策定期間短縮のススメ:実践! セキュリティポリシー運用(2)
前回の「第1回 情報セキュリティポリシー入門」では、情報セキュリティポリシーとは何か、なぜ必要なのか、情報セキュリティポリシーを運用することと策定することの違いなどについてお話しした。
今回は実際に情報セキュリティポリシーを策定する方法とそのポイントについて説明していこうと思うが、その前に情報セキュリティポリシーの理解をより深めるために、情報セキュリティポリシーの基本的な構造の概念と、国際標準などについて解説していく。
情報セキュリティポリシーの基本的な構造の概念
まず、基本的な構造の概念について説明すると、情報セキュリティポリシーは次の図のような階層に分けて考えることができる。
情報セキュリティポリシーの基本的な構造●基本ポリシー(基本方針)
一番上の階層はいわば経営者の「情報セキュリティに本格的に取り組んでいく」という宣言部になる。
情報セキュリティポリシーは、従来のような、特に指示などは出されず、気付いた人、知っている人だけが行うという個人任せのセキュリティから脱却するためのものである。そして、全社的にセキュリティ対策を行うことに意義があり、ある程度の強制力を持って実施されるべきものだ。そのため、具体的な規定の内容の「理解」だけでなく社員の同意を得る必要がある。これは一般企業においては経営者が果たすべき役割であり、具体的な規定の前に記述されるべきことである。
●スタンダード(基準群)
この部分に、実際に守るべき規定を具体的に記述する。適用範囲や、対象者を明確にし具体的に分かりやすく記述することが望ましい。また、その規定を守らなければならない理由と、守れなかった場合に考えられる具体的な脅威の例などを併記するとより理解度、同意率が上がる。
●プロシージャ(手順書群)
この部分にはスタンダードを実施するための詳細な手順を記述する。マニュアル的な位置付けととらえると分かりやすいかもしれない。
スタンダードと、プロシージャをそれぞれどの程度まで具体的に書くのかということについてはいろいろなパターンが考えられると思う。
例えば、スタンダードには、
- パスワードは自分にとって覚えやすく、他人に推測されにくいものを設定する
とだけ記述しておいて、プロシージャで、
- パスワードは6文字以上でなければならない
- パスワードに氏名、住所、電話番号などの個人情報を使用してはならない
などのように、より具体的に規定を記述する場合もある。さらに、全社的なものと管理者などにグループ分けをして管理することもでき、その場合のスタンダードには、全社向けに企業の標準値となるものを、
- パスワードは6文字以上でなければならない
という記述をして、サーバ管理者にだけプロシージャに、
- パスワードは8文字以上でなければならない
と全社的なものよりもレベルが1段階高い内容を記述するという場合もある。
| 全社的なポリシー | 管理者向けポリシー | ||
|---|---|---|---|
| スタンダード | 内容 | 一般的な規定を記述 | より具体的に規定を記述 |
| 例 | パスワードは自分にとって覚えやすく、他人には推測されにくいものを設定する | パスワードは6文字以上でなければならない | |
| プロシージャ | 内容 | 企業の標準値を記述 | 対象者別に値を変えて配布 |
| 例 | パスワードは6文字以上でなければならない | パスワードは8文字以上でなければならない | |
| ターゲット別のスタンダードとプロシージャ設定例 | |||
ただし、ここで説明したことはあくまでも概念的なものであって決まりではないということを付け加えておく。情報セキュリティポリシーの階層は、3階層でない場合もあるし、基本ポリシー、スタンダード、プロシージャという呼び方についても特に決まった名称というわけではないので、必ずしもこの構造や呼称どおりにする必要はない。
階層の考え方は企業の組織に即した方式を採用すればよいし、各階層の名称に関して慣習的に使用している呼び方などがあればむしろそちらを使用した方が、社員への浸透度も高いだろう。
情報セキュリティにかかわる国際標準と国内規格の動向
次に、前回少し触れた情報セキュリティポリシーにかかわる国際標準と日本国内の規格、制度の制定などの動向について詳しく解説したいと思う。
情報セキュリティにかかわる国際標準にはさまざまなものがあるが、特に情報セキュリティポリシーについてのみみた場合には、「BS7799」が最も一般的であろう。
この記事を読まれている方のほとんどはBS7799という単語を耳にしたことがあるだろう。BS7799は英国規格協会が発行した規格で、以下の2部から構成される。
- 第1部:情報セキュリティマネジメントのための実践規範
- 第2部:情報セキュリティマネジメントシステムのための仕様
1995年に初版(この時点では第1部のみ)が発行された後、1998年には第2部が制定される。その後第1部、第2部共に改定が加えられ1999年5月15日に現在の最新版となった。
BS7799は企業における情報セキュリティ全体を対象としており、広範囲にわたる分野が規定されている。具体的には、次の10個のセキュリティ管理分野が規定されている。
- セキュリティ基本方針
- 組織のセキュリティ
- 資産の分類および管理
- 人的セキュリティ
- 物理的および環境的セキュリティ
- 通信および運用管理
- アクセス制御
- システムの開発および保守
- 事業継続管理
- 適合性
これらの10個の管理分野が、セキュリティを実施する目的別に36項目に分けられており、さらにそのセキュリティ対策を実現するための詳細管理策が、127項目にわたって規定されている。企業はこの127項目の管理策のうち適切なものを選択してセキュリティ対策を実施していく。
第1部と第2部は、すべてではないが大部分が対になっていて、第1部は第2部に規定されている127項目の詳細管理策を実施するうえで考えられる例も記載されており、ガイドライン的な位置付けであるといってよい。
2000年11月にはBS7799の第1部のみが「ISO/IEC 17799」として国際標準化された。これを受けて日本国内においては、2001年9月にISO/IEC 17799を翻訳した「JIS X 5080」が日本規格協会の情報技術専門委員会で承認された。また、2001年度からBS7799の第2部を基にした「ISMS適合性評価制度」のパイロット運用が開始され、4月現在ではすでに本格運用が開始されている。
2002年2月3日の時点で、このパイロット運用の審査において仮認証という形式ではあるが、39パイロット事業者中18事業者が認証を取得済みであった。パイロット運用の審査ではその審査基準としてISMS適合性評価基準のバージョン0.8が使用されていたため、2002年の4月からの本格運用開始後は、バージョン0.8とバージョン1.0の差分についてのみ審査を受ければよいので、仮認証を取得しているパイロット事業者のほとんどは、この4月中にも本認証を取得すると思われる。
ISMS適合性評価制度は、その基準の中身を見れば一目瞭然なのだが、BS7799の第2部とほとんど変わりはない。しかし、この制度はBS7799の流れのみをくんでいるわけではない。
情報サービス業を行う事業所を対象とした安全対策認定制度として「情報処理サービス業情報システム安全対策実施事業所認定制度(安対基準)」が、1981年より旧通産省によって運営されていた。
この制度は、情報システムに関して一定の安全対策が施されている事業所を国が認定することにより、情報サービス業における安全対策の実施の促進を図ることを目的とするものであり、この制度の認定を取得していることが入札条件となる事業も少なくなかったこともあって、全国で約200の事業所がこの認定を取得していた。
当時の「情報サービス業における安全対策」とは、地震や停電などの災害による物理的な脅威からサーバやデータを守ることが主目的であったため、インターネットの普及に伴って増加してきた不正アクセスなどへの配慮がされていなかった。この点を補うため、2001年3月をもって安対基準は廃止され、それに取って代わる認定制度としてISMS適合性評価制度が発足したのである。
このため、ISMS適合性評価制度のパイロット運用の候補者を選定する場合も、安対基準を取得していた事業者が優先的に対象とされたし、本格運用が始まったいまでも、まずは、情報処理サービス事業者が主な対象とされている。しかし、第1回で解説したように企業が守るべき「情報」は必ず各企業に存在するわけであるし、BS7799の枠組みは情報サービス事業者用に特別に考えられているわけではない。
初めこそ敷居が高いとされるかもしれないが、いずれは一般的な制度になっていくことは間違いないだろう。
コンサルタントに策定してもらうのが最良か?
さて、ここからは実際に情報セキュリティポリシーの策定方法について説明していこう。
一般的に情報セキュリティポリシーを一から策定する場合、最短でも3カ月かかるといわれている。しかも、これは経験が豊富で高いスキルを持つ優秀なコンサルタントにすべて策定を任せた場合であって、コンサルタントのアドバイスを受けながら社員要員のみで策定した場合は1年から1年半、社員の中から専任者を任命して策定した場合に至っては、情報セキュリティポリシーの勉強をしつつ、自社の現状に即した情報セキュリティポリシーを策定するわけであるから最短でも1年半はかかってしまうだろう。
そこで現状では、より早く情報セキュリティポリシーを導入するため、また、初めから自社の現状に沿った完璧なものを作っておきたいなどという考えから、コンサルタントに一からオーダーメイドで策定してもらう方法を取る企業は少なくない。
しかし、この方法はコストがかなり高くつくことは間違いない。情報セキュリティポリシーの導入を必要経費としてかなりの予算を割くことができる企業はいいが、バブル期とは異なりいくらでもコストをかけられるという企業は少ないだろう。
また、この方法が果たして最大の効果を上げるかというと、そうともいい切れない。なぜなら、コンサルタントは情報セキュリティポリシーのプロであるが、各業種すべてに精通しているとは限らないのだ。例えば、金融に強いコンサルタントもいるであろうし、製造業に詳しいコンサルタントもいるであろう。また、コンサルタントにどの程度の経験があるか、例えば、実際にISMS適合性評価制度の認定取得に携わった経験があるかないかによって出来上がったもののレベルに差が生じてしまうという事実も否めない。
そして何より、コンサルタントは情報セキュリティポリシーの運用まではしてくれないからだ。運用に関するアドバイスはできても、運用そのものをコンサルタントが行うことはできない。実際の運用を行うのはほかでもない、その企業の社員である。企業の情報資産を守るのは自分たち自身であるということを忘れないでほしい。
以上のことを考えると、コンサルタントのアドバイスを受けながら社員要員のみで策定する方法が一番効果が上がりそうだ。しかし、それでは最短でも1年程度かかってしまう。では、この問題をどうやって解決すればよいのだろうか?
策定期間短縮のススメ
短期間でかつ、低コストで効果が高いなどという都合のいい策定方法があるのだろうか?
その答えは1つだけある。それは、“サンプルを用いる”という方法だ。
情報セキュリティポリシーを策定する期間を短縮するために、サンプルを用いるということを、効果的な情報セキュリティポリシーを実現する2番目のポイントとして挙げておこう。サンプルを利用することで削減できる、策定にかかる労力とコストを運用の方に回せるのだ。
サンプルを利用することにより策定機関を短縮できる情報セキュリティポリシーの運用は策定よりもさらにコストと時間がかかる作業である。本来、情報セキュリティポリシーを策定するのは運用してセキュリティレベルを上げることが目的にほかならない。このことを考えれば運用が策定よりもはるかに大変であることは容易に分かるはずだ。しかし、第1回で解説したように、とにかく情報セキュリティポリシーを持ちたいと考えている企業が多いため、このことは意外と忘れられている。そして、それが災いし、情報セキュリティポリシーの策定に期間とコストをかけ過ぎて、運用に手が回らなくなってしまうという失敗例は多数存在している。そのような失敗を回避するためにもサンプルを利用することが効果的である。
前述の「情報セキュリティポリシーの基本的な構造の概念」の項の冒頭で例として挙げたが、情報セキュリティポリシーには、
- パスワードは6文字以上でなくてはならない
- パスワードに氏名、住所、電話番号などの個人情報を使用してはならない
といった、細かい値こそ変わるかもしれないが、どの企業でも必要になりそうな共通する部分が多くある。そのような規定を一から策定することが効率的でないことは一目瞭然(りょうぜん)だろう。
また、どんなに時間とコストをかけて、良い情報セキュリティポリシーを策定したと思っていても、実際に運用してみると、実情に即していない部分や、厳しすぎてだれも守れず形骸化してしまうなど、運用して初めて分かるということが必ずあるものだ。初めから完璧なものを求めず、サンプルを多少カスタマイズしたものを、まずは導入してみて徐々に実情に即したものに近づけていくというのも1つの方法である。
サンプルを用いるというこの方法は、一言でいってしまうと至極簡単なことなのだが、まだ、見本となるもので世の中に出回っているものは非常に少ないというのが現状である。しかしながら、情報セキュリティポリシーのコンサルティングを行っている会社がサンプルそのものを販売していたり、サンプルから多少のカスタマイズを行えるソフトウェアが販売されているなど、サンプルをベースにして策定するという方法は確実に世の中の流れとなってきている。
筆者も参加させてもらっているJNSA(日本ネットワークセキュリティ協会)のワーキンググループが作成したサンプルポリシーは無償で手に入れられるので、参考にするとよい。
次回は、実際にJNSAのサンプルポリシーを用いた、情報セキュリティポリシーの策定方法の解説を行っていく。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。