 |
事例から学ぶセキュリティポリシー認証取得のポイント
【連載】BS7799・ISMS認証取得の実態を聞く
第7回 定期的なWGメンバー交代でISMS運用を向上
〜 凸版印刷編 〜
| 武田文子 2003/8/16 |
|
||
今回は、印刷を核に多彩な分野へ事業展開している凸版印刷株式会社のインターネットデータセンターサービスTOPICA(トピカ)におけるISMS認証取得への取り組みを紹介する。2001年12月にはパイロット版を、2002年6月にはVer.1.0を取得した同社はすでに数回のサーベイランス審査を経験。取得後のフォローにも独自のシステムを採用している。認証取得活動を担当されている岡戸成夫氏にお話を伺った。
「お客さまの情報資産をお預かりして、ほかの情報媒体/新しいメディアにすることを生業としている」(岡戸氏)という同社は、認証取得以前から情報セキュリティをどう高めるかを意識し、全社規模での取り組みを行っていた。具体的には、2001年4月に全社共通の基本ルールである“情報セキュリティ管理規程”を従来あった“秘密情報管理規程”に代えて制定。その後、法務本部が事務局を務め、全社の各部門からメンバーを招集し発足した“凸版印刷情報セキュリティ管理委員会”が詳細な運用細則を制定し、各部門の責任者が運用を担当。“すべての社員が守る”社内ルールを作成し、周知徹底を行っていたという。
■ISMS策定は企業独自のものであるため、“自分たちの言葉に変えていく”ことが重要
 |
| 凸版印刷株式会社 Eビジネス事業部 ネットワークビジネス本部 トピカ部 部長 岡戸成夫氏 |
認証取得に向けて動きだしたのは2001年4月。JIPDEC(財団法人日本情報処理開発協会)がISMS制度を公表した時期だ。認証取得の指示はトップからで、同社のネットビジネスの基盤である“TOPICA(トピカ)”のサービスを適用範囲とすることで取得プロジェクトが動きだした。
ちなみに、同社では既に2事業本部(金融・証券事業本部、商印事業本部)でプライバシーマーク(Pマーク)を取得していたが、情報処理サービス業情報システム安全対策実施事業所認定制度(安対制度:2001年3月31日廃止)は未取得。情報セキュリティに関する認証取得は初めての経験だ。
当時のISMS取得のためのワーキンググループ(以下、WG)は、TOPICAの営業部門4名、技術部門6名に加え、経営企画本部、法務本部からも1名ずつ人員を招集。この構成理由として、ISMSの審査が、対象業務(通常TOPICAのサービスは、営業と技術がペアで行う)に関する質問と、全社的取り組みに関する質問があることによるという。しかし、メンバーはいずれも未経験者ばかり。パイロット版故に資料も少なく、セミナーや書籍、Webサイト、BS7799の資料などを利用して勉強したという。
ISMSは、必要とされるドキュメントの量が非常に多い。ポリシー文書から適用宣言書まで、多彩な文書および関連資料を作成しなければならない。このため、ドキュメントの整備にはかなりの労力を必要とする。同社の場合、全社規模の情報セキュリティ管理に関する規程類はあったが、それらを流用できるかというと答えはノー。添付資料の3分の1程度はマニュアルや運用履歴(記録)など、日常業務の中で作成してきたものを転用できたが、残りの資料とISMS文書はすべて一から作成した。「最初のころは暗中模索の日々でした」と岡戸氏は笑うが、外部コンサルタントの指摘で改訂作業を何回も繰り返し、審査に臨んだという。
認証取得活動が未経験の場合、やはりコンサルタントは必要だろうか――岡戸氏は「必要だと思います。複数のメンバーで作業を進める場合、まとめ役であるリーダーには“知識”と“自信”が必要です。未経験者には難しいですね」と語っている。知識はもちろんだが、メンバーを引っ張る、つまり、方向性を示し判断を下す人=コンサルタントという考えだ。同社では、ISMS取得のためのWGが始動してから10カ月の間はコンサルタントの力を借りている。そして、その後は自分たちだけで作業を進めている。理解が進み、自ら判断が下せるようになったためだ。「“自分たちの考え”で動けるようになったのは、パイロット版の審査を終えた後ですね」と岡戸氏も語っている。
この“自分たちの考え”という言葉は、今回の認証取得活動のキーワードとなっている。一般に、未経験者が最初にぶつかる壁は“文言の理解”だ。情報資産の洗い出し、リスクアセスメント、適用宣言書など、初めて聞く言葉・概念が多いため、ISMSガイド(JIPDEC発行)を読み解くことができない。同社の場合、ある程度理解した後は、“自分たちの言葉に変えていく”作業をしたそうだ。これは、一般社員に対する教育の場などでも利用価値が高い。言葉を覚えさせるのではなく、言葉の意味・定義を理解させる、というスタンスだ。一方、資産分類やリスク評価では、手順書を基にしたが、そこに“自分たちの判断・考えを追記する”という形でまとめていったという。マネジメントシステムはその会社独自のものだ。手順書どおりに分類・評価できるはずがない。手順書どおりにまとめようとして四苦八苦した、という経験談は何回も聞いたが、同社の場合、自分たちの判断を尊重し、反映させることでより分かりやすく使いやすいシステムが構築できたのではないだろうか。
■定期的にWGのメンバーを入れ替えることで共通意識と実務に即した構築・運用が可能となる
 |
| 「TOPICA情報セキュリティ委員会と審査対応のワーキンググループを明確に分けることで、複眼的なチェックができる」という岡戸氏 |
また、同社は組織編成にも工夫を凝らしている。2001年12月のパイロット版(Ver.0.8)の取得までは、情報セキュリティに関する議題を討議するTOPICA情報セキュリティ委員会と、ISMSの審査対応のための活動を行うWGとの位置付けが不明確であった。そこで、パイロット版取得以降は、TOPICA全体の情報セキュリティに関する方針を定め、WGが作成したISMS関連の文書を承認するTOPICA情報セキュリティ委員会(以下、TOPICA委員会)と、審査対応のためにリスク分析や文書作成を行うWGという2つの組織による運用体制に変更した。
つまり、TOPICA委員会はセキュリティに関する決議を担当し、実務はWGが担当する。「作る人と承認する人が同じでは問題ですから」(岡戸氏)。いわれてみれば確かにそのとおりだ。自分で作ったルールを自分で承認するのでは、公平・公正な視線が欠ける可能性がある。それぞれを独立した組織にすることで責任の所在も明確になるし、複眼的なチェックが可能になる。
そのうえ、WGは定期的にメンバーの入れ替えを行っているという。半年に1回サーベイランス審査がある同社の場合、パイロット版(Ver.0.8)取得後すでに3回の審査を経験しているが、1回の審査が終わるたびにメンバーを何人か入れ替えて次の審査に臨むそうだ。「1回目の審査では、外部のコンサルタントがいました。2回目の審査では、1回目の経験者が社内コンサルタントの立場で参加しましたが、ほかは新たに担当した人ばかりです。そして、3回目の審査では、WGとTOPICA委員会のメンバーだけで対応しました」と岡戸氏は語る。3回目の審査が終わったいまは、初期のWGのメンバーは1人もいないという。対象人員40名のうち、すでに半数がWGの活動を経験。2、3年のうちに全員が経験することになる。
メンバーを入れ替える利点として「多くの人に(ISMSの)やり方、考え方を知ってもらうことが第一の目的です。担当になることで知識も増えますし、部署内で共通した意識を持つことができます。また、担当が替わることで、より実務に即したシステムの構築・運用ができるようになります」と岡戸氏は語る。特定のメンバーが適用範囲の全業務を運用面も含めてフォローするのは難しい。しかし、新しいメンバーが加わることでチェック体制が強化され、運用手順書のレベルアップにつながるという。認証取得活動が未経験の場合、コンサルタントがいた方がいい、という岡戸氏だが、「コンサルタントに頼りすぎてしまうのは問題です」とも語っている。知識・経験が豊富でも、外部の人には分からない(気付かない)点がある。本当の意味での実態に合わせたプランニングができるのは、やはり、内部の人間だ。現状を理解し、改善点などを具体的に提案できる“社員”の力を活用することで正確度も上がっていく。
未経験ながらも独自の工夫を凝らし、認証取得を実現した同社は、取得後も独自のシステム、考え方で情報セキュリティ管理に積極的に取り組んでいる。ちなみに、「認証取得は“信頼できる”というお墨付きをいただいたようなものです。いわば、守りのセキュリティですね」と語る岡戸氏の今後のテーマは「売り上げ拡大につながる攻めのセキュリティ」だという。
◇
| 事業者名称 | 凸版印刷株式会社 |
| 事業者部門名称 | Eビジネス推進本部(現在はEビジネス事業部) |
| 対象人数 | 40名 |
| 登録範囲 | Eビジネス事業部におけるTOPICAに関わるサービスのうち、共用サーバホスティング、専用サーバホスティング、ハウジング。東京都文京区のEビジネス推進本部オフィスおよびデータセンターと、神奈川県横浜市のデータセンターにあるTOPICAに関する資産を含む。インターネットは各データセンターのアクセスポイントまでを対象とする(適用宣言書バージョン:Rev.2.3)。 |
| 認証基準 | ISMS認証基準(Ver.1.0) |
| 初回登録日 | 2001年12月18日(Ver.1.0登録日:2002年6月27日) |
| 認証登録機関 | 株式会社ケーピーエムジー審査登録機構 |
| 筆者Profile |
| 武田文子(たけだ ふみこ) 東京都出身。何となくコンピュータ業界に入り、転職でアプリケーションソフトウェアなどのマニュアル制作に携わる。その後独立し、IT関連を中心に取材・執筆活動を開始。現在、新聞・雑誌、書籍、広告などの原稿執筆を行っている。 |
| 参照サイト | |
| 情報セキュリティマネジメントシステム(ISMS) 適合性評価制度 | |
| BSI Japan | |
| ISO/IEC JTC1/SC27 | |
| JISC(日本工業標準調査会) | |
| OECD(経済協力開発機構) | |
| 経済産業省 商務情報政策局 情報セキュリティ政策室 | |
| 情報処理進行事業協会 セキュリティ評価・認証 | |
| 関連記事 | |
| 開発者が押さえておくべきセキュリティ標準規格動向 | |
| 連載 実践!情報セキュリティポリシー運用 | |
| 連載 情報セキュリティマネジメントシステム基礎講座 | |
| 電子メールセキュリティポリシー導入の必要性 | |
| 自主性が要求されるセキュリティ対策の新ガイドライン | |
| 企業IT管理者を対象としたセキュリティ研究会が発足 | |
 |
連載:BS7799、ISMS認証取得の実態を聞く |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
