 |
事例から学ぶセキュリティポリシー認証取得のポイント
【連載】BS7799・ISMS認証取得の実態を聞く
第8回 ISMSの根本的な思想を理解し、フレームワークを構築
〜 IIJテクノロジー編 〜
| 武田文子 2003/9/18 |
|
||
今回は、株式会社アイアイジェイテクノロジーの事例を紹介する。システム構築、運用サービスを業務とする同社がISMS認証基準(Ver.1.0)を取得したのは2003年2月。技術力に定評のある同社だが、認証取得への道のりは決してスムーズではなかったようだ。情報セキュリティ対策室(現情報セキュリティ管理室)のメンバーである蓑田信一郎氏、成田雅和氏、菅野美枝子氏にお話を伺った。
■認証取得を“契機”に社内組織を整備
同社がISMS認証を意識したのは2年半ほど前、JIPDEC(日本情報処理開発協会)がISMS制度を公表したころだ。エンドユーザーのデータを持つ顧客が多いため、顧客自身がセキュリティに対して意識が高く、商談の中で(ISMS制度が)話題になったという。CISO(Chief Information Security Officer:情報セキュリティ管理最高責任者)も“認証取得は今後のビジネスで必須となる”と判断(実際、現在は、要件として明記されている場合も多い)。認証取得への準備が始まった。
 |
| 「認証取得はカタチだけでなく、フレームワークを構築すべきと考えた」と語る、アイアイジェイ テクノロジー 営業企画室 室長 蓑田信一郎氏 |
といっても、直ちに活動が開始されたわけではない。2001年10月、CISOの指示の下、情報セキュリティ対策室が発足したが、技術系、管理系から数名ずつメンバーを選出し、実際に活動を開始したのは12月だったという。専任の部署があれば認証取得を業務として扱えるため、時間や人員を確保しやすいが、同社の場合、メンバーはすべて兼任のため、キックオフには少々手間取ったようだ。今後、取得を計画している企業は、可能であれば、年間スケジュールにあらかじめ(認証取得業務を)組み込み、時間と人員の確保に努めよう。
ちなみに、同社の社員は仕事柄、セキュリティの意識は高く、「万が一、何か問題が発生してもちゃんと動ける」(成田氏)という自負はあったという。ただし、明文化したガイドラインがなかったため、「社員の心の中にあるものを具現化(ルール化、ドキュメント化)していかなければ」(蓑田氏)という認識もあった。また、“認証を取得するならカタチだけでなく、根本的な思想を理解し、フレームワークを構築すべき”と考え、セキュリティ対策室のメンバーもその点を重視して打ち合わせを重ねたという。“情報セキュリティの確立=ルール(ポリシー)の作成”という認識でルール作りに重点を置く企業もあるが、ISMSはあくまでも指針の1つであってすべてではない。「認証取得を“目的”とするのではなく、認証取得を“契機”に社内組織を整備する、というスタンスで臨みました」(成田氏)という同社の姿勢は健全だ。
■収穫はエンジニアの直感や経験で判断・対処していたリスクのプライオリティの整理
ただし、「ISMSを理解するまで、相当の紆余(うよ)曲折がありました」と蓑田氏は振り返る。当時はISMSの資料がほとんどなかったため、セミナーに参加する、BS7799に関する書籍を読む、インターネットで見つけたBS7799のリスクアセスメント用ツール(ソフトウェア)を購入・使用してみる、評価シートを自作する、など、さまざまな方法でアプローチしていたそうだが、BS7799は英国の制度のため、日本の現状とは異なる見解も多々あり、そのあたりの判断に苦労したという。
例えば、リスク評価のサンプルには、水、空気、湿度、空中浮遊物質から天変地異、テロまで非常に広範囲の脅威が記載されていた。確かに、どれも“事業継続に対する脅威”になり得る。また、同社の場合、24時間365日のシステム監視・運用および障害対応を提供しているため、社員が休んだときや席を外したときも“脅威”として想定した。「“出先からデータセンターに駆け付ける際、社員が現金を持っていなかったら”なんてことを話し始めると、キリがありませんでした。(交通費としての)現金は情報資産として扱うのか、タクシーチケットは? といった具合に、範囲がどんどん広がっていくのです」と菅野氏は笑う。
 |
| ISMS認証取得により業務と意識の見直しができたという、アウトソーシングサービス部 部長代行 成田雅和氏と菅野美枝子氏 |
いまでは、何を情報資産とするのか、脅威とは何か、といった情報が増え、コンサルタント会社などでも基本となるフォーマットを用意しているが、当時は何もない状態。自分たちの力で何とかまとめ上げるまで半年かかったという。同社では、その時点で外部のコンサルタント会社の力を借りたそうだが、“ここまで広範囲かつ詳細なものは見たことがない”といわれたそうだ。
「情報資産の洗い出しやリスクの選別には苦労しましたが、自分たちでいろいろと考え、まとめ上げたことは財産になりました」と蓑田氏は語る。当時は、「本当に終わるのだろうか」とだいぶ心配したそうだが、苦労した結果、新しい資産、脅威に対する判断が格段に速くなったという。方向性を決める、という点ではコンサルタントの力を借りたが、それ以外の作業をほぼ自力でやったことが自信につながっているようだ。
ただ、同社の場合、明文化したルールなどはなくても、(情報セキュリティに対する意識が高いため)日常の業務の中で大半の管理策は実施していたという。そのため、方針が決まった後は、運用記録のフォーマットを統一するなどの微調整程度でStage1の審査に臨めたそうだ。内部監査や事故が起きたときの訓練、テスト運用を済ませた翌月にはStage2の審査を受けた。
蓑田氏は、「それまでエンジニアの直感や経験で判断・対処していたリスクのプライオリティが整理されたことが収穫です」と認証取得の利点を挙げる。目に付かなくてもリスクの高いもの、目立つがリスクはそれほど高くないもの、といった判断が的確に下せるようになったという。もちろん、対外的な効果もある。冒頭で述べたように、入札要件に認証取得が明記されているケースも増えているし、そうでない場合も、顧客への説明がしやすい。
なお、同社では当初、全社規模での取得を計画していたが、セキュリティ対策室で検討した結果、コスト、時間、労力の負担がかなり大きいことが分かり、適用範囲をアウトソーシング事業に絞ったという。ただし、事業を担当する人間、情報が対象という視点で範囲を想定したため、技術系だけでなく、管理・営業部門も対象人員に含まれている。各種認証は全社規模、あるいは事業部(部署)単位で取得するものと思われがちだが、同社の発想はフレキシブルだ。情報セキュリティ管理室のメンバーもCISOのほか、プロフェッショナルサービス部から2名、アウトソーシングサービス部から3名、営業部門から3名、管理部門から4名が参加している。内部監査人や実務担当者の異動もある。「認証を取得したのはアウトソーシング事業ですが、情報セキュリティに対する活動は全社で取り組んでいますから」と成田氏が語るように、実務に即しながらも、より広範囲な活動を行っていることがうかがえる。
ちなみに、同社では、認証取得支援のビジネス化も計画しているが、「一般的なコンサルタントとしてではなく、ドキュメントの整備などを含め、システムインテグレータとしてお手伝いをしていきたい」(蓑田氏)そうだ。情報資産の洗い出しやリスクの選別で(結果的にはやり過ぎの感があるほど)広範囲な項目をピックアップし、評価した経験が活きるだろう。さらに「認証を取得したことで確実にセキュリティのレベルが上がる、意味のある取得をサポートしたい」と蓑田氏はいう。
また同氏は、「今後はISMS認証にも“格付け”のようなシステムを導入し、マネジメント、フレームワーク、管理体制のチェックなどをより厳密にすることで、その企業と取引する法人・個人は、判断が容易となり、より便利になるだろう」という見解を示した。少々乱暴ないい方だが、現在のISMS認証制度では管理しているかどうかは見ているが、中身のチェックは弱いのでは、という意見だ。新しいシステムだからこそ、よりブラッシュアップして基準の“格”を上げることは、今後の(管轄側の)検討課題となるのではないだろうか。
◇
| 事業者名称 | 株式会社アイアイジェイテクノロジー |
| 事業者部門名称 | - |
| 対象人数 | 100名 |
| 登録範囲 | アウトソーシング事業 |
| 認証基準 | ISMS認証基準(Ver.1.0) |
| 初回登録日 | 2003年2月17日 |
| 認証登録機関 | 株式会社ケーピーエムジー審査登録機構 |
| 筆者Profile |
| 武田文子(たけだ ふみこ) 東京都出身。何となくコンピュータ業界に入り、転職でアプリケーションソフトウェアなどのマニュアル制作に携わる。その後独立し、IT関連を中心に取材・執筆活動を開始。現在、新聞・雑誌、書籍、広告などの原稿執筆を行っている。 |
| 参照サイト | |
| 情報セキュリティマネジメントシステム(ISMS) 適合性評価制度 | |
| BSI Japan | |
| ISO/IEC JTC1/SC27 | |
| JISC(日本工業標準調査会) | |
| OECD(経済協力開発機構) | |
| 経済産業省 商務情報政策局 情報セキュリティ政策室 | |
| 情報処理進行事業協会 セキュリティ評価・認証 | |
| 関連記事 | |
| 開発者が押さえておくべきセキュリティ標準規格動向 | |
| 連載 実践!情報セキュリティポリシー運用 | |
| 連載 情報セキュリティマネジメントシステム基礎講座 | |
| 電子メールセキュリティポリシー導入の必要性 | |
| 自主性が要求されるセキュリティ対策の新ガイドライン | |
| 企業IT管理者を対象としたセキュリティ研究会が発足 | |
 |
連載:BS7799、ISMS認証取得の実態を聞く |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
