...

情報セキュリティ診断 - IPA 独立行政法人 情報処理推進機構

by user

on
Category: Documents
14

views

Report

Comments

Transcript

情報セキュリティ診断 - IPA 独立行政法人 情報処理推進機構
組織の情報セキュリティをいかに管理するか
〜情報セキュリティ診断〜
情報セキュリティEXPO
2012年5月9日~11日
独立行政法人情報処理推進機構
Copyright © 2012 独立行政法人 情報処理推進機構
様々な情報セキュリティ事故
情報漏えい・情報消失
原因の約90%が内部の
人間によるものです
管理ミス
誤操作
不正な情報持ち出し など
目的外使用 ワーム・ウイルス
内部犯罪・ バグ・セキュリ
4
内部不正行為 ティホール 設定ミス 5
0.5%
0.6%
その他
9
11
8
9
1.1%
1.4%
1.0%
1.1%
不明
不正アクセス
3
11
0.4%
1.4%
不正な情報
持ち出し
36
4.5%
盗難
42
5.2%
紛失・置忘れ
98
12.1%
コンピュータウイルスや不正アク
セス(改ざん等)による事業の停止
ネットワーク障害による事業の停止
Copyright © 2012 独立行政法人 情報処理推進機構
管理ミス
308
38.2%
誤操作
263
32.6%
出典:JNSA 2011年 情報セキュリティインシ
デントに関する調査報告書 上半期速報版
2
情報が流出することによる
ビジネスインパクト
Copyright © 2012 独立行政法人 情報処理推進機構
3
システム停止による
ビジネスインパクト
Copyright © 2012 独立行政法人 情報処理推進機構
4
ウェブサイト改ざんによる
ビジネスインパクト
Copyright © 2012 独立行政法人 情報処理推進機構
5
組織を取り囲む様々な脅威
Copyright © 2012 独立行政法人 情報処理推進機構
6
情報セキュリティとは
このような脅威によって情報漏えいやシステム停止など
が発生してしまわないよう、リスク(危険性)を可能な限
り減らし、予防することが情報セキュリティ対策です
あなたにとって避けたい問題は?
個人・顧客・企業情報の漏えい
→漏えい+悪用=被害の拡大
会社の信用失墜・・・
会社内の設備の停止
→ビジネスの停止、売上の減少・・・
Copyright © 2012 独立行政法人 情報処理推進機構
情報
資産
7
何からはじめる?
とはいっても、
何からはじめればいいのでしょう?
こたえは
自社診断シート(25のチェック)
これは情報セキュリティ対策の基本です
あなたの会社で足りない部分を確認しましょう
Copyright © 2012 独立行政法人 情報処理推進機構
8
自社診断シート(25のチェック)
Copyright © 2012 独立行政法人 情報処理推進機構
9
自社診断シート(25のチェック)
Copyright © 2012 独立行政法人 情報処理推進機構
10
セキュリティ対策の基本的な考え方
1. セキュリティ対策はトップダウンで行う。そのためには経営
層のリーダシップが必要
2. セキュリティリスクだけではなく、全体のビジネスリスクを考
え、必要な情報セキュリティ対策を行う
3. そのためには、部分的ではなく、
全体を見据えたバランスの良いリスク
評価が大事
4. 対策にかけられる人や費用が限られて
いる中では、対策の実効性と優先順位付けが必要
5. セキュリティ対策を事業にどう生かせるかの視点も大事
6. 事故前提のセキュリティ対策も要検討
7. 定期的な見直しも重要
Copyright © 2012 独立行政法人 情報処理推進機構
11
企業向け 情報セキュリティ対策
http://www.ipa.go.jp/security/manager/index.html
Copyright © 2012 独立行政法人 情報処理推進機構
12
企業の情報セキュリティ対策ガイドライン
http://www.ipa.go.jp/security/fy20/reports/sme-guide/
中小企業における組織的な情報セキュリティガイドライン
委託関係における情報セキュリティ対策ガイドライン
Copyright © 2012 独立行政法人 情報処理推進機構
13
組織的な情報セキュリティ対策ガイドライン
「共通して実施すべき対策」と「企業毎に考慮すべき対策」の2つ
共通して実施すべき対策
 企業規模や業種によらない共通の対策について例示と説明
 組織的対策、物理的対策、運用管理、アクセス制御、事故対応の5分野
 情報セキュリティ対策ベンチマークの管理策を、よりわかりやすくまとめる
企業毎に考慮すべき対策
 業務内容を考え、必要な対策の手がかりを与えることを狙いとする
 危険や問題点への気づきのための10個の典型的なシナリオ
 対策の取捨選択のための基本的な考え方を示す
Copyright © 2012 独立行政法人 情報処理推進機構
14
10個の典型的なシナリオ
KYT(危険予知トレーニング)的なシナリオ
 従業員の情報持ち出し
 退職者の情報持ち出し、競合他社への就職
 従業員による私物PCの業務利用と
ファイル交換ソフトの利用による業務情報の漏洩事故
 ホームページへの不正アクセス
 アウトソーシングサービスの利用
 委託した先からの情報漏えい
 在庫管理システム障害の発生
 無線LANのパスワードのいい加減な管理
 IT管理者の不在
 電子メール経由でのウイルス感染
Copyright © 2012 独立行政法人 情報処理推進機構
15
10個の典型的なシナリオ例
Copyright © 2012 独立行政法人 情報処理推進機構
16
委託関係における
情報セキュリティ対策ガイドライン
業務委託に際しての、機密情報の取扱に関する取り決めの欠如
機密保持対策ができない
事故時の対応ができない
事故責任が曖昧になる
委託先における
情報セキュリティ対策事項
機密情報の利用、保管、持ち出し、消去、
破棄における取扱い手順を定める。
機密情報に係る業務の再委託に関する・・
機密情報を保管及び扱う場所の入退管理と
施錠管理を行う。
・・・
Copyright © 2012 独立行政法人 情報処理推進機構
業務委託契約に係る
機密保持条項(例)
乙は、甲より開示された機密情報の管理につき、
乙が保有する他の情報、物品等と明確に区別して
管理するとともに、以下の事項を遵守する。
(1)機密情報の管理責任者を及び保管場所を・・
(2)機密情報を取り扱う従業員を必要最小限・・・
(3)機密情報の管理責任者名・・・報告する。
・
・
乙は、本業務(の全部または一部)を第三者へ再
委託する場合、甲の事前の書面による同意を・・・
17
より高度な対策へのステップは・・・
情報セキュリティ対策
ベンチマークの活用
Copyright © 2012 独立行政法人 情報処理推進機構
18
情報セキュリティ対策ベンチマーク
http://www.ipa.go.jp/security/benchmark/index.html
Copyright © 2012 独立行政法人 情報処理推進機構
19
情報セキュリティ対策ベンチマークとは
 自社の情報セキュリティ対策レベルを自己診断できるWebサービス
 スコア(点数)による評価とレーダーチャートや散布図による他社と
の比較ができる
経済産業省の「企業における情報セキュリティガバナンスのあり方
に関する研究会報告書」 の中で提言された施策ツールをIPAが
Webベースの自己診断システムとして開発し,2005年8月より提供
Copyright © 2012 独立行政法人 情報処理推進機構
20
情報セキュリティ対策ベンチマークの活用集
http://www.ipa.go.jp/security/benchmark/benchmark-katsuyou.html
1.情報セキュリティ評価について
2.情報セキュリティ対策ベンチマーク
活用例
3.情報セキュリティ対策ベンチマーク
からISMS認証取得へ
4.情報セキュリティ対策ベンチマーク
から情報セキュリティ監査へ
Copyright © 2012 独立行政法人 情報処理推進機構
21
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)
〒113-6591
東京都文京区本駒込2-28-8
文京グリーンコート センターオフィス16階
TEL 03(5978)7508 FAX 03(5978)7518
電子メール [email protected]
URL http://www.ipa.go.jp/security/
Copyright © 2012 独立行政法人 情報処理推進機構
22
Fly UP