ネットワーク管理目的と管理策：情報セキュリティアドミニストレータ試験対策

>ネットワークにおける情報の保護、およびネットワークを支える基盤
>の保護を確実にするため

　情報システムやサービスを提供する基盤は、ネットワークです。

　ネットワークを構築したことにより、業務の拡大または効率化を図ることができます。

　その反面、ネットワークを流れるデータに対し、組織内外からの脅威の可能性を
　増大させることになります。

　重要なデータが流れるネットワークを脅威から守るために、考慮すべき管理策です。

>ネットワークにおけるセキュリティを実現し、かつ、維持するために
>一連の管理策を実施する。

　ネットワーク管理というと、ファイアウォールやVPNなどといった技術やプロダクトを
　考えてしまいがちですが、情報セキュリティアドミニストレータとしては、管理策として、
　マネジメントの観点からもしっかり把握しておきたいですね。

　たとえば、午後問題において、以下のような設問に対してどのように解答を導き出しますか？

　ネットワーク管理においてどのような対策を行うべきか。
　JIS X 5080（ISO/IEC 17799）の通信及び運用管理に関する管理策に
　基づいて、○字以内で述べよ。

>○運用責任者と操作担当者は分離する。
>○ネットワーク全体の管理を行う。
>○外部接続に対して特別な措置を施す。
>　・アクセス制御技術(ワンタイムパスワード,バイオメトリクスetc.)
>　・暗号技術(インターネットVPN,デジタル署名 etc.)
>　・ファイアウォール,IDS etc.
>○一貫した方針下で綿密な調整を経て適切に管理策を導入する。

>・ネットワークの運用責任とコンピュータ操作の分離
>・オープンなネットワークを使用する通信のリスク対策
>・データの機密性および完全性の確保
>・許可されていないアクセスからのシステムの保護
>・リモート機器の管理責任の明確化、安全管理手順の確立

　JIS X 5080の8.5ネットワークの管理を参考に回答を頂きました。

　問題文の中に、セキュリティプロダクツを利用してデータの機密性、完全性の確保を
　行っている。アクセス制限も行っている。云々などと記述されている後に、

　A部長の指摘に対するネットワークの管理策として、本文中の問題点に基づき、
　【データの機密性、完全性確保】及び【アクセス制限】以外の項目で、
　どのような対策を行うべきか。
　JIS X 5080（ISO/IEC 17799）の通信及び運用管理に関する管理策に基づいて、
　○字以内で述べよ。

　このように出題されると、ファイアウォール、IDS、VPNなどのセキュリティ技術について
　知識があったとしても、解答を導き出すのが困難になります。

　問題文からセキュリティ上、何が問題なのかをしっかりと読み取ることが重要になってきて、
　かつJIS X 5080（ISO/IEC 17799）の観点も必要になってきます。

>「ネットワーク管理策」がよく分かりませんでしたので、
>JIS X 5080の内容を書きました。

　この考え方でいいと思います。

　午後問題でいきなり「ネットワーク管理策」を挙げよ。
　という問題は出題されないと思いますが、
　本文に記述された組織の環境、状況に応じて、適切な解答を求めることは
　必要になってきます。

　JIS X 5080とは、基本的にISO/IEC 17799の邦訳版で、
　2002年4月にJIS X 5080（情報技術－情報セキュリティマネジメントの実践のための規範）
　として制定されました。