Day #10 情報セキュリティ管理
情報セキュリティマネジメントシステム とは
ISMS (Information Security Management System : 情報セキュリティ管理システム) は、組織において情報セキュリティを管理するための仕組みです。
構築方法や要求事項を ISO 27001 、実践規範を ISO 27002 が国際標準として示しています。国内ではそれぞれ JIS Q 27001 、 JIS Q 27002 が対応します。
情報セキュリティ基本方針 を元に、 PDCAサイクル を繰り返します。
By Karn-b - Karn G. Bulsuk (http://www.bulsuk.com). Originally published at http://www.bulsuk.com/2009/02/taking-first-step-with-pdca.html [CC BY 4.0 (https://creativecommons.org/licenses/by/4.0)], from Wikimedia Commons
- Plan フェーズ
- 具体的な計画を立て、情報セキュリティポリシなどを策定します。
- Do フェーズ
- 責任者が適切に リーダーシップ をとり、法的及び契約において情報セキュリティを順守させるよう、定期的に 情報セキュリティ教育 や訓練などを行います。
- Check フェーズ
- 内部監査やレビューなどの パフォーマンス評価 を行います。また、 コーポレートガバナンス にも影響する 情報セキュリティガバナンス を意識します。
- Act フェーズ
- 継続的な改善行動を行います。
情報セキュリティポリシ とは
組織の情報資産を守るための方針や基準を明文化したもののことを 情報セキュリティポリシ と呼びます。
- 情報セキュリティ基本方針
- 情報セキュリティに対する組織としての方針を示します
- 経営陣によって承認されます
- 目的、対象範囲、管理体制、罰則などが記述され、全従業員および関係者に通知されます
- 情報セキュリティ対策基準
- 情報セキュリティ基本方針とリスクアセスメントの結果に基づき、対策基準を定めます
- 情報セキュリティレベルを維持・確保するための具体的な基準について記述されます
リスクアセスメント とは
情報セキュリティ組織・機関
日々進化する情報セキュリティ攻撃から情報を守るため、組織間で連携できる仕組みが必要です。
- 情報セキュリティ委員会
- 組織の中で CISO (Chief Information Security Officer : 情報セキュリティ管理責任者) をはじめとした、経営層の意思決定組織
- SOC (Security Oparation Center)
- セキュリティ管理サービスを提供する企業が、複数の顧客への対応を行うためのセキュリティ監視の拠点
- CSIRT (Computer Security Incident Response Team)
- 主にセキュリティ対策のためコンピュータやネットワークを監視し、問題の解析や調査を行う組織
- 日本には JPCERT/CC と呼ばれる組織があります
- IPAセキュリティセンター
- JVN (Japan Vulnerability Notes)
- NISC (内閣サイバーセキュリティーセンター)
- サイバーセキュリティ基本法に基づき設置された組織
- サイバーセキュリティ戦略の立案と実施の推進を行う
- ホワイトハッカー
- 高度なセキュリティ技術を善良な目的で使用する人
認証の3要素
ユーザ認証の方法は大きく分けて3種類あります。
- 知識
- ある 情報 を持っていることによる認証
- 例:パスワード、暗証番号
- 所持
- ある もの を持っていることによる認証
- 例:ICカード、電話番号、鍵
- 生体
- 身体的な 特徴 による認証
- 例:指紋、交際、静脈
それぞれ長所と短所を併せ持つため、 2要素認証 または 多要素認証 を行うことが重要です。
耐タンパ性
物理的あるいは論理的に内部の情報を読み取られることに対する耐性のことを耐タンパ性と言います。
例えばICカードは、無理やりに内部の情報を読み取ろうとすると、壊れるなどして情報の流出を防ぎます。
また、回路を難しくし解析がされにくくすることも耐タンパ性があるといえます。
Day #9 サービスマネジメントプロセス
ISO 20000 (JIS Q 20000) では、サービスマネジメントプロセスを次の 4つ に分類しています。
- サービス提供プロセス
- サービスレベル管理
- サービスの報告
- サービス継続及び可用性管理
- サービスの予算業務及び会計業務
- キャパシティ管理
- 情報セキュリティ管理
- 関係プロセス
- 事業関係管理
- 供給者管理
- 解決プロセス
- インシデント及びサービス要求管理
- 問題管理
- 統合的制御プロセス
- 構成管理
- 変更管理
- リリース及び展開管理
JIS Q 20000-1:2012 情報技術−サービスマネジメント−第1部:サービスマネジメントシステム要求事項
サービス提供プロセス
サービスを提供するときに利用されるプロセスです。
サービスレベル管理 (SLM)
現在のすべての IT サービスに対して合意された条件を達成すること、そして将来の IT サービスが合意された実現可能な目標値を満たすように提供されることを目的とした、サービスの品質を管理します。
利用者と提供者の間で SLA (サービスレベル契約) を締結し、 PDCA マネジメントサイクル でサービスの維持、向上を図ります。
yuzutan-hnk-ap-taisaku.hatenablog.com
サービスの報告
効果的なコミュニケーションを促進し十分な情報を伝達するため、適宜に信頼できる報告書を作成します。
サービス継続及び可用性管理
SLM や SLA に対して、実際に指標を守る活動です。
サービス継続性管理 は、いかなる状況においても顧客と合意したサービスを継続できるようにする活動です。災害時の事業への影響を定量的に分析する ビジネスインパクト分析 (BIA : Business Impact Analysis) や リスク分析 (RA : Risk Analysis) を行います。
また、災害発生時に最小時間でサービスを復旧し事業を継続させるため、 BCP (事業継続計画) をもとにした BCM (事業継続管理) を行います。
可用性管理 は、サービスの可用性レベルが合意されたものになるよう、費用対効果に優れた方法で実施するための活動です。次の 4つ の側面から測定・分析・報告を行います。
- 可用性
- 必要な時に必要な機能を実行できる能力
- 信頼性
- 必要な機能を安定して提供できる能力
- 保守性
- 障害後、迅速に通常の稼働状態へ戻す能力
- サービス性
サービスの予算業務及び会計業務
サービスを提供する予算を計画・管理します。これは 事業を行う者がコストを確実に理解する ために行われます。
サービス指向の会計機能により、サービスに直接的に寄与する 直接費 と、直接的には確認できない 間接費 を求め、利用者が負担するよう 課金 を行います。
実際には、導入・実施するコストだけでなく、ランニングコストなどの必要な経費を含めた TCO (Total Cost Ownership : 総保有コスト) を意識します。
キャパシティ管理
SLA の目標値を最適なコストで実現するため、システムにおける容量や性能などのキャパシティを管理します。
サービス設計の段階で キャパシティ目標 を定義し、それを満たしているか パフォーマンス を測定します。
情報セキュリティ管理
情報資産の気密性、安全性、可用性を保つように、情報セキュリティを管理します。
ISMS (情報セキュリティマネジメントシステム) を構築し、企画に基づいた適切な管理を行います。
関係プロセス
サービス提供に関わる他の組織との関係を適切に管理します。
事業関係管理
サービスの提供者と利用者の間の良好な関係を確立するための活動を行います。
苦情の処理や、 顧客満足度 の測定・分析・レビューなどを行います。
供給者管理
サービスの提供者が一部のプロセスをサードパーティ (供給者、サプライヤ) に委託する際、その管理が必要です。
委託の中でも運用を委託する場合、 OLA (運用レベル合意書) を作成します。
解決プロセス
インシデントと問題を適切に解決するためのプロセスです。
インシデント及びサービス要求管理
インシデント とは、計画外の中断や品質の低下により事故などの危害が発生する恐れのある事態のことを指します。 ITIL では以下のように定義されています。
サービスの中断又はサービス品質の低下を引き起こす、あるいは引き起こす場合がある、サービスの標準オペレーションに含まれていないあらゆるイベント
このような状態が起こったときにできる限り迅速に復旧できるよう、識別、記録、優先度をつけるなどの管理を インシデント管理 と言います。
またインシデント発生時にサービスへの影響を低減または除去する方法を ワークアラウンド (回避策) と言います。
問題管理
インシデントの根本原因のことを 問題 と言います。これを突き止め、管理するのが 問題管理 です。
問題を管理することで、結果的にインシデントの発生を防止することにつながります。
多分、こんな感じ (適当)
統合的制御プロセス
IT サービスや機器などの構成要素を明確に管理するためのプロセスです。
構成管理
サービスや製品を構成する全ての CI (Configuration Item : 構成品目) を識別し、管理します。
ほとんどの IT サービスでは構成が大規模で複雑になるため、 CMS (Configuration Management System : 構成管理システム) を用いて管理します。
とくに CMS で使われるデータベースのことを CMDB (Configuration Management Data Base : 構成管理データベース) と言います。
変更管理
サービスやコンポーネント、文書の変更を効率的に行えるよう管理します。
変更がある場合は RFC (Request For Change : 変更要求) を作成し、提供者はそれについて対応します。すべての変更 (RFC) は CMDB に記録します。
また、ステークホルダが定期的に集まり変更についてアセスメントを行う CAB (Change Advisory Board : 変更諮問委員会) が開かれます。
リリース及び展開管理
リリース作業 は、変更管理で承認された変更内容を本番環境に正しく反映します。この作業の管理が リリース管理 と 展開管理 です。
本番環境にリリースした確定版の構成品目 (CI) を DML (Definitive Media Library : 確定版メディアライブラリ) と呼ばれる書庫にまとめて管理します。
Day #8-2 サービスの設計・移行
サービスの設計
サービスの設計は、 SLA で具体的に示された要求を満たすために必要なサービスの設計を行います。
サービスレベル管理、キャパシティ管理、可用性管理、情報セキュリティ管理などのプロセスがあります。
サービスの移行
サービスを運用するためには、システムの稼働環境を用意し、導入・移行を行わなければなりません。
移行計画の策定、変更管理、資産管理、リリース管理、 運用テスト などのプロセスがあります。
移行方式には次のようなものがあります。
もし万が一、移行に問題が発生した場合は、 もとに戻せること が大切です。
Day #8-1 サービスマネジメント
サービスマネジメント とは
システムの運用や保守などを ITサービス としてとらえ、適切な サービス品質 で サービス価値 を提供する専門能力の集まりを サービスマネジメント と言います。
ITIL (後述) では
顧客に対し, サービスの形で価値を提供する組織の専門能力の集まり
と定義されているそうです (棒読み)
ITSMS とは
IT Service Management System の略で、 IT サービス全体を管理する仕組みのことです。
PDCA サイクルを基準とし、以下のような手法でマネジメントを行います。
- ベンチマーキング
- リスクアセスメント
- IT サービスに関わるリスクを洗い出し、大きさや対策の優先度などを評価します。
- だいたいプロジェクトマネジメントのリスク分析のそれ。
- CSF と KPI の定義
- サービスマネジメントの成功に大きくつながる要因である CSF (重要成功要因) を定義します。
- CSF が実現できたかどうかを評価する指標である KPI (重要業績評価指標) を定義します。
- 例えば、「問い合わせに対する対応の品質向上」を CSF とした場合、「同じ問い合わせ内容の再発率」「満足度アンケートの結果」などか KPI になります。
- 経営戦略にも同様の考え方があり、IT サービスマネジメントはその一部であるという考え方もあります。
SLA , SLM とは
サービスの提供者と委託者との間で提供するサービスについて取り決めた契約を SLA (Service Level Agreement) と言います。
SLA には、サービスの 内容 、 範囲 、 品質 に対する要求事項が明確にされ、さらに 達成できなかった場合のルール も含まれています。
これを管理することを SLM (Service Level Management : サービスレベル管理) と言います。
もともとは通信業者が品質を保証するために交わした契約でしたが、現在では多くの場面で使用されています。
ITIL とは
ITIL (Information Technology Infrastructure Library) は、サービスマネジメントに対するベストプラクティスをまとめたフレームワークです。
プロジェクトマネジメントに対する PMBOK と同じく、 ITIL も世界標準のドキュメントです。
ITIL は サービスライフサイクル という、サービスのライフサイクル要素の関連を表した組織モデルからサービスマネジメントにアプローチしています。
- サービス戦略
- IT サービスの 指針を定義 する
- サービス設計
- 適切な 設計および開発 をする
- サービス移行
- サービスの実現を 計画立案及び管理 する
- サービス運用
- サービスの提供に 必要な活動 を行う
- 継続的サービス改善
- サービスの有効性と効率性を 継続的に改善する
By Benny Kamin [CC BY-SA 3.0 (https://creativecommons.org/licenses/by-sa/3.0)], from Wikimedia Commons
補足: ITIL をもとにした国際標準について
ITIL をもとにした ITSMS の運用管理手順の国際基準 が ISO 20000 として定められています。国内では JIS Q 20000 として定められています。
これらは ITSMS 適合性評価制度 として、ITSMS が適切に運用されていることを認定するために使用します。
Day #7-3 プロジェクトコミュニケーションマネジメント
プロジェクトコミュニケーションマネジメント とは
プロジェクト情報の生成、収集、配布、保管、検索、最終的な廃棄を適宜確実に行うために行われます。
人と情報を結びつける役割を果たします。
- コミュニケーションマネジメント計画
- 5W1H を明確にした、ステークホルダの求める条件に合ったコミュニケーション計画を文書化します。
- 情報配布
- コミュニケーション計画書にのっとり、情報の収集と配布を適宜行います。
- 実績報告
- コミュニケーションが適切に行われているか監視し、実績を記録・報告します。
- 完了手続き
- プロジェクトにおけるコミュニケーションを完結します。
Day #7-1 プロジェクト品質マネジメント
プロジェクト品質マネジメント とは
プロジェクトが取り組むニーズを満足させるために品質を管理します。
- 品質マネジメント計画 (品質計画)
- 品質に関する基準を定め、プロジェクトでそれを遵守するための方法を文書化します。
- 品質保証
- 品質基準を確実に満たすため、計画的かつ体系的な活動を行います。
- 品質コントロール
- 品質基準が満ちているか監視・記録し、必要な変更を提案できるようにします。 QC 七つ道具や新 QC 七つ道具などを駆使します。
QC 七つ道具についてはまたいずれ。
品質マネジメントの手法
- 管理図
- ある一つの特性について時間ごとに観測・線グラフ化し、 上方管理限界 と 下方管理限界 を超過していないかを判断します。
- ベンチマーク
- 類似のプロジェクトと同じ評価条件を使って品質を比較し、ベストプラクティスを特定したり改善策を定義したりします。
- レビュー , テスト
- ウォークスルー (開発の担当者などが少人数かつ短時間で非公式に検討を行う) 、インスペクション ( モデレータ と呼ばれる責任者のもと、実際に動作させずに人の目でチェックする) などのレビューや、検証項目をまとめたテスト仕様書に沿って行うテストなどで品質を担保します。
補足: 品質の指標
ソフトウェア製品の品質特性に関する国際基準が、 ISO 9126 として定められています。国内では JIS X0129 として定められています。
- 機能性
- 機能の要求に対して実現されていることを示す特性
- 信頼性
- 安定して稼働することを示す特性
- 使用性
- ソフトウェアの使いやすさを示す特性
- 効率性
- さまざまな資源の使用効率を示す特性
- 保守性
- ソフトウェアの変更のしやすさを示す特性
- 移植性
- 別の環境へ移す場合に関する特性
