この動画は、無料公開期間を経た後、メンバーシップ限定動画になります。動画見放題のメンバーシップ(月額990円)を是非ご利用ください。
企業がITや情報システムを導入するに当たっては、ガバナンス(統治・管理)が非常に重要になります。
経営者や従業員の法令遵守などを監視して統制する「コーポレートがバンス(企業統治)」の中でも、特に「ITガバナンス」でしっかりと統制することが、セキュリティの面でも重視されます。次の3つのポイントで紹介しましょう。
ITガバナンスの要素
情報リスクマネジメント
情報セキュリティマネジメントシステムで、ポリシーなどを文書化しても、それが徐々に統制が取れなくなっていく「死文化」を防がなければなりません。それには、システム監査などで監視体制を整えたりしながら、定期的にポリシーを見直したりする必要もあります。
準拠性マネジメント
規範や基準を守っているかを示す「準拠性」を管理します。収益を上げたり、セキュリティリスクを減らすことは大切ですが、それによって従業員に過度な残業を強いたり等は、社会規範から考えると適切とは言えません。これらの、社会規範に沿ったマネジメントを行います。
パフォーマンスマネジメント
資源を投じた際に、それに対する適切なリターンを得られているかを管理します。それには、コストと収益の可視化などを「ABC分析」などのツールを用いて分析します。
ペネトレーションテスト
セキュリティ製品を導入する際は、その安全性などにおいて自社のセキュリティポリシーを満たしているかをテストしなければなりません。ここで利用されるのが、ペネトレーションテストです。
これは疑似攻撃テストのことで、実際にクラッカーが行うような攻撃を実施し、正しくセキュリティシステムが作動しているかや、脆弱性がないかなどを検査します。
セキュリティパッチの適用
ペネトレーションテストは定期的に行います。特に、新しい攻撃手法やセキュリティホールが日々発見されるため、これに対するセキュリティパッチを適用したり、新しい設定を行うなどして、未知の攻撃に備える必要があります。
最新の情報は「JPECERT/CC」などの機関が発信しているため、これを確認します。
セキュリティインシデントへの対応
不正侵入などの事象のことを「セキュリティインシデント」と呼びます。実際に攻撃を受けた場合や、セキュリティ的な懸念事項が発見された場合、適切に対処をしなければその後の大きな攻撃につながってしまう恐れがあります。
場当たり的な対処を行うと、すぐに同じトラブルに見舞われてしまう「ピンポン感染」と呼ばれる現象になってしまったりするため、慌てずに、あらかじめ決められた作業手順を確認し、セキュリティ管理者への連絡や、ネットワークからの一時遮断などの初動対策を行い、さらにそこから正しい手順で対策をしていく必要があります。
また、システムの復旧後はインシデントの内容や原因、対応方法などを記録し、新しいセキュリティポリシーの策定などに役立てていく必要があります。
