KDDI モバイルセキュリティ特別セミナーモバイルセキュリ...

© Copyright KDDI Corporation 2004

KDDI Mobile Security Seminar

2004年年年年10月月月月12日日日日

KDDI株式会社株式会社株式会社株式会社プラットフォーム開発本部プラットフォーム開発本部プラットフォーム開発本部プラットフォーム開発本部

開発２部開発２部開発２部開発２部開発１グループ開発１グループ開発１グループ開発１グループグループリーダーグループリーダーグループリーダーグループリーダー水本水本水本水本政宏政宏政宏政宏

『『『『 KDDIモバイルセキュリティ特別セミナーモバイルセキュリティ特別セミナーモバイルセキュリティ特別セミナーモバイルセキュリティ特別セミナー』』』』

企業におけるセキュリティ意識の高まりと企業におけるセキュリティ意識の高まりと企業におけるセキュリティ意識の高まりと企業におけるセキュリティ意識の高まりと

ケータイ・ケータイ・ケータイ・ケータイ・PCにおけるモバイルセキュリティについてにおけるモバイルセキュリティについてにおけるモバイルセキュリティについてにおけるモバイルセキュリティについて



１１１１１１１１情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性

２２２２２２２２企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化

３３３３３３３３情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築とＩＳＭＳ認証取得の実務ＩＳＭＳ認証取得の実務ＩＳＭＳ認証取得の実務ＩＳＭＳ認証取得の実務ＩＳＭＳ認証取得の実務ＩＳＭＳ認証取得の実務ＩＳＭＳ認証取得の実務ＩＳＭＳ認証取得の実務

４４４４４４４４モバイルワークスタイルの導入とセキュリティ対策モバイルワークスタイルの導入とセキュリティ対策モバイルワークスタイルの導入とセキュリティ対策モバイルワークスタイルの導入とセキュリティ対策モバイルワークスタイルの導入とセキュリティ対策モバイルワークスタイルの導入とセキュリティ対策モバイルワークスタイルの導入とセキュリティ対策モバイルワークスタイルの導入とセキュリティ対策

◆アジェンダ◆アジェンダ◆アジェンダ◆アジェンダ◆アジェンダ◆アジェンダ◆アジェンダ◆アジェンダ



１１１１１１１１情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性情報セキュリティ対策の必要性

～誰のため、何のための情報セキュリティ対策か～～誰のため、何のための情報セキュリティ対策か～～誰のため、何のための情報セキュリティ対策か～～誰のため、何のための情報セキュリティ対策か～～誰のため、何のための情報セキュリティ対策か～～誰のため、何のための情報セキュリティ対策か～～誰のため、何のための情報セキュリティ対策か～～誰のため、何のための情報セキュリティ対策か～



Small Quiz（（（（以下の項目にいくつあてはまりますか？）以下の項目にいくつあてはまりますか？）以下の項目にいくつあてはまりますか？）以下の項目にいくつあてはまりますか？）

1.1 1.1 1.1 1.1 1.1 1.1 1.1 1.1 自社を守るための情報セキュリティ対策自社を守るための情報セキュリティ対策自社を守るための情報セキュリティ対策自社を守るための情報セキュリティ対策自社を守るための情報セキュリティ対策自社を守るための情報セキュリティ対策自社を守るための情報セキュリティ対策自社を守るための情報セキュリティ対策

１）１）１）１）自社ならではの独自技術や独自デザインを保有している。この技術やデザインが自社ならではの独自技術や独自デザインを保有している。この技術やデザインが自社ならではの独自技術や独自デザインを保有している。この技術やデザインが自社ならではの独自技術や独自デザインを保有している。この技術やデザインが外部外部外部外部

に流出に流出に流出に流出することは、自社にとって大きな不利益となる。することは、自社にとって大きな不利益となる。することは、自社にとって大きな不利益となる。することは、自社にとって大きな不利益となる。

２）２）２）２）社運を賭けた開発プロジェクトが存在し、この開発情報が社運を賭けた開発プロジェクトが存在し、この開発情報が社運を賭けた開発プロジェクトが存在し、この開発情報が社運を賭けた開発プロジェクトが存在し、この開発情報が外部に流出外部に流出外部に流出外部に流出することは、自することは、自することは、自することは、自

社にとって大きな不利益となる。社にとって大きな不利益となる。社にとって大きな不利益となる。社にとって大きな不利益となる。

３）３）３）３）ウイルスを他社に向けて発信するなど、ウイルスを他社に向けて発信するなど、ウイルスを他社に向けて発信するなど、ウイルスを他社に向けて発信するなど、取引先に迷惑を掛ける取引先に迷惑を掛ける取引先に迷惑を掛ける取引先に迷惑を掛けること、結果としてこと、結果としてこと、結果としてこと、結果として自社ブ自社ブ自社ブ自社ブ

ランドが失墜するランドが失墜するランドが失墜するランドが失墜することは、自社にとって大きな不利益となる。ことは、自社にとって大きな不利益となる。ことは、自社にとって大きな不利益となる。ことは、自社にとって大きな不利益となる。

４）４）４）４）個人情報保護法違反などの個人情報保護法違反などの個人情報保護法違反などの個人情報保護法違反などの法令に違反法令に違反法令に違反法令に違反し、し、し、し、処罰を受け処罰を受け処罰を受け処罰を受けたり、監督官庁からたり、監督官庁からたり、監督官庁からたり、監督官庁から指導を受指導を受指導を受指導を受

けけけけたり、たり、たり、たり、取引停止処分を受ける取引停止処分を受ける取引停止処分を受ける取引停止処分を受けることは大きな不利益となる。ことは大きな不利益となる。ことは大きな不利益となる。ことは大きな不利益となる。

５）５）５）５）個人情報流出事件などを起こして個人情報流出事件などを起こして個人情報流出事件などを起こして個人情報流出事件などを起こして個人利用者からそっぽをむかれる個人利用者からそっぽをむかれる個人利用者からそっぽをむかれる個人利用者からそっぽをむかれることは、自社にことは、自社にことは、自社にことは、自社に

とって大きな不利益となる。とって大きな不利益となる。とって大きな不利益となる。とって大きな不利益となる。

６）６）６）６）親会社や重要な取引先から親会社や重要な取引先から親会社や重要な取引先から親会社や重要な取引先から情報セキュリティ対策を要求されており情報セキュリティ対策を要求されており情報セキュリティ対策を要求されており情報セキュリティ対策を要求されており、情報セキュリティ、情報セキュリティ、情報セキュリティ、情報セキュリティ

対策の実施を怠ることは、取引上、大きな不利益となる。対策の実施を怠ることは、取引上、大きな不利益となる。対策の実施を怠ることは、取引上、大きな不利益となる。対策の実施を怠ることは、取引上、大きな不利益となる。



次のような問題でお悩みではありませんか？次のような問題でお悩みではありませんか？次のような問題でお悩みではありませんか？次のような問題でお悩みではありませんか？

1.2 1.2 1.2 1.2 1.2 1.2 1.2 1.2 情報セキュリティ対策を巡る不安と不満情報セキュリティ対策を巡る不安と不満情報セキュリティ対策を巡る不安と不満情報セキュリティ対策を巡る不安と不満情報セキュリティ対策を巡る不安と不満情報セキュリティ対策を巡る不安と不満情報セキュリティ対策を巡る不安と不満情報セキュリティ対策を巡る不安と不満

情報セキュリティ対策情報セキュリティ対策情報セキュリティ対策情報セキュリティ対策

技術的な困難さ技術的な困難さ技術的な困難さ技術的な困難さどこから手をつけたらどこから手をつけたらどこから手をつけたらどこから手をつけたらよいのかわからないよいのかわからないよいのかわからないよいのかわからない

実施の目的実施の目的実施の目的実施の目的何のために実施何のために実施何のために実施何のために実施

するのかわからないするのかわからないするのかわからないするのかわからない現実的な対策現実的な対策現実的な対策現実的な対策

運用の手間を考えた運用の手間を考えた運用の手間を考えた運用の手間を考えた対策が必要対策が必要対策が必要対策が必要

対応人材の問題対応人材の問題対応人材の問題対応人材の問題自社内に対応できる自社内に対応できる自社内に対応できる自社内に対応できるだけのだけのだけのだけの人材がいない人材がいない人材がいない人材がいない

社内予算の問題社内予算の問題社内予算の問題社内予算の問題費用、効果の程度が費用、効果の程度が費用、効果の程度が費用、効果の程度が

わからないわからないわからないわからない



２２２２２２２２企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化企業をとりまく環境の変化



事件事件事件事件

�不正アクセス�機密情報漏洩�個人情報漏洩

日本企業日本企業日本企業日本企業

社会の変化社会の変化社会の変化社会の変化

�インターネットの普及�ネットワークのブロードバンド化�ＰＣの個人への普及

法制度法制度法制度法制度

�不正アクセス禁止法�個人情報保護法

社会の要請社会の要請社会の要請社会の要請

�コンプライアンス

制度対応制度対応制度対応制度対応�BS7799 ／／／／ISMS適合性評価制度適合性評価制度適合性評価制度適合性評価制度

�プライバシー・マーク制度プライバシー・マーク制度プライバシー・マーク制度プライバシー・マーク制度

雇用環境の変化雇用環境の変化雇用環境の変化雇用環境の変化

�終身雇用制の終焉�業務委託・アウトソーシング�在宅勤務�モバイルが会社業務の必需品に

2.1 2.1 2.1 2.1 2.1 2.1 2.1 2.1 企業を取り巻く情報セキュリティ環境の変化企業を取り巻く情報セキュリティ環境の変化企業を取り巻く情報セキュリティ環境の変化企業を取り巻く情報セキュリティ環境の変化企業を取り巻く情報セキュリティ環境の変化企業を取り巻く情報セキュリティ環境の変化企業を取り巻く情報セキュリティ環境の変化企業を取り巻く情報セキュリティ環境の変化

技術対応技術対応技術対応技術対応�Firewall等のセキュリティ機器の導入等のセキュリティ機器の導入等のセキュリティ機器の導入等のセキュリティ機器の導入

�企業としての教育、指導企業としての教育、指導企業としての教育、指導企業としての教育、指導



2.2 2.2 2.2 2.2 2.2 2.2 2.2 2.2 企業組織としての情報セキュリティ対策企業組織としての情報セキュリティ対策企業組織としての情報セキュリティ対策企業組織としての情報セキュリティ対策企業組織としての情報セキュリティ対策企業組織としての情報セキュリティ対策企業組織としての情報セキュリティ対策企業組織としての情報セキュリティ対策

企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル企業組織としての情報セキュリティレベル

情報セキュリティ上の弱点を見つけ、改良して行く情報セキュリティ上の弱点を見つけ、改良して行く情報セキュリティ上の弱点を見つけ、改良して行く情報セキュリティ上の弱点を見つけ、改良して行く情報セキュリティ上の弱点を見つけ、改良して行く情報セキュリティ上の弱点を見つけ、改良して行く情報セキュリティ上の弱点を見つけ、改良して行く情報セキュリティ上の弱点を見つけ、改良して行くプロセスプロセスプロセスプロセスプロセスプロセスプロセスプロセスなしにはなしにはなしにはなしにはなしにはなしにはなしにはなしには

企業組織全体の情報セキュリティレベルは企業組織全体の情報セキュリティレベルは企業組織全体の情報セキュリティレベルは企業組織全体の情報セキュリティレベルは企業組織全体の情報セキュリティレベルは企業組織全体の情報セキュリティレベルは企業組織全体の情報セキュリティレベルは企業組織全体の情報セキュリティレベルは向上しない向上しない向上しない向上しない向上しない向上しない向上しない向上しない。。。。。。。。

個々のセキュリティ対策個々のセキュリティ対策個々のセキュリティ対策個々のセキュリティ対策

企業組織の企業組織の企業組織の企業組織の

レベルレベルレベルレベル

組織全体のセキュリティレベルは、組織全体のセキュリティレベルは、組織全体のセキュリティレベルは、組織全体のセキュリティレベルは、最低レベルの箇所に一致する最低レベルの箇所に一致する最低レベルの箇所に一致する最低レベルの箇所に一致する

情報セキュリティ事故は、弱い箇所情報セキュリティ事故は、弱い箇所情報セキュリティ事故は、弱い箇所情報セキュリティ事故は、弱い箇所から発生するから発生するから発生するから発生する



レベル０：レベル０：レベル０：レベル０：ポリシーも作成されていないポリシーも作成されていないポリシーも作成されていないポリシーも作成されていないレベル０：レベル０：レベル０：レベル０：ポリシーも作成されていないポリシーも作成されていないポリシーも作成されていないポリシーも作成されていない

レベル１：レベル１：レベル１：レベル１：ポリシーはあるが、実行されていないポリシーはあるが、実行されていないポリシーはあるが、実行されていないポリシーはあるが、実行されていないレベル１：レベル１：レベル１：レベル１：ポリシーはあるが、実行されていないポリシーはあるが、実行されていないポリシーはあるが、実行されていないポリシーはあるが、実行されていない

レベル２：レベル２：レベル２：レベル２：ポリシーを策定し、行動を起こしているポリシーを策定し、行動を起こしているポリシーを策定し、行動を起こしているポリシーを策定し、行動を起こしているレベル２：レベル２：レベル２：レベル２：ポリシーを策定し、行動を起こしているポリシーを策定し、行動を起こしているポリシーを策定し、行動を起こしているポリシーを策定し、行動を起こしている

レベル３：レベル３：レベル３：レベル３：全体のマネジメントサイクルが回っている全体のマネジメントサイクルが回っている全体のマネジメントサイクルが回っている全体のマネジメントサイクルが回っているレベル３：レベル３：レベル３：レベル３：全体のマネジメントサイクルが回っている全体のマネジメントサイクルが回っている全体のマネジメントサイクルが回っている全体のマネジメントサイクルが回っている

レベル４：レベル４：レベル４：レベル４：サイクルの見直しを定期的に行うサイクルの見直しを定期的に行うサイクルの見直しを定期的に行うサイクルの見直しを定期的に行うレベル４：レベル４：レベル４：レベル４：サイクルの見直しを定期的に行うサイクルの見直しを定期的に行うサイクルの見直しを定期的に行うサイクルの見直しを定期的に行う

レベル５：レベル５：レベル５：レベル５：全てのサイクルが有機的に結合している全てのサイクルが有機的に結合している全てのサイクルが有機的に結合している全てのサイクルが有機的に結合しているレベル５：レベル５：レベル５：レベル５：全てのサイクルが有機的に結合している全てのサイクルが有機的に結合している全てのサイクルが有機的に結合している全てのサイクルが有機的に結合している

ISMSISMSISMSISMS認証取得レベル認証取得レベル認証取得レベル認証取得レベルISMSISMSISMSISMS認証取得レベル認証取得レベル認証取得レベル認証取得レベル

ISMSISMSISMSISMS構築レベル構築レベル構築レベル構築レベルISMSISMSISMSISMS構築レベル構築レベル構築レベル構築レベル

ポリシー策定レベルポリシー策定レベルポリシー策定レベルポリシー策定レベルポリシー策定レベルポリシー策定レベルポリシー策定レベルポリシー策定レベル

2.3 2.3 2.3 2.3 2.3 2.3 2.3 2.3 情報セキュリティの成熟度モデル情報セキュリティの成熟度モデル情報セキュリティの成熟度モデル情報セキュリティの成熟度モデル情報セキュリティの成熟度モデル情報セキュリティの成熟度モデル情報セキュリティの成熟度モデル情報セキュリティの成熟度モデル

情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル情報セキュリティ監査のレベル



通信インフラ・ネットワークサービス通信インフラ・ネットワークサービス通信インフラ・ネットワークサービス通信インフラ・ネットワークサービス

運用運用運用運用 IDSIDSIDSIDS

③③③③ 実施手順実施手順実施手順実施手順

基本方針基本方針基本方針基本方針

対策基準対策基準対策基準対策基準

実装実装実装実装////実施実施実施実施

OTPOTPOTPOTP ウイルス対策ウイルス対策ウイルス対策ウイルス対策

②②②②

④④④④ セキュリティ監査セキュリティ監査セキュリティ監査セキュリティ監査

2.4 2.4 2.4 2.4 2.4 2.4 2.4 2.4 企業に求められるセキュリティ要件企業に求められるセキュリティ要件企業に求められるセキュリティ要件企業に求められるセキュリティ要件企業に求められるセキュリティ要件企業に求められるセキュリティ要件企業に求められるセキュリティ要件企業に求められるセキュリティ要件

セキュリティ対策をしているセキュリティ対策をしているセキュリティ対策をしているセキュリティ対策をしている

証明書証明書証明書証明書

セキュリティ対策をしているセキュリティ対策をしているセキュリティ対策をしているセキュリティ対策をしている

証明書証明書証明書証明書

セキュリティに対するセキュリティに対するセキュリティに対するセキュリティに対する

企業の方針（憲法）企業の方針（憲法）企業の方針（憲法）企業の方針（憲法）

セキュリティに対するセキュリティに対するセキュリティに対するセキュリティに対する

企業の方針（憲法）企業の方針（憲法）企業の方針（憲法）企業の方針（憲法）

セキュリティを守るためのセキュリティを守るためのセキュリティを守るためのセキュリティを守るための

対策基準（法律）対策基準（法律）対策基準（法律）対策基準（法律）

セキュリティを守るためのセキュリティを守るためのセキュリティを守るためのセキュリティを守るための

対策基準（法律）対策基準（法律）対策基準（法律）対策基準（法律）

企業の企業の企業の企業の

情報セキュリティポリシー情報セキュリティポリシー情報セキュリティポリシー情報セキュリティポリシー

企業の企業の企業の企業の

情報セキュリティポリシー情報セキュリティポリシー情報セキュリティポリシー情報セキュリティポリシー

セキュリティ対策を実行するためのセキュリティ対策を実行するためのセキュリティ対策を実行するためのセキュリティ対策を実行するための

各種手順書（規則）各種手順書（規則）各種手順書（規則）各種手順書（規則）

セキュリティ対策を実行するためのセキュリティ対策を実行するためのセキュリティ対策を実行するためのセキュリティ対策を実行するための

各種手順書（規則）各種手順書（規則）各種手順書（規則）各種手順書（規則）

セキュリティ対策のセキュリティ対策のセキュリティ対策のセキュリティ対策の

実施実施実施実施


実施実施実施実施

企業のセキュリティ規定企業のセキュリティ規定企業のセキュリティ規定企業のセキュリティ規定

①①①① BS7799/BS7799/BS7799/BS7799/ISMSISMSISMSISMS認証取得認証取得認証取得認証取得

①①①① BS7799/BS7799/BS7799/BS7799/ISMSISMSISMSISMS認証取得認証取得認証取得認証取得


実施、運用実施、運用実施、運用実施、運用

情報セキュリティ情報セキュリティ情報セキュリティ情報セキュリティマネジメントマネジメントマネジメントマネジメント

情報セキュリティ情報セキュリティ情報セキュリティ情報セキュリティマネジメントマネジメントマネジメントマネジメント

FWFWFWFW



2.5 2.5 2.5 2.5 2.5 2.5 2.5 2.5 情報情報情報情報情報情報情報情報セキュリティマネジメントとはセキュリティマネジメントとはセキュリティマネジメントとはセキュリティマネジメントとはセキュリティマネジメントとはセキュリティマネジメントとはセキュリティマネジメントとはセキュリティマネジメントとは

個人情報取得目的個人情報取得目的個人情報取得目的個人情報取得目的の設定の設定の設定の設定

個人情報取得目的個人情報取得目的個人情報取得目的個人情報取得目的個人情報取得目的個人情報取得目的個人情報取得目的個人情報取得目的の設定の設定の設定の設定の設定の設定の設定の設定組織による承認組織による承認組織による承認組織による承認組織による承認組織による承認組織による承認組織による承認組織による承認組織による承認組織による承認組織による承認個人情報取得方法個人情報取得方法個人情報取得方法個人情報取得方法

の確定の確定の確定の確定

個人情報取得方法個人情報取得方法個人情報取得方法個人情報取得方法個人情報取得方法個人情報取得方法個人情報取得方法個人情報取得方法の確定の確定の確定の確定の確定の確定の確定の確定

実際の情報取得実際の情報取得実際の情報取得実際の情報取得実際の情報取得実際の情報取得実際の情報取得実際の情報取得実際の情報取得実際の情報取得実際の情報取得実際の情報取得個別の個人情報個別の個人情報個別の個人情報個別の個人情報保護担当者任命保護担当者任命保護担当者任命保護担当者任命

個別の個人情報個別の個人情報個別の個人情報個別の個人情報個別の個人情報個別の個人情報個別の個人情報個別の個人情報保護担当者任命保護担当者任命保護担当者任命保護担当者任命保護担当者任命保護担当者任命保護担当者任命保護担当者任命

個人情報の個人情報の個人情報の個人情報の保存方法の確定保存方法の確定保存方法の確定保存方法の確定

個人情報の個人情報の個人情報の個人情報の個人情報の個人情報の個人情報の個人情報の保存方法の確定保存方法の確定保存方法の確定保存方法の確定保存方法の確定保存方法の確定保存方法の確定保存方法の確定

個人情報の取扱い者個人情報の取扱い者個人情報の取扱い者個人情報の取扱い者／利用権限確定／利用権限確定／利用権限確定／利用権限確定

個人情報の取扱い者個人情報の取扱い者個人情報の取扱い者個人情報の取扱い者個人情報の取扱い者個人情報の取扱い者個人情報の取扱い者個人情報の取扱い者／利用権限確定／利用権限確定／利用権限確定／利用権限確定／利用権限確定／利用権限確定／利用権限確定／利用権限確定廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化廃棄ルールの明確化

廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄方法の明確化廃棄確認廃棄確認廃棄確認廃棄確認廃棄確認廃棄確認廃棄確認廃棄確認廃棄確認廃棄確認廃棄確認廃棄確認

監視監視監視監視

監査監査監査監査持ち出し禁止持ち出し禁止持ち出し禁止持ち出し禁止

承認承認承認承認

情報主体情報主体情報主体情報主体情報主体情報主体情報主体情報主体情報主体情報主体情報主体情報主体

監視、照会請求、削除請求監視、照会請求、削除請求監視、照会請求、削除請求監視、照会請求、削除請求

業務や情報の流れを表現することができ、組織として管理された状態のこと業務や情報の流れを表現することができ、組織として管理された状態のこと業務や情報の流れを表現することができ、組織として管理された状態のこと業務や情報の流れを表現することができ、組織として管理された状態のこと業務や情報の流れを表現することができ、組織として管理された状態のこと業務や情報の流れを表現することができ、組織として管理された状態のこと業務や情報の流れを表現することができ、組織として管理された状態のこと業務や情報の流れを表現することができ、組織として管理された状態のこと

個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合個人情報漏洩対策の場合



PlanPlanPlanPlanPlanPlanPlanPlan

基本方針・目的・対象基本方針・目的・対象基本方針・目的・対象基本方針・目的・対象管理プロセスの確立管理プロセスの確立管理プロセスの確立管理プロセスの確立

DoDoDoDoDoDoDoDo基本方針に基いた基本方針に基いた基本方針に基いた基本方針に基いた

管理策（対策）の導入管理策（対策）の導入管理策（対策）の導入管理策（対策）の導入・実施・評価情報収集・実施・評価情報収集・実施・評価情報収集・実施・評価情報収集

CheckCheckCheckCheckCheckCheckCheckCheck

プロセスの実施状況プロセスの実施状況プロセスの実施状況プロセスの実施状況・結果の評価・報告・結果の評価・報告・結果の評価・報告・結果の評価・報告

（マネジメントレビュー）（マネジメントレビュー）（マネジメントレビュー）（マネジメントレビュー）

ActActActActActActActAct

是正処置・予防処置是正処置・予防処置是正処置・予防処置是正処置・予防処置の対策を策定し、の対策を策定し、の対策を策定し、の対策を策定し、

継続的な改善実施継続的な改善実施継続的な改善実施継続的な改善実施

情報セキュリティマネジメントサイクル（ＰＤＣＡサイクル）情報セキュリティマネジメントサイクル（ＰＤＣＡサイクル）情報セキュリティマネジメントサイクル（ＰＤＣＡサイクル）情報セキュリティマネジメントサイクル（ＰＤＣＡサイクル）

情報セキュリティ情報セキュリティ情報セキュリティ情報セキュリティマネジメントシステムマネジメントシステムマネジメントシステムマネジメントシステム

の構築、維持の構築、維持の構築、維持の構築、維持改善サイクル改善サイクル改善サイクル改善サイクル

2.6 2.6 2.6 2.6 2.6 2.6 2.6 2.6 ＰＤＣＡサイクルとマネジメントシステムの改善ＰＤＣＡサイクルとマネジメントシステムの改善ＰＤＣＡサイクルとマネジメントシステムの改善ＰＤＣＡサイクルとマネジメントシステムの改善ＰＤＣＡサイクルとマネジメントシステムの改善ＰＤＣＡサイクルとマネジメントシステムの改善ＰＤＣＡサイクルとマネジメントシステムの改善ＰＤＣＡサイクルとマネジメントシステムの改善



３３３３３３３３情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と情報セキュリティポリシーの構築と

ＩＳＭＳ認証取得の実務ＩＳＭＳ認証取得の実務ＩＳＭＳ認証取得の実務ＩＳＭＳ認証取得の実務ＩＳＭＳ認証取得の実務ＩＳＭＳ認証取得の実務ＩＳＭＳ認証取得の実務ＩＳＭＳ認証取得の実務



3.1 3.1 3.1 3.1 3.1 3.1 3.1 3.1 情報セキュリティポリシーとは何か？情報セキュリティポリシーとは何か？情報セキュリティポリシーとは何か？情報セキュリティポリシーとは何か？情報セキュリティポリシーとは何か？情報セキュリティポリシーとは何か？情報セキュリティポリシーとは何か？情報セキュリティポリシーとは何か？

社内でコンピュータを利用する場合の

最高規程社内でコンピュータを利用する場合の

最高規程

（１）（１）（１）（１）自社内の文化や業務動向を反映した内容であることが望ましい。自社内の文化や業務動向を反映した内容であることが望ましい。自社内の文化や業務動向を反映した内容であることが望ましい。自社内の文化や業務動向を反映した内容であることが望ましい。

（２）（２）（２）（２） ISMSISMSISMSISMS認証などの第三者認証取得を想定している場合には、詳細管理策などの認証などの第三者認証取得を想定している場合には、詳細管理策などの認証などの第三者認証取得を想定している場合には、詳細管理策などの認証などの第三者認証取得を想定している場合には、詳細管理策などの認証基準に準じて、策定する必要がある。認証基準に準じて、策定する必要がある。認証基準に準じて、策定する必要がある。認証基準に準じて、策定する必要がある。



3.2 3.2 3.2 3.2 3.2 3.2 3.2 3.2 情報セキュリティポリシーの策定失敗例情報セキュリティポリシーの策定失敗例情報セキュリティポリシーの策定失敗例情報セキュリティポリシーの策定失敗例情報セキュリティポリシーの策定失敗例情報セキュリティポリシーの策定失敗例情報セキュリティポリシーの策定失敗例情報セキュリティポリシーの策定失敗例

失敗例１：失敗例１：失敗例１：失敗例１：他社の事例やサンプルのコピーをそのまま自社ポリシーとした。他社の事例やサンプルのコピーをそのまま自社ポリシーとした。他社の事例やサンプルのコピーをそのまま自社ポリシーとした。他社の事例やサンプルのコピーをそのまま自社ポリシーとした。

●個々の企業には、個々の企業文化があり、個々の企業の作業方法があります。●個々の企業には、個々の企業文化があり、個々の企業の作業方法があります。●個々の企業には、個々の企業文化があり、個々の企業の作業方法があります。●個々の企業には、個々の企業文化があり、個々の企業の作業方法があります。自社の文化を反映しないポリシーは、実務作業の妨げとなったり、社員に受け入自社の文化を反映しないポリシーは、実務作業の妨げとなったり、社員に受け入自社の文化を反映しないポリシーは、実務作業の妨げとなったり、社員に受け入自社の文化を反映しないポリシーは、実務作業の妨げとなったり、社員に受け入れられない可能性が高くなります。れられない可能性が高くなります。れられない可能性が高くなります。れられない可能性が高くなります。

失敗例２：失敗例２：失敗例２：失敗例２：文書は作成したが、誰もポリシーの存在を知らない。文書は作成したが、誰もポリシーの存在を知らない。文書は作成したが、誰もポリシーの存在を知らない。文書は作成したが、誰もポリシーの存在を知らない。

●社内規則とは、策定することが目的ではありません。社員に知らされ、遵守され、●社内規則とは、策定することが目的ではありません。社員に知らされ、遵守され、●社内規則とは、策定することが目的ではありません。社員に知らされ、遵守され、●社内規則とは、策定することが目的ではありません。社員に知らされ、遵守され、企業活動にプラスに作用して初めて、効果的な社内規則と言えます。企業活動にプラスに作用して初めて、効果的な社内規則と言えます。企業活動にプラスに作用して初めて、効果的な社内規則と言えます。企業活動にプラスに作用して初めて、効果的な社内規則と言えます。

失敗例３：失敗例３：失敗例３：失敗例３：罰則だらけのポリシー罰則だらけのポリシー罰則だらけのポリシー罰則だらけのポリシー

●罰則によるポリシー遵守の強化は、●罰則によるポリシー遵守の強化は、●罰則によるポリシー遵守の強化は、●罰則によるポリシー遵守の強化は、ISMSISMSISMSISMS認証にも謳われた方法ですが、罰則だ認証にも謳われた方法ですが、罰則だ認証にも謳われた方法ですが、罰則だ認証にも謳われた方法ですが、罰則だらけでは、会社内の雰囲気が暗くなってしまいます。らけでは、会社内の雰囲気が暗くなってしまいます。らけでは、会社内の雰囲気が暗くなってしまいます。らけでは、会社内の雰囲気が暗くなってしまいます。

その他にも、さまざまな典型的失敗例があります。その他にも、さまざまな典型的失敗例があります。その他にも、さまざまな典型的失敗例があります。その他にも、さまざまな典型的失敗例があります。



3.3 3.3 3.3 3.3 3.3 3.3 3.3 3.3 情報資産情報資産情報資産情報資産情報資産情報資産情報資産情報資産

電子データ電子データ電子データ電子データソフトウェアソフトウェアソフトウェアソフトウェア

書類書類書類書類ファシリティファシリティファシリティファシリティ

人員人員人員人員

ハードウェアハードウェアハードウェアハードウェア

その他その他その他その他（身分証明書等）（身分証明書等）（身分証明書等）（身分証明書等）

無形物を含めたさまざまなものが、情報資産に相当します。無形物を含めたさまざまなものが、情報資産に相当します。無形物を含めたさまざまなものが、情報資産に相当します。無形物を含めたさまざまなものが、情報資産に相当します。無形物を含めたさまざまなものが、情報資産に相当します。無形物を含めたさまざまなものが、情報資産に相当します。無形物を含めたさまざまなものが、情報資産に相当します。無形物を含めたさまざまなものが、情報資産に相当します。



3.4 3.4 3.4 3.4 3.4 3.4 3.4 3.4 情報セキュリティとは情報セキュリティとは情報セキュリティとは情報セキュリティとは情報セキュリティとは情報セキュリティとは情報セキュリティとは情報セキュリティとは

用語定義内容機密性機密性機密性機密性利用権限のない者による情報へのアクセスを制限すること。利用権限のない者による情報へのアクセスを制限すること。利用権限のない者による情報へのアクセスを制限すること。利用権限のない者による情報へのアクセスを制限すること。

完全性完全性完全性完全性情報の内容が正しいこと。情報の内容が正しいこと。情報の内容が正しいこと。情報の内容が正しいこと。

可用性可用性可用性可用性利用権限のある者が、使いたい時に使えること。利用権限のある者が、使いたい時に使えること。利用権限のある者が、使いたい時に使えること。利用権限のある者が、使いたい時に使えること。

脅威脅威脅威脅威実行される可能性のある不正行為実行される可能性のある不正行為実行される可能性のある不正行為実行される可能性のある不正行為

脆弱性脆弱性脆弱性脆弱性不正行為の実行を許す可能性のある弱点不正行為の実行を許す可能性のある弱点不正行為の実行を許す可能性のある弱点不正行為の実行を許す可能性のある弱点

資産価値資産価値資産価値資産価値情報資産の価値。金銭に置き換えることができるものもあれ情報資産の価値。金銭に置き換えることができるものもあれ情報資産の価値。金銭に置き換えることができるものもあれ情報資産の価値。金銭に置き換えることができるものもあれ

ば、自社特有の価値もある。ば、自社特有の価値もある。ば、自社特有の価値もある。ば、自社特有の価値もある。

情報セキュリティとは、重要な情報セキュリティとは、重要な情報セキュリティとは、重要な情報セキュリティとは、重要な情報資産情報資産情報資産情報資産情報資産情報資産情報資産情報資産に対して、機密性、完全性、に対して、機密性、完全性、に対して、機密性、完全性、に対して、機密性、完全性、可用性の３つの属性を保証することである。可用性の３つの属性を保証することである。可用性の３つの属性を保証することである。可用性の３つの属性を保証することである。

StepStepStepStep----1111 重要度の判定重要度の判定重要度の判定重要度の判定

情報資産に対して、情報セキュリティ対策を施す必要があるほど、自社にとって重要で情報資産に対して、情報セキュリティ対策を施す必要があるほど、自社にとって重要で情報資産に対して、情報セキュリティ対策を施す必要があるほど、自社にとって重要で情報資産に対して、情報セキュリティ対策を施す必要があるほど、自社にとって重要で

あるか否かを判別しなければならない。あるか否かを判別しなければならない。あるか否かを判別しなければならない。あるか否かを判別しなければならない。

StepStepStepStep----2222 リスク判定リスク判定リスク判定リスク判定

重要と判定された情報資産が、機密性、完全性、可用性を侵害されるような何らかの重要と判定された情報資産が、機密性、完全性、可用性を侵害されるような何らかの重要と判定された情報資産が、機密性、完全性、可用性を侵害されるような何らかの重要と判定された情報資産が、機密性、完全性、可用性を侵害されるような何らかの

危険性をはらんでいるかどうかを判別しなければならない。危険性をはらんでいるかどうかを判別しなければならない。危険性をはらんでいるかどうかを判別しなければならない。危険性をはらんでいるかどうかを判別しなければならない。

用語の意味

用語の意味

用語の意味

用語の意味



3.5 3.5 3.5 3.5 3.5 3.5 3.5 3.5 重要性の分析方法重要性の分析方法重要性の分析方法重要性の分析方法重要性の分析方法重要性の分析方法重要性の分析方法重要性の分析方法

情報資産情報資産情報資産情報資産 CCCC（機密性）（機密性）（機密性）（機密性） IIII（完全性）（完全性）（完全性）（完全性） AAAA（可用性）（可用性）（可用性）（可用性）

電子メールの内容電子メールの内容電子メールの内容電子メールの内容

（社内のみ）（社内のみ）（社内のみ）（社内のみ）２２２２（社外秘）（社外秘）（社外秘）（社外秘）３３３３（中）（中）（中）（中）４４４４（高い）（高い）（高い）（高い）

人事情報人事情報人事情報人事情報４４４４（機密）（機密）（機密）（機密）４４４４（高い）（高い）（高い）（高い）３３３３（中）（中）（中）（中）

社外向けホームページ社外向けホームページ社外向けホームページ社外向けホームページ

内の情報内の情報内の情報内の情報１１１１（公開）（公開）（公開）（公開）４４４４（高い）（高い）（高い）（高い）５５５５（非常に高い）（非常に高い）（非常に高い）（非常に高い）

イントラアクセス用イントラアクセス用イントラアクセス用イントラアクセス用

IDIDIDID・パスワード・パスワード・パスワード・パスワード４４４４（機密）（機密）（機密）（機密）４４４４（高い）（高い）（高い）（高い）４４４４（高い）（高い）（高い）（高い）

前年度の決算内容前年度の決算内容前年度の決算内容前年度の決算内容１１１１（公開）（公開）（公開）（公開）５５５５（非常に高い）（非常に高い）（非常に高い）（非常に高い）４４４４（高い）（高い）（高い）（高い）

・個々の情報資産に関する・個々の情報資産に関する・個々の情報資産に関する・個々の情報資産に関する重要性重要性重要性重要性重要性重要性重要性重要性を分析するを分析するを分析するを分析する

・自社にとって重要な情報資産とは何か、・自社にとって重要な情報資産とは何か、・自社にとって重要な情報資産とは何か、・自社にとって重要な情報資産とは何か、価値基準価値基準価値基準価値基準価値基準価値基準価値基準価値基準を定めるを定めるを定めるを定める

（評価例）（評価例）（評価例）（評価例）

KDDI モバイルセキュリティ特別セミナーモバイルセキュリ...

Documents

Transcript of KDDI モバイルセキュリティ特別セミナーモバイルセキュリ...