セキュリティ対策の「網羅性」 様々な基準|セキュリティ|ブログ|Computerworld

読者の皆様

お元気でしょうか。
先ほど餃子を平らげた、マイクロソフトの蔵本です。

今回はセキュリティの「網羅性」についてお話します。

前回もお話した通り、セキュリティは「深さ」と「網羅性」の二軸を考慮する事が非常に重要なのですが、セキュリティ対策は、「非形式アプローチ」による対策が実施される事が多くあります。

※「非形式アプローチ」については、次回以降で改めてお話しますが、乱暴に言うとセキュリティ管理者の経験に基づいた、体系立っていない対策アプローチです。

「非形式アプローチ」による対策は、ご想像の通り、「網羅性」に欠ける事が多いだけでなく、属人的な設計や運用になりがちです。企業環境では、よく、「昔の社員が作ったセキュリティシステムでもはや誰も中身がわからず、触るのが怖い」セキュリティシステムが動いていますが、大体がこの「非形式アプローチ」による産物です。しかし、基準やガイドを参照する事で (このようなアプローチをベースラインアプローチと言います。) この点をカバーする事ができます。

よく参考にされる基準としては、経済産業省発行の【情報セキュリティ管理基準】や【ISO/IEC TR 13335 (GMITS)】等があります。もちろん他にも基準は色々とありますが、対策のアプローチとしてこれらの基準を参考にする事で、読者の皆様が考えた事もない項目が出てくる場合もありますので、今までこういったアプローチをした事のない方は、是非一度、自社における現状の対策と基準を比較してみてください。思わぬ気づきが得られるかもしれません。それぞれの簡単な特徴は下記です。

【情報セキュリティ管理基準】
Version 1は、ISO/IEC 17799 (JIS X 5080:2002)を元に策定されており、現在は、平成20年改正版の策定が行われています。平成20年改正版は、マネジメント基準と管理策基準から構成されており、マネジメント基準は JIS Q 27001:2006を、管理策基準は JISQ 27001:2006 附属書Ａ「管理目的及び管理策」及びJIS Q 27002:2006 をそれぞれ基にして策定されています。

【ISO/IEC TR 13335 (GMITS)】
一般的なセキュリティ三要素である「可用性」「完全性」「機密性」に加え、「真正性」「責任追跡性」「信頼性」を定義しており、セキュリティを六要素として捉えており、Part 1 から Part 5までの5部構成となっています。GMITSは、The Guidelines for the management of IT Securityの頭文字をとったもので、Guidelineというだけあって詳細に定義されており、多くの支持を得ています。

※この辺りは詳しくお話すると非常に長くなってしまいますので、この辺りで終わりにします。

下記は監査時によくある一幕です。

監査側 筆者
「それでは、ハードウェア、ソフトウェアや重要ファイル等の保護対象となる資産の棚卸実施状況についてお聞きします。」

被監査側 リーダー福原さん
「なんでそんなんいるんですか？セキュリティ対策ソフト入れたりしてたらええんちゃうのん？」

監査側 筆者
「何を守るかが、明確になっていないと守れませんよね。それだと結局認識されていない資産がセキュリティ侵害されたり、漏えいするリスクが顕在化する可能性が高いため、非常に危険な状態です。」

被監査側 サブリーダー青木さん
「とりあえずアンチウイルスとかファイアウォール入れとけば完璧やって言ってたじゃないですかぁ～！」

こんなやりとりにならないように読者の皆様も基準を参照し、しっかりと網羅的な対策をしていきましょう！

次回ではリスクマネジメントについてお話する予定です。

出張先の宇都宮からお届けしました。

※登場人物は全て架空の人物です。