案外理解されていない「フリーソフト」の管理策
フリーソフトに関する所見を記載するときに、規格項目のどれを適用するかで若干のやり取りがあった。いきなりそれは「A.12.5.4」と言い切った人が居た。「トロイの木馬」というキーワードが解説本(ISO17799)に記載されているからだと言う。恐れ入った。思考停止状態だ。
フリーソフトは別にウイルスと言うわけでない。ウイルスが潜むのがフリーソフトと言う分けでもない。
そもそもA.12.5.4は情報漏えいに対する管理策だ。トロイの木馬が入り込んだ場合に備えてポートに脆弱性を残すなとか、データの読み出しパターンからアクセスに制限を掛けるとか、。
フリーソフトに対する管理策はいくつかの観点から見る必要がある。
- フリーソフト自体の安全性を確保するための管理策。すなわち、システムの受け入れで見る。(A.10.3.2)
- 導入前のセキュリティ評価については、力量=評価能力の適切さも問われる。(A.8.2.2)
- フリーソフトの利用に当たっての適切な承認プロセスの有無も観点の一つになる。(A.6.1.4)
- フリーソフトは必ずしも健全な目的で開発されたものでない場合もあるため、コンプライアンス上の誤用の防止の観点のチェックも必要。(A.15.1.5)
- フリーソフトを商品やサービスに組み込む場合は、著作権上の制限をクリアしている必要がある。(A.15.1.2)
- また、フリーソフトを改変して利用する場合は、パッケージの利用に準じた考え方も必要になる。(A.12.5.3)
- 暗号化ツールの場合は輸出輸入規制との関連もクリアする必要がある。(A.15.1.6)
- フリーソフトの中でもスクリプト型のもの、ActiveXコントロールやJAVAアプレットなどの利用についてはモバイルコードに対する管理策として明確にすることになる。(A.10.4.2)
他にもあるだろうが、要するにフリーソフトという括りで一律に管理策を設定することは実際は困難です。ですが、冒頭のA.12.5.4に該当するものは出てこない。フリーソフトの動作を評価して導入の是非を決めるので、管理策としてはA.10.3.2が相当する。A.12.5.4はシステムの作り込み上の管理策という基本的な理解がないと冒頭の決め打ちに至るのではないか。
件の二人の老紳士はそれぞれIT業界に居たベテランですが、案外でした。
.*.
.*.
