組織の情報システムとして、いかにセキュアなシステムを作るかが情報セキュリティを守る第一歩です。情報システムは組織の業務を効率よく効果的に実行するための手段ですが、その手段が脅威に対して脆弱であっては情報のセキュリティは守れません。システムの構成要素はネットワークとＯＳ（ハードウェアを含む）とアプリケーションからなります。それぞれについて最新のセキュリティ技術を導入したシステムを構築することがより安全な組織の運営を可能にします。個々のセキュリティ対策技術については第７章で説明していますが、上記３要素について以下のような技術があります。

コース （A  B  C  D  E）

アクセス制御は情報システムのセキュリティ検討においては最も基本的な課題です。必要とされる人に限って情報システムおよび情報資産へのアクセスを許可すべきで、そのアクセス権限は適宜見直す必要があります。あまりに細かいアクセスレベルを設けると、その変更管理が大変で、結局適切な見直しが行われず結果的に緩いアクセス管理になりかねません。従って、現実的に運用できる範囲を考慮してアクセスのレベルを決めなければなりません。 

　具体的に以下の点について考慮します。

コース （A  B  C  D  E）

システムの運用管理として、ログの収集・分析およびその管理は情報セキュリティ上非常に重要です。特にリモートアクセスによる情報システムへのアクセス状況を知ることができるのはログのみと言っても良いほど重要な情報です。ログにはファイアウォール(2.3.5参照)やＩＤＳ（7.8参照）等のログ、ルーターなどのログ、サーバーのログ、クライアントのログなど様々なログがあります。ログは障害発生時のトラブルシュートのためや、セキュリティインシデントやその予兆を知るための情報源として重要です。
　正しいログを取るためにはサーバーやクライアントなどのログ情報ととともに時刻情報が重要です。そのためにはサーバーやクライアントの時刻はNTP（Network Time Protocol ：ネットワークを通じてPCやネットワーク機器の時計を合わせる仕組み）を使用して標準時に常に合わせておく必要があります。また、ログファイルが指定された最大サイズに達すると、古いログを消しながら新しいログを記録するシステムもあります。システムごとのログ方法を理解し、正確で安定したログを記録することが大切です。
　また、あらゆる情報のログを取ろうとすると、記憶容量も膨大になり、その結果の分析も非常に困難になるので、必要な情報のみを記録し分析するようにします。ログを整理し分析するソフトウェアもあるので、それらの活用も考慮するとよいでしょう。せっかく取ったログもその分析が行われないとログの意味が半減します。その意味からもログ取得の範囲や取得の場所などを考慮して効果的なログを取るようにしなければなりません。

　また、取得したログおよびその解析情報は改ざんが行われていないという証明ができないと、証拠としての能力を失うことにもなりかねないので、改ざんの脅威から守られるように管理しなければなりません。そのためには取得ログおよびその解析情報には厳しいアクセス制限を設ける必要があります。
　

コース （A  B  C  D  E）