ビジネスにおけるICTへの依存度が高まるにつれ、セキュリティの重要性もまた高まってきています。セキュアにシステムを管理運用するためには、どのようなことに取り組めばよいのでしょうか。本記事ではセキュリティ要件の定義や、その向上のための施策について、総務省の『セキュリティ要件ガイドブック』をもとに解説します。
セキュリティ要件とは
「セキュリティ要件」とは、システムの開発時や導入時などに要求される、セキュリティ上の基準のことです。個々のセキュリティ要件の定義は、業界基準や過去に発生した脆弱性に関する記録などから導き出されます。たとえば、セキュリティ上守るべき対象としては、利用者の情報の漏えいや喪失などから守る安全性や、必要なときに必要な情報を取得できるアクセス性、そしてサービス自体の継続性などが挙げられます。
総務省が作成したセキュリティ要件のガイドブックについて
『セキュリティ要件ガイドブック』とは、総務省が2015年に作成した、セキュリティ要件に関するガイドラインです。本ガイドブックでは特に、学校などの教育現場で利用される、教育クラウドプラットフォームを構築・提供する際に求められるセキュリティ要件について説明しています。とはいえ、ここで述べられていることはセキュリティ要件の原則に適った内容なので、一般的に求められるセキュリティ要件の概要を理解するための助けにもなります。
代表的なセキュリティ要件の種類
続いては、『セキュリティ要件ガイドブック』に基づいて、代表的なセキュリティ要件の種類を解説します。
内部組織
第一の要件は、プラットフォームの安全性を守る「内部組織」の構成、および運用に関するものです。この組織はプラットフォームのセキュリティに関する役割と責任を担い、適切なセキュリティ対策を実施する主体となるものです。
セキュリティ運用においては、この組織を中心として誰がセキュリティ対策を担うのか、運用担当者や責任者をさらに決定し、責任の所在を明確にしなければなりません。誰が責任をもってセキュリティ対策を行うのかが確定することで、対策の実施を確実に進めていく効果があります。
人的資源
第二の要件は、プラットフォームを管理運用する従業員や契約相手など、組織の人的資源に関する事項です。従業員に対しては、守秘義務などのセキュリティに関する要項を雇用契約書の雇用条件欄に記載することが必要です。また、雇用期間中にはコンプライアンス研修をはじめとするセキュリティ教育・訓練を実施し、組織のガバナンスを維持する意識や、そのための手順・スキルなどを身につけさせます。
そして万一、従業員が悪質な内部不正などに手を染めてしまった場合には、懲戒手続きを執り行う必要もあります。さらに、雇用契約終了後も事業に関する機密事項は口外しないようにするなど、雇用終了後についてもセキュリティ上の遵守事項を設定しなくてはいけません。つまり、組織の人的資源に対するセキュリティ対策は、雇用前から雇用後まで長いスパンで考える必要があるのです。
資産に対する責任
第三の要件は、組織の資産に対する責任などを明確にし、対策を施すことです。そのためには、まず守るべき情報資産をすべて特定することから始める必要があります。たとえば、利用者の個人情報などがこれに該当します。守るべき資産に関しては、適切な管理を実施し、資産利用の許容範囲に関する規則の明文化をしなくてはいけません。
また、従業員や委託業者などに対しては、組織との契約が切れた際、速やかにその資産を返却するよう求めることも大切です。たとえば、退職後も利用可能な形でシステムアカウントが残っていたり、退職者の私物PCに業務上のデータが残っていたりする状態は、情報漏えいリスクを拡大させます。
情報分類
上記で指摘した「守るべき情報資産の特定」と関連して、情報資産をセキュリティ上の重要性に応じて分類することも大切です。たとえば、「重要度の高いデータベースには、権限の高い人しかアクセスできないようにする」などが対策として考えられます。
また、情報資産にラベル付けをすることで、検索性の向上が図れます。これは「必要なときに必要な情報にアクセスできる」というセキュリティ要件を充足するための施策です。なお、利用者の個人情報については、個人情報保護法に則した法的対応が必要となります。
アクセス制御
アクセス制御も重要なセキュリティ要件のひとつです。アクセス制御に関して求められる要件は多岐にわたりますが、遵守すべきこととしては、主に以下が挙げられます。
- 個人情報保護法などにも配慮したアクセス制御方針の策定
- システム運用者および利用者に対するアクセス権の割り当て・更新・削除の適切な実施
- システム運用者に対する特権的アクセス権限の割り当て・制限
- システム運用者および利用者へパスワードを割り当て、保護すること
- システム運用者および利用者のアクセス権の定期的な管理と更新
- セキュアなログオン手順(認証装置)の制御
- プログラムソースコードへのアクセス制限
基本的な考え方としては、「必要なときに、必要な人に、必要な情報だけアクセスできること」がアクセス制御に求められる要件です。
物理的セキュリティ
施設や区画、装置などに関する物理的な措置も、セキュリティを高めるためには必要です。物理的な脅威としては、災害・停電・盗難・破壊などが考えられます。物理的なセキュリティを高めるためには、たとえば「オフィスや重要設備が設置されている部屋には入退室制限を課す」など、物理的なセキュリティ境界を設定して運用することが大切です。
運用のセキュリティ
運用上の使いやすさなども、セキュリティを高めるためには重要です。たとえば、操作ミスで重要なデータを消してしまうことがないように、マニュアルを用意するなどして対策する必要があります。また、システムの安定的運用のためには、現在および将来の利用状況も考慮して、余裕のあるシステムないしマシンスペックを用意するのがおすすめです。
セキュリティ管理施策について
セキュリティ要件が満たされないことで、具体的にどのようなリスクが懸念されるのでしょうか。以下では、『セキュリティ要件ガイドブック』に基づいて、想定される主なリスクを解説します。
保護すべき情報が漏えいするリスク
セキュリティ上の問題として第一に懸念されることは、保護すべき情報が漏えいしてしまうことです。たとえば、企業の機密情報や利用者の個人情報が流出してしまえば、それは経済的にも社会的信用にも大きな痛手となる可能性があります。また、従業員のアカウントが乗っ取られたり、従業員自身が内部不正に手を染めたりすることによって、管理・制御用のインターフェイスが奪われたり悪用されたりするおそれもあります。
情報及び処理が改ざんされる
情報や処理の改ざんリスクも懸念されます。たとえば仮想化技術やクラウドサービスは、ほかの利用者と紐づいた構造になっているので、万一ネットワークの設定ミスなどが生じた場合、利用者全体のシステム障害につながってしまうおそれがあります。また、内部不正者による情報改ざんや悪用なども懸念されることです。
サービス提供ができなくなるリスク
セキュリティに脆弱性があることで、サービス提供自体ができなくなってしまうリスクもあります。たとえば、ユーザー需要がシステムのインフラやリソースを超えてしまうと、システム障害が発生したり、サービスに悪影響が出たりする可能性があります。
またクラウドサービスでは、他ユーザーの悪質な行動の巻き添えを食う形で、同じIPアドレスを持つユーザーが外部サービスからブロックされてしまうこともあるようです。さらに、同じクラウドサービス内を起点としたDDoS攻撃/DoS攻撃は、インターネットを経由した攻撃よりも脅威度が高いことが、『セキュリティ要件ガイドブック』にて指摘されています。
まとめ
セキュリティ要件とは、システムを安全に運用するために要求される条件のことです。総務省の『セキュリティ要件ガイドブック』では、セキュリティ要件を高めるための基本的な考え方が提示されています。自社のセキュリティ対策をご検討中の方は、まずこのガイドブックを通してセキュリティ要件の理解を深めることをおすすめします。
