ISO 27001は、組織の機密性の高い貴重な情報に焦点を当てています。その保護、機密性、完全性、可用性です。ISO 27001は、民間、公共、非営利の組織における情報セキュリティの国際規格です。この規格は、文書化された情報セキュリティマネジメントシステム(ISMS)の確立、実装、運用、および最適化に関する要求事項を記述しています。マネジメントシステムの主な焦点は、リスクの特定、処理、処置にあります。
Loading...
情報セキュリティの脅威とリスクとは?
ISO 27001でいう脆弱性管理とは、技術的な脆弱性のことを指します。これらは、企業や組織のITセキュリティに対する脅威となる可能性があります。その例としては、以下のようなものがあります。
- ランサムウェア:データ媒体を暗号化し、危険な情報を取得する恐喝ソフトウェア。
- ネットワークへのリモートアクセスを可能にするRAT(Remote Access Trojan:リモートアクセス・トロイの木馬
- 電子メールを介して制御不能になるフィッシングやSPAM。ここでは、特に一般データ保護規則(GDPR)を入り口とし、リンクをクリックして顧客データを確認するようメールに記載することが多い。多くの場合、送信者は銀行やPayPalに見える。
- 巨大なデータパケットによりシステムの可用性と完全性に障害をもたらすDDoS/ボットネット
- 国家が支援するサイバーテロリスト、活動家、犯罪者、そして様々な脅威をもたらす内部犯行者。
- プロセスの不備・欠落
これらの脅威から生じる脆弱性やセキュリティギャップを特定するためには、ISO 27001による保護ニーズの評価が必要です。この結果、継続的な脆弱性評価によりITインフラを保護するための体系的な脆弱性管理が実現するからです。
プロセスの欠陥 - 情報セキュリティの脅威?
システムログやログデータを分析するプロセス、技術的な脆弱性に関する知識、ITシステムのより詳細なレビューがなければ、現実的なリスクアセスメントは不可能である。また、プロセスの欠如や欠陥があれば、ISO 27001が要求するリスク受容基準の設定やリスクレベルの決定もできない。
したがって、ITセキュリティ、ひいては企業の情報セキュリティに対するリスクを決定することはできず、その企業にとって可能な限り高いリスクと見なさざるを得ないのです。
ISO 27001における脆弱性管理:インフラの最適な保護
ITインフラの安全性を確保するための適切な対策として、潜在的な脆弱性やセキュリティギャップを管理することが考えられます。これには、技術的な脆弱性に関して、すべてのシステムに対して、定期的、体系的、ネットワーク制御されたスキャンと侵入テストを実施することが含まれます。特定された脆弱性は、ISO 27001に準拠した情報セキュリティマネジメントシステム(ISMS)に記録されます。
また、ITセキュリティに対する脅威を定義することも、包括的な情報セキュリティと同様に重要である。この文脈では、技術的な脆弱性を重要度(CVSS)に応じて優先順位付けし、最終的に是正する必要があります。残存する技術的な脆弱性から生じる残留リスクの評価、そして最終的にはリスクの受容も、ISO 27001に従った脆弱性管理の一部です。
脆弱性の深刻度を評価するには、業界標準の「CVSS( Common Vulnerability Scoring System)」を利用することができます。0から10までの総合スコアは、特に以下の質問に対応するベーススコアメトリクスから決定されます。攻撃者が脆弱性のあるシステムにどれだけ「近づく」必要があるか(攻撃ベクトル)?攻撃者はどれだけ簡単にターゲットに到達できるか(攻撃の複雑さ)?脆弱性を悪用するために必要なアクセス権は何か(必要な特権)?ヘルパー、例えば最初にリンクをたどらなければならないユーザが必要ですか(User Interaction)?機密性が損なわれているか(Confidentiality Impact)?
CVSS計算機は、米国国立標準技術研究所(NIST)のページで見ることができます。
技術的な脆弱性から企業を守るにはどうしたらよいのでしょうか?
例えば、マルウェアに対しては、検知・防御・データセキュリティ対策を導入・実施し、適切なユーザー啓発を行うことで、予防的に自社を保護することができます。具体的には、次のようなことです。ISO 27001の脆弱性管理の文脈で技術的な脆弱性の悪用を防ぐためには
- 使用する情報システムの技術的な脆弱性に関する情報を適時に入手すること。
- その脆弱性を評価し
- 適切な対策を講じる
これは、セキュリティパッチのインストール(パッチマネジメント)、脆弱なITシステムの隔離、最終的にはシステムのシャットダウンによって行うことができる。さらに、ユーザーによるソフトウェアのインストールに関するルールを定義し、実施する必要があります。
脆弱性管理とISO 20071のセキュリティ概念に関する重要な質問
審査時に以下のような質問をされる可能性があるため、事前に対処しておくことが望ましい。
- 技術的な脆弱性に対処し、監視するための役割と責任を定義しましたか?
- 技術的な脆弱性を特定するために使用できる情報源について学びましたか?
- 脆弱性が通知され、発見されたときに、対策を講じるための期限を設けていますか?
- 会社の資産などに関する脆弱性のリスクアセスメントを実施しましたか?
- 技術的な脆弱性を把握していますか?
サイバー空間におけるドイツの脅威について、包括的で根拠のある概要を知りたい方は、ドイツ連邦情報セキュリティ局(BSI)の英語版「Situation Report on IT Security 2019」(https://www.bsi.bund.de)をご覧ください。
おわりに
ISO27001の文脈における脆弱性管理は、定期的に実施しなければならない継続的なプロセスである。ISO 27001によると、その結果は「有効」でなければなりません。つまり、導入や認証のための1回限りの脆弱性スキャンとリスクの評価は、後の時点、たとえば再認証時にはもはや有効ではありません。
脆弱性スキャンは、それが実行された瞬間にのみ有効である。しかし、後でソフトウェアのアップデートが行われたり、トポロジーに変更が加えられたりすると、新たな脆弱性につながる可能性があります。
したがって、どのような組織であっても、脆弱性管理プロセスを継続的に追跡、検証、反復し、関連情報を情報セキュリティ管理システムに反映させることが重要です。
ISO 27001認証取得
ISO 27001の認証を取得するためには、どのような準備と対策が必要でしょうか?無料で情報を得ることができます。
ご相談をお待ちしています。
DQS グループは、シンプルに品質を活かす。
私たちは、お客様の重要なパートナーであると考え、お客様と同じ目線に立って、持続可能な付加価値の実現に取り組んでいます。私たちの目標は、最もシンプルなプロセス、そして納期と信頼性の最大限の遵守を通じて、企業の成功のために重要な付加価値を提供することです。
私たちのコア・コンピテンシーは、認証審査と評価の実施にあります。このため、信頼性、品質、顧客志向において常に新しいベンチマークを設定することを主張する、世界有数のプロバイダーとなっています。
DQSのメールマガジン
メルマガを登録して、あなたのビジネスに役立つ最新情報を入手しましょう。
著者名
André Saeckel
Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.
Loading...