Hatena::Groupbook

すまいりブックレビュー

「Smily Books Blog」(2014年からはこちら)

2003-06-06

[][]情報セキュリティポリシーの実践的構築手法 打川和男(オーム社) 22:53

1.情報セキュリティポリシーとは?

(1)リスクの値

情報資産の価値×脅威×脆弱性

(2)リスクの"取扱い"

①無くすのか(除去)②減らすのか(軽減)③他へ移すのか(転化)④許すのか(許容)をリスクの値を基準値と比較して判断する。

2.ポリシー策定で利用されるガイドライン

(1)BS7799-Part2

情報セキュリティマネジメント対象。BSIが発行、UKAS(英国認定機関)認定。

Part1のみJISX5080でJIS化。

(2)ISMS適合性評価制度

情報セキュリティマネジメント対象。JIPDEC(日本情報処理開発協会)が発行及び認定。

(3)ISO/IEC TR13335

ITセキュリティマネジメント対象。TR X0036でJIS化。

(4)ISO/IEC 15408

ハードウェア・ソフトウェア製品または、システム対象。JISX5070でJIS化。

(5)プライバシー評価登録制度(要求事項)

個人情報保護マネジメント対象。JIS Q15001でJIS化。

3.セキュリティ対策に関する3つの特性

(1)IT発展速度の特性

各メーカ、ベンダはセキュリティの継続性を(無償では)保証しない。

(2)対策の考え方の特性

一番重要なのは漏洩があった時どうするかの危機管理

(3)市場のセキュリティ事故の特性

主原因はヒューマンエラー(技術のみの対策の限界)

4.情報セキュリティポリシー構築失敗の要因

(1)構築に時間がかかりすぎて途中で断念してしまう

(2)情報セキュリティポリシー自体の運用が出来ていない

5.情報セキュリティポリシー構築手法

(1)守るべきポリシーの効果(メリット)と負荷(デメリット)を明確にするため、

複数案(3案程度)洗い出し、その中の折衷案で決定とするのが良い。

(2)リスクアセスメントは、その調査対象毎に手段を使い分ける。

①自ら足を運んで目で見て確認(現場観察)

②自ら足を運んで耳で聞いて確認(現場インタビュー)

③専門家に依頼(ネットワーク脆弱性診断などの外部委託

④現場に書いてもらい確認(調査表、アンケートなど)

(3)リスク対策法決定までの最適プロセス

機密性・完全性・可用性だけでなく、

①利便性②実現性③有効性④コストとのバランスを考慮する。