東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

19-2-17. 第17章. 技術的管理策

  • 17-1. 技術的管理策を参考とした対策基準・実施手順の策定
  • 17-2. 各種テーマごとの対策

章の目的

第17章では、情報セキュリティ方針に従ってセキュリティ対策を実施するための具体的な規則としての「対策基準」と、セキュリティ対策の実施手順や方法である「実施手順」について理解することを目的とします。また、技術的管理策に関して、テーマごとの対策について理解することも目的とします。

主な達成目標

  • 技術的管理策をもとに、対策基準を策定する手順を理解すること。
  • 策定した対策基準をもとに、具体的な実施手順を策定する方法を理解すること。
  • Security by Design、ゼロトラスト・境界防御モデル、ネットワーク制御、セキュリティ統制、インシデント対応について理解すること。

主なキーワード

技術的管理策、Security by Design、ゼロトラスト、ネットワーク制御、セキュリティ統制、インシデント対応

要旨

17章の全体概要

ISMSの管理策を参考に、対策基準・実施手順を策定する手順について解説しています。17章では「技術的管理策」を参考に対策基準を策定する手順について説明し、対策基準それぞれに対応する実施手順の例を説明しています。またテーマごとの対策として、「Security by Design」、「ゼロトラスト」、「ネットワーク制御」、「セキュリティ統制」、「インシデント対応」を紹介しています。

17-1. 技術的管理策を参考とした対策基準・実施手順の策定

  • 対策基準の策定
    ISO/IEC 27001:2022附属書Aの技術的管理策(34項目)を参考に、対策基準を策定します。リスクアセスメントの内容をもとに必要な管理策を選択し、決定した管理策を対策基準とします。
    対策基準の内容は、基本方針とともに公開可能なものとして作成します。ISMSに基づく管理策を用いて対策基準を策定する際は、ISO/IEC 27001:2022の文献を参照しながら作成してください。
  • 実施手順の策定
    管理策(対策基準)をもとに策定されたセキュリティ対策の実施手順の例を、それぞれ紹介しています。紹介する例と、ISO/IEC 27002に記載されている各管理策の手引きの内容を参考に、自社に適した実施手順を策定しましょう。

技術的管理策の項目

  • 8.1 利用者エンドポイント機器
  • 8.2 特権的アクセス権
  • 8.3 情報へのアクセス制限
  • 8.4 ソースコードへのアクセス
  • 8.5 セキュリティを保った認証
  • 8.6 容量・能力の管理
  • 8.7 マルウェアに対する保護
  • 8.8 技術的脆弱性の管理
  • 8.9 構成管理
  • 8.10 情報の削除
  • 8.11 データマスキング
  • 8.12 データ漏えいの防止
  • 8.13 情報のバックアップ
  • 8.14 情報処理施設の冗長性
  • 8.15 ログ取得
  • 8.16 監視活動
  • 8.17 クロックの同期
  • 8.18 特権的なユーティリティプログラムの使用
  • 8.19 運用システムに関わるソフトウェアの導入
  • 8.20 ネットワークのセキュリティ
  • 8.21 ネットワークサービスのセキュリティ
  • 8.22 ネットワークの分離
  • 8.23 ウェブ・フィルタリング
  • 8.24 暗号の使用
  • 8.25 セキュリティに配慮した開発のライフサイクル
  • 8.26 アプリケーションのセキュリティの要求事項
  • 8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則
  • 8.28 セキュリティに配慮したコーディング
  • 8.29 開発及び受け入れにおけるセキュリティ試験
  • 8.30 外部委託による開発
  • 8.31 開発環境、試験環境及び運用環境の分離
  • 8.32 変更管理
  • 8.33 試験情報
  • 8.34 監査試験中の情報システムの保護

17-2. 各種テーマごとの対策

テーマごとに、概要や関連する管理策、実施手順などについて説明しています。

  • Security by Design
    開発プロセスの早い段階からセキュリティを考慮することで、開発システムのセキュリティを確保するという考え方です。
  • 境界防御モデル・ゼロトラスト
    境界防御モデルは、信用する領域(社内)と信用しない領域(社外)に境界を設け、境界線でセキュリティ対策を講じることで境界外部からの脅威を防ぐという考え方です。
    ゼロトラストは、「境界」の概念をなくし、守るべき情報資産にアクセスするものはすべて確認し、認証・認可を行うことで脅威を防ぐという考え方です。
  • ネットワーク制御
    クラウドサービス、SDN、SD-WANについて説明しています。
  • セキュリティ統制
    組織が情報資産を守るために採用するセキュリティ対策や仕組みのことです。セキュリティ統制を確立するために実施することができる技術を紹介しています。
  • インシデント対応
    インシデント対応の実施手順、フォレンジックについて説明しています。
訴求ポイント

章を通した気づき・学び

ISO/IEC 27002の内容を参考に技術的管理策の対策基準を決定し、実施手順を作成することが大切です。ドキュメントの作成・更新は大切ですが、本来の目標は、効果的な情報セキュリティ対策の計画と実行にあることを忘れないことが重要です。

認識していただきたい実施概要

  • リスクアセスメントの結果をもとに必要な技術的管理策を選択し、対策基準を策定すること。
  • 対策基準は、基本方針とともに公開可能なものとして策定すること。
  • 決定した対策基準をもとに、具体的に実践するための実施手順を策定すること。
  • 実施手順は、組織の内部文書として従業員に対してわかりやすい実施手順を策定するよう心掛けること。
  • 各種テーマごとに概要を理解し、自社に適した実施手順を策定すること。