事例から学ぶセキュリティポリシー認証取得のポイント
【連載】
BS7799・ISMS認証取得の実態を聞く

第6回 現場を巻き込むことで、成功したISMS認証取得
    
〜 キヤノンソフトウェア編 〜

武田文子
2003/7/17
 
第1回 新日鉄ソリューションズ編
第2回 ラック編
第3回 エクサ編
第4回 NTTデータ編
第5回 富士通エフ・アイ・ピー編
第6回 キヤノンソフトウェア編
第7回 凸版印刷編
第8回 IIJテクノロジー編
第9回 グローバルフォーカス編

 今回は、ソフトウェア開発の業種では初めてBS7799およびISMS認証をダブルで取得したキヤノンソフトウェア株式会社を紹介する。海外にも事務所・拠点を持つ同社は、当初から国際的なセキュリティポリシー策定のガイドラインであるBS7799も視野に入れ、国内のガイドラインであるISMS認証とのダブル取得を計画していたという。情報セキュリティ委員会およびISMS取得委員会の事務局で認証取得業務に携わった窪田豊久氏にお話を伺った。

“認証”という分野は、未経験者にとっては敷居が高いが……

 以前は、“セキュリティ=技術的な問題”というとらえ方が一般的だったが、最近は、“人”を含めた高度な情報セキュリティ・マネジメントが求められている。いくらルールや仕組みを作っても、最終的にそれを運用する(守る)のは人だ。同社の場合も、“人的セキュリティ”のレベルアップが認証取得の動機の1つだったという。「お互いに信頼関係はあります。しかし、事故は常に起こる可能性があります。未然に防ぐためには人的な教育、つまり、社員の意識が重要になってきます」と窪田氏も語っている。

キヤノンソフトウェア株式会社 セキュリティ管理部 セキュリティ管理課 課長 窪田豊久氏

 “Security&Quality”を重要課題とする同社は、認証取得の方針が決定する以前、2001年2月にはすでに情報セキュリティポリシーを制定している。キヤノン販売グループ共通のポリシーに自社の業務特性を加えたポリシーを作成した。それに伴い、社員教育を実施。運用面でのサポートは部門代表が担当したという。

 その後、同年8月にセキュリティ管理部が発足。活動の柱として“認証取得”を選択した。「ポリシーが制定され、社員教育も実施し、社内でのセキュリティに対する下地はありました。さらに異なるアプローチでより効率的かつ徹底したセキュリティを確立するためには、どういうものを目指したらいいかを考えたのです。その結果が認証取得でした」と窪田氏は語った。

 しかし、認証取得業務は初の体験。当初は、かなり試行錯誤したそうだ。これは、他社の担当者も語っていることだが、“認証”という分野は、未経験者にとっては敷居が高い。特に、当時は、BS7799の認証基準およびガイドラインの日本語訳や、ISMSガイド(財団法人日本情報処理開発協会発行)といった資料が現在に比べると分かりにくく、未整備な状態だった。窪田氏も「資料の中の文言がなかなか理解できなくて大変でした。実施基準などを見ても“ここまでやるの!?”という感じで……」と振り返る。

 例えば、情報資産の洗い出しでは、サンプルの資産分類を見て、自社の資産がその中に収まるかを検討する。しかし、それが“適切”であるかどうかの判断は難しい。パソコンを1台ずつカウントしていくと膨大な数になるが、その1台1台に対して管理策を適用することは難しい。“グループ化する”という対応策を編み出すまで試行錯誤が続いたという。

現場を巻き込むことで、成功したセキュリティ対策

 一方、リスクアセスメントでは、まず、“リスクとは?”“脅威とは?”という基本的な疑問に向き合った。ある程度理解した後、リスクアセスメントを行ったが、対象とする脅威をどの程度まで想定するか(範囲を決定するか)で再び試行錯誤。範囲を広げ過ぎると対策も多岐にわたり、煩雑になる。しかし、縮め過ぎると、起こり得る可能性のあるリスクに対応できなくなってしまう。バランスを考慮し、いかに現実的な選択をするかがポイントだと気付くまでが大変だったそうだ。「最初は天変地異のレベルまで広げました。が、“現実的”であることが重要と考え、対象資産の特性を組織としてどう評価するかに立ち戻って識別作業を行いました」と語る窪田氏の言葉どおり、この作業の線引きは難しい。認証取得の担当者が最も苦労する部分だ。

 ちなみに、同社では、全社レベルの情報セキュリティの推進活動を行っている情報セキュリティ委員会とは別に、認証取得に向けてISMS取得委員会を設置した。ここには、各部門のセキュリティ責任者7名が加わった。“現場”をよく知る人間が委員会に参加することの利点は大きい。リスク評価・分析、管理策の策定では、より現実に即した内容が提案・吟味され、適切な選択肢・管理策を選ぶことができるし、策定したルールと実際の運用にギャップがないかどうかの判断も的確に行える。矛盾があった場合のフィードバックもスピーディだ。

 このことが「社員の意識にも好影響を与えた」(窪田氏)という。 ルールの策定・運用は、現場の人間が意識を持ってくれないと徹底できできない。現場を知る人がISMSを理解し、積極的に取り組もうという姿勢を持つことが好結果につながるのだ。その点、同社の場合、現場を巻き込むことでISMSに対する意識が高まり、「“仕事をするうえでの基本ルールとしてのセキュリティ”という共通認識を得ることができた」と窪田氏は成功の要因を語った。

 さらに、このシステムは、教育の面でも威力を発揮した。同社の場合、まず、セキュリティ管理部がISMS取得委員会のメンバーに認証基準の概要やルール体系などを解説し、ステップ(マネジメントの枠組み)ごとに具体的な方法を提示。その後、一般社員に向けてプレゼンを行った。しかし、一度のプレゼンですべてを理解してもらうことは難しい。そこで、以降の教育は委員会のメンバーが担当し、日常業務の中や課会の場で実務的な教育を行ったという。また、セキュリティ管理部が2カ月に1回配布する(セキュリティに関する認識を確認するための)チェックシートの結果もメンバーが活用。課内の事情・特性を熟知している立場で状況を把握し、現場におけるセキュリティ教育へとつなげている。

「ルールの策定・運用は現場の人間が意識を持ってくれないと徹底できない」と語る窪田

 なお、同社では、2002年6月に第一事業本部(現エンジニアリング事業本部)の2部門で認証を取得した後も、“セキュリティのレベルを上げる・範囲を広げる”という姿勢でさまざまな活動を継続。既存のポリシーの見直しや運用面でのチェックのほか、“情報セキュリティ三原則・五箇条”を記した定期サイズのカードの配布や、ポスターを貼ることなどで社員を教育・啓もうしている。“技術も大事だが個人も重要”というスタンスだ。

 また、他部門、事業所の認証取得も推進。その結果、2003年6月には、つくば事業所と宇都宮事業所に対象範囲を拡大して認証取得(対象人員:150名)し、2003年7月には、新規にソリューション事業本部の2部門(対象人員:40名)で認証を取得した。人員レベルでいうと、全社の1/4がすでに認証の対象となっている。

 同社の場合、ソフトウェア開発、サービス部門というように、それぞれ業務内容が異なっている。また、ISMS認証基準のバージョンアップ*1に対応するためには差分の理解も必要だ。窪田氏も「現場の特性・事情に合った基準を作るためには、一から取り組むことになりますね。差分を適用させる必要もありますし。最初のときのような試行錯誤はありませんが、実作業はやはり大変です」と語っている。ただ、業務内容を知らないと困難なリスク分析などは、それぞれの現場の人間に協力してもらい、構築しているという。現場の人間を巻き込むことの利点はここでも活用されている。

*1 ISMS認証基準(Ver.2.0)移行スケジュール(財団法人日本情報処理開発協会)

事業者名称 キヤノンソフトウェア株式会社
事業者部門名称 エンジニアリング事業本部
対象人数 150名
登録範囲 顧客要求事項に基づくソフトウェア並びに自主企画ソフトウェアの開発および付帯サービス
認証基準 BS7799-2:2002/ISMS認証基準(Ver2.0)
初回登録日 2002年6月27日
再発行日 2003年6月26日
認証登録機関 日本検査キューエイ株式会社

事業者名称 キヤノンソフトウェア株式会社
事業者部門名称 ソリューション事業本部
対象人数 40名
登録範囲 コンピュータシステムのアウトソーシングサービス、ホスティングサービス、ハウジングサービス、ネットワークセキュリティの構築運用サービス、オープンシステムを対象とするネットワーク経由の運用監視・管理サービスおよびその付帯業務
認証基準 BS7799-2:2002/ISMS認証基準(Ver2.0)
初回登録日 2003年7月3日
認証登録機関 日本検査キューエイ株式会社



筆者Profile
武田文子(たけだ ふみこ)
東京都出身。何となくコンピュータ業界に入り、転職でアプリケーションソフトウェアなどのマニュアル制作に携わる。その後独立し、IT関連を中心に取材・執筆活動を開始。現在、新聞・雑誌、書籍、広告などの原稿執筆を行っている。

index
  第1回 BS7799・ISMS認証のダブル認証を実現
  第2回 SEの経験が活きたISMS認証取得のポイント
  第3回 ISMS認証の重要なポイントは「リスクマネジメント」
  第4回 BS7799・ISMS認証もTCOを意識すべき
  第5回 国内最大規模・範囲でのISMS認証取得
  第6回 現場を巻き込むことで、成功したISMS認証取得
  第7回 定期的なWGメンバー交代でISMS運用を向上
  第8回 ISMSの根本的な思想を理解し、フレームワークを構築
  第9回 個人の信用情報を取り扱う業務ゆえ必須のISMS

参照サイト
  情報セキュリティマネジメントシステム(ISMS) 適合性評価制度
  BSI Japan
  ISO/IEC JTC1/SC27
  JISC(日本工業標準調査会)
  OECD(経済協力開発機構)
  経済産業省 商務情報政策局 情報セキュリティ政策室
  情報処理進行事業協会 セキュリティ評価・認証

関連記事
  開発者が押さえておくべきセキュリティ標準規格動向
  連載 実践!情報セキュリティポリシー運用
連載 情報セキュリティマネジメントシステム基礎講座
  電子メールセキュリティポリシー導入の必要性
  自主性が要求されるセキュリティ対策の新ガイドライン
  企業IT管理者を対象としたセキュリティ研究会が発足


連載:BS7799、ISMS認証取得の実態を聞く

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH