情報セキュリティの基礎: ベースラインとは?
セキュリティを高めたい
「情報セキュリティのベースラインって、何か特別なソフトとかシステムのことですか?」
情報セキュリティ専門家
いい質問だね!ベースラインは、ソフトやシステムそのものではなく、セキュリティの基準のことなんだ。 例えば、家の鍵を想像してみて。家の鍵は、泥棒が入ってくるのを防ぐための最低限のセキュリティ対策だよね? ベースラインは、これと同じように、情報システムを守るための最低限のルールや対策なんだよ。
セキュリティを高めたい
なるほど。家の鍵のようなものなんですね。でも、情報システムによって、守るべき情報の大切さは違うと思うんですが…。
情報セキュリティ専門家
その通り! 情報の大切さによって、セキュリティの強さも変える必要があるよね。 例えば、個人情報だったら、住所や電話番号など、特に重要な情報と、そうでない情報があるよね? ベースラインは、情報システムの重要度に応じて、セキュリティ対策の強さを決めるための基準になるんだ。
ベースラインとは。
「ベースライン」は、情報システムを守るための大切な言葉です。それぞれの情報システムがどれほど重要かによって、守るための最低限のルールが決まります。この最低限のルールを「ベースライン」と呼びます。
情報システムは、その役割や扱う情報によって、重要度が「高」「中」「低」のように分けられます。組織は、この重要度に応じて、システムを守るための最低限の対策を決めます。
例えば、建物のセキュリティレベル、秘密を守るための計算方法、パスワードの複雑さ、記録の保管期間、アクセス制限などが、ベースラインで決められます。
ベースラインを決めることで、重要度や優先順位に合わせてセキュリティ対策を行うことができます。また、異なるシステムでも同じ基準を使うことで、コスト削減にもつながります。
ベースラインの例としては、アメリカが使っている「USGCB」や、エストニアという国の「ISKE」などがあります。
また、「ベースライン」は、システムやネットワークの異常を見つけるための技術にも使われます。この技術では、普段の状態を「ベースライン」として記録しておき、いつもと違う状態を異常と判断します。この異常を見つけるためには、まず「ベースライン」をしっかり決めておく必要があります。
ベースラインの定義
– ベースラインの定義
情報システムを安全に運用していくためには、最低限守らなければならないセキュリティ対策があります。これをベースラインと呼びます。情報システムは、そのシステムが持つ役割や扱うデータの重要性によって、「高」「中」「低」といったように分類されます。例えば、会社の基幹システムのように重要な役割を担っていたり、顧客情報の様な重要なデータを取り扱うシステムは「高」に分類されます。
組織は、システムの重要度に応じて、セキュリティ対策のレベルを設定します。具体的には、重要度「高」のシステムには、「中」「低」のシステムよりも厳しいセキュリティ対策を施します。
例えば、パスワードの管理ひとつとっても、重要度「高」のシステムでは、
* パスワードの桁数を長くする
* 定期的にパスワードを変更することを義務付ける
* 推測されにくい複雑なパスワードを設定することをルール化する
といった対策が必要となります。
このように、ベースラインは、情報システムの安全性を確保するための土台となる、非常に重要な概念です。
システムの重要度 | セキュリティ対策レベル | 対策例:パスワード管理 |
---|---|---|
高 | 高 | – 桁数を長くする – 定期的な変更を義務付ける – 推測されにくい複雑なパスワードを設定する |
中 | 中 | |
低 | 低 |
ベースラインの内容
– ベースラインの内容
ベースラインとは、情報システムを安全に運用するために必要な、セキュリティ対策の基準となるものです。
具体的な対策内容が細かく規定されており、システムの設計・開発・運用など、あらゆる段階で遵守しなければなりません。
ベースラインで規定されるセキュリティ対策には、例えば次のようなものがあります。
* -施設のセキュリティレベル- システムが設置される施設のセキュリティレベルを定めます。重要なシステムほど、入退室管理の厳重化や監視カメラの増設など、より強固な物理的セキュリティ対策が必要となります。
* -暗号化のアルゴリズム- データを暗号化する際に用いるアルゴリズムの強度を規定します。機密性の高いデータを取り扱うシステムであれば、より解読が困難な高度なアルゴリズムを用いる必要があります。
* -パスワードの複雑さ- システムへのアクセスに用いるパスワードの複雑さを規定します。一定の長さ以上の文字数、英数字記号の組み合わせなど、推測されにくいパスワードを設定することが求められます。
* -ログの保存期間- システムの運用状況を記録したログの保存期間を規定します。障害発生時の原因究明や不正アクセスの証拠となるため、一定期間以上のログ保存が義務付けられます。
* -アクセス制限- システムへのアクセス権限を、業務に必要な範囲に限定します。ユーザーごとにアクセス可能なデータや機能を細かく制御することで、情報漏えいリスクを低減します。
このように、ベースラインでは多岐にわたるセキュリティ対策が規定されています。
システムの重要度が高くなるほど、より厳格な対策が求められるため、適切なレベルのベースラインを選択することが重要です。
セキュリティ対策 | 内容 |
---|---|
施設のセキュリティレベル | システムが設置される施設のセキュリティレベル。重要なシステムほど、入退室管理の厳重化や監視カメラの増設など、より強固な物理的セキュリティ対策が必要。 |
暗号化のアルゴリズム | データを暗号化する際に用いるアルゴリズムの強度。機密性の高いデータを取り扱うシステムであれば、より解読が困難な高度なアルゴリズムを用いる必要がある。 |
パスワードの複雑さ | システムへのアクセスに用いるパスワードの複雑さ。一定の長さ以上の文字数、英数字記号の組み合わせなど、推測されにくいパスワードを設定することが求められる。 |
ログの保存期間 | システムの運用状況を記録したログの保存期間。障害発生時の原因究明や不正アクセスの証拠となるため、一定期間以上のログ保存が義務付けられる。 |
アクセス制限 | システムへのアクセス権限を、業務に必要な範囲に限定。ユーザーごとにアクセス可能なデータや機能を細かく制御することで、情報漏えいリスクを低減。 |
ベースラインのメリット
– 基準の利点
情報資産を守り、安全性を高めるためには、様々な対策が必要です。しかし、全ての情報システムに最高レベルの対策を講じることは、費用や時間、人員などの観点から、容易ではありません。そこで重要となるのが、セキュリティの基準を定めることです。
基準を設けることには、多くの利点があります。まず、組織の持つシステムや情報の重要度、そして脅威にさらされる可能性などを考慮し、適切な対策を効率的に実施できるという点が挙げられます。限られた資源の中で、最も効果的な対策を優先的に実施することで、費用対効果の高いセキュリティ体制を構築することが可能となります。
さらに、組織全体で統一された基準を設けることで、システムの管理や運用を効率化できるという利点もあります。バラバラな対策ではなく、共通の基準に基づいたセキュリティ対策を行うことで、管理の手間やコストを削減できるだけでなく、担当者による属人的な対応や設定のばらつきを防ぎ、セキュリティレベルの均質化を図ることができます。これは、組織全体のセキュリティレベルの底上げに繋がり、結果として、より強固なセキュリティ体制を築くことに繋がります。
利点 | 説明 |
---|---|
適切な対策の効率的な実施 | – システムや情報の重要度、脅威を考慮した対策が可能 – 限られた資源で効果的な対策を優先し、費用対効果の高い体制構築 |
システム管理・運用の効率化 | – 統一基準による効率的なセキュリティ対策 – 管理コスト削減、属人的対応や設定ばらつきの防止 – セキュリティレベルの均質化による組織全体の底上げ |
ベースラインの例
世界各国で、情報システムの安全性を確保するための基準となるベースラインが策定され、活用されています。それぞれの国や地域の脅威や技術の進歩に合わせて、様々なベースラインが存在します。
例えば、米国では、連邦政府機関の情報システムを対象とした「United States Government Configuration Baseline (USGCB)」が用いられています。このベースラインは、米国政府機関の情報システムが満たすべきセキュリティ設定や運用手順を具体的に定めたものであり、政府機関全体のセキュリティレベルの底上げを目指しています。USGCBは、NIST(国立標準技術研究所)などの専門機関によって、最新の脅威情報や技術動向を踏まえて、定期的に見直され、更新されています。これにより、変化し続けるサイバーセキュリティの脅威に柔軟に対応できる体制が構築されています。
また、エストニアでは、国家情報システム庁が「IT Baseline Security System (ISKE)」を定めています。ISKEは、エストニアの政府機関や重要インフラ事業者など、幅広い組織を対象とした包括的なセキュリティ基準です。ISKEでは、リスク管理、セキュリティ対策、インシデント対応など、多岐にわたる分野における要件が定義されており、エストニアの情報社会全体のセキュリティ強化に貢献しています。
このように、世界各国でベースラインは、それぞれの国や地域の状況に合わせて策定され、情報システムの安全性を確保するための重要な役割を果たしています。
国 | ベースライン名 | 対象 | 特徴 |
---|---|---|---|
米国 | United States Government Configuration Baseline (USGCB) | 連邦政府機関の情報システム | NISTが最新の脅威情報や技術動向を踏まえ、定期的に見直し・更新 |
エストニア | IT Baseline Security System (ISKE) | 政府機関、重要インフラ事業者など | リスク管理、セキュリティ対策、インシデント対応など、多岐にわたる分野の要件を定義 |
別の意味でのベースライン
情報セキュリティの世界では、基準となる状態を示す言葉として「ベースライン」がよく使われますが、不正な侵入や攻撃を感知するシステム(IDS/IPS)においては、少し異なる意味合いで使われます。
このようなシステムでは、普段どおりの状態を定める際に「ベースライン」という言葉が使われます。具体的には、あらかじめ設定された普段どおりの状態(ベースライン)とは異なる動きを感知することによって、いつもと違うことが起こっていることを検知し、管理者に注意を促します。
では、この「ベースライン」はどのように設定されるのでしょうか? システムやネットワーク上を流れる普段どおりのデータの流れ方や、資源の使われ方を細かく調べることによって設定されます。 例えば、普段はアクセスがない時間帯に特定のファイルへのアクセスが集中したり、いつもは使われないような大量のデータ送信が行われたりした場合、それは「ベースライン」から逸脱した動きとして検知され、警告が発せられることになります。
用語 | 意味 | 設定方法 |
---|---|---|
ベースライン | IDS/IPSにおいては、普段どおりのシステムやネットワークの状態を示す。 | システムやネットワーク上を流れるデータの流れ方や、資源の使われ方を細かく調べることで設定する。 |
ベースラインからの逸脱 | 設定されたベースラインとは異なる、いつもと違うシステムやネットワークの動き。 | 例えば、普段はアクセスがない時間帯に特定のファイルへのアクセスが集中したり、いつもは使われないような大量のデータ送信が行われたりするなど。 |