第4回 どうすれば、管理していることになるのだろうか?


松下 勉
ビューローベリタスジャパン株式会社
システム認証事業本部 製品開発部
ITプロダクトマネジャー
CISA(公認情報システム監査人)
2008/4/11

 その管理策、「実施した価値」測ってますか?

 以下に、情報システムを運用する際に、日々の運用面で情報セキュリティに該当するものを示します。

【ケース1】

 ファイアウォールやルータのアクセス制御ポリシー(ACL:Access Control List)を、ログやアラートを解析した結果からチューニングします。そのチューニングの結果は、上長の承認の下、決定された期間でモニタリングし、正しく機能しているか確認します。


【ケース2】

 OSやアプリケーションのパッチは、その情報のサービス提供会社やシステム管理者がメーリングリストから得た情報を基に、パッチの適用を計画します。そのパッチ適用時のOSやアプリケーションへのリスクを考慮し、テスト環境で問題ないか確認します。

 その結果から、いつ、どのサーバやクライアントに適用するかスケジュールを立て、実施し、うまくパッチが当たらなかった対象には個別に対応します。これらはシステム管理部門内で進ちょく状況や完了などを管理します。


【ケース3】

 サーバのCPU、メモリ、ディスク容量、レスポンスタイムなどをモニタリングし、しきい値に達した場合にアラートをシステム管理者に知らせ、障害対応します。これらのモニタリングの結果から、増設、新規の製品の調達などを計画し、導入します。

 また、ネットワークの負荷を監視し、必要な個所への必要な帯域幅の割り当て、ロードバランサなどによる負荷分散が機能しているか、負荷が大幅に発生する時間帯およびその個所のレスポンス状況をモニタリングします。これらのモニタリングの結果から、QoSの設定、帯域幅の割り当て、および負荷分散方法の見直しなどを計画し、導入します。

 ISMSの観点ということであれば、実施しているセキュリティの管理策はリスクアセスメントの結果や事業上の要求事項などにより取り入れたものなので、その管理策が実施されているか、管理する必要があります。

 なぜなら、ただ管理策が実施されているだけで、「狙いどおり」の効果をもたらしているかを確認しなければ、実施した価値があるかの判断がつかなくなります。

 リスクアセスメントからリスク対応のプロセス、ならびにリスク対応計画の策定において、リスク受容基準を超えたリスクに対して、リスクを低減するための管理目的および管理策を選択します。それは、その超えたリスクが、リスク受容基準を下回る、つまり、リスク受容レベルに収まるようにするためです。

 狙いどおりの効果を得るために

 では、リスク受容レベルに収まるように管理策を実施するには、どのようなことを管理していくことで、「狙いどおり」の効果をもたらすのでしょうか。

 想定されるリスクは、リスクアセスメントにより、そのリスクシナリオが考慮されています。例えば「ファイルサーバにおいて、ファイルの改ざん、削除などが実施された際に、ログを取得していないことから、どのユーザーIDが、いつ、どこから、どのような操作を実施したのか判断できない」ということが考えられているとします【注2】

【注2】
このリスクシナリオは、ユーザーID、ユーザーグループ、IPアドレスなどによるアクセス制御やネットワークサービスの制限、パスワード管理などが実施されていることを前提条件としています。

 この事例を基に、管理項目を決め、運用し、その結果からフィードバックを行うまでを見ていきましょう。

1.対象となるサーバおよびアプリケーションの特定

 ログを取得する必要のあるサーバ(主に、そこに保管、運用されているファイルやデータ)と、業務上使用されるアプリケーションを特定します。

2.ログの取得項目の確定

 想定されるリスクにおいて、ログを取得する場合、どのような項目を取得したらよいかを決めます。

 例えば、

  • ユーザーID
  • IPアドレス
  • (可能であれば)MACアドレス
  • 日付および時間
  • 成功および失敗したことの記録

などが挙げられます。

3.ログ機能の確認および決定

 これらログの管理項目が、OS付属の機能で取得できるか確認します。Windows系、またはUNIX系のOSの機能をそのまま利用できるのか、syslogなどをアドオンしなければならないのかなどを確認します。また、使用しているアプリケーションで監査ログが取得できるかも確認します【注3】

【注3】
このとき、アプリケーションのログ取得モジュールや、集中管理するためにログ管理システムを導入するか否かは、ISMSが導入されている場合は、リスク対応計画にて概算費用で経営陣の承認を得る必要があります。

2/3

Index
どうすれば、管理していることになるのだろうか?
  Page1
管理せよ! 管理せよ! 管理せよ!
必要なのはその「管理」と「実施内容の確認」
Page2
その管理策、「実施した価値」測ってますか?
狙いどおりの効果を得るために
  Page3
実施だけはなく、PDCAを回し状況を把握することが重要


ISMSで考える運用管理のヒント 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間