事例から学ぶセキュリティポリシー認証取得のポイント
【連載】BS7799・ISMS認証取得の実態を聞く
第3回 ISMS認証の重要なポイントはリスクマネジメント
〜 エクサ編 〜
武田文子 2003/3/26 |
|
今回は、コンサルティングからシステム構築、運用管理までを手掛ける株式会社エクサを紹介する。ISMS認証を取得した鉄鋼システム事業部SYSOPセンターは、大規模システムの運用が主業務。認証取得に向けて発足した情報セキュリティグループでプロジェクトリーダーを務めた小原俊一氏にお話を伺った。
■ISMS取得で重要なポイントと感じた“リスクマネジメント”
システム開発部門が構築、または、顧客から預かった適用業務システムを正確に運用することがSYSOPセンターの役割だ。常に信頼性、安全性、効率性が追求される。このため、以前から安全対策活動には積極的だった。実際、同部署では、ISMS認証取得以前にも、1999年にISO9001(品質管理および品質保証のための国際標準モデル)を、2001年にプライバシーマーク(以下、Pマーク)をそれぞれ取得済み。情報処理サービス業情報システム安全対策実施事業所認定制度(以下、安対制度)も取得予定で、予備審査までは受けていた。
しかし、安対制度は廃止。「何で終わっちゃうの? という心境でしたね。成果物(結果)が出せなくて非常に残念な思いをしました」とシステム運用の現場にいた小原氏は安対制度の廃止を聞いて落胆したという。しかし、代わってISMS認証制度が登場。 “ISMSは必ず取るぞ“と奮起したという小原氏は、以降、ISMS認証取得に向けて情報収集を開始した。
安対制度のほか、Pマークの取得にもかかわっていた小原氏は当初、ISMS認証取得がそれほど難しいものとは思わなかったという。適用範囲であるSYSOPセンターの業務に精通しているし、ISO、安対制度、Pマークの知識もあるからだ。
「情報資産の中で“リスク”をどう扱うかで、ずいぶん悩みました」と語る、エクサ 鉄鋼システム事業部 SYSOPセンター 運用技術チーム 主任 小原俊一氏 |
「例えば、PマークとISMS認証のアクセス制御は似通った内容です。ということは、Pマークが適切に運用されていれば、それはそのままISMS認証へつながると考えたのです」(小原氏)。しかし、実際は違ったという。ベースとなる部分(項目)は似ていても、ISMS認証の場合、多面的・複合的な視点が必要なため、ISOやPマーク、安対制度のような一方向からのアプローチではダメだと感じたと語る。
また、ISMS認証に関する情報自体が不足している中で、規格そのものを理解することにもかなり苦労したようだ。安対制度とPマークの経験があったため、物理面・技術面については比較的容易に理解できたが、一方で、「“人的セキュリティ”については、最初、全然分かりませんでしたね」と笑う小原氏が、特に悩んだのは“リスクマネジメント”だったという。
“リスクマネジメント”という言葉は物理・技術面が中心の既存の安全対策基準ではあまり聞かれなかった言葉だが、ISMS認証では非常に重要なポイントとなっている。リスクを分析・評価し、対策基準(管理策)を制定する必要があるためだ(ちなみに、現在のISMS認証基準Ver.1.0では、詳細管理策の中にはこの文言は入っていないが、要求事項の中にある。Ver.2.0ではより明確化されるはずだ)。
「ISMS認証が求めている“リスク”という概念を理解すること、情報資産の中で“リスク”をどう扱うかということで、ずいぶん悩みました。当時は(ISMS認証の)資料や参考書籍などがなかったので、BS7799の解説書のほか、単体で“リスク”や“セキュリティ”を解説している本を何冊も購入して勉強しました」という小原氏は、ISMS認証に関してある程度理解し、作業を進めながらも、かなり苦労したと振り返る。
「今回の構築で一番時間がかかったのがリスクマネジメントでしたね。SYSOPセンターに合ったリスクマネジメントの手順を生み出し、確立するまで、かなり試行錯誤しました」と語っている。
■ISMS認証は、システム運用部門に求められる“三種の神器”
一方で、ISOやPマークの知識・資産もフル活用した。「ISOやPマークと共有できる部分を徹底的に調べて、流用できる部分はそれを利用しました。もちろん、大幅な手直しは必要でしたが。その結果、全く新たに作成した(ISMS用の)基準は3つか4つでしたね」(小原氏)。“そんなに少ないの?”と思う方もいるだろう。しかし、SYSOPセンターではすでにISOとPマークを取得済み。これにISMS認証が加わるため、合計で3つの規格(制度)が存在することになる。そのような状況では、できるだけシンプルに基準を整理することが適切な運用につながる。
「個々の規格によりバラバラな方針では、とても運用なんてできません」と語る小原氏の言葉には説得力があった。また、小原氏は、「新しいもの(基準)を入れたとき、それを完璧に運用するまでにはある程度、時間が掛かります。しかし、セキュリティの分野は変化が早いので、浸透するまでに時間を掛けるわけにはいきません。短時間で完璧な運用が可能なシステムを構築する必要があります」とも語った。
そのためには、現場に合った運用しやすいシステムを作る必要があるという。最初から100を求めて基準を作っても、正しく運用できなければ意味がない。60〜70で始めて徐々に精度を上げていき、100を目指すという方法が適切だという。
認証取得のシステムを構築する際、はじめに“基準ありき”と考えるか、“運用ベース”と考えるか……。これは、担当者の知識・経験や業務内容により異なるが、今回の例は“運用ベース”だ。リスクを洗い出す際には、ISOの障害管理記録を見直し、いままでに起きたことと、その際の対処方法などをすべてチェックしたというし、常に現場の人間の声を聞いて、それをくみ取るシステムを構築するよう意識したという。また、参考資料などがほとんどない中で作業を進めなければならなかったため、“システム運用”という自分の経験・理解の中でISMSという認証基準に向き合い、解釈する、という姿勢で作業を進めた。適用範囲の実務経験があるからこそできる手法だ。
「今回の構築で一番時間がかかったのがリスクマネジメントでしたね。SYSOPセンターに合ったリスクマネジメントの手順を生み出し、確立するまで、かなり試行錯誤しました」と語る小原氏 |
「認証制度が業務に負荷をかけてはいけません。業務の中で自然に制度が運用されているのが理想ですね」と語る小原氏は今後、基準の精度を上げながらも常に運用とのバランスを考慮すること、関連ドキュメントのスリム化などを目指しているという。「(基準の)精度を上げようと思えばいくらでも上げられると思います。でも、そのために業務に支障や負担があるようでは意味がありません。審査時だけでなく、日々の業務の中で適切に運用・管理すること/できること、今後もずっと維持・管理していくことが重要なのです」という小原氏の言葉からは、常に実際の“運用”を意識していることがうかがわれる。
なお、今回の審査では、認証登録機関の担当者が予備審査と書類審査では別の人だったという(実地審査では両方の方がいらっしゃったという)。「別の人だと、やりにくいのでは?」と質問すると、「ISMSはマネジメントシステムですよね。“マネジメント”には多様な概念があるべきだと思います。だから、別々の審査員の方から異なる視点でご意見を伺えてよかったです」とのこと。
ちなみに、システム運用の経験を認証取得に活かした小原氏は、その経験を活かしてすでにISMS審査員補の資格を取得している。「ISOとPマーク、そしてISMS認証は、システム運用部門に求められる“三種の神器”ですね」と語る小原氏は、その達成により、SYSOPセンターの情報セキュリティ体制確立に自信を見せた。
◇
事業者名称 | 株式会社エクサ |
事業者部門名称 | 鉄鋼システム事業部 SYSOPセンター |
対象人数 | 61名 |
登録範囲 | システムインフラ(システム基盤ソフト、ハード、附帯設備)の企画/設計から運用/保守 適用業務システムの運用業務 |
認証基準 | ISMS認証基準(Ver.1.0) |
初回登録日 | 2002年8月30日 |
認証登録機関 | 財団法人日本品質保証機構 |
筆者Profile |
武田文子(たけだ ふみこ) 東京都出身。何となくコンピュータ業界に入り、転職でアプリケーションソフトウェアなどのマニュアル制作に携わる。その後独立し、IT関連を中心に取材・執筆活動を開始。現在、新聞・雑誌、書籍、広告などの原稿執筆を行っている。 |
参照サイト | |
情報セキュリティマネジメントシステム(ISMS) 適合性評価制度 | |
BSI Japan | |
ISO/IEC JTC1/SC27 | |
JISC(日本工業標準調査会) | |
OECD(経済協力開発機構) | |
経済産業省 商務情報政策局 情報セキュリティ政策室 | |
情報処理進行事業協会 セキュリティ評価・認証 |
関連記事 | |
開発者が押さえておくべきセキュリティ標準規格動向 | |
連載 実践!情報セキュリティポリシー運用 | |
連載 情報セキュリティマネジメントシステム基礎講座 | |
電子メールセキュリティポリシー導入の必要性 | |
自主性が要求されるセキュリティ対策の新ガイドライン | |
企業IT管理者を対象としたセキュリティ研究会が発足 |
連載:BS7799、ISMS認証取得の実態を聞く |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|