Comments
Description
Transcript
文部科学省 平成21年度情報セキュリティセミナー
文部科学省 平成21年度情報セキュリティセミナー 「PDCAサイクルの中での「C」(評価)の果たす役割」 平成22年2月10日(水) 有限責任監査法人トーマツ エンタープライズリスクサービス シニアマネジャー 石井秀明 mailto:[email protected] © 2010 Deloitte Touche Tohmatsu LLC 本日の内容 1. 自己紹介 2. はじめに 3. 監査のための規程・指針 4. 情報セキュリティ監査の経験から 5. リスク評価とコントロール評価 6. 外部監査と内部監査 7. 最後に… ※本スライドに記載された事項は講演者の私見であり、講演者の所属する法人等の公式見解ではないことをお断りします。 2 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC 自己紹介 所属・役職 ‒ 有限責任監査法人トーマツ 大阪事務所 エンタープライズリスクサービス シニアマネジャー 資格 ‒ 公認情報システム監査人(CISA) ‒ 公認情報セキュリティマネージャー(CISM) ‒ 公認内部監査人(CIA) 主な業務(パブリックセクター関連) ‒ 監査 : システム監査/情報セキュリティ監査(中央省庁、政令指定都市他) ‒ 支援 : 情報セキュリティマネジメント体制(ISMS)構築支援(大学、地方公共団体等) その他 ‒ 大阪府立大学大学院経済学研究科非常勤講師 ‒ 情報システムコントロール協会(ISACA) 大阪支部 常務理事 ‒ セキュアOSに関する調査研究会 構成員(平成15年度 総務省) 3 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC はじめに Plan Act Do Check 4 平成21年度情報セキュリティセミナー@文部科学省 PDCAサイクルの中での 「C」(評価)の果たす役割 © 2010 Deloitte Touche Tohmatsu LLC 監査のための規程・指針 5 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC 統一基準とサンプル規程集 政府機関の情報セキュリティ対策のための 統一基準(第4 版) 6 高等教育機関の情報セキュリティ対策のためのサンプル規程集 (2007 年度版) 2009 年2 月3 日 情報セキュリティ政策会議 2007 年10 月31 日 国立情報学研究所 ネットワーク運営・連携本部 国立大学法人等における情報セキュリティポリシー策定作業部会 電子情報通信学会 ネットワーク運用ガイドライン検討ワーキンググループ 政府機関向け 大学向け 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC 自己点検と監査について 1.2.3 評価 1.2.3.1 情報セキュリティ対策の自己点検 1.2.3.2 情報セキュリティ対策の監査 政府機関向け DM2-06 自己点検の考え方と実務への準備_解説書 DM2-07 情報セキュリティ監査実施手順_策定手引書 DM7-03 情報システムに関する情報セキュリティ対策実施確認のための点検リスト 情報システムに関する情報セキュリティ対策実施確認のための点検リスト_策定手引書 A1001 情報システム運用基本規程 大学向け A2201 情報システム利用規程 A3212 自己点検の考え方と実務への準備に関する解説書 A2401 情報セキュリティ監査規程 A3401 情報セキュリティ監査実施手順 7 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC 情報セキュリティ監査の経験から 8 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC 情報セキュリティ監査の経験から いまだにパスワードメモ貼り付けは行われている 施錠可能ではあるが施錠していないことが多い 情報の重要性分類が出来ていない モニタリングの概念がない ファイヤーウォールの設定を把握していない 特権IDの管理がベンダー任せになっている 本当にバックアップが取れているか確認していない システム毎の対策実施が多く、共通要求事項がない システム部門へのお任せ意識が高すぎる システム部門のセキュリティ感覚も低すぎる システム部門自身のセキュリティ管理が不十分 ベンダー担当者のセキュリティレベルに依存している 委託先に対する情報管理の具体的な指示がない 情報セキュリティ監査で 感じたこと <疑問> 本当に技術上の 問題なのか? 情報セキュリティの責任部署がないか、あっても権限がない 人事異動への対応が十分でない ・・・キリがありません 9 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC 問題点の整理 監査調達スタンスの問題 • 技術的な観点への固執 • お墨付き至上主義 • 実績づくり 10 • 技術面の問題 • セキュリティ要件未定義 • バラバラな対策レベル • モニタリング機能の欠如 • 内部管理体制の問題 • 制度面の問題 • ベンダー依存体質 • 人事異動と教育 • 改善意識の欠落 • 予算の制約 • 機能しない組織体制 • 責任と権限の限界 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC 監査調達スタンスの問題 監査調達スタンスの問題 • 技術的な観点への固執 • お墨付き至上主義 • 実績づくり – ツールによる侵入テストだけが重要なのではない – 「安全なシステムです」とは、簡単には保証できない – 意味なく実施実績をつくることは税金と時間の無駄 • 監査目的をハッキリさせる → どういう理由で何を確かめたいのか? • 例えば・・・ – 構築したばかりの情報セキュリティマネジメント体制そのものの評価を受け、より確実な体 制の定着化を図りたい。 – 導入済の各種セキュリティ対策について、対策の偏りやセキュリティホールの有無を評価 してもらい、対策の不備を埋めていきたい。 – これから体制構築をするにあたり、客観的に見て何が足りないかを教えてもらい、効率的 に体制構築とセキュリティ対策を進めていきたい。 11 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC 技術面の問題 技術面の問題 •セキュリティ要件未定義 •バラバラな対策レベル •モニタリング機能の欠如 – セキュリティ確保に必要な事項の議論がなされていない – 対策レベル感の標準化が検討されていない – そもそもモニタリングの業務要件が定義されていない • セキュリティの要件も明文化する → 守るべきものは?具体的な守り方は?レベルは? • 例えば・・・ – 内部ネットワークと外部ネットワークの接続部分にファイヤーウォールを設置する。透過ポ リシーはデフォルト拒否とし、必要と認められた通信のみ限定的に許可すること。 、 – デフォルトの特権IDの使用は禁止する。高権限が必要な場合、使用範囲を明確に限定し、 パスワードを通常より長く設定した上でIDを個別発行すること。やむを得ず特権IDを使用 する場合は、特権IDの使用履歴を追跡できる仕組みを備えること。 – ファイルアクセス監視ができるように、ログ取得機能および抽出・分析機能を備えること、 各業務所管部署の管理者自らが監視できるよう、分析・解釈マニュアルを作成すること。 12 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC 内部管理体制の問題 内部管理体制の問題 •ベンダー依存体質 •改善意識の欠落 •機能しない組織体制 – 最悪の場合、ベンダー担当者の個人的スキルに依存 – 目の前の問題の除去しかできていない – 組織が機能しているどうかの把握も出来ていない • 職員の意識改革が必要 → 職員が本来なすべきことは何か? • 例えば・・・ – システム開発・運用プロセスの見直しを実施する。ベンダー作業内容の把握・承認、結果 報告方法を明確にする。都度の作業だけでなく、定期的な状況・状態報告も必要。 – その場の問題解決だけでなく、類似ケースの有無を点検する。他システムでも同様のこと が発生しうる可能性を想定し、情報共有を図る。 – セキュリティ組織体制の役職者の実施事項を具体的に定義する。都度の承認事項として 必要なことや週次・月次・年次などで必要なことを明確にする。 13 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC 制度面の問題 制度面の問題 •人事異動と教育 •予算の制約 •責任と権限の限界 – 必要なスキルを持った専門家が育たない – 弱点を発見してもすぐに直せない、必要性説明が困難 – 必要な権限を与えずにセキュリティ推進をさせている • 経営層の意識改革が必要 → 現場に何が必要か? 経営層に期待することは何か? • 例えば・・・ – 少なくとも委託先を監督できるスキルは必要だが、この分野においては数ヶ月で身につけ ることは無理。異動必要性、教育投資、セキュリティ品質のバランスを再考する。 – 点検や監査は夏に行い、遅くとも秋には経営層へ報告する。経費発生の根拠を明確にし て来年度予算を策定する。システム運用経費にセキュリティレベル維持費用を明記する。 – セキュリティ推進はシステム部門だけでは実現できない、物理的セキュリティ管理部署・ド キュメント取扱管理部署・人事担当部署の協力を引き出し、各部署へ直接指示できる権限 者が必要。 14 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC リスク評価とコントロール評価 15 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC リスクの基本的な捉え方 影響度 (被害の大きさ) 発生可能性を下げる対策 R 影響度を下げる対策 固有のリスク とも呼びます Risk (リスク) E Control Contr (管理策) Exposure (残余リスク) 16 R–C=E 平成21年度情報セキュリティセミナー@文部科学省 リスクとは・・・ 「事態の確からしさ とその結果の組合 せ、または事態の 発生確率とその結 果の組合せ」(JIS Q 2001) 「目標達成に影響 がある事象発生の 不確実性」(内部監 査の専門職的実施 の基準/IIA) 許容可能な レベル (組織で決める) 発生可能性 (起こりやすさ) © 2010 Deloitte Touche Tohmatsu LLC 「設計されたコントロール」と「実施されているコントロール」 「設計された」通りに実施しなければ残余リ スクは許容可能な範囲に収まらない。 影響度 (被害の大きさ) 「ルールがあるから大丈夫!」ではなく、 ルールに従った運用が継続して実施されて いることを確認し続ける必要がある。 E E R Risk (リスク) Control Contr (管理策) Exposure (残余リスク) 17 平成21年度情報セキュリティセミナー@文部科学省 発生可能性 (起こりやすさ) © 2010 Deloitte Touche Tohmatsu LLC 「危機管理の対象となるリスク」 影響度 (被害の大きさ) 実際に発生した場合の影響 度が極めて大きい。 速やかに回復できるよう事 前に準備しておくことが必要 R E E R Risk (リスク) Control Contr (管理策) Exposure (残余リスク) 18 平成21年度情報セキュリティセミナー@文部科学省 発生可能性 (起こりやすさ) © 2010 Deloitte Touche Tohmatsu LLC 新しいリスク評価の枠組み = MARCIチャート(トーマツ提供) H 檻の中 野放し A M 虎 リ ス ク の 影 響 度 Assurance:保証 Mitigate:リスクの軽減 R CI Redeploy:資産の再配置 Measure for Cumulative Impact:累積影響の評価 管理の脆弱性 L 猫 H 発生可能性を横軸に置く場合に比べ、発生可能性は低いが影響度の大きいリスクに関する考慮が充実する点が特徴 19 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC 外部監査と内部監査 20 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC 監査とは? 規準に基づき 運営しています 運営主体 (被監査主体) 言明 情報利用者 (利害関係者) 活動 規準 監査人が 合致の程度を 判断する基準 <結果> 規準に基づき運営されていることを 我々は監査基準に従って監査しました 運営主体が 準拠するもの 監査人 (監査主体) 監査人の 行動指針 監査基準 監査行為の 基準 21 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC 利用目的と監査主体による区分 外部目的 外部の監査人が受託・実施 利害関係者に対して結果を示す 主に保証型 内部目的 内部監査部門が実施 組織の改善のために利用 外部の監査人が受託・実施 組織の改善のために利用する 主に助言型 22 通常ありえない (客観性が低い) 監査主体=内部者 監査主体=外部者 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC 外部監査と内部監査と品質管理 オーナー (利害関係者) 【注意】 ここではPDCAサイクルに おける評価の役割を重点と して説明しており、ガバナン スの観点及び監事監査に ついては省略しています 最高情報セキュリティ責任者 全学総括責任者 目的指示 (期待) 組織 トップ 目標指示 ③ 部門長 作業指示 ② ① 外部監査 内部監査 監査業者 ③ 活動目的達成のPDCA 23 品質管理 情報セキュリティ監査責任者 ② 業務目標達成のPDCA 平成21年度情報セキュリティセミナー@文部科学省 担当 ① 作業品質達成のPDCA © 2010 Deloitte Touche Tohmatsu LLC 内部監査の定義 内部監査の定義から、内部監査の目的、要件、活動を整理する。 「内部監査は、組織体の運営に関し価値を付加し、また改善するために行 われる、独立にして、客観的なアシュアランスおよびコンサルティング活 動である。 」 『内部監査の専門的実施の国際基準』(IIA(内部監査人協会)) (社)日本内部監査協会訳 24 ポイント1 目的 「価値を付加し、また改善するため」 ⇒組織体の目標達成機会の向上、運営上の改善点発見など ポイント2 要件 「独立にして客観的」 ⇒いささかの品質への妥協もない方法で、業務の遂行を可能にする、 公正不偏な精神的態度が必要 ポイント3 活動 「アシュアランスおよびコンサルティング活動」 ⇒保証活動と助言活動を行う 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC モニタリング∼準拠性テストからリスクアプローチ監査へ 内部統制全体の整備を進める事により、単に与えられたチェックリストをチェックする監査から、 妥当性の監査、リスクアプローチの監査へ進化する事が可能です。 ・準拠性テストから整備/運用状況の監査へ ・リスクアプローチ監査の実施 従来型の検査 内部監査 必要なルールの有無 準拠性テスト ルールの妥当性 ルールの運用状況 リスクアプローチの導入 パトロール型監査 (全拠点の巡回) リスクの高い拠点の選定 リスクの高い監査テーマの選定 25 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC 最後に… 26 平成21年度情報セキュリティセミナー@文部科学省 © 2010 Deloitte Touche Tohmatsu LLC 最後に… Plan Act Do Check 27 平成21年度情報セキュリティセミナー@文部科学省 PDCAサイクルの中での 「C」(評価)の果たす役割 © 2010 Deloitte Touche Tohmatsu LLC トーマツグループはデロイト トウシュ トーマツ(スイスの法令に基づく連合組織体)における日本のメンバーファーム各社(有限責 任監査法人トーマツと税理士法人トーマツ、およびそれぞれの関係会社)の総称です。トーマツグループは日本で最大級のビジ ネスプロフェッショナルグループのひとつであり、各社がそれぞれの適用法令に従い、監査、税務、コンサルティング、ファイナン シャル アドバイザリーサービス等を提供しております。また、国内約40都市に約6,700名の専門家(公認会計士、税理士、コンサ ル タン ト な ど ) を擁 し 、 多国籍 企業 や主要 な 日本企 業 を クラ イ アン ト と し て いま す 。 詳細 は ト ー マ ツグル ー プWebサ イ ト (www.tohmatsu.com)をご覧ください。 Deloitte(デロイト)は監査、税務、コンサルティングおよびファイナンシャル アドバイザリーサービスをさまざまな業種の上場・非 上場クライアントに提供しています。全世界140ヵ国を超えるメンバーファームのネットワークで、ワールドクラスの品質と地域に 対する深い専門知識により、いかなる場所でもクライアントの発展を支援しています。デロイトの約169,000人におよぶ人材は “standard of excellence”となることを目指し、“誠実性”、“卓越した価値の提供”、“相互信頼”、“文化的多様性”といった価値 観を共通するカルチャーで結ばれています。継続的な知識習得、チャレンジングな経験、豊富なキャリア形成の機会といった環 境を生かしながら、Deloitteのプロフェッショナルは企業責任(CSR)を強化し、社会からの信頼を築き、各々の地域社会に貢献し ていきます。 Deloitte(デロイト)とは、スイスの法令に基づく連合組織体のデロイト トウシュ トーマツおよび相互に独立した個別の法的存在で あるネットワーク組織のうちのメンバーファームのひとつあるいは複数を指します。デロイト トウシュ トーマツとメンバーファーム の法的な構成についての詳細はwww.tohmatsu.com/deloitte/をご覧ください。 © 2010 Deloitte Touche Tohmatsu LLC Member of Deloitte Touche Tohmatsu