Managed Service Column ＜システム運用コラム＞第９回：情報セキュリティ管理とは？―運用体制構築に向けての考え方と取り組み事例（５）

システムのクラウド移行が加速する中、「クラウドサービスを活用しているが、クラウド毎に個別に監視・運用をしているため、運用が煩雑化している。どうすればよいか？」「オンプレミスとクラウドを併用することになり、運用管理体制を見直したい」といったお声をいただくことも多くなりました。

システムは構築して終わりではなく、安定稼働するための運用が重要です。そして、システム運用の品質を担保しながら効率を上げていくためには、運用設計が必要となります。

この連載では、運用設計の考え方やの取り組みについて、事例も交えて紹介します（全12回）。

はじめに

前回は、運用体制構築するための前提である「何を、どう管理するのか」の１つ「キャパシティ管理」について、取り組み事例（当社の場合）も交えてご紹介しました。

今回は、「情報セキュリティ管理」をテーマにお話しします。

情報セキュリティ管理とは

目的

情報セキュリティ管理とは、情報漏洩やマルウェア感染といったセキュリティリスクに対して組織がどのように取り組むか方針をまとめ、組織の資産、情報、データやITサービスの機密性、完全性、可用性を管理することで、情報セキュリティを確保するプロセスです。

情報セキュリティは大きく分けて以下の4つに分類されます。

• 経営方針／組織方針／人的資源の情報セキュリティ管理
• 資産と物理的及び環境的な情報セキュリティ管理
• 運用に関する情報セキュリティ管理
• その他事業継続のための情報セキュリティ管理

行うこと

１．情報セキュリティ方針を策定する

情報セキュリティのリスクに対して組織がどのように取り組むのか方針をまとめます。情報セキュリティの全領域を網羅し、「アクセス・コントロール方針」「パスワード・コントロール方針」「ウィルス対策方針」「リモート・アクセス方針」「ITサービス、情報、コンポーネントへのサプライヤーのアクセスに関する方針」などを含めます。

２．「機密性」「完全性」「可用性」といった観点から管理項目を洗い出す

機密性

機密性とは、情報が漏れないように管理することです。　機密性要件を実現するには、決められた人だけが対象のデータにアクセスできるようにする、脆弱性に対応したセキュリティパッチを速やかに適用する、守るべき箇所に応じたセキュリティ製品を導入することで、悪意を持った人間が行う侵入・改ざん・搾取の防止とヒューマンエラーによる情報漏えいリスクを回避します。

情報セキュリティ管理における機密性とは、アクセス権限を持つ人だけにアクセスを許可し、権限がない人間が情報にアクセスできないようにすることであり、機密性を維持するために押さえるべき項目は以下になります。

• アカウント追加・変更・削除の手順や承認フローは機能しているか
• システムを構成している各種リソースへのアクセス権が、目的通り維持出来ているか
• 機器、ファームウェア、オペレーティングシステム、ミドルウェア、アプリケーションに対する脆弱性はモニタリング出来ているか、脆弱性が発見された場合の修正の適用手順や承認フローは機能しているか
• 認証ログをはじめとしたセキュリティログは収集されているか
• 重要なデータは安全に保管出来ているのか

• ログイン管理を行い、不当に設定情報等が変更されない仕組みか
• 収集されているログからは、不自然な通信（業務利用外のURLへの定期的な通信、業務時間外の通信）や、通常の認証要求とは異なる特殊な操作要求が行われたことを検知できているか
• サイトやシステムの改ざんを防御できているか

完全性

完全性とは、持っている情報を完全かつ正確で、許可されていない修正から保護されていること、最新の状態で管理することです。
「持っている情報」とは漠然とした書き方ですが、一例としては、サーバーやネットワーク機器の設定情報やアカウント情報、システムの設計書、操作マニュアル、障害対応手順書などがあります。これらの情報は、機能追加や構成変更時に更新する必要があります。

情報セキュリティ管理における完全性とは、「データが欠落していない」、「データが正確である」、「データが最新の状態である」 ことを保証することであり、完全性を維持するために押さえるべき項目は以下になります。

• システムや機能を変更する際の操作マニュアルの更新手順や検証・承認フローは機能しているか
• システム構成が変更された場合の設計書類の更新手順や検証・承認フローは機能しているか
• システムや機能が変更された際の障害対応マニュアルの更新手順や検証・承認フローは機能しているか
• 設定情報、仕様書、マニュアル類の世代管理は行われているか
• 適切なアカウント管理やアクセス制御は行われているか

可用性

可用性は、情報を使いたいときに使える状態にしておくことです。 情報を提供するシステムが攻撃に対して適切に対処し、障害から復旧できる、あるいは、障害を防ぐことができることを担保します。

情報セキュリティ管理における可用性とは、アクセス権限を持つ人はいつでも確認したい情報が操作・閲覧できる状態で維持されていることであり、可用性を維持するために押さえるべき項目は以下になります。

• システムが提供するサービス（機能）の正常性 と 異常性 が全て認識出来ているか
• サービス提供に必要な設備、ハードウェア、ソフトウェア、アプリケーション、サービスの状態をモニタリング出来ているか
• 地盤が固く地震に強い場所にDCを複数設置し、冗長化できているか
• 冗長化構成された機構のハードウェアやソフトウェアの状態をモニタリング出来ているか、冗長化されたシステム間でのデータ同期が正しく機能しているかをモニタリング出来ているか

• システムに障害が発生した際の切替動作を定期的に検証できているか
• 冗長化されたシステム間でのデータ同期に障害が発生した際のリカバリ方法を検証できているか
• 保管したデータからの復元が正しく行えることを定期的に検証できているか

情報セキュリティ管理の取り組み事例

情報セキュリティ管理についての取り組み事例（当社の場合）をご紹介します。自社で取り組む際の参考になれば幸いです。

当社は、ISMSに準拠した情報セキュリティをもとに管理しています。ここでは、運用に関する情報セキュリティ管理について説明します。

運用に関する情報セキュリティ管理（アクセス制御）

サービス提供基盤を含めた全ての情報資産へのアクセス制御方針を確立し、アクセス制御方針に従ってネットワークへのアクセス許可やサービスへのアクセス手段・認証を行う必要があります。情報資産の管理責任者は、利用者の役割変更に対応してアクセス権が変更されているかの確認や、特権アカウントの行使はログを収集しておき確認するなど定期的に利用者のアクセス権をレビューします。

利用者登録および削除について正式なプロセス（フロー）を用いて行い、IDについては一意な利用者IDを基本とし、共有IDの利用は業務上必須の場合のみしか許可しない方針です。　また、アクセスレベルが職務の分離など他の要求事項と整合していることを検証したうえで、対象システム管理者の許可を得て権限を割り当てます。

そのほかのアクセス権管理としては、アプリケーション制御を無効にできるユーティリティプログラムの実行を制限し実行ログを取得するなど、特権的なユーティリティプログラムの使用を厳しく管理することや、運用中システムとは別の環境にてプログラムソースコードを保持・管理することで、プログラムソースコートへのアクセス制御を実現します。

運用に関する情報セキュリティ管理（ネットワークセキュリティ）

ネットワーク設備の管理責任・管理手順を整備し、ネットワークを通過するデータを保護し、不正なアクセス等を特定できるよう、ログの取得や監視を行っています。

サービスを提供するうえで必要となるネットワークには、お客様がアクセスできるエリア、システム管理者がアクセスできるエリア、保守運用を行う技術者がアクセスできるエリアと、目的・組織単位や機密性のレベルに応じた物理的・論理的な手法によりネットワークの分離を行い管理しています。

運用に関する情報セキュリティ（オペレーションセキュリティ）

運用を行う上で作業手順書、非常時の連絡先、故障時の回復手順、監査証跡等を整備し、必要なすべての利用者に対して利用可能な状態としています。

開発環境、試験環境、運用環境は、物理的分離、論理的分離、ディレクトリ分離などの手法を取ることで環境分離を図るとともに、運用環境での試験は原則せず、運用環境の機密情報・個人情報をそのまま試験環境へコピーしないといった取り決めと手順が用意されています。

事業継続の要求条件により情報やソフトウェアおよびシステムの復旧を保証することが必要であるため、情報、ソフトウェアおよびシステムイメージをバックアップすること、バックアップ手順・復旧手順の整備、バックアップデータの安全性の確保や遠隔地への退避および保管環境の整備を実施しています。

作業記録を保管するとともにシステム監査への対応として、各種システムログを取得・保持し、定期的にレビューを実施しています。　ログは利用者（システム管理者や運用担当者の作業）の活動や例外処理、過失などを記録しており、取得したログは改ざんや許可されていないアクセスから保護される仕組みを導入しています。

運用システムに関わるソフトウェアの導入については、適切なバージョンへの更新、不具合発生時のロールバックを考慮した手順を確立し実施しています。また導入にあたっては、技術的脆弱性の悪用を防止するためにも、システムの技術的脆弱性情報を適切に獲得し、評価しています。

まとめ

情報セキュリティに対して組織がどのように取り組むか方針をまとめ、組織の資産、情報、データやITサービスの機密性、完全性、可用性を管理することで、情報漏洩やマルウェア感染といったセキュリティリスクを抑えることができる、あるいは、万一セキュリティインシデントが発生しても迅速に対応することで、被害を最小化することができます。

顧客ニーズに合わせた機能追加や、ビジネスニーズに即したシステム拡張など、システムは日々変化していきます。したがって、情報セキュリティ方針や対策も、常に見直していく必要があるでしょう。

運用設計のポイントを手っ取り早く把握したい方へ

クラウド運用課題を解決する「運用設計の考え方」「運用設計のフレームワーク」のポイントを手っ取り早く把握したい！という方は、以下のホワイトペーパー「運用設計が丸わかり！クラウド運用課題解決への４ステップ（運用設計ガイド）」もあわせてご参照ください。

「クラウド運用の課題と対応策」や「自社で運用設計する際の課題」、「運用設計と継続的な運用改善を継続させるポイント」も記載していますので、参考になさってください。

Tag： 運用設計

• 

  第８回：キャパシティ管理とは？―運用体制構築に向けての考え方と取り組み事例（４）

• 

  第10回：構成管理とは―目的と取り組み事例