Skip to content

Instantly share code, notes, and snippets.

@kenchan0130

kenchan0130/management_purpose_and_linux.md Secret

Last active February 28, 2020 01:14
Show Gist options
  • Star 1 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save kenchan0130/8c3aa39c44923dc30e8d37ef5ae89df1 to your computer and use it in GitHub Desktop.
Save kenchan0130/8c3aa39c44923dc30e8d37ef5ae89df1 to your computer and use it in GitHub Desktop.
Download ZIP
管理の目的とLinuxについて
Raw
management_purpose_and_linux.md

管理の目的

ISMSのケース

ISMSは情報を漏らさない仕組みではなく、企業が永続的発展をするために「信頼を確保し続ける」ための仕組みです。 問題が発生したら、企業の存続に関わる情報資産をまずは明確にし、問題発生率を下げるための策を決めることがISMSの根幹です。 もちろん100%守ることは不可能なので、「ここまでやっていてダメだったならしょうがない」というレベルで大丈夫です。 必要なのは、被害を最小限に留めることができればよいからです。

ISMSは後述の通り、信頼の証です。例えば〇〇という対策を講じている、講じる予定なのであると応えられる体制が整っていることが重要です。 なので、ISMSを引き続き採用し続ける場合は、この信頼の獲得に工数を割いていくことになります。

具体的には、以下が参考となります。

情報セキュリティ管理基準 - 経済産業省 https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf

ISO27001内部監査チェックリスト(規格本文) http://www.iso-mi.com/image/ISMSnaibukansa_Checklist_Kikakuhonbun_Sample.pdf

情報セキュリティ管理基準の モバイル機器及びテレワーキング にも記載されている内容は、IT機器を用いることによって生じるリスクを管理するために、方針及びその方針を支援するセキュリティ対策を採用する旨の記載があるがこれも、「このくらいの管理策は決めておいた方がベター」という提案を記しているリストなだけです。

で、この一部に、端末管理と情報統制が含まれています。 なぜ端末管理を行うかというと、これらの情報資産を適切に保護するためです。

具体的な策

情報統制に関しては、適切なアクセス権を付与することで、具体的には例えば

  • オペレーショナルリスクの軽減
  • システム乗っ取りの対策(コインチェックみたいなやつ)
  • 契約上の義務の反映(業務委託などの責任範囲の話など)

を行うことです。

端末管理のISMSなスコープでの目的は、具体的には例えば

  • 脆弱性のパッチの適用
  • C&Cサーバーなどとの通信による、情報漏えい防止
  • ランサムウェアなどへの対策
  • ライセンスの不正利用防止

です。 端末管理には他にもISMSのスコープ以外で工数削減にも役立ちます。

企業において端末管理を行うメリット

  • モバイルデバイスのリモート管理
  • 生産性の向上
  • セキュリティの調整
  • 企業コンプライアンス遵守
  • 経費節約

BYODを行う際でも同様です。

モバイルデバイスのリモート管理

リモートで管理することにより、すべてのタスクとプロセスを常時監視し、すべてのデバイスを年中無休で制御することができます。

生産性を向上

管理者の生産性向上に役立ちます。 エンドユーザーがデバイスを手に入れると、MDMは企業ネットワークでのセットアップをはるかに高速化して、ビジネスの時間とリソースを節約します。 いわゆるゼロタッチデプロイメントと呼ばれます。 管理者が手動での更新に頼らずに、デバイスの更新を制御して自動的に実行できることです。 これは、脆弱性への対応などデバイスとデータを保護することができます。

セキュリティの調整

前述しているセキュリティリスクへの対応です。

企業コンプライアンス遵守

企業は法令や社会的ルールに従って企業活動を行うことが求められます。 セキュリティとも絡みますが、データの取り扱いについて法令や社会的ルールを守る際にときにはデバイス上の行動を制限する必要がでてきます。

経費節約

デバイス管理ソフトウェアを使用すると、コストを削減できます。 たとえば、MDMは未使用または不足しているデバイスの識別に役立つため、デバイスの購入数を制限できます。 デバイス管理ソフトウェアを使用すると、すべてを一元化でき、その結果、コストを大幅に削減できます。

ちょっと話が逸れて Linux に関して書いていきます。

Linux の端末管理に関して

ISMSに立ち戻り、端末管理と情報統制に関してスコープを当てます。 Linuxの場合は

  • オペレーショナルリスクの軽減 -> これはほぼ無いはず。プロダクト側の方は別途踏み台や変更や侵入を検知する対策を実施する必要がある。
  • システム乗っ取りの対策(コインチェックみたいなやつ) -> 端末自体の乗っ取りがおこらないようにする必要があるので何かしら必要
  • 契約上の義務の反映(業務委託などの責任範囲の話など) -> これは無いはず。条件付きアクセスの方で担保
  • 脆弱性のパッチの適用 -> やらないといけない
  • C&Cサーバーなどとの通信による、情報漏えい防止 -> やらないといけない
  • ランサムウェアなどへの対策 -> やらないといけない
  • ライセンスの不正利用防止 -> Linuxに限ると、人手などでもよいので特に必須ではない

つまり、以下がまずは実現できればよいと考えます。

  1. システム乗っ取りの対策(コインチェックみたいなやつ)
  2. 脆弱性のパッチの適用
  3. C&Cサーバーなどとの通信による、情報漏えい防止
  4. ランサムウェアなどへの対策

もちろん、ISMSの基準から100%なものは求めず、抜け漏れもあるのでこれ以外にも引き続き継続的にリスクアセスメントはしないとはいけないです。

上記を実現できる何かしらのソリューションは

このあたりです。

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment