IT現場のセキュリティマネジメント 簡単理解と応用まで

この記事は約14分で読めます。
セキュリティマネジメント
  1. ITセキュリティの重要性とは
  2. セキュリティに関わる言葉の関係
    1. 情報
    2. 脅威
    3. リスク
    4. 脆弱性
    5. 資産価値
    6. 機密性・完全性・可用性
      1. 機密性
      2. 完全性
      3. 可用性
    7. 情報に対するリスク度合いの測り方
      1. 資産価値=機密性・完全性・可用性の観点から想定した価値
      2. リスク度合い=資産価値×リスク発生可能性
      3. リスク度合いに応じてセキュリティ対策を打つ
  3. セキュリティマネジメントとは
  4. セキュリティ対策とはどのようなものがあるか
    1. 精神面での対策
    2. 運用面対策
    3. 技術面対策
  5. セキュリティマネジメントの手順
    1. ルール策定
    2. 事前セキュリティ対策策定
    3. 事後セキュリティ対策策定
    4. 事前セキュリティ対策の実行確認
    5. 事後セキュリティ対策のシミュレーション
    6. 実行状況確認やシミュレーションで問題があればルール見直し
      1. 実行確認時の問題と見直し
      2. 事後シミュレーション時の問題と見直し
  6. 業者・クラウドサービス選定におけるセキュリティ確保の対策
    1. 外部委託業者のセキュリティ
    2. ウェブサイトおよびクラウドサービスのセキュリティ
  7. セキュリティマネジメント実行上のありがちな問題
    1. 当たり前のことが当たり前すぎて無視されている
    2. セキュリティ運営担当がいない
    3. IT運用のセキュリティと会社運営のセキュリティの境目がよくわからない
    4. 最新情報を得られていない
    5. 効率さとのトレードオフが大きすぎる
    6. 信頼性の高い委託先ベンダーでも問題を起こす
  8. セキュリティマネジメントで本当にやるべきこと

ITセキュリティの重要性とは

ITは様々な情報を扱っています。そして、その情報は、企業にとって重要なものがほとんどです。

その情報が万が一外部に漏洩すれば、情報を使った犯罪などができてしまうかもしれませんし、顧客に迷惑をかけてしまうかもしれません。

また、ITがなんらかの攻撃を受け、サービスが止まってしまうこともあります。その際は、程度にもよりますが事業に影響が出るのは間違いありません。

情報の中身が、秘密情報や個人情報であった場合は、漏洩すると損害賠償になり、金銭的な損失を負うこともあります。

さらには、金銭的な損失に留まらず、情報漏洩により顧客からの信頼を失い、結果事業継続に影響が出てしまうことすらあり得ます。

視点を変えると、情報がもし従業員の情報であった場合は、きちんと情報が管理されていない会社として、離職の原因になってしまうということもあります。

これらは、言うまでもないことではあります。

しかし、情報を取り扱う人たちが、情報への意識が低ければ簡単に起きてしまうことです。
簡単に起きてしまわないためには、大丈夫であろう、という意識だけではなく、マネジメントが必要ということになります。

セキュリティに関わる言葉の関係

セキュリティマネジメントを理解するうえで、基本的な言葉を理解することが近道です。

セキュリティというとかなり広範囲のことを指すものでありますし、セキュリティ対策等のマネジメント何でもかんでも実施すればいいということはありません。

警戒するに越したことはないのですが、やりすぎは工数ばかりが掛かってしまいます。

そのためにも、言葉の関係を理解して、より重要かつ効果の上がる対象に対して、効果的な対策を打っていきたいものです。

情報

まず取り扱っている守るべき情報があります。
特に重要なのでは、個人情報と企業の機密情報です。

脅威

脅威は、情報に対してよからぬことが起きることです。
盗難、漏洩、攻撃、消失など、起きたら困ることになりあす。

リスク

リスクは脅威が起きうる可能性です。
可能性ということは、何らか予想と違っていたり、またはその大きさであったりします。

脆弱性

ITもしくはその運用に関わる弱点となるものです。それによりリスクが顕在化しうるということになります。

資産価値

情報の価値を資産価値として大きさを決めたものです。

機密性・完全性・可用性

セキュリティでは基本的な言葉として定義されます。
情報を守る上での3原則になります。また情報の価値を測る上でも、3つ観点で見ることが有効です。

機密性

情報が守られていることです。
アクセスすべき人だけができる状態が保たれていることです。
逆に守られなかった時に、どのような影響になるかが、その情報の価値の大きさになります。

完全性

情報が正しく完全であることです。
情報が移動したり、処理されたりする時に、間違いなくあるべき姿が保たれているかということです。
逆に、間違ったものになってしまった時に影響の大きさが、その情報の価値の大きさになります。

可用性

情報を利用すべき人がすべき時にできることです。
逆に利用すべき時に利用できなかった時の影響の大きさが、その情報の価値です。
可用性の場合は、情報と言っても、ITのサービスそのものを指す場合もあります。

機密性については比較的イメージしやすいですが、完全性と可用性についても、守るべき情報を評価する上では考慮します。

情報に対するリスク度合いの測り方

資産価値=機密性・完全性・可用性の観点から想定した価値

情報の資産価値を評価します。

先に説明した3つの観点である機密性、完全性、可用性から、扱っている情報やサービスが重要かどうかを判断します。

情報が他人に見えても特に問題ないものもありますし、間違っても本人は困るでしょうが、会計に直接関係ないので、問題なしとするものもあります。

またサービスが仮に止まってしまっても、事業に直接影響がない分析結果データなどであれば、セキュリティ上の評価は低くても構わない、というものもあります。

リスク度合い=資産価値×リスク発生可能性

リスク発生の可能性は、脅威と脆弱性によります。

脅威はいつでも起こり得るし、脆弱性が高い、すなわち抜け穴が大きいなどの状態であれば、リスク発生可能性はかなり高いということになります。

逆に脅威もほとんど発生しないし、脆弱性もないということであれば、リスクは可能性はあるものの、ほぼ起きないと評価されます。

資産価値に対し、リスク発生可能性を掛け合わせたものが、リスク度合いになります。

資産価値が高い重要なデータであったとしても、既に守られており、脅威の可能性も低く、脆弱性もないということあれば、リスクは低いことになります。

もしくは、資産価値は中ぐらいであったとしても、脅威もあり、脆弱性もある、ということであれば、リスクはあると認識すべきでしょう。

リスク度合いに応じてセキュリティ対策を打つ

セキュリティマネジメントとしての対策は、リスク度合いに応じて検討すべきです。

そのためには、まず情報は何かを識別し、評価することから始めることになります。

評価の結果、リスクの高いものに対して、セキュリティ対策を検討し、マネジメントを開始します。

セキュリティ対策は完全に近い技術的な対策もありますが、人による運用も含めた対策にすることも多いため、継続的なマネジメントにより実効を担保する必要があります。

セキュリティマネジメントとは

セキュリティマネジメントは、ITのセキュリティ対策を全体として、どの範囲に対してどのようにしていくかを取り決め、実行し、それを維持するということです。

情報資産毎にリスク度合いが決まりますので、リスク度合いに応じた対策を検討します。

対策にはコストもかかりますので、どこまでやるかを決めます。

決めたセキュリティ対策について、どのように実行するかを決めます。

そして実行されているかを確認するのと同時に、セキュリティ事故が起きてしまった時のことも考えます。

実行状況によりセキュリティが維持できているかを確認すると同時に、問題があれば見直しを行っていくことを継続します。

セキュリティ対策とはどのようなものがあるか

精神面での対策

精神面でのセキュリティ対策とは、セキュリティを守ろうという基本的な理念の下、関係する人たちがみんなで守るということです。

大事な情報は決めたとして、その情報は容易く見えないようにしたり、流通させるときには限定したりと、行動に対するガイドを行います。

一度通知しても忘れられるものなので、また半年に一度など、定期的に通知する必要はあります。
人の行動に現れ実行されるものなので、技術的なものよりもコストはかかりません。

基本的な考え方は、浸透させるのに最初苦労はしますが、対策としては最も近道であることもあります。

運用面対策

精神面の対策は、比較的大雑把な考え方を皆の頭に浸透させ、行動させるというものであることに対して、運用面の対策はルールをきっちり決め、その通り実行させるという厳しいものになります。

情報に対するフローから対策の観点を導きます。

観点と対策例については以下のとおりです。

観点対策
情報のある場所への出入口入退室制御
情報へのアクセス権名簿管理、権限管理、共用IDの不正利用防止
情報そのものパスワード設定、アクセス記録
情報の破棄破棄ルール

技術面対策

観点対策
情報のある場所への出入口ネットワークフィルター、コンテンツフィルター
ITへのアクセス権ID制御、認証技術
情報そのもの暗号化
情報の破棄データ消去
ITの可用性OSやソフトウェアの最新化、セキュリティパッチ、ウィルス対策

セキュリティマネジメントの手順

セキュリティマネジメントの手順
  • ルール策定
  • 事前セキュリティ対策策定
  • 事後セキュリティ対策策定
  • 事前セキュリティ対策の実行確認
  • 事後セキュリティ対策のシミュレーション
  • 実行状況確認やシミュレーションで問題があればルール見直し

ルール策定

マネジメントを実行するにあたっての全体ルールを策定します。

何の情報資産に対してのセキュリティ対策を行うのか、そしてその対策をいつ実行するのか、実行されセキュリティが担保されていることをいつどのように確認していくのかを決めます。

事前セキュリティ対策策定

セキュリティ対策の内、事故が起きる前の実施する対策を策定します。

セキュリティ対策は、運用面や技術面の対策、あるいはコストのかかる対策や比較的掛からない対策ことまで、多岐に亘って考えられます。

すべて実行できればいいですが、コストや工数ばかり掛かってしまっても、実効性も低くなりますので、どれを対策するのかを決めます。

決めた対策について、どのくらいの頻度で対応するか、人の運用も含めて管理するか等を決めていきます。

事後セキュリティ対策策定

セキュリティ対策の内、事故が仮に起きてしまった後に実施する対策を策定します。

セキュリティ事故は技術的には防ぎようがなく、起きてしまうこともあります。

起きたとしても、最低限に食い止める必要があります。

例えばウィルス感染であれば、確認できた箇所を切り離し、他への伝播を防ぎます。

事前セキュリティ対策の実行確認

事前セキュリティ対策は一回実行すればいいということではないことがほとんどです。

ウィルス対策のように常に実行されていることもあれば、セキュリティパッチのようにある間隔で実行してしていくこともあります。

実行されているように見えても、実は有効な対策になっていなかったということも実際に起きています。

ソフトウェア最新化を半年に一度は実行するように決めていたとしても、忘れられていて実行されていなかったということもあります。

このようなことがあるので、実行されているか定期的に確認することにより、ルール通りが担保されていることを確認します。

事後セキュリティ対策のシミュレーション

事後のセキュリティ対策は、実際に何らかのセキュリティ事故などの問題が起きないと実行されません。

よって日常的には何もしないということになりますが、実際に起きたとき準備は必要ということになります。

そこで、実際にセキュリティ事故が起きたことを想定したシミュレーションを実行します。

実際に発生したわけではないのですが、あたかも事故が発生したかのように振舞います。

そうすることで、本当に発生した気の一連の動作を理解することができます。

実行状況確認やシミュレーションで問題があればルール見直し

実行確認時の問題と見直し

セキュリティに関するルールの実行状況を確認していくと、実際には実行されていないという問題が発見されます。

毎月実行する必要があるというルールにしていたところ、実際には3カ月に1回になっていたということがあったとします。

実行頻度が少ないことはルールに反していますので問題です。しかし、1回の実行にあたってコストがかなりかかっていたということがあったとします。

毎月の実行が現実的でないのであれば、ルールを見直す余地はあります。

その際に立ち返って考えるべきは、情報の資産価値とリスク度合いです。リスクが高すぎるのでコストをいくらかけてもいいということは、実際は少ないと思います。

リスク度合いを考慮して、コストが掛かりすぎているのであれば、少し頻度を下げるということも一つの対策見直しです。

事後シミュレーション時の問題と見直し

事後のシミュレーションを実行したときに、実際は実行することができず、実効性のないルールであったということはあり得ます。

ITへの攻撃を想定して、システムダウンがあった時の振る舞いを決めていたとします。

システムダウン時は、顧客から情報を入手し、伝票を起票するという手順としていました。

実際実行してみると、顧客から情報を入手することは、できる顧客はいくつかいても、できない顧客もいました。

よってすべての業務に対して同じ対策ではできなかったということになります。

現実的でない対策であれば、別な手段を考えたほうがいいでしょう。この場合、仕組みを構築することが必要ではありますが、バックアップからの復旧するようなことを考えることも一つです。

業者・クラウドサービス選定におけるセキュリティ確保の対策

セキュリティ対策は自社の中だけでなく、業者やサービスを使っているのであれば、それらを含めた全体のセキュリティ担保が必要となります。

外部委託業者のセキュリティ

情報の一部を外部委託業者でも取り扱っている場合、当然外部委託業者においてもセキュリティが確保されていないといけません。

委託先から情報漏洩などの問題が発生した場合は、委託先だけでなく、自身の責任も大きいです。
委託先のコントロール責任が問われることになります。

よって、委託先を選定する段階で、セキュリティ面についての評価をすると同時に、実行すべきレベルを指示するなどの対策を取ったうえで契約する必要があります。

委託先の実要員に対しては、自社要員への精神面での浸透より難しいため、委託先会社としてより厳しいルールを課したほうがよいでしょう。

ウェブサイトおよびクラウドサービスのセキュリティ

ウェブサイトやクラウドサービスを外部業者のサーバ利用のサービスとして利用しているケースは多いでしょう。

その場合サービス業者に対してのセキュリティが確保されていないといけません。

まず選定にあたって、セキュリティ対策が講じられている業者なのかをしっかりと確認します。

機密性・完全性について、データセンターの運用が守られ、管理者が特定されアクセスが守られていることを確認します。

また、可用性に関する対策についても確認します。万が一の際のデータのバックアップの復旧対策がなされ、サービスの維持ができることを確認します。

これらの対策については、業者であれば当然対応しているように見せていますので、事例などを踏まえて信頼性の高い業者を選ぶことが肝要です。

それに加え、ISMS認証を取得しているなど、第三者評価がなされていることも重要な評価観点となります。

セキュリティマネジメント実行上のありがちな問題

セキュリティマネジメントは重要性は理解できることではあるのですが、実際に実行するにあたっては理想と現実のギャップが存在します。

当たり前のことが当たり前すぎて無視されている

守るべき情報とその対策について、考え方を通知したり、ルールを策定したりして、実行を促しますが、人の行為に頼っている部分が多いのも事実です。

IDの不正利用を防ぐために、いなくなった人のIDを使えなくするというルールが決まっていたとします。

このようなことはある意味当たり前なのですが、組織によっては出入りが多くて、日常的にアクセス付与・廃棄を行っているかもしれません。

きちんと廃棄すべきものがされていればいいですが、常にやっていると作業意識になっていることでセキュリティ意識が下がっていることがあります。

当たり前に行っていることなのですが、またやるので後でまとめてやってしまおうという意識も生まれてしまいます。その間に不正利用が発生するかもしれませんが、そんなことはあるわけがないという意識になっているかもしれません。

セキュリティ運営担当がいない

セキュリティマネジメントをきっちり実行していく上では、運営推進する立場の人が必要です。

経営者自身が推進すべきということもありますが、実務上は運営局のような立場は通常は必要となります。

しかし、セキュリティは分かり易く当たり前のことも多いのですが、技術的かつ専門的で実際にわかる人がいないということもあります。

結果的に少しでもわかりそうなITスタッフが推進役になることがありスタッフ、工数が増えてしまうということはよくあるでしょう。

IT運用のセキュリティと会社運営のセキュリティの境目がよくわからない

セキュリティマネジメントという言葉だけ捉えると、かなり広範囲に捉えられます。

扱っているものは情報資産全般ということになりますので、場合によっては書類や発する言葉のようなアナログなものも対象となり得ます。

事務所の鍵やPCの施錠管理なども対象になることもあるでしょう。

あらゆる行動がセキュリティに関係しており、間接的かもしれませんがITに関連するということになってきます。

そこで、ほとんどがITに関連するということで、ITスタッフがセキュリティ全般を見ているかのように思えますが、やはり基本的な行動に関する部分は会社運営としてのセキュリティマネジメントと考えるべきでしょう。

しかしながら境目があいまいになってしまい、結果誰も考慮していないことが発生していないことが起きるのが現実です。

最新情報を得られていない

セキュリティマネジメントを運営、維持していく上では、セキュリティに関連する情報をアップデートしていかないと、運営が古く意味がなくなっている可能性があります。

ネットワークセキュリティを施したため、監視しなくてもいいものに関しても、以前からのルールであったためそのまま続けているようなことも起きます。

あるいは、脅威が進化していることもあるため、対策を以前検討し実行してきたことが、すでに役に立たなくなっているといったことも起きます。

実行状況を一定期間にて監視するとともに、有効性を評価するうえでは、最新情報も捉えたうえで、評価し直すということが実効性を保つうえで必須ということになります。

しかし、実際は最新情報得続けるのは困難な場合が多いです。

そもそも実行推進担当が不明確になっていることもあり、誰が最新情報を得るのか、という問題があります。

さらに、最新情報を得たとしても、自身の環境に適合するものなのかを見極める専門能力も必要ということになります。

よって、理想的な運用は現実的には難しい面がある、もしくはかなりコストが掛かってしまうことになりかねません。

効率さとのトレードオフが大きすぎる

機密情報を使うITに対する作業を実施する場合、情報の取り扱いについて細心の注意を図りながら実施することになります。もちろんそのためのルールも定められることが多いでしょう。

セキュリティ確保のためにデータを書き換えてテストして、結果を本番に戻すというような、手順も相当量増えることになります。

データの完全性に関わる検証工数もそれ相応に大きいことになります。

当然やるべきことではありますが、効率的に実行すればすぐに終わる作業も、数倍の工数が掛かってくることになります。

コストと情報資産価値・リスク度合いとの兼ね合いになってくることではあるのですが、情報が重要であれば工数を掛けざるを得ません。それにしても、工数が大きすぎになってしまうことは現実的には発生します。

信頼性の高い委託先ベンダーでも問題を起こす

ITの業務を委託する場合、ベンダーを選定して発注することになるでしょう。

その際に、業務遂行能力に加えて、セキュリティに関わる対応についても評価基準になります。むしろセキュリティは当たり前のものとして、対応を要求するものです。

大手企業などでは当たり前にセキュリティへの配慮はできるものと考えます。通常は信頼性が高いと思います。

しかし、時としてセキュリティ問題を引き起こす可能性があります。

その多くは、スポットで参画したメンバによる問題です。

やはり、セキュリティに関する精神面での教育や運用面での教育は、通常のマネジメント範囲であれば浸透しているかもしれませんが、通常息を超えると難しい面が出てきます。

それでも普通は一般的なセキュリティ考慮はできています。しかし人によるところはあるため、悪意を持って搾取することは言語道断ですが、配慮不足により情報を漏らしてしまうようなことは、起きる可能性はあります。

セキュリティマネジメントで本当にやるべきこと

セキュリティに対する脅威は増加していますし、手口が巧妙の悪意のある仕掛けも存在します。

脅威と言えばほとんどが脅威となりますし、脆弱性と言えばすべてが脆弱とも言えなくもありません。

ITが仮に完全なシステムになっていたとしても、人の行動によるセキュリティ問題は常に発生します。

対策については、考えればきりがない世界なのかもしれませんが、重要なのは効果の高い対策を行うということです。

適正に資産価値を評価するところから始め、効果の高い対策を継続して対応していきましょう。

コメント

タイトルとURLをコピーしました