 |
事例から学ぶセキュリティポリシー認証取得のポイント
【連載】BS7799・ISMS認証取得の実態を聞く
第2回 SEの経験が活きたISMS認証取得のポイント
〜 ラック編 〜
| 武田文子 2003/3/8 |
|
||
今回は、事業部移転を機にISMS認証を取得した株式会社ラックを紹介する。適用範囲である同社セキュアネットサービス事業本部SOC事業部(JSOC)が、システムおよび設備を一新して現在の場所に移転したのは2002年2月。同年10月には認証取得を実現した。セキュリティ委員会の実質的な責任者として取り組んだ斉藤稔氏にお話を伺った。
| ※なお、取得時はセキュアネットサービス事業本部SOC事業部であったが、1月14日より同社組織変更のため、JSOC事業本部とSNS事業本部に分割された。ISMS認証登録の変更も手続き済みである。ただし記事内の組織名、所属は、取得時のままとしてある。 |
■「スクラップ&ビルド」方式で始めたISMSへの見直し
「スケジュールは決まっていたのですが、マスタープランから遅れていたのです」。斉藤氏は、セキュリティ委員会の専任担当者として認証取得プロジェクトに参画したころのことをこう語る。
 |
| 「書類はOKでも運用はダメ、では意味がありません。ISMSの運用に皆をいかに“参加”させるかを意識しました」と語る、ラック セキュアネットサービス事業本部 SOC事業部 セキュリティ管理担当部長 斉藤稔氏 |
同社の場合、2002年度の年初計画の中に、認証取得に関するスケジュールがすでに組まれていたが、当初は専任者を置かず、該当部署の担当者が業務との兼任で作業を進めていた。このため、個々の作業はそれなりに進んでいたが、全体的なマネジメントができていない状態だった。さらに適用範囲が3部門(6サービス)にわたるため、調整が必要であった。そこで、運営方法を検討し直し、委員会を再編したのが5月の半ば。以降、書類審査までの3カ月弱の間、「いきなり認証取得プロジェクトの責任者になり、セキュリティ関連、ISMS、および業務内容を短期間で習得しながらプロジェクトを推進することを任されました。 また、専任メンバーもそろえてもらいましたが、皆経験が浅かったため作業は思うように進まなかった。仕事を始めてから20年たちますが、いままでで2番目に大変な業務でした」と語る斉藤氏の言葉からかなりの激務が続いたことがうかがわれた。
SEとしてメインフレーム/ホスト開発に携わっていた斉藤氏にとって、ISMSは未知の分野。もちろん、安対制度(情報処理サービス業情報システム安全対策実施事業所認定制度)の知識はあったが、それだけでは太刀打ちできない。
「ISMSガイド(財団法人日本情報処理開発協会発行)だけで理解するのは困難でした」という斉藤氏にとって役に立ったのは社外セミナーだったという。「制度への理解はもちろん、現状を認識し、以降の(作業の)方向性を定めることができました」とその効果と意義を改めて振り返る斉藤氏。
同社の場合、ネットワークセキュリティソリューションを手掛けているため、全社的なポリシーはすでに実施されていた。プロシージャ(手順書)も別タスクで動いていた。しかし、“ISMS認証制度が求めるもの”という観点でチェックすると、まだまだ足りないものが多かったという。
「何を作ったらOKになるのか、を意識して見直しました」と語る斉藤氏は、それまで個別に作られていたドキュメントをすべて捨てる覚悟を決めたそうだ。いままでにあったもの、途中まで作ったものを捨てて新たなシステムを構築する、いわば「スクラップ&ビルド」方式だ。
■ISMSのオプションである“予備審査”から理解を深める
こうしてシステムを構築し直し、それに沿ってセキュリティポリシー文書の作成やリスク分析などの作業を行い、1カ月後には予備審査を受けたという。予備審査はISMS認証審査のオプションなので受けなくてもいいのだが、斉藤氏は「受けてよかった」という。審査員のアドバイスを聞くことにより、認証策定の方向性を確認できたこと、審査とはどういうものかを具体的に理解できたことが収穫だったという。
その後も、時間との闘いは続く(ISMS認証取得の目標時期が定められており、そのためのスケジュールで進行することが委員会の仕事だ)。同社では以下のような進行だった。
|
||||||||||||||||
| 認証取得までの審査員との主なスケジュール |
各審査をいつ受けるか、そのための資料はいつまでに提出するか、といったことは審査機関との打ち合わせで決まる。社内の進行状況と、審査機関(担当者)のスケジュールを見ながら日時を設定するわけだ。また、審査機関はコンサルティングはしないが、アドバイスを受けることはできるため、積極的に問い合わせ、確認をしながら作業を進めていったという。認証取得の業務経験がない者が担当者になる場合、審査機関と連絡を密に取りながら審査準備を進めることで“道筋”を得ることができるだろう。
「作業は山積み状態でしたが、予備審査で方向性が確認できたので、それに沿って見直しを進めました」(斉藤氏)というように、予備審査から書類審査までの間は、ポリシー文書やリスク分析の見直しに当てた。ISMSが求めているもの=障害が起きたときにどうするか(どう対処するか)/障害が起きないためにどうするか、を常に意識したという。
また、予備審査前から着手していた各部署共通のプロシージャ作成とともに、サービスごとのプロシージャ作成も開始。適用範囲が3部門(6サービス)にわたるため、部署ごとに担当者を決めて作成を依頼した。「本来の業務以外に仕事を増やすわけですから、担当者は大変だったと思います。皆、時間外にやっていました」と斉藤氏は語るが、認証取得の重要性を全員が理解・意識していたため、積極的に参加してくれたという。
もちろん、社員各人への教育も実施。セミナーの開催や「Living Policy」(後述)によるポリシーの配布などを通してフォローしたそうだ。ちなみに、書類審査では、より評価できる点(ストロングポイント)や、改善点(カテゴリA、カテゴリBなど)の指摘が行われる。
同社では当時、Living Policyによるオンラインでの教育体制と、サイバーテロなどや災害時に備え、別の場所に設置してあるデータセンターでセキュリティ監視サービスを復旧させる障害対応訓練に対してストロングポイントが与えられた。“特に高水準の”情報セキュリティマネジメントシステムが実施されている、という評価だ。
| 〜 ストロングポイントとカテゴリ 〜 ISMSの書類審査時にその企業や組織に、特に評価できる項目を「ストロングポイント」として与えられる。この項目が多いほどその企業や組織の体制がよいことが判断される。 一方、改善点の評価項目として、「カテゴリ」というものがある。カテゴリAは「審査中止」、つまり基準をクリアしていないということ。根本的な改善が求められる。カテゴリBは期限を決めての「改善要求」を示す。また、内容によっては、「改善の機会」を求められる場合もある。これらの評価が下された場合、見直しは急務となる。 |
■社員をいかに運用に“参加”させるかを意識
ところで、ISMS認証取得には社員教育も重要なポイントだ。JSOCの場合、この点でストロングポイントを獲得したが、これには、同社の製品であるLiving
Policyという情報セキュリティポリシー運用支援ツールが威力を発揮したという。
一般に、教育を行う場合、対象者を集めてセミナーを開く方法が常とうだが、全員を同じ時間に1カ所に集めるのは困難だ。かといって、何回にも分けて同じ内容のセミナーを開くのも考えもの。そこでJSOCでは、ISMSの概要や流れを説明するためのセミナーは実施したが、以降はLiving Policyを利用してポリシーの配布や、理解度を確認するためのテストをオンラインで行った。この方法であれば、運用途中で変更があっても、その都度セミナーを開く必要はない。ポリシーは参照要求を付けて発行するので、受信・閲覧状況も確認できるし、Webブラウザによるテストによりポリシーを徹底周知できる。また、参照要求に対し期限までに返信しない人には、セキュリティ委員会より警告を発し、実施レベルを常に保つことができたという。
このことはラックに限った特殊な方法であると思う方もいるだろう。多くの企業や組織はこのようなツールを持ってはいなくても、グループウェアやメールなどを駆使することで同様の成果を挙げることは可能だろう。理解度を確認するための方法としてぜひ試みたいものだ。
 |
| 「現場の人間を巻き込むことだ」という斉藤氏は、未経験者でもマネジメントできるということを実証した |
「書類審査が終わって初めてホッとできました。これで“取れるな”と思いました」(斉藤氏)というように、書類審査以降は、その内容を反映させるために上位文書やプロシージャの見直しを行ったが、ほとんど手を入れずに済んだという。実地審査までの期間は、現場でのヒアリングや記録、実地審査のリハーサル、ポリシー順守調査(インタビューやテストなど)といった運用面のチェックがメインになった。「書類はOKでも運用はダメ、では意味がありません。ISMSの運用に皆をいかに“参加”させるかを意識しました」(斉藤氏)
知識がほとんどない中でスタートし、短期間で認証取得を実現できたポイントは、常に「認証取得ありき」で動いたこと、そして、現場の人間を巻き込むことだと斉藤氏は成果を振り返る。「ソフトウェア開発とISMS認証取得とはまったく異なる分野であるが、目標に向かってプロジェクトをマネージメントするという点では同じです。リソース管理、部門間折衝などいままでの経験が役に立ちました」(斉藤氏)といわれるように、セキュリティポリシーやISOなどの未経験者でもSEとしての過去のマネジメント経験などをISMS認証取得においても活かせるという好例だ。
◇
| 事業者名称 | 株式会社ラック |
| 事業者部門名称 | セキュアネットサービス事業本部 SOC事業部(JSOC) |
| 対象人数 | 55名 |
| 登録範囲 | セキュリティ監視サービス/ログ解析サービス/セキュアサーバ維持サービス/セキュリティヘルプデスク/セキュアサーバ構築サービス/セキュリティ製品導入サービス |
| 認証基準 | ISMS認証基準(Ver.1.0) |
| 初回登録日 | 2002年10月4日 |
| 認証登録機関 | 財団法人日本品質保証機構 |
| 筆者Profile |
| 武田文子(たけだ ふみこ) 東京都出身。何となくコンピュータ業界に入り、転職でアプリケーションソフトウェアなどのマニュアル制作に携わる。その後独立し、IT関連を中心に取材・執筆活動を開始。現在、新聞・雑誌、書籍、広告などの原稿執筆を行っている。 |
| 参照サイト | |
| 情報セキュリティマネジメントシステム(ISMS) 適合性評価制度 | |
| BSI Japan | |
| ISO/IEC JTC1/SC27 | |
| JISC(日本工業標準調査会) | |
| OECD(経済協力開発機構) | |
| 経済産業省 商務情報政策局 情報セキュリティ政策室 | |
| 情報処理進行事業協会 セキュリティ評価・認証 | |
| 関連記事 | |
| 開発者が押さえておくべきセキュリティ標準規格動向 | |
| 連載 実践!情報セキュリティポリシー運用 | |
| 連載 情報セキュリティマネジメントシステム基礎講座 | |
| 電子メールセキュリティポリシー導入の必要性 | |
| 自主性が要求されるセキュリティ対策の新ガイドライン | |
| 企業IT管理者を対象としたセキュリティ研究会が発足 | |
 |
連載:BS7799、ISMS認証取得の実態を聞く |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
