252kb-ipa独立行政法人情報処理推進機構.ppt

* * * * * * * * * * * * * * * * * * * * * * 出典：　情報セキュリティ読本　四訂版　 情報セキュリティ読本　四訂版 出典：　情報セキュリティ読本　四訂版　 * （第4章 組織の一員としてのセキュリティ対策） 情報セキュリティ読本　四訂版　　　- IT時代の危機管理入門 - * 第4章　組織の一員としての情報セキュリティ対策 組織のセキュリティ対策 従業員としての心得 気を付けたい情報漏えい 終わりのないプロセス * 1. 組織のセキュリティ対策 1）計画（Plan） - 体制の整備とポリシーの策定 2）実行（Do） - 導入と運用 3）点検（Check） - 監視と評価 4）処置（Act） - 見直しと改善 第4章 * 1） 計画（Plan）- 体制の整備とポリシーの策定 第4章 1. 組織のセキュリティ対策 組織内の体制を確立する セキュリティポリシーを策定する 対策事項の立案と手順書の整備 * 組織内の体制を確立する 第4章 1. 組織のセキュリティ対策 1） 計画（Plan） 情報セキュリティを推進するための体制を組織内に作ることが出発点 実施担当者と、その役割、権限、責任を定める 望ましい体制 経営陣が中心となって取り組む 全社横断的な体制 トップダウンの管理体制 * セキュリティポリシーの策定 （1） 第4章 1. 組織のセキュリティ対策 1） 計画（Plan） セキュリティポリシーとは 組織として一貫したセキュリティ対策を行うために、組織のセキュリティ方針と対策の基準を示したもの セキュリティポリシーの階層 基本方針 対策基準 対策実施手順 * 情報セキュリティポリシーの階層 情報セキュリティを確保するために遵守すべき規定 基本方針（基本ポリシー） 対策基準を実施するための詳細な手順書（マニュアル等） 情報セキュリティ対策に対する基本的な考え方 （組織の情報セキュリティに対する取り組み姿勢を示す） セキュリティポリシー 対策基準（スタンダード） 実施手順（プロシージャ） 第4章 1. 組織のセキュリティ対策 1） 計画（Plan） * セキュリティポリシーの策定 （2） 第4章 1. 組織のセキュリティ対策 1） 計画（Plan） 策定前の準備 情報資産の「何を守るのか」を決定する 「どのようなリスクがあるのか」を分析する 責任者と担当者を明確にする 組織体の長＝情報セキュリティの最高責任者 * 対策事項の立案と手順書の整備 第4章 1. 組織のセキュリティ対策 1） 計画（Plan） 対策基準とは 情報資産を脅威から守る方法を具体的に定めたもの 実施手順とは 対策基準を実際の行動に移す際の手順書（マニュアルのようなもの） 最初に設定する内容とその手順 定期的に実施する対策の手順 インシデント発生時の対策と手順 * 2） 実行（Do）- 導入と運用 第4章 1. 組織のセキュリティ対策 導入フェーズ 運用フェーズ * 導入フェーズ（1） 第4章 1. 組織のセキュリティ対策 2） 実行（Do） 構築と設定 ウイルス対策ソフトやファイアウォールなどのセキュリティ装置の導入、暗号機能の導入 OS、アプリケーションのセキュリティ設定 設定における注意点 デフォルト設定は使用しない 不要なサービスの停止 　デフォルト設定： 　出荷時またはインストール後の初期状態の設定のこと。特に指定しないときは、 　この設定値が適用される。 * 導入フェーズ（2） 第4章 1. 組織のセキュリティ対策 2） 実行（Do） 脆弱性の解消 最新の修正プログラムを適用 レベルに応じたアクセス制御 組織のメンバーごとにアクセスレベルを設定 アクセスできる範囲と操作権限を制限する * 運用フェーズ 第4章 1. 組織のセキュリティ対策 2） 実行（Do） セキュリティポリシーの周知徹底とセキュリティ教育 役割と責任、セキュリティ対策上のルールを周知 被害に遭わないために脅威と対策を教える 脆弱性対策 定期的な情報収集とパッチの適用 異動/退職社員のフォロー 退職者のアカウントは確実に削除（セキュリティホールになりうる） * 3） 点検（Check） - 監視と評価 - 第4章 1. 組織のセキュリティ対策 監視と評価 セキュリティ事故への対処 * 監視と評価 第4章 1. 組織のセキュリティ対策 3） 点検（Check） ネットワークを監視し、異常や不正アクセスを検出する 通信、不正アクセスの監視 異常検知、不正アクセス検知、脆弱性検査 ポリシーが守られているか自己または第三者による評価を行う 自己点検（チェックリストなどにより実施） 情報セキュリテ