中小企業サイバーセキュリティ対策関連の情報の備忘録

CyberSec diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

情報セキュリティポリシー、実施手順

セキュリティ FIX

1.1.     情報セキュリティポリシーの構成

f:id:mskn:20160630153702j:plain

1.2.     情報セキュリティポリシー(基本方針)

  • 情報セキュリティに関する組織の基本的な態度【NDL例】
    • 組織は、情報セキュリティを重視し、その保障に努める。
    • 組織は、館のサービスの改善を図るために必要な情報セキュリティのための措置を講ずる。
    • 組織は、利用者情報、利用情報及び館が公開する権利を有しない情報の機密性を確保する。
    • 組織は、職員が館内外の情報資産に係る情報セキュリティを損なうことのないよう措置する。
    • 組織は、職員以外の者による館内外の情報資産に係る情報セキュリティの侵害に加担する結果となることのないよう措置する。

1.3.     情報セキュリティポリシー(対策基準)

  • 情報セキュリティ対策の実施【NDL例】
    • 人的セキュリティ対策
      • 情報セキュリティに関する権限及び責任を定め、情報セキュリティポリシーの内容を周知徹底するなど、職員の教育及び啓発を行う。
    • 物理的セキュリティ対策
      • 情報システム関係機器が設置された施設への不正な立入りを防止するなど、情報資産を危害、妨害等から物理的に保護する。
    • 技術的セキュリティ対策
      • 情報資産を外部からの不正なアクセスから保護する等のため、情報資産へのアクセス制御、ネットワーク管理、コンピュータウィルス対策等の技術的な対策を行う。
    • 運用に関するセキュリティ対策
      • 情報システムの監視、情報セキュリティポリシーの実施状況の確認等運用面における対策及び情報セキュリティ緊急事態に対応する危機管理対策を行う。
    • 具体的な対策基準
      • 別途

1.4.     情報セキュリティ実施手順

  • 情報セキュリティ対策指針
    • 「情報セキュリティ対策基準」の小項目毎に対応し、更に詳細な管理策(サブコントロールレベル)を示す
  • 情報資産リスクマネジメント実施手順
  • 情報セキュリティ実施手順(一般職員向け)
  • 情報セキュリティ実施手順(システム管理者向け)
  • 各部課の情報セキュリティ実施手順

1.5.     情報セキュリティマネジメントシステムISMS)構築手順

f:id:mskn:20160630153810j:plain

  • ISMSの適用範囲を決定する
  • 基本方針文書を策定する
  • リスクアセスメントの体系的な取り組み方法を策定する
  • リスクを識別する
  • リスクアセスメントを行う
  • リスク対策を行う
  • 管理目的と管理策を選択する
  • 各部課の実施手順に選択した管理策を反映させる
  • 残留リスクを承認し、ISMSの実施を許可する

1.6.     ISMSPDCAサイクル

 

1.7.     脅威・対策・脆弱性・リスクの関係

  • 脅威(内部・外部)
    • サービス妨害の脅威
    • 侵入しての何らかの行為が行われる脅威
      • セキュリティ侵害の事前調査
      • 権限取得及び侵入される可能性
      • 不正実行
        • 機密性を損なう可能性
        • 完全性を損なう可能性
        • 可用性を損なう可能性
      • 再度侵害を受ける可能性
    • 真正性が損なわれる脅威
    • 説明責任を果たせなくなる脅威
  • 脅威への対策
    • 人的セキュリティ対策
    • 物理的セキュリティ対策
    • 技術的セキュリティ対策
    • 運用に関するセキュリティ対策
  • 対策後の脆弱性
    • セキュリティホールとも呼ぶ
    • 人的、物理的、技術的、運用での対策の設計、構築、運用時の情報セキュリティ上の欠陥、不具合、ミス
  • 脆弱性を突かれるリスク
    • 脆弱性が残された状態で情報セキュリティ侵害を受ける可能性
    • 例えば、クラウドコンピューティングの利用のリスクへの対応⇒対策
      • 回避
        • 利用によって生じると考えられるリスクを検討した結果、利用をやめる場合。クラウドコンピューティングサービスを利用しないため、これによるリスクは発生しない
      • 低減・軽減
        • データセンタの場所が国内であって、利用者がシステム監査を実施可能であるサービスを選定し、システム監査の条項を含む契約を結ぶことができるベンダーを選定する場合。適切な運用管理が行われているか否かを確認し、問題があれば改善等を要求し、リスクを低減する
      • 移転・共有
        • 何らかの問題が発生し損害が発生した場合には、賠償責任をベンダーが負うことについて、契約に明記し、その損害をカバーする場合等
      • 受容
        • 既に適切な対策が実施されており、残存リスクが小さいと判断される場合に、残存リスクがあることを承知した上で、特別に新たな対策を取らないことを意思決定した上で、利用する場合
    • 明確にしておくべき事項
      • 既知のリスクとその属性(予想される頻度、潜在的な影響及び対応)
        • リスクが影響する資源
        • リスクに対応する組織の力
        • 現状におけるリスクをコントロールする活動の状況
    • リスクに関する理解の促進
    • リスクのモニタリングと対応策の見直し
    • リスク顕在時の対応
      • 予兆の検出
      • 対応の準備
      • リスクの顕在化時(インシデント発生時)の対応
    • リスク対応結果の評価とその後の対応

1.8.     情報セキュリティマネジメントの規格や標準

f:id:mskn:20160630154010j:plain

1.8.1.      情報セキュリティマネジメントの実践のための規範JIS Q 27002:2006

  • 「Information technology - Security techniques - Code of practice for information security management(ISO/IEC17799)」という国際標準です。
  • 2000年に初めて国際標準化され、2005年に改訂されたこの規格は、2006年5月に「情報技術-セキュリティ技術-情報セキュリティマネジメントの実践のための規範(JIS Q 27002:2006)」としてJIS化されました。
  • この規格は、情報セキュリティ対策を行う際の Code of Practice( = 実践規範)を記したものであり、ベストプラクティスとして様々な管理策が記載されています。
  • 組織は、これらの管理策から自社にあったものを適宜、取捨選択できます。

1.8.2.      情報セキュリティマネジメントシステム - 要求事項JIS Q 27001:2006

  • 組織のISMS構築、運用に関する第三者認証のための要求事項を記したISMS認証の規格が、「ISO/IEC27001:2005 Information technology - Security techniques - Information security management systems - Requirements」です。
  • この規格も2006年5月に「JIS Q 27001:2006 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム - 要求事項」としてJIS化されました。
  •  

1.9.     リスクマネジメント

  • 対策基準では、
    • 基本方針の内容を受けて具体的なルール、いわゆる「管理策」を記述します。
    • 「管理策」は、情報セキュリティ上のリスクを減らすための対応策のことで、非常に多くのものがありますが、これらは「技術的対策」と「管理的対策(人的対策・組織的対策・物理的(環境的)対策を含む)」に大別されます。
  • 対策基準を策定する際には、
    • 多くの管理策の中から、(1)何を自社にとって最適な管理策として選ぶか、そしてそれを(2)どのようにわかりやすく記載するか、というのが大きなポイントとなります。
    • それぞれの組織が抱えるリスクは、その組織の状況によって異なるため、実効性のある対策を選択するためには、リスクアセスメントを行う必要があります。
  • リスクアセスメントとは、
    • 守るべき対象である情報資産で発生する可能性のある脅威と、脅威の発生確率や発生した場合の影響度等を評価する方法のこと。

 

f:id:mskn:20160630154317j:plain

1.9.1.      情報資産の格付け

  • 機密性についての格付の定義
    • 機密性3情報
      • 行政事務で取り扱う情報のうち、秘密文書に相当する機密性を要する情報
    • 機密性2情報
      • 行政事務で取り扱う情報のうち、秘密文書に相当する機密性は要しないが、漏えいにより、国民の権利が侵害され又は行政事務の遂行に支障を及ぼすおそれがある情報
    • 機密性1情報
      • 公表済みの情報、公表しても差し支えない情報等、機密性2情報又は機密性3情報以外の情報
    • なお、機密性2情報及び機密性3情報を「要機密情報」という。
  • 完全性についての格付の定義
    • 完全性2情報
      • 行政事務で取り扱う情報(書面を除く。)のうち、改ざん、誤びゅう又は破損により、国民の権利が侵害され又は行政事務の適切な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報
    • 完全性1情報
      • 完全性2情報以外の情報(書面を除く。)
    • なお、完全性2情報を「要保全情報」という。
  • 可用性についての格付の定義
    • 可用性2情報
      • 行政事務で取り扱う情報(書面を除く。)のうち、その滅失、紛失又は当該情報が利用不可能であることにより、国民の権利が侵害され又は行政事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報
    • 可用性1情報
      • 可用性2情報以外の情報(書面を除く。)
    • なお、可用性2情報を「要安定情報」という。
    • また、要機密情報、要保全情報及び要安定情報を「要保護情報」という。

1.9.2.      ITセキュリティマネジメントのための手法(JIS TR X 0036-3:2001)

  • (1)ベースラインアプローチ
    • 既存の標準や基準をもとにベースライン(自組織の対策基準)を策定し、チェックしていく方法。簡単にできる方法であるが、選択する標準や基準によっては求める対策のレベルが高すぎたり、低すぎたりする場合がある
  • (2)非形式的アプローチ
  • (3)詳細リスク分析
    • 詳細なリスクアセスメントを実施。情報資産に対し「資産価値」「脅威」「脆弱性」「セキュリティ要件」を識別し、リスクを評価していく。
    • 厳密なリスク評価が行えるものの多大な工数や費用がかかる
  • (4)組合せアプローチ
    • すべての情報資産に詳細なリスク分析を行うのは時間と費用がかかりすぎて現実的ではありません。
    • その組織を守るためのベースライン(基本)となる管理策の組み合わせを決め、その上でよりリスクの高いシステムを保護するために、詳細リスク分析を追加することにより、組織がリスク分析に用いる費用を削減でき、より精度の高いリスク分析を行うことが可能になります。
    • リスク評価は「リスクの重大さを決定するために、算定されたリスクを、与えられたリスク評価基準と比較するプロセス」と定義されていますが、「与えられたリスク評価基準」とは、どこかの基準に書いてあるものではなく、経営者により判断された評価基準です。
    • リスクへの対応は、つまりは、経営的判断により行われます。