「情報セキュリティ監査」を形だけで終わらせないためには:セキュリティ・アディッショナルタイム(10)(1/2 ページ)
本稿では、2016年6月27日に実施された「JASA 情報セキュリティ監査セミナー」の模様を紹介し、同セミナーを通じて見えてきた情報セキュリティ監査の意義について整理する。
監査の本来の役割とは
日本人は「形」を整えるのは得意だ。セキュリティポリシーの策定にせよ、CSO/CISOの設置にせよ、セキュリティ製品の導入にせよ、そして最近流行のCSIRTの構築にせよ、「どうやら世間一般で必要といわれているらしい」というものを導入し、“形を整える”ことに関しては実に素早い。
だが、そうやって導入したものに魂はこもっているだろうか。導入すること自体が目的に終わったりせず、きちんと本来の目的——セキュリティレベルの向上や被害最小化――を達成するために活用されているだろうか。そして、活用されているかどうかを見極める「チェック」の体制は整っているだろうか(もう1つ付け加えるならば、そのチェック制度自体が形骸化せずに機能しているだろうか)。
そうしたチェック体制として重要な役割を果たすと期待されているのが「監査」というプロセスだ。この監査体制の推進や適切なスキルを備えた監査人の育成などに取り組んでいる日本セキュリティ監査協会(JASA)は、2016年6月27日に「JASA 情報セキュリティ監査セミナー」を開催した。
報道によれば、先に佐賀県で発生した学生による不正アクセス事件では、セキュリティポリシーの中で内部監査の実施が定められていたにもかかわらず、3年にわたって監査が実施されていない実態があったという。一方で、相次ぐ標的型攻撃による被害を受け、内閣サイバーセキュリティセンター(NISC)では監査に関する規定を強化し、定期的に報告するよう義務付けている。セミナーではこうした流れを整理するとともに、セキュリティ向上のために監査をどのように活用すべきか、そのポイントが紹介された。
冒頭にはJASA会長の土居範久氏があいさつに立ち、監査制度をめぐるおおまかな状況を説明した。さまざまなセキュリティ事件を踏まえ、日本政府もサイバーセキュリティ政策に本腰を入れている。その1つが、サイバーセキュリティ基本法の制定と、それに基づくNISCの機能強化だ。これに伴いNISCは、各府省庁を対象に情報セキュリティ監査を実施することになった。この枠組みはサイバーセキュリティ基本法の改正でさらに強化され、独立行政法人なども含め90以上の官公庁・組織を対象とすることになっている。
土居氏はこうした取り組みにより、「政府機関全体に対し、必要な水準の監査が行われることによって、より客観的に情報セキュリティ対策の水準を確認できることになる」と述べた。ただし同氏は、「日本における情報セキュリティ監査のニーズや重要性は高まっている一方で、JASAが認定している監査人はまだ少ない」とも指摘し、特に公認情報セキュリティ監査人が200人に満たない状況に触れながら、「監査人の育成が急務である」と呼び掛けた。
広がる監査の対象、設計と現実運用の乖離をあぶり出す役割を
最初の講演には、前NISC副センター長として政府のサイバーセキュリティ戦略を推進してきた谷脇康彦氏が登場し、2015年に発生した日本年金機構に対する標的型攻撃も踏まえつつ、政府がどのような取り組みを進めているかを解説し、その中で監査が果たす役割を説明した。
もともとサイバーセキュリティ基本法では、NISCが中核となって政府機関のセキュリティ対策を推進する枠組みが定められていた。NISCによる監査の権限強化も明記されており、PDCAのサイクルが回っているかを確認する「マネジメント監査」と、システムの脆弱(ぜいじゃく)性を確認する「ペネトレーションテスト」の2つを全省庁で実施することとされ、2015度から段階的に実施してきたという。
標的型攻撃対策には幾つかのポイントが挙げられる。谷脇氏はまず「標的型攻撃のトリガーとなるメールは、一定の割合で必ず開いてしまう。入口だけで防ぐのは無理で、どれだけ早く攻撃に気付き、被害を最小化してリカバリーするかが重要だ」と述べた。
そして「もう1つ、監査の観点からは、システムの『設計』と『運用』の違いもある」と、自身の経験も踏まえて振り返る。もともとサイバーセキュリティ基本法の基準では、基幹系の情報、機微性の高い情報は、インターネットとは切り離されたクローズドな環境に置くことになっていた。にもかかわらず、年金機構の事案が示すように、「実運用では、オープンなところに置かれていた」ことが被害を拡大させた。監査は、こうした設計と運用との乖離(かいり)を洗い出す上で大きな役割を果たすと期待できる。
政府は2015年9月に閣議決定したサイバーセキュリティ戦略を踏まえ、2016年6月、政府機関のセキュリティ統一基準の改定案を公表した。統一基準では「各省庁のセキュリティの底上げを図るため、ボトムアップのアプローチを取った。とりわけ、標的型攻撃対策に力点を置いている」(谷脇氏)。また今回の改定案では、サイバーセキュリティ基本法の改正を踏まえ、監査対象を省庁だけでなく独立法人や特殊法人にも広げることに加え、標的型攻撃の実被害を踏まえて内容に改訂を加えた。「設置されていたにもかかわらず実効性のある形で機能していなかったCSIRTや、連絡体制の整備、要件について丁寧に記述している他、重要な情報を扱うところはインターネットから分離し、ログを管理することなどにも触れている」(谷脇氏)。
日本年金機構の痛い経験は、これからの監査にどう生かされるのか
続けて、厚生労働省 前情報セキュリティ対策室 室長を務めた橋本敬史氏が登場し、監査というプロセスをどのように対策に生かしていくかについて説明した。同氏は日本年金機構を狙った標的型攻撃が明るみに出た後、2015年8月21日情報セキュリティ対策室に配属され、再発防止策の取りまとめに当たった担当者として、「技術的な対策も大事だが、組織文化や業務の在り方も見直していかなくてはならない」と述べ、監査を活用しながら自律的に取り組むことが重要だと呼び掛けた。
既に報告書が公開されている通り、厚生労働省では今回の事案を受け、対策室の設置やCISO/CSIRTの即応機能強化、職員に対する教育・訓練、リスク評価とインターネット分離、入口・出口対策といった再発防止策をとることを表明し、その幾つかは既に実施に移している。「そもそもセキュリティの重要性に対する意識が希薄で、備えが不十分だった。組織的な危機管理体制が欠如しており、組織横断的、有機的な連携も足りておらず、迅速な対応ができなかった」(橋本氏)という反省に基づくものだ。
厚労省自身、そして所管法人に対する監査も、これら再発防止策の中に位置付けられている。「どういった対策が講じられているかをしっかり把握することが大事。その上で、厚労省と所管法人の連携強化の中でどのようなセキュリティ強化策が必要かを助言するために、監査を行っていく」(橋本氏)。
同省では、政府全体としてのサイバーセキュリティ強化に向けた取り組みも踏まえつつ、これら再発防止策を推進している。「まだ道半ば。意識が足りない部分、対策が徹底していない部分は残っており、厚労省がもっと主体的に、自律的に取り組んでいく必要がある。それにはPDCAを回していくのが不可欠で、監査は、それらの取り組みがしっかりなされているかをチェックする装置として機能する」(橋本氏)。
Copyright © ITmedia, Inc. All Rights Reserved.