第2回 セキュリティを支える体制のチェックポイント

IT・IT製品TOP > Key Conductors > 齊藤 愼仁(アイレット株式会社) > 第2回 セキュリティを支える体制のチェックポイント
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

第2回 セキュリティを支える体制のチェックポイント

物理セキュリティ 2016/03/17

 前回は、自社のセキュリティポリシー作りに役立つ「第三者認証」について紹介しました。今回からは、cloudpackが公開しているセキュリティポリシー「Security White Paper」の中から、読者の皆さんのセキュリティ改善に役立ちそうなポイントを抽出して紹介していきます。あくまでも、自社のセキュリティ体制を見直すもしくは改善するための参考になれば幸いです。

 なおcloudpackではAWS利用に際し、すべてのセキュリティを管理しているわけではありません。AWS利用には「責任共有モデル」という考え方があります。

 
図1の「責任共有モデル」をご覧下さい。AWSのファシリティやAWSから提供される基盤は、AWSがセキュリティを管理します。cloudpackは、AWSの上で構築したシステムのセキュリティを担当します。更にそのインフラの上で、お客様が構築・運用されるアプリケーションとデータは、お客様側で保護することが原則です。とはいえオンプレミスなら、あらゆる要素のセキュリティをお客様が管理することを考えれば、だいぶお客様の負担が軽減されるはずです。

図1 AWS-cloudpack-ユーザ企業の「責任共有モデル」

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図1 AWS-cloudpack-ユーザ企業の「責任共有モデル」

情報セキュリティマネジメントを適切に実施できる組織体制

 昨今、巧妙なサイバー攻撃や標的型攻撃(APT)、内部不正などが横行しており、従来のような外部脅威対策だけでは不十分となっています。そこで近年特に重視されるようになったのがインシデント・レスポンスです。

 インシデント・レスポンスとは、万が一何らかの事件や事故があった場合に、迅速に適切な行動がとれる体制を用意しておくことです。「事故前提」の視点で、セキュリティ対策を考えると非常に重要なことと言えます。その体制の中核になるのは「CSIRT(シーサート/Computer Security Incident Response Team)」と呼ばれる組織(あるいは個人)なのですが、現実にはこの組織だけですべての意思決定が行えるわけではありません。企業の経営層やIT部門、業務部門のすべてを巻き込んだ体制づくりが鍵となります。

 例えば、アイレットの情報セキュリティマネジメントシステムは、図2のような組織構成をとっています。

図2 情報セキュリティマネジメント体制

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図2 情報セキュリティマネジメント体制

 図2の組織構成の中で、経営の最高意思決定機関である取締役員会の直下に情報セキュリティ(IS)委員会があるところに注目して下さい。IS委員会は、社長が各リーダー(部長)とIS管理責任者を招集して月例で開催しており、情報セキュリティの推進に関する事案を審議し、それぞれの部門にフィードバックするなどの周知活動を行っています。

 cloudpack事業部においてはリーダーの元で、cloudpack-CSIRTがセキュリティ運用グループからの脆弱性情報を常に収集・共有し、事案レベルに応じて速やかに経営層の判断も仰ぎ、迅速な対応が可能な組織体制をとっています。

 また全社的には、情報セキュリティ管理責任者(個人情報管理やPCI DSS管理責任も担います)が任命されており、直下の情報セキュリティ運用委員会が日常点検や運用上の課題を討議する体制になっています。このようにしているのは、経営層と太くて短い直通パイプを通し、全社に情報がスピーディに行きわたる組織的仕組みが重要だと考えるからです。これは、サービス提供企業もユーザ企業も変わりありません。

 なお、この組織体制も、これから紹介する情報資産管理方法も、弊社の情報セキュリティマネジメントポリシーに基づいたものです。

情報資産を適切に管理し、セキュリティのPDCA運用を推進

 弊社が公開しているホワイトペーパー「Security White Paper」には、情報資産管理や日常業務におけるセキュリティ運用の実践について記述しています。

 主な内容は「情報資産台帳」の作成と機密レベルに応じたアクセス権設定、情報資産へのリスクの定量的評価、データの保護・保管から廃棄までをポリシーに基づいた手順できちんと行うことです。同時に日常業務でのセキュリティのPDCAを定義して運用することを表明しています。

〈日常のセキュリティ運用PDCA〉

P(Plan): 情報の洗い出し、リスク分析、管理策の選定、マニュアルの整備

D(Do): 社員の教育・研修、管理策の実行、記録及び管理

C(Check): IS 委員会の実施、内部監査の実施、マネジメントレビューの実施

A(Action): 是正・予防処置の実施、リスク対応計画の策定、事業継続計画の策定

 こうした基本的なセキュリティ管理・運用に関する規定は、どのような企業でも必須となるでしょう。cloudpackではPCI DSSに準拠した事業部内標準のリスクアセスメント手法と評価基準を定め、適切なリスクマネジメントができるようにしています。

 TIPSですが、自社に適切な管理・運用規定を策定するときには、第三者認証制度が求める基準をベースに議論するとスムーズになることが多いです。

運用スタッフへの教育、建物・部屋への物理的アクセスの管理・制御

 「Security White Paper」には、人材教育・セキュリティ教育への取り組みも記載しています。例えば、情報セキュリティに関する教育及び理解度チェックを年1回以上実施すること、AWSに関連したトレーニングの受講や認定資格の取得を奨励することなどを行っています。cloudpack事業部のスタッフは、配属後速やかにAWS認定プログラムの取得、トレンドマイクロ株式会社のTCSE認定を目指すトレーニングや、セキュアプログラミングのトレーニングを受けることになっています。

 更に運用業務に携わるスタッフは、正社員雇用契約を締結した者に限定しています。これは、過去の大規模な情報漏洩事件で見られたような派遣社員、契約社員など、正社員以外のスタッフによる内部不正の発生リスクを最小限にするためです。

 また、建物・部屋のセキュリティについても記述しています。これは情報資産にアクセスする物理的な方法を制限・制御するための施策です。例えば、情報資産の重要度に応じ「セキュリティエリア1:会議室」「セキュリティエリア2:オフィスエリア/事務室」「セキュリティエリア3:セキュリティルーム/特別セキュリティ領域」というように、建物や部屋を区分し、それぞれのエリアへの出入りを管理・制御できるようにしています。特に厳しいセキュリティエリア3では、ICカードによる入室管理・ログ保管、複数の監視カメラによる撮影記録・保存などを実施しています。

 なお、セキュリティエリア2や3では、業務ネットワークから隔離された、専用のネットワークを利用します。運用端末は詳細なアカウント管理・操作ログ取得を実施し、Wi-Fiのアクセスポイントやスマートデバイス、通信可能な装置については事前にIS管理責任者からの承認が無ければ一切持ち込みを禁止しています。外部からの訪問者の入室も禁止です。

 情報漏洩対策には、このような情報資産の管理・運用の原則的な部分や、人材、ファシリティ利用に関する規定は、特に欠かせないものです。国内の技術者不足の折、正社員としての雇用が難しい場合もあるかもしれませんが、適切なモラルと知識を持った人材を選び、契約条項で不正行為を未然に防ぐ策を講じるべきでしょう。なお、保管する情報資産の機密度に合わせて、執務エリアを区分するのはリスク対策の基本とされています。一般的な入退室管理ツールやそれと連動する電子錠などによる対策でもよいので、ポリシーとして明文化することをお勧めします。

 以上、今回は組織体制、運用のPDCA、人材やファシリティ上のポリシー作りの参考になりそうな部分を抽出しました。次回は業務ネットワークでのセキュリティを高めるポイントについて解説します。

連載中・連載予定の記事テーマ

第1回 セキュリティポリシー確立と第三者認証の意義

第3回:業務ネットワークセキュリティのチェックポイント

第4回:運用上のセキュリティ保持に関するチェックポイント

クラウドを納得して活用するベストプラクティス:セキュリティホワイトペーパー公開中!

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008610


IT・IT製品TOP > Key Conductors > 齊藤 愼仁(アイレット株式会社) > 第2回 セキュリティを支える体制のチェックポイント

このページの先頭へ

キーマンズネットとは
AWSインテグレーターcloudpack所属(アイレット株式会社)。x86系プロセッサを中心としたサーバーの企画・設計やHPCハードウェアのプリセールスなどに参画した経験を持つ。現在は社内インフラのセクションリーダーを担当。情報セキュリティ管理責任者、個人情報管理責任者、PCI DSS管理責任者を兼務する。

ページトップへ