サイバーセキュリティとその対策

Similar documents
スライド 1

アジェンダ はクラウド上でも十分使えます 1. の概要 とは の導入事例 で利用される構成 2. をクラウドで使う クラウドサービスの分類 Amazon Web Services による構成例 2

また 今後も申請があったものから順次 審査を行い 情報開示が適切と判断されるサービスを認定していく予定です 医療情報 ASP SaaS 申請 :1 件 (1 事業者 ) No サービスの名称事業者の名称サービスの概要 1 カナミッククラウドサービス 株式会社カナミックネットワーク 介護業務において他

クラウドサービスの安全・信頼性に係る情報開示認定制度の認定サービス開示情報

KSforWindowsServerのご紹介

ITを活用した業務改善

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

Fujitsu Standard Tool

Microsoft PowerPoint - ã…Šã…¬ã…fiㅥㅼ盋_MVISONCloud製åfi†ç´¹ä»‰.pptx

Ⅲ 第 43 期監査報告書等 監査報告書 私たち監事は 平成 27 年 9 月 1 日から平成 28 年 8 月 31 日までの第 43 期事業年度にお ける理事の職務の執行を監査いたしました その方法及び結果につき以下のとおり報告い たします 1. 監査の方法及びその内容私たち監事は 理事及び使用

<4D F736F F F696E74202D E291AB8E9197BF A F82CC8A A390698DF42E707074>

ISMS認証機関認定基準及び指針

Automation for Everyone <デモ で実感できる、組織全体で活用できるAnsible Tower>

Dräger CSE Connect ???_ja

2017 年 6 月 14 日 スムーズな API 連携でデジタルビジネスを推進する API Gateway as a Service の提供を開始 ~ 外部との API 接続を容易にし xtech ビジネス連携を加速 ~ NTT コミュニケーションズ ( 以下 NTT Com) は 複数のシステム

PowerPoint プレゼンテーション

クラウドコンピューティングに関する通達及びQ&Aについて


J-SOX 自己点検評価プロセスの構築

クラウドのサービスモデル・実装モデル

PassSureExam Best Exam Questions & Valid Exam Torrent & Pass for Sure

チェックリスト Ver.4.0 回答の 書き方ガイド 国立情報学研究所クラウド支援室

2015 年 5 月 11 日 特定非営利活動法人日本セキュリティ監査協会 NEWS RELEASE CS シルバーマークの発行について クラウド情報セキュリティ監査制度に基づき 7 会員のクラウドサービス に対する情報セキュリティ監査を認定し CS シルバーマークの使用を許諾 特定非営利活動法人日

このガイドラインは 財務計算に関する書類その他の情報の適正性を確保するための体制に関する留意事項 ( 制定 発出時点において最適と考えられる法令解釈 運用等 ) を示したものである 第一章 総則 1-1 財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令 ( 平成 19 年

IT IT 1 YEFIM V. NATIS GARTNER Amazon ebay Amazon E FAO Schwarz LED E IoT Red Hat IT Gartner Gartner Newsroom

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

マッシュアップ時代の情報セキュリティの考え方とガイドラインの活用

Exam4Docs Get your certification with ease by studying with our valid and latest training material.

スライド 1

項目記載事項必須 1.4 非機能性 更新業務仕様書の 3-4 非機能要件 を踏まえ 提案するシステムに関して 基本的な考え方や方針 アピールポイント等を簡潔かつ明瞭に記述すること 3-4 非機能要件 の (1) から (4) に区分し すべての項目について記述すること 1.5 他システム連携 更新業

スキル領域 職種 : ソフトウェアデベロップメント スキル領域と SWD 経済産業省, 独立行政法人情報処理推進機構

監査に関する品質管理基準の設定に係る意見書

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

プレゼンタイトルを入力してください

セキュリティ委員会活動報告

統合運用管理ソフトウェア Systemwalker 総合カタログ

取組みの背景 これまでの流れ 平成 27 年 6 月 日本再興戦略 改訂 2015 の閣議決定 ( 訪日外国人からの 日本の Wi-Fi サービスは使い難い との声を受け ) 戦略市場創造プラン における新たに講ずべき具体的施策として 事業者の垣根を越えた認証手続きの簡素化 が盛り込まれる 平成 2

Microsoft Azure Microsoft Corporation Global Blackbelt Sales Japan OSS TSP Rio Fujita

アジェンダ 注目のキーワード SDN SD-WANの登場 SD-WAN 導入の課題 SD-WAN 検討ポイント 導入事例紹介

ニフティクラウド mobile backend 概要 サービス名 : ニフティクラウド mobile backend ( ニフティクラウドモバイルバックエンド ) アドレス : 利用対象者 : スマートフォンアプリを開発する個人および企業 基本仕

FUJITSU Cloud Service for OSS 「ログ監査サービス」 ご紹介資料

Data Security and Privacy Principles

ライフサイクル管理 Systemwalker Centric Manager カタログ

品質マニュアル(サンプル)|株式会社ハピネックス

大規模災害等に備えたバックアップや通信回線の考慮 庁舎内への保存等の構成について示すこと 1.5. 事業継続 事業者もしくは構成企業 製品製造元等の破綻等により サービスの継続が困難となった場合において それぞれのパターン毎に 具体的な対策を示すこと 事業者の破綻時には第三者へサービスの提供を引き継

Microsoft PowerPoint - 03 【別紙1】実施計画案概要v5 - コピー.pptx

Server and Cloud Platform template

PowerPoint Presentation

PowerPoint Presentation

開発者向けクラウドサービスを活用したリッチな Web/ モバイル アプリケーションの構築手法 杉達也 Fusion Middleware 事業統括本部担当ディレクター [2013 年 4 月 9 日 ] [ 東京 ]

3 参照基準次に掲げる基準は この基準に引用される限りにおいて この基準の一部となる - プライバシーマーク付与適格性審査実施規程 - プライバシーマーク制度における欠格事項及び判断基準 (JIPDEC) 4 一般要求事項 4.1 組織 審査業務の独立性審査機関は 役員の構成又は審査業務

提案をこの機会に再度強調するべく 28 年度版に対するパブリックコメントを以下に別紙として添付致します 政府機関の目的達成を安全に支援するためにクラウドコンピューティングがこれまで以上に重視されていることは明らかであり NISC が産業界の懸念を 30 年度版に反映してくださるよう求めます 我々は特

1

マイナンバー制度 実務対応 チェックリスト

1 一般市 町村等 ( 人口 20 万未満 ) におけるシステム共同化の課題の検討 資料 10 現状で 自治体クラウドによるシステム共同化が比較的進んでいる一般市 町村等 ( 人口 20 万未満 ) について システム共同化に至っていない団体は どのような点を課題と認識しているのか 一方で その課題

個人情報保護法の3年ごと見直しに向けて

PowerPoint プレゼンテーション

ISO9001:2015規格要求事項解説テキスト(サンプル) 株式会社ハピネックス提供資料

2-3. 上記 2-2 以外の利用目的は以下の通りです 利用目的対応する利用者情報の項目 (1) 当社のサービスに関連して 個人を識別できない 端末情報形式に加工した統計データを作成するため ログ情報 Cookie 及び匿名 ID 位置情報 (2) 当社又は第三者の広告の配信又は表示のため 端末情報

タイトルを1~2行で入力 (長文の場合はフォントサイズを縮小)

ISO19011の概要について

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

OpenLAB Data Store Release Notes

ネットワンシステムズ会社概要 従業員 2,3 0 名 売上 1,6 1 億円 事業拠点国内 17 拠点 グループ会社国内 2 海外 2 NetOneSystemsUSA,Inc. NetOneSystemsSingaporePte.Ltd. トップベンダーと強固なリレーションによる先進技術の利活 推

事業者が行うべき措置については 匿名加工情報の作成に携わる者 ( 以下 作成従事者 という ) を限定するなどの社内規定の策定 作成従事者等の監督体制の整備 個人情報から削除した事項及び加工方法に関する情報へのアクセス制御 不正アクセス対策等を行うことが考えられるが 規定ぶりについて今後具体的に検討


<4D F736F F F696E74202D2091E6368FCD5F95F18D908B7982D D815B >

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

1 情報セキュリティ評価について 情報セキュリティ対策ベンチマーク ISMS 適合性評価制度 情報セキュリティ監査は いずれも 組織が構築した情報セキュリティマネジメントを評価するものである 本項では これらの情報セキュリティ評価について その概要や特徴について述べる これら評価の準拠する規格は 情

PowerPoint Presentation

コース番号:

PowerPoint プレゼンテーション

CCM (Cloud Control Matrix) の役割と使い方

<4D F736F F F696E74202D DB293A190E690B C835B83938E9197BF81698CF68A4A A2E >

Presentation Template Koji Komatsu

1. 元職員による働きかけの規制 ( 第 38 条の 2 関係 )1 1 離職後に営利企業等 1に再就職した元職員(= 再就職者 ) は 離職前 5 年間に在職していた地方公共団体の執行機関の組織等 2の職員に対して 当該営利企業等又はその子法人と在職していた地方公共団体との間の契約等事務 3につい

特定個人情報の取扱いの対応について

Symantec Backup Exec TM 2010 の管理スタディガイド Symantec Backup Exec 2010 テクニカルアセスメント資格試験の目的と 参考となる Symantec Backup Exec 2010 コースの内容を下記の表で確認できます Symantec Back

スライド 1

適用時期 5. 本実務対応報告は 公表日以後最初に終了する事業年度のみに適用する ただし 平成 28 年 4 月 1 日以後最初に終了する事業年度が本実務対応報告の公表日前に終了している場合には 当該事業年度に本実務対応報告を適用することができる 議決 6. 本実務対応報告は 第 338 回企業会計

置などに関する乙が保有する情報を提供します 5. サービス時間帯乙の甲に対する本サポートサービスの実施時間帯は以下のとおりとします (1) 前項第 (1) 号の問題解決支援の実施時間帯は 以下のとおりとします a. 電話での質問 相談の受付の時間帯は 9:00~17:00( ただし 土日 祝日 当社

データマネジメントを取り巻く IT の課題 大規模データの実践的活用に向けて レッドハット株式会社 Senior Solution Architect and Cloud Evangelist 中井悦司 2012/04/13 version1.0

個人情報保護規定

ArcGIS for Server 機能比較表

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

大学ICT推進協議会 年次大会予稿用 テンプレート

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

はいたっく2018-4

Microsoft Word - (情報システム係修正)情報システムの導入と廃棄の作業マニュアル

特定個人情報の取扱いの対応について

Windows Server 2016 ライセンス体系に関するデータシート 製品の概要 Windows Server 2016 は 準備が整った時点でクラウドコンピューティングへ簡単に移行できる新しいテクノロジを導入すると同時に 現在のワークロードをサポートするクラウドレディのオペレーティングシステ

修-CIA Exam Change Handbook_FAQs_ indd

作成日 :2017/03/29 ******************************************************************************* ** ** ** FUJITSU Cloud Service K5 ** ** ** ** ソフトウェアカフ

自己紹介 八幡孝 ( やはたたかし ) 株式会社オージス総研 ThemiStruct ソリューション開発リードアーキテクト ThemiStruct 関連サービスの東日本エリア責任者 OpenAM コンソーシアム活動メンバー OpenID ファウンデーション ジャパン Enterprise Ident

Congress Deep Dive

FUJITSU Cloud Service K5 認証サービス サービス仕様書

ICT-ISACにおけるIoTセキュリティの取組について

untitle

マルチクラウド環境の最適解! ネットワンの セキュリティサービス 2018 年 12 月 13 日ネットワンシステムズ株式会社ビジネス推進本部商品企画部セキュリティチーム兼松智也

Transcription:

情報システムの動向に対応する自治体監査 2017 年 5 月 30 日特定非営利活動法人日本セキュリティ監査協会事務局長 / 公認情報セキュリティ主席監査人永宮直史 1

情報システムの動向 オープン化 ネットワーク化の深化 仮想化技術による低廉で潤沢なリソースの活用 ビッグデータ解析によるリアルタイム最適サービスの提供 IoT FinTechの普及 PII( 個人識別子 ) 管理の重要性の拡大 欧米での規制の強化 ( 一般データ保護規則 ) マイナンバー制度 改正個人情報保護法 サイバーセキュリティ対策の高度化 専門化 アンチウィルスソフトからふるまい検知へ 検疫体制から CIRT 体制へ 2

選択と集中 PII管理の重要性の 拡大 オープン化 ネットワー ク化の深化 守るべきものへ集中 外部サービスの選択 コンピュータリソース サイバーセキュリティ対 策の高度化 専門化 高度専門サービス 3

外部サービスのクラウド化 as a Service の利点 Network と標準化による低廉 高品質 (World Wide) リソースの集中 (Man & Machin) 技術の高度化 必要な時に必要な分だけ使える手軽さ As a Service の例 AI-as-a-service : AI as a Service ( 人工知能提供サービス ) SECaaS : Security as a Service ( 監視サービスなど ) IDaaS : Identity as a Service ( アイデンティティ管理 OpenID プロバイダーなど ) LaaS : Logging as a Service ( ログ集約 ) 4

CaaS : Communications as a Service ( 通信 ビデオ会議 WEB 会議など ) CompaaS : Compute as a Service (IaaS のうち Server 貸し ) DSaaS : Data Storage as a Service (Storage サービス ) IaaS : Infrastructure as a Service ( 仮想マシンとネットワーク環境 ) NaaS : Network as a Service (ISP) PaaS : Platform as a Service ( アプリケーションの稼働基盤であるアプリケーションサーバやDBMS) SaaS : Software as a Service ( ソフトウェア機能全般 ) ( 資料 :ISO/IEC17788:2014) AI-as-a-service : AI as a Service ( 人工知能提供サービス ) SECaaS : Security as a Service ( 監視サービスなど ) FaaS : Finance as a Service (Fintech) HaaS : Healthcare as a Service (Healthcareに特化したクラウドサービス) ( 資料 :Web 検索 ) AaaS : Analytics as a Service ( 統計 解析 ) BaaS : Backend as a Service ( ユーザー認証 位置情報サービス プッシュ通知など ) BaaS : Backup as a Service ( バックアップ ) CI-aaS : CI as a Service ( 継続的インテグレーション ) DaaS : Data as a Service ( データ全体 ) DaaS : Desktop as a Service ( デスクトップ環境 ) DBaaS : Database as a Service ( データベース ) EaaS : Exploits as a Service ( セキュリティ攻撃ツール マルウェア ) HaaS : Hardware as a Service ( ハードウェア IaaS とほぼ同じ ) IDaaS : Identity as a Service ( アイデンティティ管理 OpenID プロバイダーなど ) LaaS : Logging as a Service ( ログ集約 ) MBaaS : Mobile backend as a Service (Backend as a Service で 特にモバイルアプリケーションでの利用を想定したもの ) SaaS : Storage as a Service ( ストレージ ) TaaS : Tool as a Service ( 開発ツール ) ( 資料 :Clara Online Blog 吉村氏 2014/12/16) 5

外部サービス利用の管理 野良クラウドの撲滅 背景 クラウドと名乗らないクラウドサービスの広がり 安易なサービス利用の横行 対策 URLの管理 利用前の事前申請 安全なサービスの基準の明確化 (ISO/IEC27017の活用) クラウド利用基準の明確化 政府統一基準などを例に策定 6

政府統一基準におけるクラウド利用の基準 政府機関でもクラウドサービスの本格利用に向け 利用基準を明示 政府統一基準で 6 つの基準が提示されている 1. 情報の格付けに従ったクラウドサービス利用の判断 a. 情報システムセキュリティ責任者は クラウドサービス ( 民間事業者が提供するものに限らず 政府が自ら提供するものを含む 以下同じ ) を利用するに当たり 取り扱う情報の格付及び取扱制限を踏まえ 情報の取扱いを委ねることの可否を判断すること 2. 外国法が適用されるリスクの評価 b. 情報システムセキュリティ責任者は クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用されるリスクを評価して委託先を選定し 必要に応じて委託事業の実施場所及び契約に定める準拠法 裁判管轄を指定すること 3. サービス中断時 終了時の円滑な業務の移管 c. 情報システムセキュリティ責任者は クラウドサービスの中断や終了時に円滑に業務を移行するための対策を検討し 委託先を選定する際の要件とすること 4. 情報流通経路全般にわたったセキュリティ設計 セキュリティ要件 d. 情報システムセキュリティ責任者は クラウドサービスの特性を考慮した上で クラウドサービス部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう 情報の流通経路全般を見渡した形でセキュリティ設計を行った上でセキュリティ要件を定めること 5. 監査報告の内容や認証制度の適用状況を踏まえた事業者の信頼性の評価 e. 情報システムセキュリティ責任者は クラウドサービスに対する情報セキュリティ監査による報告書の内容 各種の認定 認証制度の適用状況等から クラウドサービス及び当該サービスの委託先の信頼性が十分であることを総合的 客観的に評価し判断すること ( 出典 ) 政府機関における情報セキュリティ統一基準 P28 7

監査の重要性 認証の限界 監査の重要性 サプライヤー監査の必要性 クラウドサービスは組織の基幹的な情報を扱うサービスなので 本来 利用者が自身で監査すべきもの クラウドサービスプロバイダが行った監査を確認する 多数の利用者を抱えるプロバイダーが個別の監査要求に応えることは現実的でない その代わりにクラウドサービスプロバイダが監査を行いその結果を開示することが多い クラウドサービスプロバイダの監査が信頼できるかを確認し その結果を読み込むことが重要 8

監査プロセスの透明性と確認のポイント 情報セキュリティ対策の立案 実施 評価の全プロセスを可視化することが重要 下記の点を確認 1 2 3 4 5 6 7 8 9 10 11 内部監査人は クラウドサービスカスタマが十分であるといえる力量をもっているか 内部監査人は 組織内において監査人として保護され 中立的な意見を述べられる環境にあるか 管理策は個別のリスクに合理的に紐づいているか クラウドコンピューティングの技術的な階層構造ごとに リスク分析が行われ適切な管理策が選択されているか 管理策の実施にあたって クラウドサービスカスタマがどの実施の手引の項目を階層ごとに適用しているか 上記 5 の適用で 管理策が期待する効果を発揮できるか 管理策の設計および運用責任者が明確であり 監査はこれらの人に対して行っているか 監査の証拠は 5 の詳細な内容ごとに十分な質と量にあるか 監査の証拠に基づく事実の認定は合理的か 事実の認定に基づく管理策の有効性の判定が合理的か 監査に係る文書は情報セキュリティ監査基準に従った適正なものか 9

制度に裏付けられた監査の利用 監査が信頼できるかの確認には相応の負荷がかかるが 制度に裏付けられていれば その部分が簡略化できる No. 名称概要優れた点考慮点主体 1 SOC; サービス オーガニゼーション コントロール 2 CS ゴールドマーク ; クラウド情報セキュティ監査適合監査 独立した組織の監査人がクラウド事業者を監査し 報告する方式 事業者の内部監査人が行った監査を 外部の監査人が評価し その結果に基づいて一定の水準にあると認める方式 完全な公正さ 技術的評価の高さ 適度な負担 - 時期 費用 技術的評価の専門性 費用等負担の大きさ 公正さ - 監査品質含む AICPA; 米国公認会計士協会 JASA; 日本セキュリティ監査協会 参考 CS シルバーマーク ; クラウド情報セキュティ監査自主監査 JASA が定めた標準に従って 事業者が行う内部監査 技術的評価の高さ 負担の軽さ - 時期 費用 範囲 透明性 JASA; 日本セキュリティ監査協会 SOC の場合には ISO/IEC27017 準拠ではないので 対象の確認が必要 10

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック