経営者の方情報セキュリティマネジメントとPDCAサイクル

本文を印刷する

情報セキュリティマネジメントとPDCAサイクル

管理策の導入と運用

情報セキュリティ管理策を実際に行うには、まず、セキュリティ対策の根本となる、システム等への情報セキュリティ対策の構築、設定を行い(導入フェーズ)、そののち、実際の運用に入ります(運用フェーズ)。

導入フェーズ:実際の運用に入る前に、情報セキュリティ対策の根本となる設定を行います。

(1) 構築と設定

ウイルス対策ソフトやファイアウォールなどのセキュリティ装置を導入します。ファイアウォールは、インターネットとの接続点で、外部から内部ネットワークへのアクセスを制御します。これ以外にも侵入検知システム、暗号化通信を導入する場合もあります。その他、OSや各アプリケーションのセキュリティ設定を行います。

(2) 設定における注意点

セキュリティ設定の誤りもシステムをセキュリティリスクにさらします。メーカから提供されたままのデフォルト設定の状態は、セキュリティ上のリスクがある状態になっていることが多くあります。セキュリティリスクを減らすために、必要なサービスだけを稼動させることが重要です。また、不要なサービスを停止することにより、セキュリティホールの可能性も低減できます。

(3) 脆弱性の解消

サーバのソフトウェアに、セキュリティの弱点(脆弱性)がある場合があります。セキュリティ脆弱性が公開されていると、その脆弱性のあるサーバーは、インターネット越しに攻撃者の標的となり、侵入やサービス妨害などのリスクにさらされます。これらの脆弱性をなくすための修正プログラムがメーカーから提供されているので、構築・設定の際には、最新の修正プログラムを適用する必要があります。

(4) レベルに応じた個人情報や企業情報へのアクセス制御

組織内には膨大な情報が蓄積されていますが、その機密性や重要度には差があります。また、組織のメンバーの経験、部署、役職に応じて必要な情報がちがってきます。このため、メンバーごとにアクセスのレベルを設定し、アクセスできる情報の範囲や操作権限などを詳細に制御する必要があります。特に、個人情報や機密情報については、アクセスできる人数を最小限にして、厳密なアクセス制御を適用しなければなりません。

運用フェーズ:実際の運用に入ります。

(1) セキュリティポリシーの周知徹底とセキュリティ教育

綿密に練り上げた対策でも、肝心の社員がこれを遵守しなければ意味がありません。セキュリティ教育のポイントは、まずセキュリティポリシーを周知徹底することです。その際、各人にどのような役割と責任があるかを明確にするとともに、セキュリティ対策をする上でのルールについても何が許されており、何が禁止されているかを周知します。
セキュリティ教育のもうひとつのポイントは、被害にあわないようにセキュリティ上の脅威と対策を教えることです。

(2) 脆弱性対策

脆弱性は日々新たな発見が続いているといっても過言ではありません。設定の際に最新のパッチを適用した後も、定期的にメーカまたはIPAセキュリティセンターのWebサイトを参照し、新たな脆弱性が報告されていないかどうかをチェックしましょう。脆弱性が公開された場合は、できるだけ速やかにパッチを適用することが肝要です。

(3) 日常的なセキュリティ監視と情報の収集

セキュリティ監視は、ウイルス感染や不正アクセスなどの発生を防ぐものではありませんが、その発生を早期に検知し、速やかに障害より回復するために必要な情報セキュリティ対策です。セキュリティ監視には、システムに存在するセキュリティ上の問題点を明らかにするための脆弱性検査や不正アクセス検知のための侵入検知などがあります。

(4) 異動/退職社員のフォロー

異動した社員や退職した社員が使用していたアカウントをそのまま残しておくと、そこがセキュリティホールとなります。実際、「侵入者(クラッカー)は知っている人間だった」というケースが多いのです。不要なアカウントは、すぐに削除すべきです。また、何らかの理由があって、削除しない場合でも、不要なサービスへのアクセスはすべて拒否するような設定が必要です。