nttコミュニケーションズにおける ...j-isms.jp/pdf/resume6.pdf · © ntt communications...
TRANSCRIPT
www.ntt.com © NTT Communications
NTTNTTコミュニケーションズにおけるコミュニケーションズにおけるセキュリティマネジメントの実践セキュリティマネジメントの実践
日本ISMSユーザグループ 「第1回 情報セキュリティマネジメント・セミナー」
2004年11月 18日NTTコミュニケーションズ株式会社
セキュリティマネジメント室土屋 雅彦
www.ntt.com © NTT Communications
NTTNTTコミュニケーションズコミュニケーションズ セキュリティモデルセキュリティモデル
脅威 脅威
情報
保護のための技術保護のための技術
物理的・論理的物理的・論理的環境環境
Human FirewallHuman Firewallポ
リシー
ポリシ
ースタンダード
スタンダード
訓練
・啓発
訓練
・啓発 プロシジャー
プロシジャー
セキュリティセキュリティマネージメント体制マネージメント体制
自己診断自己診断
内部監査内部監査
外部監査外部監査
インシデント対応体制インシデント対応体制インシデントインシデント
対応対応
インシデントインシデント対応対応
狭義のセキュリティ
当社における当社におけるセキュリティマネジメントの考え方セキュリティマネジメントの考え方
◆セキュリティは技術だけでは守れない!◆セキュリティは人に始まり人に終わる!◆セキュリティは、それに関わる人間と、
仕事の仕組みの問題である。
自動車運転にたとえると自動車運転にたとえると
道路、信号機、標識の整備
技術を生かす運用(運転操作)
社会秩序を確保(道路交通法)
見えない習慣(運転マナー)
倫理・教育法・制度
運用・管理
技術
www.ntt.com © NTT Communications
情報セキュリティマネジメント実現フレーム 実施プログラム
脅威 脅威
情報
保護のための技術保護のための技術
物理的・論理的物理的・論理的環境環境
Human FirewallHuman Firewallポ
リシー
ポリシ
ースタンダード
スタンダード
訓練
・啓発
訓練
・啓発 プロシジャー
プロシジャー
セキュリティセキュリティマネージメント体制マネージメント体制
自己診断自己診断
内部監査内部監査
外部監査外部監査
インシデント対応体制インシデント対応体制インシデントインシデント
対応対応
インシデントインシデント対応対応
① セキュリティマネジメント進体制の整備
② セキュリティ方針明確化とポリシー整備
③セキュリティ現状分析と対策立案(ISO17799の要求事項と現状とのギャップ分析)
⑤ セキュリティインシデント対応用情報共有環境の整備
④従業者セキュリティ教育の実施
セキュリティに関する社内関連部門と連携して推進する分野
狭義のセキュリティ
情報セキュリティマネジメント実現のための取り組み(1) NTTコミュニケーションズの情報セキュリティの平均レベルの底上げ
情報セキュリティマネジメントのグローバルスタンダードである(ISO17799)の要求水準からみて見劣りしないレベル
(2) ビジネス要件からISMS認証を取得する組織の取得支援(3)高度スキルをもつセキュリティエンジニアの実践を通じた育成
www.ntt.com © NTT Communications
【実施Program1】 セキュリティマネジメント進体制の整備
各ISMS適用範囲
社長(幹部会議)
セキュリティマネジメント実施担当者(正)
○○○○(事業)部(事業)部
セキュリティマネジメント実施責任者
セキュリティマネジメント実施担当者(副)
セキュリティマネジメント会
セキュリティマネジメント会
議議
CSOCSOセキュリティセキュリティ
推進担当役員推進担当役員
セキュリティ専門グループセキュリティ専門グループ総務、人事、法務、考査、技術、広報、経営企画
…○○○○部門部門
セキュリティ管理者
セキュリティ担当者セキュリティ担当者
セキュリティ管理者
セキュリティ担当者
…
…
…
□ 全社の管理体制
□ 事業部内の管理体制
□ 部門内の管理体制
セキュリティ管理者
セキュリティマネジメント室セキュリティマネジメント室
CSO / CSO / セキュリティマネジメント室のセキュリティマネジメント室の ミッションコンセプトミッションコンセプト
CSO (Chief Security Officer) と セキュリティマネジメント室の 最大のミッションは、CSO/セキュリティマネジメント室を要らなくすることである。即ち、全組織、全員が自らセキュリティマネジメントを実施できるような状態にすることである。
www.ntt.com © NTT Communications
■情報セキュリティのグローバルスタンダード(ISO17799、BS7799)にあわせ全社セキュリティポリシーを再整備する。■当社が情報セキュリティを継続する上で全社的に実施する基本的事項を明確にする。■当社業務に従事するすべての役員、社員、パートナー社員が遵守する情報セキュリティ実施事項と義務・責任を記す。
【実施Program2】 セキュリティ方針明確化とポリシー整備
コーポレートガバナンスコーポレートガバナンス
セキュリティ侵犯(情報漏えい 等)セキュリティ侵犯(情報漏えい 等)
サービス品質へのクレームサービス品質へのクレーム
過剰投資過剰投資
法的対応法的対応
人材の流動化人材の流動化
IT競争IT競争
顧客満足の多様化顧客満足の多様化
全社セキュリティポリシー全社セキュリティポリシー
基本規程
個別規程
実施手順
セキュリティ宣言
事業部・システム個別ポリシー
当社が情報セキュリティを継続する上で守るべき基本的な事項を定めたもの
基本規程の内容を実現する上でテーマ毎に実施すべき事項を具体化した規程
個別規程を補助する手順書、ワークシート、契約書雛形及び管理簿など
個別規程
実施手順
基本規程
経営者のセキュリティマネジメントへの基本的取り組み方針を社員に伝達するもの
宣言
情報の管理お客様の個人情報保護従業者の個人情報保護社員の管理協業者の管理物理環境の管理情報システムの管理
など
経営理念・行動規範経営理念・行動規範
MissionMission VisionVision ValueValue
www.ntt.com © NTT Communications
「セキュリティ宣言」と「情報保護方針」
セキュリティ宣言
1. 情報の適切な生成、収集、利用及び提供を行います。
2.情報への不正アクセス、情報の紛失、破壊、改ざん及び漏えいなどを防ぎます。
3.情報に関する法令及びその他規範を遵守します。
4.情報保護に関する規程類を整備し、継続した改善を行っていきます。
5.当社は、この方針を文書化し本規程の全ての適用対象者に周知します。
情報保護方針
NTTコミュニケーションズは自らに課している厳しいセキュリティ管理が、お客様のセキュリティ向上と
ベストフィットにつながるというビジョンのもと、それを実現するため「NTTコミュニケーションズセキュリ
ティ宣言」を設定しました。
NTTコミュニケーションズでは以下のとおり〔情報保
護方針〕を定め、個人情報の適切な保護に努めます。
www.ntt.com © NTT Communications
【実施Program3】 セキュリティ現状分析と対策立案■迅速な社内実情把握のため、全管理職を対象にWebセルフチェックで現状分析を実施 。(実態の可視化と経営層報告)■目標レベルから逸脱の大きい事項、全社的対策を要する課題から優先順位付けし、対策を策定
情報管理ルールの理解、実践が不十分情報管理ルールの理解、実践が不十分
取扱区分の表示、重要情報の取り扱いが不十分取扱区分の表示、重要情報の取り扱いが不十分
重要業務がセキュリティの保たれない環境で行われている重要業務がセキュリティの保たれない環境で行われている
オフィス入退室のセキュリティが保たれていないオフィス入退室のセキュリティが保たれていない
逸脱率が高く、取組強化を要する課題
(1) 情報保護のための管理体制
(3) オフィスの情報セキュリティ
(6) インターネットとネットワークセキュリティ
(4) 物理セキュリティ
(5) ポリシー遵守教育
(2) 情報のライフサイクル管理
*逸脱率:「未実施」と回答した割合のこと、値が低いほど良好な実施状況
重要情報が施錠保管されていない重要情報が施錠保管されていない
プリンタの周囲に情報が放置されているプリンタの周囲に情報が放置されている
情報の盗難防止策が不十分情報の盗難防止策が不十分
廃棄するパソコン内のデータが完全に消去されていない廃棄するパソコン内のデータが完全に消去されていない
ITリソースのアクセス権限が必要以上に付与されているITリソースのアクセス権限が必要以上に付与されている
情報システムの現況管理やログ管理が不十分情報システムの現況管理やログ管理が不十分
全社目標レベルからの逸脱率
■ ビル/フロア、NW内を自由にアクセスできる環境を悪用した情報盗難 ⇒ 【入退室管理・ログイン管理対策】
■ 設置場所のセキュリティ確保が不十分なサーバの不正操作による情報盗難 ⇒ 【エリア区分・物理環境対策】
■ 社員区別のつきにくさを悪用した「社員なりすまし」による情報漏洩 ⇒ 【個人識別・認証対策】
■ 無認可な端末(個人所有PC・媒体)の持込・持出によるウイルス感染、情報漏洩 ⇒ 【PC一元管理対策】
■ ITリソース(PC,アカウント等)貸与・回収管理の不徹底により生じる情報漏洩 ⇒ 【ITリソース管理・プロセス管理対策】
■ 可搬媒体(FD等)、PCなどの盗難および不適切な廃棄による情報漏洩 ⇒ 【媒体消去対策】
■ 重要情報と認識せず取扱う(口外、持出)ことによる情報漏洩 ⇒ 【情報区分・明示対策】
想定されたリスク想定されたリスク 必要な対策必要な対策
www.ntt.com © NTT Communications
◆入退室管理◆入退室管理
■出退勤・就業管理
◆キャッシュレスシステム◆キャッシュレスシステム
売店・食堂レジチャージ機 自動販売機
■許されざる入館、社内NWへの不正アクセスを防ぐコト
6
◆社員・パートナー区分◆社員・パートナー区分◆セキュリティエリア区分◆セキュリティエリア区分
★全社で共通な、物理的(ビル・エリア)管理、社員・外部委託(パートナー)管理のためのセキュリティ・ベースインフラを整備
■入退室管理
(受付・来訪者管理)
オフィスビル ◆個人識別・認証ツールの整備
①一般エリア(ブルーゾーン)②オフィスエリア(イエローゾーン)③アクセス管理エリア(レッドゾーン)●ビル/エリア管理者設置 ●STAFF区分をストラップ色で視認
●パートナー管理者設置
(従来より実施)
■DB、ファイルアクセス制御
自宅外出先
社内LAN
■PCガード
認証サーバ
外部オフィス
Web
業務支援
Web
Web
スケジューラ
Mail人事、給与、経理システム
商品企画、顧客DBシステム
■社内イントラへのセキュアアクセス+認証
暗号路
■シングルサインオン
◆企業内情報管理◆企業内情報管理
◆セキュアリモートアクセス◆セキュアリモートアクセス
★★IICカードプラットフォームをセキュリティ管理に応用Cカードプラットフォームをセキュリティ管理に応用
「「ICICカード社員証ソリューション」カード社員証ソリューション」
NTTコミュニケーションズ株式会社ソウム タロウ
社員証
1234-5678-1234
www.ntt.com © NTT Communications
■常時2万台のPCの挙動を見張っているコト★全社で共通な、オフィスITリソース管理のセキュリティ・ベースインフラを整備
◆クライアントPCの標準化により、社内のIT(デストップ)環境を可視化する。◆資産管理業務とOAヘルプデスク業務を一元化により集約、コストを削減する。
●社内PC環境(ハード、ソフト:OS/アプリ)を標準化:動作・安全性を検証した機種、ソフトで
リスクを極小化
◆PCプラットフォームの標準化◆PCプラットフォームの標準化
●社内LANから無認可持込端末の根絶:接続する機器は、会社資産のみ
●セキュリティパッチやウィルス対策の集中管理:一元的実施で対策を徹底
◆セキュリティ対策の一元的実施◆セキュリティ対策の一元的実施
●資産管理●ソフトウエアライセンス管理
◆資産・ソフトウエア管理◆資産・ソフトウエア管理●非効率な社員のPCサポート稼動削減:本業への集中
●迅速な障害対応:代替手配・データ復旧
◆ヘルプデスク一元化◆ヘルプデスク一元化
支店支店
東京東京
オペレーションセンタオペレーションセンタ Security Operation Center ( SOC )Security Operation Center ( SOC )ウィルス・侵入検知24時間体制の監視
サービスデスク情報収集・管理レポーティング
クライアントPC クライアントPC
中継サーバ中継サーバ
メタフレームサーバ作業現場等作業現場等
シン・クライアントPCファイルサーバ
プリンタ
ICカード
各種情報収集、ソフトウェア配信、パッチ配布、ウィルス監視etc.
●ファイルSVの大規模統合と一元管理
●内部情報漏洩監視●RFID(無線タグ)
◆情報管理・持出管理◆情報管理・持出管理
★オフィスIT環境を一元化「デスクトップマネジメントサービス」「デスクトップマネジメントサービス」
www.ntt.com © NTT Communications
■業務用PC等の廃棄、故障修理、更改(リース品返却含む)
産業廃棄物
■廃棄パソコンからも情報を漏らさないコト
★パソコン・記憶媒体等の廃棄・リサイクル・故障修理時の処理手順の社内標準化●JEITA(電子情報技術産業協会)ガイドライン準拠のデータ消去方法と実施確認●データ消去の外部委託は、PC回収・配送を含めセキュリティ監査を実施した業者を選定。
★SMO指定手順で消去・粒断
★データ消去の外部委託監査済データ消去指定事業者専用処理工場
【配送方法・手順】【処理環境・方法・手順】
産業廃棄事業者工場
【処理環境・方法・手順】
消去委託業者から産廃業者への受渡時COM社員の立会い (産廃法準拠)
★媒体消去プロセス管理の徹底
www.ntt.com © NTT Communications
【実施Program4】 従業者セキュリティ教育の実施
事業部集合研修*年1回実施
・セキュリティ管理者の役割理解・日常基本動作の指導・管理の徹底・所掌管理のポイント理解
自組織セキュリティ管理策の実施・指導責任
※内部組織セキュリティ管理
者
・セキュリティポリシー遵守
・日常基本動作の徹底
・セキュリティポリシー遵守
・日常基本動作の徹底
・ISMS導入目的、担当責任の理解
・マネジメント施策推進実務、組織内統制実務
の理解 (BS7799のスペシャリスト教育)
・ISMS構築意義、自組織責任者の役割理解
・日常マネジメントポイント理解
コーポレートガバナンスの観点からセキュリティマネジメント実施状況・課題の把握
啓発教育目的
SMO集合研修
*年1回実施
自組織内セキュリティマネジメント定着・レベル向上責任実施責任者
SMO集合研修
*年1回実施
自組織内セキュリティ施策推進責任実施担当者
パートナー管理者個別研修
[ビデオ・座学]
*契約開始時実施
「誓約書」取得
セキュリティポリシー遵守パートナー
社員
事業部集合研修
[ビデオ・座学]
*年1回実施:
「誓約書」取得
セキュリティポリシー遵守全社員
セキュリティ社外顧問会議
幹部勉強会経営全般のマネジメント責任経営幹部
実施方法セキュリティ上の役割
パートナー社員
全社員
※内部組織セキュリティ管理者
実施担当者
実施責任者
経営幹部
■各事業部核要員へのBS7799 (ISO17799) 集中教育 (BS7799のスペシャリスト:150名)■セキュリティマネジメント役割別の教育カリキュラム体系整備■一人ひとりの意識と行動の徹底に向け、ポリシに基づく全従業者への研修実施。「誓約書」の取得
www.ntt.com © NTT Communications
★意識と行動の徹底のために 【 『誓約書』への署名 】
1. 遵守義務
• 法令、情報セキュリティポリシーの遵守2. 報告義務
• セキュリティ違反、事故発生時の報告3. 協力義務
• 会社のセキュリティ施策への協力4. 守秘義務
• 会社情報に関する機密守秘の継続5. 禁止
• 会社情報の目的外・私的利用の禁止• 個人所有機器使用の禁止
6. 注意喚起
• 違反時の罰則、損害賠償
採用時・就業中(契約開始時)誓約書<要旨抜粋>
退職時(契約終了時)誓約書<要旨抜粋>
1. 遵守義務
• 退職後の関連法令遵守2. 守秘義務
• 会社情報に関する機密守秘の継続3. 会社情報持出しの禁止
• 会社情報の持ち出しの禁止• 情報機器の持ち出しの禁止
4. 事業活動侵害の禁止
• 事業活動侵害行為の禁止5. 注意喚起
• 違反の際の損害賠償責任
全社員/全パートナー社員は、セキュリティポリシを理解しその同意として「誓約書」に署名する。
www.ntt.com © NTT Communications
ビジョニング
コミットメント/レスポンシビリティ
デシジョンメイキング/リスクテイキング
クイックアクション
チャレンジ/イノベーション
エンパワーメント/チームワーク
イニシャティブ
プロブレムソルビング
ビジョニング
ネゴシエーション
クイックアクション
チャレンジ
アクション
アクション
ナレッジ/
スキル
ナレッジ/
スキル
グローバル
マインド
グローバル
マインド
スペシャリティ
ナレッジマネジメント
スペシャリティ
OBP/GSアクティビティ
オープンマインド
OBP/GSアクティビティ
管理職管理職一般社員一般社員
セキュリティアクティビティ
セキュリティアクティビティ
ee--CAPCAP行動評価項目の構成行動評価項目の構成
ねらい情報セキュリティの日常的な取り組み状況を行動評価基準に照らすことで、一人ひとりのセキュリティマインドを高める。
情報セキュリティの仕事をボランティアにしない仕組みを導入する。
全社員(一般社員・管理職)の人事評価項目に、『セキュリティアクティビティ(セキュリティポリシーの理解と遵守 / 実践)』を新設
★セキュリティを日常業務とするために 【人事評価】
◆セキュリティをボランティアにしない!
www.ntt.com © NTT Communications
「セキュリティ宣言」「セキュリティ宣言」の職場でのの職場でのAwarenessAwarenessの向上の向上
【携帯型セキュリティカード】【社内啓発ポスター】
★情報セキュリティ・マネジメントの取り組みの普及のために ①
【推進者への委嘱状】
www.ntt.com © NTT Communications
「基本動作」「基本動作」の徹底の徹底
★情報セキュリティ・マネジメントの取り組みの普及のために ②
【教育・啓発ビデオシリーズ】
★第2弾 『見直そう 社内の情報セキュリティ ~情報漏洩を防ぐために~』
※社内インシデント実例をもとに、事故の影響、社内で実施すべき15の対策についてドラマ仕立てで解説
★第1弾 『あなたが守る! あなたを守る!オフィスの情報セキュリティ』
※日常のオフィスシーンでまず気をつけたいセキュリティのマナーをドラマでチェック!
www.ntt.com © NTT Communications
最後に
情報セキュリティの職場の定着は辛抱強く、繰り返し社員に同じ事を言い続けること!
自組織の情報セキュリティを外部に対して誇れるものに!
組織全体のセキュリティレベルは一番弱い場所で決まる!
www.ntt.com © NTT Communications