管理面からのセキュリティ、リスクに対しての勉強
こんにちは。
sipelです。
今回は管理面側のセキュリティやリスクにに対する考え方をただただ書いていきます。
情報セキュリティポリシ・・・わが社のセキュリティ方針を決めるみたいな。
セキュリティの3大要素
・機密性・・・漏洩や改ざんが行われないこと。
・完全性・・・内容が正しいこと。整合性を保つ。
・可用性・・・いつでも使えるようにすること。システム障害にも対応。
近年ではさらに4つを追加
・真正性・・・なりすまし防止
・責任追跡性・・・行動、責任が説明できる。
・否認防止・・・後から否認できない。
・信頼性・・・システムが一貫して動く。
ISMS適合性評価制度・・・セキュリティばっちりだよと第3者が認証してくれる。
リスクマネジメント・・・正のリスクや負のリスクに対応する。下記の手順で。
リスクアセスメント・・・リスクを予防する。1~3の手順のこと。
1,リスク特定・・・ブレーンストーミングなどで考えられるリスクを出す。
2,リスク分析・・・そのリスクを数値化
3,リスク評価・・・誰の目にもわかるように表などにする。
4,リスク対応・・・4種類ある。
1,リスク回避・・・損失額が大きく、発生率が高いリスクは排除する。
2,リスク移転・・・損失額が大きく、発生率の少ないリスクは他社に移転する。
3,リスク評価・・・損失額が小さく、発生率が高いリスクは軽減させる。
4,リスク受容・・・損失額が小さく、発生率の少ないリスクはそのままにしておく。
インシデント・・・セキュリティの事故。
不正のトライアングル・・・3つの要因があると不正が起きる。
1,動機・・・ストレス、不満。
2,機会・・・家で仕事をしている。
3,正当性・・・残業、給料が低い(言い訳)
JVN・・・日本のセキュリティサイト対策のサイト。
CSIRT(シーサート)・・・セキュリティ対応を専門とする組織
SOC・・・セキュリティを24時間監視。
IPA・・・経済産業省の独立行政法人。ITパスポートの資格を管理。
J-CSIP(サイバー情報共有イニシアティブ)・・・IPAと協力してサイバー攻撃対策。
J-CRAT・・・サイバーレスキュー隊。「標的サイバー攻撃特区別相談窓口」
まとめ
情報セキュリティポリシには3段階あり、基本方針(根本的な考え方を経営陣が決める)と対策方針(その根本的な考え方で管理者が基準を作る)と実施手順(マニュアルなどで現場の人間が行う)の3種類からなる。
セキュリティの3大要素はSIM適合性評価制度においても重要なもので今は要素がさらに4つ追加されている。
リスクに対しての対応の仕方の手順は7つあり3つ目まではリスクアセスメントという。
リスクアセスメントは予防みたいな考え方でリスクマネジメントは実際に起こった時の対応みたいなイメージ。
近年はセキュリティ事故が多いのでサイバー保険に入ったりして対策をする。それと同時になぜ起こるのかという部分は不正のトライアングルを軸に考えていく。
国としてもセキュリティに関しては対策を打っており、情報セキュリティ委員会を置けだの、もし不正アクセスがあれば届出を受け付けたり、それをもとに注意喚起をしてくれたりしている。