「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>SC:試験]] *目次 [#l2eb6a8e] #contents *概要 [#d8240f57] プロセスは、[[PMPのリスク・マネジメント>PMP:共通#oa93a230]]とほぼ同じ。 **[[リスク・アセスメント>#hedeb6f2]] [#t79bbe09] ≒ [[リスク・マネジメントの計画プロセス>PMP:計画 - リスク]]のリスク対応計画以前 **[[リスク対応方法の洗出>#w88dcbde]] [#i53c6e3b] ≒ [[リスク・マネジメントの計画プロセス>PMP:計画 - リスク]]のリスク対応計画 **[[リスク対応の実施>#ta0a0ad8]] [#x366c3e9] ≒ [[リスク・マネジメントの実行プロセス>PMP:実行 - その他#x72fb5f4]] **リスク及び[[リスク対応>#w3d2c423]]方法の見直し [#s4b01378] ≒ [[リスク・マネジメントの監視・制御プロセス>PMP:監視・制御 - その他#h78528af]] *リスクの概念 [#j0f35c00] リスク=不確実性 **投機的リスク [#ab5d3944] (能動的リスクとも言う) 為替、株価のような、 >好機と脅威(利益と損失) の両方の可能性のあるリスク。 **純粋リスク [#i7ee38be] -脅威(損失)のみを含むリスク。~ ※ 好機(利益)は含まない。 -純粋リスクによる損失の種類 ***直接損失 [#f4a228ec] -タイムラグの無い直接的な損失 -資産損失、人的損失 ***間接損失 [#f42ded56] -タイムラグの有る間接的な損失 -業務中断、信用失墜などの収益損失 -賠償金、罰金などの責任損失 ***対応損失 [#v8207836] -後処理に掛るコスト等 -復旧や再発防止の費用 **情報リスク [#w94b0194] -情報セキュリティに関するリスク。 -[[投機的リスク>#ab5d3944]]、[[純粋リスク>#i7ee38be]]のうちの[[純粋リスク>#i7ee38be]]が対象。 ***[[構成要素>SC:脆弱性#l9ba6f71]] [#rf01f619] -情報資産 -脅威 -脆弱性 ***間接損失の影響 [#zee8add4] -予測し難い。 -損失が大きい。 *リスク・アセスメント [#hedeb6f2] **目的 [#m2ba43dc] リスク・アセスメント ≒ [[リスク・マネジメントの計画プロセス>PMP:計画 - リスク]]なので、 -効果的な、セキュリティ対策プランを導き出す。 -限られた予算を有効活用して、最大限の対策効果を得る。 **用語 [#i34cef6d] ***リスク・レベル [#a41e9a60] リスクの大きさ ***リスク基準 [#f9a7056c] 重大性を評価する条件 ***リスク・アセスメント [#f8e08b0c] 以下の体系(≒ [[リスク・マネジメントの計画プロセス>PMP:計画 - リスク]]) -[[リスク特定>PMP:計画 - リスク#ib52a894]] -[[リスク分析(定性分析)>PMP:計画 - リスク#i6cab6a9]] -[[リスク評価(定量分析)>PMP:計画 - リスク#t0cdf89c]] ***[[リスク対応>#w3d2c423]] [#p0d9b03f] リスクが顕在化した際の対応([[対応計画>PMP:計画 - リスク#x654cb60]]に従い対応) ***リスク所有者 [#x1205a90] オーナーがアカウンタビリティ(担当、権限)を持つ。 ***リスク受容 [#k42a2d09] -[[リスク対応>#p0d9b03f]]の中の受容の意思決定。 -受容後はモニタリング対象になる。 ***残留リスク [#m98daaae] -[[リスク対応>#p0d9b03f]]後も残留するリスク。 -特定されていないリスクも含む。 -残余リスク、保有リスクとも呼ぶ。 **リスクアセスメント手法 [#d6ddb138] ***ベースライン・アプローチ [#l376e9b8] -概要~ 基準やガイドラインに基づくリスク分析を行う。 -メリット --特別なスキルは不要 --時間やコストが少なくて済む。 -デメリット --大まかな分析になる。 --主観によりバラつく。 --質問表の品質に左右される。 ***非公式アプローチ [#f0671322] -概要~ 知識と経験に基づくリスク分析を行う。 -メリット~ 属人的なので分析者の能力が高ければ~ 高品質な分析結果になる。 -デメリット~ 属人的なので分析者の能力が低ければ~ 低品質な分析結果になる。 ***詳細リスク分析 [#w18bac8f] -概要 --ベースライン・アプローチの逆の特徴。 --所謂、リスクの[[定性分析>PMP:計画 - リスク#i6cab6a9]]と[[定量分析>PMP:計画 - リスク#t0cdf89c]]で、~ 情報資産、脅威、脆弱性から分析・評価を行う。 -メリット --特別なスキルが必要 --時間やコストが必要 -デメリット --詳細な分析になる。 --抜けや偏りがない。 --客観的な評価が可能。 ***組合せアプローチ [#y8952d60] -概要 --全体をベースライン分析で --重要部分を詳細リスク分析で -メリット --コスパの最大化 --重要な情報資産については詳細に分析評価可能。 -デメリット --全体のベースラインで重要部分の誤認識が発生し得る。 --この、重要部分の判断次第で結果が大きく変わってしまう。 **リスク分析評価手法 [#r5212fb6] ***分析手法 [#q37676f2] -対人 --アンケート法 --チェックリスト法 --インタビュー法 -対物 --ドキュメントレビュー法 --現地調査法 -ツール --リスク分析ツール~ チェックリストのソフトウェア化 --脆弱性調査ツール~ ドキュメントレビュー法、現地調査法のソフトウェア化 ***評価手法 [#k67e978f] -[[定性分析>PMP:計画 - リスク#i6cab6a9]] -[[定量分析>PMP:計画 - リスク#t0cdf89c]] **手順 [#pf773295] ***リスク分析範囲の決定 [#v1ccd254] ISMSの「ステップ1:適用範囲・境界の定義」のリスク版 -適用範囲(組織, 情報システム, etc.) -境界定義(事業, 組織, 拠点, etc.) -最初は限定的に実施し、徐々に対象範囲を広げていく。 ***対象とする情報資産の種別の決定 [#t9b954be] -電子化された情報 -紙媒体も含めた情報資産 ***情報資産の洗出 [#na50d7cc] ***情報資産の分類 [#vfa12674] ***[[脅威>SC:脅威]]の洗出 [#je0c007b] ***[[脆弱性>SC:脆弱性]]の洗出 [#t286487a] ***リスクの洗出 [#fba1e92d] -リスクの洗出し。 --[[構成要素>#rf01f619]] ---情報資産 ---脅威 ---脆弱性 >↓ ↓ ↓ --具体的なリスクの影響 -以下の様な表を使用する。 |#|情報資産|脅威|脆弱性|想定されるリスク|h |1|...|設備 ▼|▼ 災害|...| |2|...|技術 ◀|▶ 障害|...| |3|...|管理 ▲|▲ 人的|...| ***リスクの大きさの評価 [#qa68de0b] -定性~ 以下の様な表を使用する。 |>|情報資産|>|脅威|脆弱性&br;レベル|>|>|想定されるリスク|h |名称|レベル|内容|レベル|~|機密性|完全性|可用性|h |xxx|・機密性:a&br;・完全性:b&br;・可用性:c|yyy|x|y|axy|bxy|cxy| -定量 --直接損失 ---資産損失 --間接損失 ---賠償金 ---機会損失 ---信用低下による損失 --対応費用 ---損失資産の再購入 ---復旧に伴う人件費 ---セキュリティ対策瀬品の購入費用 --リスク顕在化頻度(回/年) --リスク強度(年間損失額)~ =(直接損失+間接損失+対応費用)*リスク顕在化頻度 *リスク対応 [#w3d2c423] **リスク対応方法の洗出 [#w88dcbde] [[純粋リスク>#i7ee38be]](脅威)に対する[[戦略>PMP:計画 - リスク#f24c0508]]には以下のモノがる。 ***戦略 [#j793240c] -回避 --[[リスク・コントロール>#eb27cd77]] --[[リスク・ファイナンシング>#z01ad014]] -転嫁~ 特に、保険と契約が代表的 --[[リスク・コントロール>#eb27cd77]] --[[リスク・ファイナンシング>#z01ad014]] -低減~ 回避しきれない場合は低減という対策になる。 --[[リスク・コントロール>#eb27cd77]] --[[リスク・ファイナンシング>#z01ad014]] -受容~ 回避・低減の[[残留リスク>#m98daaae]]の受容と、~ なにもしないで受容のパターンがある。 -エスカレーション ***リスク・コントロール [#eb27cd77] -対応手法 --回避~ 根本原因の排除 --低減 ---損失予防~ 発生頻度を減らす対応 ---損失軽減~ 発生時の影響を小さくする対応 ---リスク分離(分割)~ 情報資産など影響を受ける対象の分割(≒損失軽減) ---リスク集中(結合)~ 情報資産など影響を受ける対象の結合(+損失予防) --転嫁(移転)~ 特に、保険と契約が代表的 -具体例 --物理的対策 --技術的対策 --運用管理的対策 >※ 脆弱性に対する対応。 ***リスク・ファイナンシング [#z01ad014] -[[評価した損失や対応の諸費用>#qa68de0b]]を確保しておく。 -また、転嫁のための保険もリスク・ファイナンシングに含まれる。 **リスク対応の実施 [#ta0a0ad8] *セキュリティ・ポリシ策定 [#c98f4517] **概要 [#w8cde7fc] ***効果 [#yb9f1b32] -セキュリティレベルの向上 -費用対効果の向上~ リスクに応じた適切なセキュリティ対策を施す。 -対外的な信頼性の向上~ 組織の信頼性の向上 ***基本構成 [#ud890f87] -基本方針 --目的、対象範囲、維持管理体制、義務、罰則 --ISMSの基本方針~ 情報セキュリティのための方針群は、 ---管理層が承認・発行し、~ 従業員及び外部関係者に通知すること。 ---その有効性や適切性を維持するため、~ 定期的に、又は重大な変化が発生した場合にレビューすること。 --対策基準~ 基本方針を実践(適切な情報セキュリティを確保・維持)する~ 遵守事項や対策基準 --対策実施手順、規定類~ 情報資産の特徴を考慮した詳細な手続、手順 -ピラミッド --基本方針 ┬情報セキュリティポリシ --対策基準 ┘ --対策実施手順、規定類 **留意事項 [#a73c2386] ***[[組織体制>#ed4fa7c1]] [#k7277507] 例(...の責任者) -情報システム部門 --システム部門 --ネットワーク部門 -監査部門 -法務部門 -人事部門 -教育部門 -営業部門 -事業部門 -広報部門 ***外部専門家の活用 [#d7f59915] -弁護士 -サイバーセキュリティ -情報セキュリティの --コンサルタント(指揮統制) ---規格、制度 ---リスク・アセスメント ---内部統制 --アナリスト(分析実務) ---最新動向 ---他社の実情 ***各種明確化 [#wfc44bff] -情報資産 -適用対象者 -目的と罰則 -主体と表現 -運用方法 -情報資産 -情報資産 -情報資産 *セキュリティの組織体制 [#ed4fa7c1] **ISMSの要求事項 [#h2444129] A.6 情報セキュリティのための組織~ A.6.1 内部組織 目的~ 組織内で情報セキュリティの実施及び運用に着手し,~ これを統制するための管理上の枠組みを確立するため。 ***情報セキュリティの役割及び責任 管理策 [#s0c39e5a] A.6.1.1 情報セキュリティの役割及び責任 管理策~ >全ての情報セキュリティの責任を定め,割り当てなければならない。 (&color(red){特に重要で責任はポリシに明記する必要がある。};) ***職務の分離 [#t069db17] A.6.1.2 職務の分離 管理策~ >相反する職務及び責任範囲は, 組織の資産に対する,~ 認可されていない若しくは意図しない~ 変更又は不正使用の危険性を低減するために,~ 分離しなければならない。 (&color(red){利益相反関係下での中立性の維持は、立場の分離によってのみ実現される。};) ***関係当局との連絡 [#cf09f6af] A.6.1.3 関係当局との連絡 管理策~ >関係当局との適切な連絡体制を維持しなければならない。 (&color(red){関係当局=インシデントがあった場合に関係する内外の組織};) ***専門組織との連絡 [#rf532dea] A.6.1.4 専門組織との連絡 管理策~ >情報セキュリティに関する研究会又は会議,~ 及び情報セキュリティの専門家による協会・団体~ との適切な連絡体制を維持しなければならない。 ***プロジェクトマネジメントにおける情報セキュリティ [#w5d15dca] A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ 管理策~ >プロジェクトの種類にかかわらず,~ プロジェクトマネジメントにおいては,~ 情報セキュリティに取り組まなければならない。 **役割の例 [#o1437d89] ***CISO(最高情報セキュリティ責任者) [#a1a35df7] -CISO : Chief Information Security Officer -企業・組織内で情報セキュリティ全般を統括する担当役員。 ***情報セキュリティ委員会 [#y8e57ea4] -CISOが委員長を務め、委員は各部門長が務める。 -情報セキュリティマネジメントに関する意思決定を行う。 --対する経営資源(予算・人材)の割り当て。 --関する ---全社的な方針・規程・施策などの承認 ---不予測事態発生時の対応方法(対外的対応、罰則の適用) ***情報セキュリティ委員会事務局 [#h52bcaa5] [[関連部門>#k7277507]]から選出された担当者が、~ [[情報セキュリティ委員会>#y8e57ea4]]の事務局を運営する。 ***情報セキュリティ推進担当会議 [#icd3ad2f] -[[情報セキュリティ委員会>#y8e57ea4]]の下位組織。 -各部門 --の部門長から、課長やリーダー層が担当者に任命される。 --での情報セキュリティ・マネジメントを推進する。 ---書類の作成~ 対策実施手順書~ 申請書、管理簿 ---教育の実施 ---インシデントの~ 発生状況の把握~ 対策指示~ 対策状況の把握~ ***情報管理者 [#fc505359] 各部門内の情報管理者 -情報の重要度や取り扱い方法(保管場所、廃棄方法、持出可否)の判断。 -その他、[[情報セキュリティ推進担当>#icd3ad2f]]業務と重複。 ***情報システム管理者 [#oc8ecbf3] 情報システムの管理者 -全社システム(情報システム部門の管理責任者) -部門システム(各部門の管理責任者) ***CSIRT [#i01255c2] -CSIRT : Computer Security Incident Response Team -組織内の情報セキュリティ問題を専門に扱う、インシデント対応チーム。 -[[情報セキュリティ委員会>#y8e57ea4]]に並立する、若しくは下位の組織。 詳細については、[[コチラ>#j484fdb2]]。 ***監査担当者 [#r2bf24d0] 情報セキュリティの[[内部監査>高度午前 - サービス・マネジメント - システム監査#u281ba85]]を行う。 ***外部の専門家 [#e6e0de4a] ...。 *情報資産管理とセキュリティ対策 [#w6fb1de2] **情報資産管理 [#dc9894f1] ***ISMSの要求 [#d93ab6b2] -情報資産の特定、台帳の作成、台帳による管理 -各種資産の利用許容範囲の規則の文書化。 --情報資産 --情報処理施設 --その他、関連する資産 -情報資産の分類 --法的、価値、重要度、取り扱いなどで分類 --分類(ラベル付け)に関する手順の策定と実施 -分類体系に従った、~ 情報資産の取り扱い手順の策定と実施 --雇用、契約時(貸与、返却) --媒体の取外し時(保管、持出可否) --媒体の輸送時(保護) --媒体の滅却時(廃棄、処分方法) ***情報資産の洗出 [#qfaa6695] -洗出方法 --台帳を使用して部門で洗い出し作業を実施 --留意点 ---媒体~ HDD, USB, CD/DVD, 紙~ DB, ファイルシステム、ストレージ ---保管場所~ 自社、委託先~ クライアント、サーバー、クラウド~ オフィス(金庫、キャビネット、机)、倉庫 ---共有情報資産~ 各部門の情報管理責任者が~ 協議し責任範囲を決定する。 -分類方法 --機密性~ 権限の無い者からアクセスを受けることにより...。 ---公表している情報 ---自社の業務・プライバシーへの軽微な影響 ---自社の業務・プライバシーへの重大な影響 ---顧客の業務・プライバシーへの影響(契約違反) --完全性(脅威の観点)~ 改竄、重複、欠落などの発生により...。 ---公表している情報 ---自社の業務・プライバシーへの軽微な影響 ---自社の業務・プライバシーへの重大な影響 ---顧客の業務・プライバシーへの影響(契約違反) --完全性(脆弱性の観点)~ ---電子データ(認証・認可なし) ---電子データ(認証・認可あり) ---紙、ROM --可用性(影響度) ---特に影響なし ---自社の業務への軽微な影響 ---自社の業務への重大な影響 ---顧客の業務への影響(契約違反) --可用性(目標復旧時間(RTO)、最大許容停止時間(MTPD)) ---指定なし ---1日以内 ---30分-数時間以内 ---30分以内 -台帳の項目例 --情報資産 ---名称 ---データ項目 ---利用者・管理者 ---記録媒体 ---保管方法 ---廃棄方法 --個人情報 ---主体属性 ---利用目的 ---利用範囲 ---取得方法と取得手段 ---利用目的・範囲の通知方法 ---データの件数 --情報システム ---システム名 ---利用者・管理者 ---設置場所 ---主用途 ---システム構成 ---情報内容 ---利用形態 ---認証・認可方式 ---バックアップ運用 ---ログ取得方式と保存期間 ---SLA(Service Level Agreement) -ラベルの項目例 --単体~ 電子ファイル、紙媒体 ---重要度 ---開示範囲 --複数~ 電子媒体、バインダ ---タイトル ---重要度 ---保管期間 ***取り扱い方法の明確化 [#iebfb742] -ライフサイクル --取得・作成・生成 --保存・保管・バックアップ --利用(閲覧・複製・加工・配布・公開・持出・送付・提供) --削除・廃棄・返却 -取り扱い方法(ルール) --保管~ 場所・方法 --複製 ---承認者 ---可否基準(目的・用途) ---管理基準(管理、取り扱い) --持出 / 持込 ---承認者 ---可否基準(目的・用途) ---管理基準(管理、持出/持込日、取り扱い) --廃棄~ 方法・手順 --個人情報~ 利用目的・範囲の遵守 **環境的・物理的セキュリティ [#yed3c0a4] ***ISMSの要求 [#ma51495c] 主に、セキュリティ領域、境界・区画の定義と運用。 -物理的セキュリティ境界を定め、入退管理策によって保護する。 --一般区画とセキュリティ区画を隣接させない。 --持出 / 持込管理 ---資産(情報資産、機器)を許可なく持ち出さない。 ---媒体の廃棄、処分時に、データ、ライセンスソフトを確実に消去 -物理的セキュリティ設計によって保護 --対象:施設、オフィス、部屋 --脅威:自然災害、人的偶発的(事故)、人的意図的(悪意のある攻撃) --対策: ---装置の保護・保守、ケーブルの保護・保守 ---クリアデスク方針、クリアスクリーン方針の適用 ---無人状態の資産(情報資産、機器)には適切なセキュリティ対策を適用 ---構外の資産(情報資産、機器)には異なるセキュリティ対策を適用 -セキュリティ領域での作業に関する手順を設計し適用する。 ***環境的 [#m811d885] 災害 / 障害系 -脅威 --[[災害>SC:脅威#gfa8965c]] --[[障害(HW/SW以外)>SC:脅威#b1d210aa]] -対策 --専用室/ 専用区画への設置~ ---空調対策 ---地震対策 ---火災対策 ---電源障害対策 ---回線障害対策 ---その他対策~ 漏水、浸水、落雷、静電気、ノイズ、凍結 --iDC(Internet Data Center)の活用 ---防災設備(耐震 / 耐火) ---防犯設備(入館 / 入室管理システム) ---高信頼性の高速インターネット通信回線 ---大容量電源など、100%に近い可用性(24時間 365日) |#|項目|一般|iDC|h |1|利用時間|営業日 就業時間|24時間 365日| |2|立地条件|商業用地|周辺環境、地盤、活断層など考慮| |3|耐震・免振|通常|通常+付加価値| |4|床荷重(㎏/㎡)|300|700 以上| |5|階高(m)|3.7-4.1|3.5-4.5| |6|二重床(mm)|0-500|500 以上| |7|受電方法|通常|スポットネットワーク方式| |8|受電容量(VA/㎡)|40-50|750 以上| |9|自家発電|防災用、短時間|受電容量以上を24時間| |10|無停電装置|なし|自家発電安定稼働まで電力供給| |10|空調|通常|床吹出し、24時間 365日| |10|消化設備|スプリンクラー|ガス消火設備| |10|通信回線|通常|2系統、多事業者対応| ***物理的 [#fc669131] 災害以外の物理系(不正行為) -脅威~ [[人的(意図的)>SC:脅威#za2cfe84]] -対策 --セキュリティ・レベルに応じた、~ 物理区画分類 / 管理者 / 入室者の明確化 |区画名|区画|管理規定の例|h |一般区画|-|名札の着用の運用| |業務区画|一般区画と強固な隔壁により区切る|・入室者特定、名札着用の運用。&br;・常時施錠、入室記録。&br;・常時入室者以外の入室は、常時入室者の立ち合い。| |セキュリティ区画|・一般区画と隣接させない。&br;・業務区画と強固な隔壁により区切る。|・入室者特定、名札着用の運用。&br;・常時施錠、入退室記録、常時監視。&br;・常時入室者以外の入室は、常時入室者の立ち合い。| --各区画の入退館管理方法の決定 ---一般的な開閉扉~ ・メリット:低コストで設置可能。~ ・デメリット:共連れ、すれ違いを防止不可能。 ---アンチパスバック開閉扉~ ・メリット:共連れ、すれ違いを防止可能。~ ・デメリット:常時入室者が入退室できなくなるケースあり(業務区画に少々、不向き)。 ---ゲートタイプの開閉扉~ ・メリット:二重扉やセンサにより共連れ、すれ違いを検知・防止可能。~ ・デメリット:設置にはコスト、スペースが必要。 ---+警備員の配置~ 入退室時に日時、氏名、目的、対応者などを管理名簿に記入~ または、持出 / 持込時の取り扱いルールの運用など。 --入退館管理システムの導入 ---暗証番号~ ・メリット:鍵の紛失がない。~ ・デメリット:個人を識別できない。 ---ICカード~ ・メリット:個人識別可能、貸与が容易。~ ・デメリット:紛失が発生し易い。 ---生体情報~ ・メリット:個人識別可能、紛失が発生しない。~ ・デメリット:貸与が不可、登録が手間。 --適切な区画に情報資産を設置・保管 **人的セキュリティ [#tb47f3b6] ***ISMSの要求 [#me52cd6e] 主に、情報セキュリティに関する、雇用・契約に対しての要求。 -雇用契約 --従業員の経歴などの確認~ 事業要求、情報分類、リスク、法令、規制、倫理に従い実施する。 --雇用契約書に ---情報セキュリティに関する各自の責任、組織の責任を記載する。 ---違反行為に対する正式かつ周知された懲戒手続きを備える。 -経営陣は雇用・契約相手に対し、 --組織方針に従った情報セキュリティの適用を要求する。 --職務に関する組織方針・手順についての教育・訓練をする。 --雇用の変更・終了後の責任及び義務を定め伝達し遂行させる。 ***対策 [#r2933ef0] -社員の責務 --就業規則 --罰則の適用 -体制面 --権限の分散([[職務の分離>#t069db17]]) --複数人での確認 ---ミスを防ぐ意味 ---牽制(威圧 / 監視)の意味 --バックアップ体制 -産業保健 --作業環境の整備 --健康維持 --メンタル・ケア -教育・訓練 --計画 ---計画の立案 ---教育体制の整備 ---カリキュラム立案~ ・職務・役割(正社員以外も含む)に応じた~ ・新規雇用、配属 / 契約 / 職責変更時の --実施 ---計画の定期的 / 継続的な実施 ---実施記録と、実施効果の測定 / 分析 ---測定 / 分析の結果からカリキュラムを見直す。 -委託先管理 --情報セキュリティに関する能力 / 資格などの審査 / 選定する。 --契約の際は秘密保持(NDA)や、責任範囲と対応方法を明確化する。 --委託先の情報管理、対策実施条項などを定期的にチェックする。 **クライアントPCの管理 [#i425d4f4] 分類がクライアントPCに該当する[[情報資産管理>#dc9894f1]]] ***管理 [#h7512968] -必要性~ クライアントPCの情報セキュリティ上の脅威が増えたため、~ [[クライアントPCのセキュリティ対策>#p8de46e8]]の重要性が増した。 -対策 --情報セキュリティ・ポリシの策定と徹底 --[[情報資産の基本的なルール>#iebfb742]] --利用管理のルール ---所在、利用者、管理者の明確化 ---共有の有無(有の場合、利用者、管理者の明確化) ---個人所有PCの有無(有の場合、可否、管理方法の明確化) --社外持出時の追加ルール ---物理的保護 ---認証デバイスの持運び ---認証・認可関連~ パスワードポリシ、ロックアウト、最小限の権限付与 ---ソーシャル・エンジニアリング対策~ スクリーンセーバー、覗き見防止フィルタ --社内持込時のネットワーク接続のルール ---承認者 ---可否基準(目的・用途) ---管理基準(管理、持込/持出日、取り扱い)~ ...ウィルス・スキャンに加え、~ OA-LANのセキュリティ・レベルを満たすように設定など。~ (厳しい所は、要クリーン・インストールなどとなる) --インシデント発生時の対応 ---紛失・窃盗 ---ウィルス感染 ***セキュリティ対策 [#p8de46e8] -必要性 --小型化 ---持出 ---紛失 ---窃盗 --マルウェア ---セキュリティ対策 ---持出/持込(ネットワーク) -対策 --小型化 ---持出対策((入)出力デバイスの接続制限) ---紛失(暗号化) ---窃盗対策(チェーンで固定、暗号化) --マルウェア~ [[エンドポイント(クライアントOS)対策>SC:脅威#b8dfbc98]] --その他 ---認証・認可関連~ パスワードポリシ、ロックアウト、最小限の権限付与 ---ソーシャル・エンジニアリング対策~ スクリーンセーバー、覗き見防止フィルタ *インシデント管理 [#g9bcb661] 情報セキュリティ・インシデント **ISMSの要求 [#m5f025f7] 情報セキュリティ・インシデントに関する、 -管理層の責任、及び手順の確立。 -脆弱性の疑いには記録と報告を要求する。 -インシデント発生前後 --事象は適切な連絡経路を通じて速やかに報告。 --事象をインシデントに分類するか否かを決定。 --インシデントには、文書化された手順に従って対応 -インシデントの証拠情報の特定 / 収集 / 取得 / 保存の手順を定め適用する。 -脆弱性、インシデントを分析し、将来的な可能性 / 影響の低減に活用する。 **CSIRTとSOC [#z768ee84] ***CSIRT [#j484fdb2] -広義のCSIRT --国際連携を行うCSIRT --CSIRT間情報連携を行うCSIRT~ コーディネーションセンター -[[組織内CSIRT>#i01255c2]]~ インシデント・マネジメント、インシデント管理 --インシデント発生に備えた対応 ---最新情報取集 ---他組織と連携した情報収集~ セキュリティ・ベンダ、関連機関、業界団体、他のCSIRT --インシデント発生時の対応を主導 ---現場組織などに適宜対応を指示する。 ---情報を集約し顧客、株主、経営者、監督官庁に報告。 ---インシデント収束後、再発防止の対応を行う。 ***SOC [#c5a8aa84] **留意点 [#ac7610c1] *監査 [#l4abc1ee] **セキュリティ監査 [#mde57cd4] **システム監査 [#odc95470] *規格 [#ca4a047f] **リスク・マネジメント [#f53c6f9c] -ISO/IEC 31000 : 2018, JIS 31000 : 2010~ PDCAによる継続的改善のフレームワーク **リスク・アセスメント [#rb0b795e] -ISO/IEC 31010 : 2009, JIS 31010 : 2012~ リスク・アセスメントの体系的技法の~ 選択及び適用に関する手引きを提供する。 **リスク分析評価手法 [#r5212fb6] ***JRAM / JRMS2010 [#i6a2bf2a] 日本の一般財団法人JIPDECが開発した~ リスク分析手法、リスクマネジメントシステム -JRAM : JIPDEC Risk Analysis Method 2002~ リスク分析手法 -JRMS2010 : JIPDEC Risk Management System~ リスクマネジメントシステム~ 1992に発行、ISO31000:2009を取り入れ、~ 成熟度モデル、ギャップ分析の手法を導入。 ***CRAMM [#b4d290d2] -CRAMM:CCTA Risk Analysis Management Methodology -英国のCCTAが開発したリスク分析手法&リスクマネジメント・システム