8.2   セキュアなシステムに必要な要件

    8.2.1マネージメントコントロール

図:8.2.1マネージメントコントロール
  マネージメント(経営上の)コントロールとは、業務遂行基準を設定し組織内での情報伝達方法や伝達経路を明確化することです。
  まず職務上の役割を3つに大別した上で、各々の業務遂行基準を設定します。
  1. 情報所有者
    組織の中でその情報を主管する部門や人のことを指します。情報所有者はその情報の内容と重要性や価値を最も良く知っている部門や人であり、その情報の取り扱い方を決定します。
  2. 情報利用者
    情報利用者は、情報所有者の承認を得て職務遂行のためその情報を利用する部門や人を指します。通常情報利用者にはその情報の「読み取り」は許可されても、「更新」は許可されません。
  3. 情報サービス部門
    いわゆるコンピュータ部門で、情報所有者および情報利用者に対して、望む情報を望む品質で提供する任務を持っています。
  例えば営業担当者(情報利用者)が客先で見積もりを行えるようにするとします。
  情報所有者は情報利用者が見積もりを行う為のプロセスを作り、そのプロセスを実施するために必要な情報やシステムを把握し、情報サービス部門に対して情報利用者が必要な情報やシステムにリモート環境で接続する為の方策を提案させ、実施させます。
  また、情報サービス部門は作り上げた見積もりシステムからの情報漏えいが起こらないことを保障します。情報所有者は情報利用者である営業担当者から見積もりを作るために必要な情報やシステムに関する情報が漏洩しないように相互監視の仕組みや定期的な人事異動を実施します。

  このようにセキュリティという概念は単にシステムからの情報漏えいを防ぐということではなくシステムを利用する組織全体の組織作りの段階で埋め込む必要があります。



  8.2.2セキュリティの機能

図:8.2.2 セキュリティの機能
  ネットワーク犯罪の半分以上は内部の人間による犯行です。特に、現在のインターネットに見られるような匿名性の高いバーチャルな世界においては利用者個々の意識が大変重要です。セルフコントロールとは忠誠心やモラルの形成や向上を促すことで、望まない事態の発生を予防することです。セルフコントロールのための教育を上手に行えば、内部犯行をかなりの部分まで減らすことが可能となります。



  8.2.3アクセスコントロール

表:8.2.3 アクセスコントロール

  アクセスコントロールとは情報の使用を適切な資格を持つ人に制限するための方策です。
  1. 情報の重要度によるアクセスコントロール
    情報を機密度に応じて区分すると、その保護を合理的に行えるようになります。各々の機密レベルでセキュリティを確保する方法を取り決めることができます。
  2. 職位・職能によるアクセスコントロール
    個人の職階や職掌に応じて、どのレベルの情報にアクセスできるかを決めることで、望まない事態の発生を最小限におさえます。
    例えば、「利用不可」、「読み出しのみ」、「更新可」のいずれかを付与します。規定外の利用についてはその申請・承認方法を明確にすることでアクセスコントロールに柔軟性を持たせます。



  8.2.4リカバリコントロール

図:8.2.4 リカバリコントロール
  リカバリコントロールとは、利用不能時間とデータの復旧時間を最小限に留めるための対策と対応を取り決めることです。例えば、二重化を行うことによって復旧の時間を最小限にとどめることが可能となります。
  ただし、二重化されたシステムもバックアップ用として待機しているシステムが正常に動作するかどうか定期的に点検したり、バックアップされたデータが確実に復元できるかどうか定期的に確認しないと、無駄になる可能性があります。



  8.2.5業務標準の設定

表:8.2.5 業務標準の設定
  業務内容について標準化、規定化、文書化を行うことで、重大事件や事故につながる可能性を排除することができます。また、標準からはずれた行為についてもすばやく検知することができ、セキュリティの維持にも有効です。
  主に次のようなものがあります。
  1. 文書類の標準化
  2. オペレーションの標準化と文書化
  3. 職務の規定化
  業務標準の設定で重要なことは定められた標準行動に逸脱する行為を許容しないことです。例えばサーバーへの標準的な接続方法を設定したら、それ以外の特例的な接続方法は禁止すべきです。これを許容すると標準化を行う意味がなくなるばかりでなく、リモートサービスが管理しきれなくなり、思わぬセキュリティホールを生み出す原因となります。

最初へ



Copyright ©  2002 Information-technology Promotion Agency, Japan. All rights reserved.