2-2 製品・サービスのセキュアな導入
概要 (引用)
システム全体又はその一部を構成する製品・サービスの調達について,セキュリティの観点から必要な指導・助言を行い,支援する。調達した製品・サービスへのセキュアな設定の実施について,必要な指導・助言を行い,支援する。
要求される知識
・ 製品・サービスの種類と特徴に関する知識
・ ネットワーク機器,サーバの設定に関する知識
・ 要塞化(ハードニング)に関する知識
・ セキュリティの投資対効果の評価に関する知識要求される技能
・ 製品・サービスの仕様書とセキュリティ要件とを照らして,製品・サービスを選定する能力
・ セキュリティの投資対効果を最適化する能力- 引用元
- 情報処理推進機構 「情報処理安全確保支援士試験(レベル4)シラバス- 情報処理技術者試験における知識・技能の細目 Ver.2.1(2023年12月25日掲載)
- https://www.ipa.go.jp/shiken/syllabus/nq6ept00000014ir-att/syllabus_sc_ver2_1.pdf
製品・サービスのセキュアな導入について
情報処理安全確保支援士は、製品・サービスの導入段階において、セキュリティを確保しながら調達・設定を行うための重要な役割を担っています。以下にその内容を説明します。
1. 製品・サービスの調達に対する支援(セキュリティ観点での指導・助言)
- 調達の段階では、単に機能や価格面だけでなく、セキュリティ要件を満たすかどうかも評価基準とする必要があります。
-
支援士は、以下のような観点で必要な助言・支援を行います。
- 製品・サービスに既知の脆弱性がないかの確認
- サポートやセキュリティパッチの提供状況
- 暗号化、アクセス制御、監査ログ機能の有無
- セキュリティ規格(例:ISO/IEC 27001、NIST基準など)への準拠状況
2. セキュアな設定の実施に対する支援
- 製品やサービスを導入する際には、初期設定のまま使用するとセキュリティリスクが高い場合があるため、「セキュアな初期構成(Secure Configuration)」が必要です。
-
支援士は、以下のような設定を技術的観点から指導・助言します。
- 不要なサービス・ポートの無効化
- 初期ID・パスワードの変更
- 最小権限の原則に基づくアクセス制御
- ログの保存・監視の設定
- 暗号化通信(TLSなど)の有効化
成果と効果
- 適切な製品選定とセキュアな設定を行うことで、
- 脆弱性を含む製品の導入リスクを回避
- 導入初期から堅牢なセキュリティ環境を構築
- 運用中のインシデント発生率を低減
が期待されます。
まとめ
情報処理安全確保支援士は、製品・サービスの導入にあたり、調達時のセキュリティ評価とセキュアな初期設定の実施について、技術的・運用的な観点から助言・支援を行う専門家です。これにより、組織が安全に製品・サービスを導入・活用できるよう貢献します。
