ISMSって何よ？

　これもA.12.2.2と同様に情報セキュリティ固有の対策はあまり考えづらく、一般的な品質管理の中で特に完全性の確保を重視することになる。 　その他には、検査体制などの人的な対策も考慮する必要がある。 ...続きを見る

ブログ気持玉 / トラックバック / コメント

　要求事項に述べられているように、業務ソフトウェアの真正性を確実にするために、情報ソフトウェアと利用者間でやりとりされるメッセージの完全性の確保が求められている。 　電子証明や認証機能、認証情報の漏洩を防ぐメッセージの暗号化などが対策として考えられる。 ...続きを見る

ブログ気持玉 / トラックバック / コメント

　これは情報セキュリティ固有の対策はあまり考えづらく、一般的な品質管理の中で特に完全性の確保を重視することになる。 　また、情報セキュリティにおける不正行為としてよく言われるバッファオーバーフローなどへの対策が考慮されているかも重要である。 ...続きを見る

ブログ気持玉 / トラックバック / コメント

　不正入力や誤入力などによるデータの不適切な入力を防止することが要求されている。 　誤入力防止策としては、マスタコードのみの入力許可（自由入力の制限）や数値桁、文字コードの制限などが考えられる。 　不正入力対策としては、主にWebサーバでのSQLインジェクションなどへの対策が考えられる。 ...続きを見る

ブログ気持玉 / トラックバック / コメント

　業務用ソフトウェアに対する情報セキュリティ機能の組み込みが求められている。 　ここでいう業務用ソフトウェアは一般に組織内で使用されるシステムを指しているが、審査機関によっては外部に販売するシステムも対象とすると解釈する場合もある。 　外部に提供するシステムの仕様確定にあたっては、提供先の要求が主要な要件となることを留意する必要がある。 　また、このA.12.2ではシステム品質だけでなく、運用上の仕組みなども含めた幅広い分野での対策が求められていることに注意が必要である。 ...続きを見る

ブログ気持玉 / トラックバック / コメント

　情報システムの開発や購入などにおいて、要求仕様にセキュリティ要件を含めることが要求されている。 　通常の要件定義においても認証機能や誤入力対策などが要件に盛り込まれることが多いが、リスクに見合った十分なものとは言えない場合が多々ある。 　事前のリスクアセスメントに従った適切なセキュリティ対策機能の盛り込みが求められている。 ...続きを見る

ブログ気持玉 / トラックバック / コメント

　情報システムへのセキュリティ要件の適用を確実にすることが求められている。 ...続きを見る

ブログ気持玉 / トラックバック / コメント

　A.10では運用する立場からの情報システムの運用・保守について要求されていたが、A.12では情報システムの構築、保守などに関わる組織、プロセスに対する要求事項になっている。 　小さな組織では、開発・運用共に同一組織で行う場合が多々有ると思われるが、その役割によって求められる対策が異なることを理解しておく必要がある。 　また、ここで求められる要求事項の具体的な実現策は基本的には情報システムの品質管理と特段変わるものではない。 　ISMSとして新たな対策を要求するものではなく、従来の品質管理... ...続きを見る

ブログ気持玉 / トラックバック / コメント

　日本での主なテレワーキングの場として考えられるのが自宅勤務である。 　自宅であっても、社外としてのリスクレベルの高さに変わりはない。 　特に家族は無意識に加害者となる可能性が高く、家族が容易に操作可能な環境を作ってはいけない。 　そのため、組織では勤務者に対して、そのリスクの周知徹底や環境的制限や保険の加入などを考慮する必要がある。 　自宅へ安易に監査に行くことも難しいため、機能限定された機器を貸与し、操作ログを取得するなどの対策も考えられる。 ...続きを見る

ブログ気持玉 / トラックバック / コメント

　モバイルはその利用場所を限定するものではないため、適用範囲内に比較してリスクも多種に渡り、そのレベルもかなり高いものとなります。 　A.9.2.5では主に破損や環境的な対策が主体であったが、ここではそれらを含めて、不正アクセス対策などの論理的なものが主な対策となる。 　特に公共の場での使用は覗き見や無線の盗聴などのリスクに曝されていることを考慮して、その使用の場を制限することも重要な対策になる。 ...続きを見る

ブログ気持玉 / トラックバック / コメント

　A.9.2.5で構外にある装置のセキュリティの要求事項が有りましたが、ここはモバイルコンピューティングに限定され、物理的及び環境的なものだけでなく、関わる全てに要求事項となります。 　モバイルは移動中又は外出先での利用のことで、テレワーキングは組織外の特定の場所での利用になります。 　同じ自宅利用であっても、自宅に一時的に持ち帰り仕事をするのはモバイルであり、自宅で定常的に勤務するのはテレワーキングとなります。 ...続きを見る

ブログ気持玉 / トラックバック / コメント

　重要な情報システムは他のシステムの影響を受けない環境で運用することが要求されています。 　経理システムや人事システムなどは専用サーバで運用するといった対策がこれに当てはまるでしょう ...続きを見る

ブログ気持玉 / トラックバック / コメント

　情報へのアクセス制限と書かれていますが、広義のアクセス制限というよりも、情報を直接取り扱うアプリケーションシステムの利用を制限し、不必要に情報資産へのアクセスが行われないように対策を施すことが求められていると解釈することが、全体のバランスから見ても適切と思われます。 ...続きを見る

ブログ気持玉 / トラックバック / コメント

　ここは、情報そのもの及びその情報に直接関わる業務用ソフトウェアへの対するものです。 　いわゆるアプリケーションシステムに対する利用制限に主眼をおいた管理目的と言えるでしょう。 ...続きを見る

ブログ気持玉 / トラックバック / コメント

　重要なシステムにおいては、利用（接続）可能な時間帯を制限することも必要になる。 　ここでは、リスクの高い業務用ソフトウェアと明記されており、オペレーティングシステムに限定している訳ではないことにも注意を要する。 　そういう意味では本来A.11.6にあるべき管理策のようにも思えるが、OSも含めてリスクが高いという点に注目していると考えられる。 　一般には経理システムや人事システムの夜間・休日の利用禁止や、夜間バッチ業務システム稼働中の全システムの接続禁止などが考えられる。 ...続きを見る

ブログ気持玉 / トラックバック / コメント

　これは、A.11.3.2無人状態にある利用者装置やA.11.3.3クリアデスク・クリアスクリーンの管理策と同様に長時間　不在となった際の第三者による不正アクセス防止などの対策を実施する必要がある。 　そして、ここでの管理目的がオペレーティングシステムに対してであることを考えれば、より厳重な制限が必要であることが解る。 ...続きを見る

ブログ気持玉 / トラックバック / コメント

　システムユーティリティとは、個々の業務ソフトウェアやデータに限定されず、ジステム横断的に影響を与える可能性の有るソフトウェアのことです。 　バックアップ／復旧ソフトウェア、ディスク最適化ツールなどが考えられます。 　一般的にはこれらの機能はオペレーティングシステムもしくは管理者権限ツールとして集約されていることが多く、その場合は前述の管理者権限（特権）と同様と考えて良い。 ...続きを見る

ブログ気持玉 / トラックバック / コメント

　この管理策で混乱するのは「対話式でなければならず」という文言です。 　これは、確実に行っているか確認しながら管理手順を進めなさい。言い換えると利用者と管理者が相互確認する仕組みを確立しなさいという意に解釈されています。 　一般に実施されている対策としては、システムで有効期限を過ぎたらパスワード変更をしないとログオン出来ないなどの制限を行うことなどが有ります。 ...続きを見る

ブログ気持玉 1 / トラックバック 0 / コメント 0

　ここで言う利用者とは狭義での特権以外の一般利用者の意ではなく、広義の利用者のうち特権を持つ者と認識しないと混乱してしまう。 　共有ＩＤを持たない、複数認証などの強力な認証を行う、Administratorやrootなどの標準名を使用しない、などの対策が一般に考えられます。 ...続きを見る

ブログ気持玉 / トラックバック / コメント

　利用者のログオン手順より厳しい対策を施すことが求められています。 　ログオンの失敗回数やログオンに要する時間を制限する、ソフトウェアキーボードに使用、成功後に前回ログオン時間の表示といったことが考えられます。 　また、制限を厳しくすることは、逆に利便性を排除することでも可能になります。 　例えば、許可されていない入力者に不要な情報を与えないように、「○桁以上必要です。」といった入力誤りに対する具体的な情報を表示をしないなどが考えられます。 ...続きを見る

ブログ気持玉 / トラックバック / コメント