0.はじめに
情報セキュリティマネジメントを学習してます。
- 普段書籍で読んだ内容
- 超基本的な知識
- なかなか覚えられず、忘れてしまいやすい内容…など
そういった箇所から個人的に学習用として投稿しました。
第1章「基本知識」
第2章 「セキュリティ管理」
第3章「情報セキュリティ対策」
第4章「情報セキュリティ関連法規」
第6章「テクノロジ ストラテジ」
システム監査
監査とは遵守すべき法令や基準に照らし合わせ、それに則っているか
証拠を収集し利害関係者に伝達すること
監査の業務にはその対象によって、セキュリティの監査コンプライアンスの監査と様々ある
・内部監査
・外部監査
組織内か組織外かからでも監査の方法が異なり
・保証型監査
・助言型監査
適切があることを保証するのか改善提案を行うのかによっても異なる
目的
総合的に点検、評価、検証することで
安全性、信頼性、戦略性、効率性をさらに高め経営方針や戦略目的の実現に取り組むことができる
監査人
・独立性
身分上独立している外観上の独立性
公正かつ客観的に監査判断ができるような精神上の独立性も求められる
切実性があると共に、専門能力を持って職務を実施する必要がある
監査手順
1.監査計画
2.予備検査:十分な監査証拠を入手するための手順、ヒアリングを行う
3.本調査:重要な監査証拠を入手する、現場調査屋資料チェックが主
4.評価結論
監査報告
監査報告書を作成し依頼主に提出
・指摘事項
・改善勧告
明確に参考資料として添付すること
監査終了後の任務
フォローアップという改善指導が必要
またシステム監査の実施結果の妥当性を評価する「システム監査の品質評価」を行う
監査技法
・統計的サンプリング法:サンプルを分析して性質を統計的に
・監査モジュール法:プログラムにモジュールを組み込み実行時の監査データを抽出
・ITF法:架空口座を設置し動作を検証する
・CAAT法:観察としてPCを利用する監査技法
・ペネトレーションテスト
・ウォークスルー法:実際に追跡する技法
コントロール
統計を行うための手続き
想定通り管理が適正に行われているかどうか確認する
具体例として以下のものがある
・エディットバリデーションチェック:入力した値が一定の規則に従っているか
・コントロールトータルチェック:合計値を確認することでデータに漏れや重複がないか
監査基準
・システム監査基準
・システム管理基準
監査人が判断を尺度するのか、元々監査人の行動規範を示すのかによって違う
情報セキュリティの監査
JISQ27001JISQ27002を基に策定されている
内部統制
COSOフレームワークという世界標準のものがある
以下を達成することが必要
【目的】
・業務の有効性および効率性
・財務報告の信頼性:情報の信頼性を確保すること
・事業活動に関わる法令等の厳守
・資産の保全
【基本的要素】
・統制環境:経営者の姿勢や経営戦略など影響を及ぼす基盤
・リスクの評価と対応
・統制活動:職務の把握指示が適正に実施されていることを確保すること
・情報と伝達:正しく伝えられているかどうか
・モニタリング:内部統制が有効に機能していることを継続的に評価するプロセス
・ITへの対応:日本独自の追加要素、IT自体に順応させる意味ということ
ITガバナンス
競争力を高めることを目的とし戦略実行を統制する仕組みを確立するための仕組み
COBIT( Control objective for information and related technology) フレームワークがある
評価改善
CSA(Control Self Assessment)法という有効性について評価を行う手法がある
サービスマネジメント
顧客に対しサービスの形で価値を提供する組織の専門能力の集まりを定義している
目的
システムの運用は保守などをITサービスとして捉えて適切なサービス品質でサービス価値を提供する
サービスマネジメントの構築手順
3つほど手法を以下に記載
・ベンチマーキング
業務のプロセスのベストプラクティスを探し出して分析し現場の業務のやり方を評価し変革に役立てる手法のこと
現状とベストプラクティスの際のことをギャップといい、ギャップ分析が必要
・リスクアセスメント
・CSFKPI
CSF(Critical Success Factor):重要成功要因、成功したかどうかは曖昧にせず確実に評価するために必要なもの
KPI(Key Performance Indicator):実現できたかどうかを確認する指標のこと
ITIL(Information Technology Infrastructure Library)
ITサービスマネジメントのベストプラクティスをまとめたフレームワーク
世界中で活用されている
これをもとにした規格がJISQ20000
ITILは「このようにすれば良いという手法をしますのに対して」
JISQ20000は「適切に運用されていることを認定するために使用されている」
SLA(Service Level Agreement)
サービスレベルの合意
サービスの提供者と委託者との間で提供するサービスの内容と範囲品質に対する要求事項を明確にして合意をしておくことというもの
サービスの設計
・サービスカタログ管理
・サービスレベル管理
・キャパシティ管理
・可用性管理
・ITサービス継続性管理
・情報セキュリティ管理
と様々ある
サービスの移行
・移行の計画立案
・変更管理
・サービス資産管理および構成管理
・リリース展開管理
・サービスの妥当性管理およびテスト
・評価
移行するまでの様々な準備段階がある
移行の方式
・単純移行方式:全システムを一度に移行する
・パイロット方式:特定の一部だけを専攻して移行をする
・並行運用移行方式:並行運用を行う
などがある
マネジメントのプロセス
6つの管理を行う
1.サービスレベル管理
現在全て使用されているITサービスに対して合意されたレベルを達成すること
2.サービスの報告
効果的なコミュニケーションを促進し的に信頼できる報告書作成する
3.サービス継続および可用性管理
顧客と合意したサービス継続あらゆる状況の下で満たすことを確実にするための活動のこと
この中で事業継続計画と言った災害発生時に最小時間でITサービスを復旧させるための計画などを実施する
可用性管理に関しては
可用性、信頼性、保守性、サービス性
と4点の能力値が管理対象になる
4.サービスの予算業務及び会計業務
ここまでにかかる費用を計画管理する予算業務を行う
ランニングコストなどの必要な経費を含めた総保有コストであるTCOを意識することが大切
5.キャパシティ管理
サービス提供者が十分な能力を備えることを確立するために一連の活動を行うことがキャパシティ管理
具体的にはCPU使用率、メモリ使用率、ファイル使用量といった管理指標として測定しそれぞれのリソースの値を設定する
6.情報セキュリティ管理
機密性...のCIA等の7つの項目を満たすように管理する
関係プロセス
他の組織の関係者を適切に管理するためのプロセス
良好な関係を確立するための活動や
委託先での救急車を用いる場合にその方に向けてのの管理が必要
解決プロセス
インシデントと問題を適切に解決するためのプロセスのこと
インシデントは危機であり、問題はその根本的原因
・インシデント管理
インシデントについてまず記録識別をし優先度付けを行う
・問題管理
根本原因を見つけて診断するために調査を行う
総合的制御プロセス
構成要素を明確にして管理するためのプロセス
・CMS(Configuration Management System)
構成管理システムといいこれを構築して一元管理する
大規模で複雑なITサービスとインフラを管理するため
・変更管理
サービスやコンポーネント住所の変更は安全かつ効率的に行うため管理する
単純なオペレーションだけを変更する訳ではなく事業戦略やビジネスプロセスの変更など様々なものがある
CAB(Change Advisory Board)変更アセスメントする変更諮問委員が会開かれる
・リリースおよび展開管理
変更管理プロセスで承認された変更内容を本番環境に正しく反映させるための作業
スケジュール短縮手法
予算や時間の兼ね合いを考えながら行動しなければならない
・クラッシング
コストとスケジュールのトレードオフを分析し最小の追加コストで最大の期間短縮を実現する手法
・ファストトラッキング
順を追って実行するフェーズやアクティビティ(作業)を並行して
実現するスケジュール短縮方法
ガントチャート
よくWBSなどに記載されている進捗状況を表す図のこと
縦と横の項目から一目でわかるように棒グラフの形で表される
その項目を指定する際はWBSの作業をより細分化し要素分解し
細かい作業(アクティビティ)を把握しなければならない