初級編では、オペレーターが確認できる範囲でのセキュリティーの見直しに触れました。
しかし初級の対処は、そもそもシステムの管理運用が正しく行われている上で、の話です。
もし、情報資産が正しく管理運用されていなければ、設定を正しく行ったところで意味はありません。
引き続き、政策研究大学院大学の事例を参考にしつつ、中級編では「情報セキュリティーの担当者」が行わなければいけない見直しに触れてまいります。

情報資産管理を正しく行っているか

自組織で利用している情報資産（ハードウェア・ソフトウェア・外部のシステム/サービス）を、全て正しく管理しているか、確認をします。
もしかしたら、情報システム担当者が知らないうちに、現場が勝手に新規のシステムを取り入れてしまっている…なんてことがあるかもしれません。
情報システム担当者が、自組織で運営されている資産を把握していない場合、
・脆弱性のあるシステムが運用開始されてしまう
・正しくセキュリティー設定が行わないまま運用されてしまう
などの問題が発生しかねません。
全ての情報資産は、情報システム担当者の監督下にあることが望ましいでしょう。
また、USBなどの、小さな情報資産は紛失の可能性が高いものです。これも定期的に、全てのものが管理下にあるか確認します。

同大学では、インシデントをきっかけに棚卸を行ったところ、想定以上にPCを保有していたことが判明したそうです。
このような状況では、問題が発生した場合に、調査を行う範囲を判断することすらできません。
ハードウェア・ソフトウェアの資産状況を可視化するサービスもありますので、そうした仕組みを積極的に取り入れて、組織の情報の全体像を把握しましょう。

脆弱性管理の確認

前項でも触れましたが、ソフトウェアの中には、決定的な脆弱性が指摘されているものや、サポートが切れているために今後のアップデートが一切ないものもあります。
そうしたものが、正しく運用から外されているか、確認を行わなければいけません。

同大学でも、セキュリティの脆弱性を理由に2020年にサポートが終了していた「Flash Player」が現存していたことが報告されています。

情報資産全体に対してログ分析を行う

ログの分析を行うにあたり、
・ログの収集は組織の全体を対象としているか
・ログが集積されているか
・ログの保存期間が適切に設定されているか
の点を確認しましょう。

同大学では、情報システム担当者が少数であったため、日常的なログを手動で分析することはできず、外部に委託していました。
しかし、この委託した範囲は、ごく限定的なものであり、外部業者は異変を検知するには至らず、結果、情報セキュリティ担当者が別件のシステムメンテナンスを行っていた際に異変を察知、発覚に至りました。
その上、ログの保存期間は統一されておらず、異常の発生時点にさかのぼって十分に状況を確認できなかったものも存在したようです。
せっかく労力を投じてログの分析を行っていても、前提が誤っていては意味を成しません。
前提が正しく設定されているのか、そして前提に基づいて正しく分析が行われているのかを確認しましょう。

導入したシステムが、全て有効に動いているか確認する

せっかく導入したセキュリティ商品も、正しく運用しなければ意味はありません。
・監視対象が、正しく設定されているか
・セキュリティー機能を正しく活用しているか
この点を確認しなければなりません。

同大学の発表では、高機能なファイヤウォールシステムを導入していたものの、
・機能を一部しか利用しておらず、コンテンツのフィルタリングを含めた、セキュリティー機能が活用されていなかったこと
・出口対策が不十分であったこと（組織の外に出ていく通信を監視し、仮にマルウェアに感染した際に、外部との通信を防ぐための機能を指す）
が指摘されています。

現在は、「ゼロトラスト」の考え方の元、「組織の内部間の通信も、監視対象とする」のが正解です。
組織の外と中を隔てる部分だけでなく、組織内部のシステムとシステムの間の通信も、適切にアクセス制御しなければなりません。

ゼロトラストについての詳しい内容はコチラ↓

ゼロトラストとは

さいごに

機器やシステムの入れ替え、あるいは担当者の異動などが発生すると、本来引き継がなければならない設定や情報が抜け落ちてしまうこともあります。
そうして、ある時「正しく動いているつもり」だったシステムが、起動していないことに気づく…
どんな怪談よりも恐ろしい話です。

しかし、日々作業を行っていると、上記の見直しを定期的に行う時間を確保することは、なかなか難しい場合もあります。
次の項では、情報セキュリティー担当者がきちんと職責を果たせる環境が整っているのか？という点にも触れていきます。