#author("2022-06-16T05:47:01+00:00","default:admin","admin") -[[情報セキュリティ技術の概要:http://www.is.kyusan-u.ac.jp/~miyazaki/lecture_H26/security-H26/pdf/security-03.pdf]] -BS7799 ... 国際的なセキュリティポリシー策定のガイドライン -ISMS ... 国内のガイドライン -[[サイバーセキュリティとは?情報セキュリティとの違いを含めセキュリティの考え方や具体例・最新動向を解説:https://business.ntt-east.co.jp/content/cloudsolution/column-168.html]] -[[【連載】BS7799・ISMS認証取得の実態を聞く:http://www.atmarkit.co.jp/fsecurity/rensai/isms_case01/case01.html]] -[[IPA「情報セキュリティ白書2021」公開、テレワークのセキュリティや米国政策なども紹介:https://s.netsecurity.ne.jp/article/2021/08/03/46069.html]] *CIA [#w26a852c] **機密性(Confidentiality) [#g0f31b5d] **完全性(Integrity) [#xc80f885] **可用性(Availability) [#q1ee59cc] *ISMS [#a9af846c] -[[株式上場(IPO)と情報セキュリティ:https://nao-lawoffice.jp/venture-startup/ipo/information-security.php]] -[[9.情報システムおよび情報セキュリティ:https://www.pwc.com/jp/ja/knowledge/guide/ipo-guideline/it.html]] -[[ISMSを取得したときのお話:https://note.com/mhashimoto/n/n8014bdf90f6b]] -[[ISMS(ISO27001)の具体的なセキュリティ対策!厳選した4つを紹介:https://www.isosoken.com/isms/feature/isms_measures/]] -[[Google ドライブ と第三者認証&監査(ISMS、プライバシーマーク)前編:https://drivechecker.taf-jp.com/blog/17376]] -[[Google ドライブ と第三者認証&監査(ISMS、プライバシーマーク)後編:https://drivechecker.taf-jp.com/blog/25509]] -[[来客記録や入退室記録って必須なの?:https://www.lrm.jp/iso27001/blog/security/8403/]] -[[入退室記録の重要性とは?入口におけるセキュリティの基本を知ろう!:https://secureinc.co.jp/aioffice/media/officesecurity/record-enter-leave/]] **認証審査 [#wbe5b2e6] ***初回認証審査 [#w605c24a] -第1段階(文章審査) -第2段階(運用審査) ***認証取得後 [#t640b6b8] -1年毎:サーベイランス審査(維持審査) -3年毎:再認証審査 **リスクアセスメント [#l2b1fa08] どのようなリスクが存在し(リスク特定)、それがどの程度発生しやすいのか、発生したときにどの程度の影響があるのかを明らかにし(リスク分析)、予め定められているリスク受容基準と比較してリスク評価するまでのプロセスのこと **ISMS/ISO27001 認証取得コンサルティング [#d77453d1] -[[テクノソフト:http://www.techno-soft.co.jp/]] -[[UPF:https://upfsecurity.co.jp/]] -[[LRM:https://www.lrm.jp/iso27001/]] *[[ISO/IEC 27001(情報セキュリティ):https://www.jqa.jp/service_list/management/service/iso27001/]] [#ta501909] -[[ISO27001 ISMS 情報セキュリティマネジメントシステム - BSI:http://www.bsigroup.jp/ja-jp/assessmentandcertification/managementsystem/standardsschemes/iso27001/]] *[[ISO/IEC 27017(クラウドサービスセキュリティ):https://www.jqa.jp/service_list/management/service/iso27017/]] [#j282ad01] *SOC [#f9c1a3ac] -[[サービスの統制を保証する「SOC2」の概要をざっくりまとめてみた:https://dev.classmethod.jp/articles/soc2_overview/]] **SOC 1/2/3 [#w8169772] ***SOC 1 [#f942eef2] その会社の財務報告に関連する内部統制の評価を行います。情報システムを委託している顧客(ユーザー)が財務諸表監査にあたって内部統制の監査を受けた際に、事業者側の内部統制の情報としてSOC1の報告書を利用することができます。 ***SOC2 [#jcc2acdc] 企業が監査してほしいサービスやシステムを対象に、セキュリティや可用性などの統制を評価します。具体的には「セキュリティ」「可用性」「処理のインテグリティ」「機密保持」「プライバシー」の5つの指標があり、この中から任意の項目について評価を受けます。前掲のとおり、当社の場合、セキュリティと可用性について評価を受けています。 ***SOC3 [#zd606afd] SOC2と評価する規準は変わりませんが、前述のとおり、広く公開することを目的とします。そのためSOC2と比べ報告書は簡潔なものとなります。 **Type 1/2 [#zbb71227] ***type1 [#w35e6fd7] ある一日について評価を受けます。 ***type2 [#ed8d5056] 一定の期間(半年以上)について評価を受けます。 **SOC1 Type2 [#zf64a55d] -[[システムおよび組織管理 (SOC) 1 Type 2:https://docs.microsoft.com/ja-jp/compliance/regulatory/offering-soc-1]] **取得例 [#je7a25d4] -[[OBC、『奉行クラウド』『奉行クラウドEdge』 『OBCクラウドサービス』で 『SOC1® Type2』『SOC2® Type2』報告書の取得が完了:https://corp.obc.co.jp/news/news210402]] *IT統制 [#g035499e] -[[《連載:第1回》 IT部門が考えるべき3種類のIT統制とは:https://smart-stage.jp/blog/p25/]] -[[《連載:第2回》 IT統制の自動化によるIT部門の役割:https://smart-stage.jp/blog/p26/]] **IT全社的統制 [#t890355e] -連結子会社を含む企業グループ全体のITを健全に維持・監督するための内部統制を意味します。 -具体的には、企業グループ全体のITに関する方針やルール、体制を整備し、ITに関するリスクを評価して対応策を講じて統制活動を周知徹底させて、全社的な実施状況をモニタリングするという仕組みを構築することであり、その責任は経営者にあります。 **ITGC(IT全般統制) [#z343b78d] -ITを用いた業務処理を有効に機能させる環境を整備し、信頼性を確保するための統制を指します。 -その基準として、「システムの開発・保守に係る管理」「システムの運用・管理」「内外からのアクセス管理等のシステムの安全性の確保」「外部委託に関する契約の管理」を評価対象の統制項目として挙げています。 **IT業務処理統制 [#q0f7ab98] -承認された業務がすべて正確に処理・記録するために業務プロセスに組み込んだ内部統制を表します。 -情報を処理するシステムそのものではなく、処理が正確に行われているか、安全に行われているかを確認するものであり、手作業による入力確認や出力結果と伝票の照合など非ITによる業務処理統制とともに行われます *リスク管理 [#y782fde4] *コンプライアンス管理 [#a2280ae4] *IT規程 [#oa22cd47] **開発標準 [#u36dbb56] -開発に関する標準的な方法・手続・開発手法についての規程 -[[高信頼化ソフトウェアのための開発手法ガイドブック:https://www.ipa.go.jp/files/000005144.pdf]] -[[「標準ガイドライン」 研修資料 - デジタル庁:https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/67d846da/20220509_resources_standard_guidelines_guideline_07.pdf]] -[[【システム開発】開発標準とは?サンプルと役割をご紹介:https://www.biz.ne.jp/matome/2005028/]] -[[開発プロセスとは?目的・役割と代表的な3種類を解説!:https://www.biz.ne.jp/matome/2005052/]] ***内容 [#nd6de625] -ガイドライン・手順書 -フレームワーク(ひな型) -支援ツール -設計書テンプレート **システム管理規定 [#pcf2d7b8] -[[システム管理基準 - 経済産業省:https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri_h30.pdf]] -[[荒川区電子情報システム管理運営規程:https://www.city.arakawa.tokyo.jp/reiki_int/reiki_honbun/p800RG00000108.html]] -[[草加市情報システム管理規程:https://www1.g-reiki.net/soka/reiki_honbun/e322RG00001883.html]] -[[甲府市情報システム管理規程:https://www1.g-reiki.net/kofu/reiki_honbun/e602RG00001488.html]] -[[独立行政法人日本スポーツ振興センター情報システム管理規程:https://www.jpnsport.go.jp/Portals/0/naash-reiki/act/frame/frame110000112.htm]] **システム運用規定 [#s4bea8f1] -[[情報システム運用管理規程:http://yuuga.blogdehp.ne.jp/_p/1983/documents/%E6%83%85%E5%A0%B1%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E9%81%8B%E7%94%A8%E7%AE%A1%E7%90%86%E8%A6%8F%E7%A8%8B.pdf]] *変更管理 [#gb337ed1] *デバイス管理 [#e0f172b2] -[[【2022年版】MDMサービス おすすめ14選を徹底比較:https://notepm.jp/blog/3383]] **UEM [#p3a22dfa] -[[いまさら聞けない「UEM」とは? 「MDM」や「EMM」との違いを比較:https://techtarget.itmedia.co.jp/tt/news/1912/23/news01.html]] **BYOD [#a4ab259b] -[[BYODとは?メリットとデメリットの簡単解説と導入時のポイント:https://www.optimalbiz.jp/blog/byod-merits-and-demerits/]] -[[いまさら聞けない「BYOD」とは? 併せて知りたい「CYOD」とは? 両者の違いは:https://techtarget.itmedia.co.jp/tt/news/2107/13/news10.html]] -[[オフィス再開後に“非接触会議室”を作るなら考えたい「BYOD」3つの用途:https://techtarget.itmedia.co.jp/tt/news/2106/29/news09.html]] -[[わずか3日間で導入完了。“ひとり情シス”でも負荷なくBYODを実現!:https://www.cybernet.co.jp/saas/case_study/04/]] **関連サービス [#x6930b26] -[[mobiconnect:https://www.mobi-connect.net/]] -[[CLOMO MDM:https://www.i3-systems.com/]] -[[PC&モバイル管理サービス:https://www.cybernet.co.jp/saas/asset/]] *ログ管理 [#l1b90fd4] -[[ログ管理の重要性:https://www.lrm.jp/iso27001/blog/security/8405/]] -[[アクセスログを取得することの重要性とは?保存期間やポイントも解説:https://www.lrm.jp/security_magazine/log-management_important/]] **ログ管理3つの観点 [#cb40fcc2] ***利用状況の把握 [#ie2032b5] -自社の提供するサービスや社内の情報システムの利用状況などを追っておくことで、システム障害などが発生した場合に、以下のようなことを把握することができる。 --どのような状況下でシステム障害が発生したのか? --システム障害の原因となる操作はなかったか? -また、障害前後の動きを確認できることで、再発防止策の検討にも役立つ。 ***不正アクセスの把握 [#pc950509] -サービスや情報システム、情報機器のアクセスログなどを管理しておくことで、「誰がいつどのようなアクセスを行ったのか」といった証跡をたどることができる。 -適切なログ管理を行っているという行為自体が、不正アクセスに対する抑止力として期待できる。 ***内部統制 [#p0eb46d6] -内部統制とは、企業活動において従業者などが正しいルールに則っているか、不正や重大なミスがないか確認し統制することを指す。 -インシデントは、システムトラブルや外部からの不正アクセスのみが発生源ではない。 -例えば、メールの誤送信やファイルの操作ミス、USBの無断利用や紛失など、従業者の悪意のない行為が発生源になることもある。 -システムや情報機器のログを取得しておくことで、日常的な業務の中に潜むヒヤリハットの発見や、従業者によるインシデント発生時の時系列の確認などに役立てることができる。 -内部関係者による不正を防ぐという意味でも、内部統制が重要! -ログの管理を行っておくことで、不正の抑止や不正発生時の証跡として役立てることが可能となる。 **ログ保管 [#b8bcb56b] ***オンライン保管 [#j17c63cc] -ログの閲覧機能などを持つ統合ログ管理できるソリューションの導入によって、ログの保存や検知、バックアップなどを自動化して、運用負荷を下げることができる -オンライン上に保管しているため、個人情報を含めたログ情報の外部への漏えいのリスクは無視できない -アクセスログを時系列で保存するだけではなく、何らかのインシデント発生時に、迅速なアクセスログの分析ができるように、不正や異常のパターンに絞り込んだ検索や、複数の種類のアクセスログを横串しで検索できる機能などがあると、使い勝手が良い -ある程度まとまったアクセスログから、アクセスの傾向やログの増加量などを把握して、分析や統計できる機能があれば、自社のセキュリティ対策やサーバ環境の見直しにも役立てられる ***オフライン保管 [#o2a5cc29] 保存しているログに完全性が求められるため、以下の点に考慮する必要がある。 -強度の高い媒体への保管 -劣化の少ない場所での保管 -改ざんを防ぐための論理的または物理的対策 -単に保管するだけではなく,再び検索対象となることも十分考えられるため、オンライン環境へのリストア手順などをドキュメント化する -アクセスログの廃棄の条件、フロー、方法、記録の作成方法についてもドキュメント化しておく **関連サービス [#y4f34b5b] -[[セキュログ:https://www.lrm.jp/seculog/]] *アクセス管理 [#fba0911d] **アカウント [#i5d401b5] **パスワード [#lfeaa4ea] **バックアップ [#yab2cd0a] **外部メモリ [#j01d1913] *オペレーション [#e4838d4d] **障害対応 [#i7e86839] **災害対応 [#n5461ec9] *関連サービス [#l5cb5372] -[[SecureNavi :https://secure-navi.jp/]] -[[THIRDNETWORKS社 認証ASPサービス:http://www.thirdnetworks.co.jp/product/index.html]] -[[Check Point CloudGuard Posture Management:https://www.asgent.co.jp/products/dome9.html]] -[[Check Point Harmony Endpoint:https://www.asgent.co.jp/products/check-point-harmony-endpoint.html]] ** ワンタイムパスワード [#kf1f569d] -[[Secure OTP:http://www.thirdnetworks.co.jp/sotp/01scotp01.html]] ** パソコンの個体情報 [#f1a27f30] -[[Secure Regist:http://www.thirdnetworks.co.jp/sr/01sr01.html]] * ASPサービスの情報セキュリティ [#v5a4aaa4] 【対外的な説明や証明について調査中】 ** SSL [#vfdc8d33] 個人情報保護のためのセキュリティとして、SSL(Secure Sockets Layer)を用いた暗号化通信を使用しております。SSLはウェブサイト上での通信の安全対策として用いられている一般的な技術であり、入力されたデータをインターネットへ送信する前に、暗号化を行うことで傍受を防止します。 * WebサービスのAPI認証 [#cd822829] -[[各種WebサービスのAPI認証方法を調べてみた:http://akisute.com/2009/10/webapi.html]]