セキュリティドキュメントとは
セキュリティドキュメントとは、達成すべきセキュリティを文書化したものです。
”強いセキュリティ”を実現するためには明確な定義が必要です。その定義は組織によって異なるため、文章化する必要があります。ポリシーをトップとして5つの文書あり、それぞれ作成の必須・任意が決まっています。
ポリシー(必須)
ポリシーでは、実現したいことを明確にします。
- 目的(purpose) どんなことを
- 範囲(scope) どのくらいの規模感で
- 責任(responsibilities) だれが責任を持ち
- 法務(compliance) 違反をどう監視するか
この文章では特定の製品を利用するなどの実現方法は記しません。ポリシーの定義はNIST SP 800-12に書かれています。
認証機能を強化し、不正アクセスリスクを低減する。
スタンダード(必須)
スタンダードでは、ポリシーを達成する上で必要な要素を具体的にします。
ポリシーは目的だけであるため、そのポリシー自体がどのような事を達成すればよいのかというスコープを決めます。
何のスタンダードを採用するかをスコーピングといいます。そして、どのように組織に取り込んでいくかをテーラリングといいます。
認証システムでは○○社の多要素認証製品を利用しよう。
- ウィルス対策ソフト
- アクセス制御システム
- ファイアウォールシステム
ベースライン(任意)
ベースラインでは、スタンダードを何に沿って決めたのか根拠です。
スタンダードまで決めると実現方法のイメージがかなりついてきます。その決定方法が根拠のあるものでなければ実現する段階でちぐはぐになりかねません。
多要素認証方式は○○基準に則る。
- 政府勧告
- 国際規格(ISO/IEC27001,27002等)
- 製品/システムの評価基準
ガイドライン(任意)
ガイドラインでは、ポリシーを実現するためのサポートです。
補足文章といった方が良いかもしれません。ポリシーの実現に向けて説得力を増すような資料になります。
多要素認証システムはエージェント方式を想定
- 不正侵入検知システムの構成
- アクセス制御システムの構成
プロシージャ(必須)
プロシージャでは、どうやって達成するかをステップバイステップで書きます。
イメージを伝えてすべての人が理解できるわけではありません。ステップバイステップの資料を作成し、全員同じ行動をとっていただくように指揮します。
Step1. 全員ログアウトさせる。
Step2. パスワードを有効期限切れにする。
Step3. パスワード変更画面を表示する。
・・・
- アカウント登録手順
- ドキュメント作成・破棄手順書
- インシデント対応手順
