JIS Q 27001:2014の管理策について－33

今回は、「12.6　技術的ぜい弱性管理」です。

12.6 技術的ぜい弱性管理
目的：技術的ぜい弱性の悪用を防止するため。
12.6.1 利用中の情報システムの技術的ぜい弱性に関する情報は、時機を失せずに獲得する。また、そのようなぜい弱性に組織がさらされている状況を評価する。さらに、それらと関連するリスクに対処するために、適切な手段をとる。

利用中の情報システムとなっていますが、サービス、OS、アプリケーション等のソフトウェアの技術的ぜい弱性の管理のことです。
利用しているソフトウェアのぜい弱性に関する情報を適切に入手し、管理するため次のような対策が考えられます。

• 技術的ぜい弱性の管理に関連する役割及び責任の明確化
• ソフトウェア名、メーカー、バージョン、配置状況の管理
• 最新のぜい弱性に関する情報の入手
• 対策用のソフトウェアの入手及び試験
• 対応策がない場合のリスク評価および是正処置の定め

情報の入手方法には、ソフトウェア等の購入元からの情報、メーカーのWebサイト、SNS等の活用が考えられます。

12.6.2 利用者によるソフトウェアのインストールを管理する規則を確立し、実施する。

ソフトウェアの更新、セキュリティパッチの適用、フリーソフト等の利用者によるインストールに関する決まりを定め、管理するため次のような対策が考えられます。

• 利用者がインストールしてもよいソフトウェアの種類について、厳密な方針を定める
• 特権（管理者権限）の許可は最小限とする
• ソフトウェアのインストールの種類のうち、許可するもの及び禁止するものを特定する
• 特権（管理者権限）は利用者の役割を考慮してうえで付与する

利用してるネットワーク環境、規模、他のシステムへの影響を考慮し、適切な方針を定める必要があります。

次回は、「12.7　情報システムの監査に対する考慮事項」の予定です。