19-2-16. 第16章. 物理的管理策
- 16-1. 物理的管理策を参考とした対策基準・実施手順の策定
- 16-2. 各種テーマごとの対策
章の目的
第16章では、情報セキュリティ方針に従ってセキュリティ対策を実施するための具体的な規則としての「対策基準」と、セキュリティ対策の実施手順や方法である「実施手順」について理解することを目的とします。
主な達成目標
- 物理的管理策をもとに、対策基準を策定する手順を理解すること。
- 策定した対策基準をもとに、具体的な実施手順を策定する方法を理解すること。
主なキーワード
物理的管理策、BYOD、MDM
要旨
16章の全体概要
対策基準を策定する際は、ISO/IEC 27001:2022附属書Aの合計93項目の管理策を参考にできます。管理策を参考に、対策基準・実施手順を策定する手順について解説しています。16章では「物理的管理策」を参考に、対策基準を策定する手順について説明し、対策基準それぞれに対応する実施手順の例を説明しています。またテーマごとの対策として、「BYOD」、「MDM」を紹介しています。
16-1. 物理的管理策を参考とした対策基準・実施手順の策定
-
対策基準の策定
ISO/IEC 27001:2022附属書Aの物理的管理策(14項目)を参考に、対策基準を策定します。リスクアセスメントの内容をもとに必要な管理策を選択し、決定した管理策を対策基準とします。
対策基準の内容は、基本方針とともに公開可能なものとして作成します。ISMSに基づく管理策を用いて対策基準を策定する際は、ISO/IEC 27001:2022の文献を参照しながら作成してください。 -
実施手順の策定
管理策(対策基準)をもとに策定されたセキュリティ対策の実施手順の例を、それぞれ紹介しています。紹介する例と、ISO/IEC 27002に記載されている各管理策の手引きの内容を参考に、自社に適した実施手順を策定しましょう。
物理的管理策の項目
- 7.1 物理的セキュリティ境界
- 7.2 物理的入退
- 7.3 オフィス、部屋及び施設のセキュリティ
- 7.4 物理的セキュリティの監視
- 7.5 物理的及び環境的脅威からの保護
- 7.6 セキュリティを保つべき領域での作業
- 7.7 クリアデスク・クリアスクリーン
- 7.8 装置の設置及び保護
- 7.9 構外にある資産のセキュリティ
- 7.10 記憶媒体
- 7.11 サポートユーティリティ
- 7.12 ケーブル配線のセキュリティ
- 7.13 装置の保守
- 7.14 装置のセキュリティを保った処分又は再利用
16-2. 各種テーマごとの対策
テーマごとに、概要や関連する管理策、運用手順などについて説明しています。
BYOD(Bring Your Own Device)
BYODとは、個人が私物として所有している端末(PCやスマートフォンなど)を業務に使う利用形態のことです。BYOD導入に向けたポイント、運用手順を説明しています。
メリット
-
コスト削減
企業は、端末の調達や管理にコストがかかりません。故障した際の修理費用や老朽化した端末の入れ替えも基本的には個人負担となります。 -
使い慣れた端末の業務利用
従業員は、自分の使い慣れた端末を使用でき、操作方法や設定などを新たに覚える必要がないため作業効率があがります。また、仕事用とプライベート用に分けて端末を複数台持つ必要がなくなります。
デメリット
-
シャドーIT
ルールの整備や技術的な対策を講じないと、シャドーITが増加してしまう恐れがあります。 -
セキュリティリスク
個人の端末では、業務に関係ないWebサイトやアプリケーションを利用されるため、ウイルス感染や不正アクセスといった被害にあう可能性が高くなります。
MDM(Mobile Device Management)
MDMとは、企業で保有しているモバイル端末 (スマート フォンやタブレットなど) を一元管理できるシステムのことです。MDMの導入に向けたポイント、運用手順を説明しています。
MDMを導入する際のポイント
利用者の意見を反映した社内ルールの策定、およびMDMの選定
MDMは情報セキュリティの向上や業務効率化に役立ちますが、いくつか注意点があります。たとえば、紛失・盗難されたデバイスがネットワークに接続されていない場合には、初期化などのリモート制御ができません。また、MDMによる制限が厳しくなりすぎると、使い勝手が悪くなり利用者から不満がでる可能性があります。利用者の意見を聞きながら、社内ルールの策定やMDMの選定を進めることが重要です。
訴求ポイント
章を通した気づき・学び
ISO/IEC 27002の内容を参考に物理的管理策の対策基準を決定し、実施手順を作成することが大切です。ドキュメントの作成・更新は大切ですが、本来の目標は、効果的な情報セキュリティ対策の計画と実行にあることを忘れないことが重要です。
認識していただきたい実施概要
- リスクアセスメントの結果をもとに必要な物理的管理策を選択し、対策基準を策定すること。
- 対策基準は、基本方針とともに公開可能なものとして策定すること。
- 決定した対策基準をもとに、具体的に実践するための実施手順を策定すること。
- 実施手順は、組織の内部文書として従業員に対してわかりやすい実施手順を策定するよう心掛けること。
- BYOD、MDMの概要および運用手順を理解すること。
実践のために参考となる文献(参考文献)