情報セキュリティの概要

大学情報セキュリティ研究講習会情報セキュリティマネジメントコース
情報セキュリティマネジメントコース
情報セキュリティの概要
東海大学総合情報センター
横田秀和

「情報セキュリティの目的」とは？
 事業継続を確実にすること、
 事業リスクを最小限にすること、
 並びに投資に対する見返り
 及び事業機会を最大限にすること
 …を目的として、
 広範囲にわたる脅威から情報を保護する。
(参考)JIS Q 27002 「情報技術－セキュリティ技術－情報セキュリティマネジメントの実践のための規範」

 正当な権利を持つ個人や組織が、
情報や情報ｼｽﾃﾑを意図通りに制御できること。
 情報の機密性、完全性及び可用性を
維持すること。
情報セキュリティの定義
(参考)情報セキュリティ読本三訂版「2章情報セキュリティの基礎」より

情報セキュリティの三大要素
• 許可された者だけが、
情報にアクセスできるようにすること。
機密性
(Confidentiality)
• 情報や情報の処理方法が、
正確で完全であるようにすること。
完全性
(Integrity)
• 許可された者が、必要な時に
情報・情報資産にｱｸｾｽできることを確実にすること。
可用性
(Availability)

情報セキュリティの要素が欠けると…
• 情報の漏洩・流出機密性の欠如
• 情報の改竄・消失
• 偽情報の流布
完全性の欠如
• 情報の利用妨害・利用不可可用性の欠如

情報セキュリティに関するキーワード
情報資産脅威脆弱性リスク
対策ポリシー
マネジメント
プロセス
規格・法規・制度

情報資産の定義
 情報及び情報を管理する仕組み(情報システ
ム並びにシステム開発、運用及び保守のた
めの資料等)の総称。
 組織にとって価値をもつもの。
(参考)情報セキュリティポリシーに関するガイドライン
(首相官邸-情報通信技術戦略本部-情報セキュリティ対策推進会議)

情報資産の分類
情報
ソフトウェア
資産
物理的資産
サービス
人
無形資産
情報資産

情報資産の例(情報)
 データベース
及びデータファイル
 契約書及び同意書
 システムに関する文書
 調査情報
 利用者マニュアル
 訓練資料
 運用手順
又はサポート手順
 事業継続計画
 代替手段の取決め
 監査証跡
 保存情報
情報
ｿﾌﾄｳｪｱ資産
物理的資産
サービス
人
無形資産
情報資産

情報資産の例(ソフトウェア資産)
 業務用ソフトウェア
 システムソフトウェア
 開発用ツール
 ユーティリティソフトウェア
情報
物理的資産
サービス
人
無形資産
情報資産

情報資産の例(物理的資産)
 コンピュータ装置
 通信装置
 取外し可能な媒体
 その他の装置
情報
物理的資産
サービス
人
無形資産
情報資産

情報資産の例(サービス)
 計算処理サービス
 通信サービス
 一般ユーティリティ
暖房, 照明, 電源, 空調
情報
物理的資産
サービス
人
無形資産
情報資産

情報資産の例(人)
 保有する資格・技能・経験
情報
物理的資産
サービス
人
無形資産
情報資産

情報資産の例(無形資産)
 組織の評判・イメージ
情報
物理的資産
サービス
人
無形資産
情報資産

✎情報資産について考えましょう
 ワークシートの「資産」の欄に、
次の項目を記入してください。
日常生活であなたにとって価値があるもの
情報システム部門の仕事において
大学が価値を認めているもの
資産脅威脆弱性
リスク
(評価)
対策
リスク
(再評価)
リスクの
対応
お金
健康

情報資産を脅かすもの
 個人情報⇒なりすまし（機密性の欠如）
 重要情報⇒情報の改竄（完全性の欠如）
 Eﾒｰﾙｼｽﾃﾑ⇒設備の停電（可用性の欠如）
情報資産に対する脅威
情報資産に損害を与える原因となるもの。

脅威の分類
人的脅威環境的脅威
意図的偶発的 • 地震
• 落雷
• 洪水
• 火災
• 盗聴
• 情報の改竄
• システムのハッキング
• 悪意のあるコード
• 盗難
• 誤り及び手ぬかり
• ファイルの削除
• 不正な経路
• 物理的事故
(参考)JIS Q 13335-1 「情報技術－セキュリティ技術－情報通信技術セキュリティマネジメント－
第１部：情報通信技術セキュリティマネジメントの概念及びモデル」

 個人情報⇒利用者パスワードが文字列だ
 重要情報⇒誰でも編集できるファイルだ
 Eﾒｰﾙｼｽﾃﾑ⇒電気設備の法定点検がある
情報資産が持つ脆弱性
情報資産が持つ弱点
情報資産の脅威に対する弱点となるもの。

✎脅威・脆弱性について考えましょう
 ワークシートに次の項目を記入してください。
資産に対する脅威
資産が持つ脆弱性
リスク
(評価)
対策
リスク
(再評価)
リスクの
対応
お金泥棒がいる財布が
置きっぱなし
健康ｲﾝﾌﾙｴﾝｻﾞが
流行
予防接種を
していない

リスク情報資産
脅威
 個人情報にｱｸｾｽする時の利用者ﾊﾟｽﾜｰﾄﾞが文字列なので、
他人に漏れるとなりすましが行われ、
許可されていない人に情報が流出する可能性がある。
 重要情報が誰でも編集できるﾌｧｲﾙに保存されているので、
他人が情報を改竄してしまい、
偽の情報が広まる可能性がある。
 Eﾒｰﾙｼｽﾃﾑの電気設備の法令点検があるので、
設備が停電してしまい、
サービスが停止する可能性がある。
脆弱性の例

情報資産×脅威×脆弱性
脅威脆弱性
情報資産
リスクの
顕在化

「リスク」とは？
 情報資産が持つ脆弱性に対する脅威により、
情報資産が損なわれる可能性があること。
情報資産が損害を受けた！
インシデントの発生

個人情報なりすまし
パスワード
が文字列
情報の流出
重要情報情報の改竄
誰でも
編集可能
偽情報の
流布
Eﾒｰﾙｼｽﾃﾑ設備の停電
電気設備の
法定点検
サーバーの
停止
リスクの顕在化の例
脆弱性脅威情報資産リスク

リスクの評価
脅威の頻度
脆弱性の程度
情報資産の
重要度

個人情報なりすまし
パスワード
が文字列
情報の流出
重要情報情報の改竄
誰でも
編集可能
偽情報の
流布
Eﾒｰﾙｼｽﾃﾑ設備の停電
電気設備の
法定点検
サーバーの
停止
リスクの評価の例
脆弱性脅威情報資産
重要度：高・中・低頻度：高・中・低程度：高・中・低
重要度：高・中・低
重要度：高・中・低
頻度：高・中・低
頻度：高・中・低
程度：高・中・低
程度：高・中・低評価：１２点
評価：１８点
評価：３点
※評価は、高：３点、中：２点、低：１点として計算。
リスク

✎リスクとその評価について考えましょう
リスクの例
資産の重要度・脅威の頻度：脆弱性の程度
リスクの評価点
 例えば・・・
リスク
(評価)
対策
リスク
(再評価)
リスクの
対応
置きっぱなし
お金が
盗まれるかも
流行
予防接種を
していない
ｲﾝﾌﾙｴﾝｻﾞに
かかるかも
重要度：高・中・低頻度：高・中・低程度：高・中・低評価：１８点
重要度：高・中・低頻度：高・中・低程度：高・中・低評価：１２点

リスクの対応
• 情報資産・脅威・脆弱性を取り除き、
リスクそのものが発生しないようにすること。リスクを回避する
• 脅威の発生頻度や脆弱性の程度を抑え、
リスクを顕在化しにくくすること。リスクを最適化する
• リスクの顕在化に備えて、
リスクを他者に肩代わりしてもらうこと。リスクを移転する
• リスクの認識した上で、特別の対応を取らないこと。リスクを保有する

情報の流出
パスワードを定
期的に変更する
よう義務付ける
脅威の頻度が
低くなる
リスクの最適化
偽情報の流布
ファイルに適切
なアクセス権を
設定する
脆弱性の程度
が低くなる
リスクの最適化
サーバーの停止
停止時間が短
いので我慢する
変わらないリスクの保有
リスクの対応の例
リスク
評価：１２点
評価：１８点
評価：３点
頻度：中→低評価：１２点→６点
程度：高→低評価：１８点→６点
評価：３点→３点
リスクの対応リスクの評価対策

✎リスクの対応について考えましょう
対策
リスクの再評価
リスクの対応
 例えば・・・資産脅威脆弱性
リスク
(評価)
対策
リスク
(再評価)
リスクの
対応
置きっぱなし
お金が
盗まれるかも
財布を常に
身に付ける
脆弱性
程度：高→低
流行
予防接種を
していない
かかるかも
ﾏｽｸを付けて
よく手を洗う
脆弱性
程度：中→低
評価：６点
評価：６点
回避最適化
移転保有
回避最適化
移転保有
リスク
(評価)
対策
リスク
(再評価)
リスクの
対応
置きっぱなし
お金が
盗まれるかも
お金を
持たない
資産
重要度：高→0
流行
予防接種を
していない
かかるかも
流行時期が
過ぎるまで
待つ
リスクを
認識した上で
変化なし
評価：０点
評価：１２点
回避最適化
移転保有
回避最適化
移転保有

情報セキュリティ対策
手段別
組織的対策
人的対策
物理的対策
技術的対策
機能別
抑止機能
予防機能
防止機能
検出機能
回復機能
情報資産を守るために必要な対策

手段別-情報セキュリティ対策
• 組織の体制や規程の整備などの取り組み。組織的対策
• 情報資産に関わる利用者の意識やモラルを
向上させるための活動。人的対策
• 建物・設備・物などに関する対応。物理的対策
• 情報資産に関するシステムにおける対応。技術的対策

手段別-情報セキュリティ対策の例
• 情報セキュリティポリシーの策定・
運用体制の整備・セキュリティ監査の実施組織的対策
• 情報セキュリティポリシーの周知・
セキュリティ教育の実施・機密保持契約の締結人的対策
• 入退室管理・盗難防止・UPSの導入・耐震補強物理的対策
• ユーザー認証・暗号化・ファイアウォールの導入・
ウィルス対策技術的対策

機能別-情報セキュリティ対策
• 人の意識やモラルに働きかけ、
犯罪や不正行為に及ばないようにすること。抑止
• 脆弱性について、事前に対策を取ること。予防
• 脅威の発生を防ぐために、直接対応する
こと。防止
• 被害の拡大を防ぐために、脅威を早期に
発見すること。検出
• 被害が発生した場合、早期に復旧すること。回復

機能別-情報セキュリティ対策の例
• セキュリティ教育・システム監査・
利用状況監視の告知抑止
• ウィルス対策ソフトの導入・UPSの導入予防
• リムーバブルメディアの使用禁止・
ファイアウォールの導入防止
• IDSの導入・ウィルス対策ソフトの導入検出
• バックアップの採取・システムの冗長化回復

 情報ｾｷｭﾘﾃｨに取り組むことを宣言
 情報ｾｷｭﾘﾃｨ対策に関する行動・判断の考え方
 情報ｾｷｭﾘﾃｨ対策の具体的な内容
情報セキュリティポリシーの策定
適切な情報セキュリティ対策の実施

情報セキュリティポリシーの階層
情報セキュリティ
基本方針
対策基準
実施手順
情報セキュリティに対する
組織の基本的な方針
(目的・方針・範囲・体制など)
情報セキュリティを維持するための
行動や判断の基準
(各種ガイドライン)
日常の利用における具体的な手順
(各種マニュアル)
情報
セキュリティ
ポリシー

情報セキュリティポリシーの例
基本方針
対策基準
実施手順
情報資産の価値を認識し、
情報セキュリティの維持に努める。
情報資産は、
重要度に応じて分類し、
適切に取り扱われなければならない。
情報資産を、重要度に応じて
「公開情報」と「非公開情報」に
分類する。
「公開情報」とは・・・。
「非公開情報」とは・・・。
情報
セキュリティ
ポリシー

情報セキュリティマネジメントプロセス
 情報セキュリティポリシーにしたがって、
PDCAサイクルを実行し、
継続的に情報セキュリティを維持するための
プロセス。
Plan(計画)
Do(実行)
Check(評価)
Act(改善)

ISMSのPDCAサイクル
•ISMS基本方針、目的及び実際
の経験に照らした、プロセスのパ
フォーマンスのアセスメント、及び
その結果のレビューのための経
営陣への報告。
•ISMSの継続的な改善を達成す
るためのISMSの内部監査及び
マネジメントレビューの結果又は
その他の関連情報に基づいた、
是正処理及び予防処置の実施。
• ISMS基本方針、管理策、プ
ロセス及び手順の導入及び
運用
• 組織の全般的方針及び目的
に従った結果を出すための、
リスクマネジメント及び情報セ
キュリティの改善に関連した、
ISMS基本方針、目的、プロ
セス及び手順の確立。
Plan(計画)
ISMSの確立
Do(実行)
ISMSの導入
及び運用
Check(評価)
ISMSの監視
及びレビュー
Act(改善)
ISMSの維持
及び改善
(参考)JIS Q 27001 「情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求事項」

情報セキュリティ標準規格の変遷
BS7799:1995
JIS Q 27002:2006 JIS Q 27001:2006
BS7799-1:1999 BS7799-2:1999
ISO/IEC 17799:2000 BS7799-2:2002
ISO/IEC 17799:2005
JIS X 5080:2002 ISMS認証基準
ISO/IEC 27001:2005
(参考)情報セキュリティ読本三訂版「6章情報セキュリティ関連の法規と制度」より

OECD情報セキュリティガイドライン
1 認識の原則
Awareness
2 責任の原則
Responsibility
3 対応の原則
Response
4 倫理の原則
Ethics
5 民主主義の原則
Democracy
6 リスクアセスメント
の原則
Risk assessment
7 セキュリティの設計
及び実装の原則
Security design and
implementation
8 ｾｷｭﾘﾃｨﾏﾈｼﾞﾒﾝﾄの
原則
Security
management
9 再評価の原則
Reassessment
(参考)情報システム及びネットワークのセキュリティのためのガイドライン：セキュリティ文化の普及に向けて
OECD(経済協力開発機構)・IPA/ISEC(情報処理振興事業協会セキュリティセンター)

情報セキュリティに関する法律1
 刑法
電子計算機損壊等業務妨害罪
電磁的記録不正作出及び供用罪
電子計算機使用詐欺罪

情報セキュリティに関する法律2
 不正アクセス行為の禁止等に関する法律
(不正アクセス禁止法)
 電子署名及び認証業務に関する法律
(電子署名法)
 個人情報の保護に関する法律
(個人情報保護法)

知的財産を守る法律
 著作権法
違法ダウンロードの刑事罰化
 不正競争防止法
 特許法

迷惑メールに関する法律
 特定商取引に関する法律
(特定商取引法)
 特定電子メールの送信の適正化等に関する
法律
(特定電子メール法,特電メール法)
 (迷惑メール関連法,迷惑メール対策2法)

情報セキュリティ関連制度
 ISMS適合性評価制度
 ITセキュリティ評価及び認証制度
 暗号モジュール試験及び認証制度
 プライバシーマーク制度
 情報セキュリティ監査制度
 ｺﾝﾋﾟｭｰﾀｳｲﾙｽ及び不正ｱｸｾｽに関する届出制度
 脆弱性関連情報に関する届出制度

参考資料1
 JIS Q 27001
「情報技術－セキュリティ技術－
情報セキュリティマネジメントシステムー
要求事項」
日本工業標準調査会(http://www.jisc.go.jp/)の
JIS検索からQ27001を検索

参考資料2
 JIS Q 27002
情報セキュリティマネジメントの実践のための
規範」
JIS検索からQ27002を検索

参考資料3
 JIS Q 13335-1
情報通信技術セキュリティマネジメント－
第１部：情報通信技術セキュリティマネジメン
トの概念及びモデル」
JIS検索からQ13335-1を検索

参考資料4
 ISMS認証取得に関する文書
(財団法人日本情報経済社会推進協会)
http://www.isms.jipdec.jp/std/index.htmI

参考資料5
 情報セキュリティポリシーに関するガイドライン
(首相官邸-情報通信技術戦略本部-
情報セキュリティ対策推進会議)
http://www.kantei.go.jp/jp/it/security/taisaku/
guideline.html
http://www.kantei.go.jp/jp/it/security/taisaku/
pdfs/ISP_Guideline.pdf

参考資料6
 政府機関の情報セキュリティ対策関連
http://www.nisc.go.jp/materials/index.html
基本計画関連
 情報セキュリティ人材育成プログラム
年次関連計画
 情報セキュリティ2012・情報セキュリティ2011
政府機関関連
 政府機関の情報セキュリティ対策のための統一規範

参考資料7
 経済産業省情報セキュリティ政策ポータル
http://www.meti.go.jp/policy/netsecurity/
index.html

参考資料8
 情報セキュリティ読本三訂版
－IT時代の危機管理入門－
独立行政法人情報処理推進機構（IPA) 編著
実教出版発行
ISBN978-4-407-31800-5

✎ワークシート
リスク
(評価)
対策
リスク
(再評価)
リスクの
対応
重要度：高・中・低頻度：高・中・低程度：高・中・低評価：点評価：点
回避最適化
移転保有
回避最適化
移転保有
回避最適化
移転保有
回避最適化
移転保有
回避最適化
移転保有
回避最適化
移転保有
※評価は、高：３点、中：２点、低：１点として計算。

✎情報セキュリティの三大要素
• 許可された者だけが、
情報にアクセスできるようにすること。
✎＿＿＿＿＿＿
(Confidentiality)
• 情報や情報の処理方法が、
正確で完全であるようにすること。
✎＿＿＿＿＿＿
(Integrity)
• 許可された者が、必要な時に
情報・情報資産にｱｸｾｽできることを確実にすること。
✎＿＿＿＿＿＿
(Availability)

✎情報資産×脅威×脆弱性
脅威脆弱性
情報資産
✎＿＿＿＿＿＿

✎リスクの対応
• 情報資産・脅威・脆弱性を取り除き、
リスクそのものが発生しないようにすること。
リスクを
✎＿＿＿する
• 脅威の発生頻度や脆弱性の程度を抑え、
リスクを顕在化しにくくすること。
リスクを
✎＿＿＿する
• リスクの顕在化に備えて、
リスクを他者に肩代わりしてもらうこと。
リスクを
✎＿＿＿する
• リスクの認識した上で、特別の対応を取らないこと。
リスクを
✎＿＿＿する

✎情報セキュリティポリシーの階層
情報セキュリティに対する
組織の基本的な方針
(目的・方針・範囲・体制など)
情報セキュリティを維持するための
行動や判断の基準
(各種ガイドライン)
日常の利用における具体的な手順
(各種マニュアル)
✎＿＿＿＿
✎＿＿＿＿
✎＿＿＿＿
情報
セキュリティ
ポリシー

情報セキュリティの概要

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to 情報セキュリティの概要

Similar to 情報セキュリティの概要 (20)

More from Tokai University

More from Tokai University (20)

情報セキュリティの概要