Security&Trust Book Review

セキュリティポリシー策定に役立つ4冊！

宇崎俊介
ネットマークス
2002/6/28

　いまやほとんどの企業で、ウイルス対策ソフトやファイアウォールを設置して、セキュリティを確保していることは当たり前となった。

　しかし、セキュリティ対策を行うには、それぞれの対策をばらばらに行うのではなく、一定のルールに基づいて行われる必要がある。このルールがセキュリティポリシーといわれているものだ。

　具体的にはセキュリティに関する企業内の意識の統一、セキュリティ対策ソフトの実行や管理の基準の設定・運用などだ。これにより、対策の漏れや行き当たりばったりの対応が軽減され、よりセキュアな環境が実現できる。

　こうしたセキュリティポリシーがきちんと設定されているかどうかを認定するBS7799やISMS適合性認定制度といった制度もある。

　しかし、実際にセキュリティポリシーの策定や認定制度取得を行うためには、効率的、効果的に作業をしないと膨大な資料の準備など思ってた以上に作業量が多く、なかなかうまくいかないこともある。

　今回は、このようなセキュリティポリシーの策定を行うに当たって、参考となる関連書籍を紹介しよう。過去の事例から述べたものから、サンプルガイドにより各企業に沿った策定法として用いることのできるものまで、4冊を選んでみた。

ユーザーに浸透させるための要件とは？

セキュリティポリシーの作成と運用 Thomas R.Peltier著 三輪 信雄監訳 ソフトバンクパブリッシング 2001年12月 ISBN4-7973-1468-0 3200円 + 税

　著者がアメリカ人であるので、ポリシーに対する法的な根拠や社員への対処法などはアメリカ企業の風土を背景にしており、日本の企業風土とは責任感覚の面で異なる。その点では残念だが、基本的な考え方は大枠で役に立つだろう。

　ただセキュリティポリシーの基本要素として、ユーザーに浸透させるための要件がきちんと押さえられているので、真剣に企業への導入を考えている方も、一読の価値がある。

　セキュリティポリシーの書き方や手順書の書き方などテクニカルな部分についても、チェックリストが準備されているなど親切な一面を持つ。

　現在セキュリティポリシー策定を考えていたり、プロジェクトを立ち上げたもののいろいろな問題点で悩んでいる方には、ヒントの1つとして机上に用意しておいてよいのではないだろうか。

セキュリティについて意識し始めた方へ

企業を守るセキュリティポリシーとリスク評価 塚田 孝則著 日経BP 2001年7月 ISBN4-8222-8097-7 2600円 + 税

　位置付けとしては、セキュリティについて意識し始めた企業の情報システム担当者向けの内容となっているようだ。情報漏えいや、不正アクセス、改ざんなどについての説明やセキュリティポリシーの導入について簡単に分かりやすく記述されている。技術的に詳細な対策法は記されていないが、対策の大まかな方針が書かれているので、参考にすれば組織としての対策は立てやすいだろう。

　実際のセキュリティポリシーの策定に関しては「基本ポリシー」から「スタンダードポリシー」までの策定方法を記述例やポイントを交えて記述しており、非常に親切な印象を受ける。

　またリスク評価の手法も基本的手法を、非常に平易に解説しており好感が持てる。

　全体の分量からいえば大づかみになる印象は否めないが、情報セキュリティに対する意識を大いに喚起させる良書といえる1冊だ。

リスクのコントロールについてのお薦めの1冊

ネット犯罪から身を守るためのセキュリティポリシー策定ガイド ダニエル・S．ジェイナル著 平松 徹訳 坂井 順行監修 翔泳社 2001年6月 ISBN4-7981-0044-7 2400円 + 税

　セキュリティポリシーの策定ノウハウに関しては、具体性に乏しいが、企業・個人にとってのネットワークを通じてのリスクをさまざまな形で紹介している。その例を読むだけでもなかなかの迫力がある。

　アメリカと日本のリスクに対する温度差は、企業文化と同様に相当な差があるので、読者によっては、にわかに実感はわかないかもしれない。しかしインターネットが世界的なシームレス情報網であることや、日本における情報インシデントの深刻性増大の傾向をかんがみると、本書に書かれているリスクは起こり得るものとして受容すべきであろう。

　例として挙げられている中では、特に火のないところに煙がたってしまった「トミーヒルフィガー」の差別発言問題などが目を引く。社内でのリスクの認知問題に収まらず、勝手な風評が自然発生的に生まれ、ネットワークを介して瞬く間に拡散したことが実に興味深い。このようなリスクまでコントロールすることは極めて難しいが、そのような場合の対処例まで記載されており極めて親切だ。リスクのコントロールについて興味がある方には特にお薦めしたい書籍である。

セキュリティ対策を施すための第一歩

図解そこが知りたい！ ネットワーク危機管理入門 上原 孝之著 翔泳社 2000年7月 ISBN4-88135-914-2 1800円 + 税

　セキュリティ対策は必要であるが、やみくもに行ってもコストばかりかかり効果が得られない。前もってきちんとした方針や規定の策定を行う必要がある。これらの対策の指針を打ち出すために基本となるガイドブック。

　「有効なネットワークセキュリティ対策を実践するためにはどうしたらよいか」ということに焦点を絞って、具体例や実践的なアドバイスを丁寧に分かりやすく解説している。

　過去のネットワーク犯罪の解説から、一般企業のネットワークセキュリティの実態、セキュリティを維持・管理するための基本的な考え方、技術／設備／運用管理面などの具体的な対策、リスク分析、セキュリティポリシーの作成、そして実装／運用のアプローチの仕方までを解説。さらに、国際標準化の動向や、法的側面からのセキュリティまでを広く紹介している。

　特にセキュリティポリシーに関して多くのページを割いており、著者が実際にセキュリティポリシーを策定する過程で収集したさまざまな情報をもとに、セキュリティポリシー作成の考え方の基本となる「基本ポリシー」「スタンダード」「プロシージャ」の3層構造を前提とした作成方法と実装方法を丁寧に解説している。

　またポイントとして、文中の項目に沿ってチェックを行うことにより、基本方針を作成できることもよい。本書によりセキュリティポリシーの策定を整理できるだろう。

各書評にあるボタンをクリックすると、オンライン書店で、その書籍を注文することができます。詳しくはクリックして表示されるページをご覧ください。

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）