事例から学ぶセキュリティポリシー認証取得のポイント
【連載】
BS7799・ISMS認証取得の実態を聞く

第1回 BS7799・ISMS認証のダブル認証を実現
    〜 新日鉄ソリューションズ編 〜

武田文子
2003/2/15
 
第1回 新日鉄ソリューションズ編
第2回 ラック編
第3回 エクサ編
第4回 NTTデータ編
第5回 富士通エフ・アイ・ピー編
第6回 キヤノンソフトウェア編
第7回 凸版印刷編
第8回 IIJテクノロジー編
第9回 グローバルフォーカス編
情報セキュリティを実施するためには企業や組織など、それぞれのレベルでその対策を判断しているのが現状である。そこで、情報セキュリティを適切にかつ効果的に管理する情報セキュリティマネジメントシステム(ISMS)の確立が求められ、そのために国際的なセキュリティポリシー策定のガイドライン「BS7799」や国内のガイドライン「ISMS認証制度」などができてきた。しかし、これらの認証を策定するための情報が少ないのが現状。本連載では、BS7799やISMS認証を取得した事業者の方に、実際に策定を行った当事者だからこそ語れる苦労やテクニックなどをレポートしていく。いま策定中または今後検討される事業者の方に、参考になることを願う。



 今回は、事業統合を機にBS7799およびISMSのダブル認証を実現した新日鉄ソリューションズを紹介する。同社は、新日鉄のエレクトロニクス事業部(EI)と新日鉄情報通信システム(ENICOM)の事業統合により2001年4月に発足。同年12月にはBS7799とISMSを同時に取得した。当時ダブル取得は国内初であった。その専任担当者として取り組んだ舛井雄一氏にお話を伺った。

まずは試行錯誤の日々が始まった

 一般にセキュリティポリシーは、情報セキュリティの根幹に関わる考え方であるため、トップダウンで策定する。同社の場合、情報セキュリティがビジネスに関わる大きな要素であることを上層部が認識しており、ISMSの重要性をいち早く察知し、認証取得へと動き出した。取得範囲の葛西センターはアウトソーシング事業部の管轄。データセンターとして、それまでもセキュリティには注力していた。しかし、「情報処理サービス業情報システム安全対策実施事業所認定制度(以下、安対制度)の廃止に伴い、次に来るべきものとしてISMS認証を取ろう」というトップの声がキッカケになったという。さらに同社の場合、外資系の顧客も視野に入れ、「国際的に認知度の高いBS7799も」という動きになった。

「BS7799やISMSの認証取得にはISOの知識・経験は必須ですね」と語る、新日鉄ソリューションズ アウトソーシング事業部 システム部 シニア・マネージャー 舛井 雄一氏

 「ダブル認証だからといって手間や費用が2倍になるわけではありません。中身は基本的には同じですから」と舛井氏はいう。確かにそのとおりだ。BS7799は日本人の感覚からすると一部厳しい基準があるが、ベースとなる項目は両者にそれほどの差があるわけではない。ISMS認証のほうが日本の国情に合わせて一部緩やかな基準になっている、といった程度だ。ただし、審査登録機関はダブル認証を受け付けてくれる機関を選んだ。

 ちなみに、認証取得に向けて組んだプロジェクトは、社内の情報セキュリティ管理者と舛井氏のほか、葛西センターの管理者が加わった。といってもシステムの構築担当は、基本的には舛井氏一人。猛勉強と試行錯誤の日々が始まった。

 2001年5月にはパイロット事業者の募集に応募。エントリー完了後、舛井氏は書籍や外部コンサルなどを利用しながらBS7799およびISMSについての調査・学習を開始した。ちなみに、BS7799 part1がISO/IEC17799として国際規格になったのは2000年。当時は日本語訳の認証基準やガイドラインが分かりにくく、しばし原文を見ないと理解できなかったという。また、ISMSは制度が始まったばかりなので現在と比較すると参考文献や資料も画一的。情報不足だったという。

 しかし、「BS7799/ISMSって何だ? と考えていろいろと調べてみると、これはISOだ、と分かってきたんですよ」と語る舛井氏は以降、ISO関連の情報収集を開始した。実績のあるマネジメントシステムの知識を活用することで新制度への理解を深める、というこの方法はいわば「急がば回れ」方式。しかし、新制度の情報不足を補い、システムを構築するためには非常に効率的かつ効果的だったという。

 なお、葛西センターの場合、6割程度は安対制度の情報をスライドさせてシステムを構築できたという。これは、同制度が設備など物理的な対策に比重を置いた認証基準であり、データセンターのマネジメントに使える部分が多いためだ。いまある情報資産を活用することで作業の手間を軽減できたのだ。

難関はリスクアセスメント

 ISMSで最も評価できるのは、情報資産のリスク評価をして、必要なものから優先順位を付けて、事業の特徴、コストなどを考慮して管理策を決めることができる点にある。反面、ISMSの構築で、ポリシー策定から適用範囲の決定、リスクアセスメント、リスクマネジメント、管理目的・管理策の選択、適用宣言書の作成に至る作業の中で最も手間が掛かり、一番の難関はリスクアセスメントだったという。

 「情報資産の価値=保護すべきもの」という観点で情報資産の洗い出しを行った後、“情報資産の価値を算定”→“情報資産の価値に対する脅威の洗い出し”→“脅威に対する脆弱性の評価”を行い、最終的にマネジメント(管理策)をまとめるわけだが、これは、「実際に作業をしながら理解していった」(舛井氏)というように一筋縄ではいかないようだ。安対制度のように「基準の全てをカバーする」わけではなく、「必要な資産に優先順位をつけて保護する」というスタンスのため、1つの資産に対して複数の角度から価値や脅威を算定して管理策を作成する必要があるためだ。

 策定作業中は対象社員への教育も担当。自作のプレゼンツールを使ってセミナーを開いたという。また、「事故が起こったらどうなるか」を認識させることが重要という観点から、新聞などを使って実際の事故・被害例などを示すなどの工夫もした。昨今の機密情報漏えい事件などを考えると、「人が流動化している現代では、人的セキュリティを考慮したマネジメントが重要になってきます。いくら良いツールを使って機械的な管理をしていても、“人”を押さえないと必ず事故が発生します」という舛井氏の言葉に説得力を感じた。

 そのためには採用時の教育訓練も大事だが、その後のフォローも重要だ。同社の場合、社員誓約書にセキュリティに関する条項を設け、毎年確認してサインしてもらっているという。「時間が経つと忘れる/感覚が鈍くなるから、1年に1度くらいは確認しないと」と舛井氏はいうが、本当にそのとおりだ。また、認証基準に対する内部監査を1年に1回は実施するほか、月報に、BS7799/ISMSに関する管理報告書を新たに追加し、管理を徹底させているとのこと。日常的な管理および社員教育により、セキュリティレベルは確実に上がったという。

 ちなみに、認証取得による効果は、一言で安全性をアピールできるという点だという。「お客様に技術的なこと説明しても理解していただけないことがあります。でも、(セキュリティの新規格であるBS7799とISMSの)認証を受けています、と申し上げることで信頼感がアップします」と舛井氏は取得効果を語る。
 
取得後の今後の方向は?

 葛西センターの認証取得後、他部署でも同様の動きがあり、2002年11月にはネットビジネスソーシング推進部(9名)がBS7799およびISMSのダブル認証を実現している。ASP図面文書管理で2000サイト以上の構築実績がある同部署は、顧客の仕事に直結するデータを預かるため、機密情報の漏えいなどは致命的。このため、“安全である”ということを客観的に証明するために認証を取得したという。実務担当者は部署内の人間だが、舛井氏は社内コンサルの立場で参加し、アドバイスした。

「コンサルをやるには審査の経験が必要だと思いまして」と意欲的な舛井氏

 「入社したときは、いまの自分(の業務)は想像できなかったですね」と笑う舛井氏は、当初エレクトロニクス部門でFAコンピュータ開発・ネットワーク開発などを行っていたそうだ。その後、「安対制度もやった」「セキュリティ関係のシステム開発もやった」という経験がバックボーンとなり、認証取得業務にも違和感なく入れたという。現在はデータセンターの設備・運用管理などのマネジメントが主業務だが、将来的にはコンサルも業務の一環にしたいという希望を持っているため、ISMS審査員の登録をしたそうだ。

 いまは、運用管理面以外では認証関連の業務にはついていないが、社外の情報フォーラムなどでの勉強会などは続けているという。最後に、認証取得のテクニックを聞くと、「小さく取って大きくしていく(取りやすいところから取って、だんだんと適用範囲を大きくしていくスタイルがいい)」「BS7799やISMSの認証取得には、ISO9001などの構築経験が役に立つ」」などの経験により裏打ちされた重みのあるアドバイスをもらえた。

事業者名称 新日鉄ソリューションズ株式会社
事業者部門名称 NS Solutions 葛西センター
対象人数 当初17名/現在34名
登録範囲 情報処理の運用業務
認証基準 BS7799-2/ISMS認証基準(Ver.1.0)
初回登録日 2001年12月6日(ISMS Ver.1.0登録日:2002年7月30日)
認証登録機関 日本検査キューエイ株式会社(JICQA)


筆者Profile
武田文子(たけだ ふみこ)
東京都出身。何となくコンピュータ業界に入り、転職でアプリケーションソフトウェアなどのマニュアル制作に携わる。その後独立し、IT関連を中心に取材・執筆活動を開始。現在、新聞・雑誌、書籍、広告などの原稿執筆を行っている。

index
  第1回 BS7799・ISMS認証のダブル認証を実現
  第2回 SEの経験が活きたISMS認証取得のポイント
  第3回 ISMS認証の重要なポイントは「リスクマネジメント」
  第4回 BS7799・ISMS認証もTCOを意識すべき
  第5回 国内最大規模・範囲でのISMS認証取得
  第6回 現場を巻き込むことで、成功したISMS認証取得
  第7回 定期的なWGメンバー交代でISMS運用を向上
  第8回 ISMSの根本的な思想を理解し、フレームワークを構築
  第9回 個人の信用情報を取り扱う業務ゆえ必須のISMS

参照サイト
  情報セキュリティマネジメントシステム(ISMS) 適合性評価制度
  BSI Japan
  ISO/IEC JTC1/SC27
  JISC(日本工業標準調査会)
  OECD(経済協力開発機構)
  経済産業省 商務情報政策局 情報セキュリティ政策室
  情報処理進行事業協会 セキュリティ評価・認証

関連記事
  開発者が押さえておくべきセキュリティ標準規格動向
  連載 実践!情報セキュリティポリシー運用
連載 情報セキュリティマネジメントシステム基礎講座
  電子メールセキュリティポリシー導入の必要性
  自主性が要求されるセキュリティ対策の新ガイドライン
  企業IT管理者を対象としたセキュリティ研究会が発足


連載:BS7799、ISMS認証取得の実態を聞く


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間