Day #10 情報セキュリティ管理
※注意:個人で勉強した内容を記事として書き起こしています。内容が必ずしも正しいという保証はありません。もし間違いを見つけられましたら、コメントなどでお知らせいただけると嬉しいです。
情報セキュリティマネジメントシステム とは
ISMS (Information Security Management System : 情報セキュリティ管理システム) は、組織において情報セキュリティを管理するための仕組みです。
構築方法や要求事項を ISO 27001 、実践規範を ISO 27002 が国際標準として示しています。国内ではそれぞれ JIS Q 27001 、 JIS Q 27002 が対応します。
情報セキュリティ基本方針 を元に、 PDCAサイクル を繰り返します。
By Karn-b - Karn G. Bulsuk (http://www.bulsuk.com). Originally published at http://www.bulsuk.com/2009/02/taking-first-step-with-pdca.html [CC BY 4.0 (https://creativecommons.org/licenses/by/4.0)], from Wikimedia Commons
- Plan フェーズ
- 具体的な計画を立て、情報セキュリティポリシなどを策定します。
- Do フェーズ
- 責任者が適切に リーダーシップ をとり、法的及び契約において情報セキュリティを順守させるよう、定期的に 情報セキュリティ教育 や訓練などを行います。
- Check フェーズ
- 内部監査やレビューなどの パフォーマンス評価 を行います。また、 コーポレートガバナンス にも影響する 情報セキュリティガバナンス を意識します。
- Act フェーズ
- 継続的な改善行動を行います。
情報セキュリティポリシ とは
組織の情報資産を守るための方針や基準を明文化したもののことを 情報セキュリティポリシ と呼びます。
- 情報セキュリティ基本方針
- 情報セキュリティに対する組織としての方針を示します
- 経営陣によって承認されます
- 目的、対象範囲、管理体制、罰則などが記述され、全従業員および関係者に通知されます
- 情報セキュリティ対策基準
- 情報セキュリティ基本方針とリスクアセスメントの結果に基づき、対策基準を定めます
- 情報セキュリティレベルを維持・確保するための具体的な基準について記述されます
リスクアセスメント とは
情報セキュリティ組織・機関
日々進化する情報セキュリティ攻撃から情報を守るため、組織間で連携できる仕組みが必要です。
- 情報セキュリティ委員会
- 組織の中で CISO (Chief Information Security Officer : 情報セキュリティ管理責任者) をはじめとした、経営層の意思決定組織
- SOC (Security Oparation Center)
- セキュリティ管理サービスを提供する企業が、複数の顧客への対応を行うためのセキュリティ監視の拠点
- CSIRT (Computer Security Incident Response Team)
- 主にセキュリティ対策のためコンピュータやネットワークを監視し、問題の解析や調査を行う組織
- 日本には JPCERT/CC と呼ばれる組織があります
- IPAセキュリティセンター
- JVN (Japan Vulnerability Notes)
- NISC (内閣サイバーセキュリティーセンター)
- サイバーセキュリティ基本法に基づき設置された組織
- サイバーセキュリティ戦略の立案と実施の推進を行う
- ホワイトハッカー
- 高度なセキュリティ技術を善良な目的で使用する人
認証の3要素
ユーザ認証の方法は大きく分けて3種類あります。
- 知識
- ある 情報 を持っていることによる認証
- 例:パスワード、暗証番号
- 所持
- ある もの を持っていることによる認証
- 例:ICカード、電話番号、鍵
- 生体
- 身体的な 特徴 による認証
- 例:指紋、交際、静脈
それぞれ長所と短所を併せ持つため、 2要素認証 または 多要素認証 を行うことが重要です。
耐タンパ性
物理的あるいは論理的に内部の情報を読み取られることに対する耐性のことを耐タンパ性と言います。
例えばICカードは、無理やりに内部の情報を読み取ろうとすると、壊れるなどして情報の流出を防ぎます。
また、回路を難しくし解析がされにくくすることも耐タンパ性があるといえます。