 |
事例から学ぶセキュリティポリシー認証取得のポイント
【連載】BS7799・ISMS認証取得の実態を聞く
第6回 現場を巻き込むことで、成功したISMS認証取得
〜 キヤノンソフトウェア編 〜
| 武田文子 2003/7/17 |
|
||
今回は、ソフトウェア開発の業種では初めてBS7799およびISMS認証をダブルで取得したキヤノンソフトウェア株式会社を紹介する。海外にも事務所・拠点を持つ同社は、当初から国際的なセキュリティポリシー策定のガイドラインであるBS7799も視野に入れ、国内のガイドラインであるISMS認証とのダブル取得を計画していたという。情報セキュリティ委員会およびISMS取得委員会の事務局で認証取得業務に携わった窪田豊久氏にお話を伺った。
■“認証”という分野は、未経験者にとっては敷居が高いが……
以前は、“セキュリティ=技術的な問題”というとらえ方が一般的だったが、最近は、“人”を含めた高度な情報セキュリティ・マネジメントが求められている。いくらルールや仕組みを作っても、最終的にそれを運用する(守る)のは人だ。同社の場合も、“人的セキュリティ”のレベルアップが認証取得の動機の1つだったという。「お互いに信頼関係はあります。しかし、事故は常に起こる可能性があります。未然に防ぐためには人的な教育、つまり、社員の意識が重要になってきます」と窪田氏も語っている。
 |
| キヤノンソフトウェア株式会社 セキュリティ管理部 セキュリティ管理課 課長 窪田豊久氏 |
“Security&Quality”を重要課題とする同社は、認証取得の方針が決定する以前、2001年2月にはすでに情報セキュリティポリシーを制定している。キヤノン販売グループ共通のポリシーに自社の業務特性を加えたポリシーを作成した。それに伴い、社員教育を実施。運用面でのサポートは部門代表が担当したという。
その後、同年8月にセキュリティ管理部が発足。活動の柱として“認証取得”を選択した。「ポリシーが制定され、社員教育も実施し、社内でのセキュリティに対する下地はありました。さらに異なるアプローチでより効率的かつ徹底したセキュリティを確立するためには、どういうものを目指したらいいかを考えたのです。その結果が認証取得でした」と窪田氏は語った。
しかし、認証取得業務は初の体験。当初は、かなり試行錯誤したそうだ。これは、他社の担当者も語っていることだが、“認証”という分野は、未経験者にとっては敷居が高い。特に、当時は、BS7799の認証基準およびガイドラインの日本語訳や、ISMSガイド(財団法人日本情報処理開発協会発行)といった資料が現在に比べると分かりにくく、未整備な状態だった。窪田氏も「資料の中の文言がなかなか理解できなくて大変でした。実施基準などを見ても“ここまでやるの!?”という感じで……」と振り返る。
例えば、情報資産の洗い出しでは、サンプルの資産分類を見て、自社の資産がその中に収まるかを検討する。しかし、それが“適切”であるかどうかの判断は難しい。パソコンを1台ずつカウントしていくと膨大な数になるが、その1台1台に対して管理策を適用することは難しい。“グループ化する”という対応策を編み出すまで試行錯誤が続いたという。
■現場を巻き込むことで、成功したセキュリティ対策
一方、リスクアセスメントでは、まず、“リスクとは?”“脅威とは?”という基本的な疑問に向き合った。ある程度理解した後、リスクアセスメントを行ったが、対象とする脅威をどの程度まで想定するか(範囲を決定するか)で再び試行錯誤。範囲を広げ過ぎると対策も多岐にわたり、煩雑になる。しかし、縮め過ぎると、起こり得る可能性のあるリスクに対応できなくなってしまう。バランスを考慮し、いかに現実的な選択をするかがポイントだと気付くまでが大変だったそうだ。「最初は天変地異のレベルまで広げました。が、“現実的”であることが重要と考え、対象資産の特性を組織としてどう評価するかに立ち戻って識別作業を行いました」と語る窪田氏の言葉どおり、この作業の線引きは難しい。認証取得の担当者が最も苦労する部分だ。
ちなみに、同社では、全社レベルの情報セキュリティの推進活動を行っている情報セキュリティ委員会とは別に、認証取得に向けてISMS取得委員会を設置した。ここには、各部門のセキュリティ責任者7名が加わった。“現場”をよく知る人間が委員会に参加することの利点は大きい。リスク評価・分析、管理策の策定では、より現実に即した内容が提案・吟味され、適切な選択肢・管理策を選ぶことができるし、策定したルールと実際の運用にギャップがないかどうかの判断も的確に行える。矛盾があった場合のフィードバックもスピーディだ。
このことが「社員の意識にも好影響を与えた」(窪田氏)という。 ルールの策定・運用は、現場の人間が意識を持ってくれないと徹底できできない。現場を知る人がISMSを理解し、積極的に取り組もうという姿勢を持つことが好結果につながるのだ。その点、同社の場合、現場を巻き込むことでISMSに対する意識が高まり、「“仕事をするうえでの基本ルールとしてのセキュリティ”という共通認識を得ることができた」と窪田氏は成功の要因を語った。
さらに、このシステムは、教育の面でも威力を発揮した。同社の場合、まず、セキュリティ管理部がISMS取得委員会のメンバーに認証基準の概要やルール体系などを解説し、ステップ(マネジメントの枠組み)ごとに具体的な方法を提示。その後、一般社員に向けてプレゼンを行った。しかし、一度のプレゼンですべてを理解してもらうことは難しい。そこで、以降の教育は委員会のメンバーが担当し、日常業務の中や課会の場で実務的な教育を行ったという。また、セキュリティ管理部が2カ月に1回配布する(セキュリティに関する認識を確認するための)チェックシートの結果もメンバーが活用。課内の事情・特性を熟知している立場で状況を把握し、現場におけるセキュリティ教育へとつなげている。
 |
| 「ルールの策定・運用は現場の人間が意識を持ってくれないと徹底できない」と語る窪田氏 |
なお、同社では、2002年6月に第一事業本部(現エンジニアリング事業本部)の2部門で認証を取得した後も、“セキュリティのレベルを上げる・範囲を広げる”という姿勢でさまざまな活動を継続。既存のポリシーの見直しや運用面でのチェックのほか、“情報セキュリティ三原則・五箇条”を記した定期サイズのカードの配布や、ポスターを貼ることなどで社員を教育・啓もうしている。“技術も大事だが個人も重要”というスタンスだ。
また、他部門、事業所の認証取得も推進。その結果、2003年6月には、つくば事業所と宇都宮事業所に対象範囲を拡大して認証取得(対象人員:150名)し、2003年7月には、新規にソリューション事業本部の2部門(対象人員:40名)で認証を取得した。人員レベルでいうと、全社の1/4がすでに認証の対象となっている。
同社の場合、ソフトウェア開発、サービス部門というように、それぞれ業務内容が異なっている。また、ISMS認証基準のバージョンアップ*1に対応するためには差分の理解も必要だ。窪田氏も「現場の特性・事情に合った基準を作るためには、一から取り組むことになりますね。差分を適用させる必要もありますし。最初のときのような試行錯誤はありませんが、実作業はやはり大変です」と語っている。ただ、業務内容を知らないと困難なリスク分析などは、それぞれの現場の人間に協力してもらい、構築しているという。現場の人間を巻き込むことの利点はここでも活用されている。
*1
ISMS認証基準(Ver.2.0)移行スケジュール(財団法人日本情報処理開発協会)
◇
| 事業者名称 | キヤノンソフトウェア株式会社 |
| 事業者部門名称 | エンジニアリング事業本部 |
| 対象人数 | 150名 |
| 登録範囲 | 顧客要求事項に基づくソフトウェア並びに自主企画ソフトウェアの開発および付帯サービス |
| 認証基準 | BS7799-2:2002/ISMS認証基準(Ver2.0) |
| 初回登録日 | 2002年6月27日 |
| 再発行日 | 2003年6月26日 |
| 認証登録機関 | 日本検査キューエイ株式会社 |
| 事業者名称 | キヤノンソフトウェア株式会社 |
| 事業者部門名称 | ソリューション事業本部 |
| 対象人数 | 40名 |
| 登録範囲 | コンピュータシステムのアウトソーシングサービス、ホスティングサービス、ハウジングサービス、ネットワークセキュリティの構築運用サービス、オープンシステムを対象とするネットワーク経由の運用監視・管理サービスおよびその付帯業務 |
| 認証基準 | BS7799-2:2002/ISMS認証基準(Ver2.0) |
| 初回登録日 | 2003年7月3日 |
| 認証登録機関 | 日本検査キューエイ株式会社 |
| 筆者Profile |
| 武田文子(たけだ ふみこ) 東京都出身。何となくコンピュータ業界に入り、転職でアプリケーションソフトウェアなどのマニュアル制作に携わる。その後独立し、IT関連を中心に取材・執筆活動を開始。現在、新聞・雑誌、書籍、広告などの原稿執筆を行っている。 |
| 参照サイト | |
| 情報セキュリティマネジメントシステム(ISMS) 適合性評価制度 | |
| BSI Japan | |
| ISO/IEC JTC1/SC27 | |
| JISC(日本工業標準調査会) | |
| OECD(経済協力開発機構) | |
| 経済産業省 商務情報政策局 情報セキュリティ政策室 | |
| 情報処理進行事業協会 セキュリティ評価・認証 | |
| 関連記事 | |
| 開発者が押さえておくべきセキュリティ標準規格動向 | |
| 連載 実践!情報セキュリティポリシー運用 | |
| 連載 情報セキュリティマネジメントシステム基礎講座 | |
| 電子メールセキュリティポリシー導入の必要性 | |
| 自主性が要求されるセキュリティ対策の新ガイドライン | |
| 企業IT管理者を対象としたセキュリティ研究会が発足 | |
 |
連載:BS7799、ISMS認証取得の実態を聞く |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
