情報セキュリティに関わる責任者、担当者に向けて、情報セキュリティの組織と体制づくりから展開し、セキュリティポリシーのつくり方、情報の管理、リスクマネジメント、技術的対策の基本、導入と運用のポイント、脆弱性検査、セキュリティ評価などの基本的な事項をわかりやすく解説しているまさに情報セキュリティ対策の「教科書」、「ハンドブック」として最適な本を紹介します。
本書:「情報セキュリティ教本」です。
「組織の情報セキュリティ対策実践の手引き」ならびに「Handbook for CISO and information Security Proffesionals」との副題が付いています。
本書は、独立行政法人 情報処理推進機構(IPA) による著作ならびに土居 範久先生の監修にて2007年4月に実教出版株式会社より発行されています。
本書は、2007-02-15のこちらのブログでも紹介した「情報セキュリティ読本」の姉妹本になります。
本書の帯には、以下のように書かれてあります。
「官・民の英知を集大成した
情報セキュリティガイドの決定版
- 企業、学校、行政機関、各種団体等の情報セキュリティ
対策の担当者、責任者の方を対象に、組織の情報セキュ
リティ対策を具体的に、分かりたすく解説しました。
- 情報セキュリティに関わる主要な基準・対策を網羅し
ました。
- 情報セキュリティ担当者、責任者のテキストとして、また
ハンドブックとして最適です。
また「情報セキュリティ教本の発刊によせて」のなかで、監修者は、情報セキュリティ対策と本書の考え方について以下のように述べています。
「誰もが感じていると思うが、どんな組織でも情報セキュリティ対策の実施は本当に難しい。なぜこれほど難しいのか。答は簡単だ。情報セキュリティ対策では、かなり複雑な問題を合理的に解く必要があるからだ。
(略)
しかし、情報セキュリティ対策が難しいといっても、もはや逃げ出すことはできない。基盤化した情報システムを何もせずに放置することは許されない状況にある。私たちは、組織として情報セキュリティ対策の実施能力を高める必要がある。それには一体何をしたらよいのだろうか。
一つ目は、事実に真正面から向き合う勇気を持つことだ。具体的には、情報システムを取り巻く状況を的確に理解することである。これは一般にリスクアセスメントの実施、情報資産の棚卸し、ユーザとシステムの把握などを通して行われる。
(略)
二つ目には、良いものを学び、良さを吟味する力を持つことだ。情報セキュリティ対策では、組織ごとに組織に合わせた形で設計、実装することが求められる。
(略)
三つ目が、創意工夫に溢れた対策を徹底して考えることだ。情報セキュリティ対策を実施していくと、対策自身を目的化してしまい、過度に規制するような対策を実施してしまうことがよく見られる。
(略)
組織として情報セキュリティ対策をどのように行えばよいかを、Plan−Do−Check−ActというPDCAサイクルに沿って、さまざまな事例を交えながら、具体的にわかりやすく解説する。」
本書の説明は、PDCAサイクルに沿って進んでいく構成となっています。本書で取り上げられている情報セキュリティの管理策は、基本的には、政府機関統一基準をベースとし、加えて、ISO/IEC27000シリーズ等の国際標準やその他のガイドライン、IPAのホームページ上に数多く掲載されている対策実践情報などをも参照した内容となっています。さらに法令順守の観点からどのようなセキュリティ対策を行なえば良いかという点にも触れています。
本書は、12章から構成されています。
1章では、「はじめに」
として、IT社会の中で種々の脅威が増大し、情報セキュリティの取組みが重要になっていること、情報セキュリティに関するガイドラインや基準を外観し、本書の使い方を提示し、緊急事態発生!として4つの情報漏洩等の事例(フィクション)が紹介され、情報セキュリティの基本的な考え方(3要素)から情報セキュリティマネジメントシステム(ISMS)とPDCAサイクルなどが解説されます。
2章では、「情報セキュリティの組織」
として情報セキュリティの組織と体制づくりについてそのポイントや経営者の役割、推進体制、違反と例外処置などが解説されています。
3章では、「情報セキュリティポリシーのつくり方」
として、情報セキュリティポリシーに関する文書類の基本方針(ポリシー)、対策基準(スタンダード)、実施手順(プロシージャー)、ガイドラインと実施手順などの解説に続き、情報セキュリティ基本方針、情報セキュリティ対策基準、情報セキュリティ実施手順についての詳細な策定要領を解説し、最後に情報セキュリティポリシー策定のポイントについて総括しています。
4章では、「情報の分類と管理」
として、情報資産の洗い出しと管理責任者の決定について情報資産の洗い出しの手順、情報資産のグループ分け、情報資産管理台帳、、情報の管理責任者などを解説し、情報資産の分類と格付け、情報のライフサイクルとその取扱い(情報の管理)について詳細に解説しています。最後に情報の分類と管理のポイントをまとめています。
5章では、「リスクマネジメント」
としてJISQ13335-1:2006による情報セキュリティにおけるリスクの定義、さらにJIS TR Q0008:2003のリスクマネジメント用語の解説、JISQ2001:2001のリスクマネジメントシステムの概念などが解説され、上記の規格に加え、GMITS(JIS TR X 0036)、、MICTS、ISO27000シリーズなどの関連規格に触れています。次いでリスクアセスメントに関して、情報資産価値の評価、脅威(threat)、脆弱性(vulnerability)、リスクの算定、リスク評価について解説し、GMITSに見るリスク分析手法、リスク対応(リスクの低減(適切な管理策の採用)、リスクの保有、リスクの回避、リスクの移転、リスクの受容、リスクコミュニケーション、リスクマネジメントの記録)、ISMSユーザーズガイドならびに政府機関統一基準ばらびにNISTガイドラインによるリスクマネジメントの例が解説されます。最後にリスクマネジメントのポイントをまとめています。
6章では、「技術的対策の基本」
として、「主体認証」、「アクセス制御」、「権限管理」、「証跡管理(ログの管理)」、「暗号と電子署名」、「パソコン上のデータ保護」、「セキュリティホール対策(脆弱性対策)」、「不正プログラム対策」、「サービス不能攻撃対策(DoS/DDoS攻撃対策)」について政府機関統一基準第4部に基づく管理策をベースとして解説されています。
7章では、「セキュリティ製品とセキュリティサービス」
として、情報セキュリティ対策を進める上で、代表的なセキュリティ製品やセキュリティサービスについて解説しています。
『ネットワークセキュリティ製品』では、
ファイアウォール、WAF(Webアプリケーションファイアウォール)、IDS(侵入検知システム)とIPS(侵入防止システム)、VPN(Virtual Private Network)、検疫システムについて、
『認証製品』では、
PKI関連製品、認証サーバ、ワンタイムパスワード、ICカード/スマートカード、バイオメトリック認証(Biometric Authentication)、シングルサインオン(Single Sign-On)について、
『データセキュリティ関連製品』では、情報漏えい防止ソリューション、メールセキュリティ、
『ウイルスなどの不正プログラム、スパム、フィッシング゙対策』では、
ウイルス対策ソフトウェア、スパイウェア対策ソフトウェア、スパムフィルタリングソフトウェア、フィッシング対策ソフトウェアについて
『その他』では、
UTM(Unified Threat Management:統合脅威管理)、コンテンツフィルタリングソフトウェア、完全性チェックツール、フォレンジックツールについて、
『セキュリティサービス』では、
コンサルティングサービス、セキュリティ教育など、セキュリティ監視、検知、運用管理サービス、電子認証サービス、タイムスタンプサービスについて解説されています。
8章では、「導入と運用」
として、情報セキュリティポリシーの周知と徹底、従業員の管理と外部委託先の管理、事業継続管理、緊急時対応、インシデント対応、情報システムの導入と運用など情報セキュリティシステムの導入と運用のポイントについて解説されています。
9章では、「セキュリティ監視と侵入検知」
として、情報システムに対する不正な行為や不正アクセスを促す、情報システムに存在するセキュリティ上の問題点を明らかにする手法として、セキュリティ監視、脆弱性検査、侵入検知の概要とそのポイントが解説されています。
10章では、「セキュリティ評価」
として、ISMSの適合性評価、情報セキュリティ監査、情報セキュリティ対策ベンチマーク、ITセキュリティ評価及び認証などのセキュリティ評価についてその概要ならびに実施方法等について解説しています。
11章では、「見直しと改善」
として、定期的な見直し、環境の変化に伴う見直し、セキュリティ事件・事故の発生に伴う見直しについての手順の概要とそのポイントについて解説しています。
12章では、「法令遵守」
として、情報化関連法令集のサイトを紹介し、刑法、著作権法、不正アクセス禁止法、個人情報の保護に関する法律(個人情報保護法)、不正競争防止法、e-文書法などの概要について解説しています。
なお本書の目次は、以下の内容です。
情報セキュリティ教本の発刊によせて
1章 はじめに
1.ITと情報セキュリティ
1.増大する脅威と情報セキュリティの重要性
2.情報セキュリティのガイドライン
3.本書の使い方
2.緊急事態発生!
1.エピソード1【ファイル交換ソフトで情報漏えい】
2.エピソード2【Webサイトから情報漏えい】
3.エピソード3【ノートパソコンの紛失・盗難】
4.エピソード4【敵は内部にいた!】
3.基本的な考え方
1.全体を見通してみる
2.情報資産と情報セキュリティ
3.情報セキュリティの定義と情報セキュリティの三要素
4.情報セキュリティマネジメントシステムとPDCAサイクル
1.ISMSとPDCAサイクル
2.PDCAとプロセスアプローチ
3.情報セキュリティ対策実施の成功要因
2章 情報セキュリティの組織
1.情報セキュリティの組織と体制づくり
1.情報セキュリティ対策推進のポイント
2.経営者の役割
3.管理体制の構築
4.情報セキュリティ委員会と専門家による助言
5.情報セキュリティの推進体制
6.違反と例外措置
2.情報セキュリティの組織と体制の例
3章 情報セキュリティポリシーのつくり方
1.情報セキュリティポリシーとは
1.情報セキュリティポリシーの文書構成
2.ガイドラインと実施手順
3.適用対象範囲や規程類との関係
4.情報セキュリティポリシー策定の流れ
2.情報セキュリティ基本方針
1.情報セキュリティ基本方針の概要
2.情報セキュリティ基本方針の項目例
3.情報セキュリティ対策基準
1.管理策集(JIS Q 27002:2006)
2.政府機関の情報セキュリティ対策のための統一基準(政府機関統一基準)
3.地方公共団体における情報セキュリティポリシーに関するガイドライン
4.JNSA「情報セキュリティポリシー・サンプル0.92a版」
5.対策基準の構成と策定のポイント
4.情報セキュリティ実施手順
1.情報セキュリティ実施手順の概要と策定の観点
2.政府統一基準における対策基準と実施手順・ガイドラインの関係
5.情報セキュリティポリシー策定のポイント
4章 情報の分類と管理
1.情報資産の洗い出しと管理責任者の決定
1.情報資産の洗い出し
2.情報資産洗い出しの手順
3.情報資産のグループ分け
4.情報資産管理台帳
5.情報の管理責任者
2.情報資産の分類と格付け
1.情報の分類と格付けのための基準
2.格付けと取扱い制限の明示
3.情報の利用者とNeed to knowの原則
3.情報のライフサイクルとその取扱い(情報の管理)
1.情報のライフサイクル
2.情報の作成と入手
3.情報の利用
4.情報の保存
5.情報の移送
6.情報の提供
7.情報の消去
8.情報のライフサイクルと個人情報保護対策
4.情報の分類と管理のポイント
5章 リスクマネジメント
1.リスクマネジメントとリスクマネジメントシステム
1.リスクとは
2.リスクマネジメントとリスクマネジメントシステム
3.リスクマネジメントに関する規格類
2.リスクアセスメント
1.情報資産価値の評価
2.脅威(threat)
3.脆弱性(vulnerability)
4.リスクの算定
5.リスク評価
3.GMITSに見るリスク分析手法
1.ベースラインアプローチ
2.非形式的アプローチ
3.詳細リスク分析
4.組合せアプローチ
4.リスク対応
1.リスクの低減(適切な管理策の採用)
2.リスクの保有
3.リスクの回避
4.リスクの移転
5.リスクの受容
6.リスクコミュニケーション
7.リスクマネジメントの記録
5.リスクマネジメントの例
1.ISMSユーザーズガイドに見るリスクマネジメント
2.政府機関統一基準に見るリスクマネジメント
3.NISTガイドラインに見るリスクマネジメント
6.リスクマネジメントのポイント
6章 技術的対策の基本
1.技術的対策における基本的機能と脅威
1.情報セキュリティにおける基本機能
2.情報セキュリティにおける脅威
2.主体認証
1.主体認証とは
2.主体認証の方法
3.主体認証に関する管理策
3.アクセス制御
1.アクセス制御とは
2.任意アクセス制御と強制アクセス制御
3.アクセス制御に関する管理策
4.権限管理
1.権限管理とは
2.特権ユーザと最小権限
3.権限管理に関する管理策
5.証跡管理(ログの管理)
1.証跡とは
2.ログの取得
3.ログの保存と管理
4.ログの点検、分析および報告
5.ログ管理に関する管理策
6.暗号と電子署名
1.暗号と電子署名の概要
2.暗号の危殆化
3.鍵管理
7.パソコン上のデータ保護
1.パソコン上のデータ保護について
2.USBメモリの暗号化について
3.ノートパソコン上のデータの暗号化について
8.セキュリティホール対策(脆弱性対策)
1.セキュリティホール(脆弱性)とは
2.脆弱性対策
9.不正プログラム対策
1.不正プログラムとは
2.不正プログラム対策
10. サービス不能攻撃対策(DoS/DDoS攻撃対策)
1.サービス不能攻撃とは
2.サービス不能攻撃対策
11.技術的対策の基本:まとめ
7章 セキュリティ製品とセキュリティサービス
1.セキュリティ製品の導入にあたって
2.ネットワークセキュリティ製品
1.ファイアウォール
2.WAF(Webアプリケーションファイアウォール)
3.IDS(侵入検知システム)とIPS(侵入防止システム)
4.VPN(Virtual Private Network)
5.検疫システム
3.認証製品
1.PKI関連製品
2.認証サーバ
3.ワンタイムパスワード
4.ICカード/スマートカード
5.バイオメトリック認証(Biometric Authentication)
6.シングルサインオン(Single Sign-On)
4.データセキュリティ関連製品
1.情報漏えい防止ソリューション
2.メールセキュリティ
5.ウイルスなどの不正プログラム、スパム、フィッシング゙対策
1.ウイルス対策ソフトウェア、スパイウェア対策ソフトウェア
2.スパムフィルタリングソフトウェア
3.フィッシング対策ソフトウェア
6.その他
1.UTM(Unified Threat Management:統合脅威管理)
2.コンテンツフィルタリングソフトウェア
3.完全性チェックツール
4.フォレンジックツール
7.セキュリティサービス
1.コンサルティングサービス、セキュリティ教育など
2.セキュリティ監視、検知、運用管理サービス
3.電子認証サービス
4.タイムスタンプサービス
8.製品の選定と購入
8章 導入と運用
1.導入と運用にあたって
2.情報セキュリティポリシーの周知と徹底
1.告知
2.情報セキュリティ教育
3.従業員の管理と外部委託先の管理
1.従業員の管理
2.外部委託先の管理
3.ソフトウェア開発の委託
4.事業継続管理、緊急時対応、インシデント対応
1.緊急時対応に関する諸計画
2.事業継続計画
3.ケーススタディ:パソコン紛失時の対応
4.インシデント対応:原因究明と証拠保全
5.平時における準備
5.情報システムの導入と運用
1.情報システムの設定と運用開始
2.施設と環境(物理的および環境的セキュリティ)
3.ホストセキュリティ(サーバ・端末・通信装置等に関する対策)
4.ネットワークセキュリティ(通信回線との接続)
5.アプリケーションセキュリティ(電子メールやWebに関する対策)
6.バックアップ
9章 セキュリティ監視と侵入検知
1.セキュリティ監視
1.セキュリティ監視とは
2.脆弱性検査と侵入検知の概要
2.脆弱性検査
1.脆弱性検査のポイント
2.Webサイトの脆弱性検査
3.チェックリストによるWebサイトの脆弱性検査
4.脆弱性検査ツール
3.侵入検知
1.侵入検知ツール
2.Webサイトの監視・検知
10章 セキュリティ評価
1.セキュリティ評価とは
1.セキュリティ評価の目的
2.誰が誰を評価する?
2.情報セキュリティ対策実施状況の評価
1.自己点検
2.情報セキュリティ対策ベンチマーク
3.情報セキュリティ監査
4.ISMS適合評価制
3.製品調達におけるセキュリティ評価の活用
1.ITセキュリティ評価及び認証制度
2.暗号モジュール試験及び認証制度(JCMVP)
4.適合性評価(Conformity Assessment)
1.適合性評価制度の概要
11章 見直しと改善
1.見直しと改善のプロセス
2.見直しの契機と対応
1.定期的な見直し
2.環境の変化に伴う見直し
3.セキュリティ事件・事故の発生に伴う見直し
12章 法令遵守
1.法蓮遵守と情報セキュリティ
2.情報セキュリティに関連する法律
1.個人情報の保護に関する法律(個人情報保護法)
2.不正アクセス行為の禁止に関する法律(不正アクセス法)
3.不正競争防止法
4.e-文書法
付録 政府機関統一基準の構成と本書の関係
資料1 JIS Q 27002:2006 箇条、セキュリティカテゴリ、管理策(タイトル)一覧
資料2 参考文献 参考URL
資料3 図表出典
- 2007年06月13日
- ISMS(情報セキュリティマネジメント)
- コメント(0)
- トラックバック(0)
