ISMSは情報を漏らさない仕組みではなく、企業が永続的発展をするために「信頼を確保し続ける」ための仕組みです。 問題が発生したら、企業の存続に関わる情報資産をまずは明確にし、問題発生率を下げるための策を決めることがISMSの根幹です。 もちろん100%守ることは不可能なので、「ここまでやっていてダメだったならしょうがない」というレベルで大丈夫です。 必要なのは、被害を最小限に留めることができればよいからです。
ISMSは後述の通り、信頼の証です。例えば〇〇という対策を講じている、講じる予定なのであると応えられる体制が整っていることが重要です。 なので、ISMSを引き続き採用し続ける場合は、この信頼の獲得に工数を割いていくことになります。
具体的には、以下が参考となります。
情報セキュリティ管理基準 - 経済産業省 https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf
ISO27001内部監査チェックリスト(規格本文) http://www.iso-mi.com/image/ISMSnaibukansa_Checklist_Kikakuhonbun_Sample.pdf
情報セキュリティ管理基準の モバイル機器及びテレワーキング にも記載されている内容は、IT機器を用いることによって生じるリスクを管理するために、方針及びその方針を支援するセキュリティ対策を採用する旨の記載があるがこれも、「このくらいの管理策は決めておいた方がベター」という提案を記しているリストなだけです。
で、この一部に、端末管理と情報統制が含まれています。 なぜ端末管理を行うかというと、これらの情報資産を適切に保護するためです。
情報統制に関しては、適切なアクセス権を付与することで、具体的には例えば
- オペレーショナルリスクの軽減
- システム乗っ取りの対策(コインチェックみたいなやつ)
- 契約上の義務の反映(業務委託などの責任範囲の話など)
を行うことです。
端末管理のISMSなスコープでの目的は、具体的には例えば
- 脆弱性のパッチの適用
- C&Cサーバーなどとの通信による、情報漏えい防止
- ランサムウェアなどへの対策
- ライセンスの不正利用防止
です。 端末管理には他にもISMSのスコープ以外で工数削減にも役立ちます。
- モバイルデバイスのリモート管理
- 生産性の向上
- セキュリティの調整
- 企業コンプライアンス遵守
- 経費節約
BYODを行う際でも同様です。
リモートで管理することにより、すべてのタスクとプロセスを常時監視し、すべてのデバイスを年中無休で制御することができます。
管理者の生産性向上に役立ちます。 エンドユーザーがデバイスを手に入れると、MDMは企業ネットワークでのセットアップをはるかに高速化して、ビジネスの時間とリソースを節約します。 いわゆるゼロタッチデプロイメントと呼ばれます。 管理者が手動での更新に頼らずに、デバイスの更新を制御して自動的に実行できることです。 これは、脆弱性への対応などデバイスとデータを保護することができます。
前述しているセキュリティリスクへの対応です。
企業は法令や社会的ルールに従って企業活動を行うことが求められます。 セキュリティとも絡みますが、データの取り扱いについて法令や社会的ルールを守る際にときにはデバイス上の行動を制限する必要がでてきます。
デバイス管理ソフトウェアを使用すると、コストを削減できます。 たとえば、MDMは未使用または不足しているデバイスの識別に役立つため、デバイスの購入数を制限できます。 デバイス管理ソフトウェアを使用すると、すべてを一元化でき、その結果、コストを大幅に削減できます。
ちょっと話が逸れて Linux に関して書いていきます。
ISMSに立ち戻り、端末管理と情報統制に関してスコープを当てます。 Linuxの場合は
- オペレーショナルリスクの軽減 -> これはほぼ無いはず。プロダクト側の方は別途踏み台や変更や侵入を検知する対策を実施する必要がある。
- システム乗っ取りの対策(コインチェックみたいなやつ) -> 端末自体の乗っ取りがおこらないようにする必要があるので何かしら必要
- 契約上の義務の反映(業務委託などの責任範囲の話など) -> これは無いはず。条件付きアクセスの方で担保
- 脆弱性のパッチの適用 -> やらないといけない
- C&Cサーバーなどとの通信による、情報漏えい防止 -> やらないといけない
- ランサムウェアなどへの対策 -> やらないといけない
- ライセンスの不正利用防止 -> Linuxに限ると、人手などでもよいので特に必須ではない
つまり、以下がまずは実現できればよいと考えます。
- システム乗っ取りの対策(コインチェックみたいなやつ)
- 脆弱性のパッチの適用
- C&Cサーバーなどとの通信による、情報漏えい防止
- ランサムウェアなどへの対策
もちろん、ISMSの基準から100%なものは求めず、抜け漏れもあるのでこれ以外にも引き続き継続的にリスクアセスメントはしないとはいけないです。
上記を実現できる何かしらのソリューションは
- https://www.manageengine.jp/
- https://www.zdnet.com/article/microsoft-defender-atp-is-coming-to-linux-in-2020/
- https://github.com/quantopian/PenguinDome
- Netskope
このあたりです。