 |
|
|
Part3 セキュリティ管理手法 その17■第30回■(2002.11.19)
前回記事では変更管理と監視について説明した。今回は監視についての続きと、インシデント対応について説明する。
[監視2]
ITシステムセキュリティポリシーが守られていることを確かめるためには、適切な仕組みを確保して、次のようなことについて日々、常時の監視を行い適切なセキュリティレベルであるかどうかを確認できるようにしなければならない。
・既存セーフガード
・新規システムやサービスの導入
・システムやサービスの運用計画に従った更新
多くのセーフガード製品は、発生した事象についてログ記録を出力することができる。これらのログを適切な手法で分析し、傾向の変化の早期発見、インシデント発生の検知を行わなければならない。このログ分析についても、きちんと責任分担されていなければならない。
システムが置かれている環境は実に多様であるが、ログに記録できるのは、限られた特定の環境を想定した、それに関連する項目についてしか記録できない。複雑な実際の事象を本当に理解するためには、様々な異なるログからの情報を集め、一つの事象に関する記録としてまとめなければいけない。この記録のまとめ作業は複雑であるが、その中でも最も重要なことは、様々な記録をまとめる上で信頼できるパラメータを特定することである。
日々の監視をきちんと管理するには、必要な作業についてのセキュリティ操作手順書を作る必要がある。この手順書には、システムやサービスが適切なセキュリティレベルであることを確かめるのに必要な全ての作業が記されていなければならず、一方でそれら作業は運用されているシステムやサービスとかち合ってはいけない。
セキュリティ設定を更新する作業は文書化されているはずである。その文書はセキュリティパラメータの小生や、セキュリティ管理情報の更新全てを網羅していなければならない。これらの変更は記録され、管理手続きに従って承認されなければならない。メンテナンスを行う作業手順が正しく行われて、セキュリティレベルが低下していないことが確認されなければならない。確実な作業手配が、それぞれのセキュリティ要素について行われていなければならない。
セキュリティセーフガードを監視する手順は全て文書化されていなければならないのだ。セキュリティ用ログ分析の手法も頻度も記述されていなければならない。もちろん具体的な分析手順も使用するツールも記載されなければならない。また様々な運用条件についての監査に用いる基準値なども明確にされていなければならない。
office
office@ukky.net
http://www.office.ac/
(詳しくはScan Incident Reportをご覧ください)
http://shop.vagabond.co.jp/m-sir01.shtml
|
|
    |
|
|
