セキュリティ運用と管理とは

組織で取り扱う情報を保護するためには、適切なセキュリティ管理策を選択し導入することが重要である。

しかし、セキュリティ管理策を導入して終わりではなく、その運用と管理を継続的に行わなければ、組織が期待する情報セキュリティの目標を達成することはできない。

そのためには、常にモニタリングすることが必要。

モニタリング内容は、管理策の組織への導入が適切か、法的責任が遂行されているか、日常業務が組織で決められた通りに継続できているか、情報資産が把握されているか、全ての従業員が適切に保護されているか。

情報セキュリティ管理策は、明確に定義、文書化されており、継続的に是正、改善される必要がある。

管理策は、機密性、完全性、可溶性、アカウンタビリティ、保証という5条件を満たしている必要がある。

情報システムの提供にはビジネスとの親和性が重要である。
企業がITを導入する目的は、収益の向上と付加価値の創出。
また、経営陣に費用対効果を理解してもらうことも大切である。
コンプライアンス維持のために、セキュリティポリシーとコンプライアンスを連携させることが必要。

セキュリティ計画
情報システムに対するセキュリティ要求事項に基づいて、セキュリティ管理策についてまとめたもの。

また、セキュリティ戦略においては、以下の点に注意が必要
・最新の技術をそのまま採用するのは危険
・組織が変わることによってセキュリティレベルの低下に注意

情報セキュリティポリシー
情報資産を安全に運用するためのポリシーのこと。
組織全体の方針を定義するもので、細かな基準などは記載しない。

セキュリティポリシーの実施には以下の点に留意する

  • 社員全員がポリシーを準拠すること
  • リスクマネジメントが実施されていること
  • セキュリティが第一優先ではないこと
  • 責任が明確になっていること
  • 適用範囲が明確になっていること
  • わかりやすい表記になっていること
  • 例外の取り扱いが記載れていること
  • 日付が明記されていること
  • 定期的に更新されていること

ベストプラクティス

最小権限

Least Privilegeと呼ばれ、最小限のアクセス権しか与えない仕組み。

知る必要性

Need-to-Knowと呼ばれ、情報を知る必要がある人のみに伝えること。

職務の分離

Separation of Dutiesと呼ばれ、一つの業務を1人の従業員に割り当てないこと。

配置換え

定期的な配置換えを行うことで、従業員の不正を見つけることができる。