Comments
Description
Transcript
情報セキュリティ診断 - IPA 独立行政法人 情報処理推進機構
組織の情報セキュリティをいかに管理するか 〜情報セキュリティ診断〜 情報セキュリティEXPO 2012年5月9日~11日 独立行政法人情報処理推進機構 Copyright © 2012 独立行政法人 情報処理推進機構 様々な情報セキュリティ事故 情報漏えい・情報消失 原因の約90%が内部の 人間によるものです 管理ミス 誤操作 不正な情報持ち出し など 目的外使用 ワーム・ウイルス 内部犯罪・ バグ・セキュリ 4 内部不正行為 ティホール 設定ミス 5 0.5% 0.6% その他 9 11 8 9 1.1% 1.4% 1.0% 1.1% 不明 不正アクセス 3 11 0.4% 1.4% 不正な情報 持ち出し 36 4.5% 盗難 42 5.2% 紛失・置忘れ 98 12.1% コンピュータウイルスや不正アク セス(改ざん等)による事業の停止 ネットワーク障害による事業の停止 Copyright © 2012 独立行政法人 情報処理推進機構 管理ミス 308 38.2% 誤操作 263 32.6% 出典:JNSA 2011年 情報セキュリティインシ デントに関する調査報告書 上半期速報版 2 情報が流出することによる ビジネスインパクト Copyright © 2012 独立行政法人 情報処理推進機構 3 システム停止による ビジネスインパクト Copyright © 2012 独立行政法人 情報処理推進機構 4 ウェブサイト改ざんによる ビジネスインパクト Copyright © 2012 独立行政法人 情報処理推進機構 5 組織を取り囲む様々な脅威 Copyright © 2012 独立行政法人 情報処理推進機構 6 情報セキュリティとは このような脅威によって情報漏えいやシステム停止など が発生してしまわないよう、リスク(危険性)を可能な限 り減らし、予防することが情報セキュリティ対策です あなたにとって避けたい問題は? 個人・顧客・企業情報の漏えい →漏えい+悪用=被害の拡大 会社の信用失墜・・・ 会社内の設備の停止 →ビジネスの停止、売上の減少・・・ Copyright © 2012 独立行政法人 情報処理推進機構 情報 資産 7 何からはじめる? とはいっても、 何からはじめればいいのでしょう? こたえは 自社診断シート(25のチェック) これは情報セキュリティ対策の基本です あなたの会社で足りない部分を確認しましょう Copyright © 2012 独立行政法人 情報処理推進機構 8 自社診断シート(25のチェック) Copyright © 2012 独立行政法人 情報処理推進機構 9 自社診断シート(25のチェック) Copyright © 2012 独立行政法人 情報処理推進機構 10 セキュリティ対策の基本的な考え方 1. セキュリティ対策はトップダウンで行う。そのためには経営 層のリーダシップが必要 2. セキュリティリスクだけではなく、全体のビジネスリスクを考 え、必要な情報セキュリティ対策を行う 3. そのためには、部分的ではなく、 全体を見据えたバランスの良いリスク 評価が大事 4. 対策にかけられる人や費用が限られて いる中では、対策の実効性と優先順位付けが必要 5. セキュリティ対策を事業にどう生かせるかの視点も大事 6. 事故前提のセキュリティ対策も要検討 7. 定期的な見直しも重要 Copyright © 2012 独立行政法人 情報処理推進機構 11 企業向け 情報セキュリティ対策 http://www.ipa.go.jp/security/manager/index.html Copyright © 2012 独立行政法人 情報処理推進機構 12 企業の情報セキュリティ対策ガイドライン http://www.ipa.go.jp/security/fy20/reports/sme-guide/ 中小企業における組織的な情報セキュリティガイドライン 委託関係における情報セキュリティ対策ガイドライン Copyright © 2012 独立行政法人 情報処理推進機構 13 組織的な情報セキュリティ対策ガイドライン 「共通して実施すべき対策」と「企業毎に考慮すべき対策」の2つ 共通して実施すべき対策 企業規模や業種によらない共通の対策について例示と説明 組織的対策、物理的対策、運用管理、アクセス制御、事故対応の5分野 情報セキュリティ対策ベンチマークの管理策を、よりわかりやすくまとめる 企業毎に考慮すべき対策 業務内容を考え、必要な対策の手がかりを与えることを狙いとする 危険や問題点への気づきのための10個の典型的なシナリオ 対策の取捨選択のための基本的な考え方を示す Copyright © 2012 独立行政法人 情報処理推進機構 14 10個の典型的なシナリオ KYT(危険予知トレーニング)的なシナリオ 従業員の情報持ち出し 退職者の情報持ち出し、競合他社への就職 従業員による私物PCの業務利用と ファイル交換ソフトの利用による業務情報の漏洩事故 ホームページへの不正アクセス アウトソーシングサービスの利用 委託した先からの情報漏えい 在庫管理システム障害の発生 無線LANのパスワードのいい加減な管理 IT管理者の不在 電子メール経由でのウイルス感染 Copyright © 2012 独立行政法人 情報処理推進機構 15 10個の典型的なシナリオ例 Copyright © 2012 独立行政法人 情報処理推進機構 16 委託関係における 情報セキュリティ対策ガイドライン 業務委託に際しての、機密情報の取扱に関する取り決めの欠如 機密保持対策ができない 事故時の対応ができない 事故責任が曖昧になる 委託先における 情報セキュリティ対策事項 機密情報の利用、保管、持ち出し、消去、 破棄における取扱い手順を定める。 機密情報に係る業務の再委託に関する・・ 機密情報を保管及び扱う場所の入退管理と 施錠管理を行う。 ・・・ Copyright © 2012 独立行政法人 情報処理推進機構 業務委託契約に係る 機密保持条項(例) 乙は、甲より開示された機密情報の管理につき、 乙が保有する他の情報、物品等と明確に区別して 管理するとともに、以下の事項を遵守する。 (1)機密情報の管理責任者を及び保管場所を・・ (2)機密情報を取り扱う従業員を必要最小限・・・ (3)機密情報の管理責任者名・・・報告する。 ・ ・ 乙は、本業務(の全部または一部)を第三者へ再 委託する場合、甲の事前の書面による同意を・・・ 17 より高度な対策へのステップは・・・ 情報セキュリティ対策 ベンチマークの活用 Copyright © 2012 独立行政法人 情報処理推進機構 18 情報セキュリティ対策ベンチマーク http://www.ipa.go.jp/security/benchmark/index.html Copyright © 2012 独立行政法人 情報処理推進機構 19 情報セキュリティ対策ベンチマークとは 自社の情報セキュリティ対策レベルを自己診断できるWebサービス スコア(点数)による評価とレーダーチャートや散布図による他社と の比較ができる 経済産業省の「企業における情報セキュリティガバナンスのあり方 に関する研究会報告書」 の中で提言された施策ツールをIPAが Webベースの自己診断システムとして開発し,2005年8月より提供 Copyright © 2012 独立行政法人 情報処理推進機構 20 情報セキュリティ対策ベンチマークの活用集 http://www.ipa.go.jp/security/benchmark/benchmark-katsuyou.html 1.情報セキュリティ評価について 2.情報セキュリティ対策ベンチマーク 活用例 3.情報セキュリティ対策ベンチマーク からISMS認証取得へ 4.情報セキュリティ対策ベンチマーク から情報セキュリティ監査へ Copyright © 2012 独立行政法人 情報処理推進機構 21 独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコート センターオフィス16階 TEL 03(5978)7508 FAX 03(5978)7518 電子メール [email protected] URL http://www.ipa.go.jp/security/ Copyright © 2012 独立行政法人 情報処理推進機構 22