西山

クロックを同期させる【Pマーク取得の基礎知識】


 

ここでいう「クロック」とは、コンピュータ内の時刻のことです。プライバシーマーク(Pマーク)を取得・更新している会社は、個人情報保護を確実にし、不正侵入などの万一のトラブルに備えるために情報システムのログを取っておく必要がありますが、ログが信頼できるものであるためにはクロックを常に正確な時刻に合わせておかなければなりません。

クロックの同期に関する要求事項

プライバシーマーク(Pマーク)の規格である2017年版のJIS Q 15001には管理策という附属書が付くようになりました。この管理策に個人情報保護にかかわる具体的な対策にかかわる指針がまとめられています。

その中には個人情報にかかわるイベントを記録して監視するために作業ログを取得することが要求事項として記載されているわけですが、それを具体化した管理策としてクロックを同期させることが要求されています。

せっかくプライバシーマーク(Pマーク)の取り組みとして作業ログを取得していても時刻が正確でなければそれは証拠としての意味を持たなくなってしまいます。

コンピュータ内のクロックを正しく設定することは調査や法令または懲戒などに関係してログを確認する際にどうしても必要なことなのです。

単一の時刻源と同期させることがポイント

どうすればクロックの正確性を保持できるかという点でポイントとなるのは、社内のすべてのコンピュータシステムを可能な限り単一の参照時刻源と同期させることです。

各ハードウェアにもクロックが内蔵されており、電源が遮断されているときも時刻を刻み続けていますが、どうしても時刻の狂いが生じてしまうという欠点があります。

一方、単一の時刻源と同期させれば、参照時刻源の時刻の正確性を保つことに対策を集中させ、あとはすべてのシステムをその時刻と同期させることでログの正確性を維持することができます。

Network Time Protocolについて

クロックの同期に関連してNTPについても説明しておきたいと思います。「NTP(Network Time Protocol)」とはネットワーク上で時刻の同期を行うプロトコルのことです。

このプロトコルによりネットワーク上にあるそれぞれのコンピュータは定期的に時刻を合わせることができます。NTPを実際にサーバに実装することもできます。NTPを実装したサーバには「ntpd」などがあります。

ちなみに日本国内にも主だったNTPサーバがありますが、その中にはアクセス負荷が高いものなどもありますので、参考までに知っておくとよいでしょう。

実際にクロックサーバを導入し、接続されているパソコンや通信機器をそれに同期させる形で合わせているというプライバシーマーク(Pマーク)取得会社もあります。

標準でNTPサーバを付属させているOSもありますので、プライバシーマーク(Pマーク)取得会社としては導入を検討したいところです。

まとめ

今回の記事では正確な作業ログを保持するための要求事項としてクロックの同期について考えました。

個人情報保護マネジメントシステムにおいては記録を正確に保持することが重要とされていますし、内部監査や外部による取得・更新審査においても重要となります。

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山