セキュリティドキュメント

サイバーセキュリティ専門家になるための総合学習サイト

セキュリティドキュメントとは

セキュリティドキュメントとは、達成すべきセキュリティを文書化したものです。

”強いセキュリティ”を実現するために、何を決めていかなければならないのでしょか。

ポリシーをトップとして5つの文書あります。

それぞれ作成の必須・任意が決まっています。

5つのドキュメント

ポリシー(必須)

ポリシーでは、実現したいことを明確にします。

  • 目的(purpose) どんなことを
  • 範囲(scope) どのくらいの規模感で
  • 責任(responsibilities) だれが責任を持ち
  • 法務(compliance) 違反をどう監視するか

この製品を使ってどうこうみたいのは、まだ決めません。

ポリシーの定義は、NIST SP 800-12に書かれています。

使っているパスワードを複雑なものにするぞ。

 

プロシージャ(必須)

プロシージャでは、どうやって達成するかをステップバイステップで書きます。

Step1. 全員ログアウトさせる。
Step2. パスワードを有効期限切れにする。
Step3. パスワード変更画面を表示する。
・・・

スタンダード(必須)

スタンダードでは、この状態になったら達成というように、目的をもっと具体的にします。

何のスタンダードを採用するかをスコーピングといいます。そして、どのように組織に取り込んでいくかをテーラリングといいます。

パスワードは、半角英数字10文字以上だ。

ガイドライン(任意)

ガイドラインでは、ポリシーを実現するためのサポートです。

パスワードを自動生成するボタンを用意する。

ベースライン(任意)

ベースラインでは、スタンダードを何に沿って決めたのか根拠です。

『10文字以上が望ましい』は、〇〇団体が推奨