サイバーハイジーンにおけるITセキュリティポリシーの定義
今回は「サイバーハイジーンにおけるITセキュリティポリシーの定義」についてご紹介します。
関連ワード (セキュリティにおけるグローバルガバナンス、特集・解説等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
本連載では、「情報セキュリティガバナンス」や「ITガバナンス」の中でもセキュリティ対策に関わる部分を全社的・グローバルに、かつスピーディーに企業へ展開できるガバナンスモデルについて解説する。
前回の記事では、ITセキュリティポリシー導入における前提、最初に理解しておくべきガバナンスモデルや適用方針の全体像について説明した。今回は、各カテゴリーにおける「ポリシーの定義」について深掘りする。
今回のポリシー定義では、前回の記事でも取り上げた米国標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)のカテゴリーを参考に、以下の4つのカテゴリーでポリシーの定義を進めていく。
本稿では、まず「サイバーハイジーン領域」を深掘りしていく。なお、「ハイジーン」とは「衛生」の意味であり、サイバーハイジーンとは、一般の衛生管理と同じようにIT環境を健全な状態に保つ「サイバー空間の衛生管理の取り組み」を指す。このサイバーハイジーンを徹底することができれば、85%以上の不正攻撃を防御できるというデータもあり、サイバーハイジーンの重要性をご理解いただけるだろう。
「サイバーハイジーン領域」におけるポリシー
1.資産管理ポリシー:ITセキュリティに関連する資産管理・構成管理のポリシー定義
2.脆弱性対応ポリシー:脆弱性対応のポリシー定義
3.追加防御ポリシー:追加防御やセキュリティツールの稼働に関するポリシー定義
「サイバーレジリエンス領域」におけるポリシー(次回掲載予定)
4.有事の対応ポリシー:有事の対応に関するポリシー定義
ITセキュリティポリシーの定義を進める際に、必ず決めておかなければいけないのが、「資産・構成管理ポリシー」である。なぜなら、外部からの多くのサイバー攻撃は「目に見えていない部分=管理されていない部分」をターゲットとしているからである。ITセキュリティポリシーを定義したり、更改を考えたりしている企業・組織は、ぜひ自社、自組織内で全ての対象が「可視化」されているか振り返っていただきたい。
なお、ITセキュリティポリシー内の「資産管理ポリシー」は、あくまでもITセキュリティを実施する上で必要な項目にのみ限定される。もし資産管理・構成管理のポリシーが既にある場合は、既存の物を流用・引用し、作成していくことを推奨する。
ITセキュリティにおける資産管理ポリシーでは、最低限以下の点を決めておく必要がある
上記の項目をまとめていくと、最終的には以下の表のように情報が整理されていくだろう。「構成情報」の詳細項目については、次のページにある「脆弱性対応」や「追加の防御策」のポリシー内容によって、追加が必要になる。
多くの企業・組織でほとんどの担当者が「既に資産管理・構成管理ができている」と話すが、そういった企業・組織でよく対応を忘れがちな点が「抜け漏れ対応」だ。
購買部経由で機器を購入し、資産を登録しているので、資産管理では全ての機器が登録されていると考えている。しかし実際の現場では、企業や組織のユーザーが自身で購入した機器が勝手に会社のネットワークに接続されているケース、サービスや設備として購入したために機器が資産として登録されないまま会社のネットワークに接続されているケースにおいて、資産管理から抜け漏れしていることがよくある。
このようなケースに対しては、社内のネットワークに接続されている機器をネットワークスキャンなどで把握しCMDBなどとの突き合わせを行う以外に方法はない。ネットワークスキャンで見つかった端末をどのように資産管理に登録し、管理下に置くかも重要な項目である。
また、企業・組織における資産の健全性が保つため、ある一定期間ごとにネットワークスキャンで把握された機器と資産管理との突き合わせによる棚卸しの実施を強く推奨する。