セキュリティの確保に関する講演

   

講  演  資  料   

       

セキュリティの確保に関する講演 

 

1

1

リコー

リコー販売販売株式会社株式会社 リコーテクノシステムズ株式会社 リコーテクノシステムズ株式会社 情報セキュリティセミナー 情報セキュリティセミナー

情報セキュリティ 情報セキュリティ対策対策

第１回 東京歯科大学

試験問題作成とセキュリティの確保に関するワークショップ

◆ アジェンダアジェンダ 2

世の中の動き

セキュリティ対策への取り組み

＜第１部＞

セキュリティ実装強化策のポイント

＜第２部＞

社内実践事例 内部対策 運用管理 外部対策

3

＜

＜世の中の動き世の中の動き＞＞

4

月日 事件・事故 媒体 内容 要因 トリガー 原因 件数

4月28日総務省、個人情報漏洩でNTTドコモに行政指導 - ガイドラインに違反 − 総務省は、管理の徹底を文書により指導 − − − 24,000 4月28日NTTドコモ、個人情報漏洩の再発防止策を発表 − 代表取締役社長・中村維夫氏、表取締役副社長・石川國雄氏、

業務管理責任者を処分 − − − −

4月28日アイザワ証券、盗まれた個人情報入り書類を回収 − − − − − −

4月28日アイザワ証券、894名分の顧客リストが盗難被害に 書類 個人情報 内部 持ち出し 盗難 894

4月27日日産プリンス福岡販売、顧客情報入りノートPCを仮眠中に盗難被害 ノートＰＣ 個人情報 内部 持ち出し 盗難 710

4月27日オープンループ、937名分のスタッフ情報入りパソコンが盗難被害 ノートＰＣ 同社登録スタッフや研修参加スタッフの情報 内部 持ち出し 盗難 937

4月27日テレビ朝日の携帯サイトで個人情報流出の可能性 携帯 個人情報 外部 ＨＰ ミス 29

4月26日NTTデータ、NTT西日本の顧客情報2146件を保存したPCが盗難被害に ノートＰＣ 個人情報 内部 持ち出し 盗難 2,146

4月26日近鉄百貨店、アクセサリー売り場の顧客リストが盗難 書類 購入履歴 内部 持ち出し 盗難 210

4月25日日本郵船、採用試験受験者122名分の履歴書を紛失 書類 履歴書 内部 持ち出し 紛失 122

4月25日 北陸ガス、顧客情報31件分が記載された領収書綴りを紛失 書類 領収書綴り 内部 会社 ？ 31

4月25日ミニストップ、紛失した収納票控を回収 書類 公共料金などの収納票控 内部 郵送 ？ 63

4月22日みちのく銀行、顧客情報131万件を紛失 ＣＤ−ＲＯＭ氏名・住所・電話番号・生年月日・預金残高・貸出金残高 内部 会社 紛失 1,310,000

4月22日北陸銀行子会社、個人情報が記載された振込依頼書などを誤送付 書類 総合振込依頼書、給与振込依頼書 内部 郵送 ミス 18

4月22日ちば興銀ユーシーカードが支払依頼書を他の顧客へ誤送付 書類 個人情報 内部 郵送 ミス 7

4月21日人材派遣業のフルキャスト、車上荒らしで個人情報を紛失 ノートＰＣ 氏名、銀行口座 内部 持ち出し 盗難 162

4月21日廃棄パソコンから生徒の個人情報が漏洩 - 静岡 ＰＣ 生徒や保護者の氏名・住所・電話番号・成績 内部 破棄 盗難 6,000

4月20日トヨタ、システム開発委託先から顧客情報が流出 ノートＰＣ リースの顧客情報（9804）＋個人情報（1113） 内部 持ち出し 盗難 10,917 4月19日トヨタディーラー、個人情報入りパソコンが盗難被害 ノートＰＣ 住所・電話番号・車両情報・保険関連情報・支払情報・カード情報 内部 持ち出し 盗難 600

4月19日佐賀銀行、誤送付により個人情報を流出 書類 キャッシュカード発行依頼書 内部 郵送 ミス 4

4月15日湯沢市民の個人情報が流出 - P2Pソフト経由のウイルス感染が原因 ＰＣ 合併に関するアンケート 外部 フリーソフト ウィルス 11,255

4月15日福岡クボタ、6万件の個人情報入りパソコンが盗難 ＰＣ 購入履歴 内部 会社 盗難 66,126

4月15日認定個人情報保護団体が個人情報を漏洩 - メール送信ミスで ＰＣ 個人情報 内部 メール（３０ヶ所）ミス ？

4月15日JR北海道、定期券申込用紙を焼却処分 - 個人情報流出の可能性 書類 定期券申込購入用紙 内部 破棄 ミス 2,671

4月15日ジャスコ鳥取店、個人情報が記入された保険申込書を紛失 書類 交通事故障害保険申込書 内部 会社 紛失 138

4月14日多摩郵便局、個人情報が記載された配達業務監査用紙を紛失 書類 配達業務監査用紙 内部 持ち出し 紛失 250

4月14日茨城銀行、FAX誤送信により顧客情報を流出 書類 外国送金依頼書 内部 ＦＡＸ（１ヶ所） ミス 3

4月14日市職員が個人情報を業者へ提供 - 千葉市 書類 個人情報 内部 役所 盗難（職員）6

4月12日三重の県立高校、PC盗難で生徒の個人情報流出の可能性 ＰＣ 数学の成績データ・電話番号・進路データ 内部 学校 盗難 197

4月11日F1観戦チケット購入者の個人情報が流出した可能性 - クレジットカード情報も ＨＰ 名前・住所・電話番号・クレジットカード番号 内部 バグ ミス 29

4月8日北洋銀行、顧客情報をFAXで誤送信 書類 氏名・口座番号・送金金額 内部 ＦＡＸ（２６ヶ所） ミス ？

4月7日北海道銀行、FAX誤送信により採用試験受験者の個人情報を流出 書類 7名の履歴書・156名の面接予定表 内部 ＦＡＸ（１ヶ所） ミス 163

4月5日ホンダディーラーから個人情報が漏洩 - 投書で発覚 書類 任意保険証券控など 内部 破棄 盗難 29

4月5日リコー、個人情報入りパソコンが盗難被害 ノートＰＣ 一部では代表者名・担当者名および所属 内部 持ち出し 盗難 18,656

4月4日鳥取赤十字病院、ウイルス感染PCから患者の個人情報が流出 ノートＰＣ 患者の基本情報・病歴 外部 持ち出し ウィルス 36

情報漏洩は後をたたない 状況！ ！

４月：３２件 ５月：４９件 ６月：５９件 ７月：３０件

個人情報保護法施行後の現状 ４月：３２件（電子：１６件、書類：１６件）

政府・ 5

政府・法律法律の動向の動向と組織・団体と組織・団体への要求への要求

l政府が推進する法律・

標準

-

サイバー関連法の整備（不正アクセス防止法、個人情報保護法）

-

ＩＴ製品の評価にＩＳＯ１５４０８を導入することを発表 （経済産業省）

-

セキュリティ管理評価にＩＳＭＳ（ＩＳＯ／ＩＥＣ１７７９９準拠）を導入することを決定

l組織・に求められる要件

-

不正アクセスされないための安全措置を取る

-

個人情報の安全性・正確性・透明性を確保し、適切な目的にのみ利用する

-

セキュリティの観点から製品やシステムを適切に設計・実装する

-

セキュリティの観点から情報資産を適切に運用・管理する

l

政府が推進する国家像

-

ｅＪＡＰＡＮ構想と戦略

-

ｅＪＡＰＡＮⅠ戦略（ハード環境の整備）

-

ｅＪＡＰＮⅡ戦略（ソフト環境の整備）

官庁・民間に求められていること 6

官庁・民間に求められていること

◎技術とセキュリティマネジメントの両輪からなる 事前予防の強化（3-2-3）

○セキュリティマネジメントの促進（3-2-3-〈2〉）

・情報セキュリティ監査の実施やISMS認証取得の促進 国・地方自治体

国・地方自治体

◎国、自治体、重要インフラにおける事前予防策（3-2-1）

○国・自治体における事前予防策（3-2-1-〈1〉）

・情報セキュリティ監査の実施やISMS認証取得の促進

3年以内に実現する項目

・情報セキュリティ監査の実施、結果の 公開

・先進省庁や外郭団体おけるISMS認証 取得

民間団体・組織・個人 民間団体・組織・個人

3年以内に実現する項目

・個人情報取扱業者におけるセキュリティ監査 の実施、ISMS認証の取得

・企業情報開示の項目で監査の実施と結果 を任意記載化

3年以内に着手し実行に移す項目

・中小企業における情報セキュリティ監査 の実施、ISMS認証取得

出典：経済産業省 情報セキュリティ戦略

セキュリティのキーワード・・・

セキュリティのキーワード・・・

Ｉ Ｉ ＳＭＳ ＳＭＳ

2

7

＜

＜セキュリティ対策への取り組みセキュリティ対策への取り組み＞＞

8

何を守る何を守る

何を守る 何から守る何から守る何から守る どのように守るどのように守るどのように守る

なぜ守るなぜ守る

なぜ守る どこまで守るどこまで守るどこまで守る 組織内に存在する

あらゆる機密情報に対して

明確にする・確実に実行する 明確にする・確実に実行する

セキュリティ対策とは？

範囲・レベル 順位

対象

理由

手法

9

組織としてのスタンスを決める 組織としてのスタンスを決める

何を守るのか？

守らないとどういうことが 発生しそうか？

守るべき情報の価値は？

情報セキュリティに どれだけの投資をするか？

何を守るのか？

守らないとどういうことが 発生しそうか？

守るべき情報の価値は？

情報セキュリティに どれだけの投資をするか？

リスク分析

何から守 何から守るる？？ セキュリティ

ポリシー策定

第3者の評価

＜認定取得＞

BS7799 ＩＳＭＳ ﾌﾟﾗｲﾊﾞｼｰﾏｰｸ

（ｶﾞｲﾄﾞﾗｲﾝ ISOX5080）

セキュリティが守れているか 検査・監査・教育・運用監視 セキュリティが守れているか 検査・監査・教育・運用監視 どうやって守るか？（例) どうやって守るか？（例) アンチウイルス アンチウイルス Firewall、URLフィルタリング ＩＤＳ（不正侵入検知）

Firewall、URLフィルタリング ＩＤＳ（不正侵入検知）

Firewall ＩＤＳ（不正侵入検知）

Firewall ＩＤＳ（不正侵入検知）

ＤｏＳ攻撃回避 ＤｏＳ攻撃回避 Firewall ＩＤＳ（不正侵入検知）

Firewall ＩＤＳ（不正侵入検知）

ＶＰＮ、ワンタイムパスワード ＰＫＩ ＶＰＮ、ワンタイムパスワード ＰＫＩ 電子認証、電子透かし 暗号化 電子認証、電子透かし 暗号化 電子透かし 原本性管理 電子透かし 原本性管理 電子認証電子認証 ポリシー（方針・罰則）、教育 ポリシー（方針・罰則）、教育 電子認証、電子透かし 暗号化、アクセス制御 電子認証、電子透かし 暗号化、アクセス制御 暗号化（デスクトップ）

立ち入り禁止、持ちだし制限 暗号化（デスクトップ）

立ち入り禁止、持ちだし制限 教育・訓練、ポリシー 教育・訓練、ポリシー

セキュリティ対策セキュリティ対策

校内校内

脅 威 （例）

脅 威 （例）

校外校外

セキュリティポリシーに沿った対策

権限有り権限有り

権限無し権限無し コンピュータ

ウイルス コンピュータ

ウイルス クラッキング・

ハッキング クラッキング・

ハッキング バックドア バックドア ＤｏＳ攻撃 ＤｏＳ攻撃 踏み台踏み台 なりすまし なりすまし 盗聴盗聴 偽造偽造 ﾌﾟﾗｲﾊﾞｼｰ

侵害 ﾌﾟﾗｲﾊﾞｼｰ

侵害 ソーシャル エンジニアリング

ソーシャル エンジニアリング

情報漏洩情報漏洩 盗難盗難 無権限使用 無権限使用

最適なセキュリティ対策の進め方

Plan Do Check Action

マネジメント

具体的管理策

10

範囲は 範囲は？？

なぜセキュリティポリシーが必要か（その１）

まずウイルス対策、不正進入、Firewallなどの 対策は打ってみた。でもそれでOKなのか？

？ ^・

守るべきもの＝漠然としている 機密情報／個人情報／業務関連情報

・

何から守るのか＝把握できない 人的脅威（紙での持ち出し）

技術的脅威（電子データでの持ち出し）

・

どのように守るのか＝旬なものから プリント対策

ネットワーク対策 運用規則

？ ？

手当たり次第的な発想！

進め方がわからない！

11

レベル レベルは？は？

なぜセキュリティポリシーが必要か（その２）

いろいろなメーカーのセキュリティ対策製品を導入してきた。

でもそれでOKなのか？

？ ^・

標準インストール＝セキュリティレベル がバラバラ 生産側のセキュリティレベルが違う

？ ？

セキュリティ対策は、製品 機能に頼って いるいるだけ であって、生産側の言いな りになっていませんか？

情報を保護する 12

情報を保護する77つの方策つの方策

組織的 方策 組織的

方策

組織としての取組み方 2

2

人的方策人的方策

従業者の あり方 3

3

システム

（技術）的 方策 システム

（技術）的

方策 コンピュータ、

ネットワーク 系の方策

4

物理的方策 物理的方策 環境・機器等の

管理のあり方

5

5

運用管理的

方 策 運用管理的

方 策 情報取扱業

務運用上の 取組み

6

6

提供・委託

方 策 提供・委託

方 策 情報の提供・

業務委託のあ り方

7

7

基本的 方針・方策

基本的 方針・方策 方針策定等

1

1

経済産業省のガ イドラインに よる区分

ドキュメント内 IRUCAA@TDC : 平成17年度試験問題作成とセキュリティの確保に関するワークショップ報告書 (ページ 68-71)