第4回 どうすれば、管理していることになるのだろうか?
松下 勉
ビューローベリタスジャパン株式会社
システム認証事業本部 製品開発部
ITプロダクトマネジャー
CISA(公認情報システム監査人)
2008/4/11
その管理策、「実施した価値」測ってますか?
以下に、情報システムを運用する際に、日々の運用面で情報セキュリティに該当するものを示します。
| 【ケース1】 ファイアウォールやルータのアクセス制御ポリシー(ACL:Access Control List)を、ログやアラートを解析した結果からチューニングします。そのチューニングの結果は、上長の承認の下、決定された期間でモニタリングし、正しく機能しているか確認します。 |
| 【ケース2】 OSやアプリケーションのパッチは、その情報のサービス提供会社やシステム管理者がメーリングリストから得た情報を基に、パッチの適用を計画します。そのパッチ適用時のOSやアプリケーションへのリスクを考慮し、テスト環境で問題ないか確認します。 その結果から、いつ、どのサーバやクライアントに適用するかスケジュールを立て、実施し、うまくパッチが当たらなかった対象には個別に対応します。これらはシステム管理部門内で進ちょく状況や完了などを管理します。 |
| 【ケース3】 サーバのCPU、メモリ、ディスク容量、レスポンスタイムなどをモニタリングし、しきい値に達した場合にアラートをシステム管理者に知らせ、障害対応します。これらのモニタリングの結果から、増設、新規の製品の調達などを計画し、導入します。 また、ネットワークの負荷を監視し、必要な個所への必要な帯域幅の割り当て、ロードバランサなどによる負荷分散が機能しているか、負荷が大幅に発生する時間帯およびその個所のレスポンス状況をモニタリングします。これらのモニタリングの結果から、QoSの設定、帯域幅の割り当て、および負荷分散方法の見直しなどを計画し、導入します。 |
ISMSの観点ということであれば、実施しているセキュリティの管理策はリスクアセスメントの結果や事業上の要求事項などにより取り入れたものなので、その管理策が実施されているか、管理する必要があります。
なぜなら、ただ管理策が実施されているだけで、「狙いどおり」の効果をもたらしているかを確認しなければ、実施した価値があるかの判断がつかなくなります。
リスクアセスメントからリスク対応のプロセス、ならびにリスク対応計画の策定において、リスク受容基準を超えたリスクに対して、リスクを低減するための管理目的および管理策を選択します。それは、その超えたリスクが、リスク受容基準を下回る、つまり、リスク受容レベルに収まるようにするためです。
狙いどおりの効果を得るために
では、リスク受容レベルに収まるように管理策を実施するには、どのようなことを管理していくことで、「狙いどおり」の効果をもたらすのでしょうか。
想定されるリスクは、リスクアセスメントにより、そのリスクシナリオが考慮されています。例えば「ファイルサーバにおいて、ファイルの改ざん、削除などが実施された際に、ログを取得していないことから、どのユーザーIDが、いつ、どこから、どのような操作を実施したのか判断できない」ということが考えられているとします【注2】。
| 【注2】 このリスクシナリオは、ユーザーID、ユーザーグループ、IPアドレスなどによるアクセス制御やネットワークサービスの制限、パスワード管理などが実施されていることを前提条件としています。 |
この事例を基に、管理項目を決め、運用し、その結果からフィードバックを行うまでを見ていきましょう。
1.対象となるサーバおよびアプリケーションの特定
ログを取得する必要のあるサーバ(主に、そこに保管、運用されているファイルやデータ)と、業務上使用されるアプリケーションを特定します。
2.ログの取得項目の確定
想定されるリスクにおいて、ログを取得する場合、どのような項目を取得したらよいかを決めます。
例えば、
- ユーザーID
- IPアドレス
- (可能であれば)MACアドレス
- 日付および時間
- 成功および失敗したことの記録
などが挙げられます。
3.ログ機能の確認および決定
これらログの管理項目が、OS付属の機能で取得できるか確認します。Windows系、またはUNIX系のOSの機能をそのまま利用できるのか、syslogなどをアドオンしなければならないのかなどを確認します。また、使用しているアプリケーションで監査ログが取得できるかも確認します【注3】。
| 【注3】 このとき、アプリケーションのログ取得モジュールや、集中管理するためにログ管理システムを導入するか否かは、ISMSが導入されている場合は、リスク対応計画にて概算費用で経営陣の承認を得る必要があります。 |
 |
2/3 |
 |
| Index | |
| どうすれば、管理していることになるのだろうか? | |
| Page1 管理せよ! 管理せよ! 管理せよ! 必要なのはその「管理」と「実施内容の確認」 |
|
 |
Page2 その管理策、「実施した価値」測ってますか? 狙いどおりの効果を得るために |
| Page3 実施だけはなく、PDCAを回し状況を把握することが重要 |
|
 |
ISMSで考える運用管理のヒント 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
