【情報セキュリティマネジメント】第2章 「セキュリティ管理」

０．はじめに

情報セキュリティマネジメントを学習してます。

• 普段書籍で読んだ内容
• 超基本的な知識
• なかなか覚えられず、忘れてしまいやすい内容…など

そういった箇所から個人的に学習用として投稿しました。

第1章「基本知識」
第3章「情報セキュリティ対策」
第4章「情報セキュリティ関連法規」
第5章「マネジメントについて」
第6章「テクノロジ ストラテジ」

参考文献

徹底攻略 情報セキュリティマネジメント教科書 令和2年度
著者　株式会社わくわくスタディワールド 瀬戸美月／齋藤健一　著
出版　インプレス

・単語

27000シリーズ

情報セキュリティーの管理リスク制限におけるベストプラクティスが示されているもの
日本ではJISQ27000シリーズとして規格化されている

ISO/IEC 15408

セキュリティ技術を評価する規格

ISO/IEC 27000

ISO(国際標準化機構)とIEC(国際電気標準会議)が共同で策定する情報セキュリティー規格群

• ISO/IEC27000：企画の概要や使用される用語について
• ISO/IEC27001：確立、導入、運用、監視、改善するための要求事項を規定している
• ISO/IEC27002：様々な管理策が記載されているもの
• ISO/IEC27003：維持及び改善するためのガイダンス企画
• ISO/IEC27004：有効性を評価するための測定方法の開発及び使用に関するガイダンス
• ISO/IEC27005：リスクマネジメントガイダンス
• ISO/IEC27017：クラウドサービスの情報セキュリティー管理策の実施に関する規格

SOC (Security Operation Center)

顧客のセキュリティー機器を監視しサイバー攻撃の検出やその対策を行っている場所

JPCERT / CC (Japan Computer Emergency Response Team Coordination Center)

国内のコンピューターセキュリティーインシデントに関する報告の受付、対応の支援、発生状況の把握、再発防止策の検討、助言を行っている場所

IPAセキュリティセンター (IPA Information-technology Promotion Agency 情報処理推進機構 )

ウィルスや不正アクセス、脆弱性の届出を受け付けている
中小企業に対するセキュリティ支援する制度や情報セキュリティに関する勧告活動も取り行っている

JVN (Japan Vulnerability Notes)

IPA JPCERT が共同で運営している
脆弱性の情報をDB化し対策情報や関連情報を提供するポータルサイト
下記8桁の番号によって分割されている

• 先頭に「JVN#」
  情報セキュリティ早期警戒パートナーシップに基づいて公開された情報
• 先頭に「JVNVU#」
  上記以外の海外との連携案件内容
• 先頭に「JVNTA#」
  注意喚起情報

NISC (National Center of Incident readiness and Strategy for Cybersecurity)

内閣サイバーセキュリティセンター
5つの基本原則に則っている

• 情報の自由な流動の確保
  発信した情報が意図した受信者へ流れる世界を創り、維持すること
• 法の支配
  サイバー空間においても法が支配すること
• 開放性
  一部の者に支配される空間ではならない
• 自律性
• 多様な主体の連携
  分野ごとに(インフラ、フロント、サーバなど)技術を共有し役割や責務を果たす必要がある

CRYPTREC (Cryptography Research and Evaluation Committees)

暗号技術の適切な実装方や運用方法調査検討するプロジェクト

• 電子政府推奨暗号リスト
  利用が推奨されているリスト
• 推奨候補リスト
  上記に掲載される可能性があるリスト
• 運用監視暗号リスト
  後から整理のため継続利用を容認するリスト

J-CSIP (Initiative for Cyber Security Information sharing Partnership of Japan)

サイバー情報共有イニシアティブ
IPAが攻撃による被害の拡大を防止するため経済産業省の協力を得て
情報共有と早期対策の場として発足された取り組みのこと
主に重工重電などインフラの情報共有が中心

EAL (Evaluation Assurance Level)

製品の保証要件を示したもの
レベルごとに分けられていて高いほど保証の程度が厳密

PCI DSS (Payment Cand Industry Data Security Standard)

クレジットカード業界におけるセキュリティ標準

SCAP (Security Content Automation Protocol)

IPAセキュリティセンターが開発したセキュリティの自動化と標準化を目指した技術仕様のこと
6つの標準仕様から構成されている

• CVE( Common Culnerabilities and Exposures )
  脆弱性の識別子
• CCE ( … Configuration Enumeration)
  セキュリティの設定を識別するための識別番号、これによりツール間でのデータ連携がスムーズになる
• CPE ( … Platform Enumeration）
  製品を識別するための名称基準
• CVSS (Vulnerability Scoring System)
  脆弱性の深刻度を評価するためのもの
  基本評価、現状の評価、環境評価と3つに分けられている
  そのものの特性が基本評価で、深刻度や環境下で深刻度を判断した評価内容が現状評価、環境評価
• XCCDF (eXtensible Configuration Chacklist Description Format)
  チェックリストを記述するための仕様言語のこと
• OVAL (Open Vulnerability and Assessment Language)
  PCの検査をするための言語仕様のこと

CWE (Common Weakness Enumeration)

脆弱性の種類を識別するための共通の標準
ビューやカテゴリといったタイプ分けをしている

・情報セキュリティ管理

何をどのように守るかを明確にしておく必要がある
情報に関しても情報資産と言う価値を持つものがある

情報資産

• 物理的資産：通信装置やコンピューターハードディスクなどの
• ソフトウェア資産
• 人的資産： 経験や資格など
• 無形資産： 評判
• サービス資産： 通信サービスや計算処理サービスなど

洗い出した情報資産は情報資産台帳などにまとめることが多い
また明文化した文章に関しては

方針＜対策基準＜実施手順

と、おおよそ順列に基づいて作成されている

・情報セキュリティポリシー

組織の情報資産を守るために方針や基準を明文化したもの
基本構成は主に2つ

1.情報セキュリティ方針

経営陣によって承認されるもの
基本的な考え方や方針を示すもの

2.情報セキュリティー対策基準

上記の基本方針とリスクアセスメントの結果に基づいて対策基準を決める

その他にも個人情報保護方針といったプライバシーにおけるセキュリティー方針の部類などもある

・情報セキュリティマネジメントシステム(ISMS)

組織の情報セキュリティーを管理するための仕組みのこと
ISMSを構築するときに最初に行う事は適用範囲を定義することで
「何を保護しなければならないのか」を考え「守るべき物」を特定する

• リーダーシップ：トップマネジメントの情報セキュリティ方針とセキュリティーの目的を確立させる
• 適用宣言書：対策を実施するための必要文書の確立を行う
• 計画：具体的に必要な資源責任者達成期間様々決定するものを文章化する
• 認識の周知：組織に関わる人間全てがセキュリティーの認識を持つこと
• 運用：計画したことを継続し管理しなければならない
• 評価：実施されてるセキュリティ対策において「有効かどうか」評価する必要がある
• 改善：セキュリティ対策において不具合が発生した場合には改善する必要がある

いくつかの必要項目を満たさなければならない

ISMS認証

適合性評価制度の認証機関に申請し認証された場合ISMS認証取得できる
その際セキュリティの信頼性を証明でき顧客や取引先からの信頼性の向上につながる

ISMS適合性評価制度

国際規格に準拠していることを評価して認定する日本情報経済社会推進協会(JIPSWC)の評価制度
ここに認証されて初めて高い信頼性を証明できる

緊急事態に応じて区分するレベル分けが必要

• 緊急時の対応計画
• 緊急後の復旧計画
• RPO(RecoveryPointObjective)ディザスタリカバリ：災害等による被害からの回復処置などの予防処置のこと
• サポートユーティリティ：停電を防ぐためのライフライン検査、管理職が定められる

上記のような対策が必要になる

・リスク

• 財産損失：会社の財産を失うリスク
• 収入減少：ブランド力の低下等収入が減少するリスク
• 責任喪失：賠償責任大リスク
• 人的損失： ウィルスなど従業員に影響与えるリスク

など...

リスクアセスメント

リスクの分析から評価までのプロセスのこと
PDCAのP (Plan)に該当する
セキュリティマネジメントはリスクに関して組織を形成し管理する、全体的なこと
アセスメントはPの一部分というイメージ

リスクの基準

• リスク基準： リスクアセスメントを実施しするための基準
• リスク受容基準： 対策を実施するかどうか判断する基準

リスクの分析

• 発生確率
• 影響の大きさ
• 予想する被害総額
  いくつか 脅威と脆弱性をもとに考えられる

リスクの分析をする方法

情報資産に対する影響力を鑑みることで下記の2種類に分けられる

• 定性的 リスク分析： リスクの大きさを金額以外で分析する手法
• 定量的リスク分析： リスクの大きさの金額で分析する手法

代表的なリスク分析手法

• ベースラインアプローチ
  既存の標準基準のベースラインとして組織の対策基準を策定しチェックしていく

• 非形式的アプローチ
  コンサルタントや担当者の経験により判断する

• 詳細リスク分析
  資産価値脅威脆弱性などセキュリティー重要事項を詳細に識別しリスク評価していく

• 組み合わせアプローチ
  上記などの分析方法を併用する手法

• JRAM (JIPDEC Risk Analysis Method)
  日本情報経済社会推進協会(JIPDEC)が開発した手法

リスク対応

アセスメントの結果を元に考え方を定義していく
考え方として2つ大きく分けられる

• リスクコントロール：行動により対応すること
• リスクファイナンシング：資金面で対応すること

そのほかにもリスクを最小限に抑えるよう工夫するリスクヘッジが重要視される

リスク対応方法

分析とは異なり「対応」、評価後にする内容

• リスクテイク
  あえて危険の状態を知ることで
  起こりやすさや結果を変える結果に結びつくことができる

• リスク回避
  そもそも運用をせず継続をしない選択肢を取ることをする場合のこと

• リスク共有
  保険をかけるなどをして共有する、発生時に起きる費用を転嫁する方法がある

• リスク保有
  意思決定によりリスクを受け入れる体勢を取ること、具体的な対策をしない場合のこと