情報セキュリティポリシー入門：実践！　セキュリティポリシー運用（1）

企業がさらされている脅威と情報セキュリティポリシー

●あなたの会社はインターネットの私的利用を許可していますか？

　“あなたは会社のコンピュータから、仕事に関係のない趣味のホームページを見たことがありますか？”

　この問いには、ほぼ100％近い人がYESと答えるだろう。では、

　“あなたの会社は、仕事に関係のないホームページを会社のコンピュータから閲覧することを許可していますか？”

という問いに自信を持ってYESと答えられる人は一体どれくらいいるだろう。恐らく10％にも満たないのではないだろうか。ほとんどの人が、「許可はされていないが、常識の範囲なら私用しても何もいわれない」とか、「たぶん禁止されていると思うので、よくないとは思うがたまに暇になると見る」などと答えるだろう。

　ホームページの閲覧だけでなく、電子メールなどを含めたインターネット利用に関しては、どこからどこまでを私用とするかの切り分けが難しい。例えば、電子メールは業務とは関係なくても、部での飲み会の連絡など、会社組織内でのコミュニケーションの手段の1つとして利用されたりすることがある。これを私用とするか公用とするかは個人の考えにもよるだろうし、第一そんな細かいところまで決めても意味があるのかという議論にもなってくる。

●すべての社員のセキュリティ意識を向上させよう

　どこの企業のネットワーク管理者も「本当は禁止したいが、禁止しても皆使うだろう。いちいち監視して違反者を注意していたらきりがないので、個人のモラルに任せればいいと思う」というところが本音なのではないだろうか。ただ、だからといってまったく制限をかけないのも問題があるということで、アダルトサイトやオークションサイトなどをあらかじめ閲覧禁止サイトとして設定し、ユーザーがアクセスした場合には「警告」の2文字をページ一面に表示するなどの対策を施している企業も少なくない。

　ではなぜ、ホームページの私用閲覧は禁止されるのだろうか。昔でいう「私用電話」と同じで、会社のものだから私用してはいけないというもっともな意見もあるが、この場合、それだけではなさそうだ。

　私用を制限する理由の1つに

　“ネットワーク資源の浪費による通常サービスの質の低下”

が挙げられる。

　つまり、多くの社員が無駄なページに多数アクセスすることによって、本当に業務に必要なアクセスまで滞ってしまうということだ。ある企業が株式を店頭公開した際に、社員が株価指数のページにアクセスし過ぎてサーバに負荷がかかったため、ネットワークアクセスをフィルタリングし、株価指数のページにはアクセスできないように制御した、といった例もある。

　そして私用を制限するもう1つの理由は、こちらの方がはるかに重要であるのだが、

　“安全でないホームページ閲覧によりウイルス感染や、不正侵入などの脅威にさらされる”

ということである。少し前までは、社内ネットワークを利用するうえで、ユーザーが気を付けなければならないことといえば、メールに添付されてくるウイルスに感染することくらいであったが、ここ数年の間に、Internet Explorerのセキュリティホールを悪用して、ユーザーがある特定のサイトにアクセスした際に自動的に悪意のあるプログラムを実行させられたりする、いわゆる能動的な被害が急激に増加している。この被害を避けるためには、ユーザーにそのような危険性があることをまず理解してもらう必要がある。そのうえで、Internet Explorerのセキュリティホール情報を常にチェックし、何らかの対策か、修正プログラムが公開されたらすぐに、社内ネットワークに接続するすべてのコンピュータに適用する必要がある。

図1 インターネットサイトに潜む危険性

　このような理由により、これらを制限する作業を、だれが、いつ、どのくらいのペースで、どういった手順で行うのか。また、修正プログラムを適用するまでは社内ネットワークに接続してはならない、といったことを、会社の「規約」としてはっきりと文書化し、すべての社員のセキュリティに対する意識を向上させるように啓発し、実践していく必要がある。

　この「文書化された規約」こそ、ほかならない「情報セキュリティポリシー」なのである。

「情報」が付いている理由

●「セキュリティポリシー」に「情報」が付くには理由がある

　ネットワークセキュリティにおいて企業が守るべきものは何かと考えてみると、顧客の情報、社員の住所録などの個人情報、重役会議の資料、新製品の企画書など、例を挙げるときりがないが、これらすべてに共通することは、企業の「情報」であるということだ。

　「情報」は企業にとって重要な「資産」であるのだが、この「情報資産」という考えが日本人に根付いていないため、守るべきものが何であるのかを見誤ってしまうことが多々ある。

　しかし、例えば、物理的に誰かが会社に侵入しコンピュータが盗まれたとして、その損害を考えたときに、本当に損害が大きいのはコンピュータ自体よりもむしろコンピュータの中に入っている「情報資産」を盗まれたことであるはずだ。つまり、本当に守るべきものは企業の「情報資産」なのである。

　また、セキュリティというと、一般的にはコンピュータのネットワーク上にある情報漏えいの危険性などが示唆されるが、企業が守るべき「情報資産」は必ずしも電子的なものではなく、情報を印刷した紙、ひいては人間が話す話の内容などさまざまな形態で存在する。

図2 企業の保有する守るべき「情報資産」の数々

　従って、企業は「セキュリティ」を考える際に、ネットワークセキュリティ、つまり技術的な側面だけでなく、物理的、人的なセキュリティまで考慮する必要がある。

　これらの意味を踏まえて、

　「情報資産」を守るべく施す対策や、規約をまとめたものを「情報セキュリティポリシー」と呼ぶのである。

　また、ファイアウォールの設定ファイルなどを指して、「セキュリティポリシー」と呼ぶことがあるため、これと区別するためにも必ず「情報」を付ける。

なぜいま情報セキュリティポリシーなのか

●セキュリティ対策の実施の必要性

　では次に、なぜいま、この情報セキュリティポリシーが注目されているのかということを説明していこう。

　ネットワークセキュリティにも流行というものはあって、これまでの流れを考えると、企業が積極的に導入してきたセキュリティ関連の機器やシステムには、ファイアウォール、ウイルス対策ソフト、IDS（侵入検知システム）などがあるが、これらがその例として挙げられると思う。

　少なくとも3〜4年前には、まだ大多数の企業が情報セキュリティポリシーという単語すら聞いたことがないというのがほとんどで、情報セキュリティポリシーの存在を知っていても、ただの紙切れであるとしか認識されておらず、まさかそれに大枚をはたいて導入しようなどとは考えもしなかった。それよりもとにかく、ファイアウォールやウイルス対策ソフトなどのいわゆるセキュリティ製品を導入することに躍起になっていたのが当時の現状だったように思う。

　しかし、ここ数年で、前述したような、企業のネットワーク管理者のみがセキュリティ対策を行えばそれでよいという時代は終わり、ユーザー1人1人がセキュリティ意識を持ち、全社的なセキュリティ対策を実施していく必要性が増してきている。

　また、企業の情報資産は、ユーザーの認識不足や外部からの不正アクセスなどによるものだけでなく、内部犯行という大きな脅威にもさらされている。

　不正に内部の人間と同じ資格を得た人間もさることながら、正社員、契約社員、派遣社員、アルバイト、パートタイマーなどによる情報資産の漏えいは回避することが非常に難しい。特に日本人は内部犯行に関して意識が低く、まさか内部の人間がそのようなことをするはずがないなどと思いがちであるが、実際、社会的に問題となった情報漏えい事件が内部犯行によるものである場合も少なくない。

　しかし、情報セキュリティポリシーを整備し、物理的な入退室管理や、適切なアクセス制御を実施し、またユーザーのセキュリティ意識レベルを上げることで、内部犯行を未然に防げる可能性は飛躍的に高くなる。

●企業の信頼を担う情報セキュリティポリシーの制度化

　上記のことも、企業に情報セキュリティポリシーが必要だと認識させるようになってきた要因でもあるが、それとは別に情報セキュリティポリシー運用の制度が全世界で本格化されてきており、その認定取得の動きが盛んになってきていることも、民間企業が情報セキュリティポリシーの導入に目を向けるようになった大きな要因の1つである。

　情報セキュリティマネジメントに関する国際標準や、国内制度などの動向については次回以降で解説するのでここでは詳しくは説明しないが、情報セキュリティポリシーの代名詞といわれている英国規格BS7799の初版が1995年に発行されてからその流れは全世界に広がり、日本国内でもこの流れを受け継いだISMS（Information Security Management System）適合性評価制度の本格運用が2002年4月より開始される見通しである。

　現在、このISMS適合性評価制度のパイロット運用が行われているのだが、2002年2月4日の時点で18社（3月末までに39社認定予定）が認定を受けているとのことである。2002年4月からの本格運用が始まれば各企業がこぞってこの認定を取得しようとすることは間違いないと見られており、今後情報セキュリティポリシーの波はますます勢いを増すであろう。

　いままではセキュリティ自体、費用ばかりかさんで効果がまったく見えてこないものとして敬遠こそされていたが、

　いまでは情報セキュリティポリシーを運用しているということは、企業としての対外的なアピールになりつつあるということだ。

効果的な情報セキュリティポリシーを実現する1番目のポイント

●情報セキュリティポリシーは持っているだけでは紙切れ同然

　ここで1つ注意していただきたいことがある。

　情報セキュリティポリシーを「持つこと」と「運用する」ことの意味を混同しないでほしい。

　情報セキュリティポリシーを「持っている」ことがアピールになると勘違いされている方が非常に多い。この勘違いが、「とにかく」情報セキュリティポリシーがほしいという現在の1つの風潮を生んでいる。

　しかし、残念なことに、情報セキュリティポリシーは持っているだけでは何の意味もない。ただの紙切れである。先にも述べたように情報セキュリティポリシーは情報セキュリティに関する「文書化された規約」である。規約であるからには全ユーザーに配布し、その内容を認識してもらい、そのうえで規約を守ってもらう必要がある。このことがつまり情報セキュリティポリシーを運用するということなのであるが、これをすることなしにセキュリティレベルを上げることはできないし、まして認定を取得することは絶対にできない。

　また、情報セキュリティポリシーを策定するだけで運用しないのであれば、セキュリティレベルは策定する前と同じであるから、お金をかけて策定することの意味はないのではないだろうか。

　このもっともな理論に反して、とにかく情報セキュリティポリシーがほしいという企業や、その情報セキュリティ管理者は実際にはたくさんいる。

　確かに、情報セキュリティポリシーを策定している企業はまだそれほど多くないので、いまの段階では情報セキュリティポリシーを「持っている」という事実は、情報セキュリティポリシーについて知識の浅い人に対してはアピールとなり得るかもしれない。しかし、情報セキュリティポリシーの波は日ごとにその勢いを増してきているので、情報セキュリティポリシーを「持っている」だけでは何の意味もないということが世間の常識になる日もそう遠くないだろう。情報セキュリティポリシーを持っていること＝セキュリティ対策をしっかりと行っているという、一見成り立ち得るように見える図式が崩れることは目に見えている。

図3 情報セキュリティポリシーを「持つこと」と「運用する」ことの意味を混同しないでほしい

　この記事を読まれている、賢明な読者の皆さんには「取りあえず」とか「とにかく」情報セキュリティポリシーがほしいということの意味のなさをご理解いただき、まず情報セキュリティポリシーを「持つ」ことと、「運用する」ことの違いをはっきりと認識していただきたい。

　そして本当に意味のある、効果の高い情報セキュリティポリシーの策定とその運用を行っていただきたいと思う。

　次回は、情報セキュリティポリシーの構成についてもう少し詳しくお話ししたうえで、実際に策定していく手順と、策定時の注意点および、策定期間を短縮する方法とそのポイントなどを紹介していく。