第1回 ISMSで仕事をラクにしよう!
松下 勉
テュフズードジャパン株式会社
マネジメントサービス部
ISMS主任審査員
CISA(公認情報システム監査人)
2007/5/18
モバイルPCの使用についてISMSを考えてみる
例えば、予防処置を例に挙げてみましょう。ここでいう予防処置とは、ISMSのルールに適合している管理策を日々実施していて問題は起きていない状況で、他社や他部門、関連会社で発生した情報セキュリティインシデントから、当該組織にてその必要性を判断し、再発防止策を実施することです。
モデルケースをこのように考えます。ある企業では自らの組織にて、社外においても業務のため必要と判断した従業員には、モバイルPCを貸与していました。しかし、これらの従業員の利便性を優位に考えていたため、当該組織で導入を許可していないフリーウェアを、これらモバイルPCに容易にインストールできるようになっていました。
しかし、昨今の情報共有ソフトウェアによる情報漏えいの事件が相次いでいることを、ISMS委員会のメンバーのAさんは、ニュースで大々的に報道していることを知りました。
これまでのリスクアセスメントの結果は、このような事象は起こり得ないだろうと考えられ、リスクは受容レベルに収まっていました。しかし、この報道されている事件を考慮するとリスク受容レベルを超えてしまうであろうと、AさんはISMS委員会にて、この事象の改善の提案をしました。
ISMS委員会で協議した結果、世論の風評リスクなども考慮すると、このリスクは当該組織への影響は大きいと考え、業務上の必要性に応じたソフトウェア以外のインストールができないようにするために予防処置を実施することを決めました。
この場合、例えば、以下のような管理策が想定できます。
- これらモバイルPCのソフトウェアのインベントリチェックを実施し、当該組織でインストールを許可したソフトウェアだけがインストールされているか確認します。許可したソフトウェア以外がインストールされているPCからは、そのソフトウェアの削除依頼と、完全に削除できたかどうか、再度インベントリチェックします(付属書A.15.1.2)
- インストールの制限を掛けるためにも、利用者のIDでは、ソフトウェアがインストールできない権限に変更します(付属書A.11.2.4)
- 万が一、情報共有ソフトウェアから情報漏えいが起きた場合にこれを追跡できるように、これらソフトウェアが使用するポート番号で既知のものは、送信元、送信先が分かるように、その際のログを取得することにします(付属書A.10.10.1)。また、定期的に漏えいが発生していないか、そのログをレビューします(付属書A.10.10.2)。
- 予防として、情報共有ソフトウェアが利用するポート番号へのアクセスを禁止します。ただし、そのソフトウェアが使用するポート番号が業務で使用しているポート番号と同じ場合は除きます(付属書A.11.4.6)
ほかにも、どのような管理策が、このリスクを低減するために必要か、考えてみてください。
ここで例示した予防処置も、ISMSのルールと同じように導入したままにせず、計画にて決定した時期に、その処置が有効かどうかを判断します。
ISMSを知り、有効活用しよう
このように書きますと、皆さまがお仕事をされるときに、名称は違うにせよ、プロセスは似ていると思いませんでしたか。例えば、ある情報システムにおいてバグが発見されたが、その障害は発生していない状況において、予防処置を行うプロセスは、変更管理のプロセスと類似しているのではないでしょうか。
このことから分かるように、ISMSの導入は、新規に導入するものだけでなく、これまで実施していたプロセスをそのまま使用したり、プロセスを改善して実施することがあります。
このような目で見れば、ISMSは身近なツールであり、今後実施する仕事においてもヒントを与えてくれるでしょう。
| 【コラム:ISMSとプライバシーマーク、どちらを取得すべき?】 情報の保護というと、真っ先に「プライバシーマーク」を思い浮かべるのではないかと思います。個人情報保護にフォーカスしたプライバシーマークとの違いは、やはり個人情報だけにフォーカスしているのか、それとも情報全般を考慮しているのか、という点です。また、プライバシーマークの規格には「3.4.3 適正管理」としか要求されていない管理策の内容が、ISMSではどんな管理策を導入すればよいかが分かりやすくなっている点も大きな違いです。 ISMSとプライバシーマークの大きな違いといえば、事業継続管理があるかどうかではないでしょうか。ISMSでは、情報セキュリティの面において事業継続管理を要求していますが、プライバシーマークではルールや報告ルート、管理体制、苦情対応窓口などが要求されているにとどまっています。 では、どちらの規格を取得したらよいのでしょうか。 これは経営陣の判断や顧客要求事項にて判断することになるのではないでしょうか。企業が持つべき情報のほとんどが個人情報である場合は、プライバシーマークを選択するのが良いでしょう。ただし、顧客や取引先が要求していることが情報全般の保護というのであれば、ISMSを選択することが多いのではないでしょうか。 例えば、個人情報保護の規定はあるのに、企業の重要な情報を保護するための規定が無い場合、さまざまな情報を扱っている「現場」では、実際の担当者が判断する際の基準がなく、勝手な判断が起こりえると想定できます。このような判断の「ブレ」をなくすためにも、ISMSを導入された方が、企業の情報セキュリティに関する規定の統一にも役立つと考えます。 |
 |
3/3 |
| Index | |
| ISMSで仕事をラクにしよう! | |
| Page1 いまさら聞けない「ISMS」 いま、ISMSが「再度」注目される理由 |
|
| Page2 ISMSで決められていること 「付属書A」はヒントの宝庫 |
|
 |
Page3 モバイルPCの使用についてISMSを考えてみる ISMSを知り、有効活用しよう |
| Profile |
| 松下 勉(まつした つとむ) テュフズードジャパン株式会社 マネジメントサービス部 ISMS主任審査員 CISA(公認情報システム監査人) これまで、ネットワークインフラ構築・サーバ構築などのネットワークエンジニア、ネットワークセキュリティ診断・情報セキュリティ監査・情報セキュリティポリシー策定・ISMS認証支援・プライバシーマーク認証支援などの情報セキュリティコンサルタントを経て、第三者認証機関の審査員となる。 |
 |
ISMSで考える運用管理のヒント 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
