 |
Security&Trust Book Review
セキュリティポリシー策定に役立つ4冊!
宇崎俊介
ネットマークス
2002/6/28
いまやほとんどの企業で、ウイルス対策ソフトやファイアウォールを設置して、セキュリティを確保していることは当たり前となった。
しかし、セキュリティ対策を行うには、それぞれの対策をばらばらに行うのではなく、一定のルールに基づいて行われる必要がある。このルールがセキュリティポリシーといわれているものだ。
具体的にはセキュリティに関する企業内の意識の統一、セキュリティ対策ソフトの実行や管理の基準の設定・運用などだ。これにより、対策の漏れや行き当たりばったりの対応が軽減され、よりセキュアな環境が実現できる。
こうしたセキュリティポリシーがきちんと設定されているかどうかを認定するBS7799やISMS適合性認定制度といった制度もある。
しかし、実際にセキュリティポリシーの策定や認定制度取得を行うためには、効率的、効果的に作業をしないと膨大な資料の準備など思ってた以上に作業量が多く、なかなかうまくいかないこともある。
今回は、このようなセキュリティポリシーの策定を行うに当たって、参考となる関連書籍を紹介しよう。過去の事例から述べたものから、サンプルガイドにより各企業に沿った策定法として用いることのできるものまで、4冊を選んでみた。
| ユーザーに浸透させるための要件とは? |
 |
セキュリティポリシーの作成と運用 Thomas R.Peltier著 三輪 信雄監訳 ソフトバンクパブリッシング 2001年12月 ISBN4-7973-1468-0 3200円 + 税
|
ただセキュリティポリシーの基本要素として、ユーザーに浸透させるための要件がきちんと押さえられているので、真剣に企業への導入を考えている方も、一読の価値がある。
セキュリティポリシーの書き方や手順書の書き方などテクニカルな部分についても、チェックリストが準備されているなど親切な一面を持つ。
現在セキュリティポリシー策定を考えていたり、プロジェクトを立ち上げたもののいろいろな問題点で悩んでいる方には、ヒントの1つとして机上に用意しておいてよいのではないだろうか。
| セキュリティについて意識し始めた方へ |
 |
企業を守るセキュリティポリシーとリスク評価 塚田 孝則著 日経BP 2001年7月 ISBN4-8222-8097-7 2600円 + 税
|
実際のセキュリティポリシーの策定に関しては「基本ポリシー」から「スタンダードポリシー」までの策定方法を記述例やポイントを交えて記述しており、非常に親切な印象を受ける。
またリスク評価の手法も基本的手法を、非常に平易に解説しており好感が持てる。
全体の分量からいえば大づかみになる印象は否めないが、情報セキュリティに対する意識を大いに喚起させる良書といえる1冊だ。
| リスクのコントロールについてのお薦めの1冊 |
 |
ネット犯罪から身を守るためのセキュリティポリシー策定ガイド ダニエル・S.ジェイナル著 平松 徹訳 坂井 順行監修 翔泳社 2001年6月 ISBN4-7981-0044-7 2400円 + 税
|
アメリカと日本のリスクに対する温度差は、企業文化と同様に相当な差があるので、読者によっては、にわかに実感はわかないかもしれない。しかしインターネットが世界的なシームレス情報網であることや、日本における情報インシデントの深刻性増大の傾向をかんがみると、本書に書かれているリスクは起こり得るものとして受容すべきであろう。
例として挙げられている中では、特に火のないところに煙がたってしまった「トミーヒルフィガー」の差別発言問題などが目を引く。社内でのリスクの認知問題に収まらず、勝手な風評が自然発生的に生まれ、ネットワークを介して瞬く間に拡散したことが実に興味深い。このようなリスクまでコントロールすることは極めて難しいが、そのような場合の対処例まで記載されており極めて親切だ。リスクのコントロールについて興味がある方には特にお薦めしたい書籍である。
| セキュリティ対策を施すための第一歩 |
 |
図解そこが知りたい! ネットワーク危機管理入門 上原 孝之著 翔泳社 2000年7月 ISBN4-88135-914-2 1800円 + 税
|
「有効なネットワークセキュリティ対策を実践するためにはどうしたらよいか」ということに焦点を絞って、具体例や実践的なアドバイスを丁寧に分かりやすく解説している。
過去のネットワーク犯罪の解説から、一般企業のネットワークセキュリティの実態、セキュリティを維持・管理するための基本的な考え方、技術/設備/運用管理面などの具体的な対策、リスク分析、セキュリティポリシーの作成、そして実装/運用のアプローチの仕方までを解説。さらに、国際標準化の動向や、法的側面からのセキュリティまでを広く紹介している。
特にセキュリティポリシーに関して多くのページを割いており、著者が実際にセキュリティポリシーを策定する過程で収集したさまざまな情報をもとに、セキュリティポリシー作成の考え方の基本となる「基本ポリシー」「スタンダード」「プロシージャ」の3層構造を前提とした作成方法と実装方法を丁寧に解説している。
またポイントとして、文中の項目に沿ってチェックを行うことにより、基本方針を作成できることもよい。本書によりセキュリティポリシーの策定を整理できるだろう。
各書評にある ボタンをクリックすると、オンライン書店で、その書籍を注文することができます。詳しくはクリックして表示されるページをご覧ください。 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
