|
   |
|
 |
|
 HOME |
  会社概要お問い合わせ |
|
|
情報セキュリティ監査基準について ■技術的検証 セキュリティベンダーがセキュリティ監査と言った場合は、以前はこの技術的検証(ペネトレーションテストなど)を指す場合が多かったのですが、最近では徐々に、セキュリティ監査はセキュリティに関するマネジメントシステムが効果的に機能しているかを監査するということに変化してきています。経済産業省の情報セキュリティ管理基準には、特に技術的検証項目を定めたものはありませんが、電子政府における一般的な組織体を想定した「電子政府情報セキュリティ監理基準」には、技術的検証項目の欄があります。また、総務省が出している「地方公共団体における情報セキュリティ監査の在り方」には、技術的検証における「具体的な技術的確認点」が書かれています。 冒頭に書いたように、情報セキュリティ監査は情報資産に対するマネジメントが効果的に実施されているかという視点にあるので、技術的な検証項目を実施して「どこまで対策をされているか」を監査することは、効果的だと考えられます。 技術的検証は大別すると、設計などの評価系と脆弱点調査などの検査系に分かれます。つまり、セキュリティを考慮して設計されているかを評価し、それらが実装されているかという点を検査して、検証していくわけです。身近な例では、皆さんが使っているパソコンにアンチウィルスソフトがインストールされている場合、管理者権限を持っている方にどのような設定(パターンファイルの更新方法など)になっているかを、書面もしくはインタビューで確認して評価するというのが、評価系です。また、その設定がパソコンに実際に設定されているのかを検査するのが、検査系ということになります。 クライアントパソコンのアンチウィルスソフトのように比較的簡単に検査できる場合は、内部監査でも対応できると思いますが、外部に公開しているサーバや、その上で動作しているWebアプリケーションのような高度な検証が必要な場合は、外部の信頼できる業者に依頼するのが、ベストと言えます。特に、B to Cで、事業を始めるような場合は、サービスを開始する前に技術的検証を実施することが重要だと思います。 技術的な検証を外部に委託する時に気をつける点としては、該当するシステムの設計や構築などを行っていない第三者的な立場で見ることのできる人(企業)に委託する点と、検証作業がスキルに依存するため、できれば毎回違った人(企業)に委託する点です。情報システム関わる脅威は、時間と共に変化し増加する傾向にあるため、常に新たな視点で技術的な検証を実施することが効果的であると言えるでしょう。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
| | サイトポリシー | リンクポリシー | プライバシーポリシー | サイトマップ | | Copyright JMC Co.,Ltd. All rights reserved. |
