セキュリティポリシー策定のガイドライン

ポリシーを明文化しないと従業員が誤解を生む。

ポリシーにあわせたセキュリティの実装要件を実装ガイドラインという。

すべての企業・組織に当てはまる汎用ポリシー無い。

  1. ポリシーの基本要件

    ポリシーは、

    • @ 3〜5ページ程度の短いものにする。
    • A プラットフォームを特定しない一般的な用語で記述する。
    • B ネットワークや技術の変化に耐えられるものにする。(三年以上は適用可能にする)

    関連文書で、

    • プラットフォーム・
    • 技術・
    • アプリケーション・
    • ユーザー責任・
    • 組織構造
    に関する具体的な情報を述べる。

    ポリシーはその組織で最高位の者が承認すべきである。

    →承認の無い文書は単なる提案である。

    ポリシーの立案は、 高い地位の役員最低一名・システムセキュリティ管理者・情報システム部責任者 を含めた小さなタスクフォースを編成して立案する。

  2. ポリシーの記述内容 → 基本目標

    • @ 機密性 アクセス権の保証
    • A 保全性 不正改ざん・ウイルスからの保護
    • B 可用性 システム・ネットワーク・アプリケーション・データがオンラインであること、アクセス権を持つユーザーがアクセスできることの保証
    • C 説明可能性 誰が何をしたかを識別する。
    • D リソース管理 機器へのアクセス権を限定する。→ 職務の分離

    職務の分離 例)

    • 1 物品とデータ 調達責任者と在庫管理者は別人にすべき
    • 2 作成と認可 小切手を作成する者と小切手にサインをするものは別人にすべき
    • 3 作成と保守 口座を作成する者と記帳をする者は別人にすべき・セキュリティの実装者と管理者は別人にすべき
    • 4 処理手順とデータ アプリケーションのプログラマはそのアプリケーションにデータを入力しない


  3. リスク管理 コストバランス




  4. リスク管理 選択肢

    • @ 受容 リスクコストが低く防御コストが高い場合、リスクを受け入れる
    • A 転嫁 直接防御せず、リスクを他社に引き当てる。例)保険
    • B 回避 リスク回避のため必要な防御対策を取る


  5. セキュリティ責任

    • @責任者の明示
      • 例)全ユーザー
    • A責任の規定
    • B管理者の明示
      • 例)保安部門
    • C対象者の署名
      • 例)全ユーザー


  6. 規約の内容

    • 組織がシステムとデータを所有する。
    • ユーザーはデータおよびソフトウェアを許可無くコピーしないことに同意する。
    • ユーザーは秘密の保持およびその実装方法に同意する。例)必ず適切なパスワードを利用する、など
    • ユーザーは許可された方法でシステムとデータにアクセスすることに同意する。
    • ユーザーはセキュリティを目的とした、ユーザーによるシステム使用の組織による監視に同意する。


  7. ポリシー遵守手順の明示

    • 定期検査やポリシー違反の自動通知など


  8. ポリシー遵守状況の測定

    • 客観的かつ数量化できる判定基準を設ける
    • 継続的に実際のセキュリティ状態を測定する


  9. 判定基準 ポリシーカテゴリ

    1. ユーザーアカウントおよび認証

      アカウント保全性
      調査対象:ユーザー特権・ホームディレクトリ・アクセス権限
      操作:ポリシーからはみ出す特権を持つアカウントの排除
      ログインパラメータ
      調査対象:失敗したログオンイベント・古いまたは使用していないアカウント
      操作:不使用アカウントの指摘・異常な数の失敗したログオンイベントの報告
      パスワード強度
      調査対象:文字記号の組み合わせの複雑さ・長さ・有効期限
      操作:OSでポリシーを強制適用可能ならばその方法を、不可能の場合は指摘をする。

    2. ネットワークおよびサーバーの設定

      システム監査
      調査内容:権限のない不正アクセスの検知
      操作:監査とポリシー違反の報告。侵入に対してはその対処。
      オブジェクト保全性
      調査内容:(サービス・デバイスなどの)サーバーオブジェクトアクセスおよび変更・ポリシー変更・特権使用の監査
      操作:監査とポリシー違反の報告。改ざん・削除に対してはその対処。

    3. ファイルシステムおよびディレクトリ

      ファイルアクセス
      調査対象:ファイル所有権とアクセス権・命名規則
      操作:監査とポリシー違反の報告
      ファイル属性
      調査対象:属性変更
      操作:監査とポリシー違反の報告
      ファイル検索
      調査対象:不正使用の可能性のあるファイル(ウイルス・トロイの木馬・ワームなど)
      操作:監査とポリシー違反の報告


  10. 対策の指示

    • @ 適切な権限者への通報
    • A 問題の是正
    • B 罰則
    • C 特例


  11. 資金

    • セキュリティ実装費用の資金、予算


    | ← 戻る | ↑ TOP ↑ | 次へ → |