皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリストこと、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
ブログの第217回目は、このブログの本題になっている GEITについての続きです。
これまでほとんどは、ISACAの話題を中心にお伝えして来ましたが、第210回目からは、ISACAを離れて、日本のGEIT人材であるITコーディネータについて、お伝えしています。
【ITコーディネータ関連の環境変化の続き4】
ITコーディネータ制度は、経済産業省が、日本の競争力を回復する高度人材として、未来を見据えた構想の中で制度化した割には、10年以上経った現在でも、非常に認知度が低く、その活用も不十分な状態が続いています。
第213回から、この十数年の間に起こった、ITに関係する最大の環境変化の、オンプレミスからクラウドへの移行についてお伝えしています。
今回も、昨日の補足の続きとして、クラウドコンピューティング型のサービスを有効に利活用する方法について、説明します。
引き続き、中小企業向けとして、IPA(独立行政法人情報処理推進機構)のセキュリティセンターが、2011年4月25日に公表した、以下ページにある2つの資料で、説明して行きます。
・「中小企業のためのクラウドサービス安全利用の手引き」、および「クラウド事業者による情報開示の参照ガイド」について
参照URL:
https://www.ipa.go.jp/security/cloud/tebiki_guide.html
・『中小企業のためのクラウドサービス安全利用の手引き』
・『クラウド事業者による情報開示の参照ガイド』
『中小企業のためのクラウドサービス安全利用の手引き』の続きをお伝えします。
・中小企業のためのクラウドサービス安全利用チェックシートとその説明
クラウドサービスの導入を検討する際には、以下の両面の立場から検討する必要があります。
・経営者や経営管理に携わる
・クラウド利用を実際に所管するIT担当
この資料には、最低限これだけは確認しておく事が望ましいと思われる項目が、以下の3つの領域に分けて整理されています。
・A クラウドサービスの利用範囲についての確認項目(4項目)
・B クラウドサービスの利用準備についての確認項目(4項目)
・C クラウドサービスの提供条件等についての確認項目(6項目)
3つの領域を付録のチェックシートで確認して、チェックが付かなかった項目に関しては、クラウドサービスの導入・利用に際して、セキュリティ等に関するリスクが発生する可能性があります。
チェックが付かなかった項目から生じるリスクについて、許容可能か(経営上、業務上、大きな支障が発生する恐れがないか)どうかを改めて検討します。
・B クラウドサービスの利用準備についての確認項目
(5)利用管理担当者
(6)ユーザ管理
(7)パスワード
(8)データの複製
(5)利用管理担当者
問:クラウドサービスの特性を理解した、利用管理担当者を社内に確保しましたか?
最低1人は、クラウドサービスに関する業務を行う利用管理担当者が、必要です。
(専任でなく兼務でも構いません)
社内にクラウドサービスの利用管理担当者を確保します。
(ITの利用に詳しい人であれば、適任の可能性が高い)
クラウドサービスの利用管理担当者は、IT管理責任者の指示と監督の下、クラウドの利用に際しての各種設定を行う等、IT担当者と同等の業務を行います。
その役割として、以下の様な事が挙げられます。
(ア)ユーザアカウントの登録や抹消の処理
(誰にどこまでの処理をさせるかを、会社の方針に基づいてクラウドサービス上で設定する)
(イ)クラウドサービスの利用マニュアルの整備や利用方法の指導
(ウ)クラウドサービスの利用者に対するヘルプデスク
(エ)クラウドサービスに置くデータの定期的な複製
(オ)クラウドサービスに障害が生じた場合のクラウド事業者との連絡調整や、必要に応じて迂回処置等の検討・実施
(カ)クラウドサービスでの処理量の増減に応じたサービス利用量の調整
更に、クラウドサービスの利用に際して、自社だけで判断が困難な事項が発生した場合、相談できる先を社外に確保しておく事が望まれます。
ここでも相談相手として、ITコーディネータなどのコンサルタントや税理士等の専門家、日頃付き合いのあるIT機器や事務機の販売店などと、例が書かれています。
(6)ユーザ管理
問:クラウドサービスのユーザについて、適切に管理できますか?
クラウドサービスの利用の際には、適切なユーザ管理が必要です。
ユーザ管理とは、実際に業務のためにクラウドを利用する人について、その権限等を定めて管理する事です。
ユーザ管理では、以下の事を実施します。
(ア)アカウント管理
(イ)権限管理
(ウ)アクセス管理
(エ)特権ユーザ管理
(ア)アカウント管理
クラウドサービスの利用者1人1人について、IDとパスワードの対(ユーザアカウント)を用意する。
注:複数人でアカウントを共有する事は、権限外の処理を誘発したり、責任をあいまいにするので、禁止です。
(イ)権限管理
クラウドサービスの利用者について、どの業務・どの情報についてどのような操作・処理を許可するのかを決定します。
(ウ)アクセス管理
クラウドサービスの業務ごとに、利用する従業者を登録し、他の者はアクセスできないようにします。
(エ)特権ユーザ管理
ルール通りに利用・運用ができているかを定期的に管理するために、管理者用のアカウントも用意します。
管理者の権限は、必要な人に限って与えるようにします。
(7)パスワード
問:パスワードの適切な設定・管理は実施できますか?
クラウドサービス利用者のパスワードは、以下を注意した管理が必要です。
・他人に推測されにくいものを設定する
・他人に見破られないようにする
・定期的に変更する
・パスワードを忘れる事がないようにする
・パスワードを復元する方法を用意する
他人のなりすましによる悪用を防ぐと共に、パスワードを忘れてクラウドサービスにアクセスできなくなる事を防止します。
もし、パスワードを忘れてクラウドサービスにアクセスできなくなると、業務に支障をきたしたり、必要なデータを使えなくなったりします。
その対策として、以下の様な措置も必要になります。
・一定のルールで記録し、利用者以外の者が別の場所でルールに基づいて保管する
・パスワードを、ある方法と特定のパラメータによって生成し、生成方法とパラメータを別々に管理する
(特定のパラメータ:特定の数字の組み合わせ等)
万一パスワードがわからなくなった時のために、クラウドサービス事業者はパスワードリセットの仕組みを提供している場合が多いと考えられます。
そのようなサービスが提供されているか、あらかじめ確認しておきます。
提供されている場合は、以下の事などを確認します。
・リセット要求を誰が出して、誰が受け付けるのか
・要求者の本人確認の仕組みはどうなっているか
・あらかじめ登録した特定の人からしか要求できないようになっているか
・即時対応可能か
誰でも勝手にリセットできる状態では、権限違反やなりすましのリスクが高まります。
また、手続が郵送ベースだけだったりすると、リードタイムが長くなるので、その間に支障をきたさない備えも必要になります。
(8)データの複製
問:サービス停止等に備えて、重要情報を手元に確保して必要なときに使えるための備えはありますか?
クラウドに置いた重要なデータの複製を定期的に取ります。
この作業は、「アーカイブ」と呼ばれる作業です。
万が一、クラウドサービス上に置いたデータが失われた時でも事業の継続・再開が可能なように、適切な間隔でクラウドサービスの外にデータの複製を作る事が、推奨されます。
アーカイブを適切に実行・運用できる体制を整えておきます。
通常クラウドサービス事業者は、自動バックアップを標準機能として提供しています。
日常業務の中では、ユーザが頻繁なバックアップを実施する必要がない場合が多いと考えられます。
クラウドサービス事業者の実施内容を確認の上、万が一に備えるレベルでのデータの複製で十分と考えられます。
少し長くなりましたので、チェックリストの説明の続きは、また次回とします。
この資料の中にも、相談相手として指定されていた様に、ITコーディネータは、大きく変化した環境に即応可能な人材として、常に知識を更新して、それを実践に活かし、スキルを向上して、経営者に役立つ人材であり続けなくてはなりません。
この続きは、次回以降に、ITコーディネータ資格の変遷や、ITコーディネータのバイブルと言われるプロセスガイドラインの内容についても紹介して行きます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの話題として、ITコーディネータを中心に、ISACAが認定している資格の最新版が明らかになった段階で、順次お伝えして行きます。
皆さまからの、ご意見・ご感想をお待ちしております。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
http://blog.kazatsukuri.jp/
■Ameblo
http://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/
■YouTube
https://www.youtube.com/user/motomuranet/
■まぐまぐ
http://www.mag2.com/m/0001626008.html
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
ブログの第217回目は、このブログの本題になっている GEITについての続きです。
これまでほとんどは、ISACAの話題を中心にお伝えして来ましたが、第210回目からは、ISACAを離れて、日本のGEIT人材であるITコーディネータについて、お伝えしています。
【ITコーディネータ関連の環境変化の続き4】
ITコーディネータ制度は、経済産業省が、日本の競争力を回復する高度人材として、未来を見据えた構想の中で制度化した割には、10年以上経った現在でも、非常に認知度が低く、その活用も不十分な状態が続いています。
第213回から、この十数年の間に起こった、ITに関係する最大の環境変化の、オンプレミスからクラウドへの移行についてお伝えしています。
今回も、昨日の補足の続きとして、クラウドコンピューティング型のサービスを有効に利活用する方法について、説明します。
引き続き、中小企業向けとして、IPA(独立行政法人情報処理推進機構)のセキュリティセンターが、2011年4月25日に公表した、以下ページにある2つの資料で、説明して行きます。
・「中小企業のためのクラウドサービス安全利用の手引き」、および「クラウド事業者による情報開示の参照ガイド」について
参照URL:
https://www.ipa.go.jp/security/cloud/tebiki_guide.html
・『中小企業のためのクラウドサービス安全利用の手引き』
・『クラウド事業者による情報開示の参照ガイド』
『中小企業のためのクラウドサービス安全利用の手引き』の続きをお伝えします。
・中小企業のためのクラウドサービス安全利用チェックシートとその説明
クラウドサービスの導入を検討する際には、以下の両面の立場から検討する必要があります。
・経営者や経営管理に携わる
・クラウド利用を実際に所管するIT担当
この資料には、最低限これだけは確認しておく事が望ましいと思われる項目が、以下の3つの領域に分けて整理されています。
・A クラウドサービスの利用範囲についての確認項目(4項目)
・B クラウドサービスの利用準備についての確認項目(4項目)
・C クラウドサービスの提供条件等についての確認項目(6項目)
3つの領域を付録のチェックシートで確認して、チェックが付かなかった項目に関しては、クラウドサービスの導入・利用に際して、セキュリティ等に関するリスクが発生する可能性があります。
チェックが付かなかった項目から生じるリスクについて、許容可能か(経営上、業務上、大きな支障が発生する恐れがないか)どうかを改めて検討します。
・B クラウドサービスの利用準備についての確認項目
(5)利用管理担当者
(6)ユーザ管理
(7)パスワード
(8)データの複製
(5)利用管理担当者
問:クラウドサービスの特性を理解した、利用管理担当者を社内に確保しましたか?
最低1人は、クラウドサービスに関する業務を行う利用管理担当者が、必要です。
(専任でなく兼務でも構いません)
社内にクラウドサービスの利用管理担当者を確保します。
(ITの利用に詳しい人であれば、適任の可能性が高い)
クラウドサービスの利用管理担当者は、IT管理責任者の指示と監督の下、クラウドの利用に際しての各種設定を行う等、IT担当者と同等の業務を行います。
その役割として、以下の様な事が挙げられます。
(ア)ユーザアカウントの登録や抹消の処理
(誰にどこまでの処理をさせるかを、会社の方針に基づいてクラウドサービス上で設定する)
(イ)クラウドサービスの利用マニュアルの整備や利用方法の指導
(ウ)クラウドサービスの利用者に対するヘルプデスク
(エ)クラウドサービスに置くデータの定期的な複製
(オ)クラウドサービスに障害が生じた場合のクラウド事業者との連絡調整や、必要に応じて迂回処置等の検討・実施
(カ)クラウドサービスでの処理量の増減に応じたサービス利用量の調整
更に、クラウドサービスの利用に際して、自社だけで判断が困難な事項が発生した場合、相談できる先を社外に確保しておく事が望まれます。
ここでも相談相手として、ITコーディネータなどのコンサルタントや税理士等の専門家、日頃付き合いのあるIT機器や事務機の販売店などと、例が書かれています。
(6)ユーザ管理
問:クラウドサービスのユーザについて、適切に管理できますか?
クラウドサービスの利用の際には、適切なユーザ管理が必要です。
ユーザ管理とは、実際に業務のためにクラウドを利用する人について、その権限等を定めて管理する事です。
ユーザ管理では、以下の事を実施します。
(ア)アカウント管理
(イ)権限管理
(ウ)アクセス管理
(エ)特権ユーザ管理
(ア)アカウント管理
クラウドサービスの利用者1人1人について、IDとパスワードの対(ユーザアカウント)を用意する。
注:複数人でアカウントを共有する事は、権限外の処理を誘発したり、責任をあいまいにするので、禁止です。
(イ)権限管理
クラウドサービスの利用者について、どの業務・どの情報についてどのような操作・処理を許可するのかを決定します。
(ウ)アクセス管理
クラウドサービスの業務ごとに、利用する従業者を登録し、他の者はアクセスできないようにします。
(エ)特権ユーザ管理
ルール通りに利用・運用ができているかを定期的に管理するために、管理者用のアカウントも用意します。
管理者の権限は、必要な人に限って与えるようにします。
(7)パスワード
問:パスワードの適切な設定・管理は実施できますか?
クラウドサービス利用者のパスワードは、以下を注意した管理が必要です。
・他人に推測されにくいものを設定する
・他人に見破られないようにする
・定期的に変更する
・パスワードを忘れる事がないようにする
・パスワードを復元する方法を用意する
他人のなりすましによる悪用を防ぐと共に、パスワードを忘れてクラウドサービスにアクセスできなくなる事を防止します。
もし、パスワードを忘れてクラウドサービスにアクセスできなくなると、業務に支障をきたしたり、必要なデータを使えなくなったりします。
その対策として、以下の様な措置も必要になります。
・一定のルールで記録し、利用者以外の者が別の場所でルールに基づいて保管する
・パスワードを、ある方法と特定のパラメータによって生成し、生成方法とパラメータを別々に管理する
(特定のパラメータ:特定の数字の組み合わせ等)
万一パスワードがわからなくなった時のために、クラウドサービス事業者はパスワードリセットの仕組みを提供している場合が多いと考えられます。
そのようなサービスが提供されているか、あらかじめ確認しておきます。
提供されている場合は、以下の事などを確認します。
・リセット要求を誰が出して、誰が受け付けるのか
・要求者の本人確認の仕組みはどうなっているか
・あらかじめ登録した特定の人からしか要求できないようになっているか
・即時対応可能か
誰でも勝手にリセットできる状態では、権限違反やなりすましのリスクが高まります。
また、手続が郵送ベースだけだったりすると、リードタイムが長くなるので、その間に支障をきたさない備えも必要になります。
(8)データの複製
問:サービス停止等に備えて、重要情報を手元に確保して必要なときに使えるための備えはありますか?
クラウドに置いた重要なデータの複製を定期的に取ります。
この作業は、「アーカイブ」と呼ばれる作業です。
万が一、クラウドサービス上に置いたデータが失われた時でも事業の継続・再開が可能なように、適切な間隔でクラウドサービスの外にデータの複製を作る事が、推奨されます。
アーカイブを適切に実行・運用できる体制を整えておきます。
通常クラウドサービス事業者は、自動バックアップを標準機能として提供しています。
日常業務の中では、ユーザが頻繁なバックアップを実施する必要がない場合が多いと考えられます。
クラウドサービス事業者の実施内容を確認の上、万が一に備えるレベルでのデータの複製で十分と考えられます。
少し長くなりましたので、チェックリストの説明の続きは、また次回とします。
この資料の中にも、相談相手として指定されていた様に、ITコーディネータは、大きく変化した環境に即応可能な人材として、常に知識を更新して、それを実践に活かし、スキルを向上して、経営者に役立つ人材であり続けなくてはなりません。
この続きは、次回以降に、ITコーディネータ資格の変遷や、ITコーディネータのバイブルと言われるプロセスガイドラインの内容についても紹介して行きます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの話題として、ITコーディネータを中心に、ISACAが認定している資格の最新版が明らかになった段階で、順次お伝えして行きます。
皆さまからの、ご意見・ご感想をお待ちしております。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
http://blog.kazatsukuri.jp/
■Ameblo
http://ameblo.jp/motomuranet/
https://twitter.com/motomuranet/
■YouTube
https://www.youtube.com/user/motomuranet/
■まぐまぐ
http://www.mag2.com/m/0001626008.html
※コメント投稿者のブログIDはブログ作成者のみに通知されます