4,A.14.1.5 5. 認証と権限 A.11.2.1,A11.2.2,A.11.2.4,A.11.5.1,A.11.5.2,A.11.5.3,A.11.6.1 6. ネットワークのアクセス制御 A.11.4.2,A.11.4.3,A.11.4.5,A.11.4.6,A.11.4.7 7. パッチの適用 A.12.6.1 8. ウイルス及び悪意のあるプログラムに対する対策 A.10.4.1,A10.4.2 9. 記憶媒体の管理 A.10.7.1,A10.7.2 10. スマートデバイスの利用 A.9.2.5,A11.7.1,A.11.7.2 11. 電子メールの利用 A.10.8.4 12.Webの開発 管理 A.10.9.1,A.10.9.2,A10.9.3 13. ログの取得 A.10.10.1,A.10.10.2,A.10.10.3,A.10.10.4,A.10.10.5,A.10.10.6 14. バックアップ A.10.5.1 15. 容量 能力の管理 A.10.3.1 16. 変更管理 A.10.1.2,A12.5.1 17. 構成管理 A.7.1.1,A.12.4.1 18.SNSの利用 A.10.8.4 19. 暗号化 A.12.3.1,A.12.3.2 20. アプリケーションの利用 21. クリアデスク クリアスクリーン A.11.3.3 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 10

9to5 の第 2 部 出社 1 業務 (2011 年版 :1 業務 ) 社内業務 33 業務 (2011 年版 :31 業務 ) 社外業務 15 業務 (2011 年版 :12 業務 ) 退社 1 業務 (2011 年版 :1 業務 ) 帰宅 4 業務 (2011 年版 :2 業務 ) システム管理業務 15 業務 (2011 年版 :15 業務 ) Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 11

9to5 の活用方法 参考資料暗号アルゴリズム等具体的な対策を提示 第 2 部業務に基づく情報セキュリティ対策例 第 1 部情報セキュリティ管理策 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 12

活用事例 1 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 13

活用例 1 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 14

活用例 1 5. 認証と権限 (1) 管理目的情報と情報機器への許可されていないアクセスを防止するため (2) 管理策 1 入館 入室設備 PC(BIOS OS) サーバー ネットワーク アプリケーション スマートデバイス ( スマートフォン タブレット ) 携帯電話等にアクセスするための個人及びプログラムを認証する仕組みを構築 設定する 2 認証には ワンタイムパスワード 二段階 ID カード デバイス ( ハードウェアトークン IC カード USB キー等 ) パスワード バイオメトリックス ( 指紋認証 静脈認証等 ) 等及びこれらの組み合わせ ( 複数要素認証 ) の第三者が簡単に悪用できない仕組みを用いる 3 認証のためのユーザ ID は個人を特定できるように付与する 4 ユーザ ID は職務権限に応じた 情報と情報機器へのアクセス権限を付与する 5 特権は システム管理者 業務の管理者等特別の職務権限を持った者だけに付与する 6 パスワード (9) は例えば 12 文字以上に設定し 大文字 小文字 数字 特殊文字の 4 つを組み合わせ 3 カ月に 1 度変更する ( 以降 をパスワードポリシーとする ) とする (3) 運用で心がけるポイント 1 退職 人事異動に伴う ユーザ ID アクセス権限の見直しを行う 2 アクセスする情報の重要度 情報機器のある場所及び情報にアクセスする場所により認証の強度を検討する (4) 関連する管理項目セキュリティ境界と入退室管理 アプリケーションの利用 電子メールの利用 ネットワークのアクセス制御 Web の開発 管理 クラウドの利用 SNS スマートデバイスの利用 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 15

活用例 1 (9)Japan Vulnerability Notes 共通セキュリティ設定一覧 CCE 概説 ( パスワード編 ) http://jvndb.jvn.jp/apis/myjvn/cccheck/cce_password.html Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 16

活用例 1 第 1 部 第 2 部 本手引き管理項目 管理策 業務 No. 1 1,.2,22,30,65 1. セキュリティ境界と入退室管理 2 1,.2,22,30 3 3 1 25,26,28 2. クラウドサービスの利用 2 24,25,26,28 3 3. 障害 事故管理 4.IT 継続性 5. 認証と権限 1 60 2 59 3 59 1 57 2 3 1 1,4,12,21,30,37,44,45,51 2 4,21,24,45 3 1,2,3,5,21,45 4 1,2,21 5 21 6 6 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 17

活用例 2 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 18

活用例 2 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 19

活用例 2 10. スマートデバイスの利用 (1) 管理目的スマートデバイス ( スマートフォン タブレット ) の利用に伴う 情報の漏えい 改ざん 破壊を防止するため (2) 管理策 1 スマートデバイスの資産管理を行う 2 ジェイルブレイク ルート化を禁止する 3 製造者及びキャリアの提供するパスコードロック 自動ロック パスコード入力に失敗した場合のデータ消去 リモートワイプ 暗号化 ウイルス及び悪意のあるプログラムに対する対策機能は有効にしておく 4 有償 無償を問わず組織が許可したアプリケーション ( ソフトウェア ) のみ使用を許可する 5 有償 無償を問わず組織が許可したクラウドサービスのみ使用を許可する 6 スマートデバイス アプリケーションの脆弱性情報を入手し リリースされたセキュリティパッチは必ず適用する 7 社外で Wi-Fi 赤外線 Bluetooth ネットワークに接続する場合は 信頼できるネットワークのみ利用する 8 重要な情報をスマートデバイス以外にバックアップする手順を備える 9 スマートデバイスの使用ガイドライン (21)(22)(23) を定める (3) 運用で心がけるポイント 1 位置情報とアプリケーション スマートデバイスとクラウドサービス及び SNS との自動連携機能の設定を確認し 意図しない連携を防止する 2 定期的にスマートデバイスの棚卸しを実施すると共に設定状況を確認し セキュリティパッチの適応状況 許可アプリケーション以外使用されていないことを確認する (4) 関連する管理項目認証と権限 パッチの適用 記憶媒体の管理 暗号化 バックアップ クラウドサービスの利用 SNS の利用 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 20

活用例 2 18.SNS の利用 (1) 管理目的従業員が SNS を私的利用するに際し 企業情報の漏えいを防止すると共に 企業の信用失墜を防止するため (2) 管理策 1 従業員が SNS を利用する場合の 勤務先名の記載可否 企業が持つ公開情報についての記載可否または記載範囲 記載条件 SNS 上での顧客 取引先社員との交友方法 私的情報の記載内容 利用方法について SNS 使用ガイドライン (24) を定める (3) 運用で心がけるポイント 1 使用デバイス (PC スマートフォン タブレット ) と SNS の設定により 使用デバイス上のデータ 写真 位置情報と SNS が自動連携されることに注意する 2SNS の設定変更 機能追加による情報漏えいに注意する 3 従業員の法律 公序良俗に違反する SNS の記載により 企業の信用失墜の可能性があることに注意する 4SNS セキュリティ設定の問題により SNS のアカウントが乗っ取られ 悪用される可能性のあることに注意する (4) 関連する管理項目認証 クラウドサービスの利用 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 21

活用例 2 NPO 日本ネットワークセキュリティ協会 (JNSA) スマートフォンの安全な利活用のすすめ ~ スマートフォン利用ガイドライン ~ http://www.jnsa.org/result/2012/smap_guideline_v1.0.pdf 一般社団法人日本スマートフォンセキュリティ協会 (JSSEC) スマートフォン& タブレットの業務利用に関するセキュリティガイドライン http://www.jssec.org/dl/guidelines2011_v1.1.pdf 一般社団法人日本スマートフォンセキュリティ協会 (JSSEC) スマートフォン& タブレットの業務利用に関するセキュリティガイドライン補足資料 http://www.jssec.org/dl/byod_basicdata2012_v1.0.pdf NPO 日本ネットワークセキュリティ協会 (JNSA) SNSの安全な歩き方 ~セキュリティとプライバシーの課題と対策 ~ http://www.jnsa.org/result/2012/sns-wg_ver0.7.pdf Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 22

活用例 2 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 23

9to5 の公開 出社してから退社するまで中小企業の情報セキュリティ対策実践手引き 2011 年版 http://www.jnsa.org/result/2010/chusho_security_tebiki.html 2014 年版も JNSA Web サイトで公開致します Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 24

対策課題 従来の高リスクの課題 企業外の情報資産 業務活動 今後の高リスクの課題 企業の資産外の情報機器 業務外の従業員の活動 業務 ( 会社 ) 境界 管理境界 物理境界 Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 25

最後に 対策をおこなうための優先順位が必要!! リスクの起こる頻度 業務の重要度 業務で関連する情報の重要度付録 現状の対策レベル Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 26

ご清聴ありがとうございました Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 27

Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 Page 28

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック