ISO 27001は、優れた情報セキュリティマネジメントシステム(ISMS)が果たすべき役割を一般的な形で定義したコンプライアンス規格です。このようなシステムは、技術的および組織的なポリシーと手順を通じて、組織の情報資産のセキュリティ、可用性、機密性を保護します。ISO 27001への適合は、組織がデータに関するリスクを管理するためのシステムを整備し、ベストプラクティスに従っていることを意味します。
Iruは最近、自社でもMDMソリューションとしてIruを利用していることもあり、ISO 27001認証を取得しました。お客様のMDMソリューションも、同様の取り組みを支援できるはずです。その方法をご紹介します。
ISO 27001規格のマネジメント条項では、組織が整備すべき管理策の種類が一般的な形で示されています。規格の附属書Aでは、より具体的に、情報セキュリティリスクを軽減するための適切な対応を実施していることを示すために、組織が導入すべき93の管理策が定められています。
これらの管理策は、アクセス制御や物理的セキュリティから、暗号化、インシデント管理まで幅広く、技術的、組織的、物理的、人的という4つの一般的なカテゴリに分類されます。この4つのカテゴリの中で、12の附属書A管理策は、IruのようなMDMソリューションによって直接対応できます。
エンドポイントデバイス上に保存される情報、エンドポイントデバイスで処理される情報、またはユーザがエンドポイントデバイスからアクセスできる情報は、保護される必要があります。MDMは、会社支給のノートPCのハードドライブが暗号化されていることを確実にすることで、この対応を支援できます。
情報およびその他の資産をマルウェアから保護する手段が必要であり、その保護は、ベストプラクティスに関する適切なユーザトレーニングによって支えられるべきです。MDMは、マルウェア対策ソフトウェアを配布することで、この対応を支援できます。Iruのデバイス管理インフラストラクチャと統合されたIru EDRは、このような保護を提供します。
組織は、情報システムに影響を及ぼす可能性のある技術的脆弱性について最新状況を把握し、自社のエクスポージャーを評価するプロセスと、脅威から防御するためのツールを備えている必要があります。MDMソリューションは、オペレーティングシステムであれその他のソフトウェアであれ、エンドポイント上のこうした脆弱性にパッチを適用できるべきです。(Iruの場合、Managed OSおよびAuto Appsライブラリアイテムがこの対応を支援できます。)
ここでMDMは不可欠になります。セキュリティ構成を含むハードウェア、ソフトウェア、サービスの構成を実装および監視し、それらがすべて自社のセキュリティ要件に適合していることを確実にする必要があります。また、エンドユーザやその他の権限のない第三者によって構成が変更された場合に、それを修復する手段も必要です。優れたMDMソリューションであれば、この対応を支援できるはずです。
ネットワーク、システム、アプリケーションにおける異常な動作を監視し、それに応じて適切な対応を取れる必要があります。MDMでは、少なくとも、マルウェア検知を含むエンドポイント上のイベントに関するログを保持し、取得できるべきです。
ソフトウェアを安全にインストールするための手順と対策を整備する必要があります。MDMソリューションは、App Storeやその他のソースからソフトウェアをインストールする際に、その完全性を確保し、脆弱性の悪用を防ぐ方法で実行できるべきです。
組織は、情報および関連する資産を特定し、そのセキュリティを維持し、適切な所有者を割り当てる必要があります。MDMは、IT資産インベントリレポートを生成およびエクスポートすることで、この対応を支援できます。
組織は、従業員やその他の関係者が保有する情報資産(Macコンピュータやその他のAppleデバイスなど)について、雇用、契約、または合意内容が変更または終了した際に、それらの資産を返却させるための仕組みを整備する必要があります。MDMソリューションを利用すれば、管理者はこうした場合に該当するエンドポイントをロックできます。
IT管理者は、パスワードやその他の認証要素の適切な取り扱い方法について、ユーザに正しく助言できるようにする必要があります。その方法の1つが、MDMを通じてエンドポイントにパスワードマネージャを配布することです。もう1つは、ユーザがデバイスにアクセスする際に適切なパスコードポリシーに従っていることを確認することです。こうしたポリシーも、MDMを通じて適用できる場合があります。
暗号化を効果的に活用し、鍵の管理を含め、ビジネス情報の機密性と真正性を保護するためのインフラストラクチャを整備する必要があります。優れたMDMソリューションであれば、復旧キーのエスクローを含め、FileVaultのオプションを有効化および設定できます。
記憶媒体は、取得、利用から廃棄に至るまで、ライフサイクル全体を通じて管理される必要があります。つまり組織は、こうした媒体上の情報の開示、変更、削除、破棄を管理できるようにする必要があります。Iruを含む一部のMDMソリューションでは、リムーバブルストレージへのアクセスを許可またはブロックするルールを定義できます。
人的管理策
リモート環境で業務を行う場合でも、組織の情報を保護するための仕組みを整備する必要があります。MDMは、リモート従業員が使用するデバイスでハードドライブ暗号化を設定することで、この対応を支援できます。
以上が、MDMが支援できる主なISO 27001管理策です。MDMの実装方法、組織の運用方法、利用しているMDMソリューションの機能によっては、他にも該当する管理策がある可能性があります。
サイバー犯罪が増加し、新たな脅威が絶えず出現する中で、こうした管理策の重要性はかつてないほど高まっています。ISO 27001の要求事項に注意を払うことで、リスクへの認識を高め、組織が抱える可能性のある弱点を先回りして特定し、対応しやすくなります。IruのようなMDMソリューションは、その取り組みにおける重要なツールとなり得ます。
Iruについて
Iruは、アイデンティティ、エンドポイント、コンプライアンスのためのAI搭載プラットフォームであり、安全で生産性の高いグローバルな働き方を支援します。Iruにより、ITチームとセキュリティチームは、分断された個別ソリューションの組み合わせを1つの統合システムに置き換え、アクセスの保護、デバイスの保護、コンプライアンスの証明を実現しながら、より優れた従業員体験を提供できます。高度な自動化とIru AIを通じて、現在そしてこれからのITチームとセキュリティチームの働き方に、必要とされている明確さをもたらします。
KandjiはIruになりました。本記事は当初、Kandjiブランドで公開されたものです。