クラウド環境におけるシステム監査 ~IT統制を整備しよう~
プラットフォーム技術部の小林正彦です。
システム脆弱性をついた攻撃による被害が頻繁に報告されている昨今、重大な経営リスクに対応すべく信頼性と安全性を高めるために適切な「システム監査」の実施が急務として求められています。
そもそも「システム監査とは?」というところから、その目的と施策について簡単に整理してみました。
本記事では「システム監査」としてさまざまなリスクに対して、クラウド環境でどのような統制をとるべきかの参考になる情報についてAWSを例にしてまとめていきます。
システム監査とはなにか
「システム監査とは何か」については、経済産業省が公開している「システム監査基準」というドキュメントの中で述べられているので該当する箇所を引用します。
システム監査の目的
システム監査は、情報システムにまつわるリスク(以下「情報システムリスク」という。)に適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する説明責任を果たすことを目的とする。
経済産業省 – システム監査基準
と定義されているように、情報システムリスクに適切に対処しているかどうかを点検・評価・検証していくことがシステム監査対応です。
システム監査のテーマ例
では具体的に、システム監査の監査対象としてどのようなものがあるのか、例を以下にあげています。
システム監査と一口に言っても扱う対象は多岐にわたります。
ITシステムのライフサイクル全般にわたってリスクコントロールが適切に行われているかどうかの監査から、可用性・セキュリティなどの技術領域においても点検・評価・検証をおこなっていきます。
下表にまとめたのは、システム監査が監査対象としているものの一例です。
その中でも「テーマ別監査」にあげている「情報セキュリティ管理体制の監査」や「個人情報保護体制の監査」は、脅威の高まりから特に重要な監査テーマとされています。(情報セキュリティ監査制度として「情報セキュリティ監査基準」や「情報セキュリティ管理基準」が経済産業省から出されています。詳しい内容についてはこちらを参照してください。)
情報セキュリティ管理体制・個人情報保護体制の監査
「情報セキュリティ管理」や「個人情報管理」に対する施策をとれず、不正アクセス・盗聴・盗難などのリスクに見舞われるとどのような事態になりうるでしょうか。
企業の社会的信用の低下、損害賠償対応など金銭的損失、業績の悪化や、場合によっては法的に処罰されることもあるなど、適切な対策を施していないことで被る影響は多大なものが想定されます。このような事態の原因となるリスクにさらされないためにも、ITシステムのセキュリティ強化・個人情報保護の体制を確保する必要があります。
では、セキュリティ強化・個人情報保護体制の施策としてどのようなIT統制が考えられるでしょうか。
IT統制の分類
さまざまなリスクに対する統制を大まかに「予防」「発見」「是正」の3つの観点に分けて考えてみます。
各統制ではどのような施策が考えられるでしょうか。
予防的な統制
不正アクセス・操作、盗難・盗聴などの発生を事前に防ぐために
- ID管理(職務分掌)
- 認証
- アクセス制限/ブロック
- 情報の暗号化
- パッチ適用(脆弱性対応)
発見的な統制
不正アクセス・操作、盗難・盗聴などの発生を事後的に見つけるために
- ログの管理
- ログの分析
- 不正アクセスや操作の検知・発報
是正的な統制
発見された異常に対する是正措置として
- 復旧(サーバーリストアなど)
- 侵入経路の遮断
- 改ざんの修復
などの施策があげられます。
このような予防/発見/是正の統制が正しく機能していることで、内部不正などによる情報漏えいリスクに対してけん制する効果も期待できます。
上記の各統制であげた対策はあくまで一例としてあげているものです。これらだけで十分とは考えずに監査対象のシステムで想定されるリスクに対して必要なものは何かを検討・整理していきましょう。
AWSでのIT統制
ここまでで一般的なIT統制としてとりうる対策を挙げてきましたが、これらの施策をクラウド上で実現するとした場合にどのようなサービスが関連してくるのかについてAWSを例に整理します。
統制のタイプ | 施策 | サービス |
予防 | ID管理(職務分掌) | IAM,Control Tower |
アクセス制限 | SecurityGroup,NACL,SSO,Directory Service | |
暗号化 | KMS,S3,RDS | |
構成管理 | CloudFormation,ServiceCatalog | |
発見 | ログ管理 | CloudWatch Logs,S3,Kinesis |
ログの分析 | CloudWatch Logs Insight,Athena,Quicksight | |
異常の検知 | GuardDuty,Inspector,Detective,Config | |
発報 | CloudWatch Alarm,SES | |
是正 | 復旧 | AWS Backup,SystemManager,CloudTrail |
侵入経路遮断 | Config,Lambda | |
改ざんの修復 | Config,Lambda |
2021/12時点
上表で各施策に対してAWSのどのサービスが関連するかを整理していますが、実際にどのサービスを利用し組み合わせるかはシステムの構成に依存する部分もあります。
例えばオンプレとのハイブリッドな構成であれば、既存のオンプレ環境との接続を意識してサービスの利用に制約が発生することも想定されます。
また、サードパーティ製のサービスを利用する例として、異常の検知・発報にZabbixを利用する、ログの保管・分析基盤にSplunkやELKスタックを導入する場合など、各施策を実現する構成のパターンは複数存在します。
どのような構成がそのシステムにとって最適であるかは「ライフサイクルの監査」の観点で点検・評価・検証していくべきものだと思います。
表に記載したサービスごとの詳細についての説明は割愛しますが、各サービスの利用方法や注意点などについて今後別の記事で展開していきます。
ライフサイクルの監査
さきほど「どのような構成がそのシステムにとって最適であるかは”ライフサイクルの監査”の観点で点検・評価・検証していくべき」と書きました。
例えば、システムライフサイクルを「要件定義、設計、構築、テスト、運用」といったフェーズで分割した場合に「運用」のフェーズではどのような監査(点検・評価・検証)が行えるでしょうか。
▶システムの運用情報として各種リソースの使用状況を取得し、システムが安定して稼働できる状態になっているかを評価する。評価した結果、リソース増強の必要性が生じてシステムの構成変更をおこなうことになるかもしれない。
▶システムの構成管理を定期的に行い、ハード/ソフトのEOL対応を適切に行えるように点検する。EOLにあわせて使用している製品を代替製品に変更するなどの構成変更が必要になるかもしれない。
▶セキュリパッチが提供されていないかを確認し、適用するかどうかを評価・検証する。利用しているソフトウェアのパッチ適用状況を確認し、脆弱性の有無を点検し、その影響を評価する。
▶システム変更作業による業務影響を発生させないために、変更管理が適切に行われているかを評価する。評価した結果、事前のテスト不備やデプロイミスを防止するためのルールやフローの見直しや整備が必要となるかも知れない。
▶上記にあげたような運用業務をおこなうためには、手間のかかる作業が必要となり業務効率が悪い。運用業務の効率化・コスト削減のために、管理ツール(サービス)の導入や作業自動化などの検討も必要となるかも知れない。
など、「運用」というフェーズで考えられるさまざまな業務を通して監査をおこなった結果、システムの構成を見直すこともあるかもしれません。日々の運用業務は監査にひもづいています。
このように「運用」に限らず、システムライフサイクルにあわせて各フェーズの中で行う業務の内容や実施体制、効率性などを点検・評価していく必要があります。
まとめ
本記事ではITシステム監査について、その目的と施策について整理しました。
システム監査としてさまざまなリスクに対して「予防」「発見」「是正」を統制していくことが求められていますが、クラウド環境ではどのように対応していくのか、AWSのサービスを例にして各施策に関連するサービスのマッピングをおこないました。
システムが抱える潜在的なリスクはどのようなものが想定されるか、そしてそれらに対してどのような統制がとりうるか、現状は適切な施策が用意されているか、その施策は適切であるか、システムを安定的に稼働させるために「システム監査」という観点で現状を整理してみましょう。
アークシステムではセキュリティ要求の高い金融のお客様でのAWSインフラ構築支援で多数実績がございます。
運用まで見据えしっかりしたAWS環境構築とセキュリティ対策をご要望のお客様はぜひご相談ください。
参考 クラウドセキュリティに関する規格、ガイド、基準など
クラウドサービス(SaaS)を利用するということは業務データをインターネット経由でSaaS事業者のサーバーとやりとりすることになるので、SaaS事業者側でデータ管理における安全性が確保されているかどうかは懸案事項です。
参考までに、SaaS事業者がとるべき対策について定義された規格・基準・ガイドを以下に記載しています。これらの規格を満たしているかどうか(AWSでISO/IECの認証を受けているサービスは何か、など)も、SaaS事業者やサービス利用を選定する評価基準です。
- ISO/IEC 27017:2015(ISO/IEC)
- クラウドセキュリティ認証(STAR認証)規格(イギリスBSI)
- クラウド情報セキュリティ管理基準(日本セキュリティ監査協会-クラウドセキュリティ推進協議会)
- クラウドサービス(IaaS)の技術的評価ガイド(同上)
- クラウド・セキュリティ・ガイダンス(国際団体CSA)
- ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(ISMS-AC)
- ISMSユーザーズガイド追補~クラウドを含む新たなリスクへの対応~(同上)