情報セキュリティマネジメント(5)
物理的セキュリティ
災害・障害の対策
ISMSの要求事項
セキュリティを保つべき領域
建物や執務室内等の施設関係に関する物理セキュリティの管理策
物理的セキュリティ境界
物理的に保護しなければいけないエリアを確認し、そのエリアに適切な物理的境界(壁、カード制御等)を設けることが求められる
「セキュリティ境界」で決定した境界をもとに各エリアへの適切な物理設計が求められる
物理的入退管理
入室を許可している者だけが入室できるようにするための管理策になり、入退出に関する管理方法が求められる
オフィス、部屋及び施設のセキュリティ
オフィスや施設に対しての設計指針を指し示し、そのとおり実現することが求められる
具体的には、一般の人がアクセスできないような場所の設置や外部から見た時にその施設が何の施設かわからないようにするなどの設計指針を定め、その通り物理設計していくこと
外部及び環境の脅威からの保護
外部(暴力行為等)及び環境(自然災害)から守るべき情報資産を保護できるよう物理設計を行うことが求められており、設計指針の策定になる
セキュリティを保つべき領域での作業
通常の施設及びオフィス作業のなかでも特に重要な、高いセキュリティレベルを保つ必要がある業務について、そのセキュリティレベルを維持するための物理的な指針をたて、設計することが求められる
一般の人の立ち寄り場所及び受け渡し場所
郵便受けや荷物の受け渡し場所等の一般の人が自由に立ち寄れる場所に対する物理面の指針をたて、設計することが求められる
例)一般の人の立ち寄り場所:複数企業が入っている建物等の郵便受けや荷物の配送場所や、またゴミの集積所など
装置のセキュリティ
装置系の管理策で主に機器の物理面に関する管理策
装置の設置及び保護
装置(サーバなど)に対して災害や不正アクセスからの脅威を低減するための対策が求められる
支援ユーティリティ
装置の稼動を維持するための電気、水道、空調などが正しく機能するように管理することが求められる。 ここでは、定期検査や非常時の対応、冗長化など
ケーブル配線のセキュリティ
通信ケーブル及び電源ケーブルの断線や不正利用から保護することが求められる
一般的なのが、モールで保護や不要なケーブルの撤廃、電源ケーブルの使用期限のチェック
装置の保守
項目名のとおり適切に保守することが求められる。適用される事業やリスクの基準に適切な保守体制を確立することが必要
構外にある装置のセキュリティ
構外での(機器だけでなく媒体も含む)装置の利用にあたり、損傷・盗難などのセキュリティリスクに対する対策が求められる
装置の安全な処分又は再利用
処分をした装置や再利用の装置からの情報漏洩を防ぐための適切な処置(装置に保存したデータの削除やソフトウェアの消去等)が求められる
装置の移動
勝手な構外への装置(情報やソフトウェアを含む)の持ち出しを防ぐ対策が求められる
設備面の対策
専用室/専用区画への設置
電源、空調などが完備された専門のサーバ室を設け、重要なサーバや機器を設置する
地震対策
- サーバ室は最低限1981年改定後の建築基準法が適用された耐震構造の建物内に設ける
(2000年改定の建築基準法を反映した建物内がより望ましい) - 遠隔地に必要な設備を完備したバックアップセンタを設置する
- サーバや機器類は、転倒/落下防止などの地震対策が施されたラックに収納する
電源障害対策
CVCF、UPS、バックアップバッテリ、自家発電装置などで、停電、瞬時電圧低下、電圧変動、周波数変動などの電源障害に耐える
空調対策
サーバ類の正常稼働と運用要員の健康面に配慮した適切な室内環境維持のため、空調設備を整備する
火災対策
不活性化ガスなどによる消火設備、防火壁、煙探知機などを整備する
回線障害対策
- 十分な回線容量を確保する
- 複数の通信事業者と契約し、異なるルートでのバックアップ回線を整備する
その他
漏水、浸水、落雷、静電気、ノイズ、凍結などへの対策を行う
CVCF
電源と周波数を安定した状態に保ち、電源の安定供給を行う装置
UPS(無停電電源装置)
停電・瞬時電圧低下・電圧変動・周波数変動などの電源障害からハードウェアを守る装置。無停電電源装置
運用管理上の留意点
- 各設備の管理者を明確にする
- 各設備の定期点検、保守を確実する
- 災害や障害発生時の対応手順や連絡体制を明確にしておく。対応訓練を実施する
IDCの活用
物理環境面の対策を強化する問題への解決策としてサーバ関連設備のIDCへのアウトソーシングが注目されている
IDC
インターネット接続に特化した設備・サービスを提供する事業者及び建物のこと
高度なセキュリティや災害耐性が完備された建物内に、ネットワーク機器・サーバやデータなどを設置・保管する安全な場所を提供すると共に、インターネット接続などの各種通信網へのアクセスインフラ網を提供する。また、通常は運用や監視業務なども同時に引き受け、障害発生時の通知や対処などシステム運用のサポートを行うのが、主体的なサービス
IDCに求められる要件
立地条件
地震等の災害によりIDC自身が被害を受けサービスが停止するような事態に陥らないための、IDCの所在に関する条件のこと
- 地震による被害の恐れの少ない地域であること
- 国土交通省や自治体が公開しているハザードマップ等の情報で危険地域と指定された場所にないこと
- 津波、高潮、集中豪雨等による出水の危険性を指摘されていない地域であること
- 半径100m以内に消防法における指定数量以上の危険物製造施設や高圧ガス製造施設がないこと
- 障害発生の際に、機器等の保守業者のサポート拠点から30分以内でアクセス可能であること
施設・マシンルーム条件
施設条件は、耐震等の建物の構造や通信設備等の二重化といった条件のことであり、マシンルーム条件とは、ラック・機器を設置する環境に関する条件のことである
- 建物構造が震度6強に耐えうる耐震、あるいは免震等の構造を備えていること
- 建築基準法及び消防法に適合した火災報知(防災)システムが設置されていること。建築基準法及び消防法に適合した火災報知(防災)システム、あるいは室内環境の変化を敏感に察知し火災予兆を検知できるシステムが設置されていること
- 消火設備は、消火時の水害、並びに環境保護を考慮したオゾン層破壊係数がゼロであるガス系消火設備とすること。もしくは、消火設備は、消火時の水害、環境保護、並びに人体への影響を考慮し、窒素消火設備とすること
- 避難経路を複数確保する観点で、建物への出入り口を2箇所以上設けていること。また、ラック、機器等の搬出入のためのエレベータが設置され、24 時間×7 日間/週利用可能であること
- 通信回線については、特定の通信事業者に依存しない経路の異なった2系統以上の回線の引き込みができること
- マシンルームは無窓とする等、外部から内部が見通せない構造とすること
- マシンルームのフリーアクセスは、最大加速度500gal 以上に耐えうること。ただし、免震構造の場合は建物もしくは免震装置・床が当該加速度以上に耐えうること
- マシンルームの天井高はフリーアクセス床を除いて2,400mm 以上であること
- マシンルームのフリーアクセスの床荷重は、別途調達される機器及び機器搭載後のラックの重量600kg/u以上に耐えられる能力を有していること
- マシンルームは、防火区画されていること
- セキュリティ管理上、ほかのIDC 利用者と混在しない独立した区画を提供すること、あるいはほかのIDC 利用者と混在しないようラック単位に施錠できること
- 別途調達されるラック、機器等の諸元表に記載する設置環境(機能)を提供すること。
電源・空調条件
電源・空調条件は、電源・空調設備の二重化といった冗長性確保に関する条件のことである
- 受電設備は法定点検時も完全無停止であること
- 無停電電源装置(UPS)や定電圧定周波数装置(CVCF)、自家発電装置を備えていること。また、発電設備使用中も燃料補給にて継続運転を可能とし、完全無停止であること
- 2系統以上の給電経路・方式にて電源の引き込みを図り、施設内は二重化等の冗長性を確保していること
- 二重化等の冗長性を確保した空調設備を有していること。また、災害時に断水となっても24時間以上連続して運転可能な空調設備であること
- 別途調達されるラック、機器等の諸元表に記載する電源設備(機能)を提供すること
- 別途調達されるラック、機器等の諸元表に記載する空調設備(機能)を提供すること
セキュリティ条件
セキュリティ条件は、物理的セキュリティに関する条件
- 建物への入館とマシンルームへの入室に係るセキュリティ認証機能がそれぞれ独立した仕組みであること。また、建物の入り口において有人警備を含むセキュリティ対策が施されていること
- 侵入検知センサー、監視カメラ、入退室管理システム等による機械警備システムが導入されていること
- 常駐警備員又は機械警備システム等による入退管理が24 時間×7 日間/週、されていること
- IDC 内の入ISO/IEC 27001 退管理方式として、ICカードや生体認証装置等の本人確認装置を有するとともに、監視カメラが共用部やサーバルーム等に設置されていること
運用条件
運用条件は、IDC・設備の維持・管理作業に関する条件
- IDC・設備に係る24 時間×7 日間/週の管理体制を提供するとともに障害等の受け付け・連絡窓口を開設していること
- IDC・設備の定期点検を実施していること
※セキュリティ上の観点から、正確な所在地を非公開としている事業者も多い
| 項目 | IDC | 一般オフィス |
|---|---|---|
| 利用時間 | 24時間365日 | 通常は平日、就労時間 |
| 耐震・免震 | 通常+付加価値 | 通常 |
| 床荷重 | 700kg/ m2以上 | 300 kg/m2 |
| 階高 | 3.5〜4.5m | 3.7=4.1m |
| 二重床 | 500mm以上 | 0〜500mm以上 |
| 受電方法 | スポットネットワーク方式 | 通常 |
| 受電容量 | 750VA/m2以上 | 40〜50 VA/m2 |
| 自家発電 | サーバエリア受電容量以上、24時間 | 防災用、短時間 |
| 無停電装置 | 自家発電安定稼働までの電力供給 | なし |
| 空調 | 床吹出し、24時間稼働 | 通常 |
| 消火設備 | 新ガス消火など | スプリンクラー |
| 通信回線 | 2系統 多事業者対応 | 通常 |
不正行為への対策
建物などのアクセス管理
建物へのアクセス管理の種類
| ・入退室の管理 | : | ICカードや生体認証を利用し、許可された人以外は入退室ができない仕組みにする |
| ・施錠管理 | : | 許可された場合以外は常に施錠する |
| ・入退室の記録の保存 | : | 入退室の記録をとり、誰がいつ入退室したかを保存する |
| ・監視カメラ | : | 監視カメラにて行動を監視するとともに、記録を保存する |
管理規程
システム構成
入退室カード、入退室カード読取装置、指紋認証装置(ドア用)、指紋登録装置、入退室管理サーバ、電気錠、受付電話、UPSから構成される
指紋認証装置は、入退室カード読取装置と並べて、室外(入室用)と室内(退室用)に設置する
指紋登録
指紋登録装置を用いて、任意の2指紋を登録する
登録された指紋データの削除
異動や退職に連動して削除される
電気錠の開閉
指紋が認証された場合に解錠し、ドアが閉まったら施錠する。解錠後にドアが開閉されなかった場合は、一定時間後に自動的に施錠される
入退室管理サーバのログ
入退室した個人を特定できるログを、所定期間保存する
来訪者対応
受付電話によって室内にいる社員が解錠する。対応者は、訪来者の入室から退室までの間付き添う
監視カメラとの連携
入退室画像を記録し、所定期間保存する。データセンタにおいては、室内の画像も記録し、所定期間保存する
セキュリティ区画
オフィスを次の3つの区画に分類して管理する。
| 一般区画 | : | 社員以外の者であっても特別な制限無しに入室可能な区画 |
| 業務区画 | : | 社員及び社員の許可を得た者だけが入室可能な区画 |
| アクセス制御区画 | : | 区画の管理責任者によって許可を得た者だけが入室可能で、入室者とその入室履歴を追跡できる区画 |
| 区画名 | 管理規定 |
|---|---|
| 一般区画 | 社員は、常に社員証を着用する。 |
| 業務区画 | ・一般区画とは堅固な隔壁によって区切り、常に施錠する ・社員は、常に社員証を着用する ・社員以外の者が入室するには、事前に入室の申請を行ったうえで、総務課長の承認を得る必要がある |
| アクセス制御区画 | ・一般区画とは隣接させない ・業務区画とは堅固な隔壁によって区切り、常に施錠する ・入室の履歴を自動的に記録する ・社員は、常に社員証を着用する |
不正な情報収集活動
ソーシャルエンジニアリング
人をだまして情報を入手し、不正なアクセスを試みる手法の総称
なりすまし
顧客や会社内の人間になりすまして、企業秘密をはじめあらゆる情報を引き出そうとする手法
スキャベンジング
ゴミ箱あさり
ショルダーハッキング
パスワードの入力情報を後ろから覗き込む
フィッシング
メールで偽のWebサイトに誘導し、IDやパスワード、クレジットカード番号等を不正に入力する手法
※対策※
利用者教育
●電話ではID、パスワードを教えない
●機密情報をゴミ箱に捨てない
●メールからのリンクは利用しないで自分のリンク、Webサイトのトップページからリンクをたどる
●心当たりのない情報の再入力は必ず問合せをする
テンペスト攻撃
コンピュータや周辺機器、ケーブルから漏洩(ろうえい)する微弱な電磁波を傍受し、パスワードなどのセキュリティ情報を不正に入手すること。
人的セキュリティ
人的セキュリティ対策
人的セキュリティ対策として,人による誤り,盗難,不正行為のリスクなどを軽減するための教育と訓練,事件や事故に対して被害を最小限にするための対策
【例】
情報セキュリティポリシ、社内規程、情報セキュリティ教育・訓練、情報セキュリティ啓蒙、事件事故への対処マニュアル作成とその遵守、パスワード管理、アカウント管理、need-to-know、ログ管理、監視、情報漏えい対策、プライバシーマーク、セキュリティ担当者、内部統制
セキュリティ教育
情報セキュリティポリシや関連規定の周知徹底をはかる
対象者は、全従業員(委託先の担当者も含む)で、実例をあげるなどして脅威と対策について教育することで、受講者のモチベーションを高める
- 定期的(1 年最低1 回)な実施
- ポリシー変更時、セキュリティ事件・事故発生時
- 遵守していない者への再教育
- 受講状況の管理
- 経営者、管理者、一般社員など役割に応じた教育
- 個々の利用者に起こりうるリスクを認識させ、何を守らなければならないかを理解させる
職務定義および雇用におけるセキュリティ
人事異動等に関する管理規定(就業規則、懲戒規定など)の整備をはかる
- 就業規則には、就業上セキュリティに関する義務、遵守事項を明確にする
- 守秘義務条項を設け、業務上知りえた機密情報を外部に漏らさないことを明記する (従業員とは、機密保持契約を結ぶ場合もある)
- 雇用開始、終了時の各部門との連絡体制の整備とアカウントの削除などの手順書の整備
派遣社員の管理
- 派遣社員にも自社の情報セキュリティポリシを教育し、十分な理解を得ること
- 自社のシステム運用作業において、アカウント管理に基づくアクセスログの監視や重要作業における立会などの管理を行う
- 派遣契約書に守秘義務、セキュリティマネジメントの条項を遵守することを明記し、周知徹底させること
セキュリティ事件事故および誤動作への対処
迅速な報告手順の確立と徹底
委託先の管理
- 外部委託の対象の範囲、委託先によるアクセスを認める情報資産の基準の整備
- 委託先が備えるべき要件に関する基準の整備
- 委託業務に関して、情報セキュリティが侵害された場合の対応手順の整備
- 委託先の情報セキュリティの実施状況を確認する評価基準の整備
- 委託契約の締結(守秘義務、契約違反時の措置、情報セキュリティ事件・事故の際の対応手順、情報セキュリティ監査を受けることなど)
- 委託先の監督
- 委託終了時には提供していた情報や情報システムの返却、破棄の確認
