社内に潜む脅威と戦う---適切な統制を実施する - (page 2)

Tom Olzak (Special to TechRepublic) 翻訳校正: 村上雅章 野崎裕子

2013-03-22 07:30

適切な統制を用意する

 統制の枠組みは、どのような脅威に対するものであったとしても、管理面からの統制と物理的統制、技術的統制から構成されていなければならない。また、統制は全体的に、職務の分離や、権限の最小化、知る必要性といった原則が強制できるようになっているべきだ。こういった原則のいずれかをないがしろにすると、内部関係者による脅威という避けられない脅威に対処する能力が弱まってしまうのである。

管理面からの統制

 ポリシーによって基礎が固まる。マネジメントの意向を明記することには2つの目的がある。第1の目的は、容認される行為と容認されない行為を、そして容認されない行為がもたらす結果を全従業員に明確に伝えるというものだ。第2の目的は、明確に記述された標準やガイドライン、手続きによって同僚や部下、上司の怪しい行為を全従業員が洗い出せるようになるというものである。ポリシーによって、容認される行為が定義されるため、全従業員は不正行為を見分けられるようになるわけだ。

 ただし、ポリシーが持つこの2つの目的は、全従業員がマネジメントの期待に気付くとともに、日々の作業環境におよぶ影響を理解した場合にのみ達成される。こういった条件を満足させるには、セキュリティ教育と、継続的な気付きを誘発する行為が必要となる。

物理的統制

 物理的統制によって、権限のない者の行動を阻んだり、遅らせたり、検出したり、それに対処したりすることが可能になる。また、物理リソース(サーバやルータ、スイッチなど)にアクセスできる人員や、アクセスできるタイミングも統制できるようになる。なお、こういった統制を電子化すれば、物理的なアクセスに対するログ情報の取得や、ほぼリアルタイムでの監視も可能になる。

 多くの組織において、物理的なセキュリティはセキュリティチームの関与していないところで管理されている。とは言うものの、セキュリティマネージャーがこれを無視してよいわけではない。たいていの場合、情報リソースに対する物理アクセスによって、技術的統制は回避できてしまうのである。このため、物理的なセキュリティのギャップ分析を実施することが、物理的統制を導入するうえでの最初のステップとなる。

技術的統制

 技術的統制にはID管理や認証、認可、アカウンタビリティが含まれている。こういった統制を組み合わせることで、以下のようなアクセス制御が可能となる。

  • ID管理によって、人員やコンピュータそれぞれに対して、認証手続きや認可手続きに使用される重要な属性一式が与えられる。またIDにより、社内の場所を問わず、対象(リソースにアクセスを試みるエンティティ)のプレゼンスを管理、追跡できるようになる。
  • 認証は、エンティティが誰であるか、あるいは何であるかと主張しているのかを確認するためのプロセスである。一般的な統制には、パスワードや生体認証、スマートカードが含まれる。
  • 認可は、対象に与えられた属性を用いて、何にアクセスできるのか(知る必要性)や、アクセスするものを用いて何ができるのか(最小権限)、いつアクセスを許すのかを判断するプロセスである。また認可によって、責務の分離(静的な、あるいは動的な)が強制される。責務の分離により、あるビジネスプロセスに関連付けられているタスクすべてを、単一の対象だけで実行できないようにするわけである。
  • アカウンタビリティによって監査や監視が可能になるとともに、重要なリソースにアクセスした対象や、アクセスが行われた日時、実際に行われたことをセキュリティチームが確実に把握できるようになる。また、認可されたアクセスの監視を行うだけでなく、認可されていないアクセスが一定回数以上試みられた場合、セキュリティチームに緊急連絡が入るようにもしておくべきである。

 責務の分離と最小権限は、内部関係者の行動に対する2つの主な制約となる。例を挙げると、責務の分離と最小権限を実践している企業で、給与担当の事務員が詐欺行為を働くのは困難である。事務員は従業員レコードの変更と、勤務時間に関する情報の入力、給与の承認、小切手の印刷/資金の電子移動、支払いの受け取りや分配のすべてを1人でできるようにはなっていない。こういった作業すべてをこなすには共謀行為、つまり窃盗行為に他者を巻き込む必要があるというわけだ。

 責務の分離におけるもう1つの例は、開発者が製品に新たな、あるいは改ざんしたアプリケーションを紛れ込ませられないようになるというものである。コード変更はどのようなものであっても厳格かつ綿密に管理された分散型変更管理システムによって統括されるべきだろう。これにより、開発者や管理者が会社に損害をおよぼすようなコードを製品システム内に紛れ込ませられないようになる。

 最小権限を見極める際には、モバイルストレージ機器(USBメモリやノートPC、スマートフォンなど)への情報のコピーを会社として許すべきかどうかについても検討してほしい。従業員の誰もが社内の信頼境界から情報を持ち出せるようにしておく必要が本当にあるのだろうか?同様に、従業員がオフィスにいる間に個人使用の電子メールアカウントや、ファイル転送サービス(TransferBIGfiles.comなど)にアクセスできるようにするという場合、そのリスクはどれほどあるのだろうか?実際のところ、その答えは環境によって変わってくる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]