Comments
Description
Transcript
実務者からみた 情報セキュリティマネジメント事例
実務者からみた 情報セキュリティマネジメント事例 ∼組織における効果的な情報セキュリティマネジメントとは?∼ 2010年2月10日 広島大学/情報セキュリティ推進機構 社会連携・情報政策室情報化推進グループ 角熊 登 1 もくじ 本学の情報セキュリティを支える要素 1.セキュリティポリシー 2.セキュリティ技術 3.セキュリティ基盤 4.ウィルス対策とコンプライアンス 5.セキュリティマネジメントの課題 P3 P4∼ P33∼ P37∼ P43∼ P46 2 本学の情報セキュリティを支える要素 3.セキュリティ基盤 2.セキュリティ技術 ID管理システム 全学電子認証 1.セキュリティポリシー F/W・認証型ネットワーク 全学電子認証 ICカード発行 情報セキュリティポリシー 入退出管理 危機管理マニュアル 4.ウィルス対策と コンプライアンス 全学ソフトウェア P2P監視 Winny,Shareなど セキュリティ教育 ホスティングサービス DNSサーバ ウィルス対策 MS包括ライセンス メールサーバ wwwサーバ 3 1. セキュリティポリシー 4 セキュリティポリシー 1.1 1.2 1.3 1.4 ポリシーの施行 情報セキュリティ教育の展開 インシデント −防止と対処− ポリシーの自己点検 5 1.1 ポリシーの施行 6 ポリシーの施行 H13.6 情報通信・メディア委員会 検討スタート 文部科学省からポリシー制定の指示 調査の結果 ・ ・ ・ ・ ・ ・ H14.4 各部局の委員を集め 全学的な検討スタート H17.3 H17.4 H17.5 H18.4 ウィルス対策ソフト配布開始 ポリシー施行 ホスティングサービス開始 実施手順 危機管理マニュアル 実に4年の歳月を費やした H18.5 全学F/Wの導入 7 「ポリシー」に対する全学的な認識 −法人化前− H14∼15 ○ポリシーは3本立てで構成 •基本方針・・・・趣旨などの総論 •対策基準・・・・具体的な対策(例:F/Wを導入する など) •実施手順・・・・実際に行うべき事項(例:F/Wの設定 など) ○総論賛成,各論反対 (理由) 対策基準に沿って具体的対策を行うには •組織体制 •具体策を実現するための設備 が不可欠 しかし,当時の状況は・・・ ・ネットワークの管理が重要な大学運営業務との認識がない 一部の教員がボランティアで管理 ・計画的に企画や予算措置を行う部署が明確でない 人的補強や組織体制の整備が進展せず 8 「ポリシー」に対する全学的な認識 −法人化後− H16.4 ・情報基盤に関する組織体制が激変 副学長(情報担当)CIO,CISO 情報政策のコントロール体制が出現 ・副学長(情報担当)による 情報メディア教育 研究センター 情報化推進部 −組織体制の整備 全学および各部局等において,情報セキュリティ維持責任組織を設置 −セキュリティ強化・維持の取組み実施 学内向けホスティングサービスの開始や,ウィルス対策ソフトの配布 −ポリシーの改編・維持方法の改良 部局の意見反映を容易にするため実施手順の策定を各部局等に委ねる H17.4 H18.4 基本方針・対策基準施行 実施手順施行 9 情報セキュリティ組織体制 (法人化後∼H19) H17.7∼H19.5 ︵ 情報メディア教育研究センター・ 情報化推進部︶ 情 報 セ キ ュリ テ ィ 推 進 機 構 最高情報セキュリティ責任者 理事・副学長(情報担当) 情報セキュリティ委員会 参 加 部 局 等 部 局 等 支 援 部 局 等 部局等情報セキュリティ責任者 部局等情報セキュリティ組織 ポリシー適用者(学生) ポリシー適用者(教職員) 文部科学省が示している国立大学法人向けの サンプル規定集にある体制に類似 10 情報セキュリティ組織体制 (H20.4∼現在) H20.4∼現在 最高情報セキュリティ責任者 理事・副学長(社会連携・広報・情報担当) 情 報 セ キ ュリ テ ィ 推 進 機 構 ︵ 情報メディア教育研究センター・ 情報化推進グループ︶ 情報セキュリティ委員長 情報セキュリティ委員会 副理事(情報担当) 参 加 部 局 等 部 局 等 支 援 部 局 等 部局等情報セキュリティ責任者 部局等情報セキュリティ組織 ポリシー適用者(学生) ポリシー適用者(教職員) 11 本学のポリシー体系 基本方針 全学共通 対策基準 各部局毎 実施手順 情報セキュリティポリシーの体系 12 実施手順策定時の苦労 ① • 項目選定など何を記載してよいかわからない • 範囲や詳細度などどこまで書いたらよいかわからない (対応策) • 実施手順作成の手引き – 最低限守るべき事項とレベル付け • 実施手順テンプレート(文系,理系) • 対面での導入支援作業の実施 13 実施手順策定時の苦労 ② • 法人文書の重要度に関するレベル付けや分 類定義がなかった (対応策) • 重要な情報は実施手順の中で分類,定義し, 具体策へ展開した 14 組織体制の重要性 ポリシーの検討にあたっては,ウィルス対策などの 具体的な策に目が向きがち しかし 大学のような複雑な組織では セキュリティを維持・管理する組織体制の構築が重要! 15 情報セキュリティを支える具体的取組み 情報セキュリティポリシー 広島大学の構成員(教員・職員・学生) 基本方針 対策基準 H17年4月1日施行 広島大学で1つの方針・基準 実施手順 各部局等(XXセンター)毎に作成 全学の情報セキュリティに関する危機管理マニュアル セキュリティ教育 マイクロソフトと協力関係 管理者教育 一般向教育 セキュリティ啓発 ・情報セキュリティ委員会向けメーリングリスト 1回/月 ・ポスター作成 ・冊子(日・英・中) 16 1.2 情報セキュリティ教育の展開 17 情報セキュリティ教育の展開 H16前半 情報セキュリティ教育の検討 当初情報セキュリティ教育は 部局主導で展開を計画 結果 調査 変更 ・教員の中にも基礎的な情報スキルがない者がいる (例:OSのパッチの適用方法を知らない) ・教員の情報スキルの格差は部局間で大きい ・情報スキル水準が低下する可能性大 ・結果としてポリシーの実施レベルも低下 基礎レベルの情報セキュリティ教育は 全学的な取り組みで実施へ 18 直面した課題と解決への足がかり ○直面した課題 約2万人の教職員・学生に対して情報セキュリティ教育の担当者確保 ○解決への足がかり 平成16年10月13日 マイクロソフト株式会社 ①アクセシビリティ ②セキュリティ 分野で協力関係を確立 <セキュリティ関係の内容> マイクロソフト株式会社が保有する「MCAセキュリティ」のトレーニングカリュキュラムを 活用して約2万人の広島大学構成員に対してセキュリティ教育を行う MCAセキュリティのベンダー資格者20数名を養成 19 情報セキュリティ教育の展開 −課題− MCAセキュリティのトレーナ育成 MCAセキュリティ教材 問題点 ・MCA教材のボリュームが多い ・マイクロソフト製品に特化した内容 ・教材費が高価 広島大学独自教材 改善点 ・大学独自の内容を盛り込む ・MCA教材から内容の絞込み ・Linux,MacOSの内容を盛り込む ・教材費が安価 管理者向け テキスト WebCTによる 「オンライン情報 セキュリティ講座」 20 教育の内容① ○管理者向け H17年11月より 対象:主に部局等情報セキュリティ組織のメンバー 内容:MCAセキュリティ+大学独自+修了試験 手法:対面 受講者: H17度 92名 H18度 74名 H19度 53名 H20度 43名 ○一般向け H18年4月より 対象:広島大学構成員 内容:MCAセキュリティ+大学独自+修了試験 のエッセンス 手法:WebCT 受講者:H17度 学生(約1,500名) H18度 学生(1,505名) 教職員(163名) H19度 学生(1,494名) 教職員(1,012名) H20度 学生(1,370名) 教職員(92名) 21 教育の内容② ○新採用者への研修会 −事務職員定期採用時 −教員採用時 ○部局からの依頼型研修会 −病院 ○部局独自での研修会 −入学時オリエンテーション −インシデント発生時 ○その他 −新入生推奨PC購入研修会 来年度から学生自身が講師 22 1.3 インシデント ー防止と対処ー 23 危機管理マニュアル • 平成18年4月1日 実施手順の施行に同期 • 事件や事故などの危機が生じた際に, 学生・教職員及び組織が取るべき行動 • 連絡体制の確立と周知 – 平日時間連絡先(学内公開) – 時間外連絡先(責任者の連絡先のみ学内公開) 24 インシデント発生時の流れ インシデント発生 CISO 連絡 連絡 部局等セキュリティ組織 情報セキュリティ推進機構 緊急対策班 報告・対応策(案) 連絡・相談・協力 該当者,該当物 対処 連絡・対処 情報セキュリティ委員会 25 インシデント発生時の対処例 ×月1日 am09:00 am09:10 am09:30 pm01:30 pm02:20 P2P利用者がいると判明(機構) IPより該当する部局に連絡(←機構) 機構メンバー及びCISOに一次報告(機構) 部局より該当者が見つかったとの連絡(→機構) 該当者にヒアリングし該当者の利用確認(部局と機構,指導教員) 状況保全のためのバックアップと安全性を考慮した初期化の同意 pm04:00 バックアップ作業(機構) ×月2日 am09:00 該当者立会いの下,初期化と環境復元作業開始(機構) pm04:00 該当者にPC返却と注意・指導(部局と機構,指導教員) pm05:00 機構メンバー及びCISOに二次報告(機構) ×月3日 am10:00 部局長より該当者に厳重注意・同意書(部局) pm02:00 報告書の作成と報告(部局→機構) pm02:30 CISOに報告(←機構) 学外に連絡・報告する必要があるか,傾向と対策についてなど 26 インシデントの傾向 ① 年度別インシデント発生比率/総インシデント数 30 25 (%) 20 15 10 5 0 H17 H18 H19 H20 H21 (年) H17.3 H17.4 H17.5 H18.4 H18.5 ウィルス対策ソフト配布開始 ポリシー施行 ホスティングサービス開始 実施手順 危機管理マニュアル 全学F/Wの導入 27 インシデントの傾向 ② 年度別インシデント内訳 18年 17年 19年 ウイ ルス感染 ウイ ルス感染 ウイ ルス感染 パスワード漏洩 パスワード漏洩 パスワード漏洩 P2P P2P P2P 情報漏洩 情報漏洩 情報漏洩 メール不正送信 メール不正送信 メール不正送信 不正アクセス 不正アクセス ポートスキャン ポートスキャン 著作権侵害 著作権侵害 クラ ッキン グ クラ ッキン グ 不適切な書き込み 不適切な書き込み 不適切な書き込み フィシン グ フィシン グ フィシン グ その他 その他 不正アクセス ポートスキャン 著作権侵害 クラ ッキン グ その他 21年 20年 ウイ ルス感染 ウイ ルス感染 パスワード漏洩 パスワード漏洩 P2P P2 P 情報漏洩 情報漏洩 メール不正送信 メール不正送信 不正アクセス ポートスキャン 著作権侵害 クラ ッキン グ 不適切な書き込み フィシン グ 不正アクセス ポートスキャン 著作権侵害 クラ ッキン グ 不適切な書き込み H17.3 H17.4 H17.5 H18.4 H18.5 ウィルス対策ソフト配布開始 ポリシー施行 ホスティングサービス開始 実施手順 危機管理マニュアル 全学F/Wの導入 フィシン グ その他 その他 28 インシデントの対処課題 • 報告義務だけでは効果が出ない • 部局と一緒に動く,相談できる組織の必要性 – 何かあったら相談できる – 迅速に動いてくれる – インシデントから学ぶことがある • 全学的視野で予防策や事後処理を実施できる組織 – 企画,予算確保,全学的な方向性や計画の策定を示す 29 1.4 ポリシーの自己点検 30 自己点検の実施 • 部局毎の実施手順の中に自己点検の実施義務 • 一年に一度実施 • 実施時期(月)は部局毎に異なってよい – 実施時期 – 適用者 – WEBアンケート 31 自己点検のサイクル 各部局,センター 自己点検の実施 報告書の作成 情報セキュリティ推進機構への報告 実施手順の見直し 組織体制の見直し 教育体制の見直しなど 情報セキュリティ推進機構 取り纏め 全学的な改善点 情報セキュリティ委員会への報告 32 2. セキュリティ技術 33 本学のネットワーク:F/W 認証型ネットワーク • 全学電子認証を経て利用可能 • 4つのゾーンに分かれている(用途に応じてF/Wを構成) ゾーン種別の詳細 34 ホスティングサービス • H17年5月よりサービス開始 対象:DNS,メール,メーリングリスト,www,DB (効果) • 部局における設置サーバが減少 • サーバを持たない部局も出てきた(実施手順上) • セキュリティの水準を高めることにもつながる 35 P2P監視 対策基準に「使用の禁止」を明言! • 本学のネットワークについてP2P監視 – WinMX,Winny,Share,Gnutella,BitTorrent – アウトソーシング • 一部のネットワークには通信制限 36 3. セキュリティ基盤 37 全学電子認証システム (問題点) ・システム毎にID,パスワードを設定し,独自に個人認証を行う。 ・利用者は複数のID,パスワードを管理。 ・変更手続きをシステム毎に行う。 ・パスワードが簡易,安易になりやすい。 H14年10月より 全学電子認証システムの導入 (改善点) ・各システムでID,パスワードの統合。 ・変更手続きの一元化。 ・パスワードの強度を一定以上に保つ。 ・過去3回のパスワードを使用禁止。 38 全学電子認証 −各種情報システムでの利用− ・ ・ ・ ・ ・ ・ ・ ・ 学生情報システム(もみじ) 証明書自動発行機 教員活動状況調査システム 会計系システム (物品請求・旅費・謝金) 電子事務局(いろは) ネットワーク利用時 情報メディア教育研究センター利用者管理システム パスワード強制変更端末 39 全学電子認証の仕組み −データの流れ− 情報化推進グループ 全学認証 人事システム メンテナンス 一部入力依 頼のあった データ Ldapmodify Sun Java TM System Directory Server LDAP サーバ もみじ Enterprise Edition 教職員 差分作成 学生システム フォー マットの 統一化 LDIF 形式 WWWサーバ Apache-2.2.4 メンテナンス Tomcat5.5.20 認証データ出力部 局 情報変更 ・内線番号 ・Fax ・メールアドレ ス ・ローマ字表記 いろは 保健 管理 センタ (CSV ) 図書 館 ( CSV ) ・ ・ ・ 取り出し (CSV) 各アクセス権限設定 学生デ ータ 入退 室管 理 (CSV ) 会計系システム 事務 局 ( CSV ) 学生 情報 ( CSV ) ネットワーク 利用時 40 ID管理システム • 大学における人的IDの一元管理 • 全学電子認証 + ・ ・ ・ ・ ・ ・ – 名寄せ – ICカード(学生証・教職員証)発行・再発行・利用 停止 – 入退出管理 – アプリケーション管理 41 ID管理システム概念図 人事システム メンテナンス もみじ 教職員 ID管理システム DB ID DB 学生システム 全学認証 ID管理システム AP 差分 Open LDAP 差分 LDAP サーバ いろは メンテナンス 学生デ ータ 本部事務(学生系・人 事系) ・ ・ ・ 各部局事務 会計系システム ネットワーク 利用時 ICカード再発行 入退出管理 名寄せ ICカード発行 42 4. ウィルス対策と コンプライアンス 43 具体的な取組み ウィルス対策 H17年から構成員全員に提供 • • WindowsOS – トレンドマイクロ社製 MacOS – インテゴ社製 (効果) ・ネットワークワームウィルスが激減 (課題) ・一種類のウィルス対策で良いか ・PCが重くなった マイクロソフト包括ライセンス 教育・研究支援,コンプライアンスを目的として H22年5月から構成員全員に提供予定! Desktop Campus Platform 44 5. セキュリティマネジメントの課題 45 セキュリティマネジメントの課題 ■組織としての視点から – 部局間,職員間のセキュリティに対する温度差の解消 – 学則や服務規程の整備 • 現実と法的整備の同期 ■マネジメント担当人材の視点から – 技術傾向の把握 – 高度専門職の育成 ■業務内容の視点から – 留学生への対応 • 多言語化などソフトウェアやコンテンツの整備 • セキュリティ文化の違いと教育など 46 Fin ご静聴ありがとうございました。 [email protected] 47