どこまでやるのセキュリティ 守るべき情報 に応じた 情報漏えい対策の検討 2014 年度研究活動関 3 グループ 株式会社ノエビアホールディングス松原 太けいしんシステムリサーチ株式会社永 喜洋
ユニシス研究会関 3G について メンバー構成 名 所 属 会 社 役割 松原 太 株式会社ノエビアホールディングス リーダー 永 喜洋 けいしんシステムリサーチ株式会社 サブリーダー 室井 昭広 因幡電機産業株式会社 川 智治 G&Uシステムサービス株式会社 粟野 恵介 松本 靖 本ユニシス株式会社 アドバイザー 中 和宏 本ユニシス株式会社 アドバイザー 2
アジェンダ 1. 研究テーマ選定 2. 指すべきゴールとゴールへのアプローチ 3. セキュリティ基準の作成 4. セキュリティ基準の検証 5. まとめ 3
研究テーマ どこまでやるの セキュリティ 選定背景 関 部はユニシス研究会史上初 分野別エントリー 式 メンバー募集時は 情報セキュリティに関する研究 ステップ1 ブレインストーミング の会社へWAF(WebApllicationFirewall) 導 の提案をしたが 上司から却下された どうすれば良いのか却下理由 費 WAF or IPS/IDS 4
研究テーマ テーマ候補 IE の脆弱性 業務効率 利便性 社のセキュリティ対策の有効性 クレジットカードのセキュリティ スマートデバイス 費 対効果 情報漏えい 組み込み機器セキュリティ 災害時の備え 5
研究テーマ テーマ候補 社のセキュリティ対策の有効性 業務効率 利便性 費 対効果 分? 不 分? セキュリティとどちらを優先? どこまで費 をかけるべき? 6
研究テーマ テーマ候補 社のセキュリティ対策の有効性 基準と 較して過不 確認! 業務効率 利便性 不便でも基準通りに! 費 対効果 費 に 合わないと思っても基準通りに! 7
研究テーマ 採るべきセキュリティ対策の基準を作成したい!! セキュリティ しなきゃいけないのはわかってる でも 時間もない お もない いったい どこまでしたらいいの? 8
研究テーマ 採るべきセキュリティ対策の基準を作成したい!! セキュリティ しなきゃいけないのはわかってる でも 時間もない お もない いったい どこまでしたらいいの? 9
サブテーマ 守るべき情報 に応じた 情報漏えい対策の検討 10
指すべきゴール ここまでやるの という答え (3G 基準 ) を出す まとめた基準を 誰でもが使えるツールにする条件さえ すれば しなければならない対策が出る セキュリティ対策の成績表になるようなツールにするセキュリティ対策をポイント換算し 条件 実施状況を すれば 点数が出る そのセキュリティ基準を使ったツールが実際に使えるものかどうかを検証する 11
ゴールへのアプローチ ステップ1 守るべきもの / リスク / 対策のピックアップから始めた 個 情報 新製品情報 Webサイト PC サーバ 企業イメージ ブランドイメージ 社員の安全 12
サブテーマ 守るべき情報 に応じた 情報漏えい対策の検討 某通信教育企業の 事件のニュース 守るべきもの 個 情報 リスク 情報漏えい 情報内容 利 法 保管場所等の条件毎に 採るべき情報漏えい対策は異なるはず 13
ゴールへのアプローチ ステップ2 個 情報にもいろいろ最も価値が いものは? 漏えいした際に 最も被害額が いものは? クレジットカード情報 国際カードブランド 5 社が共同で作ったセキュリティ基準 PCIDSS(Payment Card Industry Data Security Standards) 14
PCIDSS 要件 1 カード会員データを保護するためにファイアウォールを導 し 最適な設定を維持すること ~ ~ 要件 6 安全性の いシステムとアプリケーションを開発し 保守すること 要件 12 情報セキュリティに関するポリシーを整備すること 300 個以上のセキュリティ項 からなるセキュリティ基準 15
セキュリティ基準の作成 関 3G が作成するセキュリティ基準 (3G 基準 ) のイメージ 条件 A 条件 B 条件 C セキュリティ対策項 1 セキュリティ対策項 2 セキュリティ対策項 3 16
セキュリティ基準の作成 縦軸 ( セキュリティ対策項 ) PCIDSS 具体的 定量的で理解し易い が 部 我々なりに咀嚼し 分かり易い表現に変更 300 以上のセキュリティ対策項 類似性の強いものを集約した結果 230 項 17
セキュリティ基準の作成 横軸 ( 条件 ) 個 情報の種類 1 基本情報 : 名 住所 年 性別 電話番号 2 機微情報 : 病歴 犯歴 思想 宗教など 3カード情報 : カード番号 有効期限 セキュリティコード情報の 出 経路 (Web イントラ) 保存 法 ( データベース 紙 ) 18
セキュリティ基準の作成 横軸 ( 条件 ) 個 情報なし個 情報ありクレシ ットカート 機微情報基本情報 Web イントラ Web イントラ Web イントラ DB 格納あり DB 格納なし DB 格納あり DB 格納なし DB 格納あり DB 格納なし DB 格納あり DB 格納なし紙で保存 DB 格納あり DB 格納なし DB 格納あり DB 格納なし紙で保存 15 条件 19
230 項 のセキュリティ対策 15 条件 =3,450 230セキュリティ基準の作成 条件 A 条件 B 条件 C セキュリティ対策項 1 セキュリティ対策項 2 セキュリティ対策項 3 項 15 条件 20
230 項 のセキュリティ対策 15 条件 =3,450 230セキュリティ基準の作成 条件 A 条件 B 条件 C セキュリティ対策項 1 セキュリティ対策項 2 セキュリティ対策項 3 項 15 条件 21
セキュリティ基準の作成 メンバー間の意 の分かれ 4:0 致 40% 3:1 多数決 42% 2:2 不 致 18% 617 件 グループ内で討議し 3Gとして意 を 致させた 3G 基準 (β 版 ) の完成 22
セキュリティ基準の検証 3G 基準の妥当性の検証 法 & ブラッシュアップ 1サンプル企業に評価を依頼 2-a 3G 基準と 致 2-b 3G 基準と不 致 同意 3 再検討 2-c 3G 基準に不同意 43G 基準に反映 23
セキュリティ基準の検証 3G 基準の妥当性の検証 サンプル企業 3 社 企業 基本情報 DB 格納 サンプルA 社 あり Webサイト あり サンプルB 社 あり イントラのみ あり サンプルC 社 あり イントラのみ あり 要件 6(25 項 ) 安全性の いシステムとアプリケーションを開発し保守する 妥当性の判断基準 判断条件 が3G 基準と 致している が3G 基準と不 致だが 3G 基準に同意する が3G 基準と不 致で 3G 基準に同意しない 妥当性妥当である妥当である妥当でない 24
セキュリティ基準の検証 3G 基準の評価結果 判断条件 / 企業 A 社 B 社 C 社合計 が3G 基準と 致している 16 17 15 48 が3G 基準と不 致だが 3G 基準に同意する 6 1 1 8 が3G 基準と不 致で 3G 基準に同意しない 3 7 9 19 妥当性 88% 72% 64% 75% 不 致 不同意の項 について 再討議 25
セキュリティ基準の検証 不 致 不同意項 の再討議 イントラ メンバー間の認識相違前提 イントラ のみのシステムに対して 外部からのアクセスはない セキュリティホールをついてまで攻撃を う攻撃者は 内部には存在しない 要件 6.2 OSおよびソフトウェアの重要なセキュリティパッチをリリース後 1カ 以内に適 する 要件 6.5.1 アプリケーション開発において SQLインジェクションに対応したセキュアコーディングを う 26
セキュリティ基準の検証 3G 基準の評価結果 判断条件 / 企業 A 社 B 社 C 社合計 が3G 基準と一致している 16 17 15 48 が3G 基準と不一致だが 3G 基準に同意する 6 1 1 8 が3G 基準と不一致で 3G 基準に同意しない 3 7 9 19 妥当性 88% 72% 64% 75% 3G 基準の再評価結果 判断条件 / 企業 A 社 B 社 C 社合計 が3G 基準と一致している 16 21 20 57 が3G 基準と不一致だが 3G 基準に同意する 6 1 1 8 27 が3G 基準と不一致で 3G 基準に同意しない 3 3 4 10 妥当性 88% 88% 85% 86%
セキュリティ基準の検証 不同意の項 要件 6.2 OSおよびソフトウェアの重要なセキュリティパッチをリリース後 1カ 以内に適 する 3G 基準 C 社 B 社 要件 6.5.5 アプリケーション開発において 適切なエラー処理を う ( 具体的なエラー表 をせず 汎 エラーメッセージを表 する ) 3G 基準 B 社 C 社 28
セキュリティ基準の検証 不同意の項 企業 基本情報 DB 格納 サンプルA 社 あり Webサイト あり サンプルB 社 あり イントラのみ あり サンプル C 社ありイントラのみあり 妥当性 100% 存在する? 判断条件 / 企業 A 社 B 社 C 社合計 が3G 基準と一致している 16 21 20 57 が3G 基準と不一致だが 3G 基準に同意する 6 1 1 8 が3G 基準と不一致で 3G 基準に同意しない 3 3 4 10 妥当性 88% 88% 85% 86% 29
まとめ 成果どこまでやるの個 情報に絞り PCIDSSを基に 230 項 のセキュリティ対策項 15 条件 3,450の項 からなるセキュリティ基準の作成 基準の検証 同意 = 妥当 という考え 要件 6(25 項 ) 2 条件 の50 項 妥当性 86% の信頼できるセキュリティ基準 基準のツール化 残念ながら 30
まとめ 成果ご来場の皆さま 全項 検証済みの信頼できるセキュリティ基準 セキュリティ対策状況を評価できるツール 関 3Gメンバー セキュリティに関する知識 セキュリティに関する意識 31
ご清聴ありがとうございました 32