1.2.1 セキュリティポリシーと手順について

ビジネスモデル、特定の業界、および組織が直面する固有のセキュリティリスクに基づいて、情報セキュリティポリシーが組織間で異なることは一般的です。

さまざまなバリエーションがあっても、セキュリティポリシーの目的は似ています。すべてのセキュリティポリシーの基礎は、特定のセキュリティの脅威とそれらが組織に与える影響を調べるセキュリティリスクの評価となります。[Jackson 2010年]

セキュリティポリシーの例には以下が含まれますが、これらに限定されるものではありません。[Jackson、2010]

許容行動

このポリシーは、組織のセキュリティポリシーと手順に準拠するためにコンピュータシステムのユーザーが従う必要があるプラクティスを定義します。
このポリシーは、ネットワーク、Webサイト、データなどのデジタルリソースを使用する際の許容できる行動と許容できない行動の両方を対象としています。

また、このポリシーは組織のシステムの内部ユーザーと外部ユーザーの両方に適用できます。システムのユーザーが常にポリシーを理解して従うことが重要です。

混乱や偶発的によるポリシー違反を防ぐために、許容できる行動、許容できない行動、および要求される行動に関する特定の規則を定義する必要があります。

最小アクセス

このポリシーは、特定のタスクを実行するために必要な最小限のアクセスレベルを定義します。
このポリシーの目的は、タスクを実行するために必要となる権限を超えたアクセス権がユーザーに付与されることを防ぐことです。

必要以上に高いアクセス権を持つことは、不注意または意図的なユーザー特権の悪用の機会を提供する可能性につながります。

ネットワークアクセス

このポリシーは、ローカルエリアネットワーク（LAN）やワイヤレスネットワークなどのさまざまな種類のネットワークにアクセスするための基準を定義します。

さらに、このポリシーは、ネットワーク上で許可されているものと許可されていないものを定義します。このポリシーは、多くの場合、ルーターやホットスポットなどの未承認のデバイスをネットワークに追加することをユーザーに禁止します。

リモートアクセス

このポリシーは、リモートネットワークアクセスを社内従業員と社外（従業員以外）の両方のユーザーに付与できるようにするために必要となります。
VPNの使用法はこのポリシーでカバーされることがよくあります。

インターネットアクセス

このポリシーは、組織の従業員およびゲストによるインターネットの許可する使用法を定義します。
このポリシーの範囲には、ギャンブルやポルノサイトなど、アクセスされる可能性がある、またはアクセスされない可能性があるWebサイトの種類が含まれ、さらにインターネットの非営利目的での使用が許可されるかどうかまで含まれます。

ポリシーでカバーされている項目のいくつかは、利用規定でも取り上げられているかもしれませんが、インターネットビジネスを行っている組織などはこのポリシーを個別に定義する場合があります。

ユーザーアカウント管理

このポリシーは、ユーザーアカウントの作成、保守、および削除を定義します。
ポリシーへのコンプライアンスを確実にするために、ユーザーアカウントの定期的な監査もこのポリシーでカバーされています。

データ分類

セキュリティの観点からデータを分類する方法はたくさんあります。
本シラバスでは、「機密データ」という用語は、損失を防ぐために保護する必要があるデータの総称として使用されています。
このポリシーは、機密と見なされ、保護する必要があるさまざまな種類のデータを定義します。
このポリシーを持つことで、組織は、組織とその顧客にとっての価値に基づいてデータを保護するためのコントロールを作成することができます。

通常、データを作成する部署は、標準の分類構造に基づく分類でのデータに責任を持ちます。

以下は、（ビジネスコンテキストからの）データ分類構造の例です。

Public
組織の内外を問わず、誰でもこのデータを見ることができます。
（例：外部向けの文書やWebページ）

Confidential
通常、内部で作成された文書のデフォルトの分類となります。
これらの文書には、組織の内部で使用されている電子メール、レポート、およびプレゼンテーションを含めることができます。
一例が売上報告です。このデータは許可されたユーザーだけがこのレベルの情報を扱うことができるはずです。
この種の情報をコンサルタントなどの第三者と共有する前に、機密保持契約が必要とされます。

Highly confidential
組織内の特定の人だけが利用できるようにする必要がある機密性の高い機密情報です。
これには、企業秘密、戦略計画、製品デザイン、および非公開の財務データなどの情報が含まれます。

このタイプのデータの共有は、データ所有者の明示的な許可がある場合を除き、許可されていません。

Private
その情報にアクセスする権限を特別に与えられている必要がある組織の役員に限定されることが多い情報です。
開示された場合、この情報は組織に財務上の悪影響などの大きな悪影響を及ぼす可能性があります。
損失に伴うリスクが高いため、顧客情報は細心の注意を払って保護する必要があります。
このデータには、研究開発情報、M&A計画、クレジットカードやアカウント情報などの顧客情報が含まれます。

Secret
企業では、これは組織が変更を加えるために外部の当事者から得る情報ですが、それは組織の内外で知られることは許されていません。

企業における例は、他の会社の共同作業を含む新しいタイプの技術に取り組んでいるコンサルタントによって作成された設計文書であり、それぞれが技術が明らかにされる準備ができるまで情報を秘密のレベルに保たなければなりません。

それは、情報自体が組織にとって明白な価値を持たない可能性があるという点を除いて、機密性の高いものと同等です。

上記の点で、この情報は企業秘密とは異なります。
しかし、秘密情報の開示は、組織、他の組織、または国に害を及ぼす可能性があります。
軍事および政府では、これは開発または入手できる情報です。
しかし、ある程度のセキュリティクリアランスを持っている人だけが知っている必要があります。
軍事では、この情報には、国防に極めて重要な直接的な軍事適用を有する新しい技術開発または技術を組み込んだ科学的または研究プロジェクトの詳細が含まれます。

構成および変更管理

このポリシーは、予期しない影響による機能停止を防ぐために、システムへの変更の管理および構成方法を説明するなど、通常運用の内容を定義します。

セキュリティの観点から、構成管理はセキュリティ設定が安全なデバイスやアプリケーションにどのように適用されるかをコントロールします。
危険なことは、安全なデバイスを不正に変更すると、検出されない可能性があるセキュリティの脆弱性を引き起こす可能性があることです。

もう1つのリスクは、コードまたはアプリケーションの構成に対する許可されていない変更がセキュリティ上の脆弱性を引き起こす可能性があることです。

このポリシーには、使用される標準構成、すべての変更に対する承認プロセス、および問題が発生した場合のロールバックプロセスが含まれます。

このポリシーは、組織内のすべてのITサービス、アプリケーション、およびデバイスに適用できます。

サーバーセキュリティ

このポリシーは、企業のセキュリティプラクティス、およびサーバーとシステムのインストール、構成、および運用に関する業界のベストプラクティスに従う責任をサーバーの所有者に伝えます。

さらに、ベースライン構成は定義および維持することが義務付けられています。

このポリシーで説明されているプラクティスの例には、セキュリティ要件、バックアップと回復、およびアクティブなサービスをアプリケーションの実行に必要なものに限定することが含まれます。

このポリシーには、サーバーが正しく構成および更新されていることを確認するための要件の監視および監査も含まれる場合があります。

モバイルデバイス

モバイルデバイスにはセキュリティ上の固有の問題があるため、モバイルデバイスだけに個別のポリシーが必要になる場合があります。

たとえば、ラップトップやスマートフォンは簡単に紛失したり盗まれたりする可能性があり、その結果、会社や個人のデータが失われる可能性があります。
また、これらのデバイスはマルウェアと接触する危険性も高いと考えられます。

これらのリスクには、リスクを軽減し、組織がセキュリティの脅威にさらされるのを制限するために従う必要がある特定の規則と注意事項が必要です。

このポリシーには、データを暗号化する必要がある要件、マルウェア対策ソフトウェアの最新のバージョンのインストールとメンテナンス、およびデバイスにアクセスするためにパスワードの必要性が含まれる場合があります。

また、モバイルデバイスに保存できる組織情報の種類もこのポリシーで定義されています。

ラップトップコンピュータのケーブルをロックしたり、紛失または盗難にあったデバイスを報告するための手順を実行するなど、物理的なセキュリティについても対処できます。

ゲストアクセス

このポリシーでは、組織を保護するために実施する必要があるプラクティスを定義しながら、会社が組織のネットワーク上でゲストなどをホストすることを許可します。

このポリシーの1つの側面は、ゲストにネットワークアクセスを許可する前に、許容される使用ポリシーを読み、同意することをゲストに要求することです。

このポリシーは、利用可能な利用ポリシーにゲストに署名してから一時アクセス用のコードを提供するなど、さまざまな方法で実装できます。

このポリシーの主な目的は、組織のセキュリティ標準を強制したうえでゲストがネットワークまたはインターネットにアクセスできるようにするための手順を提供することです。

物理的セキュリティ

このポリシーは、セキュリティ保護されたデバイスに物理的に近接しているとセキュリティ侵害の危険性が高まるため、物理的施設に必要な制御を定義します。

このポリシーは、停電、盗難、火災、自然災害などの他のリスクもカバーできます。
また、ここでは、特に機密情報が保管されている地域で、どのデバイスを会社から持ち出したり持ち込んだりできるかについても定義します。

パスワードポリシー

このポリシーは、強固なパスワードやその他の安全なパスワードの最低要件、たとえば必須パスワードの変更間の許容時間、パスワードのプライバシー保護方法（ブラウザの「パスワードの保存」機能を使用しない、パスワードの共有、および電子メールによるパスワードの送信の禁止など）を定義します。

このポリシーは、アプリケーション、ユーザーアカウント、およびパスワードが必要な個所に適用できます。

マルウェア対策

このポリシーは、マルウェアを防止、検出、削除するための防御と行動のフレームワークを定義します。

マルウェアとスパイウェアはさまざまなソースから侵入することができるので、これは組織内の全員が理解して従うための重要なポリシーです。

たとえば、このポリシーはUSBドライブの使用を制限することがあります。

インシデント対応

このポリシーでは、セキュリティ関連のインシデントに対応する方法について定義します。

インシデントは、マルウェアの発見や許容される使用ポリシーの違反から、機密データへの不正アクセスまでさまざまです。

ケースバイケースで適切な対応を決定する必要性を回避するために、インシデントが発生する前にこのポリシーを設定しておくことが重要となります。

このポリシーは、メディアの対応や法執行機関への通知などのコミュニケーションにも対応しています。

監査ポリシー

このポリシーは、監査を実施する目的で監査人がシステムへのアクセスを要求することを許可します。

監査チームは、ログデータ、ネットワークトラフィックレコード、その他のフォレンジックデータにアクセスする必要がある場合もあります。

ソフトウェアライセンス

このポリシーは、組織が使用するソフトウェアのライセンスを取得する方法に対応しています。

市販のソフトウェアライセンスを侵害した場合、その組織は罰金や訴訟の危険にさらされます。そのため、ライセンスを識別して監視することが重要です。未承認のソフトウェアをダウンロードしてインストールすることは、このポリシーでよく見られる重要な禁止事項です。

電子監視とプライバシー

組織には、会社のハードウェアとリソースにまたがる通信を監視する権利と責任があります。
これには、Eメールのやりとりとソーシャルメディアが含まれます。

このポリシーは、どのモニタリングが組織によって実行され、どのデータが収集の対象となるかを定義します。

法律は国によって異なるため、このポリシーを作成する前に弁護士との相談が必要となります。 [Jackson、2010年]

セキュリティ手続き

セキュリティ手続きでは、特定のポリシーまたは統制を実装する際に取るべき手続きと、特定のセキュリティインシデントに対応してとるべき手続きを定義します。

正式な文書化された手続きは、セキュリティポリシーと強制管理の実施を容易にします。
ポリシー、標準、およびガイドラインでは、実施する必要があるセキュリティ管理策について説明し、手順では詳細を説明し、セキュリティ管理策を段階的に実装する方法を説明します。

たとえば、適切なアクセスレベルを確実に付与してユーザーの権利が適用可能なポリシー、標準、およびガイドラインを満たすようにするために必要な各ステップを詳述しながら、ユーザーアクセスレベルを付与する方法を説明する手順を記述します。

JSTQB AL セキュリティテスターの目次

1 セキュリティテストの基礎