参考として、データの機密レベルごとにどんな対策が必要かの指針を以下の図にまとめました(図2)。
前述した公開カタログ検索サービスの例では、機密レベルの低いデータしか格納されていないシステムなので、この機密レベルに当てはめると「BRONZEレベル」の対策を行えば良いわけです。
ここで課題となるのが、セキュリティ対策をシステムの担当者単位で個別対応していたり、開発会社に依存してしまっていたりする場合です。システムごとに対策方針がバラバラでは、「会社として」のセキュリティ対策レベルを保てません。ですからまずは、「社内標準を決めること」が必須です。全社のシステムで実施するセキュリティ対策を標準化することで、セキュリティ対策レベルのボトムアップを図れます。
具体的にどんな社内標準を決めれば良いかは、ISO(国際標準化機構)が定めたITセキュリティマネジメントのガイドライン「GMITS:The Guidelines for the management of IT Security ISO/IEC TR 13335」の「3部:ITセキュリティのマネジメント技術」が参考になります。ここでは、システムのリスク分析を行う際の手法の1つとして「ベースラインアプローチ」が紹介されています。社内標準を定めることは、まさにセキュリティ対策のベースラインに当たります。
個人情報、クレジットカード情報、政府統一基準など、前回紹介した各種ガイドラインに記載されている情報は、図2で示したセキュリティ対策レベルでは上から2番目の「GOLDレベル」に該当します。
GOLDレベルでは「アクセス制御」「監査・監視」などの要素があり、かつ、低いレベルで実施すべき「暗号化」「脆弱性スキャンとパッチ」などの要素も包括されます。各種ガイドラインで言及されている「対策すべきこと」と一致すると思います。
つまり、セキュリティ対策レベルのベースラインを順守すれば、各種ガイドラインにも正しく対応していけるということです。コンプライアンス要件が求められる情報や機密レベルの高い情報に関してはその要件を満たすための必要十分な対策を行う一方で、機密レベルの低い情報に対しては相応のセキュリティ要件を定義することによって、コストバランスを取ることができます。
ベースラインアプローチによるリスク分析は、予備知識なく簡単に実施できます。しかし「求める対策レベルが高くなり過ぎてしまう」傾向もあるので、そこには少し注意してください。失敗しないコツは、ベースラインを「格納している情報の機密レベルに応じて分類する」ことです。
Copyright © ITmedia, Inc. All Rights Reserved.