はじめに
- 私が現職で「情報セキュリティ対策」に関する問題提起をした際の情報です。
- ITベンチャーですと、なかなか情報セキュリティ対策まで手が回っていないと思います。
- ただし、上場をすると外部監査・内部監査でそれ相応のチェックを受けますので、ぜひ参考にして見てください。
対応したこと
- 参考URLの情報を元に情報セキュリティ対策として、やるべきタスクを列挙。
- まずはセキュリティ設計と業務フローの可視化が最優先
情報セキュリティ関連タスク
前提
- 以下のどちらかに合致するものを優先的に対応していく
- 外部監査で指摘されると思われるポイント
- 外部/内部脅威が顕在化するリスクのあるもの
- すでに脅威が顕在化しているものはないという前提
優先度:高
- 情報セキュリティルールの設計
- まずはセキュリティ対策として何をどうするか?を設計する。
- セキュリティ運用の拠り所を整備し、それに従ってセキュリティ運用を行う。
- 監査では「定めたプロセス通りに運用できているかどうか?」をチェックされる
- 情報セキュリティルールの整備・情報セキュリティガイドラインの制定
- 上記、承認ルートの定義、エビデンスの残し方、業務フローなど、必要なルールを整備し、ガイドラインとして定義する。
- 例えば、「いかなる場合でも定められた承認ルートに則ってVPN設定を行う」など
- 運用を承認する人、変更する際のルール・フローを決めておく必要がある
- 上記、承認ルートの定義、エビデンスの残し方、業務フローなど、必要なルールを整備し、ガイドラインとして定義する。
- 内部脅威への対策検討
- 「内部脅威」をリストアップし、それに対する対策を検討する。(手続きとシステムに分類)
- 内部不正による情報漏洩対策
- 持ち出させない仕組み
- アクセス権限の適切な設定
- 異動・退職に伴う不要IDの速やかな削除
- ログ等の監視
- 共有IDの利用不可
- 外部オンラインストレージの利用不可
- 個人モバイル端末の取り扱い定義
- 持ち出したことを検知する仕組み
- 重要情報へのアクセスログ・証跡の保護
- システム管理者以外の第三者によるログ・証跡の確認
- 内部不正による情報漏洩対策
- 「内部脅威」をリストアップし、それに対する対策を検討する。(手続きとシステムに分類)
優先度:中
- 外部脅威への対策
- 不正アクセスの防止
- 標的型攻撃の防止
- Webサービス改ざんの防止
- サーバへのログインはVPN経由の為、ある程度は担保できている
優先度:低
- セキュリティ人材の育成
- 定期観測の実施
- ログイン状況のチェック
- 入社・退社・異動のチェック
- 必要に応じて、権限に反映する
- 情報改ざん有無のチェック
- セキュリティ情報のチェック
- JPRS、JPNIC、IPA、JPCERT等から情報を収集する
- sitescan以外にも、定期的に収集するのが好ましい
- 定点観測の実施
- 長期休暇明けに定期観測の実施
- 組織改編時に定期観測の実施
検討メモ
2018年10大脅威@IPA
- 標的型攻撃による被害
- ランサムウェアによる被害
- ビジネスメール詐欺による被害
- 脆弱性対策情報の公開に伴う悪用増加
- 脅威に対応するためのセキュリティ人材の不足
- ウェブサービスからの個人情報の窃取
- IoT機器の脆弱性の顕在化
- 内部不正による情報漏えい
- サービス妨害攻撃によるサービスの停止
- 犯罪のビジネス化(アンダーグラウンドサービス)
監査のポイント
- 脅威を未然に防いでいるか?
- 脅威があった場合、検知可能か?
- 設計した通りの運用が出来ているか?
次のアクション
改善タスクのチケット管理
- 業務改善とマッピングして、進めるべきなので可視化、モニタリング、標準化/リファクタリングのどれに該当するかわかるようにする
- タグをつけることで集計可能にする
対応優先度決定
- 優先すべき軸の明確化と各タスクを横並びで評価
- 一度、Excelにまとめた方が良さそう
AsIsの評価と整理
- 現状できているものはドキュメント化することで、セキュリティ対策としてはOK
- 外部からの攻撃を防ぐ仕組みがあるか?
- 内部の漏洩を検知する仕組みはあるか?
- 防ぐ仕組みがあればベスト、トレースする仕組みはマスト