実際の情報システムにおいて、日々利用ユーザーの変更や、必要に応じた新しい機能の追加などというものに対応した管理策が必要になってきます。
運用セキュリティの管理策
運用システムに関わるソフトウェアの導入
- 運用システムに関わるソフトウェアの導入を管理するための手順を実施しなければならない
技術的脆弱性の管理
- 利用中の情報システムの技術的脆弱性に関する情報は、時機を失せずに獲得しなければならない。また、そのような脆弱性に組織がさらされている状況を評価しなければならない。さらに、それらと関連するリスクに対処するために、適切な手段をとらなければならない
ソフトウェアのインストールの制限
- 利用者によるソフトウェアのインストールを管理する規則を確立し、実施しなければならない
情報システムの監査に対する考慮事項
- 運用システムの検証を伴う監査要求事項及び監査活動は、業務プロセスの中断を最小限に抑えるために、慎重に計画し、合意しなければならない
アプリケーションソフトなどのインストールの制限、管理も重要なことです。
外部のWebサーバーにあるソフトウェアにマルウェアが寄生し、これをユーザーが知らずにダウンロードすることで、侵入を試みるといったことがよく発生します。
そのため、管理されていないソフトウェアは極力ダウンロードしないという管理策も必要になります。
情報システムで利用されるソフトウェアについては、業務の効率的な実行に必要な最低限のものに限定することで、ソフトウェアの脆弱性を低くすることができ、マルウェア対策の観点においても重要になってきます。
まとめ
運用のセキュリティ①~③を通して、マルウェア対策、バックアップ、ログ管理、ソフトウェア管理の必要性を見てきました。
これらは情報システムの利用者やシステム自体の規模が拡大するに伴い、大変複雑なプロセスになってきます。
特に、極端に手間がかかる管理を人手を介して行おうとしていては、せっかく管理策を用意していても実行されないことになります。
また、実際に実行されているかどうかの定期的な監査も難しくなってしまいます。
セキュリティ対策を行う事で事業運営の効率性が失われてしまっては本末転倒です。
これらの対策を自動的に管理するソフトウェアもあるので、効率的なセキュリティ運用のために活用するのもよいでしょう。
関連記事
運用のセキュリティ① 情報システム運用にあたっての立場と役割、手順及び責任
運用のセキュリティ② マルウェアからの保護、バックアップ、ログの取得・監視