第2回 そのメディア、そのまま捨てて良いのでしょうか?
松下 勉
テュフズードジャパン株式会社
マネジメントサービス部
ISMS主任審査員
CISA(公認情報システム監査人)
2007/6/27
ケース3:どうしてもUSBメモリを使いたい!
【ケース3】 システムのメンテナンスなどで、論理的なセキュリティを考慮した結果、ネットワークからデータを転送できない設定になっています。 USBを使用してメンテナンスするサーバにデータを読み込ませたいのですが、持ち運びできるメディアの利用は禁止されています。どうしたらよいのでしょうか? |
●対応事例
関係する付属書A
A.7.1.2、A.7.2.1、A.7.2.2、A.10.7.1、A.10.7.2、A.10.7.3、A.10.7.4
これはメディアを利用するという側面で考えるケーススタディです。例外事項として、どうしても業務上、持ち運びできるメディアを用いてデータのやりとりを行いたい旨を、以下のような手続きにて承認を得る必要があります。
- 自らが所属している情報セキュリティ担当者に承認を得る
- ISMS委員会で業務上の必要性の判断を仰ぐ
そして、個人のUSBと混同されず、部門で購入したUSBだけが利用できるように、例えば、USBに目に見えるように管理番号を付与します。その管理台帳には、部門名、利用者名、USBの管理番号、利用日時、返却日時、返却確認欄(中身が消去されていることの確認)、などを記載します。
また、何の承諾も無くUSBを使用されることを防ぐために、管理責任者を決め、一定の個所で保管および管理するという、管理状況も把握できる仕組みがあることも重要です。これらのことにより、必要なときにしか利用できないことで、そのUSBを用いてデータを盗難しづらい仕組みを構築します。
台帳管理だけでなく、USBを再利用することを考慮し、保存されていたデータの廃棄には、インシデントを誘発しないためにも返却の確認者立ち会いのもと、データの廃棄操作(Clear)を行うことで、次に使用するときに、そのときのデータが紛れないようにします。
ケース4:消去できるメディア、それだけで安全?
【ケース4】 ケース3の手続きを行って、USBやCD-RW、DVD-RWなど、読み書き可能なメディアを使用しています。 この場合の再利用や廃棄方法はどうすればよいのでしょうか? |
●対応事例
関係する付属書A
A.7.2.1、A.7.2.2、A.10.7.1、A.10.7.2、A.10.7.4
このようなメディアは、ハードディスクと同じように、単にフォーマットするだけでは、情報を完全に破棄することができません。
このことから、再利用するには、徹底的な上書き(Clear)により、元のデータが読めなくする方法を取ります。これには、米国国防総省(DoD)や米国国家安全保障局(NSA)などで確立されたデータ消去方式を用いたフリーソフト(利用方法の多くが、商用利用は禁止で個人利用のみ)や商用製品があるので、これらのツールを用いるとよいでしょう。また、消磁処理(Purge)ができる機器を用いて、元のデータを読めないようにするのもよいでしょう。
廃棄方法では、やはり物理的に破壊すること(Destroy)で情報の盗難や漏えいを防ぐことができます。
USBメモリでのファイル交換を禁止している企業も増えてきていますが、内部統制のためのルールを作る前に作ってしまった補助記憶媒体もまだ多く残っているのではないかと思います。対応に悩んだときは、まず情報セキュリティ担当者に相談してみてはいかがでしょうか。
また今後CD-RやDVD-Rを扱うときは、そのメディアにデータが存在して消えていくというライフサイクルも頭に入れて作成するようにしてください。そうすれば、「このライフサイクルの段階では、このような取り扱いを行う」など、ライフサイクルのそれぞれの段階のリスクを予防することができるからです。
3/3 |
Index | |
そのメディア、そのまま捨てて良いのでしょうか? | |
Page1 作るのは簡単、捨てるのは? メディアの取り扱い方のガイドラインを考えよう |
|
Page2 ケース1:これは何が保存してあるのだろうか? ケース2:ラベリングはどうするの? |
|
Page3 ケース3:どうしてもUSBメモリを使いたい! ケース4:消去できるメディア、それだけで安全? |
Profile |
松下 勉(まつした つとむ) テュフズードジャパン株式会社 マネジメントサービス部 ISMS主任審査員 CISA(公認情報システム監査人) これまで、ネットワークインフラ構築・サーバ構築などのネットワークエンジニア、ネットワークセキュリティ診断・情報セキュリティ監査・情報セキュリティポリシー策定・ISMS認証支援・プライバシーマーク認証支援などの情報セキュリティコンサルタントを経て、第三者認証機関の審査員となる。 |
ISMSで考える運用管理のヒント 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|