 |
事例から学ぶセキュリティポリシー認証取得のポイント
【連載】BS7799・ISMS認証取得の実態を聞く
第9回 個人の信用情報を取り扱う業務ゆえ必須のISMS
〜 グローバルフォーカス編 〜
| 武田文子 2003/11/8 |
|
||
今回は、カード(クレジットカード)のオーソリゼーションシステムとしては国内で初めてBS7799の認証を取得したグローバルフォーカス株式会社を紹介する。2003年2月に1999年版を取得後、7月の定期審査時には最新バージョンである2002年版への移行審査も完了。同社のISMS(情報セキュリティマネジメントシステム)策定活動の推進エンジン役であるISMSセキュリティ推進グループの福原幸太郎氏、堀康則氏にお話を伺った。
■センシティブな情報ゆえ、リスクマネジメントが重要
クレジットカードシステム全般の開発・運用などを手掛ける同社は、品質および安全、安定、安心を企業理念として掲げ、品質やセキュリティに対して以前からさまざまな取り組みを行っていた。1999年には開発事業でISO 9001を、2000年には電算センターで情報処理サービス業情報システム安全対策実施事業所認定制度(安対制度)を、2001年には全社でプライバシーマーク(Pマーク)を取得。今回のBS7799も含めて「“マネジメントシステム”というとらえ方をしています」と福原氏が語るように、複数の認証(制度)を独立したものとしてではなく、統合マネジメントシステムとして認識しているという。
 |
| 「BS7799が自分たちの望むものにマッチした」と語る、グローバルフォーカス株式会社 監査統制部 部長 福原 幸太郎氏 |
同社がISMS活動を開始したのは2001年12月だが、この時点では“認証取得”を想定していたわけではないそうだ。「業務にインターネット接続が必須となってきたとき、“何も方針・ルールがないのは問題だ。管理の仕方を決めよう、ポリシーを作ろう”と社員が話し合いました」と福原氏が語るように、当初はリスクマネジメントという観点からポリシーの作成に着手したという。もちろん、それまでにも個人情報の管理や、いわゆるネチケット的なルールはあったが、体系的なものでなかったため、適正なセキュリティ管理策の策定・実現が必要という意見からだった。
ちなみに、同社は、クレジットカードという個人の信用に関わる情報を取り扱う業務ゆえ、“リスク”に対して非常にセンシティブだ。セキュリティの重要性を“リスクマネジメント”として認識し、コーポレートガバナンス(企業統治)の強化や社会的責任といった観点でとらえている。“情報セキュリティは単にITの問題ではなく、経営の問題である”というトップの考え方が根底にある。また、万が一、問題や事故が起きたとき、「組織の責任や活動内容を第三者に納得のいく方法で説明できることが求められています」と、外部に対する“説明責任”の重要性についても福原氏は語っている。こうした点を踏まえて作成した「セキュリティ対策方針」は、自らの組織にとって何が重要で、それをどのような脅威からどのように守るか、に加え、なぜ保護しなければならないか、が明記されているという。
ところで、国内のガイドラインである「ISMS認証制度」ではなく、国際的なセキュリティポリシー策定のガイドライン「BS7799」の認証を取得しようとした理由について質問したところ、「ポリシーの作成にあたって開催した勉強会の中で、各種制度・規格についても調べたのですが、”情報セキュリティマネジメントシステムとして、BS7799が国際的なベースになっている”という認識を持ち、BS7799を選択しました」(堀氏)。「BS7799の“組織・人的・技術的セキュリティ、事業継続性に関する事項、法準拠に関する事項、プロセスアプローチ(PCDA)”といったマネジメントシステムが自分たちが望むものだと確信しました」(福原氏)と両氏は語った。
なお、2002年1月末に全社情報セキュリティポリシーの策定が完了した後、引き続きISMS構築に着手した同社だが、前述のような判断もあり、このころBS7799の認証取得を決断したそうだ。3月には同社の情報セキュリティ統括役員(CISO)と堀氏が英国まで出向き、在英の日本企業で初めてBS7799を取得した事業所を視察したほか、すでに作成済みのポリシーの英訳を持って審査機関を訪問したという。「BS7799を取得する場合の準備、進行、審査の段取りなどについて、直接説明を聞きました。持参したポリシーについて(審査機関としての)意見が聞けたことも収穫でしたね」と堀氏は振り返る。「わざわざイギリスまで?」と思わず筆者が問うと、「やはり、経営者の判断が効いていますね。危機感を持って対処したということです」と堀氏が答えた。同社のISMSに対する意識の高さを実感した。
■ポイントの1つは審査員をアドバイザ的に活用したこと
同社の認証取得活動をPDCAのマネジメントサイクルに沿ってまとめると、P(Plan)では、ISMS適用範囲の定義〜適用宣言書の作成までを5カ月ほどでまとめた。資産を特定し、リスク分析の方法を明確に手順化、それに沿ってリスク分析を実施することで、「リスクとコストのバランスの取れたセキュリティ対策が可能になりました」と福原氏は語る。D(Do)では運用と内部監査を実施。その活動のなかでStage
1の審査を受けた。「審査員に問題点をいろいろ指摘してほしい、というスタンスで審査に望みました」という堀氏の言葉には、“審査員によるさまざまな指摘によって勉強したい”という思いがあるようだ。1つ1つの項目に対してそれぞれ、さまざまな解釈ができるマネジメントシステムゆえ、審査員の“意見”を数多く聞くことで複眼的な視点を持つことができる。
BS7799もISMS認証制度も予備審査、Stage 1(文書審査)、Stage 2(実地審査)という3段階の審査があるが(予備審査は希望者のみ)、それぞれの審査を“次”につなげるためにも、審査員と適切かつ的確なコミュニケーションを取りたい。なお、Stage
1終了後はC(Check)として改善活動を実施。Stage 2以降のISMS活動(維持・改善)をA(Act)として位置付け、現在に至っている。
 |
| 「審査員に問題点をいろいろと指摘してほしい、というスタンスで審査に臨みました」と語る、監査統制部 ISMS統括グループ マネージャー 堀 康則氏 |
これは、この連載で繰り返し述べていることだが、新しい規格(制度)を導入する場合、現場の人間が苦労するのは否めない。同社の場合も、実際的な作業を担当する現場の人間は当初、負担増を警戒していたようだ。「“アタマに入っていることをドキュメントにしようとすると、突然、大変なコトになってしまう”というやつですね」と福原氏も語っている。しかし、ISMSセキュリティ推進グループと現場の人間との役割分担を明確にすることで、“ここまでやった(準備した)のだから、ここから先はやってね”“そこまでやってくれたのだから、あとはわれわれがやろう”という“あ・うん”の呼吸が作業を順調に進めていったという。
一方、教育面では、全社規模および部門、担当(グループ)単位でそれぞれ複数回実施したが、当初は原文を和訳しただけのような文言を使っていたため、“これでは使えない”という意見・要求が現場から上がり、ISMSセキュリティ推進グループ側でその都度、教育メニューを改善したそうだ。一般社員にも理解できるように独自のガイドブックを整備し、必要に応じてアップデートしているという。管理者側の一方的な視点・指示ではなく、現場の人間の視点や意見をくみ上げ、ブラッシュアップしていく姿勢に組織内の風とおしのよさを感じた。
ISMSセキュリティ推進グループの活動自体も特長的だ。認証取得までは週に1回、その後は隔週で召集される会議では、セキュリティ審査、調整、監視・分析といった観点でISMSに関するさまざまな議題が話し合われる。一般に、問題が起きるのは“運用”だが、その原因はどこにあるのかを考えると“開発”だった、というのはよくあることだが、こうした問題を組織横断的に話し合えるため、その後の対応の速さにつながっている。また、メンバーに取締役が入っているため(毎回参加している)、例えば、設備の更新など予算に直結する問題も扱える。「合議制ではなく、トップダウンでISMSをフォロー、サポートすることが、この会議の目的です。事故は待ってくれませんから」と福原氏も語っているが、スピードや効率を求められる企業活動においては、ISMS活動も例外ではない。レスポンスのよさが同社のISMS活動を推進している。
なお、今回取材に応じていただいた福原・堀両氏はともにISMS審査員の資格を取得している。技術面はもちろん、ポリシー作成、内部監査、推進会議の運営ノウハウなど、今回の認証取得業務で得た知識と合わせて、今後も社外フォーラムなどでの情報収集を続け、多くの人と話をし、さらに勉強をしたいと語っている。こうした経験は“自分たちにフィードバックされて糧になる”という発想だ。認証取得を次のステップにつなげよう、という意識は組織の一員としても個人としても見習うべきものだろう。
◇
| 事業者名称 | グローバルフォーカス株式会社 |
| 事業者部門名称 | ITセンター/開発センター |
| 対象人数 | 120名 |
| 登録範囲 | クレジットカードシステムにおけるシステムの運用管理と開発保守業務 |
| 認証基準 | BS7799-2 |
| 初回登録日 | 2003年2月14日 |
| 認証登録機関 | LLOYD'S REGISTER QUALITY ASSUR |
| 筆者Profile |
| 武田文子(たけだ ふみこ) 東京都出身。何となくコンピュータ業界に入り、転職でアプリケーションソフトウェアなどのマニュアル制作に携わる。その後独立し、IT関連を中心に取材・執筆活動を開始。現在、新聞・雑誌、書籍、広告などの原稿執筆を行っている。 |
| 参照サイト | |
| 情報セキュリティマネジメントシステム(ISMS) 適合性評価制度 | |
| BSI Japan | |
| ISO/IEC JTC1/SC27 | |
| JISC(日本工業標準調査会) | |
| OECD(経済協力開発機構) | |
| 経済産業省 商務情報政策局 情報セキュリティ政策室 | |
| 情報処理進行事業協会 セキュリティ評価・認証 | |
| 関連記事 | |
| 開発者が押さえておくべきセキュリティ標準規格動向 | |
| 連載 実践!情報セキュリティポリシー運用 | |
| 連載 情報セキュリティマネジメントシステム基礎講座 | |
| 電子メールセキュリティポリシー導入の必要性 | |
| 自主性が要求されるセキュリティ対策の新ガイドライン | |
| 企業IT管理者を対象としたセキュリティ研究会が発足 | |
 |
連載:BS7799、ISMS認証取得の実態を聞く |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
