Principle 6: Review performance in relation to business outcomes
9.2.2 利用者アクセスの提供(provisioning)
管理策
全ての種類の利用者について,全てのシステム及びサービスへのアクセス権を 割り当てる又は無効化するために,利用者アクセスの提供についての正式なプ ロセスを実施することが望ましい。
実施の手引
利用者 ID に対するアクセス権の割当て及び無効化のプロセスには,次の事項 を含むことが望ましい。
a) 情報システム又はサービスの利用についての,その情報システム又はサ ービスの管理責任者からの認可の取得(8.1.2 参照)。アクセス権について,
管理層から別の承認を受けることが適切な場合もある。
b) 許可したアクセスのレベルが,アクセス制御方針に適していること(9.1 参 照),及び職務の分離などのその他の要求事項と整合していること(6.1.2 参 照)の検証
c) 認可手順が完了するまで,(例えば,サービス提供者が)アクセス権を有効 にしないことの確実化
d) 情報システム又はサービスにアクセスするために利用者ID に与えられた アクセス権の,一元的な記録の維持
e) 役割又は職務を変更した利用者のアクセス権の変更,及び組織を離れた 利用者のアクセス権の即座の解除又は停止
f) 情報システム又はサービスの管理責任者による,アクセス権の定期的な レビュー(9.2.5 参照)
2005年版
「10 通信及び運用管理」
2013年版
「13 通信のセキュリティ」
2005年版の「10 通信及び運用管理」から、通信に関する管理策 を取り出して一つの箇条にした。
「10.2 第三者が提供するサービスの管理」は、委託関係の事項 であり、「15 供給者管理」へ移した。
2005年版の「10.8 情報の交換」は、 2013年版では箇条13に置 いている。 「情報の交換(exchange)」は、「情報の転送(transfer)」とした。双 方向の移動でなく、一方向の移動が基本であるため。
通信のセキュリティ
運用と通信のセキュリティの 見直しと分割
12 運用のセキュリティ
12.1 運用の手順及び責任
12.2 マルウェアからの保護
12.3 バックアップ
12.4 ログ取得及び監視
12.5 運用ソフトウェアの管理
12.6 技術的ぜい弱性管理
12.7 情報システムの監査に対する考慮事項
13 通信のセキュリティ
13.1.1 ネットワーク管理策
13.1.2 ネットワークサービスのセキュリティ
13.1.3 ネットワークの分離
13.2 情報の転送
13.2.1 情報転送の方針及び手順
13.2.2 情報転送に関する合意
13.2.3 電子的メッセージ通信
13.2.4 秘密保持契約又は守秘義務契約
ログについての誤解を修正
2005年版「10.10 監視」
「10.10.1 監査ログの取得」
ここでは、監査ログと呼んでいたが、監査を主たる目的で はないので、誤解されてきた。イベントログに修正
マイクロソフトのイベントログとの誤解が懸念される
2013年版「12 運用のセキュリティ」
「12.4 ログ取得及び監視」
2013年版では、管理策の目的を変更して、「イベントを記録 し,証拠を作成するため」として、管理策としては、2006年版 の監査ログをイベントログと修正した。
監査ログ→イベントログ取得
管理策
利用者の活動,例外処理,過失及び情報セキュリティ事象を記録したイベントロ グを取得し,保持し,定期的にレビューすることが望ましい。
実施の手引き
関連がある場合は,次の事項をイベントログに含めることが望ましい。
a) 利用者 ID
b) システムの動作
c) 主要なイベントの日時及び内容(例えば,ログオン,ログオフ)
d) 装置の ID 又は所在地(可能な場合),及びシステムの識別子
e) システムへのアクセスの,成功及び失敗した試みの記録
f) データ及び他の資源へのアクセスの,成功及び失敗した試みの記録
g) システム構成の変更
h) 特権の利用
i) システムユーティリティ及びアプリケーションの利用
j) アクセスされたファイル及びアクセスの種類
l) アクセス制御システムが発した警報
m) 保護システム(例えば,ウィルス対策システム,侵入検知システム)の作動及び停 止
n) アプリケーションにおいて利用者が実行したトランザクションの記録
イベントログの取得は,システムのセキュリティについて整理統合したレポート 及び警告を生成する能力を備えた自動監視システムの基礎となる。
2005年版
「10.4.2 モバイルコードに対する管理策」
2013年版
「12.2 マルウェアからの保護」
学術的には、モバイルコードが正しい
しかし、世の中的に理解されているのは、マルウェア
ISOの大御所への気遣いで学術用語が使われていたMalware
流浪の旅? クリアデスク
ユニークな管理策であるクリアデスクは、改訂の度に、違ったところにアサインされている。
2000年版
7 物理的及び環境的セキュリティ、7.3 その他の管理策
7.3.1 クリアデスク及びクリアスクリーン
2005年版
11 アクセス制御、11.3 利用者の責任
11.3.3 クリアデスク・クリアスクリーン方針
2013年版
11 物理的及び環境的セキュリティ、 11.2 装置
11.2.9 クリアデスク・クリアスクリーン方針 2005年版
「12.2 業務用ソフトウェアでの正確な処理」
「12.2.1 入力データの妥当性確認」
「12.2.2 内部処理の管理」
「12.2.3 メッセージの完全性」
「12.2.4 出力データの妥当性確認」
2013年版
「14.2.5 システム開発手順」
2005年版のこれらの指針は、現在では体系的なセキュアプログ ラミンングの要件の一部である。
内部統制の業務処理統制で実施していることが多い
改訂版では、システム開発の一部にプログラミングを含めて、セ キュアプログラミングの内容も盛り込んでいる。
システムの取得、開発及び保守
開発環境,試験環境及び運用環境の分離
管理策
開発環境,試験環境及び運用環境は,運用環境への認可されていないアクセ ス又は変更によるリスクを低減するために,分離することが望ましい
実施の手引き
運用上の問題を防ぐために必要な,開発環境,試験環境及び運用環境の間の 分離レベルを特定し,それに従って分離することが望ましい。
特に,次の事項を考慮することが望ましい。
a) ソフトウェアの開発から運用の段階への移行についての規則は,明確に定め,文 書化する。
b) 開発ソフトウェア及び運用ソフトウェアは,異なるシステム又はコンピュータ上で,及 び異なる領域又はディレクトリで実行する。
c) 運用システム及びアプリケーションに対する変更は,運用システムに適用する前に
,試験環境又はステージング環境(運用環境に近い試験環境)で試験する。
d) 例外的な状況以外では,運用システムで試験を行わない。
e) コンパイラ,エディタ,及びその他の開発ツール又はシステムユーティリティは,必 要でない場合には,運用システムからアクセスできない。
2005年版
「6.2.3 供給者との契約におけるセキュリ ティの考慮」
「10.2 第三者が提供するサービスの管理」
2013年版
「15 供給者関係」
外部委託、サプライチェーン等、外部の製品及びサービスの調達・利 用に関する管理策を、改訂版では15章にまとめている。
調達者の情報を供給者がアクセス又は管理すること等に伴う情報セ キュリティリスクへの対応である。
他の章は、組織が自ら管理する情報についての管理策と区別
供給者関係
供給者関係の管理策について
供給者のサービスなどを利用する場合
組織の管理策が直接には情報及び資産に及ばず,組織は,供給者を管理することによって間接的に情報セキュリティの 確保を図る必要がある
組織が外部の製品及びサービスを利用する場合は,供給者が,組 織の情報及び資産へアクセスしたり,これを管理する。
15.1.1 供給者関係のための情報セキュリティの方針 供給者関係は,一つの企業・機関などが外部の供給者から製品又 はサービスを調達する場合だけでなく,企業・機関などの中で,部門 間で調達・供給関係をもつ場合にも適用できる。
合意は必ずしも契約の形をとらないため, “合意”とした
15.2.2 Managing changes to supplier services “供給者のサービス提供の変更に対する管理”としている。管理の対 象が供給者の行為であって,サービスではないため
2005年版
「13 情報セキュリティインシデントの管理」
2013年版
「16 情報セキュリティインシデントの管理」
2013年版では、2005年版の管理策を継承し、新たに、以下の 管理策を追加している。
「16.1.4 情報セキュリティ事象の評価と判断」
「16.1.5 情報セキュリティインシデントへの対応」
2011年9月に発行された ISO/IEC 27035 Information
technology – Security techniques – Information security incident management を反映した
インシデント管理の改訂
インシデント管理について
16.1 情報セキュリティインシデントの管理及びその改善
16.1.1 責任及び手順
16.1.2 情報セキュリティ事象の報告
16.1.3 情報セキュリティ弱点の報告
16.1.4 情報セキュリティ事象の評価及び決定
16.1.5 情報セキュリティインシデントへの対応
16.1.6 情報セキュリティインシデントからの学習
16.1.7 証拠の収集 ISO/IEC 27035:2011,Information technology-Security techniques-
Information security incident management の規格で追加した二つの管 理策を反映