- BS7799 ... 国際的なセキュリティポリシー策定のガイドライン
- ISMS ... 国内のガイドライン
CIA †
機密性(Confidentiality) †
完全性(Integrity) †
可用性(Availability) †
ISMS †
認証審査 †
初回認証審査 †
認証取得後 †
- 1年毎:サーベイランス審査(維持審査)
- 3年毎:再認証審査
リスクアセスメント †
どのようなリスクが存在し(リスク特定)、それがどの程度発生しやすいのか、発生したときにどの程度の影響があるのかを明らかにし(リスク分析)、予め定められているリスク受容基準と比較してリスク評価するまでのプロセスのこと
ISMS/ISO27001 認証取得コンサルティング †
SOC †
SOC 1/2/3 †
SOC 1 †
その会社の財務報告に関連する内部統制の評価を行います。情報システムを委託している顧客(ユーザー)が財務諸表監査にあたって内部統制の監査を受けた際に、事業者側の内部統制の情報としてSOC1の報告書を利用することができます。
SOC2 †
企業が監査してほしいサービスやシステムを対象に、セキュリティや可用性などの統制を評価します。具体的には「セキュリティ」「可用性」「処理のインテグリティ」「機密保持」「プライバシー」の5つの指標があり、この中から任意の項目について評価を受けます。前掲のとおり、当社の場合、セキュリティと可用性について評価を受けています。
SOC3 †
SOC2と評価する規準は変わりませんが、前述のとおり、広く公開することを目的とします。そのためSOC2と比べ報告書は簡潔なものとなります。
Type 1/2 †
type1 †
ある一日について評価を受けます。
type2 †
一定の期間(半年以上)について評価を受けます。
SOC1 Type2 †
取得例 †
IT統制 †
IT全社的統制 †
- 連結子会社を含む企業グループ全体のITを健全に維持・監督するための内部統制を意味します。
- 具体的には、企業グループ全体のITに関する方針やルール、体制を整備し、ITに関するリスクを評価して対応策を講じて統制活動を周知徹底させて、全社的な実施状況をモニタリングするという仕組みを構築することであり、その責任は経営者にあります。
ITGC(IT全般統制) †
- ITを用いた業務処理を有効に機能させる環境を整備し、信頼性を確保するための統制を指します。
- その基準として、「システムの開発・保守に係る管理」「システムの運用・管理」「内外からのアクセス管理等のシステムの安全性の確保」「外部委託に関する契約の管理」を評価対象の統制項目として挙げています。
IT業務処理統制 †
- 承認された業務がすべて正確に処理・記録するために業務プロセスに組み込んだ内部統制を表します。
- 情報を処理するシステムそのものではなく、処理が正確に行われているか、安全に行われているかを確認するものであり、手作業による入力確認や出力結果と伝票の照合など非ITによる業務処理統制とともに行われます
リスク管理 †
コンプライアンス管理 †
IT規程 †
開発標準 †
- 開発に関する標準的な方法・手続・開発手法についての規程
内容 †
- ガイドライン・手順書
- フレームワーク(ひな型)
- 支援ツール
- 設計書テンプレート
システム管理規定 †
システム運用規定 †
変更管理 †
デバイス管理 †
BYOD †
関連サービス †
ログ管理 †
ログ管理3つの観点 †
利用状況の把握 †
- 自社の提供するサービスや社内の情報システムの利用状況などを追っておくことで、システム障害などが発生した場合に、以下のようなことを把握することができる。
- どのような状況下でシステム障害が発生したのか?
- システム障害の原因となる操作はなかったか?
- また、障害前後の動きを確認できることで、再発防止策の検討にも役立つ。
不正アクセスの把握 †
- サービスや情報システム、情報機器のアクセスログなどを管理しておくことで、「誰がいつどのようなアクセスを行ったのか」といった証跡をたどることができる。
- 適切なログ管理を行っているという行為自体が、不正アクセスに対する抑止力として期待できる。
内部統制 †
- 内部統制とは、企業活動において従業者などが正しいルールに則っているか、不正や重大なミスがないか確認し統制することを指す。
- インシデントは、システムトラブルや外部からの不正アクセスのみが発生源ではない。
- 例えば、メールの誤送信やファイルの操作ミス、USBの無断利用や紛失など、従業者の悪意のない行為が発生源になることもある。
- システムや情報機器のログを取得しておくことで、日常的な業務の中に潜むヒヤリハットの発見や、従業者によるインシデント発生時の時系列の確認などに役立てることができる。
- 内部関係者による不正を防ぐという意味でも、内部統制が重要!
- ログの管理を行っておくことで、不正の抑止や不正発生時の証跡として役立てることが可能となる。
ログ保管 †
オンライン保管 †
- ログの閲覧機能などを持つ統合ログ管理できるソリューションの導入によって、ログの保存や検知、バックアップなどを自動化して、運用負荷を下げることができる
- オンライン上に保管しているため、個人情報を含めたログ情報の外部への漏えいのリスクは無視できない
- アクセスログを時系列で保存するだけではなく、何らかのインシデント発生時に、迅速なアクセスログの分析ができるように、不正や異常のパターンに絞り込んだ検索や、複数の種類のアクセスログを横串しで検索できる機能などがあると、使い勝手が良い
- ある程度まとまったアクセスログから、アクセスの傾向やログの増加量などを把握して、分析や統計できる機能があれば、自社のセキュリティ対策やサーバ環境の見直しにも役立てられる
オフライン保管 †
保存しているログに完全性が求められるため、以下の点に考慮する必要がある。
- 強度の高い媒体への保管
- 劣化の少ない場所での保管
- 改ざんを防ぐための論理的または物理的対策
- 単に保管するだけではなく,再び検索対象となることも十分考えられるため、オンライン環境へのリストア手順などをドキュメント化する
- アクセスログの廃棄の条件、フロー、方法、記録の作成方法についてもドキュメント化しておく
関連サービス †
アクセス管理 †
アカウント †
パスワード †
バックアップ †
外部メモリ †
オペレーション †
障害対応 †
災害対応 †
関連サービス †
ワンタイムパスワード †
パソコンの個体情報 †
ASPサービスの情報セキュリティ †
【対外的な説明や証明について調査中】
SSL †
個人情報保護のためのセキュリティとして、SSL(Secure Sockets Layer)を用いた暗号化通信を使用しております。SSLはウェブサイト上での通信の安全対策として用いられている一般的な技術であり、入力されたデータをインターネットへ送信する前に、暗号化を行うことで傍受を防止します。
WebサービスのAPI認証 †