本記事では、セキュリティ技術や周辺テクノロジを日々取材されている筆者による、業界動向を順次掲載。セキュリティ関連の技術者、コンサルタント、ユーザーの方々へ向けて発信します(編集局)。
日本情報処理開発協会(JIPDEC)による「情報セキュリティマネジメントシステム(ISMS)適合性評価制度」が正式にスタートした。
すでにご存知の方も多いと思うが、ISMS適合性評価制度は、今年2月に公開されたJIS標準JIS X 5080(国際規格ISO/IEC 17799:2000)のベースである英国標準BS7799を基準としている。ある企業や組織が、セキュリティポリシーをはじめ、さまざまな側面から適切なセキュリティ対策がなされているかどうかを審査、認定するものである。
JIPDECでは昨年、同制度のスタートに備えてパイロット事業を開始。その成果を踏まえ、この4月より正式運用が開始された。すでに日本品質保証機構、日本検査キューエイ、ケーピーエムジー審査登録機構の3つの機関が、この制度の審査登録機関として認定された。現在「ISMS審査員評価登録制度」も開始されている。
ちなみにISMS適合性評価制度では、JIPDECあるいはその監督機関となる経済産業省自身が審査を行うわけではない。JIPDECが認めた第三者機関が、ISMS適合性評価を受けたいと希望する組織の審査を行うようになっている。実際に審査実務を担うのが、ISMS審査員ということになる。
さて、これら国際標準に関する詳細は、ちょうど参考になる記事(「特別企画:開発者が押さえておくべきセキュリティ標準規格動向」)が掲載されているので、そちらを参照していただくとして、この記事ではISMS適合性評価制度などのセキュリティ対策の認定が与えるインパクトについてちょっと考えてみたい。
企業や組織のセキュリティ対策に、ISMS適合性評価制度による認定という公式な“お墨付き”が与えられることによって、いくつかのメリットが生じるはずだ。
まず大事なのは、セキュリティそのものに対する認知度が高まり、ひいてはセキュリティ意識の向上が見込まれるということだ。
これまで、現場――といっても営業などの現場ではなく、ネットワーク管理者レベルだが――がセキュリティの重要性を訴えても、ほかの社員や経営層への浸透となるといまひとつだったのが実情だ。だが、ひとたびこうした公的な制度ができれば、頻発するセキュリティインシデントという現実も加わって、特に経営層の意識が変わるだろうと期待できる。また、中にはイメージアップを狙う企業もあるかもしれない。
事実、あちらこちらと取材に渡り歩く中、最近になってぼちぼち、「うちも、セキュリティポリシーを作りました」という声を聞くようになった。2年前には考えられない状況である。
ただ、きちんとセキュリティポリシーを策定し、それに沿って対策を施すことが可能なのは、やはりある程度の規模以上の企業に限られているのも事実だ。それでも、例えば多くの取引先を抱える企業が「かくかくしかじかのセキュリティ対策を施していない企業とは、取引しません。ISMS認定が条件です」とでも宣言すれば、いやでも取引先はセキュリティポリシーを策定し、必要な対策を講じることになるだろう。政府系の調達事業でも、いずれは同様に、ISMS適合性評価制度の認定を、入札条件の1つに掲げるケースが出てくるだろう。
だが一方で、この制度にはデメリットもある。デメリットという言葉はいいすぎかもしれないが、制度に頼りすぎることの弊害だ。
当たり前だが、ISMS適合性評価制度の目的は、組織において一定のセキュリティ対策を実現すること。認定さえ得られればいい、という具合に、認定の取得そのものが目的になってしまえば意味がない。
そもそも、セキュリティポリシーの作成作業も、各種機器の導入といったセキュリティ対策も、最初の一歩は比較的簡単だ。セキュリティポリシーならば、無償で、あるいは商用製品として提供されているサンプルやテンプレートを利用すれば、それほど手間をかけずとも、ごく基本的なものは完成する。機器の導入もそうだ。
大変なのは、その後の運用作業である。セキュリティポリシーであれば、策定した内容を経営陣や社員に周知徹底させる。また、日々変化するシステムに合わせて、不必要なものはなくし、新たに必要な部分が生じればそれを明文化する。こうしたたゆみない作業こそが、セキュリティにおいては重要なのだ。
もちろん、ISMS適合性評価制度の基盤となるBS7799でもその点は考慮されており、人に関する物理的なセキュリティや事業継続管理、セキュリティ教育などに言及している。ただ、これらはあくまで、どこでも通用する基本的な原則となるベストプラクティスのみをまとめたものだ。従って自社、自組織の実情に合わせて、カスタマイズや変更、追加を行う必要があるだろう。
また、セキュリティの維持においては、経営層、ユーザー1人1人のセキュリティに対する意識を高めることが何よりも肝要である。いやいや長たらしいパスワードを覚えさせるのと(確かに1ユーザーとしては非常に面倒くさいのだが)、その必要性を踏まえたうえで運用するのとでは、実効性も異なってくるだろう。そのためにも、認定の取得そのものだけでなく、教育や継続的な管理にこそ、力を注ぐべきだ。
なお詳しくは触れないが、BS7799では“システムの開発および保守”がセキュリティ管理分野の1つとして規定されている。インハウスのアプリケーションやWebを用いた各種サービス、サイトの開発方法にも、セキュリティの視点を組み込んでいく必要があるだろう。この話題は機会があればまた触れたい。
しかし、こうした点を踏まえてもなお、目的が認定取得だけに終わってしまう懸念は拭い去れない。先日、友人たちと異業種情報交換会を行ったときにこんな話が出た。「うちの会社もISO9002を取ることになったらしくて、“こうした書類を作成しろ、あの書類も取って置け”とうるさい、うるさい。揚げ句に認定取得に必要な作業のために、残業までさせられて……」。
本来は品質の向上、保証を目的としたはずのISO9000シリーズが、現場では「よく知らないけれど、上司から必要だといわれたから仕方なくやる」だけのものになってしまっているようだ。
ISMS適合性評価制度も同じ道をたどるとしたら、ちょっと悲しい。それでも、特に標準やガイドラインもないまま、気が付いた人や痛い目を見た経験を持つ人だけがセキュリティ対策を取っているという現状よりは、まだましだろうか。ISMS制度推進室の担当者は、そうならないように対策を進めると表明しており、またそうなることを期待したい。
須藤 陸(すどう りく)フリーライター
1966年生まれ、福島県出身。社会学専攻だったはずが、ふとしたはずみでPC系雑誌の編集に携わり、その後 セキュリティ関連記事を担当、IT関連の取材に携わる。
現在、雑誌、書籍などの執筆を行っている。
Copyright © ITmedia, Inc. All Rights Reserved.