中小企業のIT担当者必携 本気のセキュリティ対策ガイド
書籍情報
発売日 : 2020年01月23日
著者/編集 : 佐々木 伸彦
出版社 : 技術評論社
発行形態 : 単行本
書籍説明
内容紹介
情報資産のリスクを正しく評価して対策を組織的に推進させるためのノウハウ満載。
目次
■Part 1:基礎編
●第1章:今さら聞けない情報セキュリティの疑問
・Q1.うちの会社にもサイバー攻撃ってくるの?
サイバー攻撃の状況がわかるサイト
脆弱なシステムを探し回る行為とは
コラム:「情報セキュリティ」と「サイバーセキュリティ」
・Q2.うちの会社を攻撃しても何の得もないと思うけど?
踏み台サーバとは
価値のある情報がないとしても
・Q3.ウイルス対策ソフトを導入しているけど、これだけじゃダメなの?
きちんと更新しているウイルス対策ソフトでも検知できない場合とは
・Q4.最新の対策製品を導入しているから、うちの会社は安心じゃないの?
対策製品の機能を発揮するには
・Q5.セキュリティ事故は一度も発生していないけど、それでも対策って必要?
実は攻撃に遭っている場合も
・Q6.そもそもサイバー攻撃って誰が何のためにやっているの?
あらゆるものが売買されるダークウェブ
五輪開催を目前にした日本が狙われているってホント?
・Q7.対策の必要性はわかったけど、具体的に何から始めればいいの?
うちの会社は小さいので、セキュリティ対策に人もお金もかけられません
・Q8.リスクの大小は何で判断するの?
●第2章:情報セキュリティの基礎知識
・2-1:情報セキュリティの必要性
情報の適切な取り扱いは企業経営の重要課題
・2-2:守るべき情報資産とは
・2-3:情報セキュリティの3要素
情報セキュリティの目的
情報資産の価値を測る指標
情報セキュリティの3要素
情報資産の評価
コラム:データ/インフォメーション/インテリジェンス
・2-4:脅威
脅威の種類
脅威の動向を把握する
・2-5:脆弱性
脆弱性の種類
・2-6:情報資産を守るための4つの視点
技術的な対策
組織的な対策
人的な対策
物理的な対策
●第3章:情報資産とリスクの関係
・3-1:情報資産の評価基準
機密性の定義例
完全性の定義例
可用性の定義例
コラム:情報資産の機密性・完全性・可用性に基づく重要度の定義
・3-2:情報資産の重要度
社員名簿の重要度を考える
その他の情報資産の重要度を考える
・3-3:情報資産のライフサイクル
各フェーズに潜む脅威
・3-4:情報セキュリティリスクとは~情報資産とリスクの関係性
情報資産の保有によりリスクは発生
リスクを増大させる要因
リスクから導き出されるもの
リスク低減にやるべきこと
●第4章:企業におけるリスク管理
・4-1:リスクアセスメントの基本的な流れ
リスク特定
リスク分析
リスク評価
・4-2:リスクアセスメントの手法
非形式的アプローチ
ベースラインアプローチ
詳細リスク分析
組み合わせアプローチ
・4-3:リスクアセスメントの活用方法
リスクアセスメントの進め方
リスクアセスメント手法の組み合わせ方
・4-4:リスク対応の考え方
リスク回避【影響度:大、発生頻度:大】
リスク移転(転嫁)【影響度:大、発生頻度:低】
リスク保有(受容)【影響度:低、発生頻度:低】
リスク低減【上記3つ以外】
■Part 2:実践編
●第5章:情報セキュリティ対策の全体像を理解しよう
・5-1:対策を推進するために重要なこと
・5-2:情報セキュリティ対策の流れ
・5-3:①基本方針を作る(トップが宣言する)
基本方針を宣言する意味
・5-4:②体制を整備する(リソースを確保する)
担当者を誰にするか
・5-5:③現状を把握する(リスクを明確にする)
リスクアセスメントを実施する
・5-6:④PDCAを回す(計画を作る/推進する/点検する/改善する)
情報セキュリティのPDCA
・5-7:⑤インシデントに備える(備えあれば憂いなし)
インシデントは完全にはなくせないことを前提とする
迅速にインシデントに備えるために
●第6章:基本方針と体制図を作成しよう
・6-1:情報セキュリティポリシー
情報セキュリティに関する管理文書
情報セキュリティポリシーの必要性と効果
情報セキュリティポリシーを周知して理解してもらう
・6-2:基本方針書
組織のトップの名前で策定する意味
基本方針書に記載する内容
基本方針書のサンプル
・6-3:体制図/組織図
どのような体制がよいのか
体制を構成する担当者の役割
情報セキュリティ委員会の委員長【経営層(社長、理事、取締役など)】
最高情報セキュリティ責任者(CISO)【情報セキュリティ部門の責任者】
情報セキュリティ推進担当者
●第7章:計画を立案しよう
・7-1:ベースラインアプローチの進め方
5分でできる! 情報セキュリティ自社診断(IPA)
・7-2:詳細リスク分析の進め方
実施手順
①実施範囲(スコープ)の選定
②実施のための準備
③情報資産の洗い出し
④情報資産の評価
⑤情報資産に対するリスク評価
自前でできる詳細リスク分析
・7-3:対応計画を作成しよう
①リスクに対する実施事項の検討
②リスク対応計画書の作成
③承認および周知
④進捗管理および見直し
⑤実施事項の有効性評価
●第8章:情報資産を特定しよう(人事部の場合)
・8-1:人事部の資産管理台帳(例)
・8-2:各項目を記入する際の注意点
①管理部署、担当者名
②業務分類
③情報資産名称
④媒体
⑤保存先
⑥件数
⑦個人情報の有無
⑧保存期限
⑨利用範囲
⑩備考
●第9章:組織的にセキュリティ対策を推進するために
・9-1:人や組織の意識がもっとも重要
・9-2:経営層から全社員に繰り返し伝えてもらう
全社員が集まる機会があまりない場合
・9-3:意識を向上するために実施すべきこと
情報セキュリティポリシーを周知するために
情報セキュリティに関する社内研修を実施しよう
内部監査(自己点検)をしよう
・9-4:定期的にセキュリティポリシーや規定を見直す
●第10章:インシデントに備えるために
・10-1:インシデント対応の基本
対応次第で評価される場合もある
・10-2:インシデントの対応力を確認する
組織対応力ベンチマークチェックシート
・10-3:関連するドキュメント(テンプレート)を準備する
インシデント受付表(記録表)
インシデント発生報告書/経過報告書/最終報告書
インシデント対応フロー/対応手順書
インシデント発生時の確認事項
●エピローグ:経営者の方へお伝えしたいこと
・11-1:セキュリティリスクは経営リスク
保有する情報資産の価値が高いほどリスクが高くなる
情報セキュリティの推進は経営者の責務
情報セキュリティは投資
・11-2:ビジネスで失うと一番こわいもの
法的責任と社会的責任も問われる
・11-3:直接被害よりも怖い間接被害
間接被害とは
・11-4:インシデントは必ず発生することを前提とする
・11-5:これだけはやっておいてください(経営者の責務)
先頭に立つ!
リソースを確保する! 体制を整備する!
サプライチェーンにも気を配る!
情報収集と積極的な交流!
・11-6:サイバーセキュリティ経営ガイドライン
サイバーセキュリティ経営ガイドライン V2.0(経産省)
その他の情報
■Appendix:参考資料
●Appendix 1:フレームワーク、ガイドライン
・A1-1:CIS Critical Security Contro(l CSC)
概要
活用が適している組織
実施担当者
活用方法
活用における留意点
参考情報
・A1-2:Cyber Security Framework 1.1(重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版)
概要
対策項目
活用が適している組織
実施担当者
活用方法
●Appendix 2:クラウドサービスの情報セキュリティ
・A2-1:クラウドサービスの3形態
・A2-2:クラウドサービスの情報セキュリティ
クラウドサービスのセキュリティ事故は誰の責任?
参考にできる手引きやガイドライン
クラウドサービスのセキュリティ対策
・A2-3:クラウドサービスの選択時に参考になる認証
●Appendix 3:情報セキュリティの主な対策
・A3-1:ネットワーク対策
ファイアウォール(Firewall)
IDS(Intrusion Detection System;侵入検知システム)
IPS(Intrusion Prevention System;侵入防御システム)
WAF(Web Application Firewall)
URLフィルタリング
UTM(Unified Threat Management)
TLS/SSL
・A3-2:コンテンツ保護
ウイルス対策
サンドボックス/動的解析
メールフィルタリング
暗号化
DLP(Data Loss Prevention)
・A3-3:システム対策
主体認証
二要素認証/多要素認証
認可(権限管理、ロール管理)
証跡(ログ管理)
脆弱性診断/ペネトレーションテスト(侵入検査)
・A3-4:運用管理・インシデント対応
資産管理
SIEM(Security Information and Event Management)
システムの冗長化/バックアップ
デジタルフォレンジックス
EDR(Endpoint Detection and Response)
●Appendix 4:情報セキュリティに関するサービス・URL
・A4-1:情報セキュリティサービスの利用
情報セキュリティ教育
脆弱性診断/ペネトレーションテスト(侵入検査)
インシデント対応支援サービス(緊急対応支援サービス)
デジタルフォレンジック
情報セキュリティ監査
情報セキュリティ対策製品の導入支援、運用支援
情報セキュリティコンサルティング
・A4-2:情報セキュリティ対策に役立つ情報
中小企業の情報セキュリティ対策ガイドライン(IPA)
中小企業向けサイバーセキュリティ対策の極意(東京都産業労働局)
小さな中小企業とNPO向け情報セキュリティハンドブック
Ver.1.00(平成31年4月19日)
サイバーセキュリティ経営ガイドライン [Ver.2.0(] 経済産業省/IPA)
組織における内部不正防止ガイドライン(IPA)
情報セキュリティ対策ベンチマーク(IPA)
脆弱性対策情報ポータルサイト(IPA/JPCERTコーディネーションセンター)
情報セキュリティマネジメント試験(IPA)
SECURITY ACTION(IPA)
情報セキュリティ10大脅威(IPA)
映像で知る情報セキュリティ(IPA)
●Appendix 5:本書で使用する主な用語
●第1章:今さら聞けない情報セキュリティの疑問
・Q1.うちの会社にもサイバー攻撃ってくるの?
サイバー攻撃の状況がわかるサイト
脆弱なシステムを探し回る行為とは
コラム:「情報セキュリティ」と「サイバーセキュリティ」
・Q2.うちの会社を攻撃しても何の得もないと思うけど?
踏み台サーバとは
価値のある情報がないとしても
・Q3.ウイルス対策ソフトを導入しているけど、これだけじゃダメなの?
きちんと更新しているウイルス対策ソフトでも検知できない場合とは
・Q4.最新の対策製品を導入しているから、うちの会社は安心じゃないの?
対策製品の機能を発揮するには
・Q5.セキュリティ事故は一度も発生していないけど、それでも対策って必要?
実は攻撃に遭っている場合も
・Q6.そもそもサイバー攻撃って誰が何のためにやっているの?
あらゆるものが売買されるダークウェブ
五輪開催を目前にした日本が狙われているってホント?
・Q7.対策の必要性はわかったけど、具体的に何から始めればいいの?
うちの会社は小さいので、セキュリティ対策に人もお金もかけられません
・Q8.リスクの大小は何で判断するの?
●第2章:情報セキュリティの基礎知識
・2-1:情報セキュリティの必要性
情報の適切な取り扱いは企業経営の重要課題
・2-2:守るべき情報資産とは
・2-3:情報セキュリティの3要素
情報セキュリティの目的
情報資産の価値を測る指標
情報セキュリティの3要素
情報資産の評価
コラム:データ/インフォメーション/インテリジェンス
・2-4:脅威
脅威の種類
脅威の動向を把握する
・2-5:脆弱性
脆弱性の種類
・2-6:情報資産を守るための4つの視点
技術的な対策
組織的な対策
人的な対策
物理的な対策
●第3章:情報資産とリスクの関係
・3-1:情報資産の評価基準
機密性の定義例
完全性の定義例
可用性の定義例
コラム:情報資産の機密性・完全性・可用性に基づく重要度の定義
・3-2:情報資産の重要度
社員名簿の重要度を考える
その他の情報資産の重要度を考える
・3-3:情報資産のライフサイクル
各フェーズに潜む脅威
・3-4:情報セキュリティリスクとは~情報資産とリスクの関係性
情報資産の保有によりリスクは発生
リスクを増大させる要因
リスクから導き出されるもの
リスク低減にやるべきこと
●第4章:企業におけるリスク管理
・4-1:リスクアセスメントの基本的な流れ
リスク特定
リスク分析
リスク評価
・4-2:リスクアセスメントの手法
非形式的アプローチ
ベースラインアプローチ
詳細リスク分析
組み合わせアプローチ
・4-3:リスクアセスメントの活用方法
リスクアセスメントの進め方
リスクアセスメント手法の組み合わせ方
・4-4:リスク対応の考え方
リスク回避【影響度:大、発生頻度:大】
リスク移転(転嫁)【影響度:大、発生頻度:低】
リスク保有(受容)【影響度:低、発生頻度:低】
リスク低減【上記3つ以外】
■Part 2:実践編
●第5章:情報セキュリティ対策の全体像を理解しよう
・5-1:対策を推進するために重要なこと
・5-2:情報セキュリティ対策の流れ
・5-3:①基本方針を作る(トップが宣言する)
基本方針を宣言する意味
・5-4:②体制を整備する(リソースを確保する)
担当者を誰にするか
・5-5:③現状を把握する(リスクを明確にする)
リスクアセスメントを実施する
・5-6:④PDCAを回す(計画を作る/推進する/点検する/改善する)
情報セキュリティのPDCA
・5-7:⑤インシデントに備える(備えあれば憂いなし)
インシデントは完全にはなくせないことを前提とする
迅速にインシデントに備えるために
●第6章:基本方針と体制図を作成しよう
・6-1:情報セキュリティポリシー
情報セキュリティに関する管理文書
情報セキュリティポリシーの必要性と効果
情報セキュリティポリシーを周知して理解してもらう
・6-2:基本方針書
組織のトップの名前で策定する意味
基本方針書に記載する内容
基本方針書のサンプル
・6-3:体制図/組織図
どのような体制がよいのか
体制を構成する担当者の役割
情報セキュリティ委員会の委員長【経営層(社長、理事、取締役など)】
最高情報セキュリティ責任者(CISO)【情報セキュリティ部門の責任者】
情報セキュリティ推進担当者
●第7章:計画を立案しよう
・7-1:ベースラインアプローチの進め方
5分でできる! 情報セキュリティ自社診断(IPA)
・7-2:詳細リスク分析の進め方
実施手順
①実施範囲(スコープ)の選定
②実施のための準備
③情報資産の洗い出し
④情報資産の評価
⑤情報資産に対するリスク評価
自前でできる詳細リスク分析
・7-3:対応計画を作成しよう
①リスクに対する実施事項の検討
②リスク対応計画書の作成
③承認および周知
④進捗管理および見直し
⑤実施事項の有効性評価
●第8章:情報資産を特定しよう(人事部の場合)
・8-1:人事部の資産管理台帳(例)
・8-2:各項目を記入する際の注意点
①管理部署、担当者名
②業務分類
③情報資産名称
④媒体
⑤保存先
⑥件数
⑦個人情報の有無
⑧保存期限
⑨利用範囲
⑩備考
●第9章:組織的にセキュリティ対策を推進するために
・9-1:人や組織の意識がもっとも重要
・9-2:経営層から全社員に繰り返し伝えてもらう
全社員が集まる機会があまりない場合
・9-3:意識を向上するために実施すべきこと
情報セキュリティポリシーを周知するために
情報セキュリティに関する社内研修を実施しよう
内部監査(自己点検)をしよう
・9-4:定期的にセキュリティポリシーや規定を見直す
●第10章:インシデントに備えるために
・10-1:インシデント対応の基本
対応次第で評価される場合もある
・10-2:インシデントの対応力を確認する
組織対応力ベンチマークチェックシート
・10-3:関連するドキュメント(テンプレート)を準備する
インシデント受付表(記録表)
インシデント発生報告書/経過報告書/最終報告書
インシデント対応フロー/対応手順書
インシデント発生時の確認事項
●エピローグ:経営者の方へお伝えしたいこと
・11-1:セキュリティリスクは経営リスク
保有する情報資産の価値が高いほどリスクが高くなる
情報セキュリティの推進は経営者の責務
情報セキュリティは投資
・11-2:ビジネスで失うと一番こわいもの
法的責任と社会的責任も問われる
・11-3:直接被害よりも怖い間接被害
間接被害とは
・11-4:インシデントは必ず発生することを前提とする
・11-5:これだけはやっておいてください(経営者の責務)
先頭に立つ!
リソースを確保する! 体制を整備する!
サプライチェーンにも気を配る!
情報収集と積極的な交流!
・11-6:サイバーセキュリティ経営ガイドライン
サイバーセキュリティ経営ガイドライン V2.0(経産省)
その他の情報
■Appendix:参考資料
●Appendix 1:フレームワーク、ガイドライン
・A1-1:CIS Critical Security Contro(l CSC)
概要
活用が適している組織
実施担当者
活用方法
活用における留意点
参考情報
・A1-2:Cyber Security Framework 1.1(重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版)
概要
対策項目
活用が適している組織
実施担当者
活用方法
●Appendix 2:クラウドサービスの情報セキュリティ
・A2-1:クラウドサービスの3形態
・A2-2:クラウドサービスの情報セキュリティ
クラウドサービスのセキュリティ事故は誰の責任?
参考にできる手引きやガイドライン
クラウドサービスのセキュリティ対策
・A2-3:クラウドサービスの選択時に参考になる認証
●Appendix 3:情報セキュリティの主な対策
・A3-1:ネットワーク対策
ファイアウォール(Firewall)
IDS(Intrusion Detection System;侵入検知システム)
IPS(Intrusion Prevention System;侵入防御システム)
WAF(Web Application Firewall)
URLフィルタリング
UTM(Unified Threat Management)
TLS/SSL
・A3-2:コンテンツ保護
ウイルス対策
サンドボックス/動的解析
メールフィルタリング
暗号化
DLP(Data Loss Prevention)
・A3-3:システム対策
主体認証
二要素認証/多要素認証
認可(権限管理、ロール管理)
証跡(ログ管理)
脆弱性診断/ペネトレーションテスト(侵入検査)
・A3-4:運用管理・インシデント対応
資産管理
SIEM(Security Information and Event Management)
システムの冗長化/バックアップ
デジタルフォレンジックス
EDR(Endpoint Detection and Response)
●Appendix 4:情報セキュリティに関するサービス・URL
・A4-1:情報セキュリティサービスの利用
情報セキュリティ教育
脆弱性診断/ペネトレーションテスト(侵入検査)
インシデント対応支援サービス(緊急対応支援サービス)
デジタルフォレンジック
情報セキュリティ監査
情報セキュリティ対策製品の導入支援、運用支援
情報セキュリティコンサルティング
・A4-2:情報セキュリティ対策に役立つ情報
中小企業の情報セキュリティ対策ガイドライン(IPA)
中小企業向けサイバーセキュリティ対策の極意(東京都産業労働局)
小さな中小企業とNPO向け情報セキュリティハンドブック
Ver.1.00(平成31年4月19日)
サイバーセキュリティ経営ガイドライン [Ver.2.0(] 経済産業省/IPA)
組織における内部不正防止ガイドライン(IPA)
情報セキュリティ対策ベンチマーク(IPA)
脆弱性対策情報ポータルサイト(IPA/JPCERTコーディネーションセンター)
情報セキュリティマネジメント試験(IPA)
SECURITY ACTION(IPA)
情報セキュリティ10大脅威(IPA)
映像で知る情報セキュリティ(IPA)
●Appendix 5:本書で使用する主な用語
著者情報
佐々木 伸彦
佐々木 伸彦(ささき のぶひこ)
1977年、東京都町田市生まれ、青山学院大学卒。B型。
ストーンビートセキュリティ株式会社、代表取締役。
国内大手SIer にて、セキュリティ技術を中心としたシステムの提案、設計、構築などに10年ほど従事。2010年に外資系セキュリティベンダーへ入社。セキュリティエバンジェリストとして脅威動向や攻撃手法の調査・研修、普及啓発に尽力したのち、2015年にストーンビートセキュリティを設立。2016年から外務省最高情報セキュリティ責任者(CISO)補佐官を務める。ストーンビートセキュリティを率いる経営者のかたわら、ペネトレーションテストやセキュリティコンサルティング、トレーニング講師など幅広く活躍中。国内で開催されたCTFでの優勝経験やペネトレーションテスト(侵入検査)のスキルを試すHack The BoxでHacker称号を持つ。CISSP、CISA、GCFA、LPIC-3 Security。著書に『【イラスト図解満載】情報セキュリティの基礎知識』(技術評論社)などがある。
佐々木, 伸彦, 1977-
