連載
» 2002年11月21日 10時00分 UPDATE

実践! セキュリティポリシー運用(6):セキュリティポリシー運用の実際とコツ

[綱井理恵,@IT]

 「第4回 セキュリティポリシー運用のサイクル」では情報セキュリティポリシー運用のサイクルについて、「第5回 ポリシー運用サイクルに適した形態」ではサイクルに従った情報セキュリティポリシーの運用に適する形態について紹介した。今回は、それらの内容を踏まえて、情報セキュリティポリシーの運用をスムーズにしてくれるツールや、運用をより効果的にするための体制の整え方、テストの実施など、情報セキュリティポリシー運用のコツについて紹介する。


問題を解決する近道 − ポリシー運用管理ツールの導入

 前回、情報セキュリティポリシーをサイクルで運用する場合の形態について、紙で運用する場合と、掲示板やグループウェアなどのWebベースで運用する場合の問題点などについて紹介した。

 紙での運用は迅速に対応することが難しく、文書管理作業に手間を取られて情報セキュリティポリシーの内容を周知徹底する作業が手薄になってしまうなどの根本的な問題が発生するため現実的ではない。

 また、掲示板やグループウェアで運用する場合も、効果的な運用が行えるかどうかは使用するシステムの機能に依存するところが大きく、システムと手作業を並行して行う必要があるなど、管理者の手を煩わせる作業が多数発生してしまう。そのため、結果的に管理作業が煩雑になってしまいスムーズな運用が行えない可能性が高い。

 このような問題を解消する1つの方法として、情報セキュリティポリシー運用管理専用ツールの導入が挙げられる。一般的にこの運用管理専用ツールに求められる機能としては、以下のようなものが考えられるだろう。

必須機能 1. 対象者全員への配布が容易である
2. 対象者ごとに内容のカスタマイズが可能である
3. 内容の変更に伴う差し替えが容易である
4. バージョンを最新に保つのが容易である
5. 内容の追加、変更時に対象者に知らせる仕組みがある
6. ユーザーに同意させる仕組みがある
7. ユーザーごとの同意状況を把握できる
8. 同意の要求に返信しないユーザーに注意を促す仕組みがある
9. ユーザーから不明な点を問い合わせられる仕組みがある
オプション機能 10. 就業規定などのほかの文書との連携が容易である
11. 情報セキュリティに関するテストを実施できる
12. BS7799、ISMSなどの認証取得支援機能が付加している
表1 情報セキュリティポリシー運用管理専用ツールに求められる機能

 オプション機能はあると便利だが、なくても特に問題はない。しかし、必須機能として挙げたものに関しては情報セキュリティポリシーの運用サイクルをスムーズに実行するために必須であるといってよいだろう。

 情報セキュリティポリシーの運用は専用ツールを使用しなければ行えないわけではない。確かに、既存のグループウェアやそのほかさまざまなツールなどをうまく組み合わせることができれば不可能ではないだろう。しかしながら、いくつものツールを組み合わせることにより管理作業が雑多になり、結果として管理しきれずユーザーへの徹底作業が手薄になってしまうという状況は容易に想像がつく。

 これから情報セキュリティポリシーを策定するという場合には、このような選択肢も1つあることを知っておくこともよいだろう。

情報セキュリティポリシー違反の検知

 情報セキュリティポリシー運用ツールに求められる機能として、違反の検知機能が挙げられることがある。このことについて一言述べておきたい。

 そもそもポリシー違反を検知するということはどういうことか考えてみてほしい。例えば、「パスワードは8文字以上でなければならない」という規定があるとして、パスワードを6文字に設定している場合は明らかにポリシー違反であり、これはOSの設定ファイルを監査するような何かしらのツールで検知できるかもしれない。しかし、「パスワードはメモしてはならない」というような規定の違反は、ツールの特定の機能などで検知できるものではない。このような規定が守られるかどうかはユーザーのセキュリティ意識レベルに依存する。

 情報セキュリティポリシーには前者のような論理的(技術的)なセキュリティに関する規定よりも、どちらかというと後者のような人的、もしくは物理的な管理策を規定しているものの方が多い。ユーザーのセキュリティ意識の向上なしに情報セキュリティポリシーのスムーズな運用はあり得ない。

 何でもかんでもツールに頼ろうとする考えは捨てた方がよい。それならば、機能のオートメーション化を促進し、ユーザーは何も意識しなくてもよいという状態を作り出すことだけに経費と労力を注げばよい。しかし、それにつぎ込んだ経費と労力とは裏腹に、セキュリティを意識する必要がなくなったユーザーのセキュリティ意識はどんどん低下していくことだろう。

効果的な意識付け - 情報セキュリティテストの実施

 ユーザーに情報セキュリティの意識付けをする意味で、同意させることが重要であるという話は前回した。しかし、運用開始当初は同意しない、もしくは同意を要求しているのに返信しないユーザー、または同意はしているが内容をよく読んでいないユーザーが少なくないことと思う。

 そのため、情報セキュリティポリシーの運用開始時、および定期的に情報セキュリティ教育を全社員に受けさせなければならない

 情報セキュリティ教育というと、社員を集め、少し部屋を暗くしてスライドを見せながら説明するというような光景をすぐに思い浮かべてしまうが、この「説明会」がどのくらいの効果をもたらすだろうか。

 全社員にこの「説明会」を受けさせるには、会場を手配し社員の業務調整をしなければならない。企業の規模によってはこれを何回も開催しなければならないだろうし、どうしても都合がつかない社員など出席できない社員もでてきてしまうだろう。また、せっかく行った「説明会」の話をよく聞きもせず、寝てしまう社員も少なくないのではないだろうか。

 そこで、情報セキュリティポリシーの内容そのものだけでなく、情報セキュリティへの理解を深めさせる方法として、情報セキュリティポリシーの配布後、情報セキュリティに関するテストを実施することをお勧めする

 これも同意をさせることと同様に、ユーザーに情報セキュリティポリシーの内容を読まなければならない状況を作り出す1つの方法であるが、情報セキュリティポリシーの参照率を上げるという点においては同意をさせる行為よりもはるかに効果が高い。「説明会」では話を聞かない人間もなぜかテストとなると必死になって内容を読もうとするものだ。筆者がコンサルティングをさせてもらっている企業でも「テストを行って効果が上がった」という声はよく聞かせてもらうし、もちろん小社内でもかなりの実績を上げている。

 情報セキュリティ「説明会」について上では少し否定的に述べたが、「説明会」自体に意味がないわけではない。ただ、一方的に説明をするだけでは周知徹底していることにならない。「説明会」を行う場合にも、必ずその理解度を深めるために最後にテストを行う方がよい。「説明会」を始める際に、「説明会」の最後にテストを行うということを伝えておけば、ユーザーは必死になって説明を聞いてくれることだろう

ポリシーを浸透させるための体制の整備

 情報セキュリティポリシーを全社的により浸透させるために、組織の体制を整備することが必要になってくる。ここでいう体制とは、セキュリティ委員会などのいわゆるセキュリティ組織のことではなく、各部門、プロジェクトごとに情報セキュリティの責任者を置くことを意味する。

 情報セキュリティポリシーにはすべての対象者各自が情報セキュリティに関する責任を持つという基本理念があり、「自分が使用するコンピュータは自己責任の下においてセキュリティ事故が起こらないよう管理する」とすることが理想であるが、そうはいっても事務処理のみを業務として行う社員などにそこまでのセキュリティ対策を行わせることは難しいだろうし、まして責任を取らせることはほぼ不可能に近いだろう。

 そのため各部門、もしくは各プロジェクトなどの単位ごとに1人ずつ情報セキュリティに関する責任者を置く。この責任者は、セキュリティ委員会からの通達を部門のすべての社員に伝えたり、それぞれが適切な情報セキュリティ対策を行っているかどうか確認する作業を行う。また場合によっては、部門内で使用するすべてのコンピュータのセキュリティ対策も行い、さらに、情報セキュリティポリシーの配布時に同時に配布される同意書に全員がサインしているかどうかや、テストの結果などを把握し、部門長を通してセキュリティ委員会に報告する義務も負う。

 この責任者は、部門長が兼任してもよいが、部門長自身のコンピュータリテラシーが低かったり、情報セキュリティに関する知識レベルが低いと効果が上がらないので、部門長がコンピュータやシステムに詳しい社員などを情報セキュリティ責任者として任命するとよい。

情報セキュリティ責任者の負う義務
セキュリティ委員会からの通達を部門の全社員に伝達する
情報セキュリティポリシーに部門の全社員が同意していることを確認する
各社員が使用するコンピュータに適切なセキュリティ対策が施されていることを確実にする
部門の全社員の同意状況、テストの結果を把握し、部門長、またはセキュリティ委員会に報告する
セキュリティ事故が起こった場合に、何をするか、だれに連絡するかを決めておく

 実際にセキュリティ事故などが発生した場合の責任は部門長が負わなければならないが、情報セキュリティ責任者はまず何をすればよいか、だれに連絡するべきかなどを理解しておき、部門長が不在の場合にも迅速に対応できるような体制をつくり上げておくことが重要である。

情報セキュリティの実行に重要なのは、「策定」と「運用」

 2002年8月から住基ネット(住民基本台帳ネットワーク)の運用が開始され、このネットワークおよびシステムのセキュリティを疑問視したいくつかの自治体が、このネットワークへの接続を拒否していることは皆さんもご存じのことと思う。

 このような状態をかんがみてか、現在、経済産業省を主管とした情報セキュリティに関する監査基準の策定準備が進んでいる。この監査基準の内容についてはまだ詳しくは公開されていないが、住基ネットを使用する、つまり全国民の個人情報を取り扱う団体として、情報セキュリティに関してそれぞれの自治体がクリアすべき一定の基準値を示すものとして全国の地方自治体に適用される可能性が高い。

 この監査基準の中には、情報セキュリティポリシーを策定することはもちろん、策定された情報セキュリティポリシーがその自治体の現状に即した内容であるか、きちんと運用されているかなどを監査する項目が盛り込まれるであろう。つまり、世の中の流れはすでに情報セキュリティポリシーを策定することではなく、その運用に向かっているということである

 また先ごろ、OECD(経済協力開発機構)の「情報セキュリティガイドライン」が改定された。今回の改定ポイントの中で注目すべきは、改定前は2番目に定義されていた認識原則が、『セキュリティに係るリスクの認識を啓発することが重要』であるとして第1原則に変更されている点だ。つまり、ユーザーに情報セキュリティ教育をすることの必要性が再認識されたということだ。

 これらのことから、情報セキュリティを考える場合に重要なのは、情報セキュリティポリシーをきちんと策定し、その内容の周知徹底とセキュリティ教育に重点を置いた適切な運用ということがお分かりいただけると思う。

 筆者自身、社内の情報セキュリティポリシーの運用を行っていて、情報セキュリティポリシーの要は策定ではなく、その運用にあり、運用とは、いかにしてユーザーに情報セキュリティポリシーを読んで、理解してもらうかの闘いであると感じている。これは決して大げさな感想ではなく、読者の皆さんも実際に情報セキュリティポリシーの運用に携われば必ず同じような感想を持たれることと思う。

 ユーザーにとってみれば、訳も分からないコンピュータ用語がずらずらと並べ立てられている文章など読みたくもないだろうし、便利なソフトウェアの使用を禁じられたりと、面倒や不便を強いられるのだから当然の反応だとは思うが、まさに「管理者の心、ユーザー知らず」といった感じだ。

 しかしながら、前回と今回で紹介したような細かい工夫などをすることによって、ユーザーの参照、同意率、ひいては情報セキュリティポリシーの順守率を向上させることが可能になる。徐々にではあるが確実に情報セキュリティレベルは向上していく。これも実際に情報セキュリティポリシーの運用を行ってみての実感だ。

 同じことを行うにしても、その内容いかんによって失敗にも成功にも転じるのが情報セキュリティポリシーの運用である。今回の記事が、読者の皆さんがポイントを押さえた効果的な情報セキュリティポリシーの運用を行う際の助けになることを願う。(今回で連載は終了です。ご愛読ありがとうございました。)

〜コラム 情報セキュリティポリシー運用管理専用ツール例 〜

 情報セキュリティポリシー運用管理専用ツールの1つである「LivingPolicy」を簡単に紹介する。


 基本的には情報セキュリティポリシーをWebコンテンツとして管理するためのツールだが、上の表1で挙げられているオプション機能を含むすべての機能を実装しており、対象者別に配布するためのアクセスコントロール機能および、情報セキュリティポリシーのコンテンツのバージョン管理が容易にできる。


画面1 コンテンツのバージョン管理が容易にできる 画面1 コンテンツのバージョン管理が容易にできる(クリックで拡大)

 また、ユーザーへ同意を要求するメールを自動的に配信することができ、ユーザーの参照、同意状況もグラフなどで簡単に分析できる機能も持っている。同意の要求に返信してこないユーザーに対しても定期的にメールを再配信するなど追跡機能も実装。


画面2 ユーザーの同意状況もグラフで簡単に分析できる 画面2 ユーザーの同意状況もグラフで簡単に分析できる(クリックで拡大)

 さらに、情報セキュリティ教育の一環として、ツール上でテストを受けさせることが可能で、その通知、結果の分析などもすべてこの専用ツール1つで行えるといったユニークな機能も用意されている。


画面3 ユーザー教育の一環として、ツール上でテストを実施できる 画面3 ユーザー教育の一環として、ツール上でテストを実施できる(クリックで拡大)

 このアプリケーションには初めからサンプルポリシーが登録されているので、策定から運用開始までの期間を大幅に短縮することが可能である。大げさにいうと、アプリケーションにユーザー登録すれば、その日からでも情報セキュリティポリシーの運用を開始できる。


情報セキュリティポリシーを対象者全員に公開する仕組みを用意する


対象者に公開するが、そのままでは見てもらえないため、メールで告知をする。メール送信はアプリケーションが自動的に行う


メールで告知するだけでは、だれが見ていてだれが見ていないか分からないため、また情報セキュリティの意識付けをする意味で同意という形態でユーザーに返信させる


ユーザーの返信結果をグラフなどで分析


返信してこないユーザーに対しては返信期限が切れた際、もしくは定期的に本人とその上司の両方に警告メールを送信する


情報セキュリティポリシーの参照率と理解度を高めるためテストを行う


テストの結果もグラフなどで分析


定期的に同意を要求したり、テストを受けさせる


LivingPolicyを使用した場合の情報セキュリティポリシー運用の流れ


Profile

綱井理恵

株式会社ラック
コンピュータセキュリティ研究所 ISMS部


[an error occurred while processing this directive]

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。