情報セキュリティ

by user

on 28 марта 2017

Category: Documents

>> Downloads: 3

views

Report

Comments

Description

Download 情報セキュリティ

Transcript

情報セキュリティ



情報セキュリティ
第１４回
２０１５年７月１７日（金）

1/25

本日学ぶこと

本日の授業を通じて




「組織におけるセキュリティ」の基本的な考え方を学びます．
組織の持つ情報や計算機などを，継続的かつ安全に管理・運
用するのに有用な「セキュリティポリシー」を学習します．
セキュリティ管理の仕組みである「ISMS」を，規格・制度と関連
づけて理解します．
コンピュータ犯罪を取り締まる法律を概観したあと，個人情報の
機密性・完全性・可用性について法律化された「個人情報保護
法」を学習します．
2
セキュリティポリシー

セキュリティポリシーとは？


あるとどうなる？




組織の情報資産を守るための方針や基準を明文化したもの
情報セキュリティレベルの向上
セキュリティ対策の費用対効果の向上
対外的な信頼性の向上
何を書く？


組織の長の，情報セキュリティに関する方針・考え
適切な情報セキュリティを確保・維持するために遵守すべき
ルール
3
セキュリティポリシーの基本構成
Policy
Standard
Procedure
概要
情報
セキュリティ
基本方針
情報セキュリティ
対策基準
情報セキュリティ
対策実施手続き，規定類
詳細
4
セキュリティポリシーを誰が作る？どう書く？

セキュリティポリシー策定担当者の例





情報システム部門の責任者
総理（総務，庶務）部門・法務部門・監査部門の責任者
人事部門・人材育成部門の責任者
組織内システム管理者，組織内ネットワーク管理者
セキュリティポリシー策定の注意点




ポリシーを策定する範囲を明確にする
適用対象者を明確にする
目的や罰則を明確にする
運用を意識して，実現可能な内容にする
 「パスワードは毎週変更すること」と書いて，みんなやって
くれる？
5
情報セキュリティに関する規格・制度：背景

なぜ規格や制度が必要？



一体どこまでコストをかけて，セキュリティ対策を実施すれば
いいのか？
自分の組織の情報セキュリティの水準は，同業者や世間一般
と比較してどの程度なのだろうか？
情報セキュリティの水準を客観的に評価するための基準や
制度があればいい！
6
規格・制度

ISO/IEC 15408 (JIS X 5070)


プライバシーマーク制度 (JIS Q 15001)




企業における個人情報保護措置の適切性を評価・認定
ISO/IEC 27000／ISMS (JIS Q 27001)


ＩＴ関連製品のセキュリティ品質を評価・認証
ISMS: Information Security Management System
情報セキュリティマネジメントの適切性を評価・認定
ISO 9000：品質マネジメントシステム
ISO 14000：環境マネジメントシステム
7
ISO/IEC 27000／ISMSおよび関連する規格


ISO 27000シリーズが情報セキュリティマネジメントの
世界標準として規格化され，ISMSはその一部に
BS 7799-2 → ISO/IEC 27001，JIS Q 27001


BS 7799-1 → ISO/IEC 17799，JIS X 5080
→ ISO/IEC 27002，JIS Q 27002


ISMS 要求事項
情報セキュリティマネジメントの実践のための規範
ISO 31000 → JIS Q 31000

リスクマネジメント規格
8
ISMSの概略


組織の情報マネジメント体制を維持管理していくための管理
文書・管理体制・実施記録等からなる一連の仕組み
Plan-Do-Check-Act (PDCA)のサイクル
やりっぱなしでは




Plan: 情報セキュリティ対策の計画・
方針・目標などを策定
Do: 計画に基づいて対策を実施
Check: 対策の実施・運用状況を
点検・監視
Act: 対策の適切性について評価・
是正処置
いけない
P
A
D
C
9
ISMS認証

評価希望事業者の申請により，日本情報経済社会推進協会
（旧・日本情報処理開発協会，JIPDEC）が指定した認証機
関が審査・認証する
認証希望
事業者


認証機関
認定機関
（JIPDEC）
文書審査・実地審査を受け，合格すれば認証される
認証後も，１年ごとのサーベイランス審査，３年ごとの再認証
審査がある
ISMS適合性評価制度 http://www.isms.jipdec.or.jp/isms.html
10
ISMS認証を受けるために

「ISMS基本方針」は，事業目的を反映したものでなければな
らない


リスクアセスメントへの取り組みが不可欠


借り物は不可
（セキュリティ）リスクとは，何かしらの損失を発生させる事態や
状況への可能性のこと
管理策の有効性検証を行う

ウイルスや不正アクセスの被害回数などを監視・報告する

内部監査（組織自身による監査）も行う

セキュリティポリシーは「策定」と「公表」
ISMSは「認証」と「継続」

11
コンピュータ犯罪を取り締まる法律

電子計算機損壊等業務妨害（刑法第２３４条の２）



電子計算機使用詐欺（刑法第２４６条の２）



コンピュータや電子データの破壊
コンピュータの動作環境面での妨害
財産権に関する不実の電子データを作成
財産権に関する偽の電子データを使用
不正アクセス行為の禁止等に関する法律（不正アクセス防
止法）




権限を持たない者がアクセス
そのようなアクセスを助長
他人のパスワードを勝手に公開，販売
具体的な被害を与えていなくても処罰の対象になる
12
個人情報保護法


正式名称：個人情報の保護に関する法律
目的（第１条）


個人の権利と利益の保護
 個人情報は，データ化した企業・組織のものではなく，
個人情報の本人のもの
機密性
高度情報通信社会における
可用性
個人情報の有用性の配慮
 企業・組織が，個人情報を
個人
適切に管理・使用するため
情報
の方針を定める
完全性
13
個人情報の例





氏名
生年月日，住所，居所，電話番号，メールアドレス
会社における所属や職位
電話帳や刊行物などで公表されている個人情報
名刺



電子化するしないに関わらず対象
施行前に収集した情報も対象
個人情報でないもの


法人などの団体に関する情報（企業の財務情報など）
 役員氏名などは個人情報になり得る
特定の個人を識別できない形にした統計情報
14
個人情報とプライバシーの違い

個人情報保護


プライバシーの保護


事業者の個人情報に対する管理責任に関するもの
他人に知られたくないことを秘匿すること
ハガキの表裏


ハガキの表（宛名）に書かれるのは個人情報
ハガキの裏（文面）に書かれるのはプライバシー
15
個人情報取扱事業者


事業活動を行っていれば，個人でも法人でも非営利団体で
も任意団体でも対象となる
個人情報取扱事業者に該当しないもの



国の機関，地方公共団体，独立行政法人，独立地方行政法人
 同じ役割の別の法律がすでに施行
個人情報の数が，過去６か月で５０００件以下の事業者
 法には基づかないが，社会的な信頼を考えると，対応して
おくべきである
報道・著述・学術研究・宗教活動・政治活動の目的には適用
除外がある（第５０条）
16
運用上の義務（１）

利用目的をはっきりさせ，本人の同意を得る．



適切な方法で個人情報を取得する．



利用目的は具体的に
利用目的・利用者が変更する場合も，事前に告知と同意を
子供から親の情報を聞き出すのは違法
名簿業者から買うのはもってのほか
個人情報は安全に管理する．



アクセス制限やデータの暗号化も
委託してもよいが，管理・監督の責任を負う
ノートPCやUSBメモリに入れて，紛失することのないように
17
運用上の義務（２）

本人からの依頼には適切に対処




個人情報の破棄にも細心の注意を



開示・訂正・利用停止など
問い合わせ窓口を設置
本人確認も忘れずに
紙…シュレッダー，溶解処理
コンピュータ…抹消用ソフトウェア，物理的な破壊
個人情報保護への取り組み


プライバシーポリシー・個人情報保護規定を制定し，
PDCAのサイクルで運用
プライバシーマークの取得
18
オプトアウト


「あらかじめ同意を得る」という原則（オプトイン）の例外規定
第三者提供におけるオプトアウト（第２３条第２項）

第三者への提供にあたり，あらかじめ本人に通知するか，本人
が容易に知り得る状態にしておき，本人の求めに応じて第三者
への提供を停止すること
 目的・手段・対象のほか，本人の求めに応じて第三者への
提供を停止することを明記しておく．
19
個人情報保護運用上の注意（１）

メールアドレスは個人情報にならない？


電話帳にある氏名や電話番号は個人情報ではない？


個人情報であるかどうかは，公にされているかとは関係ない
暗号化しておけば，個人情報としての取り扱い義務が免除
される？


[email protected]は個人情報になるかも
暗号化しても個人情報であることには変わりない
社会貢献だけを目的とする団体なら，個人情報取扱事業者
にならない？

営利であるか，法人であるかに関係なく，社会通念上「事業」と
認められる活動をしていれば，なり得る
NECネクサソリューションズ『よくわかる「個人情報保護」』（東洋経済新報社）
20
個人情報保護運用上の注意（２）

名刺は社員個人で収集管理するので，個人情報にあたらな
い？


学校でクラス名簿を作ってはいけない？


事業に関連して収集するので，会社の責任で管理する．した
がって個人情報になり得る
生徒がお互いを知るためであれば，作ってよい
病室の入口に患者の名前を記入してはいけない？

緊急援助や患者の取り違い防止のためならば，禁止する必要
はない
牧野二郎『間違いだらけの個人情報保護』（インプレス）
21
情報セキュリティまとめ（１）

この科目で何を学んできたか：情報資産の守り方

キーワード






暗号系：古典暗号（単一換字暗号），秘密鍵暗号（DES，AES），
公開鍵暗号（RSA）
認証：ディジタル署名，一方向ハッシュ関数，PKI
セキュリティソフトウェア：PGP，SSL，SSH
個人・組織のセキュリティ：パスワード，セキュリティポリシー，
個人情報保護法
システムセキュリティ：ファイアウォール，安全なアプリケーショ
ン開発
基礎：計算理論，暗号プロトコル
22
情報セキュリティまとめ（２）

暗号技術は圧縮技術




鍵は，機密性のエッセンス
ハッシュ値や署名文は，完全性のエッセンス
アクセス制限（Apache, iptablesなど）は可用性のエッセンス
乱数の種は，予測不可能性のエッセンス
『新版暗号技術入門』 pp.373-375 を改変
23
情報セキュリティまとめ（３）

できる／できない（解ける／解けない）





例：どこかの本に秘密のメモを挟み，忘れてしまう
例：中間者攻撃による情報共有・秘密の取得
例：決定可能／決定不能，多項式時間／指数時間
「どんな範囲で」「何によって」できる／できないかに注意
基礎と応用

基礎となる暗号技術が安全であっても，それを用いた暗号プロ
トコルが安全であるとは限らない．
⇒「基礎（基盤）」「応用（システム）」それぞれで検証が必要
24
規格の略称等

略称





ISO: International Organization for Standardization
（国際標準化機構）
IEC: International Electrotechnical Commission
（国際電気標準会議）
BS: British Standards（イギリス標準規格）
JIS: Japanese Industrial Standards（日本工業規格）
JIS規格番号の例

JIS Q 27001:2014
Qは管理システム
Xは情報処理
制定・改正年
25E