ポリシー運用サイクルに適した形態とは〜 運用して分かるセキュリティポリシーの問題点 〜実践! セキュリティポリシー運用(5)

» 2002年09月06日 10時00分 公開
[綱井理恵@IT]

 今回は、前回(第4回 セキュリティポリシー運用のサイクル)解説した「情報セキュリティポリシー運用のサイクル」に沿って行うのに適した運用形態と、運用時に発生する問題点などを形態別に解説していく。


「どうやって」情報セキュリティポリシーを運用するのか?

 情報セキュリティポリシー運用のサイクルに従って運用を始めようとしたときに、まずあるポイントでつまずくことが多いのではないだろうか。“どのような方法で”情報セキュリティポリシーを運用するかという問題だ。何はともあれ出来上がった情報セキュリティポリシーをユーザーに配布しなくては運用は始まらないのだが、この配布するという作業1つ取ってみても、“どのような方法で行うか”によってその作業量は大幅に変わってくる。

 出来上がった情報セキュリティポリシー自体は「文書」である。これを社内の情報セキュリティにかかわる人間すべて――恐らくは全社員、派遣社員、協力会社社員のすべて――に配布し、必ず読んでもらわなければならない。これを実行するにはどんな方法があるだろうか。

 まず、簡単に考えつくのは紙で配布する方法であろう。

 ここで、紙で情報セキュリティポリシーの運用を行う場合のシミュレーションをしてみたいと思うが、その前に情報セキュリティポリシー運用のサイクルについて簡単に復習しよう。

●情報セキュリティポリシー運用のサイクル

 情報セキュリティポリシーは完璧を期して作られたはずでも、運用を開始してみると、現状に即していない点や、内容が厳しすぎてまったく実行できないといった問題点が必ず浮かび上がってくるため、以下の図で表されるようなサイクルで運用されていくというものだった。

図1 情報セキュリティポリシー運用のサイクル図 図1 情報セキュリティポリシー運用のサイクル図

「紙」での運用のシミュレーション

 紙で運用する場合でも、上図のようなサイクルで作業が行われることに違いはない。

 出来上がった情報セキュリティポリシーは、文書とはいっても電子ファイルであろうから、それを印刷して冊子にまとめたものを各部署に1冊程度行き渡るように配布するとしよう。しかし、単にファイルの全部を印刷すればいいわけではない。前回解説したポイントを思い出してほしい。各ユーザーにとって必要な部分だけを参照させるために、「配布時には対象者を絞るひと手間」を加える必要がある。紙で運用する場合は、各部署用に内容を変えたファイルを作成し、それぞれを印刷したものを間違わないように配布しなければならない。

 各部署用に内容を変更する例を具体的に挙げてみると、人事部には、

  • 電子メールに関する標準
  • パスワードに関する標準
  • ウイルス対策標準
  • 採用時・就業時におけるセキュリティ標準

などを集めたファイルを印刷して配布し、情報システム部には、

  • 電子メールに関する標準
  • パスワードに関する標準
  • ウイルス対策標準
  • Webサーバのセキュリティ対策標準
  • メールサーバのセキュリティ対策標準
  • 情報処理製品導入標準

などを集めたファイルを印刷して配布するといった感じになるだろうか。

 そして、各部署に冊子が行き渡った段階で、部署ごとにすべてのユーザーに閲覧させなくてはならない。各部署に1冊ずつ配布するとすれば、すべてのユーザーに閲覧させるには回覧の形式を取ることになるだろう。回覧する際に、すべてのユーザーに行き渡ったことを確認し、情報セキュリティポリシーの内容に同意させるため、同意書のようなものを1部ずつ配布してサインさせなくてはならない。このときに、必ずしもすべてのユーザーが同意するとは限らないので、同意しない場合の理由を記述する欄を設けて、ユーザーの意見を収集できるようにしておくことも重要だ。

 そして、全社員分の同意書が集まったら、「どの部署のどの社員が同意していない」「この部署からはこのような要望が挙がっている」などといった同意状況の分析を行わなければならない。このような同意状況の確認作業のうち、前者の確認には同意社員一覧表のようなものが必要だろうし、後者の確認には各規定に対する要望一覧表のようなものを作成する必要があるだろう。これらの作業は管理者がすべて手作業で行わなければならない。

 その後、同意社員一覧表を基に、まだ同意していない社員に同意するよう、その社員本人と直属の上司に注意を促さなければならない。また、この作業と並行して、管理者によって作成された規定に対する要望一覧表を基に、セキュリティ委員会などで情報セキュリティポリシーの妥当性の見直しを行う。全社員の同意書の取りまとめと、情報セキュリティポリシーの見直しが終了し、変更点がある場合は配布するための冊子に反映させ、再度各部署に配布する。

 ここまで終わってようやく初めの1サイクルが終わったことになるのだが、全社員数が1000名を超える企業で実際に紙で運用しようとすると、配布してから同意書を集めるステップまでだけでも1カ月以上かかってしまいそうだ。

 情報セキュリティポリシーをサイクルで運用して、内容を徐々にブラッシュアップしていくことは方向としては間違いではないのだが、中にはセキュリティ上の新たな脅威が発生するなど緊急性の高い変更もある。緊急性が高い脅威に対しては、対策方法を規定して全ユーザーにアナウンスし、それぞれに対策作業を迅速に行ってもらわなければならない。せっかく情報セキュリティポリシーを策定して全ユーザーに配布したとしても、新しい対策の追加時などのアナウンスに時間がかかってしまうと、結果的にセキュリティ被害に遭う羽目になってしまいかねない。このような事態を避けるために運用サイクルの各ステップに必要な作業を迅速に行えるような仕組みを持っておくことが望ましい。

1 ユーザーに配布 冊子を印刷し各部署に配布する。対象部門ごとに内容の違う冊子を作成し、配布する必要がある。
2 ユーザーが閲覧 各部署に配布された冊子を回覧する。
3 ユーザーの同意を得る 同意書にサインさせる。
4 ユーザーの同意状況の分析 管理者が手作業で分析表のようなものをその都度作成する。
5 ポリシーの妥当性の見直し 集めた同意書の意見を基にセキュリティ委員会で検討する。
6 ポリシーの変更 変更点を反映した冊子を各部署用に印刷し直し再配布する。
表1 紙で運用サイクルを実行する場合

 情報セキュリティポリシーを紙で運用しようとすると、運用サイクルの各ステップに必要な作業を迅速に行うことが非常に難しいうえに、一巡するたびに紙を差し替える必要があるため文書自体の管理作業が膨大になってしまう。文書の管理に手間を取られて、本来の目的であるはずの情報セキュリティポリシーの内容を徹底する作業が手薄になってしまっては本末転倒である。

 これらのことから、情報セキュリティポリシーを紙で運用することは不可能とはいい切れないまでも、かなりハードルが高く、現実的ではないといわざるを得ない。

「紙以外の媒体」による運用方法

 情報セキュリティポリシーを運用するのにふさわしい方法は何なのか考えてみよう。

 情報セキュリティポリシーの運用を考えた場合に、紙以外の選択肢としては掲示板やグループウェアなどのWebベースでの運用が挙げられるだろう。

 Webページに情報セキュリティポリシー文書を掲載することはそれほど手間のかかる作業ではないと思うが、掲載した内容を各部署、もしくはユーザーごとに参照できる範囲を変えられるかどうかは、アクセスコントロール機能が実装されているかどうかなどシステムの性能に依存する。グループウェアなどにはアクセスコントロールの機能が実装されているものも多いのでそれを利用すればよいが、そのような機能がない場合は、対象者ごとに内容を変えたHTMLファイルを作成し、ファイル自体へアクセスコントロールを設定するか、対象者ごとに内容を変えた文書ファイルを作成し、メールに添付してユーザーに配布するなどほかの手段を取らなければならないだろう。

 そして、対象者を限定して情報セキュリティポリシー文書を掲載した次の段階では、ユーザーの同意を得る作業を行わなければならない。なぜなら掲示板やグループウェアに情報セキュリティポリシー文書を掲載するだけではユーザーは読んでくれないからだ。掲示板やグループウェアに情報セキュリティポリシーを掲載するということは、「全対象者が必要なときに情報セキュリティポリシーを参照できる仕組みを持つ」ということなので、まったく意味がないわけではないが、見せる仕組みだけを持っていても、実際にユーザーが内容を読んで理解し、実行してくれなければ情報セキュリティポリシーを運用できているとはいえない。ユーザーへの周知、徹底ができず、結果的に「情報セキュリティポリシーを持っている」だけの状態で終わってしまうだろう。

 掲示板やグループウェアでユーザーに同意させる作業を実現できるかどうかは、対象者の限定と同様にシステムの機能に依存する。中には受信を確認する機能が実装されているグループウェアなどもあるが、同意する、同意しないという選択肢だけでなく、同意しない場合の理由をユーザーに書き込ませるような機能がないと、ユーザーからの意見が収集できない。この場合は、「同意しない」を選択したユーザーに管理者からメールなどで理由を問い合わせるなど、別途作業が発生する。また、単なる掲示板であれば、ユーザーに同意させるような仕組みはないので、やはり紙での運用と同じように同意書を配布するなど、これも別の手段を併用する必要がある。

 その後同意状況の分析を行うが、この作業が簡単に行えるかどうかもシステムの機能に左右される。機能がなければ管理者が手作業で行うしかない。

1 ユーザーに配布 情報セキュリティポリシーをWebページに掲載する。対象者ごとに内容をカスタマイズできるかどうかは掲載するWebシステムの機能に依存する。
2 ユーザーが閲覧 情報セキュリティポリシーが掲載されたWebページをユーザーが閲覧する。
3 ユーザーの同意を得る システムに同意機能がある場合はそれを使用する。機能がない場合は同意書を配布する。
4 ユーザーの同意状況の分析 管理者が手作業で分析表のようなものをその都度作成する。
5 ポリシーの妥当性の見直し 集めた同意書、もしくは管理者からメールで問い合わせたユーザーの意見を基にセキュリティ委員会で検討する。
6 ポリシーの変更 変更点を反映した情報セキュリティポリシーをWebページに掲載し、ユーザーに再度告知する。対象者ごとに内容をカスタマイズできない場合は、紙での運用と同様に変更点を反映した冊子を各部署用に印刷し直し再配布する。
表2 Webページで運用サイクルを実行する場合

 以上のように、掲示板やグループウェアなどで情報セキュリティポリシーを運用するケースを考えると、運用サイクルの各作業を簡単に実現できるかどうかはシステムの機能に依存するものがほとんどであり、機能がない場合は管理者の手作業や、ほかのシステムとの併用などが必要になるため、管理作業が煩雑になってしまい、スムーズなサイクルでの運用が行えない可能性が高い。このような問題を解消するには情報セキュリティポリシー運用管理専用ツールの導入が有効である。

 しかしながら、情報セキュリティポリシー運用管理の専用ツールというものは世の中にまだほとんど存在していないのが現状である。これには、どの企業も情報セキュリティポリシーの策定に必死で、運用のことなどは考えられていないという現状が大きく関係している。今年度からISMS認証基準の運用が開始され、情報セキュリティポリシーの運用を開始する企業も徐々に増えてきてはいるが、それでもまだ実数にすると少ない。しかし、今後情報セキュリティポリシーを策定する企業数が相対的に増え、運用に目が向けられるようになると専用ツールの種類や機能なども徐々に増えてくるだろう。


 次回は、情報セキュリティポリシー運用管理専用ツールの紹介と、運用のための体制の整備、監査などについて解説する。

Profile

綱井理恵

株式会社ラック
コンピュータセキュリティ研究所 ISMS部


[an error occurred while processing this directive]

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。