![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2022-12-20T05:29:49+00:00","default:admin","admin") #author("2023-01-30T01:12:20+00:00","default:admin","admin") -[[情報セキュリティ技術の概要:http://www.is.kyusan-u.ac.jp/~miyazaki/lecture_H26/security-H26/pdf/security-03.pdf]] -BS7799 ... 国際的なセキュリティポリシー策定のガイドライン -ISMS ... 国内のガイドライン -[[サイバーセキュリティとは?情報セキュリティとの違いを含めセキュリティの考え方や具体例・最新動向を解説:https://business.ntt-east.co.jp/content/cloudsolution/column-168.html]] -[[【連載】BS7799・ISMS認証取得の実態を聞く:http://www.atmarkit.co.jp/fsecurity/rensai/isms_case01/case01.html]] -[[情報セキュリティ白書2022:https://www.ipa.go.jp/security/publications/hakusyo/2022.html]] -[[2022年上半期サイバーセキュリティレポート紹介動画:https://www.youtube.com/watch?v=TqCN4LNBS_Y]] -[[意外に脆弱?セキュリティ担当者が見る企業システムの裏側:https://jpn.nec.com/cybersecurity/journal/02/discussion02.html]] *関連組織 [#x86f59b5] -[[サイバー犯罪対策に関する各種ウェブサイトへのリンク:https://www.npa.go.jp/cyber/link/index.html]] -[[警察庁 @police:https://www.npa.go.jp/cyberpolice/]] -[[日本サイバー犯罪対策センター:https://www.jc3.or.jp/]] -[[ここからセキュリティ:https://www.ipa.go.jp/security/kokokara/]] *情報セキュリティインシデント [#r6b8ef00] -[[インシデントとは?その内容と事例、事前の対策についても解説:https://www.lrm.jp/security_magazine/about_is-incident/]] *設定の注意点 [#e1da592a] **パスワード [#ddf2df8a] -[[今までの常識は通用しない?安全なパスワードの桁数などの条件とは:https://www.lrm.jp/security_magazine/secure_password/]] **クリアデスク・クリアスクリーン [#xd30849a] -[[Pマーク取得に必須!クリアデスク・クリアスクリーン:https://www.lrm.jp/security_magazine/cleardesk/]] *体制 [#ud9b6804] **責任者 [#b34ffaa4] ***CISO (Chief Information Security Officer) [#vbf6d295] -[[全社の情報セキュリティを統括!CISOの概要や役割、ガイドラインとは:https://www.lrm.jp/security_magazine/ciso/]] -[[CISOとは? セキュリティに関する責任者や専任者の必要性を感じた時に何をすべきか:https://www.hammock.jp/assetview/media/what-is-ciso.html]] ***CPO (Chief Privacy Officer) [#k5582c0b] ***CRO (Chief Risk Officer) [#df459946] ***CSO (Chief Security Officer) [#gf573550] ***DPO (Data Protection Officer) [#sb6ae985] **CSIRT(Computer Security Incident Response Team) [#l69f2eda] -[[CSIRT(シーサート)とは?セキュリティ事故が起きる前提の組織体制:https://www.nri-secure.co.jp/blog/cyber-security-insident-response-team]] -[[SOCとCSIRTは何が違う?インシデント対応で求められる組織構成とは?:https://eset-info.canon-its.jp/malware_info/special/detail/210728.html]] -インシデント発生時の「対応」に重点を置いた、インシデントレスポンスを担当するチーム -インシデント発生時にその原因を速やかに解析し、影響の範囲を明確にすることで被害の最小化を目指す **SOC(Security Operation Center) [#s4f36d45] -[[SOC(Security Operation Center):https://www.nec-solutioninnovators.co.jp/ss/insider/security-words/03.html]] -CSIRTはインシデントが発生した時の対応に重点が置かれているのに対し、SOCはインシデントの検知に重点が置かれている *CIA [#w26a852c] **機密性(Confidentiality) [#g0f31b5d] **完全性(Integrity) [#xc80f885] **可用性(Availability) [#q1ee59cc] *SOC [#f9c1a3ac] -[[サービスの統制を保証する「SOC2」の概要をざっくりまとめてみた:https://dev.classmethod.jp/articles/soc2_overview/]] **SOC 1/2/3 [#w8169772] ***SOC 1 [#f942eef2] その会社の財務報告に関連する内部統制の評価を行います。情報システムを委託している顧客(ユーザー)が財務諸表監査にあたって内部統制の監査を受けた際に、事業者側の内部統制の情報としてSOC1の報告書を利用することができます。 ***SOC2 [#jcc2acdc] 企業が監査してほしいサービスやシステムを対象に、セキュリティや可用性などの統制を評価します。具体的には「セキュリティ」「可用性」「処理のインテグリティ」「機密保持」「プライバシー」の5つの指標があり、この中から任意の項目について評価を受けます。前掲のとおり、当社の場合、セキュリティと可用性について評価を受けています。 ***SOC3 [#zd606afd] SOC2と評価する規準は変わりませんが、前述のとおり、広く公開することを目的とします。そのためSOC2と比べ報告書は簡潔なものとなります。 **Type 1/2 [#zbb71227] ***type1 [#w35e6fd7] ある一日について評価を受けます。 ***type2 [#ed8d5056] 一定の期間(半年以上)について評価を受けます。 **SOC1 Type2 [#zf64a55d] -[[システムおよび組織管理 (SOC) 1 Type 2:https://docs.microsoft.com/ja-jp/compliance/regulatory/offering-soc-1]] **取得例 [#je7a25d4] -[[OBC、『奉行クラウド』『奉行クラウドEdge』 『OBCクラウドサービス』で 『SOC1® Type2』『SOC2® Type2』報告書の取得が完了:https://corp.obc.co.jp/news/news210402]] *リスク [#x7b6735e] **情報セキュリティリスク [#d9673a2c] **システムリスク・事業継続リスク [#a90d74bb] **サプライチェーンリスク [#b0738e84] **リーガルリスク [#t63aab92] **レピュテーションリスク [#z2ebc83a] *IT規程 [#oa22cd47] **開発標準 [#u36dbb56] -開発に関する標準的な方法・手続・開発手法についての規程 -[[高信頼化ソフトウェアのための開発手法ガイドブック:https://www.ipa.go.jp/files/000005144.pdf]] -[[「標準ガイドライン」 研修資料 - デジタル庁:https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/67d846da/20220509_resources_standard_guidelines_guideline_07.pdf]] -[[【システム開発】開発標準とは?サンプルと役割をご紹介:https://www.biz.ne.jp/matome/2005028/]] -[[開発プロセスとは?目的・役割と代表的な3種類を解説!:https://www.biz.ne.jp/matome/2005052/]] -[[大阪市情報システム開発ガイドライン:https://www.city.osaka.lg.jp/ictsenryakushitsu/cmsfiles/contents/0000468/468455/SystemDevelopmentGuideline.pdf]] ***内容 [#nd6de625] -ガイドライン・手順書 -フレームワーク(ひな型) -支援ツール -設計書テンプレート **システム管理規定 [#pcf2d7b8] -[[システム管理基準 - 経済産業省:https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri_h30.pdf]] -[[荒川区電子情報システム管理運営規程:https://www.city.arakawa.tokyo.jp/reiki_int/reiki_honbun/p800RG00000108.html]] -[[草加市情報システム管理規程:https://www1.g-reiki.net/soka/reiki_honbun/e322RG00001883.html]] -[[甲府市情報システム管理規程:https://www1.g-reiki.net/kofu/reiki_honbun/e602RG00001488.html]] -[[独立行政法人日本スポーツ振興センター情報システム管理規程:https://www.jpnsport.go.jp/Portals/0/naash-reiki/act/frame/frame110000112.htm]] **システム運用規定 [#s4bea8f1] -[[情報システム運用管理規程:http://yuuga.blogdehp.ne.jp/_p/1983/documents/%E6%83%85%E5%A0%B1%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E9%81%8B%E7%94%A8%E7%AE%A1%E7%90%86%E8%A6%8F%E7%A8%8B.pdf]] *変更管理 [#gb337ed1] *アクセス管理 [#fba0911d] **アカウント [#i5d401b5] **パスワード [#lfeaa4ea] **バックアップ [#yab2cd0a] **外部メモリ [#j01d1913] *オペレーション [#e4838d4d] **障害対応 [#i7e86839] **災害対応 [#n5461ec9] *関連サービス [#l5cb5372] -[[SecureNavi :https://secure-navi.jp/]] -[[THIRDNETWORKS社 認証ASPサービス:http://www.thirdnetworks.co.jp/product/index.html]] -[[Check Point CloudGuard Posture Management:https://www.asgent.co.jp/products/dome9.html]] -[[Check Point Harmony Endpoint:https://www.asgent.co.jp/products/check-point-harmony-endpoint.html]] ** ワンタイムパスワード [#kf1f569d] -[[Secure OTP:http://www.thirdnetworks.co.jp/sotp/01scotp01.html]] ** パソコンの個体情報 [#f1a27f30] -[[Secure Regist:http://www.thirdnetworks.co.jp/sr/01sr01.html]] **クラウドリスク評価 [#xeafb573] -[[Assured:https://assured.jp/ja/]] * ASPサービスの情報セキュリティ [#v5a4aaa4] 【対外的な説明や証明について調査中】 ** SSL [#vfdc8d33] 個人情報保護のためのセキュリティとして、SSL(Secure Sockets Layer)を用いた暗号化通信を使用しております。SSLはウェブサイト上での通信の安全対策として用いられている一般的な技術であり、入力されたデータをインターネットへ送信する前に、暗号化を行うことで傍受を防止します。 * WebサービスのAPI認証 [#cd822829] -[[各種WebサービスのAPI認証方法を調べてみた:http://akisute.com/2009/10/webapi.html]] *自動ログイン [#jf34c3bc] -[[ハッカーが自動ログイン機能を好む理由:https://jp.ahnlab.com/global/upload/download/asecreport/PressAhn_vol105.pdf]]
