1年前に作成した情報セキュリティポリシについて,適切に運用されていることを確認するための監査を行った。この活動はPDCAサイクルのCに該当する顧客の氏名,住所などが記載された住所録の取扱いうち,個人情報保護の観点から適切なもの 住所録のデータを書き込んだCD-ROMを破棄するときには破砕する。 住所録のデータをファイルに保存するときには暗号化する。ISMSにおける情報セキュリティリスクの取扱いに関する“リスク及び機会に対処する活動” リスク基準の確立→リスクの特定→リスク分析→リスク評価→リスク対応情報セキュリティにおけるリスクアセスメントの説明 識別された資産に対するリスクを分析,評価し,基準に照らして対応が必要かどうかを判断する。ISMS適合性評価制度において,組織がISMS認証を取得していることから判断できること 組織が情報資産を適切に管理し,それを守るための取組みを行っていることリスクマネジメントにおける,リスクアセスメントに含まれるもの リスク特定 リスク分析 リスク評価CSIRT コンピュータやネットワークに関するセキュリティ事故の対応を行うことを目的とした組織 情報の漏えいなどのセキュリティ事故が発生したときに,被害の拡大を防止する活動を行う組織ISMS適合性評価制度 企業などの組織において,情報セキュリティマネジメントシステムが適切に構築,運用され,ISMS認証基準の要求事項に適合していることを特定の第三者機関が審査して認証する制度である。ISMSの導入効果に関する記述 リスクマネジメントプロセスを適用することによって,情報の機密性,完全性及び可用性をバランス良く維持,改善し,リスクを適切に管理しているという信頼を利害関係者に与える。JPCERTコーディネーションセンターと情報処理推進機構(IPA)が共同運営するJVN(Japan Vulnerability Notes)で,"JVN#12345678"などの形式の識別子を付けて管理している情報 ソフトウェアなどの脆弱性関連情報とその対策リスクマネジメント,情報セキュリティ管理に関する考え方,情報セキュリティ管理策の基本を理解する。情報セキュリティ方針 ISMSに関するトップマネジメントの考え方や基本原理を示す公式な文書 企業におけるISMSの活動において,自社で取り扱う情報資産の保護に関する基本的な考え方や取組み方を示したもの全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針に関する記述 トップマネジメントが確立しなければならない。情報セキュリティ方針を改訂したことを周知する範囲 全ての従業員及び関連する外部関係者情報セキュリティポリシを,基本方針,対策基準及び実施手順の三つの文書で構成したとき,これらに関する説明 実施手順は,対策基準として決められたことを担当者が実施できるように,具体的な進め方などを記述したものである。ISMSにおける情報セキュリティ方針の説明 情報セキュリティに対する組織の意図を示し,方向付けをするものである。リスクマネジメント,情報セキュリティ管理に関する考え方,情報セキュリティ管理 策の基本を理解します。情報セキュリティにおいて,組織がもつ情報資産の脆弱性を突く脅威によって,組織が損害を被る可能性のことをリスクという。内外に宣言する最上位の情報セキュリティポリシに記載すること 経営陣が情報セキュリティに取り組む姿勢 © 2020 KPMG Tax Corporation, a tax corporation incorporated under the Japanese CPTA Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (âKPMG Internationalâ), a Swiss entity. 私も毎日が勉強です! さて、今回は、保有している情報を適切に管理するための基本の「キ」について取り上げます。 情報の機密性・完全性・可用性 ismsでは、情報管理の三原則として挙げられる「機 ï½
ï½ãã¼ã¸ã®èä½æ¨©ã«é¢ããè¨è¿°ã®ãã¡ï¼é©åãªãã®ã¯ã©ããã ②リスク保有は、情報セキュリティ対策を行わず、許容範囲内として受容することです。許容できるリスクのレベルを超えるものの、現状において実施すべき情報セキュリティ対策が見当たらない場合や、コストに見合ったリスク対応の効果が得られない場合などに、リスクを受容します。①ベースラインアプローチ(Baseline Approach)は、一般的な情報セキュリティに関する基準・標準・ガイドラインなどを参照し、一定の確保すべきセキュリティレベルを設定し、チェックしていく方法です。ISO/IEC 27005 においては,リスクマネジメント全体を示すために “プロセス(process)” という用語を用いています。リスクマネジメントプロセス内の要素は,“活動(activities)” と呼ばれます。脆弱性検査は、コンピュータシステムやネットワークに存在する脆弱性を発見・検出することで、対策の実施を促します。「ISMS が達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることにある。そのためには、ISMS を、組織のプロセス及びマネジメント構造全体の一部とし、かつ、その中に組み込むことが重要である。」リスクの重大性を評価するための目安とする条件。リスク基準は,組織の目的,外部状況及び内部状況に基づいたものである。規格,法律,方針及びその他の要求事項から導き出されることがある。③環境評価基準(Environmental Metrics)は、ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。脆弱性の対処状況を評価し、CVSS 環境値(Environmental Score)を算出します。ユーザが脆弱性への対応を決めるために評価する基準です。リスク及び/又はその大きさが,受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセス。リスク評価は,リスク対応に関する意思決定を手助けする。脆弱性検査ツールは、実際に攻撃に用いられる手法をもとに、擬似攻撃を行うツール群がひとつにまとめられています。効率的な検査が可能である反面、誤検出(False Positive)や未検出(False Negative)の課題もあります。脆弱性検査ツールの種類には、Webサイト・Webアプリケーション脆弱性検査ツールとネットワーク脆弱性検査ツールがあります。③リスク回避は、脅威発生の要因を停止する、あるいは全く別の方法に変更することにより、リスクが発生する可能性を取り去ることです。得られる利益よりも、保有しているリスクの方が極端に大きな場合などに有効です。リスク対応後に残っているリスク。残留リスクには,特定されていないリスクが含まれ得る。“保有リスク” ともいう。情報セキュリティ対策は一度行なったら終わりではありません。環境の変化などに合わせて絶えず、見直しと改善が求められます。組織の情報セキュリティレベルを継続的に維持改善するために、Plan(計画)、Do(実施)、Check(点検・監査)、Act(見直し・改善)という PDCA サイクルを繰り返します。情報セキュリティポリシーは、企業や組織の状況、新たな脅威、新しい法律の施行など社会的な状況によっても、定期的に見直さなければなりません。「ISMS とは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。」システム又は組織に損害を与える可能性がある,望ましくないインシデント(事態)の潜在的な原因。PCI DSS の特徴は、カード会員データの安全な取り扱いや保護のために、6 の情報セキュリティに関する目標と、それらに関係する 12 の要件を定めて、さらにその要件ごとに詳細化された項目が示されている点です。リスクの特質を理解し,リスクレベルを決定するプロセス。リスク分析は,リスク評価及びリスク対応に関する意思決定の基礎を提供し、リスクの算定を含む。管理策を実施した結果として,達成することを求められる事項を記載したもの。結果とその起こりやすさの組合せとして表現される,リスクの大きさ。リスクを修正(modifying)する対策。管理策には,リスクを修正するためのあらゆるプロセス,方針,仕掛け,実務及びその他の処置を含む。管理策が,常に意図又は想定した修正効果を発揮するとは限らない。また、組織のリスクマネジメントによる情報セキュリティ対策であっても、すべてのリスクを完全に取り除くことや、あらゆるインシデントを未然に防ぐことは困難です。事象が発生した場合や、兆候が見られる場合の体制や対応手順をあらかじめ取り決めておく、インシデント管理も重要となっています。主張された事象又は処置の発生,及びそれを引き起こしたエンティティを証明する能力。④リスク移転は、リスクを他社などに移すことです。ただし、リスクがすべて移転できるとは限りません。多くの場合、金銭的なリスクなど、リスクの一部のみが移転できます。ペネトレーションテスト(penetration test)は、ネットワークに接続されたコンピューターに実際に攻撃を仕掛け、侵入を試みることから、コンピューターやネットワークの脆弱性を検証するテスト手法です。「侵入実験」あるいは「侵入テスト」などと呼ばれます。また、ペネトレーションテストを「ペンテスト」と略すこともあります。認可されたエンティティが要求したときに,アクセス及び使用が可能である特性。認可されていない個人,エンティティ又はプロセスに対して,情報を使用させず,また,開示しない特性。『JIS Q 27000:2014 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語』を中心に、用語の定義や説明を確認します。たとえば、コンピュータネットワーク上の情報サービスにおいて、大切な情報が外部に漏れたり、データが壊されたり、サービスが急に使えなくなったりしないようにすることです。リスクを発見,認識及び記述するプロセス。リスク特定には,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれるほか、過去のデータ,理論的分析,情報に基づいた意見,専門家の意見及びステークホルダのニーズを含むことがある。④組み合わせアプローチ(Combined Approach)は、リスク分析の範囲が広いなど、すべての情報資産に対して詳細リスク分析が実施できない場合に、ベースラインアプローチを全体に、詳細リスク分析を重点部分に、実施を組み合わせる方法です。①基本評価基準(Base Metrics)は、脆弱性そのものの特性を評価する基準です。情報システムに求められる 「情報の機密性,完全性及び可用性」 に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS 基本値(Base Score)を算出します。ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準です。ISO MSS(Management System Standard)共通要素を適用。その上で、情報セキュリティに不可欠なISMS固有の要求事項が規定されています。2013年11月に PCI DSS バージョン 3.0 がリリースされた後、新たに脆弱性が発見されるなどの対応により、2015年4月に PCI DSS バージョン 3.1 がリリースされています。②非形式的アプローチ(Informal Approach)は、コンサルタントや組織、担当者の知識と経験、判断によって行われる方法です。リスクアセスメント及びリスク対応のプロセスは、ISO 31000:2009(JIS Q 31000:2010)との整合を考慮。情報セキュリティ方針及び情報セキュリティ目的を確立し、それらが組織の戦略的な方向性と両立することを確実にしなければなりません。脆弱性については、コンピュータシステムにおけるソフトウェアのバグ、ハードウェアやネットワークのセキュリティホールなどのほか、機密情報の管理体制が整っていないなど、人為的脆弱性も重要視されています。一つ以上の脅威によって付け込まれる可能性のある,資産又は管理策(リスクを修正する対策)の弱点。組織が情報セキュリティ対策を実施するにあたり、それが場当たり的な対策となってしまっては、それは十分な対策とはいえません。PDCAサイクルによる組織の中長期的な取り組みのもとで情報セキュリティレベルを維持し、向上を図ります。②現状評価基準(Temporal Metrics)は、脆弱性の現在の深刻度を評価する基準です。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS 現状値(Temporal Score)を算出します。ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準です。Copyright © Shinji Sasagawa All Rights Reserved.Plan フェーズにおいて、(1)組織・体制を確立し、(2)基本方針を策定し、(3)守るべき情報資産を把握、分類し、(4)その情報資産のリスクアセスメントを行い、それにより自身の情報セキュリティにおける脅威と脆弱性とリスクを見極め、(5)それに応じた導入対策(管理策)を取捨選択し、(6)対策基準を策定し、(7)対策基準の周知徹底を行なうとともに、(8)実施手順を策定します。③詳細リスク分析(Detail Risk Analysis)は、情報資産に対し、資産価値、脅威、脆弱性やセキュリティ要件を識別し、評価する方法です。ある特定のリスクをとるという情報に基づいた意思決定。リスク対応を実施せずにリスク受容となることも,又はリスク対応プロセス中にリスク受容となることもある。①リスク低減は、脆弱性に対して脅威発生の可能性を下げる情報セキュリティ対策を講じることです。ISO/IEC 27001 は、組織が ISMS を構築するための要求事項をまとめた国際規格です。 2005年に第1版が発行され、その後改訂作業が行われ2013年10月に第2版が発行されました。JIS Q 27001:2014 は、これを受けて発行されました。「近年、IT 化の進展に伴い、不正アクセスやコンピュータウイルスによる被害、及び内部不正者や外注業者による情報漏えい事件など、情報資産を脅かす要因が著しく増加しており、これらの脅威に対して適切にリスクアセスメントを実施して、企業における総合的な情報セキュリティを確保するためには、ISMS の構築・運用が必須事項となっている。」