TOP情報セキュリティ> 【セキュリティ最前線】失敗から学ぶセキュリティポリシー> 第3回:現場が勘違いしやすいポイント (2/3)

【セキュリティ最前線】失敗から学ぶセキュリティポリシー

【セキュリティ最前線】
失敗から学ぶセキュリティポリシー

第3回:現場が勘違いしやすいポイント

著者:NTTデータ・セキュリティ 茅野 耕治

公開日:2008/1/24(木)

足りなかったのは脆弱化への対応

業務効率を考えれば、逸脱を認めないわけにはいかない。しかし逸脱を認めれば、明らかにセキュリティ面で脆弱になる。今回のケースでは、セキュリティポリシーに不備があったとか、ベースとなるセキュリティ対策が甘かったということではない。

ポイントは脆弱化への対策ができていなかったということだ。新たな脆弱性に対するリスク分析が行われず、追加すべきセキュリティ対策が取られなかったことが原因なのである。

図2:DMZ(De Militarized Zone)
図2:DMZ(De Militarized Zone)

注目すべきは「情報を社外へ流出させないこと」

今回の場合はセキュリティポリシーで端末PCの持ち込みを完全禁止するといった外形的なものではなく、「情報を社外へ流出させない点に着目した本質的な対策」が取れるか否かである。

持ち込み端末PCという新たな情報流出経路が生じたため、例えば「持ち込み端末PCへの小型可搬媒体による情報の受渡しを禁止する」や「社外向け通信のログを取得する」などが考えられる。

入ってくる情報はかまわない(ウイルス・ワームなどの防止は当然だが)。要は「出て行く情報を確実にコントロールすること」である。例えば、DMZ(De Militarized Zone)を備えたファイアウォールのような構造を思い浮かべてもらえばよい。

非常に少ない人数で開発をしているなら、持ち込み端末PCの使い方についても目がいき届くであろう。しかし何十人、何百人といった開発プロジェクトでは個々の使い方まで目が行き届くわけがない。

その中で、1人でも不適切な使い方をしていて、それを知らずに他の人が重要情報を開発環境に持ち込んだらどうなるだろう。結果は明白である。通常、商用環境と開発環境は分離するが、商用データを使った並行運転試験などを想定した場合、三層構造のような環境の分離も考慮する必要がある。

読者の皆さんもご存知のように、多人数で開発を行うプロジェクトでシステム上の制約事項などがしっかり共有できていないと思わぬバグを作り込んでしまう。これは品質上の欠陥を作り込んでしまった例だが、同様にセキュリティ上の欠陥もいとも簡単に作り込んでしまうものである。そしてこれらを防止する仕組みが「品質管理システム」や「情報セキュリティマネジメントシステム」なのである。 次のページ




NTTデータ・セキュリティ 茅野 耕治
著者プロフィール
NTTデータ・セキュリティ 茅野 耕治
コンサルティング部
建設会社の設計・施工・情報システム部門を経て、2005年から現職。監査、コンサルティング、セキュリティポリシーの策定支援、セキュリティ教育・研修などの業務に従事。CIA(公認内部監査人)、CFSA(公認金融監査人)、CCSA(内部統制評価指導士)、日本初のCGAP(公認政府監査人)試験合格者、CISSP-ISSJP(行政情報セキュリティ)、PMP、情報処理技術者(システムアナリスト、システム監査、特種、オンライン他)、一級建築士。
http://www.nttdata-sec.co.jp/


INDEX
第3回:現場が勘違いしやすいポイント
  現場の都合を優先しすぎて陥るワナ
足りなかったのは脆弱化への対応
  厳重に情報を守らなければならない環境では「職務の分割」