 |
|
|
| 前のページ 1 2 3
|
|
| 設計方法論としての確立
|
SAのレイヤの中でコアとなるのが、セキュリティ設計を行うフェーズに対応する「セキュリティデザインレイヤ」である。上位のセキュリティポリシーレイヤで規定された方針やプロセスを、実装レベルの技術的、人的対策に落とし込む橋渡しの役割を担う。
例えば、組織のセキュリティポリシーで「重要な顧客データをやり取りする場合は、サブシステム間のデータのやり取りには機密性を確保する」と定められていたとする。この場合、実装段階では暗号化ソフトを導入する、暗号通信プロトコルを設定するなどのセキュリティ対策を実施することになる。セキュリティデザインレイヤでは、上位のポリシーから下位の実装に落とし込むために、対象となるデータやサブシステムを洗い出し、通信プロトコルやデータへのアクセス制限の要件を規定する(図3)。
|
図3:セキュリティデザインレイヤ
出典:みずほ情報総研
|
このとき重要となるのが、EA側で規定する業務の要件を考慮しつつ、SA側でセキュリティ要件を設定していくことである。この両者のすりあわせによって、セキュリティを考慮した業務やシステムの最適化が実現できる(図4)。
|
図4:セキュリティ設計におけるSAとEAのフィードバックループ
出典:みずほ情報総研
|
ところが、これまで両者をつなぐセキュリティ設計方法論として確立されたものは多くはなかった。そのために、セキュリティ対策にヌケやモレが発生するケースや、逆に過度の対策によってコスト増を招くばかりか、システムの利便性を必要以上に損なうケースも少なくなかった。
|
次回は、SAのコンセプトのコアであるセキュリティ設計の実践的な方法論として、ISO/IEC15408(コモンクライテリア:CC)、ISO/IEC17799(ISMS)などのセキュリティ関連の国際スタンダードに基づく「セキュリティ評価モデル」を活用したアプローチについて解説する。
|
前のページ 1 2 3
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 金子 浩之
みずほ情報総研株式会社 情報セキュリティ評価室 室長
経済産業省が進めるITセキュリティ評価認証制度の認定を受けた評価機関(情報セキュリティ評価室)においてITセキュリティ評価・コンサルティング事業を担当。そのほか、最近では、システムのセキュリティ評価技術の研究開発、情報セキュリティをはじめとする受託調査、研究開発、システムセキュリティ評価、システム監査等に従事。
|
|
著者プロフィール
みずほ情報総研株式会社 佐久間 敦
みずほ情報総研株式会社 システムコンサルティング部
情報セキュリティをはじめとする情報政策関連調査研究、政策立案コンサルティング、IT関連技術動向調査等を担当。最近のプロジェクトは、情報セキュリティ人材育成に関する調査研究、重要インフラにおけるセキュリティ現況調査など。現在、日本ネットワークセキュリティ協会スキルマップ検討ワーキンググループリーダーを担当。
|
|
|
|
|
|
