令和6年度中小企業サイバー
セキュリティ社内体制整備事業

0120-138-166

受付時間 9:00〜17:00(平日のみ)

ade.jp.shanaitaisei@jp.adecco.com

サイトマップ
文字サイズ

27-18. 第18章. 技術的対策

18-1. 作成する候補となる実施手順書類について
18-2. 技術的対策として重要となる実施項目
18-3. 実施手順を適用するセキュリティ概念
18-4. インシデント対応

章の目的

第18章では、情報セキュリティ方針に従ってセキュリティ対策を実施するための具体的な規則としての「対策基準」と、セキュリティ対策の実施手順や方法である「実施手順」について学ぶことを目的とします。また、技術的管理策に関して、テーマごとの対策について学ぶことも目的とします。

主な達成目標

・ 技術的管理策をもとに、対策基準を策定する手順を理解すること。
・ 策定した対策基準をもとに、具体的な実施手順を策定する方法を理解すること。
・ Security by Design、ゼロトラスト・境界防御モデル、ネットワーク制御、セキュリティ統制、インシデント対応について理解すること。

主なキーワード 技術的管理策、Security by Design、ゼロトラスト、ネットワーク制御、セキュリティ統制、インシデント対応

要旨

18章の全体概要

 18章では、情報セキュリティを実現するための具体的な技術的対策を解説しています。まず、ISO/IEC 27001:2022に基づき、リスクアセスメント結果に基づく技術的管理策を策定することが必要です。管理策には、エンドポイントデバイスの保護、特権アクセス権の管理、アクセス制限の確立、安全な認証技術の導入が含まれます。また、マルウェア対策や技術的脆弱性の管理、バックアップと冗長化の設定も重要な要素として挙げられます。さらに、ゼロトラストSASEなどのセキュリティアーキテクチャを取り入れ、インシデント対応を強化することが望まれます。

18-1. 作成する候補となる実施手順書類について
 ISO/IEC 27001:2022の附属書Aに基づいて、技術的管理策を用いた対策基準を策定し、その具体的な実施手順を文書化するプロセスを説明しています。リスクアセスメント結果をもとに必要な技術的管理策を選定し、実施手順書を作成することで、組織が情報セキュリティの技術的側面を強化する手段が提供されます。このプロセスにより、情報の安全な取り扱いやアクセス 制御、エンドポイント保護、ネットワーク管理などを含む多様な技術的対策を体系的に導入できます。

18-2. 技術的対策として重要となる実施項目
 情報セキュリティを確保するために組織が実施すべき技術的管理策を紹介しています。

技術的管理策の項目

8.1 利用者エンドポイント機器
8.2 特権的アクセス権
8.3 情報へのアクセス制限
8.4 ソースコードへのアクセス
8.5 セキュリティを保った認証
8.6 容量・能力の管理
8.7 マルウェアに対する保護
8.8 技術的ぜい弱性の管理
8.9 構成管理
8.10 情報の削除
8.11 データマスキング
8.12 データ漏えいの防止
8.13 情報のバックアップ
8.14 情報処理施設の冗長性
8.15 ログ取得
8.16 監視活動
8.17 クロックの同期
8.18 特権的なユーティリティプログラムの使用
8.19 運用システムに関わるソフトウェアの導入
8.20 ネットワークのセキュリティ
8.21 ネットワークサービスのセキュリティ
8.22 ネットワークの分離
8.23 ウェブ・フィルタリング
8.24 暗号の使用
8.25 セキュリティに配慮した開発のライフサイクル
8.26 アプリケーションのセキュリティの要求事項
8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構成の原則
8.28 セキュリティに配慮したコーディング
8.29 開発及び受入れにおけるセキュリティ試験
8.30 外部委託による開発
8.31 開発環境、試験環境及び運用環境の分離
8.32 変更管理
8.33 試験情報
8.34 監査試験中の情報システムの保護

18-3. 実施手順を適用するセキュリティ概念
 この節では、組織が情報セキュリティ対策を実施する際に適用すべきセキュリティ概念を紹介しています。具体的には、以下の5つの主要な概念を取り上げています。

• Security by Design:
設計段階からセキュリティを組み込む手法で、開発ライフサイクル全体にわたり、潜在的な脆弱性を排除し、堅牢なシステムを構築することを目指します。
ゼロトラストモデル:
伝統的な境界防御モデルに代わり、常に疑いを持ち、認証を通じてアクセスを制御するアプローチです。ユーザーやデバイスの信頼を前提とせず、厳密なアクセス管理を行います。
SASE (Secure Access Service Edge):
ネットワークとセキュリティ機能を統合し、クラウドサービスを活用して分散された業務環境に適応するセキュリティモデルです。
• ネットワーク制御 (Network as a Service):
ネットワーク機能をサービスとして提供し、セキュリティ管理を効率化する取り組みです。
• セキュリティ統制 (Security as a Service):
ネットワーク機能をサービスとして提供し、セキュリティ管理を効率化する取り組みです。

18-4. インシデント対応
 この節では、情報セキュリティインシデントが発生した際の基本的な対応手順を解説しています。インシデント対応は、「検知・初動対応」「報告・公表」「復旧・再発防止」の3つのステップで構成されます。初動対応では、インシデントを素早く把握し、影響を抑えるための即時対応が求められます。報告・公表の段階では、必要に応じて関係者や関連当局への報告を行います。復旧・再発防止の段階では、影響の調査と是正措置を通じて被害を最小限に抑え、将来的なインシデントを防止するための改善を実施します。

訴求ポイント

章を通した気づき・学び
 ISO/IEC 27002の内容を参考に技術的管理策の対策基準を決定し、実施手順を作成することが大切です。特に、Security by Design、ゼロトラスト・境界防御モデル、ネットワーク制御、セキュリティ統制、インシデント対応などに関するセキュリティ関連技術の動向を把握し、必要な技術的管理策を採用することが重要です。

認識していただきたい実施概要

リスクアセスメントの結果をもとに必要な物理的管理策を選択し、対策基準を策定すること。
• 対策基準は、基本方針とともに公開可能なものとして策定すること。
• 決定した対策基準を実行に移すための実施手順を策定すること。
• 実施手順は、組織の内部文書として従業員に対してわかりやすい実施手順を策定するよう心掛けること。
• 各種テーマごとに概要を理解し、自社に適した実施手順を策定すること。

詳細理解のため参考となる文献(参考文献)

  • ISO/IEC 27001:2022
  • ISO/IEC 27002:2022
    • 27-17. 第17章. 物理的対策 27-19. 第19章. セキュリティ対策状況の有効性評価
    目次に戻る
    中小企業向けサイバーセキュリティ対策の極意
    ページトップへ戻る