 |
企業情報を守るための基本
【実録】ISMS構築・運用ステップ・バイ・ステップ
第1回 ISMS認証取得セキュリティ委員会の役割
シーフォーテクノロジー
ITセキュリティ委員会
2003/7/5
| 連載にあたり いまや多くの企業や組織で必要性が認識されつつある情報セキュリティマネジメントシステム(以後ISMS)。このISMSの要素には、各種システムの導入の検討や、策定した規定および関連法規の順守、教育の実施や見直しなどが含まれる。 ISMSを策定するに当たって、既存のシステムや企業の風土を考慮して構築していくことが望ましく、各企業や組織に特有であることが自然であり、効率的に運用していくという観点からも適当であろう。このような特徴から、どの企業にもマッチするような万能な鋳型(サンプル)は存在しない。また、ほかの企業のISMSをそのまま“まねる”だけのものもよくない。人まねのISMSが自企業の風土に合っていないと、情報資産の漏えいは防げたとしても、実際の業務がとてもやりにくくなる問題があるからだ。 また、他企業の実践例を見る場合は、その企業の事業内容や環境などを念頭に置くとより内容を把握でできる。どの部分が自社のISMSの構築に参考になるか、またはならないかが、はっきりするだろう。 企業や組織のセキュリティ関連の情報はとかく外部に公表することはその性格上しにくい。しかし、本連載では、一例とはいえ、具体的な一企業の策定方法を追うことにより、ISMSの構築から運用、見直しまでの実際を具体性を持った形で解説していくことを目指す。 なお、 今回執筆を依頼したISMS構築における、主な特徴は下記のとおりである。
|
本連載では、株式会社シーフォーテクノロジー(以下C4T)のISMSの構築から運用、見直しまでの一連のプロセスを、一歩一歩順を追って説明していく。ISMSの特徴から、ほかの企業におけるISMSの構築状況を参照する場合、その対象とする企業の事業内容や環境などと関連付けて見ていくことが、実際の問題点とその問題点が解決されていく過程を理解するうえでも有効と考える。
そこで、実際の環境とそれに対する対策が比較できるよう、事業内容や環境などを具体的に明示するように努めた。また、各説明事項において、C4Tが採用した方法以外の、一般にいわれているほかの方法などについては、適宜
を付記するため、ぜひ参考としてほしい。
●対象組織の概要
最初に、今回対象とした組織の概要を説明する。
同社は、創業以後ある時期からIT関連製品の開発および販売が事業のメインとなり、特に製品開発に従事する従業員および営業活動に携わる従業員は、情報セキュリティに対する知識と正しい認識を持つべきだという判断から、情報セキュリティを考慮した管理体制を確立しなければならないという必要性を強く感じ、ISMSを採用することとした。
ISMSの構築により、情報セキュリティを確保するという本来の目的を最重要視しつつも、最初からISMSの第三者認証を取得可能なレベルでの構築を目指した。構築の際に参照する規格は、英国規格の「BS7799 Part-2」とした。
また、ISMS構築のメンバーは、同社の本来の風土を生かすという観点と費用面から、専門知識を有する外部の組織などを利用せず、内部の者のみで構成した。
実際に、ISMSを構築するためのプロジェクトを設置したのが、2002年4月であり、その後2003年1月から運用を開始した。また、2003年3月の事務所移転と組織変更を受けて見直しを行い、現在は、改定後の規定に従って実施している。
プロジェクト設置当時の社員数は30名程度であり、2003年5月の現時点では、派遣社員などを含めて70名程度となっている。要点をまとめると、同社は、ISMSを構築するためのプロジェクトを設置してから本格運用を開始する現在までの約1年の間に、
- 組織変更
- 事務所移転
- 組織内構成員の大幅増員
また、同社がISMSを構築するに当たり、
- 初めから認証を取得するに値するISMSの構築を目指す。
- 社員のみでISMSの構築、運用を行う。
- 組織のすべての部署および常勤しているすべての派遣社員を適用範囲に含める。
- 構築開始から運用までの期間は約1年とする。
- 顧問および外部の講師によるISMSに関連する講演会を開催する。
| ※お断り 本連載は、ISMSや情報セキュリティに対してある程度の理解があり、実際にISMSの採用を考えている企業の方を対象としている。従って、各用語の説明は行わないため、用語や仕組みの詳細解説は、@ITの他記事を参照していただきたい。 |
今回は、組織の動向とISMS構築までのプロセスを並行して記し、ISMSを構築する部門の設置からその運用内容までを説明していく。
| 会社の沿革〜ISMSの構築・運用に影響する部分の抜粋〜 | |
| 1997年 | インターネット動画配信事業を行う会社として設立 |
| 2001年2月 | 独自自社開発暗号技術を発表 |
| 2001年10月 | 情報セキュリティ事業に特化し、現在の社名に変更 |
| 2002年6月 | 組織変更 |
| 2003年3月 | 事務所移転 |
| 2003年4月 | 組織変更 |
| ISMS構築の沿革 | |
| 2002年4月 | セキュリティ監査を新設し、その管理下にITセキュリティ委員会を設置 |
| 2002年6月〜 | ITセキュリティ委員会・講演会を実施(毎月1回) |
| 2002年8月〜 | リスクアセスメントの開始 |
| 2002年10月 | 組織の情報セキュリティ基本方針を発表、適用範囲の決定 |
| 2003年1月 | ISMS運用開始 |
| 2003年4月 | 事務所移転、組織変更を踏まえて規定を改定、教育研修の実施、内部監査の実施 |
| 2003年5月 | 是正処置の実施 |
| まずはITセキュリティ委員会の立ち上げから |
●ITセキュリティ委員会の設置
2001年10月に、IT関連製品の開発および販売を主事業とすることとなった。このことから、社会や顧客からの安心感と信頼を得るためには、情報セキュリティを真剣に確保しなければならないと感じた。
ISMS構築のためのプロジェクトの立案は、実際にはセキュリティ部門の1担当者から、事業計画書として挙げられた。計画書の内容は、経営陣が描いていた内容とほぼ同様であったため、予算と人員計画を承認されることとなった。ここまでの部分は問題なく進行し、次に情報セキュリティを管理するための部門が設置され、その管理下に、実際にISMSの構築を進めるためのプロジェクトとして、「ITセキュリティ委員会(以後委員会)」を設置した。今後のISMSの構築、運用に関するすべての業務は、以後、委員会によって実施されることとなる。
一般的には、経営トップからの命令によるISMSの構築が望ましいとされている。ここでは、セキュリティ部門からの提案となっている。しかし、セキュリティ部門がない場合でも、システム管理者や総務担当者など、ISMSの必要性に気付いた者が申請を行えばよいだろう。また、当然のことではあるが、申請の内容は、経営トップが承認しやすいように、目的や効果を明確にし、根拠となる資料も用意しておくとよいだろう。 また、ここではプロジェクト名をITセキュリティ委員会としているが、組織にとって呼びやすければ何でもよい。本連載では、便宜上、委員会という略称を用いているが、了承していただきたい。 |
●委員会の構成
委員会は、設置当初、委員長と副委員長、委員、オブザーバーによる15名で構成した。委員長は取締役システム管理部長に、副委員長はセキュリティ部門長に依頼した。委員は、各部署から1名ないしは2名の者を指名した。また、委員から任意に選択した3名を事務局とした。ただし、最初の半年間は事務局員は1名で行った。
委員会の構成は、その役割に大きく左右される。リスクの分析を行う(リスクアセスメント)部門と実際に管理策を決める(リスクマネジメント)部門を分ける場合は、後者は部門長以上の経営陣で構成されるべきだ。大きな企業や団体であれば、このように2つの部門に分ける方が有効かもしれない。 同社では、小規模の組織のため、リスクアセスメントとリスクマネジメントを併せて行うこととした。このような場合は、少なくとも委員長は、経営陣のメンバーであるべきだろう。 なお、リスクアセスメントについては第2回で、リスクマネジメントについては第3回で詳細に解説する。 |
●情報セキュリティ責任者
ここで、ISMSで必要となる「組織における情報セキュリティ最高責任者」を経営トップとした。また、委員長は、情報セキュリティ最高責任者からの指名を受け、組織における情報セキュリティの管理責任者を務める。
だれが組織における情報セキュリティの責任者であるかは明確にしておくべきだ。また、文書などに記すとともに、全体会議などで発言するなど、全従業員にアピールをするとよいだろう。 同社の場合、経営陣の中には、費用対効果が明確に見えないなどの観点から、納得していない者もおり、組織内に意識の差も実際はあった。 しかし、経営トップの意思が変わらず、全体会議で年に何度か経営トップからの情報セキュリティの必要性に関する発言があったことで、委員および従業員の意識を維持し、現在までの効果的なISMSの運用につながっている。 このことからも分かるように、セキュリティ対策には、経営者のコミットメントが重要であると一般的にいわれている所以(ゆえん)であろう。 |
●委員の選定
委員会における当初の委員は、事務局で選出し、各部署の長に承認を得た。
一般的には委員会の委員は、各部署の長により選任されることが望ましいとされている。各部署の長が指名できるということは、少なくとも各部署の長までは、情報セキュリティに対する知識と意識があるということであろう。 同社の場合は、各部署の長まで浸透している状態ではなかったため、事後承認という形になった。可能であれば委員は、各部署の長により選任される方がよいだろう。 |
●委員会の役割
委員会における役割をタスクフォースと称し、下記のとおりとした。
- 情報セキュリティポリシーの策定
- ISMS関連事項の審議・決定
- ISMS実施状況の評価・見直し・改善
- 緊急対応
次に、各タスクフォースに関して、補足説明をしていく。
●情報セキュリティポリシーの策定
ISMS自体のことを情報セキュリティポリシーとした。従って、ここでいう情報セキュリティポリシーの策定は、情報セキュリティ基本方針の表明から適用宣言の表明までの一連の流れを指す。
・ISMS構築の流れ
ここで少し、ISMSの構築の一般的な流れを説明しておく。
- 情報セキュリティ基本方針
「情報セキュリティ基本方針」は、経営者が、“情報セキュリティに対して会社が本格的に取り組む”という姿勢を宣言するものであり、全従業員に知らされることが望ましいとされる。 - 適用範囲の決定
ISMSを適用する対象範囲をどこまでにするかを決定する。対象範囲は、組織にとって適切であり、達成可能であることが望ましいとされる。 - リスクアセスメント、リスクマネジメント
情報資産の分析を行い、管理策を選択する。また、結果は経営トップに承認される。 - 適用宣言
選択された管理目的および管理策、さらにそれらを選択した理由を文書に示す。 - ISMS関連事項の審議・決定
ISMSの構築および運用に関する関連事項全般において、課題に対する審議を行い、対策を決定する。 - ISMS実施状況の評価・見直し・改善
策定した情報セキュリティポリシーの実施状況を評価し、定期的な見直しと、必要に応じた改善を行う。 - 緊急対応
情報セキュリティ全般に関する各従業員からの問い合わせに随時対応していく。
上記タスクフォースも、こうしなければならないといった決まりはない。リスクアセスメント部門とリスクマネジメント部門を分けている場合などは、それぞれの組織に合わせた役割分担を行うとよいだろう。 |
- 説明会
全従業員を対象に、初回の委員会で下記の項目について説明を行った。
・ ISMSを構築し、運用をしていく目的と得られるであろう効果
・ ISMSの概要
・ ISMS構築のスケジュール
・ ITセキュリティ委員会のメンバー構成
| 同社では、初回に限り、全社員への説明を行った。これは、当時の社員数は30名程度であったため実現できたと思われる。2回目以降の委員会への参加は、原則的に委員に限定し、委員会での決定事項などは、各委員より各部署にフィードバックしてもらった。事務局としては、各委員に、各部署における情報セキュリティ責任者としての自覚を、徐々に持ってもらうことに留意した。組織が大きくなればなるほどこの意識の連携は欠かせなくなるだろう。 |
●委員会の開催頻度と時間
委員会は、昨年2002年6月に初回を開催し、その後、毎月1回の定期的な開催を行った。1回における所要時間は最長で3時間とした。どの会議でもいえることであるが、長すぎる会議からはよい案は浮かばないことが多いのだ。
●委員会の方針
事務局は、委員会の方針を下記のとおりとした。
- 司会者が一方的に話をすることがないよう、ディスカッション形式をとる。
- 各部署で通常業務の支障となる事項を委員が代表して議題提出し、早期解決に努める。
- 委員会の開始および終了時間は厳守し、臨時の委員会は基本的に行わない。
- 外部の経験者を招いて講演会を行い、委員の知識を高める。
同社での事務局を含め各委員は、通常業務でもタイトなスケジュールを抱えており、各部署から頂ける時間に限界があった。委員会でやり残した部分や、解決しきれなかった課題は、社内メールでのやりとりで進め、なるべく次回に持ち越さないようにした。従って、集まってディスカッションをした方がよいと思われる議題を最優先するようになった。 このように実際のセキュリティ委員などは通常業務と兼務をする場合が多いため、案件を先送りするとかなりの不確定部分が残ってしまう。ここに記述したように最優先議題を見極め、確実にスケジュールに乗っ取って進行することが大切である。 |
◇
今回は、ISMSの構築を担当する部門とその環境を中心に説明した。次回は、実際に行ったリスクアセスメントについて、苦労などを含めて説明していく。
「第2回」へ |
|
||||||||
|
||||||||
| Profile |
| 野坂 克征(のさか かつゆき) シーフォーテクノロジー勤務。セキュリティインテグレーション部所属。また、ITセキュリティ委員会として、ISMSの構築〜運用にも携わる。JNSA、JSSM、IPSJ、EiC会員。 |
| 関連記事 | |
| 開発者が押さえておくべきセキュリティ標準規格動向 | |
| 実践!情報セキュリティポリシー運用 | |
| 電子メールセキュリティポリシー導入の必要性 | |
| 書評 情報セキュリティポリシー策定に役立つ4冊! | |
| 情報セキュリティマネジメントシステム基礎講座 | |
| 自主性が要求されるセキュリティ対策の新ガイドライン | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
