今回は、ISMS(情報セキュリティマネジメントシステム)の運用について詳しくまとめていく。
コンテンツ
物理的・環境的セキュリティ
自然災害や、人的な破壊行為、事故や故障などから情報資産を守るため、「物理的及び環境的セキュリティ対策」を行う。
一般的には、自然災害や大規模障害への対策は、上位組織で検討される。
また、情報セキュリティ管理者として、「セキュリティが必要とされている区画」における不正や情報流出、紛失を防ぐことが重要である。
まず、建物や設備のうち、セキュリティが必要な区画を確定し、それぞれの区画のセキュリティ要件に見合った強度のセキュリティ対策を検討する。
その上で、セキュリティを保つべき区画には許可された者だけが利用できるようにし、第三者にその区画の名称が分かるような表記は避ける必要がある。
また、災害時にセキュリティ区画以外からの延焼や漏水などを防ぐ対策も講じる必要がある。
リスク対応計画で求められている対策として、主に次のようなものが挙げられる。
- 執務場所への入退管理方法
- 情報資産の持ち込み・持ち出し管理方法
- ネットワークの物理的な保護方法
- 情報セキュリティを維持すべき対象の範囲
マルウェアからの保護
コンピュータウイルスやワーム、ボットなど、不正行為を行う際に利用されるプログラムや悪意のあるソフトウェアを総称し、マルウェアと言う。
情報セキュリティ管理者は、各種マルウェアの種類や特徴、それに対する対策を理解し、その重要性を組織のメンバーに理解させる必要がある。
バックアップ
情報資産の消失から保護するために、情報資産の重要性に応じたバックアップ方針を立案する。
また、バックアップの手順書を文書化することはもちろん、リストアの手順書も作成し、定期的に復旧リハーサルを行い、万一の時には確実に復旧させる必要がある。
ログの取得・監視
ログはセキュリティ事故が発生した時に原因特定の手掛かりになるもので、システム監査の際の証拠にもなる。
ログには、システム管理者や運用担当者が操作を記録した「利用状況ログ」、システムやネットワーク状況を記録した「システムログ」、発生したエラーを記録した「システムエラーログ」など、様々な種類がある。
ログは監査証跡や許可されていない動きの検出に使われるため、完全性が求められる。
そのため、改ざんなどが発生しないようにオフラインで保管するなど、保管方法についても十分に検討し、文書化することが必要である。
情報の転送におけるセキュリティ
組織内外へ転送するデータのセキュリティを維持することを目的に、メールやWebサイトとのデータ送受信、FAXや音声、あらゆる形式の情報の転送において情報の保護を行うことも必要だ。
保護する仕組みや手順を規定として文書化して実施し、定期的な評価・確認も文書化し、実施後の記録を残す。
脆弱性管理
攻撃者からの悪用を防ぐため、当然脆弱性も管理しなければならない。
特に、ソフトウェアなどの技術的脆弱性については、開発元から公開情報としてアナウンスがあるので、適切にパッチを適用するなどの対応が必要である。
利用者アクセスの管理
社内ネットワークに侵入されると、データが盗まれたり、改ざんされたりする可能性がある。
そのため、need-to-know(情報を必要な人にだけ開示する)の原則に基づいてアクセス権を設定し、利用者や利用内容を適切に制限する必要がある。
また、アクセス権の登録・削除は、手順化されている必要があり、利用者の属する組織や雇用形態などが変わった場合には、アクセス権をレビューして適切な割り当てに変更する。
部門の情報システムに関するセキュリティと点検
部門で開発または取得する情報システムに関しては、情報システム部門の技術的支援を受けながら、情報セキュリティ機能を取りまとめ、上位者の承認を得ることが必要だ。
新たなシステムの正式稼動前には受入テストを実施し、不具合がないことを確認する。
受入テストにあたっては、個人情報や秘密情報をテストデータとして使わないようにすることも大事だ。
正式稼働する場合は、操作手順を文書化し、運用に携わる者に配布・教育を行う。
さらに新システム導入にあたり、既存の情報セキュリティ諸規定に追記・変更すべき点がないかを確認し、必要に応じて案を作成し上位者へ報告する。
システムの運用後は、諸規定に基づき点検を行い、情報セキュリティが確保されていることを確認する。
もし不適切な事項を発見した場合には、上位者へ報告し適切に対処をとるようにする。