情報セキュリティマネジメントシステム（ISMS）の標準化された「JIS Q 27001」は、2014年の旧規格が発行され、2023年「JIS Q 27001:2023」が発行されました。

社会的変化によるデジタルトランスフォーメーション（DX）やIT技術の革新は、同時に情報セキュリティ対策の変化も伴います。

コロナ禍を経て、テレワークへの働き方の変化や組織の在り方が大きく変化し、収束後においてもそれらの働き方が定着しました。それにより、 ゼロトラストなどをはじめとした新たな情報セキュリティ対策手法が創出され普及し始めました。

「ISO/IEC27001:2022」および「JIS Q 27001:2023」では、管理策全体や規格本文が変更され、11の管理策が新たに追加されました。

今回説明する「8.9 構成管理」は技術的管理策の中の一つです。

新しく追加された管理策ということもあり、対応をどうするか頭を悩ませている方も多いのではないでしょうか。本記事では「ISO/IEC27001:2022」を例にどのように理解を深めて対応するかをまとめましたので参考にして頂ければ幸いです。

おすすめサービスはこちら

1.   「8.9 構成管理」について

(1) 構成管理とは

構成管理とは、システムを最適かつ安全に利用するため、システムを構成するために必要なハードウェアおよびソフトウェア等に関する変化を記録し維持する仕組みを指しています。

(2) 構成管理のメリット5点

構成管理が適切に行われていれば、組織はシステムがどのように構成され、それぞれの要素がどのように相互に関連しているかを把握することができます。

組織のITシステムとプロセスの透明性、予測可能性を提供することで組織全体のリスク管理と効率化に寄与することができます。

代表的なメリットとされる5点を以下に記載します。

◆システムの整合性と安定性の確保

構成管理によりシステムの変更状況を適切に追跡・管理することで、意図しない不具合や障害を防止することができます。それによりシステムのダウンタイムを最小限に抑えることができます。

◆セキュリティリスクの低減

構成管理によってセキュリティパッチの適用、脆弱性の修正、不正アクセス防止策など変更内容を記録するため、セキュリティ状況の可視化に影響します。変更状況を適切に管理することで、情報漏えいやサイバー攻撃などのインシデントを防ぐことにも繋がります。

◆変更管理の効率化

システム変更に関する記録を行うことで、リスク評価、承認プロセス、実装追跡を効率的に実施でき、システムの計画的な変更を安全に実行できるようサポートします。

◆ITサービスの品質向上

システム構成情報はITサービスのパフォーマンス管理やリソース管理に必要で、可視化して迅速な対応を行うことで顧客満足度を高め、ビジネス品質の向上を期待できます。

◆災害復旧とビジネス継続

正確なシステム構成情報の記録は災害発生時の迅速な復旧には不可欠で、重要なビジネス機能の継続性を担保し、業務停止リスクを最小化することができます。

(3) 構成管理を実施しない場合の主なリスク

◆システムの脆弱性

対象システムの古いソフトウェアや未適用のパッチについて管理していない場合、セキュリティの脆弱性について検討されず放置される可能性があります。

◆システムの不安定性

構成管理による変更記録がない場合、インシデントの手動対応や例外的な対応力、判断能力が低下する恐れがあります。

◆内部監査やコンプライアンス違反の問題

不正確なシステム情報や変更記録の不足は、監査からの指摘や法規制違反を引き起こす可能性があります。

(4) ISO/IEC27001:2022の管理策で求められる構成管理

旧規格で「変更管理」はあったものの、その目的はすでに運用されているシステムに関するハードウェアやソフトウェアに関する変更を記録し、計画的な対応を行うというものでした。

ISO/IEC27002:2022においては、導入時のシステム構築に関してもスコープとして追加され、そのためIaC（Infrastructure as Code）のようなインフラの構成管理を自動化するツールを利用するよう提案されています。

2.   「8.9 構成管理」の解説

(1)「8.9 構成管理」とは

◆属性情報

(出典元：ISO/IEC27002:2022)

◆管理策

ISO/IEC27001:2022：ハードウェア、ソフトウェア、サービス及びネットワークのセキュリティ構成を含む構成を、確⽴し、⽂書化し、実装し、監視及びレビューすることが望ましい。(出典：ISO/IEC27001:2022)

(2) 実施手順例

ITシステムの構成については、既存・新規に関わらず定義された構成をプロセスやツールを利用し維持していくことが求められます。構成管理は組織の数や管理対象の情報システムの種類やリソース等によって、様々なアプローチが考えられます。

その一方で、「イメージが全く沸かない」という方もいらっしゃるかと思い、「ISO/IEC27002:2022」を参考に実施手順例を提示します。(参考：ISO/IEC27002:2022「8.9 構成管理」)

◆対象システムの選定

構成管理の対象システムを選定する

◆構成の管理

• ・プロジェクトにおいて以下を例にシステムの構成内容を管理する
• ・対象システムを構成するハードウェア、ソフトウェア、サービス及びネットワーク一覧
• ・設計関連のドキュメント（セキュリティ方針、ネットワーク構成図等）
• ・開発に関連するドキュメントおよびコード類
• ・資産の管理責任者、特権または管理者権限のアクセス権の範囲、を明確にする
• ・構成管理のレビュー及び変更の機会及び手順を明確にする

◆システム構成の変更記録

• ・システム構成の変更は変更内容および履歴を管理する
• ・例えば、ハードウェアのリプレース、設定値の変更、プログラムの変更、バージョンアップ等の変更履歴を管理する。
• ・システム導入時の構成、変更ステータス（変更中、保留等）、構成が最後に変更された⽇付、最終構成を記録する
• ・システム構成の変更記録についてアクセス制限等を行い保管する

◆監査とレビュー

• ・「5.7 脅威インテリジェンス」、「8.8 技術的脆弱性の管理」等関連する施策による脆弱性対応状況を監査し、必要に応じて是正する
• ・システム構成の変更によって機能性やセキュリティが維持できているか確認する

(3) 構成管理の利用例

構成管理を実施し、最新のシステム構成情報を維持することで、システム運用上重要な情報となっていきます。

◆システムの安定稼働のため、構成の最新情報を管理する

システムを構成するハードウェアやソフトウェアに変更が生じた場合は、構成管理で把握されている情報を基に変更計画が立案され、その計画を基に変更作業が行われますので、確実に現況を把握することが極めて重要となります。

現況を掌握出来ておらず実際のシステム構成と構成管理情報にズレが生じると、現状構成が信頼できないものとなり、障害発生時の復旧作業に多大な時間を浪費するばかりか、構成情報の不整合自体がトラブルを誘発することも十分想定できます。

最新の状況を正しく管理するには、追加・変更・削除など構成管理要素に変更が生じる際は、その結果が構成管理に確実に反映される強制的な仕組みが必要になります。

• ・問題の原因分析を特定するための基礎情報
• ・障害発生時の影響範囲を特定するための基礎情報
• ・リリース作業や変更作業を行うための基礎情報
• ・SLAを維持するための性能ならびに稼働指標を求めるための基礎情報

◆IT資産を管理する

10数年前までは、都度Excelファイルを開いて情報を更新するといった構成管理が機能していたのかも知れません。

しかし、機器単体に対して手作業で進めてきた構築作業ですが、クラウド利用が当たり前になった今、クラウド上のさまざまな機能を組み合わせたり、さまざまなサーバー(インスタンス)を複数用意して作り上げるシステムが増えてきました。それに伴い、エンジニアが行う作業範囲は大規模化、煩雑化してきました。

情報の鮮度や効率化が求められる昨今、ドキュメント更新に時間をかけるのは担当者にとっても大きな負担になります。

• ・資源の追加、変更、廃棄、譲渡、移管
• ・リース契約や保守契約の締結や解約
• ・費用対効果の算出

3.  構成管理について補足

構成管理とは、システムを適切な状態を維持するために構成する要素（ソフトウェア等）を把握し管理するプロセスです。

構成管理を他のフレームワークで実施した場合、ベースの考え方は同じになるものの、目的や実施内容が変わってきます。

(1)資産管理との違い

構成管理と資産管理を比べた場合、プロセス上重複している部分はありますが、それぞれ目的やスコープが違います。資産管理は、会社資産として財務や経理処理を目的として管理します。構成管理は、ITサービスの維持や管理の最適化を目的に管理します。

(2) 各フレームワークの構成管理におけるポイント

◆ITILv3 / ITIL2011 (Information Technology Infrastructure Library)

【目的】「変更管理」および「サービス資産および構成管理」としてサービス移行の主要プロセスの1つと定義されています。

【実施内容】構成管理の目的や方針を決め、CMDB(構成管理データベース)に登録し常に最新の状態になるよう管理します。

◆SOC(Security Operation Center)

【目的】CSIRT(Computer Security Incident Response Team)の重要業務の一つである「脆弱性ハンドリング」を行う上で必要になります。

【実施内容】脅威インテリジェンス等で収集した脆弱性情報が自社に必要な内容か判断し、また影響度や緊急性をCSIRTで適切に判断するため、最新の管理状況を把握し可視化されていることが前提となります。

◆PCIDSS(Payment Card Industry Data Security Standard)

【目的】求められる12の要件のうち「構成管理」「点検管理」「変更管理」が該当します。

【実施内容】OSやアプリケーションの詳細設計情報や設定値を「構成管理」に記録し、その記録を元に「点検管理」を実施し、変更をする際は「変更管理」によって管理します。

◆DevOps

【目的】開発 (Dev) と運用 (Ops) の連携を強化し、ソフトウェア構成管理としてコードと構成するサーバー等を常に利用可能な状態にすることに重点を置きます。

【実施内容】統合的な開発環境でSCM(バージョン管理）を行い、ソフトウェアを安全に配布する仕組みの自動化。

4. まとめ

システム管理の基本的な考え方として属人化を低減するという考え方があり、構成管理はプロジェクトマネージャーや情報システム管理者が積極的に携わるのが望ましいです。

本記事は、ISMS「8.9 構成管理」の解説を行い、関連知識を例示することで、より本質的な対応の参考になればと考えましたので検討する際の参考になればと思います。

システム構成を詳細に把握し変更を管理することで、情報セキュリティリスクの低減だけでなくシステム運用上の把握・可視化において重要なタスクになるため、お客様へサービスを提供する場合の安全性のアピールや重要業務のシステムについて緊急時の状況把握や原因究明に効果を発揮します。

維持管理に管理工数やツール等に関する知識は必要になるものの、構成管理を実施し自社システムの構成する要素について詳細に把握・整理していくことで、システムの維持管理に必要な情報の一つとしてご理解いただけると考えています。

おすすめサービスはこちら