JIS Q 27001:2014の管理策について－35

今回は、「13　通信のセキュリティ」から「13.1　ネットワークセキュリティ管理」です。

13 通信のセキュリティ
13.1 ネットワークセキュリティ管理
目的：ネットワークにおける情報の保護、及びネットワークを支える情報処理施設の保護を確実にするため。

13.1.1 システム及びアプリケーション内の情報を保護するために、ネットワークを管理し、制御する。

システム及びアプリケーション内の情報を保護するため、ネットワークに対し次のような対策が必要となります。

• ネットワーク設備の管理に関する責任及び手順を確立する
• ネットワークの運用責任は、コンピュータの運用から分離する
• 公衆ネットワーク又は無線ネットワークを利用する場合は、特別な管理策を確立する
• ネットワークの利用ログの取得及び監視を確実に実施する
• ネットワーク上のシステムへ接続するための認証を確実にする
• ネットワークへのシステムの接続を制限する

専用の責任者を定め、ログの取得、監視を実施し、ネットワークの利用を必要最低限とすることが対策となります。

13.1.2 組織が自ら提供するか外部委託しているかを問わず、全てのネットワークサービスについて、セキュリティ機能、サービスレベル及び管理上の要求事項を特定し、また、ネットワークサービス合意書にもこれらを盛り込む。

• ネットワークサービス提供者の能力を定め、常に監視し、監査の権利についてネットワークサービス提供者と合意する
• それぞれのサービスに必要なセキュリティ特性、サービスレベル、管理上の要求事項を特定しネットワークサービス提供者によるこれらの対策の実施を確実にする仕組みを整備する

ネットワークサービス提供者とは、外部委託だけでなく内部のサービス提供者を含みます。サービス提供者に対する要求事項を明確化し、合意することが対策となります。

13.1.3 情報サービス、利用者及び情報システムは、ネットワーク上で、グループごとに分離する。

• 大規模なネットワークのセキュリティを管理するために、必要に応じてネットワークを幾つかのネットワーク領域に分離する
• ネットワーク領域は、組織や取り扱うデータの重要性などを考慮し、適切に分離する
• ネットワーク領域の分離は、物理的に異なるネットワーク又は論理的に異なるネットワークを用いることによって行う
• 各ネットワーク領域の境界は、明確に定める
• ネットワーク領域間のアクセスは費用対効果を考慮して適切なゲートウェイ技術を組み込む
• ネットワークの境界が十分に定められていない無線ネットワークでは、ネットワーク領域の分離のための特別な取扱いを定める

大規模なネットワークでは、領域を分割することで様々なセキュリティ対策を講じることが可能となります。ただし、分離にあたっては業務上の利便性も考慮する必要があります。

テレワークなどで接続するネットワークは確実に分離し、ネットワークの境界にはできる限りのセキュリティ対策を実施し、セキュリティ強度を高める必要があります。

次回は、「13.2　情報の転送」の予定です。