質の高い情報セキュリティポリシー作りを提唱する
【特集】スローポリシーのススメ


第1回:情報セキュリティポリシーの現状
〜 組織の実態を反映しないポリシー策定ではダメだ 〜


宇崎俊介
ネットマークス
2002/7/26

第1回 情報セキュリティポリシーの現状
第2回 現状の情報セキュリティポリシーの問題点
第3回 日本型企業にポリシーの承認と運用を実践させるには


   スローポリシーとは

 企業の情報(資産)を守ることが重要であるとの認識が高まってきており、その情報を守るために、さまざまな方法でセキュリティを確保しようとしている。しかし、ただやみくもにセキュリティ対策をしても、結局穴だらけのものとなってしまうことも、周知の事実である。そこで情報セキュリティポリシーといったセキュリティを担保するための運用ルールがクローズアップされ、それに関する国際標準のガイドラインも広がりを見せつつある。

 通常、このガイドラインを導入、取得するためには、セキュリティベンダやコンサルティング会社にに取得支援を依頼することになる。しかし、ベンダやコンサルティング会社は多くの企業や組織の情報セキュリティポリシー策定を行うに当たって、機械的なリスク分析や、ひな型によるポリシー作りを最善の策としようとしてはいないだろうか。もし、形ばかりにとらわれて実際機能しないようなものを受け取ってしまった場合は? 体裁さえ整えばそれでよしとするならば、機械的な方法でもいいだろう。しかし本当の意味で企業の情報(資産)を守るために情報セキュリティポリシーを必要としているならば、本記事を読んでほしい。

 本記事のテーマである「スローポリシー」とは、「即席のファーストポリシー」の反意語であり、「スローフード」に由来する筆者の造語である。機械的で、画一化され、企業の実態を反映しないポリシーが作られ、社内で形骸化している情報セキュリティポリシーに対して、わずかでも改善すべく、質の高い情報セキュリティポリシー作りを提唱することを目的とするものである。

   なぜいま情報セキュリティポリシーの新規策定や
 改定を行わなければならないのか?

 近い将来、セキュリティ対策をおざなりにする組織は、消費者や取引先から厳しい目を向けられる可能性は十分に考えられる。また企業運営でのメリットとしても、情報セキュリティポリシーの認証を取得することにより、競合他社とのサービスの差別化および、企業の信頼の向上が計れる。結果として取引の増加にもつながるということが考えられるだろう。

 これらを受けてか、さまざまなガイドラインに照らした情報セキュリティポリシーを新規策定する、または既存のポリシーを見直したという企業や組織も出てきており、BS7799ISMS認証などの普及が加速しそうな予感がある。

 ではなぜ新規策定や見直しを行わなければならないのか? 原因は以下のようなことが考えられるだろう。

(1) ポリシーがいまの実態に即さなくなった
(2) ポリシーそのものがなかった
(3) ポリシーそのものが役に立たないものであった、または、認知されておらず放置されていた

 では、それぞれの原因について考えてみよう。

 (1)の原因は、業務内容に占めるネットワーク利用率の上昇が考えられる。10年前までは電子メールの利用が、インターネットの利用範囲のほとんどだった。しかし、いまや商店街にあるような個人商店がWeb開設によって全国に販路を拡大する時代になり、企業に至っては承認印の必要な書類など機密性の高いもの以外は電子メールに添付されたり、周知が必要な情報が社内専用Webにて公開されることも多くなったためだ。また企業の対外的情報公開もWebによって行われるのが当たり前となった。これでは10年前のビジネスルール(BR)が現状に即さないのは当然で、一昔前とは一変してしまった業務環境に合わせた情報セキュリティポリシーの策定・改定作業が必要とされるのだ。

 (2)の原因には、まったく何の情報セキュリティポリシーもないという企業は実はほとんど存在しないものだと筆者は考えている。ポリシーがないと思っていても、機密情報流出は、紙ベースの情報や口伝えによっても起こるものであり、その対策として書類の取り扱いルール(守秘義務契約など)や、従業員の就業規則として書かれているところがほとんどである。これは「コンピュータセキュリティ/ネットワークセキュリティを除いた情報セキュリティ対策」であり、「情報セキュリティポリシーとほぼ同じ性質である」としても大きな誤解はないであろう。よって(1)とほぼ同様に、社内規程としてのポリシーの策定に組織的に取り組むことを希望するということは十分にあり得る。

 (3)の原因については。実はこの「ポリシーが役立たず」というのが最も問題となるところである。原因は次回以降で述べるが、「昨日出来上がったポリシーでも、役立たずであれば手順書とともに紙クズとなってしまう」ということもある。「それはなぜか?」というのは想像に難くない。「ポリシーそのものがその企業の実態を反映していない」というのが最も大きな理由の1つである。これが目下最も懸案とされることであると、一般に認知されつつあるようだ。ポリシーを承認するのはエグゼクティブであっても、実際にそれを守る大多数の人間は、業務の現場に立つ人間である。それら企業の収益を支える大多数の人間の実態が反映されず、守れないポリシーがあるとしたら……。そんなものはポリシーと呼べず、やはり紙クズ同然で役に立たないものである。

 以上3つの原因が、“企業の情報セキュリティポリシーの改訂を加速させる”要因であると思われる。それに付随して、情報セキュリティポリシーはネットワークでの情報共有や交換を前提としたものに大きく変化し、加えて国際標準を意識した傾向のものに変わりつつある。情報セキュリティポリシーは、もはやBRの一部となってきているのである。

   国際標準とともに再び隆盛の兆しを見せる
 情報セキュリティポリシーのマーケット

 BS7799やISMS認証が情報システム部門担当者や経営陣の注目を集める中で、これらの認証取得を意識した、または詳細管理項目に沿った情報セキュリティポリシーにしたいという願望を持つ企業は増加傾向にあるようだ。また改定を希望する企業にとっても、改定を契機に各種セキュリティ評価・認証制度を意識したポリシーを希望するところも出てきている。

 このような事情から2002〜2003年度にかけて全社的にポリシーから運用体系までを見直そうという企業が相当数見込まれることは、マーケットの傾向からも読み取られ、セキュリティベンダのサービスメニューとして増えていることは既知の事実である。監査法人や、コンサルティングに特化した企業でも、これらニーズに対応したサービスを積極的に展開しているところが多くある。

 以前より情報セキュリティポリシーという言葉はあったわけだが、実際問題としてそれがなぜ必要なのか、どのように決定されるべきなのかといった動機付けの重要な部分については無視されていたように思う。ところが最近の傾向としては、企業がさまざまに明確な意思を持って、ポリシーの策定に取り組もうとしている点が特徴的であるといえるだろう。

   情報セキュリティポリシーが作られるまで

 一般的な情報セキュリティポリシーの策定までの流れの例を図に示すと図1のようになる。

図1 情報セキュリティポリシー策定の流れ

 ここで大切なのは「組織の現状評価」であり、それによってポリシー策定というゴールに対してどのように動くべきかがほぼ決まる。例えば、  

  • 現状の情報資産の運用状態の把握
    • 同じような性質の情報資産に対して、部署間でまったく異なる運用管理をしていないか(組織内での取り扱い矛盾)など実状を把握
    • 矛盾があるなら、後々整合を取る必要がある。まずは個々の部署にアンケートを実施する必要がある
  • 運用管理に関する社内ドキュメントの有無や評価など
    • 情報セキュリティポリシーに関するドキュメントの存在の確認
    • 情報セキュリティポリシーに関するドキュメントの内容が適切であるかどうかの評価をする
ということなどが挙げられる。  

 これらから抽出される情報を基にして、現状における組織内での情報資産に関する運用管理状況を把握し、以降のステップに反映させる必要がある。多くの「ひな型に情報を流し込んで固める」手法でのポリシー決定プロセスでは、「こうあるべき」という理想像は示されるが、企業風土に即さないものや、実行できない管理策を含んだプロシージャ(手順書)を出力してしまう可能性が残される。

 ユーザーの立場から考えると、人の行動をも規定するドキュメントを、ブラックボックスのロジックによってリスク分析し、機械的に生成させ、情報セキュリティポリシーのモデルとして提供されることは、ポリシーの本質を見誤ってしまわないだろうか?

 例えば、パスワードの管理について考えてみる。BS7799-1:1999においては、

 「ユーザーはパスワードの管理について、パスワードを定期的に変更し、古いパスワードの循環使用をしない」

といった内容が書かれており、BS7799-2:1999では、

 「ユーザーはパスワードの使用に際しては正しいセキュリティ慣行に従うこと」

とされている。正しいセキュリティ慣行とはBS7799のPart.1に示されるベストプラクティスを意味するから、上記のパスワードに関する2項目は互いに矛盾しない相関関係にある。よって、BS7799をベースにポリシーを構築するならば、

 「ユーザーは定期的にパスワードを変更しなければならない。なお、古いパスワードの再利用・循環使用は世代をさかのぼってすべて使用禁止とする」

というファクタが必須になる。ところがパスワードを定期的に変えることが、現実的にどこまで実行可能であるかは、BS7799の型にはめて作業をしている限り運用手順書として導入の際に論じられるものと扱われるとは考えにくい。管理詳細策にそう書かれていれば、すべからくポリシーに盛り込まれる。
 
 しかし、パスワードの変更を組織全体としてエンドユーザーに浸透させることは非常に難しい。技術系の比率が非常に高いITベンダなどのように、一定以上のOAリテラシの意識レベルがある場合を除いて、実際には上記のような“パスワードの変更などほとんど不可能”であるのが現状である。不可能なことを強要することは、どんなに高額なポリシーを構築しても、運用の段階で機能しなくなることを予見させ、運用責任者の首を締め上げることになる。よって認証を取得しないのであれば、ポリシー策定の際には、BS7799やISO17799に従った“優等生的なもの”がすべての企業の目指すべきところではなく、

  • 現状を的確に把握する

  • 実行できるものとする

  • 背伸びをしないものとする

のような実状に即したものにしなければならない。

  そのような情報セキュリティポリシーを策定していくことがこれから最も重要になると感じる。一方、情報セキュリティポリシー策定支援に関連する企業は、ポリシーを売って放ったらかすのではなく、ユーザーが次回からは自らポリシーについて、社内ワークショップを開けるぐらいの知識と意識を注入せねばならないだろう。使えないポリシーを発生させることを防ぐためにも、時間と手間をかけて、現実解としてのスローポリシーを提唱するものである。次回は現在の情報セキュリティポリシーに関する問題点を掘り下げることにする。



第2回」へ

Profile
宇崎 俊介(うざき しゅんすけ)
株式会社ネットマークス ネットワークセキュリティ事業部 プロフェッショナルサービス室所属。情報セキュリティ全般を守備範囲とするコンサルタント。ISMS、BS7799、FISCのコンサルティングからセキュリティ診断・テキスト執筆・情報セキュリティポリシー策定まで幅広く担当。JNSA(日本ネットワークセキュリティ協会)ではISO/IECに関するWGや、関連法規の政策部会にて活動中。好きな言葉「食べ放題」。

関連記事
実践!情報セキュリティポリシー運用
セキュリティポリシー策定に役立つ4冊!
情報セキュリティマネジメントシステム基礎講座
開発者が押さえておくべきセキュリティ標準規格動向

「特集 スローポリシーのススメ


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間