TOP /  セキュリティ/認証 /  悪意のリモートワーカーを前提にしたセキュリティ対策(情報セキュリティガイドラインをどう改定すればよいのか?)

悪意のリモートワーカーを前提にしたセキュリティ対策(情報セキュリティガイドラインをどう改定すればよいのか?) | セキュリティ/認証

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

【基調講演】リモートワーク(テレワーク)のセキュリティ対策のために、情報セキュリティガイドラインをどう改定すればよいのか?  (一般財団法人日本情報経済社会推進協会(JIPDEC) 常務理事 山内 徹)

働き方改革が叫ばれる中、リモートワーク(在宅勤務、モバイルワーク等)の推進を検討している企業が増えています。当然、セキュリティ面の課題に取り組む必要がありますが、何をどこまで対策すればよいのか、難しい判断になります。本講演では、専門家をお招きして、セキュリティ対策のために企業の情報セキュリティガイドラインをどう改定すればよいのか、具体的に解説します。さらに今回は、悪意のリモートワーカー(内部不正)への対策はどうすればよいのか?という点についても解説します。

Office365やSalesforceなど、社外ユーザーのクラウドサービス利用時の認証をどう強化するか(多要素認証と基本機能無料のIDaaSの活用)  (GMOグローバルサイン株式会社 赤坂佳威)

リモートワークにおいて、Office365やSalesforceなどのクラウドサービスを利用する上で、ユーザー認証をどう強化するかは重要なテーマです。そのような中、シングルサインオン・ID管理の機能をクラウドサービスとして提供する「IDaaS」が、日本においても普及しつつあります。本セッションでは、基本機能無料のIDaasである「SKUID」を活用し、Office365やSalesforceなど、社外ユーザーのクラウドサービス利用時の認証をどう強化するべきか解説します。

テレワーク/リモートワークのセキュリティ強化(多要素認証の導入)を、オープンソースで実現する  (株式会社デージーネット 大野公善)

多要素認証を実現する製品はいくつかありますが、ユーザー課金になっているものも多く高額になってしまい、それがネックで多要素認証の導入ができない、テレワーク/リモートワークが導入できない、という企業もあります。多要素認証を実現する製品はいくつかありますが、ユーザー課金になっているものも多く高額になってしまい、それがネックで多要素認証の導入ができない、テレワーク/リモートワークが導入できない、という企業もあります。そこで本講演では、オープンソースを活用して多要素認種を実現する方法について解説します。

【特別講演】リモートワーク(テレワーク)推進のために、人事制度はどうあるべきか?  (香喜心総合事務所・寺田達也社会保険労務士事務所  代表 寺田達也)

リモートワーク(テレワーク)を推進するには、情報セキュリティガイドライン以外にも、人事制度も見直さなければなりません。リモートワーク(テレワーク)では人事制度上どのような点が問題になるのか、不正を働いた社員への懲戒はどのような手順で行うのか、「働き方改革」を実現するために、より働きやすい環境を実現するために、どのような点を見なすべきなのか、専門家が解説します。

「テレワークセキュリティガイドライン」対応のリモートアクセス方法とは  (株式会社ソリトンシステムズ マーケティング部 高橋 未来央)

総務省による「テレワークセキュリティガイドライン」第4版が発行され、セキュアブラウザなどのリモートアクセス方法も新たに加わりました。本セッションでは、ソリトンが提供するこれらの方法を、多彩な事例や利用ユーザーの声も交えて説明致します。

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
3.5 でした!(5点満点中)
セミナー名 悪意のリモートワーカーを前提にしたセキュリティ対策(情報セキュリティガイドラインをどう改定すればよいのか?)
講演企業 マジセミ株式会社 、一般財団法人日本情報経済社会推進協会(JIPDEC) 常務理事 、GMOグローバルサイン株式会社 、株式会社デージーネット 、香喜心総合事務所・寺田達也社会保険労務士事務所 、株式会社ソリトンシステムズ
開催日 2018年05月30日
企業に対してITを提供する企業(ベンダー、SIerなど) 60代以上 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 女性 の参加者
リモートワーク、クラウド利用時のセキュリティの考え方や具体的な方策について。知らなかった視点や情報が多々ありました。今回は保育園の延長ができず途中退室となりますが、セミナー資料はお送り頂けますようお願いします。
匿名の参加者
「悪意のリモートワーカーを前提した~」とあったので、リモートアクセス、テレワークでのユーザートラブル等を紹介→それに対応するするための各手段(製品機能・対処)を講義してもらえるのかと思ったが、各企業の製品紹介のみだと感じた。せめてリモートのトラブル事例、どうしたら防げるかの視点は欲しかったと思う。「リモートワークを実現する」というタイトルだったらまだ乖離は少ないかと。
匿名の参加者
コメントなし
匿名の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
コメントなし
その他のサービス業 40代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
コメントなし
流通業(卸売・小売) 40代 男性 の参加者
入って早々は会場があつかったです・・・
匿名の参加者
コメントなし
建設業 40代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 60代以上 男性 の参加者
コメントなし
その他の業種 20代 男性 の参加者
コメントなし
その他のIT関連業 30代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
コメントなし
匿名の参加者
コメントなし
その他の業種 50代 男性 の参加者
セミナーの内容は興味深かったが、会場が窮屈すぎる。4時間いるのは苦痛。
製造業 30代 男性 の参加者
コメントなし
匿名の参加者
コメントなし
消費者に対してITを提供する企業(Webサービス、ゲームなど) 30代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
コメントなし
その他のIT関連業 30代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
①社労士の方の話はなかなかきけないのでよかった。 ②セミナー順は少し工夫が必要では?IDaasとSSOは連続するなど
その他の業種 50代 女性 の参加者
BYODの導入が多いのに驚いた。 たいへん為になりました。ありがとうございました。
不動産業 30代 男性 の参加者
コメントなし
その他のサービス業 40代 男性 の参加者
コメントなし
消費者に対してITを提供する企業(Webサービス、ゲームなど) 40代 女性 の参加者
コメントなし
その他のサービス業 40代 男性 の参加者
コメントなし
匿名の参加者
コメントなし
その他のIT関連業 50代 男性 の参加者
コメントなし
匿名の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
JIPDEC産の総論はとてもわかりやすかったのですが、手元に資料がなくてメモが取りづらく不便であった。
その他の業種 20代 男性 の参加者
コメントなし
流通業(卸売・小売) 40代 男性 の参加者
コメントなし
株式会社メディアリンクス 浅井直人さん
セミナーのテーマは理解できました。VPNソリューションは今後検討したいです。SSOも検討の必要性がありますが、ユーザーへの影響が大きそうで二の足をふんでいます。部屋が暑かったです。
株式会社菱友システムズ 麻生忠邦さん
悪意とは?という考えに差があり。ケースの想定が知りたい。
匿名の参加者
コメントなし
金融業・保険業・証券業 40代 男性 の参加者
コメントなし
建設業 40代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
コメントなし
製造業 40代 男性 の参加者
かもめさんの話が良かった。社労士の方の話もよかった。 JIPDECさんの話がもの足りなかった。
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 女性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 20代 男性 の参加者
時間配分が適切でない。
流通業(卸売・小売) 50代 男性 の参加者
コメントなし
匿名の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 60代以上 男性 の参加者
メインタイトルにひかれて聴講しました。思っていた方向性や、考えていることとはなれていたので、”やや期待外れ”とさせていただきましたが、全体の内容は興味深く聞かせていただきました。
金融業・保険業・証券業 40代 男性 の参加者
情報セキュリティポリシーにおけるテレワークに関する具体的な勘所の解説を期待したが 公表済(あるいは間近)の情報の概説とソリューション案内に留まる内容であった。
ベーステクノロジー株式会社 寺西賢二郎さん
コメントなし
匿名の参加者
コメントなし
教育業 30代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 女性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
コメントなし
匿名の参加者
コメントなし
その他のIT関連業 30代 男性 の参加者
コメントなし
その他の業種 40代 男性 の参加者
悪意のリモートワーカーをどう検知して、どう追跡するのかなど「証拠」に対する機能提案が欲しかった。 当社ではファイルの中身が見れるか、勝手にコピーできないようにする機能要件がある。
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
コメントなし
富士通 舘野 孝典さん
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
質疑応答時に名札がないとよく分からない。(誰が誰だか)
㈱エクシードワン 國吉麻美さん
セキュリティをテレワークでどう高めるか?という話だが、元々セキュリティ意識の低い会社(退職者アカウントをそのまま)には、リモートワーク云々という話以前にコンサルに入って改善が必要なのでは?と思う。 全体的に残念な形でした。
その他のサービス業 30代 男性 の参加者
情報セキュリティガイドラインや社労士の方の話が多い方がよかった。
消費者に対してITを提供する企業(Webサービス、ゲームなど) 40代 男性 の参加者
基調講演と社労士の方の話がとても興味深かったです。
消費者に対してITを提供する企業(Webサービス、ゲームなど) 40代 女性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
コメントなし
消費者に対してITを提供する企業(Webサービス、ゲームなど) 40代 女性 の参加者
リモートワークはすでに一部の社員向けに行っているが更に広げるにあたって、ルールや、しくみで参考になることがあればと思っていましたが、いまいちそのポイントからは外れていました。
製造業 50代 男性 の参加者
コメントなし
その他のサービス業 30代 女性 の参加者
コメントなし
匿名の参加者
コメントなし
その他のIT関連業 20代 男性 の参加者
コメントなし
出版・放送・その他メディア 40代 男性 の参加者
コメントなし
その他の業種 40代 男性 の参加者
コメントなし
金融業・保険業・証券業 50代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 60代以上 男性 の参加者
コメントなし
消費者に対してITを提供する企業(Webサービス、ゲームなど) 30代 女性 の参加者
社労士さんのお話が意外と、とても面白かったです。微戒で解雇予告手当は対象者に損害賠償を求めて相殺という形でも良いのでしょうか?(企業秩序定立〇の〇〇や義務の不履行といった理由で) →相当性について聞き漏れてしまいました。ご教示頂ければ幸いです。GMOさん、Deginetさんよりご紹介頂いたのは…心苦しいですが。SSOって許可していないユーザや場所からの接続を止める対策であって、許可されたリモートワーカーによる不正防止という論点ではないのでは?
その他のサービス業 50代 男性 の参加者
コメントなし
麹町アセット法律事務所 勝部泰之さん
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
仕方ないことかもしれないが、各スピーカー企業の製品/サービスの紹介ベースのセミナーで、テーマについてもっと掘りさげたコンテンツが欲しかった。新しい発見がほとんどなかった。
その他のIT関連業 40代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 20代 男性 の参加者
コメントなし
匿名の参加者
運用面について(課題等)についてもふれて欲しかった。
SCSoft Inc. 澤野浩康さん
現状の実体が明確になった。次世代もしくは、さらに良くする提案も知りたかった。
流通業(卸売・小売) 40代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
JIPDEC山内さんの”定期的なパスワード変更は不要”への説明・コメントが面白かった。
流通業(卸売・小売) 40代 男性 の参加者
コメントなし
消費者に対してITを提供する企業(Webサービス、ゲームなど) 20代 男性 の参加者
しゃべりがうまくない。ひきつけられる内容ではない。

テレワーク時代に求められる
セキュリティ対策
2018年530
般財団法本情報経済社会推進協会
常務理事 内 徹
JIPDECの概要
名称 JIPDEC (じぷでっく)
【法番号 1 0104 0500 9403】
般財団法本情報経済社会推進協会
事務所所在地 東京都港区六本丁
設 1967年1220
1
Copyright2018 JIPDEC all rights reserved
講師紹介
内 徹
般財団法本情報経済社会推進協会(JIPDEC)
常務理事・インターネットトラストセンター
【経歴】
内閣官房IT担当室、経済産業省等においてIT政策及び
基準認証政策の企画案に携わった後、般社団法
JPCERTコーディネーションセンター主席研究員を経
て現職。
また、早稲学常勤講師として「シンガポール/
アジアのITと社会」講座を担当。
2
Copyright2018 JIPDEC all rights reserved
ネット社会の信頼性(トラスト)
JIPDECは、インターネットの信頼性(トラス
ト)を確保する技術や仕組みの普及を推進。
信頼できる企業データ
企業内個の電証明書
トラストサービスの信頼性評価
3
S/MIME、DKIMを使った電
メール対策
Copyright2018 JIPDEC all rights reserved
本のプレゼンテーションの要旨
働き改として、テレワーク(在宅勤務、モ
バイルワーク等)を推進する企業が増加。
テレワークのセキュリティ対策として、何をど
こまで対策すればよいのか
各企業は、情報セキュリティポリシーをどう改
定すればよいのか
さらに、悪意のテレワーカー(内部不正)への
対策はどうすればよいのか
4
Copyright2018 JIPDEC all rights reserved
テレワークの現況
5
Copyright2018 JIPDEC all rights reserved
テレワークの機運のまり
テレワークは世の中の趨勢。
① 少齢化対策の推進
② ワーク・ライフ・バランスの実現
③ 地域活性化の推進
④ 環境負荷軽減
⑤ 有能・多様な材の確保産性の向上
⑥ 営業効率の向上・顧客満度の向上
⑦ コスト削減
⑧ 常災害時の事業継続
6
Copyright2018 JIPDEC all rights reserved
テレワークとは
テレワーク
情報通信技術(ICTInformation and Communication
Technology)の利により、時間・空間的束縛から解放さ
れた多様な就労・作業形態のこと
総務省の定義
①雇型「在宅勤務」「モバイルワーク」「施設利型勤務」
②営型「SOHO」「内職副業型勤務」
(参考)リモートワーク
雇用された従業者が、オフィスから離れた場所で働くワーク
スタイル。自宅だけでなく、カフェなど連絡が取れるところ。
7
Copyright2018 JIPDEC all rights reserved
テレワークの課題
データ管理などセキュリティを強化
外出先で情報を盗みられたり、パソコンの紛失リスクが想定。
コミュニケーション上の弊害
対ではないため、連絡事項の伝達漏れ、誤解等の弊害。
組織としての体感の希薄化への懸念
テレワークをする社員の割合が増えると、出てくる懸念。
個による適格
宅では集中した作業ができないなど、テレワークに向かない。
テレワークの手順やコミュニケーション手段等
の明確な設定と、定期的な面談
8
Copyright2018 JIPDEC all rights reserved
テレワークの現状
テレワークの導率
13.9%で導
出典総務省「平成29年度通信利動向調査」
9
Copyright2018 JIPDEC all rights reserved
テレワークにおける脅威と脆弱性
テレワーク端末のがサイバー脅威にさらされやすい。
出典総務省「テレワークセキュリティガイドライン 第4版」
10
Copyright2018 JIPDEC all rights reserved
セキュリティ・インシデントの推移
内部不正,為ミス
なりすましメール
の増加
11
出典JIPDEC「IT-Report 2018 Spring」
Copyright2018 JIPDEC all rights reserved
テレワークに関するセキュリティ対策





情報セキュリティ保全対策
悪意のソフトウェアに対する対策
端末の紛失・盗難に対する対策
重要情報の盗聴に対する対策
不正侵・踏み台に対する対策
(テレワークに関する各種参考資料)
★「テレワークセキュリティガイドライン 第4版」(平成30年4,総務省)
http://www.soumu.go.jp/main_content/000545372.pdf
★「中企業の情報セキュリティ対策ガイドライン」(平成29年12,IPA)
https://www.ipa.go.jp/security/keihatsu/sme/guideline/
★「SECURITY ACTION」(IPA)
https://www.ipa.go.jp/security/security-action/sa/index.html
★「情報セキュリティ理解度チェック」(NPO本ネットワークセキュリティ協会)
https://slb.jnsa.org/eslb/
★ 「テレワーク導のための労務管理等Q&A」(厚労働省)
https://work-holiday.mhlw.go.jp/material/pdf/category7/02.pdf
★ 「テレワークではじめる働き改」 テレワークの導・運ガイドブック
https://work-holiday.mhlw.go.jp/material/pdf/category7/01_01.pdf
12
Copyright2018 JIPDEC all rights reserved
セキュリティサービス製品の導
多種多様なセキュリティ
サービス製品
0%
25%
社内サーバ/プラットフォームに対する脆弱性診断サービス
50%
43.3%
外部Webサーバに対する脆弱性診断サービス
15.0% 6.5%
36.8%
Webサーバ向けのSSLサーバ証明書 38.0%
Web改ざん検知/コードサイニング証明書
28.9%
クライアント証明書 32.3%
外部から社内ネットワークへの侵検知サービス
15.9%
セキュリティオペレーションセンタ(SOC)による総合的なセキュリティ監

セキュリティ情報(脅威情報)配信サービス
サイバー保険(個情報漏洩保険含む)
7.9%
16.6%
16.5%
33.8%
セキュリティ機器の運アウトソーシング
75%
8.1%
9.2%
16.2%
9.5%
16.6%
9.4%
28.0%
100%
7.2%
32.0% 7.4%
27.4% 10.0%
35.2%
31.5%
31.3%
10.2%
10.5%
8.9%
29.4% 18.0% 10.0% 32.9% 9.7%
28.3% 19.0% 10.7% 32.5% 9.5%
28.0% 18.2%
24.0%
18.9%
9.4%
11.3%
33.6% 10.8%
34.9% 11.0%
(N=693)
利済み
13
1年以内に利開始予定
3年以内に利開始予定
予定なし
サービス体を知らない
出典JIPDEC「IT-Report 2018 Spring」
Copyright2018 JIPDEC all rights reserved
テレワークにおける情報セキュリティ
「ルール」「」「技術」のバランスがとれた対策の実

テレワークの法に応じた対策の考え
経営者、システム管理者及びテレワーク勤務者 それぞれ
の場
経営者が実施すべき対策
システム管理者が実施すべき対策
テレワーク勤務者が実施すべき対策
情報セキュリティポリシーの役割
14
Copyright2018 JIPDEC all rights reserved
情報セキュリティポリシーの直し
情報セキュリティポリシーの的
企業の情報資産を情報セキュリティの脅威から守ること。
(基本針,体制,運規定,対策基準などを具体的に記述)
調査対象429組織のうち
84%の組織が、毎年または数年に度、情報セキュリ
ティポリシー(針・対策基準)の直しを実施。
直しの理由
「ISMSやプライバシーマーク等認証取得・更新」(45%)
「情報セキュリティ事件・事故の増」(29%)
出所情報セキュリティ学院学「2017年情報セキュリティアンケート調査結果」
http://lab.iisec.ac.jp/~harada_lab/survey/2017/2017_questionnaire_result.pdf
15
Copyright2018 JIPDEC all rights reserved
情報資産に係るセキュリティ
マネジメント
16
Copyright2018 JIPDEC all rights reserved
リスクアセスメント・リスク対応
内外の
状況把握
・働き改
・クラウド化
・事業標



17
リスク
特定
情報の
・機密性
・完全性
・可性
の喪失が
想定される発
状況・その原
因・結果などを
特定
リスク
評価
特定したリスクの
・影響
・発可能性
を特定
リスクレベルを
決定
リスクの優先
順位付け
Copyright2018 JIPDEC all rights reserved
リスク
対応
リスク低減の
ための管理策
の実施
*リスク対応に
は、保険など
によるリスク
共有(移転)
などもある。
ISMSによる情報セキュリティ対策
ISMSとは、国際規格(ISO/IEC 27001)に基づく、情
報セキュリティのためのマネジメントシステム
(ISMS Information Security Management System )
リスクマネジメントプロセスを取りれて、情報資
産を保護するための体系的な仕組み
PDCAサイクル
ISMS認証とは、ISO/IEC 27001に沿って、PDCAサ
イクルを構築、運していることを、第三者(ISMS
認証機関)が証明すること
18
Copyright2018 JIPDEC all rights reserved
ISMS適合性評価制度の概要
本は、世界のISMSの普及国
JIPDECの付属機関情報マネジメントシステム認
定センター(ISMS-AC)
認定機関ISMS-AC
適合基準
ISO/IEC 17011
(適合性評価-適合性評価機関の認定を
う機関に対する般要求事項)
認定(Accreditation)
認証機関26
適合基準
ISO/IEC 27006
(情報技術-セキュリティ技術-ISMSの審査
及び認証をう機関に対する要求事項)
認証(Certification)
認証組織5578
19
適合基準
ISO/IEC 27001
(情報技術-セキュリティ技術-情報セキュリ
ティマネジメントシステム-要求事項)
Copyright2018 JIPDEC all rights reserved
テレワークに係るISMS管理策(例)
モバイル機器の針策定・セキュリティ対策の採
(A.6.2.1*)
テレワーキングの場所での情報保護対策の実施
(A.6.2.2)
【関連する管理策】
アクセス制御針の策定(A.9.1.1)
ネットワークへのアクセス制限(A.9.1.2)
利者アクセスの管理[利者の秘密認証情報の管理
等](A.9.2)
秘密認証情報の利者責任の明確化(A.9.3.1)
ネットワークセキュリティ管理(A.13.1)
情報の転送に関するセキュリティ対策の実施(A.13.2)
*ISO/IEC 27001:2013附属書A「管理的及び管理策」の項番
20
Copyright2018 JIPDEC all rights reserved
クラウドサービスのセキュリティ
ISMSに基づくクラウドサービスのセキュリティ対策
ISMSクラウドセキュリティ認証
(ISO/IEC 27001及びISO/IEC 27017)
社内LAN
社内LAN
セキュリティ対策は全て前。
ISMS認証
21
セキュリティ対策は、クラウドサービス
に依存する部分がきい。
ISMSクラウドセキュリティ認証
Copyright2018 JIPDEC all rights reserved
テレワークとアクセス認証
22
Copyright2018 JIPDEC all rights reserved
社内システムへのアクセス認証
0%
進むアクセス認証
ID/パスワード
LDAP/ActiveDirectory
ハードウェアトークン(ICカード、RFIDなど)
ソフトウェアトークン(ワンタイムパスワード、メール通知、声通知など)
体認証(指紋、静脈、虹彩、顔など)
FIDO認証(U2F/UAF)
リスクベース認証(画像/字致、CAPTCHA、マトリクス表、QRコードなど)
端末固有情報を利した認証(MACアドレス、IPアドレスなど)
認証連携(フェデレーション、SAML2.0、OpenID Connectなど)
外部サービスを利した認証(Googleアカウント、マイクロソフトアカウント、
Facebookアカウントなど)
あてはまるものがない
23
20%
40%
60%
80%
100%
79.7%
2.2%
39.5%
17.0%
35.4%
18.9%
29.9%
20.1%
26.3%
32.8%
16.5%
23.4%
17.7%
19.2%
27.7%
17.9%
現在利している
現在は利していないが今後利した

16.3%
19.6%
18.3%
18.2%
10.2%
34.5%
(N=693)
出典JIPDEC「IT-Report 2018 Spring」
Copyright2018 JIPDEC all rights reserved
クラウドサービスのセキュアな認証
内部環境
クラウドサービス
メール、オンラインストレージ等
JCAN証明書による認証
認証システム
ブロック
外部環境
JCAN証明書により不正な外部アクセスを防ぐ
24
Copyright2018 JIPDEC all rights reserved
テレワークと電契約サービス
書契約では、郵送や捺印のため会社での作業が必要。
【テレワークと書契約】
【テレワークと電契約】
取引先
取引先
①契約書修正をメールでやり取り
③捺印済み契約書の郵送
インターネット上で契約
在宅勤務社員
在宅勤務社員
②所属会社へ捺印依頼
所属会社
電契約の導は、テレワーク成功の近道
25
Copyright2018 JIPDEC all rights reserved
内部不正対策としてのアクセス管理
重要情報の取扱い
◎「重要情報」にアクセスできる員(部署)の制限(50.8%)
◎「重要情報」の取扱責任者の任命
(47.5%)
クライアント対策
◎ 外部デバイスへのデータ移動の制限(50.1%)
◎ PC操作ログの取得・保管
(46.6%)
サーバー対策
◎ 特権ユーザ(システム監理者など)の管理 (46.5%)
◎ 社内サーバへの定期的なアクセス権の直し(43.7%)
その他
◎ 般社員向けへの教育・研修の実施
(46.5%)
◎ 退職者に対するアクセス権の早期無効化 (46.5%)
◎ 外部Webサイトへのアクセス制限
(46.5%)
26
出典JIPDEC「IT-Report 2018 Spring」
Copyright2018 JIPDEC all rights reserved
安全なパスワード管理
総務省「国のための情報セキュリティサイト」
パスワードを複数のサービスで使い回さない(定期的な変更は不要)
http://www.soumu.go.jp/main_sosiki/joho_tsusin/securit
y/business/staff/01.html
内閣サイバーセキュリティセンター(NISC)
「情報セキュリティハンドブック」
パスワードの定期変更は必要なし。流出時は速やかに変更する。
http://www.nisc.go.jp/security-site/files/handbook-02.pdf
誤解を招く表現
27
Copyright2018 JIPDEC all rights reserved
退職者等のID・パスワード対応
ID・パスワード等のアカウント管理は、情報セキュリ
ティにおいて、極めて重要な課題。
特に、退職者等のアカウントは直ちに消去する必要があ
ると共に、そのログは定期間、保管することが必須。
情報セキュリティニュースサイト
「Security NEXT」で
´内部犯を検索すると
181件 がヒット
http://www.security-next.com/
28
Copyright2018 JIPDEC all rights reserved
ご静聴有り難うございました。
”IT-Report 2018 Spring”は、近中に
JIPDECのホームページで公表します。
本資料に関する問い合わせ先
e-mail: yamauchi-toru@jipdec.or.jp
29
Copyright2018 JIPDEC all rights reserved

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!