情報セキュリティ
情報セキュリティとは
コンピュータの中の顧客情報、技術情報に対するセキュリティ
技術面だけではなく、組織におけるマネジメントも含めて対策が必要
「モレなく、全員で当たり前の事を確実に行う」
決めたルールを守るための仕組みを作る事が重要
組織の戦略により決定、組織の状況により変わるもの
定義
機密性・・・適切なアクセス権限
完全性・・・改ざん防止
可用性・・・二重化したりしていつでも見れるようにする
真正性・・・主張通りであること(なりすましなどない事)
責任追跡性・・・入退室とかアクセスログで追跡できる事
否認防止・・・エンティティを証明する能力(利用した本人が事後になって否定できないようにする)
信頼性・・・意図した動作が確実に行われる事(人為的でなくても、バグによる意図しない更新も含む)
ISMS
情報マネジメントシステム
PDCA(計画、運用、監査と見直し、改善)を回る
脅威
システムや組織に損害を与える可能性があるインシデントの潜在的な要因
脆弱性
資産がもつ弱点
バグとかセキュリティホールとか
会話による情報漏洩とか施錠ミスは人為的脆弱性という
リスク
リスクの大きさ=情報資産の価値*脅威の大きさ*脆弱性の度合い
サイバーセキュリティ経営ガイドライン
3原則
1:経営戦略としてのセキュリティ投資は責務
2:系列企業やサプライチェーンのBP、委託先も含めた対策が必要
3:平時からセキュリティ対策に関する情報開示をする
CISOなどに指示すべき10項目
1:セキュリティポリシを策定
2:CISOからなる適切な管理体制を作り、責任を明確化する
3:必要な予算の確保、人材育成などの資源の確保
4:守るべき資産を特定、リスクを洗い出して対処のための計画を策定する
5:リスクに対する保護政策を実施する体制を構築する
6:PDCAを回して、定期的に経営者に対して報告をする
7:インシデント発生に備えてCSIRTや緊急時の対応体制を整備する
8:被害時の復旧体制の整備を行う
9:系列企業やBPに対しても自社同様の対策を行わせる事
10:情報共有活動に参加する(IPAへの情報提供など)