情報セキュリティマネジメントシステム において、ISO27001 では情報の三大要素である完全性可用性機密性 をバランス良く保つことが重要視されます。ここで特に物理的な管理策が必要になってくるのが運用ソフトウェアの管理です。

ソフトウェアの運用は、自社で構築したものにしろ、外部サービスを利用するにしろ、適切に管理しなければ大きなリスクとなってしまいます。今回は、ソフトウェアを運用する上でどのようなことを考慮すべきかということについて、ISO27002に沿って解説していきたいと思います。

ソフトウェア運用の留意事項

ISO27002によると、運用ソフトウェアは以下のようなポイントを考慮することが望ましいとされています。

a)運用ソフトウェア,アプリケーション及びプログラムライブラリの更新は,適切な管理層の認可に基づき,訓練された実務管理者だけが実施する(9.4.5 参照)。
b)運用システムは,実行可能なコードだけを保持し,開発用コード又はコンパイラは保持しない。
c)アプリケーション及びオペレーティングシステムソフトウェアは,十分な試験に成功した後に導入する。試験は,使用性,セキュリティ,他システムへの影響及びユーザフレンドリ性を対象とし,別のシステムで実行する(12.1.4 参照)。対応するプログラムソースライブラリが更新済みであることを確実にする。
d)導入したソフトウェアの管理を維持するために,システムに関する文書化と同様に,構成管理システムを利用する。
e)変更を実施する前に,ロールバック計画を備える。
f)運用プログラムライブラリの更新の全てについて,監査ログを維持する。
g)緊急時対応の手段として,一つ前の版のアプリケーションソフトウェアを保持する。
h)ソフトウェアの旧版は,そのソフトウェアが扱ったデータが保存されている間は,必要とされる情報及びパラメータの全て,手順,設定の詳細並びにサポートソフトウェアとともに保管しておく。
ISO27002

以下では、これらの要点をまとめて分かりやすく解説していきたいと思います。

ソフトウェアの更新や導入は適切な人材によって行われるべき

インターネット上にも様々なソフトウェアが公開されていますが、こういったプログラムは脆弱性を持っていることが多いです。FacebookやMicrosoftのような優秀なITエンジニアたちがいる企業でさえ何人ものエンジニアが所属するセキュリティ対策チームを持っており、日々新たな脆弱性がないかということを検証しています。

このようなことを何の知識もない非プログラマー、非エンジニアが管理するのは非常に危険であると言えるでしょう。ーーもちろん、そのような優秀な人材を確保できないかもしれませんが、セキュリティ水準を高めるためにマネジメントシステム上のルールは構築しておくようにしましょう。

余計なコードは残さない

プログラムを更新し、機能を追加していくにあたって、過去のコードが不要になることはよくあることです。ーー適切にバージョン管理を行っていない場合、こういったコードを残して機能を追加してしまうことが往々にしてありますが、余計なコードを残しておくことは非常に危険です。

そのコードが他の部分に悪影響を与える可能性もありますし、コードが冗長になってくると管理が非常に難しくなってくるからです。

十分な検証を行う

新たなシステムを構築したりプログラムを更新したりする場合には、十分な検証を行うようにしましょう。ーーこういった検証作業については、「どのようなポイントを検証するのか」ということをまとめた上で行うことが理想的です。

監査ログを維持する

システムの脆弱性やセキュリティホールは更新後に見つかることもあります。こういった場合に、「どの時点からどの範囲に影響があったか」ということを特定することは、セキュリティ事象対応時に非常に重要なことです。

どのタイミングで何を更新したのかということについては常にログを維持することが望ましいでしょう。

バックアップを保持する

十分な検証を行った新しいソフトウェアだからといって、確実に過去のものより優れているとは限りません。このため、ソフトウェアは最低でも一つ前のバージョンのものを適切な場所に管理しておき、いつでも復元できるような状態を保持しておくことが望ましいです。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ