2009/07/06
★実践プロマネ[システムセキュリティの保証(1)]★
2009/07/06 No.115 ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ★ 実践プロマネのメールマガジン ★ (プロマネ経験からの実践的なアドバイス) 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ 高度ネットワーク社会において、情報セキュリティ対策は、一企業の問題に とどまらず、顧客、取引先、協力企業さらには社会全体の健全な運営のため、 個々の企業が取り組まなければならないCSRのひとつです。 企業や組織においては、情報管理者だけでなく、ITシステムのひとりひと りの利用者が、情報セキュリティに対する適切な知識を持つことが要求され ます。 ネットワークに接続された環境下では、1台のコンピュータのウイルス対策 を怠るだけで、ネットワーク全体にウイルスが蔓延し、大きな損害を与える ことになります。 業務でコンピュータを利用している場合、管理されているデータが確実に保 管されていることの保証も必要です。 そのため、停電、落雷、地震などへの対策とともに情報セキュリティ対策が 要求されます。 十分な情報セキュリティ対策を施し、ウイルス、ワーム、スパイウェア、ス パム等からITシステムを保護しなければなりません。 定期的なデータのバックアップも行われていなければなりません。 企業や組織では、情報セキュリティポリシー、計画、および手続を明確に定 め、セキュリティ上の脆弱性やインシデントをモニタリング、発見、報告、 是正することが重要な活動になります。 それでは、システムセキュリティの保証のプロセスの説明とコントロール目 標について確認していきます。 【プロセスの説明】 情報のインテグリティを維持し、IT資産を保護するためには、セキュリテ ィ管理のプロセスが必要です。 このプロセスには、ITセキュリティに関する役割と責務、ポリシー、標準、 および手続を定め、それらを運用、改善することが含まれます。 また、セキュリティ管理には、セキュリティのモニタリングと定期的なテス トの実施、および識別されたセキュリティの弱点やインシデントに対する是 正措置の導入も含まれます。 セキュリティ管理を効果的に実行することで、すべてのIT資産を保護し、 セキュリティの脆弱性やインシデントがビジネスに与える影響を最小限に抑 えることができます。 システムセキュリティの保証のコントロール目標は、 情報と情報処理インフラストラクチャのインテグリティを維持し、セキュリ ティ上の脆弱性やインシデントによる影響を最小限に抑えることを、ビジネ ス要件とします。 重点をおくべきコントロールは、ITセキュリティポリシー、計画、および 手続を明確に定め、セキュリティ上の脆弱性やインシデントをモニタリング、 発見、報告、是正することです。 実現するための手段は、次の3項目です。 1)セキュリティ要件と、脆弱性、脅威の認識 2)標準化された方法によるユーザの識別と認可の管理 3)定期的なセキュリティテストの実施 その成果の測定指標は、次の3項目です。 1)組織の社会的信用に悪影響を及ぼしたインシデントの件数 2)セキュリティ要件を満たしていないシステムの数 3)職務分離が適切に行われていない違反の数 【コントロール目標】 DS5.1 ITセキュリティの管理 セキュリティに係るアクティビティが、ビジネス上の要件に沿って実施され るよう、組織の適切な上位層において、最適な体制を組んでITセキュリテ ィを管理します。 DS5.2 ITセキュリティ計画 ITインフラストラクチャとセキュリティ文化を考慮に入れ、ビジネス、リ スク、コンプライアンスに関する要件を、総合的なITセキュリティ計画と してまとめます。 この計画は、サービス、要員、ソフトウェア、およびハードウェアに対する 適切な投資とともに、セキュリティポリシーや手続に盛り込むようにします。 セキュリティポリシーと手続を利害関係者とユーザに周知する。 DS5.3 ID管理 ITシステムにおけるすべてのユーザ(内部、外部、臨時かどうかを問わず) と、ユーザのすべてのアクティビティ(ビジネスアプリケーション、IT環 境、システムの操作、開発や保守)を、個々に識別できるようにします。 認証メカニズムを介してユーザの識別を可能にします。 システムやデータに対するユーザのアクセス権が、文書化された定義済みの 業務上の必要性に即しており、該当する職務要件がユーザIDに対応してい ることを確認します。 ユーザのアクセス権が、ユーザ管理職の申請に基づいてシステムオーナによ り承認され、セキュリティ責任者により実装されていることを確認します。 ユーザIDとアクセス権を単一のリポジトリで集中管理します。 ユーザの識別、認証の実施、およびアクセス権の管理徹底のために、費用効 率に優れた技術や手続での対策を講じ、継続的な改善を行います。 DS5.4 ユーザアカウントの管理 ユーザアカウントとそれに付随するユーザ権限の申請、設定、発行、停止、 変更、および抹消は、一連のユーザアカウント管理手続に従って対応します。 ユーザアカウントの管理には、データオーナまたはシステムオーナがアクセ ス権限を付与する場合の承認手続も含まれます。 これら一連の手続は、アドミニストレーター(特権ユーザ)、内部ユーザ、 外部ユーザを含むすべてのユーザに、平常時/緊急時を問わず適用されるべ きです。 企業が所有するシステムと情報へのアクセスに関連した権利と義務は、あら ゆるタイプのユーザごとに契約の形式で定めます。 すべてのアカウントとそれらに関連する権限の内容は、マネジメント層が定 期的にレビューします。 DS5.5 セキュリティのテスト、監視、モニタリング ITセキュリティの実装状態を積極的な方法でテストしモニタリングします。 承認された企業の情報セキュリティ基準が維持されるように、ITセキュリ ティを適切な時期に見直す必要があります。 ログの取得とモニタリングの機能を活用することで、対応の必要な異例もし くは異常なアクティビティを早期に防止/検知できます。 DS5.6 セキュリティインシデントの定義 起こり得るセキュリティインシデントの特性を明確に定義および周知するこ とにより、インシデント管理または問題管理プロセスを通じて、適切に分類 して対応できるようにします。 DS5.7 セキュリティ技術の保護 セキュリティ関連の技術に、改ざんに対する耐性を確保し、セキュリティ関 連文書が不必要に開示されないように対応します。 DS5.8 暗号鍵の管理 暗号鍵の生成・変更・取消・失効・交付・認証・保存・入力・使用・アーカ イブ化を体系的に行うためのポリシーと手続を確実に整備し、暗号鍵の改変 や、許可されていない暗号鍵の開示を防止します。 DS5.9 不正ソフトウェアの阻止、発見、および是正 予防・発見・対処のための対策(特に最新のセキュリティパッチとウイルス 管理)を組織全体にわたって実施し、ITシステムと情報技術を悪意のある ソフトウェア(ウイルス、ワーム、スパイウェア、スパム)から保護します。 DS5.10 ネットワークのセキュリティ セキュリティ技術とそれに関連する管理手続(ファイアウォール、セキュリ ティアプライアンス、ネットワークのセグメント化、侵入検知など)を使用 し、ネットワークへのアクセスの許可とネットワークに出入りする情報フロ ーを確実にコントロールします。 DS5.11 機密データの交換 機密性を有するトランザクションデータは、内容の真正性確保、送信証明、 受信証明、および送信元による否認防止が可能なコントロールを備えた信頼 できる経路あるいはメディアのみを介してやり取りを行う必要があります。 次号では、「システムセキュリティの保証(2)」の詳細に触れます。 【以下は前号までを参照のこと】 [COBITの歴史] [COBITの4つのドメインと34のコントロール目標] [ITCのプロセスガイドライン] 参考資料 COBIT 4.1 日本語版 (Japanese) 情報システムコントロール協会 (ISACA) 参考資料 ITCプロセスガイドライン Ver.1.1 ITコーディネータ協会 ------------------------------------------------------------------ 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ぜひ、プロマネの皆様の<悩み>や<抱えている問題>を http://home.g00.itscom.net/project/index.html の 「ご意見ご質問のメールはこちらからお願いします。」 から投稿して下さい。匿名でも構いません。 ------------------------------------------------------------------ [ご意見、ご感想] 今週号の感想はこちらから(7月13日まで) http://home.g00.itscom.net/project/index.html バックナンバもこちらから http://home.g00.itscom.net/project/index.html ================================================================== [実践プロマネのメールマガジン]
