セキュリティ統制のカタログ化

本章では、組織におけるセキュリティ管理策の検討および実施における課題を提示した上で、セキュリティ統制のカタログ化に関する基本方針および必要となる要素について説明する。

セキュリティ統制のカタログ化の必要性について

セキュリティ統制のカタログ化を実施するための必要性として、以下の4つを示す。

  • 情報セキュリティポリシーのメンテナンス性向上への対応

    • 組織における情報セキュリティポリシーのメンテナンス性を高めたい。

  • セキュリティ統制業務間におけるトレーサビリティ確保への対応

    • 様々な基準、ガイドライン等に整合性のある対応を着実に効率よく実施したい。

  • 政府情報システム環境の多様化への対応

    • 多様化するシステム環境それぞれにおいて、一貫したポリシーに基づくセキュリティ統制を行いたい。

  • セキュリティ監査の高度化

    • 自動化や機械化によるセキュリティ監査の高度化および効率化を目指したい。

本節では、上記の必要性を挙げるに至った、セキュリティ統制の検討および実施を行う上で組織が抱える背景について説明する。

情報セキュリティポリシーのメンテナンス性向上への対応

情報セキュリティポリシーは、新たな技術やサービスの普及、サイバー攻撃等の高度化・手段の複雑化などを背景に、改定を繰り返している組織が殆どである。様々なリファレンスを自組織の情報セキュリティポリシーへ取り込む、もしくは改定する際には、既存の情報セキュリティポリシーとの間で内容の整合性を担保しつつ実施する必要があり、管理側の負担となっている。新たなセキュリティ管理策の追加や既存のセキュリティ管理策の修正などを行えば、情報セキュリティポリシーの多岐にわたるセキュリティ管理策に影響が生じることが挙げられる。セキュリティ統制のカタログ化がなされていれば、個々のセキュリティ管理策の独立性を維持しつつ加除修正することを効率的に行い易くなり、結果として情報セキュリティポリシーの整合性が維持されることが見込まれる。

セキュリティ統制業務間におけるトレーサビリティ確保への対応

近年、コンプライアンス意識の高まりから、基準、規格、フレームワーク、ガイドラインなどは増加の一途をたどっている。これらのリファレンスは、それぞれ独自の形式で表現されているため相互運用性に乏しく、また個人情報保護分野とIoT分野といった背景事情の異なるリファレンス同士を比較した際に、内容の重複や非整合が生じる可能性がある。様々なリファレンスに基づくセキュリティ統制業務間で相互運用性、整合性が確保されていないこと(すなわちトレーサビリティが欠けていること)により、情報セキュリティポリシー変更に伴うシステム影響範囲を把握しづらい、システム実装における設定値の根拠となる情報セキュリティポリシーを把握しづらい、セキュリティ監査において情報セキュリティポリシーとシステム実装内容との比較を手作業で行う必要がある、などの問題が発生している可能性が考えられる。変化する状況に対応するためにも、情報セキュリティポリシーを柔軟に変更し、素早くシステム実装に反映し、セキュリティ監査によって確認することは、セキュリティ向上にも繋がるものである。一連の業務を通して整合性を確保するためにも、各業務間でのトレーサビリティ向上が求められている。

政府情報システム環境の多様化への対応

クラウドサービスの利活用やモバイル、IoTなど、管理対象となる情報システム環境の多様化が進んでいる。閣議決定された「デジタル社会の実現に向けた重点計画」(令和4年6月7日)においても、クラウド・バイ・デフォルト原則を徹底し、クラウドサービスの利用を第一候補として検討するとされており、今後クラウドサービスの利用が拡大することが見込まれる。

クラウドサービス利用においては、プライベートクラウドとパブリッククラウドを組み合わせる環境や、複数のクラウドサービスプロバイダに跨る環境など、様々な情報システム環境が考えられる。加えて、システムへの負荷状況に応じて自動でシステムリソースを調整するオートスケーリングなどのシステム規模を動的に変化させて管理する環境などもあり、管理対象である情報システム環境の多様化が進んでいる。

こうした状況においても、各情報システム環境に対して組織の情報セキュリティポリシーに準拠するよう整合性を持ってシステムを設定する必要があり、また異なる情報システム環境間においても、一貫したポリシーに基づいて整合性を確保し、適切に設定する必要がある。従来の人手による管理は限界を迎えつつあり、環境によっては自動化の手段が提供され、また自動化が促進されている。IaC(Infrastructure-as-Code)などの普及により、一つの設定情報から複数のリソースに自動化された方法で設定を適用することが可能となり、セキュリティ関連の設定についても、テンプレート利用や設定自動化などにより、整合性を確保し、かつ手作業のミスや誤設定等のリスクを軽減できるのではないかと思われる。

セキュリティ監査の高度化

多くの組織において、組織の定める統制目標、セキュリティ管理策に基づき、システムが適切に運用されているかについて確認するため、年一回など定期的なセキュリティ監査が実施されている。こうしたセキュリティ監査は人手によって実施されることが多く、また一回のセキュリティ監査において、情報セキュリティポリシーに不適合な項目を発見し是正するために多大な時間がかけられている。前項2.1.3)にて述べる情報システム環境の多様化などもあり、セキュリティ監査においても、機械化や自動化といったニーズへの対応が必要となるものと思われる。

セキュリティ監査実施直後は、組織の定める統制目標、セキュリティ管理策に準拠できている良好な状態であるといえるが、往々にして、セキュリティ管理策の変更やシステム更新などの要因により、時間経過するにつれて組織が期待する在るべき姿と実態との乖離が発生してしまっている。セキュリティの確保を実現する上でも、システムは在るべき姿を24時間365日維持することが重要であり、理想的には、継続的に監視される状態を目指し、また情報セキュリティポリシーから乖離した項目については、可能な限り素早く是正することを目指すべきである。

またセキュリティ監査の実施結果については、機械可読でない個々の組織により定められた形式のドキュメントにて管理される場合が多い。機械可読でない形式によるドキュメント管理では再利用性や汎用性に乏しく、過去の監査結果や異なるシステム間での監査結果との比較が難しく、また各種監査ツール類への対応も難しいため、監査結果の標準的な形式による管理が望まれる。

セキュリティ統制のカタログ化について

セキュリティ統制のカタログ化とは、情報セキュリティポリシー運用業務、システム実装業務および運用業務並びにセキュリティ監査業務を検討及び実施する際に必要な、独立性のあるセキュリティ管理策を揃え、それらに対して一意な識別子を付与し、機械可読な形式で表現することを指すものとする。識別子による要素間での関連付けを行うことによって、要素間のトレーサビリティを確保すると同時に各要素を構造的に把握することが可能となる。組織やシステムの特性、処理する情報の種類などに合わせてテーラリングしやすくなるように、個々のセキュリティ管理策のパラメータを選択する方式などの形態をとるものとする。

セキュリティ管理策のデータは、マークアップ言語等を用いて機械可読な形式(XML、YAML、JSON、等)で表現することを想定する。機械可読な形式で表現することにより、設定の自動化やテンプレート活用などを促進することができ、システムセキュリティ評価の効率、適時性、正確性、および一貫性を向上させることが可能となる。

セキュリティ統制のカタログ化の概要について、以下に示す。

カタログに含まれる統制分類について

本ガイドラインでセキュリティ統制のカタログ化の対象とするセキュリティ管理策の統制分類は、関連するセキュリティ管理策のファミリーとする。その検討にあたっては、幅広い基準・規格・フレームワーク・ガイドラインを参考とすることとし、具体的には以下のようなものを含む。

  • JIS Q 27002:2014[^1]

  • JIS Q 27017:2016

  • NIST Cybersecurity Framework Version 1.1

  • NIST SP800-53 Rev.5

  • NIST SP800-171 Rev.2

  • 政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準

一例として、国際規格に基づいた規格(JIS Q 27002:2014)として書かれている内容の例を以下の表 2に引用する。この例では、統制分類は、「アクセス制御」、「暗号」といったものである。

識別子による識別と相互参照について

情報セキュリティポリシー運用業務、システム実装業務および運用業務、並びにセキュリティ監査業務を検討および実施する際など、セキュリティ統制業務における各業務間の参照性は重要である。参照性が求められる例として、システム実装および運用を行う為には情報セキュリティポリシーを参照して整合性を保つようシステムを維持することが必要であり、それらが担保されていることをセキュリティ監査で確認し、セキュリティ監査結果を基に情報セキュリティポリシーの評価・見直しを行うという流れが挙げられる。

セキュリティ統制の検討および実施における参照性を向上させるため、カタログ化の対象となる全ての要素たるセキュリティ管理策について、一意に識別するために識別子を付加する。各要素を一意に識別することが可能となれば、識別子を介して要素間での参照関係を定義することが可能となる。また、参照関係を整理していく上で、要素間での内容の重複や矛盾といった不備を排除することが可能となる。これらにより、自組織における情報セキュリティポリシー内の矛盾した定義の排除など、構成要素の正規化を促進することが可能となる。

付随情報の想定について

カタログ化の各要素においては、内容を十分に表現するためのデータモデルを用いることを想定している。データモデルには、タイトル、日付、分類、本文、他要素への参照関係といった主たる情報の他、各要素固有の付随情報を想定する。

図 3 付随情報のデータモデルイメージ

機械可読形式による表現について

カタログ化データモデルを基に、各要素についてマークアップ言語を用いて機械可読な形式で表現する。機械可読化を行うことにより、システムへの設定自動化、テンプレート活用、バージョン管理、セキュリティ評価の継続的実行および是正自動化、などを促進することが可能となり、よりセキュアな環境を実現することが可能となる。また、それぞれのマークアップ言語間でツールによる変換を行うことで相互運用性を確保することが可能となる。