中小企業サイバーセキュリティ対策関連の情報の備忘録

CyberSec diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

サイバーセキュリティ対策相談対応の手引き(メモ)

セキュリティ
  • サイバーセキュリティ対策相談対応の手引き(メモ)

2016年6月16日

中山正樹

 

目次

サイバーセキュリティ対策相談対応の手引き(メモ). 1
1.問合せ事例... 6

1.1.    

1.2.     セキュリティ侵害の実態... 8

1.3.     中小企業の現状から... 8

1.3.1.      情報セキュリティ対策の必要性を認識していない... 8

1.3.2.      システムをベンダーに任せて開発もしくは導入、運用している... 9

1.3.3.      効果的な情報セキュリティ対策の方法がわからない... 9

1.4.     経済的損失⇒社会的信用の喪失、組織存立の危機... 9

1.4.1.      ネットバンキングのセキュリティ対策... 9

1.5.     OS コマンドインジェクション・SQLインジェクション等の防止... 10

1.6.     インシデント発生... 11

1.6.1.      ネットワークに繋がりにくい、サーバの反応が悪い... 11

1.6.2.      PCの調子が悪い... 11

1.6.3.      ウイルスに感染したみたい... 11

1.6.4.      ランサムウェアを使った詐欺・恐喝... 12

1.7.     システム運用管理をしている客のシステムが、ランサムウェアに感染して、ファイルが読めなくなった    13

1.8.     水飲み場攻撃とは... 13

1.9.     標的型メール攻撃とは... 13

1.10.       偽サイトを開設された... 14

1.11.       偽サイトにアクセスしてしまった... 14

1.12.       スマホ等のセキュリティ対策は?... 14
2.脆弱性情報の届出... 16
3.サイバーセキュリティとは... 16
4.情報セキュリティに関する基礎知識... 17

4.1.     情報セキュリティ 10 大脅威(個人)... 17

4.1.1.      【一覧】情報セキュリティ 10 大脅威(個人)... 17

4.1.2.      【一覧】情報セキュリティ 10 大脅威(組織)... 17

4.1.3.      情報セキュリティ対策の基本... 18

4.1.4.      【対策】情報セキュリティ 10 大脅威(個人)... 18

4.1.5.      【対策】情報セキュリティ 10 大脅威(組織)... 19

4.1.6.      【対策】注目すべき脅威や懸念... 22
5.サービス提供と情報セキュリティ対策... 23
6.事業継続計画(BCP)とセキュリティインシデント対応... 24

6.1.     BCPとは... 24

6.2.     BCPはなぜ必要か?... 24

6.3.     何のためにBCPを策定するのか?... 25

6.4.     セキュリティインシデント対応はBCPの1つ... 25
7.対策の概念... 26

7.1.     リスクの要因... 26

7.2.     情報セキュリティにおけるさまざまな対策... 26

7.3.     情報セキュリティ対策の意義(参照:NDL)... 27

7.4.     情報セキュリティ対策のポイント(私見)... 27
8.情報セキュリティポリシー、実施手順... 29

8.1.     情報セキュリティポリシーの構成... 29

8.2.     情報セキュリティポリシー(基本方針)... 29

8.3.     情報セキュリティポリシー(対策基準)... 30

8.4.     情報セキュリティ実施手順... 30

8.5.     情報セキュリティマネジメントシステムISMS)構築手順... 31

8.6.     ISMSPDCAサイクル... 31

8.7.     脅威・対策・脆弱性・リスクの関係... 31

8.8.     情報セキュリティマネジメントの規格や標準... 33

8.8.1.      情報セキュリティマネジメントの実践のための規範JIS Q 27002:2006. 33

8.8.2.      情報セキュリティマネジメントシステム - 要求事項JIS Q 27001:2006. 33

8.9.     リスクマネジメント... 34

8.9.1.      情報資産の格付け... 34

8.9.2.      ITセキュリティマネジメントのための手法(JIS TR X 0036-3:2001)... 35
9.「情報セキュリティ管理基準(平成20年改正版)」. 36

9.1.     構成... 36

9.2.     マネジメント基準... 36

9.3.     「管理策基準」... 38
10.「政府機関の情報セキュリティ対策のための統一基準群(平成26年度版)」. 40

10.1. 41
11.人材育成... 41

11.1.       ITパスポート試験シラバス... 41

11.2.       まとめ)企業の情報セキュリティ対策と人材面の対策... 42

11.3.       情報処理技術者試験 情報セキュリティ人材育成の取り組み... 43

11.4.       情報セキュリティマネジメント試験 シラバス... 43

11.5.       情報セキュリティマネジメントタスクプロフィール... 44

11.6.       情報セキュリティ人材の職種... 44
12.個人情報保護... 45
13.サイバーセキュリティ相談窓口の業務... 46

13.1.       中小企業に特化した情報セキュリティ対策の相談対応方針... 46

13.1.1.    中小企業の現状... 46

13.1.2.    中小企業への支援... 47

13.1.3.    相談対応フロー... 48
14.情報セキュリティ関連法規... 51

14.1.       サイバーセキュリティ基本法... 51

14.2.       不正アクセス禁止法... 51

14.3.       個人情報保護法... 51

14.4.       刑法... 51

14.5.       その他のセキュリティ関連法規... 51

14.6.       知的財産権... 51

14.7.       労働関連・取引関連法規... 51

14.8.       その他の法律・ガイドライン・技術者倫理... 52

14.9.       知的財産計画2016. 52
15.ここからセキュリティ! 情報セキュリティ・ポータルサイトIPA)【相談事例集作成候補】. 53

15.1.       ここからセキュリティ! 情報セキュリティ・ポータルサイト... 53

15.2.       トップページ... 53

15.3.       被害にあったら... 54

15.3.1.    ウイルス(マルウェア)に感染したら... 54

15.3.2.    不正アクセス(サーバーが攻撃された・ウェブページを書き換えられた)... 55

15.3.3.    情報漏えい(情報の紛失・流失・盗難)... 56

15.3.4.    ワンクリック請求(料金画面が消えない・料金請求された)... 56

15.3.5.    迷惑メール(スパムメール)... 57

15.3.6.    フィッシング詐欺・なりすまし(銀行やカード会社を騙るメール・送信元のアドレスを偽るメール)    57

15.4.       対策する... 58

15.4.1.    対策の基本(まずはここから!)... 58

15.4.2.    ウイルス対策... 64

15.4.3.    不正アクセス対策... 65

15.4.4.    情報漏えい... 65

15.4.5.    ワンクリック請求(料金画面が消えない・料金請求された)【LEVEL1】【詳細】    67

15.4.6.    パスワード... 67

15.4.7.    フィッシング詐欺・なりすまし... 69

15.4.8.    標的型攻撃メール... 71

15.4.9.    迷惑メール... 73

15.4.10.      ガイドライン等... 74

15.5.       教育・学習... 81

15.5.1.    一般向け... 81

15.5.2.    ホームユーザ向け... 85

15.5.3.    中小企業向け・より大きな企業・組織向け... 91

15.5.4.    OSのアップデート(サポート終了関連情報を含む)... 101

15.6.       セキュリティチェック... 102

15.6.1.    クイズに挑戦... 102

15.6.2.    安全性を診断しよう... 103

15.6.3.    試験・資格... 104

15.7.       データ&レポート... 104

15.8.       (情報セキュリティ FAQ)... 106
16.参考サイト. 107

16.1.       中小企業経営者向け... 107

16.2.       IoT開発におけるセキュリティ設計の手引き... 107

16.3.       内閣サイバーセキュリティセンター(NISC)... 108

16.3.1.    高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)... 109

16.3.2.    国家安全保障会議... 109

16.3.3.    警察庁... 109

16.3.4.    総務省... 109

16.3.5.    外務省... 109

16.3.6.    経済産業省... 109

16.3.7.    JPCERTコーディネーションセンター... 110

16.3.8.    防衛省... 111

16.4.       東京都... 111

16.5.       警視庁... 111

16.6.       中小企業庁... 111

16.7.       IPA. 112

16.7.1.    全体... 112

16.7.2.    基本情報... 112

16.7.3.    情報セキュリティ啓発(IPA)... 112

16.7.4.    セキュリティ設定共通化手順SCAP概説(IPA)... 113

16.7.5.    サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))(IPA)... 114

16.7.6.    情報セキュリティスキル強化についての取り組み(IPA)... 114

16.8.       サイバーレスキュー隊J-CRAT(ジェイ・クラート):IPA. 114
17.セキュリティ関連機関... 115

17.1.       日本セキュリティオペレーション事業者協議会(ISOG-J)... 115

17.2.       ノートン... 115

17.3.       トレンドマイクロ... 115

17.4.       @IT. 115

17.5.       一般社団法人 電気通信事業者協会(TCA)... 116
18.消費者庁... 116
19.東京商工会議所... 117
20. Tcyss会議... 117

20.1.       第1回会議より(4月25日)... 117
21.文献... 118

21.1.       NDLアーカイブ... 118
22.情報セキュリティ関連文書... 119

22.1.       NISCサイバーセキュリティ戦略本部... 119
23.情報システムの整備と運用管理を調達する際の情報セキュリティ対策として考慮すべき要件... 119

23.1.       「政府情報システムの整備及び管理に関する標準ガイドライン実務手引書」より... 119
24.東京都の取り組み【公開情報】. 119

24.1.       東京都の行政改革 - 総務局行政改革推進部のホームページ - | IT・業務改革... 119

24.2.       高度情報化推進の取り組み... 119
25.情報セキュリティマネジメント試験(シラバス). 119

25.1. 119
26.情報処理技術者試験シラバス). 119

26.1.       基礎... 119

26.2.       応用... 119
27.情報セキュリティ想定事例集... 120

27.1.       中小企業における組織的な情報セキュリティ対策ガイドライン事例集(IPA)... 120

1.       体系的で特に有用な情報提供元【抽出中】

1.1.     ポータルサイト

1.1.1.      ホット情報

1.1.2.      全般

1.1.3.      中小企業向け

1.1.4.      中小企業経営者向け

  •  

2.       問合せ事例

2.2.     セキュリティ侵害の実態

  • 「個人情報漏えい」原因の比率上位5位(2013年 NPO日本ネットワーク協会)
    • ・誤操作34.9%
    • ・管理ミス32.3%
    • ・紛失・置忘れ14.3%
    • ・盗難5.5%
    • 不正アクセス4.7%
  • 個人情報漏えい媒体、経路(2013年 NPO日本ネットワーク協会)
    • ・紙媒体58.7%
    • ・USB等記憶媒体25.9%
    • ・電子メール5.5%
    • ・インターネット5.0%
  •  

2.3.     中小企業の現状から

2.3.1.      情報セキュリティ対策の必要性を認識していない

    • 被害にあった場合、影響が如何に大きいかを認識させる⇒事例に基づいた被害と対策の必要性の認識が必要。
    • セキュリティ対策は、
      • IT化、デジタル化は
        • 業務の効率化、ITを使ったサービスの向上
        • ITを活用するために、セキュリティ対策を実施
      • セキュリティ侵害
        • 機密性(個人情報、取引先の情報、知的財産)、預金残高
        • 完全性(Webページ、帳簿類)
        • 可用性(業務システム、サービスシステム)
        • ⇒経済的損失、社会的信用の喪失⇒事業存続、事業継続の危機
      • 費用対効果を考える
        • 対策に要する費用と、侵害にあった場合の被害の大きさを比較する
        • 自動車任意保険、火災保険のようなもの。また、自動車の検問レーダーとかも
    •  

2.3.2.      システムをベンダーに任せて開発もしくは導入、運用している

    • セキュリティ対策を明確にした調達仕様書作成のスキル習得が必要

2.3.3.      効果的な情報セキュリティ対策の方法がわからない

    • 認識すること
      • 断片的な対策では、セキュリティホールはなくならない
      • 内部職員による故意もしくは過失によるセキュリティ侵害は全体の80%以上
      • どれだけお金を掛けても脆弱性はゼロにはならない
      • リスク(脅威×資産価値×脆弱性)の高いものから順次対策を講ずる
      •  
    • 守るべき情報資産を洗い出して、管理的、技術的、人的、物理的対策の個別の対策の検討方法をレクチャー⇒情報セキュリティマネジメントシステムISMS)に準拠した情報セキュリティ対策の考え方

2.4.     経済的損失⇒社会的信用の喪失、組織存立の危機

2.4.1.      ネットバンキングのセキュリティ対策

  • ネットバンキング利用者がすべきセキュリティー対策とは
  • 突然、ネットバンキングの残高がゼロに!?
  • 脅威
    • 預金が勝手に別口座に送金される被害
  • 脆弱性
    • フィッシング詐欺
      • 金融機関を装った偽のメールを利用者に送って、実在するネットバンキングのログインページを装う偽サイトに誘導
    • 利用者のパソコンをスパイウエアに感染させて、情報を奪うというもの。
      • 具体的には、正規のネットバンキングのサイトにアクセスすると、偽のポップアップ画面が表示され、そこに乱数表や合言葉などを入力させるのだ。また、パソコン内の個人情報やキーボードなどで入力した文字を犯人に転送するスパイウエアを使って、利用者に気付かれないように盗み出す手口もある。IDやパスワードなどを盗み取る
  • 具体的対策
    • OSのアップデートを忘れずに行う。セキュリティーのサポートが行われなくなったOS(Windows XPなど)は使わない。
    • ソフトウエアを最新状態にする。JavaAdobe Reader、Webブラウザーなどのアップデートは更新案内に従い、速やかに行う。
    • ウイルス対策ソフトを利用し、自動更新にする。
    • 心当たりのないメールは開かない。銀行がメールでIDやパスワードなどについて問い合わせることはない。
    • 怪しいサイトへのアクセスは避ける。
    • 金融機関のサイトを「お気に入り」に登録し、そこからアクセスする。メールに張り付けてあるアドレスからはアクセスしない。
    • 取引銀行のセキュリティー対策ツール(1回限りで使い捨てのワンタイムパスワード、ソフトウエア・キーボード、ウイルス対策ソフトなど)を積極的に利用する。
    • ワンタイムパスワードをメールで受け取る場合、ネットバンキングで利用しているパソコンとは別の機器・端末(携帯電話等)のメールアドレスで受信する。
    • 銀行のサイトにアップされている注意喚起情報を確認する。
    • 預金残高をこまめにチェックする。
    • 「怪しい」と思ったら、金融機関に電話などで問い合わせる。
  • 教訓
    • セキュリティー対策は面倒でなおざりにしがちな人もいるかもしれないが、被害にあってから後悔しても遅い。
    • どんな資産
      • 金、情報(預かった情報、自社の機密情報)、機器
    • どんな情報セキュリティを確保するか
      • 機密性(権限のない人に見られない)、完全性(改ざんされない)、可用性(Wewbサービス等が継続できる)、否認防止(やった行為を言い逃れない)、説明責任(きちんと対策をしている)
    • ⇒事前のルール決め、対応策を明文化、ルールの遵守
      • 事業継続計画、情報セキュリティ基本方針、対策基準、実施手順を定める
      • 各手順を就業規則と同様に遵守するよう指導する

2.5.     フィッシング詐欺

2.6.     「ウイルスに感染している」という画面が表示されるようになった

  • アドウェアの可能性
    • リンクをクリックしたり、表示の電話番号に電話しない。無視する
  • ウイルスワクチンソフトからのメッセージ
    • ウイルスを削除する

2.7.     OS コマンドインジェクション・SQLインジェクション等の防止

  • 脅威
    • 情報の流出
      • 非公開情報(個人情報等)の漏えい等
    • •情報の改ざん
      • データベースに蓄積された情報(商品価格やパスワード等)の改ざん等
    • •データの破壊
      • 蓄積されたデータの消去やデータベーステーブル自体の破壊等
    • •サーバの乗っ取り
      • ストアドプロシージャを利用したサーバの不正操作等
  • 対策
    • SQLを用いてデータベースを扱うWebアプリケーションは、SQL注入を許さないようにする必要がある。SQL注入攻撃対策のうち、まずは実装における対策について

2.8.     インシデント発生

2.8.1.      ネットワークに繋がりにくい、サーバの反応が悪い

  • いつから?頻度は?どのような時に症状を感じるか?

2.8.2.      PCの調子が悪い

  • ハード、ソフトの障害か、情報セキュリティ侵害かを切り分ける
  • いつから?頻度は?どのような時に症状を感じるか?
  • 何台で起こってる?
  • 症状が始まった頃に何かしたか?
    • システム変更、新しいソフトのインストー
    • 怪しいサイトやメールにアクセスした
    • 情報記録媒体を紛失した
    • その他考えられること

2.8.3.      ウイルスに感染したみたい

  • 被害の拡大防止
    • システムをネットワークから切り離し、電源を落とす等の処置を行って、使用を中止する。
  • 応急措置
    •  
  • 原因調査
    • なぜ情報セキュリティ侵害が起きたか?
  • 原状復旧
    • 安全なシステムディスクでシステムの再立ち上げを行い、感染したウイルスに合った適切な修復を行う。
    • なお、ウイルスの種類によっては、対処方法が異なりますので、必ずシステム管理者に連絡してその指示に従って、システムの復旧を行って下 さい。
  • 恒久的対策
    • ルールの策定、遵守
    • フールプルーフ対策
      • 人間が間違えても危険にならない仕組みにしておく、
    • フェールセーフ対策
      • 機械が壊れても危険にならない仕組みにしておく

2.8.4.      ランサムウェアを使った詐欺・恐喝

  • 悪意のあるプログラムによって、PC内のファイルが閲覧・編集できない形に暗号化され、ファイル復元の身代金として、利用者が金銭を要求される被害
  • 原因
    • メールに添付されたランサムウェアに感染したファイルを実行してしまった。
    • 乗っ取られたWebサイトにアクセスして、ランサムウェアに感染してしまった。
  • 予防
    • マルウェアに感染しないようにする対策
      • 不審なメールを開かない
        • 信頼できる人からのメールであることを確認(差出人の偽装注意)
      • 偽サイトへのアクセスに注意
        • 標的型メールでの不正サイトへの誘導に注意
      • 水飲み場型攻撃に注意
        • 標的組織が信頼してよく閲覧するWebサイトを改ざんして、標的となる組織からのアクセスの場合のみ攻撃する場合もあり発見しづらいことも多い
          • ⇒内部に侵入されることが前提での対策(サーバ、PCレベル)
    • 被害にあっても復旧できるように⇒事業継続計画(BCP)の対策と同様
    • 情報セキュリティポリシーを順守する
  • 応急措置
    • マルウェアに感染した場合の対応
      • 感染端末のネットワークからの切り離し
  • 通報、原因調査
    • 犯罪行為に相当すると思われるので管轄の警察署に連絡
    • 金銭を支払っても復旧できる可能性は低い
    • なぜ情報セキュリティ侵害が起きたか?
  • 原状復旧
    • マルウェアの除去
    • ディスクのバックアップからの復元
  • 恒久的対策
    • ルールの策定、フールプルーフ対策、フェールセーフ対策、ルールの遵守、監査

2.9.     システム運用管理をしている客のシステムが、ランサムウェアに感染して、ファイルが読めなくなった

  • 事業継続計画(BCP)に従う

 

2.10.  水飲み場攻撃とは

  • 脅威の概要
    • 標的組織がよく閲覧するWebサイトを改ざんし、閲覧した端末を不正プログラムに感染させる。
    • ブラウザの未知の脆弱性を悪用した攻撃(ゼロデイ攻撃)の場合もあり、未然防止は困難。
    • 不正プログラムを遠隔操作して内部侵入を繰り返し、重要情報の窃取・破壊等を実施。
    • <最近の事例>
      • •2013年8月~9月中央省庁や大手企業の少なくとも20機関を狙った標的型サイバー攻撃(標的組織のIPアドレスからのサイト閲覧者だけが感染するもの)が発生
  • 主な対策
    • 感染の未然防止は困難であるため、組織内部へ侵入されることを前提に内部対策を実施。
    • 内部対策としては、以下が挙げられる。
      • •内部に侵入した攻撃を早期検知して対処
      • •侵入範囲の拡大の困難度を上げる
      • •外部との不正通信を検知して対処
    • <統一基準群(平成26年度版)における対策事項>
      • •6.2.4項標的型攻撃対策等

2.11.  標的型メール攻撃とは

  • 脅威の概要
    • 特定の組織を狙って職員等になりすましたメールを送付し、添付ファイルやURLを開かせることによって不正プログラムに感染させる。
    • 不正プログラムを遠隔操作して内部侵入を繰り返し、重要情報の窃取・破壊等を実施。
    • <最近の事例>
      • •2012年11月一部の独立行政法人が「なりすましメール」による不正プログラムに感染し、情報漏えいした可能性があることが判明
  • 主な対策
    • 不審なメールを検出する仕組みの整備、対応能力を向上する(SPFの検証、教育・訓練、等)。
    • 感染防止を目的とした入口対策のほか、遠隔操作による攻撃の早期検知等を目的とした内部対策を実施する。
    • <統一基準群(平成26年度版)における対策事項>
      • •6.2.4項標的型攻撃対策•6.2.1項ソフトウェアに関する脆弱性対策•7.2.1項電子メール等

2.12.  偽サイトを開設された

  • ユーザ
    • 実被害
      • 例)金を振り込んだが商品が送られてこない、商品が送られてきても偽ブランド品だった
      •  
    • 事後措置
      • 不正競争防止法に抵触する可能性⇒相談:警視庁サイバー犯罪対策課、届出:所轄の警察署へ
    • 予防策
      •  
  • 正規サイト運営者
    •  

2.13.  偽サイトにアクセスしてしまった

  • インシデント
    •  

2.14.  スマホ等のセキュリティ対策は?

  • 脅威
    • 端末を紛失した場合に悪用される
      • 電話の発信、着信
      • SMSの送信、受信
      • 記録されている電話帳のデータを全て見る、編集する
      • 記録されている写真、動画データを見る
      • メールの送信、受信
      • アプリの起動によるソーシャルメディアへの勝手なアクセス
      • 買い物、オンラインバンキング、金融資産の売却など
      • ICカードに登録されているカードが不正利用される
    • SIMを抜き取り悪用される
      • •契約している電話番号による電話の発信、着信
      • •インターネット回線の使用
      • •ネットを介して行うことができる電話会社のサービスの申し込みなど、契約内容の変更
    • SDカードを抜き取られ情報を搾取される
    • マルウェアに感染
      • 電話帳やメールなど様々な個人情報が抜き取られる
      • 意図せずSMS(ショートメッセージサービス)を送る
      • 通話が盗聴される
      • 外部から遠隔操作され犯罪に使われる
    •  
  • 予兆、侵害緊急対応
    • ウイルスに感染
    • 盗難、セキュリティ侵害
      • 管轄の警察署へ
  • 予防対策
    • 盗難に遭っても被害を拡大させないために
      • スクリーンロック機能を設定する
      • 各種サービスの認証は、できれば2段認証を利用する
    • SIMカードロック機能を設定
    • ICカードロック機能を設定(利便性は悪くなるが)
    • SDカードに機密情報を置かない
      • もしくは、データを暗号化する
    • FreeのWifi接続は気を付ける
      • 特に、パスワードを要求しない公衆無線LANへの接続は避ける
    • ウイルスに感染しないために
      • セキュリティソフトやセキュリティ対策サービスの導入
        • 危険なアプリのダウンロードをブロック
        • 既にインストールされている危険なアプリを特定し、削除
        • ワンクリック詐欺フィッシング詐欺サイトなど悪質なサイトへのアクセスをブロック
        • 迷惑な着信およびSMS メッセージを遮断(電話機能があるもの)
        • 紛失時の端末ロック、遠隔地からのデータの削除、GPS による端末の所在地特定
      • 不審なメール、標的型メールにあるURLをクリックしない、添付ファイルを開かない
      • 脆弱性を下げるために
        • 信用できないアプリをインストールしない
          • Google Playストア以外からダウンロードしない
        • アプリが要求するアクセス許可を必ず確認する
          • 必要なさそうな権限を要求するアプリは気をつける
        • OS及びアプリは、できるだけ最新版に更新する
        • 携帯電話会社(キャリア)のセキュリティ対策サービスを利用する
      • 個人情報が流出しないように
        • SNS等で個人情報を公開する範囲に気を付ける
    • 原状復帰のため
      • 定期的なバックアップ(アプリ、データ、各種設定)
    • 【案内サイト】I Loveスマホ生活
    •  

3.       脆弱性情報の届出

4.       サイバーセキュリティとは

  • サイバーとは
  • サイバー攻撃とは、
    • コンピューターシステムやネットワークを対象に、破壊活動やデータの窃取、改ざんなどを行うこと。
    • 特定の組織や企業、個人を標的にする場合や、不特定多数を無差別に攻撃する場合がある。
  • サイバーセキュリティとは
    • サイバー攻撃に対する防御行為。コンピューターへの不正侵入、データの改竄や破壊、情報漏洩、コンピューターウイルスの感染などがなされないよう、コンピューターやコンピューターネットワークの安全を確保すること。
  • サイバーセキュリティ基本法において、
    • 電子的方式、磁気的方式その他人の知覚によっては認識することができない方式により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていること。

 

5.       情報セキュリティに関する基礎知識

5.1.     情報セキュリティ 10 大脅威(個人)

5.1.1.      【一覧】情報セキュリティ 10 大脅威(個人)

  • インターネットバンキングやクレジットカード情報の不正利用
  • ランサムウェアを使った詐欺・恐喝
    • 悪意のあるプログラムによって、PC内のファイルが閲覧・編集できない形に暗号化され、ファイル復元の身代金として、利用者が金銭を要求される被害
  • 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ
  • 巧妙・悪質化するワンクリック請求
  • ウェブサービスへの不正ログイン
  • 匿名によるネット上の誹謗・中傷
  • ウェブサービスからの個人情報の搾取
  • 情報モラル不足に伴う犯罪の低年齢化
  • 職業倫理欠如による不適切な情報公開
  • インターネットの広告機能を悪用した攻撃

5.1.2.      【一覧】情報セキュリティ 10 大脅威(組織)

  • 標的型攻撃による情報流出
  • 内部不正による情報漏えいとそれに伴う業務停止
  • ウェブサービスからの個人情報の搾取
  • サービス妨害攻撃によるサービスの停止
  • ウェブサイトの改ざん
  • 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
  • ランサムウェアを使った詐欺・恐喝
  • インターネットバンキングやクレジットカード情報の不正利用
    •  
  • ウェブサービスへの不正ログイン
  • 過失による情報漏えい

5.1.3.      情報セキュリティ対策の基本

  • ソフトウェアの更新
  • ウイルス対策ソフトの導入
  • パスワード・認証の強化
  • 設定の見直し
  • 脅威・手口を知る
    • (リスクの大きさに応じた対策:リスク=情報の資産価値×脅威の大きさ×脆弱性
    • ⇒どれだけお金をかけてもリスクは0にならない。如何に効率的、効果的に対策を講ずるかを考える。脆弱性の最大の要因は人。ITスキルを高めるとともに、管理的対策としてルールを定め、技術的対策は、フールプルーフ(ヒューマンエラー(利用者が行う誤った操作)が起こっても、危険な状況にならないようにするか、そもそも間違った操作が出来ないようにする設計)が重要

5.1.4.      【対策】情報セキュリティ 10 大脅威(個人)

  • インターネットバンキングやクレジットカード情報の不正利用
    • •OS・ソフトウェアの更新
    • ウイルス対策ソフトの導入
    • •事例や手口を知る
    • •二要素認証等の強い認証方式の利用
  • ランサムウェアを使った詐欺・恐喝
    • 悪意のあるプログラムによって、PC内のファイルが閲覧・編集できない形に暗号化され、ファイル復元の身代金として、利用者が金銭を要求される被害
    • PC利用者
      • •定期的なバックアップ(PCだけではなく、共有サーバーも)
      • また、復元できるかの事前の確認
      • •OS・ソフトウェアの更新
      • ウイルス対策ソフトの導入・更新
      • •メールの添付ファイル・リンクのURLを不用意に開かない
    • スマートフォン利用者
  • 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ
  • 巧妙・悪質化するワンクリック請求
    • ウェブサービスの利用者
      • •怪しいソフトウェアは利用しない
      • •怪しいサイト・メールは開かない
      • •事例・手口の情報収集
    • ※購入の意思がないのであれば金銭を要求されても、慌てず請求に応じない
  • ウェブサービスへの不正ログイン
    • ウェブサービス利用者
      • •推測されにくく、長いパスワードを設定する
      • •パスワードを使い回さない
      • •二要素認証等の強い認証方式の利用
      • •ログイン履歴の確認
    • ウェブサービス提供ベンダー
      • •安全なウェブサービスの提供
      • •複雑なパスワード設定を要求(少ない文字数や記号無しの拒否等)
      • •二要素認証等の強い認証方式の提供
      • •セキュリティ対策の徹底
  • 匿名によるネット上の誹謗・中傷
  • ウェブサービスからの個人情報の搾取
  • 情報モラル不足に伴う犯罪の低年齢化
  • 職業倫理欠如による不適切な情報公開
  • インターネットの広告機能を悪用した攻撃

5.1.5.      【対策】情報セキュリティ 10 大脅威(組織)

  • 標的型攻撃による情報流出
    • ウイルスを添付したメールや、不正なWebサイトへ誘導するためのURLを記載したメール
    • チェックリスト
      • □送信者の名前やアドレスが見慣れないものである。
      • □組織内の話題なのに、外部のメールアドレスから届いている。
      • □フリーのメールアドレスから届いている。
      • □添付ファイルを開くよう、記載URLをクリックするよう不自然に誘導している。
      • □「緊急」などと急がせて、メールの内容を吟味させまいとしている。
      • □送信者の署名が無いか曖昧である。
      • □送信者の名前や組織名として、架空のものを名乗っている。
      • □受信者が信頼しそうな組織になりすまし、ウェブでの公開情報を送付してくる。
      • □上記以外で不審な箇所がある。
    • 経営者層
      • •問題に迅速に対応できる体制の構築
      • •対策予算の確保と継続的な対策実施
    • システム管理者
      • •情報の取扱い・保管状態の確認
      • •システム設計対策・アクセス制限
      • •ネットワーク監視・分離
    • セキュリティ担当部署
      • •セキュリティ教育の実施
      • •情報の保管方法ルール策定
      • サイバー攻撃に関する情報共有
    • 従業員・職員
      • •セキュリティ教育の受講
      • •OS・ソフトウェアの更新
      • ウイルス対策ソフトの導入・更新
  • 内部不正による情報漏えいとそれに伴う業務停止
    • 組織
      • •情報取扱ポリシー作成および周知徹底・機密保護に関する誓約
      • •資産の把握・体制の整備
      • •情報の取扱教育の実施
      • •重要情報の管理・保護
      • •アカウント、権限の管理・定期監査
      • •システム操作の記録・監視
    • サービス利用者
      • •情報の管理が適切かを確認
  • ウェブサービスからの個人情報の搾取
  • サービス妨害攻撃によるサービスの停止
    • 個人・組織
      • •OS・ソフトウェアの更新
        • 踏み台にならないため、利用している機器も含めて管理
    • 組織
      • DDoS攻撃の影響を緩和するISP等によるサービスの利用
      • 通信制御(DDoS攻撃元をブロック等)
      • •システムの冗長化等の軽減策
      • •サイト停止時の代替サーバーの用意
  • ウェブサイトの改ざん
    • ウェブサイト運営者
      • •OS・サーバーソフトウェアの更新
      • •サーバーソフトウェアの設定の見直し
      • ウェブアプリケーション脆弱性対策
      • •アカウント・パスワードの適切な管理
      • •信頼できないサーバーソフトウェアを利用しない
      • •改ざん検知ソフトウェアの利用
    • ウェブサイト利用者
  • 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
    • システム管理者
      • •担当するシステムの把握・管理の徹底
      • •継続的な脆弱性対策情報の収集
      • 脆弱性発見時の対応手順の作成
      • •ソフトウェアの更新または緩和策
      • •ネットワークの適切なアクセス制限
    • ソフトウェア利用者
      • •利用しているソフトウェアの把握
      • •定期的な脆弱性情報の収集
      • •ソフトウェアの更新または緩和策
    • ソフトウェア開発ベンダー
      • •製品に組み込まれているソフトウェアの把握・管理の徹底
      • •継続的な脆弱性対策情報の収集
      • 脆弱性発見時の対応手順の作成
      • •情報を迅速に展開できる仕組みの整備
  • ランサムウェアを使った詐欺・恐喝
    • 悪意のあるプログラムによって、PC内のファイルが閲覧・編集できない形に暗号化され、ファイル復元の身代金として、利用者が金銭を要求される被害
    • PC利用者
      • •定期的なバックアップ(PCだけではなく、共有サーバーも)
      • また、復元できるかの事前の確認
      • •OS・ソフトウェアの更新
      • ウイルス対策ソフトの導入・更新
      • •メールの添付ファイル・リンクのURLを不用意に開かない
    • スマートフォン利用者
  • インターネットバンキングやクレジットカード情報の不正利用
    • •OS・ソフトウェアの更新
    • ウイルス対策ソフトの導入
    • •事例や手口を知る
    • •二要素認証等の強い認証方式の利用
  • ウェブサービスへの不正ログイン
    • 攻撃者が不正に入手したIDやパスワードでログインを試みる
  • 過失による情報漏えい
    • ルールの明文化と遵守
    • フールプルーフ
      • ヒューマンエラー(利用者が行う誤った操作)が起こっても、危険な状況にならないようにするか、そもそも間違った操作が出来ないようにする設計
    •  

5.1.6.      【対策】注目すべき脅威や懸念

  • サポートの終了したソフトウェアを継続使用する危険性
    • 最新版への移行を
    • 移行できない場合はリスク緩和策
      • •ネットワークに繋がっていない環境で利用する、等
      • •ただし、脆弱性が解消される訳ではないため、早急な移行を
    • 組織においては計画的な移行を
      • •互換性の問題により移行できないケースを想定し、以下を考慮
        • 特定の製品やバージョンに依存しない
        • ソフトウェア製品のライフサイクル
  • 証明書の導入・設定不備や検証不備に起因する脅威と対策
    • 事業者が注意すべきこと
      • 認証局発行でない自己署名証明書ルート証明書にインストールするソフトウェアを開発・配布しない
      • 秘密鍵を他者に配布することで動作するソフトウェアを開発・配布しない
      • 証明書に関する問題が発見された場合、速やかに脆弱性情報を公開すると共に、更新プログラム等の解決策を提供
    • 利用者として注意すべきこと
      • 最新情報の収集に努め、更新プログラム等が提供された場合、早急に適用する
      • 不審なソフトウェアはインストールしない
  • マイナンバーの管理・運用の重要性
    • 個人として注意すべきこと
      • 趣旨と提示範囲の理解
        • マイナンバーは、法令に定められた社会保障・税・災害対策の行政手続のためのみに提示、等制度の趣旨と開示範囲が決まっている
      • 保存・送信する場合
        • •PC等に電子化して保存する場合は、情報自体を暗号化し、端末操作にパスワード入力や指紋認証等の本人確認を必須となるように設定
        • •メール等のネットワーク経由で送信する場合、暗号化や改ざん防止を
    • 事業者が注意すべきこと
      • 特定個人情報の取扱いに関するガイドラインを遵守
        • •法令に定められた利用制限、厳重な管理、提供・収集の制限を実施
      • 継続的なセキュリティ対策の見直し・実施
      • 業種別の個別のガイドラインへの遵守も

6.       サービス提供と情報セキュリティ対策

 

  • 提供するサービスの迅速化と一層の充実等
      • (政府情報システムの整備及び管理に関する標準ガイドライン実務手引書より)
    • インターネットの普及に伴い行政サービスの24時間365日提供に対する要請が高まる中、即時性が要求される申請等や提供するサービス内容の多様化・複雑化等に対応するために、業務手続の標準化と徹底した電子化の推進、情報セキュリティ上の要件を満たす前提での外部委託の活用、手続の統合による共通の情報システムの活用等を検討する。
  • 情報セキュリティ対策は
    • サービスの向上を図るために、情報資産(保有情報(媒体に依らず)、情報機器、情報システム)に対する情報セキュリティ上のリスクを低減させる

7.       事業継続計画(BCP)とセキュリティインシデント対応

7.1.     BCPとは

  • BCPとは、企業が緊急事態(自然災害、大火災、感染症、テロ、、、)に遭遇した場合において、事業資産(人・もの(情報及び設備)・金)の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期普及を可能とするため、平時に行うべき活動、当該緊急非常時における事業継続のための方法、手段などをあらかじめ取り決め、それを文書化したもの。

7.2.     BCPはなぜ必要か?

  • 企業が被災し、復旧が遅れ、事業継続が出来なくなると、①サプライチェーンの分断、②働く場の喪失、③事業の廃止、倒産といった事態に陥る可能性がある
  • また、被害が甚大であれば、産業集積そのものが喪失したり、地域の雇用や経済に大きな影響が出ることとなり、被災地以外に影響が波及することにもなる

7.3.     何のためにBCPを策定するのか?

7.4.     セキュリティインシデント対応はBCPの1つ

  • BCPとは、企業が緊急事態(自然災害、大火災、感染症、テロ、、、)に遭遇した場合において、事業資産(人・もの(情報及び設備)・金)の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期普及を可能とするため、平時に行うべき活動、当該緊急非常時における事業継続のための方法、手段などをあらかじめ取り決め、それを文書化したもの。
  • 情報セキュリティポリシー(基本方針、対策基準)は、人的・物的被害の防御、軽減が主眼の「防災計画」の1つ
  • インシデント対応は、被災後の事業の継続・早期復旧を視野に入れたBCPの1つ
  •  

8.       対策の概念

8.1.     リスクの要因

 

8.2.     情報セキュリティにおけるさまざまな対策

8.3.     情報セキュリティ対策の意義(参照:NDL)

  • 情報セキュリティ対策は目的ではない。サービスを向上させるため、サービスを継続するために情報セキュリティ対策を実施する
    • 組織のサービスの改善・向上を図るために必要な情報セキュリティのための措置(完全性・可用性の確保)
    • 組織が公開する権利を有しない情報の機密性を確保(機密性の確保)
    • 職員が館内外の情報資産に係る情報セキュリティを損なわないように(職員によるセキュリティ侵害
    • 行為)
    • 職員以外の者による館内外の情報資産に係る情報セキュリティの侵害に加担する結果にならないように(踏み台)
  • セキュリティ侵害のリスクがあるから、サービスを提供しないのは本末転倒
    • 職員のITリテラシが低いから、職員の業務効率化に繋がるサービスの利用を制限するのも本末転倒

8.4.     情報セキュリティ対策のポイント(私見)

  • 人的情報セキュリティ対策
    • 背景
      • 情報漏洩は、内部の人間が引き起こす割合が約8割で、外部からの悪意ある攻撃による割合は2割程度
      • 内部の人間の認識不足や不注意をいかに解決するか
      • 誤操作、管理ミス、紛失・置き忘れ、故意や悪意によるもの
    • 情報セキュリティリテラシは、情報リテラシの1つ
    • 一般利用者
    • システム構築・運用担当者
      • 応用情報技術者試験レベル(知識レベル3)
      • 情報セキュリティマネジメント試験レベル(知識レベル3)
    •  
  • 技術的情報セキュリティ対策
    • 企画・設計段階で、情報資産のリスクに応じた情報セキュリティ対策の要件を定義する
      • 情報セキュリティ対策は、情報システム構築の1つの要件
    • 要件定義が不明確のまま、構築すると、運用段階で、対処療法的な対策は膨大な費用が掛かる。
      • 未知の脆弱性への対応は、運用段階で
      • 設計・開発及び運用を外部委託するためには、発注者として、仕様書の段階で非機能要件の1つである情報セキュリティ対策を明確に記載 ⇒そのためには、情報セキュリティ対策を含め、システム設計・構築を外部委託するためのスキルが必要
    • 自前の情報セキュリティ対策に不安(脆弱性を低減できない等)がある場合、クラウドサービスの活用も有効
      • 情報セキュリティ対策の費用対効果、サービス向上、業務の効率化の観点からも、社会全般での普及が進んでいる
    • 信頼性設計(設計段階での考慮の一例)
      • フォールトレランス
        • システムの一部で障害が起こっても、全体でカバーして機能停止を防ぐ
      • フォールトアボイダンス
        • 個々の機器の障害が起こる確率を下げて、全体として信頼性を上げる
      • フェールセーフ
        • システムに障害が発生したとき、安全側に制御する方法
      • フェールソフト
        • システムに障害が発生したとき、障害が起こった部分を切り離すなどして最低限のシステムの稼働を続ける方法(縮退運転)
      • フォールトマスキング
        • 機器などに故障が発生したとき、その影響が外部に出ないようにする方法(冗長化等)
      • フールプルーフ
        • ヒューマンエラー(利用者が行う誤った操作)が起こっても、危険な状況にならないようにするか、そもそも間違った操作が出来ないようにする設計
  • 管理的情報セキュリティ対策
    • 情報セキュリティマネジメントシステムISMS)に準拠した情報セキュリティポリシー(基本方針、対策基準)、実施手順の策定と確実な運用が重要
    • まず、情報資産(情報、情報機器、ソフトウェア)のリスクアセスメントを実施
      • (抜け道が多い、費用対効果が悪い対策にならないように)
        • どれだけ対策をしてもリスクは0にはならない。残留リスクに対して許容可能かを評価する
        • リスク(情報資産の価値×脅威×脆弱性)の高いものを優先投資
    • サービスの向上、維持を阻害させない情報セキュリティポリシー、実施手順の策定
      • 過度な情報セキュリティ管理により、新しいサービスの創造ができない、作業効率が悪い等の事象の回避。
        • 情報セキュリティ管理に関する事項のうち、適正水準よりも過度となっている部分について、要件の緩和を検討する。
      • 職員のITリテラシに合わせた情報セキュリティ対策で、はなく、まず、ITリテラシを高めることにより、適切な情報セキュリティ対策に対する意識を高める
  • 物理的情報セキュリティ対策
    •  

9.       情報セキュリティポリシー、実施手順

9.1.     情報セキュリティポリシーの構成

9.2.     情報セキュリティポリシー(基本方針)

  • 情報セキュリティに関する組織の基本的な態度【NDL例】
    • 組織は、情報セキュリティを重視し、その保障に努める。
    • 組織は、館のサービスの改善を図るために必要な情報セキュリティのための措置を講ずる。
    • 組織は、利用者情報、利用情報及び館が公開する権利を有しない情報の機密性を確保する。
    • 組織は、職員が館内外の情報資産に係る情報セキュリティを損なうことのないよう措置する。
    • 組織は、職員以外の者による館内外の情報資産に係る情報セキュリティの侵害に加担する結果となることのないよう措置する。

9.3.     情報セキュリティポリシー(対策基準)

  • 情報セキュリティ対策の実施【NDL例】
    • 人的セキュリティ対策
      • 情報セキュリティに関する権限及び責任を定め、情報セキュリティポリシーの内容を周知徹底するなど、職員の教育及び啓発を行う。
    • 物理的セキュリティ対策
      • 情報システム関係機器が設置された施設への不正な立入りを防止するなど、情報資産を危害、妨害等から物理的に保護する。
    • 技術的セキュリティ対策
      • 情報資産を外部からの不正なアクセスから保護する等のため、情報資産へのアクセス制御、ネットワーク管理、コンピュータウィルス対策等の技術的な対策を行う。
    • 運用に関するセキュリティ対策
      • 情報システムの監視、情報セキュリティポリシーの実施状況の確認等運用面における対策及び情報セキュリティ緊急事態に対応する危機管理対策を行う。
    • 具体的な対策基準
      • 別途

9.4.     情報セキュリティ実施手順

  • 情報セキュリティ対策指針
    • 「情報セキュリティ対策基準」の小項目毎に対応し、更に詳細な管理策(サブコントロールレベル)を示す
  • 情報資産リスクマネジメント実施手順
  • 情報セキュリティ実施手順(一般職員向け)
  • 情報セキュリティ実施手順(システム管理者向け)
  • 各部課の情報セキュリティ実施手順

9.5.     情報セキュリティマネジメントシステムISMS)構築手順

  • ISMSの適用範囲を決定する
  • 基本方針文書を策定する
  • リスクアセスメントの体系的な取り組み方法を策定する
  • リスクを識別する
  • リスクアセスメントを行う
  • リスク対策を行う
  • 管理目的と管理策を選択する
  • 各部課の実施手順に選択した管理策を反映させる
  • 残留リスクを承認し、ISMSの実施を許可する

9.6.     ISMSPDCAサイクル

 

9.7.     脅威・対策・脆弱性・リスクの関係

  • 脅威(内部・外部)
    • サービス妨害の脅威
    • 侵入しての何らかの行為が行われる脅威
      • セキュリティ侵害の事前調査
      • 権限取得及び侵入される可能性
      • 不正実行
        • 機密性を損なう可能性
        • 完全性を損なう可能性
        • 可用性を損なう可能性
      • 再度侵害を受ける可能性
    • 真正性が損なわれる脅威
    • 説明責任を果たせなくなる脅威
  • 脅威への対策
    • 人的セキュリティ対策
    • 物理的セキュリティ対策
    • 技術的セキュリティ対策
    • 運用に関するセキュリティ対策
  • 対策後の脆弱性
    • セキュリティホールとも呼ぶ
    • 人的、物理的、技術的、運用での対策の設計、構築、運用時の情報セキュリティ上の欠陥、不具合、ミス
  • 脆弱性を突かれるリスク
    • 脆弱性が残された状態で情報セキュリティ侵害を受ける可能性
    • 例えば、クラウドコンピューティングの利用のリスクへの対応⇒対策
      • 回避
        • 利用によって生じると考えられるリスクを検討した結果、利用をやめる場合。クラウドコンピューティングサービスを利用しないため、これによるリスクは発生しない
      • 低減・軽減
        • データセンタの場所が国内であって、利用者がシステム監査を実施可能であるサービスを選定し、システム監査の条項を含む契約を結ぶことができるベンダーを選定する場合。適切な運用管理が行われているか否かを確認し、問題があれば改善等を要求し、リスクを低減する
      • 移転・共有
        • 何らかの問題が発生し損害が発生した場合には、賠償責任をベンダーが負うことについて、契約に明記し、その損害をカバーする場合等
      • 受容
        • 既に適切な対策が実施されており、残存リスクが小さいと判断される場合に、残存リスクがあることを承知した上で、特別に新たな対策を取らないことを意思決定した上で、利用する場合
    • 明確にしておくべき事項
      • 既知のリスクとその属性(予想される頻度、潜在的な影響及び対応)
        • リスクが影響する資源
        • リスクに対応する組織の力
        • 現状におけるリスクをコントロールする活動の状況
    • リスクに関する理解の促進
    • リスクのモニタリングと対応策の見直し
    • リスク顕在時の対応
      • 予兆の検出
      • 対応の準備
      • リスクの顕在化時(インシデント発生時)の対応
    • リスク対応結果の評価とその後の対応

9.8.     情報セキュリティマネジメントの規格や標準

 

9.8.1.      情報セキュリティマネジメントの実践のための規範JIS Q 27002:2006

  • 「Information technology - Security techniques - Code of practice for information security management(ISO/IEC17799)」という国際標準です。
  • 2000年に初めて国際標準化され、2005年に改訂されたこの規格は、2006年5月に「情報技術-セキュリティ技術-情報セキュリティマネジメントの実践のための規範(JIS Q 27002:2006)」としてJIS化されました。
  • この規格は、情報セキュリティ対策を行う際の Code of Practice( = 実践規範)を記したものであり、ベストプラクティスとして様々な管理策が記載されています。
  • 組織は、これらの管理策から自社にあったものを適宜、取捨選択できます。

9.8.2.      情報セキュリティマネジメントシステム - 要求事項JIS Q 27001:2006

  • 組織のISMS構築、運用に関する第三者認証のための要求事項を記したISMS認証の規格が、「ISO/IEC27001:2005 Information technology - Security techniques - Information security management systems - Requirements」です。
  • この規格も2006年5月に「JIS Q 27001:2006 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム - 要求事項」としてJIS化されました。
  •  

9.9.     リスクマネジメント

  • 対策基準では、
    • 基本方針の内容を受けて具体的なルール、いわゆる「管理策」を記述します。
    • 「管理策」は、情報セキュリティ上のリスクを減らすための対応策のことで、非常に多くのものがありますが、これらは「技術的対策」と「管理的対策(人的対策・組織的対策・物理的(環境的)対策を含む)」に大別されます。
  • 対策基準を策定する際には、
    • 多くの管理策の中から、(1)何を自社にとって最適な管理策として選ぶか、そしてそれを(2)どのようにわかりやすく記載するか、というのが大きなポイントとなります。
    • それぞれの組織が抱えるリスクは、その組織の状況によって異なるため、実効性のある対策を選択するためには、リスクアセスメントを行う必要があります。
  • リスクアセスメントとは、
    • 守るべき対象である情報資産で発生する可能性のある脅威と、脅威の発生確率や発生した場合の影響度等を評価する方法のこと。

9.9.1.      情報資産の格付け

  • 機密性についての格付の定義
    • 機密性3情報
      • 行政事務で取り扱う情報のうち、秘密文書に相当する機密性を要する情報
    • 機密性2情報
      • 行政事務で取り扱う情報のうち、秘密文書に相当する機密性は要しないが、漏えいにより、国民の権利が侵害され又は行政事務の遂行に支障を及ぼすおそれがある情報
    • 機密性1情報
      • 公表済みの情報、公表しても差し支えない情報等、機密性2情報又は機密性3情報以外の情報
    • なお、機密性2情報及び機密性3情報を「要機密情報」という。
  • 完全性についての格付の定義
    • 完全性2情報
      • 行政事務で取り扱う情報(書面を除く。)のうち、改ざん、誤びゅう又は破損により、国民の権利が侵害され又は行政事務の適切な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報
    • 完全性1情報
      • 完全性2情報以外の情報(書面を除く。)
    • なお、完全性2情報を「要保全情報」という。
  • 可用性についての格付の定義
    • 可用性2情報
      • 行政事務で取り扱う情報(書面を除く。)のうち、その滅失、紛失又は当該情報が利用不可能であることにより、国民の権利が侵害され又は行政事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報
    • 可用性1情報
      • 可用性2情報以外の情報(書面を除く。)
    • なお、可用性2情報を「要安定情報」という。
    • また、要機密情報、要保全情報及び要安定情報を「要保護情報」という。

9.9.2.      ITセキュリティマネジメントのための手法(JIS TR X 0036-3:2001)

  • (1)ベースラインアプローチ
    • 既存の標準や基準をもとにベースライン(自組織の対策基準)を策定し、チェックしていく方法。簡単にできる方法であるが、選択する標準や基準によっては求める対策のレベルが高すぎたり、低すぎたりする場合がある
  • (2)非形式的アプローチ
  • (3)詳細リスク分析
    • 詳細なリスクアセスメントを実施。情報資産に対し「資産価値」「脅威」「脆弱性」「セキュリティ要件」を識別し、リスクを評価していく。
    • 厳密なリスク評価が行えるものの多大な工数や費用がかかる
  • (4)組合せアプローチ
    • すべての情報資産に詳細なリスク分析を行うのは時間と費用がかかりすぎて現実的ではありません。
    • その組織を守るためのベースライン(基本)となる管理策の組み合わせを決め、その上でよりリスクの高いシステムを保護するために、詳細リスク分析を追加することにより、組織がリスク分析に用いる費用を削減でき、より精度の高いリスク分析を行うことが可能になります。
    • リスク評価は「リスクの重大さを決定するために、算定されたリスクを、与えられたリスク評価基準と比較するプロセス」と定義されていますが、「与えられたリスク評価基準」とは、どこかの基準に書いてあるものではなく、経営者により判断された評価基準です。
    • リスクへの対応は、つまりは、経営的判断により行われます。

10.    「情報セキュリティ管理基準(平成20年改正版)」

10.1.  構成

  • 「マネジメント基準」
    • 情報セキュリティマネジメントの確立
    • 情報セキュリティマネジメントの導入と運用
    • 情報セキュリティマネジメントの監視およびレビュー
    • 情報セキュリティマネジメントの維持および改善
    • 文書管理および記録の管理
  • 「管理策基準」
    • セキュリティ基本方針
    • 情報セキュリティのための組織
    • 資産の管理
    • 人的資源のセキュリティ
    • 物理的及び環境的セキュリティ
    • 通信及び運用管理
    • アクセス制御
    • 情報システムの取得、開発及び保守
    • 情報セキュリティインシデントの管理
    • 事業継続管理
    • 順守

10.2.  マネジメント基準

  • 情報セキュリティマネジメントの確立
    • 適用範囲の定義
      • 情報セキュリティマネジメントの適用範囲及び境界を定義する
    • 基本方針の策定
      • 情報セキュリティ基本方針を策定する
      • 経営陣は情報セキュリティ基本方針にコミットする
    • リスクアセスメント
      • リスクアセスメントに対する組織の取り組み方を定義する
      • リスクを特定する
      • リスクを分析し、評価する
      • 経営陣はリスク受容基準及びリスクの受容可能レベルを決定する
    • 管理策の選択
      • リスク対応のための選択肢を特定し、評価する
      • リスク対応のための管理目的及び管理策を選択する
      • 残留リスクについて経営陣の承認を得る
      • 情報セキュリティマネジメントを導入し運用することについて経営陣の許可を得る
  • 情報セキュリティマネジメントの導入と運用
    • リスク対応計画
      • リスク対応計画を策定する
      • リスク対応計画を実施する
      • 経営陣はリスク対応計画の実施のために十分な経営資源を提供する
    • 管理策の実施
      • 管理目的を満たすために管理策を実施する
      • 選択した管理策または一連の管理策の有効性をどのように評価するか、また評価の結果をどのように活用するかを定義する
    • 情報セキュリティマネジメントの運用管理
      • 情報セキュリティマネジメントの運用を管理する
      • 情報セキュリティマネジメントのための経営資源を管理する
      • 迅速にセキュリティイベントを検知でき、セキュリティインシデントに対応できるための手順及びそのための管理策を実施する
    • 教育、訓練、意識向上及び力量
      • 経営陣は情報セキュリティ基本方針に適合することの重要性を組織に伝える
      • 情報セキュリティマネジメントに影響がある業務に従事する要員に必要な力量を決定する
      • 必要な力量が持てるように教育・訓練するか、的確な要員の雇用など他の処置をとる
      • 教育・訓練、意識向上に関して有効性を評価する
      • 教育、訓練、技能、経験及び資格についての記録を維持する
      • 関連する要員すべてが、情報セキュリティについての活動が持つ意味と重要性とを認識する
      • 関連する要員すべてが、情報セキュリティマネジメントの目的の達成に向けて自分はどのように貢献できるかを認識する
  • 情報セキュリティマネジメントの監視及びレビュー
    • 有効性の継続的改善
    • 監視及びレビューの準備
    • 管理策の有効性評価
    • 情報セキュリティマネジメントの継続性評価
  • 情報セキュリティマネジメントの維持及び改善
    • 改善策の導入
    • 是正処置
    • 予防処置
    •  
  • 文書管理及び記録の管理
    • 文書化
    • 文書管理
    • 記録の管理

10.3.  「管理策基準」

  • セキュリティ基本方針
    • 情報セキュリティ基本方針
  • 情報セキュリティのための組織
    • 内部組織
    • 外部組織
  • 資産の管理
    • 資産に対する責任
    • 情報の分類
  • 人的資源のセキュリティ
    • 雇用前
    • 雇用期間中
    • 雇用の終了又は変更
  • 物理的及び環境的セキュリティ
    • セキュリティを保つべき領域
    • 装置のセキュリティ
  • 通信及び運用管理
    • 運用の手順及び責任
    • 第三者が提供するサービスの管理
    • システムの計画作成及び受入れ
    • 悪意のあるコード及びモバイルコードからの保護
    • バックアップ
    • ネットワークセキュリティ管理
    • 媒体の取扱い
    • 情報の交換
    • 電子商取引サービス
    • 監視
    •  
  • アクセス制御
    • アクセス制御に対する業務上の要求事項
    • 利用者アクセスの管理
    • 利用者の責任
    • ネットワークのアクセス制御
    • オペレーティングシステムのアクセス制御
    • 業務用ソフトウェア及び情報のアクセス制御
    • モバイルコンピューティング及びテレワーキング
    •  
  • 情報システムの取得、開発及び保守
    • 情報システムのセキュリティ要求事項
    • 業務用ソフトウェアでの正確な処理
    • 暗号による管理策
    • システムファイルのセキュリティ
    • 開発及びサポートプロセスにおけるセキュリティ
    • 技術的ぜい弱性管理
  • 情報セキュリティインシデントの管理
  • 事業継続管理
  • 順守
    • 法的要求事項の順守
    • セキュリティ方針及び標準の順守並びに技術的順守
    • 情報システムの監査に対する考慮事項

11.    「政府機関の情報セキュリティ対策のための統一基準群(平成26年度版)」

11.1.   

12.    人材育成

12.1.  ITパスポート試験シラバス

  • 情報処理技術者試験のレベル1で、社会人の常識とされる
  • システムを使ったサービスの提供者、利用者が知っておくべき基礎知識
  • 範囲は網羅的
  • 内容は用語の意味を知っていればいい程度

12.2.  まとめ)企業の情報セキュリティ対策と人材面の対策

12.3.  情報処理技術者試験 情報セキュリティ人材育成の取り組み

12.4.  情報セキュリティマネジメント試験 シラバス

12.5.  情報セキュリティマネジメントタスクプロフィール

  • 情報システムの利用部門において、
  • 情報セキュリティリーダとして、部門の業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程(情報セキュリティポリシを含む組織内諸規程)の目的・内容を適切に理解し、
  • 情報及び情報システムを安全に活用するために、情報セキュリティが確保された状況を実現し、維持・改善する。

12.6.  情報セキュリティ人材の職種

  • 平成24年度に「情報セキュリティ人材の育成指標等の策定事業」(経済産業省)によって検討されたスキル標準等の見直し案の方針を受けて作成した 「情報セキュリティ強化対応CCSF」に基づくITSS、UISS、ETSS視点の人材モデル
  • コンサルタント
    • 情報リスクマネジメント
      • すべてのインダストリに共通する組織ガバナンスと情報リスクマネジメント(事業継続管理、情報セキュリティマネジメント等)、コンプライアンスの領域における、競争・サービスの差別化の源泉となる専門知識を活用し解決策を提示する。"
  • ITアーキテクト
    • セキュリティアーキテクチャ
      • ビジネスおよびIT上の課題を分析し、セキュリティ要件として再構成する。システム属性、仕様を明らかにし、情報システムの安全性や信頼性をセキュリティ面から実現する上で最適なアーキテクチャを設計する。設計したアーキテクチャがビジネス及びIT上の課題に対するソリューションを構成することを確認するとともに、後続の開発、導入が可能であることを確認する。"
  • セキュリティアドミニストレータ
    • 情報セキュリティアドミニストレータ
      • 【ミッション】情報セキュリティ戦略やポリシー・ルール策定等を推進する。
      • 【活動内容】セキュリティの活動領域として以下を実施する。
        • ●事業戦略策定・情報セキュリティ戦略の策定
        • ●セキュリティ・セキュリティ方針の策定"
    • ISセキュリティアドミニストレータ
      • 【ミッション】IS戦略と情報セキュリティ戦略との相互連携を図る。情報セキュリティ戦略やポリシーを企画・計画に落とし込み、実装(ないしはその指示)・提供・維持・管理を行う。
      • 【活動内容】セキュリティの活動領域として以下を実施する。
        • ● IT基盤構築・維持・管理・品質統制フレームワークの運営 (各プロジェクトに対するガバナンスの実施)・ IS導入計画の策定
        • ●セキュリティ・セキュリティ基準の策定・セキュリティ事故と対応の分析・セキュリティ対応の見直し"
    • インシデントハンドラ
      • 【ミッション】情報セキュリティインシデントについて、インシデントの発生を検知・受付し、適切に判断・対応することで、被害を極少化する。
      • 【活動内容】セキュリティの活動領域として以下を実施する。
        • ●IS運用・セキュリティ管理"
  • セキュリティマネージャ
    • 組込みセキュリティ
      • 製品に関するリスク対応の観点に基づき、機能安全を含む製品のセキュリティの側面から、企画・開発・製造・保守などにわたるセキュリティライフサイクルを統括する責任者。"
  • 情報セキュリティマネジメント
    • 情報システムの利用部門において、情報セキュリティリーダとして、部門の業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程(情報セキュリティポリシを含む組織内諸規程)の目的・内容を適切に理解し、情報及び情報システムを安全に活用するために、情報セキュリティが確保された状況を実現し、維持・改善する。

 

13.    個人情報保護

  • 法の趣旨
    •  
  • 改正個人情報保護法(2015年6月)
    • 「匿名加工情報」とは、特定の個人を識別できないよう加工し、かつ個人情報を復元できないデータ。
    • この匿名加工情報は、個人情報を提供した本人の同意がなくても他社にデータを提供できる枠組み
    • 、「匿名加工情報は個人情報取得の際の利用目的にとらわれることなく、第三者に提供しなくても自社で利用できる」←匿名加工情報は個人情報ではない
    • 課題
      • 匿名加工情報は「匿名データ」ではない
      • 匿名化技術
        • 暗号法
          • データを暗号化
        • 摂動法
          • データに雑音を加えたり、データの一部を消したりして構造を変え。個人の特定を防ごうとするもの

14.    サイバーセキュリティ相談窓口の業務

14.1.  中小企業に特化した情報セキュリティ対策の相談対応方針

14.1.1.    中小企業の現状

  • 組織の意識と対策
    • 情報セキュリティ対策の必要性の認識が低い
      • 被害にあった場合、影響が如何に大きいかを認識させる⇒事例に基づいた被害と対策の必要性の啓発。
    • システムをベンダーの言いなりで開発もしくは導入、運用
      • セキュリティ対策を明確にした調達仕様書のためのスキル教育の方法をレクチャー
    • 情報セキュリティ対策の方法がわからない
  • セキュリティ担当での調査
    • ターゲット分類は?
      • 組織規模
        • 従業員1名から999名
      • 業種別
        • 重要インフラ(社会インフラ)
        • 製造業、サービス業
      • 職種
        • 経営者、管理者、一般職員
      • 意識レベル
        • 意識がない⇒啓発から
        • 意識がある⇒具体的な対策から
      • システム・セキュリティ管理者の有無
        • 情報セキュリティマネジメント試験レベルの担当者
      • システムの内部調達・外部委託別
        • 要件定義はどちらでも
        • 外部委託は、調達仕様書が作成できるスキルの有無
        • 内部調達は、情報セキュリティ
        • スペシャリストレベルのスキルを持った設計開発者
    • 対策は?
      • 人的
      • 物理的
      • システム的
      • 管理的
    • 事例は?
      • 一般的な事例
      • 小企業での事例
      • 中企業での事例
      • 大企業とどう違う?

14.1.2.    中小企業への支援

  • 普及啓発
    • 対策の必要性、対策概要、具体的な対策
      • システムを使った事業の実施、創業のためには、情報セキュリティ対策が必要である
      • セキュリティ対策は、費用でなく、システム構築の一要件であり将来への投資であることを理解してもらう
    • 啓発内容の例
      • セキュリティ侵害の事例
        • 脅威の事例
        • リスクの事例
      • セキュリティ対策の事例
        • 費用対効果の高い対策とは
        • システムを構築する際の対策
        • 情報セキュリティ侵害があった時の対策
  • 対策の概要
    • セキュリティ対策の普及啓発
      • ⇒啓発用Webページ、セミナー等の案内
        • 連携機関でのセミナー開催予定
        • 他機関でのセミナー開催予定
    • セキュリティの予防対策
      • システム化構築のPDCAサイクル
        • 脆弱性を低減するシステム企画・設計構築
        • セキュリティ侵害が発生したときに、速やかに対応できる運用、保守
      • 過剰、過小な対策を防ぐ提案
        • ⇒情報セキュリティ対策を含めたBCPの策定を提案
        • ⇒情報セキュリティに特化した対策はISMSの体系に沿った対策を提案
      • 重大事象を優先的に対策
        • 重要の情報資産は何か
        • 重要な情報資産への頻度の高い脅威の洗い出し
        • 脅威に対する脆弱性の度合い
        • 脆弱性を低減させる対策は?
        •  
    • セキュリティ侵害の事象発生(インシデント)の可能性あり
      • 段階
        • セキュリティ侵害の予兆段階
        • セキュリティ侵害の発生
      • 案内先
        • 犯罪の可能性
        • 一般的な不正アクセス、ウイルス感染
        • 高度な技術的対策が必要な事象
    •  

14.1.3.    相談対応フロー

  • 相談受付の基本的な考え方
    • セキュリティ侵害の予兆、事象発生時は、所管の窓口を案内
    • 対策として何をしたらいいかの相談は、外部のIT活用セミナー、セキュリティセミナーを案内
    • ⇒どこを参照?
  • 相談を受け付ける対象
    • 重要インフラ⇒NISC
    • 従業員1000名以上⇒?
    • 都以外⇒?
    • 中小事業者、小規模事業者⇒受付
    • 個人⇒受付
  • 相談内容種別毎の案内先

15.    情報セキュリティ関連法規

15.1.  サイバーセキュリティ基本法

15.2.  不正アクセス禁止法

15.3.  個人情報保護法

15.4.  刑法

  • 不正指令電磁的記録に関する罪(ウイルス作成罪)
  • 電子計算機使用詐欺罪
  • 電子計算機損壊等業務妨害
  • 電磁的記録不正作出及び供用罪
  • 支払用カード電磁的記録不正作出等罪

15.5.  その他のセキュリティ関連法規

15.6.  知的財産権

15.7.  労働関連・取引関連法規

15.8.  その他の法律・ガイドライン・技術者倫理

15.9.  知的財産計画2016

  • 知財侵害関連の施策
    •  

 

 

16.    ここからセキュリティ! 情報セキュリティ・ポータルサイトIPA)【相談事例集作成候補】

  • 凡例
    • 【LEVEL0】経営者, 【LEVEL1】一般, 【LEVEL2】システム運用管理者, 【LEVEL3】システム開発者向け

16.1.  ここからセキュリティ! 情報セキュリティ・ポータルサイト

16.2.  トップページ

16.3.  被害にあったら

16.3.1.    ウイルス(マルウェア)に感染したら

16.3.2.    不正アクセス(サーバーが攻撃された・ウェブページを書き換えられた)

16.3.3.    情報漏えい(情報の紛失・流失・盗難)

16.3.4.    ワンクリック請求(料金画面が消えない・料金請求された)

16.3.5.    迷惑メール(スパムメール

16.3.6.    フィッシング詐欺・なりすまし(銀行やカード会社を騙るメール・送信元のアドレスを偽るメール)

16.4.  対策する

16.4.1.    対策の基本(まずはここから!)

16.4.2.    ウイルス対策

16.4.3.    不正アクセス対策

16.4.4.    情報漏えい

16.4.5.    ワンクリック請求(料金画面が消えない・料金請求された)【LEVEL1】【詳細】

16.4.6.    パスワード

16.4.7.    フィッシング詐欺・なりすまし

16.4.8.    標的型攻撃メール

16.4.9.    迷惑メール

16.4.10.  ガイドライン

16.5.  教育・学習

16.5.1.    一般向け

16.5.2.    ホームユーザ向け

16.5.3.    中小企業向け・より大きな企業・組織向け

    • 初めての情報セキュリティ対策のしおり(IPA) 【LEVEL1】【冊子体】【容易】【中小】

16.5.4.    OSのアップデート(サポート終了関連情報を含む)

16.6.  セキュリティチェック

16.6.1.    クイズに挑戦

16.6.2.    安全性を診断しよう

  • インターネット利用上(りようじょう)の注意 自己診断(じこしんだん) (総務省)
  • モバイル通信(つうしん)利用上(りようじょう)の注意 自己診断(じこしんだん) (総務省)
  • 営業秘密管理チェックシート(経済産業省
  • 組織の情報セキュリティ対策自己診断テスト ~ 情報セキュリティ対策ベンチマーク ~(IPA)
  • 中小企業における組織的な情報セキュリティ対策ガイドライン チェック項目(IPA)
  • Androidアプリの脆弱性の学習・点検ツール AnCoLe(IPA)
  • 5分でできる!情報セキュリティ自社診断(IPA)
  • MyJVNバージョンチェッカ(IPA)
  • ウェブ健康診断仕様(IPA)
  • 「やられたかな?その前に」ガイド・問診票(日本セキュリティオペレーション事業者協議会)
  • 制御システムセキュリティ自己評価ツール「J-CLICS」(JPCERT/CC
  • 制御システムセキュリティ自己評価ツール「J-CLICS STEP2」(JPCERT/CC
  • マイナンバーの安全管理措置チェックシート(JNSA)
  • パスワードのチェック ? パスワードは強力か?(マイクロソフト
  • セキュリティアセスメントツール(トレンドマイクロ

16.6.3.    試験・資格

16.7.  データ&レポート

  • http://www.ipa.go.jp/security/kokokara/report/index.html
  • 官民ボード
    • スマートフォン利用における脅威とその対策とは(技術調査SWG)
    • MacOSにもウイルス対策が必要(官民ボード 質的把握SWG)
    • IDやパスワードを使い回すことの危険性(官民ボード 質的把握SWG)
    • 脆弱性情報を適切に共有するために」
    • 脆弱性情報を受付けし関係者にお知らせする制度について (不正アクセス行為防止WGセキュリティ・ホール攻撃対策の取組SWG)
    • 脆弱性の対策には」
    • 脆弱性対策に関する情報や対策に関するアドバイス不正アクセス行為防止WGセキュリティ・ホール攻撃対策の取組SWG)
    • 「情報システムの技術的なセキュリティ対策」
    • 情報システムに対する技術的なセキュリティ対策について(不正アクセス行為防止WGセキュリティ・ホール攻撃対策の取組SWG)
  • 警察庁
    • 平成27年おける出会い系サイト及びコミュニティサイトに起因する事犯の現状と対策について
    • 平成27年における不正アクセス行為の発生状況等の公表について
    • Microsoft SQL Server を標的とするアクセスの増加について
    • 平成27年上半期の出会い系サイト及びコミュニティサイトに起因する事犯の現状と対策について
    • 平成26年中の出会い系サイト及びコミュニティサイトに起因する事犯の現状と対策について
    • 産業制御システムで使用されるPLCの脆弱性を標的としたアクセスの観測について
    • 平成27年中のサイバー空間をめぐる脅威の情勢について
    • 携帯電話販売店に対するフィルタリング推奨状況等実態調査
    • Bash脆弱性を標的としたアクセスの観測について(第3報)
    • 金融機関等のフィッシングサイトの増加について
    • 不正アクセス行為対策等の実態調査調査報告書
    • 平成27年中のインターネットバンキングに係る不正送金事犯の発生状況等について
    • インターネット観測結果等
    • インターネット定点観測
    • 警察白書
  • 総務省
    • ウェブサービスに関するID・パスワードの管理・運用実態調査結果
    • スマートフォン安心安全強化戦略の概要
    • 平成27年度青少年のインターネット・リテラシー指標等
    • 青少年のインターネット利用と依存傾向に関する調査結果報告書
    • ICT成長戦略~ICTによる経済成長と国際社会への貢献~
    • 世界最先端IT 国家創造宣言
    • パーソナルデータの利用・流通に関する研究会_報告書
    • 情報通信白書
    • グリッド関連サービスにおけるプライバシー・個人情報保護に関する調査研究報告書
  • 経済産業省
    • 平成27年度「情報セキュリティ監査企業台帳(2015.10.8版)」
    • 平成27年度「システム監査企業台帳(2015.10.8版)」
    • 模倣品・海賊版対策の総合窓口に関する年次報告(2015年版)
    • 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
    • 人材を通じた技術流出に関する調査研究 報告書
    • 情報処理実態調査
    • 「営業秘密の管理実態に関するアンケート調査」結果概要(速報版)
    • 経産省の情報セキュリティ対策,情報セキュリティ人材が担う役割,ITパスポート試験
    • 近事の技術流出事例への対処と技術流出の実態調査について
    •  
  • 内閣サイバーセキュリティセンター(NISC)
    • サイバーセキュリティ戦略
    • 第6回「日・ASEAN情報セキュリティ政策会議」の結果
    • 情報セキュリティ政策会議:政府の情報セキュリティ予算について
    • 情報セキュリティ人材の必要性について
  • NICT
    • nicterWeb ~サイバー攻撃の観測情報~
    • 次世代暗号≪ペアリング暗号≫-世界記録と安全性-
    • 次世代暗号≪ペアリング暗号≫-実用化に向けて-
  • IPA
    • 企業のCISOやCSIRTに関する実態調査2016
    • 営業秘密管理・保護システムに関するセキュリティ要件調査
    • 内部不正による情報セキュリティインシデント実態調査
    • 情報セキュリティ人材の育成に関する基礎調査
    • 標的型サイバー攻撃の事例分析と対策レポート
    • IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」
    • 情報セキュリティ技術動向調査
    • デジタル複合機のセキュリティに関する調査報告書
    • オンライン本人認証方式の実態調査
    • 重要インフラのサイバーセキュリティを向上させるためのフレームワーク
    • 自動車や家電など製品のセーフティ設計・セキュリティ設計に関する実態調査結果
    • 「暗号利用環境に関する動向調査」報告書
    • 「医療機器における情報セキュリティに関する調査」報告書
    • 攻撃者に狙われる設計・運用上の弱点についてのレポート
    • 「2015年度中小企業における情報セキュリティ対策に関する実態調査」報告書>
    • 「情報セキュリティ10大脅威 2015」
    • 2014年度情報セキュリティ事象被害状況調査_報告書
    • 「2014年度情報セキュリティの倫理に対する意識調査」報告書
    • 「2014年度情報セキュリティの脅威に対する意識調査」報告書
    • コンピュータウイルス・不正アクセスの届出状況および相談状況 [2015年第2四半期(4月~6月)]
    • ソフトウェア等の脆弱性関連情報に関する届出状況 [2015年第2四半期(4月~6月)]
    • 不正アクセス被害の届出状況について
    • 情報セキュリティ白書2015
    • IPA テクニカルウォッチ「ウェブサイトにおける脆弱性検査手法の紹介(ウェブアプリケーション検査編)
    • IPA テクニカルウォッチ 脆弱性を悪用する攻撃への効果的な対策についてのレポート
    • 脆弱性検査と脆弱性対策に関するレポート
    • 脆弱性対策情報データベース
    • 脆弱性を利用した新たなる脅威に関する調査(報告書)

16.8.  (情報セキュリティ FAQ)

17.    参考サイト

17.1.  中小企業経営者向け

17.2.  IoT開発におけるセキュリティ設計の手引き

  • https://www.ipa.go.jp/files/000052459.pdf
  • IoTは、中小企業においても大きなビジネスチャンスであり、先行して取り組むことが期待される
  • 開発段階での対応
    • 新たに脆弱性を作り込まないこと
      • セキュアプログラミング技術の適用やコーディング規約の利用によって、新たな脆弱性を作り込まないようにする。ハードウェアに生じる脆弱性の対策(例えば、物理的な攻撃への対策)も考慮する
    • 既知の脆弱性を解消すること
      • 既知の脆弱性が存在しないか確認する。この際には、IPAが提供する脆弱性対策情報データベース「JVN-iPedia」の活用も可能
    • 残留している脆弱性を検出・解消すること
    • 製品出荷後の脆弱性の新たな発見に備えること
  • 運用段階での対応
    • 継続的な脆弱性対策情報の収集
      • 出荷した製品自体、製品開発に利用した外部のソフトウェア部品において、新たな脆弱性が検出・発見されていないか、継続的な脆弱性対策情報の収集が必要
    • 脆弱性対策情報(更新ソフトウェアを含む)の作成
      • 新たな脆弱性が検出・発見された場合、脆弱性対策情報(脆弱性の概要、深刻度、影響を受ける範囲、想定される影響、対策等)を作成
      • 対応に時間がかかる場合は、回避策(例えば、製品の特定の機能をオフにして脆弱性の影響を受けないように抑止する)を準備
    • 脆弱性対策情報の利用者への通知
      • 脆弱性対策情報が作成できたら、速やかに、確実に利用者に通知すること。
      • 遠隔操作によって自動的に更新ソフトウェアを適用する方法も検討
      • 利用者における更新ソフトウェアの適用が困難な製品の場合やハードウェアの脆弱性の場合、IoTの製品分野によっては、リコールを実施し、製品を一旦回収してアップデート・改修作業を実施する可能性についても、考慮しておく必要がある

17.3.  内閣サイバーセキュリティセンター(NISC)

17.3.1.    高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)

17.3.2.    国家安全保障会議

17.3.3.    警察庁

17.3.4.    総務省

17.3.5.    外務省

17.3.6.    経済産業省

17.3.7.    JPCERTコーディネーションセンター

17.3.8.    防衛省

17.4.  東京都

 

17.5.  警視庁

17.6.  中小企業庁

  • 中小企業BCP策定運用指針
  • 経営サポート「技術革新・IT化支援・省エネ対策」
    • http://www.chusho.meti.go.jp/keiei/gijut/index.html
    • 第3章 中小企業のIT 化推進の支援策
      • http://www.chusho.meti.go.jp/keiei/gijut/it_03.html
      •  
      • 中小企業のIT化支援
        • (1) IT活用に対する意識向上と人材の育成
          • 1)セミナー・研修の実施
          • 2)ITアドバイザーの育成
        • (2) IT化に関するアドバイスコンサルティング
        • (3) ITシステム導入に対する支援
      • 中小企業のIT化のための基盤整備
        • (1)共通基盤的ソフトウェア等の整備
          • 1)新たなビジネスモデルの開発と商業分野の活性化
          • 2)ものづくりとITの融合の支援
        • (2) IT推進のための情報提供
        • (3)中小企業が電子商取引を促進するための機能の整備
          • 1)電子認証システムの整備・啓発・普及
          • 2)セキュリティーの確保と消費者の保護
          • 3)政府調達の電子化と対応の円滑化
          • 4)売掛債権等の流動化に向けたインターネットの活用
          • 5)インターネットによる中小株式会社の計算書類開示を支援
          • 6)中小企業の電子商取引を促進するための制度の検討
      • 中小企業のIT化のための連携促進
        • (1)ネットワーク組織化の推進
          •  

17.7.  IPA

17.7.1.    全体

17.7.2.    基本情報

17.7.3.    情報セキュリティ啓発(IPA

17.7.4.    セキュリティ設定共通化手順SCAP概説(IPA

  • http://www.ipa.go.jp/security/vuln/SCAP.html
    • SCAP(Security Content Automation Protocol:セキュリティ設定共通化手順)
    • IPAセキュリティセンターが開発した情報セキュリティ対策の自動化と標準化を目指した技術仕様

17.7.5.    サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))(IPA

17.7.6.    情報セキュリティスキル強化についての取り組み(IPA

17.8.  サイバーレスキュー隊J-CRAT(ジェイ・クラート):IPA

  • https://www.ipa.go.jp/security/J-CRAT/
  • IPAは、標的型サイバー攻撃の被害拡大防止のため、2014年7月16日、経済産業省の協力のもと、相談を受けた組織の被害の低減と攻撃の連鎖の遮断を支援する活動としてサイバーレスキュー隊(J-CRAT:Cyber Rescue and Advice Team against targeted attack of Japan)を発足させた。

18.    セキュリティ関連機関

18.1.  日本セキュリティオペレーション事業者協議会(ISOG-J)

18.2.  ノートン

18.3.  トレンドマイクロ

18.4.  @IT

  • Security & Trust :企業ネットワークセキュリティのためのノウハウ&情報フォーラム -@IT
  • その「セキュリティ教育」、本当に効果ありますか?
    • ています。標的型攻撃への対策自体は、国内でも2008年ごろから検討されていたのですが、やはり2015年に起きた日本年金機構での情報漏えい事件が引き金となり、一気に関心が高まったようです。そこで最近は各組織で「標的型メール攻撃訓練」が盛んに行われています。
    • しかし、こうしたセキュリティ教育・訓練は、単に行えば済むというものではありません。その「目的」や「効果」について、事前にしっかり認識した上で実施する必要があります。事実、国内外で現状のセキュリティ教育・訓練の問題点を指摘した複数の報告もなされています。実効的なセキュリティ教育・訓練が求められているといえるでしょう。
    • http://www.atmarkit.co.jp/ait/articles/1604/11/news026.html
  • 「新人にはまずセキュリティを教えよう」関連記事
    • サイバーセキュリティ教育を多様なレイヤーの人に届けるプロジェクトが発足
    • 「セキュリティ人材」って、何ですか?――本当に必要なセキュリティ教育を考える
      • セキュリティ教育現場便り(1) 「セキュリティ人材」とは、一体どのような人材を指すのでしょう? セキュリティ教育に現場で携わってきた筆者が、今求められる人材育成について考えます(2016/1/19)
      • http://www.atmarkit.co.jp/ait/articles/1601/20/news007.html
    • グーグル新入社員はコードを書く前にセキュリティ教育を受ける

18.5.  一般社団法人 電気通信事業者協会(TCA)

19.    消費者庁

20.    東京商工会議所

 

21.    Tcyss会議

21.1.  第1回会議より(4月25日)

  • 情報共有、情報交換、情報提供
    • Office365を活用した場の設置(Microsoft
    • 何をすべきかを明確にしてから(東京都)
      • Q&A集を作る
    • 走りながら発信する場ができればいい(警視庁)
      • SNSを活用して情報が共有できる場ができ、セミナーの案内等ができることが望ましい
    • 情報セキュリティ対策情報の共有と発信が必要(東商)
    • Webで各セキュリティ関連の情報への案内はどうするか?(Microsoft
      • リンク先は今後調整したい(Microsoft
    •  
  • 啓発活動が必要
    • PCの被害に遭ったことさえわからないレベルもある。(IIT)
    • 産業交流会がある(東京都)
    • 「2015年度 中小企業における情報セキュリティ対策に関する実態調査」(IPA
    • 啓発ビデオ、5分でできるチェックシートがある。今年、見直す予定(IPA
    • リスク管理の必要性を刷り込む必要がある(東商連合会)
      • スポットセミナーを各地域で。
    • アウトリーチが必要(砂原)
      • VTRなどを活用して、「無関係」ではいられないと気付かせる
      •  
  • 教育すべきこと
    • あるべき姿を見せていくことが重要(トレンドマイクロ
    • トップ、経営者じ向けて、対策のモチベーションに繋がることが重要(ISO-G)
      • これをやればビジネスに有利になるとか
      • ステークホルダーが集まっているので、知恵を絞りあって
      • 中小企業では何が問題か?
        • 対策は、組織(管理)、人、もの、技術
          • 技術的対策は大企業ではできている
          • 中小への技術的対策は、ウイルス対策だけでなく
    •  
  • 認定制度は
    • 対策の必須数項目が出来ていれば認定、だめならセミナーへとか(Microsoft
    • Web ベースの認定書、診断シートは、国全体の対策として行っている(IPA
    • 中小企業は、複数の大手の下請けになる。大手ごとにチェック項目が違う認定は避けるべき⇒共通の認定制度であるべき(ISO-G)
    • また、認定制度とリンクして、中小が集まったセキュリティ保険も(ISO-G)
    • 東京だけでなく、全体で認定を(マカフィ)
  • 具体的な対策
    • 中小の規模に応じたシステムモデルイメージの提示(手塚)
      • セキュリティ対策の常識
      • パターンを既製品として提示
    • 押し付けでなく、事前に対策をすることがインセンティブになるように(高橋)
      • 平時、緊急時は、ポータルへ行けばわかるように

22.    文献

22.1.  NDLアーカイブ

 

23.    情報セキュリティ関連文書

23.1.  NISCサイバーセキュリティ戦略本部

24.    情報システムの整備と運用管理を調達する際の情報セキュリティ対策として考慮すべき要件

24.1.  「政府情報システムの整備及び管理に関する標準ガイドライン実務手引書」より

  • 別紙「情報システム整備と運用時のセキュリティ考慮事項(中山).doc」

25.    東京都の取り組み【公開情報】

25.1.  東京都の行政改革 - 総務局行政改革推進部のホームページ - | IT・業務改革

25.2.  高度情報化推進の取り組み

  • 情報システム部は、ITを利活用した都民サービスの向上・業務の効率化に取り組むとともに、区市町村等と連携した電子自治体の構築や地域情報化の推進を行うなど、東京都全体の高度情報化の推進を担っています。
  • また、こうした高度情報化を支える庁内ネットワーク及び共通基盤システムなどの保守・運用管理、技術支援、IT人材の育成などを行っています。
  • 平成22年3月には、都の情報セキュリティポリシー等に基づく対策をより確実に実施するべく、ISO規約に基づくISMS(情報セキュリティマネジメントシステム)の認証を受け、セキュリティ対策のさらなる改善に恒常的に取り組んでいます。
  • 詳しくは高度情報化推進の取り組み

26.    情報セキュリティマネジメント試験(シラバス

26.1.   

27.    情報処理技術者試験シラバス

27.1.  基礎

27.2.  応用

 

 

28.    情報セキュリティ想定事例集

相談事例によるFAQ作成に先駆けて、各機関が提供している事例を集めて体系的にまとめる。

28.1.  中小企業における組織的な情報セキュリティ対策ガイドライン事例集(IPA

  • https://www.ipa.go.jp/security/keihatsu/shiori/management/03_casestudy.pdf
    • 従業員の情報持ち出し
    • 退職者の情報持ち出し、競合他社への就職
    • 従業員による私物PCの業務利用と Winnyの利用による業務情報の漏洩事故
    • ホームページへの不正アクセス
    • 無許可の外部サービスの利用
    • 委託した先からの情報漏えい
    • 在庫管理システム障害の発生
    • 無線LANのパスワードのいい加減な管理
    • IT管理者の不在
    • 電子メール経由でのウイルス感染
  • NEC提案資料
  • 内閣官房NISC「情報セキュリティ小冊子」(実際の事例)
    • 「政府機関の新人研修資料がインターネット上に流出していたことがわかった。資料には「機密性2」と記されていた。(2015年3月:政府機関)
    • リサイクルショップで購入したワープロ内部に、政府機関において作成したと思われる個人情報を含む職務上の情報が残存しているとの情報提供があった。(2012年5月)
    • パソコン2台が動画再生ソフト「GOMプレーヤー」をアップデートした際にウイルスに感染していたことが判明した。(2014年2月:○○病院)
    • パソコンにおいて、入力した全ての文字情報が「百度バイドゥ)」のサーバに送信される日本語入力ソフト(BaiduIME)がインストールされていた。(2013年12月:政府機関、○○大学など)
    •