Microsoft PowerPoint - クラウドサービスセキュリティセミナー

クラウドサービス利用のための

情報セキュリティセミナー

あなたにも、こんなメールがくる！？

CopyrightⓒIso-mi. All rights reserved 2

会社の上司が、部

下に対して送付した

メールを装っていま

す。※「×××」ファ

イルとは、その会社

の重要な機密情報

を意味しています。

情報セキュリティの３要素

１．機密性

CopyrightⓒIso-mi. All rights reserved 3

２．完全性

３．可用性

情報セキュリティとは？

情報セキュリティとは、

○○である。

経産省が示したガイドライン

経済産業者は、クラウドサー ビスを安全に安心して利用 するためにガイドラインを策 定した。本ガイドラインは、ク ラウド利用者が、クラウド サービス利用の際に、情報 セキュリティ対策の観点から 活用することを企図した。 本ガイドラインは、情報セ キュリティマネジメントの国際 規格（_{ISO/IEC27002:2005）を} ベースに策定した。 参照：2011年4月1日経済産業省のHPより

ISOとは？

仕組みの規格

・

ISO9001「品質ﾏﾈｼﾞﾒﾝﾄの国際規格」

・

ISO14001 「環境ﾏﾈｼﾞﾒﾝﾄの国際規格」

・

ISO27001「情報ｾｷｭﾘﾃｨﾏﾈｼﾞﾒﾝﾄの国

際規格」

ＩＳＯ：国際標準化機構

（本部：ジュネーブ）

(International Organization for Standardization)

・

_{1947年に設立され、現在は加盟国162ｶ国あり、国際標準化を推進する非}

政府組織。公共部門と民間部門の橋渡しを行う役割。

・

規格は任意規格で強制（規制）ではない。

ＩＳＯは、各国独自の規格（たとえば、日本ではＪＩＳ規格） とは違い、世界共通の規格です。

物の規格

・「写真ﾌｨﾙﾑ感度」「ﾈｼﾞの形

状」「ｸﾚｼﾞｯﾄｶｰﾄﾞの寸法」「ﾀｲ

ﾔ｣｢非常燈の出口のﾏｰｸ 」、等

ISOの審査制度

ISO（国際標準化機構）

非営利組織

認定機関_(日JAB) 企 業 審査機関 認定機関_(英UKAS) 認定機関_(米ANAB) 審査機関 企 業 審査機関 企 業 認証 登録 認証 登録 認証 登録 申請 申請 申請 審査 審査 審査 ※認定機関は各国１機関（日本では非営利法人の_{JAB）。どの認定機関、どの審査機} 関を経てもよい。 ISOの審査機関は、民間、公的、非営利組織を含め、62機関ある。企 業はどの審査機関を選んでもよい。 認定機関とISOとの関係 は直接はない。ISOは規 格を作成し、認定機関 はその規格の認定認証 活動をするという関係 審査機関は認 定機関から認 証を受ける必要 がある 認証 登録

ISO/IEC 27002とは？

CopyrightⓒIso-mi. All rights reserved 8 ISO/IEC27002（JIS Q 27002） 情報セキュリティマネジメントの実践のための規範 1.適用範囲 2.用語及び定義 3.規格の構成 4.リスクアセスメント及びリスク対応 5.情報セキュリティ基本方針 6.情報セキュリティのための組織 7.資産の管理 8.人的資源のセキュリティ 9.物理的及び環境的セキュリティ 10.通信及び運用管理 11.アクセス制御 12.情報システムの取得、開発及び保守 13.情報セキュリティインシデントの管理 14.事業継続管理 15.順守 ISO/IEC27001（JIS Q 27001） 情報ｾｷｭﾘﾃｨﾏﾈｼﾞﾒﾝﾄｼｽﾃﾑ－要求事項 1.適用範囲 2.引用規格 3.用語及び定義 4.情報ｾｷｭﾘﾃｨﾏﾈｼﾞﾒﾝﾄｼｽﾃﾑ 5.経営陣の責任 6.ISMS内部監査 7.ISMSのマネジメントレビュー 8.ISMSの改善 付属書Ａ 管理目的及び管理策

具体的なガイドラインの中身

CopyrightⓒIso-mi. All rights reserved 9

・組織的管理事項

・技術的管理事項

物理的及び環境的セキュ リティ 入退出管理、施設（事務 所など）、装置の設置な どのセキュリティについ て規定 通信及び運用の管理 情報処理システムの管理・ 運用を安全に実施するため、 操作手順書の整備、運用の 変更管理、セキュリティ問 題管理、不正ソフトウェア 対策、バックアップ、媒体 の取扱い、監査ログの取得 などについて規定 アクセス制御 情報へのアクセス制御、 利用者のアクセス管理、 特権管理、ネットワー クにおけるアクセス制 御などについて規定 情報システムの調達、開 発及び保守 セキュリティを考慮した 調達、開発、運用のため、 シ ス テ ム へ の セ キ ュ リ ティ要件や業務プログラ ムに対するセキュリティ 要件情報の暗号による管 理策などについて規定 資産の管理 組織の資産を保護するため の資産目録や資産（情報） 分類について規定 人的資源のセキュリティ 人的問題によるﾘｽｸを軽 減するため、業務責任、 採用時の審査、採用条件、 教育などについて規定 情報セキュリティ事件・事 故のマネジメント 事件・事故に対し、効果的 な取組みを直ちにかつ確実 に実施するために、その報 告や管理について規定 事業継続管理 情報システムの重大な故 障又は災害などにおける 事業継続管理について規 定 順守(コンプライアンス) 知的所有権、記録の保管、 個人情報保護など法的要 求事項への適合について 規定 セキュリティ基本方針 経営者による組織横断的 なセキュリティ基本方針 の発行、及び支援につい て規定 情報セキュリティのため の組織 ・内部組織対応 責任権限の割り当て、秘 密保持契約の手順、他組 織との情報交換方法につ いて規定 ・外部組織対応 顧客対応におけるセキュ リティ、第三者との契約 についての規定

・改善策の実施 ・是正、予防の実施 ・改善目標の達成 ・ﾘｽｸ対応計画の策定、 実施 ・教育訓練 ・運用管理 ・経営資源の管理 ・事件・事故の検出、対応 ・運用監視 ・ISMSの定期的な見直し ・ﾘｽｸの見直し ・内部監査実施 ・ﾏﾈｼﾞﾒﾝﾄﾚﾋﾞｭｰ実施

ISO/IEC27001の概要

・基本方針 ・ﾘｽｸｱｾｽﾒﾝﾄの実施 ・管理策の選択 ・残留ﾘｽｸの承認 ・_{ISMS導入運用許可}

①Ｐｌａｎ

(ISMSの

確立）

②

Do

③

Check

④

Act

クラウド利用者が行うべきこと

１．情報セキュリティの仕組みを整備すること

２．クラウド利用者のみでは行うことができない

管理策（対応策）を認識し、クラウド事業者

に対して情報を求めること（要求及び期待）

ガイド ライン 要求事項及び期待 運営管理された情報ｾｷｭﾘﾃｨ

CopyrightⓒIso-mi. All rights reserved 11

ガイドラインが求める事項の全体図

• ＩＳＭＳの監 視及びレ ビュー • ISMSの維持 及び改善 • ISMSの 導入及 び運用 • ISMSの 確立 Ｐｌａｎ Do Check Act Ｐｌａｎ Do Check Act 管理と責 任の変化 の検討 リスクア セスメン ト 組織のリ スク受容 レベルと の比較 リスク受 容レベ ル JISQ27002 などから 選択 管理策 の選択 クラウド利 用者と事 業者双方 による管理 策の実施 責任の 明確化 クラウド利用者 クラウド事業者 利用者、 顧客、 取引先 要求事項 及び期待 運営管理さ れた情報ｾ ｷｭﾘﾃｨ 運営管理さ れた情報ｾ ｷｭﾘﾃｨ 要求事項 及び期待

CopyrightⓒIso-mi. All rights reserved 12

ガイドラインの具体的な中身①

管理策（

5.1.1 情報セキュリティ基本方針文書）

情報セキュリティ基本方針文書は、経営陣によって承認され、全従業員及

び関連する外部関係者に公表し、通知することが望ましい。

クラウド利用者のための実施の手引

クラウド利用者は、情報セキュリティ基本方針にクラウドサービスを利用し

ている旨を記載する必要はないが、クラウドサービスを利用している場合

には、自らの基本方針とクラウド事業者の基本方針を比較し、その差異に

ついて検討することが望ましい。クラウド利用者は、クラウド事業者が適切

な情報セキュリティ基本方針に反しない管理を行っていることを確認し、そ

の旨を経営陣（又は情報セキュリティ委員会）に報告することが望ましい。

クラウド事業者の実施が望まれる事項

クラウド事業者は、情報セキュリティ基本方針をクラウド利用者に明示する

ことが望ましい。

ガイドラインの具体的な中身②

管理策（

9.1.5 セキュリティを保つべき領域での作業）

セキュリティを保つべき領域での作業に関する物理的な保護及び指針を

設計し、適用することが望ましい。

クラウド利用者のための実施の手引

クラウド利用者は，クラウドサービスを利用する場合に、セキュリティを保

つべき領域が拡大しないか確認し、セキュリティを保つべき領域が拡大す

る場合は、作業に関する物理的な保護及び指針を設計し、適用することが

望ましい。

クラウド事業者の実施が望まれる事項

クラウド事業者は、クラウドサービスによって、クラウド利用者の利用環境

を拡大させるような機能が存在する場合は、その機能を開示することが望

ましい（例 モバイルコンピューティングからの利用が可能になる、など）

ガイドラインの具体的な中身③

管理策（

7.1.1 資産目録）

すべての資産を明確に識別し、また、重要な資産すべての目録を作成し、

維持することが望ましい。

クラウド利用者のための実施の手引

クラウド利用者は、資産目録の管理場所の項目にクラウドサービス名・ク

ラウド事業者名を追加することが望ましい。

クラウド事業者の実施が望まれる事項

クラウド事業者は、クラウドコンピューティング環境にあるクラウド利用者の

資産に関する資産目録の一覧が取得できるインタフェースをクラウド利用

者に提供することが望ましい。

リスクアセスメント及びリスク対応

リスク対応（リスクの低減、回避、移転、保有）

2.管理責任 者を決定 1.情報の分 類を決定 4. 情報資産 台帳へ記入 3.資産価値 を決定

STEP1 情報資産目録(台帳)の作成

※リスク算定後の対応 2.脅威の 特定 1.情報資産 のｸﾞﾙｰﾌﾟ化 4.リスクの 算定 3.ぜい弱性 の評価

STEP2 リスクアセスメントの実施

情報資産の分類を決定

情報資産の分類 具体的な資産例 紙情報 経営資料、人事資料、開発計画、顧客情報等 電子データ 顧客ﾃﾞｰﾀ、経営ﾃﾞｰﾀ、上記の電子情報等 ハードウェア資産 サーバ、PC、ルータ、ファクシミリ、ネットワーク機器、電 源設備等 ソフトウェア資産 市販ソフト、業務用ソフト、グループウェア等

資産洗い出しの目的は、適切なセキュリ

ティ対策を決めることで、詳細な資産目録

を作成することではない！

情報資産の価値評価①

資産 価値 評価基準 情報の機密性喪失による 影響_{(機密レベル)} 情報の完全性喪失 による影響 情報システムの可用性 喪失による影響 1 影響は小さい（公開可能） 影響は小さい １日程度の停止が許容さ れる 2 影響は大きい（社外秘） 影響は大きい １時間程度の停止が許 容される 3 影響は重大（関係社外秘） 影響は重大 99.9％の利用が要求され る

情報に関しては機密性、システムやハードウェアに関

しては可用性を重点に評価するとよい！

情報資産の価値評価②

資産価値の評価項目が多ければ、正確に算定でき

るとは限らない

資産価値２ 資産価値３ 資産価値４ 資産価値１ 資産価値５ 特別企業機密 顧客情報 関係者外秘 社外秘 公開資料 極秘 関係者外秘 社外秘 資産価値３ 資産価値２ 資産価値１ 別に取扱い規定がある場合には適 用外としても可 管理対象にする必要はない

情報資産目録

(台帳)の作成

情報資産のｸﾞﾙｰﾌﾟ化

例）

資産価値

3

：契約書、顧客情報、社員関連情報、等

→

経営関連情報

資産価値

2

：営業関連資料、運営管理資料、各種ﾏﾆｭｱﾙ、等

→

業務関連情報

資産価値

1

：購入関連資料、請求書、総務関連資料、等

→

総務関連情報

１．資産価値に応じてｸﾞﾙｰﾌﾟ化

２．保管形態や取扱いに応じてｸﾞﾙｰﾌﾟ化

リスクの想定

リスクの想定は、対象とする情報資産が、機密性

(許

可されたものだけがアクセスできるか

)、完全性(完全

及び正確であるか

)、可用性(必要な時、必要な人が使

えるか

)が失われたらどういう状態かを考えてみること

ここをリス クとして 想定する 情報の 漏えい 情報の 改ざん ｼｽﾃﾑ停止、 情報の紛失

例：顧客データ

機密性 が失わ れたら 完全性 が失わ れたら 可用性が 失われたら

脅威の特定

脅威の分類 具体的な脅威例 人為的意図的脅威（攻撃） 不正アクセス、不正ソフトウェア、利用者の意図的違反、 権限の乱用、機器の盗難、通信の盗聴、サービス妨害 攻撃 人為的偶発的脅威 操作ミス、設定ミス、保守ミス、媒体の紛失、情報取扱 い上の不注意 技術的脅威 機器の故障・誤動作、ソフトウェアのバグ、情報システ ムへの過負荷、能力・容量の低下、停電、空調の停止、 通信サービスの停止 環境的脅威 地震、洪水、火災、広域事故、気候、温湿度、電磁放 射 参考：_{ISMSユーザーガイド-リスクマネジメント編、ISO/IEC27005付属書C}

ぜい弱性の特定

ぜい弱性の分類 具体的なぜい弱性の例 ハードウェア 不十分な受入れ試験・保守・管理、廃棄時の注意欠如 ソフトウェア 不十分な試験、不十分なアクセス権・パスワード管理、 手順書の不備、複雑な利用者インターフェース、公知 のソフトウェア欠陥、不要サービスの実行可能 ネットワーク 保護されていない通信回線、送受信の識別・認証の欠 如、単一障害点のある構成、不適切なネットワーク管 理 組織、要員 次における不備または欠如 教育訓練、利用者管理、情報取扱い手順、インシデン ト管理、第三者との契約等 サイト 入退室管理の不備、災害対策の不備等 参考：_{ISMSユーザーガイド-リスクマネジメント編、ISO/IEC27005付属書C}

脅威の評価

脅威の レベル 定義 脅威の発生頻度（※自社を基準として） 1 脅威が小 発生の可能性が小さい 2 脅威が中 発生の可能性がある 3 脅威が大 発生の可能性が大きい

※たとえば、不正アクセスの発生が、今までな

いとすれば、発生の可能性が小さい、脅威は

小さいと考える。（但し、状況が以前と変わって

いる場合はそれを考慮すること）

ぜい弱性の評価

ぜい弱性 のレベル 定義 自社におけるセキュリティ対策の実施状況 1 ぜい弱性が小 適切な管理策が講じられており、問題が発生し にくい 2 ぜい弱性が中 管理策は講じられているが、脅威によっては問 題が発生しやすい。改善の余地がある 3 ぜい弱性が大 管理策が講じられておらず、問題が発生しやす い

評価は、実施している既存の管理策及び実施

予定の管理策を考慮する

リスクの算定

脅威の レベル 1 2 3 ぜい弱性の レベル 1 2 3 1 2 3 1 2 3 資産 価値 1 3 4 5 4 5 6 5 6 7 2 4 5 6 5 6 7 6 7 8 3 5 6 7 6 7 8 7 8 9

リスク算定（ﾘｽｸﾚﾍﾞﾙ）

= 資産価値＋脅威のﾚﾍﾞﾙ＋ぜい弱性のﾚﾍﾞﾙ

リスク対応が必要（リスク値７以上とした場合）

リスク対応

リ ス ク の 発 生 可 能 性

リスク低減

(セキュリティ対策を講じることにより、脅 威発生の可能性を下げること）

リスク

保有

リスク移転

(リスクを他社などに 移すこと₎

リスク回避

(リスクのある状況から 撤退すること） リスク発生の際の損害度 低 高 小 大

具体的なﾘｽｸｱｾｽﾒﾝﾄの記入例

ISOマネジメント研究所

所長：人見隆之

〒

279-0026

千葉県浦安市弁天

1-21-8-204

TEL:047-354-5145 FAX:047-355-6507

E-mail:[email protected]

http://www.iso-mi.com

連絡先：

ご静聴

ありがとうございました！