 |
企業情報を守るための基本
【実録】ISMS構築・運用ステップ・バイ・ステップ
第3回 リスクマネジメントとその管理策
シーフォーテクノロジー
ITセキュリティ委員会
2003/9/4
「第2回 情報資産の洗い出しとリスクアセスメント」では、株式会社シーフォーテクノロジー(以下、C4T)における、情報資産の洗い出し、その資産に対する脅威と脆弱性を識別し、ビジネスにおけるリスクを考慮してリスクの格付けを行うところ(リスクアセスメント)までを説明した。今回は、リスクマネジメントとその管理策について説明していく。
| ※お断り 本連載は、ISMSや情報セキュリティに対してある程度の理解があり、実際にISMSの採用を考えている企業の方を対象としている。用語や仕組みの詳細解説は、セキュリティ用語事典や記事末の関連記事などを参照していただきたい。 |
| リスクマネジメントの定義 |
リスクマネジメントとは、リスクアセスメントの結果を受けて、リスクに対応するための方策を検討して、決定することである。
方策とは、おおよそ下記の4つの事項からなる。
- 適切な管理策の採用
リスクを減らすために対応策を実施すること。C4Tでは、BS7799に規程されている127の管理策をベースに、文書化した管理策を記す規程を作成した。管理策に関する詳細は後述する。
決定した管理策を全対象者が実行するためには、明文化したポリシーや手順として定めておく必要がある。また、これらのポリシーや手順は、ルールについての公式な表明であるため、対象者は順守しなければならない。対象者への定期的な教育、罰則事項の考慮などが重要となるだろう。
- リスクの許容
リスク値が許容できる範囲内ならばリスクを許容すること。C4Tでは、リスクアセスメントの過程で基準としたリスク値を下回るリスクを許容できる範囲とし、管理策施行後の残余リスクは、基本的にこの範囲に収まっている。
どのラインから管理策の対象とするのか、また、その根拠は、リスク基準として明確にしておくとよいだろう。
- リスクの回避
脅威発生の要因を停止したり、あるいは全く別のリスクの少ない方法に変更したりすること。管理策を適用できない場合や、適用してもリスク値が許容基準以上の場合、リスク移転ができない場合などにリスク回避を検討する必要がある。
例えば、電子メールという手段を用いて情報をやりとりしている際に、情報漏えいという大きな脅威に対して、管理策が適用できず、ほかの方法もなかったら、電子メールの使用自体を停止してしまう、といった手法である。C4Tでは、リスクの回避を行った情報資産は存在しない。
リスクの回避において、リスクを過大評価したり、情報資産価値を過小評価してしまうと、大事な情報資産を手放すことになりかねないので、注意が必要だ。
- リスクの移転
リスクを、保険業者や協力会社などに移転すること。C4Tでは、システムやネットワークを対象とした保険に加入したり、秘密保持契約の締結により対象資産に対するリスクを移転している。
リスクの移転は、新たなリスクを発生させたり、既存のリスクを変化させる場合があることを認識しておくとよい。
リスクマネジメントは、リスクのバランス(図1)を常に頭に思い描きながら行うとよいだろう。どの選択肢を採用するのか、判断がつきやすくなるからだ。
図1 リスクのバランス
| リスクマネジメントの準備 |
リスクマネジメントを行う際は、管理策を選択する基準や、プロセスを記述するシートを用意しておく必要がある。
ITセキュリティ委員会では、リスクマネジメントにおける管理策の選択基準およびその手順を、リスクアセスメント規程に規程した。さらに、実際の作業に用いるシート「財産目録」を用意した。
| ※補足 「第2回 情報資産の洗い出しとリスクアセスメント」で説明したとおり、C4Tでは、リスクアセスメントとリスクマネジメントを併せて「財産目録」で管理している。 |
 |
| 図2 リスクアセスメント、リスクマネジメントから承認までの流れ |
財産目録に記した、リスクマネジメントに該当する評価項目は下記のとおりである。
- 満足している(対策を必要としない)部分
- 満足していない(対策が必要な)部分
- 満足させるための(思い付く)対策
- 当該対策を採用した理由
- 対策実施後の評価内容および残余リスク
一般的なリスクマネジメントのプロセスは下記のとおりである。 (1)既存の管理策の評価 (2)新しい管理策の評価 (3)ポリシーと手順を定める (4)実行とリスクの軽減 (5)許容するリスクの容認 |
| リスクマネジメントの実行 |
以上でリスクマネジメントを行う準備が整った。委員会の委員を中心に、リスクアセスメント規程による基準や手順に従い、方策を財産目録に記述していった。
C4Tでは、リスクアセスメントを開始したのは2002年8月であるが、事務所移転計画があったこともあり、組織のセキュリティ要件を満たした設備を有する建物を見つけ出すために必要な部分、特に、物理的・環境的セキュリティとネットワーク環境に関するリスクマネジメントをほかの情報資産のリスクマネジメントより優先的に行った。
また、事務所の所在地や事務所内のレイアウトを決定するために、各部門の部員から構成されるプロジェクトを設けた。このプロジェクトには、ISMS(情報セキュリティマネジメントシステム)の観点から意見を述べる役として委員会の事務局員が参加した。この中で、一般フロアと開発フロアを仕切る手法について意見を求められたときは、事務局員がリスクアセスメントの結果に基づく2、3の対策案を出し、トップがその場で判断するといったこともあった。
リスクマネジメントにおける管理策を決定する際は、組織の予算を念頭に入れたうえで、資産価値と管理策にかかるコストとのバランスについても考慮するべきであろう。 |
| 管理策のフレームワーク |
リスクマネジメントにより決定した管理策は、全対象者が実行するために、セキュリティポリシーとして文書化して示すことが必要とされる。
C4Tでは、文書化したセキュリティポリシーを「ISMS規程」とネーミングした。「ISMS規程」のベースを作成するに当たり、「BS7799 Part1:1999」の第4章(これは、改訂後の「BS7799 Part2:2002」の付属書Aに当たる)に示される127の詳細管理策を大元にして、「BS7799 Part1:1999」、「DISC PD3000」シリーズ、「RFC2196」、JNSA発行の「ポリシー・サンプル」などを参考にした。
「ISMS規程」のベース作りは、財産目録の記入によるリスクアセスメントおよびリスクマネジメントと並行して行った。「ISMS規程」を作成する過程では、初めから完成形を目指すのではなく、一般に有効とされる詳細管理策のフレームワークを参考にベースを作成し、随時リスクマネジメントの結果を反映していく形で更新していった。
文書化した管理策、つまりセキュリティポリシーは、一般的に有効とされているBS7799などに示される管理策をベースにすると、漏れも少なくてよいだろう。ただし、BS7799をはじめとするこれらの管理策は、あくまでフレームワークにすぎないことを頭に入れておかなければならない。 組織を取り巻く環境や企業風土に合った、生きた管理策を作成するためには、リスクアセスメントおよびリスクマネジメントの結果を反映する事が大切であり、必要であれば、BS7799にない管理項目を追加すべきである。また、逆にすべての管理項目を網羅しなければならないわけではない。 |
●ISMS文書体系
前述したとおり、対策を行うすべての管理策は、文書化することにより全対象者に徹底しやすい。図3のとおり、文書体系を4段階の構成としている。
 |
| 図3 ISMS文書の構成と種類(拡大) |
最上段の情報セキュリティ基本方針は、組織の情報セキュリティ体制を表明するものである。詳細は、連載の第1回を参照頂きたい。上から2段目は、組織の情報セキュリティ対策の基本的姿勢と概要に関して記述した基準書などの文書で構成した。上から3段目は、対象者が実際にセキュリティ対策を実施するために必要な詳細手順を記述した文書で構成した。一番下の段は、組織が決めたセキュリティ対策に基づいて活動していることを証明するための記録などの文書で構成した。
ISMS文書は、最低限、基本方針と基準および手順書、証拠としての記録は揃えておくとよいだろう。また、文書構成の段数などにこだわる必要はない。 |
●「ISMS規程」の周知
ISMS文書体系(図3右側参照)における、一番上の情報セキュリティ基本方針から上から5段目のISMS諸規程までの文書を1ファイルにまとめ、「ISMS規程」と名付けた。ISMS規程は、全対象者が閲覧できるよう、各部門に設置した。また、電子データは、すべての従業員が閲覧できるように、共有サーバに上げて、周知を行った。
「ISMS規程」は、すべての対象者が見たいときに見れるようにしておくべきであろう。必要であれば、全従業員に配布するのもよいかもしれない。 |
●詳細管理策の概要
組織の情報セキュリティ対策の基準と、その基準に対する手順を記した文書が、セキュリティ対策基準書「AnnexA」(以下AnnexA)とISMS諸規程である。AnnexAの構成と内容を示す詳細管理策の概要は、おおよそ以下のとおりである。
 |
| 図4 詳細管理策の概要(章タイトル) |
全対象者には、この詳細管理策に基づいてセキュリティ活動を行う。そのため、 (1)容易に利用できること (2)読みやすいこと (3)常に最新の内容であること にポイントを置いて作成するとよいだろう。 |
●適用宣言書
適用宣言書は、BS7799およびISMS適合性評価制度で規程する詳細管理策について、組織のリスクアセスメントおよびリスクマネジメントの結果、組織がどの管理策を採用したかまたは採用しないか、さらに採用しない理由は何かについて記述した。
第三者機関によるBS7799などの規格の適合性評価を受ける場合は、適用宣言書の作成は必須になる。また、セキュリティポリシーのみを作成する場合でも、組織が採用する情報セキュリティ対策の結果を、管理者を含む対象者で共有できるメリットがあろう。 |
●社内諸規程の一部
ISMS関連の規程や手順書の作成に当たって、すでに存在している社内諸規程との整合性合わせや、調整も必要となる場合がある。
C4Tでは、人的セキュリティに関する管理策で、「BS7799 Part2:2002」の管理策でいうところの、「4.3.文書化」に関する要求事項に該当する管理策を、総務課がすでに発行している「文書規程」に、また、文書管理に関する管理策で、「BS7799 Part2:2002」の付属書Aの詳細管理項目でいうところの、「A.6.1.1.セキュリティを職責に含めること」〜「A.6.1.4.雇用条件」までの要求事項に該当する管理策を、同じく総務がすでに発行している「就業規則」によって規程している。
BS7799およびISMS適合性評価制度では、すでに施行している規程でISMSのセキュリティ要件を満たしている、または改訂で対応できる範囲の規程がある場合は、この規程で適用しているとしてよいとしている。 |
●各部門の手順書
各部門で活動をするうえで、さらに詳細な手順が必要と思われる事項について、各部門による内規を作成した。
これらの内規はISMS文書体系の規程の下に位置するものであり、規程の内容を順守していることが重要である。また、文書の管理も定められたルールに従って行うべきであろう。 |
●各種記録
規程に準拠した運用を行っていることを証明するために、記録、管理台帳、チェックリスト、帳票などの文書を作成した。
記録には、帳票類などのように手書きのものも、入退室ログのように自動的に作られたものもある。いずれにしても、読みやすく、明確にラベル表示され、運用に関する活動をさかのぼって追跡できるものである必要がある。また、容易に取り出せること、最低限の保護はされていることを確認するとよい。 特に、内部監査、第三者機関による監査を受ける場合、日々の運用の記録が重要な証拠となる。 |
| 管理策の実行 |
規程案について、委員会で十分な審議を行いながら規程を作成し、施行を行った。各部門の委員は、各部門の部員の規程の順守が確実か監視する義務があることを周知していた。
しかし、実際には、規程を順守しない部員、その部員を擁する部門の委員も規程順守の監視を怠った部門があった。事務局は、該当部門の部長より相談を受けたため、その部門の部長と委員に対して、セキュリティ要件を含むすべての責任は部長にあること、委員はセキュリティ要件に関して部長をサポートする存在であることを説明し、部門内におけるトップポリシーの重要性を説明した。結果、現在では、部長の監視の下に、「ISMS規程」の順守が徹底されている。
初期の委員を事務局で選任し、各部門の長に事後承認を得ていた(「第1回
ISMS認証取得セキュリティ委員会の役割」参照)。このことから、各部門におけるセキュリティに関する責任の所在が曖昧になっていたのかもしれない。現在では、委員会内規を作成し、
- 部長は、部内の情報セキュリティ維持に適任であると判断した者を委員に指名しなければならない。
- 委員は、所属する部門の部長を情報セキュリティの視点で助言し、委員会での決議事項を部長に正確に伝達しなければならない。
決定されたすべての管理策は、確実に実行されなければならない。また、部門長を含めた全従業員は、セキュリティ要件を満たすことが通常業務に含まれることが明確に認識されなければならないであろう。 |
◇
今回は、リスクマネジメントと管理策について説明した。次回は、ISMSを行ううえで必要不可欠なPDCAサイクルについて説明する。
 「第2回」へ |
次回は10月上旬掲載予定です |
|
||||||||
|
||||||||
| Profile |
| 野坂 克征(のさか かつゆき) シーフォーテクノロジー勤務。セキュリティインテグレーション部所属。また、ITセキュリティ委員会として、ISMSの構築〜運用にも携わる。JNSA、JSSM、IPSJ、EiC会員。 |
| 関連記事 | |
| 開発者が押さえておくべきセキュリティ標準規格動向 | |
| 実践!情報セキュリティポリシー運用 | |
| 電子メールセキュリティポリシー導入の必要性 | |
| 書評 情報セキュリティポリシー策定に役立つ4冊! | |
| 情報セキュリティマネジメントシステム基礎講座 | |
| 自主性が要求されるセキュリティ対策の新ガイドライン | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
