「ISMS規格をわかりやすく解読する」シリーズの18回目は、「A.12運用のセキュリティ」の後半部分について見ていきたいと思います。
※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。
A.12.4ログ取得及び監視
よくニュースなどでも取り上げられる会社の情報流出は、社内の人間による犯行が多いです。その抑止力にもなり、万が一情報が流出してしまった時にも原因追求のために役立つのが「ログの取得」です。社内の人間がファイル操作したり、PCにUSBメモリを接続したりする動作を逐一記録することができます。この節では、そのようなログを「取得」し、取得することで、ログによる管理対象をしっかりと「監視」しましょう、ということを述べています。
もちろんログを取るだけでも情報セキュリティ対策として大きな効果を発揮しますが、それ以外にも、ログに関して何点かすべきことがあります。
まずは、取得したログデータの厳格な管理です。せっかく取得したログが改ざんされてしまったら意味がありませんし、流出してしまうと大変なことになります。よって、ログデータは、アクセス制御の効いた、堅牢な管理ができる場所に保管するのがよいでしょう。
また、細かいですが、クロックの同期をしましょうということも書かれています。これは、ログの正確性を高めるためです。NTPなどを利用して、きちんと同期するのが良いでしょう。
A.12.5運用ソフトウェアの管理
この節は、自社が作るサービスではなく、他社のサービスやソフトウェアを利用するときに必要な事柄が書かれています。ざっくりいってしまうと、「無茶な使い方はしないようにしましょうね」ということです。具体的には、ソフトウェア開発会社が要求しているスペックを持つマシンのもとで運用することや、セキュリティアップデートを必ず適用することなどが求められます。
A.12.6技術的ぜい弱性管理
ソフトウェアにはぜい弱性が潜んでいるリスクが有ります。ソフトウェアを利用する際には、そのリスクを覚悟したうえで利用しなければなりません。しかし、いくつかの取り組みを行うことで、そのリスクを低減することは可能です。そのための具体的な管理策がこの節に書いてあります。
1つ目の管理策は、セキュリティアップデートの情報を定期的に確認し、必要があればアップデートしましょうということです。利用するソフトウェアによっては、自動更新設定ができないものも存在しています。そのようなソフトウェアを利用するときは、定期的に開発元のWebページなどを確認して、セキュリティアップデートやセキュリティパッチが配布されているかどうかを確認すべきです。また、PCで利用するソフトウェアだけではなく、ルータやサーバのファームウェアなども定期的に確認すると良いでしょう。
2つ目の管理策は、「危ないソフトウェアは利用しない」ことを社内で徹底することです。ホワイトリスト方式で、「ここにあるソフトウェア以外はインストール禁止」というルールを作るのもよいですし、ブラックリスト方式で「ここにあるソフトウェアはインストール禁止」というルールを作るのも良いと思います。ルールを徹底し、社内の機器に、危険なソフトウェアを入れないようにしましょう。
A.12.7情報システムの監査に対する管理策
ここでは、システム監査を行う際には、システムへの影響を最小限に抑えましょうということが書かれています。ISMS構築のために、定期的な監査は必要ですが、その監査によって、運用しているシステムに影響が出てしまっては、元も子もありません。影響を最小限にするために、監査の方法を工夫したり、監査の時間を考えたりすることが必要です。