アイデンティティ管理

アイデンティティ管理のためには、以下の仕組みが必要。

  1. 識別(ユーザごとに固有のログインID)
  2. 認証(ログインIDに対応するパスワード)
  3. 認可(ユーザごとの適切なアクセス権限の付与)

また、上記の識別⇒認証⇒認可の一連の流れでログを取得することで説明責任を果たせるようになる。

CISSP

ARO(Annual Rate of Occurence/年間発生頻度)

ARO(Annual Rate of Occurence/年間発生頻度)は、特定のリスクが年間にどの程度発生するかの指標。

SLE(単一損失予測)にAROを掛けることで、ALE(年間損失予測)を算出できる。

CISSP

SLE(Single Loss Expectancy/単一損失予測)

SLE(Single Loss Expectancy/単一損失予測)は、リスクが発生するたびに生じると予測される損失額。

SLEにARO(年間発生頻度)を掛けることでALE(年間損失予測)を算出可能。

CISSP

ALE(Annualized Loss Expectancy/年間損失予測)

ALE(Annualized Loss Expectancy/年間損失予測)は、特定のリスクの結果として毎年発生することを組織が想定する損失額。

計算するためには「SLE(単一損失予測)×ARO(年間発生頻度)」を算出する。

CISSPとして重要なことは、年間のセキュリティ対策費用がALEを超えないこと。(過剰なセキュリティ投資はNG)

CISSP

組織における役割の一例

組織が持つ代表的な役割とそれらの責任を把握することは、セキュリティ的にも重要である。

セキュリティに関連する役割の一例を以下に示す。

経営陣・上級管理職

以下のような役割があげられる。

  • CEO(最高経営責任者):Chief Executive Officer
  • COO(最高執行責任者):Chief Operating Officer
  • CIO(最高情報責任者):Chief Information Officer
  • CSO(最高セキュリティ責任者):Chief Security Officer
  • CFO(最高財務責任者):Chief Financial Officer

組織の上層部にて、各役割におけるポリシー策定を行ったり、組織に義務を課す。

上級セキュリティ担当者

以下のような役割があげられる。

  • セキュリティマネージャ
  • セキュリティオフィサー
  • セキュリティディレクター

セキュリティ関連の問題について経営陣に助言したり、セキュリティポリシーの作成に携わったりする。

セキュリティ担当者

以下のような役割があげられる。

  • 管理者
  • アナリスト
  • インシデント・レスポンダー

組織内でセキュリティ活動を行う。通常は上級セキュリティ担当者の配下に位置する。

システム管理者・システム技術者

ITシステムの管理者や技術者も、セキュリティ的に

  • システムのセキュリティ設定
  • ネットワークのセキュリティ設定
  • インシデント報告

といった役割を担うことがある。

ユーザー

従業員は厳密にはセキュリティ関連の業務には従事しないが、

  • 安全にシステムを利用する
  • セキュリティに関する契約書に同意する
  • 定期的にセキュリティに関するトレーニングを受ける

といったことを求められる。

CISSP

CISSPにおけるセキュリティの役割

CISSPにおいて、セキュリティはあくまでも「ビジネスの目的達成のためのサポート機能」であることは重要。

セキュリティファースト(例えば、何が何でもセキュリティが第一優先。ユーザーの不便は仕方ない。といった感じ)な考え方は、CISSP的には明確に誤りである。

CISSP

ガバナンス

ガバナンスとは、目的や目標を達成するために必要な管理である。

意思決定のために必要となる

  • ポリシー
  • 役割
  • プロセス

を含んだものとして定義される。

セキュリティガバナンスにおいては、説明責任(そのためのログ取得)が付随すること押さえておく。

CISSP

デューケアとデューデリジェンス

デューケアは「組織が顧客に対して負う義務」であり、セキュリティ的に考えると「脅威の発生を抑制・予防可能なシステムを構築すること」である。

デューデリジェンスは「(デューケアによる)改善が機能しつづけていることの確認」である。

最初にデューケアし、デューデリジェンスしつづけることがセキュリティを保つうえで重要なことである。

これらを達成するためには理性的(論理的・証拠に裏付けられた・状況に応じて適切な)で慎重な(極端なリスクをとったり異常でない、似たような背景を持つ人であればとると想定される)行動が求められるとされる。

CISSP

Safety(安全性)

Safety(安全性)は「物理的な損害や人身事故や死亡事故を防ぐこと」である。

とくにCISSPでは「Safety」といえば「人間の生命の安全」を指す。また、CISSPにおいて人間の生命は第一に優先されるものである(破壊から元に戻せない資産が最も重要である、という考え方)

CISSP

Privacy(プライバシー)

Privacy(プライバシー)として特に重要なことは

  • 自分の機密が他人に知られないこと
  • 自分の個人情報(PII:Personally Identifiable Information)がコピーされて不正利用されないこと

の2点。

プライバシーガイドライン(OECD  1980年発表、2013年改定)はプライバシー基本8原則として

  1. 収集制限の原則
  2. データ内容の原則
  3. 目的明確化の原則
  4. 利用制限の原則
  5. 安全保護の原則
  6. 公開の原則
  7. 個人参加の原則
  8. アカウンタビリティ

を定めている。

CISSP