kddi モバイルセキュリティ特別セミナーモバイルセキュリ...
TRANSCRIPT
© Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
2004年年年年10月月月月12日日日日
KDDI株式会社株式会社株式会社株式会社 プラットフォーム開発本部プラットフォーム開発本部プラットフォーム開発本部プラットフォーム開発本部
開発2部開発2部開発2部開発2部 開発1グループ開発1グループ開発1グループ開発1グループグループリーダーグループリーダーグループリーダーグループリーダー 水本水本水本水本 政宏政宏政宏政宏
『『『『 KDDIモバイルセキュリティ特別セミナーモバイルセキュリティ特別セミナーモバイルセキュリティ特別セミナーモバイルセキュリティ特別セミナー 』』』』
企業におけるセキュリティ意識の高まりと企業におけるセキュリティ意識の高まりと企業におけるセキュリティ意識の高まりと企業におけるセキュリティ意識の高まりと
ケータイ・ケータイ・ケータイ・ケータイ・PCにおけるモバイルセキュリティについてにおけるモバイルセキュリティについてにおけるモバイルセキュリティについてにおけるモバイルセキュリティについて
Page 2 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
11111111 情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性
22222222 企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化
33333333 情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築とISMS認証取得の実務ISMS認証取得の実務ISMS認証取得の実務ISMS認証取得の実務ISMS認証取得の実務ISMS認証取得の実務ISMS認証取得の実務ISMS認証取得の実務
44444444 モバイルワークスタイルの導入とセキュリティ対策モバイルワークスタイルの導入とセキュリティ対策モバイルワークスタイルの導入とセキュリティ対策モバイルワークスタイルの導入とセキュリティ対策モバイルワークスタイルの導入とセキュリティ対策モバイルワークスタイルの導入とセキュリティ対策モバイルワークスタイルの導入とセキュリティ対策モバイルワークスタイルの導入とセキュリティ対策
◆アジェンダ◆アジェンダ◆アジェンダ◆アジェンダ◆アジェンダ◆アジェンダ◆アジェンダ◆アジェンダ
Page 3 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
11111111 情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性
~誰のため、何のための情報セキュリティ対策か~~誰のため、何のための情報セキュリティ対策か~~誰のため、何のための情報セキュリティ対策か~~誰のため、何のための情報セキュリティ対策か~~誰のため、何のための情報セキュリティ対策か~~誰のため、何のための情報セキュリティ対策か~~誰のため、何のための情報セキュリティ対策か~~誰のため、何のための情報セキュリティ対策か~
Page 4 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
Small Quiz((((以下の項目にいくつあてはまりますか?)以下の項目にいくつあてはまりますか?)以下の項目にいくつあてはまりますか?)以下の項目にいくつあてはまりますか?)
1.1 1.1 1.1 1.1 1.1 1.1 1.1 1.1 自社を守るための情報セキュリティ対策自社を守るための情報セキュリティ対策自社を守るための情報セキュリティ対策自社を守るための情報セキュリティ対策自社を守るための情報セキュリティ対策自社を守るための情報セキュリティ対策自社を守るための情報セキュリティ対策自社を守るための情報セキュリティ対策
1)1)1)1) 自社ならではの独自技術や独自デザインを保有している。この技術やデザインが自社ならではの独自技術や独自デザインを保有している。この技術やデザインが自社ならではの独自技術や独自デザインを保有している。この技術やデザインが自社ならではの独自技術や独自デザインを保有している。この技術やデザインが外部外部外部外部
に流出に流出に流出に流出することは、自社にとって大きな不利益となる。することは、自社にとって大きな不利益となる。することは、自社にとって大きな不利益となる。することは、自社にとって大きな不利益となる。
2)2)2)2) 社運を賭けた開発プロジェクトが存在し、この開発情報が社運を賭けた開発プロジェクトが存在し、この開発情報が社運を賭けた開発プロジェクトが存在し、この開発情報が社運を賭けた開発プロジェクトが存在し、この開発情報が外部に流出外部に流出外部に流出外部に流出することは、自することは、自することは、自することは、自
社にとって大きな不利益となる。社にとって大きな不利益となる。社にとって大きな不利益となる。社にとって大きな不利益となる。
3)3)3)3) ウイルスを他社に向けて発信するなど、ウイルスを他社に向けて発信するなど、ウイルスを他社に向けて発信するなど、ウイルスを他社に向けて発信するなど、取引先に迷惑を掛ける取引先に迷惑を掛ける取引先に迷惑を掛ける取引先に迷惑を掛けること、結果としてこと、結果としてこと、結果としてこと、結果として自社ブ自社ブ自社ブ自社ブ
ランドが失墜するランドが失墜するランドが失墜するランドが失墜することは、自社にとって大きな不利益となる。ことは、自社にとって大きな不利益となる。ことは、自社にとって大きな不利益となる。ことは、自社にとって大きな不利益となる。
4)4)4)4) 個人情報保護法違反などの個人情報保護法違反などの個人情報保護法違反などの個人情報保護法違反などの法令に違反法令に違反法令に違反法令に違反し、し、し、し、処罰を受け処罰を受け処罰を受け処罰を受けたり、監督官庁からたり、監督官庁からたり、監督官庁からたり、監督官庁から指導を受指導を受指導を受指導を受
けけけけたり、たり、たり、たり、取引停止処分を受ける取引停止処分を受ける取引停止処分を受ける取引停止処分を受けることは大きな不利益となる。ことは大きな不利益となる。ことは大きな不利益となる。ことは大きな不利益となる。
5)5)5)5) 個人情報流出事件などを起こして個人情報流出事件などを起こして個人情報流出事件などを起こして個人情報流出事件などを起こして個人利用者からそっぽをむかれる個人利用者からそっぽをむかれる個人利用者からそっぽをむかれる個人利用者からそっぽをむかれることは、自社にことは、自社にことは、自社にことは、自社に
とって大きな不利益となる。とって大きな不利益となる。とって大きな不利益となる。とって大きな不利益となる。
6)6)6)6) 親会社や重要な取引先から親会社や重要な取引先から親会社や重要な取引先から親会社や重要な取引先から情報セキュリティ対策を要求されており情報セキュリティ対策を要求されており情報セキュリティ対策を要求されており情報セキュリティ対策を要求されており、情報セキュリティ、情報セキュリティ、情報セキュリティ、情報セキュリティ
対策の実施を怠ることは、取引上、大きな不利益となる。対策の実施を怠ることは、取引上、大きな不利益となる。対策の実施を怠ることは、取引上、大きな不利益となる。対策の実施を怠ることは、取引上、大きな不利益となる。
Page 5 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
次のような問題でお悩みではありませんか?次のような問題でお悩みではありませんか?次のような問題でお悩みではありませんか?次のような問題でお悩みではありませんか?
1.2 1.2 1.2 1.2 1.2 1.2 1.2 1.2 情報セキュリティ対策を巡る不安と不満情報セキュリティ対策を巡る不安と不満情報セキュリティ対策を巡る不安と不満情報セキュリティ対策を巡る不安と不満情報セキュリティ対策を巡る不安と不満情報セキュリティ対策を巡る不安と不満情報セキュリティ対策を巡る不安と不満情報セキュリティ対策を巡る不安と不満
情報セキュリティ対策情報セキュリティ対策情報セキュリティ対策情報セキュリティ対策
技術的な困難さ技術的な困難さ技術的な困難さ技術的な困難さどこから手をつけたらどこから手をつけたらどこから手をつけたらどこから手をつけたらよいのかわからないよいのかわからないよいのかわからないよいのかわからない
実施の目的実施の目的実施の目的実施の目的何のために実施何のために実施何のために実施何のために実施
するのかわからないするのかわからないするのかわからないするのかわからない現実的な対策現実的な対策現実的な対策現実的な対策
運用の手間を考えた運用の手間を考えた運用の手間を考えた運用の手間を考えた対策が必要対策が必要対策が必要対策が必要
対応人材の問題対応人材の問題対応人材の問題対応人材の問題自社内に対応できる自社内に対応できる自社内に対応できる自社内に対応できるだけのだけのだけのだけの人材がいない人材がいない人材がいない人材がいない
社内予算の問題社内予算の問題社内予算の問題社内予算の問題費用、効果の程度が費用、効果の程度が費用、効果の程度が費用、効果の程度が
わからないわからないわからないわからない
Page 6 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
22222222 企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化
Page 7 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
事件事件事件事件
�不正アクセス�機密情報漏洩�個人情報漏洩
日本企業日本企業日本企業日本企業
社会の変化社会の変化社会の変化社会の変化
�インターネットの普及�ネットワークのブロードバンド化�PCの個人への普及
法制度法制度法制度法制度
�不正アクセス禁止法�個人情報保護法
社会の要請社会の要請社会の要請社会の要請
�コンプライアンス
制度対応制度対応制度対応制度対応�BS7799 ////ISMS適合性評価制度適合性評価制度適合性評価制度適合性評価制度
�プライバシー・マーク制度プライバシー・マーク制度プライバシー・マーク制度プライバシー・マーク制度
雇用環境の変化雇用環境の変化雇用環境の変化雇用環境の変化
�終身雇用制の終焉�業務委託・アウトソーシング�在宅勤務�モバイルが会社業務の必需品に
2.1 2.1 2.1 2.1 2.1 2.1 2.1 2.1 企業を取り巻く情報セキュリティ環境の変化企業を取り巻く情報セキュリティ環境の変化企業を取り巻く情報セキュリティ環境の変化企業を取り巻く情報セキュリティ環境の変化企業を取り巻く情報セキュリティ環境の変化企業を取り巻く情報セキュリティ環境の変化企業を取り巻く情報セキュリティ環境の変化企業を取り巻く情報セキュリティ環境の変化
技術対応技術対応技術対応技術対応�Firewall等のセキュリティ機器の導入等のセキュリティ機器の導入等のセキュリティ機器の導入等のセキュリティ機器の導入
�企業としての教育、指導企業としての教育、指導企業としての教育、指導企業としての教育、指導
Page 8 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
2.2 2.2 2.2 2.2 2.2 2.2 2.2 2.2 企業組織としての情報セキュリティ対策企業組織としての情報セキュリティ対策企業組織としての情報セキュリティ対策企業組織としての情報セキュリティ対策企業組織としての情報セキュリティ対策企業組織としての情報セキュリティ対策企業組織としての情報セキュリティ対策企業組織としての情報セキュリティ対策
企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル
情報セキュリティ上の弱点を見つけ、改良して行く情報セキュリティ上の弱点を見つけ、改良して行く情報セキュリティ上の弱点を見つけ、改良して行く情報セキュリティ上の弱点を見つけ、改良して行く情報セキュリティ上の弱点を見つけ、改良して行く情報セキュリティ上の弱点を見つけ、改良して行く情報セキュリティ上の弱点を見つけ、改良して行く情報セキュリティ上の弱点を見つけ、改良して行くプロセスプロセスプロセスプロセスプロセスプロセスプロセスプロセスなしにはなしにはなしにはなしにはなしにはなしにはなしにはなしには
企業組織全体の情報セキュリティレベルは企業組織全体の情報セキュリティレベルは企業組織全体の情報セキュリティレベルは企業組織全体の情報セキュリティレベルは企業組織全体の情報セキュリティレベルは企業組織全体の情報セキュリティレベルは企業組織全体の情報セキュリティレベルは企業組織全体の情報セキュリティレベルは向上しない向上しない向上しない向上しない向上しない向上しない向上しない向上しない。。。。。。。。
個々のセキュリティ対策個々のセキュリティ対策個々のセキュリティ対策個々のセキュリティ対策
企業組織の企業組織の企業組織の企業組織の
レベルレベルレベルレベル
組織全体のセキュリティレベルは、組織全体のセキュリティレベルは、組織全体のセキュリティレベルは、組織全体のセキュリティレベルは、最低レベルの箇所に一致する最低レベルの箇所に一致する最低レベルの箇所に一致する最低レベルの箇所に一致する
情報セキュリティ事故は、弱い箇所情報セキュリティ事故は、弱い箇所情報セキュリティ事故は、弱い箇所情報セキュリティ事故は、弱い箇所から発生するから発生するから発生するから発生する
Page 9 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
レベル0:レベル0:レベル0:レベル0: ポリシーも作成されていないポリシーも作成されていないポリシーも作成されていないポリシーも作成されていないレベル0:レベル0:レベル0:レベル0: ポリシーも作成されていないポリシーも作成されていないポリシーも作成されていないポリシーも作成されていない
レベル1:レベル1:レベル1:レベル1: ポリシーはあるが、実行されていないポリシーはあるが、実行されていないポリシーはあるが、実行されていないポリシーはあるが、実行されていないレベル1:レベル1:レベル1:レベル1: ポリシーはあるが、実行されていないポリシーはあるが、実行されていないポリシーはあるが、実行されていないポリシーはあるが、実行されていない
レベル2:レベル2:レベル2:レベル2: ポリシーを策定し、行動を起こしているポリシーを策定し、行動を起こしているポリシーを策定し、行動を起こしているポリシーを策定し、行動を起こしているレベル2:レベル2:レベル2:レベル2: ポリシーを策定し、行動を起こしているポリシーを策定し、行動を起こしているポリシーを策定し、行動を起こしているポリシーを策定し、行動を起こしている
レベル3:レベル3:レベル3:レベル3: 全体のマネジメントサイクルが回っている全体のマネジメントサイクルが回っている全体のマネジメントサイクルが回っている全体のマネジメントサイクルが回っているレベル3:レベル3:レベル3:レベル3: 全体のマネジメントサイクルが回っている全体のマネジメントサイクルが回っている全体のマネジメントサイクルが回っている全体のマネジメントサイクルが回っている
レベル4:レベル4:レベル4:レベル4: サイクルの見直しを定期的に行うサイクルの見直しを定期的に行うサイクルの見直しを定期的に行うサイクルの見直しを定期的に行うレベル4:レベル4:レベル4:レベル4: サイクルの見直しを定期的に行うサイクルの見直しを定期的に行うサイクルの見直しを定期的に行うサイクルの見直しを定期的に行う
レベル5:レベル5:レベル5:レベル5: 全てのサイクルが有機的に結合している全てのサイクルが有機的に結合している全てのサイクルが有機的に結合している全てのサイクルが有機的に結合しているレベル5:レベル5:レベル5:レベル5: 全てのサイクルが有機的に結合している全てのサイクルが有機的に結合している全てのサイクルが有機的に結合している全てのサイクルが有機的に結合している
ISMSISMSISMSISMS認証取得レベル認証取得レベル認証取得レベル認証取得レベルISMSISMSISMSISMS認証取得レベル認証取得レベル認証取得レベル認証取得レベル
ISMSISMSISMSISMS構築レベル構築レベル構築レベル構築レベルISMSISMSISMSISMS構築レベル構築レベル構築レベル構築レベル
ポリシー策定レベルポリシー策定レベルポリシー策定レベルポリシー策定レベルポリシー策定レベルポリシー策定レベルポリシー策定レベルポリシー策定レベル
2.3 2.3 2.3 2.3 2.3 2.3 2.3 2.3 情報セキュリティの成熟度モデル情報セキュリティの成熟度モデル情報セキュリティの成熟度モデル情報セキュリティの成熟度モデル情報セキュリティの成熟度モデル情報セキュリティの成熟度モデル情報セキュリティの成熟度モデル情報セキュリティの成熟度モデル
情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル
Page 10 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
通信インフラ・ネットワークサービス通信インフラ・ネットワークサービス通信インフラ・ネットワークサービス通信インフラ・ネットワークサービス
運用運用運用運用 IDSIDSIDSIDS
③③③③ 実施手順実施手順実施手順実施手順
基本方針基本方針基本方針基本方針
対策基準対策基準対策基準対策基準
実装実装実装実装////実施実施実施実施
OTPOTPOTPOTP ウイルス対策ウイルス対策ウイルス対策ウイルス対策
②②②②
④④④④ セキュリティ監査セキュリティ監査セキュリティ監査セキュリティ監査
2.4 2.4 2.4 2.4 2.4 2.4 2.4 2.4 企業に求められるセキュリティ要件企業に求められるセキュリティ要件企業に求められるセキュリティ要件企業に求められるセキュリティ要件企業に求められるセキュリティ要件企業に求められるセキュリティ要件企業に求められるセキュリティ要件企業に求められるセキュリティ要件
セキュリティ対策をしているセキュリティ対策をしているセキュリティ対策をしているセキュリティ対策をしている
証明書証明書証明書証明書
セキュリティ対策をしているセキュリティ対策をしているセキュリティ対策をしているセキュリティ対策をしている
証明書証明書証明書証明書
セキュリティに対するセキュリティに対するセキュリティに対するセキュリティに対する
企業の方針(憲法)企業の方針(憲法)企業の方針(憲法)企業の方針(憲法)
セキュリティに対するセキュリティに対するセキュリティに対するセキュリティに対する
企業の方針(憲法)企業の方針(憲法)企業の方針(憲法)企業の方針(憲法)
セキュリティを守るためのセキュリティを守るためのセキュリティを守るためのセキュリティを守るための
対策基準(法律)対策基準(法律)対策基準(法律)対策基準(法律)
セキュリティを守るためのセキュリティを守るためのセキュリティを守るためのセキュリティを守るための
対策基準(法律)対策基準(法律)対策基準(法律)対策基準(法律)
企業の企業の企業の企業の
情報セキュリティポリシー情報セキュリティポリシー情報セキュリティポリシー情報セキュリティポリシー
企業の企業の企業の企業の
情報セキュリティポリシー情報セキュリティポリシー情報セキュリティポリシー情報セキュリティポリシー
セキュリティ対策を実行するためのセキュリティ対策を実行するためのセキュリティ対策を実行するためのセキュリティ対策を実行するための
各種手順書(規則)各種手順書(規則)各種手順書(規則)各種手順書(規則)
セキュリティ対策を実行するためのセキュリティ対策を実行するためのセキュリティ対策を実行するためのセキュリティ対策を実行するための
各種手順書(規則)各種手順書(規則)各種手順書(規則)各種手順書(規則)
セキュリティ対策のセキュリティ対策のセキュリティ対策のセキュリティ対策の
実施実施実施実施
セキュリティ対策のセキュリティ対策のセキュリティ対策のセキュリティ対策の
実施実施実施実施
企業のセキュリティ規定企業のセキュリティ規定企業のセキュリティ規定企業のセキュリティ規定
①①①① BS7799/BS7799/BS7799/BS7799/ISMSISMSISMSISMS認証取得認証取得認証取得認証取得
①①①① BS7799/BS7799/BS7799/BS7799/ISMSISMSISMSISMS認証取得認証取得認証取得認証取得
セキュリティ対策のセキュリティ対策のセキュリティ対策のセキュリティ対策の
実施、運用実施、運用実施、運用実施、運用
情報セキュリティ情報セキュリティ情報セキュリティ情報セキュリティマネジメントマネジメントマネジメントマネジメント
情報セキュリティ情報セキュリティ情報セキュリティ情報セキュリティマネジメントマネジメントマネジメントマネジメント
FWFWFWFW
Page 11 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
2.5 2.5 2.5 2.5 2.5 2.5 2.5 2.5 情報情報情報情報情報情報情報情報セキュリティマネジメントとはセキュリティマネジメントとはセキュリティマネジメントとはセキュリティマネジメントとはセキュリティマネジメントとはセキュリティマネジメントとはセキュリティマネジメントとはセキュリティマネジメントとは
個人情報取得目的個人情報取得目的個人情報取得目的個人情報取得目的の設定の設定の設定の設定
個人情報取得目的個人情報取得目的個人情報取得目的個人情報取得目的個人情報取得目的個人情報取得目的個人情報取得目的個人情報取得目的の設定の設定の設定の設定の設定の設定の設定の設定 組織による承認組織による承認組織による承認組織による承認組織による承認組織による承認組織による承認組織による承認組織による承認組織による承認組織による承認組織による承認 個人情報取得方法個人情報取得方法個人情報取得方法個人情報取得方法
の確定の確定の確定の確定
個人情報取得方法個人情報取得方法個人情報取得方法個人情報取得方法個人情報取得方法個人情報取得方法個人情報取得方法個人情報取得方法の確定の確定の確定の確定の確定の確定の確定の確定
実際の情報取得実際の情報取得実際の情報取得実際の情報取得実際の情報取得実際の情報取得実際の情報取得実際の情報取得実際の情報取得実際の情報取得実際の情報取得実際の情報取得 個別の個人情報個別の個人情報個別の個人情報個別の個人情報保護担当者任命保護担当者任命保護担当者任命保護担当者任命
個別の個人情報個別の個人情報個別の個人情報個別の個人情報個別の個人情報個別の個人情報個別の個人情報個別の個人情報保護担当者任命保護担当者任命保護担当者任命保護担当者任命保護担当者任命保護担当者任命保護担当者任命保護担当者任命
個人情報の個人情報の個人情報の個人情報の保存方法の確定保存方法の確定保存方法の確定保存方法の確定
個人情報の個人情報の個人情報の個人情報の個人情報の個人情報の個人情報の個人情報の保存方法の確定保存方法の確定保存方法の確定保存方法の確定保存方法の確定保存方法の確定保存方法の確定保存方法の確定
個人情報の取扱い者個人情報の取扱い者個人情報の取扱い者個人情報の取扱い者/利用権限確定/利用権限確定/利用権限確定/利用権限確定
個人情報の取扱い者個人情報の取扱い者個人情報の取扱い者個人情報の取扱い者個人情報の取扱い者個人情報の取扱い者個人情報の取扱い者個人情報の取扱い者/利用権限確定/利用権限確定/利用権限確定/利用権限確定/利用権限確定/利用権限確定/利用権限確定/利用権限確定 廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化
廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化 廃棄確認廃棄確認廃棄確認廃棄確認廃棄確認廃棄確認廃棄確認廃棄確認廃棄確認廃棄確認廃棄確認廃棄確認
監視監視監視監視
監査監査監査監査持ち出し禁止持ち出し禁止持ち出し禁止持ち出し禁止
承認承認承認承認
情報主体情報主体情報主体情報主体情報主体情報主体情報主体情報主体情報主体情報主体情報主体情報主体
監視、照会請求、削除請求監視、照会請求、削除請求監視、照会請求、削除請求監視、照会請求、削除請求
業務や情報の流れを表現することができ、組織として管理された状態のこと業務や情報の流れを表現することができ、組織として管理された状態のこと業務や情報の流れを表現することができ、組織として管理された状態のこと業務や情報の流れを表現することができ、組織として管理された状態のこと業務や情報の流れを表現することができ、組織として管理された状態のこと業務や情報の流れを表現することができ、組織として管理された状態のこと業務や情報の流れを表現することができ、組織として管理された状態のこと業務や情報の流れを表現することができ、組織として管理された状態のこと
個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合
Page 12 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
PlanPlanPlanPlanPlanPlanPlanPlan
基本方針・目的・対象基本方針・目的・対象基本方針・目的・対象基本方針・目的・対象管理プロセスの確立管理プロセスの確立管理プロセスの確立管理プロセスの確立
DoDoDoDoDoDoDoDo基本方針に基いた基本方針に基いた基本方針に基いた基本方針に基いた
管理策(対策)の導入管理策(対策)の導入管理策(対策)の導入管理策(対策)の導入・実施・評価情報収集・実施・評価情報収集・実施・評価情報収集・実施・評価情報収集
CheckCheckCheckCheckCheckCheckCheckCheck
プロセスの実施状況プロセスの実施状況プロセスの実施状況プロセスの実施状況・結果の評価・報告・結果の評価・報告・結果の評価・報告・結果の評価・報告
(マネジメントレビュー)(マネジメントレビュー)(マネジメントレビュー)(マネジメントレビュー)
ActActActActActActActAct
是正処置・予防処置是正処置・予防処置是正処置・予防処置是正処置・予防処置の対策を策定し、の対策を策定し、の対策を策定し、の対策を策定し、
継続的な改善実施継続的な改善実施継続的な改善実施継続的な改善実施
情報セキュリティマネジメントサイクル(PDCAサイクル)情報セキュリティマネジメントサイクル(PDCAサイクル)情報セキュリティマネジメントサイクル(PDCAサイクル)情報セキュリティマネジメントサイクル(PDCAサイクル)
情報セキュリティ情報セキュリティ情報セキュリティ情報セキュリティマネジメントシステムマネジメントシステムマネジメントシステムマネジメントシステム
の構築、維持の構築、維持の構築、維持の構築、維持改善サイクル改善サイクル改善サイクル改善サイクル
2.6 2.6 2.6 2.6 2.6 2.6 2.6 2.6 PDCAサイクルとマネジメントシステムの改善PDCAサイクルとマネジメントシステムの改善PDCAサイクルとマネジメントシステムの改善PDCAサイクルとマネジメントシステムの改善PDCAサイクルとマネジメントシステムの改善PDCAサイクルとマネジメントシステムの改善PDCAサイクルとマネジメントシステムの改善PDCAサイクルとマネジメントシステムの改善
Page 13 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
33333333 情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と
ISMS認証取得の実務ISMS認証取得の実務ISMS認証取得の実務ISMS認証取得の実務ISMS認証取得の実務ISMS認証取得の実務ISMS認証取得の実務ISMS認証取得の実務
Page 14 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
3.1 3.1 3.1 3.1 3.1 3.1 3.1 3.1 情報セキュリティポリシーとは何か?情報セキュリティポリシーとは何か?情報セキュリティポリシーとは何か?情報セキュリティポリシーとは何か?情報セキュリティポリシーとは何か?情報セキュリティポリシーとは何か?情報セキュリティポリシーとは何か?情報セキュリティポリシーとは何か?
社内でコンピュータを利用する場合の
最高規程社内でコンピュータを利用する場合の
最高規程
(1)(1)(1)(1) 自社内の文化や業務動向を反映した内容であることが望ましい。自社内の文化や業務動向を反映した内容であることが望ましい。自社内の文化や業務動向を反映した内容であることが望ましい。自社内の文化や業務動向を反映した内容であることが望ましい。
(2)(2)(2)(2) ISMSISMSISMSISMS認証などの第三者認証取得を想定している場合には、詳細管理策などの認証などの第三者認証取得を想定している場合には、詳細管理策などの認証などの第三者認証取得を想定している場合には、詳細管理策などの認証などの第三者認証取得を想定している場合には、詳細管理策などの認証基準に準じて、策定する必要がある。認証基準に準じて、策定する必要がある。認証基準に準じて、策定する必要がある。認証基準に準じて、策定する必要がある。
Page 15 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
3.2 3.2 3.2 3.2 3.2 3.2 3.2 3.2 情報セキュリティポリシーの策定失敗例情報セキュリティポリシーの策定失敗例情報セキュリティポリシーの策定失敗例情報セキュリティポリシーの策定失敗例情報セキュリティポリシーの策定失敗例情報セキュリティポリシーの策定失敗例情報セキュリティポリシーの策定失敗例情報セキュリティポリシーの策定失敗例
失敗例1:失敗例1:失敗例1:失敗例1: 他社の事例やサンプルのコピーをそのまま自社ポリシーとした。他社の事例やサンプルのコピーをそのまま自社ポリシーとした。他社の事例やサンプルのコピーをそのまま自社ポリシーとした。他社の事例やサンプルのコピーをそのまま自社ポリシーとした。
●個々の企業には、個々の企業文化があり、個々の企業の作業方法があります。●個々の企業には、個々の企業文化があり、個々の企業の作業方法があります。●個々の企業には、個々の企業文化があり、個々の企業の作業方法があります。●個々の企業には、個々の企業文化があり、個々の企業の作業方法があります。自社の文化を反映しないポリシーは、実務作業の妨げとなったり、社員に受け入自社の文化を反映しないポリシーは、実務作業の妨げとなったり、社員に受け入自社の文化を反映しないポリシーは、実務作業の妨げとなったり、社員に受け入自社の文化を反映しないポリシーは、実務作業の妨げとなったり、社員に受け入れられない可能性が高くなります。れられない可能性が高くなります。れられない可能性が高くなります。れられない可能性が高くなります。
失敗例2:失敗例2:失敗例2:失敗例2: 文書は作成したが、誰もポリシーの存在を知らない。文書は作成したが、誰もポリシーの存在を知らない。文書は作成したが、誰もポリシーの存在を知らない。文書は作成したが、誰もポリシーの存在を知らない。
●社内規則とは、策定することが目的ではありません。社員に知らされ、遵守され、●社内規則とは、策定することが目的ではありません。社員に知らされ、遵守され、●社内規則とは、策定することが目的ではありません。社員に知らされ、遵守され、●社内規則とは、策定することが目的ではありません。社員に知らされ、遵守され、企業活動にプラスに作用して初めて、効果的な社内規則と言えます。企業活動にプラスに作用して初めて、効果的な社内規則と言えます。企業活動にプラスに作用して初めて、効果的な社内規則と言えます。企業活動にプラスに作用して初めて、効果的な社内規則と言えます。
失敗例3:失敗例3:失敗例3:失敗例3: 罰則だらけのポリシー罰則だらけのポリシー罰則だらけのポリシー罰則だらけのポリシー
●罰則によるポリシー遵守の強化は、●罰則によるポリシー遵守の強化は、●罰則によるポリシー遵守の強化は、●罰則によるポリシー遵守の強化は、ISMSISMSISMSISMS認証にも謳われた方法ですが、罰則だ認証にも謳われた方法ですが、罰則だ認証にも謳われた方法ですが、罰則だ認証にも謳われた方法ですが、罰則だらけでは、会社内の雰囲気が暗くなってしまいます。らけでは、会社内の雰囲気が暗くなってしまいます。らけでは、会社内の雰囲気が暗くなってしまいます。らけでは、会社内の雰囲気が暗くなってしまいます。
その他にも、さまざまな典型的失敗例があります。その他にも、さまざまな典型的失敗例があります。その他にも、さまざまな典型的失敗例があります。その他にも、さまざまな典型的失敗例があります。
Page 16 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
3.3 3.3 3.3 3.3 3.3 3.3 3.3 3.3 情報資産情報資産情報資産情報資産情報資産情報資産情報資産情報資産
電子データ電子データ電子データ電子データソフトウェアソフトウェアソフトウェアソフトウェア
書類書類書類書類ファシリティファシリティファシリティファシリティ
人員人員人員人員
ハードウェアハードウェアハードウェアハードウェア
その他その他その他その他(身分証明書等)(身分証明書等)(身分証明書等)(身分証明書等)
無形物を含めたさまざまなものが、情報資産に相当します。無形物を含めたさまざまなものが、情報資産に相当します。無形物を含めたさまざまなものが、情報資産に相当します。無形物を含めたさまざまなものが、情報資産に相当します。無形物を含めたさまざまなものが、情報資産に相当します。無形物を含めたさまざまなものが、情報資産に相当します。無形物を含めたさまざまなものが、情報資産に相当します。無形物を含めたさまざまなものが、情報資産に相当します。
Page 17 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
3.4 3.4 3.4 3.4 3.4 3.4 3.4 3.4 情報セキュリティとは情報セキュリティとは情報セキュリティとは情報セキュリティとは情報セキュリティとは情報セキュリティとは情報セキュリティとは情報セキュリティとは
用 語 定 義 内 容機 密 性機 密 性機 密 性機 密 性 利 用 権 限 の な い 者 に よ る 情 報 へ の ア ク セ ス を 制 限 す る こ と 。利 用 権 限 の な い 者 に よ る 情 報 へ の ア ク セ ス を 制 限 す る こ と 。利 用 権 限 の な い 者 に よ る 情 報 へ の ア ク セ ス を 制 限 す る こ と 。利 用 権 限 の な い 者 に よ る 情 報 へ の ア ク セ ス を 制 限 す る こ と 。
完 全 性完 全 性完 全 性完 全 性 情 報 の 内 容 が 正 し い こ と 。情 報 の 内 容 が 正 し い こ と 。情 報 の 内 容 が 正 し い こ と 。情 報 の 内 容 が 正 し い こ と 。
可 用 性可 用 性可 用 性可 用 性 利 用 権 限 の あ る 者 が 、 使 い た い 時 に 使 え る こ と 。利 用 権 限 の あ る 者 が 、 使 い た い 時 に 使 え る こ と 。利 用 権 限 の あ る 者 が 、 使 い た い 時 に 使 え る こ と 。利 用 権 限 の あ る 者 が 、 使 い た い 時 に 使 え る こ と 。
脅 威脅 威脅 威脅 威 実 行 さ れ る 可 能 性 の あ る 不 正 行 為実 行 さ れ る 可 能 性 の あ る 不 正 行 為実 行 さ れ る 可 能 性 の あ る 不 正 行 為実 行 さ れ る 可 能 性 の あ る 不 正 行 為
脆 弱 性脆 弱 性脆 弱 性脆 弱 性 不 正 行 為 の 実 行 を 許 す 可 能 性 の あ る 弱 点不 正 行 為 の 実 行 を 許 す 可 能 性 の あ る 弱 点不 正 行 為 の 実 行 を 許 す 可 能 性 の あ る 弱 点不 正 行 為 の 実 行 を 許 す 可 能 性 の あ る 弱 点
資 産 価 値資 産 価 値資 産 価 値資 産 価 値 情 報 資 産 の 価 値 。 金 銭 に 置 き 換 え る こ と が で き る も の も あ れ情 報 資 産 の 価 値 。 金 銭 に 置 き 換 え る こ と が で き る も の も あ れ情 報 資 産 の 価 値 。 金 銭 に 置 き 換 え る こ と が で き る も の も あ れ情 報 資 産 の 価 値 。 金 銭 に 置 き 換 え る こ と が で き る も の も あ れ
ば 、 自 社 特 有 の 価 値 も あ る 。ば 、 自 社 特 有 の 価 値 も あ る 。ば 、 自 社 特 有 の 価 値 も あ る 。ば 、 自 社 特 有 の 価 値 も あ る 。
情報セキュリティとは、重要な情報セキュリティとは、重要な情報セキュリティとは、重要な情報セキュリティとは、重要な情報資産情報資産情報資産情報資産情報資産情報資産情報資産情報資産に対して、機密性、完全性、に対して、機密性、完全性、に対して、機密性、完全性、に対して、機密性、完全性、可用性の3つの属性を保証することである。可用性の3つの属性を保証することである。可用性の3つの属性を保証することである。可用性の3つの属性を保証することである。
StepStepStepStep----1111 重要度の判定重要度の判定重要度の判定重要度の判定
情報資産に対して、情報セキュリティ対策を施す必要があるほど、自社にとって重要で情報資産に対して、情報セキュリティ対策を施す必要があるほど、自社にとって重要で情報資産に対して、情報セキュリティ対策を施す必要があるほど、自社にとって重要で情報資産に対して、情報セキュリティ対策を施す必要があるほど、自社にとって重要で
あるか否かを判別しなければならない。あるか否かを判別しなければならない。あるか否かを判別しなければならない。あるか否かを判別しなければならない。
StepStepStepStep----2222 リスク判定リスク判定リスク判定リスク判定
重要と判定された情報資産が、機密性、完全性、可用性を侵害されるような何らかの重要と判定された情報資産が、機密性、完全性、可用性を侵害されるような何らかの重要と判定された情報資産が、機密性、完全性、可用性を侵害されるような何らかの重要と判定された情報資産が、機密性、完全性、可用性を侵害されるような何らかの
危険性をはらんでいるかどうかを判別しなければならない。危険性をはらんでいるかどうかを判別しなければならない。危険性をはらんでいるかどうかを判別しなければならない。危険性をはらんでいるかどうかを判別しなければならない。
用語の意味
用語の意味
用語の意味
用語の意味
Page 18 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
3.5 3.5 3.5 3.5 3.5 3.5 3.5 3.5 重要性の分析方法重要性の分析方法重要性の分析方法重要性の分析方法重要性の分析方法重要性の分析方法重要性の分析方法重要性の分析方法
情報資産情報資産情報資産情報資産 CCCC(機密性)(機密性)(機密性)(機密性) IIII(完全性)(完全性)(完全性)(完全性) AAAA(可用性)(可用性)(可用性)(可用性)
電子メールの内容電子メールの内容電子メールの内容電子メールの内容
(社内のみ)(社内のみ)(社内のみ)(社内のみ)2222(社外秘)(社外秘)(社外秘)(社外秘) 3333(中)(中)(中)(中) 4444(高い)(高い)(高い)(高い)
人事情報人事情報人事情報人事情報 4444(機密)(機密)(機密)(機密) 4444(高い)(高い)(高い)(高い) 3333(中)(中)(中)(中)
社外向けホームページ社外向けホームページ社外向けホームページ社外向けホームページ
内の情報内の情報内の情報内の情報1111(公開)(公開)(公開)(公開) 4444(高い)(高い)(高い)(高い) 5555(非常に高い)(非常に高い)(非常に高い)(非常に高い)
イントラアクセス用イントラアクセス用イントラアクセス用イントラアクセス用
IDIDIDID・パスワード・パスワード・パスワード・パスワード4444(機密)(機密)(機密)(機密) 4444(高い)(高い)(高い)(高い) 4444(高い)(高い)(高い)(高い)
前年度の決算内容前年度の決算内容前年度の決算内容前年度の決算内容 1111(公開)(公開)(公開)(公開) 5555(非常に高い)(非常に高い)(非常に高い)(非常に高い)4444(高い)(高い)(高い)(高い)
・個々の情報資産に関する・個々の情報資産に関する・個々の情報資産に関する・個々の情報資産に関する重要性重要性重要性重要性重要性重要性重要性重要性を分析するを分析するを分析するを分析する
・自社にとって重要な情報資産とは何か、・自社にとって重要な情報資産とは何か、・自社にとって重要な情報資産とは何か、・自社にとって重要な情報資産とは何か、価値基準価値基準価値基準価値基準価値基準価値基準価値基準価値基準を定めるを定めるを定めるを定める
(評価例)(評価例)(評価例)(評価例)