「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
セキュリティに関する一般的なマネジメント・システムに対する言及。
- その他、以下が含まれる(凡そ、ISMSやITILなどと同様)。
- 組織体制
- 情報資産管理とセキュリティ対策
- インシデント管理、事業継続管理
- 監査、規格
≒ リスク・マネジメントの知識エリア
≒ リスク・マネジメントの計画プロセスのリスク対応計画以前
≒ リスク・マネジメントの計画プロセスのリスク対応計画
≒ リスク・マネジメントの実行プロセス
≒ リスク・マネジメントの監視・制御プロセス
リスクの概念 †
リスク=不確実性
投機的リスク †
(能動的リスクとも言う)
為替、株価のような、
好機と脅威(利益と損失)
の両方の可能性のあるリスク。
純粋リスク †
- 脅威(損失)のみを含むリスク。
※ 好機(利益)は含まない。
直接損失 †
間接損失 †
- タイムラグの有る間接的な損失
- 業務中断、信用失墜などの収益損失
- 賠償金、罰金などの責任損失
対応損失 †
情報リスク †
間接損失の影響 †
リスク・アセスメント †
目的 †
リスク・アセスメント ≒ リスク・マネジメントの計画プロセスなので、
- 効果的な、セキュリティ対策プランを導き出す。
- 限られた予算を有効活用して、最大限の対策効果を得る。
用語 †
リスク・レベル †
リスクの大きさ
リスク基準 †
重大性を評価する条件
リスク・アセスメント †
以下の体系(≒ リスク・マネジメントの計画プロセス)
リスクが顕在化した際の対応(対応計画に従い対応)
リスク所有者 †
オーナーがアカウンタビリティ(担当、権限)を持つ。
リスク受容 †
- リスク対応の中の受容の意思決定。
- 受容後はモニタリング対象になる。
残留リスク †
- リスク対応後も残留するリスク。
- 特定されていないリスクも含む。
- 残余リスク、保有リスクとも呼ぶ。
リスクアセスメント手法 †
ベースライン・アプローチ †
- 概要
基準やガイドラインに基づくリスク分析を行う。
- デメリット
- 大まかな分析になる。
- 主観によりバラつく。
- 質問表の品質に左右される。
非公式アプローチ †
- メリット
属人的なので分析者の能力が高ければ
高品質な分析結果になる。
- デメリット
属人的なので分析者の能力が低ければ
低品質な分析結果になる。
詳細リスク分析 †
- 概要
- ベースライン・アプローチの逆の特徴。
- 所謂、リスクの定性分析と定量分析で、
情報資産、脅威、脆弱性から分析・評価を行う。
- デメリット
- 詳細な分析になる。
- 抜けや偏りがない。
- 客観的な評価が可能。
組合せアプローチ †
- 概要
- 全体をベースライン分析で
- 重要部分を詳細リスク分析で
- メリット
- コスパの最大化
- 重要な情報資産については詳細に分析評価可能。
- デメリット
- 全体のベースラインで重要部分の誤認識が発生し得る。
- この、重要部分の判断次第で結果が大きく変わってしまう。
リスク分析評価手法 †
分析手法 †
- ツール
- リスク分析ツール
チェックリストのソフトウェア化
- 脆弱性調査ツール
ドキュメントレビュー法、現地調査法のソフトウェア化
評価手法 †
手順 †
リスク分析範囲の決定 †
ISMSの「ステップ1:適用範囲・境界の定義」のリスク版
- 適用範囲(組織, 情報システム, etc.)
- 境界定義(事業, 組織, 拠点, etc.)
- 最初は限定的に実施し、徐々に対象範囲を広げていく。
対象とする情報資産の種別の決定 †
情報資産の洗出 †
情報資産の分類 †
リスクの洗出 †
↓ ↓ ↓
# | 情報資産 | 脅威 | 脆弱性 | 想定されるリスク |
1 | ... | 設備 ▼ | ▼ 災害 | ... |
2 | ... | 技術 ◀ | ▶ 障害 | ... |
3 | ... | 管理 ▲ | ▲ 人的 | ... |
リスクの大きさの評価 †
情報資産 | 脅威 | 脆弱性 レベル | 想定されるリスク |
名称 | レベル | 内容 | レベル | 機密性 | 完全性 | 可用性 |
xxx | ・機密性:a ・完全性:b ・可用性:c | yyy | x | y | axy | bxy | cxy |
- 対応費用
- 損失資産の再購入
- 復旧に伴う人件費
- セキュリティ対策瀬品の購入費用
- リスク強度(年間損失額)
=(直接損失+間接損失+対応費用)*リスク顕在化頻度
リスク対応 †
リスク対応は「セーフガード」とも言う。
リスク対応方法の洗出 †
純粋リスク(脅威)に対する戦略には以下のモノがる。
戦略 †
- 受容
回避・低減の残留リスクの受容と、
なにもしないで受容のパターンがある。
リスク・コントロール †
- リスク分離(分割)
情報資産など影響を受ける対象の分割(≒損失軽減)
- リスク集中(結合)
情報資産など影響を受ける対象の結合(+損失予防)
※ 脆弱性に対する対応。
リスク・ファイナンシング †
リスク対応の実施 †
セキュリティ・ポリシ策定 †
概要 †
効果 †
- 費用対効果の向上
リスクに応じた適切なセキュリティ対策を施す。
基本構成 †
- ISMSの基本方針
情報セキュリティのための方針群は、
- 管理層が承認・発行し、
従業員及び外部関係者に通知すること。
- その有効性や適切性を維持するため、
定期的に、又は重大な変化が発生した場合にレビューすること。
- 対策基準
基本方針を実践(適切な情報セキュリティを確保・維持)する
遵守事項や対策基準
- 対策実施手順、規定類
情報資産の特徴を考慮した詳細な手続、手順
- ピラミッド
- 上位層:基本方針 ┬ 情報セキュリティポリシ
- 中間層:対策基準 ┘
- 下位層:対策実施手順、規定類
留意事項 †
例(...の責任者)
- 監査部門
- 法務部門
- 人事部門
- 教育部門
- 営業部門
- 事業部門
- 広報部門
外部専門家の活用 †
各種明確化 †
- 情報資産
- 適用対象者
- 目的と罰則
- 主体と表現
- 運用方法
- 情報資産
- 情報資産
- 情報資産
セキュリティの組織体制 †
ISMSの要求事項 †
A.6 情報セキュリティのための組織
A.6.1 内部組織 目的
組織内で情報セキュリティの実施及び運用に着手し,
これを統制するための管理上の枠組みを確立するため。
情報セキュリティの役割及び責任 管理策 †
A.6.1.1 情報セキュリティの役割及び責任 管理策
全ての情報セキュリティの責任を定め,割り当てなければならない。
(特に重要で責任はポリシに明記する必要がある。)
職務の分離 †
A.6.1.2 職務の分離 管理策
相反する職務及び責任範囲は,
組織の資産に対する,
認可されていない若しくは意図しない
変更又は不正使用の危険性を低減するために,
分離しなければならない。
(利益相反関係下での中立性の維持は、立場の分離によってのみ実現される。)
関係当局との連絡 †
A.6.1.3 関係当局との連絡 管理策
関係当局との適切な連絡体制を維持しなければならない。
(関係当局=インシデントがあった場合に関係する内外の組織)
専門組織との連絡 †
A.6.1.4 専門組織との連絡 管理策
情報セキュリティに関する研究会又は会議,
及び情報セキュリティの専門家による協会・団体
との適切な連絡体制を維持しなければならない。
プロジェクトマネジメントにおける情報セキュリティ †
A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ 管理策
プロジェクトの種類にかかわらず,
プロジェクトマネジメントにおいては,
情報セキュリティに取り組まなければならない。
役割の例 †
CISO(最高情報セキュリティ責任者) †
- CISO : Chief Information Security Officer
- 企業・組織内で情報セキュリティ全般を統括する担当役員。
情報セキュリティ委員会 †
- 情報セキュリティマネジメントに関する意思決定を行う。
- 関する
- 全社的な方針・規程・施策などの承認
- 不予測事態発生時の対応方法(対外的対応、罰則の適用)
情報セキュリティ委員会事務局 †
関連部門から選出された担当者が、
情報セキュリティ委員会の事務局を運営する。
情報セキュリティ推進担当会議 †
- 各部門
- の部門長から、課長やリーダー層が担当者に任命される。
- での情報セキュリティ・マネジメントを推進する。
- インシデントの
発生状況の把握
対策指示
対策状況の把握
情報管理者 †
各部門内の情報管理者
情報システム管理者 †
情報システムの管理者
- 全社システム(情報システム部門の管理責任者)
- 部門システム(各部門の管理責任者)
CSIRT †
- CSIRT : Computer Security Incident Response Team
- 組織内の情報セキュリティ問題を専門に扱う、インシデント対応チーム。
- 情報セキュリティ委員会に並立する、若しくは下位の組織。
詳細については、コチラ。
監査担当者 †
情報セキュリティの内部監査を行う。
外部の専門家 †
...。
情報資産管理とセキュリティ対策 †
情報資産管理 †
ISMSの要求 †
- 情報資産の分類
- 法的、価値、重要度、取り扱いなどで分類
- 分類(ラベル付け)に関する手順の策定と実施
- 分類体系に従った、
情報資産の取り扱い手順の策定と実施
- 雇用、契約時(貸与、返却)
- 媒体の取外し時(保管、持出可否)
- 媒体の輸送時(保護)
- 媒体の滅却時(廃棄、処分方法)
情報資産の洗出 †
- 媒体
HDD, USB, CD/DVD, 紙
DB, ファイルシステム、ストレージ
- 保管場所
自社、委託先
クライアント、サーバー、クラウド
オフィス(金庫、キャビネット、机)、倉庫
- 共有情報資産
各部門の情報管理責任者が
協議し責任範囲を決定する。
- 機密性
権限の無い者からアクセスを受けることにより...。
- 公表している情報
- 自社の業務・プライバシーへの軽微な影響
- 自社の業務・プライバシーへの重大な影響
- 顧客の業務・プライバシーへの影響(契約違反)
- 完全性(脅威の観点)
改竄、重複、欠落などの発生により...。
- 公表している情報
- 自社の業務・プライバシーへの軽微な影響
- 自社の業務・プライバシーへの重大な影響
- 顧客の業務・プライバシーへの影響(契約違反)
- 完全性(脆弱性の観点)
- 電子データ(認証・認可なし)
- 電子データ(認証・認可あり)
- 紙、ROM
- 可用性(影響度)
- 特に影響なし
- 自社の業務への軽微な影響
- 自社の業務への重大な影響
- 顧客の業務への影響(契約違反)
- 可用性(目標復旧時間(RTO)、最大許容停止時間(MTPD))
- 指定なし
- 1日以内
- 30分-数時間以内
- 30分以内
- 情報資産
- 名称
- データ項目
- 利用者・管理者
- 記録媒体
- 保管方法
- 廃棄方法
- 個人情報
- 主体属性
- 利用目的
- 利用範囲
- 取得方法と取得手段
- 利用目的・範囲の通知方法
- データの件数
- 情報システム
- システム名
- 利用者・管理者
- 設置場所
- 主用途
- システム構成
- 情報内容
- 利用形態
- 認証・認可方式
- バックアップ運用
- ログ取得方式と保存期間
- SLA(Service Level Agreement)
取り扱い方法の明確化 †
- ライフサイクル
- 取得・作成・生成
- 保存・保管・バックアップ
- 利用(閲覧・複製・加工・配布・公開・持出・送付・提供)
- 削除・廃棄・返却
- 複製
- 承認者
- 可否基準(目的・用途)
- 管理基準(管理、取り扱い)
- 持出 / 持込
- 承認者
- 可否基準(目的・用途)
- 管理基準(管理、持出/持込日、取り扱い)
環境的・物理的セキュリティ †
ISMSの要求 †
主に、セキュリティ領域、境界・区画の定義と運用。
- 物理的セキュリティ境界を定め、入退管理策によって保護する。
- 一般区画とセキュリティ区画を隣接させない。
- 持出 / 持込管理
- 資産(情報資産、機器)を許可なく持ち出さない。
- 媒体の廃棄、処分時に、データ、ライセンスソフトを確実に消去
- 脅威:自然災害、人的偶発的(事故)、人的意図的(悪意のある攻撃)
- 対策:
- 装置の保護・保守、ケーブルの保護・保守
- クリアデスク方針、クリアスクリーン方針の適用
- 無人状態の資産(情報資産、機器)には適切なセキュリティ対策を適用
- 構外の資産(情報資産、機器)には異なるセキュリティ対策を適用
- セキュリティ領域での作業に関する手順を設計し適用する。
環境的 †
災害 / 障害系
- 対策
- 専用室/ 専用区画への設置
- 空調対策
- 地震対策
- 火災対策
- 電源障害対策
- 回線障害対策
- その他対策
漏水、浸水、落雷、静電気、ノイズ、凍結
- iDC(Internet Data Center)の活用
- 防災設備(耐震 / 耐火)
- 防犯設備(入館 / 入室管理システム)
- 高信頼性の高速インターネット通信回線
- 大容量電源など、100%に近い可用性(24時間 365日)
# | 項目 | 一般 | iDC |
1 | 利用時間 | 営業日 就業時間 | 24時間 365日 |
2 | 立地条件 | 商業用地 | 周辺環境、地盤、活断層など考慮 |
3 | 耐震・免振 | 通常 | 通常+付加価値 |
4 | 床荷重(㎏/㎡) | 300 | 700 以上 |
5 | 階高(m) | 3.7-4.1 | 3.5-4.5 |
6 | 二重床(mm) | 0-500 | 500 以上 |
7 | 受電方法 | 通常 | スポットネットワーク方式 |
8 | 受電容量(VA/㎡) | 40-50 | 750 以上 |
9 | 自家発電 | 防災用、短時間 | 受電容量以上を24時間 |
10 | 無停電装置 | なし | 自家発電安定稼働まで電力供給 |
10 | 空調 | 通常 | 床吹出し、24時間 365日 |
10 | 消化設備 | スプリンクラー | ガス消火設備 |
10 | 通信回線 | 通常 | 2系統、多事業者対応 |
物理的 †
災害以外の物理系(不正行為)
- 対策
- セキュリティ・レベルに応じた、
物理区画分類 / 管理者 / 入室者の明確化
区画名 | 区画 | 管理規定の例 |
一般区画 | - | 名札の着用の運用 |
業務区画 | 一般区画と強固な隔壁により区切る | ・入室者特定、名札着用の運用。 ・常時施錠、入室記録。 ・常時入室者以外の入室は、常時入室者の立ち合い。 |
セキュリティ区画 | ・一般区画と隣接させない。 ・業務区画と強固な隔壁により区切る。 | ・入室者特定、名札着用の運用。 ・常時施錠、入退室記録、常時監視。 ・常時入室者以外の入室は、常時入室者の立ち合い。 |
- 一般的な開閉扉
・メリット:低コストで設置可能。
・デメリット:共連れ、すれ違いを防止不可能。
- アンチパスバック開閉扉
・メリット:共連れ、すれ違いを防止可能。
・デメリット:常時入室者が入退室できなくなるケースあり(業務区画に少々、不向き)。
- ゲートタイプの開閉扉
・メリット:二重扉やセンサにより共連れ、すれ違いを検知・防止可能。
・デメリット:設置にはコスト、スペースが必要。
- +警備員の配置
入退室時に日時、氏名、目的、対応者などを管理名簿に記入
または、持出 / 持込時の取り扱いルールの運用など。
- 暗証番号
・メリット:鍵の紛失がない。
・デメリット:個人を識別できない。
- ICカード
・メリット:個人識別可能、貸与が容易。
・デメリット:紛失が発生し易い。
- 生体情報
・メリット:個人識別可能、紛失が発生しない。
・デメリット:貸与が不可、登録が手間。
人的セキュリティ †
ISMSの要求 †
主に、情報セキュリティに関する、雇用・契約に対しての要求。
- 従業員の経歴などの確認
事業要求、情報分類、リスク、法令、規制、倫理に従い実施する。
- 雇用契約書に
- 情報セキュリティに関する各自の責任、組織の責任を記載する。
- 違反行為に対する正式かつ周知された懲戒手続きを備える。
- 組織方針に従った情報セキュリティの適用を要求する。
(懲戒など処置、署名)
- 職務に関する組織方針・手順についての教育・訓練をする。
- 雇用の変更・終了後の責任及び義務を定め伝達し遂行させる。
(時間外、雇用終了後の守秘責任)
対策 †
- 計画
- 計画の立案
- 教育体制の整備
- カリキュラム立案
・職務・役割(正社員以外も含む)に応じた
・新規雇用、配属 / 契約 / 職責変更時の
- 実施
- 計画の定期的 / 継続的な実施
- 実施記録と、実施効果の測定 / 分析
- 測定 / 分析の結果からカリキュラムを見直す。
- 委託先管理
- 情報セキュリティに関する能力 / 資格などの審査 / 選定する。
- 契約の際は秘密保持(NDA)や、責任範囲と対応方法を明確化する。
- 委託先の情報管理、対策実施条項などを定期的にチェックする。
クライアントPCの管理 †
分類がクライアントPCに該当する情報資産管理]
管理 †
- 利用管理のルール
- 所在、利用者、管理者の明確化
- 共有の有無(有の場合、利用者、管理者の明確化)
- 個人所有PCの有無(有の場合、可否、管理方法の明確化)
- 認証・認可関連
パスワードポリシ、ロックアウト、最小限の権限付与
- ソーシャル・エンジニアリング対策
スクリーンセーバー、覗き見防止フィルタ
- 社内持込時のネットワーク接続のルール
- 承認者
- 可否基準(目的・用途)
- 管理基準(管理、持込/持出日、取り扱い)
...ウィルス・スキャンに加え、
OA-LANのセキュリティ・レベルを満たすように設定など。
(厳しい所は、要クリーン・インストールなどとなる)
セキュリティ対策 †
- 小型化
- 持出対策((入)出力デバイスの接続制限)
- 紛失(暗号化)
- 窃盗対策(チェーンで固定、暗号化)
- 認証・認可関連
パスワードポリシ、ロックアウト、最小限の権限付与
- ソーシャル・エンジニアリング対策
スクリーンセーバー、覗き見防止フィルタ
インシデント管理 †
情報セキュリティ・インシデントは、
- 迅速かつ適切に
- 徹底的に評価・見直
- 組織全体での再発防止
ISMSの要求 †
情報セキュリティ・インシデントに関する、
- 管理層の責任、及び手順の確立。
- 脆弱性の疑いには記録と報告を要求する。
- インシデント発生前後
- 事象は適切な連絡経路を通じて速やかに報告。
- 事象をインシデントに分類するか否かを決定。
- インシデントには、文書化された手順に従って対応
- インシデントの証拠情報の特定 / 収集 / 取得 / 保存の手順を定め適用する。
- 脆弱性、インシデントを分析し、将来的な可能性 / 影響の低減に活用する。
CSIRTとSOC †
CSIRT †
- 国際連携を行うCSIRT
- JPCERT/CC
日本では一般社団法人 JPCERTなる組織があるらしい。
- CSIRT間情報連携を行うCSIRT
- ISAC
セキュリティ情報共有組織(ISAC)
業界毎に、自治体、金融、電力ISACなどがある。
- インシデント発生に備えた対応
- 最新情報取集
- 他組織と連携した情報収集
セキュリティ・ベンダ、関連機関、
業界団体(ISAC、協議会)、他のCSIRT
- インシデント・ハンドリング
インシデント発生時の対応を主導
- インシデントの検知 / 連絡受付
- 対応要否 / トリアージ(優先度付け)
- 影響範囲の特定 / 緊急処置
- 対応策と情報連絡の決定 / 実施
- インシデント収束後の対応
- 対応結果の分析 / 評価。
- 再発防止の対応を行う。
- 対応体制、手順の見直し。
SOC †
- SOC : Security Operation Center
- 企業に向けたサイバー攻撃の検出や分析を行い、
的確なアドバイスを提供する役割を持つ部門や専門組織。
- 高い専門性が要求され、かつ24時間365日の監視が
必要であることから、外部に委託されるケースが多い。
- 分析のソースは
- IDPS
- IDS(不正侵入検知システム)
- IPS(不正侵入防止システム)
- ログ
- 統合ログ管理システム
- セキュリティ情報イベント管理(SIEM)
など。
留意点 †
インシデント発生に備えた対応 †
予算確保は立ち上げプロセス的に行う。
- インシデント対応方針 / 計画(年度 / 中長期)の策定
- セキュリティ情報(脅威、脆弱性、インシデント事例)の
- 収集、ピックアップ
- 対応(分析、周知、対策(規定 / 手順))
- 外部リソースの確保(契約)
- 保険
- 監視サービス(SOC)
- インシデント対応サービス
インシデント・ハンドリング †
- インシデントの検知 / 連絡受付
- システム的な検知(SOC経由となることも)
- 人的な連絡(連絡受付窓口経由となることも)
- 対応要否 / トリアージ(優先度付け)
- 検知 / 連絡後、対応手順書に従いエスカレーションする。
- トリアージもあらかじめ定めた判断基準によって行う。
- 影響範囲の特定 / 緊急処置
- 被害拡大回避の処置を指示
- インシデント範囲の特定
- 暫定復旧処置(応急処置)
- 対応内容については記録に残す。
- 復旧のための対応策を検討
- 対応に必要なリソース確保
- 対応の実施、対応内容の周知
- 情報連絡(影響度、状況、対応、収束)
- 関係者(経営者、顧客、株主、監督官庁、捜査機関)
- デジタルフォレンジックの専門家
- インシデントについて広報(公表)
インシデント収束後の対応 †
- 改善策の検討 / 決定
- 対応方法、対応手順
- リソースの確保・整備
対応体制、IDPS
ITILでのインシデント・マネジメント †
ITILでは、あくまで、サービス(事業活動)
- ...への影響を最小限に抑えて
- ...を迅速に復旧させること
に主眼を置く。
事業継続管理 †
ISMSの要求事項 †
組織は、困難(危機、災害)な状況における、
情報セキュリティ及び、情報セキュリティ・マネジメントの
- プロセス、手順、管理策を
- 確立して文書化する。
- また、それを、実施・維持する。
- 定期的に、管理策を検証する。
- 情報処理施設は、可用性の要求事項を
満たすのに十分な冗長性を持って導入する。
BCM、BCP †
BCM †
- 事業継続
- 管理(BCM : Business Continuity Management)
- マネジメント・システム(BCMS : Business Continuity Management System)
- 内容
- BCPの策定のためのマネジメント
- レジリエンス : 「回復力」「復元力」「弾力性」
- BCI(Business Continuity Institute)が
- 実践的ガイドラインの発行などを通じ、
- 普及・啓蒙の活動を行っている。
- 日本には、BCI Japan allianceが設立されている。
- 規格
- 英国規格 BS : 25999
- ISO 22301 : 2012 / JIS Q 22301 : 2013
- 認証
一般財団法人日本情報経済社会推進協会(JIPDEC)によるBCMS適合性評価制度
BCP †
- 事業継続
- 計画(BCP : Business continuity planning)
- と復旧計画(BCRP : Business Continuity & Resiliency Planning)
- 災害などの緊急事態が発生したときに、
- 企業が損害を最小限に抑え、
- 重要度の高い事業・サービスの
継続や復旧を図るための計画。
要点 †
BCM †
- BCM文化を根付かせる。
- 定期的なBCPの訓練や試験を行う。
- BCPの有効性を検証する。
BCP †
- ビジネス・インパクト分析(BIA : Business Impact Analysis)をする。
- ボトルネックとなる業務プロセスやリスクを把握する。
(事業内容や環境に変化があった場合は、再度、BIAを実施しBCPを見直す)
- 目標復旧レベル(RLO)
業務の復旧のレベル(災害発生時からの経過時間の関数)
- 目標復旧時間(RTO)
復旧に要する時間(当該時間の経過時点で、RLOのレベルを上回る事)
- 最大許容停止時間(MTPD)
許容される停止時間(目標レベルの達成が、RLOの時間を下回る事)
- 目標復旧時点(RPO)
(ロールフォワードする)時点で、バックアップを取る頻度の目安となる。
監査 †
情報セキュリティ監査 †
必要性 †
- 監査人のスキルや監査結果の妥当性評価の手段が無い。
効果 †
- 情報セキュリティ・マネジメントの確立
(マネジメント=PDCA、監査はC(Check)に相当する)
制度 †
- 情報セキュリティ監査の普及によるセキュリティ水準向上を目的とする。
- 2002/9より、経産省主管の監査研究会によって検討・研究され、
- 2003/4より、情報セキュリティ監査制度が開始された。
- 以下の管理基準、監査基準、企業台帳が公開されている。
から構成されている。
- 情報セキュリティ監査基準
監査業務の品質確保と、有効かつ効果的な監査の実施を目的とする、
内部監査、外部監査に適用可能な、下記基準から構成される制度。
- 実施基準
計画立案、手続きの適用方法等の枠組みの規定
- 報告基準
監査報告の留意事項と、監査報告書の記載方式
- 情報セキュリティ監査企業台帳
- 監査を行う事業者(監査主体)を公開している。
- 国内の情報セキュリティ監査の浸透を図ることを目的としている。
- レベル
情報セキュリティ監査制度から始めてレベルを高め、
下記のレベル4に到達したら、ISMS適合性評価制度で、
ISMS認証を取得を目指すのが良いとされる。
- ポリシ無し
- ポリシの策定のみ(実行されていない)
- ポリシの策定と行動
- マネジメント・サイクルが回っている。
- サイクルの見直しが定期的に行われてる。
- サイクルが有機的に結合している。
システム監査 †
沿革 †
- 以下の目的で古くから整備されてきた。
「情報システムの信頼性,安全性及び効率性について,
監査対象から独立かつ客観的立場のシステム監査人が
総合的に点検及び評価などを行う一連の活動」
- 沿革
- 1985 : システム監査基準 初版
- 2004 : システム管理基準+システム監査 に改訂
- 2018 : 以下との整合性を取る見直し(改訂)
- JIS Q 38500 : ITガバナンスに関する規格
- JIS Q 22301 : 事業継続に関する規格
- COBIT : 情報技術 (IT) 管理についてのベストプラクティス集
※ 同様に、監査企業台帳が公開されている。
目的 †
「組織体の情報システムにまつわる
リスクに対するコントロールが
リスクアセスメントに基づいて
適切に整備・運用されているかを、
独立かつ専門的な立場のシステム監査人が
検証または評価することによって、
保証あるいは助言を行い
ITガバナンスの実現に寄与すること」
骨子 †
- ガバナンス
経営陣がステークホルダーのニーズに基づき、
組織の価値を高めるために、実践する行動。
- IT(情報システム)
情報システムのあるべき姿を実現するための
戦略策定と実行に必要となる組織能力。
- EDMモデル
- 対象 : ITの企画 / 開発 / 保守 / 運用のマネジメントとプロセス
- 経営陣の行動 : E(Evaluate : 評価)、D(Direct : 指示)、M(Monitor : 監視)
- 責任
役割に責任を負う人は、役割の遂行に必要な権限を持つ。
- 戦略
現在、将来の能力を考慮して策定し、ニーズを満たす必要がある。
- 取得
効果、リスク、資源バランスの取れた意思決定に基づく必要がある。
- パフォーマンス
戦略と同様。こちらは、機能面ではなく性能面。
- 適合
関連するすべての法規 / 法律に適合する必要がある。
- 人間行動
パフォーマンスの維持に関わる人間の行動を尊重。
- 管理
- 外部サービス
- 事業継続管理
- 人的資源管理
- ドキュメント管理
規格 †
リスク・マネジメント †
- ISO/IEC 31000 : 2018, JIS 31000 : 2010
PDCAによる継続的改善のフレームワーク
リスク・アセスメント †
- ISO/IEC 31010 : 2009, JIS 31010 : 2012
リスク・アセスメントの体系的技法の
選択及び適用に関する手引きを提供する。
リスク分析評価手法 †
JRAM / JRMS2010 †
日本の一般財団法人JIPDECが開発した
リスク分析手法、リスクマネジメントシステム
- JRAM : JIPDEC Risk Analysis Method 2002
リスク分析手法
- JRMS2010 : JIPDEC Risk Management System
リスクマネジメントシステム
1992に発行、ISO31000:2009を取り入れ、
成熟度モデル、ギャップ分析の手法を導入。
CRAMM †
- CRAMM:CCTA Risk Analysis Management Methodology
- 英国のCCTAが開発したリスク分析手法&リスクマネジメント・システム
参考 †