【準備中】

• 関連サイト [内閣サイバーセキュリティセンター]
• 関連リンク：IPA 独立行政法人 情報処理推進機構

• 不正アクセス防止対策に関する官民意見集約委員会（官民ボード）
• 日本アイ・ビー・エム株式会社
• 日本ヒューレット・パッカード株式会社
• 日本電気株式会社
• 株式会社日立製作所
• ヤフー株式会社
• 株式会社ＪＣＢ
• データセンター協会
• 日本オンラインゲーム協会
• 電気通信事業者協会
• テレコムサービス協会
• 日本インターネットプロバイダー協会
• 日本ケーブルテレビ連盟
• ＩＳＯＧ－Ｊ
• ＡＩＳＴ（産業技術総合研究所）
• ＩＰＡ（情報処理推進機構）
• ＪＰＣＥＲＴコーディネーションセンター
• フィッシング対策協議会
• ＮＩＣＴ（情報通信研究機構）
• 警察庁
• 総務省
• 経済産業省
• 内閣官房情報セキュリティセンター（オブザーバ）

• サイバー情報共有イニシアティブ（J-CSIP（ジェイシップ））
• http://www.ipa.go.jp/security/J-CSIP/index.html
• 重工、重電等、重要インフラで利用される機器の製造業者を中心に、全体で7つのSIG（Special Interest Group、類似の産業分野同士が集まったグループ）、72の参加組織による情報共有体制
• 東京中小企業サイバーセキュリティ支援ネットワーク（Tcyss: Tokyo Cyber Security Support network for small and medium enterprises）
• 東京都
• 東京都電子申請 中小企業サイバーセキュリティ対策相談 中小企業サイバーセキュリティ対策相談
• 警視庁

• 東京中小企業サイバーセキュリティ支援ネットワーク(Tcyss) 警視庁

• 情報セキュリティ広場　警視庁
• IT企業（セキュリティ関連企業）
• トレンドマイクロ株式会社
• is702 | トレンドマイクロ
• マカフィー株式会社
• セキュリティ対策・ウイルス対策の最新情報 - マカフィーセキュリティニュース
• 株式会社シマンテック
• エンドポイント、クラウド、モバイル、および仮想セキュリティソリューション | シマンテック
• 日本マイクロソフト株式会社
• コンピューターとインターネット セキュリティ | Microsoft セーフティとセキュリティ センター
• 日本のセキュリティチーム – (Japan Security Team)
• 中小企業支援機関
• 東京商工会議所
• 東京都商工会議所連合会
• 東京都商工会連合会
• 東京都中小企業団体中央会
• (公財)東京都中小企業振興公社
• サイバーセキュリティ対策機関等
• 一般財団法人日本サイバー犯罪対策センター（JC3）
• 独立行政法人 情報処理推進機構（IPA）　情報セキュリティセンター
• 日本セキュリティオペレーション事業者協議会（ISOG-J）
• 一般社団法人東京都情報産業協（IIT）
• 有識者

1.1.     情報セキュリティポリシーの構成

1.2.     情報セキュリティポリシー（基本方針）

• 情報セキュリティに関する組織の基本的な態度【NDL例】
  • 組織は、情報セキュリティを重視し、その保障に努める。
  • 組織は、館のサービスの改善を図るために必要な情報セキュリティのための措置を講ずる。
  • 組織は、利用者情報、利用情報及び館が公開する権利を有しない情報の機密性を確保する。
  • 組織は、職員が館内外の情報資産に係る情報セキュリティを損なうことのないよう措置する。
  • 組織は、職員以外の者による館内外の情報資産に係る情報セキュリティの侵害に加担する結果となることのないよう措置する。

1.3.     情報セキュリティポリシー（対策基準）

• 情報セキュリティ対策の実施【NDL例】
  • 人的セキュリティ対策
    • 情報セキュリティに関する権限及び責任を定め、情報セキュリティポリシーの内容を周知徹底するなど、職員の教育及び啓発を行う。
  • 物理的セキュリティ対策
    • 情報システム関係機器が設置された施設への不正な立入りを防止するなど、情報資産を危害、妨害等から物理的に保護する。
  • 技術的セキュリティ対策
    • 情報資産を外部からの不正なアクセスから保護する等のため、情報資産へのアクセス制御、ネットワーク管理、コンピュータウィルス対策等の技術的な対策を行う。
  • 運用に関するセキュリティ対策
    • 情報システムの監視、情報セキュリティポリシーの実施状況の確認等運用面における対策及び情報セキュリティ緊急事態に対応する危機管理対策を行う。
  • 具体的な対策基準
    • 別途

1.4.     情報セキュリティ実施手順

• 情報セキュリティ対策指針
  • 「情報セキュリティ対策基準」の小項目毎に対応し、更に詳細な管理策（サブコントロールレベル）を示す
• 情報資産リスクマネジメント実施手順
  • 情報資産のリスクアセスメント、リスク対応に関する分析手法、リスク対応策を定めたもの。
  • 機密性・完全性・可用性の視点からリスクアセスメントを行い、必要なリスク対応手順を示す。
  •  
• 情報セキュリティ実施手順（一般職員向け）
• 情報セキュリティ実施手順（システム管理者向け）
• 各部課の情報セキュリティ実施手順

1.5.     情報セキュリティマネジメントシステム（ISMS）構築手順

• ISMSの適用範囲を決定する
• 基本方針文書を策定する
• リスクアセスメントの体系的な取り組み方法を策定する
• リスクを識別する
• リスクアセスメントを行う
• リスク対策を行う
• 管理目的と管理策を選択する
• 各部課の実施手順に選択した管理策を反映させる
• 残留リスクを承認し、ISMSの実施を許可する

1.6.     ISMSとPDCAサイクル

• 情報セキュリティポリシーの策定
• リスクアセスメント
• リスクへの対応 管理策の導入と運用
• 情報セキュリティの評価
• 情報セキュリティマネジメントの規格や標準

1.7.     脅威・対策・脆弱性・リスクの関係

• 脅威（内部・外部）
  • サービス妨害の脅威
  • 侵入しての何らかの行為が行われる脅威
    • セキュリティ侵害の事前調査
    • 権限取得及び侵入される可能性
    • 不正実行
      • 機密性を損なう可能性
      • 完全性を損なう可能性
      • 可用性を損なう可能性
    • 再度侵害を受ける可能性
  • 真正性が損なわれる脅威
  • 説明責任を果たせなくなる脅威
• 脅威への対策
  • 人的セキュリティ対策
  • 物理的セキュリティ対策
  • 技術的セキュリティ対策
  • 運用に関するセキュリティ対策
• 対策後の脆弱性
  • セキュリティホールとも呼ぶ
  • 人的、物理的、技術的、運用での対策の設計、構築、運用時の情報セキュリティ上の欠陥、不具合、ミス
• 脆弱性を突かれるリスク
  • 脆弱性が残された状態で情報セキュリティ侵害を受ける可能性
  • 例えば、クラウドコンピューティングの利用のリスクへの対応⇒対策
    • 回避
      • 利用によって生じると考えられるリスクを検討した結果、利用をやめる場合。クラウドコンピューティングサービスを利用しないため、これによるリスクは発生しない
    • 低減・軽減
      • データセンタの場所が国内であって、利用者がシステム監査を実施可能であるサービスを選定し、システム監査の条項を含む契約を結ぶことができるベンダーを選定する場合。適切な運用管理が行われているか否かを確認し、問題があれば改善等を要求し、リスクを低減する
    • 移転・共有
      • 何らかの問題が発生し損害が発生した場合には、賠償責任をベンダーが負うことについて、契約に明記し、その損害をカバーする場合等
    • 受容
      • 既に適切な対策が実施されており、残存リスクが小さいと判断される場合に、残存リスクがあることを承知した上で、特別に新たな対策を取らないことを意思決定した上で、利用する場合
  • 明確にしておくべき事項
    • 既知のリスクとその属性（予想される頻度、潜在的な影響及び対応）
      • リスクが影響する資源
      • リスクに対応する組織の力
      • 現状におけるリスクをコントロールする活動の状況
  • リスクに関する理解の促進
  • リスクのモニタリングと対応策の見直し
  • リスク顕在時の対応
    • 予兆の検出
    • 対応の準備
    • リスクの顕在化時（インシデント発生時）の対応
  • リスク対応結果の評価とその後の対応

1.8.     情報セキュリティマネジメントの規格や標準

1.8.1.      情報セキュリティマネジメントの実践のための規範JIS Q 27002:2006

• 「Information technology - Security techniques - Code of practice for information security management（ISO/IEC17799）」という国際標準です。
• 2000年に初めて国際標準化され、2005年に改訂されたこの規格は、2006年5月に「情報技術－セキュリティ技術－情報セキュリティマネジメントの実践のための規範（JIS Q 27002:2006）」としてJIS化されました。
• この規格は、情報セキュリティ対策を行う際の Code of Practice（ = 実践規範）を記したものであり、ベストプラクティスとして様々な管理策が記載されています。
• 組織は、これらの管理策から自社にあったものを適宜、取捨選択できます。

1.8.2.      情報セキュリティマネジメントシステム - 要求事項JIS Q 27001:2006

• 組織のISMS構築、運用に関する第三者認証のための要求事項を記したISMS認証の規格が、「ISO/IEC27001:2005 Information technology - Security techniques - Information security management systems - Requirements」です。
• この規格も2006年5月に「JIS Q 27001:2006 情報技術－セキュリティ技術－情報セキュリティマネジメントシステム - 要求事項」としてJIS化されました。
•  

1.9.     リスクマネジメント

• 対策基準では、
  • 基本方針の内容を受けて具体的なルール、いわゆる「管理策」を記述します。
  • 「管理策」は、情報セキュリティ上のリスクを減らすための対応策のことで、非常に多くのものがありますが、これらは「技術的対策」と「管理的対策（人的対策・組織的対策・物理的(環境的)対策を含む）」に大別されます。
• 対策基準を策定する際には、
  • 多くの管理策の中から、(1)何を自社にとって最適な管理策として選ぶか、そしてそれを(2)どのようにわかりやすく記載するか、というのが大きなポイントとなります。
  • それぞれの組織が抱えるリスクは、その組織の状況によって異なるため、実効性のある対策を選択するためには、リスクアセスメントを行う必要があります。
• リスクアセスメントとは、
  • 守るべき対象である情報資産で発生する可能性のある脅威と、脅威の発生確率や発生した場合の影響度等を評価する方法のこと。

1.9.1.      情報資産の格付け

• 機密性についての格付の定義
  • 機密性３情報
    • 行政事務で取り扱う情報のうち、秘密文書に相当する機密性を要する情報
  • 機密性２情報
    • 行政事務で取り扱う情報のうち、秘密文書に相当する機密性は要しないが、漏えいにより、国民の権利が侵害され又は行政事務の遂行に支障を及ぼすおそれがある情報
  • 機密性１情報
    • 公表済みの情報、公表しても差し支えない情報等、機密性２情報又は機密性３情報以外の情報
  • なお、機密性２情報及び機密性３情報を「要機密情報」という。
• 完全性についての格付の定義
  • 完全性２情報
    • 行政事務で取り扱う情報（書面を除く。）のうち、改ざん、誤びゅう又は破損により、国民の権利が侵害され又は行政事務の適切な遂行に支障（軽微なものを除く。）を及ぼすおそれがある情報
  • 完全性１情報
    • 完全性２情報以外の情報（書面を除く。）
  • なお、完全性２情報を「要保全情報」という。
• 可用性についての格付の定義
  • 可用性２情報
    • 行政事務で取り扱う情報（書面を除く。）のうち、その滅失、紛失又は当該情報が利用不可能であることにより、国民の権利が侵害され又は行政事務の安定的な遂行に支障（軽微なものを除く。）を及ぼすおそれがある情報
  • 可用性１情報
    • 可用性２情報以外の情報（書面を除く。）
  • なお、可用性２情報を「要安定情報」という。
  • また、要機密情報、要保全情報及び要安定情報を「要保護情報」という。

1.9.2.      ITセキュリティマネジメントのための手法（JIS TR X 0036-3:2001）

• (1)ベースラインアプローチ
  • 既存の標準や基準をもとにベースライン（自組織の対策基準）を策定し、チェックしていく方法。簡単にできる方法であるが、選択する標準や基準によっては求める対策のレベルが高すぎたり、低すぎたりする場合がある
• (2)非形式的アプローチ
  • コンサルタント又は組織や担当者の経験、判断によりリスクアセスメントを行う。
  • 短時間に実施することが可能であるが、属人的な判断に偏る恐れがある
• (3)詳細リスク分析
  • 詳細なリスクアセスメントを実施。情報資産に対し「資産価値」「脅威」「脆弱性」「セキュリティ要件」を識別し、リスクを評価していく。
  • 厳密なリスク評価が行えるものの多大な工数や費用がかかる
• (4)組合せアプローチ
  • すべての情報資産に詳細なリスク分析を行うのは時間と費用がかかりすぎて現実的ではありません。
  • その組織を守るためのベースライン（基本）となる管理策の組み合わせを決め、その上でよりリスクの高いシステムを保護するために、詳細リスク分析を追加することにより、組織がリスク分析に用いる費用を削減でき、より精度の高いリスク分析を行うことが可能になります。
  • リスク評価は「リスクの重大さを決定するために、算定されたリスクを、与えられたリスク評価基準と比較するプロセス」と定義されていますが、「与えられたリスク評価基準」とは、どこかの基準に書いてあるものではなく、経営者により判断された評価基準です。
  • リスクへの対応は、つまりは、経営的判断により行われます。