「セキュリティの運用と管理」のドメインで求められる知識／スキル|セキュリティ・マネジメント|トピックス|Computerworld

必要とされる主な知識とスキル

　「セキュリティの運用と管理（Security Operations and Administration）」ドメインでは、組織の資産の特定／評価、セキュリティ・ポリシーの文書化、情報分類の実施等、組織のセキュリティ・レベル向上のための重要な業務が実施できる知識を身につける。

　SSCPは、データの分類方法、データの完全性の確保、監査手法、情報セキュリティ・ポリシー、情報セキュリティ組織、実装済みのセキュリティ対策の評価手法、情報セキュリティのベスト・プラクティス（最適慣行）、変更管理と構成管理の手法、などについても理解している必要がある（図1）。

必要とされる主な知識とスキル

　「セキュリティの運用と管理（Security Operations and Administration）」ドメインでは、組織の資産の特定／評価、セキュリティ・ポリシーの文書化、情報分類の実施等、組織のセキュリティ・レベル向上のための重要な業務が実施できる知識を身につける。

　SSCPは、データの分類方法、データの完全性の確保、監査手法、情報セキュリティ・ポリシー、情報セキュリティ組織、実装済みのセキュリティ対策の評価手法、情報セキュリティのベスト・プラクティス（最適慣行）、変更管理と構成管理の手法、などについても理解している必要がある（図1）。

図1：セキュリティの運用と管理ドメインの構成

　「情報セキュリティ・ポリシー」は、組織の情報セキュリティ・マネジメントの目標や目的を明文化したものである。スタンダード、プロシージャ、ベースライン、ガイドラインなどの要素があり、それぞれ、その目的と効果が異なる（図2）。

図2：情報セキュリティ・ポリシー

　情報セキュリティ・ポリシーには、大きく2つの役割がある。まず、情報セキュリティ活動における責任の明確化である。責任が明確にされることで、個人の説明責任（Accountability）もおのずと明確になる。次に、情報セキュリティ活動における判断基準を示すことである。これにより、セキュリティ問題が発生した場合の対応方法が明確になる。

　「変更管理（Change Manegement）」は、ITにおけるすべての変更が組織のビジネスに影響を与えないよう管理する仕組みである。

　まず、変更の要求がなされたら、変更による影響がないかどうかを分析する。影響がないようであれば承認され、テストを行ったうえで実装する。そして、実装が要求に合致しているかどうかをモニタリングし、変更による悪影響が発生していないことを確認するという手順になる（図3）。

図3：変更管理の手順

　変更管理では、上述した各ステップにおける責任を明確にしたうえで、すべての手順が厳格に実施されなければならない。そのためにも変更はシステム化され、計画的に実施／管理されるべきである。また、変更管理の実施のためには、構成管理（Configuration Management）が実施されていることが前提条件となる。

　「システム開発ライフサイクル（SDLC：System Development Life Cycle）」は、プロジェクト・マネジメントの手法に従って、システム開発から運用、保守、廃棄に至る一連のライフサイクル全体にわたって管理を行う。システム開発に必要な人員の確保、またシステムの開発や運用におけるフレームワークを提供する（図4）。

図4：システム開発ライフサイクル（SDLC：System Development Life Cycle）

　このシステム開発ライフサイクルの中で情報セキュリティを実施していくことで、技術的にも費用的にも最大の効果が得られることになる。つまりセキュリティは後付けの施策ではなく、最初から組み込む（ビルトイン）というアプローチが重要となる。

　そのほか、パッチ管理、セキュリティ意識向上のためのトレーニング、認証（Certification）と認定（Accreditation）、情報セキュリティに関する倫理などを理解している必要がある。