CISSP取得に向けて

セキュリティエンジニア勉強サイト

NEW ARTICLE
【実践編】秘密鍵の作成

【1-2】セキュリティガバナンスの原則の適用

ガバナンスとは、組織をうまく運営して良好な状況を保つことです。経営判断だけでなく、決定を行うために使われるポリシーや情報も含まれます。
簡単に言うと、経営者の判断経営判断するための材料がガバナンスということになります。

セキュリティガバナンスは、ガバナンスの内のセキュリティに関する部分です。

セキュリティ専門家は、経営判断を正しく行うための正しい情報を提供するという重要な役割を持っています。

 

目次

組織の目的、使命、目標

企業の資産は、それぞれの部署で正しく管理されなければなりません。
例えば、人的資産は人事部、金融資産は財務部のように担当部署でルールを作り正しく運用しています。
そのため情報資産は、セキュリティ専門家によって正しく管理される必要があります。

セキュリティは組織全体の目的を考慮して運用することが不可欠です。
セキュリティを求めるあまり、本業の効率が著しく低下する等の問題があってはいけません。
あくまで、セキュリティは本業のサポート機能です。
ビジネスはセキュリティなしで存在できますが、セキュリティはビジネスなしには存在できません。

 

コラム:セキュリティはブレーキ
企業をF1レースに例えると、企業の業務はアクセル、セキュリティはブレーキになります。
車が進む(企業が業績を上げる)ためには、もちろんアクセル(本業)が必要で、馬力が大きいほど速く進めます。ただ、ブレーキ(セキュリティ)がないと、カーブで事故を起こしてしまいリタイアとなってしまいます。必要以上にブレーキをかけすぎても、タイムが遅くなってしまうため適切に使うことが求められます。

組織プロセス

組織は意思決定の際に、目標や業種等に応じて独自のプロセスを持っています。
一部の企業では、ガバナンス委員会を活用しています。
ガバナンス委員会は、従業員から構成され、意思決定を行う方法やガバナンスの変更、例外の承認等を行います。

セキュリティに関する判断が、経営に影響するように、
経営に関する判断が、セキュリティに影響することがあります。

セキュリティに影響する経営判断の例

  • 買収/合併:別の企業が新たに組織に加わるため、2つの組織間でセキュリティガバナンスの調整をする必要があります。
  • 売却:分離した会社のデータの権利の管理等の取り決めが必要となります。

セキュリティの役割と責任

セキュリティは社内の全員で維持していく必要があります。
個人は各々の職務に応じて、適用されるルールやポリシーを把握して遵守しなければなりません。

セキュリティ組織構造

セキュリティ組織構造には、画一的なものは存在しません。
一般的な組織形態を例として簡単に役割を説明します。

  • 上級管理職(社長、副社長、最高経営責任者等)

組織の上部階層であり、組織にポリシーを指示する権限を持ちます。
セキュリティとそれ以外の項目について、最終判断を下す責任を持ちます。

  • セキュリティマネージャ

組織内のセキュリティ担当責任者で、上級管理職に対しセキュリティ関連の問題について助言します。
セキュリティポリシーの草案の作成や日常的なセキュリティ運用の管理を実施します。

  • セキュリティ担当者

組織内のセキュリティ実務者で、セキュリティのプロセスや活動を行います。
セキュリティ担当者は一般的に、セキュリティマネージャの直属です。

  • システム管理者

IT環境に関する業務を実施する担当者で、システムのセキュリティ設定や潜在的なインシデントの報告等を行います。
システム管理者は一般的に、セキュリティマネージャの直属とはなりません。

  • ユーザ

IT環境を利用し業務を行う従業員で、セキュリティ関連の職務はありません。
ユーザは一般的に、セキュリティマネージャの直属とはなりません。

ガバナンスフレームワーク

組織がガバナンスを明確にするときには、フレームワークを利用していきます。
フレームワークを利用することで、記録を残し監査人などの組織外の人への説明が行えるようになります。
フレームワークの例を以下に示します。

  • ISO 27001/27002

国際標準化機構(ISO)が定める標準規格で、米国以外に最も利用されています。
ISO27001は情報セキュリティ管理システム(ISMS)として知られ、セキュリティガバナンスに関する記載がされています。
ISO27002はセキュリティコントロール(運用手順)について、記載されています。
そのため、情報システムはISO27001に従い設計を行い、ISO27002を用い適切な制御を行います。

  • COBIT

ISACAが作成/管理しているフレームワークです。
COBITは、ITセキュリティ機能を管理する方法を記載し、リソース管理にガバナンスとプロセスの視点を広く取り入れています。

  • ITIL

Axelosが管理しているフレームワークです。
ITサービス運用に関して特化し、ビジネスの目標への貢献について記載されています。
また、ITILはISO20000標準規格に対応しています。

  • RMF

米国の国立標準技術研究所(NIST)が公開しているフレームワークです。
フレームワークは2つあり、リスクマネジメントフレームワーク(RMF)とそれに伴う制御のリストです。
制御リストには、セキュリティコントロール(SP800-37)とプライバシー制御(SP800-53)があります。

  • CSA STAR

クラウドセキュリティアライアンス(CSA)が公開しているフレームワークです。
クラウドコンピューティングのセキュリティに特化したフレームワークです。

デューケア/デューデリジェンス

デューケアとは顧客に対して説明する義務のことです。(説明自体を指す)
※説明根拠(エビデンス)のことではありません。
デューデリジェンスとはデューケアを提供するための活動です。

 

コラム:デューケア/デューデリジェンスの例
顧客がメーカーから携帯電話を購入した場合を考えてみます。
メーカーは携帯電話が通常の期待通り動作することや安全に利用できるように製造します。
顧客が普通に携帯電話を利用している時に爆発した場合、原因や対策について説明する(デューケア)義務があります。
原因調査や対策の検討に関わる設計の見直し等の活動がデューデリジェンスとなります。

 

達成目標

本章での達成目標は以下となります。

【1-2-1】セキュリティガバナンスの原則を理解している。
【1-2-2】組織のセキュリティ機能が、その組織のビジネス戦略、目標、使命、目的にどのように整合するかを説明できる。
【1-2-3】組織内のセキュリティに関連するさまざまな役割と責任を説明できる。
【1-2-4】組織内のガバナンスプロセスを理解し、それらがセキュリティにどのように影響するか説明できる。
【1-2-5】フレームワークについての概要を理解し、目的に応じてセキュリティフレームワークを定説に特定できる。
【1-2-6】デューケアとデューデリジェンスの概念とそれぞれの違いを理解している。