Embed Size (px)
Citation preview
Page 19 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
3.6 3.6 3.6 3.6 3.6 3.6 3.6 3.6 リスク分析方法リスク分析方法リスク分析方法リスク分析方法リスク分析方法リスク分析方法リスク分析方法リスク分析方法
脅威脅威脅威脅威
低低低低 中中中中 高高高高
脆弱性脆弱性脆弱性脆弱性 低低低低 中中中中 高高高高 低低低低 中中中中 高高高高 低低低低 中中中中 高高高高
非常に低い 0000 1111 2222 1111 2222 3333 2222 3333 4444
低い 1111 2222 3333 2222 3333 4444 3333 4444 5555
中 2222 3333 4444 3333 4444 5555 4444 5555 6666
高い 3333 4444 5555 4444 5555 6666 5555 6666 7777
資産価値
資産価値
資産価値
資産価値
非常に高い 4444 5555 6666 5555 6666 7777 6666 7777 8888
脅威脅威脅威脅威、、、、脆弱性脆弱性脆弱性脆弱性、、、、資産価値資産価値資産価値資産価値の3つの観点から、多段階評価を行う。の3つの観点から、多段階評価を行う。の3つの観点から、多段階評価を行う。の3つの観点から、多段階評価を行う。
資産価値が非常に高い(例:購入すると5億円する)情報資産資産価値が非常に高い(例:購入すると5億円する)情報資産資産価値が非常に高い(例:購入すると5億円する)情報資産資産価値が非常に高い(例:購入すると5億円する)情報資産にににに、レベルの高い脅威が、レベルの高い脅威が、レベルの高い脅威が、レベルの高い脅威が
存在し(例:アングラサイトに破壊プログラムがリリースされている)、脆弱存在し(例:アングラサイトに破壊プログラムがリリースされている)、脆弱存在し(例:アングラサイトに破壊プログラムがリリースされている)、脆弱存在し(例:アングラサイトに破壊プログラムがリリースされている)、脆弱性性性性も高いも高いも高いも高い
(例:サーバにパッチ適用がなされていない)状況にあれば、リスク値は『8』となる。(例:サーバにパッチ適用がなされていない)状況にあれば、リスク値は『8』となる。(例:サーバにパッチ適用がなされていない)状況にあれば、リスク値は『8』となる。(例:サーバにパッチ適用がなされていない)状況にあれば、リスク値は『8』となる。
Page 20 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
3.7 3.7 3.7 3.7 3.7 3.7 3.7 3.7 評価値の算出評価値の算出評価値の算出評価値の算出評価値の算出評価値の算出評価値の算出評価値の算出
一般式:一般式:一般式:一般式:
評価値=(機密性+完全性+可用性)×リスク値評価値=(機密性+完全性+可用性)×リスク値評価値=(機密性+完全性+可用性)×リスク値評価値=(機密性+完全性+可用性)×リスク値
評価事例:評価事例:評価事例:評価事例:•機密性は高く(4)、完全性も高く(4)、可用性は中程度(3)の人事情報である。機密性は高く(4)、完全性も高く(4)、可用性は中程度(3)の人事情報である。機密性は高く(4)、完全性も高く(4)、可用性は中程度(3)の人事情報である。機密性は高く(4)、完全性も高く(4)、可用性は中程度(3)の人事情報である。
•資産価値は(自社にとって)高く、脅威と脆弱性は中程度の環境に保管されている。資産価値は(自社にとって)高く、脅威と脆弱性は中程度の環境に保管されている。資産価値は(自社にとって)高く、脅威と脆弱性は中程度の環境に保管されている。資産価値は(自社にとって)高く、脅威と脆弱性は中程度の環境に保管されている。
•結果として、リスク表から算出されるリスク値は、5であった。結果として、リスク表から算出されるリスク値は、5であった。結果として、リスク表から算出されるリスク値は、5であった。結果として、リスク表から算出されるリスク値は、5であった。
評価値:評価値:評価値:評価値:
評価値=(4+4+3)×5=55評価値=(4+4+3)×5=55評価値=(4+4+3)×5=55評価値=(4+4+3)×5=55
Page 21 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
3.8 3.8 3.8 3.8 3.8 3.8 3.8 3.8 ISMS認証取得までの概略プロセスISMS認証取得までの概略プロセスISMS認証取得までの概略プロセスISMS認証取得までの概略プロセスISMS認証取得までの概略プロセスISMS認証取得までの概略プロセスISMS認証取得までの概略プロセスISMS認証取得までの概略プロセス
【【【【StepStepStepStep-1】】】】組織としての方針を示した情報組織としての方針を示した情報組織としての方針を示した情報組織としての方針を示した情報
ポリシーを策定するポリシーを策定するポリシーを策定するポリシーを策定する
【【【【StepStepStepStep-4】】】】認定書の授与認定書の授与認定書の授与認定書の授与
【【【【StepStepStepStep-2】】】】プレ運用を行い、運用記録を残す。プレ運用を行い、運用記録を残す。プレ運用を行い、運用記録を残す。プレ運用を行い、運用記録を残す。
【【【【StepStepStepStep-5】】】】PDCAによる改善活動PDCAによる改善活動PDCAによる改善活動PDCAによる改善活動
【【【【StepStepStepStep-3】】】】審査機関(第三者)による審査を審査機関(第三者)による審査を審査機関(第三者)による審査を審査機関(第三者)による審査を受ける(一次審査/二次審査)受ける(一次審査/二次審査)受ける(一次審査/二次審査)受ける(一次審査/二次審査)
【【【【StepStepStepStep-4】】】】指摘事項の再修正指摘事項の再修正指摘事項の再修正指摘事項の再修正
合格合格合格合格 不合格不合格不合格不合格
KDDIコンサルティングチーム
KDDIコンサルティングチーム
KDDIコンサルティングチーム
KDDIコンサルティングチーム
コンサルテーションコンサルテーションコンサルテーションコンサルテーション
コンサルテーションコンサルテーションコンサルテーションコンサルテーション
コンサルテーションコンサルテーションコンサルテーションコンサルテーション
Page 22 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
44444444 モバイルワークスタイルの導入とモバイルワークスタイルの導入とモバイルワークスタイルの導入とモバイルワークスタイルの導入とモバイルワークスタイルの導入とモバイルワークスタイルの導入とモバイルワークスタイルの導入とモバイルワークスタイルの導入とセキュリティ対策セキュリティ対策セキュリティ対策セキュリティ対策セキュリティ対策セキュリティ対策セキュリティ対策セキュリティ対策
Page 23 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
デジタル
デジタル
デジタル
デジタル
情報システム
情報システム
情報システム
情報システム
アナログ
アナログ
アナログ
アナログ
情報管理
情報管理
情報管理
情報管理
社内での情報利用社内での情報利用社内での情報利用社内での情報利用 社外での情報利用社外での情報利用社外での情報利用社外での情報利用
書庫書庫書庫書庫/機密ロッカー機密ロッカー機密ロッカー機密ロッカー
外出先での外出先での外出先での外出先での情報利用メディア情報利用メディア情報利用メディア情報利用メディア
携帯携帯携帯携帯電話電話電話電話
不正情報利用者不正情報利用者不正情報利用者不正情報利用者
情報管理情報管理情報管理情報管理ポリシーポリシーポリシーポリシー
暗号化等暗号化等暗号化等暗号化等機器盗難・紛失時のデータ保護機器盗難・紛失時のデータ保護機器盗難・紛失時のデータ保護機器盗難・紛失時のデータ保護
によるセキュリティの向上によるセキュリティの向上によるセキュリティの向上によるセキュリティの向上
暗号化等暗号化等暗号化等暗号化等機器盗難・紛失時のデータ保護機器盗難・紛失時のデータ保護機器盗難・紛失時のデータ保護機器盗難・紛失時のデータ保護
によるセキュリティの向上によるセキュリティの向上によるセキュリティの向上によるセキュリティの向上
閉域接続閉域接続閉域接続閉域接続ENDtoENDののののネットワークネットワークネットワークネットワーク
セキュリティの向上セキュリティの向上セキュリティの向上セキュリティの向上
閉域接続閉域接続閉域接続閉域接続ENDtoENDののののネットワークネットワークネットワークネットワーク
セキュリティの向上セキュリティの向上セキュリティの向上セキュリティの向上
認証強化認証強化認証強化認証強化NW・サーバ認証方式に・サーバ認証方式に・サーバ認証方式に・サーバ認証方式によるセキュリティの向上よるセキュリティの向上よるセキュリティの向上よるセキュリティの向上
認証強化認証強化認証強化認証強化NW・サーバ認証方式に・サーバ認証方式に・サーバ認証方式に・サーバ認証方式によるセキュリティの向上よるセキュリティの向上よるセキュリティの向上よるセキュリティの向上
4.1 4.1 4.1 4.1 4.1 4.1 4.1 4.1 モバイルワークスタイルにおける脅威モバイルワークスタイルにおける脅威モバイルワークスタイルにおける脅威モバイルワークスタイルにおける脅威モバイルワークスタイルにおける脅威モバイルワークスタイルにおける脅威モバイルワークスタイルにおける脅威モバイルワークスタイルにおける脅威
モバイルモバイルモバイルモバイルPC
33333333 なりすましなりすましなりすましなりすましなりすましなりすましなりすましなりすまし
22222222 紛失・盗難紛失・盗難紛失・盗難紛失・盗難紛失・盗難紛失・盗難紛失・盗難紛失・盗難
11111111 盗聴・漏洩盗聴・漏洩盗聴・漏洩盗聴・漏洩盗聴・漏洩盗聴・漏洩盗聴・漏洩盗聴・漏洩
Page 24 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
4.2 4.2 4.2 4.2 4.2 4.2 4.2 4.2 モバイルワークスタイルにおける脆弱性モバイルワークスタイルにおける脆弱性モバイルワークスタイルにおける脆弱性モバイルワークスタイルにおける脆弱性モバイルワークスタイルにおける脆弱性モバイルワークスタイルにおける脆弱性モバイルワークスタイルにおける脆弱性モバイルワークスタイルにおける脆弱性
脅威脅威脅威脅威 脆弱性脆弱性脆弱性脆弱性盗聴・漏洩盗聴・漏洩盗聴・漏洩盗聴・漏洩 ・ インターネット等の安全保障のない通信経路を利用する。インターネット等の安全保障のない通信経路を利用する。インターネット等の安全保障のない通信経路を利用する。インターネット等の安全保障のない通信経路を利用する。
・ 平文のまま、通信を行う。平文のまま、通信を行う。平文のまま、通信を行う。平文のまま、通信を行う。
・ 外部からのぞき見が可能な場所で機器を利用する。外部からのぞき見が可能な場所で機器を利用する。外部からのぞき見が可能な場所で機器を利用する。外部からのぞき見が可能な場所で機器を利用する。
・ インターネットカフェなどの安全保障のない機器を利用する。インターネットカフェなどの安全保障のない機器を利用する。インターネットカフェなどの安全保障のない機器を利用する。インターネットカフェなどの安全保障のない機器を利用する。
紛失・盗難紛失・盗難紛失・盗難紛失・盗難 ・ 機器が自由に、外に持ち出せる。機器が自由に、外に持ち出せる。機器が自由に、外に持ち出せる。機器が自由に、外に持ち出せる。
・ 部外者が自社内に自由に立ち入ることができる。部外者が自社内に自由に立ち入ることができる。部外者が自社内に自由に立ち入ることができる。部外者が自社内に自由に立ち入ることができる。
・ 他人の行動に無関心で、見知らぬ人物が機器の搬出入を行っても他人の行動に無関心で、見知らぬ人物が機器の搬出入を行っても他人の行動に無関心で、見知らぬ人物が機器の搬出入を行っても他人の行動に無関心で、見知らぬ人物が機器の搬出入を行っても
注意すらしない。注意すらしない。注意すらしない。注意すらしない。
・ ドアが施錠されていない。ドアが施錠されていない。ドアが施錠されていない。ドアが施錠されていない。
・ 鍵が正しく管理されていない。鍵が正しく管理されていない。鍵が正しく管理されていない。鍵が正しく管理されていない。
なりすましなりすましなりすましなりすまし ・ パスワード等のユーザ認証を行っていない。パスワード等のユーザ認証を行っていない。パスワード等のユーザ認証を行っていない。パスワード等のユーザ認証を行っていない。
・ 他人のPCを使わない、パスワードを他人に教えないなどの基本的他人のPCを使わない、パスワードを他人に教えないなどの基本的他人のPCを使わない、パスワードを他人に教えないなどの基本的他人のPCを使わない、パスワードを他人に教えないなどの基本的
教育がなされていない。教育がなされていない。教育がなされていない。教育がなされていない。
対策は???対策は???対策は???対策は???対策は???対策は???対策は???対策は???
Page 25 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
4.3 4.3 4.3 4.3 4.3 4.3 4.3 4.3 「盗聴・漏洩」に対するセキュリティ対策「盗聴・漏洩」に対するセキュリティ対策「盗聴・漏洩」に対するセキュリティ対策「盗聴・漏洩」に対するセキュリティ対策「盗聴・漏洩」に対するセキュリティ対策「盗聴・漏洩」に対するセキュリティ対策「盗聴・漏洩」に対するセキュリティ対策「盗聴・漏洩」に対するセキュリティ対策
セキュリティセキュリティセキュリティセキュリティ コスト等、その他の考慮点コスト等、その他の考慮点コスト等、その他の考慮点コスト等、その他の考慮点
A. RASA. RASA. RASA. RAS形式形式形式形式au
無線網無線網無線網無線網
FirewallInternet
自社自社自社自社システムシステムシステムシステム
インターネットインターネットインターネットインターネットVPNVPNVPNVPN
KDDIKDDIKDDIKDDI網網網網
公衆網公衆網公衆網公衆網RASサーバサーバサーバサーバ
B.B.B.B.インターネットインターネットインターネットインターネットVPNVPNVPNVPN方式方式方式方式
C.C.C.C.キャリアキャリアキャリアキャリア直接収容方式直接収容方式直接収容方式直接収容方式
A. R
AS
A. R
AS
A. R
AS
A. R
AS
方式方式方式方式
B.
B.
B.
B.イ
ンターネット
インターネット
インターネット
インターネット
VP
NV
PN
VP
NV
PN
方式方式方式方式
C.
C.
C.
C.キ
ャリア
キャリア
キャリア
キャリア
直接収容方式
直接収容方式
直接収容方式
直接収容方式
セキュリティレベル:中セキュリティレベル:中セキュリティレベル:中セキュリティレベル:中• インターネットを利用せず直インターネットを利用せず直インターネットを利用せず直インターネットを利用せず直接社内と接続接社内と接続接社内と接続接社内と接続
• 盗聴、改ざんリスク小盗聴、改ざんリスク小盗聴、改ざんリスク小盗聴、改ざんリスク小• SSLSSLSSLSSLややややPKIPKIPKIPKI等の暗号化技術と等の暗号化技術と等の暗号化技術と等の暗号化技術との組み合わせが可能の組み合わせが可能の組み合わせが可能の組み合わせが可能
コスト変動型コスト変動型コスト変動型コスト変動型• 接続数が少なく、狭帯域の接続数が少なく、狭帯域の接続数が少なく、狭帯域の接続数が少なく、狭帯域の場合には、安価だが、接続場合には、安価だが、接続場合には、安価だが、接続場合には、安価だが、接続数が多くなった場合、広帯域数が多くなった場合、広帯域数が多くなった場合、広帯域数が多くなった場合、広帯域の場合には逆に高コスト化の場合には逆に高コスト化の場合には逆に高コスト化の場合には逆に高コスト化
セキュリティレベル:低セキュリティレベル:低セキュリティレベル:低セキュリティレベル:低• インターネット利用に伴う盗インターネット利用に伴う盗インターネット利用に伴う盗インターネット利用に伴う盗聴、改ざん、なりすましのリス聴、改ざん、なりすましのリス聴、改ざん、なりすましのリス聴、改ざん、なりすましのリスク有りク有りク有りク有り
• FWFWFWFWの構築及びの構築及びの構築及びの構築及びPKIPKIPKIPKIややややSSLSSLSSLSSL等等等等の暗号化によるセキュリティの暗号化によるセキュリティの暗号化によるセキュリティの暗号化によるセキュリティレベルの向上が必須レベルの向上が必須レベルの向上が必須レベルの向上が必須
低コスト型低コスト型低コスト型低コスト型• インターネットを介して、安価インターネットを介して、安価インターネットを介して、安価インターネットを介して、安価に広帯域を確保に広帯域を確保に広帯域を確保に広帯域を確保•セキュリティ性も同時に確保セキュリティ性も同時に確保セキュリティ性も同時に確保セキュリティ性も同時に確保した場合には、追加コスト発した場合には、追加コスト発した場合には、追加コスト発した場合には、追加コスト発生生生生
セキュリティレベル:高セキュリティレベル:高セキュリティレベル:高セキュリティレベル:高• 閉域網キャリアを利用閉域網キャリアを利用閉域網キャリアを利用閉域網キャリアを利用• 暗号化技術の組み合わせに暗号化技術の組み合わせに暗号化技術の組み合わせに暗号化技術の組み合わせにより、更なるセキュリティの向より、更なるセキュリティの向より、更なるセキュリティの向より、更なるセキュリティの向上が可能上が可能上が可能上が可能
高コスト型高コスト型高コスト型高コスト型• 比較的安価にセキュリティレ比較的安価にセキュリティレ比較的安価にセキュリティレ比較的安価にセキュリティレベルを高めることが可能ベルを高めることが可能ベルを高めることが可能ベルを高めることが可能
• 広帯域通信利用時には、高広帯域通信利用時には、高広帯域通信利用時には、高広帯域通信利用時には、高コスト化コスト化コスト化コスト化
重要性分析重要性分析重要性分析重要性分析 機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2) 完全性→高い(4)完全性→高い(4)完全性→高い(4)完全性→高い(4) 可用性→中(3)可用性→中(3)可用性→中(3)可用性→中(3) 合計(9)合計(9)合計(9)合計(9)
リスク分析リスク分析リスク分析リスク分析 資産価値→高い資産価値→高い資産価値→高い資産価値→高い 脅威→中脅威→中脅威→中脅威→中 脆弱性→中脆弱性→中脆弱性→中脆弱性→中 リスク値(5)リスク値(5)リスク値(5)リスク値(5)
評価値=9×5=45評価値=9×5=45評価値=9×5=45評価値=9×5=45
重要性分析重要性分析重要性分析重要性分析 機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2) 完全性→高い(4)完全性→高い(4)完全性→高い(4)完全性→高い(4) 可用性→中(3)可用性→中(3)可用性→中(3)可用性→中(3) 合計(9)合計(9)合計(9)合計(9)
リスク分析リスク分析リスク分析リスク分析 資産価値→高い資産価値→高い資産価値→高い資産価値→高い 脅威→中脅威→中脅威→中脅威→中 脆弱性→低脆弱性→低脆弱性→低脆弱性→低 リスク値(4)リスク値(4)リスク値(4)リスク値(4)
評価値=9×4=36評価値=9×4=36評価値=9×4=36評価値=9×4=36
重要性分析重要性分析重要性分析重要性分析 機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2) 完全性→高い(4)完全性→高い(4)完全性→高い(4)完全性→高い(4) 可用性→中(3)可用性→中(3)可用性→中(3)可用性→中(3) 合計(9)合計(9)合計(9)合計(9)
リスク分析リスク分析リスク分析リスク分析 資産価値→高い資産価値→高い資産価値→高い資産価値→高い 脅威→低脅威→低脅威→低脅威→低 脆弱性→低脆弱性→低脆弱性→低脆弱性→低 リスク値(3)リスク値(3)リスク値(3)リスク値(3)
評価値=9×3=27評価値=9×3=27評価値=9×3=27評価値=9×3=27
Page 26 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
4.4 4.4 4.4 4.4 4.4 4.4 4.4 4.4 「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level--------1)1)1)1)1)1)1)1)
【未管理状態】【未管理状態】【未管理状態】【未管理状態】
パスワードすら利用していない⇒情報漏洩の可能性大パスワードすら利用していない⇒情報漏洩の可能性大パスワードすら利用していない⇒情報漏洩の可能性大パスワードすら利用していない⇒情報漏洩の可能性大
機器紛失・盗難機器紛失・盗難機器紛失・盗難機器紛失・盗難
拾得者による対応拾得者による対応拾得者による対応拾得者による対応
無事返却・廃棄など無事返却・廃棄など無事返却・廃棄など無事返却・廃棄など
犯罪者による対応犯罪者による対応犯罪者による対応犯罪者による対応
機器の他者利用機器の他者利用機器の他者利用機器の他者利用
情報漏洩情報漏洩情報漏洩情報漏洩
悪意的対応悪意的対応悪意的対応悪意的対応
善意的対応善意的対応善意的対応善意的対応
重要性分析重要性分析重要性分析重要性分析 機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2) 完全性→高い(4)完全性→高い(4)完全性→高い(4)完全性→高い(4) 可用性→中(3)可用性→中(3)可用性→中(3)可用性→中(3) 合計(9)合計(9)合計(9)合計(9)リスク分析リスク分析リスク分析リスク分析 資産価値→高い資産価値→高い資産価値→高い資産価値→高い 脅威→高脅威→高脅威→高脅威→高 脆弱性→高脆弱性→高脆弱性→高脆弱性→高 リスク値(7)リスク値(7)リスク値(7)リスク値(7)
評価値=9×7=63評価値=9×7=63評価値=9×7=63評価値=9×7=63
Page 27 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
4.4 4.4 4.4 4.4 4.4 4.4 4.4 4.4 「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level--------22222222))))))))
【初歩的運用管理】【初歩的運用管理】【初歩的運用管理】【初歩的運用管理】
パスワードの利用⇒情報漏洩の可能性中パスワードの利用⇒情報漏洩の可能性中パスワードの利用⇒情報漏洩の可能性中パスワードの利用⇒情報漏洩の可能性中
機器紛失・盗難機器紛失・盗難機器紛失・盗難機器紛失・盗難
拾得者による対応拾得者による対応拾得者による対応拾得者による対応
無事返却・廃棄など無事返却・廃棄など無事返却・廃棄など無事返却・廃棄など
犯罪者による対応犯罪者による対応犯罪者による対応犯罪者による対応
機器の他者利用機器の他者利用機器の他者利用機器の他者利用
情報漏洩情報漏洩情報漏洩情報漏洩
パスワード解析実施パスワード解析実施パスワード解析実施パスワード解析実施
善意的対応善意的対応善意的対応善意的対応 パスワード解析失敗パスワード解析失敗パスワード解析失敗パスワード解析失敗 パスワード解析成功パスワード解析成功パスワード解析成功パスワード解析成功
重要性分析重要性分析重要性分析重要性分析 機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2) 完全性→高い(4)完全性→高い(4)完全性→高い(4)完全性→高い(4) 可用性→中(3)可用性→中(3)可用性→中(3)可用性→中(3) 合計(9)合計(9)合計(9)合計(9)リスク分析リスク分析リスク分析リスク分析 資産価値→高い資産価値→高い資産価値→高い資産価値→高い 脅威→高脅威→高脅威→高脅威→高 脆弱性→中脆弱性→中脆弱性→中脆弱性→中 リスク値(6)リスク値(6)リスク値(6)リスク値(6)
評価値=9×6=54評価値=9×6=54評価値=9×6=54評価値=9×6=54
Page 28 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
4.4 4.4 4.4 4.4 4.4 4.4 4.4 4.4 「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level--------3)3)3)3)3)3)3)3)
【ソフトウェア機能強化】【ソフトウェア機能強化】【ソフトウェア機能強化】【ソフトウェア機能強化】
ローカルデータ抹消機能⇒情報漏洩の可能性小ローカルデータ抹消機能⇒情報漏洩の可能性小ローカルデータ抹消機能⇒情報漏洩の可能性小ローカルデータ抹消機能⇒情報漏洩の可能性小
機器紛失・盗難機器紛失・盗難機器紛失・盗難機器紛失・盗難
拾得者による対応拾得者による対応拾得者による対応拾得者による対応
無事返却・廃棄など無事返却・廃棄など無事返却・廃棄など無事返却・廃棄など
犯罪者による対応犯罪者による対応犯罪者による対応犯罪者による対応
機器の他者利用機器の他者利用機器の他者利用機器の他者利用
情報漏洩情報漏洩情報漏洩情報漏洩
悪意的対応悪意的対応悪意的対応悪意的対応
善意的対応善意的対応善意的対応善意的対応センタープッシュによる情報抹消センタープッシュによる情報抹消センタープッシュによる情報抹消センタープッシュによる情報抹消
利用者からの連絡利用者からの連絡利用者からの連絡利用者からの連絡
情報抹消作業の遅れ情報抹消作業の遅れ情報抹消作業の遅れ情報抹消作業の遅れ
情報抹消完了情報抹消完了情報抹消完了情報抹消完了
重要性分析重要性分析重要性分析重要性分析 機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2) 完全性→高い(4)完全性→高い(4)完全性→高い(4)完全性→高い(4) 可用性→中(3)可用性→中(3)可用性→中(3)可用性→中(3) 合計(9)合計(9)合計(9)合計(9)リスク分析リスク分析リスク分析リスク分析 資産価値→高い資産価値→高い資産価値→高い資産価値→高い 脅威→中脅威→中脅威→中脅威→中 脆弱性→中脆弱性→中脆弱性→中脆弱性→中 リスク値(5)リスク値(5)リスク値(5)リスク値(5)
評価値=9×5=45評価値=9×5=45評価値=9×5=45評価値=9×5=45
Page 29 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
4.4 4.4 4.4 4.4 4.4 4.4 4.4 4.4 「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level「紛失・盗難」に対するセキュリティ対策(Level--------4)4)4)4)4)4)4)4)
【運用体制強化】【運用体制強化】【運用体制強化】【運用体制強化】
ローカルデータを持たない⇒情報漏洩の可能性無ローカルデータを持たない⇒情報漏洩の可能性無ローカルデータを持たない⇒情報漏洩の可能性無ローカルデータを持たない⇒情報漏洩の可能性無
機器紛失・盗難機器紛失・盗難機器紛失・盗難機器紛失・盗難
拾得者による対応拾得者による対応拾得者による対応拾得者による対応
無事返却・廃棄など無事返却・廃棄など無事返却・廃棄など無事返却・廃棄など
犯罪者による対応犯罪者による対応犯罪者による対応犯罪者による対応
悪意的対応悪意的対応悪意的対応悪意的対応
善意的対応善意的対応善意的対応善意的対応
漏洩対象のデータ無し漏洩対象のデータ無し漏洩対象のデータ無し漏洩対象のデータ無し
重要性分析重要性分析重要性分析重要性分析 機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2) 完全性→高い(4)完全性→高い(4)完全性→高い(4)完全性→高い(4) 可用性→中(3)可用性→中(3)可用性→中(3)可用性→中(3) 合計(9)合計(9)合計(9)合計(9)リスク分析リスク分析リスク分析リスク分析 資産価値→高い資産価値→高い資産価値→高い資産価値→高い 脅威→低脅威→低脅威→低脅威→低 脆弱性→低脆弱性→低脆弱性→低脆弱性→低 リスク値(3)リスク値(3)リスク値(3)リスク値(3)
評価値=9×3=27評価値=9×3=27評価値=9×3=27評価値=9×3=27
Page 30 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
4.5 4.5 4.5 4.5 4.5 4.5 4.5 4.5 「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level--------1)1)1)1)1)1)1)1)
【古典的パスワード利用】【古典的パスワード利用】【古典的パスワード利用】【古典的パスワード利用】
インターネット+固定パスワード⇒情報漏洩の可能性大インターネット+固定パスワード⇒情報漏洩の可能性大インターネット+固定パスワード⇒情報漏洩の可能性大インターネット+固定パスワード⇒情報漏洩の可能性大
なりすまし犯罪者なりすまし犯罪者なりすまし犯罪者なりすまし犯罪者正常利用者正常利用者正常利用者正常利用者
パスワード入力パスワード入力パスワード入力パスワード入力
パスワード漏洩パスワード漏洩パスワード漏洩パスワード漏洩 ブルートフォースブルートフォースブルートフォースブルートフォース
アタック等アタック等アタック等アタック等
アクセス成功アクセス成功アクセス成功アクセス成功 アクセス成功アクセス成功アクセス成功アクセス成功
正常な情報利用正常な情報利用正常な情報利用正常な情報利用不正な情報利用不正な情報利用不正な情報利用不正な情報利用
情報漏洩情報漏洩情報漏洩情報漏洩
重要性分析重要性分析重要性分析重要性分析 機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2) 完全性→高い(4)完全性→高い(4)完全性→高い(4)完全性→高い(4) 可用性→中(3)可用性→中(3)可用性→中(3)可用性→中(3) 合計(9)合計(9)合計(9)合計(9)リスク分析リスク分析リスク分析リスク分析 資産価値→高い資産価値→高い資産価値→高い資産価値→高い 脅威→高脅威→高脅威→高脅威→高 脆弱性→中脆弱性→中脆弱性→中脆弱性→中 リスク値(6)リスク値(6)リスク値(6)リスク値(6)
評価値=9×6=54評価値=9×6=54評価値=9×6=54評価値=9×6=54
Page 31 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
4.5 4.5 4.5 4.5 4.5 4.5 4.5 4.5 「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level--------2)2)2)2)2)2)2)2)
【進化型パスワード利用】【進化型パスワード利用】【進化型パスワード利用】【進化型パスワード利用】
インターネット+ワンタイムパスワード⇒情報漏洩の可能性中インターネット+ワンタイムパスワード⇒情報漏洩の可能性中インターネット+ワンタイムパスワード⇒情報漏洩の可能性中インターネット+ワンタイムパスワード⇒情報漏洩の可能性中
なりすまし犯罪者なりすまし犯罪者なりすまし犯罪者なりすまし犯罪者正常利用者正常利用者正常利用者正常利用者
ワンタイムパスワード入力ワンタイムパスワード入力ワンタイムパスワード入力ワンタイムパスワード入力
ワンタイムパスワード漏洩ワンタイムパスワード漏洩ワンタイムパスワード漏洩ワンタイムパスワード漏洩ブルートフォースブルートフォースブルートフォースブルートフォース
アタック等アタック等アタック等アタック等
杜撰なID管理等杜撰なID管理等杜撰なID管理等杜撰なID管理等
アクセス失敗アクセス失敗アクセス失敗アクセス失敗
アクセス成功アクセス成功アクセス成功アクセス成功アクセス失敗アクセス失敗アクセス失敗アクセス失敗
アクセス成功アクセス成功アクセス成功アクセス成功
不正な情報利用不正な情報利用不正な情報利用不正な情報利用
情報漏洩情報漏洩情報漏洩情報漏洩
正常な情報利用正常な情報利用正常な情報利用正常な情報利用
重要性分析重要性分析重要性分析重要性分析 機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2) 完全性→高い(4)完全性→高い(4)完全性→高い(4)完全性→高い(4) 可用性→中(3)可用性→中(3)可用性→中(3)可用性→中(3) 合計(9)合計(9)合計(9)合計(9)リスク分析リスク分析リスク分析リスク分析 資産価値→高い資産価値→高い資産価値→高い資産価値→高い 脅威→中脅威→中脅威→中脅威→中 脆弱性→中脆弱性→中脆弱性→中脆弱性→中 リスク値(5)リスク値(5)リスク値(5)リスク値(5)
評価値=9×5=45評価値=9×5=45評価値=9×5=45評価値=9×5=45
Page 32 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
4.5 4.5 4.5 4.5 4.5 4.5 4.5 4.5 「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level--------3)3)3)3)3)3)3)3)
【個体認証機能利用】【個体認証機能利用】【個体認証機能利用】【個体認証機能利用】
PKI、、、、モバイルモバイルモバイルモバイルPKI等の組み合わせ⇒情報漏洩の可能性小等の組み合わせ⇒情報漏洩の可能性小等の組み合わせ⇒情報漏洩の可能性小等の組み合わせ⇒情報漏洩の可能性小
なりすましなりすましなりすましなりすまし犯罪者犯罪者犯罪者犯罪者
正常利用者正常利用者正常利用者正常利用者
正式登録機器正式登録機器正式登録機器正式登録機器インターネットカフェ等インターネットカフェ等インターネットカフェ等インターネットカフェ等の非公式環境の非公式環境の非公式環境の非公式環境
正式登録されていない正式登録されていない正式登録されていない正式登録されていない自宅環境等自宅環境等自宅環境等自宅環境等
アクセス失敗アクセス失敗アクセス失敗アクセス失敗 アクセス失敗アクセス失敗アクセス失敗アクセス失敗アクセス成功アクセス成功アクセス成功アクセス成功
正常な情報利用正常な情報利用正常な情報利用正常な情報利用
重要性分析重要性分析重要性分析重要性分析 機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2) 完全性→高い(4)完全性→高い(4)完全性→高い(4)完全性→高い(4) 可用性→中(3)可用性→中(3)可用性→中(3)可用性→中(3) 合計(9)合計(9)合計(9)合計(9)リスク分析リスク分析リスク分析リスク分析 資産価値→高い資産価値→高い資産価値→高い資産価値→高い 脅威→低脅威→低脅威→低脅威→低 脆弱性→中脆弱性→中脆弱性→中脆弱性→中 リスク値(4)リスク値(4)リスク値(4)リスク値(4)
評価値=9×4=36評価値=9×4=36評価値=9×4=36評価値=9×4=36
Page 33 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
4.5 4.5 4.5 4.5 4.5 4.5 4.5 4.5 「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level「なりすまし」に対するセキュリティ対策(Level--------4)4)4)4)4)4)4)4)
【複合的対策】【複合的対策】【複合的対策】【複合的対策】個別認証、個人認証、キャリア閉域網等の複合利用個別認証、個人認証、キャリア閉域網等の複合利用個別認証、個人認証、キャリア閉域網等の複合利用個別認証、個人認証、キャリア閉域網等の複合利用
⇒情報漏洩の可能性無⇒情報漏洩の可能性無⇒情報漏洩の可能性無⇒情報漏洩の可能性無
なりすましなりすましなりすましなりすまし犯罪者犯罪者犯罪者犯罪者
正常利用者正常利用者正常利用者正常利用者
正式登録機器正式登録機器正式登録機器正式登録機器インターネットカフェ等インターネットカフェ等インターネットカフェ等インターネットカフェ等の非公式環境の非公式環境の非公式環境の非公式環境
正式登録正式登録正式登録正式登録
されていないされていないされていないされていない
自宅環境等自宅環境等自宅環境等自宅環境等ワンタイムパスワード入力ワンタイムパスワード入力ワンタイムパスワード入力ワンタイムパスワード入力
個人認証個人認証個人認証個人認証
ワンタイムパスワード入力ワンタイムパスワード入力ワンタイムパスワード入力ワンタイムパスワード入力
個人認証個人認証個人認証個人認証
ワンタイムパスワード入力ワンタイムパスワード入力ワンタイムパスワード入力ワンタイムパスワード入力
個人認証個人認証個人認証個人認証
閉域網閉域網閉域網閉域網 閉域網閉域網閉域網閉域網
アクセス失敗アクセス失敗アクセス失敗アクセス失敗
アクセス失敗アクセス失敗アクセス失敗アクセス失敗
アクセス成功アクセス成功アクセス成功アクセス成功
正常な情報利用正常な情報利用正常な情報利用正常な情報利用
重要性分析重要性分析重要性分析重要性分析 機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2)機密性→社外秘(2) 完全性→高い(4)完全性→高い(4)完全性→高い(4)完全性→高い(4) 可用性→中(3)可用性→中(3)可用性→中(3)可用性→中(3) 合計(9)合計(9)合計(9)合計(9)リスク分析リスク分析リスク分析リスク分析 資産価値→高い資産価値→高い資産価値→高い資産価値→高い 脅威→低脅威→低脅威→低脅威→低 脆弱性→低脆弱性→低脆弱性→低脆弱性→低 リスク値(3)リスク値(3)リスク値(3)リスク値(3)
評価値=9×3=27評価値=9×3=27評価値=9×3=27評価値=9×3=27
Page 34 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
4.6 4.6 4.6 4.6 4.6 4.6 4.6 4.6 セキュリティ対策(リスク対応)の実施結果セキュリティ対策(リスク対応)の実施結果セキュリティ対策(リスク対応)の実施結果セキュリティ対策(リスク対応)の実施結果セキュリティ対策(リスク対応)の実施結果セキュリティ対策(リスク対応)の実施結果セキュリティ対策(リスク対応)の実施結果セキュリティ対策(リスク対応)の実施結果
さまざまなセキュリティ対策を実施した結果、脅威と脆弱性を著しく低下ささまざまなセキュリティ対策を実施した結果、脅威と脆弱性を著しく低下ささまざまなセキュリティ対策を実施した結果、脅威と脆弱性を著しく低下ささまざまなセキュリティ対策を実施した結果、脅威と脆弱性を著しく低下させることができた。(評価値が、63→27に低下)せることができた。(評価値が、63→27に低下)せることができた。(評価値が、63→27に低下)せることができた。(評価値が、63→27に低下)
•PDCAPDCAPDCAPDCAサイクルを繰り返し、さらに脅威、脆弱性をサイクルを繰り返し、さらに脅威、脆弱性をサイクルを繰り返し、さらに脅威、脆弱性をサイクルを繰り返し、さらに脅威、脆弱性を低減低減低減低減させることのできるさせることのできるさせることのできるさせることのできる方法を方法を方法を方法を検討する検討する検討する検討する。。。。
•残留したリスクについては、盗難保険を掛ける残留したリスクについては、盗難保険を掛ける残留したリスクについては、盗難保険を掛ける残留したリスクについては、盗難保険を掛ける等等等等の方法で、リスクを社外の方法で、リスクを社外の方法で、リスクを社外の方法で、リスクを社外に移転に移転に移転に移転するするするする。。。。
•定期的な情報セキュリティ教育を行い、高められたセキュリティ水準が低定期的な情報セキュリティ教育を行い、高められたセキュリティ水準が低定期的な情報セキュリティ教育を行い、高められたセキュリティ水準が低定期的な情報セキュリティ教育を行い、高められたセキュリティ水準が低下しないよう注意下しないよう注意下しないよう注意下しないよう注意するするするする。。。。
リスク対応結果リスク対応結果リスク対応結果リスク対応結果リスク対応結果リスク対応結果リスク対応結果リスク対応結果リスク対応結果リスク対応結果リスク対応結果リスク対応結果
更なる次のステップへの活動へ更なる次のステップへの活動へ更なる次のステップへの活動へ更なる次のステップへの活動へ更なる次のステップへの活動へ更なる次のステップへの活動へ更なる次のステップへの活動へ更なる次のステップへの活動へ更なる次のステップへの活動へ更なる次のステップへの活動へ更なる次のステップへの活動へ更なる次のステップへの活動へ
Page 35 © Copyright KDDI Corporation 2004
KDDI Mobile Security Seminar
4.7 4.7 4.7 4.7 4.7 4.7 4.7 4.7 優れた情報セキュリティ対策とは優れた情報セキュリティ対策とは優れた情報セキュリティ対策とは優れた情報セキュリティ対策とは優れた情報セキュリティ対策とは優れた情報セキュリティ対策とは優れた情報セキュリティ対策とは優れた情報セキュリティ対策とは
人材育成人材育成人材育成人材育成人材育成人材育成人材育成人材育成業務改革業務改革業務改革業務改革業務改革業務改革業務改革業務改革
企業ブランド向上企業ブランド向上企業ブランド向上企業ブランド向上企業ブランド向上企業ブランド向上企業ブランド向上企業ブランド向上
情報保護に熱心な企業情報保護に熱心な企業情報保護に熱心な企業情報保護に熱心な企業
との評判が立っているとの評判が立っているとの評判が立っているとの評判が立っている楽な運用楽な運用楽な運用楽な運用楽な運用楽な運用楽な運用楽な運用低予算低予算低予算低予算低予算低予算低予算低予算
使いやすい使いやすい使いやすい使いやすい使いやすい使いやすい使いやすい使いやすい
正常ユーザであれば正常ユーザであれば正常ユーザであれば正常ユーザであれば
チェックは無いようなものチェックは無いようなものチェックは無いようなものチェックは無いようなもの
評判が良い評判が良い評判が良い評判が良い評判が良い評判が良い評判が良い評判が良い
ルールは厳しいはずルールは厳しいはずルールは厳しいはずルールは厳しいはず
なのに、いつの間にかなのに、いつの間にかなのに、いつの間にかなのに、いつの間にか守っている守っている守っている守っている
単に情報を守るだけではなく、積極的な運用を可能にしたり、単に情報を守るだけではなく、積極的な運用を可能にしたり、単に情報を守るだけではなく、積極的な運用を可能にしたり、単に情報を守るだけではなく、積極的な運用を可能にしたり、
人材育成につながったり人材育成につながったり人材育成につながったり人材育成につながったりと、と、と、と、企業本来の目的と一致してこそ企業本来の目的と一致してこそ企業本来の目的と一致してこそ企業本来の目的と一致してこそ
優れた情報セキュリティ対策と言えます。優れた情報セキュリティ対策と言えます。優れた情報セキュリティ対策と言えます。優れた情報セキュリティ対策と言えます。
![S Îk5V k= ]>Of) )B> f=#ÚÀTh,; · 2020-01-10 · 産業用コンピュータスポット保守サービス価格表 産業用コンピュータ保守サービス価格表 産業用コンピュータ](https://img.pdfslide.tips/doc/110x75/5e9440a58c99451ca26bbcf3/s-k5v-k-of-b-fth-2020-01-10-ccffffffffffe.jpg)
