株式会社アズジェント 駒瀬彰彦

■はじめに

 インターネットの普及やコンピュータの一般利用の増大などにより、企業はもちろんのこと、一般生活や社会活動において、情報システムに依存する傾向は増加する一方である。それらの情報システムが取り扱うもの、すなわち情報は、各組織にとって重要性が益々高まり、従来の「人、物、金」という経営資産の1つとして取り扱われるようになってきた。その一方で、情報システムにおけるセキュリティ対策の不備に起因する様々なインシデントも多数発生し、個人情報や機密情報の漏洩、システムダウンによるサービス停止など、連日連夜のように新聞や雑誌に記載され、その影響は深刻なものになりつつある。
 このように多様なリスクに対応するセキュリティを実現するためには、もはやウイルス対策ソフトやファイアウォールなどの技術的対策だけでは不十分である。仮に技術的な対策をとっていても、それらを適切に運用する人やシステム運用の弱点を克服しなければならない。2003年8月に猛威をふるったMSブラスターを例にとってみても、本来行っておくべきOSのアップグレードの怠りや外部で感染したPCを社内LANに接続し、感染させてしまった事例などが数多く報告されている。このような事例は、技術的な対策と合わせて、マネジメント面におけるセキュリティ対策(情報セキュリティマネジメント)の重要性を示している。
 わが国においても、情報セキュリティマネジメントにおけるセキュリティ対策の重要性を認識しており、2002年4月より、BS7799-2を参照した情報セキュリティマネジメントシステム(ISMS)適合性評価制度の本格運用を開始し、また2003年4月より情報セキュリティ監査制度を開始した。
 また、2003年10月には、世界水準の「高信頼性社会」実現による経済・文化国家日本の競争力強化と総合的な安全保障向上を目的とした「情報セキュリティ総合戦略」を発表し、ISMSの構築を推進している。
 ISMSとは、品質マネジメント(QMS)や環境マネジメント(EMS)と同様にPDCA サイクル(Plan→Do→Check→Act→Plan・・・)を採用している。情報または情報処理プロセスを中心にそれを取り巻く環境(技術、人、施設、法など)に対しての統制をとるための組織をつくり、そこからリスクマネジメントを中心に、基本方針、基準、手順書などのセキュリティポリシーを策定していく。策定されたドキュメントやルールは、全関係者に周知徹底され、教育される。また、これらのセキュリティポリシーは、事故報告からの是正処置や予防処置のために見直され、さらなるセキュリティの向上のために必要があれば改訂される。利害関係者から要求されるセキュリティ要件や法的な要件、ビジネス要件などを認識し、それに伴うリスクを識別しながら、適切な保護対策を情報資産に施していくのである。

 情報セキュリティの実装、実施を円滑に進めるには、まず、経営陣やマネジメント層によって基本方針が策定され、その方針を受け、各々の責任が割り振られ、情報の特性やリスクに応じて、適切な管理策が施され運用されていく必要がある。そのため、ネットワーク管理者やアプリケーション開発者などは、取り扱う情報資産に潜在するリスクや事業目的に起因するセキュリティ要求事項などを正しく理解、評価し、必要があればトレーニングなどを受講しながら適切に保護していく必要がある。また、同時に導入した管理策が適切でしかも効果的に作用していることを測定する手段やプロセスを設計しなければならない。




図1 情報セキュリティマネジメントシステムが対象とする適用範囲のイメージ

セキュリティポリシーの確立

 このようなISMSの必要性や構築のための考え方やプロセスについては、政府や民間の努力の基、確実に多くの組織まで広まっている。しかし、残念ながらそれらを実施する企業または組織は十分な数にいたっていない。ここ数年に渡り企業を対象に、セキュリティポリシーの策定状況に関する様々な調査が行われているが、約30%の企業がそれらを実装しているにすぎない。また、既に策定したとしている組織においても、単に専門家やSI などが作成したものを利用(?)しているだけで、実際の業務に則さない場合も多い。業務に則さない多くの理由は、自らが組織内にある情報資産に対し、要求されているセキュリティ要求事項を理解し、各々の業務のために運用されている情報システムやその運営に携わる社員や外部関係者などの潜在的なリスクを識別した上で、経営陣とセキュリティ担当者間でその対策を十分に検討するといったリスクコミュニケーションの欠如に起因していることが多い。業務に則したセキュリティポリシーを策定しなければ、それらは運用のためには単なる邪魔な物でしかなく形骸化を起こしてしまうのである。

 2003年12月10日現在、262の企業または組織がISMS適合性評価制度の認証を取得している。ここ数ヶ月で取得事業者は急増しているものの絶対数は決して多くはない。
 また、認証取得事業者の業種を分析してみると、図2のような結果となる。

 結果からもすぐにわかるように、認証取得事業者は情報技術の業種に集中している。このことは、いわゆる情報システムの運用やそれらに有用な商品などを様々な形でサービスとして提供する情報技術の業種は、その必要性を認識し、また、その道の専門家としてISMSを確実なものにしている一方、それらのサービスの利用者であるその他の業種にはまだ浸透していないようである。これでは、インシデントが減少していかないどころか、一度発生させてしまうと、専門業種でないがゆえにその対応に戸惑い、被害が拡大してしまう恐れがある。本制度やセキュリティ監査制度が、横展開され、様々な業種に浸透させていくにはコンサルタントやSIがさらなる普及啓蒙の努力をしつづける一方、各企業や組織は組織経営に不可欠である情報を適切に保護するための業務改革をベンチマーキングなどを活用しながら成果をあげていくことが望まれる。


           図2 業種別区分表
BS7799、ISMS を核とした、企業および自治体におけるセキュリティポリシーの確立について

自治体での取組み

 さて、e-Japan 戦略としての電子政府が2003 年から本格稼動を開始した。総務省では、都道府県を通じて、全国の地方公共団体における2003年10月1日現在の情報セキュリティポリシーの策定状況及び個人情報保護条例の制定状況を調査し、11月7日,地方公共団体における情報セキュリティポリシー(情報セキュリティ対策に関する基本方針)等の策定状況として調査結果を発表した。
 結果は,47都道府県のうち44(93.6%)が情報セキュリティポリシーを策定しているという回答に対し,市区町村は3,204自治体中、1,590(49.6%)であった。個人情報保護条例の制定に関しては,都道府県が100%,市区町村が76.7%という結果であった。
 都道府県レベルでは、ほとんどがセキュリティポリシーは策定しており、20万人以上の人口の自治体においても同様な状態であるようだ。千葉県の市原市は、ISMS 適合性評価制度の認証を既に取得している。
 一方、住民人口が少なくなるにつれ、情報セキュリティに対する対応が遅れているという傾向がある。このことは、自治体における職員数に深く関係があるようだ。例えば、情報システムの担当者とセキュリティ担当者はその職務を兼任することなく運用していくことが望ましいが、そのような体制を組むに十分な要員の確保が困難な状態である。
 また、職員数の少ない自治体においてはセキュリティ対策を厳密に実行することは、逆に行政業務の向上につながらない可能性があることを主張する職員も少なくはない。確かに、自治体はこうした諸条件を吟味し、自治体の環境・条件に適合した独自の情報セキュリティ対応策を検討する必要がある。しかし、そうした環境下においても、市民からの情報の取り扱いに対する期待を強く認識し、適切な業務を遂行するためのリスクを識別した上で最低限、職員に対する教育や外部委託業者に対するセキュリティ面を十分に考慮した契約や業務内容の確認を怠ってはならない。たとえ、組織が少人数で運用されている場合でも、各要員の意識が高まればそこから波及される効果は絶大なものになるからだ。
 セキュリティポリシーアライアンスでは、これらのISMS構築に関わるご相談に様々な形でのることができる。ご興味のある方は、http:/www.policyalliance.com/に問い合わせていただきたい。

駒瀬 彰彦(こませあきひこ)

株式会社アズジェント
取締役 セキュリティ・ポリシー事業部 事業部長ISMS 適合性評価制度技術専門部会・主査、英国BSi(British Standards Institution)認証BS7799スペシャリスト、財団法人インターネット協会セキュリティ研究部会・副部会長、2003年4月より立教大学大学院ビジネスデザイン研究科非常勤講師

●暗号技術を用いた機密情報保護、認証システムの設計、開発等を担当。また、ネットワーク・セキュリティ・コンサルティングに従事。現在、セキュリティポリシー構築支援ツール「M@gicPolicy」の開発やリスク評価・リスクマネジメントのための「RA ソフトウェアツール」の日本語化やISMS 構築のためのコンサルティング業務に携わっている。



 

 


Copyright:(C) 2003 BUSINESS COMMUNICATION All Rights Reserved