V.S.A. III

こんにちは，五十嵐です．6回に渡って運用者のセキュリティを書いてきました．今回はまとめ，ひとまず最終回です．

• 脆弱性が見つかった時にその情報のハンドリング体制に運用者がどのように関わるのか，あるいは関わらないのか．保守なども同時に行っているような場合には関わらざるを得ないが，その場合には運用者への情報公開の範囲をどのように絞るのか．
  
• 触れるデータは極力少なくする．触れるデータを最少にすることで，事故の発生が抑えられるとともに，運用者が疑われることが少なくなる．
  
• OS のログインと運用アプリケーションのログインを明確にする．ユーザアカウントの共有使用は極力避け，誰がどのようなオペレーションを行ったのかをあとでわかるようにする．
  
• 作業の記録を残す．誤った操作を後に追及するためではなく，正しい操作を行ったことを後に証明する記録となる．
  
• バックアップメディアなどの可搬媒体には封緘をする．
  
• 二名以上で作業を行う．操作内容の確認とともに，不正行為を抑止する効果がある．また，常に同じチームで作業を行わず，定期的に配置転換やチーム換えを行うようにする．
  
• そのほかの点についても，運用者自身をセキュリティ事故の追求から守るという視点で考えると良い．

以上のようなことを書いてきました．情報セキュリティ事故が発生した場合，運用者はシステムに物理的に一番近いため，最も疑われやすい立場になります．このことを十分に意識して，運用者自身を守る対策を行うと良いでしょう．そのことがすなわち，セキュリティを強固にすることにつながります．

運用者として ISMS を取得するのもひとつの手ですが，ISMS は決めたことを決めたとおりに運用していることを確認するフレームワークを提供し評価する制度に過ぎません．ISMS の取得によって過信することなく，運用者としてのセキュリティを考えてみてください．

 

カテゴリ：情報セキュリティ

<< 定期配置転換 - 運用セキュリティ #6 | Main | TGIF: 悲しみのウルトラマン >>