システムやネットワークにおけるセキュリティ上の欠陥や弱点を指す「脆弱性」。昨今、脆弱性に起因する情報システムへの不正アクセスや、システムの設定ミスによる情報漏洩などのセキュリティ事故が増加しています。
こうした状況を受けて、企業や自治体などの情報セキュリティに対する意識はますます高まっており、セキュリティ分野の解説記事やガイドラインなど、インターネットでもたくさんの情報が飛び交っています。
とはいえ、システムやネットワークの構成は組織によってさまざま。必要なセキュリティ対策や組織内の役割分担も、大きく異なります。いざセキュリティ対策を実施しようとしたとき、何をすればいいの……?と頭を悩まされる方も多いのではないでしょうか。
そこで今回は、一般的に必要とされるセキュリティ対策の例を、組織内のポジション(担当業務)ごとに整理しました。記事の後半では、それぞれのセキュリティ対策について具体的な実施内容を掘り下げて紹介しています。各ポジションで想定している担当業務とご自身の担当業務を照らし合わせながら、当てはまる部分を参考にしてみてください。
セキュリティ対策に何から手をつけたらいいか分からない……そんな皆さんにとって本記事が指標の一つになればと思います。
この記事で触れている担当ポジション
担当業務別!一般的に必要となるセキュリティ対策の例
このパートでは、ポジション(担当業務)ごとに求められる一般的なセキュリティ対策の例を紹介していきます。
想定される担当業務(役割)
サーバのハードウェアおよびハードウェア上で動作するミドルウェア(データベースやWebサーバ、アプリケーションサーバなど)について、保守や運用も含めた管理を担当します。
※小規模な組織や組織内の業務分担によっては、アプリケーション運用者やネットワーク管理者、社内IT管理者としての役割も兼ねている場合があります。
※この記事では本番環境のネットワークを管理する管理者を例として説明します。
想定されるネットワーク構成および管理責任範囲
| 一般的に必要とされるセキュリティ対策の例 |
|---|
|
想定される担当業務(役割)
[アプリケーション開発者]
ミドルウェア上で動作するアプリケーションの開発を担当します。
[アプリケーション運用者]
アプリケーション開発後における運用/保守の実施を担当します。小規模な組織や組織内の業務分担によっては、サーバ管理者やネットワーク管理者の役割も兼ねている場合があります。また、検証環境や開発用端末などの管理においては、サーバ管理者やネットワーク管理者、社内IT管理者の役割も兼ねている場合があります。
※アプリケーションの開発・運用形態は、それぞれが独立したチームとして存在する場合や、自組織内で開発/運用する場合、他社アプリケーションの開発/運用のみを受注する場合など、多岐にわたります。この記事ではアプリケーション開発と運用をひとまとめにして説明します。
想定されるネットワーク構成および管理責任範囲
| 一般的に必要とされるセキュリティ対策の例(Webアプリケーションの開発/運用を例とした場合) |
|---|
|
想定される担当業務(役割)
ルータやスイッチなどのネットワーク機器や、外部へのインターネット通信などの通信経路について、保守や運用も含めて管理を担当します。
※小規模な組織、組織内の業務分担によっては、サーバ管理者やアプリケーション運用担当者、社内IT管理者としての役割も兼ねている場合があります。
想定されるネットワーク構成および管理責任範囲
| 一般的に必要とされるセキュリティ対策の例 |
|---|
|
想定される担当業務(役割)
いわゆる情報システム部門のような立場です。従業員端末などの組織内で使用するOA端末/OA機器や、組織の中枢を担うサーバ、ネットワーク機器および通信経路について、保守や運用も含めて管理を担当します。
※組織内のセキュリティ向上を目的として、従業員向けに情報セキュリティ教育を展開する役割も担っている場合があります。
想定されるネットワーク構成および管理責任範囲
| 一般的に必要とされるセキュリティ対策の例 |
|---|
|
さらに深堀り!それぞれのセキュリティ対策における実施内容
ここからは、記事の前半で整理したそれぞれのセキュリティ対策について、より具体的な実施内容の一例をご紹介します。ご自身の担当業務についてポジションアイコンを参考に、どのようなセキュリティ対策に取り組むべきか考えてみましょう。
※文中のEOL/EOSについて、EOLはEnd Of Life、EOSはEnd Of Supportの略となります。いずれも製品の有効サポート期間のことを意味します。
サーバのセキュリティ管理
| 具体的な対策の実施内容 |
|---|
|
なお、上記内容が適切に実施できているか検証する場合、一般的には以下のような方法を用いて検証を実施します。
- セキュリティ診断(プラットフォーム診断)
- ペネトレーションテスト
Webアプリケーションのセキュリティ管理
| 具体的な対策の実施内容 |
|---|
|
なお、上記内容が適切に実施できているか検証する場合、一般的には以下のような方法を用いて検証を実施します。
- セキュリティ診断(Webアプリケーション診断、プラットフォーム診断、ソースコード診断)
- ペネトレーションテスト
ネットワークのセキュリティ管理
| 具体的な対策の実施内容 |
|---|
|
なお、上記内容が適切に実施できているか検証する場合、一般的には以下のような方法を用いて検証を実施します。
- セキュリティ診断(プラットフォーム診断)
- ペネトレーションテスト
OA端末/OA機器のセキュリティ管理
| 具体的な対策の実施内容 |
|---|
|
なお、上記内容が適切に実施できているか検証する場合、一般的には以下のような方法を用いて検証を実施します。
- セキュリティ診断(プラットフォーム診断)
- ペネトレーションテスト
ID/アクセス権管理
ID/アクセス権管理に関するセキュリティ対策では、業務上必要なユーザアカウントに対し必要最小限の権限のみが付与されるように管理する必要があります。
また、特権ユーザアカウントと一般的に業務で利用するユーザアカウントは明確に分けておくことが一般的です。
なお、管理対象となるユーザアカウントの例として、以下のようなものがあります。
| 管理対象となるユーザアカウントの例 |
|---|
|
マルウェア/ウイルス対策
マルウェア/ウイルス対策に関するセキュリティ対策では、一般的に以下のような対応が実施されます。
| マルウェア/ウイルス対策におけるセキュリティ対策の一例 |
|---|
|
コンプライアンス対応
システムの特性や業種などによっては、コンプライアンス対応の一環としてセキュリティ対策の実施が要求される場合があります。
実施の必要があるセキュリティ対策の内容は、各国の関連法規/ガイドラインや業種などに依存しますが、セキュリティ対策の実施だけでなく、セキュリティ診断/ペネトレーションテストの実施についても必要となる場合があります。
| セキュリティ対策ガイドラインの一例 |
|---|
|
[汎用的なセキュリティ対策ガイドラインの一例]
[業種別のセキュリティ対策のガイドラインの一例]
|
従業員向け情報セキュリティ教育
従業員向け情報セキュリティ教育の例として、以下のようなものがあります。
| 従業員向け情報セキュリティ教育の例 |
|---|
|
実際の情報セキュリティ対策の計画策定および実施にあたっては、組織の情報セキュリティ対策に関する統括責任者(CISO)を定め、組織全体としての観点で推進していくことが推奨されます。CISOは専任の統括責任者が任命されるか、社長が兼任している場合が一般的です。
- システムに求められるセキュリティ水準は業種やシステムの特性によって異なるため、組織としての情報セキュリティ対策のレベル感や、対応の優先度などを判断する責任者が必要となります。また、費用やリソース不足などの理由で一度にすべての情報セキュリティ対策を実施することが難しい場合、対応優先度についての判断も必要です。
- セキュリティ対策における責任を整理・明確化し、対策の実施もれや考慮もれが発生することを防ぐため。各担当者が個別にセキュリティ対策を実施する体制では、担当者間で管理責任があいまいな機器や業務が存在した場合に対策もれが発生したり、担当者間の認識の相違などにより、意図せずセキュリティ上の問題が発生したりする場合があります。
まとめ
情報セキュリティ対策においては、サーバ管理者、ネットワーク管理者、アプリケーション開発・運用者、社内IT管理者などの各担当者がそれぞれの役割に応じて適切な対策を講じることで、組織全体におけるセキュリティを向上することができます。
ユービーセキュアでは、情報セキュリティ対策の導入・内製化支援や、セキュリティ診断サービスの提供、組織の情報セキュリティ対策に関するコンサルティングサービスなど、各担当者に合わせた具体的な幅広いソリューションを提供しています。ぜひ一度お気軽にお問い合わせください。
