その前に、情報システムから情報が漏えいする可能性とは何でしょう。
適用範囲内の人の操作、ご操作や悪意のある操作は、これは防ぎようがない。権限管理とかトレーサビリティの確保で牽制は出来る。
ここではシステム自体の脆弱性について考える。A.12.5.4の管理策の意図はシステムが保有する情報が容易に漏洩することのないようにシステムを作りこめということ。ある意味、常識の話。
具体的な施策は何でしょう?情報漏えいのリスク自体が、変な話、日進月歩ですから特定のテクニカルな施策を並べても意味がない。
まあ、基本的には、
- ウイルス対策。クライアントPCは勿論、サーバー系でも必要。メール、WEBアクセスを含む。ここの勘所は、全てのルート(侵入経路)をカバーする手順を持つこと。今後はネットワーク接続型の設備・施設(従来はIT機器として認識してこなかったもの)への考慮も求められる。
- システムの脆弱性管理。OSパッチ、基幹ソフト(DB、ERPなど)修正版などの適切な適用手順。サーバー系、PC系。
- ハッキング対策。専門技術者によるハッキングテストを手順として備えること。最近のソニーの事例(アノニマスグループによるゲームサイト攻撃)でも分かるように開発者とハッカーでは技術の性格が異なるため定期的なテストが必要。以前とは違って、今のネットベースのシステム社会では必須アイテムになっている。(テストハッカーという新しい職業が誕生したことになる)
- 暗号化技術の利用。通信路の暗号化、メディアの暗号化、ファイルの暗号化。
.*.
