前回(第2回 認証取得のためのISMSガイド)、ISMS適合性評価制度やBS7799 Part2に基づく認証制度のガイドを紹介した。ISMS構築作業におけるマネジメントの枠組みの確立について、最も狙いとするところであり、かつ時間を有するプロセスが、「リスク評価を行う」「管理するリスクを決定」「実施すべき管理目的と管理策を選択する」という項目である(図1参照)。これが今回と次回にかけて説明する「リスクアセスメント」および「リスクマネジメント」というプロセスである。
リスクアセスメント、リスクマネジメントの必要性
前回、ISMSを導入するということは、認証基準に記載されている詳細管理策を安易に選択すればよいわけではない点を挙げた。そして必要以上の投資を避けるためにも、何を管理策として取り入れるべきかは、要求されるセキュリティ要件やリスクアセスメントなどを通じて決定することが肝要であることを理解いただけただろう。
また、認証取得審査の際は、情報資産に対してどのようなリスクを想定し、それに対して適切な管理策を選択しているかということが審査される。そして、それらを実装・運用し、さらに、定期的に見直す体制などを整備しているかということを客観的に審査されることも解説した。
従って、ISMS適合性評価制度やBS7799 Part2の認証取得のためには、リスクアセスメントに基づくリスクマネジメントの実施が最も重要であり、不可欠であることが分かるだろう。
リスクアセスメント、リスクマネジメントから期待される効果
リスクアセスメントの実施で期待されることは、個々の情報資産が持つ「リスク」と「リスクに対する適切な管理策」および「管理策に投じるべき費用」を識別することである。
基本的(理想的)には、リスクは発生時の「予想損失額」と「発生頻度」から求められ、下記のような数式で表される。
『リスク(金額/年)』 = 『予想損失額(金額)』 × 『発生頻度(回数/年)』
リスクが大きいということは、情報資産にダメージ(悪影響)を与える可能性が高く、その影響力も大きいということであり、リスクが小さいということはその逆である。同額のセキュリティ対策費用を投ずるなら、リスクが大きいものから行うのが妥当と考えられる。また、小さなリスクに対して、多大な資産を投じてセキュリティ対策を施すのは効果的ではない、いわゆるコストパフォーマンスが悪いといえる。
また、リスクを評価するとは、情報資産が持つ固有の弱点(脆弱性)や脅威を明確にする過程を含む。そのため、リスクが把握できると、それに対して必要投資額を含む適切な対応策(セキュリティ管理策)を当てることが可能になる。いい換えれば、リスクを持った情報資産を保護するには、その情報資産が持つ価値や脅威、脆弱性を明らかにして、リスクの大小を判別して適切な対策を取らなければならない。
また後述するようにリスクは動的に変化するものなので、適宜リスクアセスメントを行い対策(管理策)の実装状態などをレビューするリスクマネジメントが必要になってくる。
リスクアセスメントの手法
さて、上記のような考え方でリスクは定義されるものの、「予想損失額」や「発生頻度」をどう見積もるかが問題となってくる。これらは統計に基づき算出されることが望ましいが、信頼性の高いデータを入手する ことは、実務的には困難であろう。
例えば、「事故そのものもあまり認識していないので、その発生頻度が分からない」であるとか、「事故時の損失額が毎回異なるので見積もれない」などの理由からである。このように、すべてのリスクを定量的に把握することは、現実的ではない。
では、どのようにしてリスクアセスメントを行うか、その手法について考えるとき、有用なガイドは存在するであろうか? BS7799ではリスクアセスメント手法については、特に定めてはいない。また、すべての情報資産に対し、どのケースにでも適用できるベストな方法がないのも事実である。
BS7799とリスクアセスメント
しかし、BS7799が推奨するリスクアセスメント手法は存在する。それは前回の認証取得のためのBS7799のガイドブックで紹介した「PD3000シリーズ」と今回紹介する「ISO/IEC TR 13335(GMITS)」に記載された方法であり、これをRAメソドロジーと呼称している。
これらは、上記の手法の「予想損失額」といった定量的な評価方法に対して、定性的または相対的な手法として知られている。
対象となる情報資産の価値や重要度を階層化(レベル分け)し、また、それらに対してどのような脅威があり、その脅威を誘引してしまう弱点、または脅威に対する管理策の不備の度合いなどを示す脆弱性を評価することで、リスクを定性的または、相対的に評価する方法がそれに当たる。
ISO/IEC TR 13335(GMITS)
この手法を十分に理解し、有効に使用するには、そもそも「脅威とは?」「脆弱性とは?」「リスクとの関係はどうなっているのか?」「一連のセキュリティマネジメントシステムを構築するうえで、どのような役割を占めるのか?」といったことを理解する必要がある。
このような項目に対して体系化し、詳細に解説をしているのがGMITS(The Guidelines for the management of IT Security:ITセキュリティマネジメントのためのガイド)である。このGMITSは、International Organization for Standardization(ISO)によって作成された。
GMITSは、基本的に情報技術(IT)のセキュリティに関連した運用管理、計画を対象とした 標準を設定することを目的としている。従って、本ガイドで取り扱う情報とは、基本的には電子媒体の情報のことである。一方、BS7799やISMS認証基準などが対象としている“情報セキュリティ”の情報とは、電子媒体の情報以外にも非電子媒体である紙に印刷された情報であるとか、会話、評判といったところまで含まれる。このため、GMITSのカバーする適用範囲は視野的には狭いが、リスクアセスメント、リスクマネジメントの考え方を理解するには、十分であろう。
GMITSは、長年にわたり、複数の団体が開発に携わってきたが、1990年代初頭、ISO化に伴い、統合化され、技術報告書(Technical Report:TR )としてIT関連のトピックを広い範囲で網羅するように構成された。現行のバージョンでは、セキュリティポリシーの構築、リスク管理、セキュリティの実装などの項目も網羅されている。
GMITSでは、
「ITセキュリティマネジメントは、適切なレベルの機密性(confidentiality)、完全性(integrity)、可用性(availability)、責任追跡性(accountability)、真正性(authenticity)、および信頼性(reliability)を達成して維持するためのプロセスである」
と定義しており、BS7799やISMS認証基準の情報セキュリティの定義である、
「機密性(confidentiality)、完全性(integrity)、可用性(availability)を維持すること」
と比較するとより広い範囲または、詳細な範囲をカバーしている点もGMITSの特徴である。
GMITSは2002年8月現在、5部構成になっており、以下にそれぞれの概要を示す。
ISO/IEC TR 13335(GMITS)各シリーズの構成
●第1部:ITセキュリティの概念およびモデル
(Part1:Concepts and models for IT Security)
第1部では、情報セキュリティの概要について記述しており、構成は、
- ITセキュリティ、ITセキュリティマネジメントの概念およびモデルの概要
- ITセキュリティの要素の吟味
- ITセキュリティの管理に使用されるプロセスの検討
- 概念の理解に役立ついくつかのモデルの概要説明
である。
ITセキュリティマネジメントの概念として、以下のような要素を掲げ、それぞれの役割や重要性を解説している。
- 組織のITセキュリティの目的、戦略、および対策の決定
- 組織のITセキュリティ要件の決定
- 組織内のIT資産に対する、セキュリティ上の脅威の識別および分析
- リスクの識別および分析
- 適切なセーフガードの指定
- 組織内の情報とサービスを費用対効果に優れた方法で保護するために必要な、セーフガードの実施および稼働の監視
- セキュリティ意識向上プログラムの開発および実装
- 偶発事件の検出および対応
ここで、セーフガードとは、リスクを低減するための実践、手順、またはメカニズムと定義されており、いわゆる管理策のことを指している。さらに、セキュリティマネジメントとは、上記に挙げた個々のプロセスによって構成される継続型のプロセスであることを解説している。
また、情報資産、価値、脆弱性、脅威、リスク、セキュリティ要求事項、セーフガード(管理策)の7つの要素の関係などを示すいくつかのモデルが紹介されている(図2) 。
●第2部:ITセキュリティのマネジメントおよび計画
(Part2:Managing and planning IT Security)
第2部は、ITセキュリティマネジメントを効果的なものにするために重要である要素を挙げ、組織の方針に基づくセキュリティポリシーやIT戦略に沿ったマネジメントプロセスを構築することがポイントであることを示している。また、下記のような担当者を対象にその役割や責任について解説している。
- ITシステムの設計、導入、試験、調達、運用に関して、監督責任を負うITの運用管理者
- ITシステムを有効活用していくための諸活動について責任を負う管理者
さらにここでは、すべての組織に対して上記に関する役割や責任をそのままの形で適用できるものではないというスタンスを示しながら、小規模の組織など、機能を完全に実行するための資源(人材)が不足しているような状況下では、基本的な概念および機能を組織に適した方法で取り扱うことが重要である、としている。
●第3部:ITセキュリティマネジメントのための手法
(Part3:Techniques for the management of IT Security)
第3部では、ITセキュリティマネジメントにとって重要ないくつかの手法が検討されている。これらの手法は、第1部で提供された概念とモデルおよび第2部で考察したマネジメントプロセスと責任に基づくものであり、いわば、第1部と第2部のサマリーであると考えられる。
また、第3部では、リスクアセスメントを行うに当たりその詳細が記述されており、取り得る4つの戦略(ベースラインアプローチ、非形式的アプローチ、詳細リスク分析、組合せアプローチ)のメリットおよびデメリットがそれぞれ示されている。
ここで記述されている4つの戦略とは次のようなものである。
- ベースラインアプローチ
あらかじめ一定の確保すべきセキュリティレベルを設定し、実装するのに必要な対策を選択し、対象となるシステムに一律に適用する。 - 非形式的アプローチ
組織や担当者の経験や判断によってリスクを評価する。 - 詳細リスク分析
システムについて詳細なリスクアセスメントを行うアプローチで、情報資産に対し、資産価値、脅威、脆弱性やセキュリティ要件を識別し、評価する。 - 組み合わせアプローチ
ベースラインアプローチと詳細リスク分析を組み合わせることを推奨している。ベースラインアプローチだけでは、本来よりセキュリティの高い対策が実装されるべきシステムについて対応策が不十分になる可能性があることや、詳細リスク分析をすべてのシステムに適用することは、効率の観点から現実的でないからである。
また、第3部ではリスクアセスメントがPlan、Do、SeeのITセキュリティマネジメントにおけるPlanに相当するプロセスの一部であることを解説している(図3)。
第1回でも述べたが、マネジメントシステムとは、いわゆるPDCA(Plan、 Do、 Check、Act)やPlan-Do-Seeといったサイクルで運用することで、ここではITセキュリティに関し、 その計画、実装、監査、改善する体制や仕組みのことを指している。
●第4部セーフガードの選択
(Part 4:Selection of safeguards)
第4部は、「セーフガードの選択」というタイトルで、その選択の前提となる第3部に記述したリスクアセスメント技法に関連させたセーフガードの選択方法を記述している。そのセーフガードを選択するに当たり、以下のケースを想定して区分している。
- ITシステムの種類と特徴に基づきセーフガードを選択する場合
- セキュリティの懸念事項と脅威の評価に基づき選択を行う場合
- 詳細リスク分析の結果に基づき選択する場合
また第4部では、上記のどの手法を取るにせよ、換言すると、後に詳細リスク分析を実施するか否かにかかわらず、最低限、いくつかの基本的はリスク評価を実施することの必要性が記載されている。 それらは、以下のようなものである。
- どのようなITシステムを対象としているのか(スタンドアローンPCかネットワーク接続をしているものかなど)
- ITシステムの設置場所および周辺の環境条件はどうなっているのか
- すでにどのようなセーフガードが実装されているのか、または計画されているのか
- 実施した評価結果がITシステムにおけるベースラインアプローチのセーフガードを選択するのに十分な情報を提供しているのか
第4部では、セーフガードについての詳細な記述があるが、そのほかのセーフガードを扱っているいくつかの公開文献やマニュアルが参照可能であるように記載されている。また、全組織規模を対象としたベースラインとなるセキュリティレベルの開発方法などの説明が加えられている。
●第5部マネジメントガイダンス
(Part 5:(Management guidance on network security)
第5部では、ITシステムを外部ネットワークに接続する組織に対するガイドラインについて記述されている。
ネットワークのセキュリティマネジメントに関するガイドが示されており、構成は、
- コーポレートITセキュリティ要件のレビュー
- ネットワークアーキテクチャとアプリケーションのレビュー
- ネットワーク接続の種類の判定
- ネットワーキングアーキテクチャと関連信頼関係のレビュー
- セキュリティリスクの種類の判定
- 適切な能力のセーフガード領域
- 文書化とセキュリティアーキテクチャオプションのレビュー
- セーフガード選択・設計・実装・保守の再検討の準備
などである。
これらのうち、リスクアセスメントを効率よく行うために論じられているのは、やはり第3部:ITセキュリティマネジメントのための手法であろう。ベースラインアプローチと詳細リスク分析を組み合わせた“組み合わせ手法”が経験上からも有効である。これらの手法はもう少し掘り下げて次回紹介するつもりであるが、詳細リスク分析で考慮すべきセキュリティ要件について最後に説明する。
情報セキュリティにおけるセキュリティ要件とは情報資産を何からどのように守るかという要求事項を意味し、次の3つに大別される。
- 脅威・脆弱性にかかわる要件
- 法的要件(法律、条令、規制、契約、行政指導など)
- 業務(ビジネス)上の要件(企業戦略、納期など)
「脅威・脆弱性にかかわる要件」とは、情報資産の持つリスクを識別し、かかる脅威から情報資産を守るために必要な条件のことである。例えば、機密情報の漏えいという脅威に対して、機密情報に対するアクセスコントロールや暗号化を施していないなど、その脅威を誘引してしまうような弱点(脆弱性)を識別し、それをどのように守るかを検討することである。
「法的要件」とは法律、条令、規制、行政指導などで要求される条件であり、これにはSLA(Service Level Agreement)などの契約義務も含まれてくる。ある情報の処理が法律や条例に違反したやり方であれば、当然リスクも高く、事業継続にかかわる問題になることは、近年の不祥事ニュースからも明らかである。このことからも、情報資産に対して、どんな規制があるのかを明確にすることは重要である。
また、「業務(ビジネス)上の要件」とは企業の戦略・方針などに基づく不可欠な条件であり、企業が企てた事業運営に沿った要求事項のことである。
このことからも、リスクを評価するうえで、一担当者が、すべてのセキュリティ要件を把握し、対策を講じていくことは、大変困難である。一連のISMSの構築同様、リスクアセスメントやリスクマネジメントを実施するためには、各部門からの代表者による運営委員会などを設置することや専門家を含めることが望ましい。ポイントをつかむには、トレーニングを受講することも有用である、必要があれば、セキュリティポリシーアライアンス(http://www.policyalliance.com)を参照してほしい。
次回は以上3つのセキュリティ要件を念頭に具体的なリスクアセスメント、リスクマネジメントについて紹介していく。
参考文献
- ISO/IEC 17799:2000 情報技術?情報システム管理実施基準(対訳版)(財)日本規格協会
- BS7799?2:1999 情報セキュリティ管理 第2部:情報セキュリティ管理システム仕様(対訳版)(財)日本規格協会
- DISC PD3002:1998 BS7799リスクアセスメントおよびリスクマネジメントへのガイド(対訳版)(財)日本規格協会
- DISC PD3003:1999 BS7799の監査の準備は出来ていますか?(対訳版)(財)日本規格協会
- DISC PD3005:1999 BS7799管理策選択のガイド(対訳版)(財)日本規格協会
- ISO/IEC TR 13335,Guideline for the Management of IT Security Part1-Part5
- TR X 0036-1:2001?TR X 0036-5:2001 (財)日本規格協会
「第2回」へ
「第4回」へ
著者紹介
駒瀬 彰彦(こませ あきひこ)
セキュリティ・ポリシー事業部 取締役事業部長 シニアコンサルタント。ISMS適合性評価制度 技術専門部会 主査。英国BSi(British Standards Institution)認証BS7799スペシャリスト。財団法人インターネット協会 セキュリティ研究部会 副部会長。2003年4月より立教大学大学院ビジネスデザイン研究科 非常勤講師。
暗号技術を用いた機密情報保護、認証システムの設計、開発などを担当。また、ネットワーク・セキュリティ・コンサルティングに従事。現在、セキュリティポリシー構築支援ツールである「M@gicPolicy」の開発やリスクアセスメント・リスクマネジメントのための「RAソフトウェアツール」の日本語化やISMS構築のためのコンサルティング業務や情報セキュリティ監査に携わっている。
Copyright © ITmedia, Inc. All Rights Reserved.