27-17. 第17章. 物理的対策
17-1. 作成する候補となる実施手順書類について
17-2. 物理的対策として重要となる実施項目
17-3. BYOD、MDM
章の目的
第17章では、情報セキュリティ方針に従ってセキュリティ対策を実施するための具体的な規則としての「対策基準」と、セキュリティ対策の実施手順や方法である「実施手順」について学ぶことを目的とします。
主な達成目標
・ 物理的管理策をもとに、対策基準を策定する手順を理解すること。
・ 策定した対策基準をもとに、具体的な実施手順を策定する方法を理解すること。
要旨
17章の全体概要
17章では、情報セキュリティのために物理的な保護措置を定義する方法について説明しています。まず、組織のレイアウト図を用いて物理的なセキュリティ境界を明確にし、重要な情報資産があるエリアを保護する必要があります。入退室の管理には、従業員証やセキュリティカードを用い、外来者の訪問については記録とエスコートが求められます。さらに、オフィスや施設のセキュリティを高めるために、施錠や外部からの視線を遮る対策も必要です。施設内では監視カメラや侵入者警報を活用し、無人領域にも監視システムを設置してセキュリティを維持します。また、災害や物理的な脅威への対策として、消火器や火災報知器の設置、サーバの転倒防止措置、情報漏えい防止のためのクリアデスク・クリアスクリーンについても解説しています。
17-1. 作成する候補となる実施手順書類について
ISO/IEC 27001:2022附属書Aに基づき、物理的セキュリティ対策のための手順書を策定する方法を説明しています。具体的には、リスクアセスメント結果をもとに適切な管理策を選択し、対策基準を策定するプロセスを示しています。これにより、組織が必要とする物理的な安全対策を標準化し、実施手順を整えることができます。
17-2. 物理的対策として重要となる実施項目
組織の物理的セキュリティを強化するための重要な実施項目を紹介しています。具体的には、以下のポイントが挙げられます。
物理的管理策の項目
7.1 物理的セキュリティ境界
7.2 物理的入退
7.3 オフィス、部屋及び施設のセキュリティ
7.4 物理的セキュリティの監視
7.5 物理的及び環境的脅威からの保護
7.6 セキュリティを保つべき領域での作業
7.7 クリアデスク・クリアスクリーン
7.8 装置の設置及び保護
7.9 構外にある資産のセキュリティ
7.10 記憶媒体
7.11 サポートユーティリティ
7.12 ケーブル配線のセキュリティ
7.13 装置の保守
7.14 装置のセキュリティを保った処分又は再利用
17-3. BYOD、MDM
• BYOD(Bring Your Own Device)
BYODとは、個人が私物として所有している端末(PCやスマートフォンなど)を業務に使う利用形態のことです。BYOD導入に向けたポイント、運用手順を説明しています。
• MDM(Mobile Device Management)
MDMとは、企業で保有しているモバイル端末(スマートフォンやタブレットなど)を一元管理できるシステムのことです。MDMの導入に向けたポイント、運用手順を説明しています。
訴求ポイント
ISO/IEC 27002の内容を参考にして、自社に適した物理的管理策の対策基準を決定し、実施手順を作成することが大切です。
認識していただきたい実施概要
• リスクアセスメントの結果をもとに必要な物理的管理策を選択し、対策基準を策定すること。
• 対策基準は、基本方針とともに公開可能なものとして策定すること。
• 決定した対策基準を実行に移すための実施手順を策定すること。
• 実施手順は、組織の内部文書として従業員に対してわかりやすい実施手順を策定するよう心掛けること。
• BYOD、MDMの概要および運用手順を理解すること。
