情報システムの運用に際して、必要なセキュリティ対策を実施していますか。
(必要なセキュリティ対策には、各種手順書の作成、ルールに従った運用、監視、ログの取得と分析などが含まれます。)
情報システムや通信ネットワークの運用管理に必要な情報セキュリティ対策には、セキュリティの確保に必要な事項を含む各種手順書の作成、手順書などのルールに従った運用の実施とその監視、ログの取得と分析などが含まれます。また、運用システムを安定して稼動させるためには、情報システムの性能や容量を監視することも大切です。
1. システム運用におけるセキュリティ要求事項を明確にしているか
2.情報システムの運用手順書を整備しているか
3.日々のシステム運用に不手際が生じないようにするための工夫をしているか
4.システムの運用状況を点検しているか
5.セキュリティ関連のイベントのログを取得しているか
6.設備の使用状況を記録しているか
7.イベントログや設備の使用状況に関する記録を定期的に点検しているか
8.不正行為の証拠を隠蔽するなどの目的で、システムログや各種の記録が、改ざんや消去などされないように配慮しているか
9.システム内のサーバや端末などの機器類について、常に時刻が同期するよう設定しているか
情報システムに求められるセキュリティ要件は、情報システムの機能ごとに異なります。どのような業務でどのような情報システムが利用されているのか、またその情報システムへのアクセス権の設定などが、アクセスする人間の職務に対応しているのかということについても詳しく調査し、それぞれの情報システムに必要な機能について、それぞれ適切なセキュリティ機能を実装されているか確認してください。
情報システムを適切に運用するためには、安定運用やセキュリティの観点からの監視やバックアップ、またニーズの変更に伴い各種機器の設定の変更などが必要になります。管理者または利用者がこうした作業を安全に実施するためには、マニュアル(手順書類)を整備しておく必要があります。マニュアルには、正しく運用が実施されているかどうかを判断するための指針やサービスレベルを記載し、これらを管理するための仕組みを盛り込むことを忘れないようにしてください。マニュアルは誰でもが理解できるようにシンプルでわかりやすいものでなければいけません。また、「~してはならない」という記述は網羅性に欠ける場合があります。どうすれば正しい作業ができるのかという点に着目し、「~すること」というルールの書き方ができるように業務の見直しを行うことも必要です。
特に重要なシステムの運用では、実施した操作や検出された障害、セキュリティに関連する事象(イベント)について記録しておくことが必要です。
マニュアル通りの正しい作業ができているかどうかを点検するのは管理者の役目です。情報システム管理者はそれぞれの情報システムから得ることのできる記録をもとに、すべての利用者が正しい作業を実施できているかどうかを確認してください。また、問題の早期発見に努めるという意味で、定期的な確認作業が必要になります。できれば、組織内に情報システムに関するサービスデスクを設置し、情報システムの利用における相談などを一元的に受けられるようにすると良いでしょう。
情報システムを安定的に運用するためには、利用者の活動やセキュリティ事象、管理者・運用担当者の作業、障害といったセキュリティログや設備の使用状況について記録し、それらを定期的に点検して異常の有無を確認する必要があります。また、不正行為の証拠を隠蔽する目的で、それらの記録が改ざん、消去などされる可能性があることから、そうした行為が行えないよう、安全に管理することが重要です。
なお、正確な記録のためには、正確な時刻管理が重要です。コンピュータのクロックには狂いが生じるものがあるので、システム内のサーバや端末などの時刻を確認して狂いがあれば修正する手順を整え、実践することが望まれます。