ケーススタディ 事例2データセンター セキュリティ運用上の評価
1. 組織的・人的なセキュリティ評価
情報セキュリティに関する実施事項の明文化、組織体制確立、セキュリティライフサイクルに即した実施事項の評価
プロシージャや手順書の現状評価
- 運用業務に関する現状評価
- 業務、サービス、システムの把握
- 運用業務に対するセキュリティ対策の決定
- セキュリティ管理業務一覧の抽出
- プロシージャ作成の為のガイドライン作成
- プロシージャ作成
2-1. システム的なセキュリティ評価
非権限者による利用を防ぎ、常時確実に機能する状態であるよう、情報システムやネットワークが 適切なセキュリティ要件を実装するための評価
サーバローカルの診断
- 内在する脆弱性の調査
- OS/アプリケーションのバグ
- OS/アプリケーションの設定ミス
- ユーザアカウント/パスワード管理
ネットワーク構成の診断
- ルーティング設定の調査
- アクセス制御
- 物理的/論理的な構成
システム面の詳細調査
- 他サーバへの影響の調査
- 他のアプリケーションとの不整合の検証
- セキュリティパッチの適用検証
- 対処すべきセキュリティ対策の改善案の検討
2-2. 物理的なセキュリティ評価
自然災害や第三者の侵入に備え、被害を最小限に抑える方策を講じたり、入退出記録を残すなどの評価
物理的な機器の管理の診断(物理アクセス等)
- 居室/マシン入退出管理
- カギの管理
システム全体のセキュリティレベルを向上
セキュリティ上のリスクを排除した運用状態の維持を実現
プロジェクトのテーマ
システム全体の
セキュリティリスク分析
人的セキュリティリスクの対策強化
- ①インターネット接続設備
- ②共通サービス設備
- ③顧客個別設備
- ④共通ゲートウェイ設備
- ⑤運用管理設備
- ⑥権限者(オペレータ、SE、CE)
- 組織的セキュリティ
- 人的セキュリティ
- システム的セキュリティ
- 物理的セキュリティ