Comments
Description
Transcript
CIO補佐官等連絡会議 情報セキュリティワーキンググループ(WG4
CIO補佐官等連絡会議 情報セキュリティワーキンググループ(WG4) 2010年度活動報告 平成23年3月 1 目次 活動の目的と方針 情報セキュリティワーキング参加者 活動実績 主な活動結果報告 今後の情報セキュリティWGの位置づけと課 題 6. 謝辞 1. 2. 3. 4. 5. 2 活動の目的と方針 • 目的 – 各府省庁でCIO補佐官が情報システムに係る情報セキュ リティに関するアドバイスをするにあたって、必要な情報 セキュリティやセキュリティ政策に関する情報、知識、理 解を得ることを目的とする。 • 方針 – CIO補佐官で共有すべき情報の収集 – CIO補佐官の関連するセキュリティ政策への意見交換 • 情報セキュリティ対策は、内閣官房情報セキュリティ センター(NISC)や独立情報処理推進機構(IPA)と連携 し、活動することが重要であると考え、各組織にゲスト 参加していただくこととした。 3 情報セキュリティワーキング参加者 • 2009年度情報セキュリティワーキングには、広くご連絡させていただき、下記の方々の中でテー マのご興味 に応じてご参加いただきました。 構成員 – – – – – – – – – – – – • オブザーバー – – • 内閣官房 木本CIO補佐官 内閣法制局 川合CIO補佐官 内閣府 平林CIO補佐官、野村CIO補佐官、中川CIO補佐官 公正取引委員会 田中CIO補佐官 法務省 大成CIO補佐官 外務省 窪田CIO補佐官 財務省 村田CIO補佐官 厚生労働省 新宮原CIO補佐官 経済産業省 平本CIO補佐官、近藤CIO補佐官 国土交通省 浅野CIO補佐官 環境省 満塩CIO補佐官 防衛省 坂下CIO補佐官 衆議院 宮崎CIO補佐官 国立国会図書館 飯塚CIO補佐官 ゲスト参加 – – – 独立行政法人のCIO補佐官等 内閣官房情報セキュリティセンター(NISC) 独立行政法人情報処理推進機構(IPA)セキュリティセンター 4 活動実績 • 第1回6月24日 – • 第2回7月7日 – • 政府で使用するための無線LANについて 「クラウドコンピューティングのための情報セキュ リティマネジメントガイドライン」のご紹介 – • 「クラウドコンピューティングのための情報セキュ リティマネジメントガイドライン」のご紹介(その2) 第8回10月13日 – 近年のマルウエアおよび脆弱性攻撃のテクノロ ジーとその対策 情報セキュリティを企画・設計段階から確保する ための方策(SBD(Security by Design))の検討につ いて 第14回2月23日 – • 無線LAN要件検討SWGのまとめに関するご報 告 第13回2月8日 – • 無線LAN要件検討SWGの途中経過に関するご 報告 第12回1月26日 政府機関統一基準見直し検討の概要の説明 第7回9月28日 – • • IPAセキュリティ要件確認支援ツールについて 第11回12月8日 – 第6回9月15日 – • – • 技術面から見たクラウド(IaaS)セキュリティの課題 第10回11月10日 第5回8月31日 – • • TRMとセキュリティ 第4回8月5日 – • 情報セキュリティ報告書ガイドラインと総務省、経 産省情報セキュリティ報告書(試行版)のご紹介 第9回10月24日 – 第3回7月21日 – • オープンネットワーク上での生体認証実現に向 けて • 人の視点から考えるパスワード問題:認知心理 学の観点からの提言 第15回3月8日 – パブリッククラウドを使った認証によるクラウドコ ンピューティングの活用方法 5 主な活動結果報告① • 無線LANのセキュリティ要件の検討 詳細は、別途、「無線LANセキュリティ要件の検討」 (無線LANセキュリティ要件SWG)を参照してください。 – – – – – 無線LANを提供するケースの整理 • 職員専用利用型、職員・来訪者混在型、来訪者提供型、仮設型、ホットスポット型 想定する脅威 • ただのり、無線LANへの侵入、通信内容の盗聴、不正APへの接続、不正APの設置、電波干渉、Wi‐Fi DoS、無線トラフィックの 改ざん、SSIDの傍受、サブシステムへの侵入 対策のポイント(職員専用利用型の場合) • WPA2‐enterpriseの導入と適切な設定を行なう。(802.1xによるクライアント認証、サーバ認証を含む) • APの電波管理機能や802.1xを活用し、不正APを検出し、対処する。 • 無線LANのIPS機能を活用する。 • 出力・チャンネル管理等を行なう。 • SSIDの傍受に関する留意点に留意する。 物理構成を決定する場合は、以下の点を考慮する必要がある。 • 適用するネットワークのリスク • 必要なLAN系統数を含む機器構成 • ネットワーク機器コスト 本セキュリティ要件を適用するにあたっては、以下の点に留意していただきたい。 • Wi‐Fi Allianceの認証済み機器であることの確認 • 規格化・標準化されている認証・暗号化方式の採用 • セキュリティに関する技術動向への留意 • 有線LANのセキュリティの確保 • 変化する電波環境への対応の必要性 • Web認証は、無線アクセスポイントや無線LANコントローラで行なうことが必要 • 事業継続の検討の必要性 6 • 無線LANの効果的な導入を行なうためのポイント 主な活動結果報告② • 情報セキュリティ政策に関する意見交換 – 情報セキュリティマネジメント関連 • 情報セキュリティ報告書の試行状況 • 政府機関統一基準見直しの検討状況 – セキュリティ・バイ・デザイン関連 • 情報セキュリティを企画・設計段階から確保するための方 策(SBD(Security by Design))の検討状況 • IPAセキュリティ要件確認支援ツールの検討状況 • 技術参照モデル(TRM)でのセキュリティの検討状況 – その他のセキュリティ関連政策関連 • 「クラウドコンピューティングのための情報セキュリティマネ ジメントガイドライン」について 7 主な活動結果報告③ • 情報セキュリティに関わる技術動向に関する 意見交換 – 情報セキュリティテクノロジー関連 • オープンネットワーク上での生体認証 • 近年のマルウエアおよび脆弱性攻撃のテクノロジーと その対策 • 技術面から見たクラウド(IaaS)セキュリティの課題 • 人の視点・認知心理学の観点からのパスワード問題 • 認証及びアプリケーションへのパブリッククラウドの活 用事例 8 今後の情報セキュリティWGの位置づけと課題 • 情報セキュリティWGの位置づけ – – CIO補佐官と最高情報セキュリティアドバイザーの役割分担が必要 CIO補佐官等WGとしては、府省庁の情報システムのセキュリティ全体を課題とすることから、 • • 情報システムの設計・開発・調達における情報セキュリティ 情報システム技術に係る情報セキュリティ を中心として議論していくべきであると考える。 なお、必要に応じて最高情報セキュリティアドバイザーで構成されるCISO 補佐官等連絡会議とも、 連携を行なう。 • 今後の課題 – 情報システムの設計・開発・調達・運用における情報セキュリティ • – セキュリティ・バイ・デザインの実現の推進 2010年度に策定された「政府機関の情報システムの調達におけるセキュリティ要件策定マニュアル」の普及 及び促進について検討する必要がある。 情報システム技術に係る情報セキュリティ • • • クラウド環境・仮想化環境に係る情報セキュリティ 今後も普及してくると想定されるクラウド環境・仮想化環境に係る情報セキュリティを検討する必要がある。 無線LANに係る情報セキュリティ 2010年度には、無線LANのセキュリティ要件の考え方を整理し、まとめた。今後、この考え方を仕様等に反映 できるように具体化を推進する必要がある。 その他の情報セキュリティ技術動向 情報セキュリティ技術は、年々、変化し続けている。これらの情報セキュリティ技術動向を把握し、対応するこ とを検討する必要がある。(IPv6におけるセキュリティやスマートフォン等の組み込み系セキュリティなどのトレ 9 ンドにも留意する必要がある。) 謝辞 • ワーキンググループ、サブワーキンググループの活動に際し、 民間企業、外部専門家、セミナー講師など多数の方々にご 協力や情報提供を頂きましたことを深く感謝いたします。 10