Comments
Description
Transcript
電子政府における情報セキュリティ監査に関する 調査報告書
電子政府における情報セキュリティ監査に関する 調査報告書 2003 年 3 月 情報処理振興事業協会 はじめに e-Japan 2002 計画では、政府部内の情報セキュリティ対策として、2003 年度までに情報 セキュリティポリシーの評価・見直しの実施等により十分なセキュリティ水準を確保する ことになっている。その中で、評価・見直しには最近の電子政府評価・助言会議でもアウ トソーシング、ブリッジ認証、省庁認証局、個人情報保護に関する監査や監査要員育成制 度が議論されている。また、政府情報セキュリティ対策推進会議による電子政府の情報セ キュリティ確保のためのアクションプランの中で、情報セキュリティポリシーの実効性確 保のため、情報セキュリティ監査基準の提示が要求されている。 本調査書では、この情報セキュリティ監査基準となる文書のあり方について検討するこ とを目的とし、既存の法律、制度などの調査結果をまとめる。 目次 1. 2. 3. 関連法律・省令・条例調査 ............................................................................................1 1.1 地方自治法..............................................................................................................1 1.2 地方公共団体における電子計算機処理情報管理規程 .............................................2 1.3 地方公共団体における電子計算機処理に係る個人情報の保護に関する条例..........3 1.4 個人情報保護基本法案 ............................................................................................3 1.5 住民基本台帳法の一部を改正する法律 ...................................................................3 1.6 電子署名法および主務省令.....................................................................................3 1.7 その他の監査についての規定が有る法律・条令.....................................................4 1.8 参照 ........................................................................................................................4 諸外国における動向調査 ...............................................................................................4 2.1 米国の資料..............................................................................................................4 2.2 ドイツの資料 ..........................................................................................................4 2.2.1 監査基準について ............................................................................................5 2.2.2 監査主体について ............................................................................................5 2.3 フランスの資料.......................................................................................................5 2.4 台湾の資料..............................................................................................................5 2.5 カナダの資料 ..........................................................................................................6 2.6 参照 ........................................................................................................................6 情報セキュリティ関連制度調査.....................................................................................6 3.1 ISMS 制度 ..............................................................................................................6 3.1.1 制度概要 ..........................................................................................................6 3.1.2 ISMS 認証基準 ................................................................................................6 3.1.3 監査について ...................................................................................................6 3.2 システム監査制度(台帳制度を含む) ...................................................................7 3.2.1 システム監査者(個人)資格要件 ...................................................................7 3.2.2 システム監査人(法人)資格要件 ...................................................................7 3.2.3 システム監査基準 ............................................................................................8 3.3 プライバシーマーク制度 ........................................................................................8 3.4 政府・地方公共団体におけるシステム入札におけるセキュリティ要件 .................9 3.4.1 監査に関するセキュリティ要件 ......................................................................9 3.4.2 監査に関する機能要件.....................................................................................9 3.5 米国 GISRA 法 .....................................................................................................10 3.6 米国における政府調達 ..........................................................................................10 3.6.1 GAO(The General Accounting Office).....................................................10 3.6.2 NIST/CSD ( The National Institute of Standards and Technology / Computer Security Division) ...................................................................................11 3.6.3 3.7 4. CSEAT ..........................................................................................................12 参照 ......................................................................................................................13 基準文書調査 ...............................................................................................................13 4.1 BS 7799 ................................................................................................................13 4.1.1 BS7799-1.......................................................................................................14 4.1.2 監査について .................................................................................................14 4.1.3 ISMS のマネジメントレビュー .....................................................................15 4.1.4 ISMS の改善..................................................................................................15 4.2 旧「情報システム安全対策基準」 ........................................................................15 4.2.1 基準の主旨.....................................................................................................15 4.2.2 監査について .................................................................................................15 4.3 「システム監査基準」 ..........................................................................................16 4.3.1 基準の主旨.....................................................................................................16 4.3.2 システム監査、システム監査人の定義..........................................................16 4.3.3 システム監査基準の構成 ...............................................................................16 4.4 「コンピュータウイルス対策基準」 ....................................................................17 4.4.1 基準の主旨.....................................................................................................17 4.4.2 監査について .................................................................................................17 4.5 「コンピュータ不正アクセス対策基準」 .............................................................17 4.5.1 基準の主旨.....................................................................................................17 4.5.2 監査について .................................................................................................17 4.6 IPA「電子政府セキュリティ基盤技術開発セキュリティポリシー策定・運用支援ナ レッジマネジメントシステムの開発」等 ........................................................................17 4.6.1 資料の概要.....................................................................................................17 4.6.2 監査について .................................................................................................17 4.7 地方公共団体のためのコンピュータセキュリティ対策基準.................................19 4.8 損害保険協会ネットワーク診断チェックリスト...................................................20 4.9 米国 NIST SP800-26 セルフチェックシート .......................................................20 4.10 Center for Internet Security の勧告文書 ............................................................20 4.11 CMU/OCTAVE .....................................................................................................20 4.11.1 OCTAVE 概要................................................................................................20 4.11.2 調査資料「OCTAVE Catalog of Practices, Version 2.0」 ............................21 4.11.3 調査リスト.....................................................................................................22 4.12 4.12.1 認証局 CPS 関連 RFC2527 後継インターネットドラフト................................22 資料概要.....................................................................................................22 5. 4.12.2 準拠性監査 .................................................................................................22 4.12.3 セキュリティ監査手続き............................................................................23 4.12.4 監査人について ..........................................................................................24 4.13 SAS 70..................................................................................................................24 4.14 ISO 19011:2002 ...................................................................................................24 4.15 参照 ...................................................................................................................25 監査証跡調査 ...............................................................................................................25 5.1 システムログの証拠能力 ......................................................................................25 5.2 サービスログの証拠能力 ......................................................................................26 5.3 各種ツールのレポートの証拠能力 ........................................................................26 5.4 既存の ISO/IEC 15408 に基づく PP 中のログ生成要件調査................................26 5.4.1 概要 ...............................................................................................................26 5.4.2 FAU クラスの説明.........................................................................................27 5.4.3 ログの取得場所 .............................................................................................30 5.5 5.5.1 侵入者によるログの削除・改ざん .................................................................38 5.5.2 記憶媒体の枯渇問題によるログの書き込み失敗 ...........................................38 5.6 6. 7. 証拠保全技術 ........................................................................................................38 参照 ......................................................................................................................39 技術的監査技術調査.....................................................................................................39 6.1 脆弱性検査ツールにおける監査技術と限界..........................................................39 6.2 ウィルス対策ソフトウェアにおける監査技術と限界 ...........................................40 6.3 メールフィルタリングソフトウェアにおける監査技術 ........................................40 6.4 ファイアウォールにおける設定検証技術とログ解析技術 ....................................41 6.5 IDS における設定検証技術とログ解析技術..........................................................41 6.6 認証ソフトウェアにおける監査技術 ....................................................................42 6.7 不正接続機器の検出技術 ......................................................................................42 6.8 データベース検索式監査技術 ...............................................................................42 6.9 Web スクリプト監査技術......................................................................................42 6.10 監査体制............................................................................................................43 6.11 監査手順............................................................................................................43 6.12 監査内容............................................................................................................44 手続き的監査技術調査 .................................................................................................50 7.1 セキュリティポリシー文書についての監査技術...................................................50 7.1.1 ポリシーの体系と位置づけ............................................................................50 7.1.2 ポリシーの評価と見直し ...............................................................................51 7.2 アウトソーシング SLA 契約文書についての監査技術..........................................52 7.3 CPS 文書についての監査技術 ..............................................................................52 7.4 質問による監査要点の列挙...................................................................................53 7.5 監査体制 ...............................................................................................................53 7.6 監査手順 ...............................................................................................................53 7.7 監査内容 ...............................................................................................................54 7.7.1 監査手法 ........................................................................................................54 7.7.2 確認対象文書例 .............................................................................................55 7.8 8. 参照 ......................................................................................................................59 監査者資格要件調査.....................................................................................................59 8.1 監査者(個人)資格要件調査 ...............................................................................60 8.1.1 JIPDEC「システム監査技術者試験」想定能力 ............................................60 8.1.2 ISMS 想定能力 ..............................................................................................60 8.1.3 監査技術が想定する能力 ...............................................................................61 8.1.4 参照 ...............................................................................................................62 8.2 監査者(法人)資格要件調査 ...............................................................................62 8.2.1 JIPDEC「システム監査企業台帳制度」の規定 ............................................62 8.2.2 公認会計士法等の独立性要件 ........................................................................62 8.2.3 インテグレーターからの独立性要件 .............................................................63 8.2.4 ISMS 評価者要件 ..........................................................................................64 8.2.5 ISO15408 評価者要件 ...................................................................................64 8.2.6 参照 ...............................................................................................................65 1. 関連法律・省令・条例調査 1.1 地方自治法 地方自治法は、昭和 22 年に制定されており、今回調査を行っている情報セキュリティ監査 に関する要求事項が規定されているわけではない。しかし、会計監査に関する要求事項は 詳細に規定されており、情報セキュリティ監査においても参考とすることができる内容も 存在する。 (1) 内部監査人に対する要件 議会の同意が得られた、人格が高潔で、普通地方公共団体の財務管理、事業の経 営管理その他行政運営に関し優れた識見を有する者、あるいは議員であること 地方公共団体の常勤の職員および再任用短時間勤務職員でないこと 退職時は、地方公共団体の長の承認を得ること 地方公共団体の長、副知事、助役と親子、夫婦、兄弟姉妹の関係にないこと 職務上知り得た秘密を退職後にわたって漏らさないこと (2) 外部監査人に対する要件 普通地方公共団体の財務管理、事業の経営管理その他行政運営に関し優れた識見 を有する者であること 以下のいずれかに該当する者であること 1. 弁護士 2. 公認会計士 3. 会計検査に関する行政事務に従事した経験があり、精通している者 監査契約の円滑な締結、適正な履行のためであれば、税理士と契約できる 以下のいずれかに該当する者でないこと 1. 成年被後見人又は被保佐人 2. 禁錮以上の刑に処せられ、その執行を終わり、又は執行を受けることがなくなつ てから三年を経過しない者 3. 破産者で復権を得ない者 4. 国家公務員法又は地方公務員法の規定により懲戒免職の処分を受け、当該処分の 日から三年を経過しない者 5. 弁護士法、公認会計士法又は税理士法の規定による懲戒処分により、除名・業務 停止などの処分を受けた者でこれらの処分を受けた日から三年を経過しない者 6. 懲戒処分により、弁護士、公認会計士又は税理士の業務を停止された者で、現に その処分を受けているもの 7. 当該普通地方公共団体の議会の議員 8. 当該普通地方公共団体の職員 9. 当該普通地方公共団体の職員で政令で定めるものであった者 1 10. 当該普通地方公共団体の長、副知事若しくは助役、出納長若しくは収入役、副出 納長若しくは副収入役又は監査委員と親子、夫婦又は兄弟姉妹の関係にある者 11. 当該普通地方公共団体に対し請負をする者及びその支配人又は主として同一の 行為をする法人の無限責任社員、取締役若しくは監査役若しくはこれらに準ずべ き者、支配人及び清算人 (3) 監査の実施方法に関する要件 職務の遂行においては、常に公正不変の態度を保持すること 毎会計年度少なくとも 1 回以上監査を実施すること 必要であれば、いつでも監査を実施できる 必要であれば、関係人の出頭を求めたり、関係人について調査したり、関係人に 帳簿、書類などの記録を提出させたりできる 監査人の自己、父母、祖父母、配偶者、子、孫、兄弟姉妹に関連したり、利害関 係があったりする事件について監査できない 住民は、地方公共団体に疑いを持つ時、監査の請求を行うことができる 外部監査人を、監査に関しては、公務に従事する職員とみなす (4) その他 地方公共団体の長は、監査人が心身の故障をきたした場合、職務上の義務違反が あった場合などは、議会の同意を得て、監査人を罷免することができる。監査人 は、これ以外の場合に罷免されることはない。 情報セキュリティ監査において、会計監査におけるような内部監査人および外部監査人に 対する要件を規定する必要があると考える。要件としては監査人に必要とされる能力や資 格および監査業務における監査人の独立性について検討する必要がある。 1.2 地方公共団体における電子計算機処理情報管理規程 以下の資料を調査した。 1. 大東市電子計算組織および情報システム管理運用規程 2. 金沢市電子計算機処理データ保護管理規程 3. 新潟市電子計算機処理管理運営規程 調査の結果、これらの規程には情報セキュリティ監査に関する要求事項が存在しないこと が分かった。しかし、情報セキュリティを確保することは要求されているので、規程が無 くても、情報セキュリティ監査が実施されていることは想定される。現状、多くの地方公 共団体において、同様に情報セキュリティ監査は必要性から実施されるものの、義務付け られてはいないものと想像される。今後は、情報セキュリティ監査を要求する規程の制定 および、規程に沿った確実な情報セキュリティ監査の実施が必要とされる。 2 1.3 地方公共団体における電子計算機処理に係る個人情報の保護に関する 条例 以下の条例を調査した。 1. 紫雲町電子計算機処理に係る個人情報の保護に関する条例 2. 京都市個人情報保護条例 3. 大阪府個人情報保護条例 4. 牧方市個人情報保護条例 5. 蒲郡市個人情報保護条例 6. 東京都個人情報保護条例 7. 世田谷区個人情報保護条例 8. 千葉県個人情報保護条例 9. 埼玉県個人情報保護条例 10. 群馬県前橋市/個人情報保護条例 11. 北海道個人情報保護条例 12. 仙台市個人情報保護条例 調査の結果、これらの条例に情報セキュリティ監査に関する要求事項は存在しなかった。 個人情報保護のために自主的な情報セキュリティ監査は導入されているものと想像される が、今後は、明確に情報セキュリティ監査に関する要求を条例に加えることが好ましい。 1.4 個人情報保護基本法案 個人情報保護基本法案に情報セキュリティ監査に関する要求事項は存在しない。実際には、 「第五章 個人情報取り扱い事業者の義務」に規定された事項を満たしていることを確認 するために情報セキュリティ監査を事業者が自主的に実施するかもしれないが、現在、個 人情報の漏えいが大きな問題になっていることを考えれば、本法案に情報セキュリティ監 査の実施を要求する条項を追加しても良いと考えられる。 1.5 住民基本台帳法の一部を改正する法律 住民基本台帳法を電子政府に対応できるように改正する法律であるが、情報セキュリティ 監査に関する事項は明示されてはいない。ただし、住基ネットでは別途情報セキュリティ 監査は実施されているものと考えられる。 1.6 電子署名法および主務省令 電子署名法では、特定認証業務を行うことができる事業者に関する規程を定めているが、 監査に関しては規程が存在しない。ただし、第七条で、1 年以内での認定更新を義務付けて いるため、事業者が特定認証業務に適任であるかどうかは、1 年毎に確認されることにはな る。より短い期間での監査には、別に情報セキュリティ監査に関する要求事項も加えるこ とが好ましい。 3 1.7 その他の監査についての規定が有る法律・条令 上記以外に監査に関連する法律・条令は見当たらない。 1.8 参照 ・ 地方自治法(平成十四年六月十九日法律第七八号) ・ 大東市電子計算組織および情報システム管理運用規程(平成 9 年 8 月 18 日庁達第 7 号) ・ 金沢市電子計算機処理データ保護管理規程(昭和 54 年 3 月 1 日訓令甲第 1 号) ・ 新潟市電子計算機処理管理運営規程(平成元年 3 月 16 日) ・ 紫雲町電子計算機処理に係る個人情報の保護に関する条例(平成 9 年 10 月 1 日) ・ 京都市個人情報保護条例(改正 平成 12 年 3 月条例第 60 号) ・ 大阪府個人情報保護条例(一部改正 ・ 牧方市個人情報保護条例(改正 平成 12 年 3 月 31 日大阪府条例第 49 号) 平成 10 年 3 月 27 日条例第 9 号) ・ 蒲郡市個人情報保護条例(平成 10 年 10 月 1 日施行) ・ 東京都個人情報保護条例(平成二年一二月二一日条例第一一三号) ・ 世田谷区個人情報保護条例(平成 7 年 3 月 31 日・改正) ・ 千葉県個人情報保護条例(千葉県条例第 1 号平成 12 年 12 月 8 日改正) ・ 埼玉県個人情報保護条例(平成一二年三月三一日改正) ・ 群馬県前橋市/個人情報保護条例(改正 平成 11 年 3 月 31 日条例第 15 号) ・ 北海道個人情報保護条例(平成 10 年 3 月 31 日条例第 28 号) ・ 仙台市個人情報保護条例(平成九年三月一九日仙台市条例第一号) ・ 個人情報保護基本法案 (http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/327houan.html) ・ 住民基本台帳法の一部を改正する法律(法律第百三十三号平一一・八・一八) ・ 電子署名法(平成十二年五月三十一日法律第百二号) 2. 諸外国における動向調査 2.1 米国の資料 「3.6米国における政府調達」を参照。 2.2 ドイツの資料 ドイツにおいては 2005 年を目処とした電子政府計画が進行中である。BSI(Bundesamt fur Sicherheit der Infomationstechnik:ドイツ内務省の連邦情報セキュリティ局)において電 子政府(BundOnline 2005)のセキュリティ確保が検討されている。 4 2.2.1 監査基準について 現状、BSI としては「電子政府ハンドブック」なる文書と、「ベースライン・プロテクショ ン・マニュアル」という文書を持っている。 E-Government-Manual(http://www.e-government-handbuch.de) 加えて、監査対象のワークフローモデルをベースに、下記のそれぞれを監査対象とする基 準を新たに開発中である。: ・ ブラウザ or E メールの市民が利用するクライアント ・ Web アプリケーションサーバーシステム ・ バックオフィスシステム(DB) ・ 外部コミュニケーションシステム(決済等) 2.2.2 監査主体について 政治的な判断により、各省庁を監査する実務まで BSI が実施している。現状、スタッフが 不足しているので、新たに民間よりコンサルタントを追加採用することになった。 2.3 フランスの資料 内閣府の国家安全保障官房(Secretariat General for National Defense)が、政府部門に ついての情報セキュリティ監査の権能を有している。そこに 2001 年時点において、5 名の 情報セキュリティ監査検討スタッフを擁しており、民間の監査法人が実動部隊となってい る。 フランスにおいては、公務員と民間人の行き来が柔軟であることを前提に理解する必要が ある。大手会計監査法人が情報セキュリティ監査も事業として実施しているのは日本と同 様な状況にある。 適用される監査基準については不明であったが、主要監査法人においては、ISACA の COBIT が利用される傾向がある。 2.4 台湾の資料 台湾における政府機関の情報セキュリティ監査については、III(トリプルアイ)が権能を 有し、その体制が検討されている。例えば、インターネット越しに政府機関のサーバーに 対して脆弱性の有無についてスキャンすることができる。監査基準としては、BS7799 Part2 に基づく認証に注目し、検討中である。以下に、III について示す。 III(The Institute for Information Industry)は、経済省(the Ministry of Economic Affairs)と民間業界とが協働する組織として設置され、1979 年に活動を開始した。産業界 の生産性および競争力を IT の利用促進を通じて向上する目的で、台湾における情報産業の ための研究開発のバックボーンとなっている。 5 2.5 カナダの資料 カナダにおいては Auditor General of Canada が議会や政府組織に対して監査活動を行っ ている。2002 年 3 月のレポートには、4つの省庁の IT セキュリティ対策についての監査 報告が書かれている。 この報告によると、1994 年版のポリシーにおける内部監査を完全に実施していないため、 省庁の IT セキュリティ状況は不十分である。監査活動における技術的なテストにおいて、 政府のネットワークシステムに潜在的な脆弱性が発見された。定期的な監査や独立したレ ビューが必要であるとしている。2002 年の 2 月に政府のセキュリティポリシーが改訂され 政府のセキュリティ強化につながるとある。 2.6 参照 ・ ドイツ E-Government-Manual http://www.e-government-handbuch.de ・ 台湾 III http://www.iii.org.tw/ ・ カナダ Auditor General of Canada http://www.oag-bvg.gc.ca http://www.oag-bvg.gc.ca/domino/reports.nsf/html/0203ce.html/$file/0203ce.pdf 3. 情報セキュリティ関連制度調査 3.1 ISMS 制度 3.1.1 制度概要 情報セキュリティマネジメントシステム(Information Security Management System:以 下 ISMS という) 適合性評価制度は、国際的に整合性のとれた情報システムのセキュリティ 管理に対する第三者適合性評価制度である。 3.1.2 ISMS 認証基準 本基準は、ISMS の確立、実施および文書化についての要求事項を明記する。本基準は、JIS X 5080(国際規格 ISO/IEC 17799:2000)および英国規格 BS 7799-2:1999 を参照し作成し たものである。 3.1.3 監査について 本基準では、監査の実施について明確な要求はしていない。「ISMS 認証基準(Ver.1.0)」第 4詳細管理策の 10.準拠に「システム監査の考慮事項」として、以下の事項が記述されてい る。 ① 稼動中の情報システムに対する監査を実施する場合、業務が中断するリスクを最小 6 限に抑えるように計画すること。 ② システム監査ツールに対する許されないアクセスを防止するための措置を講ずるこ と。 3.2 システム監査制度(台帳制度を含む) システム監査は、システム監査を実施するにふさわしい者がシステム監査基準に沿って実 施する。システム監査を実施する者に対する要件およびシステム監査基準について以下に 説明する。 3.2.1 システム監査者(個人)資格要件 システム監査を実施する者に対する資格要件として、以下が相当する。 ① JIPDEC「システム監査技術者試験」 8.1.1 JIPDEC「システム監査技術者試験」想定能力参照。 ② 公認システム監査人 公認システム監査人は、システム監査の普及促進の一助として、経済産業省の指導の 基に、システム監査技術者の上の位置づけとして NPO である日本システム監査人協 会が認定する制度であり、2002 年 4 月に創設された。 本制度によって、システム監査技術者試験の合格者に対して「実務経験」と「継続教 育」の要件を加重して、システム監査を実践できる監査者であることを確認できる。 3.2.2 システム監査人(法人)資格要件 システム監査を実施する法人は、通商産業省(現経済産業省)が定めるシステム監査企業 台帳に関する規則に則ってシステム監査企業台帳に登録されている法人であることが好ま しい。以下に、システム監査企業台帳に関する規則を説明する。 システム監査企業台帳に関する規則として全7条が定められている。(以下抜粋) システム監査企業台帳に関する規則 (目的) 第1条 この規則は、システム監査企業台帳を作成し、これを利用する者の閲覧に供する ことにより、システム監査の普及を図ることを目的とする。 (定義) 第2条 この規則において「システム監査」とは、通商産業省が定めるシステム監査基準 に則って行うシステム監査をいう。 2 この規則において「システム監査企業」とは、他人の求めに応じてシステム監査基準 に基づきシステム監査を行う者(個人事業主を含む。)をいう。 (申告) 第3条 システム監査企業は、通商産業大臣に対しそのシステム監査の概要等を申告する ことができる。 2 第1項の申告は、別紙様式の申告書により行うものとする。 7 (システム監査企業台帳) 第4条 通商産業大臣は、前条の申告書の別紙をシステム監査企業台帳(以下「台帳」と いう。)として取りまとめ、これを利用する者の閲覧に供するものとする。 (変更) 第5条 第3条の申告をした者は、毎年1回、6月1日から6月30日までの間に、通商 産業大臣に対し、変更を申告しなければならない。 2 第3条の申告をした者は、その申告内容に重大な変更があった場合には、速やかに通 商産業大臣に対し変更の申告をしなければならない。 3 第3条第2項の規定は、第1項の場合に準用する。 (誤りの申出等) 第6条 何人も、台帳に記載されている事項に誤りがあると認めるときは、通商産業大臣 に対しその旨を申し出ることができる。 2 通商産業大臣は、前項の申出があった場合において、必要があると認めるときは、そ の申出に係る事項について調査を行うものとする。 (台帳の抹消等) 第7条 通商産業大臣は、第3条の申告をした者が次の各号の一に該当するときは、台帳 の当該システム監査企業に係る部分を抹消することができるものとする。 一 第5条第1項の規定による申告を行わなかったとき。 二 システム監査企業でなくなったとき。 2 通商産業大臣は、次の各号の一に該当するときは、台帳に係る部分の全部若しくは一 部を訂正し、又は抹消することができるものとする。 一 第3条又は第5条第1項若しくは第2項の申告が虚偽であることが明らかとなった とき。 二 第3条の申告をしたシステム監査企業の申告内容等に重大な変更があったことが明 らかとなった場合であって、第5条第2項の申告がないとき。 三 前条第2項の調査を拒んだとき。 システム監査は「システム監査基準」に則って行われ、通商産業大臣がシステム監査企業 台帳管理の責任者であることがわかる。 3.2.3 システム監査基準 システム監査基準については、4.3「システム監査基準」参照。 3.3 プライバシーマーク制度 プライバシーマーク制度の監査に関して、日本工業規格「個人情報保護に関するコンプライ アンス・プログラムの要求事項」(JIS Q 15001)に基づき「プライバシーマーク制度にお ける監査ガイドライン」が策定されている。 JIS Q 15001 が要求する監査内容は以下の項目に大別される。 ① コンプライアンス・プログラムの整備状況 ② 体制整備状況 ③ 運用状況 8 JIS Q 15001 の項目に対する監査項目が「第 2 編 いる。監査ガイドラインの詳細にある「4.5 監査ガイドラインの詳細」に示されて 監査」は、監査人に対する要求事項となって おり、監査人が実施することおよび監査実施に関する規程や体制が示されている。 3.4 政府・地方公共団体におけるシステム入札におけるセキュリティ要件 システム入札におけるセキュリティ要件として、公開されているプロテクションプロファ イル(PP)「電子政府向け電子調達システムプロテクションプロファイル」におけるセキュ リティ要件を調査した。この PP は経済産業省の委託により情報処理振興事業協会が実施し た「平成 13 年度電子政府向けプロテクションプロファイル(PP)開発」事業の一部として作 成されたものである。 3.4.1 監査に関するセキュリティ要件 監査に関するセキュリティ要件(セキュリティ対策)を以下に示す。 O.ADMIN(管理機能) TOE は、TOE の管理機能及び監査機能を正常に動作させるための機能を提供しなければ ならない。 O.AUDIT(監査記録) TOE は、セキュリティに関連したイベントを適切に記録する手段を提供しなければならな い。 O.MONITOR(監査実施) TOE は、監査を実施する機能を提供しなければならない。 OE.ADMINISTRATOR(管理権限に関する信頼の確保) 監査者、システム管理者がそれぞれに課せられた役割に対して許可された一連の行為に 関して悪意を持った行為を行わないことを保証するために、組織の責任者は適切な人選を 行い、管理や教育を実施しなければならない。 TOE とは評価の対象となる製品やシステムを意味し、ここでは電子調達システムのことを 指す。PP において「O.」で始まるセキュリティ要件は TOE が満たすべき要件、「OE.」で 始まるセキュリティ要件は環境や組織的な運用に対する要件を示している。つまり上記の うち、O.ADMIN、O.AUDIT、O.MONITOR は電子調達システムの機能に対するセキュリ ティ要件であり、OE.ADMINISTRATOR は組織の運用におけるセキュリティ要件である。 3.4.2 監査に関する機能要件 PP で要求されるシステムの機能で対策するセキュリティ要件には、それぞれに対応した機 能要件が定義されている。監査に関するセキュリティ要件に対応する機能要件は以下の通 りである。システムは以下の機能を実装しなければならない。 9 FAU_GEN.1 監査データ生成 監査対象事象の監査記録を生成できなければならない。 FAU_SAA.1 侵害の可能性の分析 監査事象をモニタし、セキュリティ侵害が検出されなければならない。 FAU_SAR.1 監査レビュー 監査記録から情報の読み出しができなければならない。 FAU_SAR.2 限定監査レビュー アクセスを承認された者意外は監査記録の読み出しを禁止しなければならい。 FAU_SEL.1 選択的監査 監査対象事象を選択できなければならない。 FAU_STG.1 保護された監査証跡格納 監査記録を不正な削除や改変から保護しなければならない。 3.5 米国 GISRA 法 GISRA 法は 2000 年に FY 2001 Defense Authorization Act(P.L. 106-398)の一部として立 法化され、1995 年ペーパーワーク低減法(Paperwork Reduction Act)を改定するもので ある。同法は、非機密システムおよび国家セキュリティシステムのセキュリティの観点か ら、プログラムの管理、実装および評価に着目するものである。また非機密なものと国家 セキュリティシステムプログラムの両者について、定期的な省庁プログラムレビューと独 立的評価を要求している。 3.6 米国における政府調達 3.6.1 GAO(The General Accounting Office) (1) 政府における位置づけ GAO は、議会に付属する組織であり、連邦政府の行政検査の一環として、システムのセキ ュリティ監査を実施している。GAO は本来、米国議会での決議に基づいて、連邦政府の支 出が適切に行われているかについて監査するための機関であるが、連邦政府機関の財務会 計管理を強化するために、会計システムの高度化を勧告してきた。さらに、会計システム から発展し、NASA などで使用される非会計システムもその対象範囲とするようになり、 会計監査に加えてシステムセキュリティについても監査業務に加えている。 (2) 職務内容 連邦政府主導のもと、情報セキュリティに関わる機関の取り組み状況について、情報の収 集・整理を行っている。特に CIAO、NIPC および ISAC 等の機関と密に連携して情報セキ ュリティの動向を把握している。 情報セキュリティに関わる監査業務は Applied Research and Method(ARM)部門および Information Technology(IT)部門が担当している。 10 (a) Applied Research and Method(ARM)部門 ・ 技術的な専門性を要求する分析やレビュー (b) Information Technology(IT)部門 ・ 情報セキュリティおよび重要な政府プログラムや財産の保護を目的として行われ る IT 投資の評価および改善支援 ・ インターネット通信における個人情報保護関連の問題への対応 図 3-1 (3) GAO 組織図 監査 GAO における監査(プログラム評価)は、「監査結果から客観的・論理的に導かれる結論 や分析を報告し、政策決定者にとって有益な情報を提供すること」を目的としている。こ れを実現するために GAO は他の政府機関との連携の強化に努めている。米国における会計 監査においては、監査総監と協力して監査を行う方式が取られる場合が多い。 (4) 報告・成果 GAO で作成されるほとんどの報告書は、議会のメンバーや委員会議長からのリクエストに 応じて作成される。これ以外の場合は、法律によって要求されるか、GAO 自身が独自に行 うものである。GAO で作成された報告書はすべて一般公開され利用可能であるが、報告書 の依頼主は一般公開する 30 日前までは利用を制限することを許されている。 3.6.2 NIST/CSD(The National Institute of Standards and Technology / Computer Security Division) CSD(Computer Security Division)は NIST の ITL(Information Technology Laboratory) における8つの部門の1つで、情報システムのセキュリティの向上を目指している。NIST では CSEAT という連邦政府向けに情報セキュリティを支援するプログラムが実施されて いる。 11 3.6.3 CSEAT Computer Security Expert Assist Team(以下 CSEAT チーム)は、政府系各機関における 情 報 お よ び サ イ バ ー 資 産 の セ キ ュ リ テ ィ を 向 上 す る こ と に よ っ て 、 CIP ( Critical Infrastructure Protection ) の 計 画 と 実 装 の 努 力 を 改 善 す る た め に NIST ( National Institute of Standards and Technology)に設立された。CSEAT チームは、各省庁のコン ピュータセキュリティプログラムをレビューすることによって、これを達成する。 この CSEAT チームは、各省庁および高リスクの IT プログラムのレビューに利用される評 価基準を開発してきた。この基準は、レビューによって学習された内容、レビューを受け た側からのフィードバック、IT セキュリティの専門家からのフィードバックに基づいて改 訂が続けられている。CSEAT は、現在の基準に対するフィードバックやリクエストを歓迎 し、変更の提案などを電子メールによって受け付けている。各提案は、レビューされ、基 準の改訂時に考慮される。CSEAT チームを説明する CSEAT ガイダンスドキュメントが、 近い将来、作成される予定である。 CSEAT チームは、以下に示す 9 の主たるレビュー分野に焦点を当てる。 各分野とは、 「NIST 800-26 Self-Assessment Guide for Information Technology Systems」とそれを補助する 「 NIST 800-18 Guide for Developing Security Plans for Information Technology Systems」や「OMB guidance on the development of the GISRA annual summary OMB (M-01-24)」などの要件とガイダンスの組み合わせから抽出されたものである。 1. Budget and Resources 2. Computer Security Management and Culture 3. Computer Security Plans 4. Incident and Emergency Response 5. IT Security Controls 6. Life Cycle Management 7. Operational Security Controls 8. Physical Security 9. Security Awareness, Training, and Education 「NIST 800-26 Self-Assessment Guide」を使用して得られたセルフアセスメントからの情 報は、個々のプロセスのセルフアセスメントなので、CSEAT チームによるレビュープロセ スへの入力として使用することができる。しかしながら、どのようなセルフアセスメント にも、価値に限界がある。CSEAT チームは、ポリシー、手順、実装、手順書、各 CSEAT 基準の統合についての証拠を要求する。この証拠は、ポリシーと手順の文書、独立したシ ステムの評価などの形式で提供される。 セルフアセスメントは、質問形式であり、各省庁の公務員に対し、情報セキュリティプロ グラムの現在の状態を決定し、必要な場合は改善に向けての目標を設定する手段を提供す る。これを自動化したツール、ASSET(Automated Security Self-Evaluation Tool: セキ 12 ュリティ自己評価自動化ツール)がある。 3.7 参照 ・ 日本情報処理開発協会「ISMS 認証基準」Ver.1.0 平成 14 年 4 月 1 日 ・ 通商産業省「システム監査企業台帳に関する規則」Ver.1.0 平成3年3月8日 ・ 日本情報処理開発協会「プライバシーマーク制度における監査ガイドライン」 版 第1 平成 12 年 3 月 ・ 情報処理振興事業協会「電子政府向け電子調達システムプロテクションプロファイ ル」Ver.1.0 2002 年 2 月 26 日 ・ GISRA 法 http://www.netforensics.com/gisra.html http://www.usdoj.gov/oig/audit/0218/intro.htm ・ GAO http://www.gao.gov/ ・ NIST http://www.nist.gov ・ CSEAT http://csrc.nist.gov/cseat/ ・ ASSET http://csrc.nist.gov/asset/ ・ NIST 800-26, 800-18 http://csrc.nist.gov/publications/nistpubs/ 4. 基準文書調査 4.1 BS 7799 BS 7799 とは BSI(英国規格協会)によって規定される、企業・団体向けの情報システム セキュリティ管理のガイドラインである。 BS 7799-1 は情報セキュリティ管理実施基準であり、ISO/IEC 17799 として発行された。 日本においても ISO/IEC 17799 を日本語化した「JIS X 5080」が日本規格協会により発行 されている。また、BS7799-1 で規定された基準が満たされていることの確認項目として BS 7799-2 の整備が行なわれた。1999 年に BS7799-2:1999 が発行され、2002 年には改訂 されて現行の BS 7799-2:2002 となった。 13 4.1.1 BS7799-1 BS7799-1 には、組織において考慮すべき情報セキュリティ管理についての基準が示されて いる。以下に、基準の内容について、章番号、タイトルおよび概要を示す。 1. 適用範囲 BS7799-1 の目的と、対象者を規定している。 2. 用語及び定義 BS7799-1 で使われる用語を定義している。 3. セキュリティポリシー 情報セキュリティポリシーを策定し運用することを規定している。 4. セキュリティ組織 組織内において情報セキュリティを管理するための枠組みを確立することを規定して いる。 5. 財産の分類及び管理 組織の財産の適切な保護を実現するために、組織の財産を分類し、所有者を明確に決め、 責任の所在をはっきりすることを規定している。 6. スタッフのセキュリティ 人的なミスや情報システムの悪用を防ぐために、採用段階での人選および採用後の訓練 について規定している。 7. 物理的及び環境的セキュリティ 情報システムの設置された敷地への立入りに関する保護対策および情報の持ち出し・端 末の管理について規定している。 8. 通信及び運用管理 情報処理施設・設備の安全な運用のために、運用の手順を確立し、責任の分離をするこ とを規定している。 9. アクセス制御 情報へのアクセス制御を実施することを規定している。 10. システムの開発及びメンテナンス 情報システム開発時にセキュリティを確保した上で開発を行うことを規定している。 11. 事業継続管理 事業活動を継続する上での障害が発生した場合における対処策を策定しておくことを 規定している。 12. 準拠 法律、規律、ガイドラインなどに適合するようセキュリティポリシーを策定することを 規定している。 4.1.2 監査について BS 7799-2 において監査に関連する項目には以下の章がある。 14 6 マネジメントレビュー 6.1 6.2 6.3 6.4 7 一般 レビューへのインプット レビューからのアウトプット ISMS 内部監査 ISMS の改善 7.1 7.2 7.3 継続的改善 是正処置 予防処置 ISMS のマネジメントレビュー 4.1.3 ISMS のマネジメントレビューでは「6.2 レビューへのインプット」において、監査および レビューの結果をマネジメントレビューのインプットに含めることを要求している。また 「6.4 ISMS 内部監査」では定められた期間、定期的に ISMS 内部監査を実施することを要 求している。 ISMS の改善 4.1.4 「7.1 継続的改善」において、組織はセキュリティ基本方針、セキュリティ目標、監査結果、 監視した事象の分析、是正処置、予防処置およびマネジメントレビューを通じて、ISMS の 有効性を継続的に改善することを要求している。 4.2 旧「情報システム安全対策基準」 4.2.1 基準の主旨 本基準は、情報システムの機密性も含めた安全性を確保するための基準である。本基準は、 情報システムの機密性、保全性および可用性を確保することを目的として、自然災害、機 器の障害、故意・過失等のリスクを未然に防止し、また、発生したときの影響の最小化お よび回復の迅速化を図るため、情報システムの利用者が実施する対策項目を列挙したもの である。 4.2.2 監査について 技術基準の監査機能に以下のように記述されている。 (1)情報システムは、監査機能を設けること。 また、運用基準のシステム監査に以下のように記述されている。 (1)安全対策に関するシステム監査の報告を受け、必要な措置を講ずること。 (2)災害時対応計画に関するシステム監査の報告を受け、必要な措置を講ずること。 15 4.3 「システム監査基準」 4.3.1 基準の主旨 本基準は、システム監査の実施や監査ポイントについての基準である。本基準は、情報シ ステムの信頼性、安全性および効率性の向上を図り、情報化社会の健全化に資するため、 システム監査に当たって必要な事項を網羅的に示したものである。 4.3.2 システム監査、システム監査人の定義 以下のように定義されている。 (1) システム監査 監査対象から独立かつ客観的立場のシステム監査人が情報システムを総合的に点検及び 評価し、組織体の長に助言及び勧告するとともにフォローアップする一連の活動 (2) システム監査人 次の知識を有し、システム監査に従事する者 ・ 情報システムの基本的知識 ・ 情報システムの監査知識 ・ システム監査の実施能力 ・ システム監査の実施に当たっての関連知識 4.3.3 システム監査基準の構成 以下の3つの基準から構成されている。 一般基準(9項目) 実施基準(191 項目) 報告基準(8 項目) (1) 一般基準 一般基準にはシステム監査において基本となる計画および、システム監査人に求められる 要件等の原則を定めている。ここに示されたシステム監査人に求められる要件は、監査人 としての資格要件ではなく、システム監査実施時に要求される項目である。 (2) 実施基準 実施基準にあげられた項目はそのままセルフチェックリストとして利用できる。実施基準 は、企画業務、開発業務、運用業務、保守業務、共通業務の分類で書かれており、各業務 における監査チェック項目が列挙されている。 (3) 報告基準 報告基準ではシステム監査人が行うシステム監査の報告についての基準を定めている。 16 4.4 「コンピュータウイルス対策基準」 4.4.1 基準の主旨 本基準は、コンピュータウイルスに対する予防、発見、駆除、復旧等について実効性の高 い対策をとりまとめたものである。 4.4.2 監査について システムユーザ、システム管理者、ソフトウェア供給者、ネットワークサービス事業者お よびシステムサービス事業者に対して、ウィルス対策の実効性を高めるために、ウィルス 対策についてのシステム監査の報告を受け、必要な対策を講ずることが要求されている。 4.5 「コンピュータ不正アクセス対策基準」 4.5.1 基準の主旨 本基準は、コンピュータ不正アクセスによる被害の予防、発見および復旧並びに拡大およ び再発防止について、企業等の組織および個人が実行すべき対策をとりまとめたものであ る。 4.5.2 監査について システムユーザ、システム管理者、ネットワークサービス事業者に対して、不正アクセス 対策の実効性を高めるために、システム監査の報告を受け、必要な措置を講ずることが要 求されている。 4.6 IPA「電子政府セキュリティ基盤技術開発セキュリティポリシー策定・ 運用支援ナレッジマネジメントシステムの開発」等 4.6.1 資料の概要 本資料は「セキュリティポリシー策定・運用ナレッジマネジメントシステム」において用 いられるセキュリティポリシー雛形および知識ベースの策定を目的とした作業報告である。 その素材として、電子政府で使用できる具体的なサンプルとしての「電子政府向けセキュ リティポリシー雛形」およびセキュリティポリシーを策定する際の判断基準となる「セキ ュリティポリシー策定論点集」を策定している。 4.6.2 監査について 電子政府向けセキュリティポリシー雛形の一部として、情報セキュリティ監査および点検 基準がまとめられている。(以下引用) 第 2 章 監査 (監査担当者の指名) (1) セキュリティポリシーの運用状況を監査する者(以下「監査担当者」という) は、最高情報セキュリティ責任者が指名する職員とする。 17 (2) 監査担当者は、次に掲げる条件を満たす職員とする。 1) 被監査部課と独立性を保つことのできる者 2) 情報システムの基本的知識を有する者 3) 情報セキュリティに係る監査の知識並びに実務能力を有する者 (監査担当者の職務倫理・守秘義務) (1) 監査担当者は、客観的な評価者としての立場を堅持しなければならない。 (2) 監査担当者は、自己に対する倫理的要請を自覚するとともに、的確かつ誠実 な監査の実践を通じて内外の信頼に応えなければならない。 (3) 監査担当者は、正当な理由なく職務上知り得た秘密を漏らし又は不当な目的 に利用してはならない。なお、監査担当者としての監査担当職務を離任後も 同様とする。 (監査担当者の責任・権限) (1) 監査担当者は、次に掲げる責任及び権限を有する。 1) 自らの判断に対する根拠を明確にする責任 2) 被監査部課に対して資料の提出を求めることのできる権限 3) 被監査部課へ改善勧告した事項について、その実施報告を求めることので きる権限 (監査の対象) (1) 被監査部課は、情報システムの主管部課及び利用部課とする。 (2) 監査対象は、情報システムの主管部課及び利用部課においては、情報システ ム及び関連設備に係るセキュリティポリシーの運用状況とし、委託先事業者 においては、情報システムの委託業務に係る情報セキュリティの実施状況と する。 (被監査部課の義務) (1) 被監査部課は、監査担当者の協力要請に応じる。 (2) 被監査部課は、監査作業の妨害、虚偽の報告及び事実の隠蔽をしてはならない。 セキュリティポリシー雛形策定に関する調査報告書 (計画の立案) (1) 監査担当者は、年度毎に情報セキュリティ監査の実施計画を立案する。 (2) 計画内容には、特定の部課又はテーマに限定した監査を適宜実施するものと することができる。 (3) 実施計画は、最高情報セキュリティ責任者の承認を得る。 (監査の実施基準) (1) 情報セキュリティ監査は、セキュリティポリシーに準じた情報システムの運 用及び情報資産の取扱いが実施されていることを監査する。 (2) 前項の他、次に掲げる基準等を参照することができる。 1) システム監査基準 2) 地方公共団体のためのコンピュータセキュリティ対策基準 3) その他(政省令や内部例規集等) (監査の実施) (1) 監査担当者は、監査計画に基き、情報セキュリティ監査を実施する。 (2) 監査実施にあたっては、監査項目及び監査方法を明確にした監査用書類を準 備する。 (3) 監査実施は、被監査部門に立入り、職員等へのヒアリング及び資料調査等に より行う。 (報告) (1) 監査担当者は、監査終了後に、監査結果報告書を作成する。 (2) 監査結果報告書には、監査対象、監査内容、監査結果、指摘事項及び改善勧 18 告等を盛り込む。 (3) 監査担当者は、監査結果報告書を最高情報セキュリティ責任者の承認を受け る。 (4) 監査担当者は、監査結果報告書を情報セキュリティ委員会に事後報告する。 (改善) (1) 監査担当者は、監査結果報告書に基き、被監査部門に改善勧告を行う。 (2) 被監査部課は、監査担当者より指摘を受けた事項について可及的速やかに改 善する。 (3) 監査担当者は、一定期間内に改善勧告について被監査部課の実施状況を確認 する。 (4) 監査担当者は、情報共有により庁内全体の情報セキュリティ維持及び向上に 有効であると判断した場合、監査結果の一部を組織内において公開すること ができる。 (臨時監査) (1) 監査担当者は、最高情報セキュリティ責任者より特に指示を受けた場合に、 臨時的に監査を行うことができる。 セキュリティポリシー雛形策定に関する調査報告書 (外部監査) (1) 監査担当者は、自らが行う監査のほか、最高情報セキュリティ責任者の承認 を受けた場合に、外部の事業者による外部監査を実施することができる。 (監査結果報告書の保管) (1) 監査担当者は、監査結果報告書を保管・保存する。 (監査の実施頻度) (1) 監査の実施頻度は、年 1 回とする。 4.7 地方公共団体のためのコンピュータセキュリティ対策基準 調査文書は地方公共団体のためのセキュリティ対策基準のあり方検討委員会による「地方 公共団体のためのコンピュータセキュリティに関する調査研究報告書」である。 現存する基準やガイドラインからの知見として、監査に関する記載が不十分であるとして おり、「高いセキュリティレベルを保つためには、継続的な見直しが必要であり、診断・監 査が重要である。これらは定期的に実施すべきであるほか、必要に応じて随時に実施すべ きであること、内部で実施する方法のほか第三者に委託する方法もあること等を具体的に 記述するべきである。」としている。 システム監査における運用制度面の対策として以下の項目が挙げられている。 23 情報システムの安全対策に関する自主診断の体制を確立する。 24 第三者による情報システムに関する監査の体制を確立する。 25 情報システムの安全対策に関する自主診断又は監査を定期的に行うほか、必要 に応じ随時実施する。 26 情報システムに関する自主診断又は監査結果に基づき問題点を改善する。 19 4.8 損害保険協会ネットワーク診断チェックリスト 損害保険協会が 1998 年に発行したもので、企業が簡単な質問に答えていくことによって、 自社のネットワークリスクの概略を診断できる方法を「ネットワークリスク診断チェック リスト」としてまとめている。 本チェックリストは、企業のネットワークシステムのうち、LAN を中心として、インター ネットとの接続などオープンなネットワークに焦点を当て、その中に潜むリスクを企業自 らが診断できるようになっており、内容は、システム管理者に限らず一般ユーザも対象と しているため、技術的で詳細な知識を必要とする質問項目を極力少なくし、かつ総体とし てリスク診断できるよう配慮してある。 4.9 米国 NIST SP800-26 セルフチェックシート NIST SP800-26「Security Self-Assessment Guide for Information Technology Systems」 は、情報セキュリティシステムの状態をチェックする方法を提供している。セルフチェッ クリストは、システムに対する制御対策や技術についての質問集を使用する形式である。 4.10 Center for Internet Security の勧告文書 Center for Internet Security(以下 CIS)はセキュリティ構築の不具合によるビジネスや イーコマースにおける組織のリスク軽減を支援する米国の非営利団体である。 CIS では、システムのセキュリティ対策のベンチマーク(安全な設定方法)と測定ツール を提供している。現在(2002 年 8 月)以下のシステムに対するベンチマークが提供されて いる。 ・ Solaris (Level-1) ・ Linux (Level-1) ・ HP-UX (Level-1) ・ CISCO IOS Router (Levels-1 & 2) ・ Windows 2000 (Level-1) ・ Windows 2000 Professional (Level-2) ・ Windows NT (Level-1) 4.11 CMU/OCTAVE 4.11.1 OCTAVE 概要 OCTAVEはOperationally Critical Threat, Asset, and Vulnerability Evaluationの略で、 米国Carnegie Mellon Universityのサービスマークである。 OCTAVE は以下に示す情報セキュリティリスクの自己評価を行うためのアプローチを実施 している。 組織管理 20 重要な情報資産、ビジネスニーズ、脅威と脆弱性のバランス 組織のセキュリティ対策実施状況 組織全体によるセキュリティ戦略と情報セキュリティリスク軽減計画の設定 調査資料「OCTAVE Catalog of Practices, Version 2.0」 4.11.2 (1) 資料の目的 「OCTAVE Catalog of Practices, Version 2.0」は OCTAVE 手法に用いられるセキュリティ 対策の“カタログ”で、以下に示す情報セキュリティのリスク評価に使用することを目的 としている。 組織のセキュリティ対策についての実測評価 セキュリティ改善策とリスクを軽減するためのプランの提供 (2) カタログ概要 セキュリティ対策の項目は以下の二つのタイプに分類される。 Strategic Practices(SP) −戦略的対策― Operational Practices(OP) ―運用的対策― 戦略的対策では組織のポリシーレベルや管理面に視点をおいたもので、運用的対策では、 システムの使用方法やセキュリティ技術など技術的な関係することに視点をおいている。 (3) 戦略的対策における監査 監査については以下3項目の中に記述されている。 Security Awareness and Training(SP1) システムのユーザは物理的な、または情報技術のセキュリティをモニタリングし監査する ように訓練する。 Security Management(SP3) 管理者は定期的な監査証跡のレビュー報告を受け対策する。 Security Policies and Regulations(SP4) 組織は包括的なドキュメントやポリシーを保持し、定期的にレビューされ更新される。こ れらのポリシーはモニタリングや監査方法に反映される。 (4) 運用的対策における監査 監査については以下の2項目が記されている。 Monitoring and Auditing Physical Security(OP1.3) OP1.3.1 OP1.3.2 OP1.3.3 Physical Security(OP1) Monitoring and Auditing Physical Security(OP1.3) −物理的セキュリティのモニタと監査− 施設の物理的構成の修理や変更の記録をメンテナンス記録に記述する。 物理的に制御されたメディアにかかわる個人およびグループの行動が識別で きる。 監査やモニタの記録は定期的に検査され、必要に応じて正しい行動がとられ る。 21 Monitoring and Auditing IT Security(OP2.3) OP2.3.1 OP2.3.2 4.11.3 Information Technology Security(OP2) Monitoring and Auditing Physical Security(OP2.3) −IT セキュリティのモニタと監査− システムやネットワークのモニタリングおよび監査ツールは組織によって定 期的に使用される。 ・ 活動は IT スタッフによってモニタされる。 ・ システムやネットワークの活動はログが取られ記録される。 ・ ログは基準に基づいてレビューされる。 ・ 通常でない活動は適切なポリシーまたは手段によって処理される。 ・ ツールは定期的にレビューされ更新される。 監査やモニタの記録は定期的に検査され、必要に応じて正しい行動がとられ る。 調査リスト 本ドキュメントの付録には、組織における4つの異なるレベル人員 ・ 上級管理者 ・ 現場管理者 ・ 一般従業員 ・ IT 部門従業員 が実施しているセキュリティ対策についての調査リストがある。これらは監査チェックリ ストの項目として検討できると考える。 4.12 認証局 CPS 関連 RFC2527 後継インターネットドラフト 4.12.1 資料概要 RFC2527「インターネット X.509 PKI 認証ポリシーと認証実務フレームワーク」は認証 機関や公開鍵インフラストラクチャのための認証ポリシー、もしくは CPS(certification practice statements)の 執筆者を支援するフレームワークを提供する。特に、このフレー ムワークは、認証ポリシー、もしくは CPS の規定の際に(執筆者の思慮分別において) 潜在的に網羅される必要がある論点についての包括的なリストを提供する。 4.12.2 準拠性監査 準拠性監査について本ドキュメント(IPA 訳)では「4.2.7 準拠性監査」に以下のように記 述されている。 4.2.7 準拠性監査 このサブコンポーネントは、下記に対応します。: 22 各主体に対する準拠性監査の頻度 監査人の識別/認定( qualification ) 監査人の監査される主体との関係 (30) 準拠性監査のもとで扱われる論点の一覧 (31) 準拠性監査において発見された欠点の結果として採用される活動 (32) 準拠性監査結果: 誰によって共有されているか(例:サブジェクト CA、RA、か つ/または末端主体)、誰が提供するか(例:被監査主体、もしくは監査人)、ど のようにコミュニケートされるか 30 親 CA は、監査関係の一例です。 31 準拠性監査論点の例:様々な I&A ポリシーの試査、鍵管理ポリシーについての合理 的なチェック、システムセキュリティ統制についての合理的なチェック、運用ポリシーに ついての合理的なチェック、証明書プロファイルについての合理的なチェック。 32 例は、不備が正されるまでの一時的な運用の留保、主体証明書の 失効、要員について の変更、信頼性ポリシーの実施、より頻繁な準拠性監査等を含みます。 4.12.3 セキュリティ監査手続き 「4.4.5 セキュリティ監査手続き」には、セキュアな環境を維持するために実装されるイベ ントロギングと監査システムを記述するのに使用される要素について以下のように記述さ れている。 4.4.5 セキュリティ監査手続き このサブコンポーネントは、セキュアな環境を維持するために実装されるイベントロギン グと監査システムを記述するのに使用されます。要素には以下のものがあります。 : 記録されるイベントのタイプ (28) 監査ログが処理、もしくは監査される頻度 監査ログが保存される期間 監査ログの防護: ・ 誰が監査ログを見ることができるか ・ 監査ログの改ざんに対する防護 ・ 監査ログの削除に対する防護 監査ログ バックアップ手続き 監査ログ蓄積システムが主体の内部のものであるか、もしくは、外部のものであ るか 監査イベントを起こしたサブジェクトに対して監査活動を通知するか否か 脆弱性アセスメント 28 監査イベントの例:証明書を作成する要求、証明書を失効する要求、 鍵改ざん通知、 証明書の作成、証明書の失効、証明書の発行、CRL の 発行、鍵改ざん CRL の発行、CA について信頼された役割の確立、 信頼された要員の行為、CA 鍵への変更、等。 23 4.12.4 監査人について 「4.5.2 手続き的統制」における“役割”の記述に、「システム監査人の義務は、システム監 査プロファイルを用意し、監査 ファイル管理と監査レヴューを行うことです。」とあり、 「各役割ごとに識別された各業務について、何人の人員がその業務を遂行するのに必要か について表明される必要があります。(n out m ルール。)各役割ごとに、識別と本人認証の 要件も規定されます。」とある。 4.13 SAS 70 SAS 70 とは、 「Statement on Auditing Standards No. 70, Service Organization」のこと であり、American Institute of Certified Public Accountants (AICPA)によって策定された 国際的な監査基準である。SAS 70 は、アウトソーシングセンターなどの、他企業へサービ スを提供する企業を監査対象としている。SAS 70 に則って監査を受けた企業は、顧客企業 や、顧客企業の監査人に対して、統一されたフォーマットによる報告をすることができる。 これによって、各企業間で監査報告のフォーマットが異なることによる変換作業などを省 略でき、監査業務を効率化することができる。このように、SAS 70 は監査報告のフォーマ ットを定めることが主な目的であり、監査のためのチェックリスト的な基準ではない。SAS 70 が定める監査報告のフォーマットには以下の 2 種類が存在する。 (1) Type I report Type I report は、監査対象組織において実行されている問題点に対する対策項目の説明と、 それに対する監査対象組織から独立した監査人による意見などの説明から構成される。 (2) Type II report Type II report は、Type I report に加えて、監査対象組織において実行されている対策項目 の有効性を独立した監査人が最大 6 ヶ月間テストした結果などから構成される。 4.14 ISO 19011:2002 ISO19011 は、ISO 9000 と ISO 14000 における監査人に対するガイドラインを統合して制 定された。ISO 19011 は、内部監査、外部監査の双方に用いることができる。さらに、ISO 9000 と ISO 14000 以外の監査においても利用できる内容となっている。 24 4.15 参照 ・ 日本規格協会「BS 7799-2:2002 英和対訳版」2002 年 10 月 ・ 通商産業省「情報システム安全対策基準」(最終改訂:平成 9 年 9 月 24 日) ・ 経済産業省「システム監査基準」(最終改訂:平成 8 年 1 月 30 日) ・ 通商産業省「コンピュータウイルス対策基準」(最終改訂:平成 9 年 9 月 24 日) ・ 通商産業省コンピュータ不正アクセス対策基準(最終改訂:平成 9 年 9 月 24 日) ・ 情報処理振興事業協会「電子政府セキュリティ基盤技術開発セキュリティポリシー策 定・運用支援ナレッジマネジメントシステムの開発」平成 13 年 2 月 http://www.ipa.go.jp/security/fy12/contents/crack/policy/policymodel_rep.pdf ・ 地方公共団体のためのコンピュータセキュリティに関する調査研究報告書 http://www.soumu.go.jp/kokusai/pdf/security.pdf ・ 損害保険協会ネットワーク診断チェックリスト http://www.sonpo.or.jp/publish/book_nwc.html ・ NIST SP 800-26 http://csrc.nist.gov/publications/nistpubs/ ・ Center for Internet Security http://www.cisecurity.org/ ・ OCTAVE http://www.cert.org/octave/ ・ RFC2527「インターネット X.509 PKI 認証ポリシーと認証実務フレームワーク」 http://www.ipa.go.jp/security/rfc/RFC2527JA.html 5. 監査証跡調査 監査証跡とは監査のための記録(ログ)である。ログには OS が生成するシステムログとア プリケーションが生成するサービスログがある。そのログを分析し、レポートとして生成 する各種ツールが存在している。またログの生成要件については、PP のなかでセキュリテ ィ要件として定義されており、監査証跡をとる対象の事象やその情報が定義されている。 PP とは Protection Profile の略であり、ISO15408 において、セキュリティ製品の利用者 側の立場から要求されるセキュリティ機能を示したセキュリティの要求書である。これら を調査し監査証跡の証拠能力について検討する。 5.1 システムログの証拠能力 システムログとは、OS が生成する監査証跡のことをいう。システムログは、ユーザログイ ン情報や、ファイルへのアクセス記録、システムの変更記録等を保持している。このログ の証拠能力は、いつどこで誰が何をしたか特定できることと、システムの流れをトレース 25 することで障害箇所や不正アクセスを特定できることである。 5.2 サービスログの証拠能力 サービスログとは、OS 上で動く個々のアプリケーションから生成される監査証跡のことを いう。サービスログは、それぞれのアプリケーションによって生成されるログの内容が、 アプリケーションが違うことにより異なる。サービスログの目的は、システムログと同様 に、いつどこで誰が何をしたかを特定できることと、もう一つ重要なのが、サービスの利 用頻度を知ることである。サービスの利用頻度を計る監査ログは、将来のシステム構成を 考える上で役に立つ。例えば、いくつものサービスを提供している Web サーバーが一日に 数 100 万件のアクセスを記録しており、利用者からこのサーバーへの接続ができない等の 苦情通知を受けていたとする。この場合、各サービスへのアクセス数を計測して解析する ことができれば、効率よくシステムをバージョンアップできる。 5.3 各種ツールのレポートの証拠能力 本来、攻撃者を特定するには、熟練したシステム管理者が監査ログを、直接エディタを開 いて解析するほうが効率よい場合が多い。しかし、すべてのシステム管理者が高度の技術 を持っているとは限らないため監査ログの解析ツールを使ってレポートを生成するとログ の分析が容易である。サービスログの証拠能力でも述べたサービスの利用頻度を視覚的に 確認できたり、監査ログをそのまま表示させるだけではなく、加工して統計を取ったりす ることができる利点もある。 フリーで公開されているログ分析ツールに Analog(http://www.analog.cx/)ある。この分 析ツールは Web サーバーの生成したログを多角的に分析できるツールであり、グラフを使 用しており視覚的にもわかりやすい。この類のツールは、高度な技術を持ったシステム管 理者でなくとも簡単に利用することができるため、積極的に取り入れることをお薦めする。 5.4 既存の ISO/IEC 15408 に基づく PP 中のログ生成要件調査 5.4.1 概要 ISO15408 では、監査項目として、FAU クラス(セキュリティ監査クラス)と、それぞれ の機能要件ごとに決められたログの取得対象事象について設計することを要求している。 FAU クラスでは、ログの生成・分析・保管・アラートの 4 つの機能について定義されてい る。例えば、アラート機能は、TOE(評価対象のシステムや製品)のセキュリティを侵害 する危険性を察知すると、自動的に管理者にメールを送ったり、サービスをシャットダウ ンさせたりして TOE をセキュアな状態に保とうとする機能である。 ログの取得場所は、生成するログをどの事象で取得するかということであり、これは機能 要件によって決まる。例えば、ログ機能を備えた Web サーバーの製品があるとする。その Web サーバーでは、アクセスコントロール機能が必須であるため、FDP_ACF(FDP クラ スの ACF ファミリ:アクセスコントロール機能)を機能要件として選ぶであろう。そして、 26 利用者が Web サーバーヘアクセスした時に取得されるログとして最低でも、「最小: SFP (Security Function Policy:製品のセキュリティ機能で何を守るのか、という方針)で扱 われるオブジェクト(製品のセキュリティ機能で守るべき資産)に対する操作の実行にお ける成功した要求。」を取得しなければならない。 5.4.2 FAU クラスの説明 以下は、ログの生成・分析・保管・アラート機能について ISO15408 ではどのようなこと を要求しているのかをまとめている。 (1) ログの生成(FAU_GEN) このファミリは、どのようなタイミングと頻度で、どのようなデータを記録するのかを決 定する要件である。タイミングと頻度については、製品の開発者がそれぞれ表 1の監査レ ベルから選択することが要求されている。 表 1 監査レベル 監査レベル 内容 最小(Minimal) 各セキュリティ管理機能が成功した時のみログを取得する。 基本(Basic) 各セキュリティ管理機能を使用しようとした時ログを取得する。最小との 違いは、成功・失敗に関わらずログを取得するということである。 詳細(Detailed) 各機密属性データが変更された時ログを取得。これは、何かの値が変更さ れるたびに事細かにログを取得し、特定の機密属性データ(パスワードや暗 号鍵など)を除き、変更された新しい値をログとして保存しておくことを要 求している。 指定なし レベルを指定しないで、例えば、基本をベースに必要な所のみを詳細にロ グを取るということができる設定である。 27 また、ログを取得する際に記録されるべきデータを表 2に示す。この機能要件では、ログ に表 2に示す情報を含むことを要求している。 表 2 ログに記録されるデータ フィールド名 (2) 説明 日付 記録された日付。 時刻 記録された時刻。 事象の種別 どのような事象であるのかの種 類。例えば、読み込みであるとか、 書き込みであるとか、変更である とかなど。 サブジェクトの識別情報 どのような機能から記録したのか わかるための情報。 事象の結果 事象が成功したのか、失敗したの かという結果。 その他監査関連情報 機能要件ごとの監査の取得場所に よって決まるその他の情報。 ログの保管(FAU_STG) このファミリは、ログとして記録されたデータが、悪意がある・無いにせよ、削除された り改変されたりすることが無いようにするという要件である。 (a) ログデータの保護 保存したログを不正な削除から保護すべきである。また、ログの改ざんを防止、検出で きるべきである。 (b) 可用性の保証 ログの保存領域が、満杯になっている状態や、書き込みが失敗した場合、攻撃を受けてい る場合にも、ログの取得が維持されているべきである。 (c) ログデータ損失の可能性発生時のアクション ログの保存領域が、満杯になっている状態や、保存件数が定義された最大値になった場合、 その状況を管理者に伝えるようにすべきである。 (d) ログデータ損失の防止 ログの保存件数が定義された最大値になった場合、それ以上ログを取得しない・特権を持 つ許可利用者に関する以外のログを取得しない・最も古く格納されたログを上書きする・ システムを停止させる等の対処をするべきである。 28 (3) ログ分析(FAU_SAA) このファミリは、自動的にログを分析し、利用者が不正な行為を行った記録や、システム エラーの記録を発見するための要件である。 (a) 侵害の可能性の分析 監査事象のモニタに、データセットを用意しておきこれと照らし合わせて侵入の検知をす る。データセットとは、システムごとに設計者があらかじめ異常データの項目を決めてお き、それをリストにしたものである。 (4) 監査レビュー(FAU_SAR) このファミリは、監査できる人間を制限し、さらに監査できる人間に監査ツールを提供す るための要件である。 (a) アクセスを限定 認証された利用者以外のログへのアクセスを禁止する。 (b) ログの操作 検索、ソート、分類の機能を認証された利用者に提供する。 (5) 自動応答(FAU_ARP) このファミリは、侵入者や、異常な値が検出された時など、ある条件になると自動的にシ ステムがアクションを起こすための要件である。 (a) アラーム機能 セキュリティ侵害の可能性があるログを取得した場合、自動的に管理者にアクション(メ ールを送る等)を取るようにすべきである。 (6) 監査事象選択(FAU_SEL) このファミリは、システムエラーが発生したときにデバッグ用のログを取るなどの機能を 持たせるための要件である。 (a) 項目選択機能 監査対象項目は、状況により追加変更を可能にすべきである。 29 5.4.3 ログの取得場所 以下は、全ての機能用件の中から、ログの取得が必要とされているものだけを抽出してま とめている。 (1) (a) 通信(FCO) 発信者の情報(FCO_NRO) 最小: 発信元の証拠が生成されることを要求した利用者の識別情報。 最小: 否認不可サービスの呼出。 基本: 情報、宛先、提供された証拠のコピーの識別。 詳細: 証拠の検証を要求した利用者の識別情報。 (b) 受信者の情報(FCO_NRR) 最小: 受信の証拠が生成されることを要求した利用者の識別情報。 最小: 否認不可サービスの呼出。 基本: 情報、宛先、提供される証拠のコピーの識別。 詳細: 証拠の検証を要求した利用者の識別情報。 (2) (a) 暗号サポート(FCS) 暗号鍵管理(FCS_CKM) 最小: 動作の成功と失敗。 基本: オブジェクト属性及び機密情報(例えば共通あるいは秘密鍵)を除くオブジェクトの 値。 (b) 暗号操作(FCS_COP) 最小: 成功と失敗及び暗号操作の種別。 基本: すべての適用可能な暗号操作のモード、サブジェクト属性、オブジェクト属性。 (3) (a) 利用者データ保護(FDP) アクセス制御(FDP_ACF) 最小: オブジェクトに対する操作の実行における成功した要求。 基本: オブジェクトに対する操作の実行におけるすべての要求。 詳細: アクセスチェック時に用いられる特定のセキュリティ属性。 (b) データ認証(FDP_DAU) 最小: 有効性の証拠の生成成功。 基本: 有効性の証拠の生成不成功。 30 詳細: 証拠を要求したサブジェクトの識別情報。 詳細: 証拠を生成したサブジェクトの識別情報。 (c) TSF の制御外へのエクスポート(FDP_ETC) 最小: 情報エクスポート成功。 基本: 情報をエクスポートするすべての試み。 (d) 情報フロー制御機能(FDP_IFC) 最小: 要求された情報フローを許可する決定。 基本: 情報フローに対する要求に関するすべての決定。 基本: 識別された不正情報フローチャネルの利用。 詳細: 情報フローの実施の決定をする上で用いられる特定のセキュリティ属性。 詳細: 方針目的(policy goal)に基づいて流れた、情報の特定のサブセット(例えば、対象物 の劣化の監査)。 詳細: 特定した値を超える推定最大容量を持つ、識別された不正情報フローチャネルの利 用。 (e) TSF の制御外からのインポート(FDP_ITC) 最小: 任意のセキュリティ属性を含む、利用者データの成功したインポート。 基本: 任意のセキュリティ属性を含む、利用者データをインポートするすべての試み。 詳細: 許可利用者によって提供される、インポートされる利用者データに対するセキュリ ティ属性の仕様。 (f) TOE 内での転送(FDP_ITT) 最小: 使用された完全性保護方法の識別を含む、利用者データの成功した転送。 基本: 使用された完全性保護方法と生じたいかなる誤りも含む、利用者データを転送する ためのすべての試み。 基本: 完全性保護方法を変更しようとする不当な試み。 詳細: 完全性誤り検出時にとられるアクション (g) ロールバック(FDP_ROL) 最小: すべての成功ロールバック操作。 基本: ロールバック操作をしようとするすべての試み。 詳細: ロールバックされる操作の種別の識別を含む、ロールバック操作をしようとするす べての試み。 31 (h) 蓄積データの完全性(FDP_SDI) 最小: 利用者データ完全性チェックの成功した試み(検査結果の表示を含む)。 基本: 利用者データ完全性チェックのすべての試み(実行されたときは、検査結果の表示を 含む)。 詳細: 生じた完全性誤りの種別。 詳細: 完全性誤り検出においてとられたアクション。 (i) TSF 間ユーザデータ機密転送保護(FDP_UCT) 最小: データ交換メカニズムを使用する利用者あるいはサブジェクトの識別情報。 基本: データ交換メカニズムを使用しようとした、非許可利用者あるいはサブジェクトの 識別情報。 詳細: 送信あるいは受信された利用者データの識別に利用可能な名前、あるいはそれ以外 のインデックス情報の参照。これはその情報に関連するセキュリティ属性を含むことがで きる。 (j) TSF 間ユーザデータ完全性転送保護(FDP_UIT) 最小: データ交換メカニズムを使用する利用者あるいはサブジェクトの識別情報 (identity)。 最小: 検出された誤りの型を含む、誤りからの成功した回復。 基本: データ交換メカニズムの使用を試みる、不当な利用者あるいはサブジェクトの識別 情報(identity)。 基本: 送信あるいは受信された利用者データの識別に利用できる名前、あるいはそれ以外 のインデックス情報の参照。これは利用者データに関連するセキュリティ属性を含むこと ができる。 基本: 利用者データの送信を妨害する識別された試み。 詳細: 送信された利用者データに対する、検出された改変の種別及び/あるいは影響。 (4) (a) 識別と認証(FIA) 認証失敗(FIA_AFL) 最小: 不成功の認証試行に対する閾値への到達及びそれに続いてとられるアクショ ン(例えば端末の停止)、もし適切であれば、正常状態への復帰(例えば端末の再稼動)。 (b) 秘密についての使用(FIA_SOS) 最小: TSF による、テストされた秘密の拒否。 基本: TSF による、テストされた秘密の拒否または受け入れ。 詳細: 定義された品質尺度に対する変更の識別。 32 (c) (i) 利用者認証(FIA_UAU) 認証のタイミング 最小: 認証メカニズムの不成功になった使用。 基本: 認証メカニズムのすべての使用。 詳細: 利用者認証以前に行われたすべての TSF 調停アクション。 (ii) 偽造されない認証 最小: 不正な認証データの検出。 基本: 不正なデータについて、直ちにとられたすべての手段とチェックの結果。 (iii) 単一使用認証メカニズム 最小: 認証データを再使用する試み。 (iv) 複数の認証メカニズム 最小: 認証の最終決定。 基本: 最終決定で共に用いられた、各々の稼動したメカニズムの結果。 (v) 再認証 最小: 再認証の失敗。 基本: すべての再認証試行。 (d) ユーザ識別(FIA_UID) 最小: 提供される利用者識別情報を含む、利用者識別メカニズムの不成功使用。 基本: 提供される利用者識別情報を含む、利用者識別メカニズムのすべての使用。 (e) ユーザとサブジェクトの関連づけ(FIA_USB) 最小: 利用者セキュリティ属性のサブジェクトに対する不成功結合(例えば、サブジェクト の生成)。 基本: 利用者セキュリティ属性のサブジェクトに対する結合の成功及び失敗(例えば、サブ ジェクトの生成の成功及び失敗)。 (5) (a) セキュリティ管理(FMT) セキュリティ機能の管理(FMT_MOF) 基本: TSF の機能の振る舞いにおけるすべての改変。 33 (b) (i) セキュリティ属性の管理(FMT_MSA) セキュリティ属性の管理 基本: セキュリティ属性の値の改変すべて。 (ii) セキュアなセキュリティ属性 最小: セキュリティ属性に対して提示され、拒否された値すべて。 詳細: セキュリティ属性に対して提示され、受け入れられたセキュアな値すべて。 (iii) 静的属性初期化 基本: 許可的あるいは制限的規則のデフォルト設定の改変。 基本: セキュリティ属性の初期値の改変すべて。 (c) (i) TSF データの管理(FMT_MTD) TSF データの管理 基本: TSF データの値のすべての改変。 (ii) TSF データにおける限界値の管理 基本: TSF データにおける限界値のすべての改変。 基本: 限界値違反が起きたときにとられるアクションにおけるすべての改変。 (iii) セキュアな TSF データ 最小: TSF データのすべての拒否された値。 (d) セキュリティ属性の取り消し(FMT_REV) 最小: セキュリティ属性取り消し不成功。 基本: セキュリティ属性を取り消そうとするすべての試み。 (e) セキュリティ属性有効期限(FMT_SAE) 基本: 属性に対する有効期限の時間の特定。 基本: 属性の有効期限切れによってとられるアクション。 (f) セキュリティ管理役割(FMT_SMR) 最小: 役割の一部をなす利用者のグループに対する改変。 最小: 役割に対して与えられた条件のために成功しなかった、その役割を使用する試み。 詳細: 役割の権限の使用すべて。 34 (6) プライバシー(FPR) (a) 匿名性(FPR_ANO) 最小: 匿名メカニズムの呼出。 (b) 偽名性(FPR_PSE) 最小: 利用者識別情報の分析を要求したサブジェクト/利用者は監査されるべきである。 (c) リンク不能性(FPR_UNL) 最小: リンク不能性メカニズムの呼出。 ※リンク不能性とは、1 人のユーザが複数のサービスを受けることができるが、他人がこれ らのサービスを同時に使うことができないことをいう。 (d) 観察不能性(FPR_UNO) 最小: 観察不能性メカニズムの呼出。 ※観察不能性とは、使用しているユーザの画面を他人に見られたりすることをいう。 (7) (a) TSF の保護(FPT) システムのベースで動く抽象マシンテスト(FPT_AMT) 基本: 下層マシンのテストの実行とテストの結果。 (b) フェールセキュア(FPT_FLS) 基本: TSF の障害。 (c) エクスポートされた TSF データの可用性(FPT_ITA) 最小: TOE に要求されたときの TSF データの欠落。 (d) エクスポートされた TSF データの完全性(FPT_ITI) 最小: 送出 TSF データの改変の検出。 基本: 送出 TSF データの改変の検出において取られるアクション。 基本: 訂正メカニズムの使用。 (e) TOE 内での TSF データの転送(FPT_ITT) 最小: TSF データの改変の検出。 基本: 完全性誤りの検出に引き続いてとられるアクション。 35 (f) TSF の物理的保護(FPT_PHP) 最小: 侵入の検出。 (g) 高信頼性回復(FPT_RVC) 最小: 障害またはサービス中断が発生した事実。 最小: 通常動作の再開。 基本: 障害またはサービス中断の種別。 (h) リプレイ攻撃の検出(FPT_RPL) 基本: 検出されたリプレイ攻撃。 詳細: 特定のアクション(複数形)に基づいてとられるアクション(単数形)。 (i) 状態同期プロトコル(FPT_SSP) 最小: 予期されたときの肯定応答受信失敗。 ※システム間の接続によるプロトコル変換などのところで発生する脅威などの対策のこと である。 (j) 高信頼性タイムスタンプ(FPT_STM) 最小: 時間の変更。 詳細: タイムスタンプの提供。 (k) TSF データの他システムへの受け渡し時の一貫性(FPT_TDC) 最小: TSF データ一貫性メカニズムの成功した使用。 基本: TSF データ一貫性メカニズムの使用。 基本: TSF データがどのように解釈されたかの識別。 基本: 改変された TSF データの検出。 ※セキュリティ機能が持つデータを他の IT 機器に受け渡すときに、一貫して属性の解釈な どをすること。 (l) TSF データの TSF 内での複製(FPT_TRC) 最小: 再接続時に一貫性を回復すること。 基本: TSF データ間の一貫性欠如の検出。 (m) TSF 自己テスト(FPT_TST) 基本: TSF 自己テストの実行とテストの結果。 36 (8) (a) 資源利用(FRU) 耐障害性(FRU_FLT) 最小: TSF に検出されたあらゆる障害。 基本: 障害によって中断されたすべての TOE 機能。 (b) サービス優先度(FRU_PRS) 最小: 割当てられた優先度の使用に基づいた操作の拒否。 基本: サービス機能の優先度を呼び出す割当て機能を使おうとするすべての試み。 (c) 資源割り当て(FRU_RSA) 最小: 資源制限による割当て操作の拒否。 基本: TSF 制御下にある資源に対して資源割当て機能を使おうとするすべての試み。 (9) (a) TOE アクセス(FTA) 選択可能属性の範囲制限(FTA_LSA) 最小: セションセキュリティ属性の選択におけるすべての失敗した試み。 基本: セションセキュリティ属性の選択におけるすべての試み。 詳細: 各セションセキュリティ属性の値の取得。 ※ユーザがセッションのために選択できるセキュリティ属性の範囲を制限すること。 (b) 複数同時セッションの制限(FTA_MCS) 最小: 複数同時セションの制限に基づく新しいセションの拒否。 詳細: 現時点の同時利用者セション数及び利用者セキュリティ属性の取得。 ※1ユーザが同時にセッションを確立できる数を制限する。 (c) セッションロック(FTA_SSL) 最小: セションロックメカニズムによる対話セションのロック。 最小: 対話セションの、成功したロック解除。 基本: 対話セションのロック解除におけるすべての試み。 (d) TOE へのセッション確立(FTA_TSE) 最小: セション確立メカニズムによるセション確立の拒否。 基本: 利用者セション確立におけるすべての試み。 詳細: 選択されたアクセスパラメタ(例:アクセスの場所、アクセスの日時)の値の取得。 37 (10) (a) 高信頼パス/チャネル(FTP) TSF 間高信頼チャネル(FTP_ITC) 最小: 高信頼チャネル機能の失敗。 最小: 失敗した高信頼チャネル機能の開始者とターゲットの識別。 基本: 高信頼チャネル機能のすべての使用の試み。 基本: すべての高信頼チャネル機能の開始者とターゲットの識別。 ※高信頼パス/チャネルとは、システムのセキュリティ機能と他の高信頼 IT 製品間おく高信 頼性チャネルのこと。 (b) 高信頼パス(FTP_TRP) 最小: 高信頼パス機能の失敗。 最小: もし得られれば、すべての高信頼パス失敗に関係する利用者の識別情報。 基本: 高信頼パス機能の使用についてのすべての試み。 基本: もし得られれば、すべての高信頼パス呼出に関係する利用者の識別情報。 ※高信頼パスとは、ユーザとシステムのセキュリティ機能との間の高信頼通信のことを言 う。 5.5 証拠保全技術 証拠保全技術には、侵入者によるログの削除・改ざんと、システムの記憶領域の枯渇問題 によるログの書き込み失敗がある。 5.5.1 侵入者によるログの削除・改ざん システムへの不正侵入を許してしまった場合、管理者権限を奪取されてしまうと、せっか く残した監査ログも削除されてしまう可能性が高い。そのため、監査ログを削除・改変さ れないために、バックアップや改ざん検知等の防御策が必要である。改ざん検知は、パリ ティチェックや CRC チェック、およびデータのハッシュ値を取って署名をつけるなどの方 法がある。 5.5.2 記憶媒体の枯渇問題によるログの書き込み失敗 記憶領域の枯渇の問題が発生するのは、システムの管理を怠たったために記憶領域が枯渇 していたという場合と、攻撃者が攻撃する前に、ログを取られることを恐れて不正なパケ ットを大量に送りつけることでログを溢れさせ、記憶領域が枯渇してしまう場合である。 これらを防ぐためには、記憶領域をリアルタイムにチェックし、記憶領域が残り少なくな ったらログをバックアップして記憶領域を増やすなどの対策が必要である。また、上記の ような攻撃者による意図的な記憶領域の枯渇に対策するには IDS を導入し、攻撃をいち早 く検知できることが重要である。 38 5.6 参照 ・ 電子政府向け情報提供システム プロテクションプロファイル バージョン 1.0(情報処 理振興事業協会:IPA 2002/2/26) ・ 電子政府向け電子申請システム プロテクションプロファイル バージョン 1.0(情報処 理振興事業協会:IPA 2002/2/26) ・ 電子政府向け電子調達システム プロテクションプロファイル バージョン 1.0(情報処 理振興事業協会:IPA 2002/2/26) ・ 情報技術セキュリティ評価のためのコモンクライテリア パート2(Ver2.1 1999/8) 6. 技術的監査技術調査 6.1 脆弱性検査ツールにおける監査技術と限界 システムの脆弱性を監査するツールは、以下の 2 種類に分類される。 1. 設定検証ツール 検査対象となるサーバーにそれぞれインストールし、サーバーの設定(アカウン ト管理や、ファイルへのアクセス権限設定など)が安全であることをチェックす る。チェック項目は、情報システム装置の既知の脆弱性情報を基にしており、良 く知られている脆弱性を利用した攻撃に対して対抗することができるかどうかを チェックすることができる。 設定検証ツールの代表的な製品例として以下が存在する。 2. ・ Symantec 社 EnterpriseSecurityManager ・ ISS 社 System Scanner ・ COPS (Computer Oracle and Password System)(フリーツール) 攻撃検証ツール 検査対象となる情報システム装置が接続されたネットワークに擬似攻撃ツールを インストールしたサーバーを接続し、検査対象の情報システム装置に対して擬似 的な攻撃を試みることで、検査対象が攻撃者からの攻撃に対抗できるかどうかを 確認する。攻撃のパターンは、既知の脆弱性情報を基にしており、良く知られて いる脆弱性を利用した攻撃に対して対抗することができるかどうかをチェックす ることができる。 攻撃検証ツールの代表的な製品例として以下が存在する。 ・ Symantec 社 NetRecon ・ ISS 社 Internet Scanner ・ Cisco 社 Secure Scanner ・ Network Associates 社 CyberCop Scanner ・ WebTrends 社 Security Analyzer 39 ・ Nmap(フリーツール) ・ Nessus(フリーツール) ・ SAINT 社 SAINT ・ MingSweeper(フリーツール) ・ iScan Vulnerability Scanner(フリーツール) ・ Whisker(フリーツール) ・ Shadow Security Scanner(シェアウェア) ・ GFI Languard Network Security Scanner(フリーツール) これらのツールを使用して、サーバーの設定が安全であるか、外部からのネットワークを 通した攻撃に対して対抗することができるかなどを監査することができる。しかし、ツー ルを使用しただけでは、ソースコードに潜むプログラムミスに起因する脆弱性や、セキュ リティ上重要な設計ミスなどを発見することはできない。これらの発見のためには、監査 人の目視による確認が必要となる。 6.2 ウィルス対策ソフトウェアにおける監査技術と限界 監査対象組織がウィルス対策ソフトウェアを使用していれば、ウィルス対策ソフトウェア のログを調査することで、組織にウィルス被害があったかどうかおよびウィルス被害の影 響範囲を知ることができる。適切なウィルス対策を実施するポリシーを持っていながらウ ィルスの被害にあってしまっている場合、組織内部の者によるポリシー違反を発見できる 可能性がある。 しかし、ウィルス対策ソフトウェアのウィルス定義ファイルを頻繁に更新していないと新 しいウィルスの被害にあってしまう可能性がある。さらに、まだウィルス定義ファイルに 登録すらされていないようなごく新しいウィルスの場合、ウィルス対策ソフトウェアでは 検知することができない。 6.3 メールフィルタリングソフトウェアにおける監査技術 監査対象組織がメールフィルタリングソフトウェアを使用していれば、ポリシーに違反し たメールを送受信しているものが存在しないかどうかを確認することができる。 しかし、メールフィルタリングソフトが検出できるのは、前もって登録されたパターンに 適合する不正メールだけである。さらに、メールを暗号化されていると、メールフィルタ リングソフトウェアは全く無力である。重要な情報は暗号化して送信する機会も多いと想 定されるため、問題となる。また、メール以外の方法(例えば、媒体を利用したり、ノー トパソコンを経由したりした場合)による機密情報の持ち出しは全く検出することができ ない。 40 6.4 ファイアウォールにおける設定検証技術とログ解析技術 ファイアウォールがポリシーに沿って設定されているかどうかは、一般的に攻撃検証ツー ルなどを用いたペネトレーションテストにより確認する。 正しく設定されたファイアウォールのログを確認することで、ポリシーに違反したサーバ ーの設置や、外部へのアクセスを確認することができる。これにより、組織内部のポリシ ー違反を発見することができる。 しかし、組織内に外部への不正な通信路(正規の通信路以外に不正に設置された通信路) が存在する場合、不正な通信路を通した通信はファイアウォールのログから検出すること ができない。 6.5 IDS における設定検証技術とログ解析技術 IDS は監視の方式から大別してネットワーク型 IDS とホスト型 IDS の 2 種類に分けられる。 以下に、それぞれの種類の IDS について説明する。 1. ネットワーク型 IDS (Network based Intrusion Detection System) ネットワーク型 IDS は、不正検出を行う。不正検出とは、シグネチャと呼ばれる 不正アクセスのパターンと実際の通信のパターンをマッチングし、パターンが一 致すれば不正アクセスとして検出することである。 2. ホスト型 IDS (Host based Intrusion Detection System) ホスト型 IDS は、異常検出を行う。異常検出とは、監視対象のサーバーにおける ログやイベント情報の正常な状態と異なるログやイベント情報を検出することで ある。サーバーにおけるログやイベント情報の正常な状態は、サーバーを利用す る曜日や時間帯、利用するアプリケーションなど日常使用する範囲である時に生 成されるログやイベント情報を指す。 IDS がポリシーに沿って設定されていることは、ホスト型 IDS の場合、IDS の設定を目視 により確認する必要がある。ネットワーク型 IDS の場合、IDS の不正通信検出パターン(「シ グネチャ」と呼ぶ)は、ベンダから提供されるため、利用者が独自の設定をする可能性は 少ない。 IDS ソフトウェアを設置してあれば、組織内部および外部からの不正な通信を発見するこ とができる。これにより、ポリシー違反を発見することができる。 しかし、正常なアクセスを不正アクセスとして誤検出してしまう可能性もある。また、ネ ットワーク型 IDS の場合、シグネチャの更新を頻繁に実施しないと、新しい攻撃パターン を検出することができない。 41 6.6 認証ソフトウェアにおける監査技術 認証機能を持つソフトウェアの設定を確認し、ポリシーに沿った強度を持つ認証機能であ ることを確認する。OS の認証機能の強度は、設定検証ツールを用いて確認することができ る。個々のアプリケーションが認証機能を持っているのであれば、監査人は設定が組織の セキュリティポリシーと合致しているかを目視により確認する必要がある。 6.7 不正接続機器の検出技術 組織内部の保護されたネットワークに不正にモデムなどを設置して外部への接続を行うと、 その接続を突破口に組織のネットワークが攻撃されてしまう可能性がある。また、外部か ら持ち込んだノートパソコンなどを組織のネットワークに接続した場合にもウィルス感染 などの可能性がある。 こうした行為を防止するためには、適切にポリシーを設定し、不正なモデム設置や、ノー トパソコンの持ち込みを禁止する必要がある。 不正なモデム設置などは、組織内の巡視などを実施して、目視で確認する以外には検出が 難しい。外部から持ち込んだノートパソコンは、ネットワーク監視ソフトウェアなどを用 いて検出することができる。例えば、日立ソフト NetInsight のポートディスカバリ機能な どで LAN に不正に接続された機器を発見できる。 6.8 データベース検索式監査技術 データベースへアクセスする場合に使用する検索式に問題があると、不正に機密情報を読 み取られてしまう可能性がある。これに対抗するため、現在までに分かっている問題のあ るデータベース検索式の書き方をまとめた「セキュア・プログラミング講座第 2 章セキュ アデータベースプログラミング」が存在する。 データベース検索式の監査は自動化できないので、監査人がこれらの資料を参考に実際に 監査対象組織で使用されているデータベース検索式が「セキュア・プログラミング講座第 2 章セキュアデータベースプログラミング」に適合していることを目視にて確認する必要が ある。 6.9 Web スクリプト監査技術 Web サーバー上で実行されるスクリプトに問題があると、Web サーバーを不正に操作され たり、Web サーバー上の機密情報を読み取られてしまったりする可能性がある。これに対 抗するため、現在までに分かっている問題のあるスクリプトの書き方をまとめた「セキュ ア・プログラミング講座」が存在する。 スクリプトの監査は自動化できないので、監査人がこれらの資料を参考に実際に監査対象 組織で使用されているスクリプトが「セキュア・プログラミング講座」に適合しているこ 42 とを目視にて確認する必要がある。 6.10 監査体制 情報セキュリティ監査は、監査人がチームを組んで実施する。監査人のチームは、図 2の ような形態をとる。監査主任が全体をとりまとめ、その下で、監査スタッフが実際の監査 を実施する。監査スタッフが自己の知識・技術だけでは対応できない監査項目に関しては、 技術専門家がサポートする。 監査 主任 監査 監査 技術 技術 技術 スタッフ スタッフ 専門家 専門家 専門家 図 2 監査人チーム 6.11 監査手順 以下に、実際の監査の流れを時系列に沿って簡単に説明する。 1. 監査計画の作成 監査主任が、監査を確実に効率よく実施するための監査計画を作成する。監査は、 一度で完了するものではなく、定期的に実施し、セキュリティが維持されている ことを確認しなければならない。よって、監査計画も、年度計画と個別計画が必 要となる。 2. 資源配分 監査主任が、実際に監査を実施するための体制を考案し、監査チームに監査スタ ッフおよび技術専門家を配分する。 3. 監査実施 監査スタッフが実働部隊となって監査を実施する。必要があれば、監査主任の判 断の下、技術専門家が監査スタッフをサポートする。 監査スタッフは、自己の監査結果を監査調書としてまとめる。 4. 査閲 全ての監査スタッフからの監査調書を収集したら、監査主任が監査調書の内容を 査閲する。必要であれば、監査主任が監査調書に修正を加える。 5. 監査調書完成 監査主任が全ての監査調書を査閲した後、最終的な監査調書が完成する。 43 6. 監査報告書作成 監査主任が、監査調書を基に監査報告書を作成する。 7. 監査報告書報告 監査報告書を、被監査会社の経営層に報告する。 8. フォローアップ 監査チームは、被監査部門が監査報告書に含まれる指摘事項に対して是正措置を とっていることを確認する。 6.12 監査内容 組織の情報処理システムを構成する情報システム装置(サーバー、ネットワーク機器など) が攻撃者による攻撃に耐えることができるように、設定、管理されていることを監査する。 情報システム装置の設定に関しても、手順書や、設定の記録などといった文書類を確認す ることで、チェック項目を実現できているかどうかを確認することができる。しかし、情 報システム装置は、実際にセキュリティを確保できる設定がなされた上で運用されている ことが重要であり、手順書や設定の記録などの文書類も必ず用意されているとは限らない ことから、個々の情報システム装置の設定を確認する必要がある。とはいえ、監査人が情 報システム装置を 1 台 1 台確認するというのは、特に大規模な組織においては非現実的で ある。 このようなことから、実際には、市販のツールなどを用いて情報システム装置の監査を実 施することが想定される。もちろん、どうしてもツールでは監査することができない項目 も存在する。こうした項目に関しては、監査人による目視確認が要求される。 情報システム装置の監査に使用できると考えられるツールには、大別して 2 種類が存在す る。以下に、ツールの機能と代表的な製品例を説明する。 3. 設定検証ツール 検査対象となるサーバーにそれぞれインストールし、サーバーの設定(アカウン ト管理や、ファイルへのアクセス権限設定など)が安全であることをチェックす る。チェック項目は、情報システム装置の既知の脆弱性情報を基にしており、良 く知られている脆弱性を利用した攻撃に対して対抗することができるかどうかを チェックすることができる。 設定検証ツールの代表的な製品例として以下が存在する。 ・ Symantec 社 EnterpriseSecurityManager ・ ISS 社 System Scanner ・ COPS (Computer Oracle and Password System)(フリーツール) 44 4. 攻撃検証ツール 検査対象となる情報システム装置が接続されたネットワークに擬似攻撃ツールを インストールしたサーバーを接続し、検査対象の情報システム装置に対して擬似 的な攻撃を試みることで、検査対象が攻撃者からの攻撃に対抗できるかどうかを 確認する。攻撃のパターンは、既知の脆弱性情報を基にしており、良く知られて いる脆弱性を利用した攻撃に対して対抗することができるかどうかをチェックす ることができる。 攻撃検証ツールの代表的な製品例として以下が存在する。 ・ Symantec 社 NetRecon ・ ISS 社 Internet Scanner ・ Cisco 社 Secure Scanner ・ Network Associates 社 CyberCop Scanner ・ WebTrends 社 Security Analyzer ・ Nmap(フリーツール) ・ Nessus(フリーツール) ・ SAINT 社 SAINT ・ MingSweeper(フリーツール) ・ iScan Vulnerability Scanner(フリーツール) ・ Whisker(フリーツール) ・ Shadow Security Scanner(シェアウェア) ・ GFI Languard Network Security Scanner(フリーツール) 以下では、これらの製品の一例として Symantec 社の Enterprise Security Manager(ESM と表示する)および NetRecon(NR と表示する)を用いてチェックすることのできる項目と、 セルフチェックリストの技術的チェックリストに含まれるチェック項目との対応関係を示 す。 対応関係は、Part1「公開サーバーネットワークシステムモデル」を基本とし、その他のシ ステムモデルで、Part1 に含まれない項目を補足する。 Part1「公開サーバーネットワークシステムモデル」 項番 1. 1.1 必須 項目 チェック内容 推奨 項目 ESM NR 技術的チェックリスト 必要のないサービス・ポートの無効化 使用しないサービスを無効に設定している 1.1.1 ○ ○ ○ ○ ○ ○ 使用しないポートを無効に設定している 1.1.2 45 コメント 使用するサービ スを前もって設 定しておく必要 がある。 使用するサービ スを前もって設 定しておく必要 がある。 項番 必須 項目 チェック内容 推奨 項目 ESM 1.1.3 IP アドレスだけで認証を行うサービスを無効 に設定している。サービスが必要な場合には、 認証を強化するなど適切な対策を講じている ○ ○ 1.1.4 定期的にサーバーの不要なポートが開かれて いないことを確認している ○ ○ 1.2 1.2.1 1.2.2 1.2.3 1.2.4 1.3 1.3.1 セキュリティ脆弱性の解消 ソフトウェア・ファームウェアのセキュリテ ィ脆弱性を解消するために修正プログラムを ○ 適用している セキュリティ侵害を受けた場合、システムを ○ OS からクリーンインストールし直している セキュリティ脆弱性の修正プログラムを適用 する際に、隔離したテスト環境で動作テスト ○ をした後、実際の環境に適用している バッファオーバーフロー対策として、対策済 みライブラリの使用やスタック領域のコード 実行を禁止するなどの手段をとっている ユーザ(システム管理者)認証の適切な設定 システム保守にセキュアシェルを使用してい る 1.3.3 パスワードの長さ、期限および使用文字種等 ○ について、ポリシーに沿った設定をしている デフォルトアカウント等、不要なアカウント は削除している ○ 1.3.4 システム保守以外の外部からのシステムログ オンを認めていない ○ 1.3.2 1.3.5 1.3.6 1.4 1.4.1 システムのリモート管理を無効にしている。 止むを得ず使用する場合には、特定のホスト からのアクセスに限定している 46 ○ コメント IP アドレスだけ で認証を行うサ ービスが何かを 前もって設定し ておく必要があ る。 登録されたスケ ジュールに沿っ て監査を実行す ることができる。 ○ 作業記録などを 目視にて確認す る必要がある。 作業記録などを 目視にて確認す る必要がある。 ○ 作業記録などを 目視にて確認す る必要がある。 ○ 設定ファイルな どを目視にて確 認する必要があ る。 ○ ○ ○ ○ ○ 各種サービス用に特権以外の専用のアカウン トを割り当てている ○ システム資源の適切なアクセス権限の設定 公開資源と非公開資源に分けてアクセス権限 ○ を適切に設定している NR ○ 不要なアカウン トを前もって設 定しておく必要 がある。 アカウントに割 り当てられた権 利をチェックす る。 アカウントに割 り当てられた権 利をチェックす る。 設定ファイルな どを目視にて確 認する必要があ る。 項番 1.4.2 1.5 1.5.1 1.5.2 1.5.3 必須 項目 チェック内容 システムの設定変更はシステム管理者に限っ ている ログ取得に関する適切な設定 ログ取得項目について、ポリシーを適切に作 成し、管理者が設定している ログを適切に保護している ログファイルのサイズの上限値および上限値 を超えたときの処理について、ポリシーを適 切に作成し、管理者が設定している ログは正規のホスト以外に出力していない ○ ○ ○ ○ ○ ○ ○ ○ 1.5.5 すべてのサーバーにおいて時刻を同期してい る ○ 1.6.5 1.6.6 IP ソースルーティングオプションが指定され たパケットを禁止している ○ 1.6.4 1.6.7 スタティックルーティングを使用している。 ダイナミックルーティングを使用する場合に ○ は、ルーティング情報更新時に更新要求元を 認証している 47 コメント 設定ファイルな どを目視にて確 認する必要があ る。 設定ファイルな どを目視にて確 認する必要があ る。 ○ 未使用ポートへの接続確立要求に応答しない ○ よう設定している 送信元アドレスが内側の内向きパケットや、 送信元アドレスが外側の外向きパケットを禁 ○ 止している ICMP を使用する場合には、ブロードキャスト アドレス宛て、およびネットワークアドレス ○ 宛ての ICMP パケットを禁止している 帯域規制を行い、大量のパケットが一度に通 過するのを防止している 1.6.3 NR ルーター・ファイアウォール・スイッチの設 定 パケットフィルタリングの設定をポリシーに 従って行っている 1.6.1 1.6.2 ESM ○ 1.5.4 1.6 推奨 項目 ○ ポリシーに合わ せて正常なパケ ットフィルタリ ングのパターン を前もって設定 しておく必要が ある。 ○ ○ ○ ○ 設定ファイルな どを目視にて確 認する必要があ る。 設定ファイルな どを目視にて確 認する必要があ る。 設定ファイルな どを目視にて確 認する必要があ る。 項番 1.7 1.7.1 必須 項目 チェック内容 1.7.3 1.7.4 ログ出力に関して、ポリシーに沿って設定し ている ○ 1.8 1.8.1 Web サーバーの保護 URL には、ユーザ名などの攻撃者にとって有 用な情報を含めていない ○ 1.8.2 サンプルスクリプト等不要なスクリプトは削 除している ○ 1.8.3 1.8.4 1.8.6 1.8.7 ログ出力に関して、ポリシーに沿って設定し ている ○ 1.9 1.9.1 1.9.2 NR 電子メールサーバーの保護 電子メールサーバーで、メールアカウントが 存在するか否かを調査できるコマンドを無効 ○ にしている 外部から外部への電子メールの転送を禁止し ている ○ 48 コメント アプリケーショ ンの設定を目視 にて確認する必 要がある。 アプリケーショ ンの設定を目視 にて確認する必 要がある。 設定ファイルな どを目視にて確 認する必要があ る。 アプリケーショ ンの設定を目視 にて確認する必 要がある。 ○ スクリプト中で、ユーザ入力文字列に対して メタキャラクタチェックを含む入力文字種チ ○ ェック、文字長チェックを厳密に行っている Web サーバープロセスを管理者権限で実行し ていない ○ スクリプトファイルは実行権限だけを設定 ○ し、読み取り権限を設定していない スクリプトは IPA「セキュア・プログラミン グ講座」に沿って安全にプログラムしている ○ 1.8.5 ESM DNS の保護 DNS のゾーン転送は、プライマリ DNS からセ カンダリ DNS だけに限定している ○ 名前解決要求は、外部からのものと内部から のものに分類し、外部からの名前解決要求に ○ 対しては、外部に公開していないホストの名 前解決を行わないように設定している DNS サーバープロセスを管理者権限で実行し ていない ○ 1.7.2 推奨 項目 アプリケーショ ンの設定を目視 にて確認する必 要がある。 IIS お よ び Apache のサンプ ルスクリプトの 確認ができる。 スクリプトを目 視にて確認する 必要がある。 設定ファイルな どを目視にて確 認する必要があ る。 ○ スクリプトを目 視にて確認する 必要がある。 アプリケーショ ンの設定を目視 にて確認する必 要がある。 アプリケーショ ンの設定を目視 にて確認する必 要がある。 アプリケーショ ンの設定を目視 にて確認する必 要がある。 項番 必須 項目 チェック内容 1.9.3 ソースルーティングされた電子メールの転送 を禁止している ○ 1.9.4 電子メールサーバープロセスを管理者権限で 実行していない ○ 1.9.5 ログ出力に関して、ポリシーに沿って設定し ている ○ 1.10 推奨 項目 ESM コメント アプリケーショ ンの設定を目視 にて確認する必 要がある。 設定ファイルな どを目視にて確 認する必要があ る。 アプリケーショ ンの設定を目視 にて確認する必 要がある。 IDS センサの保護 IP アドレスを割り当てていない 1.10.1 NR 設定ファイルな どを目視にて確 認する必要があ る。 ○ 1.11 データベースサーバーの保護 データベース問い合わせ言語は、IPA「セキュ ア・プログラミング講座第 2 章セキュアデー 1.11.1 タベースプログラミング」に沿ってプログラ ○ ムしている データベースに アクセスするプ ログラムを目視 にて確認する必 要がある。 1.12 デフォルト設定の変更 IP ソースルーティングオプションが指定され 1.12.1 たパケットを受け付けないよう設定している ○ TCP/IP の実装オプションを変更して、サーバ 1.12.2 ーの挙動をデフォルトと異なるように設定し ている 1.12.3 ○ 匿名アカウントでの接続を制限・禁止してい ○ る GUI は必要なければ使用していない 1.12.4 ○ ○ 起動時に使用するファームウェアは、パスワ ○ ードを設定するなどして保護している OS のインストールはデフォルトと異なるドラ 1.12.6 イブ、ディレクトリに行っている 1.12.5 49 設定ファイルな どを目視にて確 認する必要があ る。 設定ファイルな どを目視にて確 認する必要があ る。 ○ 設定ファイルな どを目視にて確 認する必要があ る。 目視にて確認す る必要がある。 目視にて確認す る必要がある。 Part2「庁内ネットワークシステムモデル」 項番 3.3 3.3.1 3.3.2 3.4 3.4.2 3.4.3 3.6 3.6.1 3.6.2 必須 項目 チェック内容 ウイルス対策 有効なウイルス対策ソフトウェアを導入し 常に監視している ウイルス情報ファイルを最新に更新してい る ユーザ認証の適切な設定 スマートカードを使う場合は、安全が確認さ れている製品を利用し、認証に用いるデータ に関してポリシーに沿った設定をしている バイオメトリクス認証を使う場合は、安全性 が確認されている方式を利用し、認証に用い るデータに関してポリシーに沿った設定を している 通信路の保護 認証に使用するパスワードは、通信路上暗号 化して送信している 必要なサーバーとクライアントの接続以外 は、スイッチングハブなどで隔離している 管理者のセッションは暗号化している 3.6.3 推奨 項目 ○ ESM ○ NR コメント 関連製品に限ら れる。 設定ファイルな どを目視にて確 認する必要があ る。 ○ ○ 目視にて確認す る必要がある。 目視にて確認す る必要がある。 ○ ○ ○ ○ 設定ファイルな どを目視にて確 認する必要があ る。 目視にて確認す る必要がある。 設定ファイルな どを目視にて確 認する必要があ る。 Part3「インターネット以外の外部接続システムモデル」および Part4「CA 局システムモ デル」の技術的チェックリスト項目には、Part1「公開サーバーネットワークシステムモデ ル」および Part2「庁内ネットワークシステムモデル」の技術的チェックリスト項目に含ま れていない項目は存在しない。 7. 手続き的監査技術調査 7.1 セキュリティポリシー文書についての監査技術 セキュリティポリシー文書を監査するにあたりポイントとなる点は以下であると考える。 ポリシーの体系 ポリシーの評価・見直し 7.1.1 ポリシーの体系と位置づけ セキュリティポリシーは通常階層構造になっており、各レベルにおいて記述される内容が 異なる。一般に図 7-1示すような階層構造をとる。 50 方針 (ポリシー) 基準 (スタンダード) 手順 (プロシジャ) 方針:セキュリティ基本ポリシー 経営者の情報セキュリティに対する意志を示すものであり、基本方針となる。 基準:セキュリティスタンダード 基本方針に基づいて作成され、セキュリティを確保するための具体的な対策を記述する。 手順:セキュリティプロシジャ セキュリティスタンダードに基づいて作成され、実際の運用・利用手順を記述する。 図 7-1 セキュリティポリシーの階層構造 各ポリシーがこれらの位置づけに沿って記述されており、ポリシー間の整合性が保たれて いることを確認することでセキュリティポリシー文書の監査を実施することができる。 政府のセキュリティポリシーにおける体系は情報セキュリティ対策推進会議決定の「情報 セキュリティポリシーに関するガイドライン」平成12年7月18日 (URL:http://www.kantei.go.jp/jp/it/security/taisaku/guideline.html)に記述されている。 7.1.2 ポリシーの評価と見直し セキュリティポリシー文書は環境の変化や技術の進歩にともない見直される必要がある。 セキュリティポリシーを策定後は図 7-2に示すサイクルで実施される。セキュリティポリシ ーの導入後、運用においてシステムの監視やポリシー遵守状況の監視を実施する。その後 システム監査を実施しポリシーが評価される。その評価の結果をポリシーに反映すべく見 直しを実施する。 51 図 7-2 情報セキュリティポリシー実施のサイクル ポリシーが評価されその結果を元に定期的に見直されていることを確認することでセキュ リティポリシー文書の監査を実施することができる。 7.2 アウトソーシング SLA 契約文書についての監査技術 SLA(Service Level Agreement)契約文書とは、機器の保守契約等において契約内容を詳細 に文書化したものである。特に、高い可用性が要求されるコンピュータシステム等の機器 保守契約には故障時の復旧保証時間や、代替手段等が明記されている必要がある。 アウトソーシング時の注意事項については BS7799-2 の詳細管理策に挙げられており、この SLA 契約文書の明確化も有効な対策の1つである。よって、保守契約締結・更新時におい て契約内容を明確に記述し、当事者双方で合意を取っておく必要がある。 監査時においては高い可用性が要求されるシステムについて、保守契約にこの SLA の記述 が明確に存在し、かつシステムの重要度と比較して妥当であるかをチェックすることが必 要である。 7.3 CPS 文書についての監査技術 CPS(認証局運用規程)は CP(証明書ポリシー) をどのように実施するかという、CA(認 証局) の運用規程を定めたものである。CA のシステムや運用手順を明示的な文書にし、 証明書に記載された URI などで利用者に公開している。 CPS 策定のガイドラインとして RFC2527 がある。RFC2527 は認証局や公開鍵インフラス トラクチャのための認証ポリシーもしくは認証実施規程を作成するためのフレームワーク やガイドラインを提供している。これに記述されている内容の網羅性をチェックすること は監査方法のひとつであると言える。その他の監査ポイントとしては、CPS 文書とその組 織の情報セキュリティポリシーの整合性が取れていることが挙げられる。 52 7.4 質問による監査要点の列挙 各セキュリティポリシー文書類の確認のほかに、手続き的監査技術として重要なのが担当 者への質問による監査である。文書類が整えられていても実際にセキュリティポリシーが 導入され実施されていなければ意味がない。以下に質問による監査要点を列挙する。 ・ 無作為に担当者を抽出し、偏らず質問する ・ 担当者がそれぞれセキュリティに対する責任を理解しているかを確認する ・ 記録と記録の元となる業務の流れについて矛盾が無いかを確認する ・ 担当者の実施している業務がセキュリティの重要性に基づくことを理解しているか を確認する ・ 担当者個々人の業務の不適合を追求するのではなく、ポリシー運用自体の不適合を追 及する ・ 手順の遵守性のみに焦点を当てるのではなく、通常業務がセキュリティポリシーに合 致しているかをチェックする 7.5 監査体制 情報セキュリティ監査は、監査人がチームを組んで実施する。監査人のチームは、図 2の ような形態をとる。監査主任が全体をとりまとめ、その下で、監査スタッフが実際の監査 を実施する。 監査 主任 監査 監査 監査 監査 監査 スタッフ スタッフ スタッフ スタッフ スタッフ 図 3 監査人チーム 7.6 監査手順 以下に、実際の監査の流れを時系列に沿って簡単に説明する。 1. 監査計画の作成 監査主任が、監査を確実に効率よく実施するための監査計画を作成する。監査は、 一度で完了するものではなく、定期的に実施し、セキュリティが維持されている ことを確認しなければならない。よって、監査計画も、年度計画と個別計画が必 要となる。 53 2. 資源配分 監査主任が、実際に監査を実施するための体制を考案し、監査チームに監査スタ ッフを配分する。 3. 監査実施 監査スタッフが実働部隊となって監査を実施する。 監査スタッフは、自己の監査結果を監査調書としてまとめる。 4. 査閲 全ての監査スタッフからの監査調書を収集したら、監査主任が監査調書の内容を 査閲する。必要であれば、監査主任が監査調書に修正を加える。 5. 監査調書完成 監査主任が全ての監査調書を査閲した後、最終的な監査調書が完成する。 6. 監査報告書作成 監査主任が、監査調書を基に監査報告書を作成する。 7. 監査報告書報告 監査報告書を、被監査会社の経営層に報告する。 8. フォローアップ 監査チームは、被監査部門が監査報告書に含まれる指摘事項に対して是正措置を とっていることを確認する。 7.7 監査内容 7.7.1 監査手法 マネジメントコントロールおよびシステム運用がセキュリティを確保できるようになって いることを監査する。このためには、以下の 3 種類の手法を用いることができると考えら れる。 ・ 文書類の確認 ・ 担当者へのインタビュー ・ 実査 以下に、これらの手法について説明する。 1. 文書類の確認 情報セキュリティを確保できる組織体制の基盤として、経営管理者層に承認され た情報セキュリティポリシー、ISMS マニュアルおよび認証局運用規程(CPS)な どが存在する。また、これらに基づいて、組織を運営するための各種手順書も存 在する。さらに、組織を運営していく中で、情報セキュリティ上重要な場面では、 必ず証拠(マネジメントシステムでは「記録」と呼ぶ)が記録として残されるは ずである。 このようなことから、監査人は組織体制を監査するにあたり、まず、組織で管理 54 されている文書類を把握し、それぞれのチェック項目がどの文書に記述されてい るのかを確認し、さらにその実施状況を確認することで、組織体制の監査を実施 することができる。 確認対象となると想定される文書名を7.7.2 確認対象文書例に示す。 2. 担当者へのインタビュー いくら文書類が整えられていても、実際に担当者が情報セキュリティの重要性を 理解して日々の業務に取り組んでいなければ、組織体制の情報セキュリティを確 保することはできない。 そこで、監査人はセキュリティ上重要な情報を扱う担当者にインタビューを行い、 担当者の情報セキュリティに関する理解度を確認する必要がある。インタビュー の際には、「チェック項目○○○を実施していますか」というような Yes/No で返 答できるタイプの質問だけではなく、「チェック項目○○○を実施するにあたり、 問題となっている事項を説明してください」などのように、回答者の意見を聞け るような質問を盛り込む必要がある。これにより、その場限りの回答を防止する ことができ、より確実な状況の把握が可能となる。 3. 実査 文書類に記された事項およびインタビューの結果実行されているはずの事項が実 際に実行されていることを確認するために、実査が実施される。実査では、監査 人が監査対象の組織を実際に訪問し、組織の運用状況を確認する。運用状況の確 認には、作業環境の確認および、職員の行動が適切であるかどうかの確認が含ま れる。 例えば、組織が入退場者の確認を実施していることが文書類に記されていれば、 その証拠として入退館記録および入退館ログの閲覧、入館申請書ファイルの閲覧 およびその入館申請書ファイルからサンプル抽出した数枚と入退館記録の突合な どを実施し、文書類に記された事項が組織において実行されていることを確認す る。 7.7.2 確認対象文書例 以下に、マネジメントコントロールおよびシステム運用の監査に利用できると考えられる チェック対象文書の例を示す。ここでは、セルフチェックリスト Part1「公開サーバーネッ トワークシステムモデル」に関してのチェック項目と確認対象となると想定される文書類 の対応関係を例示する。 55 Ⅰ.マネジメントコントロールのチェックリスト 項番 1. 1.1 1.1.1 1.1.2 1.1.3 1.1.4 1.1.5 1.1.6 1.1.7 1.1.8 1.2 1.2.1 1.2.2 1.2.3 1.3 1.3.1 1.3.2 チェック内容 確認対象文書例 マネジメントコントロールのチェックリスト セキュリティポリシー 情報セキュリティポリシーを経営管理者 ・ 層が承認している 情報セキュリティポリシーが法規および ・ 契約に反さないように作成している 情報セキュリティポリシーを関係者に公 ・ 表している ・ 経営管理者による情報セキュリ ティポリシー承認書 情報セキュリティポリシー 情報セキュリティポリシー公開 対象規程 情報セキュリティポリシー公開 手順書 ・ 情報セキュリティポリシー公開 記録 情報セキュリティポリシーを定期的に見 ・ 情報セキュリティポリシーレビ 直し、必要に応じて変更している ュー記録 ・ 過去の情報セキュリティポリシ ー 情報セキュリティポリシーに、情報資産 ・ 情報セキュリティポリシー に関する責任者を明記している 情報セキュリティポリシーに、第三者に よる監査手順の作成・更新と適切な監査 ・ 情報セキュリティポリシー の実施を要求する項目を含めている 情報セキュリティポリシーに、緊急時対 応計画と復旧計画の作成を要求する項目 ・ 情報セキュリティポリシー を含めている 情報セキュリティポリシーに、関連する 他者との機密保持契約締結を要求する項 ・ 情報セキュリティポリシー 目を含めている セキュリティ組織 調達部門、情報セキュリティ部門を含む 関連部門を横断的に調整する情報セキュ ・ 情報セキュリティ委員会体制図 リティ委員会は、情報セキュリティポリ シーの立案・見直しを行っている 第三者に監査を依頼できる体制にしてい ・ 第三者組織への監査委託契約書 る 事件・事故発生時に対応するための連絡 ・ 組織図 ・ 事件・事故発生時連絡手順書 体制を準備している リスク管理 情報セキュリティの観点から、リスクの ・ 資産分類書 ・ リスク分析記録 影響を分析している 情報セキュリティの観点から分析したリ ・ リスク分析レビュー記録 スクを定期的に見直している 56 項番 1.4 1.4.1 チェック内容 確認対象文書例 事業継続管理 緊急時対応計画と復旧計画を作成してい ・ 緊急時対応計画 る ・ 緊急時復旧計画 Ⅱ.システム運用のチェックリスト 項番 2. 2.1 2.1.1 2.1.2 2.1.3 2.1.4 2.1.5 2.2 2.2.1 2.2.2 2.2.3 2.2.4 2.3 2.3.1 2.3.2 チェック内容 チェック対象文書例 システム運用のチェックリスト 情報資産の分類および管理 保護対象となる情報資産を適切に分類し ている 情報資産を公開情報および非公開情報に 分類している 必要に応じて情報資産の重要度の分類を して、分類ラベルを付与している 情報資産のそれぞれの分類ごとに、複 製・保存・伝達および廃棄に関する手順 を作成している 情報を公開する場合の承認の手続を作成 している 人的セキュリティ 情報セキュリティポリシーに沿った職員 に対する行動の規則を作成し、職員に徹 底している 職員に対して定期的に情報セキュリティ ポリシー、運用手順および緊急時対応計 画に関して教育・訓練を実施している 職員に対して情報セキュリティポリシ ー、運用手順および緊急時対応計画に違 反した場合の懲戒を規定し、職員に徹底 している 情報セキュリティ技術について知識を持 った者を採用し、採用後も継続的に最新 のセキュリティ技術に関する知識を得ら れるような環境を整備している 物理的及び環境的セキュリティ 重要な情報資産を扱うサーバーは他と明 確に分離し、安全な土地にセキュリティ を考慮した設計に基づいて建設されたセ キュリティ区画に設置し保護している セキュリティ区画は厳密な入退管理を行 い、許可されない者の侵入を防止してい る 57 ・ 資産分類書 ・ 資産分類書 ・ 資産分類書 ・ 情報資産(分類ラベルの付与状 況をチェックする) ・ 情報資産複製・保存・伝達およ び破棄手順書 ・ 情報資産複製・保存・伝達およ び破棄手順書 ・ 情報セキュリティポリシー ・ 職員規則 ・ 職員教育・訓練実施計画書 ・ 職員規則 ・ 職員教育・訓練実施計画書 ・ 職員採用規則 ・ 職員教育・訓練実施計画書 ・ 情報システム設置規則 ・ 情報システム設置記録 ・ セキュリティ区画管理規則 項番 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 2.3.8 2.3.9 2.4 2.4.1 2.4.2 2.4.3 2.4.4 2.5 2.5.1 2.5.2 2.5.3 2.5.4 チェック内容 チェック対象文書例 セキュリティ区画への物品の搬入に当た っては、納品業者はセキュリティ区画と は別の場所までの立ち入りを許可し、そ こからセキュリティ区画への搬入は権限 をもった職員が実施している セキュリティ区画は災害対策を施してい る セキュリティ区画から外部への通信経路 は定期的に調査するなどして盗聴や損傷 から保護している セキュリティ区画から持ち出したシステ ムには保険をかけ、十分に注意して取り 扱っている 離席時や帰宅時には、適切な不正アクセ ス防止策を取っている 記憶メディア類、携帯端末および紙等に よる情報資産の持ち出しは責任者の承認 を得た場合以外、禁止している 情報システムの開発環境とテスト環境を 実運用環境とは別に用意している 緊急時対応計画と復旧計画 障害や災害発生時に重要な業務への影響 を最低限にとどめるための情報システム の実環境に合わせた緊急時対応計画を作 成している それぞれのシステムにおける緊急時対応 計画に優先度を設け、全体として最大限 の効果が得られるように考慮している 障害や災害発生時に緊急時対応計画に問 題があれば修正を行っている 緊急時対応計画と復旧計画の訓練を定期 的に実施している アクセス制御 公開サーバーネットワークシステムの情 報資産へのアクセス制御手順を作成して いる 原則としてシステム管理者にのみアクセ ス権を与える コンテンツアップロードを行える職員を 制限している アクセス権限付与の手順を作成している 58 ・ セキュリティ区画管理規則 ・ セキュリティ区画管理規則 ・ セキュリティ区画管理規則 ・ セキュリティ区画管理規則 ・ 職員規則 ・ セキュリティ区画管理規則 ・ 職員規則 ・ セキュリティ区画管理規則 ・ 情報システム運用手順書 ・ 緊急時対応計画 ・ 緊急時復旧計画 ・ 緊急時対応手順書 ・ ・ ・ ・ ・ ・ ・ 緊急時対応計画 緊急時復旧計画 緊急時対応手順書 緊急時対応計画レビュー記録 過去の緊急時対応計画 過去の緊急時復旧計画 過去の緊急時対応手順書 ・ 緊急時対応訓練実施記録 ・ 情報資産アクセス制御方針 ・ 情報システム運用手順書 ・ 情報システム運用手順書 ・ ・ ・ ・ 情報資産アクセス制御方針 情報システム運用手順書 情報資産アクセス制御方針 情報システム運用手順書 項番 2.5.5 2.5.6 2.5.7 2.5.8 2.6 2.6.1 2.6.2 2.6.3 2.6.4 2.6.5 2.6.6 2.6.7 2.6.8 7.8 チェック内容 チェック対象文書例 退職するなどして権限を失ったシステム 管理者に対するアクセス権限抹消の手順 を作成している システム管理者にリモートアクセスを許 可する場合には、リモートアクセスに関 するセキュリティを保てる手順を作成し ている 情報資産へのアクセス制御手順を定期的 に見直している Web コンテンツのアップロード手順を作 成している システム保守 情報のバックアップ周期を定義し、情報 の定期的なバックアップを行う運用手順 を作成している 情報システム導入時の受領および検収の 手順を作成している 情報システムにハードウェア・ソフトウ ェアの追加・変更を実施する場合には、 追加・変更の記録を迅速に作成している セキュリティログを保管し、定期的に解 析を行っている。 開発時の変更管理や変更を承認する手順 を作成している オペレーティングシステムへの修正は事 前にテスト環境でテストを実施し、安定 性を確認している ソフトウェア脆弱性(コンピュータウイ ルスを含む)を解消する修正プログラム に関する最新の情報を入手している 職員が、システム保守記録を作成してい る ・ 情報資産アクセス制御方針 ・ 情報システム運用手順書 ・ 情報資産アクセス制御方針 ・ 情報システム運用手順書 ・ 情報資産アクセス制御方針レビ ュー記録 ・ 情報システム運用手順書 ・ 情報システム運用手順書 ・ 情報システム設置規則 ・ 情報システム設置記録 ・ 情報システム設置規則 ・ 情報システム設置記録 ・ ・ ・ ・ 情報システム運用手順書 セキュリティログ解析報告書 情報システム開発規則 情報システム開発変更管理書 ・ 情報システム設置規則 ・ 情報システム設置記録 ・ 情報システム運用手順書 ・ 情報システム設置記録 ・ 情報システム運用手順書 ・ システム保守記録 参照 ・ 情報セキュリティ対策推進室「情報セキュリティポリシーに関するガイドライン」平 成 12 年 7 月 18 日 ・ 日系 BP 社 塚田孝則著「セキュリティポリシーとリスク評価」2001 年 7 月 2 日 8. 監査者資格要件調査 監査を実施する監査者に必要とされる資格要件の調査結果を報告する。以下に、監査者の 59 資格要件を個人に対する資格要件、法人に対する資格要件に分類して説明する。 8.1 監査者(個人)資格要件調査 ここでは監査人(個人)の資格要件の調査結果を報告する。 8.1.1 JIPDEC「システム監査技術者試験」想定能力 調査 URL:http://www.jitec.jipdec.or.jp/1_11seido/h13/au.html システム監査技術者について以下のように記載されている。(以下 HP 引用) 1.対象者像 被監査部門から独立した立場で、トップマネジメントの視点で、情報システムが経営に 貢献しているかどうかを、安全性、効率性、信頼性、可用性、機密性、保全性、有用性、 戦略性など幅広い側面から総合的に調査し、あるべき姿を描くことによって自ら形成した 判断基準に照らして評価し、問題点について説得力のある改善勧告を行う者。 2.役割と業務 内部監査人として、情報システムを総合的に点検・評価し、監査結果をトップマネジメ ント及び関係者に説明し、改善点を勧告する業務に従事し、次の役割を果たす。 1)監査計画を立案し、監査を実施し、監査結果をトップマネジメント及び関係者に報告 する。 2)情報システムに関する内部統制機能の改善を促進し、その実効性を担保することによ って、企業経営はもとより、情報社会・ネットワーク社会の健全化に貢献する。 3.期待する技術水準 単に情報処理の視点からだけではなく、情報システムが企業及び社会に貢献できるよう に改善を促進するため、次の幅広い知識・経験・実践能力が要求される。 1)ビジネス要件や経営方針に合致した監査計画を立案できる。 2)情報システムの企画・開発・運用段階において、効率的な監査手続を実施するための 監査技法を適時かつ的確に適用できる。 3)ビジネスアプリケーションが適用される業務プロセスの現状に関し、その問題点を洗 い出し、問題点を分析・評価するための判断基準を自ら形成できる。 4)監査結果を論理的に矛盾のない報告書にまとめ、説得力のある改善勧告を行うことが できる。 5)監査の実施に当たって必要となる情報技術及びその技術動向を理解できる。 6)外部環境の変化を捉え、組織の将来像を描き出すことができる。 8.1.2 ISMS 想定能力 調査資料:ISMS 審査員の資格基準 本基準は、審査員評価登録機関が、ISMS 審査員補、ISMS 審査員、ISMS 主任審査員につ いての資格基準を規定したものである。政府における情報セキュリティ監査でも同様の資 格要件を利用することができると考えられることから、ここでは ISMS の審査員資格基準 を調査した。あるいは、政府の情報セキュリティ監査を実行する監査人に ISMS の審査員 資格取得を条件として課すことも有効であると考えられる。 60 審査員補の資格基準 (1) 審査員補とは、主任監査員の指導・助言の下で補助者としての審査の実務を行う者である。 表 3 # 1 カテゴリー 教育レベル 2 経験 3 研修 4 個人的資質 5 所属組織の推 薦 審査員補の資格基準 資格基準 高校卒業した者、もしくはそれと同等の教育を終了した者、又は豊富な経験を 持ち専門的な教育訓練を受けている者で、ISMS が承認する者 情報技術分野で 4 年以上、その内情報セキュリティ関連分野で2年以上の実務 経験がある者 または、 (財)日本情報処理開発協会で実施するシステム監査技術者試験、又は情報セ キュリティアドミニストレータ試験の合格、及び CISA(公認情報システム監査 人)の免許で情報セキュリティ関連分野の実務経験がある者 (財)日本情報処理開発協会に認定された ISMS 審査員研修コースを成功裏に 修了し、合格しておく。 JIS Z 9911-2-1996 における個人的特質を準用する。(品質システムの監査の 指針) 所属組織から推薦を受けること。 審査員および主任審査員の資格基準 (2) 審査員とは、審査実施計画を具体的な業務分担にまで詳細化し、実際に審査を行い、審査 結果をまとめる者である。主任審査員とは、審査計画を立案し、審査チームリーダとして 審査過程全般を統括し、自らの責任において審査報告書を作成・提出する者である。 表 4 # 1 審査員 レベル 審査員 審査員補の資格基準をすべて満たすこと。 主任審査員 申請日までの 3 年以内に、ISMS 書類審査、事務所審査、立会審査及び審査の 報告までの全審査過程を含んだ、最低 4 回延べ 12 日間にわたる審査に参加す ること。 主任審査員2名から審査員としてふさわしい能力と見識を持っているとの内 容で推薦を受けること。 審査員の資格+最低3回のチームリーダを務めること。 2 3 4 8.1.3 審査員、主任審査員の資格基準 資格基準 監査技術が想定する能力 監査技術を使用するにおいて監査人に必要な能力を検討する。チェックリスト等の各種ツ ールを用いる監査では、前提となる知識が必要であるが、どのような監査技術においても 監査人に適した能力や人間性というものがある。一般に監査人に適した人格として以下の 点が挙げられる。 61 ・ 説得力があり論理的である ・ 謙虚である ・ 詳細にとらわれず、幅広い考え方を持っている ・ マナーが紳士的である。 ・ 時間に正確である。 また、前提知識として必要な能力は ・ 被監査主体の業務知識がある ・ ツール(監査技術)の使用方法を十分理解している 等があげられる。また専門性のある技術的な監査項目がある場合は、専門的な知識を有す る監査人が必要である。監査人が専門性のある分野において十分な知識がない場合は、該 当分野の専門家を補佐的な役割で監査に参加させることで監査人の能力を補完することが できると考える。 8.1.4 参照 ・ システム監査技術者試験 http://www.jitec.jipdec.or.jp/1_11seido/h13/au.html ・ ISMS 審査員の資格基準 8.2 監査者(法人)資格要件調査 ここでは監査者(法人)の資格要件の調査結果を報告する。 8.2.1 JIPDEC「システム監査企業台帳制度」の規定 調査資料:通商産業省告示第72号 システム監査企業台帳に関する規則 この規則において「システム監査企業」とは、他人の求めに応じてシステム監査基準に基 づきシステム監査を行う者(個人事業主を含む。)と定義されている。その他には資格要件 となるような事項は明記されていない。 8.2.2 公認会計士法等の独立性要件 調査資料:公認会計士法、公認会計士等に係る利害関係に関する内閣府令 公認会計士法の第四章公認会計士及び会計士補の義務の第二十四条に公認会計士とその財 務書類に対する独立性要件が示されている。(以下抜粋) 第四章 公認会計士及び会計士補の義務 (特定の事項についての業務の制限) 第二十四条 公認会計士は、財務書類のうち、次の各号の一に該当するものについては、 第二条第一項の業務を行なつてはならない。 一 公認会計士又はその配偶者が、役員、これに準ずるもの若しくは財務に関する事務 の責任ある担当者であり、又は過去一年以内にこれらの者であつた会社その他の者の財務 書類 62 二 公認会計士がその使用人であり、又は過去一年以内に使用人であつた会社その他の 者の財務書類 三 前二号に定めるもののほか、公認会計士が著しい利害関係を有する会社その他の者 の財務書類 2 前項第三号の著しい利害関係とは、公認会計士又はその配偶者が会社その他の者と の間にその者の営業、経理その他に関して有する関係で、公認会計士の行なう第二条第一 項の業務の公正を確保するため業務の制限をすることが必要かつ適当であるとして政令で 定めるものをいう。 3 国家公務員若しくは地方公務員又はこれらの職にあつた者は、その在職中又は退職 後二年間は、その在職し、又は退職前二年間に在職していた職と職務上密接な関係にある 営利企業の財務について、第二条第一項の業務を行つてはならない。 監査法人に対しても第五章の二 監査法人の第三十四条に独立性要件がある。 (以下抜粋) (特定の事項についての業務の制限) 第三十四条の十一 監査法人は、財務書類のうち、次の各号の一に該当するものについて は、第二条第一項の業務を行なつてはならない。 一 監査法人が株式を所有し、又は出資している会社その他の者の財務書類 二 前号に定めるもののほか、監査法人が著しい利害関係を有する会社その他の者の財 務書類 2 前項第二号の著しい利害関係とは、監査法人又はその社員が会社その他の者との間 にその者の営業、経理その他に関して有する関係で、監査法人の行なう第二条第一項の業 務の公正を確保するため業務の制限をすることが必要かつ適当であるとして政令で定める ものをいう。 3 監査法人の社員のうち会社その他の者と第二十四条第一項又は第三項に規定する 関係を有する者は、当該監査法人が行なう第二条第一項の業務で当該会社その他の者の財 務書類に係るものには関与してはならない。 8.2.3 インテグレーターからの独立性要件 電子政府監査を行う外部の第三者のあり方を考えるに当たっては、以下の論点があげられ る。なお、電子政府監査を行う第三者は、組織体(企業)であることを前提として考える。 (a) 高い倫理性・守秘義務の確保 (b) 独立性の確保 (c) 高い専門的能力の確保 (1) 高い倫理性・守秘義務の確保 「情報セキュリティ監査基準」(仮称)で一般的に宣言される倫理性及び守秘義務について、 より明確な担保が必要であり、入札仕様書や契約書において一般的に記されるものでは不 足するのではないかと考える。 登録抹消手続き及び毎年度の報告義務・公表義務を付した「情報セキュリティ監査企業台 帳」(仮称)の記載企業であることや監査を行う企業において、守秘義務の確保や違反した 場合の資格抹消手続きをもつ一定の資格を有する個人がいることを要請することは担保策 として有効である。この場合、どのような資格が適切であるか、監査を行う企業自体にい 63 ればよいか、実際に監査を行うチームにいることを求めるか、さらにはそのチームの長で あることを求めるか、何人必要かなどが検討項目として挙げられる。監査を行う企業自体 が、たとえば ISMS や BS7799 取得企業であることを求めることも考えられる。 また、監査の際に、当該監査企業から一部分の監査業務を委託するような場合、その委託 先についての同様の資格要件等を課す必要があると考える。当該監査チームの中に、臨時 職員の出向者を含めることについても一定のルールが必要であると考える。 (2) 独立性の確保 監査を行う企業は、被監査主体の政府組織のシステム構築・運用企業とは独立しているべ きである。以下のような観点においてどの程度の独立性を求めるか検討する必要がある。 ・ 同会社の別部門や関連子会社 ・ 監査を行うチームの中に、過去に該当システムの構築を経験した者がいるようなケー ス ・ 監査を行う企業やチームの中に、被監査主体出身の公務員がいるような場合 (3) 高い専門的能力の確保 高い専門性が必要とされる監査では、どのようにしてその専門性を確保するかが課題であ る。倫理性や守秘義務の確保と同様に、「情報セキュリティ監査企業台帳」(仮称)の記載 企業であることや専門能力を示す一定の資格を有する個人がいることを要請することは担 保策として有効である。この場合にも 2.3.2 に示したように適切な資格や監査チームのメン バー構成についてなどが検討項目として挙げられる。 8.2.4 ISMS 評価者要件 調査資料:ISMS 審査登録機関認定基準 本基準は、情報セキュリティマネジメントシステム(ISMS)審査登録業務を行っている第 三者機関が、その業務の遂行に関して適格であり信頼できると承認されるために遵守すべ き一般要求事項を定めている。 「2 審査登録機関に関する一般要求事項」には以下に示す審査機関に対する要求事項が記 述されている。 2. 審査登録機関に関する一般要求事項 2.1 審査登録機関 2.2 審査登録機関の要員 2.3 審査登録要求事項の変更 2.4 異議申し立て、苦情及び紛争 8.2.5 ISO15408 評価者要件 参照 URL:http://www.nite.go.jp/asse/asnite/gaiyou/asnite_testit.html 64 独立行政法人の製品評価技術基盤機構(NITE)が設立した IA JAPAN(アイエイジャパン: International Accreditation Japan)の認定プログラムに ASNITE Accreditation System of National Institute of Technology and Evaluation(正式名称: 製品評価技術基盤機構認 定制度)がある。その中で ISO15408 評価機関を認定するプログラムに「ASNITE 試験事 業者認定サブプログラム IT」がある。 (1) ASNITE 試験事業者認定サブプログラム IT の概要 電子政府において調達される IT 製品及びシステムについては、国際規格に基づきセキュリ ティ評価されたものを利用することが推奨されている。「ASNITE 試験事業者認定サブプ ログラム IT」は、このような電子政府のための調達に係る IT 製品及びシステムのセキュリ ティ評価を行う試験事業者(評価機関)の認定を行う機関である。 (2) 評価機関への要求事項 参照 URL:http://www.nite.go.jp/asse/asnite/pdf/tirp21-02.pdf 認定申請の対象者についての制限はないが、認定されるまでに申請範囲に係る IT 製品又は システムのセキュリティ評価の実績があることが必要としている。また、評価機関への要 求事項として、「ASNITE 試験 IT 認定の一般要求事項」が公開されている。ここでは JIS Q 17025:2000 試験所・校正機関の能力に関する一般要求事項の該当する項目を ASNITE 試験 IT の認定を取得するための一般要求事項として提供している。 8.2.6 参照 ・ 日本情報処理開発協会「ISMS 審査員の資格基準」Ver.1.0 2002 年 4 月 1 日 ・ 通商産業省告示第72号「システム監査企業台帳に関する規則」平成 3 年 3 月 8 日 ・ 公認会計士法(最終改正:平成 12 年 4 月 26 日) ・ 公認会計士等に係る利害関係に関する内閣府令(最終改正:平成 14 年 3 月 28 日) ・ 日本情報処理開発協会「ISMS 審査登録機関認定基準」Ver.1.0 2002 年 3 月 13 日 ・ 日本情報処理開発協会「システム監査技術者試験」 http://www.jitec.jipdec.or.jp/1_11seido/h13/au.html ・ 製品評価技術基盤機構 http://www.nite.go.jp/asse/asnite/gaiyou/asnite_testit.html ・ 製品評価技術基盤機構「ASNITE 試験 IT 認定の一般要求事項」 http://www.nite.go.jp/asse/asnite/pdf/tirp21-02.pdf 65