情報セキュリティポリシ
企業や組織が情報セキュリティに対する取り組みを明文化したもの。ビジョンや基準、規定などを文書化したものの総称を指すもので、以下の構成要素がある。
- 情報セキュリティ方針(基本方針)
- 企業や組織の情報セキュリティに対する基本的な考え方を示す文書で、経営陣によって承認され、社長の名前で公表される。目的や対象範囲、管理体制、罰則などを記載して、5年程度で見直す。
- 情報セキュリティ対策基準
- 情報セキュリティ方針(基本方針)で示した内容について、具体的な順守事項を示した文書。リスクアセスメントの結果を踏まえて作成され、3年程度で見直す。
- 実施手順、手続き、規定等
- 情報セキュリティ対策基準をさらに具体化させた実施手順を中心に、様々な規程類を含んだ文書類を指す。代表的なものとしては、以下のような文書を指す。
- 情報管理規定
- 機密管理規定
- 文書管理規定
- インシデントへの対応規程
- 情報セキュリティ教育の規定
- 雇用契約
- 職務規程
- プライバシーポリシ
- 個人情報保護方針
以上の3つの文書類は、ピラミッド型で構成される。
情報セキュリティマネジメントシステム(ISMS)
情報セキュリティポリシの死文化を防ぎ、適切に活用するための仕組み。PDCAサイクルを繰り返すことにより、管理・改善を図る。具体的には、文書の有効期限を設けることで見直しをさせるなどの仕組みがある。ISMSは様々な形が考えられるが、JIS Q 27001への適合を中心に認証を受けるISMS適合性評価制度のことを指すことが多い。
ISMS適合性評価制度
JIPDEC(日本情報処理開発協会)が運用している評価制度で、次のの3つの審査が存在する
- 認証審査
- 初回に認証を受けるための審査。
- 維持審査
- 認証後1年を超えないサイクルでISMSの維持状況を確認する審査。
- 更新審査
- 認証後3年を超えない範囲で認証を更新するために実施する審査。
審査は情報セキュリティ監査の仕組みに則った形で行われ、認証基準(JIS Q 27001)への適合性を評価する。文書審査では、情報セキュリティ基本方針、リスクアセスメントの結果報告、情報セキュリティ対策の実施手順等の文書について、文書間の整合性などが監査される。
ISO/IEC 27000シリーズ(ファミリー)
ISO(国際標準化機構)、IEC(国際電気標準会議)が共同で作成する情報セキュリティ規格群。日本では同じ番号でJIS Q 27000シリーズとして規格化されており、ISMS適合性評価制度の認証基準として使用されているのはこの中のJIS Q 27001である。
- ISO/IEC 27000:2018(JIS Q 27000:2019)
-
情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語
規格の概要や用語について定める
- ISO/IEC 27001:2013(JIS Q 27001:2014)
-
情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項
一般的に、ISMSの認証基準と言ったらこれ。ISMSを確立、導入、監視、レビュー維持し、継続的に改善するための要求事項を規定。
- ISO/IEC 27002:2013(JIS Q 27002:2014)
-
情報技術-セキュリティ技術-情報セキュリティ管理策の実践のための規範
情報セキュリティの管理策としてのベストプラクティスが記載されている。27001と並び、ISO/IEC 27000ファミリーでは重要な規格。
- ISO/IEC 27014:2013(JIS Q 27014:2015)
-
情報技術-セキュリティ技術-情報セキュリティガバナンス
情報セキュリティガバナンスについての規格。ガバナンスとは、「統治・支配・管理」を示す言葉で、企業においては不正のない健全な経営が行われるように監視する仕組みを指す。特にステークホルダ(株主や顧客)と経営陣との関係において重視されるものである。
- ISO/IEC 27017:2013(JIS Q 27017:2016)
-
情報技術-セキュリティ技術-JIS Q 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範。
ISMSの管理策をクラウンドサービスにも適用できるように拡張した規格。クラウド分野特有の用語や概念の整理が行われている。
ここに挙げたもののほか、非常に多くのISO/IEC 27000ファミリーの規格が存在する。
リスクマネジメント
リスクとは
ある脅威が脆弱性を利用して情報資産に損害を与える可能性のことをいう。それぞれの情報資産について脅威を洗い出し、脆弱性を考慮することによってリスクの大きさを推定することができ、このことをリスクアセスメントという。
リスクの大きさは次の式で表される。
情報資産の価値×脅威の大きさ×脆弱性の度合い
その他の指標としては以下がある
- 発生確率
- 発生の頻度が高いほうが高リスク
- 二次的な被害
- インシデントによって引き起こされる直接の被害よりも、二次被害のほうが大きいこともある。例えば、情報漏洩の場合、情報漏洩による損害賠償などのコストよりも、ブランド失墜などの被害のほうが大きくなることがある。
リスクについての規格
リスクマネジメントについて標準化されたものはJIS Q 31000シリーズである。セキュリティマネジメントの規格であるJIS Q 27000シリーズと整合性が保たれるように設計されている
- JIS Q 31000
- リスクマネジメントの原則と指針を示している。この中で、リスクとは「不確かさが組織の目的に与える影響」と定義している。
- JIS Q 31010
- リスクアセスメントについて定めたもので、その技法について示されている。
リスクアセスメント
リスクアセスメントは以下のプロセスによって実行される。
- ①リスク特定
- どんなリスクがあるのか、発見・認識してまとめる。
- ②リスク分析
- 特定したリスクについて、脅威と脆弱性を考えてリスクの大きさを判定する。
- ③リスク評価
- 分析した結果を踏まえて、対策を考える。まず受容可能か考え、不可能であれば対応のための優先順位を考える。
- ④リスク対応
- リスクを除去する。一般的なセキュリティ対策。
このうち、一般的にリスクアセスメントとは①~③までを指す。
リスク分析の手法
リスク分析の手法には次のようなものがある。
- ベースラインアプローチ
- 標準化された手法を使用してリスクアセスメントを行うこと。導入が容易で安定した結果が得られるが、組織特有のリスクには対応しにくい。
- 詳細リスク分析
- 組織ごとに個別に分析手法を開発する。高度なスキルを持った人員が時間をかけて分析をする必要があり、緻密な結果を得られる可能性がある反面、失敗する可能性もある。
脅威分析
脅威を分析する手法には次のようなものがある
- STRIDE分析
-
6つの観点から脅威を洗い出す。
- Spoofing(なりすまし)
- Tampering(改ざん)
- Repudiation(否認)
- Information disclosure(情報漏えい)
- Denial of service(サービス不能攻撃)
- Elevation of privilege(権限昇格)
- アタックツリー分析(ATA)
- 脅威の原因を列挙するために行う分析。ツリー構造を用いて分析する手法で、攻撃者の目標を特定して木の根(ルート)に記載し、攻撃手段を洗い出して節(ノード)に記載していく。
リスクへの対応
- リスク回避
- リスク因子を排除してしまうこと。例えば、Webページについてのリスクを回避するのであれば、Webページの運営をやめるといったケース。
- リスク低減(軽減)
- リスクによる被害の発生を予防したり、被害を最小限に抑えるための措置。バックアップの取得やアクセスコントロールの実施など。一般的なセキュリティ対策はこれに該当する。
- リスク移転(転嫁)
- リスクを他社に転嫁する方法。保険を掛けたり、アウトソーシングするなど。
- リスク保有(受容)
- 対応コストのほうが大きい場合、そのままにすること。