 |
効果的な管理を実現するセキュリティガイドラインとは
【連載】
情報セキュリティマネジメントシステム基礎講座
第1回 ISMSの基盤となるISO/IEC 17799とJIS X5080
駒瀬彰彦
アズジェント
2002/7/12
| 情報セキュリティ上の問題には、インターネット上のWebサイトの改ざんやハード/ソフトウェアのトラブル、関係者による情報の漏えいへの対策など、さまざまなものがある。それらに対する個別の技術対策も各種存在するが、それぞれのレベルで実施されているのが現状であろう。しかし、個別の対策のみでは、企業または組織全体のセキュリティは維持できない。そこで、それらを適切にかつ効果的に管理する情報セキュリティマネジメントシステム(ISMS)の確立が求められている。リスク評価により保証すべきセキュ リティレベルを決め、それらを実施するための計画を立て、資源配分して、システムを運用することが重要だ。本連載では、こうしたISMSの確立を、国際的にセキュリティポリシー策定のガイドラインとして最も注目されている「BS 7799」を中心に、「ISO/IEC 17799」、「JIS X5080」、「ISMS」、「GMITS」などとあわせて解説する。 |
| セキュリティを維持するための 「ISO/IEC 17799」と「JIS X5080」 |
第1回目は、まず情報セキュリティマネジメントシステム(ISMS)の基盤となる「ISO/IEC 17799」と「JIS X5080」について紹介する。とはいえ、これらは異なる2つの基準ではなく、英国規格である「BS7799」という規格を基に策定されており、ISO化された(国際基準化された)ものがISO/IEC17799である。そしてISO/IEC17799が日本語に翻訳され、日本工業規格(JIS化)として策定されたものが、JIS X5080である。従って、2つの規格は同一のものであると思ってかまわないであろう。
またBS7799規格は、第1部と第2部から構成されていて、第1部とは、情報セキュリティ管理実施基準、第2部とは、情報セキュリティ管理システム仕様、いわゆる認証基準のことを指している。このうち、国際規格「ISO/IEC 17799:2000」は、この英国規格「BS7799-1:1999」、すなわちBS7799 第1部1999年版を基として作成されたものである。2000年に第1版として発行されたISO/IEC 17799を翻訳したものを2002年3月にJIS X 5080:2002として日本工業規格(JIS化)された。ちなみに、JISと数字の間にある XとはIT関連であるということを示している。
ISO/IEC 17799およびJIS X 5080は、共に情報セキュリティ管理実施基準、すなわち実践のためのガイド(規範)であり、認証のための基準ではないことを覚えておいてほしい。一方、認証にかかわる第2部は2002年6月現在、国際規格にはなっていない。次回にISMS適合性評価制度と併せて第2部に関して解説する予定である。
では、ISO/IEC 17799およびJIS X 5080の構造を図1に示す。10の管理分野と、36の管理目的、127の管理策から構成される。
 |
| 図1 ISO/IEC 17799およびJIS X 5080の構造 |
情報セキュリティを維持・向上するためには、適切なセキュリティ管理策を選択しなければならない。その際、「何を維持・向上するのか?」という“管理目的”があり、それに対応したセキュリティ要求事項がある。このセキュリティ要求事項の詳細は127個の“管理策”に示される。そして管理策の実装した後“管理目的”を達成できたかどうかの見直しを行う。これら、管理分野、管理目的および管理策の関係を図2に示す。
 |
|
図2 管理分野、管理目的、管理策のリンケージ |
管理分野、管理目的、管理策、それぞれの詳細はほかの記事でも広く紹介されているので、ここでは、表1にこの基準の本質(管理分野の内容)を説明することにとどめる。
|
|||||||||||||||||||||||||||||||||
| 表1 ISO/IEC 17799およびJIS X 5080の個別管理分野(10分野)の概略 |
これらの規範を理解するうえで重要な点が2点ある。1つ目は情報および情報セキュリティという点、2つ目はマネジメントシステムである。
| 目的は情報全般を保護すること |
この規範がカバーする情報とはいかなるものであろうか? この規範では、情報とは文字どおりあらゆる情報のことを示し、電子的なデータに限定しているわけではない。ちなみに、データと情報は厳密には異なり、ある一連のデータが集合または意味のある形になったものが情報であるといえる。情報には厄介な性質がある。
それは、1つの情報であっても多くの形態が存在し、あるときは電子的に保存されたり、紙に記述されたり、印刷されたりしながら伝達、複製、処理され、ときには会話やうわさとしても伝達される場合もあることである。
ISO/IEC 17799およびJIS X 5080は、これらの情報全般を保護することを目的としている。 以前から情報セキュリティというと、バックアップ、ウイルス対策、暗号、ファイアウォールなどの技術対策を中心に規定されていた。しかしこの規範は、IT対策を中心に展開しているのではなく、いわゆる情報全般を企業や組織の資産(情報資産)と考え、それを保護することを情報セキュリティとして考えている。従って、技術的対策をはじめ、物理的/人的なセキュリティにも関与している。データベースに大切に保管されている情報もあれば、紙上の記録、通勤電車内・給湯室・居酒屋などで会話される情報(特にビジネスに関する)といったあらゆる情報が保護対象範囲であるということである。
さらに、この規範は、情報セキュリティを1.機密性、2.完全性、3.可用性について最低限、維持するように規定している。すなわち、情報の漏えい防止(機密性)はもちろんのこと、情報やそれらの処理方法が正確で確実であること(完全性)や、正当な利用者が利用したいときにその情報にアクセスできることを確実にすること(可用性)について検討している。
| いかに脅威からシステム情報を保護するか |
次にマネジメントシステムという点である。上記にこの規範が対象とする“情報”について記載した。では、この規範において、技術的(IT)、物理的(physical)、運用やオペレーションなど人的にも関連する対策の詳細が数多く、具体的に紹介されているのであろうか? 先に構成図を図1で示したが、そのような目的で構成されているのであれば、ISO/IEC 17799およびJIS X 5080の基準である127個ほどの管理項目では不十分であろう。物理的セキュリティの詳細、例えば、施設、壁、電源、扉などと、テーマを考えただけでも100を超えてしまうであろう。
では、この規範では何を示そうとしているのであろうか? それはマネジメントシステムである。いわゆる情報セキュリティを管理する体制や事業を継続するための計画などがそれぞれの分野(ポリシー、文書管理、技術的、物理的、人的など)において必要であると記載されているのである。ここでいう管理するとは、いわゆるPDCA(Plan、 Do、 Check、Act)サイクルを運用することで、情報セキュリティを計画、実装、監査、改善する体制や仕組みがあるのか否かである(図3)。
 |
| 図3 PDCA(Plan、 Do、 Check、Act)サイクルを運用 |
従って、この情報セキュリティマネジメントシステムとは、情報システムおよびサービスに強く依存している組織が所有する情報を、いかに脅威から保護するかということを意味する。
ネットワークの相互接続や情報資源の共有化は、アクセス制御の達成をますます困難にし、分散型コンピュータシステムへの移行傾向は、専門家による集中管理の有効性を弱めることになった。多くの情報システムは、セキュリティが保たれるようには設計されてこなかったのも事実であるし、技術的な手段によって達成できるセキュリティにも限界がある。従って、セキュリティは、適切な管理と手順とによって支援される以外に手はない。どのような管理策が適しているかを見極めるためには、綿密な計画および細部にわたる配慮が必要で、情報セキュリティマネジメントシステムには、最低条件として、組織内の役員および全従業員の積極的な参加が必要である。さらに、供給業者、顧客および株主の参加が必要な場合もあるし、外部の専門家による助言も必要な場合もある。要求仕様の検討段階および設計段階において情報セキュリティ管理策を取り入れることにより、その情報セキュリティ管理策は、効果も上がり、費用対効果という面からも有用であるといえる。
ここで、費用対効果とあるが、いかなる意味であろうか? ISO/IEC 17799およびJIS X 5080では、すべての情報や情報プロセスといわれる情報資産に対して、127個の詳細管理策を施せ、といっているわけではない。組織のセキュリティの要求事項に合わせて、必要な管理策を選択せよ、といっている。セキュリティの要求事項とは、ビジネスの形態や置かれている環境に応じて組織ごとに異なり、リスク評価やリスクマネジメントによって識別される。リスク評価やリスクマネジメントに関しては、第3回にリスク評価に有用なガイドとして「GMITS(ISO/IEC TR13335)」を取り上げながら説明しようと思う。
いずれにしろ、重要なことは、個別の情報資産に関して、潜在するリスクを考慮し、セキュリティ障害に起因する損害を想定して、バランスよくセキュリティ管理策を施していくことである。バランスよくとは、運用面を十分考慮し、一挙に“全員に対して指紋による認証を行う”というのではなく、リスクを評価し、仮にリスクが低いようであれば、パスワードによる認証や、セキュリティ認識を向上させるためのトレーニングなどを行い、必要以上の投資を防ぐことをいう。
このように記述すると、かえって何を選択すべきなのかが分からないという声も出るだろう。しかし、これに対する解答は、個々の組織におけるリスク評価を基に適切な管理策を選択するとしか述べようがない。とはいえ、127個の管理策のうちいくつかの管理策は、情報セキュリティを実施するための有効な出発点を提供する指導原理として考えることができる。そしてこれらは、法的な要求事項に基づいているものや、情報セキュリティに対して一般的に最適な慣行と見なされているものがある。
具体的に下記にそれらの項目と管理項目番号を記載してみよう。かっこ内は管理項目番号。
● 法的な観点から不可欠
- データの保護および個人情報の保護 (12.1.4)
- 組織の記録の保護(12.1.3)
- 知的所有権 (12.1.2)
●情報セキュリティに対して、一般に最適な慣行と考えられる管理策
- 情報セキュリティ基本方針文書(ポリシー) (3.1.1)
- 情報セキュリティ責任の割り当て(4.1.3)
- 情報セキュリティの教育および訓練 (6.2.1)
- セキュリティ事件・事故 の報告 (6.3.1)
- 事業継続管理 (11.1)
これらの管理策は、その業種や組織規模によらず、多くの組織において適用することができる。ISO/IEC 17799およびJIS X 5080が業種や業界によらず適応できるとはこのようなことからも理解できるであろう。以下に情報セキュリティマネジメントシステムが対象とする適用範囲のイメージ図を示す(図4)。
情報セキュリティマネジメントシステムの流れとしては、情報または情報処理プロセスを中心にそれを取り巻く環境(技術、人など)に対しての統制をとるための組織をつくり、そこから、基本方針、基準、手順を策定していく。策定されたものは、全関係者に周知徹底され、教育される。事故報告やマネジメントシステムを見直しすることで、さらなるセキュリティ向上を図る。その際忘れてはいけないことは、情報はその性質により、求められる法的な要件やビジネス要件が変わってくるということだ。情報の機密性であるとか、それ以前に法的に取り扱える情報なのか、ビジネスパートナーとの情報取り扱いの契約はどのようになっているのかなどを正しく理解しながら、適切な保護を情報資産に施していくのである。
 |
| 図4 情報セキュリティマネジメントシステムが対象とする 適用範囲のイメージ |
情報セキュリティの実装、実施を円滑に進めるには、まず、経営陣やマネジメント層によって基本方針が策定または承認され、その方針を受け、おのおのの責任が割り振られ、情報の特性やリスクに応じて、適切な管理策が施され運用されていく必要がある。そのため、ネットワーク管理者やアプリケーション開発者などは、取り扱う情報資産に潜在するリスクや事業目的に起因するセキュリティ要求事項などを正しく理解、評価し、必要があればトレーニングなどを受講しながら適切に保護していく必要がある。また、同時に導入した管理策が適切でしかも効果的に作用していることを測定する手段やプロセスを設計しなければならない。そのためのより具体的な施設・設備におけるセキュリティ対策や技術対策に関しては、第4回以降で、情報システムの設備ガイド(JEITA
IT-1001)や、FISCにおける「金融機関等コンピュータシステムの安全対策基準」および「同解説書」などを紹介するつもりだ。
「第2回」へ |
| Profile |
| 駒瀬 彰彦(こませ あきひこ) 株式会社アズジェント セキュリティポリシー事業部 取締役事業部長、ISMS適合性評価制度技術専門部会委員副主査、英国BSi (British Standards Institution)認証BS7799スペシャリスト。財団法人インターネット協会セキュリティ研究部会 副部会長。 株式会社アズジェント トータルセキュリティソリューションプロバイダ。ファイアウォールなどセキュリティ商品提供を始め、コンサルティングや各種トレーニングを開催している。 |
| 参照サイト | |
| ISO/IEC JTC1/SC27 | |
| JISC(日本工業標準調査会) | |
| OECD(経済協力開発機構) | |
| 経済産業省 商務情報政策局 情報セキュリティ政策室 | |
| 情報処理進行事業協会 セキュリティ評価・認証 | |
| 関連記事 | |
| 開発者が押さえておくべきセキュリティ標準規格動向 | |
| 連載 実践!情報セキュリティポリシー運用 | |
| 電子メールセキュリティポリシー導入の必要性 | |
| 自主性が要求されるセキュリティ対策の新ガイドライン | |
| 企業IT管理者を対象としたセキュリティ研究会が発足 | |
 |
連載 情報セキュリティマネジメントシステム基礎講座 |
ホワイトペーパー(TechTargetジャパン)
- 「脆弱性根絶なんてできっこない」と嘆く前に (2010/2/2)
バグをなくせ、脆弱性を作るな――そんな精神論はもう飽き飽き。でもあきらめる前に、この現状でもできることを考えよう - データ保護と暗号化はイコールではない? (2010/1/27)
暗号化だけが保護の方法ではありません。要件として設定されている「保存されたカード会員データを保護すること」の真意を解説します - OpenID/SAMLのつなぎ方とその課題 (2010/1/22)
1つのベン図からスタートしたID管理技術の相互運用。OpenIDとSAMLを例に、実際の運用方式とその課題を解説します - 新春早々の「Gumblar一問一答」 (2010/1/20)
一躍メジャーになってしまったトロイの木馬、ガンブラー。何が脅威でどう対策すべきか、もう一度確認してみましょう
 |
|
|
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | 企業の仮想化に足りない“発想”とは? 仮想化運用管理のキモは意外なところに! New! |
| ◆ | 操作もマニュアルも分かりやすい! ユーザー視点で開発されたPC管理ツール New! |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | セキュリティを知り尽くす上野氏が登壇! @ITメールソリューションLive! in Tokyo |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 世界に通用するストレージの作り方とは? 製品に込めた思いを富士通の開発者に聞く |
| ◆ | OSSで手間も時間も、障害も減った―― 「マピオンの事例」オープンソース活用法 |
| ◆ | 「ノートPCの持ち出し禁止」で大丈夫? 情報漏えいを防ぐ管理手法とインフラは? |
| ◆ | 1日の処理を1秒に――MySQLの達人が語る 「コスト削減」できるチューニング |
| ◆ | ドキュメント作成を自動化して、SEの作業 効率を大幅アップ! Visio 2007の魅力 |
| ◆ | 急速に広がるHyper-Vでのサーバ仮想化 そのベストプラクティスをデルが解説 |
| ◆ | @IT主催セミナーで語られた、「担当者に 求められるセキュリティ対策」をレポート |
| ◆ | @IT「Windows 7」 特設サイトオープン! 最新情報・移行ノウハウを公開しています |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。