HOME 定番情報源情報漏洩を防止する →個人情報保護 →情報漏洩防止商品 →データの消去・抹消・削除 Linux関連情報 →SELinux →LIDS Microsoft関連情報プロファイリングで攻撃者を調査する認証脆弱性検査(ペネトレーションテスト) ログチェックウィルス対策 →Gumblar(ガンブラー) →ウイルスバスターダウンロード →ノートンダウンロードスパイウェア・トロイの木馬対策パケットキャプチャでネットワーク監視暗号化 VPN セキュアな無線LAN セキュアプログラミング →SQLインジェクションメール関連のセキュリティファイアウォールで守る侵入検知 →Snort シンクライアントインシデントレスポンスセキュリティポリシーセキュリティ監査セキュリティ関連の法律過去のニュースクレジットカードのセキュリティ電子マネーのセキュリティ各種ツールメモノンセクションセキュリティ関連書籍サイトマップ

セキュリティポリシー

リスク分析

リスクの種類

純粋リスク…発生した場合に損失のみをもたらす可能性のあるリスク
投機リスク…発生した場合に損失だけでなく、時には利益をもたらす可能性があるリスク

リスク分析を行うためのソフトウェアとして、CRAMMというツールがある。

日本においては、財団法人日本情報処理開発協会が1992年に開発したJRAM（Jipdec Risk Analysis Method）というコンピュータセキュリティに関するリスク分析手法がある。その後、10年を経てJIPDEC リスクマネジメントシステム（JRMS）のあり方に関する研究報告書（JRAM2002）が発表されている。

リスクマネジメントの種類

リスクコントロール…リスクの顕在化によって生じる損失を極小化するために、リスクの発生を抑える「損失予防策」や、発生した場合の対処としてバックアップなどによる「損失軽減策」を利用する方法
リスクファイナンス…リスクの顕在化によって生じる金銭的損失を極小化するために、保険により「リスク移転」を図ったり、準備金を用意するなどの「リスク保有」を利用する方法

リスクマネジメントの手順

情報資産の評価
脅威の認識
リスクの識別
リスクの評価
セキュリティ方針の策定

NPO 日本ネットワ－クセキュリティ協会
情報セキュリティポリシー・サンプル
情報セキュリティ総合サイト『月刊情報セキュリティ』
民間企業や自治体における情報セキュリティマネジメントシステム構築を支援する総合サイト
情報セキュリティ対策
情報セキュリティポリシーに関するガイドライン
首相官邸
　　　情報システムセキュリティ・ガイドラインに関する委員会勧告 2002/09/24
企業のリスクマネジメントに関する調査・研究報告書 2001/04
ネットワーク社会のリスクと対策 1998/04
日本損害保険協会
内閣官房情報セキュリティ対策推進室：トップページ
[ThinkIT] 第1回：情報セキュリティマネジメントシステムとは？
http://www.thinkit.co.jp/free/project/9/1/1.html
[ThinkIT] 第2回：プライバシーマークとISMSの違い
http://www.thinkit.co.jp/free/project/9/2/1.html
[ThinkIT] 第3回：ISMSの必要性とその効果 (1/4)
http://www.thinkit.co.jp/free/project/9/3/1.html 2005/10/4
[ThinkIT] 第4回：ISMS構築手順
http://www.thinkit.co.jp/free/project/9/4/1.html 2005/10/17
[ThinkIT] 第5回：ISMS運用手順
http://www.thinkit.co.jp/free/project/9/5/1.html 2005/10/31
[ThinkIT] 第6回：審査対応と更新
http://www.thinkit.co.jp/free/project/9/6/1.html 2005/11/14
[ThinkIT] 第7回：ISMS認証規格の動向と関連法令等の対応
http://www.thinkit.co.jp/free/project/9/7/1.html 2005/11/28
おたくのポリシー本当に役に立ってますか？（1）――浸透しない原因は宣伝不足(IT Pro) 2004/6/8
おたくのポリシー本当に役に立ってますか？（2）――ポリシーの「売り」って何？(IT Pro) 2004/6/16
おたくのポリシー本当に役に立ってますか？（3）――訴訟されたらどうする？(IT Pro) 2004/6/22
おたくのポリシー本当に役に立ってますか？（4）――ポリシーの弱点(IT Pro) 2004/6/29
おたくのポリシー本当に役に立ってますか？（5）――効果的な宣伝方法(IT Pro) 2004/7/6
おたくのポリシー本当に役に立ってますか？（6）――セキュリティ教育が大切(IT Pro) 2004/7/13
徹底的に手間を省力化する“手抜き”ポリシー作成術（1）――情報資産のプライオリティ(IT Pro) 2004/11/2
徹底的に手間を省力化する“手抜き”ポリシー作成術（2）――研究開発データは守る(IT Pro) 2004/11/9
徹底的に手間を省力化する“手抜き”ポリシー作成術（3）――守るべきコアな情報とは(IT Pro) 2004/11/16
徹底的に手間を省力化する“手抜き”ポリシー作成術（4）――個人情報は最優先で保護(IT Pro) 2004/11/30
徹底的に手間を省力化する“手抜き”ポリシー作成術（5）――ポリシーを作ろう(IT Pro) 2004/12/7
徹底的に手間を省力化する“手抜き”ポリシー作成術（6）――アクセス制御はきちんと考える(IT Pro) 2004/12/14
徹底的に手間を省力化する“手抜き”ポリシー作成術（7）――第三者によるレビューを(IT Pro) 2004/12/21
「規則を守れ！」だけでは無理，万一の事態に備えた準備を（1）――エンドユーザーを信用するな(IT Pro) 2005/1/11
「規則を守れ！」だけでは無理，万一の事態に備えた準備を（2）――そもそも被害に気づくのか疑問(IT Pro) 2005/1/18
「規則を守れ！」だけでは無理，万一の事態に備えた準備を（3）――「検疫」の必要性(IT Pro) 2005/1/25
「規則を守れ！」だけでは無理，万一の事態に備えた準備を（4）――区画ごとに「防水隔壁」を(IT Pro) 2005/2/1
「規則を守れ！」だけでは無理，万一の事態に備えた準備を（5）――ポリシーは守られないもの(IT Pro) 2005/2/5
「規則を守れ！」だけでは無理，万一の事態に備えた準備を（6）――無線LAN抜きでは語れない(IT Pro) 2005/2/15
「規則を守れ！」だけでは無理，万一の事態に備えた準備を（7）――リスク管理の弱点(IT Pro) 2005/2/22
「規則を守れ！」だけでは無理，万一の事態に備えた準備を（8）――ワークフロー化の勧め(IT Pro) 2005/3/1
リスクを数字の形で経営者に伝える 2002/7/10
情報セキュリティインシデントに関わる調査 2002/6/7
セキュリティインシデントに係る被害額・投資額の調査
セキュリティポリシー策定・運用支援ナレッジマネジメントシステムの開発 2002/3/5
BS7799・ISMS認証取得の実態を聞く第1回新日鉄ソリューションズ編 2003/2/15
BS7799・ISMS認証取得の実態を聞く第2回ラック編 2003/3/8
BS7799・ISMS認証取得の実態を聞く第3回エクサ編 2003/3/26
BS7799・ISMS認証取得の実態を聞く第4回 NTTデータ編 2003/3/26
BS7799・ISMS認証取得の実態を聞く第5回富士通エフ・アイ・ピー編 2003/5/16
BS7799・ISMS認証取得の実態を聞く第6回キヤノンソフトウェア編 2003/7/17
BS7799・ISMS認証取得の実態を聞く第7回凸版印刷編 2003/8/16
BS7799・ISMS認証取得の実態を聞く第8回 IIJテクノロジー編 2003/9/18
BS7799・ISMS認証取得の実態を聞く第9回グローバルフォーカス編 2003/11/8
【実録】ISMS構築・運用ステップ・バイ・ステップ（1）(＠IT) 2003/7/5
【実録】ISMS構築・運用ステップ・バイ・ステップ（2）(＠IT) 2003/8/7
【実録】ISMS構築・運用ステップ・バイ・ステップ（3）(＠IT) 2003/9/4
【実録】ISMS構築・運用ステップ・バイ・ステップ（4）(＠IT) 2003/10/2
【実録】ISMS構築・運用ステップ・バイ・ステップ（5）(＠IT) 2003/11/29
経営層にセキュリティの重要性を納得させる 2003/1/10
情報セキュリティポリシー入門 2002/3/9
策定期間短縮のススメ 2002/4/19
サンプルを用いたポリシー策定方法 2002/5/22
セキュリティポリシー運用のサイクル 2002/7/5
ポリシー運用サイクルに適した形態とは 2002/9/6
セキュリティポリシー運用の実際とコツ 2002/11/21
インシデントレスポンスとは？ 2002/6/26
インシデントを発見する方法（1） 2002/7/31
インシデントを発見する方法（2） 2002/8/28
インシデント発見時の対応手順 2002/9/25
インシデント発見後の関係サイトへの連絡 2002/10/25
インシデント発見前の注意点 2002/11/27
ISMSの基盤となるISO/IEC 17799とJIS X5080 2002/7/12
認証取得のためのISMSガイド - Page1 2002/8/9
企業のセキュリティリスクを査定するガイドGMITS 2002/9/11
ISMS構築で重要なリスクアセスメントの手法：GMITS-Part3 2002/10/17
評価されたリスクへの管理策の選択 2002/11/29
【＠ITイベント・レポート】効果的な情報セキュリティマネジメントへのアプローチ 2002/12/18
セキュリティのつぼ（4） 2002/2/15
企業の競争戦略の一環としてのセキュリティ軽視
セキュリティ対策よりも認定取得が目的に？ 2002/5/29
“費用対効果を認識した”といえるISMS認証取得 2002/6/8
開発者が押さえておくべきセキュリティ標準規格動向
情報セキュリティポリシーの現状 2002/7/26
現状の情報セキュリティポリシーの問題点 2002/8/21
日本型企業にポリシーの承認と運用を実践させるには 2003/1/29
技術メモ - コンピュータセキュリティインシデントへの対応
セキュリティポリシー策定の問題点を解消したツール、アズジェント
書評情報セキュリティポリシー策定に役立つ4冊！ 2002/6/28
第4回　読者調査結果発表 Security&Trust 2002/6/28
～情報セキュリティポリシーの策定状況は？～
第6回　読者調査結果発表 Security&Trust 2002/6/28
～情報システムのセキュリティ管理体制はどうなっている？～
大学の情報セキュリティポリシーに関する研究会
規格・制度
- 情報セキュリティマネジメントシステム(ISMS)適合性評価制度
- プライバシーマーク制度
- JISC-データベース
  X5080
届け出
- IPA 情報処理振興事業協会
  コンピュータウイルスに関する届出
- コンピュータ緊急対応センター
  JPCERT-CCへの連絡方法
- コンピュータインシデントの報告様式をマイナーバージョンアップ（JPCERT-CC）
News
- 米シマンテックのオペレーションセンターがBS7799認証を取得 2002/6/14
- 日本ユニシスがISMS適合性評価制度認定を取得、BS7799とのダブル認証に 2002/6/13
- ソニー銀行、BS7799 パート2の認証を取得 2002/6/11
- JIPDEC，「ISMS適合性評価制度の認証基準 Ver.1.0」案を公開，パブリックコメントも募集
- 自主性が要求されるセキュリティ対策の新ガイドライン
- “組織”のセキュリティの国内認証機関が始動。認証第1号は富士ゼロックス 2002/1/25
- トップの責任が問われるセキュリティポリシー策定 2002/1/17
- 「簡潔なポリシーと経営層のコミットがカギ」とする米シマンテックのディアッツ氏 2002/1/16
- 解説●情報セキュリティ管理の認証制度が本格化（上）
- 解説●情報セキュリティ管理の認証制度が本格化（下）
- 解説●事例で知る，セキュリティ・ポリシー失敗の仕方

セキュリティ監査 - ITNAVI.net

セキュリティ情報ディレクトリリンク集 Presented by ITNAVI.com