Zenn
🌟

情報セキュリティマネジメント試験ノート~(三)情報セキュリティ管理

2022/02/04に公開
#
情報セキュリティマネジメント試験
idea

情報セキュリティ管理

  • 情報セキュリティ管理:組織全体で行う情報セキュリティ対策の取り組み
  • ISMS:組織全体で、情報セキュリティを守るために行う効果的かつ継続的な取り組み・仕組み
  • 規格:ルール・取り決めのこと
    • 国際規格
    • 国内企画
    • デファクトスタンダード(事実上の標準)
  • PDCAサイクル:ISMSの中核となる考え方
    • Plan:問題点を整理し、目標を立て、その目標を達成するための計画を作る。ISMSの確立
    • Do:目標と計画をもとに、その業務を行う。ISMSの導入・運用
    • Check:業務が計画通りに行われ、当初の目標を達成しているかを点検し、監査する。ISMSの監視・見直し
    • Act:評価結果をもとに、業務を改善する。ISMSの維持・改善
  • 組織運営:ISMSに基づき、組織全体で情報セキュリティに取り組むために、次の組織運営が求められる
    • トップダウンの管理体制を構築する
    • 各個人の役割と責任を明示する
    • ルールを策定し、周知徹底する
    • 例外措置を設ける
  • 情報セキュリティ委員会:組織の部門間で生じる、考えの食い違いを調整するために、経営層が関与して作られる、全社横断の運営委員会
    ISMSの推奨役職配置:
    • 最高情報セキュリティ責任者(CISO)
    • 最高情報セキュリティアドバイザー

情報セキュリティポリシ

  • 情報セキュリティポリシ:ISMSに基づいて、情報セキュリティに関する組織内の取り組みを規定した文書を情報セキュリティポリシという。
    • 情報セキュリティポリシの文書構成
      情報セキュリティ委員会
      • 基本方針(公開)
      • 対策基準(非公開)
        情報システムごと・部門ごと
      • 実施手順(非公開)
  • 情報セキュリティ基本方針:なぜ情報セキュリティに取り組むかに対し、経営層が必要性を説く宣言文。社会的背景、法令遵守の観点から基本理念を表明する
    • 基本理念・目的
    • 役割・位置付け
    • 見直し・改訂
    • 適用対象範囲
    • 評価
    • 罰則
  • 情報セキュリティ対策基準:情報セキュリティ基本方針に基づいて記述された具体的なルール・規程
  • 情報セキュリティ実施手順:情報セキュリティ対策基準で定めた管理さくを実施するためのマニュアル文書・利用手順書
  • 情報セキュリティポリシのポイント:より良い情報セキュリティポリシにする為のポイント
    • 全社をカバーしており、自組織の状況にあった内容か
    • 経営層が承認し、情報セキュリティに関する予算や人の配分は適切か
    • 順守すべき法令を網羅しているか

リスクマネジメント

  • リスクマネジメント:組織のリスクを分析・評価し、対策を打つ一連の取り組み
    • リスクアセスメント:リスクの対策を打つリスク対応の前に、リスクの有無・被害の大きさ・発生可能性・許容範囲内かどうかを分析する段階
      • リスク分析:リスクを特定し、リスクの大きさを決める段階
      • リスク評価:リスクが許容範囲内かどうかを決めるために、リスク分析の結果をリスク基準と照らし合わせる段階
    • リスク対応:リスクに対し、対策を打つ段階
    • リスク受容:リスク対策をせずに見送ることを、組織で意思決定すること
    • リスクコミュニケーション:リスクに関する情報提供のために、関係者と繰り返し行う対話
  • リスクに関する用語
    • リスク所有者
    • リスクヘッジ
    • 残留リスク
    • リスク選好・リスク忌避
    • リスクマネジメントとリスクアセスメント
    • リスク保有とリスク受容
    • リスク分析とリスク評価

情報セキュリティ管理の実践

  • 情報セキュリティ教育:情報セキュリティのルールや手順を、組織の全従業者に周知徹底するために行う教育。受講の対象は全従業者
    • 情報セキュリティポリシや関連規定
    • 緊急時の対応
    • 情報セキュリティの脅威と対策
      時期
    • 情報セキュリティポリシの運用開始時と変更時
    • 新人や中途採用者の入社時、異動時
    • セキュリティ事故発生後・ルールを守っていない場合
  • 情報セキュリティ訓練:サイバー攻撃を想定した訓練
    • 標的攻撃メール訓練
    • レッドチーム演習
    • Capture The Flag(ハッカーコンテキスト)
  • 脆弱性検査:情報システムにある脆弱性を発見する為の検査
    • ベネトレーションテスト
    • ファジング
  • 委託先管理:業務委託する外部業者を情報セキュリティの面から適切に管理する
  • インシデント管理:情報セキュリティ事故が発生した場合の対処を管理する
    • 証拠保全
      • ネットワークケーブルを抜く
      • 管理者権限でログインし、シャットダウンする
      • 電源ケーブルを抜く
    • 連絡する
      • 管理者や関係部署に連絡する
      • 影響度の大きさ・範囲を想定して対策の優先順位を検討し、被害の拡大を防ぐ
      • 事故に対する初動処理を記録し、状況を報告する
  • セキュリティ評価:情報セキュリティ対策の有効性・実施状況を確認するために、評価を実施する
    • 自己評価
      • 自己点検
      • CSA
    • 第三者評価
      • 内部監査
      • 外部監査
    • 評価基準・方法
      • PCI DSS
      • CVSS
      • 情報セキュリティ対策ベンチマーク
      • ISMAP
  • 組織・機関:情報セキュリティを守るために作られた組織・機関
    • CSIRT
      • 国際連携CSIRT
      • JPCERT/CC
      • 組織内CSIRT
    • SOC:サイバー攻撃を防ぐため、情報機器の監視を専業で担当する組織
    • JVN:日本で使用されているソフトの脆弱性情報とその対策情報を提供するサポートサイト
      • JVN iPedia:日本で使用されているソフトにおける脆弱性情報のデータベース
      • MyJVN:JVNが提供しているバージョンチェッカ
    • J-CRAT(サイバーレスキュー隊):標的型攻撃の被害拡大を防止する為の組織
    • J -CSIP(サイバー情報共有イニシアティブ):参加組織内におけるサイバー攻撃の情報を集約・共有する為の組織

Discussion