 |
事例から学ぶセキュリティポリシー認証取得のポイント
【連載】BS7799・ISMS認証取得の実態を聞く
第4回 BS7799・ISMS認証もTCOを意識すべき
〜 NTTデータ編 〜
| 武田文子 2003/4/9 |
|
||
今回は、国内で初めてBS7799の認証を取得したNTTデータを紹介する。同社は2001年9月にビジネス開発事業本部 セキュリティ事業部(認証取得当時:ITセキュリティ推進センター)でBS7799を取得。半年後の2002年5月には、公共ビジネス事業本部ナショナルセキュリティビジネス事業部でも同認証を取得し、続けて2002年8月には両事業部ともにISMS認証を取得。これらすべての認証取得に携わったセキュリティ事業部コンサルティンググループでマネージャーを務める土屋茂樹氏にお話を伺った。
■業務上“ISMS取得は当たり前”のことだった
同社がBS7799の認証を取得するきっかけとなったのは、2001年1月の組織編成だった。それまで複数の部署・地域に分散されていたセキュリティ関係の部署をまとめて新オフィスに移転する計画があり、それに合わせて委員会を立ち上げ、新オフィスの(セキュリティ対策の)設計が始まった。といっても、当初はBS7799の認証取得を目的としていたわけではなく、移転に伴うセキュリティ計画の策定(見直し)という位置付けであったという。
 |
| 株式会社NTTデータ ビジネス開発事業本部 セキュリティ事業部 コンサルティンググループ マネージャー 土屋茂樹氏 |
ただし、業務内容からみて“セキュリティ対策は当たり前”という環境。BS7799の存在も認識していたため、「“是が非でもBS7799を取ろう”とまではいっていませんでしたが、“部署のセキュリティ管理状態の確認にもなるため、認証を受けてもいいかな”という感じでした」と土屋氏が語るように、取得への動きは部署の業務として自然な流れだったようだ。
ちなみに、同社では1998年より全社を対象とした情報セキュリティポリシーを規定し、運用している。このため、教育プログラムの実施や、ポリシーおよびガイドラインを解説した小冊子(各100ページ程度)の配布、情報セキュリティポリシー・アセスメント(オンラインでの教育ツール/管理職用と一般社員用の2種類)の活用などにより、すでに全社規模でセキュリティ対策を実行していた。
このため、BS7799の認証取得に際しては、新オフィスのパーティションやレイアウトをどうするかといったオフィス設計の部分と、入退室管理や避難場所、警備員への連絡の仕方といったビル管理に依存する内容についてはドキュメントの一部見直しを行ったが、そのほかはそれほど大きな変更を行う必要がなかったという。
「ポリシーの定義」「ISMS適用範囲の定義」「リスクアセスメント」といった従来なら担当者が苦労するステップを2〜3週間でまとめ上げたという土屋氏は、「本業であるセキュリティ対策に関することを系統立てて整理するということで、スムーズにまとめることができました」と語るが、これは、十数年にわたりセキュリティ対策関係の業務に従事してきたからこその言葉だ。全く新規に現状把握から始める場合、時間がかかるのは当然だし、相応の知識が必要だ。セキュリティ対策に関するさまざまな経験がある土屋氏にも苦労した点はある。例えば、すでに策定・運用されている全社規模のポリシーは、かなり詳細な規定で成り立っているため、それをBS7799の視点で再構築し、準拠させることに時間を費やしたそうだ。「既存のポリシーと整合性を取りながら現実性のある運用ルールを起こすのは思いのほか大変でした」と土屋氏は語る。
2001年4月に新オフィスに移転した後は、オフィスルールなどの一部見直しを行ったが、7月に予備審査、8月に本審査、9月にBS7799認証取得というスピーディな展開だった。委員会のコアメンバーは7名。通常の業務と取得作業との割合は半々程度だったという。また、(移転のため)ネットワークを構築し直す必要があったので、ネットワーク管理者やオフィス管理者も作業に加わったが、業務の1割程度の負担だったそうだ。時間・手間とも最小限の負担で認証取得を実現できたのは、やはり、セキュリティ管理・運用を本業としている部署だからこそ。知識・情報が少ない場合、1人の人間が集中して設計・構築した方が統一性の取れた基準が作成できるが、同社の場合は複数の人間がうまく役割分担して、通常業務と認証作業をバランスよく進められたようである。
また、そのほかの対象社員に対しては、複数回に分けてセミナーなどを開催した。「研究・開発職と営業職では扱っている情報が異なります。このため、グループ分けして実施しました」(土屋氏)というように、教育の面でも効率性を重視している。ポリシーは、全社・各組織に適用するものと、(認証の)適用範囲内でのみ適用するものがあるため、具体的な事例を挙げて説明することがより明確な理解につながったという。
ただし、対象社員すべてが積極的に協力したかというと、実はそうでもないようだ。同事業部の場合、20〜30代の若い技術者が多い。このため、“マネジメントシステム=管理”というイメージが先行し、窮屈に感じる人もいたようだ。また、業務が多忙なため、(認証取得に関する)時間をつくるのがキツいという現状もある。「それを分かっていてお願いするのは心苦しいし、いいづらかったですが、個別に直接掛け合うなどして、何とか時間をつくってもらいました」と認証取得においてもコミュニケーションが重要であることを土屋氏は意識していたそうだ。
| ■コラム BS7799審査の実際〜NTTデータ編〜 ここで、BS7799の審査について簡単に紹介しよう。 予備審査は、ISMSの理解および文書審査(Stage1):1日、実地審査(Stage2):1日の計2日間。認証登録機関(BSIジャパン)の日本人スタッフが実施したという。一方、本審査は、BSIから派遣された英国人審査員2名が担当(当時は国内でBS7799の審査員資格を持つ組織・団体はなかったため。各審査員の通訳およびBSIジャパンのスタッフも同行)。ISMSの理解および文書審査:2日、実地審査:2.5日、まとめ/報告:0.5日、都合5日間の日程だったそうだ。審査日数は適用範囲の規模(人数)である程度決まるという。また、Stage1とStage2の間に日数を設けて実施する場合もあるが、同社の場合はまとめて(連続して)受けたそうだ。 BS7799やISMSのようなマネジメントシステムの場合、適用範囲、ポリシーの内容、基準、管理策など、すべてが“個別対応”だ。このため、審査員の姿勢・考え方により、チェックポイントや監査の進め方も異なる。今回の例では本審査のとき、セキュリティ機器やツールなどのことよりも業務内容に対する質問をより多く受けたという。個々の項目よりも、業務の流れを聞き、それに関連したセキュリティの質問をする、いわゆるプロセス監査の手法だ。また、適用範囲内と範囲外の境界線上の管理策(境界線の中はもちろん、境界線を越えたときにどうするか)についてと、BS7799 Part 2の3章(要求事項)への質問も多かったという。 審査員の監査スタイルを事前に把握することはできないが、審査以前の段階で審査員とコミュニケーションを取ることである程度、推察することは可能であるという。また、今回の例では、その当時、国内に審査員資格を有する組織・団体がなかったこともあり、予備審査と本審査を異なる審査員が担当したが、現在は国内でも有資格機関が増えたので、あらかじめ審査員のスケジュールを確認し、調整することで、同じ審査員に担当してもらうことも可能だろう。これなら、予備審査で監査スタイルを把握し、本審査につなげることもできるだろう。 なお、BS7799の場合、継続審査として半年に1回、再審査を受ける。NTTデータの場合、BSIから派遣された英国人審査員1名と日本人審査員1名が1日かけて実施したそうだ。基本的なマネジメントシステムに変更点はほとんどないため、Stage1の審査はほとんどなく、日常および定期的に実施すべき内容についての審査が中心だったという。ネットワーク管理、オフィス管理は担当者が職務の中で実施しているため、特に負担はないそうだ。審査に合わせて社員教育も実施しているため、見直し点があった場合もそこで徹底できる。 |
■ISMS認証は“機能コスト”と“管理コスト”のバランスが重要
さらに、取得のメリットとして土屋氏は、次の点を挙げた。
| ●バランスの取れたセキュリティ対策の実現:127個の基準(項目)の中で、それまでできていなかった部分をチェック、改善できた。 |
| ●外部から見える形でセキュリティの必要性をアピール:“できていて当然”という暗黙の了解から脱却し、明確にアピールできるようになった。 |
| ●トップの指示に強制力を持たせる:外部審査機関を用いることで“強制的に”運用できる。 |
| ●組織内での責任・権限の明確化:問題が発生したときに、より適切に対処できる。 |
“会社の情報を守る。それもなるべく安いコストで”というスタンスは重要だ。土屋氏の話の中にも“TCO(Total Cost of Ownership)”という言葉が頻繁に出ていた。「外部の審査機関を利用する場合、審査費用が必要ですが、それは初期投資です。認証取得後、適切に運用されていれば、それほど追加費用が掛かるわけではありません。しかし、社内で独自にシステムを構築・運用するとしたら専任者が必要です。この人件費は、本来の業務とは何の関係もない。経営効率を考えた場合、前者の方がいいはずです」という土屋氏の話には説得力がある。セキュリティ対策・マネジメントシステムの構築・運用は“業務”ではないのだ。
 |
| 「既存のポリシーと整合性を取りながら現実性のある運用ルールを起こすのは思いのほか大変でした」と語る土屋氏 |
「セキュリティポリシーの策定および手順の制定に際しても、TCOを意識すべきです」と土屋氏は続ける。例えば、入退室管理でICカードゲートを使うか、警備員を24時間配置するか……。ICカードゲートの設置に掛かる費用と警備員の人件費を比べた場合、つまり、機能コストと管理コストを比較した場合、どちらがより安いか。さらに、セキュリティ対策としてどちらが確実で効率がいいかを検討すべきだという。「機能コストと管理コストのバランスを考慮して対策を実施すべきです」という土屋氏のマネジメント意識は、セキュリティだけでなく、ビジネス全般に通じるものだ。
システム系のセキュリティを長く担当し、自身がコンサルタントでもある土屋氏は、インタビューの冒頭、「(認証取得は)手段であり、目的ではありません。目的は“情報を管理すること”です。認証取得は、ここにお墨付きが与えられたということです」とBS7799・ISMS認証それぞれの本来の目的を明確にすることから話を始めた。また、最後には、「セキュリティ全体の強度は、一番弱い要素に等しいのです。鎖の強さが、一番弱い輪の強さでしかないのと同様です」という言葉で締めくくった。認証取得の担当者は、常にこうした意識を持つことが必要だろう。
◇
| 事業者名称 | 株式会社NTTデータ |
| 事業者部門名称 | 1. ビジネス開発事業本部 セキュリティ事業部 2. 公共ビジネス事業本部 ナショナルセキュリティビジネス事業部 セキュリティ技術担当 |
| 対象人数 | 1. 100名 2. 45名 |
| 登録範囲 | 1. セキュリティマネジメント推進、コンサルタント、インターネットデータセンターの遠隔管理、ユーザーサポートおよびセキュリティ技術の開発業務に関する情報セキュリティマネジメント 2. セキュリティ技術企画担当が提供する情報セキュリティコンサルティング、情報セキュリティ技術開発を含む政府機関への技術コンサルティングサービスおよび内部情報セキュリティマネジメントに関わる情報セキュリティマネジメントシステム |
| 認証基準 | 1.2. 共にBS7799-2:1999/ISMS認証基準(Ver.1.0) |
| 初回登録日 | 1. BS7799:2001年9月5日/ISMS:2002年8月15日 2. BS7799:2002年5月6日/ISMS:2002年8月15日 |
| 認証登録機関 | BS7799: 1. BSI(英国規格協会) 2. ビーエスアイジャパン株式会社 ISMS: 1.2. 共にビーエスアイジャパン株式会社 |
| 筆者Profile |
| 武田文子(たけだ ふみこ) 東京都出身。何となくコンピュータ業界に入り、転職でアプリケーションソフトウェアなどのマニュアル制作に携わる。その後独立し、IT関連を中心に取材・執筆活動を開始。現在、新聞・雑誌、書籍、広告などの原稿執筆を行っている。 |
| 参照サイト | |
| 情報セキュリティマネジメントシステム(ISMS) 適合性評価制度 | |
| BSI Japan | |
| ISO/IEC JTC1/SC27 | |
| JISC(日本工業標準調査会) | |
| OECD(経済協力開発機構) | |
| 経済産業省 商務情報政策局 情報セキュリティ政策室 | |
| 情報処理進行事業協会 セキュリティ評価・認証 | |
| 関連記事 | |
| 開発者が押さえておくべきセキュリティ標準規格動向 | |
| 連載 実践!情報セキュリティポリシー運用 | |
| 連載 情報セキュリティマネジメントシステム基礎講座 | |
| 電子メールセキュリティポリシー導入の必要性 | |
| 自主性が要求されるセキュリティ対策の新ガイドライン | |
| 企業IT管理者を対象としたセキュリティ研究会が発足 | |
 |
連載:BS7799、ISMS認証取得の実態を聞く |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
