ISO27002で推奨されるバックアップの体制とは
情報セキュリティマネジメントシステムというと、「情報を外部の攻撃から守る」という要素が強いイメージがありますが、情報セキュリティとは必ずしも漏洩だけがリスクとは限りません。企業にとって重要な資産である情報を守るということは、その情報が損なわれないようにするということも重要なことなのです。
ISO27001 を始めとする情報セキュリティマネジメントシステムでは、情報を守ることはもちろんですが、「インシデントが発生したときにどのような対策を講じるか」ということも重要視されます。今回はその中でも「情報のバックアップ」についてISO 27002にて望ましいとされる対策がどのようなものなのかということについてご紹介していきましょう。
目次
バックアップの重要性
バックアップとは、情報が何かしらのリスクにさらされた時やインシデント発生に備えて二重に守りを支援する体制を整備することを指します。ことIT業界においては、ある時点の完全なデータの状態を保存しておき、何らかの理由で情報が破壊された場合に備えてそのデータを保存しておくことを指します。
ISO27002では、このバックアップについていくつかの望ましいとされる管理策について明記しています。以下では、この管理策をわかりやすくポイントを抑えて解説していきたいと思います。
ISO27002で提示されているバックアップ体制
バックアップ計画を定める
一般的にバックアップは組織の中で、個人の判断によって行うものとされがちです。例えばエンジニアやプログラマーという職業においては、「バックアップなんて取って当たり前だ」と思うかもしれません。彼らはアップデートのたびにバージョン管理を適切に行うことの重要性を人一倍理解しています。ーーしかし、マネジメントシステムにおいては、個人の力量や経験・知識といった不確かなものに依存することは危険であると考えられます。
このため、組織の中でバックアップ計画というものを策定し、個人の力量に依存しない組織のシステムを構築することが求められるのです。
バックアップの復旧手順を策定する
バックアップはただ存在するだけでは意味がありません。何かしらの形で情報が破損した場合に、素早く復旧できるようにしておく必要があります。ーー例えば不特定多数の人が利用するWEBサービスを業としている場合はなおさら早期復旧が求められることになるでしょう。
しかし、人間というものは急いでいる時ほどミスを犯しがちです。バックアップの復旧によってインジェクション対策やXSS対策を怠ってしまい、そのまま運用してしまうことも考えられるでしょう。ーーこういったミスが起きないために、バックアップの復旧手順をマニュアルとして定めておき、素早く確実にサービスを復旧できる体制を整えておくことが望ましいのです。
バックアップデータの保管場所
バックアップデータは、物理的に離れた場所に保管することが望ましいです。例えば一台のPCに全ての情報を保管することが危険なことは、誰もが容易に想像することができるでしょう。一台のPCがダウンしてしまっては、バックアップデータを遡ることができなくなってしまいます。例えば事業所が災害に見舞われた時にも安全でなくてはならないのです。
WEBサービスの場合は本番環境とされるサーバー上でバックアップを取っておくことは不正解であるといえるでしょう。想定しえるリスクから回避することができる場所で保管しておくことが適切であるといえます。
バックアップは暗号化する
バックアップはいわば企業にとって重要な資産でもあります。つまりバックアップそのものも漏洩してはならない情報資産であるといえるのです。ーーということは、バックアップという情報資産を管理するために外部からの攻撃やデータの損失に備える必要があります。
バックアップはその情報の重要度に応じて適宜暗号化を行うなどしてリスクに備えておく必要があります。
バックアップの頻度と保管期間
バックアップの役割はデータの復元だけではありません。IT技術などのシステムは複雑で、セキュリティホールが存在したとしても長らく発見されないことが往々にしてあるのです。ーーこういった場合に、「いつからセキュリティホールが存在したのか」ということを遡って調査する目的でバックアップを保管しておくと良いでしょう。
一定期間内のバックアップについては削除をしてしまう企業もありますが、「どの期間のバックアップを保存しておくのか」ということはバックアップ計画に盛り込み、適切に管理を行うことが望ましいです。
まとめ
今回は、ISO27002で紹介されているバックアップ体制の望ましい形についてご紹介してきました。ーーもちろん、この管理策さえ守っていれば絶対に安全というわけではありませんが、フレームワークとして参考にすると良いでしょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい