「8.16 監視活動」

「情報セキュリティインシデントの可能性を評価するために,ネットワーク,システム及びアプリケーションについて異常な挙動がないか監視し,適切な処置を講じなければならない」

この管理策は、ISMSの中でも特に継続的な運用体制が問われる重要なポイントです。
弊社Colorkrew Securityでは、SOC(Security Operation Center)サービスの提供者として、クライアント企業のセキュリティ監視を24時間365日体制で行っています。

自社内のシステムだけでなく、複数のクライアント環境においても、ファイアウォール、エンドポイントのログ、Webサーバー、DBサーバー、クラウド環境へのログインや監査ログなど、さまざまなログ情報をSIEMに集約し、異常の兆候をリアルタイムに検知・分析しています。
導入しているセキュリティ製品のアラートをもとに、SOCチームが初動対応から分析、必要に応じたエスカレーションまで一貫して対応。これは弊社の最も得意とする領域のひとつです。

一方で、こうした監視体制を自社で構築・運用するには大きなハードルが存在します。
・専任のセキュリティ人材の確保
・24時間365日の体制構築
・SIEMなどの製品選定・導入・運用
・アラートの精査とチューニング
など、多くのリソースが求められるため、現実的には難しいと感じる企業も少なくありません。

そのため、外部のSOCに委託することで、初期投資や運用負荷を抑えながら、高品質な監視体制を実現できるのは大きなメリットです。
実際、弊社にご相談いただく企業様の多くも、監視業務の専門性と対応スピード、コストバランスを理由に、SOCの外部委託をご選択いただいています。

今回のISMS審査においても、弊社内での監視体制の構築・運用方法をエビデンスとともに説明し、審査員の方にも十分な理解を得ることができました。

「8.23 ウェブフィルタリング」

「悪意のあるコンテンツにさらされることを減らすために,外部ウェブサイトへのアクセスを管理しなければならない」

組織としてブロックするサイト基準を設けフィルタリングするのが適切ですが、セキュリティ製品を使ったフィルタリングを使うのがまずは良いと思います。
弊社もすでに適用済みでしたので、そのように伝えることで審査も問題ありませんでした。

ちなみにですが、Microsoft Defender for Endpointをご利用の場合、「ネットワーク保護」機能を有効化することで、悪意あるサイトへのアクセスをブロックしてくれます。
IntuneやActivie Directoryグループポリシーで有効化できます。デフォルトではオフになっています。

※Intuneの構成プロファイル例

Intuneの構成プロファイル例

「8.28 セキュリティに配慮したコーディング」

「セキュリティに配慮したコーディングの原則をソフトウェア開発に適用しなければならない」

OWASP TOP10などのガイドラインに基づき、コーディングルールを作成されているケースが多いと思います。
審査では、レビュー記録に加え、コーディングルール自体の見直し(例えばOWASP TOP10が更新されたときや重大な脆弱性がみつかったときなど)も確認されることがありますので、手順化しておく必要があります。

さいごに

以上11個の新規管理策についてご説明しました。
すでに実施済みの管理策もありましたので、弊社では約半年ほどで審査準備を整えることが出来ました。無事認定をいただきましたが、すぐ次年度定期審査に向けて準備しないといけません。
気が抜けないですね。

さて、最初にお話ししたとおり2022年版規格への対応は2025年10月までとなります。
もし、お困りのことがありましたら、弊社にご相談ください。
「監視活動」は特に得意とするところですので、是非お問い合わせください。