2009/07/13
★実践プロマネ[システムセキュリティの保証(2)]★
2009/07/13 No.116 ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ★ 実践プロマネのメールマガジン ★ (プロマネ経験からの実践的なアドバイス) 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ 企業のITシステムのセキュリティを確保するのは容易ではありません。 高度ネットワーク社会において、多くの脅威から企業、組織を守るオールマ イティなソリューションは存在しません。 企業のIT機器、ITシステム、ネットワームは絶えず変化しており、ある 時点で機能していたセキュリティ対策が数週間もすれば使い物にならなくな る可能性があります。 ITシステムにインストールされたセキュリティソフトのパターンファイル を1週間も更新しなければ、脅威にさらされた状態でシステムを利用するこ とになります。 組織とITユーザがネットワークの外的脅威を理解していなければ、セキュ リティ対策は十分に機能しません。 例えば、あるネットワークソフトウェア製品から重大な脆弱性が見つかった とします。 本来であれば、そのベンダーは直ちに対策を施して、ネット上でパッチを提 供することが望ましいわけです。 公表と対応が遅れたり、故意に脅威を隠蔽すれば、セキュリティ脅威に気づ かずITシステムを利用し続けることになります。 外的脅威を理解するということは、このような事態も起こりえることを認識 することです。 それでは、システムセキュリティの保証のマネジメントガイドラインと 成熟度モデルについて確認していきます。 【マネジメントガイドライン】 システムセキュリティの保証の達成目標とその評価指標を以下に示します。 (↑↓測定)は達成目標とその評価指標の関係を表します。 (↓設定)はIT、プロセス、アクティビティの関係を表します。 ★IT 達成目標 ・重要かつ機密の情報が、当該情報へのアクセスを許可されていないユー ザに開示されないようにすること ・自動化された業務取引および情報交換の信頼性の確保 ・情報と情報処理インフラストラクチャのインテグリティ維持 ・すべてのIT資産の責任所在の明確化と適切な保護 ・エラー、意図的な攻撃、または災害で生じた障害に対する、ITサービ スとインフラストラクチャの抵抗力と回復力の確保 (↑↓測定) 評価指標 ・ビジネスに影響を及ぼすインシデントの数 ・セキュリティ要件を満たしていないシステムの数 ・アクセス特権の付与、変更、および削除に要する時間 (↓設定) ★プロセス 達成目標 ・機密性を有する重要なデータへのアクセスを、認可されたユーザにのみ 許可 ・セキュリティ上の脆弱性およびインシデントの特定、モニタリング、報 告 ・情報、アプリケーション、およびインフラストラクチャへの不正アクセ スの発見、解決 ・セキュリティ上の脆弱性およびインシデントによる影響の極小化 (↑↓測定) 評価指標 ・アクセス違反の疑いのあるアクセスおよび実際のアクセス違反の数とタ イプ ・職務分掌違反の数 ・パスワード標準を遵守していないユーザの割合 ・阻止された悪意のあるコードの数とタイプ (↓設定) ★アクティビティ 達成目標 ・ セキュリティ要件、脆弱性、および脅威の理解 ・ 標準化された方法によるユーザIDおよび認可の管理 ・ セキュリティインシデントの定義 ・ セキュリティテストの定期的実施 (↑↓測定) 評価指標 ・モニタリングすべきセキュリティイベントのタイプの確認とタイプごと の発生頻度 ・使われていないアカウントの数とタイプ ・許可されていないIPアドレスとポートの数、拒否されたトラフィック タイプの数 ・侵害されて失効となった暗号鍵の割合 ・許可、取り消し、リセット、変更されたアクセス権の数 【成熟度モデル】 「情報と情報処理インフラストラクチャのインテグリティを維持し、セキュ リティ上の脆弱性やインシデントによる影響を最小限に抑える。」という ITに対するビジネス要件です。 このビジネス要件を満たす上で、「システムセキュリティの保証」プロセス における管理の成熟度は、以下のとおりです。 成熟度0 -不在- 組織がITセキュリティの必要性を認識していない。 セキュリティを確保するための実行責任と説明責任が割り当てられていない。 ITセキュリティ管理を支援する対策が実施されていない。 ITセキュリティに関する報告とITセキュリティ違反発生時にとるべき対 応プロセスが存在しない。 システムのセキュリティ管理プロセスと呼べるようなものがまったく存在し ない。 成熟度1 -初期/その場対応- 組織がITセキュリティの必要性を認識している。 セキュリティの必要性に関する意識は、主として個人に依存している。 ITセキュリティへの取り組みは事後対応という形である。 ITセキュリティの成果測定は行われていない。 責任の所在が明確ではなく、ITセキュリティ違反が発見された場合、責任 のなすり合いが起こる。 ITセキュリティ違反への対応は予測できない。 成熟度2 -再現性はあるが直感的- ITセキュリティの実行責任と説明責任はITセキュリティに関する調整を 担う担当者に課せられているが、この担当者には限られた管理権限しか与え られていない。 セキュリティの必要性に関する意識は断片的で限定的である。セキュリティ 関係の情報はシステムによって生成されているが、分析は行われていない。 サードパーティが提供するサービスが、セキュリティに関する組織特有のニ ーズに対応していない可能性がある。 セキュリティポリシーを策定中であるが、スキルとツールが不十分である。 ITセキュリティの報告体制は、不完全で、誤解を招きやすく、適切ではな い。 セキュリティ研修が提供されているが、受講するかどうかは主に個人の自発 性に委ねられている。 ITセキュリティは主にIT部門の責任および分野であると見なされており、 ビジネス部門側にITセキュリティが自己の責任分野であるとの意識がない。 成熟度3 -定められたプロセスがある- セキュリティに対する意識があり、マネジメント層もその向上を推進してい る。 ITセキュリティ手続が定義され、ITセキュリティポリシーとの整合が図 られている。 ITセキュリティに関する責任が割り当てられ、理解されているものの、一 貫した実行はなされていない。 リスク分析に基づいたITセキュリティ計画とセキュリティソリューション がある。 セキュリティに関する報告には、明確なビジネス的視点が含まれていない。 セキュリティのテスト(侵入テストなど)は場当たり的に行われている。 IT部門とビジネス部門の両方を対象にしたセキュリティ研修が提供されて いるが、計画と運営は非公式に行われているにすぎない。 成熟度4 -管理され、測定可能である- Tセキュリティの責任が明確に割り当てられ、管理、実行されている。 ITセキュリティのリスクと影響に関する分析が、一貫して行われている。 セキュリティポリシーと手続が、具体的なセキュリティ基準に従って実施さ れている。 セキュリティ意識の向上に向けた取り組みには、全員の参加が義務付けられ ている。 ユーザの識別や、認証、認可が標準化されている。セキュリティの監査や管 理の責任を負うスタッフメンバーには、セキュリティ資格の取得が求められ ている。 セキュリティテストは、正式な標準プロセスに従って実施され、それがセキ ュリティレベルの向上につながっている。 ITセキュリティプロセスと組織全体のセキュリティ機能との調整が図られ ている。 ITセキュリティに関する報告と、ビジネス目標との関連付けが行われてい る。 ITセキュリティに関する研修が、ビジネス部門とIT部門の双方において行 われている。 ITセキュリティに関する研修が業務上の要請や文書化されたセキュリティ リスク分析結果に対応する形で計画、管理されている。 セキュリティ管理に対する目標と指標が定義されているが、測定までは行わ れていない。 成熟度5 -最適化- ITセキュリティはビジネス部門とIT管理部門の共同責任であり、企業の セキュリティに関するビジネス目標に組み込まれている。 ITセキュリティ要件が明確に定義され最適化されており、承認されたセキ ュリティ計画に盛り込まれている。 ユーザと顧客は、セキュリティ要件の定義に対してますます大きな説明責任 を負い、設計段階からセキュリティ機能がアプリケーションに組み込まれて いる。 セキュリティインシデントへの対応は、自動化ツールを利用した正式なイン シデント対応手続に基づいて、迅速に行われている。 定期的なセキュリティ評価が行われ、導入したセキュリティ計画の有効性が 評価されている。 脅威と脆弱性に関する情報が体系的に収集・分析されている。 リスクを軽減するための適切なコントロールが直ちに伝達され、実施されて いる。 セキュリティテスト、インシデントの根本的原因の分析、およびリスクを積 極的に発見することで、継続的にプロセスを改善している。 組織全体でセキュリティプロセスと技術の統合が図られている。 セキュリティ管理の指標が測定および収集され、周知されている。 マネジメント層はこれらの測定結果を用いて、セキュリティ計画を継続的に 改善している。 次号では、 「費用の捕捉と配賦」の詳細に触れます。 【以下は前号までを参照のこと】 [COBITの歴史] [COBITの4つのドメインと34のコントロール目標] [ITCのプロセスガイドライン] 参考資料 COBIT 4.1 日本語版 (Japanese) 情報システムコントロール協会 (ISACA) 参考資料 ITCプロセスガイドライン Ver.1.1 ITコーディネータ協会 ------------------------------------------------------------------ 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ぜひ、プロマネの皆様の<悩み>や<抱えている問題>を http://home.g00.itscom.net/project/index.html の 「ご意見ご質問のメールはこちらからお願いします。」 から投稿して下さい。匿名でも構いません。 ------------------------------------------------------------------ [ご意見、ご感想] 今週号の感想はこちらから(7月20日まで) http://home.g00.itscom.net/project/index.html バックナンバもこちらから http://home.g00.itscom.net/project/index.html ================================================================== [実践プロマネのメールマガジン]
