2009/10/19
★実践プロマネ[物理的環境の管理(1)]★
2009/10/19 No.129 ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ★ 実践プロマネのメールマガジン ★ (プロマネ経験からの実践的なアドバイス) 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ コンピュータシステムの物理的なシステム環境という面で最も配慮されてい る施設はデータセンターです。 一般に、データセンターは、耐震構造と免震構造を備えた堅牢な建物構造か ら成り立っています。 耐震構造と免震構造を備えることにより、地震などの激しい揺れに対して、 コンピュータシステムに与えるダメージを最小限にすることができます。 コンピュータラックを設置する床も免震床となっており、建物の構造と合わ せて、より一層堅牢にすることができます。 物理的な構造に加え、セキュリティ強度も重要なポイントです。 入館、入室、ラック解錠の3つの点でセキュリティ強度の評価が必要です。 複数人が同時入館(共連れ)がでるようではセキュリティ強度は高いと言え ません。 エリアを複数の利用者で共有するようなセンターでは、コンピュータラック の開錠用には、フロアに入る際に使う認証とは別の機構(指静脈・手のひら 認証と暗証番号入力など)を設ける必要があります。 フロア入室、退室時にその人の体重を測定し、体重増があれば何かを持ち出 した、体重減があれば何かを設置した疑いがあると判断する機構を設けてい るセンターもあります。 また、データセンターに入館する際、RFIDタグを携帯し、センター内の どの場所をいるかを監視する施設も存在します。 安心して利用できるデータセンターが増えてきています。 それでは、物理的環境の管理のプロセスの説明とコントロール目標について 確認していきます。 【プロセスの説明】 コンピュータ機器と要員を保護するには、適切に設計され管理されている物 理的施設が必要です。 物理的環境を管理するプロセスには、物理的なサイト要件の定義、適切な施 設の選定、および環境要因をモニタリングし物理的アクセスを管理するため の効果的なプロセスの設計が含まれます。 物理的環境を効果的に管理することで、コンピュータ機器と要員にかかわる 障害に起因するビジネス中断の可能性が減少します。 物理的環境の管理のコントロール目標は、 コンピュータ資産とビジネスデータを保護し、ビジネス中断のリスクを最小 限に抑えることを、ビジネス要件とします。 重点をおくべきコントロールは、IT資産を、不正アクセス、損傷、盗難か ら保護する適切な物理的環境の導入および維持することである。 実現するための手段は、次の2項目です。 1)物理的なセキュリティ対策の実施 2)施設の選定と管理 その成果の測定指標は、次の3項目です。 1)物理的環境にかかわるインシデントに起因するダウンタイムの回数 2)物理的なセキュリティ侵害または障害に起因するインシデントの件数 3)物理的リスクの評価とレビューの実施頻度 【コントロール目標】 DS12.1 サイトの選定と配置 ビジネス戦略に関連付けられた技術戦略を支援するIT機器のための物理的 サイトを定義し選定します。 サイトの選定と配置設計では、関連法令(労働安全衛生に関する規制など) を考慮する一方で、自然災害/人的災害に関連するリスクを考慮する必要が あります。 DS12.2 物理的なセキュリティ対策 場所や物理的資産を保護するためのビジネス要件に合致した物理的なセキュ リティ対策を定義し導入します。 物理的なセキュリティ対策では、盗難、温度、火災、煙、水、振動、テロ、 破壊行為、停電、薬物、爆発物などに関連するリスクを効果的に防止、検出、 および緩和できなければなりません。 DS12.3 物理的アクセス ビジネス上の必要性に基づき、緊急事態発生時を含めた施設、建物、敷地へ の立ち入りの許可、制限、取り消し手続を定義し導入します。 施設、建物、敷地への立ち入りに際しては、正当性の評価、認可、記録、お よびモニタリングを行う必要があります。 これは、施設に立ち入るすべての人員(スタッフ、臨時スタッフ、取引先、 ベンダー、訪問客、およびその他のサードパーティ全員)に適用されます。 DS12.4 環境的要因からの保護 環境的要因から保護するための対策を確立し導入します。 環境のモニタリングとコントロールに向けた特別な設備やデバイスを導入し ます。 DS12.5 物理的施設の管理 法律、規制、技術要件、ビジネス要件、ベンダーの仕様、および安全衛生ガ イドラインに従って、電源装置や通信機器などの設備を管理します。 次号では、「物理的環境の管理(2)」の詳細に触れます。 【以下は前号までを参照のこと】 [COBITの歴史] [COBITの4つのドメインと34のコントロール目標] [ITCのプロセスガイドライン] 参考資料 COBIT 4.1 日本語版 (Japanese) 情報システムコントロール協会 (ISACA) 参考資料 ITCプロセスガイドライン Ver.1.1 ITコーディネータ協会 ------------------------------------------------------------------ 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ぜひ、プロマネの皆様の<悩み>や<抱えている問題>を http://home.g00.itscom.net/project/index.html の 「ご意見ご質問のメールはこちらからお願いします。」 から投稿して下さい。匿名でも構いません。 ------------------------------------------------------------------ [ご意見、ご感想] 今週号の感想はこちらから(10月26日まで) http://home.g00.itscom.net/project/index.html バックナンバもこちらから http://home.g00.itscom.net/project/index.html ================================================================== [実践プロマネのメールマガジン]
