4.9 作業手順の検討
この節では,セキュアなシステムを構築・運用するために,システムごとに検討する必要がある作業手順について説明します。
セキュアなシステムを構築・運用するには,それぞれの作業者が実施する作業の手順を明確にする必要があります。システムの監査では,監査ログと作業手順書を照合して,それぞれに矛盾がないかを調査します。作業手順書とは,システム構築,システム運用,エンドユーザによるサービスの利用などの作業について,正しい手順,方法を明文化した文書です。作業手順書は,それぞれのシステムに応じて作成する必要があります。作業者や操作内容の記録である監査ログと作業手順書を照合することで,正しい作業者が正しい手段・手順で作業を実施したかどうかが明確になります。これによって,システムの安全性を保てます。
作業手順書の作成では,それぞれの作業手順書に記載する作業とその手順・方法を検討する必要があります。監査の観点で,正しいユーザが正しい手順・方法で実施するように規定する必要がある作業を洗い出してください。また,それぞれの作業の手順では,必ず監査ログを出力するコマンドを使用して作業を実行するように規定してください。