4.2 セキュアなシステムの検討の概要
システムを管理または運用するユーザがシステムを構築・運用していく過程や,システムが提供するサービスをエンドユーザが利用していく過程で,システムにはセキュリティ上のさまざまな脅威が想定されます。脅威からシステムを守るには,システムを物理的に安全な構成に設計したり,作業者の運用ルールを定めたりするなど,対策を実施する必要があります。
また,近年,組織の健全な運営の保証や,複雑化・多様化するITシステムの安全な構築・運用の観点から,組織の内部統制の重要性が高まっています。その中では,システムがセキュアに保たれていることを監査者に証明できることが求められます。そのためには,システムに対して,いつ,だれが,どんな操作を実施したのかをログに記録して,システムに対して正当な権限を持つ作業者が正当な業務を実施したことを監査できる仕組みが必要です。
このようなセキュアなシステムを実現するためには,想定される脅威をシステムの設計時に明確にして,それに応じた対策を実現できるシステムを検討していく必要があります。
この章では,システムに対して想定される脅威を明確にした上で,セキュアなシステムを構築・運用するための考え方や手順など,システム設計時に検討が必要なことについて説明します。
セキュアなシステムの検討は,次の流れで実施します。
|
|
![[図データ]](GRAPHICS/ZU041200.GIF)
なお,この図では,企業内部で使用されるシステムのセキュリティを確保するための作業の流れを示しています。外部からの脅威に対する対策については,「4.11 外部ネットワークを使用するシステムでのセキュリティの検討」を参照してください。