担当者なら知っておきたい!運用ソフトウェアの管理の注意点

情報セキュリティマネジメントシステム において、ISO27001 では情報の三大要素である完全性 、可用性、機密性 をバランス良く保つことが重要視されます。ここで特に物理的な管理策が必要になってくるのが運用ソフトウェアの管理です。

ソフトウェアの運用は、自社で構築したものにしろ、外部サービスを利用するにしろ、適切に管理しなければ大きなリスクとなってしまいます。今回は、ソフトウェアを運用する上でどのようなことを考慮すべきかということについて、ISO27002に沿って解説していきたいと思います。

ソフトウェア運用の留意事項

ISO27002によると、運用ソフトウェアは以下のようなポイントを考慮することが望ましいとされています。

a)運用ソフトウェア，アプリケーション及びプログラムライブラリの更新は，適切な管理層の認可に基づき，訓練された実務管理者だけが実施する（9.4.5 参照）。
b)運用システムは，実行可能なコードだけを保持し，開発用コード又はコンパイラは保持しない。
c)アプリケーション及びオペレーティングシステムソフトウェアは，十分な試験に成功した後に導入する。試験は，使用性，セキュリティ，他システムへの影響及びユーザフレンドリ性を対象とし，別のシステムで実行する（12.1.4 参照）。対応するプログラムソースライブラリが更新済みであることを確実にする。
d)導入したソフトウェアの管理を維持するために，システムに関する文書化と同様に，構成管理システムを利用する。
e)変更を実施する前に，ロールバック計画を備える。
f)運用プログラムライブラリの更新の全てについて，監査ログを維持する。
g)緊急時対応の手段として，一つ前の版のアプリケーションソフトウェアを保持する。
h)ソフトウェアの旧版は，そのソフトウェアが扱ったデータが保存されている間は，必要とされる情報及びパラメータの全て，手順，設定の詳細並びにサポートソフトウェアとともに保管しておく。
ISO27002

以下では、これらの要点をまとめて分かりやすく解説していきたいと思います。

ソフトウェアの更新や導入は適切な人材によって行われるべき

インターネット上にも様々なソフトウェアが公開されていますが、こういったプログラムは脆弱性を持っていることが多いです。FacebookやMicrosoftのような優秀なITエンジニアたちがいる企業でさえ何人ものエンジニアが所属するセキュリティ対策チームを持っており、日々新たな脆弱性がないかということを検証しています。

このようなことを何の知識もない非プログラマー、非エンジニアが管理するのは非常に危険であると言えるでしょう。ーーもちろん、そのような優秀な人材を確保できないかもしれませんが、セキュリティ水準を高めるためにマネジメントシステム上のルールは構築しておくようにしましょう。

余計なコードは残さない

プログラムを更新し、機能を追加していくにあたって、過去のコードが不要になることはよくあることです。ーー適切にバージョン管理を行っていない場合、こういったコードを残して機能を追加してしまうことが往々にしてありますが、余計なコードを残しておくことは非常に危険です。

そのコードが他の部分に悪影響を与える可能性もありますし、コードが冗長になってくると管理が非常に難しくなってくるからです。

十分な検証を行う

新たなシステムを構築したりプログラムを更新したりする場合には、十分な検証を行うようにしましょう。ーーこういった検証作業については、「どのようなポイントを検証するのか」ということをまとめた上で行うことが理想的です。

監査ログを維持する

システムの脆弱性やセキュリティホールは更新後に見つかることもあります。こういった場合に、「どの時点からどの範囲に影響があったか」ということを特定することは、セキュリティ事象対応時に非常に重要なことです。

どのタイミングで何を更新したのかということについては常にログを維持することが望ましいでしょう。

バックアップを保持する

十分な検証を行った新しいソフトウェアだからといって、確実に過去のものより優れているとは限りません。このため、ソフトウェアは最低でも一つ前のバージョンのものを適切な場所に管理しておき、いつでも復元できるような状態を保持しておくことが望ましいです。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。