セキュリティ管理手法
脅威の分類(攻撃の対象・手法とリスク)
脅威とは,システムや組織に損害を与える可能性があるインシデントの潜在的な原因で,脅威の種類には,次のようなものがある。
物理的脅威
直接的に情報資産が被害を受ける脅威。事故,災害,故障,破壊,盗難,不正侵入ほか。
技術的脅威
IT などの技術による脅威。不正アクセス,盗聴,なりすまし,改ざん,エラー,クラッキングほか。
人的脅威
人によって起こされる脅威。誤操作,紛失,破損,盗み見,不正利用,ソーシャルエンジニアリングほか。
人によって引き起こされる脅威は,攻撃の意図をもって行われる故意だけではない。ミスによって引き起こされる過失や,言葉や思考そのものに誤りがある誤謬の可能性もある。
セキュリティポリシー
組織のセキュリティ対策を効率よく,効果的に行うための指針であり,恒久的にセキュリティを維持するための仕組み。
情報システムの運用,利用をする際に「何を」「なぜ」「どのように」「どの程度」セキュリティ維持のために対策をするかを示すための指針となる。
情報セキュリティポリシに基づく情報の管理
情報セキュリティポリシーとは組織の情報セキュリティに関する方針などを示したものであり,情報セキュリティマネジメントを実践するための様々な取組みを集約し規定している。情報セキュリティポリシーの文書は,一般に,情報セキュリティ基本方針,情報セキュリティ対策基準及び情報セキュリティ実施手順の 3 階層で構成される。
情報セキュリティ基本方針には,情報セキュリティに関する組織の取組み姿勢及び組織全体に関することについて記述する。また,対策基準で規定されていないケースが生じた場合の判断のよりどころとなるのもこの基本方針である。
情報セキュリティ対策基準には,基本方針の内容を受けて具体的な管理策を記述する。管理策には多くのものがあり,技術的対策,物理的対策,人的対策及び組織的対策に大別される。対策基準を策定する際には,多くの管理策の中から自組織のリスクを低減するための管理策を選ぶ必要がある。JIS Q 27002 : 2014 は,情報セキュリティポリシーを策定する際のガイドラインとして利用されることがあり,様々な実践の模範となる管理策であるベストプラクティスが列挙されている。
リスクアセスメント
情報セキュリティリスクアセスメントとは,リスク分析からリスク評価までのプロセスを指す。リスク分析のためには,様々な手法が提案されている。
リスクアセスメントとは,守るべき対象である情報資産で発生する可能性のある脅威と,脅威の発生確率や発生した場合の影響度等を評価する方法のこと。
リスク基準
情報リスクアセスメントを実施するための基準をリスク基準という。リスクの重大性を評価するための目安とする条件で,リスクアセスメントの実施者によって評価結果に大きなブレがないように,あらかじめ設定しておく判断指標である。
リスクに対して対策を実施するかどうかを判断する基準は,リスク受容基準である。
リスクアセスメントのプロセス
リスクアセスメントとは,リスク特定,リスク分析,リスク評価を行うプロセス全体のことである。
1. リスク特定
リスクを発見して認識し,それを記述する。
2. リスク分析
特定したそれぞれのリスクに対し,情報資産に対する脅威と脆弱性を考える。
リスクの発生確率を求め,実際にリスクが起こったときの影響の大きさを考える。影響の大きさは,単純に大中小などの比較で表すことが多いが,被害額や復旧にかかる費用などの金額で算出することもある。
| リスク分析 | 手法 |
|---|---|
| 定性的リスク分析 | リスクの大きさを金額以外で分析する手法 |
| 定量的リスク分析 | リスクの大きさを金額で分析する手法 |
3. リスク評価
分析したリスクに対し,どのように対策を行うかを判断するのがリスク評価である。リスクが受容可能化どうかを決定するために,リスク分析の結果をリスク基準と評価するプロセスとなる。
リスク分析の結果を基に,あらかじめ定められた評価基準などを用いてリスクを評価し,対策の優先度をつける。
情報セキュリティマネジメントシステム
情報セキュリティに取り組む上で大切なことは,情報を守るための対策をシステム化して継続的に改善していくことである。
組織の情報セキュリティの確保に体系的に取り組むことを情報セキュリティマネジメントといい,そのための仕組みを,ISMS(Information Security Management System : 情報セキュリティマネジメントシステム)という。ISMS では,情報セキュリティ基本方針を基に,次のような PDCA サイクルを繰り返す。
| Plan | 情報セキュリティ対策の具体的計画を策定する |
|---|---|
| Do | 計画に基づいて,対策の導入・運用を行う |
| Check | 実施した結果の監視・監査及び見直しを行う |
| Action | 経営陣による改善・処置を行う |
ISMS 適合性評価制度
ISMS 適合性評価制度は、ISMS が基準に則り、適切に組織内に構築運用されていることを、正式に認定された審査登録機関と審査員が所定の判断基準により評価し、要求される規格、基準に適合していると認めた場合、認証を付与するとともに登録する制度である。適合性を評価するための基準は、国際標準 ISO/IEC 27001 が国内標準として規格化された JIS Q 27001 である。
この制度は、国際的にも整合性のとれた情報セキュリティマネジメントシステムに対する適合性評価制度であり、国の情報セキュリティレベル全体の向上に貢献するとともに、諸外国からも信頼が得られる情報セキュリティレベルを達成することを目的としている。国内では、この制度は、現在、JIPDEC を中心に運用されている。認証の有効期間は、3 年間であり、認証登録後は通常1年ごとに維持審査が行われ、有効期限が切れる年には更新審査を受ける必要がある。
ISMS の一般要求事項は、ISMS の確立、ISMS の導入及び運用、ISMS の監視及びレビュー、ISMS の維持及び改善という PDCA サイクルに従いまとめられており、組織は、ISMS にかかわる方針や記録を文書として作成、保管することが求められる。
ISO/IEC 27001
情報社会の高度化とともに,組織の持つ情報は重要な「資産」として認識されるようになった。一方,情報資産は常に災害,ハード/ソフトウェアのトラブル,不正アクセスによる改ざん,関係者による漏えいなど,様々な脅威にさらされている。これらの脅威から情報資産を適切に保護し,情報の機密性,完全性を確保し,さらに情報の可用性を保持し,情報資産の価値を高めることを目的として,ISO/IEC 27001 は開発された。
組織が保護すべき情報資産に対し,リスクのレベルに応じて,情報の機密性,完全性,可用性をバランスよく維持・改善し,リスクに対する予防的対応を行うと同時に,情報を利用しやすくし,価値を高めることを視野にいれている。さらにマネジメントシステムとして全体統制を図ることにより,組織内で働く全要員が情報セキュリティ対策に参画し,時宜を逸せずにリスクに対応することを意図している。
組織が ISMS を確立,導入,運用,監視,レビュー,維持し,継続的に改善するための要求事項を規定している。
JIS Q 27001 情報技術−セキュリティ技術− 情報セキュリティマネジメントシステム−要求事項
この規格は,組織の状況の下で,ISMS を確立し,実施し,維持し,継続的に改善するための要求事項について規定する。この規格は,組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する。
三つの要素
- 権限のある者のみが情報システムにアクセスでき、盗聴、不正アクセスなどにより情報が漏えいしない機密性を保持すること
- 情報システムが正確かつ、完全であり、それらが適正に維持されている完全性を保証すること
- 権限のあるものが情報システムに適時アクセスできる可用性を維持すること
情報セキュリティの定義
情報の機密性,完全性及び可用性を維持することと定義されている。
- 機密性(Confidentiality)
- 認可されていない個人,エンティティまたはプロセスに対して,情報を使用させず,また,開示しない特性
- 完全性(Integrity)
- 資産の正確さ及び完全さの特性
- 可用性(Availability)
- 認可されたエンティティが要求したときに,アクセス及び使用が可能である特性
- 真性性(Authenticity)
- 主体または資源が,主張どおりであることを確実にする特性
- 責任追跡性(Accountability)
- あるエンティティの動作が,一意に追跡できる特性
- 否認防止(Non-Repudiation)
- ある活動または事象が起きたことを,後になって否認されないように証明する能力
- 信頼性(Reliability)
- 意図した動作及び結果に一致する特性
規則
情報の利用の許容範囲、並びに情報及び情報処理施設と関連する資産の利用の許容範囲に関する規則は、明確にし、文書化し、実施しなければならない。
情報セキュリティのための方針群
情報セキュリティのための方針群は、これを定義し、管理層が承認し、発行し、従業員及び関連する外部関係者に通知しなければならない。
セキュリティの適用
経営陣は、組織の確立された方針及び手順に従ったセキュリティの適用を従業員、契約相手及び第三者の利用者に要求しなければならない。
装置の保守
装置は,セキュリティの 3 要件のうちの可用性及び完全性を継続的に維持することを確実にするために,正しく保守しなければならない。
装置の保護
装置は、環境上の脅威及び災害からのリスク並びに認可されていないアクセスの機会を低減するように設置し、又は保護しなければならない。
パスワード管理システム
パスワード管理システムは,対話式でなければならず,また,良質なパスワードを確実とするものでなければならない。
利用者アクセスの提供
全ての種類の利用者について、全てのシステム及びサービスへのアクセス権を割り当てる又は無効化するために、利用者アクセスの提供についての正式なプロセスを実施しなければならない。
情報及び情報処理施設に関連する資産
情報及び情報処理施設に関連する資産を特定しなければならない。また、これらの資産の目録を、作成し、維持しなければならない。
情報及び情報処理施設と関連する資産のすべてについて、組織の中に、その管理責任者を指定しなければならない。
情報の分類
情報は,法的要求事項,価値,重要性,及び認可されていない開示又は変更に対して取扱いに慎重を要する度合いの観点から,分類しなければならない。
情報のラベル付け
情報のラベル付けに関する適切な一連の手順は,組織が採用した情報分類体系に従って策定し,実施しなければならない。
資産の取扱い
資産の取扱いに関する手順は,組織が採用した情報分類体系に従って策定し,実施しなければならない。
プログラムソースコードへのアクセス制御
プログラムソースコードへのアクセスは,制限しなければならない。
イベントログ取得
利用者の活動、例外処理、過失及び情報セキュリティ事象を記録したイベントログを取得し、保持し、定期的にレビューしなければならない。
GMITS(IT セキュリティマネジメントのためのガイド)
この手法を十分に理解し、有効に使用するには、そもそも「脅威とは?」「脆弱性とは?」「リスクとの関係はどうなっているのか?」「一連のセキュリティマネジメントシステムを構築するうえで、どのような役割を占めるのか?」といったことを理解する必要がある。
このような項目に対して体系化し、詳細に解説をしているのがGMITS(The Guidelines for the management of IT Security:ITセキュリティマネジメントのためのガイド)である。この GMITS は、International Organization for Standardization(ISO)によって作成された。
第1部:IT セキュリティの概念およびモデル
第一部では,情報セキュリティの概要について記述しており,構成は次の通り。
- IT セキュリティ,IT セキュリティマネジメントの概念およびモデルの概要
- IT セキュリティの要素の吟味
- IT セキュリティの管理に使用されるプロセスの検討
- 概念の理解に役立ついくつかのモデルの概要説明
第2部:IT セキュリティのマネジメントおよび計画
第2部は,IT セキュリティマネジメントを効果的なものにするために重要である要素を挙げ,組織の方針に基づくセキュリティポリシーや IT 戦略に沿ったマネジメントプロセスを構築することがポイントであることを示している。また,下記のような担当者を対象にその役割や責任について解説している。
- ITシステムの設計、導入、試験、調達、運用に関して、監督責任を負うITの運用管理者
- ITシステムを有効活用していくための諸活動について責任を負う管理者
第3部:IT セキュリティマネジメントのための手法
第3部では、ITセキュリティマネジメントにとって重要ないくつかの手法が検討されている。これらの手法は、第1部で提供された概念とモデルおよび第2部で考察したマネジメントプロセスと責任に基づくものであり、いわば、第1部と第2部のサマリーであると考えられる。
また、第3部では、リスクアセスメントを行うに当たりその詳細が記述されており、取り得る4つの戦略(ベースラインアプローチ、非形式的アプローチ、詳細リスク分析、組合せアプローチ)のメリットおよびデメリットがそれぞれ示されている。
- ベースラインアプローチ
- あらかじめ一定の確保すべきセキュリティレベルを設定し、実装するのに必要な対策を選択し、対象となるシステムに一律に適用する。
- 非形式的アプローチ
- 組織や担当者の経験や判断によってリスクを評価する。
- 詳細リスク分析
- システムについて詳細なリスクアセスメントを行うアプローチで、情報資産に対し、資産価値、脅威、脆弱性やセキュリティ要件を識別し、評価する。
- 組み合わせアプローチ
- ベースラインアプローチと詳細リスク分析を組み合わせることを推奨している。ベースラインアプローチだけでは、本来よりセキュリティの高い対策が実装されるべきシステムについて対応策が不十分になる可能性があることや、詳細リスク分析をすべてのシステムに適用することは、効率の観点から現実的でないからである。
第4部:セーフガードの選択
第4部は、「セーフガードの選択」というタイトルで、その選択の前提となる第3部に記述したリスクアセスメント技法に関連させたセーフガードの選択方法を記述している。
第5部:マネジメントガイダンス
第5部では、ITシステムを外部ネットワークに接続する組織に対するガイドラインについて記述されている。
セキュリティインシデント
情報セキュリティインシデントとは,情報セキュリティを脅かす事件や事故のことである。単にインシデントと呼ぶこともある。情報セキュリティ管理では,情報セキュリティインシデントが発生した場合の報告・管理体制が明確で,インシデント対応方法が文書化されており,関係者全員に周知・徹底されていることが重要である。
セキュリティインシデントが発生した際に、発見者や被害者からの報告を受け、事態の情報収集や公表、関係者への通知や対処依頼、有害事象の抑止や被害拡大の防止、再発防止策の策定などを行う一連の活動のことを「セキュリティインシデントレスポンス」(セキュリティインシデント対応)あるいは略してインシデントレスポンス(インシデント対応)という。また、企業や行政機関などに設置され、組織内でそのような活動を担う窓口となる部署を「CSIRT」(Computer Security Incident Response Team)あるいは「CIRT」(Computer Incident Response Team)「SIRT」(Security Incident Response Team)などという。
インシデント対応は、拡大防止策と原因除去、回復にとどめず、再発防止まで徹底することが重要とされている。
インシデントの初期対応としては、システム状態の保全を念頭におき、対応組織への連絡、発生事実の確認、システムの隔離などを行う。
インシデントが発生した環境から、インシデントの原因及び犯人の特定などのために必要な電子データなどを収集、分析する技術や調査活動は、コンピュータフォレンジックなどといわれる。
本稿の参考文献
- JIS Q 27001 : 2014 情報技術−セキュリティ技術− 情報セキュリティマネジメントシステム−要求事項
- JIS Q 27002 : 2014 情報技術−セキュリティ技術− 情報セキュリティ管理策の実践のための規範