【Event Report】
IP Network Meeting II Security
Track
効果的な情報セキュリティマネジメントへの
アプローチ
近藤孝一
アットマーク・アイティ 編集局
2002/12/18
 |
| 講師:株式会社ラック 上原孝之氏 |
2002年10月29日、アットマーク・アイティ主催のエンジニア向けイベント「IP Network Meeting II」が開催された。そのセキュリティトラックで行われた「効果的な情報セキュリティマネジメントへのアプローチ」(講師:上原 孝之氏 = ラック セキュアネットサービス事業本部 ISMS事業部 マネジメントコンサルティング部長)の講演概要を紹介する。
■企業、組織のセキュリティに対する取り組みの姿勢とは?
現在、企業や組織でのウイルス対策やファイアウォール、IDSなどの導入がかなり進められてきた状況である一方で、不正アクセスやウイルス感染の被害はいまだに収束していない。収束しない原因として、多くの企業や組織内で情報セキュリティ対策が継ぎはぎ的に行われていることに問題がある。情報セキュリティに対する取り組みは、「BS7799」や「ISMS(情報セキュリティマネジメントシステム)適合性評価制度」などの制度を参考に行っていけば、問題を明確にできる。またISMSなどの制度は、政府のセキュリティに対する方針とも連動した形で、大きく影響を受けている。
■政府の情報セキュリティへの取り組みの状況
政府の情報セキュリティに対する動きは、すなわちe-Japan戦略や電子政府構想との関連の中で語られるもの。情報セキュリティに関しては、内閣に設置された情報セキュリティ関係省庁局長等会議で、2000年1月21日に「ハッカー対策などの基盤整備に係る行動計画」を決定した。しかしその直後、この計画をあざ笑うかのように、2000年1月末から2月初めにかけて中央省庁のWebサイトの改ざん事件が多発した。また、同時期の2000年2月13日には「不正アクセス行為の禁止などに関する法律」、いわゆる「不正アクセス禁止法」が施行された。このように、Webサイトの改ざんなどの攻撃を受けながらも、その後は情報セキュリティ対策推進会議などが発足し、政府側の器ができてきた。
 |
| 図1 政府の情報セキュリティへの取り組み状況(セミナーのプレゼンシートより) |
その後の政府の情報セキュリティ対策の方針としては、以下のものが用意されている。
- 「情報セキュリティポリシーに関するガイドライン」(2000年7月18日)
- 「電子政府の情報セキュリティ確保のためのアクションプラン」(2001年10月10日)
- 「重要インフラのサイバーテロ対策に係る特別行動計画」(2000年12月15日)
- 「サイバーテロ対策に係る官民連絡・連携体制」(2001年10月10日)
このように、2001年ごろからより活発な動きとなってきており、情報セキュリティに関する評価・認証制度の整備も同時に行われてきた。
1つは、国内の製品に関するセキュリティ認証として、2001年4月、政府が利用するIT関連製品のセキュリティ機能・品質をチェックすることを目的として、「JIS X 5070(ISO/IEC 15408)」に基づく「情報セキュリティ評価・認証体制」の運用開始がされたのがそれだ。
もう1つは、国内の組織に対するセキュリティ認証として、「情報処理サービス業情報システム安全対策実施事業所認定制度(安対制度)」に代わり、国際標準「ISO/IEC17799」をベースとした情報システムのセキュリティ管理に関する適合性を評価する「情報セキュリティマネジメントシステム(ISMS)適合性評価制度」の運用が開始された。
また、これと並行して、e-Japan構想実現のため、デジタル署名を法的に効力があるものとして認定するため「電子署名及び認証業務に関する法律」が2001年4月1日から施行された。このようにさまざまな法制度の整備により、情報セキュリティに対する信頼性と保護を高める準備が整ってきた。
■情報セキュリティマネジメントの必要性
政府の情報セキュリティ対策の方針として「情報セキュリティポリシーに関するガイドライン」を挙げた。情報セキュリティポリシーとは、「組織の持つ情報資産を守るための方針や具体的な規定を明文化したもの」である。そして、情報セキュリティポリシーの策定、運用により以下の効果が上げられる。
- 自社のセキュリティの実態を明らかにし、効果的な対策が可能となる
- 企業としての信頼性の向上が図れる
- 不正アクセスや不正行為の抑制、防止、適切な対応が可能となる
- 社員のセキュリティ意識の向上が図れる
一般的に、セキュリティポリシーを構築する場合、「基本方針」「対策基準」「実施手順」などといった段階に分けられる。しかし多くの企業は、「基本方針」「対策基準」といった管理対策基準までしか作っていないのが現状だ。ここで認識してほしいのは、「実施手順」が、実は一番重要だということである。
 |
| 図2 情報セキュリティポリシーの構成例(セミナーのプレゼンシートより)(拡大) |
セキュリティポリシー策定後の状況の数値を示すが、「セキュリティポリシーが機能しているか」の問いに“十分機能している”との回答は10.2%、“十分ではないが機能している”との回答は61.9%となっている(図3)。
 |
| 図3 情報セキュリティポリシーが機能しているか? (出展:総務省 2002年5月9日情報セキュリティ対策の状況調査結果 http://www.soumu.go.jp/s-news/2002/020509_2.html) |
一方で、「セキュリティ監査の実施の有無」について尋ねたところ、実施しているが20%、実施していないは、なんと79.6%にも及んでいた。ポリシー策定に満足して、その後の検証はしていないというのが実情なのである(図4)。
 |
| 図4 セキュリティ監査の実施状況 (出展:総務省 2002年5月9日情報セキュリティ対策の状況調査結果 http://www.soumu.go.jp/s-news/2002/020509_2.html) |
これでは、どんなによいポリシーを策定しても、何の効果もないことは明白である。無理をしてポリシーを作成しながら、実は実際の組織、業務、システムにそぐわないものとなっているのだろう。その結果、リスク分析、リスクマネジメントが行われず、ポリシーも手順化されておらず、運用管理体制がないといった状況になっているのだ。
そこで、情報セキュリティマネジメントの構築、運用が必要となってくるのだ。
情報セキュリティマネジメントとは、明確な方針や規定に基づいて、組織の持つ情報資産の機密性、完全性、可用性を適切に維持、管理することである。実際には、策定(Plan)、導入(Do)、運用(Check)、評価見直し(Action)のサイクルで行われる。そのために、計画、方針規定と予算、人材、体制がバランスよく確保され機能していることが重要であろう。
 |
| 図5 情報セキュリティマネジメントの必須要素(セミナーのプレゼンシートより) |
現在、情報セキュリティマネジメントを行うに当たっていくつかの規格がある。英国規格協会が認定している「BS7799」、BS7799のPart1部分を国際標準化した規格「ISO/IEC 17799」、またBS7799のPart2部分である“実装・認証”のための仕様を国内標準化した規格「ISMS適合性評価制度(ISMS認証)」である。これらの規格のうち、どれを導入するかは、企業・組織の方針や状況に応じて選択を行えばよい。例えば、「ビジネスの範囲が国内のみである」「世界各地にある事業所で同レベルの審査を行う」「規格の認知度を優先する」「コストを優先する」などが考えられるだろう。
■情報セキュリティマネジメント構築・運用のポイント
情報セキュリティマネジメントの構築・運用を実施するうえで重要なことは、責任者をシステム部門など現場レベルではなく、経営権限を持った役員レベルにすることである。あくまでも、守るべきものは企業にとって重要な情報である点に注目してほしい。また、ISMS策定委員として、セキュリティのプロというよりは業務に精通している人を選ぶ必要がある。
導入時のスケジュールも重要だ。ISMS認証取得の目標時期をあらかじめ設定し、そのスケジュールに沿ってプランニングを行う。私の所属するラックも、専用の区画で仕切られ、特定のサービス提供のみを行う部署においてISMS認証を取得したが、それでも半年の時間を要した。
また、ISMS認証取得範囲に関しては、特定の事業所、特定のサービスなどに特化した取得がほとんどで範囲を絞り込む方がスムーズに取得できる。
加えて重要な点として、ISMS認証取得に当たってスケジュールの線引きが必要である。日々の業務フローを考えて整理し、決してむちゃな計画を立てないことである。
さらに、取得後の運用段階においてもいくつかの重要なポイントがある。それは、ISMS認証が現場の隅々まで浸透するための方策を検討し、実施することだ。ユーザーである従業員に対してセミナーを開催するなどして啓発活動をしたり、定期的な調査や報告を行ったり、キャンペーンを行うなどして日常業務の一環として意識改革を行うことが必要となる。もちろん運用を行う場合、現場からの不満や問題点なども噴出するが、それぞれの意見をきちんと聞き入れ、改善すべき点は改善することを励行する。
このようにISMS認証やBS7799といった規格を活用することは、効果的な情報セキュリティマネジメントを行うのに有効だ。実際にISMS認証やBS7799を策定することはかなり労力を使うものである。そのうえいったん認証を取得したからといって、その作業は終了していない。その後の運用・管理こそ実はかなりの労力が必要であることを認識しておいてほしい。最近では、運用管理を補助する管理ツールもいくつか出てきており、こうしたツールを利用することも管理者としての労力を軽減するものになるだろう。
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
