情報セキュリティにおける構成管理

内容

• 複雑化する脅威
• ISO 27001:2022の文脈における構成管理
• 管理策8.9「構成管理
• 情報セキュリティにおける構成管理 - 結論
• DQS：認証された情報セキュリティに関するお問い合わせ先

複雑化する脅威

誤った設定やセキュリティ構成は、情報セキュリティに計り知れないリスクをもたらします。複雑化する現代のIT環境を考慮すると、設定管理（セキュリティ設定の継続的かつ体系的な定義、文書化、実装、監視、レビュー）は、組織のコンプライアンス管理にまで及ぶ困難なタスクになりつつあります。

外部の人間にとって、ITインフラは、オンプレミスであれクラウドであれ、アプリケーション、デバイス、ネットワーク・コンポーネント、サービスが錯綜する網の目のようなものである。特に後者は、コロナウイルスの大流行で劇的に増加した。しかし、ITチームにとって、増え続けるシステム・コンポーネントを構成し、システムの構成を継続的に監視して適応させることは、かなりの作業量を意味し、従業員をしばしば圧倒する。体系的なコンフィギュレーション管理を行わなければ、セキュリティ・リスクやデータ（個人情報を含む）の損失や悪用につながる可能性がある。

結局のところ、2022年にドイツで行われた調査では、セキュリティ管理者の81％が、脆弱性と未知の設定ミスがインフラにおける最大のセキュリティ問題を引き起こしていると回答している。また、クラウド・セキュリティ・アライアンスによる、パンデミック時にクラウド・コンピューティングで最も深刻な脆弱性に関する調査「パンデミック・イレブン」でも、設定ミスが第3位にランクインしている。

したがって、不正アクセスなどの観点から、情報技術におけるコンフィギュレーション管理にもっと注意を払うことは、近年の発展の論理的帰結である。したがって、新しいISO/IEC 27001:2022が、このトピックに独立した情報セキュリティ管理策を設けたのは正しいことである。

ISO 27001:2022における構成管理

2022年から再編成されたISO 27001の附属書Aには、11の新しい対策を含む93の情報セキュリティ対策（対策）が含まれています。更新に伴い、管理策はテーマごとに4つのセクションに整理されました。

• 組織的対策
• 個人的対策
• 物理的対策
• 技術的対策

情報技術における安全な構成管理は、技術的対策または技術的対策の対象分野に該当し、付録 A の 8.9 に記載されている。これは、情報セキュリティの3つの保護目標（機密性、完全性、可用性）すべてをサポートする予防手段の一つである。

標準テンプレート

標準テンプレートの定義は、組織が構成管理を体系化するのに役立つ。この開発では、以下の基本的な側面を考慮する必要がある：

• 例えば、ベンダーや独立したセキュリティ機関などによる、一般に入手可能なガイダンス
• 適切なセキュリティを確保するために必要な保護レベル
• 社内の情報セキュリティ方針、トピック別のガイドライン、標準、その他のセキュリティ要件への対応
• 組織の状況における構成の実現可能性と適用可能性

開発した標準テンプレートは、特に新たな脅威や脆弱性に対処する必要が生じたとき、 または新しいソフトウェアやハードウェアのバージョンが組織に導入されたときなど に、定期的に見直して更新する。

テンプレートを作成する際には、他にも考慮すべき点がいくつかある。これらはすべて、コンフィグレーションの無許可の変更や不正な変更を防ぐのに役立つ：

• 特権アクセス権または管理アクセス権を持つアイデンティティの数を最小限にする。
• 不要、未使用、または安全でない ID の無効化
• 不要な機能やサービスの停止または制限
• 強力なユーティリティやホスト・パラメータ設定へのアクセスの制限
• クロックの同期
• インストール直後に製造元のデフォルト認証データとデフォルトパスワードを変更し、重要なセキュリティ関連パラメータをチェックする。
• 一定時間操作が行われないとコンピュータ・デバイスを自動的にログオフするタイムアウト機能の呼び出し
• ライセンス要件が満たされているかの確認

コンフィギュレーションの管理と監視

インシデント発生後にコンフィギュレーションの誤りを排除するため、すべてのコンフィギュレーションを記録し、変更を確実に記録する必要がある。この情報は、構成データベースやテンプレートなどに安全に保存されなければならない。

すべての変更は、情報処理ガイドラインおよび情報システムの変更に関するガイドラインを記述した管理基準8.32「変更管理」に従って行われる。コンフィギュレーション記録には、ITシステムまたは資産のステータスと、それに対していつでも加えられる変更の両方を追跡するために必要なすべての情報が含まれていなければならない。これには、例えば以下の情報が含まれる。

• 問題の資産に関する現在の情報 - 所有者または連絡先は誰か？
• 最後の構成変更の日付
• コンフィギュレーション・テンプレートのバージョン
• 他のアセットのコンフィグレーションとの接続と関係

保守プログラム、リモートサポート、エンタープライズ管理ツール、バックアップ・リストアソフトウェアなど、包括的なシステム管理ツールのセットは、コンフィギュレーションの監視と定期的なチェックに役立ちます。これらのツールの助けを借りて、管理者はコンフィギュレーション設定を検証し、パスワードの強度を評価し、実行されたアクティビティを評価することができます。

また、実際の状態を定義されたターゲット・テンプレートと比較し、定義されたターゲット・コンフィギュレーションを自動的に実行するか、または手動で逸脱とその後の是正措置を分析することによって、逸脱が発生した場合に適切な対応を開始することができます。例えば、インフラストラクチャー・アズ・コード（プログラマブル・インフラストラクチャー）による自動化によって、仮想化環境やクラウド・コンピューティングにおけるセキュリティ構成を効率的かつ安全に管理することができる。

情報セキュリティにおける構成管理 - 概要

情報セキュリティにおける構成管理は、重要なセキュリティツールであり、構成ミスによるセキュリティギャップを大幅に削減することに永続的に貢献する。その体系的なアプローチは、社内チームの負担を軽減し、効率的な IT 運用、システムの堅牢化、情報および機密データの可用性に貢献する。例えば、個人データ保護へのプラス効果も明らかだ。

構成管理は、資産管理プロセスや関連ツールに統合することもできる。セキュリティ設定を一元管理することで、システムの可用性とデータ保護における新たな脅威や脆弱性に迅速に対応することが可能になり、システムの潜在的な攻撃面を最小限に抑えることができる。ISO 27001の新しい情報セキュリティ管理基準8.9は、組織とその管理者にとって重要なセキュリティ上の貢献となる。

この付加価値は、企業や組織が実施しなければならない。コントロール8.9の要求事項を現状と比較し、管理された変更プロセスを通じてさらに最適化する必要があります。35年以上にわたる審査と認証の専門知識を持つ当社は、お客様の理想的なパートナーとして、情報セキュリティに関するアドバイスとサポートを提供します。

認証更新の意味

ISO/IEC 27001:2022は、2022年10月25日に発行されました。

この結果、ユーザーにとっての移行の期限と期間は次のようになります。

旧」ISO 27001に基づく初回/再認証審査の最終期限

• 2024年4月30日以降、DQSは新規格ISO/IEC 27001:2022に基づく初回審査及び再認証審査のみを実施します。

旧版」ISO/IEC 27001:2013に基づく既存のすべての認証書を新版2022に移行する。

• 2022年10月31日から3年間の移行期間が適用される。
• ISO/IEC 27001:2013またはDIN EN ISO/IEC 27001:2017に従って発行された認証書は、遅くとも2025年10月31日まで有効であるか、またはこの日に撤回されなければならない。

ISO/IEC 27001:2022- 情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティマネジメントシステム - 要求事項

DQSセキュリティの単純な活用

ISO/IEC 27001の新バージョンへの移行には、まだ時間があります。旧規格に基づく現在の証明書は、2025年10月31日にその効力を失う。とはいえ、情報セキュリティマネジメントシステム（ISMS）に対する要求事項の変更に早い段階で対応し、適切な変更プロセスを開始し、それに従って実施することをお勧めします。

30年以上の経験を持つ審査と 認証の専門家として、当社は新しいISO 27001:2022の導入をサポートします。当社の経験豊富な審査員から、最も重要な変更点と貴社との関連性を確認し、当社の専門知識を信頼してください。ご連絡をお待ちしております。

信頼と専門知識

弊社の記事とホワイトペーパーは、弊社の基準専門家または長年の審査員によってのみ執筆されています。本文の内容や当社のサービスに関してご質問がある場合は、当社までご連絡ください。