セキュリティ仕様の検討プロセス
セキュリティ仕様の合意 †
セキュリティ仕様を合意するためには、「守るべきものは何か」「どのように守るか」「費用対効果は適切か」という観点についてユーザー、ベンダーがNDAを締結した上で、正しく共有する必要があります。正しく適切なセキュリティ仕様は、ユーザーの正確な情報提供義務が必須です。
また、ベンダーは情報に基づくリスク分析、技術的対策の検討、費用対効果を分かりやすく説明し、プロジェクトを成功に導く専門家としての義務があります。
防御側の課題 †
- モバイルを前提とした場合、ユーザー認証をオフラインでやらざるを得ない状況が存在する
- このため、ローカルにユーザー認証を行う仕組みが必要だが攻撃の対象となる(トレードオフ)
- 自動起動、スクリプト、リモート操作はなどマルウェアにとって有用な仕組みは、他のシステムでも有用(トレードオフ)
- ユーザーの誤操作の存在
- 攻撃側の手法の高度化が進み、従来型の対策では追い付かない
防御側の戦略 †
- ユーザー教育が重要
- 侵入を前提とし、早期検出と被害の最小化を優先する
- あらゆるノイズを含めた振る舞いを組織全体で収集・分析できることを最終目標にする
- 侵入されたことが判明した場合、遮断の実行と振る舞い分析にフィードバックする
- 他の侵入事例も後から解析し直すことで検出でき、バリエーションの検出にもつながる
- グループを含めた幅広い組織全体の参画でより精度が高まり、拡散の防止につながる
- ハードウェア、ソフトウェア資産の情報収集
- それぞれのバージョン、脆弱性管理の実施
- 自動化の試みもしくは自動化可能な資産との入れ替え
ユーザーのやるべきこと †
システムの重要な情報資産の明確化とリスクの検討 †
- 対象となる法規制の明確化
- 自社が受ける法的な規制やガイドラインを明確化し、本件システムが規制対象となる場合の法令等と遵守事項、罰則などを文書化します。
特に個人情報保護法は3年ごとの見直しがあり、これに連携し、業界向けのガイドラインの改定もあることから注意が必要です。 - GDPRを始めとする他国の規制について、関連があれば文書化します。
- 自社が受ける法的な規制やガイドラインを明確化し、本件システムが規制対象となる場合の法令等と遵守事項、罰則などを文書化します。
- 構築するシステムで取り扱う重要な情報資産の明確化
- 個人情報が含まれる場合、要配慮個人情報や機微(センシティブ)情報(金融ガイドライン)などが含まれるかを文書化します。また、関連する個人情報を取り扱うすべての部署、担当者(パートやアルバイト、外注業者も含む)の入出力に関する権限(入力、閲覧、加工、出力)も文書化します。
- 営業情報が含まれる場合、インサイダー取引の対象となるかを明確化します。個人情報と同様に関連する関係者の入出力に関する権限を文書化します。
- 知財情報が含まれる場合、漏洩や公開に伴う競争上のリスク、社会的被害や金銭的被害を検討し、文書化します。
- 情報資産はできるだけ持たないことを念頭に置き、必要のない情報は物理的な資産を含め削除・廃棄します。
- 経営陣との合意
- 重要な情報資産が漏洩したり公開された場合の、ステークホルダーの社会的被害と損害賠償額、逸失利益、再発防止や信用回復に係る活動について可能な限り金銭的に算出します。また、企業存続へのインパクトも検討します。
- 重要な情報資産へのアクセス停止(不法な暗号化や改ざん、滅失)に伴うインパクトを金銭的に算出します。これには、システムの再構築やデータの再入力も考慮します。
- 以上を整理し、システム構築費におけるセキュリティ対策費用のバランスを経営陣とともに検討し合意します。
システムのネットワーク構成の明確化 †
機密性、完全性、可用性を維持するためには、セキュリティ設定の大前提となるシステムの正確なネットワーク構成情報が必須です。必要な範囲をベンダーと確認しながら共有し、想定外の経路からの攻撃や侵入を防止しなければなりません。
- IPアドレス構成(セグメント単位)
- セグメントごとの許可されているプロトコル
- ルーティング情報
- Firewall設定
- VPN構成(セグメント、プロトコル、認証方式等)
- 公開サーバー情報(公開プロトコル、制御接続方式、認証方式、DMZ構成等)
- 重要資産を保存しているサーバー情報(IP、機微情報の有無、項目、暗号化の有無、保存方式)
- 重要資産にアクセスする端末情報(IP、アクセスが許可される項目、ローカルの保存の有無、保存方式)
昨今、働き方改革で、在宅勤務や社外サテライトから企業ネットワークに接続する機会が増えています。
社外ネットワークに接続されるNotePCやスマートフォンのセキュリティ維持は、健全な企業ネットワーク維持につながります。在宅勤務で使用するPCと家庭内ネットワークの健全性もまったく同様といえます。企業ネットワークに脆弱性がなくとも、在宅時に接続するルーターやPCに脆弱性があれば重大な脅威となります。
以上に加えて、別途、構成中や将来的に変更されるネットワーク構成があれば、それらも事前にベンダーと共有することが必要です。
運用方針の明確化 †
運用方針をベンダーと共有し、運用に見合ったシステム構成の提案を受ける必要があります。
- 重要資産の保管場所への物理的アクセスの制限
- 修正プログラムの適用方針(対象、適用する時期、テスト等)
- 管理者の接続制御(認証方法、セグメントの分離や物理的制限等)
- 一般ユーザーに付与されている権限
- 開発者に付与されている権限
- ログの保全、監査の有無と保存期間
ベンダーのやるべきこと †
セキュリティ要件の明確化 †
ベンダーはユーザーと共に、前項の「システムの重要な情報資産の明確化とリスクの検討」、「システムのネットワーク構成の明確化」、「運用方針の明確化」において共有した内容が、契約の対象となるシステムが及ぼす影響範囲で漏れがないか確認します。
- 共有した情報が文書として過不足なく管理されているか確認します。
- ユーザーと検討したセキュリティ要件に基づいてRCM等を共有し、ベンダーはセキュリティガイドラインに記述されている攻撃手法をもとにリスクベースの適切な緩和策を提案します。
- ユーザー側の緩和策とベンダー側の緩和を明確に併記してユーザーと検討します。
- ガイドラインの緩和策は対策推奨度を参考に効率的な対策を選択します。
- 残存リスクが許容リスクを下回らずコストが見合わない場合は、以下の項目を参考に検討します。
- 管理するべき情報資産の見直し(業務上必要のない情報資産の洗い出し)
- 情報資産の分散管理の改善
- 運用管理方法を見直しや、クラウド移行を含めた運用業務のスリム化
- セキュリティ管理業務の自動化による人件費削減
- リスク受容の選択肢も含めユーザーとリスク管理に関する合意をします。必要に応じてセキュリティ有識者等に依頼し、コメントを求めます。