タテックス有限会社によるISO9001,140001,27001の規格等のコンサルティングサービス、第三者審査に関連した情報の発信をしています。

ISO27001 > ISO27001:2013 > 4. 組織の状況 > 5. リーダーシップ > 6. 計画 > 7. 支援 > 8. 運用 > 9. パフォーマンス評価 > 10. 改善 > 付属書A.管理目的及び管理策 > A.5 情報セキュリティのための方針群 > A.6 情報セキュリティのための組織 > A.7 人的資源のセキュリティ > A.8 資産の管理 > A.9 アクセス制御 > A.10 暗号 > A.11 物理的及び環境的セキュリティ > A.12 運用のセキュリティ > A.13 通信のセキュリティ > A.14 システムの取得、開発及び保守 > A.15 供給者関係 > A.16 情報セキュリティインシデント管理 > A.17 事業継続マネジメントにおける情報セキュリティの側面 > A.18 順守 > 情報セキュリティ用語

A.12 運用のセキュリティ

  • A.12.1 運用の手順及び責任
    • A.12.1.1 操作手順書
    • A.12.1.2 変更管理
    • A.12.1.3 容量・能力の管理
    • A.12.1.4 開発環境、試験環境及び運用環境の分離
  • A.12.2 マルウェアからの保護
    • A.12.2.1 マルウェアに対する管理策
  • A.12.3 バックアップ
    • A.12.3.1 情報のバックアップ
  • A.12.4 ログ取得及び監視
    • A.12.4.1 イベントログ取得
    • A.12.4.2 ログ情報の保護
    • A.12.4.3 実務管理者及び運用担当者の作業ログ
    • A.12.4.4 クロックの同期
  • A.12.5 運用ソフトウェアの管理
    • A.12.5.1 運用システムに関わるソフトウェアの導入
  • A.12.6 技術的ぜい弱性管理
    • A.12.6.1 技術的ぜい弱性の管理
    • A.12.6.2 ソフトウェアのインストールの制限
  • A.12.7 情報システムの監査に対する考慮事項
    • A.12.7.1 情報システム監査に対する管理策

12. Operational Security Management
  • 12.1 Establish procedures and responsibilities
    • 12.1.1 Document and use your operating procedures
    • 12.1.2 Control changes that affect information security
    • 12.1.3 Monitor usage and carry out capacity planning
    • 12.1.4 Keep your operational environment separate
  • 12.2 Protect your organization from malware
    • 12.2.1 Implement controls to manage malware
  • 12.3 Make backup copies on a regular basis
    • 12.3.1 Control how backups are carried out
  • 12.4 Use logs to record security events
    • 12.4.1 Establish information security event logs
    • 12.4.2 Protect logging facilities and log information
    • 12.4.3 Record administrator and operator activities
    • 12.4.4 Synchronize clocks to a single reference source
  • 12.5 Control your operational software
    • 12.5.1 Control installation of operational software
  • 12.6 Address your technical vulnerabilities
    • 12.6.1 Manage your technical vulnerabilities
    • 12.6.2 Establish software installation rules
  • 12.7 Minimize the impact of audit activities
    • 12.7.1 Control how audit activities are carried out


解説

運用のセキュリティは、情報処理設備の正確かつセキュリティを保った運用を確実にするために行う。

ランサムウェア (身代金要求型ウイルス)とは?


ランサムウェアの「ランサム(ransom)」とは「身代金」という意味です。
感染すると端末の操作やファイルの参照をできなくすることで、これらを人質にとり、元に戻すパスワードが欲しければお金(身代金)を払うようにとの脅迫メッセージを表示します。

直接あなたの金銭を奪おうとするウイルスが問題になっています。
中でも、感染した端末の画面をロックしたり(端末ロック型)、ファイルを勝手に暗号化したり(暗号化型)することによって使用できなくしたのち、元に戻すことと引き換えに「身代金」を要求する「ランサムウェア(身代金要求型ウイルス)」の被害が拡大しています。2017年5月世界中で被害が拡大し大ニュースになっています。

金銭を狙うランサムウェア(身代金要求型ウイルス)が急増感染するとあなたの会社の大事な情報資産(写真や動画、ファイル)が使えなくなります。
トレンドマイクロの調査では、日本国内のランサムウェア検出台数が、2016年1月〜12月で65,400件を超え、2015年1年間の検出台数6,700件に対して、9.8倍と急増してます。

また独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2017」の第2位に「ランサムウェア」がランクインしています。

どんな場合、ランサムウェアに感染するかというと、Webページを見たり、メールの添付ファイルを開くという一般的な操作で感染するのです。

迷惑(スパム)メールの添付ファイルを開いたことで、ランサムウェアがダウンロードされてしまったり、攻撃者によって用意された不正なURLをうっかりクリックしてランサムウェアを拡散するサイトにアクセスしてしまったりすることで感染するケースが多いようです。
どうすればいいの? ランサムウェアの被害を防ぐための対策ポイント

ランサムウェアの被害を防ぐために、次の5つの対策を心がけましょう。
  1. 不自然なものには“触らない”
  2. OSやソフトの“更新プログラムを速やかに適用”
  3. セキュリティソフトは常に“最新に”
  4. 大切なデータは、複数の場所でこまめに“バックアップ”
  5. 身代金を要求されても“支払わない”

情報セキュリティ10大脅威 2017

 IPAは、2016年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出・決定した情報セキュリティ10大脅威を発表しています。
本資料が、読者自身のセキュリティ対策への理解と、各企業・組織の研修やセキュリティ教育等に活用されることにより、セキュリティ対策の普及の一助となることを期待しています。

2017年  (昨年順位)
1位 標的型攻撃による情報流出 (1位)
2位 ランサムウェアによる被害 (7位)
3位 ウェブサービスからの個人情報の窃取 (3位)
4位 サービス妨害攻撃によるサービスの停止 (4位)
5位 内部不正による情報漏えいとそれに伴う業務停止 (2位)
6位 ウェブサイトの改ざん (5位)
7位 ウェブサービスへの不正ログイン (9位)
8位 IoT機器の脆弱性の顕在化 (ランク外)
9位 攻撃のビジネス化(アンダーグラウンドサービス) (ランク外)
10位 インターネットバンキングやクレジットカード情報の不正利用 (8位)

情報セキュリティマネジメントシステム コンサルティング


2013年版での新規認証取得支援のコンサルティング、システム運用保守支援、改善支援、内部監査代行サービスなどを行っております。

御見積りは信頼と実績のタテックスまでお問合せください。


   お問合せは、ここをクリック→お問合せ

~
~
~
~

コメントをかく


ユーザーIDでかく場合はこちら

画像に記載されている文字を下のフォームに入力してください。

「http://」を含む投稿は禁止されています。

利用規約をご確認のうえご記入下さい

管理人のみ編集できます