“費用対効果を認識した”といえるISMS認証取得〜RSAセキュリティカンファレンス内セミナー報告〜:Security&Trust ウォッチ(2)
本記事では、セキュリティ技術や周辺テクノロジを日々取材されている筆者による、業界動向を順次掲載。セキュリティ関連の技術者、コンサルタント、ユーザーの方々へ向けて発信します(編集局)。
2002年5月29日、日本で初の「RSAセキュリティカンファレンス」が開催された。その中で筆者が最近注目している「情報セキュリティマネジメントシステム(ISMS)適合性評価制度」の認証の取得に関するセミナーがあったので、それについて報告をしたいと思う。
特にパイロット期間中にISMSの認証の取得を行ったBIGLOBE(NEC)と新日鉄ソリューションズの2社は、パネリストにより取得までの流れ、取得時の留意点および気付いたことなどを分かりやすく解説していた。ISMSの認証の取得を考えるエグゼクティブや、認証の取得までをサービスとしてコンサルティングを考えるセキュリティ業界関係者に、非常に有益な内容だった。
BIGLOBEの場合
BIGLOBEは、「認証取得の目的として、顧客から『ISMSの認証の取得をしてほしい』という具体的な要望が実際にあり、それにこたえることと、ISPとしてセキュリティ全体を見直すよい機会であるとの認識でISMS認証取得のプロジェクトを起こした」と語っていた。これには、日本のISPの先駆け的存在としてのBIGLOBEの意識の高さと、顧客の層の厚さを感じる。
またBIGLOBEの取得体制は非常に大規模かつ体系的なもので、それはBIGLOBE自体が1990年代以前から展開していたNECの複数のインターネット接続サービスの集合体であることに起因している。ISPではない普通の企業ではなかなか取り組みにくいようなISMSマネジメントシステム推進組織を実現している。
取得までの期間としては、事前調査に4カ月、リスク分析と管理策策定に3カ月、ドキュメント類の整備に3カ月、実際の運用に1カ月といった具合であった。個々の作業自体は期間的にオーバーラップしているが、事業規模に比較して非常に早いのではないかと思われた。
同社が留意した点、気が付いた点として、挙げていた事柄は以下のようになる。
●リスク分析は始めると切りがない
リスク分析は理論どおりやっていっては切りがないことに気が付いた。これは、切りのよいところで見切らないと終わりのない作業になりかねない
↓
リスク分析は始めると切りがない
これは机上論的というか、概念的には比較的理解されやすいものであるが、実際に「やり始めると、終わりが見えません」などという生の声を聞くと、企業のISMSの認証の取得担当者は恐らくイヤ〜な汗が出るのではないだろうか。
「切りのよいところで見切らないと」といわれても、解決にならないというのが正直な感想で、簡単な例があるとよりよかったと思う。
●全社のポリシーとISMSの整合性を考慮したものに修正
ISMS認証取得のために、全社ポリシーとは別にBIGLOBE用ポリシーを策定
↓
全社ポリシーとの位置付けを体系化
NECの事業部単位の取得であるが、BIGLOBEとして独自の情報セキュリティポリシーを立ち上げたことは、NEC全社のポリシーとの整合性を考慮し、ISMSを意識したものに修正をした結果生まれたものであろう。
事業部で新たなポリシー作りからISMSの認証の取得に取り組むには、周到に要員の士気を上げる必要があるだろう。
●全員を集めての一斉教育は不可能
対象範囲の要員教育は、相当数の時間をかけなければ実現は無理
↓
教育日程を配慮
対象範囲の要員教育は通常業務の負荷を考えると、人員数にかかわらず、最低2カ月が必要である。相当時間をかけなければ実現は無理である。全員を集めて一斉に教育するということは、どんな組織であろうが通常業務の妨げになるので不可能である。教育日程の回数を設け、それぞれが都合の良いときに出席できるように、プロジェクト主幹サイドが配慮している。
そのためにはある程度時間がかかるというのは至極当然な考え方であろうと感じた。
新日鉄ソリューションズの場合
「ISMSとBS7799のダブル認証というのが最も特徴的な点である。葛西データセンターを取得範囲として、プロジェクトを始動し、アウトソーシング部門に付加価値を付けようというのが目的」だそうだ。ISMSとBS7799のダブル認証という時点で、冒頭から同社の認証に対する意気込みに圧倒された。
特にデータセンター業務には「質・経験」ともに業界トップという強い自負とともに、徹底的に競合他社との差別化を図ろうという意図が強く感じられる。新日鉄ソリューションズの渡辺恭久氏の話の端々にも、その意図が感じられた。
同社が留意した点、気が付いた点として、挙げていた事柄は以下のようになる。
●ほかの認定を取得済みであったため、ISMSに対して違和感はなかった
ISO9001とPマークをすでに取得していた
↓
ISMS認証取得に対する違和感は特になかった
ISO9001とPマーク(プライバシーマーク)をすでに取得している事業者というのは、社会一般的に見て特に珍しいことではない。しかし、「ISMSの認証の取得に対する違和感は特になかった」というのは従業員の意識レベルの高さを強烈にアピールするものとして印象に残った。
●ISMSとBS7799のダブル取得になるきっかけ
安全対策制度の廃止、事業リスクの増大、顧客に外資系が増えたこと
↓
BS7799とのダブル取得を決定
動機としては、安全対策制度の廃止と、事業リスクの増大が挙げられ、顧客に外資系が増えたことがBS7799とのダブル取得になるきっかけであったようだ。これは非常に大切なことであり、このきっかけはこれからほかの事業者にとってもISMS認証の取得の大きな動機を占めることになるだろうと思われる。ネットワークが業務システムの一部として欠かせないものとなり、事業リスクとして認識されるのは当然のことである。ところが昨今、外資との資本のオーバーラップによって、ポリシー整備や、情報資産管理を突然要求されることによるISMSの需要が発生することは十分にあり得るわけで、多くの事業者にとっても無視できない事柄になるだろうと思われる。
●認証取得までに外部専門家による診断を行う
的確に認証を所得するための近道
↓
外部専門家による構築診断の実施
対象範囲の人員は17名であったが、専任1名、兼任1名のISMS専任担当者を置き、認証までの9カ月間に外部専門家による構築診断を9回行った。基本方針から作り直して取得に臨んだという。単純に17名という対象要員の規模を考えると、9カ月は長いように思われるが、データセンターの規模と、扱う顧客の機密情報の分量を考えると妥当に思われる。ここでは、外部(第三者)チェックを入れているところが注目すべきところだろう。回数が9回ということで、取得プロセスの各ステップで監査を入れているのだろうかと思う。だとすると認証取得にかかる200万円程度の審査費用のほかに、相当な費用をかけているものと推測される。
●ISMSの認証の取得効果は?
ISMSとBS7799の同時認証取得
↓
業務は開設わずか1年で黒字に転換
ISMSとBSの同時認証取得によって、葛西データセンター業務は開設わずか1年で黒字に転換し、ISMSの効果を明確に認識するものとなったという。ISMSの費用対効果について「効果があった」と明言したことにこのトラックの大きな意味があると思う。多くの企業経営者や、企業経営層は「目に見えない」「金を稼がない」ものに投資することをリスクとして認識している。ところがセキュリティはリスクを取り除くか回避するためのものであるから、その対策を施し認証取得をすることが「金を稼ぐ」ことにつながるということが明らかになったということは、それら経営陣の認識を大きく変え、組織的な取り組みを後押しするきっかけとなるであろうと思われる。
NECは、日本のメーカーの旗艦としての迫力とプライドを感じさせる、素晴らしい取得の例だと思う。大規模な組織単位での取得を考えるなら、BIGLOBEの例は参考になるだろうと感じた。
新日鉄ソリューションズの採用したリスク分析シートは非常に秀逸で、今後ISMSの認証の取得を考えている事業者には少なからず参考になるだろう。また「費用対効果を認識した」という発言は今後のISMSの認証の取得動向を見るうえで大きな意味を持つだろう。
Profile
高橋 秀喜(たかはし ひでき)フリーライター
1968年生まれ、神奈川県出身。もともとは機械系エンジニアであったが、時代の流れと共にIT関連業界へ。現在セキュリティ関連の取材に携わる。趣味は、ドライブと野球。週末の夜中に丹沢や箱根の峠道に出没する。その割に免許はゴールド。
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.