 |
質の高い情報セキュリティポリシー作りを提唱する
【特集】スローポリシーのススメ
第1回:情報セキュリティポリシーの現状
〜 組織の実態を反映しないポリシー策定ではダメだ 〜
|
宇崎俊介 |
|
| スローポリシーとは |
企業の情報(資産)を守ることが重要であるとの認識が高まってきており、その情報を守るために、さまざまな方法でセキュリティを確保しようとしている。しかし、ただやみくもにセキュリティ対策をしても、結局穴だらけのものとなってしまうことも、周知の事実である。そこで情報セキュリティポリシーといったセキュリティを担保するための運用ルールがクローズアップされ、それに関する国際標準のガイドラインも広がりを見せつつある。
通常、このガイドラインを導入、取得するためには、セキュリティベンダやコンサルティング会社にに取得支援を依頼することになる。しかし、ベンダやコンサルティング会社は多くの企業や組織の情報セキュリティポリシー策定を行うに当たって、機械的なリスク分析や、ひな型によるポリシー作りを最善の策としようとしてはいないだろうか。もし、形ばかりにとらわれて実際機能しないようなものを受け取ってしまった場合は?
体裁さえ整えばそれでよしとするならば、機械的な方法でもいいだろう。しかし本当の意味で企業の情報(資産)を守るために情報セキュリティポリシーを必要としているならば、本記事を読んでほしい。
本記事のテーマである「スローポリシー」とは、「即席のファーストポリシー」の反意語であり、「スローフード」に由来する筆者の造語である。機械的で、画一化され、企業の実態を反映しないポリシーが作られ、社内で形骸化している情報セキュリティポリシーに対して、わずかでも改善すべく、質の高い情報セキュリティポリシー作りを提唱することを目的とするものである。
| なぜいま情報セキュリティポリシーの新規策定や 改定を行わなければならないのか? |
近い将来、セキュリティ対策をおざなりにする組織は、消費者や取引先から厳しい目を向けられる可能性は十分に考えられる。また企業運営でのメリットとしても、情報セキュリティポリシーの認証を取得することにより、競合他社とのサービスの差別化および、企業の信頼の向上が計れる。結果として取引の増加にもつながるということが考えられるだろう。
これらを受けてか、さまざまなガイドラインに照らした情報セキュリティポリシーを新規策定する、または既存のポリシーを見直したという企業や組織も出てきており、BS7799やISMS認証などの普及が加速しそうな予感がある。
ではなぜ新規策定や見直しを行わなければならないのか? 原因は以下のようなことが考えられるだろう。
| (1) | ポリシーがいまの実態に即さなくなった |
| (2) | ポリシーそのものがなかった |
| (3) | ポリシーそのものが役に立たないものであった、または、認知されておらず放置されていた |
では、それぞれの原因について考えてみよう。
(1)の原因は、業務内容に占めるネットワーク利用率の上昇が考えられる。10年前までは電子メールの利用が、インターネットの利用範囲のほとんどだった。しかし、いまや商店街にあるような個人商店がWeb開設によって全国に販路を拡大する時代になり、企業に至っては承認印の必要な書類など機密性の高いもの以外は電子メールに添付されたり、周知が必要な情報が社内専用Webにて公開されることも多くなったためだ。また企業の対外的情報公開もWebによって行われるのが当たり前となった。これでは10年前のビジネスルール(BR)が現状に即さないのは当然で、一昔前とは一変してしまった業務環境に合わせた情報セキュリティポリシーの策定・改定作業が必要とされるのだ。
(2)の原因には、まったく何の情報セキュリティポリシーもないという企業は実はほとんど存在しないものだと筆者は考えている。ポリシーがないと思っていても、機密情報流出は、紙ベースの情報や口伝えによっても起こるものであり、その対策として書類の取り扱いルール(守秘義務契約など)や、従業員の就業規則として書かれているところがほとんどである。これは「コンピュータセキュリティ/ネットワークセキュリティを除いた情報セキュリティ対策」であり、「情報セキュリティポリシーとほぼ同じ性質である」としても大きな誤解はないであろう。よって(1)とほぼ同様に、社内規程としてのポリシーの策定に組織的に取り組むことを希望するということは十分にあり得る。
(3)の原因については。実はこの「ポリシーが役立たず」というのが最も問題となるところである。原因は次回以降で述べるが、「昨日出来上がったポリシーでも、役立たずであれば手順書とともに紙クズとなってしまう」ということもある。「それはなぜか?」というのは想像に難くない。「ポリシーそのものがその企業の実態を反映していない」というのが最も大きな理由の1つである。これが目下最も懸案とされることであると、一般に認知されつつあるようだ。ポリシーを承認するのはエグゼクティブであっても、実際にそれを守る大多数の人間は、業務の現場に立つ人間である。それら企業の収益を支える大多数の人間の実態が反映されず、守れないポリシーがあるとしたら……。そんなものはポリシーと呼べず、やはり紙クズ同然で役に立たないものである。
以上3つの原因が、“企業の情報セキュリティポリシーの改訂を加速させる”要因であると思われる。それに付随して、情報セキュリティポリシーはネットワークでの情報共有や交換を前提としたものに大きく変化し、加えて国際標準を意識した傾向のものに変わりつつある。情報セキュリティポリシーは、もはやBRの一部となってきているのである。
| 国際標準とともに再び隆盛の兆しを見せる 情報セキュリティポリシーのマーケット |
BS7799やISMS認証が情報システム部門担当者や経営陣の注目を集める中で、これらの認証取得を意識した、または詳細管理項目に沿った情報セキュリティポリシーにしたいという願望を持つ企業は増加傾向にあるようだ。また改定を希望する企業にとっても、改定を契機に各種セキュリティ評価・認証制度を意識したポリシーを希望するところも出てきている。
このような事情から2002〜2003年度にかけて全社的にポリシーから運用体系までを見直そうという企業が相当数見込まれることは、マーケットの傾向からも読み取られ、セキュリティベンダのサービスメニューとして増えていることは既知の事実である。監査法人や、コンサルティングに特化した企業でも、これらニーズに対応したサービスを積極的に展開しているところが多くある。
以前より情報セキュリティポリシーという言葉はあったわけだが、実際問題としてそれがなぜ必要なのか、どのように決定されるべきなのかといった動機付けの重要な部分については無視されていたように思う。ところが最近の傾向としては、企業がさまざまに明確な意思を持って、ポリシーの策定に取り組もうとしている点が特徴的であるといえるだろう。
| 情報セキュリティポリシーが作られるまで |
一般的な情報セキュリティポリシーの策定までの流れの例を図に示すと図1のようになる。
 |
| 図1 情報セキュリティポリシー策定の流れ |
ここで大切なのは「組織の現状評価」であり、それによってポリシー策定というゴールに対してどのように動くべきかがほぼ決まる。例えば、
- 現状の情報資産の運用状態の把握
- 同じような性質の情報資産に対して、部署間でまったく異なる運用管理をしていないか(組織内での取り扱い矛盾)など実状を把握
- 矛盾があるなら、後々整合を取る必要がある。まずは個々の部署にアンケートを実施する必要がある
- 運用管理に関する社内ドキュメントの有無や評価など
- 情報セキュリティポリシーに関するドキュメントの存在の確認
- 情報セキュリティポリシーに関するドキュメントの内容が適切であるかどうかの評価をする
これらから抽出される情報を基にして、現状における組織内での情報資産に関する運用管理状況を把握し、以降のステップに反映させる必要がある。多くの「ひな型に情報を流し込んで固める」手法でのポリシー決定プロセスでは、「こうあるべき」という理想像は示されるが、企業風土に即さないものや、実行できない管理策を含んだプロシージャ(手順書)を出力してしまう可能性が残される。
ユーザーの立場から考えると、人の行動をも規定するドキュメントを、ブラックボックスのロジックによってリスク分析し、機械的に生成させ、情報セキュリティポリシーのモデルとして提供されることは、ポリシーの本質を見誤ってしまわないだろうか?
例えば、パスワードの管理について考えてみる。BS7799-1:1999においては、
「ユーザーはパスワードの管理について、パスワードを定期的に変更し、古いパスワードの循環使用をしない」
といった内容が書かれており、BS7799-2:1999では、
「ユーザーはパスワードの使用に際しては正しいセキュリティ慣行に従うこと」
とされている。正しいセキュリティ慣行とはBS7799のPart.1に示されるベストプラクティスを意味するから、上記のパスワードに関する2項目は互いに矛盾しない相関関係にある。よって、BS7799をベースにポリシーを構築するならば、
「ユーザーは定期的にパスワードを変更しなければならない。なお、古いパスワードの再利用・循環使用は世代をさかのぼってすべて使用禁止とする」
というファクタが必須になる。ところがパスワードを定期的に変えることが、現実的にどこまで実行可能であるかは、BS7799の型にはめて作業をしている限り運用手順書として導入の際に論じられるものと扱われるとは考えにくい。管理詳細策にそう書かれていれば、すべからくポリシーに盛り込まれる。
しかし、パスワードの変更を組織全体としてエンドユーザーに浸透させることは非常に難しい。技術系の比率が非常に高いITベンダなどのように、一定以上のOAリテラシの意識レベルがある場合を除いて、実際には上記のような“パスワードの変更などほとんど不可能”であるのが現状である。不可能なことを強要することは、どんなに高額なポリシーを構築しても、運用の段階で機能しなくなることを予見させ、運用責任者の首を締め上げることになる。よって認証を取得しないのであれば、ポリシー策定の際には、BS7799やISO17799に従った“優等生的なもの”がすべての企業の目指すべきところではなく、
- 現状を的確に把握する
- 実行できるものとする
- 背伸びをしないものとする
のような実状に即したものにしなければならない。
そのような情報セキュリティポリシーを策定していくことがこれから最も重要になると感じる。一方、情報セキュリティポリシー策定支援に関連する企業は、ポリシーを売って放ったらかすのではなく、ユーザーが次回からは自らポリシーについて、社内ワークショップを開けるぐらいの知識と意識を注入せねばならないだろう。使えないポリシーを発生させることを防ぐためにも、時間と手間をかけて、現実解としてのスローポリシーを提唱するものである。次回は現在の情報セキュリティポリシーに関する問題点を掘り下げることにする。
「第2回」へ |
| Profile |
| 宇崎 俊介(うざき しゅんすけ)
株式会社ネットマークス ネットワークセキュリティ事業部 プロフェッショナルサービス室所属。情報セキュリティ全般を守備範囲とするコンサルタント。ISMS、BS7799、FISCのコンサルティングからセキュリティ診断・テキスト執筆・情報セキュリティポリシー策定まで幅広く担当。JNSA(日本ネットワークセキュリティ協会)ではISO/IECに関するWGや、関連法規の政策部会にて活動中。好きな言葉「食べ放題」。 |
| 関連記事 | |
| 実践!情報セキュリティポリシー運用 | |
| セキュリティポリシー策定に役立つ4冊! | |
| 情報セキュリティマネジメントシステム基礎講座 | |
| 開発者が押さえておくべきセキュリティ標準規格動向 |
 |
「特集 スローポリシーのススメ」 |
ホワイトペーパー(TechTargetジャパン)
- この脆弱性対策エンジンは“永遠に完成しない” (2010/3/9)
パターンファイルに頼らず防御する「要の技術」は、いまも完成にはいたっていない。その理由とは―― - Gumblarがあぶり出す 「空虚なセキュリティ対策」 (2010/3/1)
ガンブラーの脅威は、組織の構造や外部委託問題をあぶり出します。そのセキュリティ対策、建前論になっていませんか? - 決済アプリのセキュリティ基準、PA-DSSとは (2010/2/24)
“ペイメントアプリケーション”のセキュリティ基準を定めたPA-DSS。厳密に定められた14の要件を、PCI DSSと対比させつつ解説します - 「鍵は“J”の中にあるよ」CTF by ダークナイト解答編 (2010/2/22)
ダークナイトからの挑戦状、いかがだっただろうか。WiresharkにNetworkMiner、WinRARを駆使し、“J”に隠された秘密を解き明かせ!
 |
|
|
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
 |
「いつかは壊れるサーバ」そんな故障に 迅速で安価に手軽に対応する方法とは? New! |
 |
「特権ユーザー」の事件を防げ! 万能権限を持つユーザーの管理方法とは? New! |
 |
仮想環境の構築とデータ保護の特効薬?! 実績と信頼性の高いパッケージで安心運用 |
 |
仮想環境のバックアップもこれまでどおり 「まるごと取ってまるごと戻す」簡単運用 |
 |
おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
 |
社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
 |
その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
 |
美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
 |
進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
 |
運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | TomcatやJBossなどAPサーバ環境に関する 情報を集約! “業務”用APサーバ大百科 New! |
| ◆ | 一気に解説! 最新のクラスタストレージ 「RAIDを超えたストレージ基準」……など New! |
| ◆ | クラウド的ユーザー体験の変化は脅威か? 仮想化技術を使いこなす運用管理術を紹介 New! |
| ◆ | 上司や部下、部署内メンバーとの情報共有 を“ガラッ”と変えるコラボツールとは? New! |
| ◆ | おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| ◆ | 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
| ◆ | Twitterのアカウントはなぜ突破された? メールによる新手の攻撃手法とその対策 |
| ◆ | もう仮想化のお試しフェイズは終わりだ! Hyper-V 2.0が基幹システムも仮想化 |
| ◆ | 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
| ◆ | クライアント企業から求められる人材 ⇒IT技術と経営戦略を併せ持つ「戦略家」 |
| ◆ | .NET編集長が実践する「技術情報検索術」 サンプル・コードを簡単に探す“技”は? |
| ◆ | 業務効率と情報セキュリティ対策を両立! 手間なく確実に機密情報を守る方法とは? |
| ◆ | 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 【CTC事例】約30の基幹システムを統合! 膨大なバッジジョブを制御した方法は? |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。