“がんじがらめ”にするだけがセキュリティではない
「情報セキュリティ」と聞くと、文書や情報の取り扱いを厳格化し、パスワードはランダムに変換、規定に違反した者には厳罰……といったことを連想するかもしれませんが、「情報セキュリティ管理」はちょっと違います。情報セキュリティ管理とは、「セキュリティとビジネスの整合性を取りながら、サービスに必要な情報を適切かつ安全に利活用できるようにすること」を指します。情報が利用しにくくなったり、業務の効率が悪くなったりしては、ITILの意味がなくなってしまいます。
もちろん、会社・部署単位で情報セキュリティのルールやポリシーが定められている場合はそれに従います。その場合でも、情報へのアクセス方法や権限管理の仕方等の設計は必要ですし、時にはルールを変える必要が生じることもあるでしょう。ポイントは、会社のセキュリティ方針とビジネスのニーズや優先度、これらをバランス良く考えることです。
情報セキュリティには重要な3要素「CIA」があると言われています。
C(Confidentiality)……機密性。「その情報」を知る権限がある人だけ当該情報が閲覧可能になっていること。
I(Integrity)……完全性。情報が完全かつ正確で、許可されていない修正から保護されている(つまり改竄されていない)こと。
A(Availability)……可用性。必要な時に情報がいつでも入手・利用可能になっていること。
これらの3つをバランス良く保つことで、必要な情報を安全かつ適切に利用できるようになります。
情報セキュリティ管理を実施する場合は、次の5つのプロセスを行います。
- 全社情報セキュリティポリシーとビジネスニーズの確認
- 脅威・リスクの特定
- 方針・ルールの策定
- 定常的な運用
- 改善・是正
会社によって求められるセキュリティの高さはまちまちでしょうが、基本的にやることは変わりません。CIAを意識しながら情報セキュリティの設計・運用が行われることが望ましいのです。
Redmineに関して言えば、デフォルト設定では公開プロジェクトであればチケットやWikiの内容をログインなしで閲覧することができるので、注意が必要です。特に、新たに作成したプロジェクトはデフォルトのままだと「公開」と設定されているので、ログインユーザーでなくても簡単に中身を見ることができます。これを防ぐには、「管理」→「設定」画面の認証タブで「認証が必要」のチェックボックスをONにします。すると必ずログインが要求されるようになります。
また、既存プロジェクトを非公開にしたり、新規プロジェクトのデフォルトを非公開にするなど、様々なセキュリティレベルを設定できます。