情報セキュリティの基本 の商品レビュー

p.60　入社時：雇用契約書とは別に情報管理に関する文書に署名させる。毎年実施する。 p.92　データ廃棄方法のルール化。ソフトで消去。廃棄までの仮置場にも注意。廃棄証明書。 p.185　ウイルスに感染したら IPA「パソコンユーザーのためのウイルス対策７か条」 p.152　情報資産管理台帳の作成　p.25 p.88　経済産業省　事業継続計画策定ガイドライン。訓練でBCの見直しへ https://www.ipa.go.jp/security/guide/sme/about.html 中小企業 ・労基　労働時間の管理（分単位）、時間外管理 ・経理　ダブルチェックの穴 ・情報セキュリティ　ウイルス（メール対策） ・大規模災害時の対応（通勤、職員との連絡） ・労災　労災時の状況・対策をJNFLに報告

情報セキュリティ対策について学ぶために手に取りました。重要なことがまとめられていると感じましたが、文章が多く、図が少ないため、仕組みを知りたい方にとっては難しく感じるかもしれません。 情報セキュリティポリシーの制定、入口、出口、内部のサイバーセキュリティ対策などが書かれています、

2017年8月28日読了。主に企業のセキュリティ担当者（まあ、全社員か）向けに、情報セキュリティの基本を説く本。基本的な内容は一通り網羅されているが、「完璧すぎ・細かすぎて実行不可能なセキュリティ対策は実行されないことによりかえってセキュリティの危機を招く」「チェックリストは形がい化を招きやすく本当に必要な対策が実施されないリスクがある」「訓練のシナリオが毎回同じだと単なるオペレーションの確認になってしまう、毎回シナリオは現実味のあるもので変更していくことが重要」というあたりはその通りと感じる。「何か入れて終わり」ではなく、「今ある資源をいかに頭を使って活用しているか」が重要なんだよなあ。

★2017年4月2日読了『情報セキュリティの基本』島田裕次著　評価B+ 情報セキュリティについて、門外漢の素人に分かりやすくまとめてくれた本。 先週まで内部監査で詰められて苦労したところをもう一度頭を整理するために読んでみた。 以前とは比べものにならないほど、会社内での管理水準の要求は高くなっている。 よって一般者、情報通信部門の人間の啓蒙、管理意識の向上が必須。　 以下備忘 情報資産：情報セキュリティで守るべき対象。 情報管理台帳：情報資産の明確化、見える化のために作成する。 その項目：番号、情報資産名称、件数、保管場所、管理責任者、重要度、作成日、保存期間、他 リスク評価：　影響度 X 発生可能性 機密性　可用性　インテグリティ（正確性） 影響度/発生可能性 情報分類：　公開情報、社外秘の情報、機密情報＝社内特定部門のみ WAF：WEB　APPLICATION　FIREWALL　ウェブサイトと利用者間の通信の中身を機械的に検査 ウィルス攻撃からウェブアプリを防御、検出。複数ウェブアプリへの攻撃をまとめて防御 その弱点：あらかじめ許可された通信だけを許可する役割　 よって、あらかじめ許可された通信を利用した攻撃には対応できない。EX.バッファーオーバーフロー バイオメトリクス認証：指紋、手形、静脈、顔、虹彩、声紋、サイン認識 時間がかかるのが弱点　認識用機器と運用に関するセキュリティ強化 経済産業省：事業継続計画策定ガイドライン マイナンバーの利用範囲、管理ポイント 個人情報保護法　2015年9月改正 １．定義明確化　身体的特徴、要配慮個人情報　信教・門地情報などの機微情報 ２．個人を特定できなくすれば第三者への提供可　匿名加工情報 その他　小規模事業者も対象化 CSIRT　セキュリティインシデントへの対応組織 サイバー攻撃へ適切な対応を迅速に行うための設置組織 ERM：全社的リスクマネジメント　Enterprise Risk Management SLA:Service Level Agreement サービス提供事業者とその利用者の間で結ばれるサービスのレベル ITガバナンス：システム監査の対象　①システム化目的の達成状況　②ユーザの操作性　③費用対効果 ④戦略性　⑤有効性　⑥効率性　⑦コンプライアンス 情報セキュリティ：　機密性、可用性、インテグリティ 対策：　（時間軸）予防的、発見対策、回復対策　（方法）物理的、技術的、管理的対策 コントロール：　回避、提言、移転、受容 J-SOXでは、財務データの正確性を阻害するリスク低減が重要