実際の情報システムにおいて、日々利用ユーザーの変更や、必要に応じた新しい機能の追加などというものに対応した管理策が必要になってきます。
運用セキュリティの管理策
マルウェアに対する管理策
- マルウェアから保護するために、利用者に適切に認識させることと併せて、検出予防及び回復のための管理策を実施しなければならない
情報のバックアップ
- 情報ソフトウェア及びシステムイメジのバックアップは、合意されたバックアップ方針にしたがって定期的に取得し、検査しなければならない
イベントログ取得
- 利用者の活動、例外処理、過失及び情報セキュリティ事象を記録したイベントログを取得し、保持し、定期的にレビューしなければならない
ログ情報の保護
- ログ機能及びログ情報は、改ざん及び認可されていないアクセスから保護しなければならない
実務管理者及び運用担当者の作業ログ
- システムの実務管理者及び運用担当者の作業は、記録し、そのログを保護し、定期的にレビューしなければならない
クロックの同期
- 組織またはセキュリティ領域内の関連するすべての情報処理システムのクロックは単一の参照時刻源と同期させなければならない
マルウェアからの保護
マルウェアからの情報システム保護や、システムの誤動作、過失などによるデータの消失を防ぐためのバックアップも必要です。
マルウェアは、主にアプリケーションソフトやオペレーティングシステムの脆弱性を突いてきます。
そのため、PCやサーバーにマルウェア対策ソフトを導入するだけでなく、脆弱性対策も合わせて運用する必要があります。
具体的には、ソフトウェアのパッチの管理です。
一般的なマルウェア対策ソフトは、いわゆるシグニチャベースで行なわれています。
しかし、シグニチャが供給される前にマルウェアが侵入していることもあり得るため、シグニチャが更新されたタイミングでのマルウェア対策ソフトによるハードディスクの定期的なスキャンが必要になるのです。
バックアップ
バックアップは、システムの誤動作、過失などによるデータの消失を防ぐためだけでなく、マルウェア対策としても必要です。
マルウェアに侵入された場合、フォレンジック等の処置を行なう必要が出ますが、その間の業務が止まってしまいます。
これを最小限に防ぐために、データのバックアップや代替機の準備などが必要になってくるのです。
ログの取得・監視
マルウェアの侵入や内部犯行のタイミング、被害範囲特定のために、フォレンジックやイベントログの調査を行いますが、これらをおこなうにはシステムのログが欠かせません。
通常のシステム運用のログだけではなく、インシデントの検知やインシデント対応に必要な情報記録という観点での設計が推奨されます。
ログを定期的にレビューすることによって、内部犯行を含めた不適切な処理が行なわれていることを見つけることも可能です。
ログの収集にあたっては、ログ情報自体の保護だけでなく時刻情報の保護も重要になります。
これらは、マルウェアや内部犯行者が書き換えによって、証拠隠滅を図るのを防ぐことを意味しています。