ISMSの基盤となるISO/IEC 17799とJIS X5080情報セキュリティマネジメントシステム基礎講座(1)

» 2002年07月12日 00時00分 公開
[駒瀬彰彦アズジェント]

情報セキュリティ上の問題には、インターネット上のWebサイトの改ざんやハード/ソフトウェアのトラブル、関係者による情報の漏えいへの対策など、さまざまなものがある。それらに対する個別の技術対策も各種存在するが、それぞれのレベルで実施されているのが現状であろう。しかし、個別の対策のみでは、企業または組織全体のセキュリティは維持できない。そこで、それらを適切にかつ効果的に管理する情報セキュリティマネジメントシステム(ISMS)の確立が求められている。リスク評価により保証すべきセキュリティレベルを決め、それらを実施するための計画を立て、資源配分して、システムを運用することが重要だ。本連載では、こうしたISMSの確立を、国際的にセキュリティポリシー策定のガイドラインとして最も注目されている「BS 7799」を中心に、「ISO/IEC 17799」、「JIS X5080」、「ISMS」、「GMITS」などとあわせて解説する。



セキュリティを維持するための「ISO/IEC 17799」と「JIS X5080」

 第1回目は、まず情報セキュリティマネジメントシステム(ISMS)の基盤となる「ISO/IEC 17799」と「JIS X5080」について紹介する。とはいえ、これらは異なる2つの基準ではなく、英国規格である「BS7799」という規格を基に策定されており、ISO化された(国際基準化された)ものがISO/IEC17799である。そしてISO/IEC17799が日本語に翻訳され、日本工業規格(JIS化)として策定されたものが、JIS X5080である。従って、2つの規格は同一のものであると思ってかまわないであろう。

 またBS7799規格は、第1部と第2部から構成されていて、第1部とは、情報セキュリティ管理実施基準、第2部とは、情報セキュリティ管理システム仕様、いわゆる認証基準のことを指している。このうち、国際規格「ISO/IEC 17799:2000」は、この英国規格「BS7799-1:1999」、すなわちBS7799 第1部1999年版を基として作成されたものである。2000年に第1版として発行されたISO/IEC 17799を翻訳したものを2002年3月にJIS X 5080:2002として日本工業規格(JIS化)された。ちなみに、JISと数字の間にある XとはIT関連であるということを示している。

 ISO/IEC 17799およびJIS X 5080は、共に情報セキュリティ管理実施基準、すなわち実践のためのガイド(規範)であり、認証のための基準ではないことを覚えておいてほしい。一方、認証にかかわる第2部は2002年6月現在、国際規格にはなっていない。次回にISMS適合性評価制度と併せて第2部に関して解説する予定である。

 では、ISO/IEC 17799およびJIS X 5080の構造を図1に示す。10の管理分野と、36の管理目的、127の管理策から構成される。

図1 ISO/IEC 17799およびJIS X 5080の構造 図1 ISO/IEC 17799およびJIS X 5080の構造

 情報セキュリティを維持・向上するためには、適切なセキュリティ管理策を選択しなければならない。その際、「何を維持・向上するのか?」という“管理目的”があり、それに対応したセキュリティ要求事項がある。このセキュリティ要求事項の詳細は127個の“管理策”に示される。そして管理策の実装した後“管理目的”を達成できたかどうかの見直しを行う。これら、管理分野、管理目的および管理策の関係を図2に示す。

図2 管理分野、管理目的、管理策のリンケージ 図2 管理分野、管理目的、管理策のリンケージ

 管理分野、管理目的、管理策、それぞれの詳細はほかの記事でも広く紹介されているので、ここでは、表1にこの基準の本質(管理分野の内容)を説明することにとどめる。

分野 内容
管理分野1 セキュリティ基本方針 情報セキュリティマネジメントの方針
管理分野2 組織のセキュリティ 情報セキュリティ推進に責任を持つ委員会の設置について
管理分野3 資産の分類および管理 資産項目の作成や資産分類について規定
管理分野4 人的セキュリティ 人的要因によるリスク軽減を目的に、責任、採用条件などを規定
管理分野5 物理的および環境的セキュリティ 入退室管理、施設や装置取り付けなどについて規定
管理分野6 通信および運用管理 情報処理システムの運用管理のセキュリティについて規定
管理分野7 アクセス制御 利用者の情報アクセス管理やネットワークアクセス制御について規定
管理分野8 システムの開発および保守 健全な開発・運用のため、システムへのセキュリティ要件、アプリケーションプログラムに対するセキュリティ要件、情報の秘匿・認証、暗号鍵の管理などについて規定
管理分野9 事業継続管理 事故、災害からの復旧・予防管理、
事業継続管理についての規定
管理分野10 適合性 知的所有権、プライバシー保護などの法的措置への準拠(適合性)を規定
表1 ISO/IEC 17799およびJIS X 5080の個別管理分野(10分野)の概略

 これらの規範を理解するうえで重要な点が2点ある。1つ目は情報および情報セキュリティという点、2つ目はマネジメントシステムである。

目的は情報全般を保護すること

 この規範がカバーする情報とはいかなるものであろうか? この規範では、情報とは文字どおりあらゆる情報のことを示し、電子的なデータに限定しているわけではない。ちなみに、データと情報は厳密には異なり、ある一連のデータが集合または意味のある形になったものが情報であるといえる。情報には厄介な性質がある。

 それは、1つの情報であっても多くの形態が存在し、あるときは電子的に保存されたり、紙に記述されたり、印刷されたりしながら伝達、複製、処理され、ときには会話やうわさとしても伝達される場合もあることである。

 ISO/IEC 17799およびJIS X 5080は、これらの情報全般を保護することを目的としている。 以前から情報セキュリティというと、バックアップ、ウイルス対策、暗号、ファイアウォールなどの技術対策を中心に規定されていた。しかしこの規範は、IT対策を中心に展開しているのではなく、いわゆる情報全般を企業や組織の資産(情報資産)と考え、それを保護することを情報セキュリティとして考えている。従って、技術的対策をはじめ、物理的/人的なセキュリティにも関与している。データベースに大切に保管されている情報もあれば、紙上の記録、通勤電車内・給湯室・居酒屋などで会話される情報(特にビジネスに関する)といったあらゆる情報が保護対象範囲であるということである。

 さらに、この規範は、情報セキュリティを1.機密性2.完全性3.可用性について最低限、維持するように規定している。すなわち、情報の漏えい防止(機密性)はもちろんのこと、情報やそれらの処理方法が正確で確実であること(完全性)や、正当な利用者が利用したいときにその情報にアクセスできることを確実にすること(可用性)について検討している。

いかに脅威からシステム情報を保護するか

 次にマネジメントシステムという点である。上記にこの規範が対象とする“情報”について記載した。では、この規範において、技術的(IT)、物理的(physical)、運用やオペレーションなど人的にも関連する対策の詳細が数多く、具体的に紹介されているのであろうか? 先に構成図を図1で示したが、そのような目的で構成されているのであれば、ISO/IEC 17799およびJIS X 5080の基準である127個ほどの管理項目では不十分であろう。物理的セキュリティの詳細、例えば、施設、壁、電源、扉などと、テーマを考えただけでも100を超えてしまうであろう。

 では、この規範では何を示そうとしているのであろうか? それはマネジメントシステムである。いわゆる情報セキュリティを管理する体制や事業を継続するための計画などがそれぞれの分野(ポリシー、文書管理、技術的、物理的、人的など)において必要であると記載されているのである。ここでいう管理するとは、いわゆるPDCA(Plan、 Do、 Check、Act)サイクルを運用することで、情報セキュリティを計画、実装、監査、改善する体制や仕組みがあるのか否かである(図3)。

図3 PDCA(Plan、 Do、 Check、Act)サイクルを運用 図3 PDCA(Plan、 Do、 Check、Act)サイクルを運用

 従って、この情報セキュリティマネジメントシステムとは、情報システムおよびサービスに強く依存している組織が所有する情報を、いかに脅威から保護するかということを意味する。

 ネットワークの相互接続や情報資源の共有化は、アクセス制御の達成をますます困難にし、分散型コンピュータシステムへの移行傾向は、専門家による集中管理の有効性を弱めることになった。多くの情報システムは、セキュリティが保たれるようには設計されてこなかったのも事実であるし、技術的な手段によって達成できるセキュリティにも限界がある。従って、セキュリティは、適切な管理と手順とによって支援される以外に手はない。どのような管理策が適しているかを見極めるためには、綿密な計画および細部にわたる配慮が必要で、情報セキュリティマネジメントシステムには、最低条件として、組織内の役員および全従業員の積極的な参加が必要である。さらに、供給業者、顧客および株主の参加が必要な場合もあるし、外部の専門家による助言も必要な場合もある。要求仕様の検討段階および設計段階において情報セキュリティ管理策を取り入れることにより、その情報セキュリティ管理策は、効果も上がり、費用対効果という面からも有用であるといえる。

 ここで、費用対効果とあるが、いかなる意味であろうか? ISO/IEC 17799およびJIS X 5080では、すべての情報や情報プロセスといわれる情報資産に対して、127個の詳細管理策を施せ、といっているわけではない。組織のセキュリティの要求事項に合わせて、必要な管理策を選択せよ、といっている。セキュリティの要求事項とは、ビジネスの形態や置かれている環境に応じて組織ごとに異なり、リスク評価やリスクマネジメントによって識別される。リスク評価やリスクマネジメントに関しては、第3回にリスク評価に有用なガイドとして「GMITS(ISO/IEC TR13335)」を取り上げながら説明しようと思う。

 いずれにしろ、重要なことは、個別の情報資産に関して、潜在するリスクを考慮し、セキュリティ障害に起因する損害を想定して、バランスよくセキュリティ管理策を施していくことである。バランスよくとは、運用面を十分考慮し、一挙に“全員に対して指紋による認証を行う”というのではなく、リスクを評価し、仮にリスクが低いようであれば、パスワードによる認証や、セキュリティ認識を向上させるためのトレーニングなどを行い、必要以上の投資を防ぐことをいう。

 このように記述すると、かえって何を選択すべきなのかが分からないという声も出るだろう。しかし、これに対する解答は、個々の組織におけるリスク評価を基に適切な管理策を選択するとしか述べようがない。とはいえ、127個の管理策のうちいくつかの管理策は、情報セキュリティを実施するための有効な出発点を提供する指導原理として考えることができる。そしてこれらは、法的な要求事項に基づいているものや、情報セキュリティに対して一般的に最適な慣行と見なされているものがある。

 具体的に下記にそれらの項目と管理項目番号を記載してみよう。かっこ内は管理項目番号。

● 法的な観点から不可欠

  • データの保護および個人情報の保護 (12.1.4)
  • 組織の記録の保護(12.1.3)
  • 知的所有権 (12.1.2)

●情報セキュリティに対して、一般に最適な慣行と考えられる管理策

  • 情報セキュリティ基本方針文書(ポリシー) (3.1.1)
  • 情報セキュリティ責任の割り当て(4.1.3)
  • 情報セキュリティの教育および訓練 (6.2.1)
  • セキュリティ事件・事故 の報告 (6.3.1)
  • 事業継続管理 (11.1)

 これらの管理策は、その業種や組織規模によらず、多くの組織において適用することができる。ISO/IEC 17799およびJIS X 5080が業種や業界によらず適応できるとはこのようなことからも理解できるであろう。以下に情報セキュリティマネジメントシステムが対象とする適用範囲のイメージ図を示す(図4)。

 情報セキュリティマネジメントシステムの流れとしては、情報または情報処理プロセスを中心にそれを取り巻く環境(技術、人など)に対しての統制をとるための組織をつくり、そこから、基本方針、基準、手順を策定していく。策定されたものは、全関係者に周知徹底され、教育される。事故報告やマネジメントシステムを見直しすることで、さらなるセキュリティ向上を図る。その際忘れてはいけないことは、情報はその性質により、求められる法的な要件やビジネス要件が変わってくるということだ。情報の機密性であるとか、それ以前に法的に取り扱える情報なのか、ビジネスパートナーとの情報取り扱いの契約はどのようになっているのかなどを正しく理解しながら、適切な保護を情報資産に施していくのである。

図4 情報セキュリティマネジメントシステムが対象とする適用範囲のイメージ 図4 情報セキュリティマネジメントシステムが対象とする適用範囲のイメージ

 情報セキュリティの実装、実施を円滑に進めるには、まず、経営陣やマネジメント層によって基本方針が策定または承認され、その方針を受け、おのおのの責任が割り振られ、情報の特性やリスクに応じて、適切な管理策が施され運用されていく必要がある。そのため、ネットワーク管理者やアプリケーション開発者などは、取り扱う情報資産に潜在するリスクや事業目的に起因するセキュリティ要求事項などを正しく理解、評価し、必要があればトレーニングなどを受講しながら適切に保護していく必要がある。また、同時に導入した管理策が適切でしかも効果的に作用していることを測定する手段やプロセスを設計しなければならない。そのためのより具体的な施設・設備におけるセキュリティ対策や技術対策に関しては、第4回以降で、情報システムの設備ガイド(JEITA IT-1001)や、FISCにおける「金融機関等コンピュータシステムの安全対策基準」および「同解説書」などを紹介するつもりだ。

第2回」へ


著者紹介

株式会社アズジェント

駒瀬 彰彦(こませ あきひこ)

セキュリティ・ポリシー事業部 取締役事業部長 シニアコンサルタント。ISMS適合性評価制度 技術専門部会 主査。英国BSi(British Standards Institution)認証BS7799スペシャリスト。財団法人インターネット協会 セキュリティ研究部会 副部会長。2003年4月より立教大学大学院ビジネスデザイン研究科 非常勤講師。

暗号技術を用いた機密情報保護、認証システムの設計、開発などを担当。また、ネットワーク・セキュリティ・コンサルティングに従事。現在、セキュリティポリシー構築支援ツールである「M@gicPolicy」の開発やリスクアセスメント・リスクマネジメントのための「RAソフトウェアツール」の日本語化やISMS構築のためのコンサルティング業務や情報セキュリティ監査に携わっている。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。