 |
事例から学ぶセキュリティポリシー認証取得のポイント
【連載】BS7799・ISMS認証取得の実態を聞く
第1回 BS7799・ISMS認証のダブル認証を実現
〜 新日鉄ソリューションズ編 〜
| 武田文子 2003/2/15 |
|
||
| 情報セキュリティを実施するためには企業や組織など、それぞれのレベルでその対策を判断しているのが現状である。そこで、情報セキュリティを適切にかつ効果的に管理する情報セキュリティマネジメントシステム(ISMS)の確立が求められ、そのために国際的なセキュリティポリシー策定のガイドライン「BS7799」や国内のガイドライン「ISMS認証制度」などができてきた。しかし、これらの認証を策定するための情報が少ないのが現状。本連載では、BS7799やISMS認証を取得した事業者の方に、実際に策定を行った当事者だからこそ語れる苦労やテクニックなどをレポートしていく。いま策定中または今後検討される事業者の方に、参考になることを願う。 |
今回は、事業統合を機にBS7799およびISMSのダブル認証を実現した新日鉄ソリューションズを紹介する。同社は、新日鉄のエレクトロニクス事業部(EI)と新日鉄情報通信システム(ENICOM)の事業統合により2001年4月に発足。同年12月にはBS7799とISMSを同時に取得した。当時ダブル取得は国内初であった。その専任担当者として取り組んだ舛井雄一氏にお話を伺った。
■まずは試行錯誤の日々が始まった
一般にセキュリティポリシーは、情報セキュリティの根幹に関わる考え方であるため、トップダウンで策定する。同社の場合、情報セキュリティがビジネスに関わる大きな要素であることを上層部が認識しており、ISMSの重要性をいち早く察知し、認証取得へと動き出した。取得範囲の葛西センターはアウトソーシング事業部の管轄。データセンターとして、それまでもセキュリティには注力していた。しかし、「情報処理サービス業情報システム安全対策実施事業所認定制度(以下、安対制度)の廃止に伴い、次に来るべきものとしてISMS認証を取ろう」というトップの声がキッカケになったという。さらに同社の場合、外資系の顧客も視野に入れ、「国際的に認知度の高いBS7799も」という動きになった。
 |
| 「BS7799やISMSの認証取得にはISOの知識・経験は必須ですね」と語る、新日鉄ソリューションズ アウトソーシング事業部 システム部 シニア・マネージャー 舛井 雄一氏 |
「ダブル認証だからといって手間や費用が2倍になるわけではありません。中身は基本的には同じですから」と舛井氏はいう。確かにそのとおりだ。BS7799は日本人の感覚からすると一部厳しい基準があるが、ベースとなる項目は両者にそれほどの差があるわけではない。ISMS認証のほうが日本の国情に合わせて一部緩やかな基準になっている、といった程度だ。ただし、審査登録機関はダブル認証を受け付けてくれる機関を選んだ。
ちなみに、認証取得に向けて組んだプロジェクトは、社内の情報セキュリティ管理者と舛井氏のほか、葛西センターの管理者が加わった。といってもシステムの構築担当は、基本的には舛井氏一人。猛勉強と試行錯誤の日々が始まった。
2001年5月にはパイロット事業者の募集に応募。エントリー完了後、舛井氏は書籍や外部コンサルなどを利用しながらBS7799およびISMSについての調査・学習を開始した。ちなみに、BS7799
part1がISO/IEC17799として国際規格になったのは2000年。当時は日本語訳の認証基準やガイドラインが分かりにくく、しばし原文を見ないと理解できなかったという。また、ISMSは制度が始まったばかりなので現在と比較すると参考文献や資料も画一的。情報不足だったという。
しかし、「BS7799/ISMSって何だ? と考えていろいろと調べてみると、これはISOだ、と分かってきたんですよ」と語る舛井氏は以降、ISO関連の情報収集を開始した。実績のあるマネジメントシステムの知識を活用することで新制度への理解を深める、というこの方法はいわば「急がば回れ」方式。しかし、新制度の情報不足を補い、システムを構築するためには非常に効率的かつ効果的だったという。
なお、葛西センターの場合、6割程度は安対制度の情報をスライドさせてシステムを構築できたという。これは、同制度が設備など物理的な対策に比重を置いた認証基準であり、データセンターのマネジメントに使える部分が多いためだ。いまある情報資産を活用することで作業の手間を軽減できたのだ。
■難関はリスクアセスメント
ISMSで最も評価できるのは、情報資産のリスク評価をして、必要なものから優先順位を付けて、事業の特徴、コストなどを考慮して管理策を決めることができる点にある。反面、ISMSの構築で、ポリシー策定から適用範囲の決定、リスクアセスメント、リスクマネジメント、管理目的・管理策の選択、適用宣言書の作成に至る作業の中で最も手間が掛かり、一番の難関はリスクアセスメントだったという。
「情報資産の価値=保護すべきもの」という観点で情報資産の洗い出しを行った後、“情報資産の価値を算定”→“情報資産の価値に対する脅威の洗い出し”→“脅威に対する脆弱性の評価”を行い、最終的にマネジメント(管理策)をまとめるわけだが、これは、「実際に作業をしながら理解していった」(舛井氏)というように一筋縄ではいかないようだ。安対制度のように「基準の全てをカバーする」わけではなく、「必要な資産に優先順位をつけて保護する」というスタンスのため、1つの資産に対して複数の角度から価値や脅威を算定して管理策を作成する必要があるためだ。
策定作業中は対象社員への教育も担当。自作のプレゼンツールを使ってセミナーを開いたという。また、「事故が起こったらどうなるか」を認識させることが重要という観点から、新聞などを使って実際の事故・被害例などを示すなどの工夫もした。昨今の機密情報漏えい事件などを考えると、「人が流動化している現代では、人的セキュリティを考慮したマネジメントが重要になってきます。いくら良いツールを使って機械的な管理をしていても、“人”を押さえないと必ず事故が発生します」という舛井氏の言葉に説得力を感じた。
そのためには採用時の教育訓練も大事だが、その後のフォローも重要だ。同社の場合、社員誓約書にセキュリティに関する条項を設け、毎年確認してサインしてもらっているという。「時間が経つと忘れる/感覚が鈍くなるから、1年に1度くらいは確認しないと」と舛井氏はいうが、本当にそのとおりだ。また、認証基準に対する内部監査を1年に1回は実施するほか、月報に、BS7799/ISMSに関する管理報告書を新たに追加し、管理を徹底させているとのこと。日常的な管理および社員教育により、セキュリティレベルは確実に上がったという。
ちなみに、認証取得による効果は、一言で安全性をアピールできるという点だという。「お客様に技術的なこと説明しても理解していただけないことがあります。でも、(セキュリティの新規格であるBS7799とISMSの)認証を受けています、と申し上げることで信頼感がアップします」と舛井氏は取得効果を語る。
■取得後の今後の方向は?
葛西センターの認証取得後、他部署でも同様の動きがあり、2002年11月にはネットビジネスソーシング推進部(9名)がBS7799およびISMSのダブル認証を実現している。ASP図面文書管理で2000サイト以上の構築実績がある同部署は、顧客の仕事に直結するデータを預かるため、機密情報の漏えいなどは致命的。このため、“安全である”ということを客観的に証明するために認証を取得したという。実務担当者は部署内の人間だが、舛井氏は社内コンサルの立場で参加し、アドバイスした。
 |
| 「コンサルをやるには審査の経験が必要だと思いまして」と意欲的な舛井氏 |
「入社したときは、いまの自分(の業務)は想像できなかったですね」と笑う舛井氏は、当初エレクトロニクス部門でFAコンピュータ開発・ネットワーク開発などを行っていたそうだ。その後、「安対制度もやった」「セキュリティ関係のシステム開発もやった」という経験がバックボーンとなり、認証取得業務にも違和感なく入れたという。現在はデータセンターの設備・運用管理などのマネジメントが主業務だが、将来的にはコンサルも業務の一環にしたいという希望を持っているため、ISMS審査員の登録をしたそうだ。
いまは、運用管理面以外では認証関連の業務にはついていないが、社外の情報フォーラムなどでの勉強会などは続けているという。最後に、認証取得のテクニックを聞くと、「小さく取って大きくしていく(取りやすいところから取って、だんだんと適用範囲を大きくしていくスタイルがいい)」「BS7799やISMSの認証取得には、ISO9001などの構築経験が役に立つ」」などの経験により裏打ちされた重みのあるアドバイスをもらえた。
◇
| 事業者名称 | 新日鉄ソリューションズ株式会社 |
| 事業者部門名称 | NS Solutions 葛西センター |
| 対象人数 | 当初17名/現在34名 |
| 登録範囲 | 情報処理の運用業務 |
| 認証基準 | BS7799-2/ISMS認証基準(Ver.1.0) |
| 初回登録日 | 2001年12月6日(ISMS Ver.1.0登録日:2002年7月30日) |
| 認証登録機関 | 日本検査キューエイ株式会社(JICQA) |
| 筆者Profile |
| 武田文子(たけだ ふみこ) 東京都出身。何となくコンピュータ業界に入り、転職でアプリケーションソフトウェアなどのマニュアル制作に携わる。その後独立し、IT関連を中心に取材・執筆活動を開始。現在、新聞・雑誌、書籍、広告などの原稿執筆を行っている。 |
| 参照サイト | |
| 情報セキュリティマネジメントシステム(ISMS) 適合性評価制度 | |
| BSI Japan | |
| ISO/IEC JTC1/SC27 | |
| JISC(日本工業標準調査会) | |
| OECD(経済協力開発機構) | |
| 経済産業省 商務情報政策局 情報セキュリティ政策室 | |
| 情報処理進行事業協会 セキュリティ評価・認証 | |
| 関連記事 | |
| 開発者が押さえておくべきセキュリティ標準規格動向 | |
| 連載 実践!情報セキュリティポリシー運用 | |
| 連載 情報セキュリティマネジメントシステム基礎講座 | |
| 電子メールセキュリティポリシー導入の必要性 | |
| 自主性が要求されるセキュリティ対策の新ガイドライン | |
| 企業IT管理者を対象としたセキュリティ研究会が発足 | |
 |
連載:BS7799、ISMS認証取得の実態を聞く |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
