セキュリティにおけるグローバルガバナンス

サイバーハイジーンにおけるITセキュリティポリシーの定義

井上洋一 (タニウム)

2022-05-26 06:00

 本連載では、「情報セキュリティガバナンス」や「ITガバナンス」の中でもセキュリティ対策に関わる部分を全社的・グローバルに、かつスピーディーに企業へ展開できるガバナンスモデルについて解説する。

  前回の記事では、ITセキュリティポリシー導入における前提、最初に理解しておくべきガバナンスモデルや適用方針の全体像について説明した。今回は、各カテゴリーにおける「ポリシーの定義」について深掘りする。

ポリシー定義のカテゴリーについて

 今回のポリシー定義では、前回の記事でも取り上げた米国標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)のカテゴリーを参考に、以下の4つのカテゴリーでポリシーの定義を進めていく。

 本稿では、まず「サイバーハイジーン領域」を深掘りしていく。なお、「ハイジーン」とは「衛生」の意味であり、サイバーハイジーンとは、一般の衛生管理と同じようにIT環境を健全な状態に保つ「サイバー空間の衛生管理の取り組み」を指す。このサイバーハイジーンを徹底することができれば、85%以上の不正攻撃を防御できるというデータもあり、サイバーハイジーンの重要性をご理解いただけるだろう。

「サイバーハイジーン領域」におけるポリシー

1.資産管理ポリシー:ITセキュリティに関連する資産管理・構成管理のポリシー定義
2.脆弱性対応ポリシー:脆弱性対応のポリシー定義
3.追加防御ポリシー:追加防御やセキュリティツールの稼働に関するポリシー定義

「サイバーレジリエンス領域」におけるポリシー(次回掲載予定)

4.有事の対応ポリシー:有事の対応に関するポリシー定義

ポリシー定義のカテゴリー
ポリシー定義のカテゴリー

1.資産管理ポリシーの定義

 ITセキュリティポリシーの定義を進める際に、必ず決めておかなければいけないのが、「資産・構成管理ポリシー」である。なぜなら、外部からの多くのサイバー攻撃は「目に見えていない部分=管理されていない部分」をターゲットとしているからである。ITセキュリティポリシーを定義したり、更改を考えたりしている企業・組織は、ぜひ自社、自組織内で全ての対象が「可視化」されているか振り返っていただきたい。

 なお、ITセキュリティポリシー内の「資産管理ポリシー」は、あくまでもITセキュリティを実施する上で必要な項目にのみ限定される。もし資産管理・構成管理のポリシーが既にある場合は、既存の物を流用・引用し、作成していくことを推奨する。

資産管理ポリシーで決める項目

 ITセキュリティにおける資産管理ポリシーでは、最低限以下の点を決めておく必要がある

資産管理ポリシーで決める項目
資産管理ポリシーで決める項目

 上記の項目をまとめていくと、最終的には以下の表のように情報が整理されていくだろう。「構成情報」の詳細項目については、次のページにある「脆弱性対応」や「追加の防御策」のポリシー内容によって、追加が必要になる。

資産・構成管理のポリシー例
資産・構成管理のポリシー例

資産管理の中で対応が忘れがちな「抜け漏れ対応」について

 多くの企業・組織でほとんどの担当者が「既に資産管理・構成管理ができている」と話すが、そういった企業・組織でよく対応を忘れがちな点が「抜け漏れ対応」だ。

 購買部経由で機器を購入し、資産を登録しているので、資産管理では全ての機器が登録されていると考えている。しかし実際の現場では、企業や組織のユーザーが自身で購入した機器が勝手に会社のネットワークに接続されているケース、サービスや設備として購入したために機器が資産として登録されないまま会社のネットワークに接続されているケースにおいて、資産管理から抜け漏れしていることがよくある。

 このようなケースに対しては、社内のネットワークに接続されている機器をネットワークスキャンなどで把握しCMDBなどとの突き合わせを行う以外に方法はない。ネットワークスキャンで見つかった端末をどのように資産管理に登録し、管理下に置くかも重要な項目である。

 また、企業・組織における資産の健全性が保つため、ある一定期間ごとにネットワークスキャンで把握された機器と資産管理との突き合わせによる棚卸しの実施を強く推奨する。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]