双日テックイノベーションのJuniper総合ポータルサイト

Junipedia

Powered by
sojitz|双日テックイノベーション株式会社
お問い合わせ 検証支援サービス 資料ダウンロード

セキュリティポリシーは大丈夫!?セキュリティマネジメントに必要なこと

セキュリティ

各企業では情報セキュリティマネジメントの策定に力を入れていることでしょう。ただ、その際のセキュリティポリシーの決め方や運用方法などで「どのようにしたら良いのかわからない」と悩まれている企業の担当者も多くいらっしゃいます。

ここでは、セキュリティマネジメントに必要なことと、使うと便利な製品についてご紹介していきます。

1.情報セキュリティマネジメントについて

情報セキュリティマネジメントとは、企業内で組織的にセキュリティ対策に取り組み管理することを指しています。

セキュリティマジメントを行うためにはセキュリティポリシーを明確に決めなくてはいけません。そのために企業内では情報セキュリティ委員会などを発足し、体型的に取り組んでいく姿勢が大切です。

また、セキュリティポリシーを決めるだけではいけません。ポリシーに準じて情報を守り運用していくところまでを情報セキュリティマネジメントといいます。大切なことはマネジメントしていくこと。この記事では、セキュリティポシリーの決め方からご紹介します。

 

2.セキュリティポリシーの決め方

セキュリティポリシーを決める際には、最初に守るべき情報資産を会社として考えなければいけません。下記に示す5つのステップでセキュリティポリシーを決めていきましょう。

(1)守るべき情報資産を明確にする
(2)情報資産の対象範囲や期間を明確にする
(3)対象となる情報資産の洗い出し
(4)リスク分析
(5)対策基準と実施内容の決定

2-1. セキュリティポリシーが決まったら

上記ステップでセキュリティポリシーを決めたら、経営層の責任とリスク、判断基準などを決めていく必要があります。

もしも社内の大切な情報資産が盗まれる・破壊されるなどの危機に面した場合には、誰がどういう判断を行うのか、リスク管理方針も明確にしておきましょう。

万が一の場合には、迅速な判断が必要です。判断が早ければ情報資産の漏洩や破壊が最小限に食い止められます。

 

3.セキュリティマネジメントに必要なこと

基本的なセキュリティマネジメントのセキュリティポリシーを社内で決定できたら、運用フェーズに移ります。管理するためにはどういうことを実施していくべきかをご紹介します。

3-1. 規定の整備

まずは、セキュリティマネジメントの規定を明確にし、整備していきましょう。運用管理マニュアルも必要です。当然ながら規定は社外秘になるため、管理方法には気をつけましょう。万が一外部に漏れた場合には、情報セキュリティマネジメントの意味がありません。

データの持ち出しや管理場所には十分気をつけた上で精査していかなければいけません。

3-2. 社内教育

次に社内教育です。守るべき情報資産とは何かを社員で情報共有し、セキュリティマネジメントの策定方針に基づき社内で徹底していかなければいけません。一人一人の意識の高さを教育していきましょう。

情報漏洩は人的な要因から引き起こるケースが多いものです。社員の意識改革を最初に進めていけなければいけません。

3-3. 内部監査

社内教育を行っても安心してはいられません。新入社員や中途採用の社員、協力会社の社員などもいるでしょう。定期的な内部監査を行うことを忘れてはいけません。監査に合わせて社内教育も定期的に行えると安心です。

3-4. 正しい情報の取得

大事なことは情報を正しく取得することです。

例えば、サーバー内のログをセキュリティポリシーに準じた間隔で取得し、セキュリティポリシーに即した期間は適正に保管することなどが挙げられます。本当に必要な情報なのかもチェックが必要です。

そしてシステム任せにはせずに、目視での確認も定期的に行いましょう。正しい情報をポリシーに即して取得できているのかがセキュリティマネジメントでは大切なことです。

3-5. 情報の管理・解析

情報の取得ができたなら管理と解析ができなければいけません。システム担当はログを見れば情報を瞬時に理解し、問題の是否もわかるでしょう。

当然ながら、情報セキュリティマネジメントの責任者は膨大な情報を全て見られるわけではありません。精査した情報を必要に応じていつでも提出できるようにしていきましょう。

 

4.セキュリティマネジメントに必要な製品

最後に、情報セキュリティマネジメントを実施していくために、便利に利用できる製品をご紹介します。

4-1. 多層防御ができる次世代ファイアウォール

情報セキュリティマネジメントを適切に運用していく際、正確な情報収集・分析には細かいレベルでチューニングができる次世代 ファイアウォールが必要になります。攻撃の防御や情報の蓄積だけではなく、管理や解析機能があるものが必要になるでしょう。

また、インシデント対応ができる製品が便利です。万が一に攻撃を受けた際には、危険なサーバーやネットワークを切り離し最小限に被害を抑えられる製品を選ぶようにしましょう。攻撃を迅速に食い止めるためには、これらの処理を自動化して実行できるという観点も重要です。

そして有事の際には、必要な管理者にアラートを出せる設計にできれば安心です。そこからセキュリティポリシーに準じて、責任者に判断を仰いでいかなければいけません。

  • 次世代型アドバンスドセキュリティ
    Software Defined Secure Network(SDSN)による”面”としてのセキュリティ対策をご紹介。
    詳しくはこちら

 

まとめ

情報セキュリティマネジメントで大事なことは守るべき情報資産を明確にすることです。

その上でセキュリティポリシーを正しく策定し必要な情報を取得していきましょう。そして情報の分析を確実に行い、経営層にレポーティングしていくことが大切です。適切な情報セキュリティマネジメントには、企業内で組織的な対応が必要といえます。

 

お役立ち資料

  • ファイアウォール選定のポイント
    ファイアウォールを選定する際に考慮すべきポイントをご説明しています。
    ダウンロードはこちら
  • オンプレミス型脅威検知アプライアンス Juniper JATPシリーズ
    サンドボックス検査および相関分析で内部に潜在する脅威を迅速に検知
    詳しくはこちら

関連記事

「Interop TOKYO 2017」レポート 〜進化するサイバー攻撃と次世代ネットワークセキュリティ〜

2017年6月7日から9日にかけて、幕張メッセでInterop TOKYO 2017開催
イベント出展

サンドボックス、次世代ファイアウォールだけでは不十分!?標的型攻撃対策には多層性を!

企業のセキュリティ対策の一貫として、サンドボックスや次世代ファイアウォールの利用は一般的
セキュリティ

UTMルーターの6つの選び方!過負荷対策は?ファイアウォールとの違いについて

企業のセキュリティ対策の一環でUTMルーターを検討するケースがあると思います。ファイアウ
セキュリティ

VPNのセキュリティーが安全な理由と安心して使う心がけ

バーチャルプライベートネットワーク(VPN)が普及して久しくなりました。 VPNを利用中
セキュリティ

Juniper導入実績多数のスペシャリストが
最新情報をみなさまにお届けしています

Juniper社認定資格者
お問い合わせ 検証支援サービス 資料ダウンロード