情報処理安全確保支援士の勉強情報セキュリティマネジメント2

昨日の勉強記録

午前2の過去問10問くらい
教科書　40ページ
午後1の過去問1問

教科書で学んだ内容は、以下の通り。
・物理的・環境的セキュリティ
・人的セキュリティ
・情報セキュリティインシデント管理
・事業継続管理
・情報セキュリティ監査及びシステム監査

■物理的・環境的セキュリティ
●物理的・環境的セキュリティに関するISMSの要求事項
・重要な情報及び情報処理施設のある領域を保護するために、物理的セキュリティ境界を定める事
・セキュリティを確保するべき領域は、適切な入退管理策によって保護する事
・オフィス・部屋・施設に対する物理的セキュリティを設計し、適用する事
・自然災害・悪意のある攻撃・事故に対する物理的な保護を設計し適用する事
・セキュリティを保つべき領域での作業に関する手順を設計し、適用する事
・来訪者などが出入りする場所を管理し、それらの場所を情報処理施設から離す事
・環境上の脅威や災害、許可されていないアクセス、停電・故障などから装置を適切に保護する事
・通信ケーブル及び電源ケーブルを傍受、損害、損傷から保護する事
・装置の可用性、完全性を維持するため正しく保守する事
・装置、情報、ソフトウェアは事前の許可なしに構外に持ち出さない事
・構外にある資産に対しては、構内での作業とは異なるリスクを考慮し、セキュリティを適用する事
・記憶媒体を内蔵した全ての装置は、処分又は再利用する前に、
　保存されているデータやライセンスを供与されたソフトウェアを確実に消去する事
・利用者は無人状態にある装置が適切な保護対策を備えていることを確実にすること
・書類、取り外し可能な記憶媒体に対するクリアデスク方針、情報処理設備に対するクリアスクリーン方針を適用する事

災害や障害に対する設備面の主な対策は以下のものが必要である。
・専用室/専用区画への設置
・地震対策
・電源障害対策
・空調対策
・火災対策
・回線障害対策

これらをすべて対策するのは予算や場所の都合が付かない事が大いにある。
そのため、IDCを活用するという解決策が考えられる。

IDCに求められるセキュリティ要件は
・建築段階から耐震性や耐火性などの様々な設備や対策が施され、入館、入室管理が徹底された専用施設である事
・信頼性の高いインターネット接続環境を有している事
・100%に近い高い可用性を確保できること

具体例を以下に示す
・建物の周辺環境や地盤、活断層などの立地条件を十分に考慮する
・建物内の各所に自身の揺れを吸収する免震構造を備え、窓を少なくする
・サーバはマシン室に設置されたラック内に収容し、耐震ベルトで固定する
・床の強度は通常のオフィスビルの2倍以上の強度を確保する
・マシン室は室温や湿度が制御可能としてわずかな発火や煙を検知する火災モニタや消火設備を完備する
・十分な容量を備えた無停電電源装置や自家発電装置を設置する
・電力は電力会社から2系統で引き込み、施設内も2系統で配線する
・不活性ガスやハロゲン化物系のガス消化設備を設置する
・入室者の制限や入退室記録の徹底、IDカードやバイオメトリックスなどの認証システムを完備する

物理的な不正行為への対策として以下の4つがあげられる
・セキュリティレベルに応じた物理区画の分類/管理者/入室者の明確化
・各区画の入退室管理方法を決定
・入退室管理システムの導入
・情報資産を適切な区画に設置・保管

入退室管理方法は4つ例がある。

・一般的な開閉扉（暗証番号で解錠）
メリット：
・低コスト
・鍵の紛失が無い

デメリット：
・解錠時に個人の識別ができない
・暗証番号が分かれば誰でも入室できる
・共連れを防止する事が困難

・一般的な開閉扉（ICカードによって解錠）
メリット：
・解錠時に誰が入室したか記録する事が可能
・一時的に入室する場合にも対応が用意
デメリット：
・ICカードを紛失する事がある
・共連れが出来てしまう

・一般的な開閉扉（指紋などの生体情報で解錠）
メリット：
・解錠時に個人を識別できる
・鍵を紛失する事が無い
デメリット：
・ICカード方式に比べて認証情報などの登録に時間が掛かる
・一時的な入室許可に対応するのが困難
・共連れが出来てしまう

・一人通過するごとに開閉するゲートタイプ（ICカードにて解錠）
メリット：
・共連れを防止できる
・解錠した時に個人を識別できる
・一時入室にも対応が用意
デメリット：
・ICカードの紛失が起こり得る
・装置の設置コストが掛かる
・装置の設置スペースが必要

・監視カメラ
正当な権限を持つ者の不正行為
ICカードを不正取得し、正当な権限を持つ者へのなりすまし
正当な権限を持つ者との共連れ

上記のような場合、監視カメラを用いて常時監視する事で抑制するのが有効である

■人的セキュリティ

●人的セキュリティに関するISMSの要求事項
・全ての従業員候補者についての経歴などの確認は、事業上の要求事項や情報の分類、リスクに応じ関連する法令、規則、倫理に従って行うこと
・雇用契約書に情報セキュリティに関する各自の責任、組織の責任を記載する事
・経営陣は全ての従業員、契約相手に対し、組織の方針及び手順に従った情報セキュリティの適用を要求する事
・すべての従業員、契約相手は、職務に関する組織の方針、手順について意識向上のための教育・訓練を受ける事
・情報セキュリティ違反行為に対する正式かつ周知された懲戒手続きを備える事
・雇用の終了または変更後も有効な情報セキュリティに関する責任及び義務を定め、従業員や契約相手に伝達し、遂行させること

●人的セキュリティの対策として実施する事項
・業務で知り得た知識を外部に漏らすのを禁止することなどを就業規則などに明記する
・社員は情報セキュリティポリシなどに従って業務を遂行する責務がある事を就業規則に明記する
・情報セキュリティポリシに違反した場合には罰則が適用される旨をポリシに明記する
・特定の社員に権限が集中しないように職務を分離する
・重要な作業を複数人で確認してミスを防ぐようにする
・業務のバックアップ体制を整備する
・業務内容を相互にチェックしけん制する体制を作る
・作業環境の問題や過労による健康障害、ミスなどが発生しないようにする
・社員のストレス、不満などをケアする体制や仕組みを整備する
・情報セキュリティに関する教育・訓練の実施計画を立案する
・社員の職務や役割などに応じた効果的な教育カリキュラムを立案する
・新規雇用・配属・契約・職責の変更などに応じた教育カリキュラムを立案する
・情報セキュリティ教育体制を整備し、計画に従って定期的・継続的に教育を実施する
・正社員のみならず、役員・契約社員・派遣社員・嘱託社員・出向社員・非常勤社員・臨時雇用社員・協力会社社員などに対する
教育・訓練を実施する。
・教育・訓練の実施記録を残すとともに、実施効果を測定・分析する
・教育・訓練の効果分析結果を評価し、教育実施計画のカリキュラムを見直す
・業務の委託に際し、業務内容に応じて業者の情報セキュリティに関する能力、資格などを審査し、選定する
・委託先との契約にあたって、秘密保持に関する事項を盛り込むとともに、問題発生時の責任範囲、対応方法などを明確にする
・委託先の情報管理、セキュリティ対策実施状況などを定期的にチェックする

■情報セキュリティインシデント管理
●情報セキュリティインシデント管理に関するISMSの要求事項
・情報セキュリティインシデントに対する管理層の責任及び手順を確立する
・情報セキュリティの事象は、適切な連絡経路を通じて速やかに報告する事
・従業員及び契約相手に対して、システムやサービスの中で発見もしくは疑いをもった情報セキュリティ弱点はどのようなものでも記録し報告するように要求する事
・情報セキュリティ事象を評価し、情報セキュリティインシデントに分類するか否かを決定する事
・情報セキュリティインシデントは、文書化した手順に従って対応する事
・情報セキュリティインシデントの分析及び解決から得られた知識を、インシデントが将来起こる可能性や影響を低減するために活用する事
・情報セキュリティインシデントの証拠となり得る情報の特定、収集、取得、保存のための手順を定め適用する事

・SOC
SOCの主な役割は、IDS,IPS,SIEM,統合ログ管理システムなどからのアラートや各種ログの分析を行いその結果を適宜CSIRTにエスカレーションする事

インシデント管理の大まかな流れ

1.インシデント発生に備えた対応
2.インシデントの検知
3.インシデントのトリアージ/対応要否の決定
4.影響範囲の特定/応急処置
5.対応策の決定・実施
6.インシデント収束後の対応

2~5をインシデントハンドリングと呼ぶ。

■事業継続管理
●事業継続管理に関するISMSの要求事項
・組織は困難な状況における情報セキュリティおよび情報セキュリティマネジメントの継続のための要求事項を決定する事
・組織は困難な状況で情報セキュリティを継続するためのプロセス、手順、管理策を確立して文書化し、実施・維持する事
・情報セキュリティ継続ための管理策が妥当かつ有効であることを確実にするため定期的に当該管理策を検証する事
・情報処理施設は可用性の要求事項を満たすのに十分な冗長性をもって導入する

BCM（Business　Continuity　Management）　事業継続管理
 BCP（Business　Continuity　Plan）　事業継続計画
RTO　目標復旧時間
RPO　目標復旧時点

・緊急対応フェーズ
・業務再開フェーズ
・業務回復フェーズ
・全面回復フェーズ

■情報セキュリティ監査及びシステム監査
情報セキュリティ監査とは、企業などの情報セキュリティ対策について独立かつ専門的な知識を有する専門家が客観的に評価を行うこと
情報セキュリティ監査を受けることで以下の効果が期待できる
・情報セキュリティ対策の欠陥箇所を発見
・情報セキュリティマネジメントの確立
・顧客や社会からの信頼の獲得

・情報セキュリティ管理基準
・情報セキュリティ監査基準
・情報セキュリティ監査企業台帳
・ISMS適合性評価制度
・システム監査基準

ISMS適合性評価制度は、保証型監査
情報セキュリティ監査制度は助言型監査