システム監査試験対策その3
前々回と前回からさらに続きます。
今回は情報セキュリティ監査基準と情報セキュリティ管理基準です。情報セキュリティ監査基準はペラペラの5ページです。ほとんど内容が書かれていない感じです。それに対して情報セキュリティ管理基準は84ページと少しボリュームがあります。
ひとまず中身を見てみて自分なりの注釈を加えました。まぁ原文に当たられることをお勧めします。
■情報セキュリティ監査基準
I.一般基準
1.目的、権限と責任
根拠となる文書(規程など)が必要
2.独立性、客観性と職業倫理
2.1.外観上の独立性
被監査主体から独立していないといけない。
2.2.精神上の独立性
偏向を排し公正かつ客観的に判断する
2.3.職業倫理と誠実性
3.専門能力
教育と実務経験を通じて技能を保持する必要あり
4.業務上の義務
4.1.注意義務
4.2.守秘義務
5.品質管理
II.実施基準
1.監査計画の立案
手続き内容、時期及び範囲などについて立案する。計画は弾力的に
運用できるようにする必要がある。
2.監査の実施
2.1.監査証拠の入手と評価
2.2.監査証拠の作成と保存
3.監査業務の体制
体制整備、監査計画立案、監査報告書提出、改善指導までの全体管理が必須
4.他の専門職の利用
支援を仰いでもいいが、結果の判断の責任は監査人に帰する。
III.報告基準
1.監査報告書の提出と開示
2.監査報告の根拠
監査証拠に裏付けられていないといけない
3.監査報告の記載事項
監査対象、監査の概要、保証意見又は助言意見、制約又は除外事項その他特記事項
4.監査報告についての責任
監査人がその責を負う
5.監査報告に基づく改善指導
適切な指導を行う必要がある。
■情報セキュリティ管理基準
JISQ27001:2014(ISO/IEC 27001:2013),JISQ27002:2014(ISO/IEC27002:2013)と整合を取った形で構成されている。また、情報セキュリティ監査基準に沿って監査する場合の判断尺度として用いられるとともにISMS適合性評価制度で用いられる評価尺度にも整合する様に配慮されている。
IV.マネジメント基準
マネジメント基準については全て実施することが必須となっている。
4.4.情報セキュリティマネジメントの確立
4.4.1.組織の役割、責任及び権限
・トップマネジメント(経営陣)が関与して組織を整備する。
・トップマネジメント(経営)が関与したことを文書化する。
4.4.2.組織及びその状況の理解
・組織の目的に関連する外部と内部の課題を整理し明文化する。
4.4.3.利害関係者のニーズ及び期待の理解
・利害関係者と要求事項を確定させる。
・利害関係者と自社の関係性を明文化する。
4.4.4.適用範囲の決定
・情報セキュリティマネジメントの目的、目標を定める。
・外部状況と内部状況を加味してどの箇所が適用範囲となるか明文化する。
4.4.5.方針の確立
・トップマネジメントが情報セキュリティ方針を確立する。
・情報セキュリティの目的とその達成のための計画を策定する。
・情報セキュリティ方針にトップマネジメントが署名する等で責任を明文化する。
4.4.6.リスク及び機会に対処する活動
・リスクや機会に対応するための計画が作成されていることを明文化する。
4.4.7.情報セキュリティリスクアセスメント
・情報セキュリティリスクアセスメントのための手順を明文化する。
・機密、完全、可用性の喪失に伴うリスクを明文化し一覧表として作成する。
・セキュリティリスクは発生時の被害想定を明文化する。
・リスクは優先順位付けを行い、その評価結果については文書化して保管する。
4.4.8.情報セキュリティリスク対応
・リスクアセスメントの結果を踏まえてリスク対応策を文書化し一覧化する。
・リスク対応に必要となるすべての管理策を決定し文書化する。
・管理策基準を参照し見落としがないことを確認する。
・情報セキュリティリスク対応計画を策定し文書化し、トップマネジメントの承認を得る。
4.5.情報セキュリティマネジメントの運用
4.5.1.資源管理
・管理目的達成のために必要なリソースを確保する。
4.5.2.力量、認識
・重要性を全社に周知し必要となる規程、文書を整備する。
・業務分掌を明文化し随時、見直しを行う。
・業務に必要となる能力を十分に備える(教育・訓練、外部委託など)
・教育、訓練についてはテストやチェックリストなどで定期チェックを行う。
・教育、訓練などに関連する資料は全て文書化する。
・情報セキュリティ方針の周知について教育などを通じて徹底する。
・それぞれの役割、権限、手順は全て文書化する。
4.5.3.コミュニュケーション
・コミュニュケーションの手順、コミュニュケーション先を明文化する。
4.5.4.情報セキュリティマネジメントの運用の計画及び管理
・必要なプロセスを計画・実施し、管理する。これらは文書で管理されている必要がある。
4.5.5.情報セキュリティリスクアセスメントの実施
・定期的に情報セキュリティリスクアセスメントが行われ結果が文書化されている。
・情報セキュリティリスク対応には必要なリソースを投入しリスク対応を行う。
4.6.情報セキュリティマネジメントの監視及びレビュー
4.6.1.有効性の継続的改善
・継続的改善を続ける必要があるため定期見直しを行う。
・定期見直しに際しては新たな脅威についても加味する。
4.6.2.パフォーマンス評価
・監視および測定対象とその方法を決定し、文書化して保管する。
・定期的に内部監査を実施し結果を文書化して保管する。
・監査計画および監査プログラムを準備し文書化する。
・監査員は独立性を確保できるようにする。
・監査結果は文書化され管理者に報告されるように担保される。
・監査証拠は必ず文書として保管する。
4.6.3マネジメントレビュー
・マネジメントレビューは定期実行する。
・マネジメントレビューの内容については数値基準を明確化する。
・マネジメントレビューには改善策を実施するための材料も明記する。
・マネジメントレビューは必ず文書化してやり取りが必要となる。
4.7.情報セキュリティマネジメントの維持及び改善
4.7.1.是正処置
・不適合が発生した際の是正処置のための手順が文書化されている。
・不適合発生時は再発防止策を検討し対策について文書化し管理する。
4.8.文書化した情報の管理
4.8.1.文書化の指針
・情報セキュリティマネジメントが必要とする情報を文書化する。
4.8.2.文書の作成・変更および管理
・文書化した情報は管理、保管、更新され、その履歴を記録する。
・文書化した情報については版管理を行い、ライフサイクル管理を行う。
V.管理策基準
管理策基準については組織や環境に応じて必要とする事項を選択して実装する。
5.情報セキュリティのための方針群
5.1.情報セキュリティのための経営陣の方向性
・作成する方針群の文書に含めるべき項目を規定している。
・作成する方針群の文書については定期的にレビューを行う。
6.情報セキュリティのための組織
6.1.内部組織
・責任範囲を定める。
・不正使用防止のために相反する権限と責任範囲については職務を分離する。
・関係当局や関連団体への連絡体制を整備する。
・プロジェクトマネジメントに情報セキュリティマネジメントを組み入れる。
6.2.モバイル機器及びテレワーキング
・モバイル機器についての情報セキュリティ方針を定め文書化する。
・テレワーキングに関する方針やルールを定め文書化する。
・テレワーキングに必要な物理的安全対策を取る
(VPN、仮想デスクトップ、トークンなど)
7.人的資源のセキュリティ
7.1.雇用前
・許容される範囲で応募者の身元確認を行って素行等に問題ないか確認する。
・法令に沿って採用活動を行う。
・雇用契約書に必要となる機密管理、情報セキュリティ管理に関する条項を設ける。
7.2.雇用期間中
・情報セキュリティに関するルールや対応の遵守を継続的に実施させる。
・雇用中は継続的に情報セキュリティに関するルール、対応に関しての教育を実施する。
・情報セキュリティ違反を犯した従業員への懲戒手続きを整備する。
(抑止力として使用する。)
7.3.雇用の終了及び変更
・退職後の情報漏えいを防止する契約を準備し締結する。
8.資産の管理
8.1.試算に関する責任
・情報に関連する資産を洗い出して一覧化して文書化する。
・情報資産については適切に分類、保護する仕組みを設ける。
・情報資産の利用範囲や利用権限については物理的な措置を行うとともにルールは文書化する。
・従業員には退職、契約終了時に企業や組織から貸したものすべてを返却させる。
・情報資産の利用に対して利用者に遵守を促すように明示的に示されている。
8.2.情報分類
・情報についてはその内容に応じて分類し、その分類内容は文書化する。
・情報へのラベル付けに関するルールを定めて文書化する。
・資産の取り扱いに関する手順を定め、実施し文書化して管理する。
8.3.媒体の取り扱い
・取り外し可能な媒体(持ち出し可能な媒体)に関するルールや取扱い手順を定め文書化する。
・媒体に関してはバックアップを取得する等の安全措置を講じる。
・取り外し可能な媒体へのデータ転送は監視し、監視記録は改ざんできない様にする。
・媒体が不要となった場合は読み出し不可として情報漏えいしないようにする。
・媒体廃棄については記録し、文書化してデータが完全に削除できたことを証明する証跡を残す。
・媒体は輸送時に不正使用や破壊から防護するために必要となる措置を取る。
・媒体の受取記録についてはログを取得したり文書化する等で記録を保持する。
9.アクセス制御
9.1.アクセス制御に対する業務上の要求事項
・アクセス制御方針についてルールを定め文書化する。
・ネットワークについては業務で必要となもののみアクセスできるように制限を設け従業員に使用させる。
・運用管理については手順を定め文書化する。
9.2.利用者アクセスの管理
・利用者IDは1名に1つ、重複しない形で割当する。
・共用IDをやむを得ず使用せざるを得ない場合は、その利用者を特定可能な様に記録する。
・利用者IDの発行、無効に必要となる手続きおよびルールを定めて文書化する。
・アクセス権限については定期的な見直しを実施する。
・特権管理者の割当は範囲を限定し、誰が利用したかを追跡できるようにする。
・特権管理者の権限付与、管理、権限はく奪の手続きを定め文書化する。
・パスワードは利用者本人のみに伝えて、初回使用時にこれを変更させる。
・パスワードはメールではなく、暗号化された形で利用者本人に渡すようにする。
・利用者はパスワードを受領した旨を管理者に伝える。
・利用者のアクセス権限については定期的に見直しし、記録を取得する。
・特権管理者については変更を含めて全てのログを取得する。
・情報処理施設などへのアクセスについては雇用終了、契約終了時に削除する。
・退職者などが暗証番号やパスワードを知っている場合はこれを変更する。
9.3.利用者の責任
・パスワードは組織が定めるルールに従わなければならない。
・パスワードはメモなどしてはいけない。
・パスワードは十分な文字数で複雑性を満たしていなければならない。
・パスワードは使いまわしをしてはいけない。
9.4.システム及びアプリケーションのアクセス制御
・アプリケーションは表示メニューの制限、参照可能なデータ制限等が行えるようにする。
・ログオンに関してはセキュリティに配慮した方法を採用する。
・強固なパスワードを促す仕組みを備え、初回は必ずユーザがパスワードを設定するようにする。
・アクセス制御を無効にする様なユーティリティは使用禁止とする。
・プログラムソースコードは運用システム上には保持しない
・ソースコード、仕様書は厳重に管理しアクセス制御を行うとともにアクセス履歴を取る。
・プログラムソースコードの修正手順、変更手順について規定し文書化する。
10.暗号
10.1.暗号による管理策
・暗号化方針を定めて文書化する。
・暗号化管理ルールを定めて文書化する。
・暗号化方式については定期的に見直しを行い危殆化した際は新方式を採用する。
11.物理的および環境的セキュリティ
11.1.セキュリティを保つべき領域
・慎重な取り扱いが必要な情報については物理的な区画を設けて他と区別する。
・施錠設備、防消火設備、警報装置を整える。
・区画のセキュリティ措置については国内標準、国際標準が要求するレベルに準拠する。
・区別した区画については許可されたものだけが入室できるように措置を講じる。
・入退室時刻を記録し保管する。
・セキュリティ区画への入室許可権限については定期的に見直しを実施する。
・入退室にかかる規程類と運用マニュアルを整備する。
・オフィス内の区画で秘密情報などを扱う際はその区画に関して必要な措置を講じる。
・自然災害や物理攻撃からの保護を考えて施設を選定、整備する。
・セキュリティを保つべき領域での作業手順を整備し、必要となる設備を設置する。
・荷物の受け渡し場所などはセキュリティを保つべき領域からは分離する。
11.2.装置
・装置は物理的に安全な施設に設置し物理的な安全性を担保する。
・装置は停電や、ソフト不具合、その他の故障から防護する。
・通信用ケーブルや電源ケーブルの配線についても損傷からの保護策を講じる。
・装置については保守に必要な対策を取る。
・装置は事前許可なしで構外に持ち出さない。
・記憶媒体内蔵の装置については記憶装置内の機密情報の抹消について確認してから再利用等を行う。
・無人状態にある装置についての安全性を担保する。
・クリアデスク、クリアスクリーンを徹底する。
12.運用のセキュリティ
12.1.運用の手順及び責任
・操作手順は文書化し、必要とするすべての利用者が利用できるように
する。
・情報セキュリティ関連事項に関しての変更は全て記録し管理する。
・資源の利用状況を監視、調整し将来必要となる容量、能力を予測して必要な対応を行う。
・開発環境、試験環境と運用環境は分離する。
・本番環境のデータはマスクを行った上で開発環境、試験環境にコピーする。
12.2.マルウェアからの保護
・マルウェア対策ソフト等を導入しマルウェアからの保護措置を講じる。
・許可されていないソフトウェアについては使用を禁止する。
・未許可ソフト使用抑止のための技術的措置を講じる。
・プロキシサーバなどを用いて許可サイト以外の利用制限を行う。
・マルウェア感染時の対策について手順をまとめ文書化する。
12.3.バックアップ
・バックアップ方針を定め、それぞれ必要となる要求事項を文書化、ルール化する。
・バックアップ設計を行い、安全な施設にデータを保管する。
・データ復旧手順を文書化して共有化する。
・バックアップ媒体からデータ復旧が可能か定期的に試験を行う。
・必要に応じてバックアップデータは暗号化する。
12.4.ログ取得及び監視
・ログには利用者ID、システム動作、日時、内容、処理の成否が出力されている。
・ログは改ざんされない様な措置を講じる。
・特権管理者、運用管理者のログについては定期的に確認する。
・ログの追跡性を確保するために、組織内の情報システムはNTP等で時刻を統一して管理する。
12.5.運用ソフトウェアの管理
・ソフトウェア導入管理のための手順を整備し文書化する。
・運用システムには実行可能なコードのみを反映する。
・アプリケーションの試験については運用システムとは別環境で実行する。
・導入ソフト管理のために構成管理システムを利用して管理する。
・運用プログラムの更新については全て監査ログを取得する。
・外部から供給されるソフトについては監視、管理する。
12.6.技術的ぜい弱性管理
・技術的脆弱性情報収集、対処手順について規程を定め運用を文書化する。
・脆弱性対策のためのパッチ適用ルールやその手順について文書化する。
・利用者によるソフトウェアのインストール制限をルール化文書化する。
12.7.情報システムの監査に対する考慮事項
・監査時は業務影響を最小限にするために計画し、事前周知する。
・監査に必要なファイルを準備し監査人に提供する。
13.通信のセキュリティ
13.1.ネットワークセキュリティ管理
・システム、アプリケーション保護のためにネットワーク制御を行う。
・ネットワークは認証と接続制限を設ける必要がある。
・ネットワークは監視してログを取得しておく必要がある。
・ネットワークはサービス要件を定めこれを文書化する。
・ネットワークサービス提供業者とはSLAを結んでおくこと。
・ネットワークはVLANなどで分割し制御する。
・ネットワークの境界にはゲートウェイを設けて制御する。
・無線アクセスと内部のネットワーク接続とは分離する。
13.2.情報の伝送
・運用方針や運用手順、ガイドラインなどを定めこれを文書化する。
・外部とやり取りする際は情報のやり取りについて規定し合意内容を文書化する。
・メールなどででーたをやり取りする場合は必ず暗号化する。
・秘密保持契約や守秘義務契約の情報保護関連条項については必ず文書化する。
・秘密保持契約や守秘義務契約の情報保護関連条項については定期的に見直しを行う。
14.システムの取得、開発及び保守
14.1.情報システムのセキュリティ要求事項
・情報セキュリティに関する要求事項を定め文書化する。
・Web経由の情報利用に関しての運用ルールを定め文書化する。
・トランザクションデータが不完全とならない様に保護策を講じる。
14.2.開発及びサポートプロセスにおけるセキュリティ
・セキュリティを含めた開発規則を定めこれを文書化する。
・開発規則遵守に必要となる環境を準備し教育を継続する。
・変更管理手順を定め、これを文書化する。
・バージョンアップなどの際は必ずテストを実施する。
・パッケージは変更せずにそのまま使用する。どうしても必要な場合は最小限の変更に留める。
・パッケージの変更履歴は管理し文書化する。
・パッケージを変更した場合は独立した評価機関の試験を受けて評価を文書化する。
・情報システム構築の基本方針を確定し文書化する。
・開発環境を整備し、文書化が必要なものは文書化する。
・外部委託の際の運用ルール、開発標準を定め文書化する。
・外部委託先との契約時は納品物、証跡について規定し文書化する。
・セキュリティの試験は開発期間内に完了させる。
・受入試験は開発チームから独立した組織で実施する。
・受入試験については運用環境に近い試験環境で実施する。
14.3.試験データ
・本番データを試験用に利用しない。
・本番データをやむをえずに試験用に利用する場合はマスク等を行う。
15.供給者関係
15.1.供給者関係における情報セキュリティ
・サービス提供業者との間でのセキュリティ管理策について合意し文書化する。
・サービス提供業者とはSLAなどを締結しサービスレベルの合意内容を文書化する。
・サービス提供業者とは情報セキュリティ関連に関する契約を締結する。
15.2.供給者のサービス提供の管理
・サービス提供業者のサービスレベルを管理し定期的に報告を実施させる。
・サービス提供業者のサービスレベルが変更となる場合、変更管理を徹底する。
16.情報セキュリティインシデント管理
16.1.情報セキュリティインシデントの管理及びその改善
・情報セキュリティインシデント管理に関する運用ルールを作成し文書化する。
・情報セキュリティインシデント管理については経営陣の承認を得る。
・情報セキュリティ事象が発生した場合には速やかに報告する。
・情報セキュリティのぜい弱性を発見した際には即座に報告する様に徹底する。
・情報セキュリティ事象の評価、分類方法をルール化し文書化する。
・情報セキュリティ事象の評価、分類については記録し文書化する。
・情報セキュリティインシデントは定量化して記録、監視しその結果を保管する。
・懲戒処分や法的処置をとる際に証拠となる情報について管理方法、ルールを規定し文書化する。
17.事業継続マネジメントにおける情報セキュリティの側面
17.1.情報セキュリティ継続
・事業継続計画を規定し文書化する。
・事業継続計画に沿った手順を整備し文書化する。
・事業継続計画については定期訓練を行い有効性を確認し記録を文書化する。
17.2.冗長性
・情報処理施設は災害時でも継続稼働できるように冗長性を確保する。
18.順守
18.1.法的及び契約上の要求事項の順守
・法令、規制、その他コンプライアンス順守のための組織方針を定め文書化する。
・ソフトウェア製品の利用に関して、適正利用を行うための手順・管理策を文書化する。
・ログ類に関しては消失、破壊、改ざん、不正アクセスから保護できるようにする。
・個人情報については法令、規制の適用範囲のものについては処置できていることを証明可能とする。
・暗号化機能は法令、規制を順守して使用する。
18.2.情報セキュリティのレビュー
・情報セキュリティに関連する組織全体の取組は定期的に見直しを実施する。
・手順、規程類、その他活動について法令、規制や外部環境に即して見直しを行う。
・情報システムに関して問題が生じていないか情報セキュリティについて定期確認を行う。
まあ、読んでて非常に気分が重くなりましたし、これ全部やっても漏れるときゃ漏れるわけだし、そうなったときの対応についての言及が甘いなぁと思ったり。技術的対策と人の対策がごっちゃになってたりと紙しか改ざん防止できるのないじゃんとか逃げ道になってる適菜基準でした。こいつをベースにしている限り、結局は人に頼る運用になって誰も幸福になれないなぁと感じました。
例えば
ぜい弱性監視→パッチ適用はこういうツールを使ってシステムで回したり。監査ログの監査はこんなの使って機械学習でパターン検知させたりID発行とかはこういうの使って1ヶ所に集約する様に徹底したり、サーバはクラウドにしてしまえば物理対策は事務室内に限定できるわけだから指紋認証入室装置とか入退室管理装置のログを集約するとかすればその辺管理できるんじゃないのかと思う。だいたい証跡ためたりとか規程作ったりしてもはっきり言って情報漏えいの抑止効果にすらならないんで、批判あるかもだけど、こういう意味ないことを人力でさせるの考えた方がいいよ。セキュリティ系のISO含めてほんとそういうの多くて嫌になる。
そもそもは日本の企業ってなんかあれば人の運用で回せるからそれで的なことしてきてるしそこの積み上がるコスト見ずにセキュリティのコスト評価するからおかしなことになる。こういうおかしなことしてて一体どれくらいのコストが失われているかを考えると、ツールを入れてもっと簡素にという流れにつながるんじゃないかと思うんだけどなぁ。当然ツールに関しては各ベンダーで互換性があって乗替できる様に標準仕様を定めてやってほしいけどな。独自のツールはいらない。
今回は情報セキュリティ監査基準と情報セキュリティ管理基準です。情報セキュリティ監査基準はペラペラの5ページです。ほとんど内容が書かれていない感じです。それに対して情報セキュリティ管理基準は84ページと少しボリュームがあります。
ひとまず中身を見てみて自分なりの注釈を加えました。まぁ原文に当たられることをお勧めします。
■情報セキュリティ監査基準
I.一般基準
1.目的、権限と責任
根拠となる文書(規程など)が必要
2.独立性、客観性と職業倫理
2.1.外観上の独立性
被監査主体から独立していないといけない。
2.2.精神上の独立性
偏向を排し公正かつ客観的に判断する
2.3.職業倫理と誠実性
3.専門能力
教育と実務経験を通じて技能を保持する必要あり
4.業務上の義務
4.1.注意義務
4.2.守秘義務
5.品質管理
II.実施基準
1.監査計画の立案
手続き内容、時期及び範囲などについて立案する。計画は弾力的に
運用できるようにする必要がある。
2.監査の実施
2.1.監査証拠の入手と評価
2.2.監査証拠の作成と保存
3.監査業務の体制
体制整備、監査計画立案、監査報告書提出、改善指導までの全体管理が必須
4.他の専門職の利用
支援を仰いでもいいが、結果の判断の責任は監査人に帰する。
III.報告基準
1.監査報告書の提出と開示
2.監査報告の根拠
監査証拠に裏付けられていないといけない
3.監査報告の記載事項
監査対象、監査の概要、保証意見又は助言意見、制約又は除外事項その他特記事項
4.監査報告についての責任
監査人がその責を負う
5.監査報告に基づく改善指導
適切な指導を行う必要がある。
■情報セキュリティ管理基準
JISQ27001:2014(ISO/IEC 27001:2013),JISQ27002:2014(ISO/IEC27002:2013)と整合を取った形で構成されている。また、情報セキュリティ監査基準に沿って監査する場合の判断尺度として用いられるとともにISMS適合性評価制度で用いられる評価尺度にも整合する様に配慮されている。
IV.マネジメント基準
マネジメント基準については全て実施することが必須となっている。
4.4.情報セキュリティマネジメントの確立
4.4.1.組織の役割、責任及び権限
・トップマネジメント(経営陣)が関与して組織を整備する。
・トップマネジメント(経営)が関与したことを文書化する。
4.4.2.組織及びその状況の理解
・組織の目的に関連する外部と内部の課題を整理し明文化する。
4.4.3.利害関係者のニーズ及び期待の理解
・利害関係者と要求事項を確定させる。
・利害関係者と自社の関係性を明文化する。
4.4.4.適用範囲の決定
・情報セキュリティマネジメントの目的、目標を定める。
・外部状況と内部状況を加味してどの箇所が適用範囲となるか明文化する。
4.4.5.方針の確立
・トップマネジメントが情報セキュリティ方針を確立する。
・情報セキュリティの目的とその達成のための計画を策定する。
・情報セキュリティ方針にトップマネジメントが署名する等で責任を明文化する。
4.4.6.リスク及び機会に対処する活動
・リスクや機会に対応するための計画が作成されていることを明文化する。
4.4.7.情報セキュリティリスクアセスメント
・情報セキュリティリスクアセスメントのための手順を明文化する。
・機密、完全、可用性の喪失に伴うリスクを明文化し一覧表として作成する。
・セキュリティリスクは発生時の被害想定を明文化する。
・リスクは優先順位付けを行い、その評価結果については文書化して保管する。
4.4.8.情報セキュリティリスク対応
・リスクアセスメントの結果を踏まえてリスク対応策を文書化し一覧化する。
・リスク対応に必要となるすべての管理策を決定し文書化する。
・管理策基準を参照し見落としがないことを確認する。
・情報セキュリティリスク対応計画を策定し文書化し、トップマネジメントの承認を得る。
4.5.情報セキュリティマネジメントの運用
4.5.1.資源管理
・管理目的達成のために必要なリソースを確保する。
4.5.2.力量、認識
・重要性を全社に周知し必要となる規程、文書を整備する。
・業務分掌を明文化し随時、見直しを行う。
・業務に必要となる能力を十分に備える(教育・訓練、外部委託など)
・教育、訓練についてはテストやチェックリストなどで定期チェックを行う。
・教育、訓練などに関連する資料は全て文書化する。
・情報セキュリティ方針の周知について教育などを通じて徹底する。
・それぞれの役割、権限、手順は全て文書化する。
4.5.3.コミュニュケーション
・コミュニュケーションの手順、コミュニュケーション先を明文化する。
4.5.4.情報セキュリティマネジメントの運用の計画及び管理
・必要なプロセスを計画・実施し、管理する。これらは文書で管理されている必要がある。
4.5.5.情報セキュリティリスクアセスメントの実施
・定期的に情報セキュリティリスクアセスメントが行われ結果が文書化されている。
・情報セキュリティリスク対応には必要なリソースを投入しリスク対応を行う。
4.6.情報セキュリティマネジメントの監視及びレビュー
4.6.1.有効性の継続的改善
・継続的改善を続ける必要があるため定期見直しを行う。
・定期見直しに際しては新たな脅威についても加味する。
4.6.2.パフォーマンス評価
・監視および測定対象とその方法を決定し、文書化して保管する。
・定期的に内部監査を実施し結果を文書化して保管する。
・監査計画および監査プログラムを準備し文書化する。
・監査員は独立性を確保できるようにする。
・監査結果は文書化され管理者に報告されるように担保される。
・監査証拠は必ず文書として保管する。
4.6.3マネジメントレビュー
・マネジメントレビューは定期実行する。
・マネジメントレビューの内容については数値基準を明確化する。
・マネジメントレビューには改善策を実施するための材料も明記する。
・マネジメントレビューは必ず文書化してやり取りが必要となる。
4.7.情報セキュリティマネジメントの維持及び改善
4.7.1.是正処置
・不適合が発生した際の是正処置のための手順が文書化されている。
・不適合発生時は再発防止策を検討し対策について文書化し管理する。
4.8.文書化した情報の管理
4.8.1.文書化の指針
・情報セキュリティマネジメントが必要とする情報を文書化する。
4.8.2.文書の作成・変更および管理
・文書化した情報は管理、保管、更新され、その履歴を記録する。
・文書化した情報については版管理を行い、ライフサイクル管理を行う。
V.管理策基準
管理策基準については組織や環境に応じて必要とする事項を選択して実装する。
5.情報セキュリティのための方針群
5.1.情報セキュリティのための経営陣の方向性
・作成する方針群の文書に含めるべき項目を規定している。
・作成する方針群の文書については定期的にレビューを行う。
6.情報セキュリティのための組織
6.1.内部組織
・責任範囲を定める。
・不正使用防止のために相反する権限と責任範囲については職務を分離する。
・関係当局や関連団体への連絡体制を整備する。
・プロジェクトマネジメントに情報セキュリティマネジメントを組み入れる。
6.2.モバイル機器及びテレワーキング
・モバイル機器についての情報セキュリティ方針を定め文書化する。
・テレワーキングに関する方針やルールを定め文書化する。
・テレワーキングに必要な物理的安全対策を取る
(VPN、仮想デスクトップ、トークンなど)
7.人的資源のセキュリティ
7.1.雇用前
・許容される範囲で応募者の身元確認を行って素行等に問題ないか確認する。
・法令に沿って採用活動を行う。
・雇用契約書に必要となる機密管理、情報セキュリティ管理に関する条項を設ける。
7.2.雇用期間中
・情報セキュリティに関するルールや対応の遵守を継続的に実施させる。
・雇用中は継続的に情報セキュリティに関するルール、対応に関しての教育を実施する。
・情報セキュリティ違反を犯した従業員への懲戒手続きを整備する。
(抑止力として使用する。)
7.3.雇用の終了及び変更
・退職後の情報漏えいを防止する契約を準備し締結する。
8.資産の管理
8.1.試算に関する責任
・情報に関連する資産を洗い出して一覧化して文書化する。
・情報資産については適切に分類、保護する仕組みを設ける。
・情報資産の利用範囲や利用権限については物理的な措置を行うとともにルールは文書化する。
・従業員には退職、契約終了時に企業や組織から貸したものすべてを返却させる。
・情報資産の利用に対して利用者に遵守を促すように明示的に示されている。
8.2.情報分類
・情報についてはその内容に応じて分類し、その分類内容は文書化する。
・情報へのラベル付けに関するルールを定めて文書化する。
・資産の取り扱いに関する手順を定め、実施し文書化して管理する。
8.3.媒体の取り扱い
・取り外し可能な媒体(持ち出し可能な媒体)に関するルールや取扱い手順を定め文書化する。
・媒体に関してはバックアップを取得する等の安全措置を講じる。
・取り外し可能な媒体へのデータ転送は監視し、監視記録は改ざんできない様にする。
・媒体が不要となった場合は読み出し不可として情報漏えいしないようにする。
・媒体廃棄については記録し、文書化してデータが完全に削除できたことを証明する証跡を残す。
・媒体は輸送時に不正使用や破壊から防護するために必要となる措置を取る。
・媒体の受取記録についてはログを取得したり文書化する等で記録を保持する。
9.アクセス制御
9.1.アクセス制御に対する業務上の要求事項
・アクセス制御方針についてルールを定め文書化する。
・ネットワークについては業務で必要となもののみアクセスできるように制限を設け従業員に使用させる。
・運用管理については手順を定め文書化する。
9.2.利用者アクセスの管理
・利用者IDは1名に1つ、重複しない形で割当する。
・共用IDをやむを得ず使用せざるを得ない場合は、その利用者を特定可能な様に記録する。
・利用者IDの発行、無効に必要となる手続きおよびルールを定めて文書化する。
・アクセス権限については定期的な見直しを実施する。
・特権管理者の割当は範囲を限定し、誰が利用したかを追跡できるようにする。
・特権管理者の権限付与、管理、権限はく奪の手続きを定め文書化する。
・パスワードは利用者本人のみに伝えて、初回使用時にこれを変更させる。
・パスワードはメールではなく、暗号化された形で利用者本人に渡すようにする。
・利用者はパスワードを受領した旨を管理者に伝える。
・利用者のアクセス権限については定期的に見直しし、記録を取得する。
・特権管理者については変更を含めて全てのログを取得する。
・情報処理施設などへのアクセスについては雇用終了、契約終了時に削除する。
・退職者などが暗証番号やパスワードを知っている場合はこれを変更する。
9.3.利用者の責任
・パスワードは組織が定めるルールに従わなければならない。
・パスワードはメモなどしてはいけない。
・パスワードは十分な文字数で複雑性を満たしていなければならない。
・パスワードは使いまわしをしてはいけない。
9.4.システム及びアプリケーションのアクセス制御
・アプリケーションは表示メニューの制限、参照可能なデータ制限等が行えるようにする。
・ログオンに関してはセキュリティに配慮した方法を採用する。
・強固なパスワードを促す仕組みを備え、初回は必ずユーザがパスワードを設定するようにする。
・アクセス制御を無効にする様なユーティリティは使用禁止とする。
・プログラムソースコードは運用システム上には保持しない
・ソースコード、仕様書は厳重に管理しアクセス制御を行うとともにアクセス履歴を取る。
・プログラムソースコードの修正手順、変更手順について規定し文書化する。
10.暗号
10.1.暗号による管理策
・暗号化方針を定めて文書化する。
・暗号化管理ルールを定めて文書化する。
・暗号化方式については定期的に見直しを行い危殆化した際は新方式を採用する。
11.物理的および環境的セキュリティ
11.1.セキュリティを保つべき領域
・慎重な取り扱いが必要な情報については物理的な区画を設けて他と区別する。
・施錠設備、防消火設備、警報装置を整える。
・区画のセキュリティ措置については国内標準、国際標準が要求するレベルに準拠する。
・区別した区画については許可されたものだけが入室できるように措置を講じる。
・入退室時刻を記録し保管する。
・セキュリティ区画への入室許可権限については定期的に見直しを実施する。
・入退室にかかる規程類と運用マニュアルを整備する。
・オフィス内の区画で秘密情報などを扱う際はその区画に関して必要な措置を講じる。
・自然災害や物理攻撃からの保護を考えて施設を選定、整備する。
・セキュリティを保つべき領域での作業手順を整備し、必要となる設備を設置する。
・荷物の受け渡し場所などはセキュリティを保つべき領域からは分離する。
11.2.装置
・装置は物理的に安全な施設に設置し物理的な安全性を担保する。
・装置は停電や、ソフト不具合、その他の故障から防護する。
・通信用ケーブルや電源ケーブルの配線についても損傷からの保護策を講じる。
・装置については保守に必要な対策を取る。
・装置は事前許可なしで構外に持ち出さない。
・記憶媒体内蔵の装置については記憶装置内の機密情報の抹消について確認してから再利用等を行う。
・無人状態にある装置についての安全性を担保する。
・クリアデスク、クリアスクリーンを徹底する。
12.運用のセキュリティ
12.1.運用の手順及び責任
・操作手順は文書化し、必要とするすべての利用者が利用できるように
する。
・情報セキュリティ関連事項に関しての変更は全て記録し管理する。
・資源の利用状況を監視、調整し将来必要となる容量、能力を予測して必要な対応を行う。
・開発環境、試験環境と運用環境は分離する。
・本番環境のデータはマスクを行った上で開発環境、試験環境にコピーする。
12.2.マルウェアからの保護
・マルウェア対策ソフト等を導入しマルウェアからの保護措置を講じる。
・許可されていないソフトウェアについては使用を禁止する。
・未許可ソフト使用抑止のための技術的措置を講じる。
・プロキシサーバなどを用いて許可サイト以外の利用制限を行う。
・マルウェア感染時の対策について手順をまとめ文書化する。
12.3.バックアップ
・バックアップ方針を定め、それぞれ必要となる要求事項を文書化、ルール化する。
・バックアップ設計を行い、安全な施設にデータを保管する。
・データ復旧手順を文書化して共有化する。
・バックアップ媒体からデータ復旧が可能か定期的に試験を行う。
・必要に応じてバックアップデータは暗号化する。
12.4.ログ取得及び監視
・ログには利用者ID、システム動作、日時、内容、処理の成否が出力されている。
・ログは改ざんされない様な措置を講じる。
・特権管理者、運用管理者のログについては定期的に確認する。
・ログの追跡性を確保するために、組織内の情報システムはNTP等で時刻を統一して管理する。
12.5.運用ソフトウェアの管理
・ソフトウェア導入管理のための手順を整備し文書化する。
・運用システムには実行可能なコードのみを反映する。
・アプリケーションの試験については運用システムとは別環境で実行する。
・導入ソフト管理のために構成管理システムを利用して管理する。
・運用プログラムの更新については全て監査ログを取得する。
・外部から供給されるソフトについては監視、管理する。
12.6.技術的ぜい弱性管理
・技術的脆弱性情報収集、対処手順について規程を定め運用を文書化する。
・脆弱性対策のためのパッチ適用ルールやその手順について文書化する。
・利用者によるソフトウェアのインストール制限をルール化文書化する。
12.7.情報システムの監査に対する考慮事項
・監査時は業務影響を最小限にするために計画し、事前周知する。
・監査に必要なファイルを準備し監査人に提供する。
13.通信のセキュリティ
13.1.ネットワークセキュリティ管理
・システム、アプリケーション保護のためにネットワーク制御を行う。
・ネットワークは認証と接続制限を設ける必要がある。
・ネットワークは監視してログを取得しておく必要がある。
・ネットワークはサービス要件を定めこれを文書化する。
・ネットワークサービス提供業者とはSLAを結んでおくこと。
・ネットワークはVLANなどで分割し制御する。
・ネットワークの境界にはゲートウェイを設けて制御する。
・無線アクセスと内部のネットワーク接続とは分離する。
13.2.情報の伝送
・運用方針や運用手順、ガイドラインなどを定めこれを文書化する。
・外部とやり取りする際は情報のやり取りについて規定し合意内容を文書化する。
・メールなどででーたをやり取りする場合は必ず暗号化する。
・秘密保持契約や守秘義務契約の情報保護関連条項については必ず文書化する。
・秘密保持契約や守秘義務契約の情報保護関連条項については定期的に見直しを行う。
14.システムの取得、開発及び保守
14.1.情報システムのセキュリティ要求事項
・情報セキュリティに関する要求事項を定め文書化する。
・Web経由の情報利用に関しての運用ルールを定め文書化する。
・トランザクションデータが不完全とならない様に保護策を講じる。
14.2.開発及びサポートプロセスにおけるセキュリティ
・セキュリティを含めた開発規則を定めこれを文書化する。
・開発規則遵守に必要となる環境を準備し教育を継続する。
・変更管理手順を定め、これを文書化する。
・バージョンアップなどの際は必ずテストを実施する。
・パッケージは変更せずにそのまま使用する。どうしても必要な場合は最小限の変更に留める。
・パッケージの変更履歴は管理し文書化する。
・パッケージを変更した場合は独立した評価機関の試験を受けて評価を文書化する。
・情報システム構築の基本方針を確定し文書化する。
・開発環境を整備し、文書化が必要なものは文書化する。
・外部委託の際の運用ルール、開発標準を定め文書化する。
・外部委託先との契約時は納品物、証跡について規定し文書化する。
・セキュリティの試験は開発期間内に完了させる。
・受入試験は開発チームから独立した組織で実施する。
・受入試験については運用環境に近い試験環境で実施する。
14.3.試験データ
・本番データを試験用に利用しない。
・本番データをやむをえずに試験用に利用する場合はマスク等を行う。
15.供給者関係
15.1.供給者関係における情報セキュリティ
・サービス提供業者との間でのセキュリティ管理策について合意し文書化する。
・サービス提供業者とはSLAなどを締結しサービスレベルの合意内容を文書化する。
・サービス提供業者とは情報セキュリティ関連に関する契約を締結する。
15.2.供給者のサービス提供の管理
・サービス提供業者のサービスレベルを管理し定期的に報告を実施させる。
・サービス提供業者のサービスレベルが変更となる場合、変更管理を徹底する。
16.情報セキュリティインシデント管理
16.1.情報セキュリティインシデントの管理及びその改善
・情報セキュリティインシデント管理に関する運用ルールを作成し文書化する。
・情報セキュリティインシデント管理については経営陣の承認を得る。
・情報セキュリティ事象が発生した場合には速やかに報告する。
・情報セキュリティのぜい弱性を発見した際には即座に報告する様に徹底する。
・情報セキュリティ事象の評価、分類方法をルール化し文書化する。
・情報セキュリティ事象の評価、分類については記録し文書化する。
・情報セキュリティインシデントは定量化して記録、監視しその結果を保管する。
・懲戒処分や法的処置をとる際に証拠となる情報について管理方法、ルールを規定し文書化する。
17.事業継続マネジメントにおける情報セキュリティの側面
17.1.情報セキュリティ継続
・事業継続計画を規定し文書化する。
・事業継続計画に沿った手順を整備し文書化する。
・事業継続計画については定期訓練を行い有効性を確認し記録を文書化する。
17.2.冗長性
・情報処理施設は災害時でも継続稼働できるように冗長性を確保する。
18.順守
18.1.法的及び契約上の要求事項の順守
・法令、規制、その他コンプライアンス順守のための組織方針を定め文書化する。
・ソフトウェア製品の利用に関して、適正利用を行うための手順・管理策を文書化する。
・ログ類に関しては消失、破壊、改ざん、不正アクセスから保護できるようにする。
・個人情報については法令、規制の適用範囲のものについては処置できていることを証明可能とする。
・暗号化機能は法令、規制を順守して使用する。
18.2.情報セキュリティのレビュー
・情報セキュリティに関連する組織全体の取組は定期的に見直しを実施する。
・手順、規程類、その他活動について法令、規制や外部環境に即して見直しを行う。
・情報システムに関して問題が生じていないか情報セキュリティについて定期確認を行う。
まあ、読んでて非常に気分が重くなりましたし、これ全部やっても漏れるときゃ漏れるわけだし、そうなったときの対応についての言及が甘いなぁと思ったり。技術的対策と人の対策がごっちゃになってたりと紙しか改ざん防止できるのないじゃんとか逃げ道になってる適菜基準でした。こいつをベースにしている限り、結局は人に頼る運用になって誰も幸福になれないなぁと感じました。
例えば
ぜい弱性監視→パッチ適用はこういうツールを使ってシステムで回したり。監査ログの監査はこんなの使って機械学習でパターン検知させたりID発行とかはこういうの使って1ヶ所に集約する様に徹底したり、サーバはクラウドにしてしまえば物理対策は事務室内に限定できるわけだから指紋認証入室装置とか入退室管理装置のログを集約するとかすればその辺管理できるんじゃないのかと思う。だいたい証跡ためたりとか規程作ったりしてもはっきり言って情報漏えいの抑止効果にすらならないんで、批判あるかもだけど、こういう意味ないことを人力でさせるの考えた方がいいよ。セキュリティ系のISO含めてほんとそういうの多くて嫌になる。
そもそもは日本の企業ってなんかあれば人の運用で回せるからそれで的なことしてきてるしそこの積み上がるコスト見ずにセキュリティのコスト評価するからおかしなことになる。こういうおかしなことしてて一体どれくらいのコストが失われているかを考えると、ツールを入れてもっと簡素にという流れにつながるんじゃないかと思うんだけどなぁ。当然ツールに関しては各ベンダーで互換性があって乗替できる様に標準仕様を定めてやってほしいけどな。独自のツールはいらない。
コメント