 |
||||||||||||||||||||
|
||||||||||||||||||||
| 前のページ 1 2 3 次のページ | ||||||||||||||||||||
|
||||||||||||||||||||
| 各種基準面から見る「内部からの脅威」への施策 | ||||||||||||||||||||
|
「対策からのアプローチ」で重要なポイントは、「基準となる対策一覧を何にすべきか」という点である。以降より、Webサイトにおける「内部からの脅威」に対抗するために必要な対策を検討するために適している代表的な基準を紹介する。 また、今回は金融業界とクレジットカード業界の基準も紹介する。これは、各業界が求めるセキュリティ対策レベルを見ることで、読者の方が担当するWebサイトが取り扱う情報資産や性質と、これらの業界が取り扱う情報資産やWebサイトの性質とを比較することにより、セキュリティ対策を行うにあたっての優先順位付けや、対策レベルを決定する上での参考となりうることを期待しているためである。 |
||||||||||||||||||||
| ISO/IEC27001,27002 | ||||||||||||||||||||
|
現在、日本国内で情報セキュリティに関する認証制度というと、ISO/IEC 27001(以前のISMS適合性評価制度、ISOでは認証基準)を思い浮かべる方も多いであろう。ISMSは情報セキュリティマネジメントシステム(Information Security Management System)の略で、情報セキュリティに関する管理の仕組みのことである。 この認証制度のポイントは、守るべき情報資産が晒されるリスクを評価し、必要なセキュリティレベルを定め、プランを決めて、組織のマネジメントとして対策の実施・運用を行うことを目的としている。認証を取得するためには、リスク分析、対策レベルの評価、対策実施、教育、監査などの実施が求められ、負荷と時間がかかるものである。 しかし当認証については、取得において求められる技術的・運用的な対策指針として、詳細管理策(ISO/IEC 27002)の中に133の項目が具体的にリストアップされており、認証の取得を目的にしていない場合においても指針として有用である。表1にその詳細管理策の大区分と概要を示す。
表1:ISO/IEC27002対策基準の概要
表1にあらわれている対策よりも、実際の詳細管理策の文章上はさらに細かく記載がある。 見てわかる通り、ルール面の策定から体制面の策定やライセンス管理などと、実施すべき対策が広範に記載されている。汎用的に記述されているために多少わかりにくい表現もふくまれているが、Webサイトを守るために必要な対策のうち、特に内部からの脅威を想定した対策を行う上で必要なことを、大枠で網羅的にとらえるためには有用な標準文書であるといえる。またグローバルスタンダードにもなっており、対策の根拠として外部や内部向けにも説明しやすい。 |
||||||||||||||||||||
| 業界の基準(FISC、PCI DSS) | ||||||||||||||||||||
|
金融機関では、FISC(金融情報システムセンター)の安全対策基準をベースに、情報システムのセキュリティ対策に取り組んでいる。この基準は、金融庁が金融機関の検査を行う際に、検査マニュアルと共に使用する基準にもなっているため、ほとんどの金融機関は、この基準を意識しながらシステムの構築や運営を行っている。従って、金融機関レベルの対策を行う必要があると想定した場合は、この基準が大いに参考になる。 この基準は、「設備」「運用」「技術」の3つのパートに分かれ、それぞれの対策を詳細レベルまで記載している。内容については、非常にボリュームがあるため、本連載では言及しないが、この基準は定期的に改訂されており、その改訂内容から情報セキュリティ対策のトレンドやヒントも得ることができる。 例えば、2005年4月の個人情報保護法施行の対応で、いくつかの対策項目が「推奨」から「必須」になっているが、このうち、Webサイト運営に関連する項目を表2にあげる。
表2:FISC安全対策基準での対策例(個人情報保護法対応時の改訂事項)
クレジットカード業界においては、VISA、MasterCardやJCBなどが共同でセキュリティ対策のグローバルスタンダード「ペイメントカード業界 データセキュリティ基準(PCI DSS)」を作成し、クレジットカードに関する情報を取り扱う加盟店や決済代行業者向けに対策を促している。この基準も、クレジットカードという非常に重要な情報を扱う会社の対策レベルを見るために大いに役に立つと考えられる。 この基準は表3の通り12の大項目から構成されている。
表3:PCI DSS要件一覧
先日、最新のバージョンが公開され、アプリケーションコードレビュー、アプリケーションレベルファイアウォールの導入も求められるようになりそうである(ただし2008年6月までは推奨)。 さらに、この基準の大きな特徴としては、他の基準には見られない具体的な数値が記載されている点である。ログの保管期限が最低1年、パスワードは7桁以上で変更は90日ごとなど、システム対策を行う上でもっとも悩ましい箇所に対しての指針をだしている。こういう観点からも非常に参考になると考えられる。 |
||||||||||||||||||||
|
前のページ 1 2 3 次のページ |
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
||||||||||||||||||||
-
-
連載
