|
8.1 セキュリティ維持のための運用
|
||
| 前のページへ | ||
セキュリティを考慮したシステムを維持するためには、対象となるシステムのセキュリティや運用方針を決定し、ルール(ポリシー)を作成しそれらをドキュメント化する。実際の運用では、そのルールに基づいた作業やセキュリティ維持作業を行う必要がある。このような一連の流れは、対象となるシステム環境や目的などにより異なってくるが、いずれの場合でも次の点を考慮してシステム管理を実施する必要がある。
システム運用方針のマネジメントとは、システムとそのセキュリティ脅威を考慮したリスク分析やガイドラインの作成から実施、評価などを行うことである。一般に、このガイドラインをポリシーと呼び、サーバーシステムに限らず、企業の就業規則をポリシー化して情報セキュリティのリスクマネジメントを実施する。
ポリシーのマネジメントで重要なことは、リスク分析、ポリシー策定、実施、運用、監査、評価をサイクル化し、組織に従事する者すべてが理解し、準拠するような環境を作り上げることである。それにより、システムの通常運用のみならず、緊急事態発生時の対応も滞りなく実施することが可能になる。
セキュリティマネジメントとは、システムに関わるセキュリティ維持作業を実施することである。具体的には次のような作業がセキュリティマネジメントにあてはまる。
セキュリティマネジメントに関する作業は、ポリシーで制定されている必要があり、作業実施には特定権限を与えられたユーザ(セキュリティ管理者)がポリシーにしたがって行動する。
システムマネジメントとは、日常のシステムサービスを提供するために必要な作業を実施することである。具体的には次のような作業がシステムマネジメントにあてはまる。
システムマネジメントに関する作業は、ポリシーで制定されている必要があり、作業実施には特定権限を与えられたユーザ(システム管理者)がポリシーにしたがって行動する。
| 第8章の目次 |
第8章の目次
|
セキュリティ維持作業
|
Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.