Similar documents
Microsoft Word - sp224_2d.doc

中小企業向け サイバーセキュリティ対策の極意

スマートデバイス利用規程 1 趣旨 対象者 対象システム 遵守事項 スマートデバイスのセキュリティ対策 スマートデバイスの使用 スマートデバイスに導入するソフトウェア スマー

QMR 会社支給・貸与PC利用管理規程180501

UCSセキュリティ資料_Ver3.5

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

スライド 1

ガイドブック A4.indd

2 物理的対策関連サーバ故障時にあってもサービスを継続させるため 主要なサーバおよび接続機器は 別な物理サーバによるアクティブ - コールドスタンバイ構成による冗長構成とする (1) データ多重化ストレージ ( ハードディスク ) 故障時にあってもサービスを継続させるため 主要なサーバにおけるストレ

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

目次 1. はじめに 2. 内部不正による情報漏えいの危険性 3. 情報漏えい対策ポイント 4. 情報漏えい発生時の対応ポイント 5. 参考資料の紹介 ( 講師用 ) Copyright 2015 独立行政法人情報処理推進機構 2

ISMS情報セキュリティマネジメントシステム文書化の秘訣

Microsoft PowerPoint - A1.ppt

プレゼンテーション

Microsoft Word - Release_IDS_ConnectOne_ _Ver0.4-1.doc

中小企業向け サイバーセキュリティ対策の極意

福岡大学ネットワーク認証・検疫システム実施マニュアル

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

最初に 情報セキュリティは中小企業にこそ必要!! 機密性は 情報資産へのアクセスを最小限度に留めることで 購入する情報資産の金額を最小にします 完全性は 情報資産が正確 正しく動くことを保証し 業務を効率化します 可用性は 欲しい情報を欲しい時に入手できることで 業務時間を短縮します Copyrig

マイナンバー対策マニュアル(技術的安全管理措置)

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

<4D F736F F F696E74202D202895CA8E86816A89638BC694E996A78AC7979D8EC091D492B28DB88A E >

1.indd

2019/7/25 更新 2.2. メーラー設定 (IMAP 設定 ) この項目ではメールソフトで IMAP にて受信ができるように設定をする手順を説明します 事前にマニュアル 1.4 POP/IMAP 許可設定 1.5 メーラー (Outlook 等 ) を使う場合の設定 を行っている必要がありま

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

個人情報分析表 類型 K1: 履歴書 職務経歴書 社員基礎情報 各種申請書 誓約書 同意書 入退室記録 教育受講者名簿 理解度確認テスト 本人から直接取得 社員管理に利用する 保管庫に保管する 廃棄する 残存 1. 同意を得ないで取得する 1. 目的外利用する 1. 紛失する 1. 廃棄物から情報漏

スライド 1

McAfee Application Control ご紹介

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

JP1 Version 12

スライドタイトル/TakaoPGothic

これだけは知ってほしいVoIPセキュリティの基礎

CONTENTS 1. テレワーク導入における課題 2. 総務省テレワークセキュリティガイドラインについて 3. 技術 制度 人に関する情報セキュリティ対策例 4. 情報へのアクセス方法とその特徴 5. マネジメント ( 労務管理等 ) の対策 2

<4D F736F F F696E74202D20552D DC58F4994AD955C8E9197BF816A89DF8B8E82C696A F08CA992CA82B7838D834F95AA90CD76382E70707

Ⅰ. マイナンバー制度概要 マイナンバー法の厳しい罰則規定 ( 民間企業 個人に係わるもの ) 行為懲役罰金 1 正当な理由がなく マイナンバーファイルを 提供 4 年以下 200 万円以下 2 不正な利益を得る目的で マイナンバーを 提供 盗用 3 年以下 150 万円以下 3 不正アクセス等によ

システム利用規程 1 趣旨 対象者 対象システム 遵守事項 PCにおけるセキュリティ対策 PCの利用 PCで使用できるソフトウェア PCのパスワード管理

CIAJ の概要 2017 年度 CIAJ の概要 情報通信技術 (ICT) 活用の一層の促進により 情報通信ネットワークに係る産業の健全な発展をはかるとともに 情報利用の拡大 高度化に寄与することによって 社会的 経済的 文化的に豊かな国民生活の実現および国際社会の実現に貢献することを活動の目的と

KSforWindowsServerのご紹介

Microsoft PowerPoint - ISMS詳細管理策講座

金融工学ガイダンス

KARTE セキュリティホワイトペーパー KARTE セキュリティホワイトペーパー 2.1 版 株式会社プレイド 1

マイナンバー対策セミナー(実践編) 「マイナンバー対策マニュアル」を利用した具体的な対策方法について

Proventia xls

KDDI ビジネスメール メーラー設定ガイド Ver.1.01 Copyright 2013, KDDI Corporation All rights reserved 1

どこでも連絡帳 で利用するスマホ タブレットのセキュリティ対策盗難 紛失対策 1) メディカルケアステーションのパスワードは保存しない 2) パスワードで 画面をロックする (8 桁以上の英数字 & 記号の組み合わせで ) アンドロイドと iphone での設定の方法は 以下を参照してください 被害

金融工学ガイダンス

PowerPoint Presentation

正誤表(FPT0417)

金融工学ガイダンス

金融工学ガイダンス

第 1 章 OS 1-1 OS OS 各種 OS 特徴 1-2 Windows 箱 Windows

<4D F736F F D204E4F2E CC2906C8FEE95F195DB8CEC82C982A882AF82E98AC48DB882C98AD682B782E98B4B92F68DC C5>

ハードディスクパスワードが設定されたパソコンを起動すると 図 2のようなパスワードの入力を要求する画面が表示され 正しいパスワードを入力しなければパソコンを起動することができません 以下の通りです (1) 文書を作成して [ 名前を付けて保存 ] をクリックすると 図 3の画面が表示されます (2)

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

設定画面から ネットワーク設定 をタップします 管理者パスワード をタップします 管理者パスワードを入力して管理者としてログインします 管理者パスワードを入力して管理者としてログインします IPv4 設定 の IPv4 アドレス の値を確認します ネットワーク設定 をタップします もしくは ホーム画

Microsoft PowerPoint - CTYスマホ LINE設定.pptx

<4D F736F F D2082C782B182C582E D92A FE382CC97AF88D38E968D E646F6378>

製品概要

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

情報漏洩対策ソリューション ESS REC のご説明

PowerPoint プレゼンテーション

ネットワーク管理規程 1 趣旨 対象者 対象システム 遵守事項 設置基準 導入時の遵守事項 共通の遵守事項 インターネット接続環境における導入時遵守事項 社

中小企業の情報セキュリティ対策ガイドライン付録 8 情報資産管理台帳 (Ver.1.4) 業務分類 情報資産名称 備考 利用者範囲 管理部署 個人情報 個人情報の種類要配慮個人情報 マイナンバー 機密性 評価値 完全性 可用性 重要度 保存期限 登録日 脅威の発生頻度 ( 脅威の状況 シートで設定

PowerPoint プレゼンテーション

困ったときにお読みください

管理者マニュアル

2. コンピュータ不正アクセス届出状況 別紙 2 (1) 四半期総括 2013 年第 1 四半期 (2013 年 1 月 ~3 月 ) のコンピュータ不正アクセス届出の総数は 27 件でした (2012 年 10 月 ~12 月 :36 件 ) そのうち 侵入 の届出が 18 件 ( 同 :14 件

ビジネスサーバ設定マニュアルメール設定篇(VPS・Pro)

<4D F736F F F696E74202D D312E A90A78CE48AC28BAB93B193FC835C838A B E707074>

LINE WORKS 管理者トレーニング 4. セキュリティ管理 Ver 年 6 月版

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

一覧内の特定のイベントを選択すると イベントの詳細を確認することができること 初期表示画面では 当日開催されるイベントを全件表示すること 5 絞り込みアイコンを押すと 条件にもとづくイベントを検索することができること -5. 利用者機能 ( 子育て支援情報掲載機能 ) 発注者が任意で配信するお知らせ

Pocket WiFi LTE (GL04P) ソフトウェア更新マニュアル パソコン ipad 編 Version2 10

Microsoft PowerPoint - 【Webnner】はじめてのHULFT-WebFT.pptx

Microsoft Word _RMT3セッテイ_0809.doc

基本編_個人情報管理の重要性(本編)

PowerPoint Presentation

Microsoft PowerPoint pptx

PowerPoint プレゼンテーション

InfoPrint SP 8200使用説明書(6. セキュリティ強化機能を設定する)

利用環境の確認 メールはベーシック プレミアムプランでご利用いただけます

ビジネスインクジェットプリンター

FWA インターネットアクセスサービス SUN-AGE メール設定マニュアル XP 編 (OutlookExpress) 1-5 Vista 編 (Windows メール ) 6-17 Windows Webmail 編 23 FTP 設定マニュアル 24-1 版 2007/05 改定

基本プラン向け ( インターネット接続管理 バックアップ メッセージ通知 ウイルス対策 Web フィルター ) 2

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

(Microsoft Word - JWAY-ISP_\220\335\222\350\203}\203j\203\205\203A\203\213_ doc)

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

1. 無線 LAN 設定情報の取得 接続に必要な SSID と暗号化キーの情報を取得します キャンパス内では開放教室の PC などを活用して取得してください 1-1 TMUNER Web サイト のトップページ ( の [ 利用者メニュー ] を選

OSI(Open Systems Interconnection)参照モデル

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

(Microsoft PowerPoint - TASKalfa256ci\274\330\260\275\336_FAX\216\363\220ME\322\260\331\223]\221\227\220\335\222\350Ver1.1.ppt)

<4D F736F F F696E74202D D352E8ED093E08AC28BAB835A834C A BAD89BB82CC8CE492F188C42E707074>

ESET Mobile Security for Android V1.1 セットアップ手順

<4D F736F F D2089E696CA8F4390B35F B838B CA816A>

Microsoft PowerPoint ラック 村上様.ppt

■POP3の廃止について

Mac OS X 10.7(Lion) 有線接続用

スライド 1

この資料は マイナンバー制度 実施にともない企業( 事業者 ) が行われることをご紹介し情報セキュリティ対策や罰則についての誤った情報のため過大な準備をされることがないようお伝えし その上で なりすまし 犯罪等防止のため自社に応じたムダの少ない情報セキュリティ対策を検討されるための資料です

2 Copyright(C) MISEC

Transcription:

ISMS Ver.1.0 (JIPDEC ) GMITS(ISO/IEC TR 13335 Guideline for the management of IT Security) 1,2,3,4 6,8,9 12,16,18 24,27,36

1 テ ータ基幹 DB 3 2 テ ータ基幹 DB 3 3 テ ータ基幹 DB 3 4 テ ータ基幹 DB 3 第 3 者がインターネット経由でシステムに侵入しテ ータを書テ ータ インターネット 改竄 2 6 ログ収集及び定期的チェック F/W 設置 テ ータハ ックアッフ き換えた IDS セキュリティホールに対しハ ッチ適用 アクセスコントロールの強化 ハ スワート 保護 ( サーハ ー ファイルetc) 接続形態の変更 ( RAS) 第 3 者がインターネット経由でシステムに侵入しテ ータを盗テ ータ インターネット 窃取 2 6 ログ収集及び定期的チェック F/W 設置 み出した IDS セキュリティホールに対しハ ッチ適用 アクセスコントロールの強化 ハ スワート 保護 ( サーハ ー ファイルetc) 接続形態の変更 ( RAS) 暗号化 未知のウィルスセキュリティホール パッチ未発行のセキュリティホール 未知のウィルスセキュリティホール パッチ未発行のセキュリティホール 第 3 者が協力会社の名前を語って社屋に侵入しすでに接続されている社内端末経由でシステムに侵入しテ ータを書き換えた テ ータ 無断侵入 改竄 1 3 ICカート 化 < 入室 > テ ータのバックアップ ICカード / 許可証の盗難 偽造 第 3 者が協力会社の名前を語って社屋に侵入しすでに接続されている社内端テ ータ末経由でシステムに侵入しテ ータを盗み出した 無断侵入 社内端末の不正使用 指紋 ( 角膜 ) 照合 < 入室 > 入館許可書 ( 写真入 ) の着用 ICカート 化 < 端末使用 > 離席時にハ スワート 付スクリーンセー バーを活用 の入館時に社員が同行する 社員のセキュリティ教育 暗証番号化 窃取 1 3 外部者の持ち込み検査 IC カート 化 < 入室 > IC カード / 許可証の盗難 偽造 指紋 ( 角膜 ) 照合 < 入室 > 入館許可書 ( 写真入 ) の着用 ICカート 化 < 端末使用 > 離席時にハ スワート 付スクリーンセー バーを活用 の入館時に社員が同行する 社員のセキュリティ教育 暗証番号化

5 テ ータ基幹 DB 3 6 テ ータ基幹 DB 3 7 DB ファイル基幹 DB 3 第 3 者がショールームで誰もいない隙に すでに接続されている営業端末を利用テ ータしてシステムに侵入しテ ータを書き換えた 第 3 者がショールームで誰もいない隙に すでに接続されている営業端末を利用テ ータ利してシステムに侵入しテ ータを盗み出した 第 3 者がサーハ 室に侵入して DB ファイルを破壊した テ ータ 営業部社内端末の不正利用 営業端末の不正利用 システム部の管理用端末の不正利用 改竄 1 3 端末設置場所を隔離テ ータのバックアップ 店内を無人にしない 離席時にはログオフ ログオフ忘れ 監視カメラ設置 カメラ故障 社員のセキュリティ教育 窃取 1 3 監視カメラ設置カメラ故障 ICカート 化 < 端末使用 > 離席時にハ スワート 付スクリーンセーバーを活用 離席時にはログオフ ログオフ忘れ 社員のセキュリティ教育 破壊 1 3 暗証番号の定期的変更テ ータのバックアップ暗証番号の漏洩 解読 IC カート 化 < 入室 > 予備機の設置 IC カード / 許可証の盗難 偽造 指紋 ( 角膜 ) 照合 ログインID/ ハ スワート の定期変更 離席時にはログオフ 社員のセキュリティ教育 8 DB ファイル基幹 DB 3 第 3 者がサーハ 室に侵入して DB ファイルを盗み出したテ ータ システム部の管理用端末の不正利用 窃取 1 3 暗証番号の定期的変更暗証番号の漏洩 解読 ICカート 化 < 入室 > ICカードの盗難 偽造 指紋 ( 角膜 ) 照合 ログインID/ ハ スワート の定期変更 離席時にはログオフ 社員のセキュリティ教育 管理用端末から外部送信できないようにする ( メーラ,FTP) 管理端末にドライブが接続できないようにする

ウィルス感染した端末経由で 9 DBファイル基幹 DB 3 DBファイルが破壊されたテ ータウィルス ( 社破壊 3 9 ウイルスチェック ウィルス対策ソフトパターンファイルの自内端末 ) 動アップデート ( 起動時 ) ( 大 ) ( 多い ) ログ収集及び定期的チェック Outlook 系メーラーの使用規制 ( セキュリティホールが多い為 ) 10 DB ファイル基幹 DB 3 11 DB ファイル基幹 DB 3 12 テ ータ基幹 DB 3 13 DB 基幹 DB 3 ウィルス感染した端末経由で DB ファイルが盗み出されたテ ータ ウィルス ( 社内端末 ) 外部テ ータを持ち込む (FD 等 ) 場合はウィ ルスチェックを実施する ハ ッチ適用 窃取 3 9 ウイルスチェック ウィルス対策ソフトパターンファイルの自動アップデート ( 起動時 ) ( 大 ) ( 多い ) Outlook 系メーラーの使用規制 ( セキュリティホールが多い為 ) ウィルス感染した端末経由で DBファイルが改ざんされたテ ータ 更新 削除を含む ウィルス ( 社内端末 ) 外部テ ータを持ち込む (FD 等 ) 場合はウィ ルスチェックを実施する ハ ッチ適用 データの暗号化 ( 重要データのみ ) 改竄 3 9 ウイルスチェック ウィルス対策ソフトパターンファイルの自動アップデート ( 起動時 ) ( 大 ) ( 多い ) ログ収集及び定期的チェック Outlook 系メーラーの使用規制 ( セキュリティホールが多い為 ) 社内の内部者がインターネット経由でシステムに侵入しテ ータを書き換えた テ ータ 外部テ ータを持ち込む (FD 等 ) 場合はウィ ルスチェックを実施する ハ ッチ適用 テ ータのバックアップ テ ータのバックアップ 内部者 ( 社員 関インターネット 改竄 1 3 ログ収集及び定期的チェック 社員のセキュリティ教育 テ ータのバックアップ 係会社 ) ( 大 ) ( 少ない ) IDS 営業部の社員が企画部の社員の ID/PASSWORD を不正に入手して基幹系 DB にアクセスした テ ータ 営業部の社員 ID/PASSW 不正アクセ ORDの不ス正取得 1 3 ログ収集及び定期的チェック 社員のセキュリティ教育 ( パスワードの管理方法など ) ( 大 ) ( 少ない ) ログインID/ ハ スワート の定期変更 ICカート / 指紋 ( 角膜 ) 照合 14 テ ータ 情報系 DB 3 第 3 者がインターネット経由でシステムに侵入しテ ータを書テ ータ インターネット 改竄 2 6 ログ収集及び定期的チェック F/W 設置 テ ータハ ックアッフ き換えた ( 大 ) <1と同じ> ( 普通 ) IDS セキュリティホールに対しハ ッチ適用 アクセスコントロールの強化 ハ スワート 保護 ( サーハ ー ファイルetc) 接続形態の変更 ( RAS) 15 テ ータ 情報系 DB 3 第 3 者がインターネット経由でシステムに侵入しテ ータを盗テ ータ インターネット 窃取 2 6 ログ収集及び定期的チェック F/W 設置 み出した ( 大 ) <2と同じ> ( 普通 ) IDS セキュリティホールに対しハ ッチ適用 アクセスコントロールの強化 ハ スワート 保護 ( サーハ ー ファイルetc) 接続形態の変更 ( RAS) 暗号化

資産 所在地 資産価値 脅威 対象 攻撃者 手段 脅威 発生頻度 リスク値 検知 防止 復旧 残存リスク 16 テ ータ 情報系 DB 3 第 3 者が協力会社の名前無断侵を語って社屋に侵入しすで ICカート 入館許可書の紛失 ( 偽入 社内に接続されている社内端テ ータ改竄 1 3 ICカート 化 < 入室 > テ ータのバックアップ造 ) 時のリスク ( 入室 機器破壊 ) 端末の不末経由でシステムに侵入しのみ正使用テ ータを書き換えた ( 大 ) <3と同じ> ( 少ない ) 指紋 ( 角膜 ) 照合 < 入室 > 入館許可書 ( 写真入 ) の着用 ICカート 化 < 端末使用 > 離席時にハ スワート 付スクリーンセーバーを活用 の入館時に社員が同行する 社員のセキュリティ教育 暗証番号化 17 テ ータ 情報系 DB 3 第 3 者が協力会社の名前無断侵を語って社屋に侵入しすで入 社内に接続されている社内端テ ータ端末の不末経由でシステムに侵入し正使用テ ータを盗み出した 窃取 1 3 外部者の持ち込み検査 ICカート 化 < 入室 > ( 大 ) <4と同じ> ( 少ない ) 指紋 ( 角膜 ) 照合 < 入室 > 入館許可書 ( 写真入 ) の着用 ICカート 化 < 端末使用 > 離席時にハ スワート 付スクリーンセーバーを活用 の入館時に社員が同行する 社員のセキュリティ教育 暗証番号化 18 テ ータ情報系 DB 3 19 テ ータ情報系 DB 3 第 3 者がショールームで誰もいない隙に すでに接続されている営業端末を利用テ ータ利してシステムに侵入しテ ータを書き換えた 営業端末の不正利用 改竄 1 3 端末設置場所を隔離テ ータのバックアップ特になし ( 大 ) <5と同じ> ( 少ない ) 店内を無人にしない 離席時にはログオフ 監視カメラ設置 社員のセキュリティ教育 第 3 者がショールームで誰 もいない隙に すでに接続されている営業端末を利用テ ータ 営業端末の不正利 窃取 2 6 監視カメラ設置 利してシステムに侵入しテ ータを盗み出した 用 <6と同じ> ICカート 化 < 端末使用 > 離席時にハ スワート 付スクリーンセーバーを活用 離席時にはログオフ 社員のセキュリティ教育 IC カート 入館許可書の紛失 ( 偽造 ) 時のリスク ( 入室 機器破壊 ) のみ ショールームでの人手が少ない頃を見計らって端末から情報を取得

20 DB ファイル情報系 DB 3 第 3 者がサーハ 室に侵入して DB ファイルを破壊した テ ータ システム部の管理用端末の不正利用 破壊 2 6 暗証番号の定期的変更テ ータのバックアップ <7と同じ> ICカート 化 < 入室 > 予備機の設置 指紋 ( 角膜 ) 照合 入室許可をもった内部スタッフによる意図的破壊行為 ログイン ID/ ハ スワート の定期変更 21 DBファイル情報系 DB 3 22 DBファイル情報系 DB 3 23 DBファイル情報系 DB 3 24 DBファイル情報系 DB 3 第 3 者がサーハ 室に侵入して DB ファイルを盗み出したテ ータ システム部の管理用端末の不正利用 離席時にはログオフ 社員のセキュリティ教育 窃取 2 6 暗証番号の定期的変更 <8と同じ> ICカート 化 < 入室 > 指紋 ( 角膜 ) 照合 ログインID/ ハ スワート の定期変更 離席時にはログオフ 社員のセキュリティ教育 管理用端末から外部送信できないようにする ( メーラ,FTP) 管理端末にドライブが接続できないようにする ウィルス感染した端末経由で DBファイルが破壊されたテ ータウィルス ( 社破壊 3 9 ウイルスチェック ウィルス対策ソフトパターンファイルの自内端末 ) 動アップデート ( 起動時 ) <9と同じ> ログ収集及び定期的チェック Outlook 系メーラーの使用規制 ( セキュリティホールが多い為 ) ウィルス感染した端末経由で DB ファイルが盗み出されたテ ータ ウィルス ( 社内端末 ) 外部テ ータを持ち込む (FD 等 ) 場合はウィ ルスチェックを実施する ハ ッチ適用 窃取 3 9 ウイルスチェック ウィルス対策ソフトパターンファイルの自動アップデート ( 起動時 ) <10 と同じ > Outlook 系メーラーの使用規制 ( セキュリティホールが多い為 ) ウィルス感染した端末経由で DBファイルが改ざんされたテ ータ 更新 削除を含む ウィルス ( 社内端末 ) 外部テ ータを持ち込む (FD 等 ) 場合はウィ ルスチェックを実施する ハ ッチ適用 データの暗号化 ( 重要データのみ ) 改竄 3 9 ウイルスチェック ウィルス対策ソフトパターンファイルの自動アップデート ( 起動時 ) <11 と同じ > ログ収集及び定期的チェック Outlook 系メーラーの使用規制 ( セキュリティホールが多い為 ) 外部テ ータを持ち込む (FD 等 ) 場合はウィ ルスチェックを実施する ハ ッチ適用 テ ータのバックアップ テ ータのバックアップ 入室許可をもった内部スタッフによる意図的破壊行為 未確認のウイルスへの感染 未確認のウイルスへの感染 未確認のウイルスへの感染

25 テ ータ情報系 DB 3 26 情報系 DB 情報系 DB 3 27 ホームページ情報 28 サーハ ー情報 一般公開 HP サーハ 一般公開 HP サーハ 2 2 社員がインターネット経由でシステムに侵入しテ ータを書きテ ータ換えた 内部者 ( 社員 関インターネット 改竄 1 3 ログ収集及び定期的チェック 社員のセキュリティ教育 テ ータのバックアップ 内部犯行 係会社 ) <12 と同じ > IDS 企画部の社員が営業部の社員の ID/PASSWORD を不正に入手して情報系 DB にアクセスした テ ータ 営業部の社員 ID/PASSW 不正アクセ ORDの不ス正取得 1 3 ログ収集及び定期的チェック 社員のセキュリティ教育 ( パスワードの管理方法など ) <13と同じ> ログインID/ ハ スワート の定期変更 ICカート / 指紋 ( 角膜 ) 照合 第 3 者がインターネット経由で フィルタリンク (F/W) の設定公開用ホームページを書き HPテ ータインターネット改竄 3 6 ログ収集及び定期的チェック ( ポート80のみ許容 ) 換えた ハ ックアッフ 未確認の脆弱性を利用した改竄 認証 / アクセス制御 改竄摘出ツールの適用 ハ ッチ適用 第 3 者がインターネット経由で 一般公開 HP 用サーハ を踏み他サーハ の他社サーハ インターネット台にして他社のサーハ を攻攻撃 3 6 ログ収集及び定期的チェック ファイアーウォール 未確認の脆弱性を利用した改竄 撃 ウィルスチェック 内部犯行 29 DB 一般公開 HP サーハ ユーザID 一般公開 HP 30 ハ スワート ファサーハ イル ユーザID 一般公開 HP 31 ハ スワート ファサーハ までのイル経路 2 3 3 第 3 者がインターネット経由でホームページの DB を盗み出した がインターネット経由で社員のユーザID ハ スワート ID/PASSW ファイルを盗み出して社内 ORD システムにアクセスした がインターネット経由で社員のユーザID ハ スワート ID/PASSW ファイルを盗み出して社内 ORD システムにアクセスした HP テ ータインターネット窃盗 1 2 影響なしのため不要 ハ ッチ適用定期的にフ ロク ラムチェック ( 有無 タイムスタン フ サイス ) 影響なしのため対策なし ( 個人情報なし ) インターネット窃盗 3 9 ログ収集及び定期的チェック ファイアーウォール未確認の脆弱性を利用した窃取 IDS パッチ適用 暗号化 インターネット窃盗 1 3 SSL を使用する未確認の脆弱性 - なし 32 ファイル社内端末 2 33 ファイル社内端末 2 社員がWeb 閲覧中にパソコ PC 社員 Web 閲覧ンがウィルス感染した ウィルス感染した社内端末か取引会社ら 社員及び取引会社宛に PC/ 社内 P 社内端末メールウィルスメールが送信された C ウィルス感染 ウィルス感染 3 6 ウィルス対策ソフトパターンファイルの自動アップデート ( 起動時 ) パッチ適用 Webアクセスの規制 3 6 ウィルスメールを送信しない機能の導入 ( サーバ ) ウィルス対策ソフトパターンファイルの自動アップデート ( 起動時 ) Outlook 系メーラーの使用規制 ( セキュリティホールが多い為 ) 外部テ ータを持ち込む (FD 等 ) 場合はウィルスチェックを実施する 未知のウィルス 未知のウィルス 未確認の脆弱性

34 PC 2 35 PC 本社ビル 2 36 顧客情報 37 メールの内容 38 メール 39 ハ スワート 40 メール 41 ハ スワート 42 43 44 営業マン携帯 PC 営業マン携帯 PC 営業マン携帯 PC 営業マン携帯 PC 営業マン携帯 PC 営業マン携帯 PC 社内機密文本社ビル 3 書 ( 紙 ) 社内一般文本社ビル 2 書 ( 紙 ) 社内一般文本社ビル 2 書 ( 紙 ) 45 社内テ ータ基幹 DB 3 3 社員がウィルスメールを受信し 感染した 社内 PC メール 協力会社の社員がパソコンをネットワークに接続し 本社ビル内そこからウィルスファイルが社 PC 内に紛れ込んだ ウィルス ウィルス感染 ウィルス感染 3 6 ウィルスメールを受信しない機能の導入 ( サーバ ) ウィルス対策ソフトパターンファイルの自動アップデート ( 起動時 ) Outlook 系メーラーの使用規制 ( セキュリティホールが多い為 ) 外部テ ータを持ち込む (FD 等 ) 場合はウィルスチェックを実施する 未知のウィルス 未確認の脆弱性 3 6 ウイルスチェック PC のビル内持込禁止警戒情報の通知 PC 持込みチェック漏れ ログ収集及び定期的チェック 協力会社社員のセキュリティ教育 PC のネットワーク接続の対策強化 ( 許可された PC の表示 ) 感染により生じた問題の除去全マシンのウイルスチェック 第 3 者に盗まれて ハードディスク内の顧客情報が流顧客情報 物理的に 窃盗 2 6 PCの持ち出し管理 自己管理の徹底 失した 暗号化ソフトの使用 暗号解読 2 メールの内容が盗聴されたメールメール窃盗 2 4 ( 不可 ) 暗号化ソフトの使用 ( 不可 ) 暗号解読 2 3 2 3 ショールームに戻って無線 LAN で接続中にメールが盗聴された メールメール窃盗 2 4 ( 不可 ) 暗号化ソフトの使用 ( 不可 ) 暗号解読 ショールームに戻って無線 LANで接続中にハ スワート がハ スワート LAN 窃盗 2 6 ( 不可 ) 暗号化ソフトの使用 ( 不可 ) 暗号解読 盗聴された PHS でインターネット接続中にメールが盗聴された PHS でインターネット接続中にハ スワート が盗聴された 本社社員が社内文書 ( 紙 ) を不正に持ち出した 協力会社の社員が社内文書 ( 紙 ) を不正に持ち出した が社内文書 ( 紙 ) を不正に持ち出した 企画部の社員が社内テ ータを不正に電子メールで社外に持ち出した メールメール窃盗 2 4 ( 不可 ) 暗号化ソフトの使用 ( 不可 ) 暗号解読 ハ スワート インターネット窃盗 2 6 暗号化ソフトの使用暗号解読 社内文書 本社社員 物理的に 窃盗 1 3 機密文書管理の徹底 ( 番号管理 廃棄方法 ) ( 机上整理 機密情報の鍵管理 ) 社員のセキュリティ教育 社内文書 協力会社文書管理の徹底物理的に窃盗 1 2 社員 ( 机上整理 機密情報の鍵管理 ) 協力会社社員のセキュリティ教育 社内文書 来客者 物理的に 窃盗 1 2 文書管理の徹底 ( 机上整理 機密情報の鍵管理 ) の入室規制 社内テ ータ本社社員メール窃盗 1 3 ログ収集及び定期的チェック 社員のセキュリティ教育 悪意による持ち出し 悪意による持ち出し 悪意による持ち出し テ ータアクセスログの記録 事後対処となる可能性 社外へのメールは上司にCC 社外へのメール規制

46 社内テ ータ基幹 DB 3 47 社内テ ータ基幹 DB 3 48 社内テ ータ基幹 DB 3 49 顧客テ ータ基幹 DB 3 50 社内テ ータ情報 DB 3 51 52 一般公開 HP サーハ 一般公開 HP サーハ 一般公開 HP サーハ 一般公開 HP サーハ 協力会社の社員が社内テ ータを不正に電子メールで社外に持ち出した 企画部の社員が社内テ ータを不正に FD で社外に持ち出した 協力会社の社員が社内テ ータを不正に FD で社外に持ち出した 協力会社の社員が管理用端末を使用して顧客テ ータを持ち出した 第 3 者がショールームの社内端末で社内情報を盗み見た 2 第 3 者から PING 攻撃 2 第 3 者から DoS 攻撃 社内テ ータ 協力会社社員 メール窃盗 1 3 ログ収集及び定期的チェック 協力会社用 ID の設定 社内テ ータ本社社員 FD 窃盗 1 3 ログ収集及び定期的チェック 社員のセキュリティ教育 社内テ ータ 顧客テ ータ 協力会社社員 協力会社社員 FD 窃盗 1 3 ログ収集及び定期的チェック 協力会社用 ID の設定 システム部の管理用端末の不正利用 窃盗 1 3 協力会社用 ID の設定 協力会社社員のセキュリティ教育 テ ータアクセスログの記録 事後対処となる可能性 テ ータアクセスの規制 協力会社社員のメール使用禁止 テ ータアクセスログの記録 事後対処となる可能性 FDドライブを本体より撤去 協力会社社員のセキュリティ教育 テ ータアクセスログの記録 事後対処となる可能性 テ ータアクセスの規制 FDドライブを本体より撤去 ログ収集及び定期的チェック 協力会社社員のセキュリティ教育 テ ータアクセスログの記録 事後対処となる可能性 データの暗号化 暗号化 文書管理ツール (ID パスワード要 ) の導入 社内テ ータ目窃盗 1 3 監視カメラ設置 ハ スワート 付きスクリーンセーバー 一般公開 HP 一般公開 HP インターネット インターネット 不正アクセス 不正アクセス 離席時はログオフ ログオフ忘れ 端末設置場所を隔離 データの暗号化 暗号化 文書管理ツール (ID パスワード要 ) の導入 2 4 ログ収集及び定期的チェック ファイアーウォール 0 パッチ適用 不要サービスの停止 2 4 ログ収集及び定期的チェック ファイアーウォール パッチ適用 未知のウィルスセキュリティホール パッチ未発行のセキュリティホール 未知のウィルスセキュリティホールパッチ未発行のセキュリティホール

53 ノートパソコン 本社ビル 2 社員がノートパソコンを不正に持ち出した ノートパソコン 本社社員物理的に窃盗 1 2 PC のビル外持出禁止悪意による持出し 54 社内機密文本社ビル 3 書 第 3 者が社員証を不正に取得し本社に入り込み社内文書を持ち出した 社内 社員証の不正取得 社員のセキュリティ教育 侵入 1 3 監視カメラ設置 IC 内蔵社員証 ( 写真入 ) への移行悪意による持出し

15 xx xx 15 xx xx

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック