セキュリティポリシーの国際標準、BS7799とは何か?

2001/9/1

 企業システムのセキュリティ対策に欠かせないのがセキュリティポリシーだが、これに関する国際標準が定まりつつある。ファイアウォールやログ解析ツールなどのベンダであるアズジェントは、8月30日にセキュリティポリシー策定の国際標準「BS7799」を紹介するセミナーを開催した。同社は今年7月にJASDAQ(株式店頭市場)上場を果たし、このセミナーはそれを記念したもの。

 セキュリティ対策には、管理面、機器面、データ処理面と3つの切り口があるが、「特に内部の人間の管理を含む管理面がここ数年注目されている」とアズジェント アドバイザ 田淵治樹氏。では、なぜ国際標準が必要なのだろうか。「セキュリティ対策の特性として、“100%”がない点がある」(田淵氏)。そのため、技術や投資の最低基準が求められるというわけだ。

 BS7799は英国で定められたセキュリティポリシーを策定する規格。パート1とパート2の2部構成で、パート1には情報セキュリティ管理の実施基準が、パート2にはその仕様が書かれている。このうちパート1(「BS7799 Part1」)は2000年、国際標準化機構ISOと国際電気標準会議IECより、ISO番号(ISO/IEC17799)が与えられ国際標準となった。セキュリティに関する国際標準には、技術標準のISO/IEC 15408が別にあり、2つの標準を組み合わせることで管理と技術の両方での対策に関して認証が受けられる。

 BS7799はパート1とパート2が連携して機能するように作られている。同規格を利用してセキュリティポリシーを策定する場合、まず対象のシステム(自社のシステム)のリスクを分析する。パート1(ISO/IEC17799)には、「セキュリティポリシー」「セキュリティ組織」「情報資産の分類および管理」など、10の管理分野があり、それぞれの分野について管理策がリストアップされている。管理策の項目数は127あり、すぐにでもチェックリストとして使えるものだ。

 パート1から必要な管理項目を選定したら、パート2に沿ってISMS(情報セキュリティ管理システム)を構築する。パート2は実施すべき作業が6つのステップに分けて列記されている。パート1が“すべきである(should)”であるのに対し、パート2は“しなければならない(shall)”。審査や認証目的に使えるガイドラインで、セキュリティポリシーの策定に加え、リスク評価、管理策の選択・実装、リスク管理が行える。

 説明を行ったテッド・ハンフリー(Ted Humphereys氏)は、XiSEC Consultants取締役。23年間セキュリティ業界におり、ISO/ISE17799とBS7799にも携わった人物。同氏は、特に、セキュリティポリシーを策定してリスク評価を行う重要性を強調した。「(セキュリティ対策が不備なために受ける)被害とコストのバランスを取ることが必要となるが、リスク評価はバランスを決定する有効な手段となる」(ハンフリー氏)。リスク評価は、最初は時間がかかるかもしれない。しかし、いったんリスク評価を行ってリスク値を算出すれば、後は定期的に見なおせばよい。リスク評価から得られる結果により対策の優先順位付けができ、適切な管理行動がとれるなど得られるメリットは大きい。

 セキュリティポリシー策定のもう1つの重要な点に、「(セキュリティポリシーの策定は)経営者により行われる必要がある」と先述の田淵治樹氏は述べている。

 なお、BS7799 Part1にあたるISO/IEC17799は、日本でも経済通産省がJIS(日本工業規格)として定める予定だ。

(編集局 末岡洋子)

[関連リンク]
アズジェント

[関連記事]
eビジネス、Webサービス時代のセキュリティの課題は? (@ITNews)
勤務中のネットの個人利用、日本でも規制へ? (@ITNews)
意識の格差が指摘されるセキュリティ対策 (@ITNews)
企業IT管理者を対象としたセキュリティ研究会が発足 (@ITNews)
コーディネーションが不可欠な企業のセキュリティ (@ITNews)
セキュリティ専任者がいる企業は約半数 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -