「ISMS規格をわかりやすく解読する」シリーズの17回目は、「A.12運用のセキュリティ」の前半部分について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。

※用語の定義は、JIS Q 27000:2014によります。

A.12.1運用の手順及び責任

ここでは、業務で利用している設備（サーバやPCなど）を運用するときに必要な管理策が書かれています。もし、めちゃくちゃな運用をしてしまうと、サーバのデータが消えたり、流出したり、改ざんされたりしてしまいます。そうならないために、以下の様な対策をしっかりと取りましょう。

まず必要なのが、「手順書を作る」ということです。もし、社内の機器を管理している人が1人で、管理のための手順書も一切作られていない状態ならば、とても危険です。もしその人が、何らかの事情で急に会社に出社できなくなった時に、誰も対応する人がいないからです。また、新しい管理者を育成するときにも、操作手順書がないとかなりのコストがかかることでしょう。手順書が整備されておらず、「なんとかなるでしょ！」と思ってボタンポチッとしてしまう状態は、好ましくありません。

例えば、サーバへの接続手順や、サーバ復旧手順などを明文化しておくことが大切です。場合によっては、私用のスマートフォンを業務に利用している場合は、そのスマートフォンへセキュリティ対策を施す手順（パスワードの設定方法、ウィスル対策ソフトの導入方法、リモートワイプの設定など）も手順化すると良いでしょう。

次に求められるのが、「変更管理」をしましょうということです。誰による仕業かわからないが、いつの間にかサーバの設定が変更されていた！という状態はあまり良くありません。いつ誰が何のためにそのような設定にしたのか、記録を取ることが望ましいでしょう。自動で操作ログを取得できるソフトを導入するのも1つの手です。

3つめは、容量やスペックを管理しましょうということです。最近は仮想化技術の発達により、スケーラブルな仮想サーバを設置することが容易になっていますが、そうであっても、どれぐらいの容量を持っているのか、処理の速度はどれぐらいかを把握しておくことは大切です。定期的に、サーバの使用状況などを確認するようにしておくと良いでしょう。

最後は、開発環境と本番環境を分離しましょうということです。規格では「運用環境」と書かれていますが、一般的には「本番環境」や「プロダクション環境」と呼ばれたりします。これらは明確に分離しましょうということです。当たり前といえば当たり前かもしれません。例えば、本番環境のデータを開発環境やテスト環境に流用しないといったことや、異なる環境で同じパスワードを利用しないといったことです。

A.12.2マルウェアからの保護

この節はとても単純で、ウィルス対策ソフトを入れるなどして、社内の情報をマルウェアから守りましょう、ということが書かれています。ここで、ウィルス対策ソフトは自動アップデートの設定にしておくことがおすすめです。ウィルス対策ソフト以外にも、ソフトウェアの定期的なアップデートや、標的型攻撃を防ぐために、不審なメールは開かないなどの対策も考えられます。

A.12.3バックアップ

この節も非常に単純です。バックアップを取りましょうということです。ただ、いざバックアップを取るとなっても、どのデータのバックアップを取るのか、どれぐらいの頻度で取るのか、などといった問題が発生します。サーバに保存されている情報の重要性を鑑みながら、バックアップに関するルールを整備するとよいかもしれません。また、バックアップ手順書や、いざというときのリストア手順書も作成すると良いでしょう。