サーバやネットワーク機器、持ち出しPCのセキュリティ保護について
1.サーバやネットワーク機器のセキュリティ保護について
弊社サーバー(1台)やネットワーク機器のセキュリティ保護について、下記施策2点のいずれかで検討しています。
- サーバールームを新たに設置する
- 鍵付きのサーバーラックにネットワーク機器を設置する
後者の鍵付きサーバーラックはそもそもISMSの要求を満たせますでしょうか。
サーバーラックを動かすことができたり背部の配線が剥き出しとなるリスクがありますが、そのリスクを明確にしていることで要求を満たせるかどうかご教示いただきたいです。
2.持ち出しPCのセキュリティ保護について
従業員はSurface端末を支給されており社内と社外で使用しています。
下記施策2点のいづれかで検討しています。
- 全ての持ち出し端末に管理ソフトをインストールする。
社外からVPNで社内ネットワークにアクセスして使用する。 - 仮想デスクトップを導入して社内外などの作業環境を問わず、作業はVPN経由で仮想デスクトップ内で行う。
持ち出し端末のローカル環境に業務データは保存せずに運用する。
後者の場合で以下の点を確認させて下さい。
- 持ち出しPCのローカル環境に業務データがないため、管理ソフトのインストールを不要としていいのか。
- 持ち出しPCへのセキュリティソフトインストール、USBロックなどの対処は必須かどうか。
頂いておりますご質問に関してでございますが、セキュリティレベル(何処までのセキュリティを設定するのか)の話になり、組織によって性質や事情が異なるため、一概にこれが正解という回答はありません。
リスクアセスメントの結果を論理的に説明(なぜ、そうなったのか)できるのであれば、要求事項は満たされていると考えて良いかと思います。
以上を、まず前提として以下の事項をご参考ください。
ご質問いただいた内容、「鍵付きのサーバラック」でも問題ないかと思います。
ご質問にもありますが、サーバラックに伴うリスクを明確にし、対策を行うことで要求事項も満たされます。
「持ち出し端末のローカル環境に業務データを保存しない」というルールを作るの場合、特に管理ソフトまで必要ないかもしれません。
ただ、それらの端末を情報資産として登録するのであれば、台帳などにより管理する必要があります。
このような管理を既に行っているのであれば、そちらを流用すれば良いかと思います。
セキュリティソフトのインストールやUSBロックなどの対応は、それらの端末がネットワークに繋がり、他にも何らかの脅威を及ぼすような場合は、必要となるかと思います。
