2009/10/26
★実践プロマネ[物理的環境の管理(2)]★
2009/10/26 No.130 ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ★ 実践プロマネのメールマガジン ★ (プロマネ経験からの実践的なアドバイス) 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ コンピュータシステムを物理的に保護するには、設置環境の整備、人の入退 館、入退出管理、ラックへのアクセス制限などを第一に考えなければなりま せん。 次に物理的なセキュリティの配慮も必要です。ひとつにはシステムへのアク セス権限の管理があります。 アイデンティティ管理では、タイムリーに管理情報が更新されなければなり ません。 パート要員を含めた従業員の入社、異動、休職、退職によるステータス変更 が発生した時に即座にアクセス権限を付与または停止する仕組みとルールの 確立が必要です。 アクセス権限が正しく管理されていても、システムにログインしたままこれ を放置することで未承認のアクセスを招く原因になります。 悪意の第三者がこのアクセス権限を利用して、データベースやネットワーク に不正アクセスすることも考えられます。 当然、アクセスの記録はシステム内に残ります。 アクセスログは記録されることが重要ではなく、不正なアクセスがなされて いないことを定期的に確認することが重要です。 情報漏洩は不正にアクセスされた時点で一気に脅威にさらされます。少しで も早く不正を検知できれば、拡大を最小限にすることもできます。 アクセス権限をシステム上に構築することはもとより、利用者のルールに従 った厳密な運用が重要になります。 それでは、物理的環境の管理のマネジメントガイドラインと成熟度モデルに ついて確認していきます。 【マネジメントガイドライン】 物理的環境の管理の達成目標とその評価指標を以下に示します。 (↑↓測定)は達成目標とその評価指標の関係を表します。 (↓設定)はIT、プロセス、アクティビティの関係を表します。 ★IT 達成目標 ・エラー、意図的な攻撃、または災害で生じた障害に対する、ITサービ スとインフラストラクチャの抵抗力・回復力の保証 ・重要かつ機密度の高い情報が、当該情報へのアクセスを許可されていな いユーザに開示されないことを保証 ・ITサービスの中断または変更が及ぼすビジネスへの影響極小化を保証 ・すべてのIT資産の責任の所在の明確化と適切な保護 (↑↓測定) 評価指標 ・物理的環境にかかわるインシデントに起因するダウンタイムの回数 ・物理的環境に起因する損害発生件数 ・物理的環境にかかわるインシデントに起因するセキュリティ障害の件数 (↓設定) ★プロセス 達成目標 ・ITインフラストラクチャと資源に適した物理的環境の整備と保守 ・アクセス不要な人員の物理的環境へのアクセス制限 (↑↓測定) 評価指標 ・物理的なセキュリティ侵害または障害に起因するインシデントの件数 ・コンピュータ施設への不正アクセスインシデントの件数 (↓設定) ★アクティビティ 達成目標 ・物理的セキュリティ対策の導入 ・施設の厳密な選定と管理 (↑↓測定) 評価指標 ・担当要員に対して安全性、セキュリティ、および施設に関する対策につ いての研修を実施する頻度 ・安全性、セキュリティ、および施設に関する対策についての研修を受け た担当要員の割合 ・前年のリスク低減テストの実施回数 ・物理的リスクの評価とレビューの実施頻度 【成熟度モデル】 「コンピュータ資産とビジネスデータを保護し、ビジネス中断のリスクを最 小限に抑える。」というITに対するビジネス要件です。 このビジネス要件を満たす上で、「物理的環境の管理」プロセスにおける管 理の成熟度は、以下のとおりです。 成熟度0 -不在- 施設の保護またはコンピュータ資源への投資を保護する必要性が認識されて いません。 防火、粉塵、電力供給、高温多湿などの環境的要因について、モニタリング もコントロールも実施されていません。 成熟度1 -初期/その場対応- 組織が、人災や自然災害から資源や要員を保護する適切な物理的環境の整備 に関するビジネス上の要件について認識しています。 施設と機器の管理について、主要な人員のスキルと能力に依存しています。 スタッフは制限なく施設内を移動できます。 マネジメント層が、施設環境のコントロール状況とスタッフの移動について モニタリングしていません。 成熟度2 -再現性はあるが直感的- 運用担当者により、環境のコントロールが導入されモニタリングされていま す。 物理的セキュリティの確保は非公式なプロセスであり、物理的施設のセキュ リティについて高い意識を持つ少数の従業員により実施されています。 施設保守手続が十分に文書化されておらず、数名の人員による優れた実践方 法に依存しています。 物理的セキュリティの達成目標が正式な標準に基づいておらず、マネジメン ト層はセキュリティ目標の達成を保証できません。 成熟度3 -定められたプロセスがある- コンピュータ環境のコントロールを維持する必要性が組織内で理解され、対 応が検討されています。 環境のコントロール、予防的保守、および物理的セキュリティは、予算項目 としてマネジメント層により承認されており、マネジメント層により追跡さ れています。 アクセス制限が適用されており、許可された要員のみがコンピュータ関連施 設にアクセスできる状態になっています。 訪問者については、記録が残され、個別にスタッフが同行します。 物理的施設は目立たず、容易に特定できないようになっています。 安全衛生関連の規制のコンプライアンス状況が所轄機関によりモニタリング されています。 安全衛生上のリスクに対して保険をかけているが、保険関連費用を低減させ るための努力は最小限にとどまっています。 成熟度4 -管理され、測定可能である- コントロールされたコンピュータ環境を維持する必要性が十分に理解されて おり、組織構造や予算配分にも明確に反映されています。 環境および物理的なセキュリティ要件が文書化されており、施設へのアクセ スが厳密にコントロールされモニタリングされています。 責任とオーナシップが定められ周知されています。 施設担当スタッフメンバーが、緊急事態発生時の対応と安全衛生に関わる実 践方法について十分な教育を受けています。 施設へのアクセスを制限し、環境的要因と安全要因に対応するための標準化 されたコントロール方法が整備されています。 マネジメント層は、コントロールの有効性と確立された標準へのコンプライ アンス状況をモニタリングしています。 マネジメント層は、コンピュータ環境の管理を評価するための目標と指標を 策定しています。 コンピュータ資源の復元可能性が組織のリスクマネジメントプロセスに組み 込まれています。 統合された情報を利用して、保険の対象とする範囲と関連費用が最適化され ています。 成熟度5 -最適化- 組織のコンピュータ環境の維持に必要な施設に関して合意された長期計画が 存在します。 すべての施設について標準が定められています。 この標準では、サイトの選定、施設構造、防護、人的安全保護、機械系統、 電気系統、環境要因(火災、落雷、洪水など)に対する保護が扱われていま す。 すべての施設の一覧が作成され、組織の現行のリスクマネジメントプロセス に従い分類されています。 業務上の必要性に応じて施設へのアクセスが厳しくコントロールされ、継続 的にモニタリングされています。 訪問者が立ち入る際は、必ずスタッフが同行することになっています。 専用の装置によって環境がモニタリングされコントロールされており、この 装置が設置されている部屋は「無人」になっています。 指標が一貫して測定されています。 予防的保守プログラムによりスケジュールが遵守され、機密機器に対して定 期的なテストが実施されています。 施設に関する戦略と標準は、ITサービスの可用性の達成目標と整合されて おり、業務継続計画と危機管理と統合されています。 マネジメント層は、目標と指標を用いて施設のレビューと最適化を継続的に 実施しており、ビジネスへの貢献度の一層の向上を図っています。 次号では、「オペレーション管理」の詳細に触れます。 【以下は前号までを参照のこと】 [COBITの歴史] [COBITの4つのドメインと34のコントロール目標] [ITCのプロセスガイドライン] 参考資料 COBIT 4.1 日本語版 (Japanese) 情報システムコントロール協会 (ISACA) 参考資料 ITCプロセスガイドライン Ver.1.1 ITコーディネータ協会 ------------------------------------------------------------------ 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ぜひ、プロマネの皆様の<悩み>や<抱えている問題>を http://home.g00.itscom.net/project/index.html の 「ご意見ご質問のメールはこちらからお願いします。」 から投稿して下さい。匿名でも構いません。 ------------------------------------------------------------------ [ご意見、ご感想] 今週号の感想はこちらから(11月2日まで) http://home.g00.itscom.net/project/index.html バックナンバもこちらから http://home.g00.itscom.net/project/index.html ================================================================== [実践プロマネのメールマガジン]
