こんにちは。「クロジカサーバー管理」 IT/テックライターのkait78です。
セキュリティチェックシートとは、企業や組織が新規導入するシステムやWebサイトのセキュリティを確認するためのチェックリストです。セキュリティチェックシートは、業務内容や対象のアプリ、利用環境によって異なります。本記事では、セキュリティチェックシートの概要や作成方法、より効率的に作成する方法を解説します。
Webサイトにまつわるセキュリティで最低限注意しておきたい、
最新のサイバー攻撃手法と対応する防御策について要点をまとめた図解解説はこちら
(無料公開中)ホワイトペーパー
「サイバー攻撃の最新手法と防御策とは?〜事例とあわせて解説〜」
目次
セキュリティチェックシートとは?
セキュリティチェックシートとは、システムやWebサイトのセキュリティをチェックするためのリストです。対象システムの特性を加味した上で、ウイルス対策やアクセス管理などセキュリティに関する項目を洗い出し、導入システムに対してチェックを行います。
セキュリティチェックシートを策定、実施することにより、導入したシステムやWebサイトが原因のセキュリティインシデント(個人情報の流出や障害によるサービス停止など)の発生を未然に防ぐ役割があります。セキュリティチェックシートは業務内容や対象システムの特性の違いから、自社で内製する場合が多いです。
セキュリティチェックシートの活用シーン
セキュリティチェックシートは、以下のようなシーンで活用されます。
内製システム導入時に利用
企業内でシステム開発を行う場合にセキュリティチェックシートを利用します。システムの主管部署(そのシステム導入の発起人やメインで利用する部署)や監査部門から開発部門へ依頼する際に、セキュリティチェックシートを提出します。
開発部門はセキュリティチェックシートを参考にシステムに必要な機能を設計します。開発中や開発後もセキュリティチェックシートに則して双方の認識を合わせた状態でプロジェクトを進めることが可能です。
外部委託によるシステム導入時に利用
企業が外部委託によってシステムを導入する場合には、自社のセキュリティチェックシートを外部委託先へ共有することが必要です。内製導入時と同様に双方の認識を合わせられます。
委託先でセキュリティチェックシートが存在する場合がありますが、委託先の意見だけでなく、自社でもチェックを行い必要に応じて改善を指示することができます。
既存システムの追加機能開発
新規導入だけでなく、既存システムに機能を追加する場合にも、セキュリティチェックシートを活用しましょう。新規導入時にチェックした重複項目は省略し、追加機能に関する項目のみチェックを行います。
注意点
セキュリティチェックシートを開発部や委託先に共有する場合は、プロジェクトのキックオフミーティングや要件定義フェーズまでに行いましょう。要件定義や基本設計が進んでいる段階で共有すると、開発部側の手戻りが発生しプロジェクトの遅れに繋がります。
また、セキュリティチェックシートはあくまでもセキュリティリスクを最小限に抑えるための手段であることを忘れないようにしましょう。
セキュリティチェックシートの作成方法
セキュリティチェックシートを作成する流れとその項目について一般的に必要とされる事項を解説します。
項目作成
セキュリティチェックシートの項目を洗い出し、作成を行います。本項目はあくまでも一般的な項目であり、対象システムにより過不足があることをご承知おきください。
対象システム概要
システムの概要について把握する必要があります。対象システムの概要として、以下のような情報を踏まえておきましょう。
- システム名
- システムの用途、役割
- システムの環境、構成
- システムの想定ユーザー、人数
上記を把握すると、システムに必要な構成要素、システムの重要性やアクシデントが起こった際の影響範囲を整理することができます。これを元に以下を掘り下げて作成します。
ハードウェア管理
ハードウェアの管理について、以下のような項目を用意します。
- サーバーの設置場所、設置環境
- サーバーの冗長化
- サーバー障害時の復旧時間、対応方法
- UPS <(Uninterruptible Power Supply の略称(日本語では無停電電源装置)>などの電源装置の有無
- 運用時の保守、点検体制
社員以外の第3者が触れない場所にあるか、停電発生から復旧までの時間をUPSで賄いサービス提供を継続することができるかなど、運用時の保守や点検体制が万全かをチェックします。
ソフトウェア管理
ソフトウェアの管理について、以下のような項目を用意します。
- ソフトウェアバージョン管理
- セキュリティパッチ適用状況
- 脆弱性診断
- パスワード設定、管理方法
- セキュアコーディングの実装
ソフトウェアのバージョンを自動アップデートとするか、手動アップデートとするか決定します。また、セキュリティパッチは最新のパッチを当てているか、脆弱性が発表された場合に対応することが可能であるかなど、ソフトウェアに関する項目をチェックします。
アクセス管理
アクセス管理について、以下のような項目を用意します。
- ユーザーの権限管理
- ログイン画面の設定
- アカウントロック、アカウント停止
- アクセスログの取得、保管
システムに対して、どのユーザーがどの程度の権限を持っているか(サーバー再起動や閲覧権限のみ許可をするなど)チェックします。
また、3回ID/パスワードを間違えた場合はアカウントロックをする、アクセスログの取得と保管期間をどのように設定するかなど、アクセスに関する項目をチェックします。
ウイルス対策
ウイルス対策について、以下のような項目を用意します。
- ウイルス対策ソフトの設定、更新状況
- ウイルス感染時の対応方法
- 外部メモリ(USBなど)の接続許容可否
ウイルスに対して、対策と感染時の対応方法について項目をチェックします。
災害対策
災害対策について、以下のような項目を用意します。
- バックアップ取得、保管
- バックアップの復元方法
- 災害発生時の対応方法
- 2次災害の防止
災害によるサービス断が発生した場合にバックアップからの復元が可能かチェックします。また、災害時は社員も被災しているため、別拠点からサービス復旧対応ができる環境整備が必要です。その他にも地震によるサーバー落下が原因で発生する火災防止など、災害に対する項目をチェックします。
評価・検証方法の策定
セキュリティチェックシート項目の完成後は、評価・検証方法の策定を行います。各項目について開発部や委託先業者が実装方法についてコメントを記載します。そのコメントに対して項目の条件を満たしているか確認する必要があります。
評価・検証方法
セキュリティチェックシートで評価・検証する項目を決定し、実施方法を策定します。実施方法は、チェック項目を実際にテストデータや目視で確認する方法、検査ツールを使用する方法などがあります。
合格・判定基準
評価・検証の結果に基づいて合格・不合格、適合・不適合などの基準を策定します。基準が明確になっていない場合、結果に対する判断が曖昧になります。基準を設けておくことで、判定の明確化に繋がります。
たとえば、サーバーのCPU使用率が負荷ピーク時90%を超えていない、障害発生から30分以内にサービス復旧を行うことが可能など、定量的な数値基準を設定しましょう。
レビュー・判定会の実施
チェックシートの実施後には、結果を検証するためのレビュー・判定会を実施します。社内外の関係者が集まってレビュー・判定会を実施し、不備がないか、基準に適合しているかどうかを確認します。レビュー・判定会を実施することで、検証結果の精度向上や再発防止策の検討ができます。
セキュリティチェックシートを効率よく実施する
これまで解説したように、セキュリティチェックシート作成と評価の実施には時間とコストが発生します。作成において、効率化する方法がいくつかあります。
セキュリティチェックシートを効率化することにより、主管部署や開発部門の工数が削減され、より本来の業務へ集中することができます。
OWASPを活用
OWASP(The Open Web Application Security Project)は、Webアプリケーションのセキュリティに関する情報を共有し、セキュリティ向上を図るプロジェクトです。Webアプリケーションの脆弱性に関する情報や、脆弱性を検出するためのツールが提供されています。
OWASPを活用し、ソフトウェアやプログラムに関する項目の作成や評価方法を効率化することができます。
クラウドサービスを活用
AWS(Amazon Web Service)のようなクラウドサービスを利用することで、物理的なセキュリティ管理が不要になります。AWSのサーバーが設置されているデータセンターはISOなどの認定を受けています。東京や大阪、海外にもデータセンター拠点を持ち災害対策としても有用です。
クラウドサービスを活用することで、ハードウェアや災害対策などの項目を省略することができ、セキュリティチェックシートを効率よく実施することができます。
さいごに
セキュリティチェックシートは、企業がシステムを開発する際に必要な重要な文書の1つです。セキュリティチェックシートを作成することで、システムのセキュリティリスクを低減することができます。
本記事では、セキュリティチェックシートの概要、活用シーン、作成方法、より効率的な作成方法について解説しました。クラウドサービスを活用することで、セキュリティチェックシートの作成や評価がより効率的になるため、積極的に利用すると良いでしょう。
サーバー管理のアウトソーシングなら「クロジカサーバー管理」
今回はシステム全般に関するセキュリティ対策についてお伝えいたしました。「クロジカサーバー管理」では、ホームページのサーバー管理に特化しており、オンプレミスやレンタルサーバーの環境からクラウドへの乗り替えをはじめ、脆弱性への対応やバックアップ、障害時の一次復旧など月々の運用保守をすべてお任せいただけます。
ホームページの規模感や用途に合わせて、セキュアで安定したクラウド環境をご提供しますので、お気軽にお問い合わせください。
Webサイトにまつわるセキュリティで最低限注意しておきたい、
最新のサイバー攻撃手法と対応する防御策について要点をまとめた図解解説はこちら
(無料公開中)ホワイトペーパー
「サイバー攻撃の最新手法と防御策とは?〜事例とあわせて解説〜」
ライター:kait78
元大手通信事業者のインフラエンジニア。ネットワーク・サーバー・AWS領域でIT/テック記事に特化した記事を執筆。Webサーバーにまつわる課題や悩みに対して実務経験を基にした、現場社員目線の課題解決となるアイデアを提供します。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ