ソフトウェアの選定や購入、情報システムの開発や保守に際して、セキュリティ上の観点からの点検をプロセスごとに実施するなど、適切なプロセス管理を実施していますか。
(選定や購入、開発や保守を外部委託している場合は、セキュリティ上の観点からの点検が可能かどうかを回答してください。)
ソフトウェアにセキュリティ上の問題を混入させないための管理が重要です。たとえば、選定や購入に際しては、ソフトウェアの開発元を確認すること、開発や保守に際しては、ソースコードへのアクセス管理といったセキュリティ対策の実施状況の記録やレビューの記録などを確認できることが大切です。
1.運用に供しようとする情報システムのソフトウェアの導入や変更に関する手順を整備しているか
2.ソースコードへのアクセスを制限しているか
3.構成の変更に関する手順を整備し,厳重に管理しているか
4.トロイの木馬などの不正プログラムが組み込まれていないかどうかをチェックしているか
5.外部委託によるソフトウェア開発を行う場合、使用許諾、知的所有権などについて取り決めているか
6.外部委託によるソフトウェア開発を行う場合、品質や作業範囲、標準となる契約書や合意書を用意しているか
7.開発や保守を外部委託する場合に、セキュリティ管理の実施状況を把握できるか
8.セキュリティ機能の試験は、開発期間中に実施しているか
ソフトウェアやライブラリの更新、パッチ(修正プログラム)の適用などで運用中の情報システムの環境を不用意に変更すると、情報システムの挙動に影響する可能性があります。そうしたリスクを抑えるためには、運用に供しようとする情報システムにおけるソフトウェアの導入や変更に関する手順を整備し、それに沿って対処する必要があります。
ソフトウェアの導入前に、その評価を行い、評価方法や評価内容の記録を残すことが重要です。こうしておくことでぜい弱性が見つかった場合、評価に漏れがなかったかどうかを後で確認することができます。開発元の定評は、ソフトウェアの品質の評価の目安になりますが、新しいベンチャー企業などでもしっかりした開発を行っているケースもありますので、定評は目安としてください。
ソフトウェアを含む情報資産全般の変更記録は基本的な実施事項です。変更記録により、どのような構成のソフトウェアを使用しているのか、新たなぜい弱性が見つかったときに、使用しているソフトウェアがそのぜい弱性を有するバージョンであるかどうかなどを容易に確認できるようになります。変更記録を適切に実施することにより、ソフトウェアの構成管理を行ってください。
システムの開発においては、レビューの実施と記録が特に重要です。開発プロセスを整備することにより、プログラマによる余分なコードの追加、不要なぜい弱性の残留といったことを予防することができます。レビューの項目としては、ソフトウェアの選定・購入に際しては必要なセキュリティ機能が具備されていること、既知のぜい弱性が含まれていないこと、ぜい弱性などに関する情報が提供されることがあげられます。また、設計段階では、リスク分析の結果必要とされるセキュリティ機能が盛り込まれていること、セキュリティに関する運用面の考慮もされていること、システム運用とセキュリティ運用に必要な管理者及び利用者向けの手順書類が明記されていることが挙げられます。開発段階では、開発のための十分な人員やセキュリティを考慮した環境が割り当てられていること、開発及びテスト用の機器やソフトウェアなどの環境が整備されていること、最新の攻撃手法を考慮した十分なテストが実施されていることなどが挙げられます。
各プロセスで生成される記録やドキュメント類、ソフトウェアのソースコードやデータなどの流出、紛失、盗難、改ざんなどを防止する必要があります。関係者以外には秘密にされている情報に権限のない者がアクセスできないようにするとともに、権限があっても不必要に外部に持ち出さないようにするための管理が重要です。ソフトウェアの選定、購入、システムの開発・保守などの方針は、関係者に周知徹底することも必要です。定めた方針が周知できていることを確認する仕組みを作り、実施状況を把握します。さらに、もし方針と実施状況の間にギャップがあれば、是正処置を行います。
ソフトウェア開発を外部委託する場合、情報セキュリティと関連する項目で契約書に記載すべき項目には、ソフトウェア開発を委託する場合の使用許諾、知的所有権などについての取り決めや、品質や作業範囲に関するものなどがあります。可能であれば、品質の要求事項に、既知のぜい弱性を含まないようにするなどの条件を入れておくべきでしょう。
また、ソフトウェアの開発・保守を外部委託する場合に、委託先のセキュリティ管理の実施状況について確認する手段を確保することが望まれます。たとえば、情報セキュリティ対策ベンチマークのセルフチェックシートの提出を求めるなどのやり方も考えられます。