質の高い情報セキュリティポリシー作りを提唱する
【特集】スローポリシーのススメ
第1回:情報セキュリティポリシーの現状
〜 組織の実態を反映しないポリシー策定ではダメだ 〜
宇崎俊介 |
|
スローポリシーとは |
企業の情報(資産)を守ることが重要であるとの認識が高まってきており、その情報を守るために、さまざまな方法でセキュリティを確保しようとしている。しかし、ただやみくもにセキュリティ対策をしても、結局穴だらけのものとなってしまうことも、周知の事実である。そこで情報セキュリティポリシーといったセキュリティを担保するための運用ルールがクローズアップされ、それに関する国際標準のガイドラインも広がりを見せつつある。
通常、このガイドラインを導入、取得するためには、セキュリティベンダやコンサルティング会社にに取得支援を依頼することになる。しかし、ベンダやコンサルティング会社は多くの企業や組織の情報セキュリティポリシー策定を行うに当たって、機械的なリスク分析や、ひな型によるポリシー作りを最善の策としようとしてはいないだろうか。もし、形ばかりにとらわれて実際機能しないようなものを受け取ってしまった場合は?
体裁さえ整えばそれでよしとするならば、機械的な方法でもいいだろう。しかし本当の意味で企業の情報(資産)を守るために情報セキュリティポリシーを必要としているならば、本記事を読んでほしい。
本記事のテーマである「スローポリシー」とは、「即席のファーストポリシー」の反意語であり、「スローフード」に由来する筆者の造語である。機械的で、画一化され、企業の実態を反映しないポリシーが作られ、社内で形骸化している情報セキュリティポリシーに対して、わずかでも改善すべく、質の高い情報セキュリティポリシー作りを提唱することを目的とするものである。
なぜいま情報セキュリティポリシーの新規策定や 改定を行わなければならないのか? |
近い将来、セキュリティ対策をおざなりにする組織は、消費者や取引先から厳しい目を向けられる可能性は十分に考えられる。また企業運営でのメリットとしても、情報セキュリティポリシーの認証を取得することにより、競合他社とのサービスの差別化および、企業の信頼の向上が計れる。結果として取引の増加にもつながるということが考えられるだろう。
これらを受けてか、さまざまなガイドラインに照らした情報セキュリティポリシーを新規策定する、または既存のポリシーを見直したという企業や組織も出てきており、BS7799やISMS認証などの普及が加速しそうな予感がある。
ではなぜ新規策定や見直しを行わなければならないのか? 原因は以下のようなことが考えられるだろう。
(1) | ポリシーがいまの実態に即さなくなった |
(2) | ポリシーそのものがなかった |
(3) | ポリシーそのものが役に立たないものであった、または、認知されておらず放置されていた |
では、それぞれの原因について考えてみよう。
(1)の原因は、業務内容に占めるネットワーク利用率の上昇が考えられる。10年前までは電子メールの利用が、インターネットの利用範囲のほとんどだった。しかし、いまや商店街にあるような個人商店がWeb開設によって全国に販路を拡大する時代になり、企業に至っては承認印の必要な書類など機密性の高いもの以外は電子メールに添付されたり、周知が必要な情報が社内専用Webにて公開されることも多くなったためだ。また企業の対外的情報公開もWebによって行われるのが当たり前となった。これでは10年前のビジネスルール(BR)が現状に即さないのは当然で、一昔前とは一変してしまった業務環境に合わせた情報セキュリティポリシーの策定・改定作業が必要とされるのだ。
(2)の原因には、まったく何の情報セキュリティポリシーもないという企業は実はほとんど存在しないものだと筆者は考えている。ポリシーがないと思っていても、機密情報流出は、紙ベースの情報や口伝えによっても起こるものであり、その対策として書類の取り扱いルール(守秘義務契約など)や、従業員の就業規則として書かれているところがほとんどである。これは「コンピュータセキュリティ/ネットワークセキュリティを除いた情報セキュリティ対策」であり、「情報セキュリティポリシーとほぼ同じ性質である」としても大きな誤解はないであろう。よって(1)とほぼ同様に、社内規程としてのポリシーの策定に組織的に取り組むことを希望するということは十分にあり得る。
(3)の原因については。実はこの「ポリシーが役立たず」というのが最も問題となるところである。原因は次回以降で述べるが、「昨日出来上がったポリシーでも、役立たずであれば手順書とともに紙クズとなってしまう」ということもある。「それはなぜか?」というのは想像に難くない。「ポリシーそのものがその企業の実態を反映していない」というのが最も大きな理由の1つである。これが目下最も懸案とされることであると、一般に認知されつつあるようだ。ポリシーを承認するのはエグゼクティブであっても、実際にそれを守る大多数の人間は、業務の現場に立つ人間である。それら企業の収益を支える大多数の人間の実態が反映されず、守れないポリシーがあるとしたら……。そんなものはポリシーと呼べず、やはり紙クズ同然で役に立たないものである。
以上3つの原因が、“企業の情報セキュリティポリシーの改訂を加速させる”要因であると思われる。それに付随して、情報セキュリティポリシーはネットワークでの情報共有や交換を前提としたものに大きく変化し、加えて国際標準を意識した傾向のものに変わりつつある。情報セキュリティポリシーは、もはやBRの一部となってきているのである。
国際標準とともに再び隆盛の兆しを見せる 情報セキュリティポリシーのマーケット |
BS7799やISMS認証が情報システム部門担当者や経営陣の注目を集める中で、これらの認証取得を意識した、または詳細管理項目に沿った情報セキュリティポリシーにしたいという願望を持つ企業は増加傾向にあるようだ。また改定を希望する企業にとっても、改定を契機に各種セキュリティ評価・認証制度を意識したポリシーを希望するところも出てきている。
このような事情から2002〜2003年度にかけて全社的にポリシーから運用体系までを見直そうという企業が相当数見込まれることは、マーケットの傾向からも読み取られ、セキュリティベンダのサービスメニューとして増えていることは既知の事実である。監査法人や、コンサルティングに特化した企業でも、これらニーズに対応したサービスを積極的に展開しているところが多くある。
以前より情報セキュリティポリシーという言葉はあったわけだが、実際問題としてそれがなぜ必要なのか、どのように決定されるべきなのかといった動機付けの重要な部分については無視されていたように思う。ところが最近の傾向としては、企業がさまざまに明確な意思を持って、ポリシーの策定に取り組もうとしている点が特徴的であるといえるだろう。
情報セキュリティポリシーが作られるまで |
一般的な情報セキュリティポリシーの策定までの流れの例を図に示すと図1のようになる。
図1 情報セキュリティポリシー策定の流れ |
ここで大切なのは「組織の現状評価」であり、それによってポリシー策定というゴールに対してどのように動くべきかがほぼ決まる。例えば、
- 現状の情報資産の運用状態の把握
- 同じような性質の情報資産に対して、部署間でまったく異なる運用管理をしていないか(組織内での取り扱い矛盾)など実状を把握
- 矛盾があるなら、後々整合を取る必要がある。まずは個々の部署にアンケートを実施する必要がある
- 運用管理に関する社内ドキュメントの有無や評価など
- 情報セキュリティポリシーに関するドキュメントの存在の確認
- 情報セキュリティポリシーに関するドキュメントの内容が適切であるかどうかの評価をする
これらから抽出される情報を基にして、現状における組織内での情報資産に関する運用管理状況を把握し、以降のステップに反映させる必要がある。多くの「ひな型に情報を流し込んで固める」手法でのポリシー決定プロセスでは、「こうあるべき」という理想像は示されるが、企業風土に即さないものや、実行できない管理策を含んだプロシージャ(手順書)を出力してしまう可能性が残される。
ユーザーの立場から考えると、人の行動をも規定するドキュメントを、ブラックボックスのロジックによってリスク分析し、機械的に生成させ、情報セキュリティポリシーのモデルとして提供されることは、ポリシーの本質を見誤ってしまわないだろうか?
例えば、パスワードの管理について考えてみる。BS7799-1:1999においては、
「ユーザーはパスワードの管理について、パスワードを定期的に変更し、古いパスワードの循環使用をしない」
といった内容が書かれており、BS7799-2:1999では、
「ユーザーはパスワードの使用に際しては正しいセキュリティ慣行に従うこと」
とされている。正しいセキュリティ慣行とはBS7799のPart.1に示されるベストプラクティスを意味するから、上記のパスワードに関する2項目は互いに矛盾しない相関関係にある。よって、BS7799をベースにポリシーを構築するならば、
「ユーザーは定期的にパスワードを変更しなければならない。なお、古いパスワードの再利用・循環使用は世代をさかのぼってすべて使用禁止とする」
というファクタが必須になる。ところがパスワードを定期的に変えることが、現実的にどこまで実行可能であるかは、BS7799の型にはめて作業をしている限り運用手順書として導入の際に論じられるものと扱われるとは考えにくい。管理詳細策にそう書かれていれば、すべからくポリシーに盛り込まれる。
しかし、パスワードの変更を組織全体としてエンドユーザーに浸透させることは非常に難しい。技術系の比率が非常に高いITベンダなどのように、一定以上のOAリテラシの意識レベルがある場合を除いて、実際には上記のような“パスワードの変更などほとんど不可能”であるのが現状である。不可能なことを強要することは、どんなに高額なポリシーを構築しても、運用の段階で機能しなくなることを予見させ、運用責任者の首を締め上げることになる。よって認証を取得しないのであれば、ポリシー策定の際には、BS7799やISO17799に従った“優等生的なもの”がすべての企業の目指すべきところではなく、
- 現状を的確に把握する
- 実行できるものとする
- 背伸びをしないものとする
のような実状に即したものにしなければならない。
そのような情報セキュリティポリシーを策定していくことがこれから最も重要になると感じる。一方、情報セキュリティポリシー策定支援に関連する企業は、ポリシーを売って放ったらかすのではなく、ユーザーが次回からは自らポリシーについて、社内ワークショップを開けるぐらいの知識と意識を注入せねばならないだろう。使えないポリシーを発生させることを防ぐためにも、時間と手間をかけて、現実解としてのスローポリシーを提唱するものである。次回は現在の情報セキュリティポリシーに関する問題点を掘り下げることにする。
「第2回」へ |
Profile |
宇崎 俊介(うざき しゅんすけ)
株式会社ネットマークス ネットワークセキュリティ事業部 プロフェッショナルサービス室所属。情報セキュリティ全般を守備範囲とするコンサルタント。ISMS、BS7799、FISCのコンサルティングからセキュリティ診断・テキスト執筆・情報セキュリティポリシー策定まで幅広く担当。JNSA(日本ネットワークセキュリティ協会)ではISO/IECに関するWGや、関連法規の政策部会にて活動中。好きな言葉「食べ放題」。 |
関連記事 | |
実践!情報セキュリティポリシー運用 | |
セキュリティポリシー策定に役立つ4冊! | |
情報セキュリティマネジメントシステム基礎講座 | |
開発者が押さえておくべきセキュリティ標準規格動向 |
「特集 スローポリシーのススメ」 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|