- 追加された行はこの色です。
- 削除された行はこの色です。
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-[[戻る>SC:試験]]
*目次 [#l2eb6a8e]
#contents
*概要 [#d8240f57]
プロセスは、[[PMPのリスク・マネジメント>PMP:共通#oa93a230]]とほぼ同じ。
**[[リスク・アセスメント>#hedeb6f2]] [#t79bbe09]
≒ [[リスク・マネジメントの計画プロセス>PMP:計画 - リスク]]のリスク対応計画以前
**[[リスク対応方法の洗出>#w88dcbde]] [#i53c6e3b]
≒ [[リスク・マネジメントの計画プロセス>PMP:計画 - リスク]]のリスク対応計画
**[[リスク対応の実施>#ta0a0ad8]] [#x366c3e9]
≒ [[リスク・マネジメントの実行プロセス>PMP:実行 - その他#x72fb5f4]]
**リスク及び[[リスク対応>#w3d2c423]]方法の見直し [#s4b01378]
≒ [[リスク・マネジメントの監視・制御プロセス>PMP:監視・制御 - その他#h78528af]]
*リスクの概念 [#j0f35c00]
リスク=不確実性
**投機的リスク [#ab5d3944]
(能動的リスクとも言う)
為替、株価のような、
>好機と脅威(利益と損失)
の両方の可能性のあるリスク。
**純粋リスク [#i7ee38be]
-脅威(損失)のみを含むリスク。~
※ 好機(利益)は含まない。
-純粋リスクによる損失の種類
***直接損失 [#f4a228ec]
-タイムラグの無い直接的な損失
-資産損失、人的損失
***間接損失 [#f42ded56]
-タイムラグの有る間接的な損失
-業務中断、信用失墜などの収益損失
-賠償金、罰金などの責任損失
***対応損失 [#v8207836]
-後処理に掛るコスト等
-復旧や再発防止の費用
**情報リスク [#w94b0194]
-情報セキュリティに関するリスク。
-[[投機的リスク>#ab5d3944]]、[[純粋リスク>#i7ee38be]]のうちの[[純粋リスク>#i7ee38be]]が対象。
***[[構成要素>SC:脆弱性#l9ba6f71]] [#rf01f619]
-情報資産
-脅威
-脆弱性
***間接損失の影響 [#zee8add4]
-予測し難い。
-損失が大きい。
*リスク・アセスメント [#hedeb6f2]
**目的 [#m2ba43dc]
リスク・アセスメント ≒ [[リスク・マネジメントの計画プロセス>PMP:計画 - リスク]]なので、
-効果的な、セキュリティ対策プランを導き出す。
-限られた予算を有効活用して、最大限の対策効果を得る。
**用語 [#i34cef6d]
***リスク・レベル [#a41e9a60]
リスクの大きさ
***リスク基準 [#f9a7056c]
重大性を評価する条件
***リスク・アセスメント [#f8e08b0c]
以下の体系(≒ [[リスク・マネジメントの計画プロセス>PMP:計画 - リスク]])
-[[リスク特定>PMP:計画 - リスク#ib52a894]]
-[[リスク分析(定性分析)>PMP:計画 - リスク#i6cab6a9]]
-[[リスク評価(定量分析)>PMP:計画 - リスク#t0cdf89c]]
***[[リスク対応>#w3d2c423]] [#p0d9b03f]
リスクが顕在化した際の対応([[対応計画>PMP:計画 - リスク#x654cb60]]に従い対応)
***リスク所有者 [#x1205a90]
オーナーがアカウンタビリティ(担当、権限)を持つ。
***リスク受容 [#k42a2d09]
-[[リスク対応>#p0d9b03f]]の中の受容の意思決定。
-受容後はモニタリング対象になる。
***残留リスク [#m98daaae]
-[[リスク対応>#p0d9b03f]]後も残留するリスク。
-特定されていないリスクも含む。
-残余リスク、保有リスクとも呼ぶ。
**リスクアセスメント手法 [#d6ddb138]
***ベースライン・アプローチ [#l376e9b8]
-概要~
基準やガイドラインに基づくリスク分析を行う。
-メリット
--特別なスキルは不要
--時間やコストが少なくて済む。
-デメリット
--大まかな分析になる。
--主観によりバラつく。
--質問表の品質に左右される。
***非公式アプローチ [#f0671322]
-概要~
知識と経験に基づくリスク分析を行う。
-メリット~
属人的なので分析者の能力が高ければ~
高品質な分析結果になる。
-デメリット~
属人的なので分析者の能力が低ければ~
低品質な分析結果になる。
***詳細リスク分析 [#w18bac8f]
-概要
--ベースライン・アプローチの逆の特徴。
--所謂、リスクの[[定性分析>PMP:計画 - リスク#i6cab6a9]]と[[定量分析>PMP:計画 - リスク#t0cdf89c]]で、~
情報資産、脅威、脆弱性から分析・評価を行う。
-メリット
--特別なスキルが必要
--時間やコストが必要
-デメリット
--詳細な分析になる。
--抜けや偏りがない。
--客観的な評価が可能。
***組合せアプローチ [#y8952d60]
-概要
--全体をベースライン分析で
--重要部分を詳細リスク分析で
-メリット
--コスパの最大化
--重要な情報資産については詳細に分析評価可能。
-デメリット
--全体のベースラインで重要部分の誤認識が発生し得る。
--この、重要部分の判断次第で結果が大きく変わってしまう。
**リスク分析評価手法 [#r5212fb6]
***分析手法 [#q37676f2]
-対人
--アンケート法
--チェックリスト法
--インタビュー法
-対物
--ドキュメントレビュー法
--現地調査法
-ツール
--リスク分析ツール~
チェックリストのソフトウェア化
--脆弱性調査ツール~
ドキュメントレビュー法、現地調査法のソフトウェア化
***評価手法 [#k67e978f]
-[[定性分析>PMP:計画 - リスク#i6cab6a9]]
-[[定量分析>PMP:計画 - リスク#t0cdf89c]]
**手順 [#pf773295]
***リスク分析範囲の決定 [#v1ccd254]
ISMSの「ステップ1:適用範囲・境界の定義」のリスク版
-適用範囲(組織, 情報システム, etc.)
-境界定義(事業, 組織, 拠点, etc.)
-最初は限定的に実施し、徐々に対象範囲を広げていく。
***対象とする情報資産の種別の決定 [#t9b954be]
-電子化された情報
-紙媒体も含めた情報資産
***情報資産の洗出 [#na50d7cc]
***情報資産の分類 [#vfa12674]
***[[脅威>SC:脅威]]の洗出 [#je0c007b]
***[[脆弱性>SC:脆弱性]]の洗出 [#t286487a]
***リスクの洗出 [#fba1e92d]
-リスクの洗出し。
--[[構成要素>#rf01f619]]
---情報資産
---脅威
---脆弱性
>↓ ↓ ↓
--具体的なリスクの影響
-以下の様な表を使用する。
|#|情報資産|脅威|脆弱性|想定されるリスク|h
|1|...|設備 ▼|▼ 災害|...|
|2|...|技術 ◀|▶ 障害|...|
|3|...|管理 ▲|▲ 人的|...|
***リスクの大きさの評価 [#qa68de0b]
-定性~
以下の様な表を使用する。
|>|情報資産|>|脅威|脆弱性&br;レベル|>|>|想定されるリスク|h
|名称|レベル|内容|レベル|~|機密性|完全性|可用性|h
|xxx|・機密性:a&br;・完全性:b&br;・可用性:c|yyy|x|y|axy|bxy|cxy|
-定量
--直接損失
---資産損失
--間接損失
---賠償金
---機会損失
---信用低下による損失
--対応費用
---損失資産の再購入
---復旧に伴う人件費
---セキュリティ対策瀬品の購入費用
--リスク顕在化頻度(回/年)
--リスク強度(年間損失額)~
=(直接損失+間接損失+対応費用)*リスク顕在化頻度
*リスク対応 [#w3d2c423]
**リスク対応方法の洗出 [#w88dcbde]
[[純粋リスク>#i7ee38be]](脅威)に対する[[戦略>PMP:計画 - リスク#f24c0508]]には以下のモノがる。
***戦略 [#j793240c]
-回避
--[[リスク・コントロール>#eb27cd77]]
--[[リスク・ファイナンシング>#z01ad014]]
-転嫁~
特に、保険と契約が代表的
--[[リスク・コントロール>#eb27cd77]]
--[[リスク・ファイナンシング>#z01ad014]]
-低減~
回避しきれない場合は低減という対策になる。
--[[リスク・コントロール>#eb27cd77]]
--[[リスク・ファイナンシング>#z01ad014]]
-受容~
回避・低減の[[残留リスク>#m98daaae]]の受容と、~
なにもしないで受容のパターンがある。
-エスカレーション
***リスク・コントロール [#eb27cd77]
-対応手法
--回避~
根本原因の排除
--低減
---損失予防~
発生頻度を減らす対応
---損失軽減~
発生時の影響を小さくする対応
---リスク分離(分割)~
情報資産など影響を受ける対象の分割(≒損失軽減)
---リスク集中(結合)~
情報資産など影響を受ける対象の結合(+損失予防)
--転嫁(移転)~
特に、保険と契約が代表的
-具体例
--物理的対策
--技術的対策
--運用管理的対策
>※ 脆弱性に対する対応。
***リスク・ファイナンシング [#z01ad014]
-[[評価した損失や対応の諸費用>#qa68de0b]]を確保しておく。
-また、転嫁のための保険もリスク・ファイナンシングに含まれる。
**リスク対応の実施 [#ta0a0ad8]
*セキュリティ・ポリシ策定 [#c98f4517]
**概要 [#w8cde7fc]
***効果 [#yb9f1b32]
-セキュリティレベルの向上
-費用対効果の向上~
リスクに応じた適切なセキュリティ対策を施す。
-対外的な信頼性の向上~
組織の信頼性の向上
***基本構成 [#ud890f87]
-基本方針
--目的、対象範囲、維持管理体制、義務、罰則
--ISMSの基本方針~
情報セキュリティのための方針群は、
---管理層が承認・発行し、~
従業員及び外部関係者に通知すること。
---その有効性や適切性を維持するため、~
定期的に、又は重大な変化が発生した場合にレビューすること。
--対策基準~
基本方針を実践(適切な情報セキュリティを確保・維持)する~
遵守事項や対策基準
--対策実施手順、規定類~
情報資産の特徴を考慮した詳細な手続、手順
-ピラミッド
--基本方針 ┬情報セキュリティポリシ
--対策基準 ┘
--対策実施手順、規定類
**留意事項 [#a73c2386]
***[[組織体制>#ed4fa7c1]] [#k7277507]
例(...の責任者)
-情報システム部門
--システム部門
--ネットワーク部門
-監査部門
-法務部門
-人事部門
-教育部門
-営業部門
-事業部門
-広報部門
***外部専門家の活用 [#d7f59915]
-弁護士
-サイバーセキュリティ
-情報セキュリティの
--コンサルタント(指揮統制)
---規格、制度
---リスク・アセスメント
---内部統制
--アナリスト(分析実務)
---最新動向
---他社の実情
***各種明確化 [#wfc44bff]
-情報資産
-適用対象者
-目的と罰則
-主体と表現
-運用方法
-情報資産
-情報資産
-情報資産
*セキュリティの組織体制 [#ed4fa7c1]
**ISMSの要求事項 [#h2444129]
A.6 情報セキュリティのための組織~
A.6.1 内部組織 目的~
組織内で情報セキュリティの実施及び運用に着手し,~
これを統制するための管理上の枠組みを確立するため。
***情報セキュリティの役割及び責任 管理策 [#s0c39e5a]
A.6.1.1 情報セキュリティの役割及び責任 管理策~
>全ての情報セキュリティの責任を定め,割り当てなければならない。
(&color(red){特に重要で責任はポリシに明記する必要がある。};)
***職務の分離 [#t069db17]
A.6.1.2 職務の分離 管理策~
>相反する職務及び責任範囲は,
組織の資産に対する,~
認可されていない若しくは意図しない~
変更又は不正使用の危険性を低減するために,~
分離しなければならない。
(&color(red){利益相反関係下での中立性の維持は、立場の分離によってのみ実現される。};)
***関係当局との連絡 [#cf09f6af]
A.6.1.3 関係当局との連絡 管理策~
>関係当局との適切な連絡体制を維持しなければならない。
(&color(red){関係当局=インシデントがあった場合に関係する内外の組織};)
***専門組織との連絡 [#rf532dea]
A.6.1.4 専門組織との連絡 管理策~
>情報セキュリティに関する研究会又は会議,~
及び情報セキュリティの専門家による協会・団体~
との適切な連絡体制を維持しなければならない。
***プロジェクトマネジメントにおける情報セキュリティ [#w5d15dca]
A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ 管理策~
>プロジェクトの種類にかかわらず,~
プロジェクトマネジメントにおいては,~
情報セキュリティに取り組まなければならない。
**役割の例 [#o1437d89]
***CISO(最高情報セキュリティ責任者) [#a1a35df7]
-CISO : Chief Information Security Officer
-企業・組織内で情報セキュリティ全般を統括する担当役員。
***情報セキュリティ委員会 [#y8e57ea4]
-CISOが委員長を務め、委員は各部門長が務める。
-情報セキュリティマネジメントに関する意思決定を行う。
--対する経営資源(予算・人材)の割り当て。
--関する
---全社的な方針・規程・施策などの承認
---不予測事態発生時の対応方法(対外的対応、罰則の適用)
***情報セキュリティ委員会事務局 [#h52bcaa5]
[[関連部門>#k7277507]]から選出された担当者が、~
[[情報セキュリティ委員会>#y8e57ea4]]の事務局を運営する。
***情報セキュリティ推進担当会議 [#icd3ad2f]
-[[情報セキュリティ委員会>#y8e57ea4]]の下位組織。
-各部門
--の部門長から、課長やリーダー層が担当者に任命される。
--での情報セキュリティ・マネジメントを推進する。
---書類の作成~
対策実施手順書~
申請書、管理簿
---教育の実施
---インシデントの~
発生状況の把握~
対策指示~
対策状況の把握~
***情報管理者 [#fc505359]
各部門内の情報管理者
-情報の重要度や取り扱い方法(保管場所、廃棄方法、持出可否)の判断。
-その他、[[情報セキュリティ推進担当>#icd3ad2f]]業務と重複。
***情報システム管理者 [#oc8ecbf3]
情報システムの管理者
-全社システム(情報システム部門の管理責任者)
-部門システム(各部門の管理責任者)
***CSIRT [#i01255c2]
-CSIRT : Computer Security Incident Response Team
-組織内の情報セキュリティ問題を専門に扱う、インシデント対応チーム。
-[[情報セキュリティ委員会>#y8e57ea4]]に並立する、若しくは下位の組織。
***監査担当者 [#r2bf24d0]
情報セキュリティの[[内部監査>高度午前 - サービス・マネジメント - システム監査#u281ba85]]を行う。
***外部の専門家 [#e6e0de4a]
...。
*セキュリティ(情報資産の管理) [#w6fb1de2]
*情報資産管理とセキュリティ対策 [#w6fb1de2]
**情報資産 [#dc9894f1]
**情報資産管理 [#dc9894f1]
***ISMSの要求 [#d93ab6b2]
-情報資産の特定、台帳の作成、台帳による管理
-各種資産の利用許容範囲の規則の文書化。
--情報資産
--情報処理施設
--その他、関連する資産
-情報資産の分類
--法的、価値、重要度、取り扱いなどで分類
--分類(ラベル付け)に関する手順の策定と実施
-分類体系に従った、~
情報資産の取り扱い手順の策定と実施
---雇用、契約時(貸与、返却)
---媒体の取外し時(保管、持出可否)
---媒体の輸送時(保護)
---媒体の滅却時(廃棄、処分方法)
***情報資産の洗出 [#qfaa6695]
-洗出方法
--台帳を使用して部門で洗い出し作業を実施
--留意点
---媒体~
HDD, USB, CD/DVD, 紙~
DB, ファイルシステム、ストレージ
---保管場所~
自社、委託先~
クライアント、サーバー、クラウド~
オフィス(金庫、キャビネット、机)、倉庫
---共有情報資産~
各部門の情報管理責任者が~
協議し責任範囲を決定する。
-分類方法
--機密性~
権限の無い者からアクセスを受けることにより...。
---公表している情報
---自社の業務・プライバシーへの軽微な影響
---自社の業務・プライバシーへの重大な影響
---顧客の業務・プライバシーへの影響(契約違反)
--完全性(脅威の観点)~
改竄、重複、欠落などの発生により...。
---公表している情報
---自社の業務・プライバシーへの軽微な影響
---自社の業務・プライバシーへの重大な影響
---顧客の業務・プライバシーへの影響(契約違反)
--完全性(脆弱性の観点)~
---電子データ(認証・認可なし)
---電子データ(認証・認可あり)
---紙、ROM
--可用性(影響度)
---特に影響なし
---自社の業務への軽微な影響
---自社の業務への重大な影響
---顧客の業務への影響(契約違反)
--可用性(目標復旧時間(RTO)、最大許容停止時間(MTPD))
---指定なし
---1日以内
---30分-数時間以内
---30分以内
-台帳の項目例
--情報資産
---名称
---データ項目
---利用者・管理者
---記録媒体
---保管方法
---廃棄方法
--個人情報
---主体属性
---利用目的
---利用範囲
---取得方法と取得手段
---利用目的・範囲の通知方法
---データの件数
--情報システム
---システム名
---利用者・管理者
---設置場所
---主用途
---システム構成
---情報内容
---利用形態
---認証・認可方式
---バックアップ運用
---ログ取得方式と保存期間
---SLA(Service Level Agreement)
-ラベルの項目例
--単体~
電子ファイル、紙媒体
---重要度
---開示範囲
--複数~
電子媒体、バインダ
---タイトル
---重要度
---保管期間
***取り扱い方法の明確化 [#iebfb742]
-ライフサイクル
--取得・作成・生成
--保存・保管・バックアップ
--利用(閲覧・複製・加工・配布・公開・持出・送付・提供)
--削除・廃棄・返却
**クライアントPC [#i425d4f4]
-取り扱い方法(ルール)
***管理 [#h7512968]
--保管~
場所・方法
***セキュリティ対策 [#p8de46e8]
--複製
---承認者
---可否基準(目的・用途)
---管理基準(管理、取り扱い)
**物理的・環境的セキュリティ [#yed3c0a4]
--持出 / 持込
---承認者
---可否基準(目的・用途)
---管理基準(管理、持出/持込日、取り扱い)
***物理的 [#fc669131]
--廃棄~
方法・手順
--個人情報~
利用目的・範囲の遵守
**環境的・物理的セキュリティ [#yed3c0a4]
***ISMSの要求 [#ma51495c]
***環境的 [#m811d885]
災害 / 障害系
-脅威
--[[災害>SC:脅威#gfa8965c]]
--[[障害(HW/SW以外)>SC:脅威#b1d210aa]]
-対策
--専用室/ 専用区画への設置~
---空調対策
---地震対策
---火災対策
---電源障害対策
---回線障害対策
---その他対策~
漏水、浸水、落雷、静電気、ノイズ、凍結
--iDC(Internet Data Center)の活用
---防災設備(耐震 / 耐火)
---防犯設備(入館 / 入室管理システム)
---高信頼性の高速インターネット通信回線
---大容量電源など、100%に近い可用性(24時間 365日)
|#|項目|一般|iDC|h
|1|利用時間|営業日 就業時間|24時間 365日|
|2|立地条件|商業用地|周辺環境、地盤、活断層など考慮|
|3|耐震・免振|通常|通常+付加価値|
|4|床荷重(㎏/㎡)|300|700 以上|
|5|階高(m)|3.7-4.1|3.5-4.5|
|6|二重床(mm)|0-500|500 以上|
|7|受電方法|通常|スポットネットワーク方式|
|8|受電容量(VA/㎡)|40-50|750 以上|
|9|自家発電|防災用、短時間|受電容量以上を24時間|
|10|無停電装置|なし|自家発電安定稼働まで電力供給|
|10|空調|通常|床吹出し、24時間 365日|
|10|消化設備|スプリンクラー|ガス消火設備|
|10|通信回線|通常|2系統、多事業者対応|
***物理的 [#fc669131]
災害以外の物理系(不正行為)
-脅威~
[[人的(意図的)>SC:脅威#za2cfe84]]
-対策
--セキュリティ・レベルに応じた、~
物理区画分類 / 管理者 / 入室者の明確化
--各区画の入退館管理方法の決定
--入退館管理システムの導入
--適切な区画に情報資産を設置・保管
**人的セキュリティ [#tb47f3b6]
**クライアントPCの管理 [#i425d4f4]
分類がクライアントPCに該当する[[情報資産管理>#dc9894f1]]]
***管理 [#h7512968]
-必要性~
クライアントPCの情報セキュリティ上の脅威が増えたため、~
[[クライアントPCのセキュリティ対策>#p8de46e8]]の重要性が増した。
-対策
--情報セキュリティ・ポリシの策定と徹底
--[[情報資産の基本的なルール>#iebfb742]]
--利用管理のルール
---所在、利用者、管理者の明確化
---共有の有無(有の場合、利用者、管理者の明確化)
---個人所有PCの有無(有の場合、可否、管理方法の明確化)
--社外持出時のルール
---物理的保護
---認証デバイスの持運び
---認証・認可関連~
パスワードポリシ、ロックアウト、最小限の権限付与
---ソーシャル・エンジニアリング対策~
スクリーンセーバー、覗き見防止フィルタ
--社内持込時のネットワーク接続のルール
---承認者
---可否基準(目的・用途)
---管理基準(管理、持込/持出日、取り扱い)~
...ウィルス・スキャンに加え、~
OA-LANのセキュリティ・レベルを満たすように設定など。~
(厳しい所は、要クリーン・インストールなどとなる)
--インシデント発生時の対応
---紛失・窃盗
---ウィルス感染
***セキュリティ対策 [#p8de46e8]
-必要性
--小型化
---持出
---紛失
---窃盗
--マルウェア
---セキュリティ対策
---持出/持込(ネットワーク)
-対策
--小型化
---持出対策((入)出力デバイスの接続制限)
---紛失(暗号化)
---窃盗対策(チェーンで固定、暗号化)
--マルウェア~
[[エンドポイント(クライアントOS)対策>SC:脅威#b8dfbc98]]
--その他
---認証・認可関連~
パスワードポリシ、ロックアウト、最小限の権限付与
---ソーシャル・エンジニアリング対策~
スクリーンセーバー、覗き見防止フィルタ
*インシデント管理 [#g9bcb661]
情報セキュリティ・インシデント
*監査 [#l4abc1ee]
**セキュリティ監査 [#mde57cd4]
**システム監査 [#odc95470]
*規格 [#ca4a047f]
**リスク・マネジメント [#f53c6f9c]
-ISO/IEC 31000 : 2018, JIS 31000 : 2010~
PDCAによる継続的改善のフレームワーク
**リスク・アセスメント [#rb0b795e]
-ISO/IEC 31010 : 2009, JIS 31010 : 2012~
リスク・アセスメントの体系的技法の~
選択及び適用に関する手引きを提供する。
**リスク分析評価手法 [#r5212fb6]
***JRAM / JRMS2010 [#i6a2bf2a]
日本の一般財団法人JIPDECが開発した~
リスク分析手法、リスクマネジメントシステム
-JRAM : JIPDEC Risk Analysis Method 2002~
リスク分析手法
-JRMS2010 : JIPDEC Risk Management System~
リスクマネジメントシステム~
1992に発行、ISO31000:2009を取り入れ、~
成熟度モデル、ギャップ分析の手法を導入。
***CRAMM [#b4d290d2]
-CRAMM:CCTA Risk Analysis Management Methodology
-英国のCCTAが開発したリスク分析手法&リスクマネジメント・システム