経産省 情報セキュリティ管理基準からみるEkranの有効性

本記事は2021年4月30日に公開したものをアップデートしたものです。


本日はISO27001(ISMS認証)を始めとする情報セキュリティの国際規格準拠への、
Ekranの有効性をご紹介させていただきます。

ISO27001とは?

「ISO27001(ISMS認証)」とは、「情報マネジメントシステム」とも呼ばれる情報セキュリティの国際規格の一つです。


このISO27001は年1~2回の維持審査や、3年に1回の更新審査をクリアしなければ認証が取り消されます。取得だけでなく維持、更新し続けることで、情報セキュリティ対策に積極的な企業として顧客や利用者の信頼と評価を得られます。

情報セキュリティ管理基準とは経済産業省が策定した、情報セキュリティマネジメントを円滑に構築し管理するための基準や手法をまとめたものです。
ISO27001等のセキュリティ規格に基づいたリスク管理策や計画、実施方法で構成されていますが、残念なことに事例実現のプロセスやベストプラクティスはありません。

そこで今回は情報セキュリティ管理基準の内容をもとに、Ekranが役立つポイントをご紹介させていただきます。

[情報セキュリティ管理基準12.4.3]

「システムの実務管理者及び運用担当者の作業は、記録し、そのログを保護し、定期的にレビューする。」

特権ユーザーの作業記録やデータ保護、レビューについての項目です。内部不正対策では一般ユーザー以外にも、システム管理者などシステムへの特別な権限を持つ特権ユーザーに注目します。

【Ekran お役立ちポイント】

Ekranであれば、通常ユーザーのPC操作だけでなく特権ユーザーのよるサーバーの作業も記録でき、作業記録もブラウザ上の管理画面から簡単にレビューできます。

Ekranキャプチャ

また、利用者のログイン時に「この端末は監視されています」というウィンドウを表示できるため、セキュリティ意識を喚起することで不正操作の抑制にもつながります。

 

Ekranは監査証跡として画像やキー入力、さらにネットミーティング等の音声も記録できますが、それらの検索・管理が簡単な点もうれしいポイントです。管理や記録閲覧もブラウザ経由ですから、特定のOSや端末に縛られることもありません。

 

[情報セキュリティ管理基準6.1.2]

「相反する職務及び責任範囲は、組織の資産に対する、認可されていない若しくは意図しない変更又は不正使用の危険性を低減するために、分離する。」

情報セキュリティの組織を構築する際は、共謀のおそれを考慮して設計しましょう、という項目です。誰も知らない状態でのサーバーのアクセスはNG、作業者と承認者は別でなければなりません。
ただ、業務内容やシステム設計によっては職務の分離が困難な場合もあるでしょうから、その場合は他の管理策(例えば、活動の監視、監査証跡、管理層による監督)で対応する、とも書かれています。

【Ekranお役立ちポイント】

Ekranはアクセス時間の制限や特定アプリケーション起動のアラート通知、ユーザーログイン時に承認者を必要とするフローを設定できます。
また、特権ユーザーの操作画像・テキスト・音声も監査証跡として記録できますから、共謀のリスクを減らすことが可能です。

[情報セキュリティ管理基準8.3.1]

「組織が採用した分類体系に従って、取外し可能な媒体の管理のための手順を実施する。」

USBメモリや外付けHDDなど取り外し可能な記録媒体は、情報流出だけでなくデータの改ざんや破壊のリスク対象です。
デバイス自体の管理、デバイスの移動記録、暗号化、バックアップ、データ複製の監視等々、ここでリスト化されている理由が簡単に想像できる項目が並びます。

【Ekranお役立ちポイント】

EkranはUSBデバイスの接続記録の取得、また接続の可否を設定できます。また、監視だけでなく、禁止行動をとったユーザーを強制的にログアウトさせることも可能です。
ちなみに、管理基準には手順及び認可のレベルは文書化せよ、とあります。実際にUSBデバイスへの禁止行動を定めた場合にはユーザーに開示したほうが良いでしょう。「USBが反応しないんだけど!?」という問い合わせが山ほど飛んでくるのは避けたいですよね。

ekran_usb

 

[情報セキュリティ管理基準12.5.1.17]

「供給者による物理的又は論理的アクセスを許可している間は、供給者の活動を監視する。」


OSやアプリケーションの運用(テストや導入、パッチ管理等)のうち、供給者(サービス提供元や委託先)の操作を監視しましょう、という項目です。ちなみに供給者との適切な契約、管理策の文書化等については別項目で触れています。

【Ekranお役立ちポイント】

供給者のアクセスを常時監視するにも無理がありますし、ログの分析検証や監査には専門性や時間が必要となります。
Ekranならブラウザを使い、記録された操作を動画再生できますし、ユーザーのキー入力や使用したアプリケーションも簡単に検索できます。また、以下のようにレポート化も可能です。

ekran_report

 

ekran_report

[情報セキュリティ管理基準16.1.6]

「情報セキュリティインシデントの分析及び解決から得られた知識は、インシデントが将来起こる可能性又はその影響を低減するために用いる。」

トラブルの再発防止策は活用しましょう、という項目です。
対処方法だけでは終わらせず、インシデントの形態や規模、費用を定量化、基準を作って監視することで、影響の大きいインシデントの兆候に反応できますね。

【Ekranお役立ちポイント】

記録された操作画面をスライド再生することで、インシデント前後の状況を直感的に把握できます。テキストログと比べ、手早く効率的に分析が進みます。

いかがでしたでしょうか。今回は、情報セキュリティ管理基準とEkranについてご紹介しました。

参考:経済産業省 情報セキュリティ管理基準(平成28年改正版)

参考:Ekran社 ISO/IEC 27001コンプライアンスソリューション

それでは、次回の記事をお楽しみに!
Ekranにご興味を持っていただけましたら、以下のリンクからお問い合わせください。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP