情 報 セキュリティ 第 14 回 2015 年 7 月 17 日 ( 金 ) 1/25
本 日 学 ぶこと 本 日 の 授 業 を 通 じて 組 織 におけるセキュリティ の 基 本 的 な 考 え 方 を 学 びます. 組 織 の 持 つ 情 報 や 計 算 機 などを, 継 続 的 かつ 安 全 に 管 理 運 用 するのに 有 用 な セキュリティポリシー を 学 習 します. セキュリティ 管 理 の 仕 組 みである ISMS を, 規 格 制 度 と 関 連 づけて 理 解 します. コンピュータ 犯 罪 を 取 り 締 まる 法 律 を 概 観 したあと, 個 人 情 報 の 機 密 性 完 全 性 可 用 性 について 法 律 化 された 個 人 情 報 保 護 法 を 学 習 します. 2
セキュリティポリシー セキュリティポリシーとは? 組 織 の 情 報 資 産 を 守 るための 方 針 や 基 準 を 明 文 化 したもの あるとどうなる? 情 報 セキュリティレベルの 向 上 セキュリティ 対 策 の 費 用 対 効 果 の 向 上 対 外 的 な 信 頼 性 の 向 上 何 を 書 く? 組 織 の 長 の, 情 報 セキュリティに 関 する 方 針 考 え 適 切 な 情 報 セキュリティを 確 保 維 持 するために 遵 守 すべき ルール 3
セキュリティポリシーの 基 本 構 成 Procedure Standard Policy 情 報 セキュリティ 基 本 方 針 情 報 セキュリティ 対 策 基 準 概 要 情 報 セキュリティ 対 策 実 施 手 続 き, 規 定 類 詳 細 4
セキュリティポリシーを 誰 が 作 る?どう 書 く? セキュリティポリシー 策 定 担 当 者 の 例 情 報 システム 部 門 の 責 任 者 総 理 ( 総 務, 庶 務 ) 部 門 法 務 部 門 監 査 部 門 の 責 任 者 人 事 部 門 人 材 育 成 部 門 の 責 任 者 組 織 内 システム 管 理 者, 組 織 内 ネットワーク 管 理 者 セキュリティポリシー 策 定 の 注 意 点 ポリシーを 策 定 する 範 囲 を 明 確 にする 適 用 対 象 者 を 明 確 にする 目 的 や 罰 則 を 明 確 にする 運 用 を 意 識 して, 実 現 可 能 な 内 容 にする パスワードは 毎 週 変 更 すること と 書 いて,みんなやって くれる? 5
情 報 セキュリティに 関 する 規 格 制 度 : 背 景 なぜ 規 格 や 制 度 が 必 要? 一 体 どこまでコストをかけて,セキュリティ 対 策 を 実 施 すれば いいのか? 自 分 の 組 織 の 情 報 セキュリティの 水 準 は, 同 業 者 や 世 間 一 般 と 比 較 してどの 程 度 なのだろうか? 情 報 セキュリティの 水 準 を 客 観 的 に 評 価 するための 基 準 や 制 度 があればいい! 6
規 格 制 度 ISO/IEC 15408 (JIS X 5070) IT 関 連 製 品 のセキュリティ 品 質 を 評 価 認 証 プライバシーマーク 制 度 (JIS Q 15001) 企 業 における 個 人 情 報 保 護 措 置 の 適 切 性 を 評 価 認 定 ISO/IEC 27000/ISMS (JIS Q 27001) ISMS: Information Security Management System 情 報 セキュリティマネジメントの 適 切 性 を 評 価 認 定 ISO 9000: 品 質 マネジメントシステム ISO 14000: 環 境 マネジメントシステム 7
ISO/IEC 27000/ISMSおよび 関 連 する 規 格 ISO 27000シリーズが 情 報 セキュリティマネジメントの 世 界 標 準 として 規 格 化 され,ISMSはその 一 部 に BS 7799-2 ISO/IEC 27001,JIS Q 27001 ISMS 要 求 事 項 BS 7799-1 ISO/IEC 17799,JIS X 5080 ISO/IEC 27002,JIS Q 27002 情 報 セキュリティマネジメントの 実 践 のための 規 範 ISO 31000 JIS Q 31000 リスクマネジメント 規 格 8
ISMSの 概 略 組 織 の 情 報 マネジメント 体 制 を 維 持 管 理 していくための 管 理 文 書 管 理 体 制 実 施 記 録 等 からなる 一 連 の 仕 組 み Plan-Do-Check-Act (PDCA)のサイクル Plan: 情 報 セキュリティ 対 策 の 計 画 方 針 目 標 などを 策 定 Do: 計 画 に 基 づいて 対 策 を 実 施 Check: 対 策 の 実 施 運 用 状 況 を 点 検 監 視 Act: 対 策 の 適 切 性 について 評 価 是 正 処 置 A やりっぱなしでは いけない P D C 9
ISMS 認 証 評 価 希 望 事 業 者 の 申 請 により, 日 本 情 報 経 済 社 会 推 進 協 会 ( 旧 日 本 情 報 処 理 開 発 協 会,JIPDEC)が 指 定 した 認 証 機 関 が 審 査 認 証 する 認 証 希 望 事 業 者 認 証 機 関 認 定 機 関 (JIPDEC) 文 書 審 査 実 地 審 査 を 受 け, 合 格 すれば 認 証 される 認 証 後 も,1 年 ごとのサーベイランス 審 査,3 年 ごとの 再 認 証 審 査 がある ISMS 適 合 性 評 価 制 度 http://www.isms.jipdec.or.jp/isms.html 10
ISMS 認 証 を 受 けるために ISMS 基 本 方 針 は, 事 業 目 的 を 反 映 したものでなければな らない 借 り 物 は 不 可 リスクアセスメントへの 取 り 組 みが 不 可 欠 (セキュリティ)リスクとは, 何 かしらの 損 失 を 発 生 させる 事 態 や 状 況 への 可 能 性 のこと 管 理 策 の 有 効 性 検 証 を 行 う ウイルスや 不 正 アクセスの 被 害 回 数 などを 監 視 報 告 する 内 部 監 査 ( 組 織 自 身 による 監 査 )も 行 う セキュリティポリシーは 策 定 と 公 表 ISMSは 認 証 と 継 続 11
コンピュータ 犯 罪 を 取 り 締 まる 法 律 電 子 計 算 機 損 壊 等 業 務 妨 害 ( 刑 法 第 234 条 の2) コンピュータや 電 子 データの 破 壊 コンピュータの 動 作 環 境 面 での 妨 害 電 子 計 算 機 使 用 詐 欺 ( 刑 法 第 246 条 の2) 財 産 権 に 関 する 不 実 の 電 子 データを 作 成 財 産 権 に 関 する 偽 の 電 子 データを 使 用 不 正 アクセス 行 為 の 禁 止 等 に 関 する 法 律 ( 不 正 アクセス 防 止 法 ) 権 限 を 持 たない 者 がアクセス そのようなアクセスを 助 長 他 人 のパスワードを 勝 手 に 公 開, 販 売 具 体 的 な 被 害 を 与 えていなくても 処 罰 の 対 象 になる 12
個 人 情 報 保 護 法 正 式 名 称 : 個 人 情 報 の 保 護 に 関 する 法 律 目 的 ( 第 1 条 ) 個 人 の 権 利 と 利 益 の 保 護 個 人 情 報 は,データ 化 した 企 業 組 織 のものではなく, 個 人 情 報 の 本 人 のもの 高 度 情 報 通 信 社 会 における 機 密 性 個 人 情 報 の 有 用 性 の 配 慮 企 業 組 織 が, 個 人 情 報 を 適 切 に 管 理 使 用 するため の 方 針 を 定 める 個 人 情 報 可 用 性 完 全 性 13
個 人 情 報 の 例 氏 名 生 年 月 日, 住 所, 居 所, 電 話 番 号,メールアドレス 会 社 における 所 属 や 職 位 電 話 帳 や 刊 行 物 などで 公 表 されている 個 人 情 報 名 刺 電 子 化 するしないに 関 わらず 対 象 施 行 前 に 収 集 した 情 報 も 対 象 個 人 情 報 でないもの 法 人 などの 団 体 に 関 する 情 報 ( 企 業 の 財 務 情 報 など) 役 員 氏 名 などは 個 人 情 報 になり 得 る 特 定 の 個 人 を 識 別 できない 形 にした 統 計 情 報 14
個 人 情 報 とプライバシーの 違 い 個 人 情 報 保 護 事 業 者 の 個 人 情 報 に 対 する 管 理 責 任 に 関 するもの プライバシーの 保 護 他 人 に 知 られたくないことを 秘 匿 すること ハガキの 表 裏 ハガキの 表 ( 宛 名 )に 書 かれるのは 個 人 情 報 ハガキの 裏 ( 文 面 )に 書 かれるのはプライバシー 15
個 人 情 報 取 扱 事 業 者 事 業 活 動 を 行 っていれば, 個 人 でも 法 人 でも 非 営 利 団 体 で も 任 意 団 体 でも 対 象 となる 個 人 情 報 取 扱 事 業 者 に 該 当 しないもの 国 の 機 関, 地 方 公 共 団 体, 独 立 行 政 法 人, 独 立 地 方 行 政 法 人 同 じ 役 割 の 別 の 法 律 がすでに 施 行 個 人 情 報 の 数 が, 過 去 6か 月 で5000 件 以 下 の 事 業 者 法 には 基 づかないが, 社 会 的 な 信 頼 を 考 えると, 対 応 して おくべきである 報 道 著 述 学 術 研 究 宗 教 活 動 政 治 活 動 の 目 的 には 適 用 除 外 がある( 第 50 条 ) 16
運 用 上 の 義 務 (1) 利 用 目 的 をはっきりさせ, 本 人 の 同 意 を 得 る. 利 用 目 的 は 具 体 的 に 利 用 目 的 利 用 者 が 変 更 する 場 合 も, 事 前 に 告 知 と 同 意 を 適 切 な 方 法 で 個 人 情 報 を 取 得 する. 子 供 から 親 の 情 報 を 聞 き 出 すのは 違 法 名 簿 業 者 から 買 うのはもってのほか 個 人 情 報 は 安 全 に 管 理 する. アクセス 制 限 やデータの 暗 号 化 も 委 託 してもよいが, 管 理 監 督 の 責 任 を 負 う ノートPCやUSBメモリに 入 れて, 紛 失 することのないように 17
運 用 上 の 義 務 (2) 本 人 からの 依 頼 には 適 切 に 対 処 開 示 訂 正 利 用 停 止 など 問 い 合 わせ 窓 口 を 設 置 本 人 確 認 も 忘 れずに 個 人 情 報 の 破 棄 にも 細 心 の 注 意 を 紙 シュレッダー, 溶 解 処 理 コンピュータ 抹 消 用 ソフトウェア, 物 理 的 な 破 壊 個 人 情 報 保 護 への 取 り 組 み プライバシーポリシー 個 人 情 報 保 護 規 定 を 制 定 し, PDCAのサイクルで 運 用 プライバシーマークの 取 得 18
オプトアウト あらかじめ 同 意 を 得 る という 原 則 (オプトイン)の 例 外 規 定 第 三 者 提 供 におけるオプトアウト( 第 23 条 第 2 項 ) 第 三 者 への 提 供 にあたり,あらかじめ 本 人 に 通 知 するか, 本 人 が 容 易 に 知 り 得 る 状 態 にしておき, 本 人 の 求 めに 応 じて 第 三 者 への 提 供 を 停 止 すること 目 的 手 段 対 象 のほか, 本 人 の 求 めに 応 じて 第 三 者 への 提 供 を 停 止 することを 明 記 しておく. 19
個 人 情 報 保 護 運 用 上 の 注 意 (1) メールアドレスは 個 人 情 報 にならない? nihon_taro@abc.co.jpは 個 人 情 報 になるかも 電 話 帳 にある 氏 名 や 電 話 番 号 は 個 人 情 報 ではない? 個 人 情 報 であるかどうかは, 公 にされているかとは 関 係 ない 暗 号 化 しておけば, 個 人 情 報 としての 取 り 扱 い 義 務 が 免 除 される? 暗 号 化 しても 個 人 情 報 であることには 変 わりない 社 会 貢 献 だけを 目 的 とする 団 体 なら, 個 人 情 報 取 扱 事 業 者 にならない? 営 利 であるか, 法 人 であるかに 関 係 なく, 社 会 通 念 上 事 業 と 認 められる 活 動 をしていれば,なり 得 る NECネクサソリューションズ よくわかる 個 人 情 報 保 護 ( 東 洋 経 済 新 報 社 ) 20
個 人 情 報 保 護 運 用 上 の 注 意 (2) 名 刺 は 社 員 個 人 で 収 集 管 理 するので, 個 人 情 報 にあたらな い? 事 業 に 関 連 して 収 集 するので, 会 社 の 責 任 で 管 理 する.した がって 個 人 情 報 になり 得 る 学 校 でクラス 名 簿 を 作 ってはいけない? 生 徒 がお 互 いを 知 るためであれば, 作 ってよい 病 室 の 入 口 に 患 者 の 名 前 を 記 入 してはいけない? 緊 急 援 助 や 患 者 の 取 り 違 い 防 止 のためならば, 禁 止 する 必 要 はない 牧 野 二 郎 間 違 いだらけの 個 人 情 報 保 護 (インプレス) 21
情 報 セキュリティ まとめ(1) この 科 目 で 何 を 学 んできたか: 情 報 資 産 の 守 り 方 キーワード 暗 号 系 : 古 典 暗 号 ( 単 一 換 字 暗 号 ), 秘 密 鍵 暗 号 (DES,AES), 公 開 鍵 暗 号 (RSA) 認 証 :ディジタル 署 名, 一 方 向 ハッシュ 関 数,PKI セキュリティソフトウェア:PGP,SSL,SSH 個 人 組 織 のセキュリティ:パスワード,セキュリティポリシー, 個 人 情 報 保 護 法 システムセキュリティ:ファイアウォール, 安 全 なアプリケーショ ン 開 発 基 礎 : 計 算 理 論, 暗 号 プロトコル 22
情 報 セキュリティ まとめ(2) 暗 号 技 術 は 圧 縮 技 術 鍵 は, 機 密 性 のエッセンス ハッシュ 値 や 署 名 文 は, 完 全 性 のエッセンス アクセス 制 限 (Apache, iptablesなど)は 可 用 性 のエッセンス 乱 数 の 種 は, 予 測 不 可 能 性 のエッセンス 新 版 暗 号 技 術 入 門 pp.373-375 を 改 変 23
情 報 セキュリティ まとめ(3) できる/できない( 解 ける/ 解 けない) 例 :どこかの 本 に 秘 密 のメモを 挟 み, 忘 れてしまう 例 : 中 間 者 攻 撃 による 情 報 共 有 秘 密 の 取 得 例 : 決 定 可 能 / 決 定 不 能, 多 項 式 時 間 / 指 数 時 間 どんな 範 囲 で 何 によって できる/できないかに 注 意 基 礎 と 応 用 基 礎 となる 暗 号 技 術 が 安 全 であっても,それを 用 いた 暗 号 プロ トコルが 安 全 であるとは 限 らない. 基 礎 ( 基 盤 ) 応 用 (システム) それぞれで 検 証 が 必 要 24
規 格 の 略 称 等 略 称 ISO: International Organization for Standardization ( 国 際 標 準 化 機 構 ) IEC: International Electrotechnical Commission ( 国 際 電 気 標 準 会 議 ) BS: British Standards(イギリス 標 準 規 格 ) JIS: Japanese Industrial Standards( 日 本 工 業 規 格 ) JIS 規 格 番 号 の 例 JIS Q 27001:2014 Qは 管 理 システム Xは 情 報 処 理 制 定 改 正 年 25E