編集部からのお知らせ
新着の記事まとめPDF「NTT」
おすすめ記事まとめ「MLOps」
セキュリティにおけるグローバルガバナンス

サイバーハイジーンにおけるITセキュリティポリシーの定義

井上洋一 (タニウム)

2022-05-26 06:00

 本連載では、「情報セキュリティガバナンス」や「ITガバナンス」の中でもセキュリティ対策に関わる部分を全社的・グローバルに、かつスピーディーに企業へ展開できるガバナンスモデルについて解説する。

  前回の記事では、ITセキュリティポリシー導入における前提、最初に理解しておくべきガバナンスモデルや適用方針の全体像について説明した。今回は、各カテゴリーにおける「ポリシーの定義」について深掘りする。

ポリシー定義のカテゴリーについて

 今回のポリシー定義では、前回の記事でも取り上げた米国標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)のカテゴリーを参考に、以下の4つのカテゴリーでポリシーの定義を進めていく。

 本稿では、まず「サイバーハイジーン領域」を深掘りしていく。なお、「ハイジーン」とは「衛生」の意味であり、サイバーハイジーンとは、一般の衛生管理と同じようにIT環境を健全な状態に保つ「サイバー空間の衛生管理の取り組み」を指す。このサイバーハイジーンを徹底することができれば、85%以上の不正攻撃を防御できるというデータもあり、サイバーハイジーンの重要性をご理解いただけるだろう。

「サイバーハイジーン領域」におけるポリシー

1.資産管理ポリシー:ITセキュリティに関連する資産管理・構成管理のポリシー定義
2.脆弱性対応ポリシー:脆弱性対応のポリシー定義
3.追加防御ポリシー:追加防御やセキュリティツールの稼働に関するポリシー定義

「サイバーレジリエンス領域」におけるポリシー(次回掲載予定)

4.有事の対応ポリシー:有事の対応に関するポリシー定義

ポリシー定義のカテゴリー
ポリシー定義のカテゴリー

1.資産管理ポリシーの定義

 ITセキュリティポリシーの定義を進める際に、必ず決めておかなければいけないのが、「資産・構成管理ポリシー」である。なぜなら、外部からの多くのサイバー攻撃は「目に見えていない部分=管理されていない部分」をターゲットとしているからである。ITセキュリティポリシーを定義したり、更改を考えたりしている企業・組織は、ぜひ自社、自組織内で全ての対象が「可視化」されているか振り返っていただきたい。

 なお、ITセキュリティポリシー内の「資産管理ポリシー」は、あくまでもITセキュリティを実施する上で必要な項目にのみ限定される。もし資産管理・構成管理のポリシーが既にある場合は、既存の物を流用・引用し、作成していくことを推奨する。

資産管理ポリシーで決める項目

 ITセキュリティにおける資産管理ポリシーでは、最低限以下の点を決めておく必要がある

資産管理ポリシーで決める項目
資産管理ポリシーで決める項目

 上記の項目をまとめていくと、最終的には以下の表のように情報が整理されていくだろう。「構成情報」の詳細項目については、次のページにある「脆弱性対応」や「追加の防御策」のポリシー内容によって、追加が必要になる。

資産・構成管理のポリシー例
資産・構成管理のポリシー例

資産管理の中で対応が忘れがちな「抜け漏れ対応」について

 多くの企業・組織でほとんどの担当者が「既に資産管理・構成管理ができている」と話すが、そういった企業・組織でよく対応を忘れがちな点が「抜け漏れ対応」だ。

 購買部経由で機器を購入し、資産を登録しているので、資産管理では全ての機器が登録されていると考えている。しかし実際の現場では、企業や組織のユーザーが自身で購入した機器が勝手に会社のネットワークに接続されているケース、サービスや設備として購入したために機器が資産として登録されないまま会社のネットワークに接続されているケースにおいて、資産管理から抜け漏れしていることがよくある。

 このようなケースに対しては、社内のネットワークに接続されている機器をネットワークスキャンなどで把握しCMDBなどとの突き合わせを行う以外に方法はない。ネットワークスキャンで見つかった端末をどのように資産管理に登録し、管理下に置くかも重要な項目である。

 また、企業・組織における資産の健全性が保つため、ある一定期間ごとにネットワークスキャンで把握された機器と資産管理との突き合わせによる棚卸しの実施を強く推奨する。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    アンチウイルス ソフトウェア10製品の性能を徹底比較!独立機関による詳細なテスト結果が明らかに

  2. 経営

    10年先を見据えた働き方--Microsoft Teamsを軸に社員の働きやすさと経営メリットを両立

  3. セキュリティ

    6000台強のエンドポイントを保護するために、サッポログループが選定した次世代アンチウイルス

  4. セキュリティ

    ローカルブレイクアウトとセキュリティ-SaaS、Web会議があたりまえになる時代の企業インフラ構築

  5. 運用管理

    マンガでわかるスーパーマーケット改革、店長とIT部門が「AIとDXで トゥギャザー」するための秘策

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]