第一回情報モラル・セキュリティ分科会(大阪) 議事録
| 第一回情報モラル・セキュリティ分科会(大阪) 議事録 |
| 日時: |
2003/10/1(水) 14:30〜17:30 |
| 会場: |
ヴィアーレ大阪 2F パールルーム |
|
|
|
| 講師: |
帝塚山大学 経営情報学部 教授 高瀬宜士 氏 |
| 発表内容: |
「セキュリティ監査」の事例紹介から、その運用手法について |
|
| 司会・進行: |
情報モラル・セキュリティ分科会 座 長 帝塚山大学 経営情報学部 教授 高瀬宜士 氏
|
|
※当分科会の運営方針により、個人/会社名を特定できる発言、および発表者から公開の許可を得られなかった内容は
議事録より削除されています。あらかじめご了承ください。 |
| |
| ■ |
ディスカッション |
| |
質疑応答 |
| |
| Q: |
日々、アクセスログは収集しているがどのように解析すべきでしょうか?
持ち出しを監視するにはどうすれば良いでしょう? |
| A: |
対策の一つはデータの暗号化ですが、それに加えてアクセスログの収集が効果的です。
収集している事実だけでも牽制になります。相手にメールを送信し、警告を行うことです。 |
| |
|
| Q: |
委託先、再委託先で違法コピー防止モジュールを混入された場合、混入されたかどうか
判断できないのではないでしょうか? |
| A: |
パッケージソフトの場合、混入先がわかりますが、モジュールに仕込まれた場合は容易に判断できないと思います。 |
| |
|
| Q: |
ISMS、プライバシーマーク等、複数のマネジメントシステムが複合しているのでわかりにくいのですが。 |
| A: |
ガイドラインは一本化すべきだと考えています。複雑だと維持していく現場では、大変な負担となります。 |
| |
|
| Q: |
監査業務を行っていますが、ネットワークにつなげるだけで感染するブラスターウイルスに対して
どのような対策を行っていけば良いですか? |
| A: |
クライアントのセキュリティホールにパッチを当てることが基本ですが、もう一つの対策として
クライアント側にもファイヤーウォールを導入することで防ぐことができます。
基本的にはセキュリティホール対策を含め、全社的な方針を決めて進めていくべきです。
ウイルスの中にはWindowsUpdateメールを装う、ソーシャルエンジニアリングウイルスが流行っています。
これからますます、前もって準備を進めることが大切になってくると思います。 |
| |
|
| Q: |
できるだけ人手を介さずに自動でパッチインストールはできないか。 |
| A: |
パッチ導入前には事前に十分な確認を行うことが大切です。
(事務局より)→Officeパッチインストールは弊社の技術にお問合せください。 |
| |
|
| |
開発業務の場合
ワクチンソフトをインストールしてはいけないPC、OSのパッチをインストールできないセグメントがある。
対策→人事規定で個人に責任を負わせる規定を作ってセキュリティを守らせています。
→感染したら感染させた端末の所有者に責任をあて、意識の向上をはかっている。 |
| |
|
| Q: |
Windows以外のOSを使用する動きが活発化していますがどのようにお考えでしょうか? |
| A: |
脱Windowsの動きは自然な流れであり、多様化の動きはもっともだと思います。
(事務局より)→これらの動きもあり、弊社ではオープンソース分科会を催します。そちらもご利用ください。 |
| |
|
| Q: |
具体的にどのようなことを監査すべきか、何をすればよいのかわかりません。
簡単に監査できる方法は無いのでしょうか? |
| A: |
定期的にバックアップを取るなど些細なことですが、できることから始めていくことが大切です。
続けていくことで、数年後に体制が出来上がっていきます。
まず、ブラスター対策ならそれで構いませんので始めていきましょう。 |
| |
|
| Q: |
社内の情報セキュリティ管理、資産管理構築にどのぐらい期間が必要でしたか? |
| A: |
今回の例では二人でほぼ1年間程度でした。 |
| |
|
| Q: |
社内の情報セキュリティ管理、資産管理構築にどのぐらい期間が必要でしたか? |
| A: |
今回の例では二人でほぼ1年間程度でした。 |
| |
|
| Q: |
ITに関していくら投資していくか、アプリケーション開発費用など、セキュリティに関してはどのぐらいの予算が必要か。 |
| A: |
情報セキュリティで何を守るべきかを決めれば予算もおのずと出てくると思います。
企業のブランドイメージを守るためにも、企業は正しいことをしなければなりません。 |
| |
|
| Q: |
一撃目は何とか耐えて生き延びるシステムの理想的な階層手段の設計、運用、構築する上で
念頭においておく設計思想の体系化はありますか? |
| A: |
第一攻撃から守るのは難しい課題だと思いますが、今回はセキュリティパッチを配布できていたかが重要でした。
事後対策ですが、A社ような張り紙は効率的な方法だと思います。最後は人間系が重要です。
ネットワークを抜いてパッチを配布する、セキュリティ対策済みPCのみ立ち上げてパッチをとってくる、
このように、ウイルスの侵入を防ぐにはその後の対策を行うことも、とても重要なことです!
(A社事例)
会社に出社すると入り口に張り紙があり、PCを起動する前にネットワークから切り離し、
ウイルス確認対策用CDを動作させてからネットワークにつなぎなさいという指示が出されていました。 |
| |
|
|
| ★ |
セキュリティに対する各社の取り組みなど |
| |
| |
・業務上、個人情報の保護には力を入れている
・説明会を実施し、事業部ごとに社員のセキュリティ教育を進めています。
・部課長の教育を行っていくことも意義があると感じました。
・一度、痛い目にあうと、セキュリティに対する意識が変わる。それを利用する。
・復旧作業が大変であることをみんなに見せることで全社的に意識を浸透させていくことが大切。
・セキュリティ違反は人事と連動する必要性を感じます。
・特に資産管理ツールは導入していません。もっと、収集した端末情報の精度を上げたいと思っています。
・管理規定を作成しました。IT資産管理ツールを導入しましたが、なかなか進んでいません。
・セキュリティポリシはあるが、セキュリティ推進部署の力が弱いので、あまり意味がない状況です。
・セキュリティポリシと作業効率は相反するものです。運用構築が大切。
・ソフトウェアを起動するとソフトウェアの更新情報を上げるツールを使用していました。
常に情報収集していることを示すことでで牽制できます。
・(学校関係)企業内のセキュリティ監査と学生も含めたセキュリティ監査に分ける必要を感じています。
→基本的に、学生は性悪説で考えてよいのではないでしょうか。
→いろいろインストールを行ったマシンも翌日にはクリアできるシンクライアントの環境を利用する。
→最終的には人間に依存しますので、基本的なことはポリシで宣言した方が良いのでは。 |
| |
|
|
| ★ |
まとめ |
| |
| |
ツールは完璧ではないことを念頭におくことが大切です。
責任者が責任を持って、収集した情報を上長にあげる。このような体制作りが必要です。
(事務局より)
浦安市は、まず手作業で情報収集を行い、苦労させてからツールを導入しました。
資料の37ページを参照してください。相応の注意及び監督を尽くしたことを証明しない限り
企業側も罰せられます。ここがポイントです。
相応とは、資産管理ツールで作成する台帳ベースで十分です。 |
| |
|
|
|
