情報機器、装置に対する物理的対策に関して、これらの資産が日常的に取得、利用、廃棄される必要があることから、そのライフサイクルに着目して理解しておくことが必要になります。
下記のライフサイクルから見た物理的策では、ライフサイクルに沿った管理目的、これらの管理目的に対応した想定される脅威と対応する管理策の例を示します。
ライフサイクルから見た物理的策
- ライフサイクル
管理目的(対応する項目):脅威 → 管理策
- 導入
資産の管理責任者の特定と資産目録への登録(資産の管理):紛失、盗難、破損及び廃棄漏れ
→資産管理台帳の整備
- 配備設置
設置場所の管理と環境的リスクの対策(装置の設置及び保護、サポートユーティリティー、ケーブル配線のセキュリティ):火災、災害、電源喪失による破損、悪意をもった破壊
→消火設備の配備、地震対策、環境保全(粉塵温度湿度管理等)
- 利用運用
無人状態にある利用装置の保護(人状態にある利用者装置):機密情報の漏えい、搾取
→・稼働を止められないものは、アクセス制御を厳密に運用する。ログ収集及び異常処理の通知等
・PC等に対しては基本電源オフ、一時的な場合はスクリンセーバーを起動するとともに、ログインするためのアクセス権を設定しておく
書類、記録媒体の保護、情報処理設備に対するクリアスクリーン方針の適用(クリアデスク、クリアスクリーン方針):機密情報の紛失、漏えい、搾取
→・紙、電子記録媒体を机等に放置しない。ファクスやプリンターの出力物を放置しない
・PC等機密情報が記録されている機器で持ち運びが容易なものは盗まれないように保護しておく
・離席等の場合はPCをログオフ、スクリーンセバーを起動させる
・スクリンをのぞき込まれないように視野制限可能なフィルターを設置する
記録媒体に保存された情報の保護(媒体の取扱い):機密情報の入った記録媒体の劣化、紛失、漏えい窃取
→・記録されている情報の分類に従った輸送及び廃棄手順の整備
・取り外し可能な電子媒体の利用制限
・データ劣化防止のための保管管理
・輸送方法の信頼性確保。開封、取り外し防止策を適用する。
・機密情報を復元不可能とする破棄処分手順の整備
社外で利用する場合は、追加管理策の適用(資産の移動、構外にある装置及び資産のセキュリティ):社外に持ち出された情報機器の紛失、情報漏えい、窃取
→移送時の情報機器の保護、電子記録媒体の暗号化
- 保全
点検、保守などの維持管理(装置の保守):故障等による可用性、完全性の遺失
→・維持管理責任者(能力と権限)の指定
・定期診断、予防保全の実施
・保守・維持管理記録の保持
・専門家の必要な装置に対する保守契約と窓口の明確化
- 廃棄又は再利用
データの完全な消去(装置のセキユリテイを保った処分または再利用):廃棄あるいは再利用された情報機器からの情報漏えい、窃取
→・廃棄あるいは再利用する場合の情報の完全消去(物理的、もしくは信頼の置けるソフトウエア消去ツール等の利用)
・溶解ボックスの利用
ライフサイクルで考えた場合にまず、情報機器、装置などの取得、導入時点での資産管理データの登録が要求されます。
これは運用及び最終的な廃棄、再利用の際までを常に可視化することを目的としています。
個々の装置の管理責任者、利用場所、利用可能期間なども常に情報として保持し、変更された場合の変更管理も必要になります。
定期的に現況調査を実施し、管理データと実際の機器が対応していることをチェックする体制が必要となるでしょう。
配備設置時には、災害対策や盗難防止などへの配慮も必要です。
利用、運用中には同じくさまざまなリスク対策が必要になります。
特に最近は、リモートオフィス環境をはじめ社外での活動にさまざまなIT機器が利用されていることから、それらの紛失、盗難などへの対策も必要です。
さらに、廃棄や再利用時には利用していた記録媒体などからの情報の完全な消去対策も必須です。