V.S.A. III

こんにちは，五十嵐です．運用セキュリティに限りませんが，扱うシステムを定期的に変える - 人の配置を定期的に変えることはセキュリティ面から考慮すべき事柄です．

長い間同じシステムの操作運用を行っていると，操作に慣れてしまい，ミスをしたり，本来行うべき確認などを省略してしまうことがあります．また，データなどに触る期間が長くなると，持ち出せる可能性も大きくなります．

このようなことを防止するために定期的に配置転換を行います．触れるシステムを変えるということがひとつ．もうひとつはチーム編成を変えるということです．

操作を担当するシステムを定期的に変えるためには，運用手順書が整備され，わかりやすく記述されていなければなりません．勘に頼ったり，記述されていないことを口頭での確認で補完していたりすると運用者を変えることが困難になります．記述間違いや記述漏れなどは，速やかに訂正し，運用者との間の承認プロセスを経て，常に正確なものを使用します．配置転換が行われてもすぐに遅滞無く作業が行われるようにしておくことが大切です．

また，チーム編成を変えることは，お互いが作業内容を常に正しく確認しあうという点から必要です．同じチームで作業をしていると，なんとなくお互いに信頼できるような気になり，確認作業がおろそかになりがちです．信頼しあうことは大切ですが，慣れによる穴が出来てはいけません．また，悪い意味では，データの持ち出しなどの共謀が行われることも可能性としては忘れてはいけません．見てみぬふりをするということもないわけではありません．このような点からもチーム編成を定期的に見直す必要があります．

何度も繰り返し書きますが，運用者自身が疑われないように，また疑われても疑義を晴らすことができるような仕組みづくりが重要です．

カテゴリ：情報セキュリティ

<< 封緘 - 運用セキュリティ #5 | Main | 運用者のセキュリティまとめ - 運用セキュリティ #7 >>